Zack Whittaker （Special to ZDNET.com） 翻訳校正： 編集部 2017-09-06 11:26 オープンソースのアプリケーションフレームワークである「Apache Struts」に重大な脆弱性が存在することが明らかになった。この脆弱性の影響を受けたサーバは、ハッカーに容易に乗っ取られる可能性がある。 この脆弱性を発見したセキュリティ研究者によれば、これが悪用されると、Apache StrutsのRESTプラグインを使用しているアプリケーションを実行しているサーバで、リモートから任意のコードを実行できる。 2008年以降のすべてのバージョンのStrutsに影響がある。 Apache Strutsは、Javaによるウェブアプリケーションを構築するためのフレームワークで、Fortune 100企業でも幅広く使われており、フロントエンドとバックエンドの両方のアプリ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間8月24日、同社のカスタムチップである「Titan」によって、ファームウェアベースの攻撃からいかにサーバを保護するのかについてブログ上で解説した。 GoogleはTitanチップを披露した際、同社のクラウド内の各サーバに固有のアイデンティティを付与するために、このプロセッサを使用すると語っていた。 同社は今回、この言葉の意味するところをより詳細に解説するとともに、各マシンにおけるファームウェアのロードと、同社のデータセンター内におけるその他の暗号化機能の提供をセキュアにするための「hardware root of trust」（ハードウェアに根ざした信頼性）の実現に向け、Titanがいかに機能するのかについて説明し

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セブン銀行は日本の金融機関では初めて、2018年度をめどに勘定系システムの本番機を東京と大阪で交互に運用する「東阪交互運用方式」を導入することを決定した。同行と日本ユニシス、野村総合研究所が8月9日、共同発表した。 同行は、2006年1月に日本ユニシスが開発するWindowsベースの無店舗型銀行向けオープン勘定系システム「BANKSTAR」を導入。野村総研がシステムインテグレーションや保守、更改作業などを担当している。 現在は、本番機とバックアップ機を東京と大阪のデータセンターに分けて運用している。今回はこれを本番機として交互に運用する方式に切り替え、広域災害などにおける事業継続体制を強化し、24時間無停止の連続稼働を可能にすることで、

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 セキュリティ対策の主要製品は海外製 日本は、世界でも珍しい文化や習慣を幾つも持っているが、その多くは海外からの影響を強く受けて独自に進化させたものといえるだろう。それ故に、日本独自というものはそれほど多くなく、いまだ世界に対するコンプレックスを多少なりとも抱えている。実はセキュリティ対策についても、この構図があてはまる。今回は世界の中での日本のセキュリティ対策の課題を掘り下げていきたい。 日本で売られるセキュリティ対策製品を理解するために、この分野の代表的なカテゴリを挙

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 ベンダーにもセキュリティ人材がいない 前回は、日本企業が表向きは多層防御のセキュリティ対策を講じていても、攻撃を検知しても対処ができない「セキュリティマネジメント不在」の状況を述べた。今回は、なぜセキュリティ対策製品を提供するベンダーがその状況を看過しているのかについて述べる。 セキュリティ対策の運用の現状は、攻撃手法の進化に大きく遅れを取ってしまった。セキュリティ製品を提供しているベンダーが、なぜこの状況を看過しているのだろうか。 答えは簡単だ。それは、ユーザー企業に

対策連携は自動化がトレンド 現在のセキュリティ対策では、アンチウイルスやファイアウォール、不正侵入検知／防御システム（IDS/IPS）、サンドボックスといった個々の製品を連携させる取り組みが進む。NICTのNIRVANA改は、連携製品が検知した攻撃の情報を集約、分析し、防御までを実行するプラットフォームで、会場のネットワーク基盤「ShowNet」のネットワーク監視センター（NOC）でのセキュリティ監視にも用いられている。 NIRVANA改が連携する製品は、開発当初は数種類だけだったが、今回のInteropでは19社34製品にまで拡大。機能面でもセキュリティ担当者が、膨大なアラートを効率的にフィルタリングするルールを柔軟に設定したり、検知前後の攻撃の状況をタイムラインに沿って再現することで、詳しく分析したりできるようになった。

株式会社セゾン情報システムズ（本社：東京都豊島区、代表取締役社長：内田 和弘、以下、セゾン情報システムズ）は、ガートナー社発行のMFT（Managed File Transfer ※1）市場に関するリサーチ「All Enterprise Software Market Share (Managed File Transfer Suites Segment), Worldwide, 2016」において、セゾン情報システムズが販売、提供する国内・アジアシェア第1位の国産ファイル連携ミドルウェア「HULFT（ハルフト）」が、世界売上シェア第2位になりましたことを発表いたします。 株式会社セゾン情報システムズ（本社：東京都豊島区、代表取締役社長：内田 和弘、以下、セゾン情報システムズ）は、ガートナー社発行のMFT（Managed File Transfer ※1）市場に関するリサーチ「All En

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 企業が講じるさまざまなセキュリティ対策の中で、日本は海外に比べてネットワークセキュリティへの支出が目立つことが分かった。一方で、保存データの防御を重視するとの考えが海外より強いという。 タレスジャパンのe-セキュリティ事業部は4月19日、「2017 Thales Data Threat Report」の日本版レポートを発表した。同レポートは、2月にThales e-Securityが発表したグローバル調査の結果のうち、日本企業にみられた特徴を取りまとめている。 それによると、機密データのセキュリティにとって効果的だと考える対策について、日本では63％が保存データの防御、61％がネットワークの防御、55％が伝送データの保護を挙げた。 保存

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米インテル セキュリティとマカフィーは、3月2日、グローバル レポート「Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity」（偏った現場：報酬のアンバランスによりサイバーセキュリティ戦略が不利な立場に陥る）を発表した。 同レポートでは、サイバー攻撃者と企業のセキュリティ担当者が得られる報酬のアンバランスが原因となって、サイバー攻撃側に優位に働いている3つの重要領域が判明したとしている。 3つの領域とは、不自由な企業構造と流動的な犯罪構造、戦略と実行の違い、上級管理者と現場作業者の意識の違い。 攻撃側が流動的かつ分散型の市場で発展を

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナー ジャパンは1月24日、2017年以降のIT人材に関する展望を発表した。「ITサービス・プロバイダーの技術者」および「ユーザー企業の情報システム担当者 （IT組織または事業部門に所属）」をIT人材と定義し、その予測を行ったもの。 展望の主なものは以下の通り。 2020年末までに、日本のIT人材は質的に30万人以上の不足に陥る すでに国内のIT人材の不足は深刻で、ガートナーが国内で2016年12月に実施した調査では、「IT人材が不足している」と回答した企業は全体の83.0％にのぼり、さらに全体の20.4％が少なくとも現状の1.5倍の人数が必要であると考えていることが分かった。さらに今後は、デジタル技術を用いた新分野での人材需要が

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所（NIST）が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」（デジタル認証ガイドライン）の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」（帯域外検証者）に

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ブルガリア国民議会で、政府が調達するすべてのソフトウェア開発でソースコードをオープンソース化し、公開リポジトリで開発することを義務づける修正電子政府法が可決された。これによって、今後はブルガリア政府が調達したカスタムソフトウェアに誰でもアクセスできるようになる。 電子政府法の第58条は、行政機関が次の要件を満たすことを義務づけている。「契約の対象にコンピュータプログラムの開発が含まれる場合、当該コンピュータプログラムはオープンソースソフトウェアの条件を満たさなければならない。命令の対象となる関係するコンピュータプログラム、ソースコード、インターフェースの設計、およびデータベースの著作権および関連する権利は、使用、修正、または配布に関する

ITプロフェッショナルであれば経験があると思うが、筆者も友人や家族からPCの修理を頼まれたことが何度もある。筆者は常に、可能な限り人々の期待に応えようとしていたが、他人のPCを無償で修理するというのはいくつかの例外を除き、良い考えではないということに気付いた。 誤解しないでもらいたい。筆者にも、頼まれた際に何のためらいもなく手を差し伸べたくなる人々がいる。筆者は、コンピュータの障害に直面した妻に手を差し伸べないことなどあり得ないし、母親を見捨てることもあり得ない。しかし残念ながら、筆者が手助けしたほとんどの人は、その恩を仇で返すかのような行動に出たのである。このため本記事では、他人のPCを無償で修理するのはお勧めできない理由を10個挙げている。 ＃1：手助け以降に発生した問題はすべてあなたのミスになる 友人や家族がコンピュータの修理を頼んでくるのは、自らで問題を解決するだけの十分な知識を持

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 中国でQRコードといえば、阿里巴巴（アリババ）系の支付宝（アリペイ）や騰訊（テンセント）系の微信支付（ウィーチャットペイ）のほか、最近では路線バスなどの公共交通も採用の動きを見せている。現地時間7月15日には、中国の大手銀行である中国工商銀行がQRコードの支払いに対応した。これまでは一旦各銀行から支付宝か微信支付に金額を一旦チャージしてから商品代金を支払っていたが、今後は銀行のアプリから直接QRコードを使って支払いができるようになる。大手銀行として初めての採用であるが、他の中国の銀行も追随し、同様のサービスを出してくるものと予想される。 PaymentsSourceの調査によると、中国工商銀行が発行する国際クレジットカード枚数は1億15

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 国際銀行間通信協会（SWIFT）の金融メッセージングシステムを使用して決済情報をやりとりしている各銀行は、サイバー犯罪者による攻撃に備えてセキュリティを強化する必要に迫られている。 Reutersが入手した同協会から顧客への通知によれば、盗まれたSWIFTコードが悪用されバングラデシュ中央銀行から8000万ドルを奪われた事件から数カ月間が経過したが、金融業界の一部の組織では、依然としてセキュリティにかなりの問題が残っていると見られる。 この通知で、新たなセキュリティ対策が導入されているにも関わらず、銀行から資金を奪おうとする新たな試みが続いており、少なくとも部分的には、一部のサイバー攻撃が成功していたことが明らかになった。 Reuter

トップインタビュー SIは請負では限界、技術の応用とイノベーションを--セゾン情報システムズ小野CTO - (page 3) SIは単に言われたことをやるのではなく、海外の先進的な事例を把握し、その技術の応用を提案できれば、今までの請負型のビジネスから課題を解決するシステムの提案というビジネスに転換できます。 たとえば今、MicrosoftのAzureを担いでいる企業はいくつもありますが、日本では流通に強いAzureのプレイヤーはいません。そこはホワイトスペースです。ここを取れば、流通で最強のAzureインテグレーターになれるわけです。 ホワイトスペースを取りに行くときには、必ず先行投資が発生します。手を挙げたときに「私たちのこれが答えです」というものを作るところが先行投資になりますので、サービスやパッケージの感覚で「新しい事業を作る」という先行投資マインドが大切になります。業務ノウハウや

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは「Windows 10」の「バージョン1607」を開発する過程で、セキュアブート機能に新たなポリシーを追加した。しかし、このポリシーに含まれていた問題により、セキュアブートでの保護がバイパスされるという危険性が生み出された。この問題を最初に発見したセキュリティ研究者らによると、完全に解決するのは難しいという。 この設計上の問題が悪用されると、スマートフォンやタブレットを含む「Windows」デバイスのセキュアブート機能が回避できるようになる。またこれにより、同機能による保護で動作OSがWindowsに限定されているデバイス上で、Windows以外のOSを動作させることも可能になる。 セキュリティ研究者のMY123氏と

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナーは6月15日、米国で開催した「ガートナー セキュリティ＆リスク・マネジメント サミット2016」において、企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ技術のトップ10を発表した。ガートナー ジャパンが7月11日、日本語訳で伝えた。 注目すべき情報セキュリティテクノロジのトップ10は以下の通り。 クラウド・アクセス・セキュリティ・ブローカ（CASB） CASBは、複数のクラウドプロバイダーの環境を介して、安全かつコンプライアンスに適合した環境で、クラウドサービスを活用するために欠かせないコントロールポイントを情報セキュリティ担当者に提供する。 エンドポイントの検知／対応（EDR） 膨大な数のエンドポイントイ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 自律分散型投資ファンド「The DAO」が取引基盤とするイーサリアムベースのブロックチェーンがハッキングを受け、日本時間6月17日午後にThe DAOのアカウントから仮想通貨イーサリアム（ETH）が流出した。一時、The DAOが50％以上暴落、ETHも連動して下落するなど混乱したが、17日24時現在、Slock.it（The DAOの発案元）やThe Ethereum Foundation（ETHの運営元）の対応により、事態は概ね収束したようだ。 The DAOは、ブロックチェーンを使って、ファンドマネージャーなしに投資先の選定、配当の分配を行う非中央集権型の投資ファンドだ。クラウドファンディングで150億円規模の資金を調達し、5月に

James Sanders （Special to TechRepublic） 翻訳校正： 石橋啓一郎 2016-06-01 06:00 「OS/2」のリバイバルを進めている企業であるArca Noaeの担当者は、OS/2のユーザー、開発者、熱心なファンが集まる年次コンベンション「WarpStock Europe」で、2015年11月に米TechRepublicの取材に対して明らかにした「Blue Lion」プロジェクトの状況についてプレゼンテーションを行った。 IBMは「Warp 4」のリリースを最後に、1996年にOS/2の主要な開発を終了している。その後もエンタープライズ環境に必要なサポートを提供するためのメンテナンスリリースは継続されていたが、2001年にはそれも終了している。 「Blue Lion」から「ArcaOS 5.0」へ Blue Lionプロジェクトが発表されたのは、2