時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
成長は「仕組み」で作る、システム内製は絶対条件
藤田 晋(ふじた すすむ)氏 1973年福井県生まれ。97年、青山学院大学経営学部卒業後、人材派遣会社のインテリジェンスに入社。98年に退社し、インターネット広告代理店のサイバーエージェントを起業。2000年に東証マザーズへの上場、史上最年少の上場企業社長として注目を集める。現在、同社の中核ネットサービス「Ameba」の総合プロデューサーおよび技術担当取締役も担う。新経済連盟 理事。(写真:村田 和聡) 昨年度(2013年9月期)は「連結営業利益を100億円までしか出さない」とあらかじめ決め、それ以外は全て「事業のスマートフォン化」に先行投資しました。今年度は先行投資の「収穫期」と位置付け、連結売上高を前期比10.8%増の1800億円、連結営業利益をほぼ倍増の200億円と見込んでいます。この目標は十分に達成できそうです。 当社の事業の3本柱は、ブログサービスを中心としたAmeba事業、イン
みずほ銀行、システム統合延期の舞台裏
みずほ銀行が次期勘定系システムの構築完了を、当初予定の2016年3月から同12月に9カ月間延期する(図)。要件定義を終え設計工程がある程度進んだ段階で、「今後のスケジュールをゼロから見直した結果、詳細設計・製造やテストについて、それぞれ数カ月の期間を追加する」と、みずほフィナンシャルグループ(FG)の加藤朝史システム推進部部長は説明する。期間を増やす理由は主に二つある。 一つは、保守のしやすいシステムにするため、より時間をかけて設計に取り組む必要があると判断したからだ。次期システムはSOA(サービス指向アーキテクチャー)を採用する。サービスコンポーネントの設計精度は、商品・サービス開発のスピードを左右する。FGの加藤健治システム推進部企画チーム次長は、「製造工程の前に、機能部品の大きさにバラつきがないか、重複機能がないかを徹底的にチェックする」と話す。設計どおりに処理が流れるかなどの確認も
[2015年問題2]大手でも低い利益率、日本流SIビジネスの構造問題
多重下請けのピラミッド構造を前提とした現行のSI(システムインテグレーション)モデルは、もう限界点に達している。2015年問題は、急激な技術者不足とその後の人余りにより、この構造に属する業界の各社に大きな苦難を強いる。 だが日本流のSIビジネスを構築する過程で日本のIT業界では、大手IT企業ですら営業利益率が6.7%と低く抑えられてしまった(図1)。最大手のNTTデータは2013年度上期に、SIの不採算案件のため250億円の損失を被った。一括受託を前提にIT企業がプロジェクト失敗のリスクを負うSIビジネスでは、そのリスクが大きな変動要因として効いてくる。各社はリスク管理と収益確保に向けた対策を打ち出しているが、元請けの企業ですら利益を出すのに苦心している。まして競合がひしめく2次請け、3次請けが利益を出すのはさらに困難になる。
[2015年問題1]現行SIモデルは限界点に、業界に迫る最悪のシナリオ
多重下請けや法令無視といった慣行が染み付いた日本のIT業界。 ここに「2015年問題」というIT技術者不足とその後の人余りが襲い掛かる。 この問題を、むしろ絶好の機会としてとらえ、悪弊の連鎖を断ち切る覚悟がユーザー企業にもIT企業にも求められている。 「北海道から九州まで、受託案件が増えているのは間違いない」。中小IT企業とIT受託案件のマッチングを図る日本情報技術取引所(JIET)の役員はこう語る。 IT業界、特に企業向け情報システムのシステムインテグレーション(SI)を手掛けるIT受託の業界が今、好況に沸いている。リーマンショックや東日本大震災で凍結していたプロジェクトが再始動し、幅広い業界でIT投資が増えているのだ。「PHPやJavaプログラマーへの引き合いが強い。Day2(2008年までに2500億円を投じた、三菱東京UFJ銀行の勘定系システム統合プロジェクト)の頃よりIT技術者の
「対策を打つ前にやられた」、NTTデータが横浜銀行データ不正取得事件について釈明
写真1●横浜市内で記者会見に臨むNTTデータ第二金融事業本部第一バンキング事業部長の鈴木正範氏(右)と、同事業本部第三バンキング事業部プロジェクト統括部部長の田中正和氏 NTTデータは2014年2月5日、横浜銀行の勘定系情報システム(預金や融資などを管理する銀行業の基幹情報システム)を悪用して不正出金を実行した容疑者が逮捕されたことを受けて、横浜市内で記者会見を開いた(写真1、速報記事)。 NTTデータは横浜銀行の勘定系システム「MEJAR」(メジャー、関連記事1、関連記事2)」を開発・運用している。容疑者はNTTデータの業務委託先(孫請け)である富士通フロンテックの社員だった。 NTTデータは、記者会見で不正出金の経緯を説明した。NTTデータは千数百台ある横浜銀行ATM(富士通製)にそれぞれ蓄積される「解析用ログ」を、NTTデータが運用するサーバーに集約した後、MOディスク(光磁気ディス
なぜ大手ICT企業で不採算案件が相次ぐのか、「対岸の火事」では済まされぬ根本的な原因
大手ICT企業の2013年度上期(2013年4~9月)の連結決算は、景気回復への追い風もあり、おおむね好調だったと思う。だが一方で、なぜか不採算案件の発表が相次いだのも特徴だった。
アスクルの最新物流センター披露、消費者に複数商品が「オンリーワンBOX」で届く自動梱包設備
写真2●小さな商品をラップのような透明なフィルムでくるんで梱包する「Pack in Box」。商品は段ボールの台紙の上に載っている アスクルは2013年11月7日、7月末に稼働したばかりの最新物流センター「ASKUL Logi PARK首都圏」に初めて取引先を招き、見学会を開催した。加工食品や飲料、日用品などの取引先が約80社、総勢で約150人が参加。埼玉県三芳町にあるセンターに集結した。 冒頭で岩田彰一郎代表取締役社長兼CEOがあいさつし、ASKUL Logi PARK首都圏を「最新の物流“工場”」と表現。日用品EC(電子商取引)に特化した戦略拠点であることを取引先に強調した。 物流網の心臓部に当たるこのセンターは、消費者が(書籍などの1品買いではなく)日常使いする複数の商品をネット通販でまとめて購入することを前提に設計されている。注文があった日用品や飲料などの品物を「アセンブリ(組み立
「ソフト開発を変えるのは人」---トヨタに学んだリーン開発の本質
「ソフトウエア開発を変えるのは人」---永和システムマネジメント コンサルティングセンター長の天野勝氏はリーン開発がもたらす影響をこう表現する。天野氏は2008年2月1日,「ITpro EXPO 2008」展示会のメインシアターで「リーン開発はソフトウエア開発をどう変えるか?~最強の組織トヨタに学ぶプロセス改善,チームづくり,人づくりの秘訣~」と題し講演した。 リーン開発とは,「トヨタ生産方式」をソフトウエア開発に適用した開発方法論。天野氏は,「リーン開発の本質」(メアリー・ポッペンディーク,トム・ポッペンディーク著)の翻訳者。オブジェクト指向を中心とする技術について研究するグループ「オブジェクト倶楽部」の事務局長も務める。 天野氏は「リーン開発はソフトウエア開発を変えるか」という命題に対し,「変えない」と指摘する。ただし直接的には。ソフトウエア開発を変えるのは人であり,リーン開発は人に視
「IFRSへの対応のあり方に関する当面の方針」を読み解く(下)
ビジネスブレイン太田昭和 会計システム研究所 所長 中澤 進 前回(「IFRSへの対応のあり方に関する当面の方針」を読み解く(上))と今回では、金融庁が2013年6月20日に公表した「国際会計基準(IFRS)への対応のあり方に関する当面の方針」の意味するところを検証している(報告書はこちらで入手できる)。 報告書は、(1)はじめに、(2)IFRSへの対応のあり方に関する基本的な考え方、(3)IFRS任意適用要件の緩和、(4)IFRSの適用の方法、(5)単体開示の簡素化、という五つのパートで構成する。前回は(1)から(4)の途中までを見てきた。今回は、続きを検証するとともに、日本が考えていくべきIFRSへの取り組み方について触れることにしたい。本文の太字部分は報告書からの引用である。 (4)IFRSの適用の方法 ---エンドースメントされたIFRSを国際的に示す(続き) 二つめの施策である「
ルネサスが1500億円調達を正式発表、日立・三菱・NECの持分は大幅低下
経営が悪化している半導体大手のルネサス エレクトロニクスは2012年12月10日、新株発行による第三者割当増資を実施し、1500億円を調達する方針を正式に発表した。新株の株価は1株120円で、10日の東証終値(308円)に比べて約6割安い。 時価より大幅に安い価格での新株発行は既存株主にとって不利になる。このため、2013年2月に開催予定の臨時株主総会において、既存株主が承認することが資金調達の前提となる。 新株は、官民共同ファンドの産業革新機構が大半を引き受け、持株比率69.16%を握る筆頭株主となる。ルネサスからマイコン製品の供給を受けるトヨタ自動車、日産自動車、ケーヒン、デンソー、キヤノン、ニコン、パナソニック、安川電機の8社もそれぞれ新株を引き受ける。 増資が実行された場合、ルネサスの母体企業で、既存の主要株主である日立製作所、三菱電機、NECの3社による持株比率はそれぞれ7.66
55億円無駄に、特許庁の失敗
政府システム調達における失敗の典型例が、特許庁の基幹系システム刷新プロジェクトだ。5年がかりで臨んだが、結局は55億円を無駄にしただけ。新システムは完成しなかった。失敗の最大の要因は、発注者である特許庁にあった(図1)。関係者の証言から、失敗に至る経過を改めてひもとく。 特許庁は2004年、政府が打ち出した「業務・システム最適化計画」に沿って、特許審査や原本保管といった業務を支援する基幹系システムの全面刷新を計画した。システムアーキテクチャーに詳しい情報システム部門のある職員(以下A職員)と、刷新の「可能性調査」を担ったIBMビジネスコンサルティングサービス(現・日本IBM)を中心に、調達仕様書を作成した。 業務プロセスを大幅に見直し、2年かかっていた特許審査を半分の1年で完了することを目指した。度重なる改修によって複雑に入り組んだ記録原本データベース(DB)の一元化に加え、検索や格納など
[スクープ]みずほの次期システムはマルチベンダー、4社に分割発注
みずほ銀行が次期システムの開発をマルチベンダー体制で進めることが日経コンピュータの取材で判明した。富士通、日立製作所、日本IBM、NTTデータの4社に分割発注する。ハードウエアの調達とアプリケーションの開発を分離し、さらに預金や融資といった機能ごとに開発委託先を変える。大手4社に発注を分散させることで、総額4000億円を超えるとみられる大規模プロジェクトにおける技術者確保などに万全を期す。 委託内容と発注先との関係は次のとおりだ(図)。勘定系システムの中核をなす「流動性預金」のアプリケーション開発は、富士通に委託する。富士通はみずほ銀が現在使っている勘定系システム「STEPS」の開発元である。 流動性預金のアプリケーションの動作プラットフォームには、日本IBM製メインフレームを使う。みずほ銀は「CIF(カスタマー・インフォメーション・ファイル)」や「処理フロー制御」など、各アプリケーション
シェアードサービス
人事や経理、総務などの間接業務をグループ内の1カ所に集約し、コストの低減を図る経営手法。集約することでスケールメリットが生まれ、サービスの質も向上する。 企業という組織体をまとめていくのに欠かせないのが間接業務です。企業規模が拡大するほど人事や経理、総務などの業務が増加し煩雑になっていきます。分社化やM&A(企業の合併・買収)といった戦略の下で、連結対象の子会社が増える成長企業にとってはなおさらでしょう。 こうした課題に対する解決策としてすっかり定着したのが「シェアードサービス」です。人事や経理、総務以外でも、業務に用いられる情報システムの開発・運用を集約したり、物流を一手に引き受ける場合もシェアードサービスといえます。グループ内の企業から、本社や専門子会社に間接業務を集約することで、コスト低減を図ったり、サービスレベルを向上させます。 ◆効果 サービスレベルを向上 シェアードサービスで得
行き当たりばったりのシステム構築はもうやめよう
多くの企業は,IT関連に多額の費用を使っています。しかしながら,皆さんの会社ではこうしたIT投資が企業の活力や競争力の向上にどれだけ有益に利用されているでしょうか。 本来,企業が自社のシステムに投資する際には,販売の拡大や業務効率化など,限られた予算を前向きな目的のためにバランス良く使うべきです。しかし,実際には,現状のシステムを維持する費用(ハードウェア,ネットワークなどの保守・運用)に偏ってしまう傾向があるようです。 そこで今回は,「戦略マップ」というツールを用いて,企業全体の戦略の観点から,効果の高い投資を行うアプローチを紹介したいと思います。 戦略マップとは 現在の企業は,多くの課題に直面しています。 かつての高度成長期には,大量に安く生産すれば商品が売れて儲かったのですが,現在は,顧客の好みが多様化し,企画や販売戦略がしっかりしていないと売れない時代です。また,食品に代表されるよ
データベースの内部動作を知る
SQLのプログラミングは奥が深い。特にパフォーマンスの観点から、そう言えるだろう。 みなさんご承知の通り、同じ結果を出すプログラムでも、SQLの書き方次第で処理時間に何倍もの差が生じ得る。効率の悪いSQLを書いてしまう原因は、多くの場合、リレーショナルデータベースの内部動作やアプリケーションに関する理解不足である。両者をよく知った上で最適なSQLを書けるようになることは、システムエンジニアとしての重要なスキルの一つである。 特集『基礎から理解するデータベースのしくみ』では、リレーショナルデータベースの内部動作について、基本的な部分を分かりやすく解説している。SQLプログラミングに役立つことはもちろん、SQLチューニングやデータベース設計のための基礎知識としても不可欠だ。 イントロダクション ブラックボックスのままでいいの? Part 1:SQL文はどのように実行されるのか SQL実行までの
第1回 重なった30の不手際
東日本大震災から3日後の2011年3月14日。この日の午前に最初のトラブルは発生した。テレビ局が東日本大震災の義援金を番組などで呼びかけたところ、みずほ銀行東京中央支店のテレビ局の義援金口座(以下、口座a)に、振り込みが殺到した。 午前10時16分、振り込みによって生じた「取引明細」の件数が上限値を超え、口座aに対する「預金・取引内容照会」ができなくなった。取引明細は通帳の記帳に使う。 みずほ銀は口座aを、格納できる取引明細の上限値が小さい「個人・通帳口」として間違って設定していた(表-1)。 みずほ銀は口座の種類を二つの属性の組み合わせによって区別している。一つは「個人」か「法人」か。もう一つは、取引明細を通帳に記帳する「通帳口」か、記帳しない「リーフ口(ぐち)」かである。 これら二つの属性によって、格納できる取引明細の上限値が変わる。通常、義援金口座のような大量振り込みが予想される口座
日本IBMの2010年度単体決算、営業利益は7.0%増の1282億円
日本IBMは2011年3月25日、2010年1月~12月期の単体決算を発表した。売上高は前年比1.8%減の9377億円、営業利益は同7.0%増の1282億円で、減収増益だった。 売上高は、昨年仏ダッソー・システムズに売却したプロダクト・ライフサイクル・マネージメント(PLM)事業の影響を除くと横ばいだった。営業利益については、IBMがグローバルで進めているデータセンターの統合によりコストが削減できたことや、ハードウエア製品の販売が伸びたことで増益となった。 各事業別の売上高をみると、サービス事業が企業のIT投資抑制の影響を受け微減、ソフトウエア事業もPLM事業売却の影響で減収だった。システム製品事業は、POWER7搭載サーバーや仮想化ストレージなどの新製品の投入や、クラウド向けデータセンター案件での受注などにより増収となった。 クラウドコンピューティング関連の売り上げは前年よりも大きく伸び
Windows Server 2003で強化されたセキュリティ・ログ活用のポイント
■セキュリティ・イベント・ログは,ユーザーの行動を追跡したり,システムへの攻撃を検知したりするのに欠かせない。イベントIDなど分かりにくい部分は多いが,チェックすべき要点が分かれば,使いこなしは難しくない。 ■本記事では初心者向けにセキュリティ・ログの使いこなしを伝授する。上級者は,Windows Server 2003における仕様の変更点に注目してほしい。 (2005年9月号「Windowsテクノロジ徹底解説」より) Windows Server 2003のセキュリティ・イベント・ログ(以下,セキュリティ・ログ)には,これまでにない多くの情報が記録されるようになった。しかし,謎めいたイベントIDや不正確なドキュメントなど,ミステリアスな側面は依然として残っている。また,ログのレポーティングやアーカイブ,警告,統合といった機能には,Windows NT Serverのころと変わらない難点が
J-SOX対応はレベル2、After J-SOX研究会が「内部統制成熟度モデル」を公表
日本版SOX法(J-SOX)対応後の企業経営を考える非営利団体であるAfter J-SOX研究会は2008年5月20日、「内部統制成熟度モデル(企業価値向上モデル)」を公表した。内部統制と連結経営の取り組みを企業価値の向上に生かす過程を5段階で表す。J-SOXへの対応は「レベル2」と位置付けている。 内部統制成熟度モデルでは、内部統制の成熟度を(1)レベル1:最小限の内部統制、(2)レベル2:J-SOXベースの内部統制、(3)レベル3:包括的な内部統制、(4)レベル4:リージョナルERM(統合リスクマネジメント)、(5)レベル5:グローバルERM、の5段階で表す。 レベル1はJ-SOX以前の、個社レベルでのガバナンスを確立した状態。レベル2はJ-SOXに基づいて財務報告にかかる内部統制を確立した状態。レベル3はJ-SOXに基づく内部統制に加えて、業務の有効性・効率性やコンプライアンス(法令
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
