NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
トップページ以外の流入を想定せず サイト刷新で利用者アクセスに支障
日本のIT化を推進する情報処理推進機構(IPA)が2023年3月、Webサイトを刷新した。しかし直後から「必要な情報が見られない」といった批判がSNSなどで殺到。WebサイトのURLを変更した上にリダイレクトも設定していなかったことが原因だ。利用者がどうサイトを使っているかを理解せず、プロジェクト中に複数の判断ミスを重ねた。半月後には使い勝手を改善させたものの、IPAのずさんな刷新計画は、IT関係者に衝撃を与えた。 以前からブックマークしていた情報処理推進機構(IPA)のWebサイトにアクセスすると、「404 Not Found」が表示される――。 IPAがWebサイトを刷新した2023年3月31日以降、TwitterなどのSNS(ソーシャル・ネットワーキング・サービス)で、このような投稿が相次いだ。「404 Not Found」とは、Webサイトが既に存在しないことを示すステータスメッセ
映画Winnyの公開を機に、若手エンジニアに伝えたい「技術者倫理」の在り方
P2P(ピア・ツー・ピア)ファイル共有ソフト「Winny」の開発者として知られる金子勇氏に、筆者は2009年末、日本経済新聞記者として1度だけお会いしたことがある。金子氏が新たに取得したという特許について、技術の概要を取材するためだ。大阪高等裁判所が金子氏に対して逆転無罪の判決を出して間もない頃だった。 金子氏が取得した特許は、同氏が設立に関わったドリームボート(現Skeed)が開発するP2Pコンテンツ配信ソフト「SkeedCast 2」の中核技術だという。残念ながらリリース時期の都合で記事にはできなかったが、こちらの拙い質問に対し、ホワイトボードをいっぱいに使って熱心に解説していただいたことを覚えている。 3年半がたった2013年7月7日、金子氏が前日に急死したとの情報に触れ、驚いた。金子氏と親しかった慶応義塾大学の村井純教授(当時)に連絡を取って事実を確認し、同氏の追悼メッセージを掲載
福岡のITベンダーがスマホ検索の一部機能をAWS Lambdaで実装、その狙いとは
AWS Lambda(ラムダ)に代表されるFaaS(ファンクション・アズ・ア・サービス)基盤のクラウドサービスを利用すれば、開発者は仮想マシンやコンテナなどの実行環境を構築・管理する必要がなくなり、開発のスピードアップに寄与する。コードの実行が終わると必要に応じてITリソースを解放する仕組みなので料金が比較的安く、利用企業にとってコスト削減にもつながる。 Lambdaはもともと比較的単純な処理を想定したサービスであり、アプリケーションを実装するのは難しいとされている。しかし創意工夫によってLambdaの新しい使い方を試みる企業が登場している。例えば福岡市に本社を置くITベンダーのFusicは、ある自治体のスマートフォン向けサイトのバックエンド処理をLambdaで稼働させている。Lambdaの新しい使い方となる取り組みの全容を見ていこう。 LaravelをLambdaで実装 「開発速度を向上
中央集権IDから分散IDに至るまで、歴史は繰り返す
前回の記事で見たように、現在の分散識別子(Decentralized Identifier、DID)の機能の多くを、あるいはDIDを超えるものを20年前に実現していたXRI(eXtensible Resource Identifier)であるが、一般的に使われるのにはあまりにも早すぎた。筆者が知っている実用事例としては、米軍関係のABACシステム*および野村総合研究所における研究開発システムくらいのものであった。 *ABAC(Attribute Based Access Control):属性ベースアクセス制御。役割ベースアクセス制御 (RBAC)を一般化したもので、米軍が開発した。2020年ごろからAmazon Web Services(AWS)など民生用でも少しずつ採用されるようになってきた。 「自己主権」「自主独立」を体現するOpenIDの思想 一方、XRIと並行して立ち上がったのが
「デジタルの知識は要らない」、では縦割りに苦しむ最前線はデジタル監に何を望むのか
霞が関では前例がない、200人もの民間人を採用して活躍の場を与えたデジタル庁。民間の力を生かす象徴が事務方トップを民間人が務めるデジタル監であり、菅義偉政権はその人選に力を注いできた。デジタル分野で実績を上げてきた経済人や学識者ら複数の候補者と精力的に交渉を進めたが、最終的には当初に意図した人材像は満たせなかった。 平井卓也デジタル相がかねて発言していた「デジタルに深い理解を持つ」人材である。一方で現場がデジタル監に求める役割は異なる。「今の日本政府が取り組むデジタル改革の実態を考えれば、デジタルに関する経験は必須ではない」――。政府デジタル改革の最前線にいる実務者は口をそろえる。 代わりに実務者たちが求めるのは、霞が関の官僚を動かす粘り強い調整力とリーダーシップだ。菅首相がデジタル改革で最重要で取り組む課題とした「中央省庁の縦割りを打破する」ために、最も重要な役割である。2021年9月1
デジタル庁発足翌日、慶応大・村井教授が語ったその人事と組織
デジタル庁の事務方トップのデジタル監に一橋大名誉教授の石倉洋子氏が就きました。デジタルの専門家ではない人選でしたね。 石倉さんはかつて慶大大学院メディアデザイン研究科(KMD)の教授を務めていました。実は石倉さんのKMD着任をお手伝いしたのは私です。経営学者として専門的な見識はもちろんのこと、国際的なネットワークもお持ちだからです。KMDには留学生も多いため、教授に国際感覚は欠かせません。 確かに、石倉さんはテクノロジーの専門家ではありません。しかしKMDは学際的な組織で、教授陣にはテクノロジーやデザインの研究者も多くいます。その意味で、テクノロジーとの付き合いはあると思います。 デジタル庁にはCxOなどテクノロジーの専門人材はいます。彼らが補完的な役割を果たすでしょう。石倉さんにはリーダーシップやイノベーションに関する見識、グローバルな感覚を生かしてほしいと思います。 村井教授が石倉さん
日本橋の首都高地下化がいよいよ始動、待ち構える難工事
日本橋上空の首都高速道路を地下へ移設し、青空を取り戻す事業の初弾工事がいよいよ始まった。まずは、既存の2カ所の出入り口を撤去する。首都高速道路会社は2021年6月30日、報道機関を対象に現場見学会を開催。その模様と共に、今後の工程をお伝えする。 日本橋川に沿って上空を通る首都高の都心環状線は、前回の東京五輪直前の1963年に開通した。以来50年以上が経過。1日当たり約10万台の自動車が走行するため構造物の損傷が著しく進む。首都高の地下への移設と既存高架橋の撤去によって、道路を次世代へつなぐことが急務になっている。 一方で日本橋川周辺は国家戦略特区の都市再生プロジェクトに位置づけられ、2020年に都市計画事業として認可された。道路敷地の上下空間に建物の建設を可能にする「立体道路制度」を活用して、建物の地下にトンネルを整備し、まちづくりと一体で地下化事業に取り組む。 日本橋区間の地下化事業の範
COCOAが検知不能バグから「再起動」、因縁のGitHubをフル活用
不具合が相次ぎ問題となった、新型コロナウイルス対策の接触確認アプリ「COCOA(ココア)」の新たな保守・運用体制が整いつつある。政府側の体制を刷新してから1カ月がたち、政府CIO補佐官の東宏一氏は「(ソースコード共有サイトの)GitHubの活用がようやく軌道に乗ってきた」と話す。 Android版のCOCOAで、陽性登録したアプリ利用者と接触しても検知しないという致命的なバグが明らかになったのは2021年2月3日のことだ。政府はこの問題を受けて、これまでの厚労省に内閣官房IT総合戦略室(IT室)も加えた「連携チーム」を2月18日に立ち上げ、COCOAの保守・運用体制を刷新した。政府CIO補佐官らが連携チームを技術面でサポートするほか、情報収集体制も構築。ここでフル活用しているのが、致命的なバグの存在について早くから指摘されるといった因縁のあるGitHubだ。 「Covid-19 Radar
接触確認アプリ「COCOA」Android版で不具合、20年9月から検知・通知されず
厚生労働省は2021年2月3日、新型コロナウイルス感染拡大防止策として導入した接触確認アプリ「COCOA(ココア)」で、陽性登録したアプリ利用者と接触しても検知・通知されない障害が判明したと発表した。障害は2020年9月28日のバージョンアップに伴い、Android版アプリで発生。厚労省は障害解消に向けた改修を2月中旬に実施するとしている。 COCOAでは、陽性登録したアプリ利用者の1メートル以内に15分以上いると、陽性登録者と接触があったことを検知・通知する。今回明らかになったのは、この条件を満たしても接触があったことを検知・通知しないという不具合になる。2020年9月28日のバージョンアップ以降、Android版アプリで発生していた。 厚労省によると、開発・保守運用事業者がアプリ改修時に実施した動作テストに不備があり、障害が検出されず見過ごされてきたという。陽性者と接触しているはずがア
SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題
三井住友銀行(SMBC)の行内向けシステムの一部ソースコードが流出した問題で、日経クロステックの取材に対してNTTデータは2021年1月29日、子会社が関わったシステム開発受託案件で一部ソースコードの流出を確認したと明らかにした。NECも調査を進めており、コード流出は複数のIT企業や開発案件に及ぶ可能性が出てきた。 SMBCは同日午前、業務システムの一部ソースコードが米GitHub(ギットハブ)が運営するソフト開発プラットフォーム「GitHub」で公開状態になっていたことを確認した。流出経路は調査中だが、委託先企業でSMBCのシステム開発に関係した人物が関与した可能性が浮上している。 当該人物がGitHubに投稿したコードには、NTTデータ子会社のNTTデータ ジェトロニクスを示唆する文字列を含むものもあった。調査を進めていたNTTデータが同日午後、NTTデータ ジェトロニクスが受託したシ
人気急騰のClubhouse、ベンチャー2社が採用イベントに使ってみた手応えは?
ここ数日で急速に注目を浴び、App Storeのアプリダウンロード数ランキングで無料アプリの1位に躍り出た音声SNS(交流サイト)アプリ「Clubhouse(クラブハウス)」。iOSのみの対応だが、起業家やIT企業の社員、インフルエンサーらを中心に急速に利用者を伸ばしている。インフルエンサー同士の会話や起業ノウハウなどのテーマが並ぶ中、いち早く採用イベントに活用するケースが出てきた。 情報感度が高い人をスクリーニング Clubhouseは「room」と呼ばれる部屋がテーマ別に立ち並び、それぞれの部屋では、主催者とスピーカーが会話をする。アプリ利用者は誰でも好きなテーマの部屋に入り、リスナーとして会話を聞くことができる。部屋への出入りは自由、主催者が承認や招待すれば、リスナーもスピーカーとして話すことができる。ゆるいやり取りは「音声版ツイッター」とも呼ばれる。 ClubhouseがTwitt
コロナ失職者をデジタルスキル習得で無償支援、日本マイクロソフト
日本マイクロソフトは2020年12月15日、デジタルスキルの習得支援プログラム「グローバルスキルイニシアチブジャパン」を開始すると発表した。新型コロナ禍の影響で失職した人や、新たにデジタルスキル取得を目指す人、学生などを対象として、オンラインでITスキルなどを学ぶ日本語のコースを無償提供する。 オンラインラーニングプラットフォーム「LinkedIn ラーニング」に日本語のコースを整備した。ソフトウエア開発者、ウェブ開発者、IT開発者のほか、グラフィックデザイナーやソーシャルメディアマーケターといった職種に就くためのコースを、2021年3月まで無償提供する。 日本マイクロソフトの榊原彰執行役員最高技術責任者は同プログラムの狙いとして、「どの企業でもデジタル人材が不足していると言われているうえ、コロナ禍でその傾向に拍車がかかっている。一方でコロナ禍により職を失った人もいる。キャリアチェンジをす
ゼロトラストを実現する3要素
デバイスがリソースにアクセスする際に、必ずその可否を判定する。このため、必要なものが(1)情報収集、(2)アクセスレベルの決定、(3)アクセス制御だ。デバイスにはサーバーも含まれる。 1つめはデバイスの状態や利用者などの情報収集。現在出回っている攻撃などの情報も集める。 2つめは収集した情報と企業ネットワークのセキュリティーポリシーを組み合わせて、アクセスできるレベルを決定すること。 最後の3つめは、決定したレベルに基づくアクセス制御を実施することである。 NISTが定義する7原則 NISTの文書では、ゼロトラストネットワークが満たすべき内容を7つの原則▼としてより細かく定義している(図2-2)。ただし、挙げているのは原則であってその実現方法については触れていない。
拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ
米EMCのRSA事業本部は2013年9月19日(米国時間)、自社の暗号ツールである「RSA BSAFE」や「RSA Data Protection Manager」の顧客に対して、乱数生成アルゴリズムの技術標準「Dual_EC_DRBG」を使わないよう呼びかけていることを明らかにした。「Dual_EC_DRBG」には、NSA(米国家安全保障局)が暗号解読に使うバックドア(裏口)が存在する恐れがあり、米NIST(国立標準技術研究所)が同アルゴリズムを使わないよう勧告している。 RSA BSAFEは、セキュリティアプリケーションを開発するためのツールキットであり、「多数の商用アプリケーションにBSAFEソフトウェアが組み込まれ、市場で活用されています」(RSAのWebサイトより)という。またRSA Data Protection Managerは、データの暗号化を行うためのツールである。いずれ
「鹿島スマート生産」がグランプリ、日経 xTECH EXPO AWARD 2019が決定
日経BPは2019年10月10日、「日経 xTECH EXPO AWARD 2019」を発表した。最優秀であるグランプリには、工事現場の遠隔管理やプロセスのデジタル化などを通じて生産性を高めるソリューション「鹿島スマート生産」(鹿島)が選ばれた。 同AWARDは、日経 xTECH EXPO 2019に展示された全ての製品/サービスの中から、審査委員が技術や機能、付加価値などを優れていると評価し、かつ来場者に対して分かりやすくインパクトのある展示を行ったものに与えられる賞だ。 鹿島スマート生産は、設備やコスト、工数といった工事に関する情報を付与した3次元モデルである「BIM(ビルディング・インフォメーション・モデリング)に基づいて、工事現場の生産性を向上させるソリューション。巡回ドローンや溶接ロボット、モニタリング技術など18の技術を組み合わせる。作業員や資材・機材の動きをビーコンで把握して
[被災したHDDからデータを復旧できるか?]火災:200℃で30分加熱したら全滅
今回は,火災を想定した二つのパターンで検証した(図1)。一つは,サーバー・ルームやその周辺でボヤ程度の火災が発生したことを想定し,200℃に予熱したオーブンレンジの中でHDDを5分間加熱した(実験H)。もう一つは,サーバー・ルーム全体が火の手に包まれるような火災を想定。HDDを200℃で30分間加熱した(実験I)。 オーブンレンジで加熱したHDDは,素手では持てないほど熱くなる。レンジからHDDを取り出した後,部屋の中に放置。約半日かけて熱を冷まし,その後,復旧作業を開始した。 結果は,(H)はすべてのデータを復旧することができたのに対し,(I)は1個のファイルも復旧できず全滅してしまった。水没や衝撃ではHDDは段階的に破損したが,熱に対しては一気に全体が損傷を受けることが分かった。以下,(H)(I)の検証結果を具体的に説明する。 (H):ICチップの全交換で100%復旧 200℃で5分間
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NTTの「デジタルツインコンピューティング」始動、ウィズ原宿で試して名古屋へ
