API設計を学ぶべき背景と前提知識、外部APIと内部API、エンドポイント、レスポンスデータの設計やHTTPリクエストを送る際のポイントについて解説する。おまけでAPIドキュメント作成ツール4選も。 【0分】API設計を学ぶべき背景 APIの公開が増えている 最近、自社で保有するデータや、システム、アプリケーション、Webサービスの機能を「API（Application Programming Interface）」として公開する企業が、増えてきています。これに伴い、「API経済圏（APIエコノミー）」という新たなビジネスモデルが確立されつつあります（参考：5分で絶対に分かるAPIマネジメント、API経済圏）。 「ProgrammableWeb」というAPIに関するニュースサイトや、さまざまな企業が提供するAPIのリンクがまとまったサイトもあり、APIの普及はものすごいスピードで進んでいる

2015年11月7日、8日の2日間にかけて、「守る」技術を競うコンテスト、「Hardening 10 ValueChain」が沖縄コンベンションセンターで開催された。脆弱性を見つけ、攻撃する技術ではなく、さまざまな攻撃からWebサーバーを保護し、安定稼働を通じてビジネスに貢献するというWeb運営チームに求められるさまざまなスキルをチーム対抗戦で磨くイベントだ。 このイベントはWeb Application Security ForumのHardening Projectが主催するもので、今回で7回目を迎える。 今回は「バリューチェーン」というコンセプトを掲げ、セキュリティ技術者だけでなく、インフラ運用やプロジェクトマネジメントといったスキルを持った参加者も募集し、各チームに割り振ったことが特徴だ。競技には沖縄県内外から60人が参加。6チームに分かれ、8時間という競技時間の中でいかにWebサ

Linuxを狙いMySQLやNginxのディレクトリを暗号化するランサムウエアの被害拡大：CMSのアップデートとバックアップを推奨 ロシアのセキュリティ企業Dr.Webによると、Linuxサーバーを対象としたランサムウエア「Linux.Encoder.1」が被害を広げ、約2000のWebサイトに感染したと推測されるという。 PC内のデータを勝手に暗号化して人質に取り、「元に戻してほしければ金銭を支払え」と要求する「ランサムウエア」。これまで報告されたものはWindows PCを利用する個人ユーザーを対象とするものがほとんどだったが、新たに、Linuxサーバーを対象としたランサムウエア「Linux.Encoder.1」が登場し、被害を広げている。ロシアのセキュリティ企業、Dr.Webが2015年11月13日に公開した情報によると、このランサムウエアに感染したWebサイトは約2000に上ると推

数々のセキュリティインシデントを動画で分かりやすく解説！ 近年、セキュリティインシデントに関するニュースが相次いでいます。しかし、その詳しい中身となると、ぱっと理解するのが難しいことも少なくないのではないでしょうか。そこで本連載では、＠IT人気連載筆者の根岸征史氏と辻伸弘氏が、昨今のセキュリティインシデントなどを動画で分かりやすく解説。「ああ、アレね」といった形で多くの人の口に上った“セキュリティのアレ”を、毎回楽しく、分かりやすく掘り下げていきます。 初回のテーマは、有名なサングラスメーカー「レイバンをかたったスパム投稿について」。スパム投稿がSNSなどに拡散し話題になった事件ですが、お二人はこの事件をどう見たのでしょうか。早速、本編スタートです！ お二人とこの連載についてもっと知りたい！ ところでお二方はどのような方なのでしょうか？ どうしてこんな連載をやっているの？ お二人とこの連載

PCI DSSとは？ セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS（Payment Card Industry Data Security Standard）とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。

Dellが、ストレージ大手のEMCを買収するという。統合の結果、IT業界の5指に入る企業規模になるようだ。統合後、Dellの創業ビジネスといえるパソコン事業にも手が入ることになるのだろうか？ 連載目次 DellとEMCの統合という、IT業界でも最大級の規模の買収案件が発表された（Dellのニュースリリース「Michael S. Dell, MSD Partners and Silver Lake Lead Transaction to Combine Dell and EMC, Creating Premier End-to-End Technology Company」）。両社経営陣による最終合意が発表されたのであって、手続きが済んだわけではないことに注意する必要があるが、買収規模は8兆円にものぼるそうだ。 Dellは、日本でもパソコンメーカーとして一般向けの製品も売っているから知名度は

問診票形式で状況を把握、「『やられたかな？ その前に』ガイド」をISOG-Jが公開：セキュリティ専門家にスムーズに相談するために 日本セキュリティオペレーション事業者協議会（ISOG-J）は2015年10月14日、セキュリティ専門家に相談する際、自社のセキュリティ状態を簡単にセルフチェックできる「問診票」として利用できる「『やられたかな？ その前に』ガイド」を公開した。 日本セキュリティオペレーション事業者協議会（ISOG-J）の「あさまでSOCプロジェクト」は2015年10月14日、「『やられたかな？ その前に』ガイド」と題するドキュメントを公開した。サイバー攻撃に対する不安が高まっていることを受け、自社のセキュリティ状態を簡単にセルフチェックできる「問診票」として利用してもらうことを狙っている。 標的型攻撃をはじめとするサイバー攻撃の被害が拡大していることを背景に、セキュリティ監視を行

Zabbix＋Pacemaker＋Fluentd＋Norikra＋Jenkinsで監視、クラスタリング、ログ収集／解析、バックアップ：Elasticsearch＋Hadoopベースの大規模検索基盤大解剖（終）（1/2 ページ） リクルートの事例を基に、大規模BtoCサービスに求められる検索基盤はどう構築されるものなのか、どんな技術が採用されているのか、運用はどうなっているのかなどについて解説する連載。最終回は、監視、クラスタリング、ログ収集／解析、バックアップに使っているOSS技術と、その使いどころを紹介する。 連載目次 リクルートの全社検索基盤「Qass」の事例を基に、大規模BtoCサービスに求められる検索基盤はどう構築されるものなのか、どんな技術が採用されているのか、運用はどうなっているのかなどについて解説する本連載。 最終回となる今回は、前回の「AWS＋オンプレのハイブリッドクラウド

実業務でも使えるか？ 今アツいDocker運用管理製品／サービス15選まとめ：Docker運用管理製品／サービス大全（1）（1/2 ページ） 数多く台頭しているDockerの運用管理に関する製品／サービスの特長、使い方を徹底解説する特集。初回は、紹介するDocker運用管理製品／サービスの概要と比較表を提示する。 主要なDocker運用管理製品／サービス一覧 コンテナー仮想化技術であるDockerは、2014年のバージョン1.0リリース以降に急速にユーザーが増えています。 日本におけるエンタープライズ事例はまだ少ないですが、企業内の個人利用から開発環境や試験環境での活用などは進んでおり、Dockerの運用管理をキーワードとするクラウドサービスやサードパーティのツールなども数多く出始めてきました。 Google Cloud Platform（以下、GCP）やAmazon Web Servic

多くの企業の注目を集めながらも、バズワードと見る向きも多かったDevOps。だがそれが誤解であり、その本当の意義に気付いた企業が国内でも急速に増え始めている。今あらためて「DevOps」を探る。 見直され始めた「本当のDevOps」 2013年、国内でも大きな話題となったDevOps。当初はスタートアップやWebサービス系企業における取り組み事例から注目され、IT業界の一大トレンドとなった。だが一方で、「開発部門と運用部門が協力する文化」、ChefやPuppetなど「自動化ツールの話」など、さまざまな解釈が生まれ、明確な具体像が見えないまま、2013年終盤には「一種のバズワード」と目されるほどになってしまった。 しかし今、DevOpsがあらためて見直されている。背景にあるのは、市場環境変化の一層の加速だ。というのも、企業にとって「いかに市場変化に俊敏に対応するか」「スピーディに製品・サービ

米HPE、「DevOpsで“やるべきこと”は、はっきりしている」：伝統的な大企業でも、変化に対応できなければ必ず破綻する（1/2 ページ） 2013年ごろから注目を集めているものの、いまだ理解が十分に浸透しているとは言いにくい「DevOps」。だが昨今は、市場変化の激しさを受けて実践に乗り出す企業が着実に増えつつある。米HPE（ヒューレット・パッカード・エンタープライズ）で多数のコンサルティングを手掛けているカン・タン（Kan Tang）氏に、今あらためてDevOps実践の要件を聞いた。 国内での取り組みはまだ限定的だが、欧米の企業ではDevOpsをシステム開発・運用に適用する動きが活発化している。Webサービスなどフロント系システムだけではなく、バックエンドシステム開発・改善にDevOpsを適用している例もある。国内の状況との違いは何か、取り組む上では何に注視すべきなのか。米HPE（ヒュ

こんなに簡単にできてしまう偽装ファイル RLOを利用したファイルの拡張子偽装と言葉で聞いても、その偽装方法のイメージがわかないと思いますので、実際にどのような手法なのかお見せしたいと思います。本記事では、ウイルスバスター2009のインストーラを使った検証を行いたいと思います。 1. ウイルスバスター2009のインストーラをダウンロードし、「move_vmw.exe」というファイル名に変更いたします。このポイントは、拡張子「.exe」の前に「vmw」としていることです。 2. RLOを利用してファイル名を変更するため、ファイルを選択状態にし「F2」ボタンを押してください。 3. ファイル名の「_（アンダースコア）」と「vmw」の間にカーソルを移動し、右クリックから「Unicode 制御文字の挿入」→「RLO Start of right-to-left override」を選択してください。

Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP（Open Web Application Security Project）は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ

SSHサーバーの公開鍵管理を効率化するには？ ssh-keyscanコマンド：ネットワーク管理の基本Tips 複数のSSH（Secure Shell）サーバーが稼働している環境では、公開鍵を効率よく管理するための工夫が必要になります。SSHサーバーのホスト名やIPアドレスが変更されたとき、known_hostsファイルを一度の作業で生成／更新するには、「ssh-keyscan」コマンドが便利です。 連載バックナンバー 本連載では、ネットワーク管理の基本コマンドを順を追って紹介していきます。基本書式と用法、主要なオプション、用例サンプルを示しますので、manやhelp代わりに通読し、各コマンドでできることを順次おさらいしてみてください。今回は、SSH（Secure Shell）サーバーの公開鍵管理に利用する「ssh-keyscan」コマンドを紹介します。 なお、本連載では、執筆時点の最新版R

UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、リモートから多数のログイン試行を可能にする、つまりブルートフォース攻撃を許してしまう問題が指摘された。 UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、設定上の不備によって、リモートから多数のログイン試行を可能にしてしまう脆弱性が指摘されている。 OpenSSHではログインする際に、パスワード認証や公開鍵認証など複数の認証方式が用意されている。総当たり攻撃（ブルートフォース攻撃）のリスクを避けるには、公開鍵認証などより強固な方式が望ましい。だが何らかの理由でパスワード認証を採用する際には、一定回数以上誤ったパスワードを入力すると、セッションが終了する仕組みを取ることで総当たり攻撃に備えることが推奨される。この回数は、デフォルトではsshd側

ゲストOSの起動 インストールが終わったら、仮想ハードディスクイメージを使ってブートします（-boot c）。今回、ゲストOSはX Window Systemを必要としない最小構成にしています。通常、QEMUはSDLを使ったVGAでの出力ですが、今回はテキストモードで起動します（-curses）。 実行するとそのまま仮想ターミナル上でゲストOSのブートが始まり、ブート後、ログインし/proc/cpuinfoを見ると、CPUの型が「QEMU Virtual CPU」となっていることが分かります。 $ kvm -hda sid.img -boot c -m 384 -curses (snip) Debian GNU/Linux squeeze/sid kvm-guest tty1 kvm-guest login: $ cat /proc/cpuinfo (snip) model name   

重要なデータを守るため、もう一度暗号化技術をおさらいしよう：クラウド時代の暗号化技術論（1）（1/2 ページ） エンジニアならば、情報の重要性を誰よりも理解しているはずです。そこで、クラウド時代にエンジニアが知っておくべき「暗号」論を、もう一度おさらいしてみてはいかがでしょうか。デブサミにて反響が大きかった「クラウドを支えるこれからの暗号技術」を執筆した筆者による新連載です。 連載目次 暗号化技術知識をアップデートしよう インターネットの普及と発展により、ネットワーク上で秘密にすべき情報がたくさんやりとりされています。最近ではクラウドサービスの普及により、サーバーに重要な情報を置く機会も増えたことで、個人情報流出の危険性も常につきまとっています。実際、情報漏えいの事故や事件がしばしば報道されていますし、これを受けて、「情報漏えいが怖いからクラウドサービスは使わない」という人も少なくありませ

先ごろ出版された「リーン開発の現場：カンバンによる大規模プロジェクトの運営」（ヘンリック・クニバーグ著／オーム社／2013年10月）は、アジャイル開発手法を実践事例の視点から解説した力作である。スクラム、カンバン、XPなどの手法に言及しているが、中でも「リーン開発」を正面から取り上げているのが大きな特徴となっている。 本書ではリーン開発現場の写真、会話をふんだんに使って事例解説がなされていたり、まさに現場でプロジェクトに立ち向かっているマネージャ、エンジニアたちによって訳されていたりと、実に臨場感あふれる仕上がりとなっている。ちなみに著者のヘンリック・クニバーグ氏は私の長年の友人であり、本書、日本語訳巻末の解説も私が担当した（詳細はこちらで紹介している／参考リンク：「リーン開発の現場」紹介ページ）。 ただ「リーン」という言葉は、米国で注目を集めた経営書「リーンスタートアップ」で広く知られる

※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 ぜひ実際に環境を用意し、手を動かす体験を 前回は、Metasploit Framework（以下、Metasploit）の導入までを説明した。すでにMetasploitを使った経験のある方からすると物足りない内容だったかもしれない。だが、筆者としては自身でインストールすることなく、Kali Linuxなどのすでにインストールされている環境を利用している方が多い印象があるので、自身でWindows版をインストールすることに少しでも新鮮味を感じていただけていれば幸いである。 さて、今回は、攻撃を受