架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
ラスボスを倒した後の主人公編――セキュリティエンジニアが目指すべき未来
ラスボスを倒した後の主人公編――セキュリティエンジニアが目指すべき未来:RPGに学ぶセキュリティ~第5章(1/2 ページ) 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。最終回は、RPGにおける「感動のエンディング」を例に、セキュリティエンジニアの活躍によって世界に平和が訪れたという(あくまで仮想の)未来について記したい。 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」編、第2章は「自分の城にあった伝説の武器で倒された魔王」編、第3章「ダンジョンに入った主人公」編、そして、第4章「転職と上級職編」として、セキュリティエンジニアがロールプレイングゲーム(RPG)における上級職と同様に高いスキルセットや経験値が必要であることをお話しした。 今回
長崎編:ドラクエに学ぶ、アンオフィシャルな場での「縁」の紡ぎ方
こんにちは! 長崎県の西端に位置する長崎県五島市に在住の、フリーランスエンジニア兼、ラーメン屋の志田山修平(シダヤマシュウヘイ)です。 「ITエンジニア U&Iターンの理想と現実:長崎編」、前回は私が五島に移住するまでの経緯と、五島でのリモートワークの様子をお伝えしました。 今回は五島での「生活」を紹介します。 豊かな自然を満喫できる五島の春夏秋冬 五島では、自然を相手にした遊びを楽しみながら、日々の生活を送れます。 仕事の合間に1キロ超えの大物を 五島は島の四方が海に囲まれていて、年がら年中何かしらの魚が釣れる「釣りの聖地」と呼ばれる島です。イカの王様と名高いアオリイカ(水イカ)は年間通して釣れますが、中でも春には1キロ超えの大物を釣れます。 「仕事の合間にこんな大物を釣れる五島ってすごいな」と、よく思います。釣りが好きで、リモートワークできる仕事の方には、五島は天国のような島だと思いま
青山Pが振り返る「ドラゴンクエストX」3つの失敗――消すつもりのコードが本番環境に
翔泳社は2019年2月14~15日に「Developers Summit 2019」を開催した。本稿では、スクウェア・エニックスでドラゴンクエストXのプロデューサーを務める青山公士氏の講演「ドラゴンクエストXを支える失敗事例」の内容を要約してお伝えする。 青山氏は「ドラゴンクエストX オンライン」(以下、「ドラゴンクエストX」)で起きた3つの不具合とその原因を取り上げ、ドラゴンクエストX開発陣が不具合から得られた教訓を紹介した。 ドラゴンクエストXはどのように開発、実装されているか? ドラゴンクエストXは、各ユーザーがゲームクライアントを通じてサーバに接続し、ゲームをプレイするMMORPG(Massively Multiplayer Online Role-Playing Game)だ。開発では、さまざまな機能拡張や期間限定イベントの実施を見据えて柔軟に対応できる「運営」と、不具合修正や障
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
GitHubをもっとソーシャルに使いこなすための7つ道具
新サービスが続々登場してアツい! 「GitHub」とは 皆さんは「GitHub」を活用しているでしょうか? 「GitHub」(ギットハブ)はソースコード管理用の分散型バージョン管理システム「Git」を使ったホスティングサービスです。 Gitの特徴は、作業用として自分のコンピュータ上にあるローカルリポジトリがあれば、ネットワークに接続できない状態だったとしても、ソースコードの更新や、履歴を調べたりできる点にあります。その特徴はGitHubにも生かされていて、オープンソースとして公開中の既存のコードを分岐(fork)して、新しいプロジェクトとして開発できます。 また、自分が手元のローカル環境でバグ修正したり、拡張したソースコードを本家のオープンソースプロジェクトに取り込んで(pull)もらうことも手軽にお願いできます。 さらに、READMEテキストファイル(README.md)などを独特のマー
ゲーム嫌いも知らないと損するゲーミフィケーション入門(1/3)- @IT
ゲーム嫌いも知らないと損する ゲーミフィケーション入門 あなたの生活を変える「Gamification」現状まとめ 株式会社ライブドア マークアップエンジニア/ディレクター 浜 俊太朗 2011/9/16 「Gamification(ゲーミフィケーション)」という言葉をご存じでしょうか? 最近よく話題になっているので、見掛けたことのある方も多いことでしょう。本稿では、今後のWeb業界のキーワードとなり得るゲーミフィケーションの解説と現状、そして未来予想をお届けします。 今年の初めごろまでは一部の人が注目しているだけでしたが、ここ最近ではセミナーや勉強会が開催されたり書籍も出版されるなど、盛り上がりを見せています。 「ゲーミフィケーション」とは、何なのか ゲーミフィケーションは海外で生まれた概念で、その本質を説明すると「ユーザーエンゲージメントを高めるために、ユーザーに楽しんでもらうための方
ぼくらの七ボタン戦争 - Social Buttons War -
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします(編集部) 「ボタン」という形でWebに侵食する「ソーシャル」 最近、あちこちのWebページを見て回る「Webサーフィン」(死語?)をしていると、そこら中にソーシャルネットワーク/SNSと連動する「いいね!」ボタン「+1」ボタンを見かけるようになりました。実世界でも、友達の話を聞いて「いいね!」と思うときは、そういったり、反応したりするでしょう。それと同じような反応や評価がWebの世界にも広くもたらされてきました。 旧来のWeb上のレビューであれば、星5つなどの「5段階評価」、アンケート調査などでは「10段階評価」で示すことが多いものでした。しかし段階評価は人によって基準が異なりますし、お国柄によ
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
はじめまして。Androidアプリ開発&デザイン(1/3) - @IT
@ITスマソ開設記念! 女子部部長に聞くAndroidアプリ制作のコツ 面白法人カヤック 意匠部 林真由美 2010/12/7 これから大注目のAndroidアプリ制作。どうやったら作れるのか。何に気を付ければいいのか。どのような視点が必要なのかを、Android女子部部長である矢野りんさんに、カヤックのデザイナばりみちゃんが教えてもらいました(編集部) 売れるAndroidアプリ作りのためのコツを探る いま、GoogleのモバイルOS「Android」の対応機種が増えて、盛り上がっている。 ものの作り手としては、この波に乗っかりたい! でも、「Androidで動くアプリを作るには、どんなノウハウが必要なのか?」「どんなことが表現できるのか?」「何を作ったら面白いのか? 」わたし同様、こんな、人に聞いたら恥ずかしそうな基本が、分からない人も多いはず。 Android女子部部長であり、デザイ
アプリ開発ビジネスで独立するなら、知っておきたい「所得税計算」
今回のテーマ:1人でビジネスを始める Kim氏は、これまでにも定期的に売り上げを報告していて、そのたびにAndroidマーケットからの収入に満足していると書いている。Kim氏は自分がラッキーだったとも書く一方で、「もし今までにもAndroid開発を検討していたのなら、思い切って始めてみることをおすすめする。個人開発者には理想的なプラットフォームだと確信している」と書いている(@IT「個人開発のAndroidアプリで月収116万円に」) iPhoneアプリやAndroidアプリ、Webサービスなどを開発して、独立してビジネスを始めるエンジニアが増えているようです。1人でビジネスを始める際には、プログラミングスキルはもちろんのこと、業務で必要とされるものとは異なる種類の会計知識が必要です。 そこで、今回から2回にわたって、「1人ビジネス」における税務について気を付けるべき点を解説します。今回は
いま購読するべき15の開発者ブログ
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします(編集部) そもそも開発者ブログ・ラボブログとは 世の中に多くのブログが存在します。もともと「blog」は「web」+「log」の意味の造語で、2000年ころから平易に使えるブログツールや無料サイトなどが増え、浸透してきました。皆さん自身も日記のように気軽にブログを書かれている人も入れば、ブログを読むことを楽しんでいる方も多いでしょう。 技術者であれば、メモ的に技術情報をブログで公開している方から、さまざまなトラブル時や困ったときに、どこかの誰かのブログの記述に助けられることもあったかもしれません。 今日、企業活動の一環として、意欲的にブログを活用しているところから、広報活動的にブログを活用してい
UXとは何ぞや? UXを高める武器を手に入れよう! ― 開発者は、いかにユーザー・エクスペリエンス(UX)と付き合うべきか ―
連載目次 ◇本連載の趣旨 ユーザー・エクスペリエンス(以下、UX)とは、大ざっぱにいうと、ある製品(アプリケーション)をエンド・ユーザーが使った際に経験する「楽しさ・心地よさといったプラスの感情」を、(エンド・ユーザーに提供する)価値として重視するコンセプトだ。具体的には、見た目のみではなく、使い勝手や信頼性などの側面を重視した設計を行い価値を実現する。(UXの詳細な定義については後述)。そのUXが注目されるようになって久しい。が、UXの定義や意味するところ、もたらされる恩恵は、一般の開発者レベルまで伝わっているだろうか。 開発者にUXについて尋ねると「UXはデザイナーの仕事(なので、自分には関係がない)」というような意見を持っている方に出会う。本当にUXに関係のない開発者がいるのだろうか。 アプリケーションに対するエンド・ユーザーの不満を例に、不満の原因が誰の責任か見てみよう。 これら、
WebKit/Google Chrome開発者に聞く、HTML5最前線 - @IT
2010/05/12 「グーグルのエンジニアがSafariのためにコードを書くこともあるんですよ。WebKitコミュニティの中では、そのほうが物事の進みが速いという不文律のようなものがあるんです」 こう語るのは、グーグルでChrome開発に携わるソフトウェア・エンジニアの鵜飼文敏氏だ。鵜飼氏はChromeに機能を追加するために、WebKitコミュニティでWebSocketの設計、実装なども行なっている。 WebKitは不思議なプロジェクトだ。よく知られているように、Google ChromeとApple Safari(およびiPhoneやiPadに搭載されるそのモバイル版のMobile Safari)は、オープンソースベースで開発が進む「WebKit」というコードベースを共有している。ここにさらに、WebKitを統合したGUI開発フレームワーク「Qt」を抱えるノキアや、搭載ブラウザをWeb
なぜTwitterは低遅延のままスケールできたのか 秒間120万つぶやきを処理、Twitterシステムの“今” − @IT
ユーザー同士のつながりを元に時系列に140文字のメッセージを20個ほど表示する――。Twitterのサービスは、文字にしてしまうと実にシンプルだが、背後には非常に大きな技術的チャレンジが横たわっている。つぶやき数は月間10億件を突破、Twitterを流れるメッセージ数は秒間120万にも達し、ユーザー同士のつながりを表すソーシャル・グラフですらメモリに載る量を超えている。途方もないスケールのデータをつないでいるにも関わらず、0.1秒以下でWebページの表示を完了させなければならない。そのために各データストレージは1~5ms程度で応答しなければならない。 Twitterのリスト機能の実装でプロジェクトリーダーを務めたこともあるNick Kallen氏が来日し、2010年4月19日から2日間の予定で開催中の「QCon Tokyo 2010」で基調講演を行った。「Data Architecture
一攫千金! デザイナのためのmixiアプリ制作のコツ (1/3) - @IT
一攫千金! デザイナのためのmixiアプリ制作のコツ:一撃デザインの種明かし(8)(1/3 ページ) ケータイ版の提供もスタートして、ますます注目を集める「mixiアプリ」。mixiの特徴を生かした制作事例とデザイナが制作する際のポイントを紹介します。カヤックのオリジナルデザインテンプレートも大公開! 「mixiアプリ」って、そもそも何だっけ? mixiアプリとは、mixiのユーザーがmixiの中で遊べるアプリケーションのことです。 2009年10月の時点では、ざっと550個以上のmixiアプリが公開されています。個人や企業を問わず、誰でも自由に作ることができるので、いま多くのクリエイタが「この波に乗っかれ!」といわんばかりに、こぞってアプリを作っています。mixiアプリの一番の魅力は、mixiのユーザー数ではないでしょうか。なんと、2009年10月現在で1700万人以上となっています。こ
がんばれ!アドミンくん 第196話 - @IT
Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27) AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24) エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21) キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう Azure Web AppsでWordPr
「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
Webサーバから始めよう
Webサーバから始めよう:いまさら聞けない!? Web系開発者のためのサーバ知識(1)(1/2 ページ) プログラマの弱点(?) ある程度の規模の開発プロジェクトでは、上流工程と下流工程、開発担当とサーバ担当、さらに開発担当のなかでもバックエンドのロジック担当とフロント周りの担当など、分業体制で進めていくのが一般的です。 ここまできっちりと分業されていない場合でも、コーディングはプログラマが行い、本番向けのサーバ構築などは詳しい人に任せてしまうといったことは多々あります。 こういった分業体制はもちろん理に適ったことなのですが、開発者が常にプログラマに徹してしまっていると、どうしてもサーバ知識が不足しがちになります。アプリケーションを動作させるために必要な最低限の環境を自分のPC上に整えたら、あとはひたすらコーディングの日々といったことの繰り返しになるので、なかなかサーバ知識が深まりません。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゲーム嫌いも知らないと損するゲーミフィケーション入門(2/3)- @IT