“そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点
不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
認証と認可の違い、説明できる? 「勇者王ガオガイガー」で解説してみる
この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第11回『政府による認証と認可【勇者王ガオガイガー】』」(2017年12月7日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 あらためて架空世界の認証事例を紹介 ……それでは講義を始める。 さて、今回取り上げるのは「勇者王ガオガイガー」。いろいろ切り口のある作品ではあるが、今回は「そもそも認証とは何か?」という点をもうちょっと深く掘り下げていくつもりだ。そのつもりで読んでほしい。 「あとは勇気で補えばいいッ!」 では基本データから紹介しよう。 「勇者王ガオガイガー」は1997年から放送されたSFロボットアニメ。名古屋テレビ・サンライズ制作のいわゆる「勇者シリーズ」の最終作を飾るアニ
AWS S3の長時間サービス停止の原因はエンジニアの入力ミス
米Amazon.com傘下のAWSは3月2日(米太平洋時間)、2月28日にクラウドストレージサービス「S3」の北バージニアリージョン(US-EAST-1)で起きた大規模なサービス停止の原因と対策を発表した。 28日午前11時20分ごろ発生したこの問題は復旧までに約4時間かかり、同サービスを利用するIFTTT、Quora、Medium、Imgur、GitHubなど、多数のサービスが影響を受けた。 原因は、エンジニアの入力ミスだった。 同日の午前9時37分、S3の課金システムのデバッグ中、S3のサブシステム用の少数のサーバの接続を解除しようとした際、コマンドの入力を誤り、意図したよりも多数のサーバを解除してしまった。その中の2つのサーバが、同リージョン内のすべてのS3オブジェクトのメタデータと位置情報を管理するインデックスサブシステムと、運営にとって重要な配置用サブシステムだったため問題が大き
林信行の新型「MacBook Pro」最速レビュー
MacBook Proの新モデルが登場した。製品の基本仕様はもちろん、形状まですべて新しい久々のフルモデルチェンジだ。 その一番の目玉となっているのが「Touch Bar」と呼ばれる新しい操作方法。11月から出荷されるTouch Bar搭載モデルを発表会場で十数分ほど触り、Touch Bar非搭載の13インチモデルも貸し出しを受けて数時間使ってみたので、そのインプレッションを以下にまとめる。 7年ぶりのフルモデルチェンジ これまでAppleは、MacBook Proシリーズのデザインについて、一度、最良の形を突き詰めたからにはそれをコロコロ変えるべきではないと、ストイックに何年も同じ形状を踏襲し続けてきた。 しかし、その間に世の中の技術は大きく変わった。今回のMacBook Proは、そうした状況を受け、約7年ぶりのフルモデルチェンジとなっている(Retinaディスプレイモデルから数えると
App Storeに加えられる3つの改善――林信行がフィル・シラーにインタビュー
App Storeに加えられる3つの改善――林信行がフィル・シラーにインタビュー:WWDC直前の重大独占ニュース!(1/3 ページ) 米国時間6月13日(日本時間14日午前2時)から、Apple主催Worldwide Developers Conference(WWDC)が開幕する。27年目となる今年のイベントは異例ずくめ。オープニングの基調講演会場は、例年の大ホール会場から2015年秋に「iPhone 6s」などが発表された「Bill Graham Civic Auditorium」に移り、スカラシッププログラムとして世界中から有望な学生も招待している。 しかし、それ以上に驚いたのが、WWDCの会期に先駆けて世界各国ごとに数名のジャーナリストとの電話インタビューを行い、WWDCの中心になるテーマの一部を事前に発表したことだ。 日本では25年にわたるWWDCの取材や、通訳を通さず直接、英語
TLSに脆弱性「Logjam」発覚、主要ブラウザやメールサーバに影響
通信の内容を暗号化するHTTPS接続に使われているTLSプロトコルに、また重大な脆弱性が見つかった。3月に発覚したSSL/TLS実装の脆弱性「FREAK」に似ているが、今回の脆弱性はTLS自体に存在し、主要なWebブラウザや電子メールサーバなどに広範な影響が及ぶという。 今回発覚した脆弱性は「Logjam」と命名され、解説サイトが公開された。それによると、TLSでセキュアな接続を確立するための暗号アリゴリズム「Diffie-Hellman(DH)鍵交換」に脆弱性がある。同アルゴリズムはHTTPS、SSH、IPsec、SMTPSなど多数のプロトコルに使われている。 この脆弱性を悪用された場合、通信に割り込む中間者攻撃を仕掛けてTLS接続を512ビットの輸出グレード暗号に格下げさせ、通信の内容を攻撃者が傍受したり改ざんしたりすることが可能とされる。 脆弱性は「DHE_EXPORT」の暗号スイー
日本語解析API、「gooラボ」で公開 形態素解析やひらがな化など
NTTレゾナントは12月3日、日本語解析技術に関するAPIを「gooラボ」で公開した。NTT研究所が開発し、長年「goo」で利用してきたAPIで、自社コンテンツを提供する企業やビッグデータ解析技術を求める企業などでの活用を想定している。 公開したのは、文字列を形態素に分割する「形態素解析」、2つの語句の類似度合いを算出する「語句類似度算出」、文字列から人名や地名、組織名などを抽出する「固有表現抽出」、漢字混じりで書かれた文字列をひらがなかカタカナに変換する「ひらがな化」のAPI。 今後も、企業や大学などからニーズが高い技術を公開し、オープンコラボレーションを加速するとしている。 関連記事 変わるAPIのエコシステム ヤフーはなぜ、検索APIを有料にしたか TwitterのAPI利用制限が厳しくなり、ヤフーが検索API有料化を発表し……昨年は、大規模サービスのAPI公開姿勢に大きな変化があっ
セキュリティに詳しくなる無償のオンライン講座、2015年からスタート
情報セキュリティ大学院大学とNTTグループがセキュリティ人材の育成を目的に、暗号技術やシステムやネットワークのセキュリティ技術、法制度などを学べる無償講座を開始する。 サイバー攻撃や情報漏えいなどセキュリティ事件が日常化している昨今、情報セキュリティに携わる人材が8万人も不足しているといわれる。情報セキュリティ大学院大学とNTTグループが11月7日、セキュリティ人材の育成を目的とした無償のオンライン講座「情報セキュリティ『超』入門」を2015年5月に始めると発表した。 新講座は、NTTドコモとNTTナレッジ・スクウェアが運営する大規模公開オンライン講座サービス「gacco」で提供される。NTTセキュアプラットフォーム研究所が制作に協力しており、暗号技術やシステム、ネットワークのセキュリティ技術、情報セキュリティを取り巻く法制度までを幅広く学べる入門講座という位置付けだ。実際のサイバーセキュ
ノートPC疲れを軽くする“無重力姿勢”、試してみる?
Shiftは、“ノートPCで仕事をする人”のために開発されたオフィス家具。ディスプレイの高さや大きさ、キーボードの傾斜がデスクトップPCとは異なるノートPCで作業する際に、いかに体の負担を減らせるかを考えて開発された机と椅子のユニットだ。 “ノートPC専用の机と椅子”が生まれた背景や、楽な姿勢へと導くための構造上の工夫、ノートPCで仕事をする際に体に負担をかけない姿勢のとり方について、山崎氏に聞いた。 座れば自然とモバイルPCに適した姿勢に 山崎信寿博士(以下山崎氏): (取材のためにノートPCを開いた記者を見て)ちょうどノートPCを持ってきているんですね。では、普段通りの作業を再現してもらっていいですか? ……少し前かがみになってしまいますね。首や肩がつらくなるでしょう? ―― はい、1日が終わると頭痛がするほど首が痛くなり、日ごとに疲れがたまっていきます。 山崎氏: ノートPCは長時間
Facebook、オープンソースのアプリ連係サービス「App Links」を発表
米Facebookは4月20日(現地時間)、開発者会議「F8」において、モバイルアプリ間の連係を可能にするマルチプラットフォームのオープンサービス「App Links」を発表した。 App Linksは米AppleのiOS、米GoogleのAndroid、米MicrosoftのWindows Phoneのモバイルアプリをサポートする。 アプリ開発者は、アプリのコンテンツに数行のコードを追加することでApp Linkメタデータをパブリッシュできる。このコンテンツにリンクするアプリはメタデータを利用してアプリに“deep-link”できるようになる。例えば映画紹介アプリ内に映画のチケット販売アプリへのリンクをApp Linksで入れておけば、ユーザーは映画紹介アプリからチケット販売アプリを直接開いてチケットを購入し、また映画紹介アプリに戻ってくることなどが可能になる。そのユーザーがチケット販売
「iOS 7」を安心して使いたい人のための“セキュリティ対策10選”
「iOS 7」を安心して使いたい人のための“セキュリティ対策10選”:iPhoneから個人情報が丸見え!?(1/4 ページ) ←・見づらい? 使いづらい? を解消:「iOS 7」にまだ慣れない人のための“基本ワザ10選” iOSは比較的セキュリティの高いモバイルOSとして知られるが、設定によっては思わぬ危険が潜んでいる。特に最新の「iOS 7」は、ユーザーの手間を減らす便利な新機能が多数加わった半面、ロック画面から個人情報が漏れやすく、セキュリティに対する一層の注意が必要だ。 ここでは、iOS 7を安心して使いたい人へ、10の対策を紹介しよう。 (1)ロック画面を回避できない「iOS 7.0.2」にアップデートする iOS 7のダウンロードは2013年9月19日(日本時間)に始まったが、その直後に特定の操作でロック画面のパスコード入力を回避できてしまう問題が発覚した。 そこで、アップルはこ
Twitter、開発者向けガイドラインとAPI変更について説明 ユーザー数制限など厳しい内容
Twitterが、6月末に予告したAPI利用ガイドラインの厳格化について説明した。ツイート表示の“ガイドライン”は要厳守の“要件”になり、クライアントアプリが擁することのできるユーザー数は10万人まで(例外あり)になる。 米Twitterは8月16日(現地時間)、数週間後に予定しているTwitter APIのバージョン1.1へのアップデートと開発者向けガイドライン「Developer Rules of the Road」の改定について説明した。クライアントアプリのユーザー数に上限を設けるなど、サードパーティーにとって厳しい内容になっている。 開発者はAPIのアップデート後、半年以内にこの改定に対応する必要がある。 同社のコンシューマープロダクト担当ディレクター、マイケル・シッピー氏は6月末に“Twitterのユーザー体験の一貫性を保つため”サードパーティーによるAPI利用に関するガイドライ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
