ヤフーの「超リアル」なサイバーセキュリティ演習に見た凄み
「通販サイトの注文データが消えている」。 引っ越したばかりのヤフー(Yahoo! JAPAN)の真新しいオフィス内で、悲鳴のような声が上がった。実際のサービスで起こったわけではない。ヤフーが2016年10月20日に社内で実施したサイバーセキュリティ演習に潜入取材したときの様子だ(写真1、関連記事:ヤフーがサイバー防御演習「Hardening」、顧客・マスコミ対応力も競う)。 「16時6分以降の注文が消えているようだ。該当するお客様に再度注文してもらうように告知しようか?」 「そもそも、注文受付を続けていいのか? サイトを止めた方がいいのでは」 「通販サイトの画面が改ざんされたりはしていない。サービスは継続できそうだ」 「いや、サイバー攻撃の可能性がある。事態が悪化すれば個人情報を抜かれるぞ」 7つに分かれたチームのそれぞれで、緊迫したやり取りが続いた。 Hardening方式で売上高競う
「金子勇さんの遺志が健全に羽ばたける世に」、慶応大環境情報学部長 村井純氏が追悼の言葉
Winny作者でP2Pソフトウエア開発に貢献したプログラマー 金子勇氏の急逝(関連記事)にあたり、WIDEプロジェクトのファウンダーであり慶応義塾大学環境情報学部長・教授である村井純氏より追悼の言葉を寄稿いただいた。以下、全文を掲載する。 金子勇さんはソフトウェア開発者として極めて貴重なパイオニアでありヒーローでもありました。 途中困難がありましたが、その困難は多くの新たな支持者と友人をもたらし、新たな夢の実現に向けて活動していたと聞いていて、期待を持ってその成果を待っていました。 そのような環境を構築された平木先生、稲葉先生、壇先生、など関係者の方々に心より敬意を表します。 さて、私たちとしては金子勇さんの残された技術と背景となっていた精神と勇気を理解し、発展させ伝えていくことが使命です。 また、金子勇さんが受け止めた困難の社会的要因を追求し、金子勇さんのスピリットが健全に羽ばたける世に
原則3:スーパープログラマーに任せる
クラウドビジネスは大規模なインフラ型ビジネスのイメージが強いので、大人数の開発体制でシステムを作っているイメージを抱きがちです。しかし、実際には数万のユーザー数を誇るクラウドサービスであっても、「ひとりセル生産方式」と呼ばれるぐらい、チーフプログラマーが事実上は1人でプログラミングしたという事例が多いのです。クラウドシステムは大人数の開発体制よりも少数精鋭の開発体制のほうがよりフィットするビジネスです。理由は大きく三つあります。 一つはスピードです。週次や月次、時には日次で機能改善をしているクラウド企業は多く、メーカー企業としてソースコードを直接スピーディーに改善できること自体がパッケージ・ソフトウエア・メーカーやSIerとの差別化になるので、圧倒的なスピードが重要なビジネスです。頻繁に起こる機能改善のたびに、いちいち大人数が会議に集まってプログラム変更の影響を擦り合わせする時間の余裕はあ
ソフト会社に明日はない?
2009年度の業績を詳細に見てみよう。減収幅が10%以上だったのは、富士ソフト(▲14.2%)、日本ユニシス(▲12.6%)、NECネッツエスアイ(▲12.6%)だ。ITホールディングス(ITHD)は7.2%減だが、買収したソランの売り上げ(第4四半期分)を除くと10%超のマイナスになる。表にはないが、構造改革を進めているCSKホールディングスは17.7%減と大きく落ち込んだ。 縮小する受託開発市場の変化に追随できていない 数年前、ソフト各社は売り上げ拡大路線を推し進めていた。500億円企業は1000億円、1000億円企業は3000億円、3000億円企業は5000億円を目指す目標を掲げたことがあった。 しかし、M&Aをしても業績に貢献する成果が表れていない。つまり、市場ニーズの変化に対応できておらず、既存ビジネスの落ち込みをM&Aでカバーできてない、ということだ。 もちろん、各社は決算説明
仮想化されたネットワークの運用は難しい──JANOG25で感じたクラウドの“実際”
2010年1月21日、22日とJANOG25が開催されました。今回の開催地は新潟です。冬の新潟ということで「雪」を楽しみにいざ出発。前日夜まで予定が入っていたので、夜9時ごろ東京発の新幹線で新潟に向かいました。到着したのは深夜でしたが、地元新潟の方々は温かく迎えてくれました。その日、夜更けまでお供させてもらったのはいうまでもありません。 初日の21日。しんしんと積もった雪を期待して外に出ると、とても温かく、雪なんてどこにもありません。雪ではなく雨が降っていました。しかし、JANOG25の会場では「巨大小林幸子」が歓迎してくれ、私の中でのJANOGの盛り上がりはこの時点で早くも最高潮を迎えました(写真1)。 JANOG25の三つのポイント 2日間にわたるプログラムを全体的に見てみると、いくつかの傾向が見えてきます。 1. IPv4枯渇/IPv6の話題が二つしかなかった IPv4アドレスの残量
Amazon EC2互換である意味
皆さんは「Eucalyptus(ユーカリプタス)」をご存じだろうか。米Amazon Web Servicesが提供するクラウド・コンピューティング・サービス「Amazon EC2」と同じAPI(アプリケーション・プログラミング・インタフェース)で仮想マシンが管理できるインフラ環境を構築するオープンソースソフトウエアだ。社内に「Amazon EC2互換環境」があると何がうれしいのか。ユーザーの声を元に考えてみたい。 まず、Eucalyptusでいう「Amazon EC2と同じAPI」の意味を説明しよう。Amazon EC2では、仮想マシンの作成や起動、仮想ディスクイメージの作成といった管理タスクをコントロールするAPIを外部に公開している(Amazon EC2のAPIリスト)。外部の開発者はこのAPIを利用すると、Amazon EC2の仮想マシンを管理するツールを開発できる。 ストレージサー
第8回 「Microsoftのバグ」との戦い
朝,出勤中に車で橋を渡ります。早起きして車を降りて,この橋で日本海をボーっと眺めながらコーヒーを飲むのが私のリフレッシュ法。ありきたりですが,この業界にいるとこんな自然とのふれあいが力をくれるものです。こんな感じでSHIHOのヨガDVDも買って,すっかり浮世離れを気取っている私です。情けない。。。 題名に気をつけていただきたい。「Microsoftのバグとの戦い」ではない。「Microsoftのバグ」との戦いだ。つまり「これはMicrosoftのバグだ!」という言いがかりとの戦いである。こう聞くと,「あぁ,駄目エンジニアとの戦いか」と思うあなたは,きっと高スキルエンジニア。そういう人ばかりだと助かる…わけではない。なぜなら,「これ,Microsoftのせいでしょ」と言いがかりをつけるのは,現場ではそれなりに権威のあるエンジニアであることも多いからだ。 今回はこの辺のMicrosoftへの言
[データセンターを疑似攻撃]1万項目の約1%に問題見つかる
外部からのセキュリティ攻撃に対する防御レベルを調べるため,ライブドアなどデータセンター事業者3社が合同で,検証実験を行った。4日間にわたる疑似攻撃によって見つかったセキュリティ脆弱性はわずかだった。しかし,現場の運用スタッフは異変に何も気付かなかった。検証を担当したライブドアの伊勢さんに,その経緯と結果を報告してもらう。 インターネットを通じて外部から自社のサーバーに対してセキュリティ攻撃を受けたとき,現場の運用スタッフはそのことに気付けるのか。攻撃の糸口を与えてしまうセキュリティ脆弱性はどれだけあるのか──。 筆者がデータセンター事業の責任者を務めるライブドアは,自社で運用するサーバーのそうした防御レベルを調べるため,同業のソフィア総合研究所,さくらインターネットと合同で,2007年6月に疑似的なセキュリティ攻撃を受ける検証実験を行った(図1)。攻撃は,セキュリティ診断サービスを提供する
IT分野の記者はレベルが低すぎる
記事を書いていると「自分はこんなことも知らなかったのか」とがく然とすることがある。 4月末,「Developers [Test] Summit 2008(デブサミTest)」というソフトウエア開発者向けイベントで開かれたパネル討論のレポートを書いた(関連記事)。オープンソース・プロジェクト「Seasar」のチーフコミッタとして名高いひがやすを氏が,同氏考案の「Programming First Development」というラディカルな開発手法を使ってテストを減らすことを提案。これに対し,二人の若い技術者(テスト分野で有名な太田健一郎氏と,テスト駆動開発の第一人者である和田卓人氏)がツッコミを入れるという構成だった。 討論を聞いていたときは,太田氏や和田氏の意見のほうが理路整然としているし,説得力がある,と思っていた。ところが,このレポート記事に対するソーシャル・ブックマークのコメントを見
6000人が作ったシステムは必ず動く:ITpro
最盛期の開発要員6000人,開発工数11万人月,投資額2500億円,取引件数1日1億件。三菱東京UFJ銀行が「Day2」と呼ぶ,勘定系システム一本化プロジェクトの成果物である。6000人のシステムズエンジニア(SE)が作り上げた巨大システムは,2008年5月の連休明けに必ず動くはずだ。 23年間にわたって情報システム開発プロジェクトの取材を続けているが,6000人のSEを集めた事例は過去に一度も見聞きしたことがない。世界を見渡してもおそらく例がないはずだ。これから何年間,記者を続けるのか分からないが,今回の三菱東京UFJ銀行を除けば,6000人を動員するプロジェクトを取材する機会は二度とないだろう。 6000人のSEが同時期に集まったのであって,「6000人月」ではない。開発工数は先に書いた通り,11万人月である。この数字も凄い。一体何を作ったのかと思ってしまう。正確にはこのSEパワーは開
サイボウズがSI事業を開始、大型商談の成約率アップ
サイボウズは31日、システムインテグレーション事業を2月1日から開始すると発表した。狙いは、自社製グループウエアを大手ユーザー企業など大型商談での成約率を高めることだ。そのためには自らが、他社製ソフトと連携したり、機能強化したりするためのSI事業に乗り出すことが得策と判断した。従来同社は、SIをパートナー企業に任せていた。 主力製品であるグループウエア「サイボウズ ガルーン2」は、ユーザー企業の大規模化が進んでいる。ユーザー企業の求める機能要件がガルーン2の基本性能では満たせず、カスタマイズが必要となるケースが増えているという。 これまでサイボウズは製品をダウンロード販売を中心としていたこともあり、「パートナー企業には、当社製品に精通した技術者が少なく、大手ユーザー企業の要望に十分に応えられなかった」(サイボウズ)。サイボウズは、大手ユーザー企業でも導入しやすいアークテクチャを採用したガル
Microsoftが開発ツール新版VS 2008を会員向けにリリース,無償版は誰でもダウンロード可能
米Microsoftは11月19日(米国時間),ソフトウエア開発スイートの新版「Visual Studio 2008」と,アプリケーション・プラットフォームの新版「.NET Framework 3.5」の提供を開始し,2008年前半に予定している「Windows Server 2008」および「SQL Server2008」を含む“2008番台ソフトウエア”のリリースを始動した。現時点でVisual Studio 2008の完全版を入手できるのは開発者向けネットワークMicrosoft Developer Network(MSDN)の会員だけだが,無料の「Express Edition」は誰でもMicrosoftのWebサイトからダウンロードできる(図1)(関連記事:Microsoft,「Visual Studio 2008」「.NET Framework 3.5」が完成,RTM提供を開始
「New I/Oで高速な入出力」第3回 バッファを使ってみよう
バッファはプリミティブに特化したデータ・コンテナのクラスです。ArrayListクラスなどのコレクションとは異なり,オブジェクトを保持することはできないし,サイズを変更することもできません。また,バッファに異なる型の値を保持することもできません。 これらの機能の制限は,入出力に特化していることに起因しています。基本的に入出力ではバイトが読み書きできればいいので,この割り切りは潔いですね。 バッファの特徴を列挙しておきます。 プリミティブに限定したコンテナ サイズ不変 型の混合は不可 基本的にシーケンシャル・アクセス(ランダム・アクセスも可能) position,limit,capacityという三つのプロパティを持つ ヒープ外のメモリーへの直接アクセスをサポート バッファは,基底クラスとなるjava.nio.Bufferクラスと,intなどの型ごとに定義されている派生クラスから構成されてい
IPsecらくらくマスター
IPsecは,インターネットを介して安全にパケットをやりとりする「インターネットVPN」の定番技術である。その一方で,“最大の難関プロトコル”としても知られている。そのため苦手意識を持っている人も多いのではないだろうか。本特集では,ルーター間のトンネル通信という定番のケースに絞り,ここでやりとりされる10個のパケットの理解に全力を傾ける。“日経NETWORK流”の理解法でIPsecをらくらく攻略しよう。 作戦編:難しい理由を探ったら攻略法が見えてきた 実践編:IPsecの利用を実感,設定項目はたったの五つ 攻略編:全体をつかんで逆から見る,日経NETWORK流で理解しよう これで完璧! IPsecのやりとり完全版
Part1 正しいPerl/CGIの書き方:ITpro
Shibuya Perl Mongers 2代目リーダーにして,ppencodeの作者。広島市立大学卒業後,大企業向けmod_perl製品の開発に従事。2005年よりサイボウズ・ラボ株式会社に入社。LL Ringに参戦。Namazu for Win32,Plagger,Ajajaのコミッターでもある。 CGIといえばPerl。そんな風にいわれていた時期もありました。レンタル・サーバーのCGIで手軽にPerlが使えたこともあり,ちょっとした掲示板のスクリプトやアクセス・カウンタなど,CGIプログラムの多くがPerlで書かれていました。このためPerlが爆発的に普及したのです。Perlは日本のインターネット黎明期を支えたプログラミング言語として,広くその名が知られています。 その半面,Perlで書かれたプログラムの保守性に悩む声も聞かれるようになりました。事実,Perlのプログラミング経験が少
ホワイトハッカー道場:ITpro
組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で
Vistaが「遅い」と感じませんか?:ITpro
2007年1月30日にWindows Vistaが店頭で発売されてから約8カ月が過ぎた。この記者の眼でも,4月24日に「Vistaってどうよ?」というややポジティブな見解が掲載された。これはこれで納得できる。「『売り上げは期待を下回るが私は強気』,マイクロソフトWindows本部長」というコメントもほぼ同時に報じられた。 その後もマイクロソフトは,「Windows XPのPCメーカーへの出荷,来年1月で終了へ」と突っ張っていた。それが最近では「『Windows XPの販売を5カ月延長』,米マイクロソフトが方針転換」と来た。低価格パソコン向けに新興国で販売している「Windows XP Starter Edition」については,2010年6月30日まで販売を延長するという。Vistaはどうもハッピーな状況ではない。 Vistaが好感を持たれない理由は,(1)価格が高い,(2)マイクロソフト
2007年版 働いてみたいIT企業ランキング(1):ITpro
IT企業の採用意欲が高まる今、キャリアアップ、給与アップの手段として転職を考えるエンジニアが増えている。 今回、日経HRでは、転職してみたい企業はどこか、なぜ魅力を感じているのかなどについてITエンジニアにアンケート調査を実施。エンジニアが転職に何を求めているのか、その意識を徹底的に探った。 グーグルがトップに躍り出る まずは「働いてみたいIT企業TOP30」を見てほしい。昨年は調査対象ではなかったグーグルが、一気にNo.1の座に躍り出た。「グーグル・アース」「Gmail」など、Web2.0のリーダー格でもある同社は、昨年は「YouTube」を買収して競争力を強化。自社ブランディングを推し進め、総合IT企業への道を着実に歩んでいることなどがITエンジニアの大きな支持を得たようだ。2位の日本アイ・ビー・エム、3位のマイクロソフトは、昨年もベスト3入り。ランキングの“常連”企業といえる。 TO
受託ソフト開発における進行基準を義務化、企業会計基準委員会が草案を公開
受託ソフト開発に関する会計基準が、プロジェクトの進ちょく度に応じて収益や費用を計上する、いわゆる「工事進行基準」に一本化されることが確実となった。企業会計基準委員会(ASBJ)が8月30日、草案をホームページ上で公開した(http://www.asb.or.jp/)。草案によると、受託ソフト開発は工期や受注額を問わず、2009年度以降は原則として進行基準の適用対象となる見通しだ。 進行基準が適用されるのは、受託ソフト開発のうち、進行途上にあるプロジェクトの進ちょく部分について成果の確実性が認められる場合。成果の確実性を示すために、収益総額や原価総額、決算日における工事進ちょく度の三つの要素に関して、信頼性をもって見積もることが求められる。上記の要件を満たさない場合と、工期がごく短いものに関しては、検収時に収益や費用を計上する「工事完成基準(検収基準)」を適用する。対象企業は上場・非上場や規
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第4回 コスプレ七変化に癒される!?