20年目を迎えたセキュリティ・キャンプ、輩出された人材に見るその価値
20年という時間は、人が生まれ、独り立ちするのに十分な時間といえるだろう。 実にそれだけの期間、セキュリティ人材の発掘、育成を目的に継続してきた取り組みが「セキュリティ・キャンプ」だ。文字通り、情報セキュリティやサイバーセキュリティに興味を抱く若い学生を発掘し、現場の最前線で活躍する講師が講義することで、セキュリティ人材を発掘、育成することを目的にしたプログラムだ。 今や、毎年8月に4泊5日の合宿形式で行われる「全国大会」に加え、全国各地で実施される「ミニキャンプ」や、より若い層をターゲットにした「ジュニアキャンプ」、過去の修了生も含め、より高度で掘り下げた内容を学んでいく「ネクストキャンプ」など、多様な形で、より幅広い層に教育を実施するようになっている。 過去には開催母体の変更に加え、「セキュリティ&プログラミングキャンプ」という名称で実施して裾野を広げたり、「専門コース」を設けて1つの
JALが苦闘して見つけた、ローコード/ノーコード開発導入の現実解
JALが苦闘して見つけた、ローコード/ノーコード開発導入の現実解:「kintone成功方程式」から導き出されたものとは(1/2 ページ) IT部門の負担を減らす取り組みとして注目されるローコード/ノーコード開発ツール。だが、ガバナンスをどのように効かせるのか、事業部門をどのように巻き込むのかなど、気になることは多い。サイボウズのセミナー「kintone IT Special Seminar 2022」からその答えを探る。 企業のITを支える縁の下の力持ちとして期待されているIT部門だが、その守備範囲は広い。経営の視点で“新しいビジネスを創出するための仕組み”を考えることはもちろん、事業部門の業務を効率化させるための施策の検討も必要だ。とはいえ、リソースには限界があり、手が足りない状況が増えてくる。 こうした背景もあり、「アプリケーション開発はIT部門がするもの」というこれまでの常識が見直さ
IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは
皆さんは「IDガバナンス&管理」(Identity Governance and Administration:IGA)という言葉をご存じでしょうか。ユーザーのIDやパスワード、所属する組織や保持するアクセス権限などを管理する従来の「ID管理」(Identity Management:IDM)の概念を包含する、より統制(ガバナンス)を意識した概念です。企業の内部統制対応やゼロトラストネットワークへの対応を受けて近年非常に注目されており、主要なIDM製品がIGAへの対応を次々に表明しています。 本連載『midPointで学ぶ「IDガバナンス&管理」(IGA)の基礎』では、オープンソースソフトウェア(OSS)でありながらIGA機能を備えた「midPoint」を使って、ハンズオン的にIGAについて学びます。第1回となる今回は、「IGAとは何か」から始め、その必要性について考えてみます。 IDガバ
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
DX(デジタルトランスフォーメーション)やIoT(Internet of Things)の進展により、ますますその存在感が増しているオープンソースソフトウェア(OSS)。ソフトウェアの高機能化、大規模化によるサプライチェーンの複雑化を背景に、SBOM(Software Bill of Materials)によるOSSサプライチェーンマネジメントに注目が集まっています。米国では既に必須化・標準化の動きが始まっており、日本企業も対応を迫られるようになってきました。本記事では、あらためてSBOMとは何か、そして日本におけるSBOM活用の普及促進にはどういった課題があるかについて、詳しく解説します。 SBOMとはいったい、どのようなものなのか Software Bill of Materials(SBOM、「エスボム」と読みます))とは、ソフトウェアを構成するOSSや商用ソフトウェアなどのライブラ
私の秘密、勝手に公開設定に変更しないでください
別システムのバックエンドとして間接的にSalesforceを使用しているケースもありますから、さらに影響は広範囲に及ぶかもしれません。 セールスフォース・ドットコムはこの事象を、以下のように説明しています。 この潜在的な問題は、コミュニティー、Salesforce サイト(旧Force.comサイト)、およびSite.comのサイト上に構築する公開サイト機能をご利用のお客さまにのみ発生する事象です。 これは、Salesforceプラットフォーム固有の脆弱性に起因するものではなく、お客さまのアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。 2021年2月12日現在、どのような経緯(けいい)で設定不備が発生したのか明らかではありませんが、新機能が追加された際のデフォルトの権限設定が問題だったのではないかとの推測があります。もしかすると、現実世界でもマンガのようなこと
見た目はWindows 10 バージョン20H2、中身はWindows 10 バージョン2009、その名は「Windows 10 October 2020 Update」
Windowsにまつわる都市伝説 Windows 10のバージョン番号は、「YYMM」から「YYH1」「YYH2」へ 2015年7月に登場した「Windows 10」は、“最後のWindowsバージョン”とも呼ばれました。“Windows 10”という名称は最後かもしれません。しかし、最初のころには乱れもありましたが、年に2回(春ごろと秋ごろ)のペースで「機能更新プログラム」とも呼ばれる新バージョンがリリースされ続けています。 全てWindows 10なわけですが、バージョンを識別するために幾つかの表現が用いられます。よく使われるのは「フレンドリー名」「バージョン番号」「ビルド番号」「開発コード名」です(後出の表1にまとめています)。 フレンドリー名である「November Update」や「Creators Update」って、いつのどのバージョンだったっけ(どちらもサポートが終了した古
紙文化の撤廃、勤怠管理の見直し――テレワーク導入で検討すべき点をガートナーが解説
紙文化の撤廃、勤怠管理の見直し――テレワーク導入で検討すべき点をガートナーが解説:業務量を減らさないと頓挫する ガートナー ジャパンは緊急にテレワークの導入に迫られている企業が検討すべき論点を、5W1Hを用いて解説した。緊急的な導入のための対策だけでなく、テレワークの恒久的な導入に移行するポイントも盛り込まれている。 ガートナー ジャパンは2020年3月30日、新型コロナウイルス感染症(COVID-19)の感染拡大を受け、緊急にテレワークの導入に迫られている企業が検討すべき論点について発表した。「テレワークについて何を検討すべきか」という企業に対し、テレワーク推進のために検討すべきポイントを、5W1H形式で解説した。 なぜテレワークを行うのか(Why) テレワークの実施は、感染症対策としての「緊急的な暫定措置」(以下、緊急措置)か、あるいは働き方改革などの「恒久的措置」(以下、恒久措置)な
1000台規模のKubernetesクラスタを社内構築 サイボウズが明かすインフラ刷新
総合グループウェア「サイボウズOffice」や業務アプリ構築サービス「kintone」などをクラウドサービスとして提供するサイボウズでは、サービスの運用を自動化するため、コンテナオーケストレーションツールのKubernetesなどを活用したインフラ刷新プロジェクト「Neco」を推進している。 サイボウズではどのようなインフラ刷新を行っているのか、2019年7月22~23日に開かれたCloud Native Days Tokyoでサイボウズの池添明宏氏が講演した内容を要約してお伝えする。 運用負荷が高い状態をどうにかしたい サイボウズでは、社内のデータセンター(DC)にVM(仮想マシン)を構築し、アプリケーションをマルチテナントで運用する仕組みを構築していた。しかし、煩雑な手作業などが発生して、運用負荷が高い状態が続いていたという。 こうした状況を改善するため、2018年1月にインフラ刷新プ
残業も減らせる!? 上級エンジニアになるためのDesign Doc超入門
残業も減らせる!? 上級エンジニアになるためのDesign Doc超入門:プロジェクト成功確率向上の近道とは?(3)(1/3 ページ) ITシステム開発の問題点の一つであるコミュニケーションの失敗。本連載では、これを防ぐ方法としてお勧めしたい3つのドキュメントを紹介していく。今回は、「技術視点」のドキュメントとして、2000年代以降注目されている「Design Doc」について解説します。 IT技術がビジネスに貢献していくためには、まずはシステム開発を成功させることが重要です。本連載「プロジェクト成功確率向上の近道とは?」では、システム開発を成功させるために、コミュニケーションが果たす役割の重要性と、ドキュメントによるコミュニケーションの重要性について解説してきました。 連載1回の「ドキュメントは最強のコミュニケーションツールである――Joelの機能仕様書入門」、第2回の「サンプル例に見る
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ツールやフレームワークの力は大きいが、さまざまなサービスやシステムを支えるソフトウェアを作っているのは人間だ。そして、そのソフトウェアに含まれるバグや脆弱(ぜいじゃく)性を見つけるのもまた人間だ。その人間同士が1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。 今や、モノ作りはハードウェアだけでは完結しない。デジタルの力を借り、ソフトウェアやサービスを組み合わせることで他にない独自の価値を生み出そうと多くの企業が取り組んでいる。だが、そこには課題もある。「バグのないソフトウェアはない」といわれるが、もしそれがセキュリティ上の問題につながる脆弱性であれば、ユーザーに害を与える恐れがあるからだ。 そこで今、徐々に増えつつあるのが、自社が提供する製品の脆弱性を見つけ出し、対応に当たる「PSIRT」(Product Security Incident Respo
「APIマネジメントは死んだ」。サービスメッシュ、IstioとKongの進む道:CTOのパラディーノ氏に聞いた - @IT
「APIマネジメントは死んだ」。サービスメッシュ、IstioとKongの進む道:CTOのパラディーノ氏に聞いた オープンソースのAPIマネジメントソフトウェアであるKongが、サービスメッシュ対応を実現した。サービスメッシュの代名詞のように語られているIstioとは、どのような関係になるのか。今後どのような世界を目指しているのか。共同創立者でCTOのマルコ・パラディーノ氏に聞いた。 Kongは、唯一のオープンソースAPIマネジメントソフトウェアとして知られ、日本でもヤフーや他の大手テクノロジー企業を顧客に持つ。エンタープライズ版の顧客は、グローバルで100組織を超えたという。 同社は2018年9月にサンフランシスコで開催した初のユーザーカンファレンス「Kong Summit 2018」で、Kong 1.0を発表するとともに、「APIマネジメントは死んだ、Kongは『サービスコントロールプラ
「IEを使わないで」ではなくて「IEを既定にしないで」
2019年2月初めに「“IEを使わないでください”とMicrosoftが警告」や「IEの使用は技術的負債をもたらす」のようなタイトルのニュース記事を目にしました。タイトルだけ見ると「やっぱりIEはセキュリティが不安」とか、「技術的負債って何?」とか、「IEがなくなると困る」とか、思ったりしていませんか? 山市良のうぃんどうず日記 情報源では「セキュリティ」については一言も触れていない 「Internet Explorer(IE)」の使用に関するニュース記事の元になったのは、2019年2月6日にMicrosoftのWindows IT Pro Blogに投稿された以下の記事です。 The perils of using Internet Explorer as your default browser(既定のブラウザとしてIEを使用する危険)[英語](Windows IT Pro Blog)
図解:OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回では、RFCが公開されてから5年が経過した「OAuth 2.0」を振り返り、3つのユースケースを通じて、アクセス権限を受け渡す仕組みを紹介しました。OAuth 2.0はさまざまなユースケースに適用できます。その際、開発者はアプリケーションが動作する環境の特性を考慮しながら、仕様で定義されている処理を実装する必要があります。 今回は、脆弱(ぜいじゃく)性を作り込まないOAuth 2.0の実装手法を紹介し
今、最も面白い職種は「プロダクトマネジャー」だ――及川卓也氏が説く、DX時代のIT業界サヴァイブ術:外の世界とのタッチポイントを増やせ! - @IT
2025年、IT業界が変わる 経済産業省は2018年9月、デジタルテクノロジーによる企業価値の創出を目指す「デジタルトランスフォーメーション(DX)」に関する調査報告「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」を発表した。 「『DXレポート』では、デジタルで新事業を始める場合には情報システムの内製が重要になると指摘しています。この指摘が受け入れられるなら、SI企業も変わっていくはずです」と及川卓也氏は言う。 及川卓也氏 早稲田大学理工学部卒業後、日本DECに就職。営業サポート、ソフトウェア開発、研究開発に従事し、1997年からはMicrosoftでWindows製品の開発に携わる。2006年以降は、GoogleにてWeb検索のプロダクトマネジメントやChromeのエンジニアリングマネジメントなどを行う。2015年11月、技術情報共有サービス『Qiita』など
マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。 連載目次 APIにおける認証/認可の仕組み 近年、金融や流通分野で注目されている「APIエコノミー」や「マイクロサービスアーキテクチャ」などの登場により、サービスの機能を「REST API」として提供することが当たり前になってきています。そして、REST APIを公開するためには、誰がアクセスしてきたのかを確認するための「認証(Authentication)」と、APIへのアクセスを誰に許可するのかという「認可(Authorization)」の仕組みが不可欠です。 しかし、複数のサービスがそれぞれ個別に認証/許可を
DevOpsを企業が効果的に実践するための8つのステップ
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。 デジタル化の進展に伴い、IT部門では、今日の企業に求められているビジネスのスピードアップや俊敏性向上のサポートが必須となっている。そのためにDevOpsの導入が急速に進み、DevOpsは多くのIT部門にとって競争優位を支える鍵となっている。だが、DevOpsを活用できれば、魅力的なビジネスメリットが得られるとはいえ、多くの組織がDevOpsの取り組みで成果を挙げるのに苦労している。取り組みの進め方がはっきり定まっていないからだ。 「DevOpsには標準的
【完訳】CNCF Serverless Whitepaper v1.0
注目が集まるサーバレスコンピューティング。本連載では、その概要とユースケース、コンテナオーケストレーションやPaaSとの使い分け方などを分かりやすく解説した、Cloud Native Computing Foundationのホワイトペーパーを完訳してお届けする
サーバレスに関するレコメンデーション
サーバレスに関するレコメンデーション:【完訳】CNCF Serverless Whitepaper v1.0(5)(1/2 ページ) 本連載では、サーバレスコンピューティング(以下、サーバレス)を解説したCloud Native Computing Foundation(CNCF)のServerless Working Groupによるホワイトペーパー、「CNCF Serverless Whitepaper v1.0」を完訳してお届けしている。今回は最終回として、CNCF Serverless Working Groupとしてのレコメンデーションに関する部分をお届けする。 【完訳】CNCF Serverless Whitepaper v1.0 連載バックナンバー 本連載では、サーバレスコンピューティング(以下、サーバレス)を解説したCloud Native Computing Founda
サーバレスアーキテクチャを詳しく知る
サーバレスアーキテクチャを詳しく知る:【完訳】CNCF Serverless Whitepaper v1.0(4)(1/4 ページ) 本連載では、サーバレスコンピューティングの概要とユースケース、コンテナオーケストレーションやPaaSとの使い分け方などを解説した、Cloud Native Computing Foundationのホワイトペーパーを完訳してお届けしている。第4回は、サーバレスアーキテクチャとはどのようなものかを、技術的に解説した部分を掲載する。 【完訳】CNCF Serverless Whitepaper v1.0 連載バックナンバー 本連載では、サーバレスコンピューティング(以下、サーバレス)を解説したCloud Native Computing Foundation(CNCF)のServerless Working Groupによるホワイトペーパー、CNCF Serve
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと:セキュリティ・アディッショナルタイム(21)(1/3 ページ) 缶詰め状態で集中して脆弱(ぜいじゃく)性を見つけてもらう「バグハンター合宿」を、サイボウズが2017年11月3~4日に実施。予想以上に多くの報告を受理しただけでなく、サービス開発者とバグハンターの双方に気付きが生まれた。 開発者にとって、セキュリティ担当者や外部のコンサルティング、そして「バグハンター」は、ちょっと面倒くさい存在かもしれない。 少しでも早く製品やサービスを市場に投入したいのに、セキュリティ上の問題や脆弱(ぜいじゃく)性を指摘し、やむを得ないときにはリリースに待ったをかけるからだ。海外では、脆弱性を報告してきたエンジニアに、詳細の公表を控えるよう求めたベンダーがあったことまで報じられている。 だが、開発者とバグハンターの関係にはもっとよい形があ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
