エンジニアが知っておくべき4つのデータベース攻撃シナリオ
経営リスクとしてのデータベースセキュリティ 企業が事業活動を行う上で、「個人情報」、「技術情報」、「知的財産」等の情報が非常に重要なものであることは今さら言うまでもない周知の事実であり、企業が事業活動を行う上では、これらの情報をいかに有効活用するのかが企業の競争力の源泉であると言えます。 しかし、いったん、これらの情報が漏えいしてしまった場合には、「社会的責任」、「顧客への被害」、「金銭的損失」、「法的責任」といったリスクが発生します。つまり、企業が情報の保護活動を行うことは、事業活動を行う上でのリスクを管理/低減することにほかなりません。 情報を活用することが競争力の源泉(リスク・テイク) 情報保護は事業リスクの管理のために重要(リスク・コントロール) では、実際に情報が漏えいしてしまった場合には、どのような事態になるのでしょうか。2011年6月に「データベース・セキュリティ・コンソーシ
プログラマとテストエンジニアにバトル勃発!正しいバグ票の書き方とは?
バグレポートに関する問題はどこでも起きている 本記事は、バグの修正依頼として作成されるバグ票(バグレポート)を対象としています。プログラマが自身でデバッグを一通り終えた後で、テストを専門とするテストエンジニアにそのプログラムをテストしてもらい、その際に検出されたバグを報告してもらうための文書がバグレポートです。独立した部門でテストを実施している会社では、このような形態とバグレポートによる修正依頼が一般的だと思います。 本連載は、テストエンジニア向けに、バグ修正のプロセスにおいて非常に重要でありながら、あまり注目されていないバグレポートのあるべき姿をさぐってみたいと思います。 早速ですが、プログラマとテストエンジニアの間でこのようなやりとりがあるのを見たことはありませんか? テストエンジニアとプログラマの間でこんなやりとりが起こっていませんか? 開発進捗会議にて プロジェクトリーダ: Aさん
スマホアプリ開発にも便利な位置情報API - Geolocation API -
TIPS 001:現在の位置情報を取得する 現在の位置情報を取得するには、navigator.geolocationオブジェクトのgetCurrentPositionメソッドを利用します。以下は、Geolocation API経由でユーザーの現在位置を取得し、経度/緯度/方角を表示する例です。 [リスト]現在の位置情報を取得するコード(current.html) <!DOCTYPE html> <html> <head> <meta charset="UTF-8" /> <title>HTML5 TIPS</title> <script> window.addEventListener('DOMContentLoaded', function() { // 結果の表示先(<div>要素)を取得 var latitude = document.querySelector('#latitude
出口対策を過信しない、真の標的型攻撃対策とは
これまで(第1回/第2回)の解説で、標的型攻撃の流れと手口をご理解いただけたと思います。 中でもAPTという標的型攻撃の特殊なケースでは、豊富な開発資金と、強い動機により、各フェーズで用いられるカスタマイズテクニックは非常に高度であり、簡単にはあきらめない執拗(しつよう)さが特徴としてみられます。このテクニックのレベルと執拗さに違いは見られるものの、一般の標的型攻撃においても、基本的に攻撃や感染に気付かれないように工夫を凝らしている点では共通しています。 情報をなるべく多く窃取するために、隠密に事を運ぶ、この行動形態に着目しながら、標的型攻撃対策の勘所について考えたいと思います。 脆弱性が利用されると・・・? 前回、侵入リスクを減らす手段を解説する中で、脆弱性対策の重要性を説明しましたが、それ補足する形で、脆弱性が利用された場合の様子を紹介するビデオを用意しました。 ビデオは2010年の初
ソースコードのファイル配信
他のマシンにファイルを配信する 第1回に続いて、VPSを複数台関連づけて利用する際に必要となる様々な実例を具体的にご紹介していきます。 複数台サーバーの用途のうち、最も一般的なものとしてWebサーバーがあります。大量のアクセスがあるWebサイトの場合、複数台Webサーバーを用意することが一般的です。VPSであればWebサーバーを増やすこと自体は簡単に行えますが、各Webサーバーに同一のソースコードをどのように配信すべきかについては悩ましい問題です。 また、各Webサーバーに同一コードをただ配信するだけだと実運用上さまざまな問題に遭遇します。実際の経験を踏まえて最低限以下に挙げる3つの対策を講じておいたほうがよいと考えます。 1. 配信ログを取る どのファイルがいつどのサーバーに配信されたかをログとして残します。配信ログがあることで、配信しようとしたファイルが全て確実に配信されたかどうか後で
IT災害復旧計画策定に必要な各種指標
事業継続計画や災害復旧計画の策定において必須となる指標には、以下の4つが挙げられる。 RPO(Recovery Point Objective:目標復旧時点) RTO(Recovery Time objective:目標復旧時間) RLO(Recovery Level Objective:目標復旧レベル) MTPD(Maximum Tolerable Period of Disruption:最大許容停止時間) 今回はこれらの指標の関連に重点を置いて説明する。 目標復旧時点(RPO)と目標復旧時間(RTO) RPOは、災害からのシステム復旧を行う際に“どの時点までさかのぼったデータを使って復旧するか”を示す指標で、代替システムで使用するデータのバックアップを取得するタイミングあるいは頻度になる。 例えばRPO=1日というのはデータバックアップが日次で実行されていて、システム復旧の際に使用す
業務を止めない、インフラづくり
突然襲ってくる自然災害。広範囲にわたる通信障害。供給電力不足によるサーバー停止。今までの想定を超えた様々な事態が、現実に起こりうることを我々はまさに今学んでいます。「業務継続」、仕事を止めないためにはどのようなシステム、そしてインフラづくりが必要なのか? 今後の次世代データセンター構築・運用を支える技術・ソリューションとして何が必要になるのか?今回はこれらのテーマに沿った形で、以下の4回にわたって解説させていただきます。 (第1回)業務を止めない、インフラづくり (第2回)仮想体験!リモートデータセンターを運用 (第3回)DRの仕組みづくりと業務継続のためのソリューション (第4回)クラウドからシステムの自動運用を目指す! システム担当者が抱える課題 1980年代のメインフレーム全盛期から、1990年代のWindows/UNIX等のオープンシステムによるダウンサイジングという波の訪れにより
東日本大震災支援緊急企画「OSSチャリティーセミナー」レポート
2011年5月7日、東日本大震災支援緊急企画として、オープンソースカンファレンス事務局による「OSSチャリティーセミナー」がNTTデータ豊洲センタービルで開催された。その模様をレポートする。 連休中で雨天というコンディションにもかかわらず、会場には今回のテーマに関心を持つ多くの参加者が訪れ、セミナーが始まる午前10時には会場は満席に近い状況だった。 オープニングセミナーでは、世界で地図作成の活動を行っているOpenStreetMapから、総副責任者の三浦広志氏が登壇。東日本大震災の際に行ったクライシスマッピングの作成と、Ushahidiを活用した復興支援プラットフォーム「sinsai.info」の誕生について解説が行われた。 現在継続中の活動と今後の展望については参加者の関心も高く、また同様に被災地支援を行っている参加者からは、頑張りすぎず息の長い活動にして欲しい、という応援のコメントも寄
人気コンパイラ言語5選
はじめに 今回から、現在人気があるプログラミング言語を個別に紹介していきます。本稿ではコンパイラ言語5選と題して、C、C++、Objective-C、Java、C#の5つを取り扱います。この5つの言語は、TIOBE Softwareのランキングを参考に上位の言語を選んでいます。 TIOBE Software: The Coding Standards Company TIOBE Softwareのランキングは検索のヒット数などを元に、プログラミング言語の人気をランキング化したもので、2011年3月度のランキングでは、上から、Java、C、C++、C#、PHP、Python、(Visual)Basic、Objective-C、Perl、JavaScript、Rubyの順になっています。 なお、上記ランキングは英語圏の影響が強く出ています。日本語圏で集計した場合はまた違った結果になることが予想
プログラミング言語がたくさんある理由
はじめに これからプログラミングを学ぼうと考えた時に、最初にぶつかるのが「どのプログラミング言語を学べばいいのか」という問題ではないでしょうか。 もし、プログラマをやっている知人に「どの言語を勉強すればいいかな」と尋ねた場合、回答は人によって様々だと思います。「まずはCから学ぶべきだ」と言う人もいるでしょうし、「PHPあたりは簡単でいいよ」と言う人もいるでしょう。「日本人ならRubyでもやっとけば」と言う人もいるでしょうし、「需要があるからJavaにしたら」と言う人もいるでしょう。 そんな風に様々な答えが返ってきてしまうと、どれを選べばいいのかますます混乱してしまいます。 結論から書いてしまうと、最初に選ぶべき言語は「やっていて一番楽しい言語」か「自分にとって役に立つ言語」ではないかと筆者は考えています。人間、楽しいことや実際に役に立つことでなければ、なかなか長続きしません。楽しいと感じる
Windows Azureストレージサービス
Windows Azure SDK 1.3の衝撃とストレージサービスの重要性 2010年11月に新しいSDKが提供されて、Windows Azureも大幅な機能拡張が行われました。また、Windows Azure AppFabricやSQL AzureなどのWindows Azureを支える周辺機能も拡張されました。この機能拡張により、Windows AzureはPaaSでありながら大幅な柔軟性を持つこととなり、プラットフォームとしてより魅力が高まりました。今回解説するストレージサービスは残念ながら大きな機能拡張がされていませんが、これまで同様にAzure理解の中核となる点は変わりません。 Windows Azureのストレージサービスは、仮想化された環境であるWindows Azure上でデータの永続化を担保する重要な機能です。データ永続化を担保するため、データセンター内でそれぞれのデー
IIS 7の新しい運用形態
はじめに 本連載の第2回では、Web開発技術の中でも、Webアプリケーションのサーバー側のスクリプティング・テクノロジーであるASP.NETや、それを取り巻く開発環境について解説しました。 今回は、Webアプリケーションはもとより、インターネットにおける様々なホスティング基盤となる Webサーバー IIS(Internet Information Services)7※1の様々な運用形態について紹介します。 [※1] IISの現在の最新バージョンは、Windows 7、Windows Server 2008 R2に搭載されているIIS 7.5ですが、その構造や機能はIIS 7.0を踏襲しており、操作方法も大きく変わるところもないため、一般的にこれら 2つのバージョンのIIS を総称して 「IIS 7」が使われています。 本文書もそれにならってIIS 7と記述しています。 インターネットサー
クラウドプラットフォーム「Heroku」の活用
前回は、ARCを実践していく上での開発体制、ツールや手法、マネジメント、そしてビジネス・モデルについて、SonicGardenでの取り組みを解説しました。今回は、プロジェクト情報共有ツールである「youRoom」のサービスをスモール・スタートとする際に利用した、RubyのPaaSである「Heroku」の特徴と、基本的な使い方を紹介します。 Herokuとは Herokuは,昨今急速に成長しているRubyアプリケーションのクラウドプラットフォーム(ウェブサービスのホスティングサービス)です。 昨年末に開催されたSalesforce.comのイベント「Dreamforce 2010」にて、Salesforce.comによる買収が発表され、瞬く間に世界中から注目を集めるPaaSとなった事でも有名です。 Herokuでは、2011年2月現在、ソーシャル・アプリケーションやモバイル・アプリケーション
疲弊するWebサイト構築・運用の現状を考える
運用に疲弊する制作会社そしてクライアント 「運用に困っている」「アクセス解析が分からない」そんな相談を、毎日のように受けるようになるたびに、やっとここまできたのかと感慨深いモノがあります。 紙媒体の世界からこの世界に入ってきた筆者には、テンプレートの概念や分業の概念すらないWeb構築のやり方にひどく驚いたのを、昨日のことのように思い出します。 言わんや、運用や成果について、議論するなど夢のまた夢でした。 15年以上の歳月が流れ、Webサイトが、ツールとして機能し始めたいまこそ、Webサイトを有効に機能させるために、どのように構築すればいいのかを考える必要があるのです。運用やアクセス解析の問題こそが、現状のWebサイト構築の問題を明確にするきっかけになるはずです。 本連載では、次世代Web構築フローと題し、全5回にわたって、これから先の10年に向けた、正しいWeb構築のあり方を解説していきた
知らないから漏えいする! 経費節約時代のセキュリティ対策
本連載では、セキュリティ診断の現場から、「Webサイト運営者と開発者に送る、今どきのセキュリティ対策」について、3回にわたって解説します。 第1回: 知らないから漏えいする! 経費節約時代のセキュリティ対策 発注時のちょっとした工夫でできる対策、お金をかけない対策のツボを解説。 第2回: やってみなけりゃ分からない? WAFの「活用メリット」と「落とし穴」 WAFは一歩間違えればただの箱。現場のみが知る活用術を解説。 第3回: 診断の現場からの提言! Webサイトに潜む脆弱性個所 リリース前に再チェックしたい、脆弱(ぜいじゃく)性が作り込まれる個所を指摘。 景気低迷の中、Webサイトのセキュリティ対策に十分な費用をかけることが難しい時期ですが、いまだにWebサイトの脆弱性を攻撃されて情報漏えいを起こした事件が絶えません。 限られた予算の中で最大限の効果が求められています。今回は、こうしたW
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今さら聞けないHTML5総おさらい
Azureっていくらかかるんですか?
チューニングに使えるJava性能監視ツール