「脆弱性▼」──。一般的には「もろくて弱い性質」「傷つきやすい性質」といった意味だが、コンピュータやネットワークの分野では、「ソフトウエアのセキュリティ脆弱性」を指す場合が多い。 では、ソフトウエアのセキュリティ脆弱性（以下、単に脆弱性と呼ぶ）とは何か。脆弱性の定義は人によって様々だ。本特集では、「セキュリティの問題を引き起こす、ソフトウエアの設計・実装上の欠陥」と定義する▼（図1）。 「脆弱性」の定義は人によって様々。本特集では、「セキュリティ上の問題を引き起こす、ソフトウエアの欠陥」とする。ソフトウエアの設計ミスや実装ミスで生じる。ここでの「ソフトウエア」とは、パソコンにインストールするクライアントソフトだけではなく、サーバーソフトやWebアプリケーションなども指す。

今週はセキュリティ情報の収集術をテーマに話をしてみました。 www.atmarkit.co.jp www.youtube.com 情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を活用するのかを考えながら収集できるといいですね。 動画の中では自分の気になるキーワードを Googleアラートで追いかける方法なんかも取り上げてみました。はてなのマイホットエントリー機能も私はよく使いますね。 あと動画では触れませんでしたが、海外のセキュリティ情報やニュースをチェックするのに便利なサイトをいくつか紹介しておきます。(私自身は RSSリーダーで毎日ニュースをチェックしているので、これらのまとめサイトにお世話になることはあまりありませんw) Security Research - Hewlett

ユーザの閲覧環境にかかわらず同じ見た目で表示してくれて、しかも超絶カッコイイとあって、爆発的な勢いでウェブ界を席巻しつつあるGoogleフォント。 今回の記事では、そのGoogleフォントの中でも特におすすめの40フォントを雰囲気・用途別に分類し、紹介していく。 紹介の前に フォント選びの基準とコツ ロゴ用と文章用の区別 Googleフォントは重い？ 万能フォント 技術系 ロゴ用 文章用 美容・ファッション系 ロゴ用 文章用 飲食・料理系 ロゴ用 文章用 スポーツ系 ロゴ用 学問系 ロゴ用 文章用 生活系 ロゴ用 文章用 Googleフォントの導入方法解説 Googleフォントにアクセス 使用したいフォントをコレクションに追加する 選んだフォントの詳細情報を指定 WebページにGoogleフォントを導入 CSSファイルにコピペし、Googleフォントを実装！ 紹介の前に フォント選びの基準

「文章を書くこと」と「自分との対話」に関係が？ あなたは、文章を書くときに、自分と対話をしていますか？ この問いに対する答えが「イエス」の方は、文章を書くのが得意で、人からよく「あなたが書く文章は分かりやすい」と言われているのではないでしょうか。 一方、答えが「ノー」の方は、もしかすると、文章を書くのが苦手で、人からよく「あなたが書く文章は分かりにくい」と言われているのではないでしょうか。 「文章を書くことと、自分と対話することに何の関係があるの？」と首を傾げている人もいるかもしれませんが、関係があるどころか、「文章を書くこと」は「自分との対話」そのもの。言うなれば“一心同体”です。 この感覚を理解したうえで、実際に「自分との対話」を増やしていくと、より読みやすく理解しやすい文章が書けるようになります。

はてなチーフエンジニアの id:motemen です。2016年4月1日付けで、新卒・中途含めて6人の新人エンジニアがはてなに入社してくれました。この記事では、彼らに受けてもらった今回の新人研修についての概要を簡単に紹介します。 動機 もともと、はてなのアプリケーションエンジニア向け研修には、GitHubでも公開されているはてなサマーインターンの講義資料を利用してきていました。資料そのものは自信をもってオススメできるものですが、学生向けということもあり基礎的な内容が多く、実際の業務で必要な知識とはギャップがあると感じるエンジニアも多かったようでした。社内でアンケートを取ってみたところ、インフラ一般やはてな社内のサーバ構成の知識を不安に思う声が特に多く聞かれました。 そこで今回は新たな取り組みとして、インターン向けの基礎的な資料に加えてエンジニアとしての実務にフォーカスした講義内容を追加し、

ベライゾンジャパンは4月12日、同社が実施したデータ漏洩／侵害事故調査の中から、18件の典型的または重大なインシデントの実例をまとめた「Data Breach Digest」を発表した。サイバー攻撃の「シナリオ」をわかりやすく見せることで、企業のCxOや一般社員など、セキュリティ担当者以外にもサイバー攻撃のリスクやそのための備えを理解しやすくする試み。 ベライゾンでは、2008年から毎年「データ漏洩／侵害調査報告書（DBIR）」を発行している。これは実際に発生した世界のデータ漏洩／侵害事故について、主に“データ”の視点からまとめているレポートで、たとえば2015年版のDBIRでは、61カ国で発生した標的型攻撃に関わる7万9790件のインシデントから2122件について、原因や損失額などの分析を行っている（DBIR 2016年版は近日公開予定）。 一方、今回発表したData Breach Di

iOS のヒューマンインターフェースを理解するためにはまず UI 設計の原則を定めた聖典 iOS Human Interface Guidelines を読むことから始めなければなりません。ここにはプラットフォームの特徴から情報設計の原則、それぞれ何のための部品なのか、という解説がされています。なぜこうなったのか、なぜこれが良くてあれが駄目なのか、Apple の UI デザイナーは何を考えてこのような設計にしたのか、HIG ではそのようなところまでは説明されていないことがあります。いくら内容を丸暗記したとしても「 なぜ 」がわからなければ本質から理解したとは言えません。 よくある UI デザインにおける誤り、『磨りガラス効果がかっこいい』『アニメーションしておくとかっこいい』『ボタンは右配置の方が押しやすい』『色が綺麗』『流行っているから優れている』…などがありますが、そういうことではない

（この記事は2022年9月29日に更新されました） こんにちは。 京都のWebプランニング会社「ウェブライダー」の松尾です。 某社のレンタルサーバーからCPIのサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。 現在、ウェブライダーでは、CPIの専用サーバーと共用サーバーのふたつを借り、さまざまなWebサイトを運営しています。 今回の記事はWebセキュリティに関する内容をお届けします。 突然ですが、あなたは、自分のWebサイトがサイバー攻撃によって不正アクセスされ、重要な情報や顧客情報が流出してしまった・・・！という事態を想像したことがあるでしょうか？ もし、あなたの会社が中小企業だとしたら、「自分の会社は大企業ほど大きくないし、情報流出なんて関係ないよ」なんて思っていませんか？ そう思っているのであれば、とても危険です・・・！ なぜなら、不正アクセスの被害

「感染した場合、お金を支払ってもファイルは元に戻らない」と断言するのは事実とは異なる。また、身代金を払ってはダメだけでは、ランサムウェアの被害はなくならないし、感染して困っている被害者の救済にならない。バックアップがなくてもファイルを戻せる可能性はあるので、その方法も伝えていく必要がある。

トレンドマイクロは4月6日、同社の公式ブログ「トレンドマイクロセキュリティブログ」において、国内民間企業で被害が深刻化しているランサムウェアについて注意喚起した。 同社によると、これまで世界各地で被害が深刻化してきたランサムウェアの脅威が、国内の個人利用者だけでなく、民間企業をはじめとした法人組織にまで及んでいるという。そこで同社では、法人組織でランサムウェアの被害を防ぐための手引書「すぐ役立つ！法人組織でとるべき『ランサムウェア』対策」を公開した。 従来、「身代金要求型ウイルス」とも呼ばれるランサムウェアは、個人利用者を標的に犯罪を行うものが主流であり、FBI（米国連邦捜査局）や英国ロンドン市警といった世界各国の法執行機関・警察機関を騙り、たとえば「端末上で違法行為が確認されたのでデータ・端末をロックする。ロックを解除したければ300ドル払え」といった通知が欧米を中心に流行していた。 し

こんにちは。 私は京都のWebプランニングチーム「ウェブライダー」の松尾と申します。 ウェブライダーは京都にあるWebプランニング会社です。 検索エンジンからの集客を軸としたWebマーケティングを得意とし、多くの企業さまのWebコンサルティングやコンテンツ制作をおこなってきました。 たとえば、「沈黙のWebマーケティング」や「沈黙のWebライティング」といったコンテンツもプロデュースさせていただいています。 このたび、某社のレンタルサーバーからCPIのサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。 現在、ウェブライダーでは、CPIの専用サーバーと共用サーバーのふたつを借り、さまざまなWebサイトを運営しています。 Web集客の成功には、自社サイトの目的に合ったレンタルサーバーが欠かせません。 このコラムでは、レンタルサーバーの賢い選び方を軸に、さまざまな

ここ近年、WEBサービスへのサイバー攻撃による、個人情報などの情報漏洩事件が後を絶ちません。攻撃の多くは、アプリケーションやサーバの脆弱性を利用したものです。当然セキュリティ対策が必要になるのですが、対策方法は山のようにあり、どこから手をつけたらよいか迷ってしまいますね。そこで今回は、WEBサービスでよく使われている Linuxサーバのセキュリティ対策をまとめてみました。 タックス（Pax版）のライセンス：CC 表示 - 継承 3.0 非移植 IPA 安全なウェブサイトの作り方 どのセキュリティ対策から手をつければよいのかが、一番の悩みどころかと思いますが、IPAが公開している「安全なウェブサイトの作り方」の中に「ウェブサーバに関する対策」がありますので、まずはここから始めるのがよいかと思います。 IPAが公開している資料や注意喚起の内容は、過去の裁判で「専門家として当然はたすべき責務」の

どこの冷戦期スパイだ、と一瞬思いつつも、実は普遍的な話だったりする…のかも、しれません。…これ、カテゴリーどこにすればいいんだろう？

JPCERTコーディネーションセンター（JPCERT/CC）は2016年3月31日、「高度サイバー攻撃（APT）への備えと対応ガイド 企業や企業に薦める一連のプロセスについて」と題する文書を公開した。いわゆる標的型攻撃、あるいはその可能性がある攻撃を受けた企業や組織が、その特質を理解した上で慌てず対応できるよう支援することを目的としている。 2015年、国内の複数の組織や企業が標的型攻撃にさらされたことは記憶に新しい。JPCERT/CCはナショナルCSIRT（Computer Security Incident Response Team）として標的型攻撃に使われたマルウェアやその通信先であるC＆C（コマンド＆コントロール）サーバの解析結果に基づき、不審な通信の発信元となっている企業に連絡をとるといった対策の支援を行ってきた。その通知件数は、2015年4月から12月までの9カ月間で144組

セキュリティに関しては、とかく「コスト」の話がついて回ります。私はエンタープライズ系のセキュリティネタを追いかける仕事もしているのですが、ベンダーは「手の届きやすい価格帯の製品を用意しました」というものの、企業のトップにインタビューすると「多くの企業はセキュリティにコストをかけられないので……」という話が出ることも多く、両者の間には温度差があるような印象を受けています。 セキュリティは売上や利益に直結しないため、経営者としては、なかなか投資に踏み込めないのでしょう。しかし、あの手この手のサイバー攻撃が後を絶たない昨今、セキュリティを無視するわけにはいきません。 そこで今回は、ちょっと変わったアプローチでセキュリティについて考えることができる、面白い書籍を紹介したいと思います。 サイバーセキュリティの秘密を探る良書が登場 今回、紹介するのは、“サイバーセキュリティの秘密”と題されたコンテンツ

こんにちは。エクセルソフトの田淵です。 Visual Studio 2017 がリリースされましたね！Visual Studio のインストール記事を書きました。 ytabuchi.hatenablog.com 10分でわかる無料になったXamarin from Yoshito Tabuchi 今は Visual Studio 2015 でもすごく良くなっていて、普通にインストールして普通にビルドすると、Android SDK は追加で入れないといけないかもですが、恐らくビルド通るはずです！ ytabuchi.hatenablog.com 一応記事を残しておきます。 見てらんない… どうやら、ニュースを見て Xamarin を触ろうとしてくださっている方々が大変苦労されているようです。 2016/4/9 ピックアップさせていただいた以下の 3名は皆さん問題が解決して快適な（？）Xamari

はじめに Webサービスやアプリを企画したり、立ち上げたりする際にプロトタイピングツールや、ExcelやPowerpoint、Illustraterなどを駆使した謎のファイルで画面遷移図を描くことがある。 こういう図を元に仕様を決めて行って、サービスを作っていくのは以下の点で困る。 画面遷移図が保守されない。 書くのが非常に面倒くさい ユーザーのモチベーションの流れが追いづらく、見た目ばかりに注目してしまうものになりがち マシンリーダブル(ソフトウェアで構造を取り出せない)でない。 このような欠点があってどうにも扱いづらい。 そんなわけで、markdown風のテキストから簡単に画面遷移図を描けないかなとコンパイラを作成し、次にそれをインタラクティブに編集できるエディタを作成した。 UI Flows図について 画面遷移図的なものを書く際に、僕が個人的につかっていた表現方法として、UI Flo

JPCERT/CCは3月31日、「高度サイバー攻撃（APT）への備えと対応ガイド」をWebサイトで公開した。「APTの定義と活動モデル」「APT対応のための事前準備」「インシデント対応プロセス」の3章から成る全103ページのPDFドキュメント。 同ガイドは、2013年に初版が、2015年に第2版がリリースされたが、いずれも内容を非公開として国内企業／組織に個別配布されていた。しかし、国内でもAPTによると思われるインシデントが増加しており、脅威と対策への理解も浸透しつつあることから、今回、第2版の内容を一部修正してWebで公開した。 具体的には、従来型の一般的なサイバー攻撃／インシデントへの対応能力を持つ組織が、より高度なAPTに備え、対応するための戦略やポリシー、手順を検討する際の参考文書として利用することが意図されている。原著の執筆者は豊富なインシデント対応実績を持つ米デルタリスクであ