このように、さまざまな脅威に対抗するために、ファイアウォールに加え、不正侵入検知／防御（IDS／IPS）、アンチウイルス、アンチスパム、Webコンテンツ（URL）フィルタリングといった各セキュリティ機能に特化したアプライアンス製品が数年前から登場している。 さまざまな脅威にさらされる企業ネットを守るために これまでは、企業がこうした各セキュリティ機能に特化したアプライアンスを個別に組み合わせて導入するケースが大半だった。しかし、専用アプライアンスを導入すると、セキュリティ対策に掛かるトータルコストが増えてしまう。同時に、導入時の設定や導入後の運用・管理も複雑になるという問題があった。 とりわけ、専任のセキュリティ担当者を社内に置けない中堅・中小企業にとって、管理面での負担の増大は深刻だ。もちろん大企業においても、分散する拠点やオフィスのセキュリティ強化のため、従来のようにセキュリティアプラ

まず最初に取り組むのは、メンバー全体の意識およびスキルの底上げのための教育だ。マイクロソフトの場合、その方法は単純で、メンバー全員に「セキュリティ対策テクニック」という書籍を渡し、それを読み込むようにした。その上で幾つかのトレーニングを実施したという。 また、開発初期段階でセキュリティ設計も実施する。開発要求事項とセキュリティの関係を設計段階で対応させ、「機能仕様書の中にセキュリティ項目を混ぜ込む」（藤村氏）。 ある程度、プログラムのアーキテクチャとデータフローが明らかになった段階で、次は「脅威モデル」を作成する。幾つか考えられる脅威シナリオを書き、それと照らし合わせてデータの流れを検討。問題がある場合には再度アーキテクチャの設計をやり直す。 続く実装の段階では、開発の現場で現に行われている「コードレビュー」の中に、セキュリティに関するチェックを盛り込んでいく。マイクロソフトでは、レビュワ

NTTドコモは2月21日、同社で初となるワンセグ対応端末「P901iTV」を3月3日から全国一斉発売すると発表した（2月21日の記事参照）。ワンセグが視聴可能な端末としては、auが既にW33SAとW41Hを発売中だ。最大手のドコモがP901iTVを投入することで、発表済みのワンセグ端末が出揃うことになる。 筆者も先日、KDDIからW41H（機種一覧ページ参照）を借りて試験放送中のワンセグのテストと、雑誌向けのレポート記事を書いた。テスト期間は3日間程度だったが、山手線内の屋外ならばかなりの確率でクリアな映像を見られた。電車やタクシーでの移動中にも試したが、受信感度さえよければ、アナログ放送とは比較にならないクオリティでテレビが見られる。 しかし、筆者はW41HやP901iTVを買わないだろう。ワンセグ放送に大きく2つの要素が欠けており、今のところ魅力を感じられないからだ。 いったいどこで見

日本テキサス・インスツルメンツは2月15日、携帯電話向けアプリケーションプロセッサ「OMAP3」（オーマップスリー）を発表した。業界最先端となる65ナノメートルプロセス技術を使う。最初のチップとなる「OMAP3430」は、2006年中旬にサンプル出荷を開始し、2007年に量産に入る。 OMAP3は、CPUコアとして、OMAP2が採用していたARM11コアに代わり、ARM Cortex-A8コアを採用。ARM11コアと比べ処理速度が3倍に向上しているという。 動画処理性能4倍に向上──HDにも対応 大きな特徴はHDに対応し、DVD並の高画質をうたっていることだ。「ユーザーは映画をダウンロードし、HDモニターで視聴できる」としている。 ビデオ／オーディオ用アクセラレータ「IVA 2＋」の搭載により、現行の「OMAP2430」の4倍の処理能力を備えている。MPEG-4やWMV9（VC-1）、H.

rootkitをBIOSに隠すとディスクに痕跡が残らず、検出・削除が難しいと、セキュリティ研究者が警告した。 rootkit作者がBIOSを標的にする恐れがあると、セキュリティ研究者が警鐘を鳴らした。 Next Generation Security Software（NGS）のセキュリティコンサルタント、ジョン・ヒースマン氏は先週ワシントンD.C.で開かれたBlack Hatカンファレンスでこの問題に関するプレゼンテーションを行った。 同氏によると、rootkitをBIOSに隠すと、ディスクに痕跡が残らず、検出・削除が難しい。またOSを再インストールしても、rootkitは残り、再び感染するという。 ただし、このような攻撃手法の問題として、BIOSの機能は低レベルであるため、これを乗っ取っても高レベルの目的達成は難しいと同氏は指摘する。各種BIOSに合わせてrootkitを開発し直さなけ

それよりも、バリアングル液晶というのはポイントだ。頭上で、自分撮りで、液晶が自由に動くこの機構は、デジカメならではだ。薄型化・小型化との両立が難しいせいかあまりこうしたデジカメは多くないが、これは撮りやすくていい。

Webシステムでは、アプリケーションレベルでのセキュリティ対策が不可欠であるにもかかわらず、軽視されがちだ。この現状を改善する方法を考える。 昨今の個人情報などに対する不正アクセス関連事件では、Web経由で提供されているアプリケーション（ここではWebシステムと呼ぶ）のセキュリティ上の欠陥に付け込まれる例が多発している。この種の不正アクセスからWebシステムを守るには、ファイアウォールなどの事後的な、外付けのセキュリティ対策だけでは不十分である。システムを開発する時点で、セキュリティ上の欠陥が生じないようにしなければならない。 一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する（RFP）段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働

情報処理推進機構（IPA）は、オープンソースソフトウェアの普及やセキュリティなどに力を入れていく方針を示した。 情報処理推進機構（IPA）は1月20日、2006年度の事業方針に関する説明会を行った。1月5日に設立した「オープンソースソフトウェア・センター」（OSSセンター）を中核に、オープンソース普及推進のための活動に力を入れていくほか、セキュリティや未踏ソフトウェア推進事業などに重点的に取り組んでいく計画だ。 OSSセンターは、国内でのオープンソースソフトウェアの活用、普及を目的に設立された（関連記事）。OSSセンターのセンター長に就任した田代秀一氏は「ソフトウェアはいまや社会基盤。基盤であるからには、多様性や公正な競争環境、次世代の人材育成といったさまざまな要素を満たす必要がある。そうしたものを実現する上でオープンソースはとても有効」と述べ、実証実験推進や普及促進などの活動に取り組んで

感覚的なイメージで考えられがちな品質をさまざまな角度からのデータで分析する傾向がますます強くなっている。品質について再考してみよう。 2005年はテストに関する書籍や専門誌が数多く発刊され、開発の中で脇役のように考えられていたテストの存在が一躍注目されるようになりました。 一方、海外の多くの企業および国内の一部の企業では、品質についての責任を持つCQO（Chief Quality Officer：最高品質責任者）という役職が設置され、CTO（最高技術責任者）が技術部門の総責任を持つように、CQOが品質に関する総責任を持つようになっています。 品質の低下や低い品質がビジネスに与える影響をリスクとして考えることが一般的になり、感覚的なイメージで考えられがちな品質をさまざまな角度からのデータで分析する傾向がますます強くなっているわけです。しかし、品質とはユーザーの満足であるという観点から考えた場

富士通SSLは、ISMS情報セキュリティ対策の新しい標準として発行された「ISO27001」への移行を目指す企業向けに、セミナーなどの支援策を提供する。 富士通ソーシアルサイエンスラボラトリ（富士通SSL）は12月26日、ISMS情報セキュリティ対策の新しい標準として発行された「ISO27001」への移行を目指す企業向けに、支援策を提供することを発表した。 ISO27000シリーズは、英国のセキュリティ標準である「BS7799」や日本の情報セキュリティマネジメントシステム（ISMS）など、情報セキュリティ管理のための認証基準をISO化したもの。このうちISO27001は、ISMS基準 Ver.2.0／BS7799 パート2を継承したものだ。内部監査やISMSの改善といった項目が加わり、いわゆるPDCAサイクルの中でも「Check」や「Act」に該当する項目が強化されている。 富士通SSLで

米Blue Coat Systemsは、プロキシをベースとしたセキュリティアプライアンス「ProxySGシリーズ」に、SSL通信を可視化するプロキシ機能を追加する。 「SSLによってセキュリティは高まるが、その通信にはスパイウェアや非合法なコンテンツ、コントロールされていないトラフィックが含まれることもある。SSLにも『可視性』が必要だ」――。 プロキシをベースとしたセキュリティアプライアンス「ProxySG」シリーズを提供しているBlue Coat Systemsのアジアパシフィック担当バイスプレジデント、マット・ヤング氏はこのように述べた。 同社は先日、ProxySGシリーズに、SSL通信をゲートウェイ部分でいったんせき止め、内容を検査する新機能を追加した。その背後には、セキュリティ対策としてのSSL利用の広まりと、それに付け込む脅威の存在があるという。 「SSLが用いる443番ポート

Perlをはじめとする言語では、フォームとパイプ処理に十分な注意をしなければならない。その理由には、Webからローカルリソースへのアクセスを極力制限する必要があるからだ。 オンライン・ムック「スパム時代のサニタイズ開発手法」の前回「Perlは悪くない――CGIセキュリティホールの落とし穴」は、WebサーバにおけるCGIスクリプトの仕組みについて解説した。日ごろ見掛けるニュース情報を読み解くために、セキュリティーホールが生まれてしまう基本情報として理解しておきたい。 CGIスクリプトのセキュリティ CGI（Common Gateway Interface）スクリプトは、「Perlは悪くない――CGIセキュリティホールの落とし穴」でも触れたように、Perl言語で作られることが多い。しかし、それはPerlというスクリプト言語がCGI作成のために手軽だから、という事情が大きい。 Perl（Prac

今回は2005年1月24、25日の2日間に行われたJaSST'05「ソフトウェアテストシンポジウム」の模様を通して、ソフトウェアテストに対するエンジニアの意識や認識などを浮き彫りにしていきたいと思います。 JaSST'03から始まり、はや3回目となったこのシンポジウムについて少し紹介します。本シンポジウムは「ソフトウェアテスト」をキーワードに参加者、協賛団体、そしてスポンサーなどさまざまな方より、ご支援とご協力を得て開催しています。回を重ねるごとに、テストに対する参加者の意識も高くなり、その重要性が着実に認知されてきていることを実感しています。今回のJaSST'05では2日間で延べ900人を超えるエンジニアが参加しました。参加者は、現場のエンジニアからQA部門やSEPGの担当から管理層まで参加しており、層にかかわらずテストへの感心が高いことが分かります。職種についても情報システムの開発や組

次いで、話題をバグ報告と管理に移し、Red Hatがバグの追跡に使っているBugzillaを中心に長い時間をかけて語った。ジョーンズ氏は、Bugzillaはバグ追跡のすべてではないが、同社の中では最善のものだと言う。 ある日のこと、カーネル・コードを見るのに疲れたジョーンズ氏は、GNOMEソース・ツリー全体をgrepして、ありがちなバグを探してみた。すると、50ほども出てきた。そのすべてについてパッチを書いたのだが、その報告については考え込んでしまった。GNOMEのバグを見つけた場合、そのバグをパッチとともにbugzillaに登録することになっているが、それには長い時間がかかる。結局、誰かがジョーンズ氏の代わりに処理してくれたのだった。 ジョーンズ氏は、バグを報告する者の心理を理解することが重要だと指摘する。誰でも、自分が発見したバグが報告されたバグの中で最も重要なものだと考える。誰かが重

「たった1台」のPCの紛失によって企業が被る被害は想像をはるかに超える規模になることもある。そうした事態を防ぐための製品を提供する企業の1つが、スウェーデン・ストックホルムのPointsec Mobile Technologiesだ。 4月に施行された個人情報保護法により、企業のIT利用におけるセキュリティ意識がますます高まりつつある。顧客情報の漏えいなどの不祥事が報じられれば、企業として信用を失い、株価の下落やブランドイメージの失墜など、企業としての存続を問われるほどの危機に見舞われる可能性もある。 セキュリティに関する不祥事の典型例の1つが、社員によるPCの紛失だ。「たった1台の」PCを紛失、あるいは盗難されただけでも、被害の範囲は予想を超えて広まる可能性がある。そのため、企業が恐れるこうした事態を防ぐためのテクノロジーを提供するベンダーも多い。その1つが、スウェーデン・ストックホルム

4. いきなり話がでかくなる～カオスと秩序の間には それでは、『粒同士のネットワーク爆発が、複雑で、手に負えない問題プロジェクトの引き金になっている』と書きましたが、粒同士が無秩序につながっている状態から、整然と秩序を保ってつながった状態にするために、高いハードルを越えるしか道はないのでしょうか？ 変化が激しい分野はどうすればいいのでしょう？ もう1度、図を見てみましょう。 いままで、混沌とした無秩序の状態と、整然とした秩序の状態のみ注目していましたが、その間はいったい何なのでしょうか？ 実は、まさにこの中間状態こそ、驚くべき可能性を秘めているということが、近年、プロジェクト・マネジメントとはまったく異なる生物科学や社会学、コンピュータ科学の分野などから次々に明らかになりつつあるのです。 混沌のことをカオス、といいます。そう、ひと昔前、一世を風靡した『カオス理論』のカオスです。このカオス（

ただ、市場に幾つか懸念材料も見られると山本氏。供給側では、セキュリティ製品／技術のコモディティ化が進むとともに価格競争が激化。また需要側でも、セキュリティに対する投資マインドの冷え込みが見られるという。 例えばNRIセキュアテクノロジーズが実施した調査によると、「必要であれば積極的にセキュリティ対策に投資する」とした企業が35.1％であったのに対し、「できるだけコストを抑えたいので必要最小限の投資にとどめる」と回答した企業は54.6％に上った。セキュリティへの投資が必ずしも企業価値の向上や利益に結びついていないというのが企業の実感であり、これが投資意欲の減退、削減圧力につながる可能性があるという。 経済産業省ではこうした状況を背景に、セキュリティ対策を企業価値につなげることを目的に「情報セキュリティガバナンス」の確立に向けた取り組みを行っている。その中には、IR活動の1つとして「情報セキュ

セキュリティーホールとはどのようなものなのか？　日ごろニュースで書かれているその核心を理解するために、ITマネジャーでも分かりやすい事例を挙げて解説する。 個人情報保護法の施行後、多くの企業が情報漏えい問題に対策を講じてきただろう（関連特集）。2005年は、関連するさまざまな事件が報道され、仕事で直接ITにかかわっていない人でも思い出すものがあるはずだ。このように、サービス提供側だけでなく、ユーザーにもセキュリティに気遣う必要性が周知されてきたため、もはや提供側が手を抜く余地など残されていない。そして、情報漏えいとスパムが密接な関係にあることも忘れてはならない。 前回概要について解説したオンライン・ムック「スパム時代のサニタイズ開発手法」の今回は、スパムが目的とする一つ、情報漏えい原因の所在について解説する。ITマネジャーでも理解しやすい技術動向解説がテーマの一つだ。 サーバにインストール