異なる文化の企業への転職。その現実
それぞれの価値観によって感じ方もさまざまですが、一般的には上記内容のような違いがあるのではないかと思います。 観点を変えますと、上記内容が大手企業やベンチャー企業への志望動機になっているのではないかと思います。 大手企業からベンチャー企業への転職での留意点 大手企業に数年勤め、ベンチャー企業を目指して転職なさる方もいらっしゃると思いますが、このケースの留意点と事例を述べたいと思います。 ベンチャー企業には大手企業ほど整った環境はない 大学を卒業してすぐに大手企業へ入社なさった方には、大手企業の安定感や完備された環境は、「当たり前の環境」です。しかしベンチャー企業には、その当たり前の環境がない場合が多いでしょう。整備された環境は大手企業独特のもので、自分の職務以外のことはほとんどやらなくてよい環境です。従って自分の職務の遂行に没頭できます。 しかしベンチャー企業ではそんなことはいっていられま
組み込み開発フォーラム - MONOist
組み込みソフトウェア/ハードウェア開発における技術力の向上、改善・最適化などを幅広く支援する“組み込み開発エキスパート”のための情報フォーラム
CMM/CMMI導入・成功と失敗の分かれ目(1/3) ― @IT
ECサイトを題材にソフトウェア開発の全工程を学ぶ新シリーズ「イチから全部作ってみよう」がスタート。シリーズ第6回は、開発方法の整備やスパイラルモデルなど、前回に続きさまざまな問題がある要求仕様フェーズの対処法について解説します。
Webアプリケーションの脆弱性を総括する
セッション系の脆弱性 セッション系の脆弱性には、「Session Hijack」「Session Replay」「Session Fixation」がある。これらの脆弱性は基本的にセッション管理の不備が原因で発生する。セッション管理の不備とは、以下のような項目に問題があるということである。 セッションを維持する方法 セッションIDの生成アルゴリズム セッションIDの発行タイミング セッションIDの有効期間 セッション管理は基本的に「認証状態を維持する方法」であるため、この部分に脆弱性があると個人情報が漏えいする場合が多い。 脆弱性が存在する可能性がある個所 基本的にセッション管理の仕組み自体が対象となる。 Session Hijack セッションIDの生成方法に問題がある場合に、推測や総当たりによって有効なセッションIDを見つけられてしまう。 Session Replay セッションIDの
MSが問いかける「セキュアなアプリを書けますか?」 - @IT
2005/12/9 マイクロソフトは12月8日、アプリケーションのセキュリティを向上させる開発者向けの新施策「Developer Security」を発表した。SQLインジェクションなどWebアプリケーションを狙った攻撃の増加を受けた施策で、マイクロソフトの開発ノウハウを一般の開発者に提供する。 米マイクロソフトのディベロッパーマーケティング プロダクトマネージャ リック・サモーナ(Rick Samona)氏はセキュリティ対策について、「いままではファイアウォールなどネットワークのセキュリティが重要と考えられてきたが、SQLインジェクション、クロスサイト・スクリプティングなどの登場でアプリケーションのセキュリティが重要になってきた」と指摘した。セキュリティ担当者はアプリケーションに詳しくなく、アプリケーション開発者はセキュリティを知らないなど「アプリケーションセキュリティのギャップ」もあり
@IT:【トレンド解説】無線LANセキュリティの本命IEEE 802.11i登場
【トレンド解説】その仕組みと概要、今後の展望 無線LANセキュリティの本命IEEE 802.11i登場 鈴木淳也(Junya Suzuki) 2004/6/4 無線LANセキュリティ技術の本命である802.11iの標準化がこの6月に完了する。従来のWEPを置き換えるべく登場する無線LANのセキュリティの新規格。その仕組みと概要、今後の展望を解説する。 無線LAN業界が待ち望んでいた規格がいよいよ登場する。それがIEEE 802.11iだ。802.11iは、無線LANのセキュリティにおいて従来のWEPを置き換えるべく登場した、無線LANセキュリティ技術の本命だ。今年2004年6月に標準化が完了する見込みであり、暗号化通信技術のWPAが標準化されたときと同じように、すべてのWi-Fi準拠をうたう無線LAN機器で802.11i標準サポートが要求されることになるとみられる。標準化後に製品を買うのが
レイヤ2のフレームを暗号化する新セキュリティ標準
【トレンド解説】「IEEE 802.1AE MACSec」「IEEE 802.1af MAC Key Security」 レイヤ2のフレームを暗号化する 新セキュリティ標準 鈴木淳也(Junya Suzuki) 2005/12/6 イーサネットなどのレイヤ2プロトコルで流れている「フレーム」を暗号化するための新セキュリティ標準、IEEE 802.1AEをご存知だろうか。レイヤ2の暗号化を行うメリットを追う。 企業のネットワーク・セキュリティに対する意識が高まる中、さまざまな技術標準が提案され、少しずつメインストリームの製品に実装が始まっている。近年、大きく注目される技術の1つがIEEE 802.1xによる認証とアクセス・コントロールを実現するインフラストラクチャで、「EAP(Extensible Authentication Protocol)」によるユーザー認証機能が提供される。これによ
ドライバに変数を渡すのにうってつけの方法(2/2) - @IT
11月版 ドライバに変数を渡すのにうってつけの方法 上川純一 日本ヒューレット・パッカード株式会社 コンサルティング・インテグレーション統括本部 2005/11/29 デバイスドライバの変数の設定はどうしたらよいか 「ユーザー空間からデバイスドライバにパラメータを渡す方法は何がよいのか」という議論がありました。この話題はそれなりに人を引き付けるようで、10月には2つ独立したスレッドがありました。「ioctlを使うのがよいのか、sysfsを使うのがよいのか」という疑問から、「実はそれよりもたくさん選択肢がある」という話題に展開していきました。 Kyle Moffettたちによると、以下のような選択肢があるとのことです。 ioctl 古くから伝統的に使われている手法です。バイナリ構造体を直接書き込む方式のため、32/64bitが混在する場合は型変換が必要になってしまいます。例えば、x86_64
SELinuxの出自とキソのキソ - @IT
第1回 SELinuxの出自とキソのキソ 古田 真己 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ 2005/11/25 SELinuxのアーキテクチャは、もともとアメリカの国家安全保障局(NSA:National Security Agency)とSCC(Secure Computing Corporation)において、強制アクセス制御(MAC:Mandatory Access Control)の研究のためにFlukeというOS上で開発されました。1992年に始まったこの研究を経て2000年にGPLで一般公開されたSELinuxは、いまセキュアOSとして非常に注目を集めています。 この連載ではSELinuxの最新動向を追っていく予定です。1回目となる今回はSELinuxの出自と基礎の確認からしていきます。 S
組み込み開発フォーラム - MONOist
ECサイトを題材にソフトウェア開発の全工程を学ぶ新シリーズ「イチから全部作ってみよう」がスタート。シリーズ第6回は、開発方法の整備やスパイラルモデルなど、前回に続きさまざまな問題がある要求仕様フェーズの対処法について解説します。
@IT:Wabアプリケーションファイアウォールの必要性 第1回
機密情報に合法的に近づけるWebアプリケーションを守れ:Webアプリケーションファイアウォールの必要性(1)(1/3 ページ) 「SQLインジェクション」や「クロスサイトスクリプティング」という用語に聞き覚えはないだろうか。セキュリティに関連する用語であることを知る人は多くても、詳細な説明をできる人はまだ少ないかもしれない。どちらもWebアプリケーションの脆弱性を指す用語である。 個人情報の保護に関する法律(個人情報保護法)の施行によって、より多くの注目を集めるようになった個人情報漏えいに関するニュースが毎日のように流れている。漏えいした個人情報が、もしWebサイトから盗み出されたものであれば、原因はSQLインジェクションであった可能性がある。 この連載では、Webアプリケーションの脆弱性、攻撃手法の実例を挙げて解説するとともに、その脆弱性を防御する装置として市場に現れたWebアプリケーシ
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
@IT:エンジニアとして過ごす「人生の時間の質」
2005/6/30 オブジェクト倶楽部夏のイベント「オブジェクト指向実践者の集い」第4弾が6月29日、都内で開催された。今回のテーマは“プロジェクト・ファシリテーション ~「ものづくり」から「チームづくり」へ~”。基調講演を行った永和システムマネジメントの平鍋健児氏は冒頭で、自身のソフトウェア開発に対するかかわり方を振り返り、「技術」から「プロセス」「人」へとプロジェクト成功のための要因が変わってきたと話した。 ファシリテーション(facilitation)という言葉には、(物事を)容易にする、円滑にする、促進するという意味がある。通常、ファシリテーションという場合は、効率的な会議運営のためのスキルなどを指すが、最近のソフトウェア開発業界では、ソフトウェア開発プロジェクトを円滑に進めるためのスキルを指す。 ソフトウェア開発業界におけるファシリテーション再評価の動きは、オブジェクト指向をはじ
なぜBOTは増殖するのか
BOTとは何か?[後編] なぜBOTは増殖するのか 岡本 勝之 トレンドマイクロ株式会社 トレンドラボ・ジャパン アンチウイルスセンター ウイルスエキスパート 2005/9/23 前編では、BOTやBOTネットワークとは、どのようなものであるのかという話をしました。BOTは日々増え続けています。なぜ簡単に増殖するのでしょうか。BOTが増え続ける背景や、BOT作成者が使う手口について解説します。 また、BOTに感染すると情報漏えいのきっかけになるなど深刻な被害をもたらします。しかし、もっと気を付けなければならないのは、知らないうちにほかのサーバに対するDoS攻撃の攻撃元となったり、スパムメールの踏み台として送信元となったりと、加害者になってしまうということです。本編の最後にいくつかのBOT対策をまとめましたので、参考にしてください。 BOTが従来のウイルスと大きく異なる点として亜種・変種が非
セキュリティ情報マネジメント概論 - SIMで企業のセキュリティを統合管理せよ
セキュリティ情報マネジメント概論[前編] SIMで企業のセキュリティを統合管理せよ 内田 千博 住商エレクトロニクス株式会社 ネットワークセキュリティ事業部 セキュリティシステム第四部長 2005/7/26 最近SIMという言葉が聞かれるようになってきた。SIMとは「Security Information Management」の略で、文字どおりに訳すと「セキュリティ情報マネジメント」である。 「セキュリティ情報」を「管理」するといっても何をするものなのだろうか。設置すれば攻撃を防いでくれるファイアウォールや、攻撃は何でも検知してくれる(と思われていた)IDSが登場したときのように、新しいカテゴリの製品には誤解がつきものである。 本編では、「SIMとは何か」をテーマに、SIMが何のためのツールで、なぜ企業に必要とされているのかを見ていきたい。そこでまずはSIM登場の背景に触れる。 米国で
@IT:組み込みソフト開発の需要爆発? NECが新組織を設立
2005/1/22 NECは家電メーカーなど組み込みソフトウェア開発に対する需要の高まりに対応し、NECグループの組み込み開発に対するこれまでのノウハウや技術をソリューションとして顧客企業に提供すると1月21日に発表した。ソリューション提供を推進する組織として「組込みソリューション事業推進センター」(仮称)を2005年4月に立ち上げる。2007年に1000億円超の売り上げを目指す。 NECの執行役員 丸山好一氏は組み込みソフトウェア開発の需要が製造業を中心に高まっている背景として「ネットワーク化や高機能化でカーナビ、携帯電話、情報家電を中心に開発コストに占める組み込みソフトウェアの比率が急拡大している」と指摘した。NECの調査によると、開発費全体に占める組み込みソフトウェアの比率は、カーナビが60%、携帯電話が80%、デジタルTVで50%になるという。 ネットワーク化、高機能化で組み込みソ
@IT:モンタビスタが組み込みLinux新版、「リアルタイムOSに匹敵」
2005/9/8 モンタビスタソフトウエアジャパンは9月7日、ネットワーク機器から産業機器、コンシューマ機器まで幅広いデバイスで利用できる組み込み用Linux OS「MontaVista Linux Professional Edition 4.0」(Pro 4.0)の出荷開始を発表した。高いリアルタイム性能が求められる産業機器ではこれまで組み込みLinuxはそれほど浸透していなかった。しかし、モンタビスタの代表取締役社長 有馬仁志氏は、Pro 4.0のリアルタイム性能を大幅に向上させたことを説明したうえで「産業機器で戦える組み込みLinuxを用意した」と述べ、市場拡大に自信を見せた。 Pro 4.0はLinux 2.6.10がベース。前バージョンからの強化の目玉はリアルタイム性能の向上。割り込みスレッドコンテキストの実行や、Spinlock、Big Kernel Lock(BKL)をPr
@IT:JMeterによるWebサーバ性能評価の勘所(1/3)
サーバのボトルネックを見極めるには、適切な性能評価が必要。ApacheBenchとJMeterによる、効果的な性能評価のポイントを紹介する。(編集部) Apacheはそのままでも十分なパフォーマンスを発揮しますが、設定値や構成の見直しを行うことで、さらに高い性能を得ることができます。しかし、適切な値を設定しなければ、サーバの潜在能力や許容量をオーバーし、かえってパフォーマンス低下を招く可能性もあります。経験やノウハウの蓄積が少ない状態では、チェック&トライの繰り返しが必要です。 今回は、チェックのための道具であるベンチマークソフトの使い方とその結果の見方を紹介します。 Webサーバの性能評価とは 性能評価の基礎 性能評価の方法は、 ホワイトボックステスト サーバやネットワーク構成など、評価対象となるWebシステムの構造を理解したうえで、ボトルネックの当たりを付けて試験を行う ブラックボック
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
@IT:つぎはぎシステムを防ぐセキュリティアーキテクチャ - Page2
履歴書の正しい書き方、効果的な書き方とは?
