私のこと、勝手に診断しないでください:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(43) 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第43列車は「無料セキュリティ診断」です。※このマンガはフィクションです。
米国証券取引委員会(SEC)は2023年7月26日(米国時間)、上場企業に対してサイバーセキュリティに関する重大なインシデントの発生と、サイバーセキュリティのリスク管理、ガバナンス、戦略に関する重要情報の開示を義務付ける規則を採択した。 SECは、米国で上場し、主に米国外で事業を展開している企業にも同様の開示を義務付ける規則も採択している。 SECのゲーリー・ゲンスラー委員長は次のように述べている。 関連記事 最高監査責任者はデータ分析、セキュリティ、デジタル化推進に最注力すべき Gartner Gartnerは、最高監査責任者が2023年に最も注力する分野は、データ分析の推進や急増するデジタルリスクに対するアシュアランスの提供、そして人材管理であると発表した。 企業のパブリックGitHubリポジトリは機密情報だらけ? APIキーやトークン、認証情報が複数見つかる セキュリティ企業SOCR
契約書にも民法にも書かれていませんが、「義務」なので履行してください:「訴えてやる!」の前に読む IT訴訟 徹底解説(106)(1/3 ページ) 担当者の急逝によって所在が分からなくなったソースコードを引き渡せとせまられたベンダー。契約書に記載されていない納品物を渡す義務は果たしてあるのだろうか――。 連載目次 契約に存在する「見えない義務」 仕事の契約には契約書が存在する。契約書に記載された条項を守らなければ、契約を解除されたり受け取るべき費用を減額されたりすることがあり得る。では契約書の内容を順守してさえいればいいのかというと、そういうわけでもないのがソフトウェア開発だ。 例えば、納入したソフトウェアに不具合が見つかれば修補しなければならないという「契約不適合責任」などは、契約書に規定していなくとも受注者が負うべき責任として民法の条文に書かれている。契約書というものは本来、受注者と発注
他人に見られたくないファイルをリモートの相手に渡さなければならない場合、従来は暗号化ZIPファイルとその解凍パスワードをメールで送る、という手段が広く用いられてきた。読者諸氏もそのようなメールを一度は受信したことがあるだろう。 しかし、ZIPの暗号化など運用に手間がかかるわりにセキュリティが十分ではない、と指摘されることが多い。そこで、この方法でファイルを送るのは止めよう、という機運が高まっており、実際、内閣府と内閣官房ではこの手法を廃止すると発表している。 とはいえ執筆時点では、「これだ!」と断言できるような、代わりのファイル送信方法が確立しているわけではない。特に中小企業や個人だと、代替の方法が有償だったりシステム更新に手間がかかったりすると、おいそれと置き換えられない場合が多いだろう。できることなら、すでにある機材やソフトウェア、利用中のサービスなどで代替したいところだ。 そこで本T
厚生労働省が2020年6月19日に公開した新型コロナウイルス感染症(COVID-19)接触確認アプリ「新型コロナ接触確認アプリ(COCOA)」。日本はApple、Googleを信じるしかないのか、日本独自の代替案はないのか――。 本稿は、公開直前の2020年6月10日に収録し、6月24日に配信したオンラインセミナー「@IT Security Live Week」の「プライバシーフリーク・カフェ リモート大作戦!」のイベントレポート完全版である。 林檎を信じよ 山本一郎(以降、山本) 海外の事例だと、中国のトレーシングツール、プロセスはかなり強烈なものが回っているという報道だけはありますが、実態についてはきちんと説明がされていないよう思えるのですがいかがでしょうか。 高木浩光(以降、高木) 報道はいろいろ見ましたけれども。日ごろからある監視カメラだとか、クレジットカードの利用記録を活用すると
2019年12月2日、プライバシーフリークの会主催の「プライバシーフリーク・カフェneo どうなる? 個人情報保護法改正」をアイティメディアで開催した。 プライバシーフリーク・カフェ(PFC)とは、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が、情報法と社会について、自由気ままに、そして真面目に放談するセミナーで、5年にわたって活動を続けている。 今回の「どうなる? 個人情報保護法改正」では、個人情報保護法の3年ごとの見直しによる改正大綱の骨子、2019年夏に起こったリクナビ問題をテーマに、4頭の虎が吠えた――。 リクナビは、旧スキームも違法だった? 山本一郎(以降、山本) 今回のPFCは、個人情報保護委員会から出た個人情報保護法改正大綱の骨子について話をしつつ、リクナビ問題についても議論していきます。 まず、今回の骨子で前回PFCで積み残した部分がどういう取り扱いになったのかを踏まえて
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
2019年9月9日(月)に一橋講堂で一般財団法人情報法制研究所主催の「第2回JILIS情報法セミナー in 東京」が開催された。 学生の就職活動(就活)を支援する大手企業が、行動履歴などを人工知能(AI)で分析し、5段階にスコア化した「内定辞退予測」を一部本人に無断で企業に販売していたことが広く報道され、社会的に問題となった他、行動履歴などを分析し販売する「信用スコア」を問題視する声も聞かれていた。 本稿は、本セミナーの冒頭で行われた4人の有識者による討論(プライバシーフリーク・カフェ)の模様をお伝えする。 内定辞退予測スコア 山本一郎(以降、山本) われわれは「プライバシーフリーク・カフェ(PFC)」という名称で5年にわたって活動しております。情報法と社会についてのいろいろなお話を、主に新潟大学の鈴木正朝先生、高木浩光先生、そして板倉陽一郎先生と私山本一郎の4人でやらせていただいているも
はてなのMackerelチームはKubernetesクラスタを自前で構築して運用していたが、撤退を選択したという。なぜ、Kubernetesの運用を諦めて撤退を選んだのか。はてなのMackerelチームでSREを務める今井隼人氏が語った。 コンテナ型仮想化技術を活用したアプリケーションの管理(オーケストレーション)ツール「Kubernetes」が注目を集めている。その背景の一端にあるのが、アプリケーションをコンテナ化し、マネージドKubernetesサービスで実行することによるメリットの享受と、運用負荷の軽減だ。 参考記事:「Kubernetes」とは何か――コンテナ型仮想化の本番利用に向けた課題 参考記事:「Kubernetesで運用する」その前に Kubernetesを本番環境で利用する際のポイント そんな中、「Kubernetesクラスタを自前で構築して運用していたが、撤退を選択した
2018年12月にスクウェア・エニックスからリリースされたスマートフォンゲームアプリ「ロマンシング サガ リ・ユニバース」(以下、ロマサガRS)。リリースから約3週間で1000万ダウンロードを達成したロマサガRSは、Amazon Web Services(AWS)のサービスをフル活用して構築。障害を回避して運用できているという。 ロマサガRSではどのようにシステムを設計し、どのように障害を回避したのか。ロマサガRSを開発したアカツキのエンジニアである駒井祐人氏が「AWS Summit Tokyo 2019」で語った。 ロマサガRSのアーキテクチャ 「ゲームシステムは最大ピークを見積もりづらい。公開されてからどれくらいのプレイヤーに遊ばれるか分からないからだ。これはサービス開始後も同様だ。例えば、ある日の正午にイベントが始まった結果、一時的にアクセス数が2倍に跳ね上がることもある。イベントな
イスラエルのネゲブ・ベングリオン大学の研究チームは、ルーターで2つのネットワーク(ゲストネットワークとホストネットワーク)を運用している企業や家庭が、ハッキング攻撃やデータ流出の被害に遭いやすいことを発見した。 同大学のAdar Ovasdya氏は、「われわれが調査したルーターは全て、ブランドや価格帯にかかわらず、特別な細工を施したネットワークパケットを流した場合、少なくとも一部のネットワーク間通信に対して脆弱(ぜいじゃく)になる。(1台のルーターに頼るのではなく)例えば別個のルーターを使うことが、安全なネットワークデバイスとそうではないネットワークデバイスの分離を保証する、最も安全なアプローチだと思われる」と述べている。 なぜ2つのネットワークを構築するのか Ovasdya氏は、「企業用か家庭用かにかかわらず、ほとんどのルーターでは、重要性の高いデータをやりとりするホストネットワークと、
高木浩光氏が危惧する、「不正指令電磁的記録に関する罪」のずれた前提と善なるエンジニアが犯罪者にされかねない未来(Coinhive裁判解説 後編):私たちは当事者なんです(1/3 ページ) 一審無罪となったCoinhive裁判。しかし判決の裏には、条文の誤読や残された論点がある。裁判で被告人証人となった高木浩光氏が、裁判、法律解釈について詳しく解説した。
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編):権利は国民の不断の努力によって保持しなければならない(1/3 ページ) Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。 2018年6月、自身が運営するWebサイト上に、閲覧してきた
「JavaScript」と「警察」は相性が悪いのか?:セキュリティクラスタ まとめのまとめ 2019年3月版(1/3 ページ) 2019年3月のセキュリティクラスタでは、「JavaScriptを使った無限アラートサイトへのリンクで中学生が補導された事件」に対する意見が殺到しました。「コインハイブ事件の判決」でもJavaScriptと警察の対応が話題の中心になりました。この他、「破産者マップ」についても多数のツイートが飛び交いました。 セキュリティクラスタ まとめのまとめ 一覧 コインハイブ事件に無罪判決 自らが管理するWebサイトに仮想通貨をマイニングするJavaScript「Coinhive(コインハイブ)」を設置したことで逮捕されたいわゆる「コインハイブ事件」が転機を迎えました。横浜地裁が2019年3月27日に無罪を言い渡したからです(その後、検察側が控訴)。 この裁判で争点となったの
固定回線でも「ギガ不足」におびえる時代が到来か、トラフィック急増により現場で起きている悲劇とは:ものになるモノ、ならないモノ(81)(1/2 ページ) 生活で何げなく使っている定額制の「固定回線」。しかし、さまざまな動画サービスの登場により、爆発的に増えるトラフィックに対して、プロバイダーは「限界が近い」と訴える。その理由とは。 「従量課金に移行しないと、このままではとても立ち行かない」 ある固定回線系プロバイダーの幹部が悲痛な面持ちで筆者に訴えた。 「ここ数年の爆発的なトラフィックの伸びに設備投資が追い付かず、ユーザーからのクレームが増加している」 それは、プロバイダーだけの問題ではなく、NTT東日本・西日本(NTT東西)のフレッツ光にもいえることらしい。ただ、筆者は忘れてはいない。確か10年前にも同じような言葉を聞いた。いや、その前から事あるごとに聞いてきたような気がする。このような「
日本PHPユーザ会は2018年12月15日にPHP Conference 2018を開催した。本稿では、EGセキュアソリューションズ 代表取締役 徳丸浩氏の講演「安全なWebアプリケーションの作り方2018」の内容を要約してお伝えする。 徳丸氏は、割賦(かっぷ)販売法の改正や、経済産業省が推奨する「クレジットカード情報の非保持化」を紹介。重大なセキュリティリスクを無視した場合、クレジットカード情報(以下、カード情報)を非保持化するシステムでも、カード情報を盗まれる可能性があると指摘する。 クレジットカード周りのセキュリティ対策の動向 徳丸氏は、カード情報に関連する法律の動向として、割賦販売法改正と経済産業省の実行計画を抜粋して紹介。割賦販売法とは、クレジットカードなどによる信用取引に関する法律だ。2018年6月1日に改正され、クレジットカードを取り扱う事業者に対して、カード情報を漏えいさせ
ネットワークエンジニアなら「回線の実体=レイヤーゼロ」を知っておこう:羽ばたけ!ネットワークエンジニア(11)(1/2 ページ) 日々、2000拠点を超えるネットワークの運用を手掛けていると、OSIの7階層モデルにないレイヤーゼロの話、つまり「回線」をいかに引くかという点をないがしろにできないことが分かる。今回はネットワークエンジニアが意外と知らないレイヤーゼロの基本について述べたい。 企業ネットワークの提案書や設計書にある「ネットワーク構成図」では、回線を1本の直線で表現することが多い。拠点を表す四角い枠に直線を1本引き、そこにルーターを接続する。もうすこし詳細な図では回線終端装置を表す箱をルーターの前に書く。日々、図を描くネットワークエンジニアは、線を1本引けば回線が引けたような気分になるかもしれない。 しかし、回線を現実に開通させるのはそれほど簡単ではない。はっきり言ってとても面倒で
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱(ぜいじゃく)性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信(IPC)」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く