特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い
特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い:ゼロトラスト時代の特権IDの守り方(2) 古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。 古くて新しい「特権アクセス保護」(PAM:Privilege Access Management)について技術的内容を分かりやすく解説する本連載「ゼロトラスト時代の特権IDの守り方」。連載初回の前回では、そもそも「特権」とは何か、特権の持つ特徴リスク、抱える課題などについて整理しました。 今回は、PAMの歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Ser
サーバレスのバックエンド作成サービス「AWS Amplify」で認証認可機能付きのダッシュボードを作る
「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は「AWS Amplify」を使って認証認可機能付きのダッシュボードを作成します。 「AWS Amplify」とは Amplifyの公式サイトでは下記のように説明されています。 AWS Amplifyは、それぞれを連携させたり個別で使用したりできる、ツールとサービスのセットです。これらの機能により、フロントエンドウェブおよびモバイルのデベロッパーが、AWSによるスケーラブルなフルスタックアプリケーションをビルドできるようにします。Amplifyを使用するお客様は、数分の内にバックエンドを構成しアプリケーションと接続でき、また、静的なウェブアプリケーションのデプロイは数クリックだけで実行できます。さらに、AWSコンソールの外部でも、簡単にアプリケーションコンテンツの管理が
工数超過の要因、過剰なテストを避けよう 効率的に要件を作成する「V&V」という考え方とは
工数超過の要因、過剰なテストを避けよう 効率的に要件を作成する「V&V」という考え方とは:アジャイル開発における品質管理(3) 少人数、短期間の開発を繰り返すアジャイル開発では、どのようにすれば品質を保つことができるのだろうか。本連載では、アジャイル開発における品質管理の手法を解説する。今回は、スプリント内でのテストと品質保証について、2回に分けて解説する。前編となる今回は要件設定とV&Vについて。 アジャイル開発において、テストをどのように実施するかは難しい問題です。短い開発周期で、設計、実装にしっかり時間をかけようとすると、それに伴ってテストを実施する時間は少なくなります。結果として、テストがスプリント(※)内で収まらず、テストのタスクを次のスプリントに持ち越してしまいます。結果として本来のタスクに着手できず、プロジェクトが停滞してしまうことも考えられます。 (※)アジャイル開発におけ
技術的負債の放置、リリース直前に炎上――アジャイル開発で陥りがちな問題とその原因とは
技術的負債の放置、リリース直前に炎上――アジャイル開発で陥りがちな問題とその原因とは:アジャイル開発における品質管理(1)(1/2 ページ) 少人数、短期間の開発を繰り返すアジャイル開発では、どのようにすれば品質を保つことができるのだろうか。本連載では、アジャイル開発における品質管理の手法を解説する。初回は、アジャイルテストの基本的な考え方と戦略について、2回に分けて解説する。前編となる今回はアジャイル開発において発生しがちな問題とその原因について。 2021年2月、新型コロナウイルス接触確認アプリ(通称「COCOA」)にて、約4カ月もの間正しく動作していなかったというニュースが話題となりました。ここでは詳述を控えますが、社会的に重要で、人々の関心も高いアプリケーションでの問題ということもあり、テスト体制や環境構築の不備、品質管理に関する問題などに注目が集まりました。 COCOAに限らず、
今、最も面白い職種は「プロダクトマネジャー」だ――及川卓也氏が説く、DX時代のIT業界サヴァイブ術:外の世界とのタッチポイントを増やせ! - @IT
2025年、IT業界が変わる 経済産業省は2018年9月、デジタルテクノロジーによる企業価値の創出を目指す「デジタルトランスフォーメーション(DX)」に関する調査報告「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」を発表した。 「『DXレポート』では、デジタルで新事業を始める場合には情報システムの内製が重要になると指摘しています。この指摘が受け入れられるなら、SI企業も変わっていくはずです」と及川卓也氏は言う。 及川卓也氏 早稲田大学理工学部卒業後、日本DECに就職。営業サポート、ソフトウェア開発、研究開発に従事し、1997年からはMicrosoftでWindows製品の開発に携わる。2006年以降は、GoogleにてWeb検索のプロダクトマネジメントやChromeのエンジニアリングマネジメントなどを行う。2015年11月、技術情報共有サービス『Qiita』など
Kubernetes活用に至るまで――リクルートテクノロジーズがコンテナを大規模システムの本番環境へ適用した事例
Kubernetes活用に至るまで――リクルートテクノロジーズがコンテナを大規模システムの本番環境へ適用した事例:先行事例に学ぶKubernetes企業活用の現実(2) 本連載では、サービスの開発、提供のアジリティ向上の一助となることを目的として、企業における「Kubernetes」の活用について解説する。今回は、リクルートテクノロジーズにおいて筆者が取り組んだ事例を基に、コンテナ仮想化技術を本番環境で利用する際の取り組み、成果と課題、「なぜ最終的にKubernetesを活用する決断に至ったか」を説明する。 コンテナ仮想化技術を本番環境で利用する際の3つのフェーズ 昨今、コンテナオーケストレーションツール「Kubernetes」に注目が集まっています。本連載「先行事例に学ぶKubernetes企業活用の現実」では、サービスの開発、提供のアジリティー向上の一助となることを目的として、企業にお
図解:OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回では、RFCが公開されてから5年が経過した「OAuth 2.0」を振り返り、3つのユースケースを通じて、アクセス権限を受け渡す仕組みを紹介しました。OAuth 2.0はさまざまなユースケースに適用できます。その際、開発者はアプリケーションが動作する環境の特性を考慮しながら、仕様で定義されている処理を実装する必要があります。 今回は、脆弱(ぜいじゃく)性を作り込まないOAuth 2.0の実装手法を紹介し
データベース暗号化が必要な「理由」と「3大方式」を理解する
データベース暗号化が必要な「理由」と「3大方式」を理解する:今さら? 今こそ! データベースセキュリティ(5)(1/2 ページ) 本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は、「なぜ、データベースを暗号化しなければならないのか」について解説します。 連載バックナンバー 暗号化は万能ではない セキュリティ対策といえば「暗号化」を思い浮かべる人は多いでしょう。しかし、「セキュリティ対策=(イコール)暗号化」ではありません。 個人情報保護委員会によるセキュリティ対策ガイドライン「個人情報保護法ガイドライン(通則編)」には、「持ち運ぶ個人データの暗号化」「個人データを含む通信の経路又は内容を暗号化」というように、移動中のデータの情報漏えいを防ぐための手法の例として暗
マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。 連載目次 APIにおける認証/認可の仕組み 近年、金融や流通分野で注目されている「APIエコノミー」や「マイクロサービスアーキテクチャ」などの登場により、サービスの機能を「REST API」として提供することが当たり前になってきています。そして、REST APIを公開するためには、誰がアクセスしてきたのかを確認するための「認証(Authentication)」と、APIへのアクセスを誰に許可するのかという「認可(Authorization)」の仕組みが不可欠です。 しかし、複数のサービスがそれぞれ個別に認証/許可を
Visual Studio Codeの設定「虎の巻」:IDE編
Visual Studio Code(以下、VS Code)ではさまざまな部分をユーザーが自由に設定できるようになっている。画面の配色テーマもそうだし、エディタの表示方法も細かく調整できる。今回はそのうち、IDEを中心にVS Codeの基本設定のカスタマイズについて見てみよう。ただし、個々の設定項目について話を進める前に、VS Codeの設定について簡単にまとめておこう。なお、本稿ではWindows/64bit版のVS Code 1.22で動作を確認している(他の環境では異なる部分があるかもしれない)。 VS Codeの設定、基本の「キ」 VS Codeの設定には「ユーザー設定」と「ワークスペース設定」の2つがある(加えて、キーバインドの設定もあるが、これについては本稿では取り上げない。また、配色テーマとアイコンテーマは設定ファイルに記述されるので、以降で取り上げる)。 ユーザー設定はその
ReactとAngular2の使い方やコードの違いを状態管理、CSS適用、単体テストで比較する
ReactとAngular2の使い方やコードの違いを状態管理、CSS適用、単体テストで比較する:モダンなフロントエンド開発者になるためのSPA超入門(終)(1/3 ページ) フロントエンド開発のアーキテクチャである「SPA(Single Page Application)」について、開発に必要となる各種フレームワークの特徴や作り方の違いなどを紹介する連載。今回は、状態管理の方法やCSSの適用、単体テストの実装方法について比較し、ReactとAngular2の違いを明らかにする。 フロントエンド開発のアーキテクチャである「SPA(Single Page Application)」について、開発に必要となる各種フレームワークの特徴や作り方の違いなどを紹介する本連載「モダンなフロントエンド開発者になるためのSPA超入門」。 連載初回の「ゼロから学ぶ! Single Page Applicatio
「おれたちは日本一のCSIRTになる!」――リクルートのCSIRT飲み会に潜入してみた
サイバーセキュリティの世界で欠かせないのが、社内外での「情報共有」だ。そして最も円滑に機能する情報共有の場の1つに「飲み会」がある。 「重要な情報は全て酒席で交換されている」「セキュリティの世界においてアルコールの果たす役割は計り知れない」、そんなウワサも耳に入ってくる昨今だが、果たしてそれは本当なのだろうか? ウワサの真相を検証し、普段は見られないセキュリティ担当者たちの姿に出会うべく始まった本企画。今回は、リクルートテクノロジーズの皆さまにご協力いただきました。 「飲み会でもいつもセキュリティの話ばかり」――熱過ぎるRecruit-CSIRTの面々 ここは銀座のとある焼肉店。1つのテーブルからこんな会話が聞こえてくる。 「SHA-1衝突しましたね」 「SHA-256にすればいいんだろうけど、パフォーマンスがなぁ……」 「64bit CPUのソフトウェア実装だと、実はSHA-512/25
三菱UFJフィナンシャル・グループ、“振込”も可能な銀行APIの開放を発表
三菱UFJフィナンシャル・グループ(MUFG)は2017年3月6日、「MUFG{APIs}」を発表した。金融業界トップグループの決断で日本のFinTechは新たなステージに入ったことになる。 世界の金融界で広がる“APIエコノミー” 3月6日に開催された発表会では、MUFG{APIs}の説明に先立ち、オープンAPIについての勉強会が行われ、オープンAPIとはどういうものかについての解説があった。 そこでは、三菱UFJフィナンシャル・グループ デジタルイノベーション推進部 企画グループ シニアアナリスト 藤井達人氏により、「APIとは、あるアプリケーションから他のアプリケーションを利用するためのインタフェース」との説明が行われた。自社のAPIを公開するオープンAPIは、外部の開発者が容易にアプリケーションを開発・利用できるようにすることを狙ったものだ。 藤井氏はオープンAPIの実例としてGo
「データベース暗号化」の必要性と注意すべきポイント
「データベース暗号化」の必要性と注意すべきポイント:システムインテグレーションとセキュリティ(2)(1/2 ページ) “SI視点”に立って、システム担当者が考慮すべきセキュリティについて、身近な例を参考に解説する本連載。第2回のテーマは、前回に引き続き「データベースセキュリティ」です。特に、重要なデータを保護するために欠かせない「暗号化」について解説します。 連載目次 システム開発・運用担当者の視点から考慮すべき「セキュリティ」について解説する本連載。第2回のテーマは、前回に引き続き「データベースセキュリティ」です。 前回は「ユーザー管理」「監査証跡(ログ)」について解説し、これらの対策を適切に実施することでデータベース上での不正な操作を行いにくい環境を作ることができると説明しました。しかし、それだけでは、データファイルやDBバックアップファイルを“丸ごと盗み出す”ような不正行為には対処で
ID/アクセス管理の課題解決に欠かせない4つの視点
クラウド/モバイルを活用してシステムの柔軟性や利便性を向上しようとする企業が増えている。一方で、従来とは異なるシステム利用における課題も浮上してきた。企業がクラウド/モバイル活用で抱える課題とは何か。 クラウド利用におけるID/アクセス管理の課題 今、クラウドサービスは企業にとって当たり前の存在となりつつあり、多くの企業が明確な目的を持ってその活用に乗り出している。例えば、企業がアプリケーションやデータ、サービスをクラウドへ移行する大きな目的は、システム構築/運用コストの削減にある。また、自社の競争力や他社との関係性を維持、強化するために、社内外の人との緊密なコラボレーションを重視する方向に向かっているが、そうした目的でもクラウドが有効な手段となる。今後、活用度が深まるにつれ、自社のとっての効果と価値をさらに高める方法を模索することになるだろう。 そのとき、必ず行き当たる壁が「アイデンティ
Webサイトの満足度を上げる「UX(ユーザーエクスペリエンス)」の作り方
Webサイトの満足度を上げる「UX(ユーザーエクスペリエンス)」の作り方:エンジニアのためのWebデザイン基礎の基礎(6) デザイン初心者向けにWebデザインのイロハを解説する本連載。今回は、Webサイトの満足度を上げる「UX(ユーザーエクスペリエンス 利用者体験)」の作り方を解説する。 連載目次 Webデザイン初心者に向けて、機能的なWebサイトを作るポイントを解説する本連載。今回は、「UX(ユーザーエクスペリエンス 利用体験)」の作り方を解説します。 「UX(User eXperience ユーザーエクスペリエンス)デザイン」とは、その名の通り「『利用者体験』をデザインする」ということです。「WebサイトやアプリのUX」と表現する場合は、ソフトウエアの使い方満足度を指します。 UXの考え方 UX研究者や実務家の手でまとめられた「UX白書」を見ると、「ユーザー体験はこうして作られる」とい
PMBOK流:業務委託先の選び方
契約内容の監視コントロール ~「契約管理」プロセス(第12章5項) このプロセスは文字どおり、契約マネジメント計画書に基づいて契約した作業内容が適切に行われているかを管理する活動のことです。プロジェクト・チームの活動に関しては、作業の進ちょく状況を確認する「実績報告」プロセス(第10章3項)、プロジェクト・チームが生成した成果物の品質を確認する「品質管理」プロセス(第8章3項)、作業内容が変更になった場合にその変更を適切に管理する「統合変更管理」プロセス(第4章6項)などについて、これまでの連載で解説してきました。契約管理プロセスは、これらのさまざまなマネジメント・プロセスを納入者を対象として行うと考えると分かりやすいと思います。 契約を終了させる~「契約終結」プロセス(第12章6項) 外部の業者に委託した作業が完了し、成果物が納品された場合、納品された成果物の受け入れを行い、問題がなけれ
プロジェクトマネジメントスキル 実践養成講座
エンジニアとしてキャリアアップを考える際、ぜひ身に付けておきたいのがプロジェクトマネジメント(PM)のスキルだ。特に近年のシステム開発プロジェクトは低予算化・短期化が進んでおり、ただでさえ計画どおりにプロジェクトを運営することは困難になっている。こうした中、多くの現場で「経験のあるプロジェクトマネージャが不足している」という声を聞く。 しかし、PMスキルを実際に習得するとなると、これがなかなか難しい。ちまたにはPMBOK(Project Management Body Of Knowledge)をはじめとするPM関連の本があふれ、体系的に学習できる素材はそろってきた。しかし、実践的なものは少なく、理論と現場のギャップに戸惑うことも多々あろう。 そこで、この連載では実際の現場でよく見られるシチュエーションを取り上げながら、PMの実践的な勘所をケーススタディ形式で紹介していく。これからプロジェ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SREの考え方で“運用”を変えるインフラ基盤 大解剖
技術者の半数「将来は不安、だが勉強はしない」――IPA調査
