ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇
「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。 上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。 インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあ
クラウドは性能不足、企業システムが重過ぎる
無限とも思えるコンピュータリソースを擁するパブリッククラウド。ところが、新年早々のユーザー企業への取材で「クラウドは性能不足」との声が相次いだ。いずれもオンプレミス(サーバー設置型)で利用する業務システムをクラウドに移行しようとして壁に突き当たった。 「まさか、最初から最高性能のサービスを使うことになるとは思わなかった」。こう話すのは、社内システムのクラウド移行を積極的に進めるA社のIT担当者。サーバーをはじめハードウエアの調達や保守作業をオフロードする目的で、IaaS(インフラストラクチャー・アズ・ア・サービス)を活用する方針である。同社がつまずいたのが、販売管理や営業支援で活用するCRM(顧客関係管理)パッケージだ。 検証目的でクラウド上で動かしてみたところ、オンプレミスよりも遅い。原因を調べると、CPUがボトルネックとなり、データベース(DB)で遅延が発生していた。IaaSでは、仮想
「突然落ちて当たり前」にエンタープライズITは堪えられるのか?
少し前の話ですが、シアトルのアマゾン本社に出掛けて米Amazon Web Services(AWS)の幹部の前でプレゼンをする機会がありました。 前回のこの連載「AmazonがエンタープライズITを『ぶっつぶす』」でも述べたとおり、私は「AWSはクラウド時代の鍵となる存在」と考えています。その一方で、現状の日本のエンタープライズITシステムをAWSに移行させるには、技術的、社会的にハードルがあり、簡単ではないとも見ています。 野村総合研究所(NRI)はAWSが日本で最初に認定したプレミアコンサルティングパートナーです。AWSを使ったシステム構築の経験は既に幾つもあります。その経験から率直に言うと、AWSを使ったシステム構築は喧伝されるほど容易ではありません。 こうした問題意識があったのでこの機会に、日本のエンタープライズITの現場の実情をAWSの幹部に理解してもらい、システム構築や運用を容
個人番号カード普及に妙手?総務省がカードケースを配布へ
2016年1月から、マイナンバーの個人番号カード配布が始まる。総務省は、そのカードを収納できる専用ケースを配布する方向で話を進めている。ケースに入れれば、カードに記載された情報の一部を隠すことができる。 プライバシーへの配慮に加えて、カード裏面に記載されたマイナンバーなどを法定外に利用されないようにする目的がある。希望者に配るカードの枚数を、できるだけ増やそうという狙いも見える。 希望者に無償交付する個人番号カードは、表面に氏名や住所、生年月日、性別、個人番号、顔写真を記載することが法律で定められている。住所変更などで利用するサインパネル領域や、臓器提供の意思表示欄も設けられる。 マイナンバー法改正案の国会審議では、個人番号カードに記載された情報が見えてしまうことを、プライバシーの面から問題視する意見が出ていた。例えば、性同一性障害者にとって性別は知られたくない情報である可能性が高く、配慮
「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた
「なぜ、単なる十数ケタの数字の羅列が、個人情報として保護の対象になるのか、そこがさっぱり分からないんですよ。企業ごとの自主的な規制ではダメなんでしょうか…」 2015年3月10日に閣議決定した個人情報保護法の改正案(ITpro関連記事:個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲)を巡り、企業や経済団体の担当者から、取材の場でこうした疑問をぶつけられた。 担当者を困惑させているのが、個人情報の定義を明確化するという名目で新たに導入される「個人識別符号」という概念だ。個人の氏名だけでなく、政府や民間企業が個人に割り当てた符号(数字や文字)を含む情報も、個人情報として保護の対象になる。 企業や経済団体は、個人情報保護法改正案のどこに、違和感を覚えているのか。経済団体への取材を基に、改めて「符号を法的保護の対象にする」ことの意味について考えてみたい。 国会審議で明らかになった個人
[スクープ]みずほの次期システムはマルチベンダー、4社に分割発注
みずほ銀行が次期システムの開発をマルチベンダー体制で進めることが日経コンピュータの取材で判明した。富士通、日立製作所、日本IBM、NTTデータの4社に分割発注する。ハードウエアの調達とアプリケーションの開発を分離し、さらに預金や融資といった機能ごとに開発委託先を変える。大手4社に発注を分散させることで、総額4000億円を超えるとみられる大規模プロジェクトにおける技術者確保などに万全を期す。 委託内容と発注先との関係は次のとおりだ(図)。勘定系システムの中核をなす「流動性預金」のアプリケーション開発は、富士通に委託する。富士通はみずほ銀が現在使っている勘定系システム「STEPS」の開発元である。 流動性預金のアプリケーションの動作プラットフォームには、日本IBM製メインフレームを使う。みずほ銀は「CIF(カスタマー・インフォメーション・ファイル)」や「処理フロー制御」など、各アプリケーション
![[スクープ]みずほの次期システムはマルチベンダー、4社に分割発注](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
人材危機(1)労務費高騰で事業が止まる
職人や技術者の不足が深刻化している。人手不足によって需給バランスが崩れ、職人の労務費は上昇の一途。それが建設コストの上昇につながり、影響は全国に広がる。日経アーキテクチュアと日経コンストラクションは、職人不足の弊害や実勢コストなどを継続的に取材。6月24日に書籍「人材危機―建設業から沈む日本」を発行した。3回にわたって、人材危機の現状をリポートする。 建設コストが事業者の収益を圧迫し、プロジェクトそのものを白紙に戻す動きが現れ始めた。労務費高騰が北海道新幹線の開業を見据えた開発計画を直撃。JR函館駅前で計画が進んでいた2つのプロジェクトが相次いで白紙に戻り、2016年3月の新幹線開業に間に合わない公算が高くなった。 JR函館駅周辺の位置図。駅に隣接する敷地で計画されていた複合施設とホテルが、労務費高騰を理由に白紙に戻った(資料:函館市の資料とJR北海道への取材をもとに日経アーキテクチュアが
ヤフーとCCC、Tカード購買履歴とWeb閲覧履歴を相互提供へ
ヤフーは2014年6月2日付けでプライバシーポリシーを改訂する(Yahoo! JAPANからのお知らせ)。カルチュア・コンビニエンス・クラブ(CCC)がTカードで収集した商品購入履歴と、ヤフーが収集したWeb閲覧履歴を互いに共有できるようにする。2012年6月に始まったヤフーとCCCの連携が、ポイント共通化の段階を超え、ユーザーの属性情報や履歴情報の共有にまで歩を進めることになる。 ヤフーは、新たなプライバシーポリシーの文章を6月2日に公開する予定で、同日に有効になる。情報連携を望まないユーザーにはオプトアウト(情報提供の停止)の仕組みを用意する。オプトアウトの告知日や告知方法は「現在調整中」(ヤフー広報)。オプトアウト告知を含め、プライバシー侵害を懸念するユーザーを納得させる枠組みを作れるかが情報連携の成否を左右しそうだ。 相互提供の対象になるのは、ヤフーのユーザーID「Yahoo!JA
マイナンバー民間活用、「個人番号カードを使った本人確認」が有望
内閣府番号制度担当室長の向井治紀・内閣官房審議官(写真)は2014年5月15日、2016年スタートの行政手続番号法(マイナンバー制度)の民間利用について、「ネットバンキングの申し込みなどに公的個人認証の利用が考えられる」と述べ、個人番号カードによる公的個人認証の民間活用が有望な形態の一つになると指摘した。「富士通フォーラム2014」の講演で語った。 個人番号カードは住基カードを廃止して乗り換えられる。個人番号カードでは、対面で本人確認と番号確認が同時にできる。また、2017年1月をめどに開始する「マイ・ポータル」(情報提供等記録開示システム)のログイン手段として公的個人認証に利用される。番号法の改正で個人番号カードによる公的個人認証は、民間にも開放される。 個人番号の利用範囲は現行法では税と社会保障、災害対策の3分野。向井審議官は、それ以外にも「社会保障、地方税、防災に関する事務その他これ
三菱東京UFJ銀行でシステムトラブル、約30億円が定期振込できず
三菱東京UFJ銀行は2014年4月30日、定期自動送金サービスを担うシステムにトラブルが生じ、当日中に振り込みができない事象が発生したと発表した。約2万3000件の契約について、合計約30億円が振込先に入金できなかったという。 トラブルが起きたのは、決まった振込先に対して定期的に定額を振り込む「定期自動送金サービス」。4月30日付けの振り込みの一部が送金できなかった。システムに「想定外の処理が発生した」(広報)ためだ。 定期自動送金サービスのシステムは、振込日の前日に、1000件単位で契約内容をチェックし、送金処理を実施している。前月分の振り込みで同サービスを解約した契約については、当月分からは送金の必要はないものして扱われる。 具体的には、契約内容のチェックにおいて、契約の継続が確認できたものは、翌日朝に送金処理が実行されるが、確認できないものについては、解約したものとして「データなし」
ベンダーとIT部門がぶち切れた“仕打ち”の理由
「素晴らしいご提案ですね」と、ある製造業のシステム部長は唸った。その企業はグローバル展開の強化に向けて、SCM(サプライチェーン管理)関連で新たなシステムを導入しようとしていた。この分野でのシステム構築に多くの実績があるSIerに提案を依頼したところ、このSIerはまさに唸るような提案を出してきたのだ・・・。 あらかじめ断っておく、これから始まる“悲劇”は実話ではない。ただし架空の話でもない。複数のITベンダーの営業担当者やユーザー企業のシステム部長らから聞いた話を基に組み立てたストーリーである。だが、ここまで劇的な展開ではないとしても、特に大企業がやってしまう“人でなしの所業”とその結果生じるトラブルには思い当たる読者も多いはずだ。 さて、この製造業のシステム部長がSIerの提案を評価したのは、単にその内容が素晴らしいからだけではなかった。彼らが2カ月かけて経営層や事業部門に対して行った
[2015年問題2]大手でも低い利益率、日本流SIビジネスの構造問題
多重下請けのピラミッド構造を前提とした現行のSI(システムインテグレーション)モデルは、もう限界点に達している。2015年問題は、急激な技術者不足とその後の人余りにより、この構造に属する業界の各社に大きな苦難を強いる。 だが日本流のSIビジネスを構築する過程で日本のIT業界では、大手IT企業ですら営業利益率が6.7%と低く抑えられてしまった(図1)。最大手のNTTデータは2013年度上期に、SIの不採算案件のため250億円の損失を被った。一括受託を前提にIT企業がプロジェクト失敗のリスクを負うSIビジネスでは、そのリスクが大きな変動要因として効いてくる。各社はリスク管理と収益確保に向けた対策を打ち出しているが、元請けの企業ですら利益を出すのに苦心している。まして競合がひしめく2次請け、3次請けが利益を出すのはさらに困難になる。
ソチ五輪のバックボーンネットワーク---大会初、ネット仮想化やBYODをフル活用
2014年2月7日(現地時間)に開幕する第22回オリンピック冬季競技大会(ソチオリンピック)。大会最終日の2月23日(同)まで、様々な種目で熱戦が繰り広げられる。 日本からも、フィギュアスケート、スピードスケート、スキー・フリースタイル、スキー・ジャンプ、カーリングなど各種競技に数多くの選手が出場する。欧州で開催されるオリンピックのときはいつもそうだが、日本選手を応援しようとテレビ観戦すると、どうしても深夜帯が多くなってしまい、寝不足の日々が続くことになりそうだ。 競技の様子はテレビだけでなく、インターネットなども使って世界各国に配信される。もちろん、競技に参加したり観戦したりするために、世界中から多くの人々がソチを訪れる。こうしたオリンピックを支えるネットワークは、年々重要さを増している。 その背景には、スマートフォンなどネットワークに接続する端末が増加したことや、「動画配信」のニーズが
700万点の工具や部品を通販、「モノタロウ」急成長のカラクリを暴く
ネジやボルトのような部品からドリルやドライバーなどの工具、軍手やマスクといった消耗品。一見すると、どこでも買えそうな汎用品ばかりで、利幅は薄そうに思える。この常識を逆手に取って、急成長を続けている異色の企業がある。兵庫県尼崎市に本拠を構える、ネット通販のMonotaRO(モノタロウ)だ(写真1)。 モノタロウの2013年12月期連結売上高は、前期比20.2%増となる345億円。13期連続で増収を達成し、過去5年で2.5倍に膨らんだ。「2014年度はさらに2割増やし、400億円を突破したい」と同社の鈴木雅哉社長は意気込む(写真2)。利益率も高い。営業利益は38億円(前期比32.8%増)を計上し、過去最高を更新した。成長期待の高さから、株価も2年で4倍になった。 「ロングテール」と「ビッグデータ」。 モノタロウが快進撃を続けている理由は、この二つに集約できる。米アマゾン・ドット・コムをネット通
XPサポ切れ対策待ったなし、個人PCならぜひ脱Windowsを
Windows XPのサポート切れ間で、残り60日を切った――。今日開幕したソチオリンピックにしろ、2月9日に投票日を迎える都知事選にしろ、“Xデー”が差し迫るとニュースなどで目にする機会が増え、おのずと関心の度合いが高まるものである。Windows XPのサポート切れ問題も、大手企業や行政機関を除けば、これから本格的に関心が高まって対策が模索されることと思う。 米Net Application社の調査によると、デスクトップOSにおけるWindows XPのシェアは2014年1月時点で約30%(29.23%)と、Windows 7の約50%(47.49%)に次ぎ、2位の座を占める(調査結果のWebページ)。 1年前の約40%(39.51%)より10ポイントほど低下したものの、今なお高い水準にあるわけだ。これらのPCがセキュリティリスクにさらされるとなると、大きな混乱が生じる危険性があること
JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼
日本航空(JAL)は2014年2月3日、同社が運営する「JALマイレージバンク(JMB)」の会員Webサイト(画面)への不正ログインが判明し、JMB会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した。 JAL広報部の説明によれば、1月31日から2月2日までに7人のJMB会員がコールセンターに「身の覚えのない特典交換をされた」という問い合わせをした。JALが調査したところ、不正ログインによる「Amazonギフト券」への交換の可能性が疑われたため、2月2日16時までにAmazonギフト券交換サービスを停止した。不正交換の可能性があるJMB会員は約60人で、JALが個別に事実確認を進めている。 現時点では「Amazonギフト券」以外への特典交換の影響は確認されていないという。だが、不正ログインに至った経緯の全容が明らかになっておらず、今後影響が広がる可能性が
「SIガラパゴス」を育んだIT部門の罪
日本のIT産業は、世界に類を見ないユニークなエコシステム(生態系)をつくり上げた。大手SIerを頂点とする多重下請け構造のピラミッドから成るITサービス業のことだ。日本だけで独自進化し一大産業として繁栄した。私はこれを「SIガラパゴス」と呼ぶ(関連記事:日本だけ!「SIガラパゴス」に明日はあるか)。 極めて便利な存在であるため、ユーザー企業はこの生態系を育んだ。その結果、日本企業のIT活用は今や欧米企業に比べ周回遅れで、新興国の企業にも追い抜かれようとしている。 米国のITベンダーの日本法人社長は、本社の幹部から「なぜ日本にはITサービス会社があんなにたくさんあるのか」とよく聞かれるそうだ。米国にもアクセンチュアやEDSのような企業は存在するが、数は限られているからだ。そして回答に苦慮する。 「日本のユーザー企業は独自仕様のシステムを作りたがるのに、その開発を外部委託することが多いから」。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界初! 台湾・高雄で“全線架線レス”の路面電車を建設中
「Excel方眼紙」の何が悪い?