情報科学若手の会とは、情報科学に携わる学生、若手研究者、エンジニアのディスカッションと交流の会です。NTT東日本特殊局員の登氏が政府に配布停止要請されたVPNソフトの話など、シン・テレワークシステムの開発のもととなった数々の経験を開発秘話として講演しました。まずは登氏が作ったSoftEther VPNについて。全4回。 ネットワークをもっとやりたいという方々を増やしたい 登大遊氏(以下、登):本日は長い歴史があり、名誉ある「若手の会」で講演の機会をいただき、ありがとうございます。先ほどコメント欄も拝見しましたが、自宅の1Uサーバーを持っている方がどうとか。 本日の主題は、どうすればそういうみなさんのような方々が、日本の中でもっとたくさん増えるのかなということが1つ。2つ目は、自宅ラックのようなことを大規模にやろうとすると、どうしても家の中だけでは壁がありまして、そこをどう乗り越えるかという
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。 アあらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。イあらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。ウ新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。エ新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。 パスワードを忘れたユーザーを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザーの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重
天才プログラマーの「けしからん」革命|NHK
SPECIAL 追跡!ネットアンダーグラウンド 天才プログラマーの「けしからん」革命 2021.10.06 : #サイバーセキュリティ/#研究開発/#IT・ネット 日本からGAFAのような革新的なサービスを世界に提供するIT企業は生まれるのか? 「十分にできる」 確信を持って言い切る男性がいる。登大遊、36歳。天才プログラマーと呼ばれ、ソフトウエア開発の分野で数々の実績を残してきた登さんが考える、イノベーションを起こすためのキーワード。 それは「けしからん」 ついつい、既存のルールや常識にばかり気を取られがちな人にこそ、読んで欲しい。「アメリカや中国に十分勝てる」と言い切る登さんからのメッセージだ。
高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」
神奈川県教育委員会が2024年1月4日にリリースした、公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生が出願用アカウントを作成できない問題が起きている。 15日夜時点でも解消しておらず、県教委は受験生に対して、「@gmail.com以外のメールアドレスで登録してほしい」と呼び掛けている。 このシステムは、公立高校の2月入試に出願する受験生などが利用する。中学校で受け取った書類に書かれたURLから出願サイトにアクセスし、メールアドレスなどを登録して「志願者アカウント」を作成すると、出願サイトへのログインに必要な「登録番号」がメールで届く、という流れだ。 だが、登録したメールアドレスが「@gmail.com」の場合、登録番号入りのメールが届かない不具合が起きているという。 新システムによる出願は1月4日に受付スタート。
日本は研究開発を進化させ、1990 年代にはさまざまな産業分野で世界トップになりました。 ICT の分野でもこれが可能であり、そのためには「おもしろインチキ ICT 技術開発」が必要になる、と登さんは語ります。 日本の ICT とセキュリティ技術の生産手段確立と産業化の実現について、JAIPA Cloud Conference2021 に登壇された、登大遊さんのお話をまとめました。 登 大遊 氏 プロフィール VPN システムやテレワーク技術等を開発・製品化。オープンソースで全世界に 500 万ユーザーを有する。外国政府のけしからん検閲用ファイアウォールを貫通する研究で博士 (工学) を取得。2017 年より独立行政法人 情報処理推進機構 (IPA) サイバー技術研究室を運営。2020 年に NTT 東日本に入社して特殊局を立ち上げる。ソフトイーサ株式会社を 16 年間経営中。 登大遊氏が
伝えたいことは全てタイトルに書いた。 動機 https://github.com/topics/awesome を眺めていて本当にawesomeなものばかりだった (割にあまりどこにもそのawesomeさが書かれていないように見えた) ので書く。 awesomeリストとは GitHub で使われる慣習的なリポジトリについてまとめてみた#awesome より: 「特定テーマに関するキュレーションを行うリポジトリ。Markdown のリスト表記で一覧化するのが一般的。また、Contribution も受け付けている(人気のあるリポジトリはガイドラインも厳しめ)。」 Where? ここのことです: https://awesome.re/ 画像はリポジトリから引用。 What? What is an awesome list? よりDeepL翻訳 awesome マニフェスト もしあなたのリストを
NTT 東日本 - IPA 「シン・テレワークシステム」 - セキュリティ機能の大規模アップデートと実証実験の現状報告
「シン・テレワークシステム」 セキュリティ機能の大規模アップデートと実証実験の現状報告について 2020 年 5 月 14 日 「シン・テレワークシステム」 開発チーム 昨日、2020 年 5 月 13 日をもちまして、「シン・テレワークシステム」のユーザー数が 2 万人を超えました。テレワークの効果等により、新型コロナウイルスの感染者数は減少していますが、まだ油断をすることはできません。この機会に、「シン・テレワークシステム」公開後 3 週間経過時の現況と、この大規模な実証実験のコスト効率と社会的効果について、お知らせをしたいと思います。 また、本日、「シン・テレワークシステム」を大規模な企業 LAN などのセキュリティ・ポリシーが制定されている環境向けや、行政情報システムなどの高いセキュリティ・レベルが必要とされているネットワーク向けで利用できる、多数のセキュリティ機能を実装した新バー
テストコードを書き始める前に考えるべきテストの話(2021年版) #scrumosaka / scrum_fest_osaka_2021
以下のイベントの投影資料です。 https://confengine.com/conferences/scrum-fest-osaka-2021/proposal/15337 お問い合わせは https://twitter.com/nihonbuson まで。 【発表資料中のURL】 P12 ISTQBテスト技術者資格制度 Foundation Level シラバス 日本語版 Version 2011.J02 http://jstqb.jp/dl/JSTQB-SyllabusFoundation_Version2018V31.J03.pdf#page=15 ※2011年版は現在リンク切れのため、最新版のシラバスのURLを掲載しています P17 概説テスト分析 http://www.slideshare.net/takashiyamasaki378/ss-55384920 P29 システム/
要件定義を専門でやる技術者(Requirement Engineer)に関する雑感 - 勘と経験と読経
タイムラインに流れていた『もう発注側企業に要件定義能力はないので、要件定義を専門でやる技術者(Requirement Engineer)が世界でも日本でも出てきている』という話に関する極めて個人的な雑感。あるいは記憶のダンプ。 b.hatena.ne.jp 要件定義を専門でやる技術者(Requirement Engineer)の話はいつか来た道 要件定義を専門でやる技術者という話は新しい話ではなく、ゼロ年代後半から議論がされていたものである。 ゼロ年代後半というと、SIerを中心にわりと適切なプロジェクトマネジメント方法論が普及しはじめて、「要求された通りのシステムは開発できるようになってきた」という時代だ。 一方で「システムは開発できるが、要件定義がゴミだと、完成するシステムもゴミ」という問題が残っていて、要件定義の高度化や専門家育成の議論があったのだ。 要求開発~価値ある要求を導き出す
Hiromitsu Takagi on Twitter: "私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、社会への悪影響(直ちに公表することが有効である事案が眠ってしまう)も無視できないのであるから、IP… https://t.co/UMZMnodpiE"
私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、社会への悪影響(直ちに公表することが有効である事案が眠ってしまう)も無視できないのであるから、IP… https://t.co/UMZMnodpiE
「あとで読む」タグで振り返る2021年 〜今年の「あとで読む」、今年のうちに〜 - はてなブックマーク開発ブログ
今年も残すところあと少し。皆さんにとって、2021年はどのような一年でしたか? はてなブックマークでは今年もたくさんのエントリーがブックマークされ、コメント欄も盛り上がりました。 データで見る「あとで読む」 年末ということで、今回は「あとで読む」タグにフォーカスしたデータを集計しました。全ブックマークを対象にした「あとで読む」率、カテゴリー別「あとで読む」率、「あとで読む」が多いエントリーランキングを通して、2021年のはてなブックマークを振り返ってみましょう。 全ブックマークを対象にした「あとで読む」 率 カテゴリー別 「あとで読む」 率 「あとで読む」 タグが多いエントリーは? TOP10ランキング 「あとで読む」タグの数が多かったエントリーランキング カテゴリー別「あとで読む」率の高かったエントリーランキング 気になった記事を気軽に保存できる「あとで読む」機能 2021年の「あとで読
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配:ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構(IPA)サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。
近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。 ガイドラインの内容 ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。 本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施する
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳
2020年6月1日追記:私はいわゆる「純ジャパ」の「文系エンジニア」だが、どちらの言葉もあまり好きではない。タイトルはこれらの言葉の普及を皮肉ったものだ。 エンジニアを狙った悪質な情報商材が増えているようだ。皆様にも用心していただきたい。 はじめに日本人は英語ができないとよく言われるが、本当だろうか。ヨーロッパで数年勤めた今、残念ながらこれは事実として認めざるを得ない。度々挙がる「TOEIC900点論争」などを見ても明らかなように、海外で要求される語学力は国内での一般的な理解と乖離している。経済的競争力があった親世代の駐在員とは違い、我々の多くは現地の従業員と対等な立場で仕事をすることになる。 高い人事評価を得るには、仕事の対象を個人<チーム<チーム横断<組織全体<業界全体というように拡大していく必要があり、これには高度な言語能力が不可欠である。20代に技術一本で海外を渡り歩いたが、気づけ
システム開発にドキュメントは欠かせません。ドキュメントが得意になれば活躍の幅が大いに広がりますよね。 この記事では、まず冒頭でドキュメントの作成に求められると思うことを整理した上で、そのスキル獲得に役立つと思われる記事や書籍を集めてみました。もちろん他にもあると思うので、もしお薦めのものがあれば是非コメントで教えて下さい 更新履歴 ・2021/04/16:文章術系にリンクを追加しました。 ・2020/11/28:文章術系にリンクを追加しました。 ・2020/07/24:文章術系にリンクを追加しました。 ・2020/05/24:文章術系にリンクを追加しました。 ・2020/05/14:スライドデザイン系にリンクを追加しました。 ・2020/04/29:スライドデザイン系にリンクを追加しました。 ・2020/04/17:文章術系にリンクを追加しました。 ・2020/04/12:関連するTwit
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
![[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/675b9f7ba022b69269412062d62e4128f16d5b33/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F10%2F2021_aws_security_all_1200_630.jpg)
情報処理推進機構(IPA)は3月10日、2021年に起きた情報セキュリティ事案を基に、社会的影響の大きさをまとめたランキング「情報セキュリティ10大脅威2022」について、ランクインした脅威の動向や対策をまとめた資料を公開した。ランサムウェアや標的型攻撃、フィッシング詐欺といった脅威の特徴や手口を、約60ページに渡って解説している。 情報セキュリティ10大脅威2022はIPAが1月に策定。組織向けTOP10と個人向けTOP10で2つランキングを公開しており、組織向けでは「ランサムウェア」「標的型攻撃」「サプライチェーン攻撃」などが、個人向けでは「フィッシング詐欺」「ネット上での中傷やデマ」「メールやSMSを使った詐欺・脅迫」などが上位に入った。 今回公開したのは、2月に公開した個人向けTOP10の解説資料に、組織向けTOP10の解説を加えて編集し直したもの。追記部分では、組織向けTOP10
IPA(情報処理推進機構)は10月26日、日本企業のDX推進をめざして2021年11月に公開した「DX実践手引書 ITシステム構築編」に、DX実践の課題を克服した事例やAPI活用事例、API全体管理やアジャイル開発といった技術要素の解説を追記し、完成版を公開した。 IPAは2021年11月、DX未着手・途上企業の担当者を技術的側面から支援するため「DX実践手引書 ITシステム構築編」を公開し、DXを実現するためのITシステムとそれを構成する技術要素群の全体像を「スサノオ・フレームワーク」として提示した。その後も同フレームワークとクラウド、IoT、APIといった技術要素の関連を追記するなど改訂を続けてきた。今回、DXに先行して取り組んだ企業がぶつかった課題を克服した事例や、技術要素としてのAPI活用事例とAPI全体管理、アジャイル開発の解説を追記し、完成版を公開した。今回追記した主なポイント
はじめにこの記事は、放送大学の(主に情報コースを中心とする)学生さん向けに、私の履修済み科目の感想と主観的評価を共有して、履修計画の参考にしていただくことを目的に作成しました。下記の記事の通り、2019年-2020年の2年間で情報コースの科目を8割方履修したのでそれなりの網羅性があるかと思います。 (2023年2月追記)その後、選科履修生として履修した他コースの科目や大学院科目などを追加して112科目掲載しています。試験難易度については履修時期によって会場試験・在宅ペーパー試験・在宅Web試験が混在しているので参考程度でお願いします。 タイトルは私が現役生の時に通っていた大学の似たような評価システムから拝借しました。 以下の科目は基本的にナンバリングが低い順に並べています。閉講済みの科目も混じっていますが、記録と後継科目の参考のために残しておきます。あくまで全て(上記の記事にある通り、文系
CORSの仕様はなぜ複雑なのか
Webアプリケーションを実装していると高確率で CORS の問題にぶつかります。CORSがどのようなものかはリンクしたMDNなど既存の解説を読むのが手っ取り早いと思いますが、「なぜそのように設計されたのか」という観点での説明はあまり見ないため、昔の資料の記述や現在の仕様からの推測をもとに整理してみました。 CORSとは 現代のWebはドメイン名をもとにした オリジン (Origin) という概念 (RFC 6454) をもとに権限管理とアクセス制御を行っています。その基本となるのが以下のルールです。 Same-origin policy (同一生成元ポリシー): 同じオリジンに由来するリソースだけを制御できる。 上記Wikipedia記事によるとSOPの概念は1995年のNetscape 2.02に導入されたのが最初のようです。当時のドキュメンテーションを読む限り、これはウインドウ越しに別
※ 直近2年間で高度試験に合格していれば免除 攻略の定石 〜過去問〜 ChatGPTの話題の前に、受験する皆様に絶対に伝えておかねばならないネスペひいては情報処理技術者試験共通の対策定石があります。それは 過去問をやれ です。これに尽きます。 勉強スケジュールを決めるとか目標をどうのこうのとかありますがそれは人によって合う合わないがあります。 しかし過去問をやれだけは全人類共通の対策方法になります。特に午前問題は過去問に100%答えられるなら新規問題の割合は多くないので確実に合格します! 午後問題も、過去問と同じ単語を答えさせる問題が何回か出てくるので、「この単元・単語が好きなんだな」みたいな傾向がわかったりします。それ以上に 「どれぐらいの粒度でどのような観点の回答をすべきか」 を抑えることができるので、具体的な習得目標ができ、「全く過去問を解かなかった人」と比べると大きなアドバンテージ
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
NVIDIAと滋賀大学は9月8日、データサイエンス教育用の講義資料「DLI データサイエンス教育キット」の日本語版の無償提供を始めた。同資料はNVIDIAのデジタルスキル育成プログラム「Deep Learning Institute」(DLI)の講義資料で、滋賀大学が日本語に翻訳したもの。教育機関の教員向けに提供する。利用にはNVIDIAの開発者アカウントが必要。 講義資料では「データサイエンスとRAPIDSの入門」「データ収集と前処理(ETL)」「データセットにおけるデータ倫理とバイアス」「データ統合と分析」「データビジュアライゼーション」「Hadoop、Hive、SparkとHBaseによるスケールと分散コンピューティング」「機械学習(分類)」「機械学習(クラスタリング、次元削減)」「ニューラルネットワーク」などの分野を取り上げる。 資料の元になった「DLI データサイエンス教育キット
2月29日に、文化庁で「文化審議会著作権分科会」の第7回が開催されました。著作権の専門家によってその制度について議論をする場ですが、今年度は2023年7月より「AIと著作権」について議論されてきました。3月に文化庁から政府に報告する「AIと著作権に関する考え方について(素案)」の最終案に近いものが発表され、1月下旬から2月上旬にかけて募った「パブリックコメント(パブコメ)」の結果報告もされるということもあり、注目されました。登場したのは「AIと著作権に関する考え方について(素案)令和6年2月29日時点版」、パブコメの結果を受けて、これまでの内容に微修正が施されていました。しかし、そこからわかったのは、文化庁の一貫したスタンスでした。 文化庁 文化審議会 著作権分科会 法制度小委員会(第7回) パブコメへの反応は「素案の内容周知」 発表物から議論を集めたのが発表資料に「パブコメの結果」が追加
はじめに 飲み物じゃないIPAをご存じでしょうか? 漢字でいうと、独立行政法人 情報処理推進機構ですね。情報処理技術者試験を実施いる謎の組織という認識の方も多いと思います。 実はIPAはいろんなドキュメントを公開していてQiitaやZenn以上にお役立ちなサイトなのです。 まあ、AWSをどうこうとか、FireabaseやNext.jsのようなキラキラした奴は基本載ってないので特に代替えするものではないですが、ブログとかはまた種類の違った情報があるので個人的には結構使うことあります。しかも 「日本語」! こういう感じの事をTwitterでつぶやいたところ意外にイイねをされたので、せっかくだしどんなドキュメントがあるかちょっと紹介したいと思います。 セキュリティ関連NIST文書 まずはNISTドキュメントの翻訳版! これは良いですよね。NISTはアメリカの米国国立標準技術研究所で、セキュリティ
インターネットの父、村井純氏 田中邦裕氏(以下、田中):よろしくお願いします。ここから60分間、登さんと村井先生という、濃いキャラを2人お迎えして、どのように進めていこうかと、悩ましいところですけれども、最大限お二人の魅力を引き出していきながら、けしからん話をしていければなと思っていますので、どうぞよろしくお願いします。 では、最初に自己紹介を軽くしていただければなと思います。お二人のことはみなさんすでにご存じかと思いますが、村井先生から軽く自己紹介いただいてよろしいでしょうか。 村井純氏(以下、村井):慶応大学の村井です。今日はちょうど「WIDE(WIDEプロジェクト)」の合宿をやっていて、そこからここへ来たので、髭も剃っていないし(笑)、WIDEの合宿の時はガッと(予定を)ブロックしているので、けっこう久しぶりにいろいろな話がじっくりできる時だと思います。 今日はこのシャツを着てきまし
情報処理推進機構(IPA)は4月25日、これまでは年2回の実施だった基本情報技術者試験(FE)と情報セキュリティマネジメント試験(SG)をいつでも受験できるようにすると発表した。2023年4月からは、受験者が都合の良い日時を選択して受験できるようになる。「受験者の利便性向上を目指す」(IPA)といい、試験時間や出題範囲も変更する。 これまで午前中に150分行っていたFEの「午前試験」は、「科目A試験」に名称を変更し、試験時間を90分に短縮。問題数は80問から60問に減らす。午後に150分行っていた「午後試験」は100分に短縮するが、問題数は11問から20問に増やす。回答する問題を受験者自身が選べる「選択問題」は廃止する。 科目A試験の出題範囲は、午前試験から変更しない。科目B試験は、これまで出題範囲の一部だった「情報セキュリティ」と「データ構造及びアルゴリズム(疑似言語)」を中心とした構成
大渕雄生 @obuchi_yuki 私がプレゼンをするときに特に気を付けていることをまとめてみました!IPA未踏でのプレゼンやピッチなんかの時にこれを意識しながら作ってます。 「ご清聴ありがとうございました」はダメ!とかは私も最近知りました… pic.twitter.com/BxusCGPA1D 2020-06-10 21:46:40
登大遊氏、日本は「超正統派」のICT人材を育成すべき。そのために、自由な試行錯誤を許容するインチキネットワークの普及に取り組む(前編)。JaSST'22 Tokyo
登大遊氏、日本は「超正統派」のICT人材を育成すべき。そのために、自由な試行錯誤を許容するインチキネットワークの普及に取り組む(前編)。JaSST'22 Tokyo 2022年3月10日と11日の2日間、ソフトウェア業界のテスト技術力の向上と普及を目指すイベント「ソフトウェアテストシンポジウム JaSST'22 Tokyo」がオンラインイベントとして開催されました。 イベントの最後には、招待講演として登大遊氏による講演「世界に普及可能な日本発の高品質サイバー技術の生産手段の確立」が行われています。 登氏は講演で、優れたICT技術を日本から生み出すためには「超正統派」なICT技術者を育てるべきであり、そのために登氏自身が中心となって登氏が「インチキネットワーク」と呼ぶ、固定IPアドレス取り放題でBGPで遊べる自由な試行錯誤を許容するネットワークとコンピューティングの環境を、IPA(独立行政法
情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................
SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ
SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて,Yに対し,その調査と報告を依頼した。 その結果,本件システムには,SQLインジェクション対策が不十分という脆弱性が判明したことから,XはYに対し,その脆弱性はYの被用者の故意過失によって生じたものであるから,使用者であるYには使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システ
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
私のセキュリティ情報収集法を整理してみた(2020年版) - Fox on Security
新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。 ※私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。」、およびその記事の元となった根岸さんの2011年の「私のセキュリティ情報収集術」の影響を強く受けて、自分なりに試行錯誤しているものです。必ずしも多くのセキュリティ担当の方に向いている情報収集のやり方ではないかも知れません。 ■インプットに使っている情報ツール 情報収集に使っているツールはそんなに変わってません。忙しいセキュリティ担当の方は、いかにRSSをうまく使いこなすかがカギになるのかと思います。 ツール キタきつね寸評 備考(リンク) RSS Reader 去年から海外ニュースを拾うのに使い勝手が良かったので、このソフトを使っていま
2021.05.21 働き方 落合陽一登大遊イベント 4月13日から17日にかけてエンジニアtypeが開催したオンラインカンファレンス『ENGINEER キャリアデザインウィーク』(ECDW)。本イベントの基調講演に登壇したのは、登大遊さんと落合陽一さんのお二人。 前編の記事に引き続き、本記事ではセッション後半の参加者からの質疑応答パートの内容を、一部抜粋してご紹介しよう。 >>前編記事も合わせて読む 登 大遊さん(写真左) 1984年兵庫県生まれ。2003年に筑波大学に入学。同年、IPA(独立行政法人情報処理推進機構)の「未踏ソフトウェア創造事業 未踏ユース部門」に採択、開発した『SoftEther』で天才プログラマー/スーパークリエータ認定を受ける。17年、筑波大学大学院システム情報工学研究科博士後期課程修了。博士 (工学)。現在、IPAサイバー技術研究室長のほか、ソフトイーサ株式会社
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
けしからんSoftEther VPNを作ったら怒られた 登大遊氏のVPN構築ソフトを日本政府が配布停止した理由
基本情報技術者平成28年春期問40 パスワードリマインダ
登大遊氏が語る「おもしろインチキ ICT 技術開発」の重要さとは - さくマガ
GitHubのawesomeリストが本当にawesomeなものばかりだから一度見てほしい - Qiita
セキュリティーチェックシートという闇への防衛術 - Qiita
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
純ジャパ文系エンジニアが語る海外で1XXX万円稼ぐ英語術
ドキュメント作成スキル向上を目指す人向けおすすめ記事まとめ - Qiita
「2022年の10大セキュリティ脅威」の手口と対策、IPAが約60ページの資料公開 「組織編」を追加
IPA、DX未着手・途上企業のための「DX実践手引書 ITシステム構築編」完成版を公開
放送大学マイルストーン('23)|lumpsucker
ChatGPT先生のお陰でネットワークスペシャリストに合格した話 - Qiita
データサイエンス教育用の講義資料1000ページ、教員向けに無償公開 NVIDIAと滋賀大が連携
%2520-%2520%25E9%2585%258D%25E5%25B8%2583%25E8%25B3%2587%25E6%2596%2599%25E3%2581%259D%25E3%2581%25AE1%2520-%2520%25E7%25A7%2598%25E5%25AF%2586%25E3%2581%25AE%2520NTT%2520%25E9%259B%25BB%25E8%25A9%25B1%25E5%25B1%2580%25E3%2580%2581%25E3%2583%2595%25E3%2583%25AC%25E3%2583%2583%25E3%2583%2584%25E5%2585%2589%25E3%2580%2581%25E3%2582%25A4%25E3%2583%25B3%25E3%2582%25BF%25E3%2583%25BC%25E3%2583%258D%25E3%2583%2583%25E3%2583%2588%25E5%2585%25A5%25E9%2596%2580.pdf)
2023/06/10 総務省「西日本横断サイバーセキュリティ・グランプリ」 講演第 1 部 (登 大遊) — 参加者向け配布資料その 1 秘密の NTT 電話局、 フレッツ光、 およびインターネット入門 (1)
画像生成AIの著作権問題、文化庁議論で争点はっきり (1/4)
QiitaやZennよりも便利? IPAの資料を読もう!
「やはりインフラ作りは楽しくてしょうがない」 村井純×登大遊×田中邦裕が語る、日本のICTの課題と期待
基本情報技術者試験がいつでも受験できるように、年2回から変更 2023年4月スタート 出題範囲も変更
「結論をタイトルにする」「最後のスライドには情報」など…プレゼンをするときに気を付けることがタメになる
IPA情報セキュリティ10大脅威 知っておきたい用語や仕組み2023年5月.pdf
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
IPAが無償で提供している文字の検索システムがなかなかイケていると話題に/関連する文字をグラフで表示。異体字の一覧も可能【やじうまの杜】
IPA「情報セキュリティ白書2019」PDF版の無料公開開始! AIやIoTなどをテーマに解説
登大遊・落合陽一に7つの質問。最もけしからんエンジニアとは?【ECDWレポート】 - エンジニアtype | 転職type