大学在学時に、ソフトウェアVPN（Virtual Private Network）の「SoftEther VPN」（以下、SoftEther）を開発したことで広く知られる登 大遊氏。SoftEther開発後も中国の検閲用ファイアウォール「グレートウォール」へのハッキングなどで話題を集め、現在は東日本電信電話（NTT東日本）のビジネス開発本部 特殊局員、情報処理推進機構（IPA）の産業サイバーセキュリティセンター サイバー技術研究者、筑波大学の客員教授などを務めている。 登氏が、ゲットイットが開催したWebセミナーで、日本のITエンジニアに必要な「トライ&エラー（トライアルアンドエラー）の思考法」について話した。ゲットイットは、リユースIT製品の販売やレンタル、メーカーサポートが終了した製品の保守をサポートするIT機器保守（第三者保守）など幅広い役割で、NTTグループをはじめとする多数の企業

架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策：徳丸浩氏が8つの試練を基に解説（1/3 ページ） ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』（通称：徳丸本）の筆者として知られる徳丸浩氏（EGセキュアソリューションズ　代表取締役）は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ

大創産業は1972年、家庭用品を販売する商店として創業された。今やよく知られた『100円SHOPダイソー』を運営する事業者である。ダイソーの展開に着手したのは1987年。2019年には国内3367店舗を数え、海外ではアジア、北米を中心に28の国、地域で2175店舗を構えるほどのグローバル展開を果たしている。 キッチン用品や文具、衣服やコスメ、食品やガーデン用品など、幅広い商品展開もダイソーの魅力の一つだ。商品数は7万点を超え、売れ筋の電池は1秒間に5本、ネクタイも15秒に1本、“つけまつげ”は1.3秒に1つ売れる勢いとのことだ。 取り扱う商品が多く、また尋常ではない速度で売れていくことは、それだけデータ管理の難しさが増すということでもある。アイティメディアが2019年9月17日に開催した「ITmedia DX Summit 2019年秋・ITインフラ編」に登壇した大創産業 情報システム部

長く使われた物には魂が宿ると言いますが、このシステムに宿っていたのはゴミでした――情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」が、この夏「＠IT」に降臨！　うわーん、アカネちゃーん。何とかしてー！

情報危機管理コンテストで考える――人材は育てるもの？ それとも育つもの？：セキュリティ・アディッショナルタイム（17）（1/3 ページ） さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25～27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱（ぜいじゃく）性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた。 さまざまなセキュリティインシデントの経験を経て、事故前提型の対策が提唱されるようになり、いざというときに備えたプロセスや体制作りに取り組む組織が増えてきた。だが往々にしてセキュリティインシデントというものは、事前の想定範囲内には収まらず、「過去問」通りに解こうとしても、うまくいかないことの方が多い。それでも、過去問を解こうとして身に

WordPressサイトが書き換えられまくり、SHA-1が衝突した2月：セキュリティクラスタ まとめのまとめ 2017年2月版（1/3 ページ） 2017年2月は「サイバーセキュリティ月間」の始まりということで、セキュリティに関するイベントが各所で開催されました。それに併せて、会場内からもたくさんのツイートが行われていました。 関連リンク：サイバーセキュリティ月間（内閣サイバーセキュリティセンター） 一方で2月上旬にはメジャーなCMS「WordPress」に簡単に記事を書き換え可能な脆弱（ぜいじゃく）性が見つかり、イベントどころではなく対応に追われた人や、脆弱性を追試してみた人も多くいたようです。 また23日にはハッシュ関数「SHA-1」で衝突を発生させられるということがGoogleにより発表され、「いよいよSHA-1も終わりを迎えるのか」と嘆かれながらも、「SHA-1衝突大喜利」が開催さ

地雷を踏み抜き、失敗から学べ！ 運用力を磨く「情報危機管理コンテスト」：セキュリティ・アディッショナルタイム（8）（1/3 ページ） 「サイバー犯罪に関する白浜シンポジウム」の会場で同時開催される「情報危機管理コンテスト」は、技術力だけでなく、コミュニケーション能力やマネジメント能力も含んだ総合的な運用力を問うユニークな腕試しの場だ。昨年に続き、その模様をお届けする。 セキュリティは何のために取り組むものだろう？ 問題を調査し、脆弱性を理解し、対策を考えるのが楽しいからだろうか。一人のセキュリティエンジニアとしては十分な理由だが、大半の企業や組織にとってはそうではない。おそらく「安定し、信頼できるサービスを提供するため」が大きなモチベーションになっているだろう。 安定したサービスを支えるのは、セキュリティも含めた「運用」の力だ。これは座学で身に付くものではなく、一朝一夕で磨けるというもので

IoT時代に必要とされる「新型セキュリティエンジニア」とは：「＠ITセキュリティセミナー（福岡）」レポート2016（1/3 ページ） ＠IT編集部は2016年3月10日、福岡市で「＠ITセキュリティセミナー」を開催した。本稿では、東京、大阪会場では行われなかったセッションを取り上げて紹介する。

情報セキュリティを支える「暗号化技術」の背景にはどのような理論があり、その安全性はどのようにして検証されているのでしょうか。＠IT連載「クラウド時代の暗号化技術論」筆者であるサイボウズ・ラボ 光成滋生氏に聞きました。 連載目次 情報セキュリティの根幹をなす技術の一つである「暗号化技術」。システム利用者がその詳細にまで立ち入ることはあまりないこの技術ですが、その背景には一体どのような理論があるのでしょうか。また、暗号化技術の安全性はどのようにして検証されているのでしょうか。 2000年ごろから数学の応用分野としての暗号化技術に関心を持ち始め、2004年には放送型暗号の実装で情報処理推進機構（IPA）の「未踏スーパークリエータ」認定を獲得。2015年以降は書籍や＠ITでの連載執筆なども行ってきたサイボウズ・ラボ 光成滋生氏に、暗号化技術を支える理論やその安全性、暗号研究をめぐる最新動向、今後の

サイボウズは2016年1月28日、同社が実施した脆弱性報奨金制度で実績を持つ“バグハンター”たちに向けた「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。 “善意の”ハッカーたちに「感謝状」 サイボウズは2016年1月28日、「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。報奨金制度は同社が2014年6月から実施しているもので、サイボウズの各種製品やクラウドサービスに存在する脆弱（ぜいじゃく）性の発見者に1件当たり最大30万円の報奨金を提供するもの。 同社では社内においても、開発・運用・品質保証（QA）の観点から製品やサービスの安全性を向上させる取り組みを行っているが、それでも検出し切れない「未知の脆弱性」を社外の“善意の”ハッカーたちの手を借りて発見し、製品・サービスの品質を一層向上させようとするのが本制度の趣旨だ。 本制度の特徴の一

セキュリティをテーマとしたカンファレンスとくれば、来場者はTシャツなどラフな格好のエンジニアばかり……というイメージが強い。しかし2015年11月7日、8日の両日にわたって沖縄県名護市で開催された「Cyber3 Conference Okinawa 2015」は様相が異なり、複数の閣僚や企業トップが参加してサイバーセキュリティ強化の重要性を再確認するイベントとなった。 国内、海外を問わず、標的型攻撃の他、オンラインバンキングサービスを狙うマルウエアやWebサーバーの脆弱性を狙う攻撃、Webサイトのアクセスを困難にするDDoS攻撃など、多数の攻撃が横行している。しかも米中首脳会談で議題に上るなど、サイバーセキュリティは単なる技術的、経済的な問題にとどまらず、政治的課題にも位置付けられるようになってきた。 同カンファレンスはこうした動きを背景に、国境という枠組みを超えてサイバーセキュリティの強

実社会のコミュ力が問われるセキュリティコンテスト 「……はい、白浜商事でございます」。 突然鳴り響く電話に慌てることなく受話器をとった学生は、チームごとに割り当てられた社名を名乗った。そして先方が伝えるトラブルの状況を手早くメモして電話を切り、聞き耳を立てて待ち構えるチームメンバーに振り返って状況を報告。こうして決勝戦第1問目への挑戦が始まった。 2015年5月、和歌山県の南紀白浜で大学対抗セキュリティコンテスト「情報危機管理コンテスト」が開催された。「サイバー犯罪に関する白浜シンポジウム」と併催される同コンテストは、今年で10回目を迎える。 「当初は、（ゲーム形式でセキュリティの技術力や知識力を競う）CTF（Capture the Flag）をやろうと考えていた」。そう話す、同コンテストの発案者で総指揮を執る和歌山大学の川橋（泉）裕氏は、「でも白浜シンポジウムは警察関係者と情報セキュリテ

サイバー犯罪がこのような構造を持っていることから、調査は困難を極める。海外においてはサイバー犯罪の捜査手法として、以下の8つが重要であるという。 ISPのユーザー記録の合法的な取得 被害者および被疑者のハードウェアのフォレンジック分析 銀行口座、クレジットカード取引のトラッキング サイバーおとり捜査 協力的な被告と情報提供者の利用 公開の、またはメンバー限定のチャットルームや掲示板の監視 海外法執行機関との協力メカニズム 犯人のインターネット活動の監視／傍受技術「ポリスウェア」 これらの手法を組み合わせ、捜査を行うことが重要であるとロス氏は指摘する。このうち、日本においてギャップとなっており、議論が必要なのは「サイバーおとり捜査」や「協力的な被告と情報提供者の利用」（司法取引）、そして「ポリスウェア」だ。 サイバーおとり捜査の重要性 ロス氏はサイバー犯罪において、犯罪組織に近づくためには「

オープンソースの集まりで1度しか実際にお会いしていませんが、お願いがあります。 富士通アクセシビリティ・アシスタンスというサービスが、2013年8月20日で提供終了します。つまり、あと20日。このソフトは視覚障がい者や色覚障がい者の方がどのように色を見ているかを確認できるツールです。Webサイト制作をしている人なら、今は必要なくても、いつか必要になるソフトです。 8月20日までにダウンロードすれば、8月21日以降もローカル環境で普通に使えるので、なんとかメディアで紹介して頂き、提供終了するまでに、少しでも多くの人に知ってもらいたいと考えています。 紙媒体だと、とても間に合わないのですが、ネット媒体なら、なんとかなるかも！と思い、お願いしたいと思いました。 視覚障がい者や色覚障がい者という障がいに興味がないかもしれませんが、外見では判断できない障がいなので、気付いていないだけなのです。 よか

4月16日、一般社団法人新経済連盟主催、経済産業省後援「新経済サミット2013」が開催された。新経済サミット2013は、産業界および政官界へ意識改革を促すためのアクションとして始動したイベント。既存の仕組みにとらわれない海外の企業やサービス動向を基に、日本における環境整備や教育の在り方がディスカッションされた。 セッション1では、Androidの生みの親 アンディ・ルービン（Andy Rubin）氏、Twitter共同創業者 ジャック・ドーシー（Jack Dorsey）氏、Skypeで世界をつないだ ニクラス・ゼンストローム（Niklas Zennstrom）氏らがスピーカーとして登壇し、それぞれがイノベーションを起こすまでの歩みが語られた。 一方、セッション2では、海外のイノベーション事例と対比し「日本から破壊的なイノベーションを起こすには？」という観点からディスカッションが行われた。海

立て続けに発生した不正アクセス事件によって、あらためてパスワード使い回しの危険性が明らかになった。ツールを用いて「リスト型攻撃」のリスクを認識し、われわれがいま取ることができる対策について考えていく。 相次ぐ不正ログイン事件、その背景には？ NTTレゾナントの「gooID」、NTT東日本の「フレッツ光メンバーズクラブ」、イーブックイニシアティブジャパン「eBookJapan」と、国内の著名サイトで立て続けに不正ログインが発生している。 「gooID」の事件の発生当初、原因は「ブルートフォース攻撃」（注1）という力技による攻撃であるとも考えられていた。だが時間が経過し、詳細が明らかになるに従って、ブルートフォース攻撃ではなく「リスト型攻撃」（「リスト型アカウントハッキング」や「リスト型パスワードクラッキング」などとも呼ばれる）によるものである可能性が非常に高いと考えられるようになってきた。

米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、二要素認証を導入する計画を明らかにしたと米メディアが伝えている。 米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、再発防止のために二要素認証を導入する計画を明らかにした。米メディアが3月5日に伝えた。 米InformationWeekによると、Evernoteの広報は「以前から全ユーザー向けのオプションとして年内に二要素認証を導入する計画があった。今回、この計画の実施を早めることにした」と電子メールで説明している。 不正アクセスを受けていたことはEvernoteが3月2日のブログで明らかにした。何者かがEvernoteのアカウントに関連付けられたユーザー名、メールアドレス、暗号化されたパスワードなどの情報にアクセスしたという。一方で、ユーザーが保存したコンテンツがアクセスされたり、有料サービ

米Orcaleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。 米Oracleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。同社Webサイトからダウンロードできる。 脆弱性が存在するのはJava 7 Update 10以前で、Java SE JDKおよびJRE 6には影響しない。悪用されれば任意のコードを実行される可能性がある上に、この脆弱性を悪用する攻撃コードが出回っていることから、セキュリティ機関が注意を呼び掛けていた。 このアップデートでは、脆弱性の修正とともに、Javaコントロールパネルにおけるセキュリティレベルの初期設定も変更。これまでの「中（M）」から「高（H）」に変更することで、署名が付いていないアプレットを実行

「GhostShell」というハッカーチームをご存じだろうか？ 世界の有名大学を対象にした攻撃やNASA（米航空宇宙局）、ESA（欧州宇宙機関）などをターゲットにした「Project WhiteFox」を仕掛け、2012年にネットを騒がせたチームだ。Twitterでコンタクトを取ってみたところ意外なほど友好的なGhostShellから、思いがけない申し出を受け……。 2012年、ネットを騒がせた「GhostShell」とは とあるハッカーチームに筆者は接触した。「GhostShell」――皆さんはこの名前をご存じだろうか。 これはあるハッカーチームのグループ名なのだが、中にはピンと来ない方もいらっしゃるだろう。そこでまずは、彼（ら）が最近関与し、日本国内にも影響を与えた事件から紹介させていただこう。 GhostShellは2012年8月下旬から「Project WestWind」という名称