日本国内でセキュリティー被害が発生している米Palo Alto Networks（パロアルトネットワークス）製品のOS「PAN-OS」の脆弱性に関して、日本の企業や組織における対処が世界的に遅れている可能性が高いことが分かった。マクニカの瀬治山豊セキュリティ研究センターセンター長補佐が2024年4月25日、独自に調査した結果の中で指摘した。「CVE-2024-3400」という脆弱性で、PAN-OSの一部バージョンにおいてリモートアクセスなどを提供する機能に関するもの。悪用すると、第三者が管理者権限で遠隔から任意のコードを実行できる。 PAN-OSが稼働するインターネット上の公開サーバーのうち、当該の脆弱性を抱えるサーバーの稼働状況をWebサービス「Shodan」で調べた。Shodanはインターネットに公開された機器の情報をデータベース化し、検索できるサービスだ。4月24日時点で、国内のIP

NECは、ソフトウエアの脆弱性をソースコードではなく実行ファイルのバイナリーコードを静的解析（動作させずに解析）することで検出する技術を開発した。検査の一部を自動化することで検査効率が40パーセント向上するという。2024年度中に同社のセキュリティーサービスへの適用を目指す。 一般的なソフトウエアの静的解析はソースコードを対象とするのに対し、この技術はソフトウエアの実行形式であるバイナリーコードに対して静的解析を実施する。ソースコードの静的解析ではビルド（ソースコードを変換して実行ファイルを生成すること）時に混入する脆弱性や不正機能の検出が難しいという課題があったが、この技術ではビルド環境に起因する問題を含めて安全性を検査できる。また従来はバイナリー形式のソフトウエアの検査は難しく検査者のスキルによって検査品質がばらつきやすかった。この技術は検査の一部を自動化するため属人性を排除でき、一定

米Microsoft（マイクロソフト）は2023年10月11日、Windowsで「NTLM（NT LAN Manager）認証」を廃止する方針を明らかにした。理由は、NTLM認証がセキュリティー面の問題を抱えているためだ。パスワード長が短い場合、短時間で破られてしまうという。Windowsでは現在、NTLM認証よりもセキュアな「Kerberos認証」が主に使われており、マイクロソフトはユーザーに対してNTLM認証からKerberos認証への移行を推奨している。 もっともKerberos認証にはドメインへの参加が必要なため、Active Directory（AD）環境でしか使えない。企業がワークグループを利用している場合、いまだにNTLM認証が使われている。 現実には、中小企業を中心にワークグループを利用しているケースはまだ多い。Windowsシステムの構築を数多く手掛ける大塚商会の渡邉輝樹

2022年9月9日、「スプラトゥーン3」が発売されました。とても楽しみにしていたのですぐに買いました。発売から１月半ほどたってこの文章を書いていますが、いろいろなステージで様々なブキを使ってインクを塗り合い楽しくプレーしています。ちなみに今のウデマエはS＋30になったところです。 この特集は、人気のスプラトゥーン3を通して、最新の通信技術の基本を学んでしまおうというものです。前半の今回はスプラトゥーン3を含むオンラインゲームの通信技術を解説します。後半となる次回は、実際にスプラトゥーン3のパケットをキャプチャーして、それらの通信技術が実際にどのように使われるのかを見ていきます。 なお記載内容については、筆者や編集部独自の考察や推測によるものであり、任天堂の公式見解ではないことを明記しておきます。 オンラインゲームを実現する通信技術、UDPとは 一般的なコンピューターが通信を行う主な方法にT

新型コロナウイルス禍で企業ネットワークの姿が変わってきています。ネットワーク管理にも変化に対応した手法が求められています。この特集ではネットワークを流れるパケットをキャプチャーして収集し、Pythonとリレーショナルデータベースを用いて精度よく解析するための実践的なテクニックを紹介します。第2回はパケット解析のツールとしてよく使われる「Wireshark」で「できる」こと、「できない」ことを通してパケットキャプチャーにプログラミングを導入する背景やその考え方を解説します。 パケット解析をする際によく使われる「Wireshark」をご存じでしょうか。オープンソースソフトウエア（OSS）として現在も活発に開発が続けられています。もはや業界標準と言っても差し支えないポピュラーなツールです。パケットキャプチャーの参考書などでは必ずと言っていいほど取り上げられており、Wiresharkの使い方がパケ

「プロジェクトマネジャーの教科書」とも呼ばれる「PMBOKガイド」第7版の日本語版書籍が2021年11月1日に発売される。第6版は重量が2kgあったが、新版は800gと一気に軽くなった。プロジェクトの流れをまとめたプロセスの記載が姿を消し、プロジェクト運営を成功させる「原理・原則」が前面に出るなど構成が大きく変わったことが影響した。変化が激しい時代に対応するため、開発プロセスにかかわらず活用できるように転換した。 米PMI（Project Management Institute）が発行したPMBOKガイド第7版は、従来版とは全く異なる構成になった。翻訳作業に中心的に携わったPMI日本支部の庄司敏浩標準推進委員会委員は「プロセス中心の構成をやめた」と説明する。 第6版までのPMBOKガイドは、QCD（品質・コスト・納期）をはじめとする要求事項を満たして円滑に成果物を作り上げることを重視して

厳格なOLTPと高速なOLAPを両立 新RDBの特徴は厳格なOLTP（オンライントランザクション処理）が可能でありながら、ビッグデータ分析にも使用できる高いOLAP（オンライン分析処理）性能を有していることだ。OLTPとOLAPの両立はHTAP（Hybrid Transaction／Analytical Processing）と呼ぶ。OLTPで用いる行方向のデータは不揮発性メモリーを採用する主記憶（メインメモリー）に格納し、OLAP用の列方向のデータを2次記憶装置に格納する。2次記憶装置にも不揮発性メモリーを使用する。 OLTPに関しては、トランザクション処理の分野で一般的なベンチマークである「TPC-C」において1ノードで1000万トランザクション／秒（TPS）の達成を当面の目標とする。そしてトランザクション処理においては、一貫性と隔離性のレベルを示す「トランザクション分離レベル」が最も

米グーグルがHTTPS（TLS）に対応したWebサイトに使われるサーバー証明書の有効期間を現行の最長825日（2年3カ月）から397日（13カ月）に短縮するよう業界ルールの改定を提案し、議論を呼んでいる。早ければ2020年4月以降に更新する証明書から適用を求める内容だ。 HTTPSはユーザーがWebブラウザーでサーバーにアクセスする際に通信内容の改ざんを検知したり、データを暗号化して外部から盗み見られないよう安全性を高めたりできる。認証局（CA）が発行した証明書によって、Webサイトのドメインの所有者を確認できる。 CAが発行する証明書のうち、ドメイン所有者の実在確認などの審査をする「EV SSL」は金融取引や個人情報などセンシティブなデータをやりとりする企業のWebサイトにとって必須の証明書だ。 EV SSLを含めた全ての証明書は、運転免許証やパスポートと同様に有効期限がある。証明書の有

インターネットイニシアティブ（IIJ）は2019年7月9日、Web上で動くアプリケーションの保護に特化した「WAF（Web Application Firewall）」の機能をクラウドを介して提供する新サービスを始めると発表した。多様化するWebアプリケーションの脆弱性を突いた攻撃から企業のWebサイトを守る。 「IIJマネージドWAFサービス」を同日から提供開始する。米F5ネットワークスのWAFエンジンを採用。導入企業は攻撃状況などを専用画面で確認したり、IIJのエンジニアによる運用支援を受けたりできる。10Mビット／秒～1Gビット／秒までの幅広い帯域に対応し、通信量の変動に応じて契約内容を柔軟に変更できるとする。 参考価格は帯域が10Mビット／秒、シングル構成／1FQDNの場合で月額税別15万4000円とする。このほか、新サービスを同社のDDoS対策やSOC（Security Oper

Q.服装について教えてください。先日、アロハシャツと破れたジーンズで出社してきた中堅SEがいて、さすがに問題があると思って注意しました。ところがそのSEに「服装は自由だ」と逆上されて紛糾。「服装をこうしろと強制されるのはおかしい」と言い出す始末です。いったい職場ではどのように対応すればよいのでしょうか。 確かにクールビズが流行してから、身だしなみがおろそかになったと感じます。筆者は相手に不快感を与えなければ1年中自由な格好でよいと思います。 ただ、不快に感じるか否かは相手によって変わります。よって、職場でも一定のルールを設ける必要があります。特に大企業になれば社員数が多く、常識目線での管理はできません。ルール作りは当然であり、内勤・外勤や、業態・職種によって、一定程度の服装ルールを決めることをお勧めします。 職種によって感覚は違う ベンチャーの会社に行くと、カフェのようなオフィスで服装も自

政府が今国会で、ソフトウエアを解析できるようにする著作権法改正案を提出することが2018年2月22日、分かった。他社製のソフトの脆弱性を見つけて対策に生かすといったサイバーセキュリティが考えられる。可決されれば2019年1月にも施行される見通しだ。

複数のディスクを論理的に一つにまとめる実装技術の一つがRAID（Redundant Arrays of Inexpensive Disks）である。信頼性の向上を目的に多用されるのは，ディスクをミラーリング（二重化）する「RAID1」と，パリティと呼ぶエラー訂正情報を保管する「RAID5」である。 RAID構成を採ると「データが失われることはない」と過信しがちだが，基本的に同時に2台以上のディスクが壊れるとデータを保護できない。さらに，1台のディスクの故障であっても，「実際には復元できないケースがある」（ラック SNS事業本部 JSOC部 グループリーダ 花岡顕助氏）。ミラー領域やパリティ領域はほとんどアクセスされないので，「いざアクセスしようとしたときに壊れていた」という事態になることがあるからだ。 パリティを失うと復元できない ディスク3台（A,B,C）でRAID5を構成した場合を例に

マスターデータから中間加工ファイルを作成するバッチ処理のシステムでHDDが故障し、障害が発生した。三菱UFJニコスによれば、HDD15個で一連の機能を果たしており、そのうち3個が同時に故障した。「2個までの同時障害は自動復旧可能な仕組みを設けていたが、3個の故障は想定外だった」（広報）。同社はシステムやHDDの開発企業を明らかにしていないものの、「発生確率は極めて低いとの報告を受けている」という。 故障したHDDは、障害が発生した2017年12月26日中に交換したが、利用会員の売上データ処理などに遅れが発生した。一部の利用会員に2重請求が発生したほか、請求が遅れるなどの事態につながった。同社はシステム機器の監視体制を強化するなどして対策を講じるという。

エルピーアイジャパン（LPI-Japan）は2018年2月5日、日本の市場に最適化した新たな「Linux技術者認定試験 LinuC（リナック）」を新設した。同社が国内提供するカナダLPIの「LPIC」認定に代わる民間資格として育てる。同日に申し込みを受け付け、3月1日から試験を始める。 LinuCは、日本のLinux技術者に対するスキルや知識のニーズをLPI-Japan主導で迅速に試験に反映するのが狙い。「Linuxは各国でシェアの高いLinuxディストリビューションが異なるなど、スキルの地域性が高い」（LPI-Japanの成井弦理事長）。LPIC認定業務で生じていた翻訳作業や試験内容への国内ニーズの反映の遅れなどがなくなり、日本市場に最適化できるとする。

「恋人となら自身の性的画像をSNS（ソーシャル・ネットワーキング・サービス）で共有しても構わない」──。インターネット利用者のなかで、こんなモラルハザードが徐々に広がりつつある調査結果がこの年の瀬に発表された。 その調査は、情報処理推進機構（IPA）技術本部 セキュリティセンターが2017年12月14日に公表したWeb調査「2017年度情報セキュリティに対する意識調査」だ。2005年から毎年実施しており、今回が16回目。2017年9月から10月にかけて、情報セキュリティの倫理と脅威の2つに分けてアンケートを実施し、それぞれのアンケートでネットを利用する13歳以上のPCとスマートデバイスの利用者5000人ずつ、合計1万人の回答を集めた。 今回の調査で対象にしているテーマは、SNSをはじめとするネットの利用状況や個人情報の公開に対する意識、セキュリティ対策の実施率など、多岐にわたる。そこで、調

米連邦通信委員会（FCC）は2017年12月14日（現地時間）、オバマ前大統領が進めてきた「ネット中立性」の原則について撤廃を承認した。トランプ大統領は大統領選挙の期間中から宣言してきた公約を実現した。 ネット中立性の原則は通信会社にインターネット上のコンテンツを平等に扱うように求めるもの。簡単に言えば、ネット接続を提供するプロバイダーに、ユーザーやコンテンツによって転送の優先順位を付けることを禁ずる。同原則が撤廃され、例えば「追加料金を支払ったユーザーに対してだけ動画コンテンツを優先的に高速に送信する」といった運用がプロバイダーに認められるようになった。 同原則はオバマ前大統領の看板政策として2015年6月に導入された。トランプ大統領は「過剰な規制により通信会社の設備投資や技術革新が抑制されている」と主張し、2016年の大統領選中から同原則の廃止を公約に掲げていた。2017年1月の大統領

政府は2017年11月29日、改正割賦販売法（割販法）の施行日を2018年6月1日にすると閣議決定した。同法はクレジットカード取引のセキュリティ対策強化を求めており、加盟店にカード決済端末のIC対応などを義務付ける。ただし、大手チェーンを中心に対応の遅れが目立つ。施行日に間に合わない企業が続出しそうだ。 クレジットカードには磁気ストライプのほか、金属端子・ICチップが付いている。日本の店舗ではカードをスライドさせて磁気ストライプを読み取る方式の決済が主流。不正読み取り（スキミング）や偽造カードの作成が容易で、不正使用が問題になってきた。 カードを端末に差し込んで使うIC決済は安全性が高い。クレジット取引全体に占めるIC決済比率は欧州ではほぼ100パーセント。日本は2016年半ば時点で20パーセント程度とみられ、米国やアジア諸国に比べても低い。 日本クレジット協会によれば、2017年1～6月

エフエム東京（TOKYO FM）と同社グループ会社のジグノシステムジャパンは2017年12月4日、2015年4月に開設したラジオ発のニュースメディア「TOKYO FM＋」の2017年11月の総合PV（外部提携先を含めた累計PV）が1768万件を記録したと発表した。 TOKYO FM＋は、TOKYO FMの多様な放送番組の情報をスマートフォンユーザーに届けるため、本格的な総合ニュースメディアとして毎日、番組発の記事を発信している。同社は「ラジオ書き起こしニュースメディアのパイオニア」と位置付ける。 TOKYO FM公式ウェブサイトやアプリのほか、外部の提携メディアを通じて情報を発信しており、2017年6月以降、6カ月連続で1000万PVを超えた。増加傾向が定着し、11月のPVは1768万9689PVと最高記録を更新した。増加の主な要因として「記事本数の増加」や「外部提携先からの流入増加」が挙

米Quoraは2017年11月14日、実名制の質問・回答サービス「Quora」日本語版の提供を始めた。Quoraは著名人や専門家が経験や知識を生かして回答するのが特徴で、言語ごとにQ＆Aのデータベースを分ける地域・言語特化型のサービス。当面は日本語で投稿する著名人や専門家の勧誘に注力する。 Quoraは2009年に元Facebook CTO（最高技術責任者）のアダム・ディアンジェロ氏が創業。2010年からQuoraを提供している。アカウントは実名登録が原則で、所属や職種、専門知識などをプロフィールに記述する。あるユーザーが質問を投稿すると、内容に応じて回答者をQuoraが自動で選出、回答者の画面に表示する。質問と回答、およびそれに対する評価を機械学習の教師データとして利用し、マッチングの精度と回答の質を向上させる仕組みだ。

京都府警サイバー犯罪対策課などは2017年10月31日、ファイル共有ソフト「Share」の利用者から情報を流出させるウイルスを業務用PCに保管したとして、セキュリティ企業ディアイティの社員を不正指令電磁的記録（ウイルス）保管容疑で逮捕した。容疑者は顧客の依頼を受けてShareに情報が流出していないかを監視するサービスの担当者だった。 京都府警によれば、東京都江東区の同社において容疑者は2017年10月10日ごろ、解析用途に使う専用PCにウイルスに感染したファイルを保管し、Share利用者がダウンロードできる状態にしたという。利用者が当該ファイルにアクセスするとPCがウイルスに感染し、PC内部の文書ファイルなどがShareに流出するようになっていた。 ディアイティの三橋薫社長は同社Webサイトにて2017年11月1日付けで「当社社員の不正指令電磁的記録（ウイルス）保管容疑で逮捕された件につい