楽天が「security.txt」を導入
楽天グループがWebサーバーに「security.txt」と呼ぶテキストファイルを置き、脆弱性▼情報の受付窓口としてVDP(Vulnerability Disclosure Program、脆弱性開示プログラム)を開始したことがSNSで話題になった。2023年10月2日のことだ。同社広報はこれを事実だと認めた。 security.txtは、米Apple(アップル)や米Google(グーグル)、米GitHub(ギットハブ)、米IBMなど、海外IT大手は既に導入している。一方、日本では少ない。security.txtとは何か、国内でなぜ普及しないのか、脆弱性情報の受け付けとの関連性は――。順に見ていこう。 セキュリティーが高まる理由 security.txtとは、当該企業が提供する製品やサービスの脆弱性情報を見つけた人が通知する窓口を示すためのファイルだ。その仕様は、インターネット関連技術の標
新卒採用に「IT人材」枠設けるニトリHD、採用担当が語る事業会社で働く魅力とは
2024年春卒業予定の大学生の就職活動が早くも序盤戦に突入している。リクルート就職みらい研究所が2022年11月に発表した調査によると、2022年9月時点で学生の74%が既にインターンシップなどに参加済み。外資系の一部業種・職種など、選考を始めている企業もある。 学生は国の指針である「2023年3月会社説明会、6月選考開始」を1つのスケジュールの目安としつつ、選考が本格化するまでに企業研究を進めることが求められる。 本特集ではITベンダーやIT人材の採用に積極的な事業会社の新卒採用者を直撃。IT業界を志す学生が自身のキャリアプランを考える手掛かりとなるよう、各社担当者の生の声をお届けする。なお、政府の方針で2024年卒の広報解禁は2023年3月であるため、具体的な採用計画や選考フローなどは2023年卒向けの情報を基に記載している企業もある。 豊富なIT人材を社内で抱え、「システム内製」に積
中央集権IDから分散IDに至るまで、歴史は繰り返す
前回の記事で見たように、現在の分散識別子(Decentralized Identifier、DID)の機能の多くを、あるいはDIDを超えるものを20年前に実現していたXRI(eXtensible Resource Identifier)であるが、一般的に使われるのにはあまりにも早すぎた。筆者が知っている実用事例としては、米軍関係のABACシステム*および野村総合研究所における研究開発システムくらいのものであった。 *ABAC(Attribute Based Access Control):属性ベースアクセス制御。役割ベースアクセス制御 (RBAC)を一般化したもので、米軍が開発した。2020年ごろからAmazon Web Services(AWS)など民生用でも少しずつ採用されるようになってきた。 「自己主権」「自主独立」を体現するOpenIDの思想 一方、XRIと並行して立ち上がったのが
ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング
だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。 今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。 BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組
DeNA元従業員がカーシェア「Anyca」の顧客データを不正利用、カードローンを申し込み
ディー・エヌ・エー(DeNA)は2021年1月21日、同社の元従業員が顧客の個人情報を不正利用し、カードローンを申し込んでいたと明らかにした。不正利用していたのは同社の関連会社DeNA SOMPO Mobilityが運営するカーシェアサービス「Anyca」の顧客情報。DeNAは1月19日付で同従業員を懲戒解雇したという。 元従業員は「Anyca」のカスタマーサポート業務に従事していた。1月11日から15日にかけてAnyca利用者の個人情報を不正に持ち出したことが分かっている。1月21日現在、8人分の個人情報が持ち出されたことが判明しており、車を貸し出す「オーナー」と借りる「ドライバー」の両方が含まれるという。 持ち出しの手口についてはセキュリティーを理由に「非公表」(広報)とした。不正使用された個人情報のみではカードローンの申し込みが完結せず、金銭的な被害が発生したという事実は確認されてい
「新型コロナのSNSデマはマスメディアが拡散」、東大の鳥海准教授が分析
新型コロナ禍でのデマの拡散や炎上は、マスメディアの関与が大きい――。ネット上のデマを研究する東京大学大学院工学系研究科の鳥海不二夫准教授はこう語る。 鳥海准教授は計算社会科学や人工知能(AI)技術の社会応用を専門とする。同氏は日経クロステックが2020年6月3日に開催したウェビナーシリーズ「コロナとAI」で「コロナ禍のソーシャルメディア~データから見る社会」と題して講演し、SNS(交流サイト)から新型コロナウイルス感染症をめぐるデマや感情を割り出したデータ分析結果を紹介した。 SNSは人々の行動や感情が記録される点で「社会を表す鏡」の1つである一方、情報量が多すぎて人間が全てを理解するのは不可能だ。そこで鳥海准教授は、SNSの1つであるTwitterのツイートを分析することで社会を網羅的、客観的にとらえなおす研究に取り組んでいる。 「トイレットペーパーが不足するというデマ」がデマだった 2
自治体の問い合わせフォームを悪用する不正メール、大量すぎてGmailが誤判定
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は自治体の問い合わせフォームを悪用した不正メール送信と、ポータルサイトlivedoorへの不正ログインの2件を取り上げる。 利用者の名前に不正サイトのURLを入力(5月21日) 千葉県船橋市は、同市Webサイトの問い合わせフォームを悪用した不正メールが出回っているとして注意喚起を出した。 問い合わせフォームには、問い合わせを受け付けたことを利用者に知らせる自動メール送信機能がある。問い合わせフォームに入力された利用者の連絡先メールアドレスに「【船橋市】お問い合わせを受け付けました」という件名のメールを自動的に送る。 メールの本文は利用者が入力した名前を基にした「○○様」から始まり、問い合わせを受け付けたこと、2~3週間以内に担当の課から回答することなどが書かれている。
「33自治体のデータがIaaSから消失」、日本電子計算がシステム障害の詳細明かす
日本電子計算は2019年12月16日、自治体向けIaaS「Jip-Base」を利用中の自治体でシステム障害が発生している問題について記者会見を開き、山田英司社長が「大変申し訳なく思っている」と謝罪した。同社によると、15%のデータはIaaS内のバックアップも見つからず、単独での復旧が不可能。残りの70%は復旧、15%は復旧作業中であることが明らかとなった。 これまで「50自治体」としていたのは、正確には47自治体と、6の広域事務組合や図書館であることも説明された。バックアップが見つからない15%には、このうち33自治体のデータが含まれるという。システム構成も一部が明らかにされ、仮想環境で1318の仮想OSが稼働していたことが判明した。 日本電子計算は復旧作業に当たって、IaaS内からOSやアプリケーション、業務データを含む仮想環境のイメージデータを復旧したり、イメージデータを同社のバックア
進化する音声合成技術は声優の敵か味方か、大手事務所トップが本音で語る
音声合成技術の進化が目覚ましい。人間に近い“自然な発話”が可能になったことで、用途が急速に広がった。歌声合成技術や声質変換技術といった派生技術も実用化に向けた動きが進んでいる。 今の音声合成技術では、声優などによる良質な収録音声が欠かせない。声をなりわいとする声優からすると、音声合成技術の普及は声優から「仕事を奪う」リスク要因ともいえる。にもかかわらず、音声合成技術の活用に積極的なのが大手声優事務所の81プロデュースだ。その狙いについて、同社代表取締役社長の南沢道義氏に聞いた。(聞き手は高野 敦、東 将大=日経 xTECH) なぜ音声合成技術の活用に積極的なのですか。 数多くの人気声優や実力派・ベテラン声優が所属する81プロデュース、およびアニメ関連の音響制作や外国映画の日本語版制作を手掛けるハーフ・エイチ・ピー・スタジオの代表を務め、多方面から声優、俳優を支援する。さらに、一般社団法人デ
50自治体システム障害はIaaSで使うソフトのバグが原因、復旧メド立たず
12月4日に発生した東京都中野区など約50の自治体のシステム障害で、12月5日も住民票の発行やホームページの閲覧などができない状態が続いている。原因は各自治体が利用している日本電子計算のIaaS「Jip-Base」にシステム障害が発生したため。現状で復旧のメドは立っていない。 4日の時点ではディスク故障が原因とされていたが、詳細が分かってきた。2019年12月4日午前10時56分に同社のシステムにアラートがあがり、システム障害が発生した。調査したところストレージ装置のファームウエアにバグがあり、ディスクの読み書きができなくなったためだった。 各自治体の障害の影響範囲については、「自治体ごとにIaaSを利用しているシステムが異なるため一概には言えない。明確になり次第お知らせしていく」(日本電子計算 広報)とした。11月23日にもQTnetのデータセンター障害で福岡県庁のシステムが一時的に利用
[独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明
就職情報サイト「リクナビ」を運営するリクルートキャリアは2019年8月6日、就職活動をしている学生のサイト閲覧履歴などを基に内定辞退の指標を顧客企業に提供していたサービスで、同社と提携するサイトの閲覧履歴も取得していたと日経xTECHの取材に明らかにした。提携サイトから「個人を特定できないcookie(クッキー)情報を取得していた」(社外広報グループ)と説明するが、同社はクッキーを「リクナビID」に突合していた。他社が運営するサイトの閲覧履歴を基にした個⼈情報を第三者提供していたことになる。 内定辞退の可能性を指標データとして顧客企業に提供していたのは「リクナビDMPフォロー」。同社のプライバシーポリシーは、学生であるユーザーがログインしてサービスを利用した場合、「個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookie(クッキー)を使用」して、同サービスのほかに同
![[独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/c9d592488d2482d424f0caea2c9f91cf938a5b6e/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fcolumn%2F18%2F00001%2F02710%2Ftopm.jpg%3F20220512)
「FF6」の新たなバグを発売25年後に見つけたテスト技術者の腕前
1994年に発売された大人気ゲーム「ファイナルファンタジーVI(FF6)」(スーパーファミコン版)をやりこみ、2019年になっても未発見の「バグ」を見つけ出し続けている人がいる。ここ数年、熱心なゲームファンを何度も驚かせているのが、「エディ」のハンドルネームで知られるプレーヤーだ。必須のイベントをクリアせずに先に進める方法を見つけ出し、毎年のようにゲームクリアまでの「歩数」の最少記録を更新している。 本記事でいうバグとは、ゲーム開発者が意図していなかったと推測される仕様を含む。特別な操作をすると通常とは異なる挙動となり、いわゆる「裏技」が可能になる。 FF6スーパーファミコン版はスクウェア(現スクウェア・エニックス)が開発したロールプレイングゲーム(RPG)で、美しいグラフィック、ドラマチックなシナリオ、完成度の高いゲームシステムが好評を博し、全世界で約340万本の売り上げを記録した。人気
韓国大手が日本離れ、サムスンは新半導体の量産計画変更なし、LGは韓国産材料を試験し「問題ない」
日本政府が2019年7月4日0時に半導体やディスプレー製造に欠かせない3品目、「フッ化ポリイミド(透明ポリイミド)」、「レジスト」、「フッ化水素」の韓国輸出管理を発動してから、韓国でも半導体、ディスプレー、その他産業に与える影響を分析するニュースや韓国政府関係者の発言一言一言が毎日速報で報じられている。 7月4日以降、上記3品目の対韓国輸出の手続きに時間がかかると見られたが、韓国産業通商資源部(省)の発表によると7月19日時点で「輸出許可が出たという話はまだ聞いていない」という。これを受け韓国メディアは「事実上輸出禁止」と報道している。 上記3品目は日本への依存度が非常に高い部品で、半導体やディスプレーの製造に欠かせない。しかし日本経済新聞に報道されたように(日経新聞電子版の該当記事1、記事2)、韓国サムスン電子(Samsung Electronics)は中国からフッ化水素を輸入する方向で
[独自記事]政府が共通プラットフォームにAWSを採用へ、来秋稼働
政府は2020年10月に運用を開始する予定の「政府共通プラットフォーム」に米アマゾン・ウェブ・サービスのクラウドサービス「Amazon Web Services(AWS)」を採用する方針であることが分かった。日経 xTECHの取材に複数の政府関係者が明らかにした。 政府共通プラットフォームは政府情報システムのプライベートクラウド基盤である。政府は民間クラウドサービスの利用を前提に次期基盤となる「第二期整備計画」を進めており、現行の政府共通プラットフォームに比べて5割超の運用コスト削減を目指す。 政府は2018年度から政府共通プラットフォームの整備に向けた入札を実施し、このうち設計・開発などの請負業務の一般競争入札について、アクセンチュアが19年5月に4億7520万円で落札して受託契約を結んだ。政府関係者によると、アクセンチュアはAWSの利用を前提に設計・開発を進めている。 これまで自治体な
![[独自記事]政府が共通プラットフォームにAWSを採用へ、来秋稼働](https://cdn-ak-scissors.b.st-hatena.com/image/square/443420a109e3cdb204702991ec201a7b76c8cf89/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fcolumn%2F18%2F00001%2F02546%2Ftop2.jpg%3F20220512)
大学ドメインを使ったアダルトサイトが出現、原因は意外なところに
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年4月上旬の注目ニュースは3件。最初は、旧山梨医科大学(現山梨大学医学部)のドメインを第三者が取得した問題を取り上げる。 旧山梨医大のドメインを第三者に取得される(4月5日) 旧山梨医科大学(以下、山梨医大)のドメイン「yamanashi-med.ac.jp」を使って、アダルト情報を掲載するサイトが見つかった。原因は、日本レジストリサービス(JPRS)による審査のミスだった。 URLに使うドメインには、取得できる組織が制限される「属性型ドメイン」がある。例えば、ドメインの末尾が「co.jp」なら株式会社などの企業、「go.jp」なら政府関係の組織、「ed.jp」なら小中学校など18歳未満を対象とした学校組織と決まっている。 問題があった「ac.jp」は、18歳以上を対
創業者逮捕から1年のPEZY、スパコン省エネ性能で首位キープ | 日経 xTECH(クロステック)
「次世代プロセッサー『PEZY-SC3』の設計はほぼ完成している。テストチップを経て、2019年中には量産チップを作りたい」。PEZY Computingグループ ExaScalerの鳥居淳取締役CTO(最高技術責任者)は意欲を見せる。 2017年12月に創業者が逮捕されてから約1年。PEZYグループは今もスーパーコンピューター(スパコン)技術の開発を継続。スパコン省エネ性能で世界首位をキープしている。 この1年、同社の研究助成金不正に絡んで様々な動きがあった。東京地方裁判所は2018年9月20日、不正に伴う法人税法違反などでPEZY Computingに罰金6000万円の判決を言い渡した。同年10月には新エネルギー・産業技術総合開発機構(NEDO)が不正事案の調査報告書を公開した。 海洋研究開発機構(JAMSTEC)に設置していたスパコン「Gyoukou(暁光)」は、2018年6月に撤去
Jenkinsだけじゃない、DeNAが無名ツールを選択した理由
現在のシステム開発では、リリースサイクルの短期化が欠かせない。激しく変化するビジネス要求に対応しなければならないからだ。そのニーズに応えるツールがCI(継続的インテグレーション)ツールである。CIとは、ソースコードのコンパイル/ビルド/テスト/品質検査などの処理を自動化し、繰り返し何度も実行する手法。CIツールはこのような手法を手助けするもので、短いサイクルで繰り返しリリースし、市場の変化に素早く対応できるソフトウエア開発には必要なツールと言える。 「CIツールの細かい設定作業を省き、開発者がよりコーディングに専念できる環境を整えたかった」。ディー・エヌ・エー(DeNA)で新規アプリ開発プロジェクトに携わるコマース&インキュベーション事業本部の春山誠氏は、ハンガリーのビットライズが提供するCIツール「Bitrise」の導入理由をこのように話す。 CIツールの定番といえば、オープンソースソフ
「改変を強要された」、スルガ銀-IBM裁判で日本IBM副会長
「議事録や提出資料の内容を、スルガ銀行にとって都合がいいように変更するよう求められた。『日本IBMが悪かった』という表現を議事録などに織り込むようにも迫られた」。日本IBMの金田治副会長は3月4日午後2時40分、東京地裁の411号法廷で証人尋問に臨み、こう主張した。 この証人尋問は、スルガ銀行がシステム開発の失敗で被った損失など111億600万円の支払いを日本IBMに求めた裁判についてのもの(表)。2008年3月にスルガ銀行が日本IBMを提訴してからちょうど2年。裁判は非公開での弁論準備手続が続いていたが、この2月から3月にかけて、3回の証人尋問が公開形式で行われた。 日本IBMからはプロジェクト当事全社の営業責任者を務めていた金田副会長、スルガ銀行からは乾精治常勤監査役のほか、両社の開発現場における責任者を務めていたメンバーが出廷した。 今回の証人尋問で注目されるのは、現役の日本IBM幹
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
週休3日制でも生産性4割向上、日本マイクロソフトが新施策の成果発表
任天堂キャラクターの公式販売サイトに不正アクセス、最大1万4679件のカード情報が漏洩 | 日経 xTECH(クロステック)
