2005年03月12日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 ICカードと電子ポスターを利用したマーケティング技術を開発〜産総研発ベンチャーを設立し実用化[http://www.aist.go.jp/aist_j/press_release/pr2005/pr20050310/pr20050310.html][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

ICカードやモバイルデバイスを利用し、ユニークIDとそのIDを取得した場所および時間を手がかりとしてユーザの要求を特定し、適切なサービスを起動するもので、本技術を使用することにより、Suicaに利用されているFeliCa仕様のICカードをはじめ、Bluetooth規格の端末機器や各種ICカード、その他ユニークIDを持つモバイルデバイスを統一的に扱うことができる。

本技術の特長は、個人情報の提供や事前登録などを必要とせずに匿名で利用でき、また既に流通し所有している非接触ICカードを利用可能としたことである。
の話は、 3月11日の日経産業新聞の記事[http://it.nikkei.co.jp/it/newssp/iccard.cfm?i=2005031008205uh] で知った。
ちょうど、 「Suica番号がメールアドレスと結び付けられ始めた」[http://takagi-hiromitsu.jp/diary/20050305.html#p01] の記事を読んだ後だったので、どういう立場で書かれているのか深読みをしていたのだけれども、 深読みに過ぎなかった[http://takagi-hiromitsu.jp/diary/20050311.html#p02] らしい。組織が大きくなると、色々と難しい問題が出てくる様です。
直接関係ないけれども、思いつくヒトは「実施時のセキュリティ問題は置いておいて」システムを提案して、設計するヒトは「問題は運用でカバーすればいいや」と思って設計して、実装するヒトは「問題は設計レベルでカバーされている筈」と思って実装して、営業するヒトは「とにかく安全ですから」と言って売り込んで、運用するヒトは「大丈夫って言ってるんだから大丈夫」と思いこんで運用して、利用者は大丈夫でないものを大丈夫と信じ込まされて使っているという、どこかで聞いた様な話を思い出した。

■ 関連記事

■2 プライバシー問題の解決が難しいのはなぜか〜第8回 コンピュータ犯罪に関する白浜シンポジウム REPORT[http://www.jstage.jst.go.jp/article/shirahama/8/0/8_54/_article/-char/ja/][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

高木浩光@自宅の日記[http://takagi-hiromitsu.jp/diary/20050311.html#p03] から。
Webアプリの欠陥が無くならない原因として、
この種のものが適正な費用をかけずに構築されているのではないでしょうか。即ち、安い構築事業者を使う、安いサービスにアウトソースする、あるいは入札して安いところが落札するとか、これをどう防ぐのかが難しいのです。
という問題を指摘している。これは常々感じるところで、受注者からすると、セキュリティはバグの有無という品質管理の観点と比べてもさらに見えにくい品質なので、ここを落とせば、顧客に見えないところで相当なコストを削減できる性質がある。
ことに入札ということになると、設計上明に要求されていないけれども、実装者の良心として対策すべきことを盛り込んで価格を出せば、必ず負けるという残念な状況がある *1
知らなければ大穴を空けたまま納品してしまえば良いことなので、良心の呵責も少ないけれども、知っていると技術者の良心を取るかお金を取るかという、困った状況に追い込まれる。
入札の場合、お金を掛ければ、つまり最低制限価格を上げれば、極端な安値で落札されることは無くなるけれども、これがセキュリティ面を含めた品質の向上に繋がるかというとそうはならないという問題がある。受注者からすると、同じものを高い金額で納めるだけのことになってしまう可能性が高い。
結局、あくまで入札を使いつつ、この問題を解決するためには、仕様書を作成する段階でセキュリティに関して十分な要件を定義する必要があるし、その通りに実装されたかどうかを第三者が確認する必要が出てくる。
ただ、この場合、設計者は実装者以上に実装に関する知識と考察を要求されることになるので、そこまでやって設計と実装を分離して割が合うのかどうかが新たな問題となるだろう。
もう一つ指摘しておくと、セキュリティは各工程で作り込むものであって、システムができあがってから、何らかの対策をしてセキュリティを確保するということは、大抵の場合、不可能である。
ところが、
「SSLを使っているのでセキュリティは万全です」という認識であったりする
という状況は、冗談でなく往々にして起こる。類似の例に、
「ベリサイン社の証明書を取得しており、セキュリティは万全です」
というものもあるし、
「ファイヤーウォールを導入したのでセキュリティは万全です」
や、
「IDSを設置したのでハッカー対策は万全です」
というものもある。セキュリティを確保してくれる魔法の箱はない *2
*1: 金額の乖離は、設計者が仕様書に盛り込まなかったセキュリティ上の要件と、実装者が意識している潜在的なリスクに比例する。
*2: 良く知られた攻撃に対して、アプリケーションレベルで対策してくれる箱を作ったら売れるだろうと夢想したことはあるが、なかなか難しそうだ。

■ 関連記事

■3 続・「はかる」って「量る」?「計る」?[?200503b&to=200503112#200503112]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■4 IRCnet #組み込み 誕生[http://slashdot.jp/journal.pl?op=display&uid=4374&id=234635][IRC]<< 前の記事 このエントリーをはてなブックマークに追加

kei6氏(nantoka.comのひと)も組み込みをやってるそうな。
FreeBSDサーバ管理者だとばかり思ってたので、意外ですた。
私の中では、セキュアプログラミングと組み込みとUNIXは、より低いレイヤのことを考えてないといけないという線で繋がっています。
最近のプログラマは、即戦力に育たないといけませんから、PHPならPHP、JavaならJava、CならCの言語だけの教育を受けて、実戦配備されちゃうことが多いので、パケットやメモリを意識しないプログラマが増えている気がします。
セキュアなコードを書こうと思うと、例えば、「?ID=abc%d」を受け取って、「'abc-31491'は無効なIDです。」と表示されるのはとてつもなくマズイだろうということにピンと来ないといけないのですが、上のレイヤだけの教育では、この辺りが身に付いて来ない気がします。
日本の将来を考えると、この辺りの問題はとても深刻だと思うのですが。

■ 関連記事

詳細はこの日の詳細から

2004年03月12日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 お客様情報漏えいに関するお詫びとご報告[http://www.japanet.co.jp/][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

トップページですよ!トップページ!
500円の金券で終わったことにして、懲りずに新たなキャンペーン展開している某社とはずいぶん対応が違うことに驚きましたよ。
十分な調査をして対策を取って、それが過去と将来の顧客に認知されて、「もう再開していいよ」というコンセンサスを得ることは、きっと長期的な信用を獲得することに繋がると思います。

「ジャパネットたかた」社長激白…被害数十億痛い! (夕刊フジ)[http://news.www.infoseek.co.jp/society/story.html?q=10fuji35293&cat=7]:

皇帝の新しい服[http://www.fiberbit.net/user/mo83ed3/200403.html#t11190740] より。
「最大規模のキャンペーンに全社挙げて取り組んでいた。タレントさんも週替わりで起用し、収録済みも2本あるが、お蔵入りする。損害は大きいが、企業責任はこういうものだと思う」
という姿勢が、
「『どうなってるんだ』といったお叱りもあったが、ありがたいことに『がんばってくれ』『一生懸命応援している』との激励も多かった」
という共感を生む。
「起こらない様にどうするか」を十分やったからといって、「起こったらどうするか」を考えなくて良いことにはならないのは、リスク管理の鉄則。
技術的にも手続き的にもセキュリティ確保する仕組みを作るのは大切だけれども、非常事態が起きた時の、トップの判断はもっと大切だと思う。

■ 関連記事

■2 「ネタ元はアンテナのどれか」[http://www.otsune.com/diary/2004/03/10.html#200403106][hns]<< 前の記事 このエントリーをはてなブックマークに追加

皇帝の新しい服[http://www.fiberbit.net/user/mo83ed3/200403.html#t11190800] より。
ネタ元を記録しておくの重要。後になって、もう少し詳しく調べたいとか、あの辺りをきっかけに調べたら良さそうっていうことが多いからです。
というわけで、 ローカルミラーシステム[http://www.nantoka.com/~kei/diary/?200309b&to=200309175#T200309175] が大活躍。ローカルミラーも検索したりなんかすると、googleより便利な自分用データベースができあがる。
自分のブラウズしたページを全て蓄えておいて、ローカルで検索できるってシステムも夢見たりしますね。

■ 関連記事

詳細はこの日の詳細から

2002年03月12日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1make buildworld失敗[freebsd]次の記事 >> このエントリーをはてなブックマークに追加

4-STABLEでのbuildworldに失敗してた。
stable[http://docs.freebsd.org/cgi/getmsg.cgi?fetch=66757+0+current/freebsd-stable] に同じ現象が報告されていて、解決に向かっている模様。

直った[http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/usr.bin/xlint/lint1/cgram.y?lang=ja]:

みたいですね。

■ 関連記事

■2ぐる[ぐる]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ログからちょいぐる

バー 諫早市[http://google.yahoo.co.jp/bin/query?p=%a5%d0%a1%bc%a1%a1%eb%dd%c1%e1%bb%d4%a1%a1&b=100&hc=0&hs=0]:

Burnsなんかどうでしょう。 マスターは、JBA *1 で、JSA *2 。 シングルモルトも充実。
諫早市永昌東町11-24ハロービル1F-C、0957-21-3344。 登利亭 永昌東町店[http://www.toritei-g.com/] の近く。

忍者バーガー[http://www.ninjaburger.com/]:

自称スイッチングハブ[http://trident.comm.to/diary/200203b.html#1201]:

Masuda[http://unixluser.org/diary/?200203b&to=200203122S4#200203122S4] さんとこより。
この辺の製品にコメントをしにくいお仕事上の事情があるのですが、オオウケ。
高ければよい訳ではないけれども、最近のネットワーク機器は安すぎると思ったりもします。 安くできたのには理由があるんで、自分の用途にフィットするかどうかを考える必要があります。

切腹よー![http://tiyu.to/n0109.html#13_09_15]:

TNX[http://unixluser.org/diary/?200203b&to=200203122S6#200203122S6] です。
ニュースサイト(か?)読まなきゃダメだな。 最近、情報収集をサボってるかも知れない。
読んだ記事はマーキングしておいたらファイリングしてもらえる体制になっているけど、 新聞記事は既に古い情報でしかも技術的にはウソが多いので、 あくまで他の人に見せるための資料だし。
結局、本当のニュースは、電波ニュース *3 に頼ってますね。
*1: 日本バーテンダー協会認定バーテンダー
*2: 日本ソムリエ協会認定ソムリエ
*3: どこからともなく聞こえてくるみたいな。 そういえば、地元民放では「電波チラシ」とか危険なネーミングの番組やってたな。

■ 関連記事

■3 IPv6は必要か[http://www.rieti.go.jp/jp/publications/summary/02012500.html][IPv6]<< 前の記事 このエントリーをはてなブックマークに追加

要らないらしい。
現在の段階でIPv6の商用化を急ぐ必要はなく、とりわけ政府がそれを性急に推進することはインターネットの健全な発展を阻害する。
らしい。論拠は、
現状のままでも今後15年は枯渇することは考えられず、使われていないアドレスを有効利用すれば、 ほぼ無期限に利用できよう。またv4でも事実上無限のアドレスが利用可能であり、絶対的に不足することはありえない。
ということらしい。640Kもあれば十分で、バンク切り替え使えば事実上無限だし、 西暦は2桁あれば十分で、2000年は遥か未来の話だ。
「量的な変化は3桁違えば質的な変化を生む」と言われる *4 が、IPv6で増える桁数は数え切れない位 *5 の変化は質的な変化を生まないのだろうか。
「NATで囲われた世界は、インターネットではない」と主張しておこう。

そういえば:

確か、マダガスカル島だったと思うけど、 そこの最大規模のプロバイダがアドレス確保ができなくて、 クラスCをいくつか、しかもとびとびのアドレスしかもらえなかったという話があった気が。
先にアドレス確保しているところは「v4で十分」かも知れないけど、 これからどんどん普及させたいところは足りないかも知れない。
*4: 誰も言っていなくても私が言いつづけてる。
*5: 128bit-32bit=96bit。2^96=2^(10*3)*3^6なので、約1000^3*64で、10桁位か。 酔ってる上に暗算なので、間違えてたら後で修正。

■ 関連記事

詳細はこの日の詳細から

2001年03月12日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1Napster次の記事 >> このエントリーをはてなブックマークに追加

導入して何日か経ったので,感じたことを書き残しておこうと思った。 新しいものに触れたときに感じたことは, 時間が経って当たり前になってしまうと,なかなか思いつけなかったりする。

自分が送り手になること:

は,楽しいのかも知れない。

メッセージを送る方法:

として,ファイル名を使ってメッセージを書くという方法を使っている方がいた。

P2P?:

もともとインターネットって,Peer To Peerが当たり前。 いつのまにか,イソターネットになってしまっていた。

自分の身は自分で守れるOS:

ファイヤウォールの役割が変わる

コンテンツ:

に対するお金の払い方が変わらないといけないと思う。

■ 関連記事

■2FireWallのバージョンアップ<< 前の記事 このエントリーをはてなブックマークに追加

長年FireWallをやってきたマシンのバージョンアップをやった。 実は、今までパッチ当てまくりの2.2-stableだったので、 ものすごく世代をとんだバージョンアップになった。 運用上、止めるのが非常に難しい(内側のセグメントがインターネットに接続できなくなる)ので、まとまった作業時間を取れず、長いことバージョンアップできなかったのです。
本当だったら、別のハードウェアを用意して差し替えれば良いのだけれど、 手頃なマシンが調達できなかったので、停止時間を取って作業することにしました。
予め、修正点や入れたports等をリストアップして作業手順を作っておいたので *1 、 非常にスムーズにいって復活。 素晴らしい。ここまで心配するほどじゃなかったな。
*1: 途中で、内側セグメントはインターネットに出れなくなるので、 あのページに書いてあった・・・なんていうことが起きると困る。

■ 関連記事

詳細はこの日の詳細から

以上、10 日分です。

指定日の日記を表示

前月 2019年10月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project