叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

アプリケーション(開発・運用・脆弱性)

エンドルフィンが放出される幸せの四川料理店(福満園)

福満園は横浜中華街に数店舗を構える四川料理の中華やさんです。港北のモザイクモールに昨年12月にオープンしました。福満園の本店はハマスタ近くにあります。営業時間がながく、プロ野球観戦の前後に入るお店として気にはなっていました。でも、いままで利…

「2025年の崖」という言葉を最近、聞かなくなったことに気がつきました

気が付けば2025年。そして「2025年の崖」という言葉を聞かなくなったことに気がつきました。「2025年の崖」というのは、会社(大企業)が、現行のITシステムを全面的に見直し、2025年までにDX化による刷新ができなければ、最大12兆円/年(現在の約3倍)の…

商店街で買い物をする

わたしは幼少期だった1970年代、駅から歩いて20分くらいにある団地に住んでました。駅から団地までは商店街があります。当時はとても賑わってました。昼の商店街は母子連れや、お母さん買い物客が、八百屋さんだったり魚屋さんにいて、店の人と声をか…

開発とインフラのコミニュケーションエラー

システム構築の要件は「機能要件」と「非機能要件」に大別されます。機能要件は、システムが何をするべきか、どのような機能を提供するべきかを記述します。通常はシステムの利用者が要求を提示し、SEが要求を設計書に落とします。非機能要件は、システムの…

DAST(動的アプリケーション・セキュリティ・テスト):気になる情報セキュリティ用語

DAST(動的アプリケーション・セキュリティ・テスト)は、アプリケーションが実行中に外部からの攻撃をシミュレートして、セキュリティ脆弱性を検出する手法です。脆弱性を検出する別の方法であるSAST(静的アプリケーション・セキュリティ・テスト)と比較…

SAST(静的アプリケーション・セキュリティ・テスト):気になる情報セキュリティ用語

SAST(静的アプリケーション・セキュリティ・テスト)は、アプリケーションのソースコード、バイナリ、オブジェクトコードを解析します。SASTを実行することで、SQL インジェクション、バッファーオーバーフローなどセキュリティリスクを検知します。ソフト…

縁から始まる情報セキュリティ

情報セキュリティに関わる仕事をしたのは縁(えん)です。それまでのわたしは常駐している客先のIT会社で、オンプレミスによるパッケージソフトの納品チェックを行い、顧客(取引先)のサポートをしてました。オンプレミスによる納品とは、顧客が管理する設…

ぬかるみの世界

かっての同僚と有楽町にある「千房(ちぼう)」でお好み焼きを食べに行きました。仕事で関わっていたのは20代の頃でした。30年以上前の出来事も鮮明な記憶があります。いまでも交流の場あるのは、嬉しい限りです。宴もラストになり、同僚が注文したのは…

人気俳優のファンミーティングのチケットを「定価トレード」で入手した件

いま旬の俳優といえば、やっぱりピョン・ウソクですね。世界的シンドロームを巻き起こした韓国ドラマ「ソンジェ背負って走れ」の主人公を演じた俳優さんです。そのピョン・ウソクの日本ファンミーティングが、9月28日(土)、29日(日)で開催されてます。わ…

家族にたとえる疎結合と密結合

アプリケーション開発の現場では長らく「疎結合」がトレンドです。わたしが疎結合を取り入れた開発プロジェクトに参画したのは2000年です。オブジェクト指向設計をしたアパレルメーカーの生産管理システムの開発プロジェクトです。アパレルのサプライチェー…

ソースコードと業務マニュアル

SESエンジニアとして客先に常駐すれば、仕事をしながら、自分のスキルを高めることができます。自分のスキルが高くなれば、より自分を高く売ることができます。客先に常駐するのは、精神的な苦痛を伴うかもしれませんが、考え方を変えれば、SESの仕事はいい…

詐欺被害者のリアルストーリー:ワンクリック詐欺

ChatGPTによる「ワンクリック詐欺」をテーマとした物語 夕暮れ時、キャシーはひとり自宅でネットサーフィンを楽しんでいた。彼女は忙しい一日の終わりにリラックスするために、オンラインのショッピングサイトを巡っていた。広告がちりばめられたウェブペー…

棚卸を効率化するためにシステムの可用性を損ねた思い出

ITエンジニアの仕事をすると障害はつきものです。障害は情報セキュリティの3要素である、機密性、完全性、可用性 のいずれかが、確保できない状態だと捉えられます。なかでもダントツに多いのが、可用性の事故です。可用性とは許可された者が、必要な時に必…

世界が間違ってしまったから

ボブ・ディランは52歳だった1993年に「World Gone Wrong」というアルバムを発表してます。 https://amzn.to/4csRGSQこのアルバム、日本語では「奇妙な世界に」というタイトルで紹介されているのが変です。英語を直訳すると「世界は間違っている」になると思…

5ヶ月遅れの「ノストラダムスの大予言」

企業に於ける情報セキュリティのインシデントが増えたのは、2000年以降です。1990年代にもインシデントは発生していましたが、2000年代に比べるとその数ははるかに少ないです。2000年に入って、インシデントが増えたのは、ITシステムの使われ方が、1990年代…

粗製乱造されたWebアプリケーション

気がついたら、わたしが持っている「情報セキュリティ管理士」という資格の有効期限が切れていたことに気が付いて、更新のための研修(オンライン)を受講しました。最短突破 情報セキュリティ管理士認定試験 公式テキスト [ 五十嵐 聡 ]価格:3058円(2024/3/…

PowerAppsを使ったアプリ開発の楽しさと、情報セキュリティ対策の難しさ

最近はローコードの開発ツールと言われる MicrosoftのPowerAppsを使ったアプリの開発を楽しんでます。ローコードとは、プログラミングやコーディングの知識があまりなくても、比較的簡単にソフトウェアやアプリケーションを開発できるように設計された開発手…

サイバー攻撃の多発時期と企業被害の実態

毎年、2月から3月にかけては、サイバー攻撃がもっとも多発する時期として、知られてます。 帝国データバンクは15日、2月中旬以降にサイバー攻撃の検知が急増しているとする調査結果を発表した。2021年3月からの過去1年間で、22年2月中旬~3月中旬にサイバー…

SQLインジェクション:気になる情報セキュリティ用語

SQLインジェクションは、Webサイトにリクエストを送るHTTPのパラメータにSQLの命令を含ませることで、SQLを採用しているデータベースに直接アクセスして不正操作を行う攻撃手法のことです。正常なログインで実行されるSQL文を確認します。下図では顧客テーブ…

HIDDENフィールド:気になる情報セキュリティ用語

HIDDENフィールドをHTMLの入力フォームで使用すると、Webブラウザで表示されません。画面上には表示されないが、サーバー側で利用する必要がある情報がある場合、HIDDENフィールドを使用することができます。その特性から、HIDDENフィールドを使って商品の価…

クロスサイトリクエストフォージェリ(CSRF):気になる情報セキュリティ用語

クロスサイトリクエストフォージェリ(Cross-Site Request Forgeries)は、Webアプリケーションのサーバー側機能を、ユーザーの意図に反して勝手に実行させる攻撃です。被害を与えるWebサイトの掲示板などに、ユーザーのパソコンのIPアドレスでアクセスして…

クロスサイトスクリプティング(XSS):気になる情報セキュリティ用語

クロスサイトスクリプティング(Cross Site Scripting)は、脆弱なWebサイトをターゲットとして、悪意あるWebサイトからスクリプトをユーザのパソコンに送り込むことで、ユーザーのパソコンの個人情報を搾取する攻撃方法です。略称として「XSS」と表記する場…

マイクロサービスで新3Kから人気職種へ

いま、ITエンジニアは人気職種です。2000年代のはじめ、ITエンジニアは 新3Kと言われてました。これは、きつい、厳しい、帰れない を指してます。当時のわたしの勤務形態では、月の労働時間が 300時間だったこともありました。月の稼働を20日とすれば、一…

ITエンジニアの働き方

わたしは1990年に繊維・化学系のメーカーに就職しました。そして、配属先はコンピュータ部門でした。当時はバブル絶頂期、わたしは多くの同期がいました。コンピュータ部門の職場で働く人のうち、半分は社員のエンジニアでした。そして、もう半分は外部の業…

ITエンジニアのキャリアパス

わたしが大学を卒業して、会社員になったのは 1990年です。当時は IT(Information Technology) という言葉は一般的ではありませんでした。わたしが入社した会社は、繊維・化学系メーカーなのですが、わたしが配属されたのは、コンピュータ部門でした。わた…

共感して支援する

「リーダーとはこうあるべき」について書かれた書籍やネットの記事をよく見ます。リーダーは、会社組織以外にも地域の活動や組合、学校の部活動や学級など、メンバーが集まるすべての集合体にリーダーがいるでしょう。リーダーが管理するべきメンバーの人数…

新たな要望に柔軟に対応する「スクラム開発」

前回の記事は、孫氏の兵法「孫子曰く、先に戦地に処りて、敵を待つ者は佚(いっ)し、後れて戦地に処りて戦いに趨(おもむ)く者は労す。」を持ち出しました。www.three-wise-monkeys.com競争相手に優位に立つためには、相手を自分に引き寄せるようにするこ…

通過点となる500回目の投稿

わたしは 2020年11月 に100回目の記事を書いたとき「このブログでは自分が関心のある『情報セキュリティ』を主題にしながらも、それとは関係ないテーマを組み合わせて書きたいと思った。」と書きました。www.three-wise-monkeys.comあれから3年 たちました。…

SEO対策とユーザーの錯覚

インターネットで調べものがしたいとき、Google(グーグル)を使って調べるのは、多くの人にとっての日常です。検索エンジンも、いずれは、Chat GPT のような 対話型AI にとって代わられるかもしれませんが、今日明日という状況ではないです。検索エンジンと…

溢れる「ダークパターン」

スマホアプリや Webサイトを使うとき、利用規約やプライバシーポリシーをきっちり読む人はどのくらいいるのだろう?契約に関わる文章は長いうえに、無味乾燥で、真剣に読もうとしても、言葉が頭に入ってこない感じがします。そんな、無味乾燥な規約でも、ア…