お電話でのお問い合わせ

03-3589-6753

【エンジニアブログ】第12回 Enjoy&Engineer

画像に alt 属性が指定されていません。ファイル名: system-img-1024x217.png
Enjoy&Engineer

システム部の部長代理を務めておりますKENです 。
技術者向きなニュースや技術に関するあれこれを発信するエンジニアブログ、第12回となります。

今回はオープンデータAPIに関する話題です。
先日、内閣官房 情報通信技術(IT)総合戦略室から
地方公共団体が公開しているオープンデータの横断的活用の機能を備えた「APIプラットフォームサイト」が公開されました。

既存で公開されていたオープンデータについて省毎もしくは各団体ごとのものはありましたが、
今回公開されたものは各地方公共団体のオープンデータを集約し、一つのAPIで取得できようになっています。
これによりオープンデータ毎にAPIや取得IFを切り分ける必要がなくなってきます。

とはいえ、今回公開されている内容はコロナ関連情報のみとなっており活用は限定的となりそうです。
ただし当該サイトにも記載されているように、今回は最初の試みとしての内容であり、
有効性が確認できれば、他の分野・形式のオープンデータもAPI化の対象に加えることを検討して行くそうです。

来年デジタル庁が発足する予定ですが、国を挙げてのデジタル化が進み始めていると感じますね。
デジタル化について、これまでは各行政団体で足並みがそろっていない部分もあり、
なかなか使いにくい部分もありましたが、今後に期待です。

それではまた次回をお楽しみに!

【エンジニアグログ】第10回 Enjoy&Engineer

Enjoy&Engineer

お久しぶりです。システム部の部長代理を務めておりますKENです 。
技術者向きなニュースや技術に関するあれこれを発信するエンジニアブログ、第10回となります。

今回は少し懐かしい話題で、Adobe Flash Playerについてです。
既にご存知の方も多いでしょうが、Adobe Flash Playerが今年2020年末にてサポートが終了致します。

以前からサポート修了までのロードマップが提示されていましたが、
ついに先日Adobe Flash Playerを削除するWindows向けアップデートが公開されました。
ちなみにこちらのアップデートは手動となりますが、アップデート後にアンインストールすることは不可となっています。

私の記憶ですと20年ほど前はAdobe Flash Playerはリッチコンテンツの代表格だったのですが、年々新し技術が生まれてきており、最近ではほとんど見なくなってきました。
調べてみたところAdobe Flash Playerがサポート終了となる背景は以下の通りでした。
・セキュリティの脆弱性
・パフォーマンスの悪さ
・代替技術の台頭
・スマートフォンの普及

背景をみていると特に代替技術の台頭とスマートフォンの普及がAdobe Flash Player終了を早まらせたのではないかと感じました。


代替技術についてはHTML5に代表されるオープンな標準技術が登場したことで、だれでも簡単に開発することができるため一気にシェアを獲得していきました。


スマートフォンの普及については、iPhoneが発表された時点でAdobe Flash Playerはスマートフォンから外されていました。
理由は先ほど記載しては背景の通りですが、初期からAdobe Flash Playerを搭載していないスマートフォンが普及したことにより、さらにAdobe Flash Playerの需要が減ったということですね。

たかだが20年くらいですがAdobe Flash Playerの歴史を見ると時代の移り変わりの速さに驚きます。

もしご自身の管理しているサイト等でまだFlashのコンテンツを使用しているという方は早めの切替をお勧めいたします。
FlashのコンテンツをHTML5に変換するソフトが色々と出ておりますので、コンテンツに合わせたものを使用することで大きな労力を使わずに切り替えることができますよ。

それではまた次回をお楽しみに!

【エンジニアグログ】第8回 Enjoy&Engineer

Enjoy&Engineer

お久しぶりです。システム部の部長代理を務めておりますKENです 。
技術者向きなニュースや技術に関するあれこれを発信するエンジニアブログ、第8回となりました。

新型コロナウイルス収束の兆しがなかなか見えない昨今、まだまだテレワークの普及が進んでいるようです。
前回はテレワークに潜むセキュリティリスクについての話題でしたが、今回はテレワーク導入でコアとなるネットワーク接続に関するサービスのご紹介です。

テレワーク導入時にネットワーク接続に関してVPN接続でセキュリティの担保を図ることが多いかと思います。
ごく小規模なネットワークや既にVPNに対応したネットワーク機器をそろえている環境であれば導入にそこまでコストがかからないかもしれません。
しかし、中規模以上かつVPNに対応したネットワーク機器をそろえていない環境の場合は導入に多大なコストがかかると考えられます。

今回は上記のような問題でテレワーク導入に消極的ななってしまう方々へ、4月に入ってから公開された2つのサービスについてご紹介させて頂きます。

最初にご紹介させて頂くのは「シン・テレワークシステム」
「シン・テレワークシステム」はNTT東日本とIPAが新型コロナウイルスに関する緊急事態宣言や自宅勤務への社会的要請を受けて、テレワークを支援するために4/21に提供を開始したサービスです。
このサービスは契約不要・ユーザー登録不要の、直ちに利用可能な、無償のシンクライアント型VPNとなっており導入もいたってシンプルです。
社内のPCやサーバに「サーバ用アプリケーション」をインストールし、自宅で使用するPCに「クライアント用アプリケーション」をインストールするだけで、VPNを使用したリモートデスクトプ操作が可能となります。
こちらのサービスを使用するとVPN接続用に機器等の導入をする必要がなく、VPN接続で社内のPCやサーバを操作することが可能となります。
詳細はNTT東日本のHPをご参照ください。

次にご紹介させて頂くのは「BeyondCorp Remote Access」
こちらは米Googleが4/20(現地時間)に新型コロナウイルス感染症対策でテレワーク化が進んでる中、リモートからイントラネット内のWebアプリに安全にアクセスするためのシステムとしてGoogle Cloudユーザーへの提供を開始しました。
この「BeyondCorp Remote Access」は新しい考え方「ゼロトラストネットワーク」に基づくサービスで、ネットワークは全て危険という前提でオンプレミスやクラウドにある業務アプリケーションにVPNを使わずに、社外から安全にアクセスできるようにするサービスです。
このサービスの考え方や研究論文については公式HPを参照頂ければと思いますが、簡単に説明しますとオンプレミスやクラウドにあるWebアプリケーションに対して、当該サービスによって高度なアクセス制御を設定することで従業員がいつどのようなデバイスやネットワークを使用してアクセスをしてもセキュリティ的な担保を持つことが可能になります。
詳細はGoogle CloudのHPをご参照ください。

今回はテレワーク導入に関するサービスを2つご紹介させていただきましたが、新型コロナウイルス対策としてテレワーク導入が急務となっている企業等が多くなってきたからか期間限定でサービスの無償提供や革新的なサービスが発表されることが多く見受けられるようになりました。

テレワーク導入の必要がなかった企業様や、まだまだ先だと考えている企業様は働き方の多様化という現代のニーズに応えてみるべくこの機会にテレワークの実施検証を進めてみるのも手かもしれませんね。

それではまた次回をお楽しみに!

【エンジニアブログ】第6回 Enjoy&Engineer

お久しぶりです。システム部の部長代理を務めておりますKENです 。
技術者向きなニュースや技術に関するあれこれを発信するエンジニアブログ、第6回を担当させて頂きます。

今回はChromeの今後について取り上げていきます。
Webアプリを開発・運用されている方にはぜひとも知っておいて欲しい情報です。

Chromeでは今後2年以内にサードパーティーCookieのサポートを廃止し、ユーザーエージェント文字列の段階的な廃止を行うとしています。

現在最もサードパーティーCookieを使用しているであろうWEB広告については次善策を講じたうえで段階的に廃止とする方針ですが、現在サードパーティーCookieを使用したWEBアプリなどを構築・運用している場合については事前に対策をうつ必要があるかと思います。
おそらくサードパーティーCookieに代わる新しい仕組みが提案・運用されると思われますが、知らずにそのまま2年後を迎えてしまうとChromeでの表示が崩れたり期待する動作がされなくなってしまうことが起きえそうです。

ユーザーエージェント文字列の廃止についてはプライバシー保護のためとしています。
最近ではユーザーエージェント文字列をいわゆるブラウザー・フィンガープリントとして使用し、アクセス者の識別・追跡が行われる場合があるためです。
こちらも段階的に廃止が行われる予定ですが、サードパーティーCookieに比べると影響は少ないのかもしれません。
ただし、ユーザーエージェント文字列にてOSやデバイスの機種などの詳細な情報を条件としている場合は今から代替案を講じたほうが良いと思われます。

Chromeは世界でのシェアは57%強(※2020年01月現在)となっており、近年のWEBアプリ開発では必ずといっていいほど推奨環境として挙げられます。
今回のような重要な情報を見逃さず、先手先手でWEBアプリ開発・運用を進めていけるようにしたいですね。

それではまた次回をお楽しみに!

【エンジニアブログ】第4回 Enjoy&Engineer

Enjoy&Engineer

お久しぶりです。システム部の部長代理を務めておりますKENです 。
技術者向きなニュースや技術に関するあれこれを発信するエンジニアブログ、第4回を担当させて頂きます。

今回は最近日本でも猛威を振るったマルウェア 「Emotet」 について見ていきたいと思います。

Emotetはマルウェアの一種でありますが、他の様々なマルウェアの感染・拡散を行うマルウェアのインフラ・プラットフォームとして進化し続けていることを特徴としています。

その感染力と拡散力の高さから他の強力で悪質なマルウェアと一緒に配布されることが多いため、被害を深刻化させています。

そもそもなぜEmotetはそこまで感染力と拡散性が高いのでしょうか。
IPAの注意喚起ページでもその巧妙さが確認できますが、概要をまとめると以下の様な事由となります。

Emotetへの感染を狙う攻撃メールでは、受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部を攻撃メールに流用し、「正規のメールへの返信を装う」内容となっている場合や、業務上開封してしまいそうな巧妙な文面となっているのです。

実際のメールのやり取りの続きを装った攻撃メールなので、判断がとても難しいのです。
一般的な対策として少しでも怪しいなと感じたら添付されるファイルは開かないことが原則でありますが、巧妙な攻撃メールとなっているために被害が拡大しているのです。

今後もEmotetに限らず攻撃の巧妙さは日々進化してくるでしょう。
我々が自衛としてできることは常に警戒心を持ちつつ日々の情報技術操作を行っていくことではないでしょうか。

それではまた次回をお楽しみに。

【エンジニアブログ】第2回 Enjoy&Engineer

Enjoy&Engineer

皆さま初めまして。
株式会社エンジョイでシステム部の部長代理を務めておりますKENです。

技術者向きなニュースや技術に関する事あれこれを発信するエンジニアブログの第2回目は私が担当させて頂きます。

さて、今回は最近発見された新型サーバ攻撃「CPDoS」について見ていきたいと思います。

発見したのはドイツのケルン工科大学研究チームで下記URLにて詳細を確認できます。(英文)
CPDoS: Cache Poisoned Denial of Service
https://cpdos.org/

CPDoSとはCache Poisoned Denial of Serviceの略であり、
CDNで配信されるWEBリソースやWEBサイトを無効とする攻撃のことです。

そもそもCDNとはContent Delivery Networkの略で、「コンテンツ配信ネットワーク」を意味している通りWEBコンテンツをインターネット上のキャッシュサーバーに分散配置し、ユーザーに最も近い経路にあるキャッシュサーバーから画像や動画などのWebコンテンツを配信する仕組みです。

ユーザーが地理的に近い場所に存在するサーバーからデータにアクセスすることを可能にすることで、データ転送を高速化・安定化する上に、 WEBコンテンツがサーバー上に分散して保存されるため、元のサーバーがダウンしていても別のサーバーからデータにアクセスできようになります。

そんなCDNの仕組みを逆手に取り、キャッシュサーバを攻撃することで対象とするWEBコンテンツへのアクセスを妨害する手法が今回の新型サーバ 攻撃「CPDoS」 です。

CPDoSの基本的は攻撃フローは以下の通りです。

  1. 攻撃者は、Webサーバーに攻撃対象リソースを標的とする悪意のあるヘッダーを含む単純なHTTPリクエストを送信します。リクエストは中間キャッシュサーバによって処理されますが、悪意のあるヘッダーは目立たないままです。
  2. キャッシュサーバは、攻撃対象リソースの最新キャッシュを保存するためにリクエストをオリジナルのサーバーに転送します。オリジナルのサーバーでは、リクエストに含まれる悪意のあるヘッダーのため、リクエスト処理がエラーを引き起こします。
  3. オリジナルのサーバーはエラーページを返し、キャッシュサーバではリクエストされたリソースの代わりに エラーページ が保存されます。
  4. 攻撃者は、キャッシュサーバにエラーページが保存されたことを確認し、攻撃を完了します。
  5. 後続の攻撃者でないユーザが対象リソースを取得しようとし、リクエストが中間キャッシュサーバで処理される。
  6. 対象リソースの代わりにキャッシュされたエラーページが取得される。

攻撃者がCPDoSを使用することで 、CDNやプロキシサーバーによってホスティングされている任意のWEBリソースをブロックすることが可能となります。研究チームによると、1つの悪意のあるHTTPリクエストですら、対象となったコンテンツに対するアクセスを全て妨害することができるとのことです。

ただすべてのCDNで発生する脆弱性ではなく、研究チームの研究結果のURL先サイトにはサーバとCDNの組み合わせで発生するCPDoS対する脆弱性を表にて示しています。

また 研究チームはCPDoSに対して、緩和策を講じています。
1つ目の緩和策は「デフォルトでHTTPエラーページをキャッシュしないようにCDNを設定する」という手法。
2つ目は「各エラーページのヘッダに『Cache-Control:no-store』を追加する」という手法。

元々はファイルのダウンロード配信技術だったCDNですが、ストリーミング配信に始まり昨今ではオリジンサーバの耐障害性向上やユーザへのレスポンス速度高速化のためにグッと身近な仕組みとなってきました。

今回発見された新型の攻撃手法はとても単純なだけに、多くのサービスへの影響が考えられます。

CDNはクラウドサービスとの親和性が高く、多くのクラウド事業者がCDNをオプションとして提供しており、当社もクラウドシステム開発を行っておりますので今回のような新型攻撃手法の発見には常にアンテナを張って対応を行っていきます。

それではまた次回をお楽しみに。

Mediaメディア掲載実績

歯科医院経営・総合情報誌アポロニア21/月刊「BIGLIFE21」/月刊「美楽」/楽天コミュニケーションズ㈱様/他

【Biglife21】様WEB記事はこちら
お客様の本音を集める新クラウドサービス「JOYボイス」を提案する

WEB記事を読む

Contactシステム開発・クラウドサービス・SES お気軽にお問い合わせください