トップ > blog > blog - 人気ブログ(Blog)検索結果詳細 (2008年12月2日 5時)

Trendmicroのパターンがアップしました。

パターン番号：5.685.00

イエローアラート：未調査
アップデート理由：未調査
新規対応
　未調査
亜種対応
　未調査

（ずきん♪経由）

DITさんがWinnyやShareのファイル流出事件や事故の調査なんかを国公立教育機関を対象に無料提供との事。

うまいなぁ、宣伝。

ディアイティ（下村正洋社長）は12月2日、国公立教育機関を対象に、ファイル流出事件・事故防止の「P2P調査・保全サービス」を12月10日から09年6月末日まで無償提供すると発表した。

　ファイル交換ソフト「Winny」や「Share」で漏れたデータ（ファイル）の流出経路や範囲、拡散状況を調査し、証拠保全するサービス。万が一ファイルの流出事件・事故発生した時、迅速・適切に対応することができるという。

asahi.com（朝日新聞社）：ディアイティ、ファイル交換ソフト経由での流出事故調査サービスを無償提供 - e-ビジネス情報（提供：ＢＣＮ） - デジタル

関連URL

• P2P調査・保全サービス | サービス | ディアイティ

らしい。違法はだめ。

スカッとした

asahi.com（朝日新聞社）：放火未遂容疑で高２逮捕　「気分スカッとした」　愛知 - 社会

2009年秋だそうです、１年後か・・・

情報漏えいやコンプライアンスのためのWebCastをMSRCが出してくれています！後で見る

現状、情報漏えい対策や様々なコンプライアンスへの対応は企業には欠かせないものになってきています。常に変化する脅威の中、最適なコストでセキュリティ ソリューションを選択していく必要があります。特に、社員のセキュリティ教育に困っているという意見を良く耳にしますし、教育には多くの時間とコストが掛かりますが、やはり、どれだけすぐれた技術やルールで会社のセキュリティを固めても、ベースには「人」がいるので、社員へのセキュリティ教育は大切です。

今回は、教育に「そのまま使える」セキュリティ対策の基本とセキュリティの教育を中心にウェブキャストを公開しました。社内で再利用、または再配布も可能ですので、従業員のセキュリティへの意識向上をお考えでしたら、以下のウェブキャストを見ていただくのはどうでしょうか？

譌・譛ャ縺ョ繧サ繧ュ繝・繝ェ繝?繧」繝√?シ繝? (Japan Security Team) : 3 蛻? 繧サ繧ュ繝・繝ェ繝?繧」 繧オ繝励Μ繝。繝ウ繝?

あくまでうわさですが、Vista SP2が２００９年４月にリリースとのこと。

Microsoft will deliver Windows Vista Service Pack 2 (SP2) to manufacturing in April 2009, two months after it issues a final test version to users, according to a Web site that accurately predicted several Windows ship dates in 2008.

Vista SP2 due next April, says report - Calendar Of Updates

MSのSIPにDoSを受ける脆弱性だそうです。SIP INVITEメッセージを複数受けると影響を受けるそうです。

A vulnerability has been reported in Microsoft Office Communications Server, which potentially can be exploited by malicious people to cause a DoS (Denial of Service).

The vulnerability is caused due to an error in the processing of SIP messages. This can be exploited to potentially exhaust all available memory via multiple SIP INVITE messages sent to an affected server.

no title

神戸デジタルラボさんが、テスト環境構築サービスまで始めたそうです。

VMで仮想化させるのかな？？？

神戸デジタル・ラボ（本社：神戸市）は2008年12月1日、実システムと同じ環境を構築して、事前にサイトのセキュリティ診断などができる「診断用テスト環境の構築サービス」を開始した。価格は、WebサーバとDBサーバを1台のマシンで構成する「サービスプラン1台パック」で20万円から（別途ProactiveDefense診断価格がかかる）。

　Webサイトのセキュリティ診断サービス「ProactiveDefense」の新メニュー。顧客企業から提供されたWebサーバの環境情報や、DBサーバの環境情報などを使って、同社内に診断用テスト環境を構築。徹底した診断を安全に行えるという。「診断を実施してみたいが、診断によるサービスの停止が心配」「漏洩が怖いので、徹底した診断をやって欲しいが、テスト環境がない」などのニーズに応えた。

神戸デジタル・ラボ、Webサイト診断用テスト環境の構築サービスを開始 - SourceForge.JP Magazine

テスト環境は仮想環境上で構築し、診断終了後には全ての環境を消去する。なお、ハードウェアを別途用意し、診断完了後にそのまま納品する「ハード環境オプション」も用意した。

神戸デジタル・ラボ、Webサイト診断用テスト環境の構築サービスを開始 - SourceForge.JP Magazine

ApacheのPCI-DSS的なチェックリスト

UNIX系OSを使用している環境において、WebサーバアプリケーションとしてApacheが一般的に利用されています。対象環境にApacheがあった場合に、PCI DSSの12要件の順序ではなく、どのような点を注意深く確認するのかをご紹介したいと思います。ここで使用する環境は、Linux＋Apache 2.2.8です。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

psでの確認項目、正しいアプリか、正しいユーザかの確認も必要

対象範囲内のOSについては、まずネットワーク接続状況と稼働するプロセスを確認しますが、Apache httpdの存在はnetstatやpsで確認することができます。通常、インタビューや文書確認を先に行っており、Apacheが稼働していること自体はすでに分かっています。

しかし、この時点で“稼働していないはずのApache”を発見することもあります。そういった場合は、PCI DSSの訪問審査の観点では指摘事項となるため、非準拠になります。例えば、データベースやそのほかのツールのWeb管理コンソールが、使用されていないにもかかわらず稼働しているようなケースがよく見受けられます。

つまり、この作業が、要件2.2.2の「システムコンポーネントのサンプルを選択し、有効なシステムサービス、デーモン、プロトコルを調査する」の一部であるといえます。ここではpsコマンドでの確認方法を挙げてみたいと思います。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

結局はカード情報がどうなるかがメイン！これはPCI-DSSのメインテーマですので忘れないように

プロセス情報やバイナリから得られた情報から正確に設定ファイルを識別し、その内容を確認します。各項目について確認する際の観点はずばり「カード会員データの漏えいにつながるか？」です。

設定ファイルはすべての内容を確認し、不明点があれば担当者の方に質問することになります。httpd.confで設定できる項目は膨大です。すべてここで取り上げることは難しいですから、いくつかの例を挙げたいと思います。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

これは別にどうでも良いかなｗ

ServerTokensやServerSignatureなどは、バージョン情報の見せ方の設定ですので、攻撃者に情報を与えてしまうことから、「セキュリティ上」はProd、およびOffにするのが望ましいですが、PCI DSS準拠という観点で「カード会員データの漏えいにつながる」とはいいがたいため、指摘となることはまずないでしょう。これ以外のKeepAlive関連のパラメータはパフォーマンスの設定ですから、それほど細かくは確認しません。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

実行ユーザか。確かに権限昇格されたらなんでも出来ちゃうしね。

実行ユーザーとグループの設定がrootになっていることはまずありませんので、ここでは実行されているプロセスと同一になっているかどうかを確認します。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

結構放置しがちなロードモジュール管理・・・結構面倒なんだよねぇ・・

Userdirとか、意外と忘れがちで、~testとかしたら、過去バージョンが出てきたり、データ一覧が出たり・・・したりしますしね

この項目は、要件2.2.4「システムコンポーネントのサンプルを選択し、不要な機能（スクリプト、ドライバ、機能、サブシステム、ファイルシステムなど）がすべて取り除かれていることを確認する」に対応するためのものです。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

ロードバランサとか付けていたら要注意ですね。IPアドレスというのを確定できるようにしないと！

ログの設定は、標準的な設定で誰が（IPアドレスやホスト名）、いつ、何をしたのかの記録が取られていれば問題ありません。ログについてはむしろ、その記録されたログの運用方法について注意する必要があります。具体的には、保管されたログのアクセス権限、ローテーションのサイズや期間、世代数、また長期でのログのオフライン保管や完全性の保護などがポイントになるでしょう。ログについては主に要件10の項目になります。

　調査時には、実際にログの内容を見て、カード会員データがログ内に含まれないかどうか、過去のログが保管されているかどうか、また、ほかのサーバ上のログと合わせて、1トランザクションを追跡できるかどうかを確認します。

　そのときに重要となるのは時刻同期であり、各サーバ上のログの整合性が取れていることが必要となります。例えば時刻同期については、要件10.4「組織内で正しい時刻を入手および配布するためのプロセス、およびシステムコンポーネントのサンプルについて、時刻に関連したシステムパラメータ設定を入手および調査する」に基づいて確認します。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

以前Squidの設定項目について、話をしたことがあるのですが、標準設定と違うところを明記するという、設定所を書いたら、拒否されました。全て書けと・・・８０００項目近くあったと思うんですけど、、、全力で拒否させていただきましたがｗ

QSAの訪問審査時には上記のようにシステム設定を確認しますが、設定上対応してさえいればよい、というわけではありません。すべての項目について文書化しておく必要があり、その設定によってシステムはどう変化するのか、なぜその設定となっているのかを把握しておく必要があります。

Apacheセキュリティチェック、PCI DSSの場合 − ＠IT

うきゃぁー５０GBのディスクの３３GBもデータベースファイルが使ってる！！！？

それは開発用サーバーのSQLServer2005で、ちょっと前から困っていたことのお話。

問題：ディスクは50GBしかないのに、msdbが33GBもある。そのせいで、テストモジュールを最低限まで削ってもテスト動かすとすぐに残り容量100MB以下に。うーん、でいんじゃらす。

なので、ちょっと本気を出して、msdbの圧縮について、対処することにした。

まずは原因となっているだろうテーブルの洗い出し。

32.4GBの攻防戦

ServiceBrokerってので、色々テストしたさいのごみ？！

問題のテーブルは　sysxmitqueue

ServiceBroker の処理キューを貯めておくところなんだけどどうやら未処理のままデータを溜め込んでいるらしい。そういや、このサーバーでBrokerのテストしたことあったなー。って、ずいぶん前だな、、つか、そのせいかorz

なので、さくっとBroker再構築

32.4GBの攻防戦

ほへ？！６MB！！！！てか、なんだ！？ごみだらけだったとｗｗｗｗｗｗｗｗｗｗｗｗ

で、その後、msdbを圧縮。おおっ！33GB→6MBに！

ディスクが空いた。一安心ｗ

32.4GBの攻防戦

流出経路は不明だが、早大のセクハラなどの相談リストが流出とのこと。被害者、加害者の相談に関する氏名も出ていたそうです。

早稲田大学には情報があがっていない・・・

早稲田大学が学生らから受け付けたセクハラなどの相談３９１件のリストがインターネット上に流出していたことが１日、わかった。訴えた相談者や相手方の氏名のほか、「ストーカー」「アカデミック・ハラスメント（教員の地位を利用した嫌がらせ）」といった内容の分類が記載されているという。

　同大によると、流出したのは９９〜０４年度中に「ハラスメント防止委員会室」が受け付けた相談。同大が調べたところ、０８年７月、同室の嘱託職員の女性が自宅で作業をするためにこれらのデータを持ち帰っていたという。ただ、その後どう流出したかははっきりしておらず、同大は「確認中」としている。

asahi.com（朝日新聞社）：早大、セクハラなど学生の相談リスト流出　氏名も記載 - 社会

米国の話ですが、ノートパソコンが盗まれて個人情報が１０万人分紛失したそうです。

米Starbucks Coffeeで10月下旬にノートPCが盗まれ、約9万7000人の社員の個人情報を紛失していたことが判明した。英セキュリティ企業Sophosのセキュリティ研究者、グラハム・クルーリー氏が報道などを引用してブログで伝えた。

　報道によると、ノートPCの盗難は10月29日に発生し、Starbucksでは11月24日に公表した。盗難されたノートPCには関係先企業を含む社員約9万7000人分の氏名、住所、社会保障番号の情報が保存されていたという。

「今後は暗号化します」と表明：米Starbucksで再びPC盗難、約10万人の社員情報を紛失 - ITmedia エンタープライズ

暗号化されていなかった！！！！！！！！！（驚愕

Starbucksは、書簡の中で「厳重な個人情報の保護対策を実施してきたが、今回の事件は取り組みを見直す重要な機会であり、暗号化などの対策を速やかに導入する」とコメント。これに対し、クルーリー氏は暗号化などの基本的な情報保護対策をなぜ今まで導入していなかったのかと指摘する。

　「もう少し早く導入していれば社員の心配を軽減できたはず」とクルーリー氏。Starbucksでは2006年11月にもノートPCの盗難が発生し、約6万人の社員の個人情報が漏えいした。

「今後は暗号化します」と表明：米Starbucksで再びPC盗難、約10万人の社員情報を紛失 - ITmedia エンタープライズ

四国情報セキュリティ勉強会の宣伝もできますかね？

id:sonodamさんの言われていたあれって、キャラバンだったんだ！

高松でもやるよー。12月20日（土）。

　10:00〜10:25　セキュリティ＆プログラミングキャンプの紹介（事務局）

　10:25〜11:15　情報セキュリティ基礎：正しい情報セキュリティを学ぶ　（講師：園田道夫）

　11:25〜12:15　情報セキュリティ応用：仮想マシンの便利さと落とし穴〜仮想マシンモニタの機能を例にとって（講師：宮本久仁男）

　13:15〜14:05　プログラミング基礎：プログラムが変えた社会（講師：吉岡弘隆）

　14:15〜15:05　プログラミング応用：Webプログラミングの未来について　（講師：竹迫良範）

　15:15〜16:00　質疑応答およびフリーディスカッション

高松開催 - 極楽せきゅあ日記

セキュもみじ募集開始しています！！！

■第１４回 セキュリティもみじ セミナー

「出張!CTFプロジェクト in 広島／ライトニングトーク　４連発」

■ 日時 ■

2008年12月13日（土）

13時〜16時30分

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

きゃぁ！！！福森さんだ！！！！１００％ルールの会社ｗｗｗｗｗｗｗｗｗｗｗｗｗ

■ メイン講師 ■

●講演タイトル

出張!CTFプロジェクト in 広島

●講演者、プロフィール

福森大喜(http://ja.avtokyo.org/projects)

100%ルールの会社でHTMLを挿入するだけの簡単なお仕事に従事。

個人的な講演としては、POC Korea 2007「Attacking Web 2.0」、AVTokyo 2008

「Flashを媒介したXSSワームの可能性」など。

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

そして、竹迫さん！！！！！

◆１発目：EBCDIC Binary Hacks

●講演者、プロフィール

竹迫良範（サイボウズ・ラボ株式会社）

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

id:sonodamさんｗｗｗｗｗ福森さんにネタにかぶせすぎｗｗｗｗワラタｗ

◆２発目：「不正アクセス禁止法の話」

●講演者、プロフィール

園田道夫

100％ルールの会社で月一で飲んだくれる簡単なお仕事に従事。

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

佐名木さんまで！！！豪華すぎる！

◆３発目：古き良き懐かしいセキュリティホールで遊んでみよう。

●講演内容

古き良き懐かしいセキュリティホール MS00-057 を用いて、

・冗長な UTF8表現

・UNICODEで分離された文字を使ったサニタイズ回避テクニック

の二つの Unicode のセキュリティ・テーマを試してみよう。

●講演者、プロフィール

佐名木 智貴（NTTコムテクノロジー株式会社）

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

そして、花田さん！！！！！

◆４発目：タイトル：「それ、顔で -顔認証がやってきた-」

●講演内容

指紋認証、静脈認証に続き、第3のメジャーなバイオメトリクス認証としての地位を築きつつある顔認証。

そんな顔認証を使用してみた感想と実用の観点からの考察をいたします。

●講演者、プロフィール

花田 智洋（Tomohiro Hanada）

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

最後は世界の星澤、、、、もう行かない理由はない！！！！（てか行けないんだけど（泣

◆５発目：解析してわかるマルウェアのテクニック

●講演内容

最近のマルウェアのテクニックをかるくご紹介します。

●講演者、プロフィール

星澤裕二

第１４回 セキュリティもみじ セミナー - セキュリティもみじ

マジコン逮捕者キタ━━━━━━( ゜∀゜)━━━━━━!!!!

逮捕された男性は10月3日、松山市の男性に対して、任天堂が著作権を有するゲーム「スーパーマリオワールド」のデータが入ったCD-R1枚と、「ポケットモンスタープラチナ」のデータが入ったmicroSDカード1枚を郵送で販売していた疑いが持たれている。

　男性は、Yahoo!オークションに、ニンテンドーDS用の「マジコン」の一種である「Cyclo」や「EDGE」を出品し、ゲームデータや音楽データ、ゲームデータが入手できるアップロードサイトのURLなどの情報を記録したmicroSDカードやCD-Rをセットとして、8500円で販売していた。警察の調べによると、男性は2007年5月から逮捕されるまでの間、百数十人に対して販売を行い、約100万円を売り上げていたという。

DS用海賊版ソフトとマジコンをセット販売、男性を逮捕

やっぱり、オンライン勉強会よりもオフラインの生ですよね！！！！

オンラインの勉強会に参加するのは初めてでしたが、生で見るプレゼンより少しだけ臨場感が足りませんでした。やはり勉強会とビールは生がいいですね。でもまた参加したいと感じました。

Shibuya.pm in はてな　に行ってきた - 駆け抜けろ！プログラマの青春！

はーーぃ！お会いしましたー！ありがとうございます！

id:antipopさんも、もう少しフォローしておけばよかった（自己紹介とか）言われていましたねｗ

Kanasan.jsのkanasanさんや、セキュリティ勉強会のまっちゃだいふくさんともお話が出来て非常に有意義でした。

今日は勉強会の後に用事があったのでサクっと帰ってしまいましたがもう少しいろいろな人とお話したかったです。

Shibuya.pm in はてな　に行ってきた - 駆け抜けろ！プログラマの青春！

2048Bitのサーバ証明書が販売開始とのこと。携帯もOKなんだ。

サイバートラストは12月1日、2048bitの鍵長を持つEV SSL 証明書「SureServer EV ［2048bit］」を発売した。携帯電話の対応範囲は、利用率ベースで約99％になるという。

　SureServer EVは、厳しい検査基準に準拠したWebサイトの安全性を利用者に証明するEV SSL証明書。現行の1024ビット長のものは2010年12月31日に利用が制限され、鍵長の長い2048ビットの利用が必要になる。

携帯電話も広範に対応：サイバートラスト、2048ビット長のEV SSL証明書発売 - ITmedia エンタープライズ

アラフォーとグーらしいです。

今年の世相を反映した言葉を選ぶ「２００８新語・流行語大賞」（「現代用語の基礎知識」選）が１日発表され、４０歳前後の女性を指す「アラフォー」と、タレントのエド・はるみさんのギャグ「グ〜！」が大賞に選ばれた。

asahi.com（朝日新聞社）：流行語大賞に「アラフォー」「グ〜！」 - 文化

id:hanazuknさんの勉強会フリークな記事です！！！きました！！！

初回はわんくま同盟勉強会の紹介です！

てか、書いている人が、まっちゃ１３９の中の人なので、永遠にまっちゃ１３９の紹介はありませんｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

そのうち、取材とかいう名目で色々な勉強会に出席するライフ八苦？＞id:hanazukin

わんくま同盟は高い頻度で開催され、タイミングさえ合えば比較的参加しやすい勉強会です。遠方の開催で直接参加できない場合でも、オンライン中継が行われているため、自宅にいながらにしてセッションを聞くことが可能です。取り扱う内容は開発者向けに限りません。この日も、Windows Mobile開発から化学の話まで多岐にわたりました。過去にはVOCALOID「初音ミク」を使ったDTMのセッションも行われています。

「勉強会ってすごくハードルが高いし、難し過ぎるかも」と思って二の足を踏んでいる方は、まずはオンラインで参加して雰囲気を見てみるとよいでしょう。いままでの勉強会の内容や資料は、わんくま同盟勉強会情報で一部公開されています。

「わんくま同盟」に行ってきた − ＠IT自分戦略研究所

これ大事ですね。みんな不安なんですよ、ドキドキなんですよ！なので、名刺とか有名人とかをキーにアタックアタック！

受付を済ませて勉強会が始まるまでは、様子をうかがいながら、初めてお会いする方と自己紹介。最初からすごい勢いであいさつするというのは、何度勉強会に出てもできないものです。でも、ドキドキするのは自分だけじゃないか？ なんて思い込まないでください。そこにいるのは、同じ会場に同じような目的で集まった人ばかり。何かしらの共通の話題があるはずです。私は勉強会に参加する際に、会社の名刺とは別に、Blogのアドレスなどを書いた勉強会用の名刺を用意し、会話のきっかけにしています。

「わんくま同盟」に行ってきた − ＠IT自分戦略研究所

さすが懇親会担当ｗｗｗ！

すべてのセッションが終了すると、待ちに待った懇親会です。今回の懇親会は、勉強会の会場でそのまま開催されたため移動は不要でした。移動を伴う場合は、勉強会の会場だけでなく懇親会の会場がどこにあるのかを把握しておきましょう。せっかく参加するのに迷子になって参加できなかった、では悲しくなります。

「わんくま同盟」に行ってきた − ＠IT自分戦略研究所

12月のお勧めは福岡オープンソースカンファレンス＠福岡らしいｗ

今回注目したいのは、「オープンソースカンファレンス2008 Fukuoka」です。オープンソースカンファレンスはオープンソースソフトウェア（OSS）を扱うコミュニティや企業が一堂に集う大きなイベントで、日本全国で開催されています。「あれ、カンファレンスの紹介？ 勉強会の紹介じゃないの？」と思われるかもしれませんね。OSSはOSや開発言語など幅広い種類があります。そんなOSSコミュニティが開催する勉強会も、また多種多様です。それらOSSコミュニティ勉強会が1カ所に集まっているなんて、すごくすてきだと思いませんか？

「わんくま同盟」に行ってきた − ＠IT自分戦略研究所

セキュアOSが進化した歴史を振り返って来年はチャレンジしよう（田口裕也さん）

セキュアOS有効にしていますか？

SELinuxをEnforceにしている人は会場でも数名・・・

でも企業では、Default Enforceになっているため、有効になっている会社も結構あったり。

セキュアOSのメリット

2003年当時の触れ文句は・・・アンチクラッキング機能

セキュアOSを入れると、特定のサービスがやられても、他のサービスとの間に壁を作るので、他のサービスへは被害を受けない

■オープンソース

• SELinux
• TOMOYO Linux
• AppArmor
• RSBAC
• LIDS
  → 面さん
• SMACK
  → 最近Kernelに組み込まれた

■商用セキュアOS

• SecuveTOS（NES)
• SHieldWARE（富士通SSL)
• Hizard（アンラボ）（旧MiracleLinux)
• RedCastle(MiracleLinux：Asianux)
• CA ACCESS Control(CA)
• PitBull(インフォコム）
• Solaris10＋Trusted Extentions
• AIX＋Trusted AIX（IBM)
• HP-UX＋Security CompartmentGuard(HP)
• WhiteShield（明電舎）

結局どれつかったらいいの？

• どれも実現したいことは同じ
  • 強制アクセス制御（MAC)
  • 最小権限
• 商用製品は運用管理ツールが優れている
  • 統合管理
  • レポート機能
  • GUIツールなど・・・

なぜFedora 2でセキュアOSが実装されてきたか？

• TCSEC、ISO15408とかの認証がないと、政府の調達に引っかかったため、そのためにセキュアOS機能が追加された（CC（ISO15408)）
• Labeled Security Protection Profile（LSPP)を実装するために、最近どれもEAL4とか取り始めた（これも政府調達系の案件の為）

導入には色々問題が・・・

• 開発途上なため導入するのが怖い
• Kernelパッチを当てたらLinuxサポート契約から外れない？
• ポリシー設計たいへん
• ラベルの維持・管理が大変
• ドキュメントが少ない・・・
• サポートKnowHowが少ない
• 既存環境に影響を与えそう・・・
• 対応できるセールスがいない・・・

でも、これは、2003年の話

管理運用面がかなり進化

• 商用のは、ユーザよりの機能を追加していった
• シンクライアント（SunRay、Cytrixとかに入れれる）
• 24時365日対応サポート体制が整ってきた
• アラートメールの送信
• 出力されたログのグラフ化
• GUIでセキュリティポリシーの定義

OSSなツールもあるよ

• SeeDIT
• TOMOYO GUI
• SELinuxの管理ツール日・中・韓で開発(OpenDRIM)
• SUN Ray＋Trusted

今後のセキュアOS

サーバ

• サーバ向けは鉄板、導入例は激増
• 応用例
  • SE-PostgresをDBにまで拡大
  • Apache-Selinux Plus　Webアプリまでにラベルが継承

組み込み

• Montavistaとか、WindRiver
  • 日立ソフトがAndroidにも実装
  • WhiteSHIeld For Meiden
    工場用コントローラ向け製品

クライアント

• SELinuxにKIOSKモード
• 韓国では導入が激増（無人端末）映画チケット、ATM、POSとか。。。
  公共施設のPCとかにも入っている

みなさんのBlogの反応とか

noraさんｗｗｗｗｗヒドスｗｗｗｗ！おいしいお菓子を食べに来ませんか？って、どんな勉強会だよｗｗｗ

まっちゃ445といえば、お菓子！まっちゃ445では、おやつの時間に力を入れています！！おいしいお菓子を用意してセキュリティ勉強会を行ないます。お菓子を食べた上にセキュリティを・・・・じゃなくて、セキュリティを勉強できるうえに、おいしいお菓子も食べられる「まっちゃ４４５」と勝手に思っています。

社内で、後輩や同僚を誘う時には、土曜の昼上がりにおいしいお菓子を食べたくない？っと誘えば良いに違いない！！！（良いのかなぁ・・・・

第三回まっちゃ445セキュリティ勉強会に参加 - Not Only Result Ambition

正確には田口さんです。

まっちゃ445・セキュアOS by 田原さん

第三回まっちゃ445セキュリティ勉強会に参加 - Not Only Result Ambition

---

id:sakukaさん、いつもレポートありがとうございます。お菓子目当てでも来てくれるだけ本当に感謝です。

ポメラは・・・・正直厳しいなぁ＞自分は。ATOK買うかな・・・

●散文まとめ

　・まっちゃ445の感想の多数に『おいしかったです』　

　・yamagataさんは名札が21

　・ポメラ、わりとちゃんと打ててメモ取れてよかった。でも問題点発生（後述）

　・今回も有名人とか良く見てるblogの中の人見れて良かった良かった

　・リバースエンジニアリングチャレンジ上位入賞者の人たちがすごすぎる・・・

　・セキュアＯＳについて、結局自PCには入れれませんでしたが、

　

　　それなりにお話についていけて良かった良かった。

　・1回、2回も思ったことですが、基本的に皆さんのLVが高すぎ・・・。

　　わからない単語が飛び交う飛び交う。業務以外の事勉強不足だなあ。。。

　・ブラッディ・マンデイごっこktkr!!

　　まあ、原作もドラマも見て無いんですけど（笑

　・炭酸でおなかが『げぷ』ってなりました。

　・品川で楽天テクノロジーカンファレンスが開催されていたそうです。

　　Linuxディストリ大集合、みたいなのやってたようで。

　・どんな発表に対してもきちんと質疑ができるwakatonoさんとかhitoさんとか

　　ほんとすごいよなあ・・・。

第3回まっちゃ445勉強会に行ってきました - sakukaの日記

釣られましたｗｗｗｗてか、意識的につられに行きましたｗ

やっぱり触ってからじゃないと買えないですよね。

あ、そういえばポメラでまっちゃさんが釣れました(笑)

　　軽く触ってもらったんですが、ちょっとまっちゃさんには合わなかったようです。

　　実際買おうか悩んでる人は、これ絶対店頭で触るとかした方がいいです。

第3回まっちゃ445勉強会に行ってきました - sakukaの日記

---

福田さん遠くから？参加していただいてありがとうございます。

ホスピタリティとか難しいものではなく、みんなで楽しく！です！！！ｗｗｗ

セキュアOSについては、2003年以降はノーチェックだったので、現状が良くわかった。（「ばりかた」でもセキュアOS話をして頂くのだが、デモも含めより実践的な内容になるみたいです）

なにはともあれ、すごく面白かった。おやつの時間があるのそうだが、参加者への話し掛けなど、勉強会のホスピタリティの面も秀逸・・。

2008-11-29 - セキュリティとJAZZとシステム開発の日々

---

おいしかった、ってのは本当に多かったｗｗｗｗ

てか、最初にお菓子目当ての人！って言ったら5名程度だったのが最後は、数十人にｗｗｗｗｗｗｗｗコラ喪前ら！！！ｗｗｗ

「まっちゃ４４５勉強会は、おいしかったです。」

今回は(も？)頭が飽和状態だった感じ。

ほとんど目次だけのエントリになってます。。。コレが精一杯。

第03回まっちゃ４４５勉強会 - コンピュータ系blog

http://www.muginoho.com/brand/36sticks/これっすね。

スティックケーキ。

STICK SWEETS FACTORYかなぁ？

でも、(京急|JR)蒲田駅駅前にあるって言ってたし。違うっぽい。

手がかりは「36 SWEETS FACTORY on the MAIN STREET」っていうシールが貼ってあった事。

第03回まっちゃ４４５勉強会 - コンピュータ系blog

---

Kenji Aikoさんも、午前中のインタビューとかありがとうございました！

結構メールとか貰っていますが、評価高いですよ！！！！！これからバイナリアンの時代か！

感想ではなく実況なのでいろいろと雑です。

雰囲気を味わってもらえれば幸いです。

13時00分開始。参加者は60名〜80名ほどいらっしゃいます。会場いっぱいです。まず、開会の挨拶＋スタッフの自己紹介です（開始22分）。続いて参加者の自己紹介です（開始28分）。

まっちゃ４４５勉強会をリアルタイムで実況してみた - KENJI’S BLOG

---

てか、遅れて懇親会に来たのは、猫カフェでですかｗｗｗｗｗｗｗｗｗｗｗｗｗ＞やまがたさん！

お。 今回は懇親会の場所がいつもと違うんですね〜。 勉強会終了から懇親会の開始まで１時間半の間があるのかな。 こ、これは、蒲田駅東口に今週オープンしたばかりの猫カフェ「ねこの魔法 東京蒲田東口店」に行け！というお告げでしょうか？ｗ　１時間で出てこれるかなぁ。（←おいｗ）

a threadless kite - 糸の切れた凧(2008-11-29)

やっぱり、もういいやｗｗｗｗｗお菓子な勉強会でいいやｗｗｗ！

★まっちゃ４４５勉強会に関するみんなの感想： 「（お菓子が）おいしかったです！」

a threadless kite - 糸の切れた凧(2008-11-29)

ikepyonさんでもやっぱり、面倒で放置ですよね。前に中村さん＠SEEDitな人が、GoogleでSELinuxで検索すると無効化をお勧めされるらしいし・・・

講師の田口さん、参加した方ありがとうございました。

個人的にセキュアOSは興味がかつてあったのですが、設定が面倒だったので放置してました。

これからはちょっと試してみたいと思う。

眠い - ikepyonのお気楽な日々〜技術ネタ風味〜

---

ありがとうございます！！！！やっぱり攻撃ネタ？！ｗｗｗｗｗｗｗｗｗ

まっちゃ445、第3回行ってまいりました、とても美味しかったです（とりあえず言っておかなくてはいけないらしい挨拶）

今回のお題はセキュアOS

いつものことながら、ほとんど予備知識もなく参加してきた次第（マテ

話を聞いた限り、それ単体でOSという訳ではなく制御を行うためのオプションとかプラグインといったイメージで捉えたんですが、そういったという捉え方でいいんでしょうか？＞どことはなく

個人で使う分にはOFFで問題ない感じですが、J-SOXとかに使う統制制御用にはまさにうってつけのものですね（って言うか、そもそもそのためのものだし）

ライトニングトークでお題を2つ用意してくださったゆまのさんのネタは興味深かったし面白かったです

やっぱりみんな大好きですね、攻撃ネタ（マテ

急遽トークしてくださったととろさんとwakatonoさんの話も大変面白かったです

次回からは多分逸般一般枠なので、立ち見でもいいから風味なのはダメですか？（ライトニングからも逃げれそうだし（激マテ））

Stressful Angel: あまり一般的とは言えない逸般向けニュース 12/1 本当のことなんか世の中に何ひとつない

---

本来なら、本編ＬＴの方はお金を頂かないのですが・・・すみません緊迫財政で・・・もらちゃいました。

この間のまっちゃ445勉強会で初めてLTしてきたが、

けっこうみなさんの受けがよくてびっくりした。

仕込んでいたネタが受けると非常に気分がいい。

それと少し話しただけで喉も何も渇かないのに

お茶がもらえたのがうれしかったｗｗｗｗ

らいとにんぐなトーク - lncr_ct9aの日記

ロシアンルーレットＬＴをほめられたーｗｗｗｗうれしいーーー！

意外と鬼！とか言われるんですけどｗｗｗｗ

そしてロシアンルーレットLTっていい制度だなって思った。

そのおかげでこうしてノートPCを手にする機会にめぐり合えたわけだし、

わざわざ東京にいく口実にもなった。

らいとにんぐなトーク - lncr_ct9aの日記

id:sakukaさんも書かれていますがこの部分に、参加者驚愕でしたねｗｗｗｗ

東京に行くついでにと思って参加申請した

まっちゃ445でLTをやることになったので、

軽くて持ち運べそうなノートPCを買った。

まっちゃ445 - lncr_ct9aの日記

---

ひさびさに、AzureStoneさんを見た。

第03回まっちゃ445勉強会に参加してきました。

第03回まっちゃ445勉強会に参加してきました。 - 悔しくもあり怒りもあるAzureStone Memo（ちらしの裏）

---

MSのマルウエアのとーけー情報。世界平均が１％で日本は0.2%との事。

マイクロソフトは2008年11月27日、セキュリティ対策に関する説明会を開催、Windowsパソコンを取り巻くセキュリティの最新状況について報告した。それによると、日本は世界で最もマルウエアの検出率が低い国だという。マイクロソフトの調査では、パソコン1000台あたりのマルウエア検出率は、世界平均が1%程度のところ、日本は0.2%と約1/5だった

「日本はマルウエアの脅威が少ない」---マイクロソフトがセキュリティの現状を説明 | 情報・通信 | nikkei BPnet 〈日経BPネット〉

CCC++らしい！やっぱりすげぇーなぁ、あとOP25Bもよいのかな。

この結果について、マイクロソフトは「サイバークリーンセンターによる日本独自の取り組みが奏功しているのではないか」（チーフセキュリティアドバイザーの高橋正和氏、写真2）と考えている。

「日本はマルウエアの脅威が少ない」---マイクロソフトがセキュリティの現状を説明 | 情報・通信 | nikkei BPnet 〈日経BPネット〉

日本のやり方が評価された瞬間。ボットネットを絶つのではなく、感染端末を絶って、ユーザの意識をあげるのが良いという事かな。

「海外のボット対策では、ボット・ネットをシャットダウンするのが一般的」（高橋氏）。だが、ボット・ネットのシャットダウンでボット・ネットの動作を止めても、感染したPC側のボットはそのままである。そのため、この対策法ではPCのマルウエアの感染数は変わらない。一方、CCCによる日本のアプローチなら、実際のボットの感染数を減らしていくため「日本のマルウエア感染率が低いのではないか」（高橋氏）とする。

「日本はマルウエアの脅威が少ない」---マイクロソフトがセキュリティの現状を説明 | 情報・通信 | nikkei BPnet 〈日経BPネット〉

これからも色々よろしくお願いします♪

ただし、「セキュリティ性能を高めた製品を作っただけではPC/インターネット環境が安全になるとは限らない。ユーザーにセキュリティ対策の必要性や手法を啓発する必要がある」（高橋氏）。そこで、マイクロソフトでは製品の安全な使い方や、実際にどのような脅威があるのかをユーザーに説明する活動を行っている。また、「マイクロソフトだけの努力には限界がある」（高橋氏）として、IT業界の他企業や政府関係者とパートナー・シップを持ってセキュリティ向上に取り組んでいると説明した。

「日本はマルウエアの脅威が少ない」---マイクロソフトがセキュリティの現状を説明 | 情報・通信 | nikkei BPnet 〈日経BPネット〉

噂は聞いていたが、社長に言われて気づいた。いや、ただそんだけ。

Trendmicroのパターンがアップしました。

パターン番号：5.683.00

イエローアラートJP/US：JP 11月12日の緊急パッチ対応：WebはHigh!!!/US 10月24日のMS08-067パッチ対応
アップデート理由：定期アップデート
新規対応
　特筆なし
亜種対応
　イエローアラート
　　WORM_DOWNAD.A
　MS08-067
　　WORM_DOWNAD.A

Zの全面刷新らしいです。

新型変速機とか、操作性を高めるとか・・・すげぇ。

日産自動車は1日、全面刷新したスポーツ車「フェアレディＺ」を発表した。新型変速機を採用したほか、前輪から後輪までの距離を短くして操作性を高めた。装備を充実し車体強度も向上させたが、軽量なアルミ素材の採用などで重量は従来と同水準を維持した。同車の全面刷新は2002年以来6年ぶり。同日発売し、価格は362万2500―446万2500円。月に500台の販売を目指す。

NIKKEI NET（日経ネット）：主要ニュース−各分野の重要ニュースを掲載

いいなぁ、いいなぁ、、、いいなぁ、いいなぁ。きゃぁーーー！一段とかっこよくなってる！！

マニュアルモード付きのオートマチック式をそろえた。車体の色は青や黄など8色で、表面の擦り傷が復元する特殊塗装をする。

NIKKEI NET（日経ネット）：主要ニュース−各分野の重要ニュースを掲載

関連URL

• 日産：フェアレディ Z [ Z ] スポーツ＆スペシャリティ/SUV Webカタログ ホーム

私の仕事館が、2010年8月末で廃止とのこと・・・・

厚生労働省は１日、独立行政法人「雇用・能力開発機構」が管理する職業体験施設「私のしごと館」（京都府）を、現在の民間への運営委託期限の１０年８月末で廃止する方針を決めた。委託は今年９月に始めたばかり。運営状況をみて存廃を決める予定だったが、政府の有識者会議などの強い意向を受け、決定を前倒しした。

asahi.com（朝日新聞社）：「私のしごと館」２０１０年に廃止　厚労省 - 政治

マクドナルドアンケート→現金プレゼントという詐欺サイトが出ているそうです。

英語なので、引っ掛かる人は少ないと思いますが、クーポンとかキャッシュプレゼントとか一般の人は弱いからなぁ・・・

「McDonald'sのアンケートに答えると75ドルもらえます」とうたい、ユーザーにクレジットカード番号などを入力させようとするフィッシング詐欺サイトが見つかったと、セキュリティ企業のTrend Microが報告した。

「アンケートで現金プレゼント」と誘惑：マクドナルドをかたる偽サイト、個人情報を狙う - ITmedia エンタープライズ

毛利さんの宇宙記念館が来場数低下に伴い閉館とのこと。。。残念。

宇宙飛行士・毛利衛さんの出身地、北海道余市町の第三セクター「余市宇宙記念館」が、２８日の取締役会で任意解散による会社清算と１２月１８日から休館にする方針を決めた。同日の株主総会で同意をとりつけ、とりあえずこの冬の間、休館する。入館者が落ち込んで累積赤字が拡大し、債務超過に陥る恐れがあるためという。閉館に追い込まれる可能性が高い。

asahi.com（朝日新聞社）：毛利さんの業績たたえる宇宙記念館、休館へ - 社会

建設費の借金もあり・・・結構厳しいってことか。。。

資本金９０５０万円のうち町が７５％、残りをニッカウヰスキーなど４社が出資。冬の入館料は大人９００円、小中学生４００円だ。町は体験型から展示・物販型に切り替えて存続したいとしているが、建設費の借金約９億５千万円も抱える中で新たな財政支援は難しいとみられる。

asahi.com（朝日新聞社）：毛利さんの業績たたえる宇宙記念館、休館へ - 社会

よっしーーー！！！楽天テクノロジーアワード受賞だそうです！！！おめでとうございます！

楽天は2008年11月29日、「楽天テクノロジーアワード」を発表した。同賞は楽天が今年度創設した、インターネット技術の発展に貢献した個人や団体を表彰する賞。金賞にはオープンソース・ソフトウエアの勉強会「カーネル読書会」を主催するミラクル・リナックスの吉岡弘隆氏を選出した。

楽天テクノロジーアワード第1回受賞者にカーネル読書会の吉岡弘隆氏ら | 情報・通信 | nikkei BPnet 〈日経BPネット〉

勉強会の交流の中から優れた技術者が生まれるですか、確かにそうかも！でも、まだそんな場には遭遇していないですが・・・

受賞スピーチで吉岡氏は「勉強会の交流の中から優れた技術者と技術が生まれる。その技術者と技術を三木谷氏のような優れた経営者にビジネスへつなげてほしい」と語った。

銀賞は、著書「サーバ/インフラを支える技術」が受賞した。同書ははてな CTO（最高技術責任者）の伊藤直也氏やKLabの技術者といった、実際に大規模インターネット・サービスを運営している当事者が書いた著書である。大規模サービスを実現する現場のノウハウ、そしてそのノウハウを広く公開したことが評価された。

ルビー賞は笹田耕一氏とベンチャー企業のPreferred Infrastructureが受賞した。笹田氏はRubyの最新バージョンのエンジンであるYARVを開発し、Rubyを高速化、普及に貢献した。また東京大学大学院助教としてRubyを研究しており産官学連携の新しいあり方を実践していることが受賞理由となった。

楽天テクノロジーアワード第1回受賞者にカーネル読書会の吉岡弘隆氏ら | 情報・通信 | nikkei BPnet 〈日経BPネット〉

これはいい言葉だなぁ。やっぱり自由にサービスを開発できるってのは大切ですねぇ。

「普段は日々の開発に追われているが、それを離れて技術革新を起こさねばならない」。そのために研究開発部門である楽天技術研究所を設置したという。技術者が空き時間に自由にサービスを開発をできるサーバーである「ジャングル」は、「何が出てくるかわからない密林」をイメージして命名したという。「最後は技術力が差別化だと思っている」（三木谷氏）。

楽天がオープン化とコミュニティ連携の姿勢を鮮明に---楽天テクノロジーカンファレンス2008 | 情報・通信 | nikkei BPnet 〈日経BPネット〉

浜松の航空自衛隊の侵入防止用センサーが切断とのこと。

１１月３０日午後１０時２５分ごろ、浜松市西区西山町の航空自衛隊浜松基地で、基地の外周フェンスに設置されている侵入防止用センサーが作動した。警備の隊員が駆けつけると、警報装置の一部が切断されていた。侵入はなかった。

asahi.com（朝日新聞社）：侵入警報装置の一部切断　航自浜松基地 - 社会

26か所！！！！なんで！？なんかあるのか！？

約５００メートルにわたって、２６カ所が切断されていたという。

asahi.com（朝日新聞社）：侵入警報装置の一部切断　航自浜松基地 - 社会

宇治市の一部で都市景観が重要文化財になったそうです。へぇー。

文部科学大臣の諮問機関である文化審議会（会長・石澤良昭上智大学長）は11月21日、世界遺産の平等院や宇治上神社を含む京都府宇治市中宇治地区を、重要文化的景観に選定するよう塩谷立文部科学相に答申した。重要文化的景観に都市景観が選ばれるのは初めてだ。

宇治市内の風景が都市として初めて重要文化的景観に選定 | 建設 | nikkei BPnet 〈日経BPネット〉

JR北海道のページが改ざんされていてサイトを一時停止中とのこと。

JR北海道は、同社のWebページが不正アクセスにより改ざんされていたことが判明したとして、Webサイトを一時停止した。現在、すべてのページが一時停止となっているため、JR北海道ではWebからの指定券予約サービスなどについては、電話による受付をトップページで案内している。

JR北海道、不正アクセスによるページ改ざんでWebを一時停止

中国サイトへの誘導だそうです。それもチケット情報とか！みんな見てるページやん！

JR北海道によると、11月27日午後に、JR北海道のWebサイト内にある「イベント・チケット情報」のページが改ざんされていることを発見。このページにアクセスしたユーザーが、中国語のサイトに誘導されるようになっていたという。

JR北海道、不正アクセスによるページ改ざんでWebを一時停止

専門機関が調査中とのこと。

JR北海道では11月27日にWebサイトを一時停止するとともに、専門機関に調査を依頼。Webページが改ざんされた原因についても現在調査を行っており、サイト復旧の見通しについては現時点では未定としている。

JR北海道、不正アクセスによるページ改ざんでWebを一時停止

google:ゆまの セキュリティの結果がアダルトばっかりの件。

ゆまの　セキュリティ に一致する日本語のページ 約 190,000 件

Google

てか、ひどすぎる・・・・MSひどいよ・・・これ。

DELETE *はやめてほしい・・・これってある意味DoSで使われる可能性もあるってことか。

噴出した。ヒドス。

WebDav DELETE コマンドは、IIS 6.0 の仮想ディレクトリのパスの長さの合計が 4096 バイトを超えた場合を実行しているサーバー上のすべての Web サイト コンテンツを削除します。 - インフラ管理者の独り言（はなずきん＠酒好テム管理者）

そういえば、IW2008で、ヘベレケよしおかさん(id:hyoshiok)がこういっていた

wassrは、カイゼンカイゼン、ユーザの声を聞き続けてカイゼンしているからすごい

飲みにいけるボタンで、飲んで意見を聞いてすごい。tokuhirom++

確かにその通りで、大企業が一発作ったオレオレサービスに比べたら常に良い方向、ユーザよりに近づけてすばらしい。

そういう意味では、はてなやMixiは本当にユーザに近くてすごいサービス。これぞWeb3.0（ぇ

もちろん勉強会も同じ、常にユーザの声を聞いてカイゼンカイゼンが必要であって、それが変な勉強会の雰囲気を醸し出す

第３回まっちゃ４４５勉強会が昨日あったが、初参加の人も楽しく参加され、みなさん活発に質疑応答に入ってきたりしていた

本当にうれしい限りだ、でもこれをMAXとは思わず、常にカイゼンしていかなければいけないです。

参加された人で作られる勉強会ですので、みなさんのご意見でひとつずつでもカイゼンでよりよい勉強会に！

以下ネタｗ

勉強会を定期開催（３回以上）→勉強会2.0

勉強会で常にカイゼン→勉強会3.0

参加者が勉強会を開催→勉強会Extreamextreme*1

わーーぃ、id:hshinjiさん、よろしくおねがいします♪

今日は第3回まっちゃ445勉強会

まっちゃさんの勉強会にはじめて参加します。

朝の目覚まし勉強会から晩の懇親会まで、どっぷり浸ってきます〜。

楽しみです。

2008-11-29 - hshinjiの日記

こんなにあったのか・・・・MSの中の人のBlogって・・・

カオスｗｗｗ

blogs.msdn.com、blogs.technet.com、Windows Live Space で、Microsoft 社員さんが書いている日本語ブログを集めてみました。

おことわり：

• 掲載順は URL 順です。
• すべてを網羅しているわけではありません。
• このリストは今後更新されません。
• 更新されていないブログが含まれます。
• コメントらしくないコメントがあるのは、RSS から生成しているからです。

Microsoft の中の人ブログ集

富士山は今日も雲の中。

富士川

滋賀で濃霧？！

マインドマップは、自分の頭の中を整理して、会議では抜け防止なんかをチェックできますね。

マインドマップは、人と人との情報伝達や意思疎通を促すコミュニケーションツールとしても役立つ。コミュニケーションがカギを握るソフトウエア開発の現場で、マインドマップがどう生きるのか。

5年後も活躍するためのスキル「マインドマップ」：ITpro

言葉と図でコミュニケーションを活性化とのこと。

マインドマップはコミュニケーションの場でも大いに威力を発揮する。情報を整理し共有する。アイデアを出し合う。議論の焦点を明確にする―。言葉と図を組み合わせたマインドマップは、数々の場面でコミュニケーションを活性化させる。

5年後も活躍するためのスキル「マインドマップ」：ITpro

要件定義では、ユーザと開発者、SEの意見を十分取らないといけないので、そこでマインドマップで情報を整理しましょうかぁ。

筆者が特にマインドマップの有効性を実感するのは、開発プロセスの初期段階にある要求定義のフェーズだ。

要求定義の段階では、どんなソフトを使いたいのかをユーザーでさえ明確に自覚していないケースが多い。だからこそ、ユーザーと開発者とであるべきソフトの姿について活発にコミュニケーションを重ねる必要がある。

5年後も活躍するためのスキル「マインドマップ」：ITpro

ここ大事。Why、Who、Whenを必ず書いておく。

筆者はシステムに対する要求情報を収集する際に、マインドマップを使用している。あらかじめテンプレートとして「Why（なぜ？）」「Who（だれが？）」「When（どんな場面で？）」という三つのBOIを書き込んでおく。ユーザーが望んでいるシステムの全体像を漏らさず確認できるようにするのが狙いだ。ユーザーとの対話で三つの視点について情報を十分に収集してから、システムに必要な機能を探るという流れをとる。

5年後も活躍するためのスキル「マインドマップ」：ITpro

うまいこと言うなぁｗｗｗ、壮大な伝言ゲームｗｗｗｗｗｗｗｗｗｗｗ確かにねｗｗｗｗ

その前に、人から人へ引き継ぎまくって、もとがわからないってのが正直じゃないかな・・

ソフトは要求や条件が人から人へと受け渡されながら、複数の工程を経て作り上げられる。言ってみれば「壮大な伝言ゲーム」である。正確な情報伝達が必要なのはもちろん、ユーザーやメンバーの「こういう仕組みをぜひ実現したい」という思いや情熱を伝えていくことも大切だ。

　マインドマップは、そうした思いや情熱を伝えられるメディアでもある。ソフト開発をより生産的に、かつ楽しいものに変える力がマインドマップにあると筆者は確信している。

5年後も活躍するためのスキル「マインドマップ」：ITpro

ニフティの偽サイトでログインIDなんかを搾取する偽サイトが出てきているそうです。

ニフティは11月27日、同社の「@nifty」のサイトを装ってIDやログインパスワードを入力させる偽サイトを発見したとして、ユーザーに注意を促した。

　この偽サイトは、@niftyメールのログイン画面に似せた作りで、@niftyのログインIDとパスワードを入力する項目がある。これらを入力すると、パスワードが違うとして再度情報の入力を促す画面が表示される。「違うパスワードを入力させることで、@nifty以外のIDやパスワードを抜き取ろうとする手口」（ニフティ広報）という。

　@niftyのサービスでは、ログインしてから一定時間が経過したり、より強いセキュリティを必要とするページにログインしたりする場合には、パスワードの再入力が必要になる。このことを逆手にとって、ユーザーに複数のパスワードを入力させようとする仕組みだ。

ログインIDとパスワード抜き取りの恐れ：ニフティの偽サイトが再発見　複数の個人情報を抜き取る手口に - ITmedia エンタープライズ