フォト
無料ブログはココログ

Amazon

  • おすすめ

Ads by Google


システムエンジニアリング

2009/07/08

エンジニアとしての歩き方

個人的に大好きな記事を見つけたので、自分の歩き方をチェックしてみた。

エンジニアとしての歩き方 - 都元ダイスケ IT-PRESS

以下、ブログ主さんが実践してきたことを9つ記載している。

何事にも興味を持とう
ブログを読もう
本を読もう
ブログを書こう
ブクマをしよう
勉強会に出て話を聴こう
技術者同士の繋がりを広げよう
勉強会に出て話をしよう
チャンスを掴もう

僕はどうだろうか?
「何事にも興味を持とう」~「ブクマをしよう」は実践できていると思っているのだが、
まだ、勉強会に出たことはない。

いつかは、技術者同士の交流を持ちたいとは思うのだが、
いかんせん技術がついていってないような気もする。
ひとまず、そのきっかけとして、この記事にトラックバックしてみようと思う。

以下がブログ主さんが、「ブログを読もう」で例としてあげてくれた、
情報入手先だ。毎日見ているサイトもあるのだが、
オレンジニュースとかは見たことがないので、今後参考にしようと思う。

他のエンジニアさんが書いた記事を見ると、やっぱり触発されるな。と思った。
最近、技術検証系のブログ記事が書けてないので、
また週末にでも書こうと思った。「誰かの糧にはなる。」と信じて。。

クレジットマスター

番号流出に打つ手なし クレジットマスター - MSN産経ニュース

以下、上記リンクより

インターネット決済とクレジットカード番号の規則性を悪用した新たなカード犯罪の一端が明らかになった。警視庁が7日に窃盗容疑などで逮捕状を取る大阪市の男らは、カード番号と有効期限だけで簡単に決済できるネットの通販サイトに着目。「クレジットマスター」と呼ばれる手口で、他人になりすまし購入を繰り返していた。カード番号の仕組み自体を悪用しているため、カード会社なども番号流出の防止に打つ手がないのが実情だ。専門家は「ネット決済に暗証番号の項目を追加するなどの対策が急務」としている。

今のWebでのクレジットカード決済の仕組みを考えると、
普通にありそうな犯罪だと思ったけど、
ニュースとして取り上げられるのは初めて見たような気がする。

なんで、いままで目にしなかったのかが不思議のような感じだ。
今、自分自身でできる予防策としては、やっぱり毎月の明細をしっかりチェックするしかないような感じだな。と思う。
まあ、使用頻度も少ないので、不正利用があったらすぐ分かるけど。。。

各通販サイトが今後どのように対策をしていくのか、注目したいと思う。

追記:
「クレジットマスター」って、犯罪の手口なんですね。
そういうテーブルがあるかと思っちゃいました。

2009/06/27

情報流出

最近では新しいプロジェクトに配属されると、必ずといっていいほど、
セキュリティ対策の研修みたいなの(規則を読んだりとか)を受講するようになってきた。

そうまでして企業は情報流出事故を防ごうと努力しているが、
悪意ある人間のせいで、あっという間に情報が流出してしまった。
すごく悲しいし、同じ立場(お客様の機密情報を取り扱う)として憤りを感じる。

東京新聞:元部長代理を逮捕 三菱UFJ証情報流出 不正アクセス容疑:社会(TOKYO Web)

三菱UFJ証券の顧客情報流出で元部長代理を逮捕 : 社会 : YOMIURI ONLINE(読売新聞)

三菱UFJ証券の元部長代理逮捕  不正アクセス容疑で警視庁

以下、東京新聞より

三菱UFJ証券(東京都千代田区)から大量の顧客情報が持ち出され名簿業者に転売された問題で、警視庁ハイテク犯罪対策総合センターと丸の内署は二十五日、不正アクセス禁止法違反と窃盗の疑いで、同社システム部の元部長代理久保英明容疑者(44)=千葉市緑区おゆみ野南六、懲戒解雇=を逮捕した。 

 逮捕容疑は今年一月二十六日、失効したはずの子会社の女性社員の個人識別番号(ID)などを使って顧客データベースに不正にアクセス。二月四日、約百四十八万六千六百人の顧客情報を焼き付けたCD一枚を会社から盗んだとされる。容疑を認めているという。

 女性社員は当時、アクセス権限のない部署に異動していたが、IDは消されずに残されていた。全社員のIDを知る立場にあった久保容疑者が犯行がばれないよう失効手続きがされていない女性のIDとパスワードを使った可能性があると同センターはみている。

 同社によると、久保容疑者は盗み出した情報を自宅のパソコンに保存。二月中旬、昨年秋以降に口座を開設した約四万九千人分の住所や勤務先、年収などの個人情報を名簿業者三社に三十二万八千円で売却していた。名簿はその後転売され、九十六社に流れたことが確認された。

 三月以降、不動産や先物取引会社から勧誘の電話が入るようになった顧客からの苦情が同社に相次ぎ、情報流出が発覚。同社は四月に久保容疑者を懲戒解雇し、警視庁に通報していた。

上の記事から、簡単に思いつくセキュリティ上の疑問点として・・・
※セキュリティの専門家ではないので、あまり詳しくありません。

以下、東京新聞より

女性社員は当時、アクセス権限のない部署に異動していたが、IDは消されずに残されていた。全社員のIDを知る立場にあった久保容疑者が犯行がばれないよう失効手続きがされていない女性のIDとパスワードを使った可能性があると同センターはみている。

  • IDを消すのも遅かったのかとは思うけど、なぜパスワードがわかったのか?
  • パスワードの更新どうしてたのか?(3ヶ月に1回、本人が変えるようにすればどうだったか?)
  • 異動の際に容疑者に教えてしまったのか?

以下、47NEWS より

CDを作成する権限が担当者にしかなかったため、久保容疑者は顧客情報のデータを暗号化した上、通常の業務を装って、担当者にデータをCDに移行させるよう依頼していた。

  • あまり、証券会社の業務内容を把握していないが、CDのやりとりが普通に行われる業界なんだろうか?
  • 担当者は、中身が何かの説明は受けずにCDを焼いてもよかったのか?

いままで僕たちが受けてきたセキュリティ教育はなんだったのか?を考えさせられる事件だと思った。
悪意ある人間が本気になれば、現在行っているセキュリティ対策は簡単に破れるという事実かも知れない。
その事実を深く受け止め、今後どういう対応をしていくべきかを考えないといけないと思った。

2009/06/13

シェルスクリプト

仕事(保守)でLinuxを扱うことが多いので、シェルを本格的に勉強したいと思っていた。
いまは、色々調べながらだましだましやっているが・・・

なので、このページを見ながら、実験してみようと思う。

Bash&シェルスクリプトを極めるテクニックまとめ

2009/06/10

ITSS

昨日、会社で話題にあがったので、ちょっと調べてみました。

ITSSってナンですか?

企業のITSSスキルレベルを判定してくれるサービスもあるようだ。

ITSS関連の本

2009/06/08

システム開発メモ

参考になりそうなページを見つけたのでメモメモ。
もう何年も同じ仕事(運用保守)をしてるので、契約書とかはほとんど見なくなっちゃったけど。

システム開発に欠かせない契約の基礎知識まとめ

 「開発の契約体系」のところですごく共感を覚えた。

  • 「仕様策定~開発まで」と「保守運用」で別契約にすることが多い。

たしかに僕もこんな感じで、今の保守契約を結んでいるね。

  • 「仕様策定フェーズ」で1つの契約にして、別に新しく契約を締結しなおせるほうが望ましい。リスクが低減できる。

たしかにその通りで、お客さんの要望で仕様が膨らんで、いざ開発のときに苦労することはよくあること。

  • 要望と仕様をごっちゃにしないこと。どこまでが仕様でどこからが瑕疵なのかわからなくなる。その線引きを合意書等で抑えておく。

保守をやって数年経つけど、いまだに揉めることが多い。
「こういう仕様だったはずだけど・・・」といわれることは多々ある。
その度に「ちゃんとお客さんと合意しろよ。」と思う。

まだすべてじっくりは読んでないけど、すごく参考になった。