テクノロジーをビジネスに生かす勘所

４月２５日に聞いてきた

日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～

の最後のセッション

辛口コラムニストが徹底討論！
テクノロジーをビジネスに生かす勘所

についてメモメモ

---

前半：ＩＴベンダー編
後半：ＩＴ部門編

＜＜ＩＴベンダー＞＞
・いくらでも仕事がある：既存のビジネスで十分では？
・世界的に見ると
　　サーバーとネットワーク機器
　　ＣＩＳＣＯ：売り上げ８％減。一般的に、ＳＤＮの影響？
　　ＩＢＭ：転換期にＩＢＭがいた。８四半期マイナス、
　　　就任したとき０．３％増えたが、それ以降マイナス成長
　　　日本もトンネルに入っていくのでは？
・ネットバブル崩壊
　あのときＩＢＭは６四半期マイナス、サービスはプラス４四半期で転じた
　　→今回はサービスも崩れた
　２００７年よかった。６年後３割減っている Power 51%減、IA→売却
　　８５００億へる→富士通ＩＢＭの背中が見えてきた
　　理由よくわからないけど、クラウド？
　　今、半分以上が白い箱で、データセンターベンダーへ：X86　台湾とか

・サービス
　　９２兆円ある＝１．８％しか増えてない
世界
　　ＩＴアウトソーシング、ＢＰＯ＝４８％
　　コンサル、ＳＩ２７％

日本　
　　コンサル、ＳＩ　＝４８％　ＳＩ多い
　　ＩＴアウトソーシング、ＢＰＯ＝３３％
　　出したときはのびる、一巡する＝新規増えない＝安売りに
　日本：タイミングずれて、人手足らない
　　　みずほ、その他→成長じゃない、あとかたずけ
　　　日本は調整の時間；無駄に
　慢心の笑み

ＩＢＭ；あせっている
　ＡＷＳでＯＫっていう感じになりつつある
　すべての案件：クラウド前提→そのリアリティ

アメリカどうこうよりか・・
　だめかなと思うと大丈夫・・・こんども大丈夫
　お客さん先にＳＥを送り込むけど、派遣じゃなく送り込んでるのは大丈夫

事業部門とＩＴ部門
　　事業部門とやってるＩＴ部門／販売の予算がついていく
　　　→事業部門

ＩＴ部門がお客さんか？
→事業部門に案件もっていっている

ＩＴベンダーは事業部門に行くべき？
　　いくべき
理由：ＩＴ部門→予算
　　　事業部門→効果を挙げれば
問題：会話できる？→コンサルティング会社
　　今のコンサル：泥臭いコンサルを買おうとしてる
　　ビジネスそのものをやっていなかった
　　ＩＴ部門に行っているのは楽

９０年台　ユーザー部門で作ったけど・・・
最終的にデータ整備したのは情報システム部

情報システム部→現場に行ってしまった：使い勝手の良いシステム
８０年代：金つかってるわりに→リストラへ

はじめはちゃんと作った
ソフトウェア膨れていく
→社長と話す時間ない

効率化：一切認めない／人減らせない
　　効率化って何を言う？日本は終身雇用：人減らせない

内省化：できない→人数は運用に合わせざるを得ない
　　開発の人は？余剰

Struts1.xの対応はSIerに聞いたほうがいい（たとえば富士通編）

いやーIEの脆弱性は、結局XPユーザーにも、対応パッチが出ることになりましたね！

「IEのゼロデイ脆弱性」を修正するパッチが緊急公開、Windows XPも対象
http://itpro.nikkeibp.co.jp/article/NEWS/20140502/554422/

こうなると、Struts1.Xも・・・
と期待しないほうがいいですよね。
はい、オープンソースですから、Strutsは・・・

それより、Struts1.xの対応はSIerに聞いたほうがいいです。

という理由を、具体的に富士通製品を例に説明します。

富士通の場合、InterStageというのを使っています。
これは現在

・Tomcat５．５
・GlassFish（バージョンは、J2EEかJavaEEかで違う）

のサーブレットコンテナを使っています。

ところが今回、Struts1.Xで脆弱性があるといわれたのは
ラックの以下のレポート

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

でした。ここで確かめているのは、Tomcat7と8です。
つまり、5.5とGlassFishではどうなるか、確かめてないです。

さらに、じゃあ、今後Struts2.0といっても、Tomcat5.5もEOLです。
もちろんEOLでもメーカーがサポートしてくれる！というのであれば、
問題ない？わけです。

ということで、脆弱性の問題があるのかないのか、
あるとすればどうしたらいいのかは、
まったくもって、SIerマターなのです。

ということで、Struts1.xの対応はSIerに聞いたほうがいいでしょう

・・・といっても、もうGW後半で、会社休みだね（＾＾；）

IEのセキュリティ更新プログラム－セキュリティアドバイザリー2963983の１点「のみ」更新！

ここ

マイクロソフト セキュリティ情報 MS14-021 - 緊急
Internet Explorer 用のセキュリティ更新プログラム (2965111)
公開日: 2014 年 5 月 2 日
https://technet.microsoft.com/library/security/ms14-021

によると(以下太字は上記サイトより引用）


このセキュリティ更新プログラムは Internet Explorer に存在する 1 件の一般に公開されている脆弱性を解決します。この脆弱性により、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

このセキュリティ更新プログラムは、影響を受ける Windows クライアント上の Internet Explorer 6 (IE6)、Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10)、および Internet Explorer 11 (IE 11) について深刻度「緊急」、影響を受ける Windows サーバー上の Internet Explorer 6 (IE 6)、Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10)、および Internet Explorer 11 (IE 11) について深刻度「警告」と評価されています。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。

このセキュリティ更新プログラムは、Internet Explorer がメモリのオブジェクトを処理する方法を変更することにより、この脆弱性を排除します。 この脆弱性の詳細については、このセキュリティ情報の適当の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ) 」を参照してください。

このセキュリティ更新プログラムは、マイクロソフト セキュリティ アドバイザリ 2963983で最初に説明した脆弱性を解決します。

推奨する対応策: ほとんどのお客様は自動更新を有効にしていて、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新の具体的な構成オプションに関する情報は、サポート技術情報 294871 を参照してください。自動更新を有効にしていないお客様は、自動更新を有効にするために、自動更新を有効、もしくは無効にするステップを利用できます。

とのことです！

なお、「セキュリティ アドバイザリ 2963983」とは


マイクロソフト セキュリティ アドバイザリ 2963983
Internet Explorer の脆弱性により、リモートでコードが実行される
公開日:2014 年 4 月 28 日 | 最終更新日:2014 年 5 月 2 日


とのことです。

Struts1からStruts2への移行方法 －その３：struts1から2へ移行の際のポイント

Struts1からStruts2への移行方法　－その１：お題（struts1の場合）
http://blog.goo.ne.jp/xmldtp/e/243939338fda96dab7057d0afce7f842

で示したstruts1の事例をStruts2に移行したらどうなるかということについて

Struts1からStruts2への移行方法　－その２：struts2に移行（struts2のソース）
http://blog.goo.ne.jp/xmldtp/e/8dd08a117eacbfac6f3a70483e375cdd

で示した。

struts2の手順については、struts1と比較し、どうなるかについて
すでに書かれているサイトもあるので、

ここでは、移行の際のポイントについて、記述してみたいと思う

■１．JSPのタグの違い

struts1とstruts2では、タグがまったく違う。struts2におけるs:で始まるタグは、
たしかに、struts1のhtml:で始まるタグに対応は付くのだが、

・s:のタグがJSPに展開されたとき、ちょっと思いもよらない展開になることも・・
・EL式がs;タグ内でかけず、OGNL式で記述することになるが、これの表現力

ということで、簡単に移行できるとは、限らない（とくに難しいことをしていると）


■２．Struts１のActionForm＋ActionがStruts2のAction
　という構図になっているが、じゃあ、コピペすればいいだけかというと、
　そうでもない。Struts1の場合、ActionFormの値を移し変えることがあるが
　その部分が要らなくなる。

■３．Actionの中（とくにsession）
　Actionの中にも違いがある。sessionがsessionAwareに変わっているのだが、
単純に変わったのでなく、構造も違うので、例えばsessionのIDを使っている場合
とか、いろいろ面倒なことが起こる（struts2のセッション取得方法はsessionAware
が多いが、実はほかにもやり方がある。それらを利用しないといけないかも？）

■４．いろいろ変わったことをしている場合
ファイルダウンロード、２度押し防止などのやり方は、ちがてくるかな・・
で、とくに・・・

■５．struts.xml
struts.xmlは、ゼロ・コンフィグレーションを使えば書かなくてすむ・・・
が、ファイルダウンロードのとき、デフォルトが結構小さく、このデフォルトを
かえるのに・・・

　・・・今回の脆弱性も、はじめstruts.xmlで対応する案が出されていた。
　省略できるとは、限らなかったりする。

ってなかんじで、結局、全部見直しになる。
これだと、３分間クッキングというよりは、３ヶ月くらいかけて・・・
となり、簡単に移行できない。
いっそのこと、Strutsをやめる・・・という選択肢のほうが、早く移行できるかもしれない。

IEの脆弱性、ＸＰも特別対応

ネット閲覧ソフトの欠陥修正＝ＸＰにも特別対応―米マイクロソフト
http://news.goo.ne.jp/article/jiji/business/jiji-140502X907.html

によると（以下太字は上記サイトより引用）

米マイクロソフト（ＭＳ）は１日（日本時間２日未明）、インターネット閲覧ソフト「インターネット・エクスプローラー（ＩＥ）」にセキュリティー上の欠陥が見つかった問題で、欠陥修正プログラムを配布した。４月上旬にサポートを終了したパソコン用基本ソフト（ＯＳ）「ウィンドウズＸＰ」にも今回に限り対応する。

とのこと

5月1日(木)のつぶやき

　ウィリアムのいたずら　@xmldtp　03:03

”「Internet Explorer」の脆弱性、日本人ユーザーが対策ソフト公開”より”深刻な脆弱性が見つかったInternet Explorer（IE6～11）を巡り全国各地の社内がコントでカ... goo.gl/N0wWD4

from gooBlog production

返信 リツイート お気に入り

---

Follow @xmldtp