ＦｌｅｘＰｏｄってネットワークコマンド使わずに「自動プロビジョニングと運用の自動化」するらしい

４月２５日に聞いてきた

日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～

のCISCOとNetAppのセミナー


最強タッグの結成！なぜこの２社が手を組むのか

についてメモメモ

---

ＩＴ部門の行方
ＩＴ部門目の前の迫る課題とは
新たな領域をリードする両者のビジョン
　　ＡＣＩ
　　ＳＤＳ
まとめ

ＩＴ部門の行方
・ＩＴ部門は絶滅危惧種！？
　　→めだか：絶滅危惧種
・ＩＴ部門と利用部門がそれぞれ思い描く
　ＩＴ部門のイメージギャップ
　　→ＩＴ部門：抵抗勢力
・パブリッククラウドの進展
　　→ＩＴ部門の知らないところでパブリッククラウド
　　　独立自尊できるのでは？と思い始めている
・困惑

ＩＴ部門に迫る課題
・ユーザー部門のわがまま
　　すぐにほしい
　　気軽にちょくちょく変更したい
　　とにかく見切り発車ではじめたい
　　　　リーンスタートアップ
　　なんかのポリシーとかうるさいこといわないで
　　自分たちで決めたい
　　ＩＴ部門の人にえらそうにされたくない
　　でも運用やメンテナンスはやりたくない
　　　　→迅速性・使い勝手・分かりやすさ
　　　　　　　→まっとうなニーズ、ビジネスへ好影響
　　　　→個別最適
　　　　　　　→個別最適のいきすぎ

ＩＴを支える支柱
　　　ユーザー部門のニーズ
　　　ＩＴ部門によるガバナンス

ＩＴ部門が変わっていくには
　　４つの支柱
　　　　柔軟性
　　　　セキュリティ
　　　　情報の保全
　　　　情報のオープン性
　　継続的に変化させるには：サービスカタログが必要

ＩＴ部門の役割の変化
　　構築と運用
　　→サービスの分配
・サービスプロバイダとしての発想が必要
　　ＳＬＡ
　　プロビジョニング
　　可用性
　　経済性
　　インフラ

CISCOとＮｅｔＡｐｐのビジョン
　　ＦｌｅｘＰｏｄ：最強統合インフラ（全部入り）
　　サービスカタログとプロビジョニング自動化
　　　ＡＰＩＣ：ネットワーク仮想化テクノロジー
　　　（ＣＩＳＣＯ　ＡＣＩ：コマンドなし、ＳＤＮで設定）
　　→好きなときに捨てられますか？
　　設定コマンドは原則不要
　　　→アプリケーションネットワークプロファイル
　　　　　システムを記述する：ほしいものを書いてください
　　オープンな仕様とＡＰＩ
　　すべてのサイズのお客様にフィットする

マルチテナンシー

自動プロビジョニングと運用の自動化

ハイパースケール＝プライベート＋パブリック

２０１５年問題って、どうなったの？いつのまにか、２０２０年問題に

２０２０年問題とは・・・

ＩＴ技術者がいない　みずほ不安の「2020年問題」
http://www.nikkei.com/article/DGXNASFK1103A_R10C14A4000000/

登録していないと読めないけど、要するに、

２０２０年「まで」、システムエンジニアが足りないという話

え・・・ちょっと待ってください？

日経コンピューター　２０１４年２月６日号

特集
悪弊を断つ
「２０１５年問題」がIT業界に迫る覚悟

では、２６ページの図（リンク先に同じ図）に、

２０１６年以降

「仕事が急減。特定労働者派遣制度の廃止とあいまって、
　中小IT企業の淘汰が進む。悪質ベンダーが生き延び、
　日本のIT業界全体の質が低下する」

とあって、２０１６年以降、仕事減ることになってるんですけど・・

・・・２０１５年問題って、どうなったの？

※しかし、どちらの話にも、ベトナムやミャンマーのオフショア人材活用
　は考慮していないように見える・・・

「ITパスポート試験」が緊急中止、システムで「Struts 1」を利用

そりゃー、セキュリティをやっているIPAとしては、Struts1.Xを
使うことはできないわなあ・・・


「ITパスポート試験」が緊急中止、システムで「Struts 1」を利用
http://itpro.nikkeibp.co.jp/article/NEWS/20140430/553866

ＡＷＳ＋サーバーワークスが選ばれる３つのポイント

あんまり、セキュリティねたばかり書いていると、
そういうサイトだと思われてしまいそうなので、
ちょっと違う話題。

４月２５日に聞いてきた

日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～

の

エンタープライズ分野で
ＡＷＳ＋サーバーワークスが選ばれる
３つのポイント

についてメモメモ

---

会社案内
設立２０００年
大学合格シェア６０％
２００８年　社内サーバー購入禁止令
２０１１年　ＡＷＳソリューションプロバイダ
２０１２年　ＡＷＳコンサルティングパートナー

最初は苦労

事例
・日本赤十字→サイトダウン
　　　→Ａｍａｚｏｎ　ＥＣ２で導入
　　　　　キャッシュサーバーで
・義捐金受付システム
　　環境構築２時間構築４８時間
　　３２００億円

なぜ社内システムの基盤にＡＷＳ
　　・早い
　　・安い
　　・うまい

すぐできるクラウド移行
　　仮想化hyper-V→移行できる
　　安い：オンプレミスなら最初から
　　　　　クラウドなら増えた分
　　　　　災害対策：災害時だけ立ち上げ
　　うまい：うまみ
　　　　　オンプレミス→Ａｍａｚｏｎ　ＶＰＣ：冗長構成
　　　　　セキュリティ
ＡＷＳ
・第三者認証
　　　ＩＳＭＳ
　　　ＰＣＩ　ＤＳＳ
　　　ＦＩＳＭＡ－Modarate
・テクノロジー
　　　ＡＷＳ社員も顧客のデータにアクセスできない
　　　特許技術でＸｅｎ拡張
・場所の隠蔽
　　　場所は明かさない。
　　　見学もさせない
　　→地図を渡す＝攻撃が成功する可能性が高くなる
・会社存続に必須の経営資源はどこにありますか？
　　　→お金を自社においておかないですよね。
　　　→銀行→セキュリティ・可用性・利便性

・ＮＡＳＡとどちらがセキュリティたかい？
　　　→ＡＷＳは・・

なぜ、サーバーワークスなのか？
　スターターパック　ＶＰＣスターターパック
　　月額３８０００円
　クラウドワークス：日本語で操作できる
　　土日深夜をとめる
　テラスカイと業務提携：セールスフォース

今までのＳＩ
人が多いことが前提
クラウド型調達
・非常に小さいチーム
・作らない技術
分業モデルの崩壊
ＳＩｅｒの変化
・エンタープライズＡＷＳ導入ガイド
クラウド：分子式
クラウドの利用ユーザーは未導入ユーザーに比べ収益２倍
　　ＩＢＭ２０１３年１０月２４日発表

・ＡＷＳは早い・安い・うまいの三拍子
　　これからのＩＴインフラの標準
・クラウドのセキュリティ均衡と同じ
・ＡＷＳのメリットを引き出すには
　　サーバーワークス

クラウドファーストをＡＷＳ＋サーバーワークスで

Ｑ＆Ａ
クラウドのＳＩは？
震災の後、クラウドベンダーが無料で使っていいといった
→クラウドだけ出されても・・
　　　手術台を解放しているのと一緒
→クラウドが高度、複雑化

規模が関係なくなる

ＩＥの脆弱性もＸＰはＥＯＬなので、パッチ支給ないみたいね

Ｓｔｒｕｔｓ１の脆弱性同様・・・
ま、ＥＯＬなので、当然なのですが・・・

IEに脆弱性、「代替ソフト使用を」 米国土安全保障省
http://headlines.yahoo.co.jp/hl?a=20140429-00000012-jij_afp-int


具体的には、これ？

JVNVU#92280347
Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
http://jvn.jp/vu/JVNVU92280347/index.html


IPAは

Internet Explorer の脆弱性対策について(CVE-2014-1776)
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

サイバーセキュリティ攻撃の激化、標的型メールと各種対策など

４月２５日に聞いてきた


日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～

の

「最近のサイバー攻撃と組織の対応」

について、聞いてきた内容をメモメモ

---

ご挨拶（日経ＢＰのひと）
・ＯｐｅｎＳＳＬ，Ｓｔｒｕｔｓの脆弱性
・標的型攻撃

東京電機大の先生のお話
１．サイバーセキュリティ攻撃の激化
・リスクの深刻化
・売り上げ１兆円以上の企業　５２％が攻撃受ける
　　→現実的脅威
・被害の実態
　　業務プロセスが中断した
・セキュリティインシデントの発見
　　自分で気づいた　１６％　発見まで４３日
　　第三者に指摘され８４％　発見まで１７３日

・セキュリティ対策日米の差
　　セキュリティ投資：日本のほうが投資少ない

・セキュリティ被害の歴史
　　第二のターニングポイント

　　第一：２０００年ごろ
　　　２０００年　科学技術庁ホームページ改ざん

　　第二：２０１０年ごろ　標的型攻撃、

・比較
　　第一：面白半分
　　第二：多種多様、お金儲けや国家の指示も
　　　　→７０００エンでパケット送り続けるサイトも：中国
　　第一：Ｗｅｂ、不特定多数
　　第二：基盤、標的

　　従来の攻撃が風邪ならば、最近のはインフルエンザ

・Ｓｔｕｘｎｅｔ：コンピューターウィルスにちかい
　　遠心分離機の回転数を変える
　　→同様攻撃は予測しておいたほうが。。。

・サイバー戦の分類
平時：一般の企業も対策
　軍事情報
　武器開発の遅延
　バックドア
戦時

■標的型メールと各種対策
・標的方攻撃の特徴・概要

今までと違う点
・巧妙
・限られた人に送る→チェックが化からない

初期侵入
ぜいじゃく性ついた攻撃
機密情報の盗み出し

だれかが標的型メールをあける確率　５００人で９９％
入口対策ではＸ
なにかがあったら直ちに気づく

ネットワークフォレンジックの対応フェーズ

内閣官房情報セキュリティセンター
適切なログの管理、プロキシ

先進的企業はネットワーク系ログを活用
イベントをトリガーに：ＳＩＥＭ、ＬＩＦＴ
　　→インテリジェント化、ガイド化

ＬＩＦＴシステム
　ＡＩベース：ＡＩは今使われている

組織内ＣＥＲＴ

なにをどうやって組み合わせるか？
　　→多重リスクコミュニケーターＭＲＣ

＜＜３．多重リスクコミュニケーター＞＞
リスク一般
・セロリスクない
・定量的リスク

　リスクの特定
　リスク分析
　リスク評価
　　　　リスク許容
　　　　リスク低減
　　　　リスク転嫁
　　　　リスク回避
リスク値算出方法の例
　リスク値＝資産価値ランクＸ脅威の発生頻度ランクＸ脆弱性の程度ランク

ＦＴＡ解析

・リスク対リスク、多重リスクへの考慮が必要
・多くの関与者とのリスクコミュニケーション大切

多重リスクコミュニケーター（ＭＲＣ）の対応
目的関数と制約条件
対策案
【ＩＴリスクの特徴】
・組み合わせ不可欠
・動的リスク対策

イベントツリーにすると応用できる

＜＜まとめ＞＞
・ＩＴリスクマネジメント技術の重要
　　動的リスク概念
・ＩＴリスク学の確立

ＭＲＣ適用例
　　・個人情報漏洩に対して：思った以上に合意は取れる

　ＩＴリスクの特徴

4月28日(月)のつぶやき

　ウィリアムのいたずら　@xmldtp　13:02

Struts2系の脆弱性（2.3.16.1でも直っていなかったもの）を修正した2.3.16.2が出たみたいね。パラメータだけでなく、Cookieの問題もあったの？詳しくは struts.apache.org/release/2.3.x/…

1 件 リツイートされました

from web

返信 リツイート お気に入り

---

Follow @xmldtp

Struts1.X系に脆弱性の続きー1.Xは対応策がなくなっている（中間報告：その３）：１２時追加

さっきStruts 2.3.16.2（問題の2.3.16.1の修正版）が出たらしいので追加

mbsdに具体的なソースがあったのだが、そのソースコードへのリンクが消えている
（４月２８日　１２時現在：ソースのURLを直接打てば、存在する）

まず、この問題は、

「Strutsの脆弱性を突く攻撃を検知、早急な対策を」、ラック西本専務
http://itpro.nikkeibp.co.jp/article/NEWS/20140425/553442/

にあるとおりなのだが（Struts2でもStruts1でも起こる。
ただし、Struts1はEOLでパッチが出ないので、自分で対応する必要あり）

そのリンク先をたどると、

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html


に行き着く。たしかにラックの対応はでている。
ただ、ここで書かれているのは、「Struts 1の場合」「フィルタを作れ」と
書いてあるだけで、具体的にどのようにフィルタを作るのか書いてない。

そこで、具体的な作り方を

Struts1.X系に脆弱性の続きー対応策、こうしろと言ってる？（中間報告：その２）
http://blog.goo.ne.jp/xmldtp/e/9f9c7356bbeb365b48a94b287aaa9393

に書いた。ここで、フィルタのソースは、


暫定対応版のソースコード
http://www.mbsd.jp/img/testFilter.java

を参照しているのだが、このソースコードが、

2014/4/22
Apache Struts2（2.3.16、S2-020の修正版）に対するゼロディを弊社エンジニアが発見いたしました。
http://www.mbsd.jp/news20140422.html

からたどれなくなっている。ラックの上記説明では、このページを参照しているので、
暫定対応のソースをどう書けばいいのかわからない！

---

■この「暫定対応のソース」の、どこがすごいのか！

この情報をみたとき、パラメータというのは、URLのなかのパラメータ
を想像したのではないだろうか。わたしもそうだ。

で、上記「暫定対応版のソースコード」も、doFilterのはじめのループ
while (params.hasMoreElements())
で、それをチェックしている。

問題は、そのあと・・・
Cookie cookies[] = httpreq.getCookies();
して、クッキーの中も見ているのだ！

つまり、クッキーの中に問題のclassって言葉があると、それをみて、
実行しちゃうことを、はじいているように見える
たしかに、セッションIDなどは、クッキーに入っているので、
クッキーをtomcat,strutsが見ている可能性はある。

そして、もし、悪いやつらが、ブラウザではなく、Javaのプログラムを
作って、アクセスしてきた場合、クッキーに、問題となるパラメータを
仕込んで送信することもできるだろう・・・


・・・パラメータって、もしかして、クッキーも含んでいる？？？
これ、そのことには気づかないだろう（私は気づかなかった）

そこまで、やっている処理なので、これはすごいのだ
（それに比べたら、classという引数をプログラムで使っている
　問題などは、問題にならん）

なので、このソースは、残しておいてほしいのだ・・・

---

今は、リンクがたどれないだけになっているけど、
そのうち、ソースコードも消されるかもしれない。
いまのうちに、Let'sダウンロード！
１２時追加
P.S　ごめん、これだと、mbsdが悪いように読めちゃうね！
mbsdはわるくない。なぜなら、この記事は、struts2の記事で、
struts2は、対応パッチが出たらしい・・・

24 April 2014 - Struts 2.3.16.2 General Availability Release - Security Fix Release
http://struts.apache.org/announce.html#a20140424

(バージョンを確認してほしい。上記mbsdに書かれているのは、2.3.16.1、
上のアナウンスは、2.3.16.2,バージョンがあがっているから、
修正しているみたい）

mbsdは、Struts2の話しかしてなくて、その対応版が出たのだから、
暫定版を削除してしまうのは、当たり前の話なのだ。
だけど、そうされると、struts1の人は・・・っていうことで
このエントリは、struts2に上げられない、貧しい子のためのお願いなのだ。。）

詳しくは、あとで

良品計画 グローバルシステムの取り組み

４月２５日の

日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～

で聞いてきた

良品計画　グローバルシステムの取り組み

の話をメモメモ

---

２００５年から約１０年、節目で取り上げてもらっている
・海外：有望な事業
・機敏さが重要：計画通りにはなかなかいかない
　　→ギャップの修正
・２０１０年からグローバルシステム
・良品計画の事業内容：無印良品（製造小売業）
　　ＳＣＭで失敗すると不良在庫：ハイリスクハイリターン
　　　　商品企画力
　　　　マーチャンダイズプロセス

・海外事業展開：９１年から
　　→２０００年前後、アジアから一時撤退
　　　ヨーロッパでも閉めた店舗も
　　　　　→商品は通用する。急拡大：高コスト
　　→２００１年から海外事業見直し
　　　　　単店で黒字化したら、多店舗化
　　→海外の出展多くなる
　　→２００９年から中国増える

・グローバル化の基本方針
　　　Local,Global,Localize
　　　日本の全部門が当事者意識を持つ
　　　タスクフォース型の人事交流
・部分最適からの脱却
　課長：海外にいってタスクフォース型人事交流

・グローバルシステムの目的
　　連邦型経営でグループ経営力を強化する
　　　　経営情報（ＫＰＩ）の可視化
　　　　グローバルＳＣＭの最適化
　　　　新規国へのスピード展開
　　グローバルＭＤシステムの構築
　　新興国のスタートキット（４ヶ月）

・基幹システム（ＭＤシステム）
　　創業以来の商品情報、商品開発から生産・供給・販売の管理ノウハウ
　　完成型はなく、今後もプロセスのカイゼン、進化が続く
　　ＭＤシステムを機敏に進化させること

・グローバルシステムの構築
　　グローバルＭＤシステム
　　柔軟なシステム基盤→３つ
　　　　１．スピード（機敏な対応力）をもっとも重視する
　　　　２．最初から１００％を求めない
　　　　　　　７０％で動かす突破力
　　　　３．日本が本質的な要件開発力を持つ
　　　　　　　グローバルな俯瞰力、グローバルな設計力
・開発方針
　　　　シンプルなシステムにする
　　　　　　　定着度を重視
　　　　システム化の目的・運用を明確にする
　　　　　　　具体的な業務
　　　　　　　ルールづくり
　　　　コミュニケーションを現地に合わせる
　　　　　　　言葉の定義、解釈→議事録、工程表の確認
　　　　　　　修正するスピード

・システムの構造
　　　各国の現状分析
　　　　　　既存システムを有効活用
　　　　　　疎結合構造（システム連携）
　　　業務プロセスとシステム構造
　　　　　コアプロセスの標準化
　　　　　共通化するデータ
　　　　　　　　ユニット化
　　　　　　　　マスタ統合
　　　　　　　　データ粒度
　　　　　　　　管理サイクル
　　　　　　　　クラウド活用
　　　　　新興国向けスタートキット選定

・開発体制：現地と日本の役割
　　自国管理・要件が明確【現地システム】
　　　　　商習慣・法規制
　　　　　各国管理にゆだねる
　　　　　パッケージベース
　　機敏さ・柔軟性が必要【日本で自社開発】　　　
　　　　　標準化するコアな業務
　　　　　独自性・業務が変化する
　　　　　業務の巻き取り

・柔軟なシステム構造
　　①マスタ統合
　　②明細データ
　　③現地システムのユニット化

グローバル標準
　　ＭＤ管理システム（自社開発）
　　　　マスタ統合
　　　　計画・実績
　　　　在庫管理
　　　　発注管理
　　　　　　明細データ

　　　インターフェース

　　　各国システム
　　　　　ＰＯＳ、物流・・・

高速開発（７割主義）
　７割のレベルで早く開発（１～３週間）
　具体的なイメージを作ってから→要件定義が明確で早い
　すばやい開発＆カイゼンがコミュニケーションロスを埋める
　ドキュメントをあまりつくらない。
　ちょっと難しそうなものでも、段階的にやっていける

グローバルＭＤシステムの概要
・ギャップ→確認、手直し
・２０１２年２月から各国へ導入
　　子会社１３社中１２社
　　工場一元管理

新システム導入の成果
・マスタ統合における
・店頭での商品情報
・売り上げ・在庫情報のリアル管理
・在庫管理の強化（季節在庫ロス）
・自動発注システムの導入

最後に
・経営スタイル→システム・スタイル
・コングロマリットな展開→柔軟・機敏さ
・開発サイクル（トライ＆アクション）を早くまわす

4月26日(土)のつぶやき

　ウィリアムのいたずら　@xmldtp　09:32

「Struts1.X系に脆弱性の続きーもとはStruts2系の脆弱性（中間報告：その１）」 goo.gl/lwKHRA

1 件 リツイートされました

from gooBlog production

返信 リツイート お気に入り

---

Follow @xmldtp

Struts1.X系に脆弱性の続きー対応策、こうしろと言ってる？（中間報告：その２）

「Struts1.X系に脆弱性」の話のつづき。

Struts1.Xでの対策法が、はっきり書かれていないので、
よくわからない人が多いんじゃないか？
と思うので、対策法について、たぶん、こうしろといっている
コトについて書いておきます

（まだ、試していません。自己責任で、しんちょうに対応してください）

■まず、1.X系の対策は、どこにかいてあるのか？

ここ

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

の（以下太字は上記サイトより引用）


《Struts 1の場合》
サポートが終了しているため、公式アップデートは提供されないと思われます。しかし、提供ベンダーが個別のサポートを実施していることもありますので、その場合は当該ベンダーの指示に従ってください。そうでない場合は、次のような影響緩和策が有効です。

・（2014/04/25修正）不正な文字列がパラメータに含まれる場合（正規表現：「(^|\W)[cC]lass\W」に合致するパラメータ名が含まれる場合等）にリクエストを拒否するフィルタ機能を実装する。
なお、Apache Strutsプロジェクトより公開された情報はStruts2向けの回避策ですが、こちらに掲載されている正規表現も参考になります。
・WAF、IPSなどネットワーク側で当該攻撃を遮断する。

---

■なにがわからないのか？
２点
（１）「WAF、IPSなどネットワーク側で当該攻撃を遮断する」は、具体的にどうすることなのか
（２）リクエストを拒否するフィルタ機能を実装する。
というのは、どういうプログラムを書いて、どう設定するのか？

以下、具体的に説明する。

---

■「WAF、IPSなどネットワーク側で当該攻撃を遮断する」とは

具体的には、その上に書いてある
「（正規表現：「(^|\W)[cC]lass\W」に合致するパラメータ名が含まれる場合等）にリクエストを拒否」しろといっている。つまり、ＵＲＬ中に、classというパラメータを含んでいたら、そのアクセスを拒否するように設定しろという意味（この設定、問題があります。最後に詳しく）

---

■ＷＡＦなどない場合、「リクエストを拒否するフィルタ機能を実装する」とは

struts1は、サーブレットコンテナ上で動きます。
そこで、ＵＲＬ中に、classというパラメータを含んでいたら、サーブレットでエラー画面に遷移するようなフィルターを作って設定せよと言う意味です。

具体的には、

2014/4/22
Apache Struts2（2.3.16、S2-020の修正版）に対するゼロディを弊社エンジニアが発見いたしました。
http://www.mbsd.jp/news20140422.html

に、「暫定対応版のソースコード」というところがある。そこをクリックして、testFilter.javaをダウンロードして、コンパイル。
　このとき、プログラムを修正しなければ、jp.mbsd.struts2というパッケージのところにできることになる。パッケージ名をみると、struts2用にみえるが、実際にはサーブレットのフィルタプログラム。
（なので、サーブレットはリンクしてコンパイルすること）

このできたプログラム（classファイル）を
WEB-INF/classes/jp/mbsd/struts2
の下におき、
WEB-INFのweb.xmlを（struts-configではない！フィルタなのでweb.xml）


Struts1.3.5でログイン処理を作る
http://daipresents.com/2008/struts135_7/


を参考に修正する。具体的には、
filterとfilter-mappingを修正する。

---

■問題点

このやりかたは、引数にclassというものがあった場合、
エラーになってしまう。

---

※ほかに、こんなやりかたを提案している人もいる

にょきにょきブログ
Struts1 の脆弱性対策について (CVE-2014-0094)(S2-020)
http://aoking.hatenablog.jp/entry/2014/04/25/103105

Struts1.X系に脆弱性の続きーもとはStruts2系の脆弱性（中間報告：その１）

皆さんの関心があまりにも高そうなことが分かったので、
社会的責任を感じ、とりあえず中間報告。

まず、ここにそのことが書かれている

更新：Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

もともとは、２．０の脆弱性なのだが、

このサイトに書かれていることによると（以下太字は上記サイトより引用）

セキュリティベンダから、Apache Struts 1 系にも類似の脆弱性が存在するという注意喚起あり

ということらしい。

ただそこに

Apache Software Foundation から、Apache Struts の設定による回避策および近日中に対応する旨のアナウンスあり

とあるのだが・・・

Strutsのアナウンスメント

http://struts.apache.org/announce.html

みても（以下斜体は上記サイトより引用）

24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation

Struts2系の話しか出てないけど？
つまり、そこに書かれているのはstruts.xmlの問題で、これは、struts2にはあるが、struts1にはない（struts-conf.xmlが似たようなことをする設定ファイル）。で、struts1系に類似といわれても、なにがどう類似で、なにを直すのか・・・よくわからん←いまここ

ビジネスで勝つためのＩＴトレンド

きょう（４月２５日）

日経コンピューターサミット２０１４
～なぜこの技術に注目するのか～
を聞いてきた！

順不同で、午前２番目のセッション

２０１５－２０２０　ビジネスで勝つためのＩＴトレンド

をメモメモ

---

・新生・日経コンピューター
　　→全面的に一身

・ITPro編集長日記掲載中です
　　→エンタープライズＩＣＴの総合サイト
　　　３０本くらいの記事

・忍び寄る２０１５年問題
・ＩｏＴが全てをかえる
・どこまで行くウェアラブル端末
・広がるソーシャルコミュニケーション
・超・技術革新が「ビッグデータ」活用を加速

■忍び寄る２０１５年問題
・派遣法改正ショック：２つ
　　特定労働者廃止　届出制→許認可制
　　　　研修やっているか？とかもチェック
　　専門２６業務の区分を撤廃
　　　　何年でも同じ職場で働けた→３年超えられない

・スケジュール
　　来年の４月：派遣法施行
　　　　その前にやっている場合、取り消しにはならないが
　　２０１８年　許認可制に完全一本化

・悪影響の予測が６割超（いい影響は２割）

・ITProで反響
　　１月、２月　公開→一番読まれた記事→短期連載→数十万読まれた
　　アンケートに３０００人回答 Winnyの作者に対するアンケート以来の回答数
・今後も追っていく

・２０１５年～１６年、深刻化する技術者不足
　みずほ銀行、マイナンバー、かんぽなど、電力会社のそうはいでん

・みずほ銀、感情系の全面刷新・統合；きかんのびる

・マイナンバー：番号管理
　　情報提供ネットワークシステム：ＮＴＴコム

・技術者が足りない
　　Ｄａｙ２の頃よりＩＴ技術者の不足感は強い
　　５０００人の技術者を確保したい（ＪＡＶＡプログラマーの大量供給）

・話し変わってきている
　　単価の上昇：質の高い技術者をどう確保するか

＜＜IoTが全てをかえる＞＞
・爆発するＩｏＴ
　第三のプラットフォームを土台にしたパラダイムシフト
　ビジネス、社会インフラ
・２０２０年に２６０億端末、１．９兆ドルの価値
　　（スマホなどは含まないで）
　世界のデータ量が２０１３年比で１０倍
・ＧＥヘルスケア・ジャパン→故障を予知して
　　　→大阪ガス
・サービスでどう収入をあげるか
　　保守、サービスの高度化
・本田の「協調型」自動運転技術
　　スマホと自動車ＷｉＦｉで察知。自動停止
　　　→クラウド、監視カメラ・・・
・セコム：飛行ロボット
・人間もＩｏＴの一部に
　　ドコモ・ナイキ

＜＜ウェアラブル端末＞＞
・２０１５年～２０年爆発
・Google Glass：世界を変えるかもしれないめがね型端末
　　　→電池をどう制御するか
・Ｗａｔｃｈも登場（ＬＧ電子出す？）
　　　→ヘルスケア
・スポーツギア
　　５０００台でヒット→ふるみえーる１万台
・ユーザーインターフェースの革新
　　音声
・ショッピングが変わる
・現場が変わる
　　倉庫管理：取り違いロス０
・医療
・スマート革命はこれから
　　スマートフォン１０億台
　　タブレット２億台
　　ＰＣは３億台（ダウントレンド）
事例が時代を物語る
８次ＮＥＫＯでハードとソフトを分離する
ＡＮＡiPhone 9000台音声基盤
ＰＣはレガシー化

＜＜ソーシャルコミュニケーション＞＞
拡大
メッセージアプリの戦い
　　Ｌｉｎｅ
動画　Ｖｉｎｅが生んだスターけみお
企業のコラボレーション：企業内ＳＮＳ
　Ｙａｍｍｅｒ
やまーちゃん
暗黙知をスマホで動画でアップ
Ｓｎａｐｃｈａｔ
蓄積される膨大なデータ
ＣＲＭのなかにＳＮＳ→ログ化、知的財産

＜＜ビッグデータ＞＞
機械学習：人工知能のひとつ
人間が一生懸命
膨大な過去データから自動生成
・パターン検知
・未来予測など
よめないバックナンバーを読む
好みの不動産を自動推薦
英文を自動校正（首都大）
グーグル「猫」を自動分類
量子コンピューター

Struts1.Xに脆弱性（1.XはEOL)

やばすぎです・・・
Struts1.xからStruts2には、すぐに移行できないことは、
このブログにもいろいろかいた。
日経の以下の記事。あとで、ゆっくり読む

日本経済新聞　２０１４年４月２５日号　朝刊（＝今日の朝刊）３面

サイト作成ソフトに欠陥
官庁や企業　サイバー攻撃の恐れ

フィギュアの鈴木明子さんに、じん帯損傷後リンクで滑れない子を持つお母さんが質問～どうしたら

コンピューターにあんまり関係ないけど、
慶応ＳＤＭの話なので、まあ、いっか（＾＾；）

４月２４日、慶応大学の日吉にいって、

慶応ＳＤＭ　スポーツデザイン・マネジメントラボ　第一回公開講座
「晩成力のシステムデザイン・マネジメント　～回り道がチカラになる～」

を見てきた。フィギュアの鈴木明子さんがゲスト。表題の件は、最後のほうの質問コーナーででてくる。以下メモメモ。

---

世界選手権からおうちにかえってない

活動のビジョンとプラン
すずきさん
坂井先生
ディスカッション

■ＳＤＭ
・デザイン思考、マネジメント
・２０２５年の「スポーツと社会のあるべき姿」
・ラボのミッション
　　垂直型：競技力、価値増大
　　水平型：非スポーツ分野
・目指すゴール
　　システマチック：ビッグデータ
　　協創型
　　「する・みる・ささえる」
・ラボの全体像：Ｗｅｂみて
・連携体制
・来月の活動
　　　５月１７日　ＵＮＩ　ＦＥＳ　２０１４
　　　５月３０日　田中ベルヴェさん（小谷さんと一緒に）

■世界選手権（さいたま）の様子

■すずきさんとうじょう
・プロ１年生として、あらたに
　４月で一番緊張する仕事
・坂井先生登場・あいさつ

・鈴木さんが最近出版された本
　　ひとつひとつ。少しずつ。
・タイトルについて
　　選手生活：不器用なタイプ
　　　→人の倍練習
　　　　つづけて、２大会連続
　　　　人に伝えていければ→ほんの執筆

・スケートを始めたきっかけ
　　習い事の１つ：スケート教室で上手なスケーターではなかった
　　自分からやりたいといったことから
　　母親は、スケーターにしようと思ったわけではなかった
　　　　→いつやめてもいいよといいつづけて、２３年

・かわったところ
　スケートを嫌いになったことはない
　選手：小学校１年からはじめ、２、３年で選手とおもったが、
　　小さい頃オリンピックみたいなことはいわなかった
　　好きなスケートをやっていた

・いろいろなご苦労
　ジュニアのとき：順調に、２番３番（優勝はなかったが）
　　→トリノだいひょうになりたいなあと思った
　　　ジャンプ：シニアに上がるには
　　　　　ながくぼこーち：東北福祉大学へ
　太りやすい時期→食事を節制→体重落ちる（３２キロ）
　　→スケート続けられなくなる

・スケートがあきらめきれず・・・
　３２キロ→入院→スケートが滑りたかった
　→入院拒否→ひとつひとつ、食事がとれるように
　→母があきらめなかった
　→復帰したとき、半回転もできなくなっていた
　→まわりみちじゃかなったことを証明したかった
　→負けん気があったこそ

・お母様の存在が大きいのでは？
　母親→病気克服で変わった
　　　それまで：怒られることも、母の理想
　　　病気後：生きていてくれるだけで、それでも好きなら応援

・プロスケーターになられて
　母：卒業させるような気持ち
　　　→いまはほっとしていると思うけど、まだあってない

・坂井先生から
　入院を拒む勇気
　負けん気だけでは・・・
　そのときは、スケートしたいだけ。
　ただ単純に・・好きな気持ちがなければ、
　スケートに育ててもらったと思っている
　　→やめる勇気もなかった。

・子供にとって、なにがベストか分からない
　　→サポートする親の気持ち

　母の弱いところを見たことなかった。
　　→なんでもできるひと
　母も弱いところを見せてくれるようになった
　　→対等に人として向き合えた。
　　　何でも話す関係
　それまでは理想／人生を応援

・競技をつづけてこれた：周りのサポート
　　→目標を言わない。
目標を言ったら、サポートしてくれることが分かるからこそ、いえない
　　　　→言った瞬間に開ける／バンクーバー・ソチ同じ

-------------------------

・道が開ける人とどこが違うか

　どんなトップアスリートも一人では上に行けない
　　　　→周りをひきつけるチカラ
　そこが鈴木さんの魅力：トップアスリートの条件
　　→人に好かれるのもトップアスリートの条件

・女性のフィギュアスケート：大学４年でやめる人多く
　大学卒業されること：どう思った？
　→きっかけ：母のひところ
　　　大学：ユニバーシアードで
　　　１年おやすみしたから、１年サポートしてもいいよ
　　　→フリーターになってしまう・・・
　　　→ほうわスポーツランドで契約社員：環境と時間
　　　　　→大手はスポンサーが多かった
　　　　　　働いては不可能
　　　今後も・・あきらめなくてもいい道がひらけた？

・後に続く選手は？
　　ほうわスケートクラブ：若手の有望な選手
　　いまはアドバイザリー契約：練習＋環境、時間のアドバイス

-------------

・坂井先生のお話＜＜テニスの話＞＞

・晩成型、早熟型
１０台で頭角
２０台で頭角
　　→１０台で頭角を表す選手が有利
日本人がはじめてメダルを取った：テニス（慶応テニス部出身）
８８年ぶりにベスト８
　　→１９２０から２０２０　１００年
男子世界ツアーの構造

ナダル選手：Nishikoriは１０位、５位に入ってくると発言
盛田ファンド、修造チャレンジ
１７歳でフェデラーと練習
１８歳でツアー初優勝
２２歳で２０位

１０台で１００位：早熟型→３０位台に
２０台で１００位：晩成型→６０位台になってしまう

早熟型：トップツアー
晩成型：チャレンジャー主体
　　→賞金、ポイント

何歳のときに、何位ランキング？
　　１９歳、２２歳、２５歳のときが区切り
２２歳までに世界３００位→２人に１人は１００位
西岡選手、３８２位→１００位まちがいなし、５０位も、３０位も
　　→早熟型

だにえる太郎　育成おくれ→１００位ははいる→・・・晩成型

１６歳の段階で到達ランキングが見抜ける
　→エージェントにも、こういうデータがあると

トップ１００：平均年齢が上がってきている
　　→晩成型選手の可能性
　　　将来性を伝える人の存在

大学でやっていること

-----------------

パネル

鈴木選手は晩成型？
　→早熟型だった
　→理想とずれた時期：普通は立ち止まる
　→そこから上にいく晩成型

すずきさんはどう思う
・ジュニア：少々
・戻ってきたとき：ポイント０、ランキングに名前なし
　　→まさにどさまわり：
　　　　B大会ヨーロッパ各地回って
　　　　会社、コーチがたのむ
　　　　どれが出ないと、グランプリシリーズに出れない
　　→スケートも似ている

・才能があっても、挫折せざるを得ない
　　→きっかけがあれば
　　　パスウェイは１つだけではない
　　　前例がないと・・・

・日本：若い選手に注目多い
　　→あのときのように戻れたら・・
　　→戻りたいと思っているうちは、
　　　　戻せるものではない
　　　　先に向かって進んでいくと思ったとき、前に向けた

・いちどスタンディングオベーション
　　→あの演技をしたいと思う→そこから成長はない
　　→いまの自分と成長：前に進める

・成功体験：おおきい
　　そこを気持ちを切り替える
　できるようになったのは、らんきんぐがなくなったのがつよみ？

　いいときの演技：失敗→気づく
　　どうしていくかを考える：失敗をしてみて気づく

　石橋をたたいて壊す（わたれないタイプ）
　　ソチ→調子悪い中から持ってこれた
　　全日本選手権の一週間前：ぜっ不調→キケンしようかというくらい
　　どういっても、なにもできなくなっていた→どつぼ
　　何が不安かを聞いて言ってくれた→最後まで戦う→最後の挑戦
　　　→素直に最後までやると決めた

　試合だけみるとすばらしいが・・・
　　→先生の後押しがなければ、まずあきらめていた

・表現力のあるかた・・
　テニス：自分でコントロールできることとできないこと
　　　整理するチカラ
　→フィギュア：
　　　え、回転したのに・・・回転不足
　　　レベルがとれてない
　　→人が採点：そういう競技と理解したうえでやっている
　　　あまり順位、メダルをいわない
　　　→選手たちが、それを理解しているから
　　　　それが理解できなければ、ほかの競技をえらんでいる

・スケートをしていてうれしいこと
　　演技を終えた瞬間の観客の立ち上がる姿、拍手、歓声
　　そこに点数は必ずついてくるわけではないことは分かっている
　　では、なにを・・・どんなスケートがしたいのか？

・晩成力：テニス３０週間コントロールできる
　フィギュアでは
　　　１０台：寝ておきたら元気
　　　２４、５・・やりすぎると、ピークに持っていけない
　　　　　→やめどき：甘えなのかを判断：日々向き合っていないと
　　　　　→客観的に：長久保先生のほか４人の先生
　どのタイミングでどの引き出しを開けるか
　どういうギャップがあって、どうデザイン、

------------------

＜＜質問＞＞
・文学部のひと
　質と量：
　練習の質と量：若いうちは量で補っていた
　　２０代後半：がむしゃらにやればできるものではない
　　コーチ：量→コントロールしていく（抑えるほうがおおい）
　　　→甘えとのバランス：毎日が学び
　　　　ノートに書きとめておく

・ただのファンです
　鈴木選手：がんばってる鈴木選手をおしあげてる
　　→受け入れることができている
　人に恵まれて、ささえてもらって：病気の後から気づいた
　１０台：自分ががんばってやっている→パキンと折れる強さ
　→芯がありながらも、必要なことを取り入れる強さ
　　　　→見極めるチカラ

・千葉から、子供をつれて・・・
　　お子さん：１年間じん帯損傷→リンクに立てられない
　　お母さんが優しくなった
　　滑りたいといってくれる日

　　スケート靴を履く気になったのか？
　　アドバイス

　　実際氷の上に載ってみると・・・

　　頭と体でちがう・・・
　　受け入れることすらできなかった・・
　　母：「すれべるだけでもしあわせ」

　　あせらずに見守ってほしい
　　スケートを好きな子、ファンをふやす
　　もう一回やってみようかなと思う日を楽しみに・・・
　　　→選手としてどうということではなく
　　　　スケートを楽しもうと思うのを待っていてほしい。

・（どっかの大学）
　　早熟型：燃え尽きてしまう（バーンアウト）→別の人生のポイント

１６歳でプロ→早くも引退という選手いる
防止する：あせりすぎない
これでなくてはいけないというのはない
　　本人の強い意志
　　アスリート：自分に目が・・・社会人：周りに気配り
鈴木さん：壁にむきあわれたとき受容

（すずきさん）バンクーバーおわって、どこでやめるか、自分でも分からなかった
やめた後が想像つかないのでこわかった
　　やめたら・・金メダルならはなばなしく・・・
　　そうではなかったら・・どういったことができるかビジョンが見えなかった
やめると決めてから、まわりが、やめたあと提案
　　→そこと連携：次の人生が見えてきた／引退後が楽しみ
この１年でキャリアが変わる：就活みたい？
みなさんが、道を切り開いてくれた：レールを作ってくれた

・商学部→ソニー
　生涯ベスト３の演技

　自分の現役生活で３つ
　　１つバンクバーを決めた全日本フリー
　　　　→ジャンプ以外でつまずいてこけ、笑って立ち上がる
　　　　　ゾーンに入っていた演技
　　昨年全日本オリンピックを決めたフリーのプログラム

　　世界選手権ショート自己ベスト
　　自分の人生を滑りたい→最高の作品・評価としてもついてきた

大体後半（小さい頃は覚えてない）

----------------------

■最後にひとこと

（坂井先生）
スポーツに限らない
　アスリートのひきだし→オンリーワンの人生
　研究の連携

（鈴木さん）
２３年スケートしてきて、
　学んできて、社会人のスケーターとして、
　今後、大学卒業しても続けたい人に
　モデルとなって、このラボで情報共有

（せんでん）
６月１４日　読売新聞公開講座

--------------------------

■おわりに・・・
（鈴木さん）
じん帯損傷だった子に（フロアに下りてきて）
サイン：結構長く書いていた。内容不明

（拍手の中で返り際に）
ターン（演技が終わったときに観客にするポーズ）