コラム｜トライベック・ストラテジー

当サイトを最適な状態で閲覧していただくにはブラウザのJavaScriptを有効にしてご利用下さい。
JavaScriptを無効のままご覧いただいた場合には一部機能がご利用頂けない場合や正しい情報を取得できない場合がございます。

COLUMN

コラム

トライベック・ストラテジー社員が多様なテーマで情報を発信するコラムです。また、社外からではなかなか見えにくい社内のさまざまなトピックもお届けします。

社内イベント紹介

2018年8月6日

トライベック「酒蔵と蒸留酒部」へようこそ！

トライベックには、社員の健康促進や、社員交流を目的とした、部活動の補助制度があります。今回はその中でもとがった文化部「酒蔵と蒸留酒部」の活動をご紹介します。「酒蔵と蒸留酒部」ってなに？トライベックにはお酒好きがたくさんいることを皆さんご存知でしょうか。人には言えない黒歴史もたくさんありますが、そんな中でお酒の文化を学び、お酒を中心とした様々な楽しみ方を学び、コミュニケーションのツールとしてのお酒を上品かつ健康的に楽しんでいこうという部活動企画が立ち上がりました。今回のコラムでは、「お酒の文化を学ぶ」というコンセプトを中心にモノづくりを学ぶべく、首都圏にある有名な日本酒酒造メーカーの蔵元見学ツアーの様子をお届けします。「清龍酒造」について東京などの大都市にお住まいの方は、日本酒の蔵元というとちょっと遠いところにありそうだなというイメージを持っている方も多いのではないかと思います。しかしながら、東京近辺にも日本酒をメインとしたさまざまな蔵元・酒造メーカーが存在します。その中で今回は、東京近辺でかつ、様々なテレビ番組でも取り上げられている「清龍酒造」の蔵元見学ツアーに参加しました。「清龍酒造」の蔵元見学ツアーのコンセプトは、"日本酒の普及"と"当社、並びに自社商品の紹介" を、"食事をしながら参加者全員に楽しんでいただく"、だそうです。蔵元の工場でお酒造りのこだわりのポイントを学んだあとは、みんなで楽しく日本酒の味わい方を学ぶという大人だからこそ満足できる濃密な見学ツアーとなります。また、東京から電車とバスの公共交通機関で現地に行けるというのも、すべての参加者が楽しめる大きなポイントだと思います。まずは現地に！日頃都会のビルに囲まれたジャングルで仕事をしているトライベック社員が降り立ったところは、東京から１時間もかからない、埼玉県の大宮より３駅先の蓮田駅、そこから、まさかの20～30分に１本のバスで現地に向かいます。（社内は見学ツアーの参加者でぎっしり） 10分ほどでバスを下車すると、そこはのどかな風景が目の前に広がります。みんなのテンションが上がってきました。工場のような門をくぐると、蔵元の雰囲気ある建物が眼前に広がります。広い駐車場の先にはなんと、馬をつなぐための器具がありました。昔の交通手段は車ではなく馬！日本酒の奥深い歴史を感じます。ちなみに、３年ほど前、本当に馬でご来店した人がいたとのこと。驚きが隠せません。当日は梅雨明けの灼熱の晴天、蔵元見学ツアー開始まで30分ほど日陰を探しながら待ちつつ、いよいよツアースタートです。熟練の技術最初の集合説明の後、蔵の入り口に集まりまずは清龍酒造の社長の説明からスタート。トークの間、テンポ、聞きやすさなど、とにかく「上手いな～」と勉強になるプレゼン。時折話の中に入るいじりネタにみんなの笑いが止まりません。ちなみに蔵には「松尾」の神様という方が祀られています。この神様は女性なので蔵の中は昔、女性禁制だったとのこと。神様がほかの女性に嫉妬するからだそうです。また、朝納豆を食べた人は蔵の中には入れないとも言われました。このコラムを読んでいただいている皆さま、理由はわかりますか？蔵のしきたりを理解し、「松尾」の神様に拝礼のあとはいよいよ蔵に入ります。ネットで様々写真は出ていますが、いざ実際に自分たちが中に入ると貯蔵タンクの大きさに圧倒されます。足元に気を付けながら奥に進むと「酵母」が閉じ込められた部屋にたどりつきました。中は一定の温度がたもたれてちょっと涼しめ。そこでは皆一人ひとりに対して「麹」を手に配られました。この「麹」を口の中に含んで、飲まずにそのまま2週間、この部屋で口を上に開けると・・・あら、素敵なお酒が口の中にあふれてくるそうです。（待てるか~そんなに・・・）自然と人工のコラボレーション、昔の人ってよくこんな仕組みを開発できたなと驚きます。およそ40分の蔵元内部の見学を終え、皆で感想や意見などディスカッションが終わったあと、いよいよ後半戦がスタートです。あ、ウコンの準備は忘れずに！！宴を楽しむ「"日本酒の普及" と "当社、並びに自社商品の紹介" を、食事をしながら参加者全員に楽しんでいただく」という清龍酒造さんの蔵元見学会。後半戦は参加者全員による宴となります。一人ひとり、2.5合ほどの利き酒セットが眼前に広がります。これで終わりではありません。ここから蔵元ならではの日本酒の飲み方、楽しみ方のアレンジが広がっていきます。日本酒をフローズンにしていただきます。一升瓶を凍らせてからたっぷりとシェイク。香り豊かな暑い夏にぴったりのクーーールな日本酒が出来上がります。もはや、言葉など不要。続いて、日本酒を果実に付け込んだ甘酸っぱくてとてもかわいい色の日本酒が出てきました。普段日本酒をあまり飲むことのない女性陣もこれには大満足。若いメンバーも初めて味わう新しい日本酒の楽しみ方です。まさかの、解体ショーも目の前で始まります。新鮮なお寿司をパクリといただき、ますます日本酒の利き酒が楽しくなっていきます。皆が酔い始めたころには、我々メンバーだけでなく見学会全員で一丸となった合唱が自然とはじまります。この場で初めて出会う人たちが昔からの友達のように楽しく宴を楽しむ。これこそ人類が築き上げてきたお酒の文化だと身をもって体験することができました。心を一つにした大合唱が終わったあとは、名残惜しくはありますが、みんなで帰ることになります。蔵元のものづくりの魂やおもてなしの心をしっかりと勉強しましたので、この経験をさらに仕事に役立てられることになるでしょう。あ、しめのプリンは忘れずに… ...

テクノロジー

2018年7月30日

『徳丸本』第2版発売記念インタビュー（後編）

トライベック・ストラテジーのパートナーである、EGセキュアソリューションズの代表徳丸浩氏の『体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践』が2018年6月に発行されました。本書は2011年3月の初版発行から7年ぶりの改訂版。通称『徳丸本』とも呼ばれ、Webアプリケーション開発者必携のバイブルとされる本書の改訂は、そのまま7年間のWebセキュリティ対策の歴史を反映したものといえます。後編の今回は、著者である徳丸浩氏、レビュアとしても参加された同社セキュリティエンジニア　岡本早和子氏に本書の詳細な改訂内容、執筆にあたっての裏話などを伺いました（聞き手：中島秀明）。 li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.blank:after { display: block; content: '　'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } --> 第2版で増えた内容の秘密まずは第2版で追加された内容についてお聞かせください。企画段階では策定されていなかったOWASP TOP10 2017ですが、「1.6 セキュリティガイドラインとの対応」には「安全なウェブサイトの作り方」と並んで本書との対応表が掲載されています。私が元々IPAで非常勤研究員として「安全なウェブサイトの作り方」を担当していたということもあって、それを詳しく書く、というのが初版の目的のひとつでもありました。今はそれに加えてOWASP JAPAN CHAPTER AdvisoryBoardの一員ですので、OWASP TOP10の方も意識した内容にしています。現実問題としてOWASP TOP10が日本でも普及浸透してきて、いろんな実務とか、脆弱性診断の基準として取り扱いされるようになってきています。 IPA　独立行政法人情報処理推進機構（https://www.ipa.go.jp）。日本におけるIT国家戦略を技術面、人材面から支えるために設立された安全なウェブサイトの作り方　IPAが作成した、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料（https://www.ipa.go.jp/security/vuln/websecurity.html）脆弱性のガイドラインとして、基準となるものの存在が認知されるようになってきたということですね。なので、自分の好みとかは置いといて（笑）、取り上げないとまずいだろう、と。正直いるんかな、と思いつつも外すわけにはいかないものと、その一方でぜひ書きたい、と思うものもありました。きっと読んだ人には「ここは気合入っているなあ」とわかってしまうでしょうね。 OWASP TOP10 2017で追加されたリスクとして特徴的だったものにはXXEとデシリアライゼーションがあります。 XXE　XML外部実態参照（XML eXternal Entry）。XMLから外部ファイルの内容を参照する機能デシリアライゼーション　オブジェクト等を保存・伝送するために変換したバイト列から、元のオブジェクトを生成することこれ、PHPだと仮にあっても攻撃が難しくて、滅多に起こらないだろうと思っていたんです。でも、実はJavaだとわりと起こる話なんですね。そういう意味では載せる口実ができたしめしめ、と。気合が入っていただけあって、ちょっとマニアックな感じになってますね。どちらのことかは読んでからのお楽しみですね。 PDF FormCalcは指摘を受けて追加しました。これは別の意味で議論の分かれるところでして、「これはバグじゃないよね、Adobeが悪いだけだよね」ということではあるんですけど、まあみんな使ってるし実際、問題もありますので。細かいところではOSコマンド・インジェクションの対策として新しく「OSコマンドに渡すパラメータをシェルの環境変数経由で渡す」というものが追加されています。そもそもOSコマンド・インジェクション対策として4つ書いてましたが、どれも気に入らないんですよね。PHPの場合、例外はあるもののシェル経由でしかOSコマンドを叩けない。一番汎用的に使える方法はエスケープですけど、間違えやすいので気に入らないと思っていたところ、さとうふみやすさんが記事で指摘していたのでぜひこれを広めたいという思いがあって。さとうふみやす氏（@satoh_fumiyasu）　オープンソース・ソリューション・テクノロジ Expert Engineer これはかなりいいですか？いいですね。エスケープいらない。それから、初版にもあった項目ではありますが、クリックジャッキングとDOM Based XSSは扱いが大きくなりましたね。もともと書きたかったということと、「安全なウェブサイトの作り方　第7版」には入っているので大きく取り上げました。DOM Based XSSについては講演やブログで取り上げる材料が増えたことと、さまざまな手法が整理されてきたことが大きいですね。自分たちで脆弱性診断を実施するというニーズ今回大きく紙面を割いている新しい章に「脆弱性診断入門」があります。脆弱性診断実習と報告書サンプルが入っていて、初版の「9.3.7 ウェブ健康診断仕様の紹介」から比べるとずいぶん実践的という印象です。初版を執筆していた2010年頃は脆弱性診断をやる人は少なくて、脆弱性診断エンジニアは読者として想定していなかったんです。でも、その後ものすごく増えて、現実問題としても読まれているようなので、第2版ではそういったエンジニアの視点も意識しています。脆弱性診断エンジニアが増えたということは、セキュリティに長じたエンジニアが増えたということですか。いやあ、レベルはピンキリですね。上の人になるとほんとにすごいんですけど、そういう人は現場の脆弱性診断はしていないケースが多くて、実際の診断員の中にはセキュリティのことをよくわかっていない人もいるんじゃないかと思います。実は私が顧問契約をしているお客様が他社で脆弱性診断を受けて、その報告会に同席することがあるんですが、それはそれは嘆かわしい状況になることがあります。向こうもまさか徳丸さんが出てくるなんて思ってもいないでしょう（笑）。たぶん、私のことは知らないんでしょう。各社それぞれ診断のやり方があって、例えばシングルクオートを入れてインジェクションをチェック、それを延々とする会社もあれば、ツールで一括で、というところもある。そうするとなにを確認しているのか、自分自身よくわからずにやっているんじゃないかな、と思うような報告になっていたりします。仕事は仕事としてやるにしても、中身を分かってないと面白くないですよ。第2版はそういう方々へのメッセージでもあります。その一方で、開発会社自身が自分たちの作ったものの診断をやりたい、という声は増えてきています。今の開発の速度やコストを考えると、自分自身でできる範囲で診断をやった上で、専門家に診断を依頼する、というように変わってきているようです。「9.3.10 アジャイル型開発プロセスへの適用」はそれを反映しての話ですか？アジャイルの話は元々なかったんですが、レビュアの太田良典さんからの強い要望がありまして。現場的にはアジャイルだとセキュリティ施策はやりにくい、ではアジャイルのスピード感をもって脆弱性対応をするにはどうすればいいか、ということを考えて生まれたものなんです。謝辞にもあるとおり、太田さんと弁護士ドットコムのエンジニアの方々とディスカッションした内容なども盛り込まれています。太田良典氏（@bakera）　弁護士ドットコムのアクセシビリティエンジニア。水無月ばけらの筆名でも知られる豪華なレビュア―陣の秘密太田良典さんの他にも名だたる方々がレビューをされているようですが、徳丸さんから打診されたんですか？初版は初心者の声も反映したい、ということで公募しましたが、今回は私からお声掛けさせていただきました。すでに本の骨格ができているので、初心者の視点からのレビューはなくてもいいだろう、と。むしろ、私よりJavaScriptに詳しい人はいっぱいいるので、そういう人を入れたかったんですね。はせがわようすけさんですとか。幸い面識があったので快く請けていただけました。はせがわようすけ氏（@hasegawayosuke）　SaaS型WAF、Scutumで知られるセキュアスカイ・テクノロジーCTO キヌガワマサトさんは入ってないんですね。キヌガワマサト氏（@kinugawamasato）　日本人と思われるバグハンター迷ったんですけどね、お願いしたらやってくれたんじゃないかとは思うんですけど……。キヌガワさんはp.445の内容に指摘されていますが、これはどういう意味なんでしょうか。キヌガワさんのは難しくてよくわかってないんですけど……むしろ私の方からキヌガワさん本人かはせがわさんに教えてほしいですね。なぜなくなった？　第2版で消えた内容の秘密文字エンコーディングについては「4.2 入力処理とセキュリティ」「6.3 文字エンコーディング」の2か所に出てくる構成は初版と変わりませんが、コラムの「文字エンコーディングの自動変換とセキュリティ」は削除されています。あれはぶっちゃけ――（中略）――そういうのはもう卒業しようと（笑）（笑）まあ、文字エンコーディングの扱いっていうのは非常に微妙で、初版の頃と比べると重要性が減っているんです。セキュリティ上の重要性が減っているということですか？初版のころはまだ携帯があって、SHIFT_JISが相当残っていました。しかし、この7年間でUnicode――特にUTF-8が非常に普及しました。全部Unicodeで通せばあまり起きない問題なんですよ。結局、レビュアの西村さんが非常に気に入ってくださっていたということで残すことにしました。西村宗晃氏　リクルートテクノロジーズ。バグハンターとしても知られる初版の「7 携帯電話向けWebアプリケーションの脆弱性対策」も丸々なくなっていますね。時代の流れということで不思議はないですが。他にも時代の変化で重要性が下がったものはあります。XSTなんかそうですね。初版でも「特殊なブラウザを使っている利用者でなければ（問題ない）」と断っていましたが、7年経てばさらにブラウザの対策が進んでおり、もはや危険性はほぼありません。しかし、杓子定規な脆弱性診断では脆弱性だと判断されてしまう場合があるので、そういった診断に対するメッセージでもあります。 XST　クロスサイト・トレーシング。HTTPのTRACEメソッドを送信してCookieやBasic認証のID/パスワードを窃取する攻撃。TRACEメソッドを無効化して対応する初版の「4.3.2 クロスサイト・スクリプティング」にあった「参考：PerlによるUnicodeエスケープ関数」も削られてます。 Unicodeエスケープ自体を削りました。もともとはJavaScriptを動的生成する際のXSS対策のひとつとしてJavaScriptでエスケープ――Unicodeエスケープでunicode形式（\uXXXX）にするためのスクリプトを紹介していました。しかし、複雑で技巧的なスクリプトはバグを生みやすいため、第2版では奥一穂さんが提唱されていた、インラインJSONPによる方法を紹介しました。奥一穂氏（@kazuho）　HTTP/2サーバ「H2O」他、多くのオープンソースソフトウェアの開発者第1版を読んだことがある人も、第2版で知識や理解をアップデートするといいですね。本日はどうもありがとうございました。関連コラム『徳丸本』第2版発売記念インタビュー（前編）...

社内イベント紹介

2018年7月23日

新生「音楽部」活動開始です！

トライベックコラムをご覧いただきありがとうございます。トライベックには、会社が費用を支援する「部活動」制度があります。今回はその中でも今年度新しく立ち上げられた「音楽部」についてご紹介します。楽器が弾けなくても大丈夫！音楽部では鑑賞の部と演奏の部を設けています。鑑賞の部では毎回部員持ち回りでナビゲーターを設定し、それぞれの好きなジャンルや得意な分野について話をします。今回のテーマは「オーケストラの入り口～イージーリスニングから久石譲の世界まで～」。そして「ピアノ弾きの気分が味わえる音ゲーアプリ！」の2本立てでした。ナビゲーターのプレゼンに耳を傾ける部員のみなさま。「ふむふむ……」演奏の前にちょこっと練習…… 演奏、というとまるでガシガシ練習しているかのようですが、（良くも悪くも）そんなことはまったくありません。まずは練習の前に自分がキメてやりたいところをちょこっと練習～経験者が教えてくれるかも！部員の中には「弾けるようになりたい楽器があるけど弾けない……」という人もいます。部員の中に経験者がいれば、こんな風に教えてもらえるかも……？同じ楽器を演奏する人とお話しする機会も。満を持して合奏！この日の演奏曲は『情熱大陸』のメイン・テーマ。イントロの美しいアドリブ・ソロは、Yさんがクラリネットで魅せてくれました！やっぱり合わせるのは楽しいですね！なんとか最後まで通すことができるようになり、安心した部員たちでした。最後に 3月以降に入社した社員たちが半分以上を占めるこの音楽部、企画から活動開始までがびっくりするほどスピーディでしたが、無事１回目を楽しく終えることができました。今後も音楽の知識を深めたり、音楽を演奏する楽しさを味わったりする時間を共有することで、部員同士の仲が深まっていくといいですね！...

テクノロジー

2018年7月17日

『徳丸本』第2版発売記念インタビュー（前編）

トライベック・ストラテジーのパートナーである、EGセキュアソリューションズの代表徳丸浩氏の『体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践』が2018年6月に発売されました。本書は2011年3月の初版発行から7年ぶりの改訂版。通称『徳丸本』とも呼ばれ、Webアプリケーション開発者必携のバイブルとされる本書の改訂は、そのまま7年間のWebセキュリティ対策の歴史を反映したものといえます。著者である徳丸浩氏、レビュアとしても参加された同社セキュリティエンジニア　岡本早和子氏に本書の概説と実践講座の内容について伺いました（聞き手：中島秀明）。 li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.blank:after { display: block; content: '　'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } --> HTML5よりもJavaScriptとWeb APIにフォーカスした理由とは 7年ぶりの改訂ですが、内容を拝見しますと新しく追加された章、扱いが大きくなった項目が見られる反面、削除された項目などもあります。マーケティング的には「今回の改訂はHTML5対応です」と言いたいところなんですが、実際にはそうはならなかったですね。それはどうしてでしょうか。そういったHTML5に特化したものを「安全なWebアプリケーションの作り方」という枠組みで私が書くのが最適かというと、そうではない。この本では今の状況を反映した、もっと基礎的なところを書かなければならないと思ったんです。具体的にはどういったところでしょうか。 JavaScript（4.17 JavaScriptの問題）、それと相対するAPIの話（4.16 Web API実装における脆弱性）ですね。ここをしっかりと書かなければいけないなと思いました。その2つが現在のWebアプリケーションの状況の中で重要性が高まってきている、ということでしょうか。はい。去年の夏くらいから出版社と第2版の企画の話をしていたのですが、その時にはまだOWASP TOP10 2017は出ておらず、参考にすることはできませんでした。ですが、Webの作りとして処理がどんどんフロント側へ移ってきており、JavaScriptがより重視されるようになってきました。それに相対する形でサーバ側の方ではAPIが増えてきています。そのあたりの記事は見かけることはあっても、まとまった書籍としては見かけませんので、ここで書くべきだろうと。3章にCORSを入れているのはそういった背景からです。 OWASP TOP10　ウェブアプリケーションのセキュリティ向上を目的とした国際的なコミュニティOWASP（The Open Web Application Security Project）が3年ごとに発表しているウェブアプリケーションの代表的なセキュリティリスク CORS　Cross-Origin Resource Sharing。サイトを越えてデータをやり取りするための仕様。JavaScriptの活用が進んだことでニーズが高まった著者による「徳丸本第2版の歩き方」第2版は667ページと、初版から200ページ近くも増ページとなっています。このボリュームには圧倒されてしまいそうですが、お勧めの読み方はありますか。まず全体をざっと流してほしいですね。1章、2章はおまけみたいなものなのでまず3章から。ここは基礎になりますので比較的しっかり読んでもらいたいです。「3.1　HTTPとセッション管理」「3.2　受動的攻撃と同一オリジンポリシー」はあまり変わっていないので、初版を読んだ人はさらっとで構いません。「3.3　CORS」は今回新たに追加されたものなのでしっかり読んでください。また、読む際にはぜひ、サンプルを動かして試してもらいたいというのが私の気持ちです。記事自体はWebサイトにもいっぱいあるんですが、試せないことが多いですから。CORSのヘッダを足してないとどうなるか、足せばどうなるか、ということをブラウザを動かして実際に試してほしいですね。 4章は360ページくらいありますね。最初は各節のアタマの1ページだけ読むくらいでもいいです。辞書的に使ってもらえればいいので、まずはどこになにが書いてあるかを把握する程度でいいと思います。例えば、メール送信をしないアプリケーションであればメールヘッダインジェクションは気にしなくていいですし、構造データの読み込みも使ってなければ関係ありません。必要になったときに「このあたりに書いてあったはず」と思い出してもらえればいいです。もちろん、読み物として読みたい方は止めませんけど（笑）。ただ、第2版で追加された「4.16　Web API実装における脆弱性」「4.17　JavaScriptの問題」はしっかり読んでいただけるとありがたいというか、よいのではないかと思います。知識を得るためにしっかり読むところと、必要になったときに読むところがあるということですね。弊社でもリファレンス的に使うことが多いです。そして「5　代表的なセキュリティ機能」は読み物的に読んでいただく章で、「6　文字コードとセキュリティ」はぶっちゃけ興味がある人だけ読めばいいかもしれません。徳丸本第2版出版記念ハンズオンセミナー今回、第2版の出版を記念して「徳丸本実践講座」を開催されるとのことですが、どのような人が参加するとよいのでしょうか。企業の開発部隊や企業の中でセキュリティを担当している方です。まあセキュリティ診断を生業にしているような同業者でもお断り、とはしてないんですが。同業者ウェルカムですか？いやいやいや（笑）、来たら悩んじゃいますね。どういった内容になりますか。「3　Webセキュリティの基礎」「4　Webアプリケーションの機能別に見るセキュリティバグ」「5　代表的なセキュリティ機能」「7　脆弱性診断入門」はしっかりやります。4章はボリュームが大きいので全部はやれないのですが、入門から最新の内容までをバランスよく取り上げますので、基礎を学びたい方から第2版ならではの学びを得たい方まで広く満足していただけるものになっています。特に「7 脆弱性診断入門」はお勧めです。徳丸はWebセキュリティの第一人者であるとともに、脆弱性診断のプロフェッショナルでもあります。そういった最前線の技術者が、実務をベースにしたお話をする機会はあまりないと思いますので。実務をベースにする、というのは具体的にどういったところに現れるのでしょうか。例えばp.587（7.7　OWASP ZAPによる手動脆弱性診断）ではクロスサイトスクリプティングの脆弱性を使ってJavaScriptを送り込むことができます。しかし、実際に送り込まれたJavaScriptはエラーとなって実行できません。こういうのは現場でも割とある話なんですが、これをどう扱うかは実は深い考察が必要です。絶対に動かないのであれば危険はありませんが、本当に絶対と言えるのか。開発者であればそこを突っ込んで調査するよりも安全側に倒してJavaScriptを送り込まれないように対処すべきですし、セキュリティの専門家であれば頑張って送り込んだJavaScriptを動かしてみせるべきです。脆弱性診断のスタートガイド的なものだからといって表面的な事象だけをとらえるのではなく、そういった本質をきちんと押さえるべき、ということですね。はい。意外に深いところまで触れられるセミナーになると思いますよ。それから徳丸が力を込めて「理想の報告書」を作成しておりますので、発注する側にも「診断の良しあしはどこで見ればいいのか」の参考にしていただけると思います。セミナー受講者に想定するスキルとしてはどのあたりになりますか。企業の品質部門の方などですとコードは書かないと思いますので、PHPが読めるといいな、くらいですかね。今回JavaScriptも入ってきますし、両方とも読み書きできる、というレベルを求めるようなセミナーだとちょっとハードルが高いのかな、と思っています。SQLもSELECT、WHEREなどの基本的なところを押さえていればいいです。今回初めてセキュリティに触れる、という方でも大丈夫ですか。想定内です。HTTPがわかっていない方が多いと思うので、教える側にとってはそこがチャレンジだと思ってます。「3.1 HTTPとセッション管理」の簡単な時計を動かすところからやることになるでしょうね。なんとなく、でもいいので、サーバ、クライアント、ブラウザがあってそこからこういう通信が発生して、こういうのが返ってくる、という概要を事前に知っているとスムーズに受講できるんじゃないでしょうか。こういったWebアプリケーションがブラウザで完結しているのではない、ということがイメージできれば入っていけると思います。席はまだありますか？実はすでに締め切っているんですが、この記事を読まれた方には追加枠をご用意します。若干名になってしまいますが、ぜひお申し込みください。ありがとうございます。講座の詳細につきましてはEGセキュアソリューションズの以下のページをご確認ください。『体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践』実践講座後編ではより詳細な改訂内容、執筆にあたっての裏話などを紹介します。関連コラム『徳丸本』第2版発売記念インタビュー（後編）...

ブランディング

2018年7月9日

Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（４）

前回は、「Webサイトのブランド価値貢献度」を向上させるための指標の2つ目「好感効果」を向上させるための取り組みをご紹介しました。今回は、3つ目の指標である「ロイヤルティ効果」を向上させるための取り組みについて見ていきます。取り組みその３「ロイヤルティ効果」を高めるためにロイヤルカスタマーの感動体験をオウンドメディアで増幅下表は、トライベック・ブランド戦略研究所が行った調査「Webサイトのブランド価値貢献度」の「ロイヤルティ効果」のランキングです。 1位はパナソニックでした。パナソニックのサイト利用者は購入後にもパナソニックのオウンドメディアへアクセスして、「商品の理解につながった」「企業の理解につながった」と答えた人の割合が双方において高い結果となっています。前回テーマの好感効果で見てきたようにパナソニックは購入後のユーザーをターゲットとした好感度が高いコンテンツも多く用意することで、購入後にアクセスしたユーザーに対してもしっかりとコンテンツ設計・企画を行っています。その結果、これらのコンテンツをきっかけとしたアクセスが商品・企業への理解につながり、ロイヤルティ効果を高めているといえるでしょう。商品ブランド×企業ブランドの相乗効果を狙うロイヤルティ効果の高いこれら上位のサイトに共通していえることは、商品・サービス利用後のオウンドメディアへのアクセス通じて商品価値を再確認すると同時に企業ブランドへの接触を促すといった「商品理解×企業理解」により良質なブランド体験をしてもらえているという点です。 Webサイトをセールスの中心的役割として位置付けている企業も多く見られます。しかし、購入後の既存顧客であっても、当然、商品に対するサポートを受けたり、問い合わせをする目的で来訪したり、自分の購入した商品のさらに有益な情報、気がつかなかった活用法、利用方法を見つけに来たりすることは当然考えられます。購入後のオウンドメディアへの来訪機会はクロスセル、アップセルにつなげる機会にもなり得ますし、さらに企業ブランド理解を促すための顧客とのエンゲージを強めるための機会を提供する場でもあります。新規セールスのためのオウンドメディア施策だけでなく、購入後のオウンドメディア施策にも取り組み、新規、既存顧客両面におけるカスタマージャーニーを考慮したサイト設計が重要となるでしょう。ロイヤルカスタマーの感動体験をオウンドメディアで増幅商品の検討段階において、インターネットでの情報収集はもはや当然の行動となっています。商品購入後は実際に使い、「買ってよかった」とその品質・性能に満足し、さらに納得感を得ようとインターネットを通じて情報収集や情報拡散を行います。商品購入後の情報収集や情報拡散についてはSNSやブログ等が非常に重要な媒体として機能しますが、企業のオウンドメディアにおいても対応は欠かすことができないといえるでしょう。企業の公式のサイトであるオウンドメディアからの情報提供は、購入後であってもデジタルにおいて唯一信頼されるメディアです。例えば購入後に企業の会員サイトで会員登録していただくことで顧客のロイヤルティの強化につなげることもできます。ロイヤルティ効果で高いスコア結果を出しているサイトでは、単にオウンドメディアで会員サイトを設けているだけでなく、会員になった顧客のロイヤルティレベルに応じてコミュニケーションを変えながら商品のさらなる理解を深め、商品に愛着を持ってもらう工夫をしています。今後もOne to Oneのパーソナルなコミュニケーションは進んでいくでしょう。同時に企業ブランド理解を同時に体験してもらえるような仕掛けをしており、商品ブランドと企業ブランドを組み合わせてブランドストーリーとして顧客にコンテンツを提供することでロイヤルティの定着につなげる事例も最近は増えてきています。好感効果向上取り組み事例　パナソニックロイヤルティ効果でランキング１位となったパナソニックでは、購入後に購入者向けのキャンペーンをきっかけに、TwitterフォローやCLUB Panasonicへの登録促進を行い、ロイヤルカスタマーの囲い込み・育成施策を行っています。SNSの特徴・強みとオウンドメディアの特徴・強みをうまく組み合わせて顧客とのコミュニケーションを行っている事例といえるでしょう。商品ページには、購入後に参加できるキャンペーンをきっかけに商品理解をさらに深めるようなピックアップ、レシピコンテンツへ触れてもらったり、さらに１００周年記念の企業ブランディングコンテンツへ展開していくなどの導線設計がなされています。単なる商品の機能やPRだけでなく、企業ブランドコンテンツを通じて商品開発への思いなどを通じてパナソニックブランドの理解を促進し、ロイヤルティを定着させる工夫が見られます。パナソニック Webサイト次回は、Webサイトのブランド価値貢献度向上に向けて4つめの重要な指標である「閲覧価値」の向上に向けた取り組みについて述べていきたいと思います。関連コラム Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（１） Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（２） Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（３）...

社内イベント紹介

2018年7月2日

ボルダリング部はじめました

社員の健康増進に向けた取り組みトライベック・ストラテジーでは、社員の健康増進を目的とした取り組みを積極的に行っており、そのうちのひとつとして、会社から公認された「部活動」については、その活動を会社として支援しています。みんなで声を掛け合って、壁を登る精神をつけるボルダリング部を創設するにあたり部員を募集したところ、総勢20名もの応募があり、会社公認の部活動として認可を受けることができました。活動方針は、「険しい壁面もみんなで声を掛け合い登っていく精神をつける」とし、仕事での難しい場面でも、みんなでもっともっと助け合えるような雰囲気を築いていきたいという願いも込めました。真面目にいうと、「運動による個々人の健康増進と社員同士の親交を深めていく」です。ボルダリング部開催レポート今回は、銀座にあるクライミングジム『GRAVITY RESEARCH（グラビティリサーチ）』を利用しました。今回は初回の活動にもかかわらず、15名もの部員が参加してくれました。参考リンク：グラビティリサーチ銀座 http://www.gravity-research.jp/shop/ginza/ 初めての人には、スタッフさんから丁寧に説明をしてもらえます。テープの色によって難易度が異なります。スタッフさんにアドバイスを受けながら、いちばん易しいルートで早速トライ。説明を受けた後は、みんなでボルダリングに続々チャレンジ！今年の4月に入ったばかりの新入社員や女性陣も、そびえる壁に積極的に挑んでいきます。はつらつとして元気に満ち溢れていていました。男性陣やベテラン勢も負けじとトライ。簡単そうに見えても、レベルが上がると急に登りにくくなり、さらに何回も登っていると握力が奪われていくので、時間とともに難易度が勝手に上がっていきました。みんな夢中になって壁に挑戦して、時間いっぱいまで楽しみました。身体を動かした後は、お酒とご飯を楽しみながら、さらに親睦を深めていきました。これからも定期的にボルダリング部を開催して、健康増進とみんなの絆を深めていきます。...

クリエイティブ

2018年6月25日

進化するデザイン

かわるコト、かえるコト。デザインの仕事をする上で「グラフィックデザイン＝印刷系」「ビジュアルデザイン＝Web・デジタル系」と分類されますが、その違いは画面としてスクリーンで表現されるか、それ以外での表現か、となります。グラフィックはその目的や、ターゲットに向けた「見え方」を最大限高めるために、ミリ単位で完璧に構成し、完成された「視覚表現」を制作していきます。一方、デジタルなどは利用することを目的としたデザインで、アップデートしてより「進化」させて使いやすくしていくことが重要になってきます。そのために必要な知識、手法、今までの「コト」に新しい「コト」を組み合わせて今までにない「モノ」を作っていかなければなりません。サイトやアプリが、リリースされた時点でデザインが完成するわけではない事が、今では当たり前になってきました。様々な国からのアクセス、表示されるデバイスの種類、画面サイズ、解像度、色空間など、見え方が多種多様となり、ビジュアルだけでの完璧なデザインを制作することは難しくなっています。情報伝達のスピードや、トレンド、伝えたい内容の変化などの移り変わりが年を追うごとに速くなっている事も要因となっています。プロセスとして、常にユーザーのフィードバックや課題を元に、プロトタイプテストやABテストなど行ってより「分かりやすさ」「伝わりやすさ」や「使いやすさ」「心地よさ」など、ユーザーを中心において継続的な改善をしていくことが求められます。どんな人が、どのようなデバイスで、どのようなシーンで使うのかを丹念に調査し、想定しながらデザインすることが重要です。多人数で進行するプロジェクトなどではプロトタイプを作成し、メンバー間で素早くレビューを行いながらデザインのクオリティを高めていきます。最近はGrowth HackやLean UXといった手法などが注目されています。デザインに求められる手法最近ではさまざまな手法やメソッド、プロセスなどがあり、取捨選択しながら進行したり、試したりしています。例えば、デザインにおいてAI（人工知能）にできることはたくさんありますが、基本的にはディープ・ラーニングで学習したデザインパターンを組み合わせたものをアウトプットしてきます。デザインに関してはあくまで過去のデザインのベストプラクティスでしかないので、トレンドや先進性、既視感のないデザインなどはまだ苦手としている傾向です。 3D-CADの世界では、設計プランをソフトウェアが自動で生成するジェネレーティブ・デザインや、ディープ・ラーニングを応用した新たな設計手法が浸透し始めており、盛り上がりを見せています。テクニカルなトレンドはさまざまなものがありますが、今はまだ、人が人の為に考えるデザイン、が求められています。スペシャリストとしてのデザイナーの役割は、UXデザイン、UIデザイン、ビジュアルデザイン、インタラクションデザイン、プロトタイプデザインなど多岐にわたりますが、そのひとつだけ担うことは少なくなってきており、アイデアやビジュアル、印象の開発を行うのにさまざまな手法を掛け合わせた進行が求められています。これからのデザイン最近ではさまざまな手法やメソッド、プロセスなどがあり、取捨選択しながら進行したり、試したりしています。デザインの領域が広がりをみせる中、具体的で目に見えるスキル（＝武器）をもたなければなりません。UIデザイン、マーケティング、アナリスト、モーションデザイン、フロント・バックエンジニアリング、ユーザーリサーチなど、デザインを行うなかで必要となるさまざまなスキルは、デザイナーとしての市場価値を高める要素となり、これらを身につけることで問題解決能力が高まり、広い領域で活躍できるようになってきます。トライベック・ストラテジーのデザイナーは、クリエイティブを通じてさまざまな価値を提供していくために、新しい領域にも対応できるような掛け合わせられるスキルを身につけ、ユーザーやクライアントにとって使い心地の良い、進化し続けるクリエイティブを制作していきたいと考えています。...

広報・PR

2018年6月18日

「宣伝会議インターネット・マーケティングフォーラム2018」に協賛しました

2018年6月5日（火）・6日（水）にANAインターコンチネンタルホテル東京で開催された宣伝会議主催の「インターネット・マーケティングフォーラム2018」に、今年もプラチナスポンサーとして協賛しました。今年で7年目となります。【 1日目】準備と講演スタート初日は、会場となるANAインターコンチネンタルホテルへと荷物の搬入から始まります。ブースにテレビモニターを設置する工事があるため、8：00には会場へ搬入しなければなりません。7：30にオフィスへ一旦出社し、荷物を運び出して、いざ会場へ。 8：00からは講演リハーサルが始まるため、そちらに立ち会わなければなりません。そこで、ブースの配置やパンフレットの用意などはデータドリブンマーケティング部やコンサルティング部の若者たちに任せて、大会場のリハーサルのほうに参加しました。音声やPCの切り替えなどのチェックを行ったあとは、講演後の手土産として小冊子を配布するために、会場係の方とスムーズに配布するための打ち合わせなどを行い、朝からバタバタです。準備を終えて一息ついたら、10：00からのオープニングキーノートに合わせてお客様の来場が始まりました。トライベックの講演枠は11：50から。今年はどんなお客様が来場されるか、ドキドキです。配布冊子は、ちょっとだけこだわってみました講演終了時にアンケートと交換で配布する小冊子。今回はデザインを刷新しました。また紙の質にも少しこだわってみました。講演配布の小冊子今年は講演タイトルに合わせて『デジタルマーケティングの未来はヒューマンインサイトCXにある　～消費二極化時代の今、立ち止まって本質を考えるべき理由とは～』という小冊子をお配りしました。毎年、講演を聴いていただいたお客様に大変好評の冊子です。展示ブースもがんばりました展示ブースでは、国産マーケティングプラットフォーム「HIRAMEKI management®」を中心に、トライベックのサービス全般をご案内させていただきました。すぐにトライベックのスタッフだとわかるように、赤いポロシャツに「TRIBECK」ロゴの入ったユニフォームでお迎えします。日頃お世話になっているお客様や、懐かしい方との再会などもありました。新卒社員もがんばります【 2日目】雨の中、展示ブースでご案内です朝も早くから雨というあいにくの天気でスタート。雨にもかかわらずたくさんの方に来場していただき、我々スタッフもさわやかに元気よくお客様をお迎えします。昨日に引き続き、この春入社した新卒メンバー5名にも、パンフレットを持っての呼び込みをしてもらいました。これも大事な仕事のひとつです。さわやかメンバー 2日目はトライベックの講演がないので、トライベックのクライアントの来場は若干少なめでしたが、それでも来場していただいたお客様へご挨拶させていただき、18：30までみんなでがんばりました。 19：00に運送業者が荷物を引き取りに来るため、30分で慌てて梱包しました。こういう時の一致団結はスバラシイと思います。車に荷物を積み込んで、見送ったら搬出完了です！あとは、この2日間のがんばりをねぎらうしかありませんね。無事に2日間のイベントが終了。みんなで乾杯、お疲れ様でした！...

社内イベント紹介

2018年6月11日

トライベック「登山部」活動開始しました！

トライベックには、社員の健康促進や、社員交流を目的とした、部活動の補助制度があります。今期は新たな部活がいくつか誕生しました。トライベックに新たに誕生した「登山部」トライベックで新たな部活動の申請が始まった際、ダメ元で申請したら意外と人数が集まって創部された「登山部」。6月2日（土）に、初めての活動をおこないました。体験入部の人や、登山が初めての人もいることから、今回の目的地は高尾山にしました。首都圏に住んでいても意外と自分の足で登ったことがない人が多いようです。高尾山には1号路から6号路、そして稲荷山コースと呼ばれるルートなど選択肢が複数あるのですが、今回は稲荷山コースで登り、1号路を下ることにしました。 1か月以上前から予定していたので、まずは天気が心配でしたが、関東はまだ梅雨入り前、晴天に恵まれ最高の滑り出しです！　現在所属する11名のメンバーのうち、都合がついた9名が今回参加しました。さぁ、出発です！京王・高尾山口駅にまずは8名が時間通りに集合し、出発です。（1名は前日の残業の影響で遅れるため、山頂合流となりました）装備や服装もさまざまです。（インディ・ジョーンズと街歩き？　という組み合わせ）稲荷山コースは、ほぼ未舗装で、木の根が出ているところや丸太の階段など、足元が不安定な道が続きます。登り始めから急な階段などでいきなり足に負荷がかかりますが、ゆっくりと慣らしつつ、皆でしゃべりながら登ります。あずま屋がある展望台に到着して一服。ここまで約30分かけて登ってきました。水分補給とちょっとしたお菓子をつまみながら、八王子や、遠くには新宿のビル群を望みます。森林浴でリフレッシュ！　そして最後の難関が再び登り始めると、しばらくは尾根道で林間のなだらかな道を歩きます。この辺りに来ると、さまざまな鳥のさえずりが耳に入ってきて、空気も美味しく感じられました。また、緑あふれる空間に、普段PCばかり見ているメンバーは思わず「癒される……」とつぶやいていました。気持ちの良い木陰の道を抜けると、急な階段が目の前に現れます。この200段を登らねば山頂には到達できません。「ゆっくりと自分のぺースで登ろうね」と言った矢先、トレイルランナーである部長と元陸上部の新卒男子は、我先にと駆け上がっていってしまいました……。ともあれ、全員無事に登頂！山頂に到着～下山は楽しく観光客・登山客でにぎわう山頂で、もう1人のメンバーと合流。残念ながら雲が多くて富士山は見えませんでしたが、全員で記念撮影です。今回、登山部のロゴをクリエイティブUX部が作成してくれたので、パネルにして持参しました。やる気が出ますね！予定より早く登ってこられたのと、まだそれほど空腹ではないということで、お昼ご飯はちょっと我慢して、それぞれアイスやフランクフルトなどを茶屋で購入してかぶりつきました。下山はケーブルカー駅にもつながる1号路を選択し、寄り道・食べ歩き推奨で楽しみながら下ります。1号路は舗装されているので、おしゃべりに夢中でも足元は安心です。薬王院の本社・本殿でそれぞれお参り。厄除開運の「願叶輪潜（ねがいかなうわくぐり）」には皆で並んでくぐってきました。ご利益があると良いですね。茶屋を見つけた途端に、空腹を感じるのはなぜでしょう……。思い思いに買い物をして、立ったまま味わいます。冷やしキュウリに味噌田楽……美味しかったです！顔出しパネルもあったので、ちゃんとやってきました。開運ひっぱり蛸に群がるメンバー。 1号路は土産物屋でにぎわうケーブルカーの駅を過ぎると、ひたすら急な下り坂です。疲労した足にかなりの負荷がかかりますが、あと2kmほどと頑張りました。全員無事に下山～登山後のお楽しみ全員が無事に下山し、名物のお蕎麦で昼ごはん。風呂上りではありませんが、何人かはフライングで生ビールを頼んでしまいました。大変美味しかったです！食後には高尾山口駅すぐにできた「京王高尾山温泉/極楽湯」で汗を流しました。この後、まだまだ陽は高い15時過ぎでしたが、8名で打ち上げになだれ込みました。打ち上げは3時間近く盛り上がってしまいました。早起きして登山をして、一日がとても長く感じる充実した休日になりました。メンバーからは早くも「次はいつ？」「どこへ登るの？」と質問や要望の声が上がり、次を早く計画せねば！　と思っています。トライベック「登山部」では、初心者でも楽しめて、心身ともにリフレッシュできる活動をこれからも続けていきます！...

マーケティング

2018年6月4日

Webサイト運用あるある：「更新の依頼方法が分からない」編

こんにちは！ Web運用ディレクターのY氏です。日頃のWebサイト運用更新でよく発生する状況を「Webサイト運用あるある」として取り上げ、より安定した運用を継続するためのポイントをご紹介します。今回のテーマは「更新の依頼方法」です。下記のような経験をされたことはありませんか？ Webサイトの更新依頼をしたいが、何をどう伝えれば良いか分からない Webサイトの更新依頼を受けたが、どのページのどこをどう更新すれば良いか分からない Webサイト運用更新には“つきもの”と言えるほどよく発生する状況ですが、更新を依頼する側（以下、依頼者）もされる側（以下、作業者）も、できるだけ円滑に更新を進めたいという気持ちは同じです。しかし、依頼内容が複雑になればなるほど、誤認や手戻りのリスクが増えてしまい、スムーズに進行することが難しくなります。今回は、Webサイトの更新を依頼する際のポイントをご紹介します。作業者が“完成イメージを正しく理解できる”形で依頼する依頼の形式や書式に決まりはありませんが、「どのページがどう更新されればよいか」を作業者が正しく理解できるように、依頼者が“必要な情報を揃えて依頼”することがとても重要です。更新ページ数が多い場合やページの内容を大幅に変える場合など、複雑な依頼を行うときは、メールなどで概要を連絡しつつ補足資料としてWord、Excel、PowerPoint などで作成した“指示書”や“テキスト原稿”などを添付すると良いでしょう。依頼内容には、最低限下記の要素を含めるようにします。更新対象ページのURL（複数ある場合は一覧表を添付）更新箇所（現状のページ内容をベースに変更箇所と変更内容を明記、複数ページの場合はページごとに記載）掲載するテキスト情報（必ずコピーペーストできる形で準備）リンク先のURLと遷移方法（同窓・別窓）の指定（リンクが複数ある場合は一覧表を添付）画像やPDFなど、掲載用の素材（画像はサイズを変更しても粗くならないよう、できるだけ大きいサイズで準備）このように依頼者が具体的な情報を揃えておくことで、作業者の誤認や依頼者への確認・手戻りが発生するリスクを減らすことができ、更新作業をスムーズに進行できます。ここで、分かりにくい更新依頼のパターンと、そこから得られる教訓をいくつかご紹介します。 “曖昧”な表現や、“ざっくり”とした指示はNG 例えば、作業対象ページを「○○のページ」というように具体的なURLを示さずに指定すると、作業者が似ているページを誤って修正してしまうことがあります。ページを指定するときは「○○のページ」ではなく、“具体的なURL”を伝えましょう。また、頻繁に行う更新をいつもの作業者に依頼する場合、「いつもの感じで」や「以下同文で」というように指示を省略してしまうことがあります。しかし、途中で作業者が変わった場合や、後から他の依頼者が同様の依頼をしようとしたときに、明確な指示内容が残っていないとスムーズに更新業務を引き継げません。依頼をした本人も時間が経ってから同じ作業を依頼しようとして「この時どういう風に依頼したかな」と後で確認するケースもあります。さまざまなケースを想定して、指示はできるだけ“明確に資料化”しておくことをおすすめします。発生頻度の高い作業は、“依頼時に使う資料そのものを定型化”しておき、資料作成の手間を省けるようにしておきましょう。ガイドラインやHTMLコーディングルールなどに則していない指示もNG 依頼時の情報や素材に不足がない場合でも、依頼内容そのものに不備があるケースがあります。よくあるのが、依頼内容がガイドラインなどの“ルールに準拠していないケース”です。例えば、ガイドラインでは赤色文字を禁止しているのに赤色文字を使うように指示している場合や、小見出しは太字で下線をつけないルールなのに「小見出しに下線をつけてほしい」という指示をしてしまうことがあります。「ルール通りだと目立たない」というときにありがちですが、ガイドラインやルールはサイト全体の体裁を保ち、サイトの機能やブランドイメージを保持しつつ、必要な情報がサイトの閲覧者の目に止まるように設計されているので、それらを無視して個別の体裁を指示しないようにしましょう。また、ガイドラインに既定されているパーツを使って指示をしている場合でも、例えば大見出しと小見出しを逆の体裁で入れるように指示するなど、“HTMLの構造を踏まえずに依頼してしまうケース”もあります。大見出しや小見出しはHTMLの構造に沿って適切に表示されるようCSSで制御しているケースがほとんどなので、HTMLの構造と異なる指示を受けると作業者は困惑します。依頼者はガイドラインやHTMLなどの“前提条件を最低限把握”した上で、“作業者が無理なく対応できるように依頼する”ことを心がけましょう。テキスト情報は必ず“コピー&ペーストできる形”で準備し、表記ルールも考慮例えば、依頼者が「修正後のテキストはこの画像と同じにしてください」というような指示をした場合、作業者は画像を見ながら文字を手入力することになり、作業が複雑化する上に間違えて入力してしまう可能性があります。また、依頼者が作業内容を確認する際も、コピー&ペーストでページ内検索を使って確認した方が、目視確認よりも早く正確にチェックできます。“依頼者・作業者双方にメリットがある”ので、テキスト情報は必ずコピー&ペーストできる形で準備しましょう。また、依頼者がテキスト情報を準備する際に、表記ルールに沿って原稿を作成することも大切です。作業者が表記ルールに沿ってテキスト情報を修正しながら更新することもできますが、作業者の工程が複雑化する上に、依頼者が確認時にコピー&ペーストによるページ内検索をしてもヒットしなくなってしまい、詳細な目視チェックが必須になってしまいます。全行程をスムーズに進めるためにも、“依頼者側で表記ルールに沿ったテキスト情報を準備”しましょう。図表やイラストなどのクリエイティブ素材の制作指示は、できるだけ“具体的”にクリエイティブ素材は表現の幅が広く、個人の感覚に依存するため、曖昧な指示で細かい部分を作業者まかせにしてしまうと、できあがったものが依頼者の意図から大きく外れてしまう可能性が高いです。「いい感じに」や「かっこよく」というような曖昧な指示ではなく、イメージやデザインコンセプト、使う文言や画像、配色、トーン&マナーなどを“できるだけ細かく指定して、修正箇所が少なくなるように依頼”しましょう。ラフイメージや似ている画像を“参考イメージとして添付”するのも効果的です。...

テクノロジー

2018年5月28日

どっちを選ぶ？　誰も教えてくれなかった意外な答え

EGセキュアソリューションズ　徳丸浩氏特別インタビュー　第4回（全4回）セキュリティを高めようとすると利便性が低下したり、コストがかかったりすることが多々あります。やった方がいいのはわかるけれども、問題なければ楽な方、安い方を選びたい、そう考えるのは当然だといえます。判断に迷ういろんなものをEGセキュアソリューションズ代表　徳丸浩氏、セキュリティエンジニア　岡本早和子氏に聞いてみました（聞き手：トライベック・ストラテジー　工藤友美）。レンタルサーバって意外と良い！？ li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kudou:after { display: block; content: '工藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } .columndetail .wysiwyg-body ul > li.kome2:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } --> Web健康診断を受ける費用もない、でもこれからサイトを立てなければならない、という場合はどうすればよいのでしょうかクラウドだと「自分で導入しない・作らない」ということが重要です。SaaS型のものを利用し、プログラムは入れない、コンテンツを入れるだけ、という割り切りですね。レンタルサーバや一部のVPSにはWAFが入っているものもあります。レンタルサーバとVPSの比較は難しいですが、お金がない前提であればレンタルサーバの方がお勧めです。ソフトウェアの導入もたいていやってくれますし、アップデートまではやらないものの注意喚起などもしてくれます。そういうこまやかな対応をしてくれるところを使うといいですね。世間的にはレンタルサーバはダメ、という印象があるようですが、しっかりしているところを選べば意外によいと思いますよ。レンタルサーバはPaaS相当なので、IaaS相当のVPSに比べるとセキュリティ作業は少なくて済みますから。 SaaS　Software as a Service。必要な機能をサービスとして利用できるようにしたソフトウェアまたはその提供形態。ソフトウェアを動作させるためのサーバを用意する必要がない VPS　Virtual Private Server。一台の物理サーバ上で動作する複数の仮想マシンを専用サーバとして個別に提供するサービス。自由度が高い割に安価レンタルサーバ　事業者によって管理される物理サーバを複数顧客で共有するサービス。顧客間の影響・不正利用を防ぐためユーザの権限は限定される PaaS　Platform as a Service。アプリケーションソフトが動作するためのプラットフォーム（ハードウェアやOS）をサービスとして提供するもの IaaS　Infrastructure as a Service。ハードウェアやネットワークなどのインフラを仮想化してサービスとして提供するもの。ユーザはその仮想マシン上にOSをインストールして利用するお勧めのレンタルサーバはどこですか？さくら……と言いたいところですが、レンタルサーバではWAFが今イチですね。せっかくいいWAFを使っているのに、チューニングが一切できないんですよ。どこですかね。過去やらかしているところはちょっとお勧めしづらいですし……KDDIウェブコミュニケーションズとか？ CMSを使いたいというように、はっきりとした目的があったときは最初からCMSが使えるようになっているもの、目的に沿ってApacheの設定がなされているようなところがいいのでしょうか。設定はレンタルサーバ事業者側にお任せ、という形になるわけですが。 CMS　Contents Management System。Webのコンテンツを管理するシステムで、一般的なブログツールに比べバージョン管理、承認フローなど企業利用に求められる機能が豊富 Apache　代表的なWebサーバプログラムのひとつそちらの方がいいですね。ただプラグインの確認は必要です。自動アップデートにしておくべきです。動作確認の前にアップデート、という運用でしょうか？乱暴だという意見もありますが、そうするしかないと私は思いますね。クラウドだとイメージ全体のスナップショットを取ることができますから、最悪切り戻しが可能です。今の攻撃のスピードを考えると普段は確認なんかせずにアップデートしろ、というのが私の意見です。動作確認に時間をかけるより、素早く切り戻しできる運用体制を構築すべき、ということですね。そうです。 SaaSよりももっと自由度が必要な場合はIaaSになると思いますが、気を付けるところはどこでしょうか。 IaaSの場合はOS、ミドルウェアのパッチ適用を自分でしなければいけませんが、それができないエンドユーザはそこをやってくれるベンダにお願いする必要があります。このあたりは曖昧になりがちなので契約の際に明確にしておくべきです。「ソフトウェアのアップデートは運用に入るんですか」というようなことですね。トライベックでは緊急度の高いパッチの適用を2人日/月を上限として実施、定期的なパッチの一斉適用を別途見積、というように明確に出しています。ベンダの方から適用が必要なパッチを知らせてくれるところがいいですね。言われたらやる、というベンダだとエンドユーザ側に知識と情報収集を強いることになります。そこをはっきりさせておくことはエンドユーザのためだけでなく、ベンダ側の免責にもなることです。パッチ適用がオプションとしてメニューにあった場合、それを買わなかったらエンドユーザの責任になるので明確化しておくことはいいことなんですけど、なぜかなあなあにしちゃうんですよね。コンペに勝ちたい一心なんでしょうけど。「RedHat」v.s.「CentOS」v.s.「Windows Server」 IaaSだとOSの選択肢がありますが、CentOSとRedHatにセキュリティ面の違いはありますか。 RedHat　RedHat社が販売・開発・サポートする有償のLinuxディストリビューション、RedHat Enterprise Linuxのこと CentOS　RedHat Enterprise Linuxとの完全互換を目指したフリーのLinuxディストリビューション現実的にはないんじゃないかと思ってますが、RedHatがほんのちょっとアップデートが早いかな。 RedHatの場合はELSがあるのに対し、CentOSは標準サポートで終了します。ただ、ELSはパッチが少ないですよね。それくらいなら標準サポートが切れる前にメジャーバージョンアップしてしまうのがいいんでしょうか。 ELS　RedHat Enterprise Linux Extended Life Cyle Support（延長ライフサイクルサポート）。標準サポート期間終了後に追加料金を支払うことで受けられる延長サポートそう思います。CentOSもRedHatもサポートは10年ですが、10年の後半はそもそも脆弱性があってもよっぽどクリティカルなものでない限り、あまりパッチが出てきません。なのでパッチが頻繁に出ている間に移行した方がいいと思います。ただ、それ言うとRedHatもCentOSもバージョン7が出てからかなり経ってますが、なんで8が出ないんだか（笑）。 WindowsとLinuxだとどうですか。長期的に利用するのであればWindowsはいい選択だと思います。マイクロソフトはパッチに対して非常に真面目ですので、サポート終了まできっちりパッチが出てきます。が、日本ではWindowsでサイト運用しているベンダが少なく、経験もあまりないのでそこは気を付ける必要があります。うちもWindowsは基本お断りしてますね。海外ではStack Overflowなど大手でも採用実績があるんですけどね。 Stack Overflow　プログラミング技術などに関する技術系ナレッジコミュニティサイトもう企業認証証明書なんていらない！？今は常時HTTPS化が必須となっていますが、その際に導入するサーバ証明書にもドメイン認証、企業認証、EV証明書と複数のグレードがあります、そこの選び方はプレミアムプラン・スタンダードプランを選ぶときのように「どこまでを求めるか」というところになってくるのでしょうか？サーバ証明書　ブラウザ・Webサーバ間の通信を暗号化するHTTPS通信において、サーバが正しいものであることを保証する証明書。正規の認証局によって発行されるドメイン認証　サーバ証明書の一種。当該ドメインの管理者によって申請されていることを保証する。簡易的な認証なので安価なものが多い企業認証　サーバ証明書の一種。当該ドメインを所有している企業が存在し、そこに在籍する担当者によって申請されたことを保証する EV認証　サーバ証明書の一種で実在認証ともいう。企業認証に加え、所在地の認証などより厳格な認証を行う。ブラウザのアドレスバーが緑色になり、運営組織が表示される私は割り切った考えをしています。つまり、EVかドメイン認証の二択。ユーザはいちいち証明書なんか見ないですよね。 EVはブラウザのアドレスバーに表示されるので目につきますけどね。そう、だからEVは意味がある。でも、EVでなければ企業認証なのかドメイン認証なのかなんて、ユーザにはわかりません。例のシマンテック騒動がありましたけど、シマンテックって旧ベリサインですよ。そこがダメって言われるんだったら、もうなにを信用すればいいのやら。だからドメイン認証で十分だと思いますね。シマンテック騒動　サーバ証明書発行最大手だったシマンテックの証明書発行プロセスに問題があるとして、Googleはシマンテックの発行した証明書を無効化すると発表した。その後、シマンテックはサーバ証明書事業をデジサートに譲渡しているベリサイン　かつてサーバ証明書の最高級ブランドのひとつだったが、2010年にシマンテックに売却されたうちもこの騒動には泣かされていて。シマンテックからデジサートへの移行がうまくいっていなかったのか、シマンテック傘下のRapidSSLが3か月ほど購入できずに困りました。 RapidSSL　現デジサートが販売する、安価なドメイン認証型証明書のひとつもうLet's Encryptでいいと思いますよ。私も個人用サイトはすべてLet's Encryptです。 Let's Encrypt　電子フロンティア財団、Mozilla Foundationなどによって創立された認証局。発行プロセスが完全自動化されており、ドメイン認証型証明書を無償で利用できる徳丸本改訂版の内容は……？さて、『体系的に学ぶ　安全なWebアプリケーションの作り方』、いわゆる徳丸本の改訂版を上梓されるとのこと、おめでとうございます。改訂版のポイントはどこでしょうか。徳丸本　『体系的に学ぶ　安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践（SBクリエイティブ）』のこと。Webアプリケーション開発者必読の書とされている元々はHTML5対応と謳うつもりだったんですが断念しました（笑）。WebAPIに対応したこと、それからJavaScript側の脆弱性も取り上げています。こちらはHTML５といってもいい内容です。そのほかXXE、デシリアライゼーションなどOWASP TOP10 2017への対応、それから脆弱性診断体験ができるものを用意しています。 OWASP TOP 10　OWASPが3～4年ごとに発表しているWebアプリケーションの脆弱性トップ10。カード決済業者向けの規格PCI DSSなどが参照しており、大きな影響力がある。OWASP TOP 10 2017はその2017年版 OWASP　The Open Web Application Security Project。Webアプリケーションのセキュアな開発の促進などを目的とした国際的なオープンソース・ソフトウェアコミュニティ XXE/デシリアライゼーション　OWASP TOP 10 2017で新たに追加された、脆弱性が懸念される仕組み脆弱性診断体験とはどういったものでしょうか。脆弱な診断対応アプリをおまけでつけます。それに対してOWASP ZAPの自動診断を体験してもらいます。それとOpenVASというフリーの脆弱性診断ツールをVMで用意しようとしていたんですけど、思ったほどの性能ではなくて、どうしたものかな、と。 OWASP ZAP　OWASPの開発した脆弱性検査ツール OpenVAS　オープンソースで開発されている脆弱性スキャナ発売はいつですか？ 6月です。お聞きしているとまだかなり作業が残っているように聞こえますが……。大体はできているんですよ。でも、どうして今日になって排他制御の話が出てくるかなあ（笑）。書きたい（笑）。 IPAのITパスポート試験における個人情報漏洩ですね。排他制御は2、3年に1回話題になるんですよ。日経の記事によると日立製作所だそうで、そのレベルの企業でもやってしまう、というのは驚きですね。ただ、基幹業務系をやっている人が排他制御をおろそかにすることは考えにくいですが、逆にWeb系の技術者だとありそうです。この話が盛り込まれるのかどうか含め、6月の発売を楽しみにしています。本日はどうもありがとうございました。本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。関連コラム第1回：気づかぬうちに暗号通貨を掘り出す攻撃者たち第2回：セキュリティ対策はどこまでやる？第3回：セキュリティ対策、最初の一歩は？関連リンクトライベック・セキュリティソリューション...

会社紹介・その他

2018年5月21日

The 社員インタビュー（2018年新卒メンバー）

トライベック・グループには、様々なキャリアをもったメンバーが在籍しています。Web業界で豊富な経験を積んできたメンバーはもちろん、全くの異業種からの転職や新卒入社など、バラエティに富んだメンバーが揃っています。当コラムではそんなメンバーをピックアップしてご紹介。 2018年春、トライベックには5名の新卒入社メンバーが新たに加わりました。トライベックへ入社を決めた理由や、働きはじめて感じた率直な感想を語ってもらいました。プロフィール（集合写真左から）野内春汰（ノウチシュンタ）大学院・農学研究科・林学専攻高木裕美（タカギヒロミ）文学部・人間関係学科宍戸亜里紗（シシドアリサ）経済学部・経済学科宍戸真穂（シシドチカホ）経済学部・経済学科佐藤清朗（サトウセイロウ）経済学部・経済学科 li { padding-left:5em; } .columndetail .wysiwyg-body ul > li.sato:after { display: block; content: '佐藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.arisa:after { display: block; content: '宍戸(亜)'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.chikaho:after { display: block; content: '宍戸(真)'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.takagi:after { display: block; content: '高木'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nouchi:after { display: block; content: '野内'; position: absolute; top: 0; left: 0; font-weight:bold; } --> 学生時代についてまずはじめに、みなさんの大学生活について教えてください。学生時代はどのようなことをされていたのでしょうか？私は、ゼミ活動、学外活動に打ち込んできました会計ゼミで企業の財務分析を行っていました。販売促進のアルバイトなども行っていました学業では社会調査士の資格を取るために、ゼミや実習に励んでいました。それ以外にも軽音などサークル活動や、年一回の被災地ボランティアに4年間参加と、いろいろ活動していましたよアルバイトに打ち込んでいました。コンサルティング部に所属することを念頭に置いていたので、卒業までの半年間、会話力や社交性を強化するため、接客業のアルバイトをしていました（笑）私は音楽鑑賞が趣味なので、プライベートでは好きなアーティストのライブをよく観に行っていました就職活動について就活全体を振り返って、どのような業界を中心に回っていたのでしょうか？ 2017年5月頃までは、金融業界をメインにしつつ、リサーチやシンクタンクという職種を軸にして探していました。Web/デジタルマーケティング業界に本格的に興味を持ち始めたのは、6月からです就活初期は、大学で学んでいた会計知識を活かせる事務やリース業界を見ていました。会計システムなどから派生してフィンテックに興味を持ち、2月頃からIT業界をまわり、5月頃からはWebやデジタルマーケティングに絞って就活をしていました企業訪問では業界を絞らずに4つの業界(マーケティング/食品/アパレル/広告)を訪問しました。その中で、マーケティング業界のコンサルタントという職業に興味を持ちましたみなさん様々な業界/企業をまわってゆくなかで、しだいにWeb/ デジタルマーケティングに興味を持たれたのですね。「トライベック」のことを知ったキッカケはどのようなものでしたか？リサーチ業界を検討していた時に、マイナビの検索でトライベックのことを知りましたマイナビで“デジタルマーケティング”を軸に企業探しをして巡り会いましたきっかけはマイナビのサイトです。業界の絞り込みをしたときにたまたま見つけました。トライベックの会社説明会に参加し、社長のプレゼン力に感銘を受けて、この会社で働きたい!と考えるようになりました数ある企業の中からトライベックへエントリーをして、入社を決断した理由は、どのようなものでしたか？説明会でオウンドメディアの面白さを知ることができたからです。面接で嘘をつかずに素の自分で語ることができた会社だったというのも大きいですね決断に至った1番の理由は、後藤社長についていきたいと思ったためです。入社したいと考えた理由の中には、目指す方向が同じということ等もありますが、“この人についていきたい！”という直感も大事なのかもしれません会社説明会で後藤社長の話を聞いて、デジタルマーケティングの中心としてのオウンドメディアというものに魅力を感じたからですねトライベックの企業方針に共感したからです。“伝わる”コミュニケーションは非常に難しいことだと学生時代に感じていました。もっと“伝わる”を身に着けたいと考え、トライベックへ入社を決断しました実際に説明会で後藤社長のプレゼンを聞いて、“自分も企業ブランド向上の役に立ちたい！”と思ったからです。また社員の方々の丁寧な対応に感銘を受けたからですトライベックに入社して 4月にトライベックに入社されてから、研修/OJTを重ねることで業務の具体的なイメージが湧いてきたと思います。入社前に抱いていたイメージとのギャップはありましたか？社会人になる前は、仕事はユーザーの立場に立って施策を練るものと考えておりました。しかし研修を通して、ユーザーだけでなく、そのサービスを提供する企業や関係者など様々な立場にたって考慮し、解決策を提案しなければならないと学び気づくことができました入社前は、デジタルの会社なのですべてツールやソフトで仕事すると思っていました。しかし実際の業務では、ユーザー視点を重視するため、人の目で1つ1つ確認する診断があるなど、デジタルという道具に頼りすぎない点が良い意味でギャップでしたね入社前は、一人でする仕事が多いのではないかとイメージしていました。しかし、実際にはチームのメンバーで協力し、自分の意見を発する場面が多いと思いました。若手の意見であっても、きちんと物事を考えれば理解してもらえる環境だと思います研修で先輩に接する機会が多くありますが、先輩の仕事に対する姿勢/印象はどのようなものですか？ “ひとの気持ちを大切にする”という姿勢は、トライベック全社員に共通していると思います。顧客やユーザー、パートナー、社員など、徹底的にその人の視点に立って、物事に取り組む姿勢は印象に残りました良い意味で“仕事へのこだわり”を持っている方が多いですね。トライベックだけの視点ではなく、常にお客様にとってベストが何か考えている方が多いと思います皆さん活気づいて仕事をしていると感じました。トライベックは会議室が外から見える構造になっているのですが、部署やポジションに関係なく、意見を活発に交換しているので、こうやってお客様にとってより良いものを常に追及しているのだと感じます現在は研修で様々なことを学んでいる最中ですが、印象的な研修はありましたか？データドリブンマーケティング部の研修が印象的でした。トライベックが提供するコンテンツをどう活用するのかという演習があり、業務の内容を理解するだけでなく、実際の施策提案のデモンストレーションが非常に難しかったですが、勉強になりましたデータドリブンマーケティング部の研修では、マーケティングオートメーションツールのHIRAMEKIを使い、実習や課題演習を行いました。想像以上に実践的な内容が多く、勉強になりました UX/UIの研修が印象に残っています。プレゼンやワークがあり、研修が終わると自然と内容が理解できるといったものでした。“学ぶ”だけではなく、“感じる”という表現が合っている研修ですオウンドメディアの診断を行う研修です。徹底的なユーザー視点で診断を行い、Webサイトを見る視点が今までと180度変わりました今後、トライベックで本格的に社会人として経験を積んでいくにあたって、どのようなことにチャレンジしてみたいですか？私は、トライベックに入社したからには、常にお客様の視点を持った人間になりたいですねまずは、ユーザビリティ診断とレポーティングを確実に出来るようになりたいと考えています。いずれはコンサルだけでなく、調査・分析の仕事にも携わってみたいと思っていますまずは目の前の仕事に目的意識を持って取り組み、将来的にはオンラインのオウンドメディアに加えて、オフラインも含めてユーザーの行動をデザインしてみたいですねお客様から、“この人がいるからトライベックにしよう”と思っていただけるような人材になりたいです。研修を通して、理解する力・伝える力・寄り添う力が本当に大切な職場であると、改めて感じました。一つ一つ地道に繰り返すことで、最終的に叶うと信じ業務に携わりたいと考えています私は将来、デジタルが浸透していない地方のデジタルマーケティングを支援したいと考えています。そのために、自分はどうステップを踏んでいけばよいかを常に意識しながら、業務に取り組みたいと思います就活中の学生の皆さんへ最後にお聞きしたいのですが、今、就職活動を行っている学生みなさんに「トライベックの魅力」を伝えるとしたらどのような点でしょうか？トライベックには、“ひとにやさしく”というマインドセットがあります。これは業務においてだけではなく、社員間にもあるので、魅力的ですよトライベックのイメージは、“人にやさしい”と“ジブンゴト化”で表せると思います。これらが社内で意識されているため、個性を発揮しながら成長できる環境だと思いますよトライベックは、自分の得意分野を伸ばし、様々な領域で活躍のチャンスがあります。社内は部署同士の連携も多く、風通しの良い職場なので、業務中だけでなく休憩時間や部活動でも関われる機会があるのも魅力ですよ若手の先輩方が多く、年齢/性別に関係なくチームの中で重要なポジションを担って活躍しています。刺激を受けながら、成長できる会社だと思いますよ。クライアントも大手から中小企業まで幅広いので、これからの日本の企業のデジタルマーケティングに関わっているという実感を持って仕事ができますトライベックでは、物事を多面的にとらえる力が身につきます。トライベックの業務は、生活者・企業・取引先の担当者など、多様な立場に立つ人のことを考察しながら行います。最初は、一度に多様な立場に立つことは非常に難しく感じるかもしれませんが、心配はいりません。研修やOJTを通して先輩が懇切丁寧に教えてくれるので、自然とたくさんの“気づき”を得ることができます。自分の視野を広げ、“人に貢献したい”と考えている方であれば、トライベックで自己実現が叶うのではないかと考えます関連リンク新卒採用...

テクノロジー

2018年5月14日

セキュリティ対策、最初の一歩は？

EGセキュアソリューションズ　徳丸浩氏特別インタビュー　第3回（全4回）セキュリティ対策の第一歩として現状把握のためにスタンダードプランを行うのがよいとのことでした。しかし、スタンダードプランの費用をすぐには捻出できない場合もあります。そういった場合はどうすればよいのでしょうか。EGセキュアソリューションズ代表　徳丸浩氏、セキュリティエンジニア　岡本早和子氏に伺いました（聞き手：トライベック・ストラテジー　工藤友美）。 Web健康診断 li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kudou:after { display: block; content: '工藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } .columndetail .wysiwyg-body ul > li.kome2:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } --> 今回、新たにメニューに追加されたWeb健康診断は安価で短納期と、今までなにもしてこなかったところがとっかかりとするのによいと思いますがどうでしょうか。そうですね、健康診断というくらいですから状況把握に使われる診断メニューですし、低予算でやりたい、というところにはお勧めです。 Web健康診断の基準はEGセキュアソリューションズで作ったものなんですか？元々はLASDEC（現J-LIS）の依頼で私が作ったものです。そこで地方公共団体のセキュリティ対策を大規模にやったことがあるのですが、サイト数が多いので1サイトあたりの費用は低額でなければなりませんでした。また、入札でベンダを選ぶことになりますので、均質な診断のための基準として作りました。その後、LASDECだと長期的な維持が難しいため、IPAに移管されました。『安全なウェブサイトの作り方』と整合するように作られています。 LASDEC　地方自治情報センター。自治体の行政情報化などを推進する団体。2014年にJ-LISに組織変更された J-LIS　地方公共団体情報システム機構。個人番号（マイナンバー）カードの作成などを行っている LASDEC時代からカウントするとどれくらいの診断実績がありますか。正確な数字はわかりませんが、数千のオーダーになりますね。もちろん、診断を行ったのは弊社だけではありませんが。現在もWeb健康診断を申し込まれる方は多いのでしょうか。今はお客様からWeb健康診断を指定されることはそれほど多くありませんが、お問い合わせに対してこちらからお勧めする場合もあります。例えば、我々の繁忙期で大規模の診断は難しいが、ユーザとしては手が空くまで待てない、なるべく早く手を打ちたい、という場合などです。そういうときにはいったん状況を把握し、次の一手を検討するための最初のとっかかりとして、短納期で安価なWeb健康診断をお勧めしています。もっとも、Web健康診断をやって終わりというケースはあまりありませんが。まずWeb健康診断を行って素早く状況を把握、その結果を見て必要な診断・対策を判断するわけですね。はい。Web健康診断の結果が良ければ緊急度は低くなります。逆に、その時点でボロボロであれば早急に手当てが必要です。スタンダードプランだと結果が出るまでに時間がかかりますので、「すぐに対応が必要かどうか」を素早く見極めるにはWeb健康診断は有用です。では、今年のWeb健康診断で問題が指摘されなかった場合、来年もWeb健康診断をやる意味はありますか。あまり意味はないですね。もっとも、Web健康診断は抜き取り診断なので、違うページを診断すれば多少の意味はあります。続けて依頼されたときにはそこは考慮しますが、次年以降は基本診断以上がよいですね。予算的に全ページを一気に診断することは難しいということもあるかと思います。Web健康診断で大きな問題は出なかった場合、数年かけて全ページにスタンダード診断をかける、というようなやり方でもよいのでしょうか。はい。しかし、できれば早めに全部やった方がいいです。あるページに脆弱性があった場合、そのページにある情報ではなく、サーバに保存されている情報が洩れることが多いという怖さがあるからです。それでも、やらないよりはやった方がはるかにいいですね。 0か100ではなく、できるなら10でも20でもやったほうがよい、ということですね。そうです。どれをやればいいか悩んでいるときにはまず、トライベックにご相談いただければと思います。予算の中で最適なプランをご提示します。また、Web健康診断を通してサイトの規模もわかるので、それを踏まえて適切なプランを提示することもできます。選んではいけないWAFもある！？なにも対策をしてないのであればまず、WAFを入れる、という手もありますね。 WAF　Web Application Firewall。Webサイトとの通信の中に攻撃コードが含まれていないかをチェックし、自動的に遮断するセキュリティソフト/機器しかしWAFにもいろいろな種類があって、中には「これはどうなんだろうか」というのもあります。徳丸さんとしてはアレはどうですか？ああ、表向きには言ってませんがアレはどうかと思いますねえ。徳丸のお墨付き、という営業をしていると漏れ聞こえてくるんですが「そんなことは言ってません」とリリースを打つわけにもいかず（笑）。「どうなんだろう」という理由はなんでしょうか。まずはアーキテクチャですね。仕組み上、一度は攻撃を許してしまうわけなので。原理的にIPアドレスを毎回変えて攻撃すれば止められません。攻撃……されたら……遮断、という仕組みですね。それと体制的に弱いですね。WAFをやっているところは素早く対応できるようにそれぞれの専門家がいるものなんですが、そこがどうにも弱くて。Struts2の有名な脆弱性も対応するのに1週間くらいかかっていました。ただ営業力はすごいのでいろんなところに入っています。 UDPで送ったログをサーバ側で判定する、という仕組みなので、極論するとサーバが止まっていても利用者からは判断しようがないんですよね。 UDP　ネットワーク通信方式のひとつ。軽量である反面、データが届かなくてもエラーにならないそうですね。サーバが止まっていたらなにもしないですね。 WAFによって脆弱性に対する対応の速度、そもそも対応するかどうかの判断など結構違いますが、お勧めはどこでしょうか。SiteGuardでしょうか。（笑）弊社のお勧めとしてはそうですね。 EGセキュアソリューションズはSiteGuardの代理店を行っている SiteGuard　ジェイピー・セキュアが開発・販売する国産WAF。通信経路上に設置するSiteGuardとWebサーバに設置するSiteGuard Liteがあるあとはアレですね。SiteGuardのライバルになるので表立っては言えませんが、アレはすごいです。さすがKNTKさん、です。アレ　トライベック・ストラテジーでも導入実績のある国産のSaaS型WAF 日本を代表するWAF技術者の方ですよね。そう言っていいと思います。そのほかにもホスティング事業者がオプションで用意しているWAFもあります。チューニングできないという制約があったりはしますが、無料だったり、設定も簡単だったりするのでなにもしていない、予算も少ない、というところではWAFを入れ、時間稼ぎをしたうえで診断をしてもらうのが現実的かもしれません。【今回のポイント】予算が少ない場合は「Web健康診断」をとりあえずWAFを導入するという手もあり WAFの選定は慎重に最終回の次回は、どちらがいいのか判断に迷ういろんなものをズバリ、徳丸氏にお聞きします。本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。関連コラム第1回：気づかぬうちに暗号通貨を掘り出す攻撃者たち第2回：セキュリティ対策はどこまでやる？第4回：どっちを選ぶ？　誰も教えてくれなかった意外な答え関連リンクトライベック・セキュリティソリューション...