NRI OSSソリューションマガジン(メールマガジン)

                       2015.11.25発行   Vol.101
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

《今後も重要課題である統合認証基盤とOSSサポート》

2015年も残すところあと僅かであるが、様々な調査では早々と2016年における
IT市場動向予測が発表されはじめています。時代の流れか「物理サーバ」に関する
予測は厳しく、クラウドなどのITサービスに対しては成長が見込まれています。
企業の課題については、「IT基盤の統合」「セキュリティ関連」などは、相変わ
らず上位を占めています。
それを証明するかのように、お客様からOpenStandiaへのご相談も統合認証基盤で
ある「OpenAM」や、オープンソースソフトウェアの脆弱性対策への相談が多く
きています。

こうした背景から、11月26日(明日)にコムチュア株式会社で開催される
「マイナンバー制度と企業情報システムの現状と課題」にOpenStandiaが講演する
事となりました。
まだ若干の残席があり、まだ申し込みはできるそうです。

■セミナーの情報
1)「オープンソースソフトェアの動向」
2)「OSSのセキュリティ脆弱性の課題と対応」
3)「導入が加速!認証基盤が企業にもたらす効果 」
詳細:http://openstandia.jp/event/event20151126.html?mm=101_01

すでにオープンソースソフトウェアの活用は避けられない状況となっており、
2020年には「主役はオープンソースソフトウェア」という声さえ上がっています。

企業がオープンソースソフトウェアの活用を行うために、高品質なオープンソフト
ウェア選定から責任あるサポート&サービスをNRI OpenStandiaは提供しています。

今月号のメルマガもどうぞよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート

2.最新イベント情報!
11/26 開催
【ご来場者全員に朝日新聞にて紹介されたマイナンバー関連書籍3冊をプレゼント!】
 今さら聞けないマイナンバー制度と企業情報システムの現状と課題
 ーマイナンバー書籍の執筆者が講演致します ー

3.今月注目の「バグ&セキュリティ情報」
Spring Framework4.1.x、4.0.x、4.2.3未満の4.2.xに任意のコードが実行される脆弱性

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
今月のアップデートはありません。
※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.最新イベント情報!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
┌──────────────────────────────────
│(残席僅か)
│【ご来場者全員に朝日新聞にて紹介されたマイナンバー関連書籍3冊をプレゼント!】
│ 今さら聞けないマイナンバー制度と企業情報システムの現状と課題
│ --- マイナンバー書籍の執筆者が講演致します ---
└──────────────────────────────────
 現代社会は、識別子(ID:Identifier)に紐づいた大量の属性情報が連携され、
 その情報を収集・管理・分析・活用した事業活動を行うことにより、
 企業は事業の付加価値向上を図り、激しい企業間競争を生き抜こうとしています。
 いわゆるビッグデータ時代の到来となります。

 そんな中で、本年10月5日にマイナンバー制度が施行されました。
 マイナンバーとは、国が国民全員に対して、税・社会保障分野をはじめとして、
 将来的には幅広い分野に渡って、一生涯使用する識別子となり、
 プライバシー保護の観点からもセキュリティ確保が重要なテーマです。

 一方で、企業の情報システムにおいては、オープンソースを使用したシステム
  構築が常識であり、実は、企業の情報システム部門に知らされず、オープンソ
  ースを使用しているケースが増えています。オープンソースのセキュリティホ
  ールが発覚しても、自社の情報システム内のどこで使用しているかが把握でき
  ず、セキュリティホールが野放しとなる状態が問題となってきています。

 本セミナーでは、ビックデータ時代、マイナンバー時代、オープンソース時代
  を迎えた中で、企業の情報システムが何を考えてマネジメントしなければいけ
  ないのか、今さら聞けないその勘所について解説させて頂きます。

日時:2015年11月26日(木)  14:00~17:00 (受付開始 13:45)
会場:コムチュア株式会社 
 東京都品川区大崎1-11-2ゲートシティ大崎イーストタワー9F 大会議室

費用:無料
定員:30名 (事前登録制)
※ご来場者全員に朝日新聞にて紹介されたマイナンバー関連書籍3冊をプレゼント!

参加申し込み
http://openstandia.jp/event/event20151126.html?mm=101_02

講演内容:
14:00-14:10 ご挨拶
  コムチュアネットワーク株式会社 常務取締役 八木 晃二

14:10-15:30 マイナンバー制度について
  株式会社野村総合研究所 制度戦略研究室長 梅屋 真一郎

15:30-15:40 休憩

15:40-17:00 企業が求められる安全管理措置に対応するには
       1.企業の情報システムにおける現状
      コムチュア株式会社 部長 古畑 稔 
       2.オープンソースの動向
      株式会社野村総合研究所 上級テクニカルエンジニア 田中 穣
     3.OSSセキュリティ脆弱性の課題と対応
    ブラック・ダック・ソフトウェア株式会社 テクニカルセールスマネージャー
                             清水 直幸
       4.導入が加速!認証基盤が企業にもたらす効果 (利便性向上、運用コスト削減、
     セキュリティ/内部統制強化)
      株式会社野村総合研究所 上級テクニカルエンジニア 和田 広之

▼イベントの詳細、お申し込み
http://openstandia.jp/event/event20151126.html?mm=101_02

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■

■影響ソフトウェア:Spring Framework4.1.x、4.0.x、4.2.3未満の4.2.x

Spring Frameworkに脆弱性が存在することが判明した。

このセキュリティホールにより、Spring Frameworkを使って開発されたアプリ
ケーションで細工されたシリアル化オブジェクト受け取ることによって、任意
のコードを実行されてしまう可能性がある。

具体的には、Spring FrameworkのSerializableTypeWrapper.MethodInvoke
TypeProviderの処理において、シリアル化オブジェクトをデシリアライズ
する際に適切な処理を行っていないためである。

※この脆弱性は、CVE-2015-4852で報告されているWeblogicの脆弱性や、
CVE-2015-3253で報告されているGroovyの脆弱性などと同様の影響を受ける。

脆弱性の対象は、Spring Framework4.1.x、4.0.x、4.2.3未満の4.2.x、である。

Spring Frameworkを利用して作成されたシステムの管理者においては、本脆弱性
の修正を含む4.1.9、4.2.3へのバージョンアップを検討されるか、
信頼できる相手から受け取ったデータのみをデシリアライズする、あるいは検証
を行うようにアプリを実装されたい。


【参考】
■SerializableTypeWrapper.MethodInvokeTypeProvider can be exploited for
unsafe deserialization
https://jira.spring.io/browse/SPR-13656

■Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/


※「バグ&セキュリティ情報」はメールマガジンでは概要のみ掲載します。
 OpenStandia年間サポートを契約を頂いたお客様には「バグ&セキュリティ
 情報」の配信しております。
 この「バグ&セキュリティ情報」配信サービスには対策方法も記載されます。

OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html?mm=101_03
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO