NRI OSSソリューションマガジン(メールマガジン)


=======================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。

                      2017.7.26発行   Vol.121
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

<Fintech以外の活用領域へ!突入したブロックチェーン3.0時代>

最近、暑くなってきました。そしてオープンソース市場も熱くなってきましたね。
今年開催されたOpen Source Summit Japan 2017も内容が熱かった。
お腹いっぱいになりました。

今回のメルマガでは、ここ最近の「ブロックチェーン」に関する動きをお話しさせていた
だきます。

Fintechの国内市場は2021年には808億円と予測されており、ますます市場が活発になって
きています。

NRIジャーナルの記事「進化するFinTech」では、FintechをFintech1.0からFintech4.0の
4段階に分割整理しています。
個人的な意見としてインターネット上のニュースから捉えた感覚では、現在はFintech3.0
に取り組む企業が多いのかもしれません。

(参考)
NRIジャーナル「進化するFinTech」
https://www.nri.com/jp/journal/2016/10/161031_2/

このFintechの取り組みには、どのような技術が必要なのでしょうか?
その答えは、野村総合研究所(NRI)が発行する「ITソリューションフロンティア
(2016年8月号)」の「特集:Fintechを支える二つの技術」を読んでいただければご
理解をいただけると思います。

(参考)
ITソリューションフロンティア(2016年8月号)「特集:Fintechを支える二つの技術」
https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF1608.pdf

それでは二つの技術の一つである「ブロックチェーン」について少しお話をさせていた
だきます。
(前置きが長くてすみません)

「ブロックチェーン」とは、P2Pネットワーク上で台帳情報を分散管理する技術」です。
仮想通貨ビットコインを支える技術として登場したもので、分散台帳とも呼ばれます。
インターネットのような信頼のおけないネットワーク上で、全てのコンピュータ(ノード)が、
それぞれに台帳を保有し、あるノードが価値の移転を自身の台帳へ記録すると、
その記録が全てのノードで検証されて台帳へ反映される仕組みです。

よく間違われるのですが、分散データベースとブロックチェーンは似て非なるものです。

分散データベースでは、プライマリコントローラ的なサーバが存在しますが、
ブロックチェーンには存在しません。
ブロックチェーンでは、データ確定(コミット)は「コンセンサスアルゴリズム」に
よって確定されるため、コントローラを必要としないのです。
それに性能に関しても、サーバもしくはノード数を増やすと性能が向上する分散データ
ベースとは違い、ブロックチェーンにそれはありません。

ブロックチェーンには、偽装防止のための強い改竄耐性がありデータの信頼性が確保さ
れます。

このデータの信頼性に着目し、Fintech以外の領域への応用がはじまっているのをご存知
でしょうか?

前述の「特集:Fintechを支える二つの技術」でも、ブロックチェーン技術の各業種への
適用を紹介しています。
例えば、公共分野では選挙投票やマイナンバーなどの重要データ、医療分野ではDNAや
病歴などの個人データなどにも応用できます。
最近のニュースでは、パルコがブロックチェーンを活用した宅配ボックスサービスを
発表しました。

このブロックチェーン技術活用の広がりに合わせて、NRIセキュアテクノロジーズ株式会社
では日本初の「ブロックチェーン診断」サービスを開始しました。

プレスリリース:日本初、「ブロックチェーン診断」サービスを開始(NRIセキュアテクノロジーズ株式会社)
http://www.nri.com/Home/jp/news/2017/170704_1.aspx

また、ブロックチェーン技術にはオープンソースの活用は不可欠です。
NRI OpenStandiaではブロックチェーン関連のOSSサポートは、現時点では提供していません
が、代表的なオープンソースソフトウェアを紹介しておきます。

★Linux FoundationのHyperledgerプロジェクト
Hyperledgerファミリー
https://www.hyperledger.org/
 Hyperledger fabric - IBM社が開発をしていたOpenBlockChainを、Hyperledger
            プロジェクトに提供。IBM社はEnterprise版を提供。
 Hyperledger Iroha - 日本のスタートアップ企業の”ソラミツ”が開発し、
            Hyperledgerプロジェクトに提供。
 Hyperledger Sawtooth - Intel社が開発していたものをHyperledgerプロジェクトに提供。
 Hyperledger Indy - 元はEvernym社によって開発されたIndyは国際非営利団体の
            ソブリン財団に渡り、さらにHyperledgerプロジェクトに提供された。
 Hyperledger Burrow - MonaxからHyperledgerプロジェクトに提供された。Ethereum仕様に従って実行。

★その他
MultiChain - プライベート型ブロックチェーンプラットフォームで、ビットコインと下位互換性があります。
http://www.multichain.com/

Ethereum(イーサリアム) - Bitcoinのように「ether」という内部通貨をもつ。
https://www.ethereum.org/

NEM(mijin) - Java、JavaScriptを使って新しく開発された暗号通貨プラットフォームです。
http://openstandia.jp/oss_info/nem/

今後もブロックチェーン技術の活用領域の広がりを感じつつ、NRI OpenStandiaでは、
有用な情報を順次発信していきます。

今月号のメルマガもよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート
・IoT時代の注目フレームワーク「mruby」を更新

2.今月のOSS紹介サイト アクセスランキング TOP10

3.今月注目の「バグ&セキュリティ情報」
Apache Struts2にリモートからコード実行が可能な新たな脆弱性 

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート(新規:1件、更新:6件)
 
 (新規)
 Ceph (http://openstandia.jp/oss_info/ceph/)
 
 (更新)
nginx (http://openstandia.jp/oss_info/nginx/)
Apache http server (http://openstandia.jp/oss_info/apache/)
ionic (http://openstandia.jp/oss_info/ionic/)
WordPress (http://openstandia.jp/oss_info/wordpress/)
mruby (http://openstandia.jp/oss_info/mruby/)
ApacheCamel (http://openstandia.jp/oss_info/apachecamel/)
 
※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介
		
→	1位	(1位)	MySQL	(http://openstandia.jp//oss_info/mysql/)
→	2位	(2位)	CentOS	(http://openstandia.jp//oss_info/centos/)
→	3位	(3位)	Tomcat	(http://openstandia.jp//oss_info/tomcat/)
→	4位	(4位)	Apache http server	(http://openstandia.jp//oss_info/apache/)
→	5位	(5位)	php	(http://openstandia.jp//oss_info/php/)
→	6位	(6位)	OpenAM	(http://openstandia.jp//oss_info/openam/)
→	7位	(7位)	Spring	(http://openstandia.jp//oss_info/spring/)
↑	8位	(11位)	Struts	(http://openstandia.jp/oss_info/struts/)
→	9位	(9位)	PostgreSQL	(http://openstandia.jp//oss_info/postgresql/)
↓	10位	(8位)	Ruby on Rails	(http://openstandia.jp/oss_info/rubyonrails/)
※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
http://openstandia.jp/oss_info/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】Apache Struts2にリモートからコード実行が可能な新たな脆弱性 
=========================================================
Java EE の Web アプリケーションフレームワークである Apache Struts2の
Struts 1 plugin のサンプルアプリケーションにおいて、実装の問題による
セキュリティホールが発見された。
このセキュリティホールを利用された場合、Web アプリケーションへ細工された
リクエストを送信されることによって、任意のコードを実行される可能性がある。

これはStruts1 plugin のサンプルアプリケーションの実装において、
ActionMessage クラスの引数として外部から入力された値をそのまま使用して
いることが原因である。

なお Struts1 plugin を使用し、サンプルアプリケーションと同様の実装を
行っているWebアプリケーションも影響を受ける。

既に本セキュリティホールの実証コードが公開されており、早期に対応を検討する
必要がある。

本セキュリティホールの影響を受ける環境は下記である。

・Apache Struts
  2.3.x

Apache Struts 2.3.33 でサンプルアプリケーションは修正されているが、
サンプルアプリケーションを参考にしている独自のアプリケーションについては個別に
下記のような修正が必要となる。

・Struts 1 plugin を利用するアプリケーションは、外部から入力された値をそのまま
 ActionMessage へ渡さないように修正する

 修正例
  前: messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));
  後: messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

【参考】
・Common Vulnerabilities and Exposures (CVE)
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791
 CVE-2017-9791

・Apache Struts 2 Documentation
 http://struts.apache.org/docs/s2-048.html
 S2-048 Possible RCE in the Struts Showcase app in the Struts 1 plugin example in Struts 2.3.x series

=========================================================
 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO