2014.07.23発行 Vol.83 ─────────────────────────────────── ◆◇ NRI OSSソリューションマガジン ─────────────────────────────────── こんにちは。 OpenStandiaマーケティング担当の私市(きさいち)です。 梅雨明けとともに、本格的な夏の到来ですね。 暑さに負けず、頑張ってまいりましょう! 今月は、社会的ニュースになっている「情報漏洩」に関連した 「オープンソースでできる、不正アクセス対策」と題したコラムです。 2013年度の情報セキュリティインシデントに関する調査報告では 「インシデント・トップ10を『情報通信業・不正アクセス』が占めています。 特に、Webサービス事業者の方には不正アクセス対策として 「認証」の強化を早急にご検討いただきたいと思います。 「今すぐできる!Apache Struts1.xの脆弱性対策」は まだ対策を実施していない方は必見ですよ! 7月からの新セミナーも好評につき、引き続き9月まで開催が決まっています。 イベント情報もご覧ください。 それでは、今月号のメルマガもどうぞよろしくお願いします。 ============= ■目次 ============= 1.What's New ◆今すぐできる!「Apache Struts1.x」脆弱性対策 ◆「OSS開発合宿」レポートがThink ITに掲載されました 2.最新イベント情報! (1)7/25 グローバル企業向けIT活用セミナー ~オープンソースを使ったグローバル統合認証基盤とERP、ファイル共有、BI~ (2)8/ 8 複雑な人事発令対応をオープンソースで解決!! 人事発令とシステム連携をさせる「従業員ID管理とシングルサインオン」とは (3)8/21 シングルサインオンとID管理を実現する OpenAM&OpenIDM技術解説セミナー(OpenAM、OpenIDM) (4)9/ 5 複雑な人事発令対応をオープンソースで解決!! 人事発令とシステム連携をさせる「従業員ID管理とシングルサインオン」とは (5)9/18 シングルサインオンとID管理を実現する OpenAM&OpenIDM技術解説セミナー(OpenAM、OpenIDM) 3.コラム オープンソースでできる、不正アクセス対策 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.What's New ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ ─────────────────────────────────── ◆今すぐできる!「Apache Struts1.x」脆弱性対策 ─────────────────────────────────── 2014年4月、Apache Struts 2の脆弱性について発表されましたが、 この脆弱性は、すでにEOL(End of Life)となっている Apache Struts1.xについても類似の脆弱性が存在します。 Apache Struts1.xをお使いの方はまだ多くいらっしゃると思いますが 脆弱性対策は大丈夫でしょうか? この脆弱性を悪用された場合、 ・Webサーバー内の情報を盗み取られる ・特定ファイルを操作される ・Webアプリを一時的に使用不可状態にされる ・Javaコードが含む場合、任意のコードが実行される などの可能性があります! ▼IPA 7/15更新 Apache Struts2 の脆弱性対策について https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html NRI OpenStandiaでは、すでにEOLのApache Struts 1.xを独自サポートし、 お客様に安心してApache Struts1.xを継続利用いただくために、 この脆弱性対策に関する修正プログラム提供のサービスを実施しています。 まずはお気軽にお問い合わせください。 [対象バージョン] ・Apache Struts:1.0.x 1.1.x 1.2.x 1.3.x ▼OpenStandia Apache Struts 1.x脆弱性対策サービス https://openstandia.jp/oss_info/struts/apachestruts-patch.html ▼Apache Struts1.xの修正プログラムに関する詳細および 年間保守サービスのご相談は、以下からお問い合わせください。 https://openstandia.jp/site/contact.html ─────────────────────────────────── ◆「OSS開発合宿」レポートがThink ITに掲載されました ─────────────────────────────────── 今月号のメルマガで、6/20(金)~22(日)に開催された OpenStandia開発メンバー主催「OSS開発合宿」をレポートする予定でしたが、 Think ITに記事として掲載していただくことになりました。 「OSS開発合宿」は、普段業務で忙しいエンジニアたちが、 純粋に自分たちの「やりたいこと」に没頭する場所。 野村総合研究所のOpenStandiaチームが中心となって、2009年から 毎年開催されているハッカソンです。 OSSを使って自由な発想で開発するエンジニア達の姿を、是非ご覧ください。 ▼Think IT:エンジニアたちの楽園!第6回OSS開発合宿 レポート http://thinkit.co.jp/story/2014/07/11/5102 ▼「OSS開発合宿」のFacebookページ https://www.facebook.com/devcampfun ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2.最新イベント情報! ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ ┌────────────────────────────────── │ 7/25 グローバル企業向けIT活用セミナー │ ~オープンソースを使った │ グローバル統合認証基盤とERP、ファイル共有、BI~ └────────────────────────────────── グローバル競争に備え、企業のITも抜本的改革が求められています。 また、内部統制強化にはITガバナンスを強化していかなければなりません。 本セミナーではグーローバルスタンダードで開発工数の削減やTCO削減に 最も効果があるオープンソースの活用にスポットをあて、 どうしてオープンソースを活用するのか? また、グローバルビジネスに必要なID管理やシングルサインオン、 ERPやファイル共有、BIの導入/活用することで具体的に どのような効果がもたらされるのか、どのような分野にどのような手順で 導入するのか、といった課題を解決するためのセミナーです。 日時:2014年7月25日(金) 15:00~18:00(受付開始 14:30~) 会場:野村総合研究所 丸の内総合センター 9F 会議室10 費用:無料 定員:20名 (事前登録制) 講演内容: ・グループ全体の情報システム管理・運営のポイント ~本社情報システム部に求められるグローバルIT管理・運営の効率化~ 株式会社野村総合研究所 中国・アジアシステム事業本部 アジア事業開発部 上級システムコンサルタント 上田 洋一 ・なぜいまOSS!グローバル向け統合認証基盤によるITガバナンス強化 ~OpenAM、OpenIDM~ 株式会社野村総合研究所 オープンソースソリューション推進室 上級テクニカルエンジニア 田中 穣 ・オープンソース業務システム活用方法のご紹介 ~OSSERP(iDempiere)、Alfresco、Pentaho~ エイチスリーパートナーズ有限会社 大塚 和彦 (野村総合研究所 オープンソースソリューション推進室 OpenStandia セールスエージェント) ▼イベントの詳細、お申し込み https://openstandia.jp/event/event20140725.html ┌────────────────────────────────── │ 8/ 8 複雑な人事発令対応をオープンソースで解決!! │ 人事発令とシステム連携をさせる │ 「従業員ID管理とシングルサインオン」とは └────────────────────────────────── 人事異動のたびに大がかりな社内のID/パスワード構成対応を 余儀なくされる昨今。 その管理負荷は情報システムの運用コストを増加させるばかりでなく、 それらに起因するセキュリティインシデント発生のリスクも 大きな問題になっています。 本セミナーでは、当社が数多く手がけた実績からの知見をもとに、 企業内アイデンティティ管理のあるべき姿を解説すると共に、 その仕組みをオープンソースを活用して実現し、 運用コスト削減とセキュリティ強化に成功した事例をご紹介します。 日時:2014年8月8日(金) 16:30~18:00(受付開始 16:00~) 会場:野村総合研究所 丸の内総合センター 9F 会議室10 費用:無料 定員:20名 (事前登録制) 講演内容: ・企業内アイデンティティ管理のあるべき姿 株式会社野村総合研究所 ITアーキテクチャーコンサルティング部 上級システムコンサルタント 堀崎 修一 ・オープンソース(OpenAM,OpenIDM)で実現する ID管理とシングルサインオンの事例紹介 株式会社野村総合研究所 オープンソースソリューション推進室 上級テクニカルエンジニア 田中 穣 ▼イベントの詳細、お申し込み https://openstandia.jp/event/event20140808.html ┌────────────────────────────────── │ 8/21 シングルサインオンとID管理を実現する │ OpenAM&OpenIDM技術解説セミナー(OpenAM、OpenIDM) └────────────────────────────────── シングルサインオン、ID管理関連ソフトウェアの技術解説セミナー。 シングルサインオンソフトウェアであるOpenAMと、OpenStandia独自拡張機能、 オープンソースのID管理・プロビジョニングソフトウェアであるOpenIDMと OpenStandia独自拡張機能についてご紹介します。 また、OpenIDM のインストール方法や簡単なシングルサインオン設定なども 資料を使った座学でご紹介します。 日時:2014年8月21日(木) 17:30~19:30(受付開始 17:00) 会場:野村総合研究所 丸の内総合センター 9F 会議室11 費用:無料 定員:20名 (事前登録制) 講演内容: ・OpenAM&OpenIDM技術解説 株式会社野村総合研究所 オープンソースソリューション推進室 テクニカルエンジニア 林田 敦 ・シングルサインオンを実現するOSS「OpenAM技術トレーニング」 株式会社野村総合研究所 オープンソースソリューション推進室 テクニカルエンジニア 盛 慎 ・OpenStandia/SSO&IDMソリューションのご紹介 ▼イベントの詳細、お申し込み https://openstandia.jp/event/event20140821.html ┌────────────────────────────────── │ 9/ 5 複雑な人事発令対応をオープンソースで解決!! │ 人事発令とシステム連携をさせる │ 「従業員ID管理とシングルサインオン」とは └────────────────────────────────── 人事異動のたびに大がかりな社内のID/パスワード構成対応を 余儀なくされる昨今。 その管理負荷は情報システムの運用コストを増加させるばかりでなく、 それらに起因するセキュリティインシデント発生のリスクも 大きな問題になっています。 本セミナーでは、当社が数多く手がけた実績からの知見をもとに、 企業内アイデンティティ管理のあるべき姿を解説すると共に、 その仕組みをオープンソースを活用して実現し、 運用コスト削減とセキュリティ強化に成功した事例をご紹介します。 日時:2014年9月5日(金) 16:30~18:00(受付開始 16:00~) 会場:野村総合研究所 丸の内総合センター 9F 会議室10 費用:無料 定員:20名 (事前登録制) 講演内容: ・企業内アイデンティティ管理のあるべき姿 株式会社野村総合研究所 ITアーキテクチャーコンサルティング部 上級システムコンサルタント 堀崎 修一 ・オープンソース(OpenAM,OpenIDM)で実現する ID管理とシングルサインオンの事例紹介 株式会社野村総合研究所 オープンソースソリューション推進室 上級テクニカルエンジニア 田中 穣 ▼イベントの詳細、お申し込み https://openstandia.jp/event/event20140905.html ┌────────────────────────────────── │ 9/18 シングルサインオンとID管理を実現する │ OpenAM&OpenIDM技術解説セミナー(OpenAM、OpenIDM) └────────────────────────────────── シングルサインオン、ID管理関連ソフトウェアの技術解説セミナー。 シングルサインオンソフトウェアであるOpenAMと、OpenStandia独自拡張機能、 オープンソースのID管理・プロビジョニングソフトウェアであるOpenIDMと OpenStandia独自拡張機能についてご紹介します。 また、OpenIDM のインストール方法や簡単なシングルサインオン設定なども 資料を使った座学でご紹介します。 日時:2014年9月18日(木) 17:30~19:30(受付開始 17:00) 会場:野村総合研究所 丸の内総合センター 9F 会議室11 費用:無料 定員:20名 (事前登録制) 講演内容: ・OpenAM&OpenIDM技術解説 株式会社野村総合研究所 オープンソースソリューション推進室 テクニカルエンジニア 林田 敦 ・シングルサインオンを実現するOSS「OpenAM技術トレーニング」 株式会社野村総合研究所 オープンソースソリューション推進室 テクニカルエンジニア 盛 慎 ・OpenStandia/SSO&IDMソリューションのご紹介 ▼イベントの詳細、お申し込み https://openstandia.jp/event/event20140918.html ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 3.コラム オープンソースでできる、不正アクセス対策 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ 今月発覚した大手教育関係の企業での大規模な顧客情報漏洩事件は、 顧客情報を社外に不正に持ち出したことが直接の原因でした。 しかし、この事件をきっかけに、顧客情報などの重要データの取り扱いや 企業の内部統制のあり方、賠償責任問題などを伴う企業側の 情報漏洩事件に関するリスクなどに再び注目が集まっていると思います。 2014年5月号のメルマガでは、「オープンソースの脆弱性対応」に スポットライトを当てましたが、今月号では「不正アクセス対策」 という観点から情報セキュリティについて考えたいと思います。 NPO日本ネットワークセキュリティ協会(JNSA)が発表した 2013年度の情報セキュリティインシデントに関する調査報告では、 「インシデント・トップ10を『情報通信業・不正アクセス』が占める」 という報告がされています。(P.7、P.21) これらのケースは、「リスト型アカウントハッキング」によるもので、 1回に数百万件といった大規模な情報漏洩事件も発生しています。 ▼JNSA 6/10発表 「2013年情報セキュリティインシデントに関する調査報告 ~個人情報漏えい編~」 http://www.jnsa.org/seminar/2014/0610/data/A4_incident.pdf 「リスト型アカウントハッキング」とは、 「パスワードリスト攻撃」、「アカウントリスト攻撃」とも呼ばれ、 あるWebサービスなどから流出したユーザーIDとパスワードのリストを使い、 別のWebサービスに対して不正ログインを試みる方法です。 これらの対策としては、 ・ユーザーIDとパスワードの使い回しをしない ・ユーザーIDとパスワードを定期的に変更し、適切に保存する といった、Webサービス利用者側の対策が重要視されがちです。 しかし、 ・パスワードの有効期間の設定 ・推測しやすいパスワードの利用拒否や、利用パスワードの履歴保存 ・多要素認証(パスワード認証+パスワード以外の認証)の導入 ・退会(休眠)アカウントの利用制限 ・不正アクセス状況の確認や調査をできる監査ログの管理 など、Webサービス事業者に求められる対策も多くあります。 Webサービス事業者は、まず、これらの「認証」に関連するシステムを強化し、 情報漏洩につながる不正アクセス対策を講じるべきではないでしょうか。 また、個人のモバイル端末などから企業情報システムに アクセスする機会が増えている中、「顧客情報」だけでなく 「社内の機密情報」に対する情報漏洩対策も非常に重要な課題です。 BtoC中心のWebサービスだけでなく、社外ネットワークから社内システム、 さらに社内ネットワーク内においても、不正アクセスを防止するためには 「認証」が情報セキュリティ対策の根幹であるといえるでしょう。 ▼IPA 7/10発表 「組織の内部関係者の不正行為による情報漏えいを防止するため、 セキュリティ対策の見直しを!」 http://www.ipa.go.jp/security/announce/20140710-insider.html NRI OpenStandiaメンバーが執筆した記事では、 不正アクセス対策をはじめとする「認証」に関わるノウハウと、 「OpenAM」などのオープンソースを用いたセキュリティ対策の 実装方法をご紹介しています。 オープンソースのシングルサインオンソフトウェアであるOpenAMは、 このような情報システムでの「認証」において セキュリティ強化策として有効とされる多要素認証を実現します。 リスクベース認証・ワンタイムパスワード認証などといった 20種類以上の認証モジュールから必要なものを選択し、 それらを組み合わせた多要素認証を実現するだけでなく、 認証されたユーザーに対して、システムの利用やリソースへの アクセスなどに対する権限管理も行います。 オープンソースのアイデンティティ管理(ID管理)ソフトウェアである OpenIDMは、パスワード強度/再利用の可否/属性の検証など 複雑な要件を満たす高度なパスワードポリシー管理を実現します。 オープンソースで実現する「不正アクセス対策」に関して、 OpenAMを使った認証システムの開発や保守サポートを行う NRI OpenStandiaにお気軽にお問い合わせください。 ▼OSSによるアイデンティティ管理(1) :いま、高まるアイデンティティ管理の重要性 http://www.atmarkit.co.jp/ait/articles/1307/17/news002.html ▼OSSによるアイデンティティ管理(2) :不正ログインを食い止めろ! OpenAMで認証強化 http://www.atmarkit.co.jp/ait/articles/1310/17/news003.html ▼OSSによるアイデンティティ管理(3): OpenIG、OpenDJと連携したOpenAMの新機能 http://www.atmarkit.co.jp/ait/articles/1402/12/news014.html ▼OSSによるアイデンティティ管理(4): OpenAMのOpenID Connectへの対応 http://www.atmarkit.co.jp/ait/articles/1406/13/news004.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 編┃集┃後┃記┃ ━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━ 最後までご覧いただき、どうもありがとうございました。 7月3連休中日の、突然の雷雨はすごかったですね。 川崎市では7/20午後7時半までの約1時間の解析雨量が約90ミリ だったそうで、私の自宅付近の道路は川のようになっていました。 深いところで20cmはあったでしょうか。 ちょうど車で帰宅するタイミングだったので、車が故障しないかと ヒヤヒヤしながら運転しました。今思い出してもちょっと怖いです。 今回は幸い難を逃れましたが、やはり無理はいけませんね…。 次回もどうぞよろしくお願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、 NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、 NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に 送付しております。 ※注意事項・配信停止方法は以下のURLをご確認ください。 https://openstandia.jp/site/mailmagazine.html 商品・サービスに関するお問い合わせ:ossc@nri.co.jp OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp 発信元:株式会社野村総合研究所 オープンソースソリューション推進室 https://openstandia.jp/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━