2008年11月 Archives

なんだ、こりゃ。
マジカランド --- 業務フローが誰でも簡単に作れる魔法のカード「マジカ」

ダウンロードしてみたけど、イラストカード、というのか。
仕事の流れを記述するための絵つきカードで、フロー記述に適したパターンが数種類用意されている。
マニュアルもあるらしい。

仕事の見える化、をするらしいけど。
へたにITに頼るより、ご利益がある、ってことかな。

VMwareのセキュリティ責任者が会社を辞め、OpenDNSのCEOになった。
といってもNand MulchandaniがVMwareにいたのは1年ほどで、もともとはHIPSベンダーDeterminaのVP MKTGだった。 DeterminaのMemory Firewall技術をハイパーバイザーに適用する、という話だったが、どうなったのか。
VMware security chief leaves to run OpenDNS - Network World

Mulchandani had been with VMware just over a year, after the virtualization software vendor acquired his security company, Determina. As VMware's senior director for security products, Mulchandani was in charge of VMware's security strategy, considered critical to the company's future success. VMware is publicly traded, but the majority of the company is owned by storage vendor EMC.

ucchiがサウンドストリート、っていうラジオ番組のことを書いてた。
自分にとっては、やっぱりビート･オン･プラザだよなあ、とおもったんだけど。
どうやら大阪でしかやってなかったのね。

こんばんは、たなか　まさみです。

世の中でお世話になった人は多いみたいで、ちらほら、コメントがみつかる。
胸いっぱいの愛を: 「ビート・オン・プラザ」

ポールマッカートニーの「Momma Miss America」をバックに（かなり後になって知った）「ビート・オン・プラザ　タナカアマサミです」という」ナレーションが入って番組が始まる。
「ビート。オン・プラザ」、この上なく単純な番組だったけど、忘れられない番組だ。復活を期待すべくもないが、あんな番組のある時代に音楽を好きになってよかったとつくづく思う。

ああ、あのテーマ曲は、ポールマッカートニーだったのね。 探してみたらすぐみつかった。

そうそう、ずたんたんたんたんたんたったか、って始まってた。
懐かしい。

ジェスロタルJethro Tullがインドツアーで、シタール奏者とジョイントするという記事。
アヌーシュカ・シャンカールAnoushka Shankar という人で、有名らしい。
I am thrilled to play with Jethro Tull: Anoushka

オフィシャルWebサイトがあった。
http://www.anoushkashankar.com/
きれいなおねいさんだ。

ビデオがあった。

アヌーシュカのシタール演奏は、1曲目と2曲目。１曲めがほんとのソロで、後半の盛り上がりがスリリング。手の動きが、早回ししてるとしか思えない。シタールもすごいけど、相棒のボンゴ（のようなもの？）も半端じゃない。指が、どうなってんだろ。
2曲目はへんなギター弾き語りが出てきちゃうけど、パート数が増えたアレンジの中でも、シタールとボンゴが際立っている。
その後、12:10 から、20分くらいある大曲がすごい。
アヌーシュカは奇妙な振りで指揮をしている。
コーラスあり、シタールかと思ったら生ギターのスライドだったり、バイオリンやチェロなどの弦楽器も入ってくる。
ええもん見せていただきました。

この映像は、Concert for Georgeというイベントのものらしいけど。
ジョージ･ハリスンって死んだんだっけ。
DVDがでているらしい。

しかし、よおく考えて見ると、ジェスロタルがインドツアーやってるってのがすごい。
日本にも来いよ。

DNSのセキュリティ対策に関する記事。
IETFはDNSSEC以外にプロトコル変更も視野に入れている。

DNS脆弱性への対処策で意見が分かれるIETF総会 : セキュリティ - Computerworld.jp

まだ答えが出ないDNSキャッシュ・ポイズニング問題の解決方法

（2008年11月21日）

　インターネット関連技術の標準化を進めるIETF（Internet Engineering Task Force）は、今年夏に発見されたDNSの脆弱性への対処方法を模索している。今週ミネアポリスで開催中のIETFの会合で、この問題が議論されている。争点は、IETFがDNSサーバを運用しているDNSレジストリやISP、企業に、DNSのセキュリティを向上させる拡張仕様「DNSSEC（Domain Name System Security Extension）」へのアップグレードを促すか、あるいは暫定措置としてこの脆弱性に対応するためにDNSプロトコルを改変するかのどちらを選ぶかだ。

IETFでは、DNSサーバ運用者がこの攻撃を防ぐ方法を説明したベストプラクティス・ドキュメントを仕上げつつあるという。

　 DNS Extensionsワーキング・グループのグドムンソン氏ともう1人の共同会長であるアンドルー・サリバン（Andrew Sullivan）氏は、3月にサンフランシスコで同ワーキング・グループの次回会合が開かれる前に、この問題に対応してDNSプロトコルを改変するかどうかを決めたいと語った。

そういう土台の改善はじっくりやってもらうとして、もっと緊急にするべきことがあるとおもうんだけどなあ。

DNSベストプラクティスとは「隠す」そして「重ねる」 － ＠IT

よく知らなくても標準的にこういう形で設定される、ていう仕組みにできないのかね。

浦賀駅でゴジラの曲が放送されると。
Blue Oyster Cultのじゃないよね。
時事ドットコム：「横須賀ストーリー」「ゴジラ」...＝駅にちなむ曲で接近注意放送－京急

浦賀駅は「ゴジラのテーマ」。ゴジラが上陸した「たたら浜」が同駅に近い観音崎と想定されていることから選ばれた。

あの不吉なテーマで電車の接近を知らせられると、ちょっとコワいかも。

Jethro Tullのライブビデオに女性ヴァイオリニストが入っていたので追っかけて見たら、Anna Phoebeという人だった。http://www.annaphoebe.com/
クラブでソロライブをやっているビデオがあって、面白い。
自分のソロアルバムのカラオケを流して1人でヴァイオリンを弾いてる。

ジェスロ･タル！というブログがあって、そこで、日本でも買える様になったと書いてあった。
j-tull.blog - ジェスロ・タル！: Anna Phoebeのアルバムが買えるようになりました

ジェスロ･タル！ブログではでは全曲レビューというのをやってて、Jethro Tullの曲を、もう51曲も解説している。もうすぐLocomotive Breathだ！
とりあえず、78年のライブBursting Outまでが一区切りだと思うが、がんばっていただきたい。

これは危険。
ちなみにCricket Liuの名前が間違ってる。

DNSサーバの25％は「キャッシュ・ポイズニング攻撃」にいまだ未対応 : セキュリティ・マネジメント - Computerworld.jp
　

脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに （2008年11月12日）

　DNSサーバにセキュリティ上の深刻な脆弱性が見つかったのは今年7月のこと。以降、IT業界はDNSサーバのセキュリティ対策を必死で進めているが、それでも4台に1台の割合で脆弱なDNSサーバが存在することが、米国The Measurement Factoryの調査で明らかになった。

　DNSサーバの脆弱性を最初に指摘したのは、米国のセキュリティ・ベンダーIOActiveで侵入テスト担当ディレクターを務めるダン・カミンスキー（Dan Kaminsky）氏。氏は7月17日に記者会見を開き、キャッシュ・ポイズニング攻撃に対するDNSプロトコルの脆弱性について公表、早急な対策を訴えた（関連記事）。

米国The Measurement FactoryのWebサイト
　にもかかわらず、最新の調査結果によれば、4台に1台の割合で未対策のDNSサーバが存在する。しかも、そのうちの40％は自分自身だけでなく、ほかのサーバを危険にさらしていることがわかった。

　インターネット関連のテスト・サービスを提供しているThe Measurement Factoryがこのほど発表した「第4次DNSリポート」によると、調査対象となったDNSサーバの25％がいまだにアップデートされておらず、ソース・ポートのランダム化が実行できていないという。カミンスキー氏は先だって、同氏が発見した脆弱性はソース・ポートのランダム化により修正できると述べていたにもかかわらず、である。

　ちなみにThe Measurement Factoryは、IPv4アドレス空間の5％に相当する8,000万個のアドレスをサンプルとして抽出したという。

　IPアドレス管理ベンダーのInfobloxと、DNSサービスおよびツール・プロバイダーのDNSstuffも、未対応のDNSサーバがかなりの数に上ることを危惧している。「アップデートされないまま放置され、キャッシュ・ポイズニング攻撃を受けやすくなっているDNSサーバの数は驚くほど多い」

　DNSstuffが今年9月に466社の顧客企業を対象に実施した調査でも、9.6％がDNSサーバにパッチを適用していないと回答し、パッチを当てたかどうかわからないと回答した割合も21.9％に上った。同調査の結果は、DNS関連コミュニティや複数のベンダーがアップデートを推奨しているにもかかわらず、極めて多くのDNSサーバ管理者がいまだに何の対策も講じていないことを示している。

　パッチを適用していない理由として、「社内リソースの不足」を挙げた企業は45％以上にもなる。続いて、30％が「脆弱性に気づいていなかった」、24％が「適切な処置を施すためのDNSに関する知識が欠如していた」と回答している。

　DNSサーバの40％以上が再帰クエリを許可しているという現状も、DNSのセキュリティ低下を招いている。「未解決なままの再帰クエリがあふれており、当該サーバにとっても他のサーバにとっても危険な状態だ。再帰クエリを許可しているDNSサーバは、キャッシュ・ポイズニングやDDoS攻撃に非常に弱い」と、The Measurement Groupは説明している。また、サンプルとして抽出されたアドレスの30％は任意のリクエスタへのゾーン転送が可能なため、サーバがDoS攻撃の標的にされるおそれもあるという。

　Infobloxのアーキテクチャ担当副社長、クリケット・ルイ（Cricket Lui）氏は、「たとえ、カミンスキー氏が発見した脆弱性を修正するのが難しいとしても、再帰クエリやオープンなゾーン転送の禁止など、企業がセキュリティ確保のために設定しておくべき事柄はたくさんある。それすら行わないのは、ドアに鍵をかけて窓を開け放っておくようなものだ」と警鐘を鳴らしている。

(Denise Dubie／Network World米国版)

IPAのSQLインジェクション検出ツールがバージョンアップ。
所詮はログからパターンを探すだけだけど。
はじめの一歩としては手軽で良い。
情報処理推進機構：情報セキュリティ：SQLインジェクション検出ツール「iLogScanner」を機能強化

独立行政法人情報処理推進機構（略称：IPA、理事長：西垣 浩司）は、ウェブサイトのSQLインジェクション検出ツール「iLogScanner」（アイ・ログ・スキャナ）を、検出可能な攻撃パターンの強化、検出対象のアクセスログフォーマットの追加、動作プラットフォームの拡大など、バージョンアップしました。
(URL: http://www.ipa.go.jp/security/vuln/iLogScanner/ )
　　:
iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。
　　:
　利用者が用意したウェブサーバのアクセスログファイルの中から、ウェブサイトの脆弱性を狙った攻撃によく用いられる文字列を検出し（図2）、ウェブサイトへ攻撃のあったと思われる痕跡や、攻撃が成功した可能性のある痕跡の有無を解析結果レポートとして出力します（図3）。

車の宣伝でBE MY BABYがかかってて、ああ懐かしい、と思ってCOMPLEXを聴いてみたら、イイなあ。
かっこいいし、楽しいし。
PRETTY DOLLとか、恋をとめないでとか、MAJESTIC BABYとか、1990とか、好きだなあ。
最初のアルバムで、いきなりPRETTY DOLLが飛び出してきたときには結構びっくりした。
このころはまだ、カセットに録音して聴いてたなあ。
RAMBLING MANは地味っぽいけど歌が好きだった。

輝き放つ摩天楼、瞳にちゃんと焼きつけて
夢は遠くはてしなく、終わりのないかけひきさ

BEST: COMPLEX, 吉川晃司, 布袋寅泰: Amazon.co.jp: 音楽

OpenIDはまだ使いにくいというwebmonkeyの記事。

OpenID Is HereDOT Too Bad Users Can t Figure Out How It Works - Webmonkey

• いままでの、ユーザー名とパスワードでログインする方式からの違いが大きい。
• 2008年1月にYahooとAOL、10月にGoogle,MySpace, Plaxo, and Microsoftが「unlikely allies」として加わった、が、YahooとGoogleの調査によると、ユーザーはOpenIDのログイン手順がぜんぜんわからなかった。調査報告は結論として、ユーザー名とパスワードのやり方に長年慣れてしまっているので、それを変えようと思うと再教育の労力をかけないといけない、といっている。
• GoogleとYahooは再教育をしようとしてるが、認証の段階でGoogleやYahooに転送されてしまう。「サイトXにいたのに急にサイトYにいる、というのは違和感がある。なんでここに来たんだ？どうやって戻れるんだ？」（Dan Harrelson of the web design firm Adaptive Path）
• FacebookのConnectはOpenIDと似たようなことをやろうとしてるが、ログイン画面としてページ内ポップアップを使っていて、ページを離れる感じがない。
• 10月にPlaxo, Yahoo, MySpace, Google and MicrosoftがOpenIDのユーザー体験の分科会に参加。Facebookもここに参加し、Facebook Connectのインターフェースを紹介した。

ユーザー体験の分科会とは、これのことか： OpenID User Experience Summit （2008/10/20）
OpenID ? Blog Archive ? The First OpenID User Experience Summit
Yesterday at Yahoo!'s campus in California, nearly forty people from the OpenID community came together for a day to discuss the usability and user experience of OpenID and OAuth.
詳しいライブレポート：Live Blogging the OpenID/OAuth UX Summit ? The Real McCrea

Ｙａｈｏｏ！ウォレットがPCI DSSを取得した旨の報道発表。

日経プレスリリース

ヤフー、「Ｙａｈｏｏ！ウォレット」が情報セキュリティ基準「ＰＣＩ　ＤＳＳ」認定を取得

「Ｙａｈｏｏ！ウォレット」がクレジットカード決済における情報セキュリティ基準
「ＰＣＩ　ＤＳＳ」の認定を取得
～クレジットカード情報や取引情報の保護のための業界基準に準拠～

　Ｙａｈｏｏ！　ＪＡＰＡＮを運営するヤフー株式会社（以下、Ｙａｈｏｏ！　ＪＡＰＡＮ）は、インターネット上の決済サービス「Ｙａｈｏｏ！ウォレット」において、会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「ＰＣＩ　ＤＳＳ（Ｐａｙｍｅｎｔ　Ｃａｒｄ　Ｉｎｄｕｓｔｒｙ　Ｄａｔａ　Ｓｅｃｕｒｉｔｙ　Ｓｔａｎｄａｒｄ）」の認定を取得しました。

　今回取得した認定は、ＰＣＩ　ＤＳＳ審査の中で最も厳しい、取引件数の多い加盟店向けの「レベル１」であり、オンライン決済サービスとして日本最大級である「Ｙａｈｏｏ！ウォレット」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であると認められたことになります。

　Ｙａｈｏｏ！　ＪＡＰＡＮでは、これまでも、子会社を含むＹａｈｏｏ！　ＪＡＰＡＮグループが行うすべての業務を対象に、英国規格協会が発行した情報セキュリティマネジメントシステム（Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｓｔｅｍｓ：ＩＳＭＳ）の国際規格である「ＢＳ　７７９９－２：２００２」および日本国内規格である「ＩＳＭＳ認証基準（Ｖｅｒ．２．０）」の認証や、データベースの情報漏えいを監視するシステムでは国内初となる情報セキュリティ認証基準「ＩＳＯ／ＩＥＣ１５４０８」の認証を取得するなど、個人情報管理を技術と体制両面から推進してきました。今後も、ユーザーに安心してインターネットを利用いただけるよう、さらなる安全性の向上に努めてまいります。

＜ＰＣＩ　ＤＳＳとは＞
　クレジットカード業界における国際的大手５社（ＶＩＳＡ・ＭａｓｔｅｒＣａｒｄ・ＪＣＢ・Ａｍｅｒｉｃａｎ　Ｅｘｐｒｅｓｓ・Ｄｉｓｃｏｖｅｒ）が会員情報や取引情報の保護を目的に、ネットワークなどの処理システムや情報管理に関して策定したセキュリティの国際基準。ＰＣＩ　ＤＳＳは、クレジットカード会員の保護を最大の目的とし、セキュリティ水準を満たすための具体的な管理方法や運用などを以下のような要求事項として規定しています。
　・安全なネットワークの構築・維持
　・カード会員データの保護
　・ぜい弱性を管理するプログラムの整備
　・強固なアクセス制御手法の導入
　・定期的なネットワークの監視およびテスト
　・情報セキュリティポリシーの整備

今週の米大統領選挙で。
write-in (名簿外)の投票で何があったか、という記事。オハイオ州スターク郡の集計より。

In Ohio, presidential write-ins include dead, misspelled and cartoon characters - Pittsburg, KS - Morning Sun

結局候補にならなかったHillary Clinton、(Mike) Huckabeeらへの投票があったってのは良いとして。
ミッキーマウスやスヌーピーがあったってのも、まあ良いでしょ。
テッド･ニュージェントが2票でジーザスと並んでた、ってのは何なんだ。

How else would you explain aged rock star Ted Nugent collecting as many votes as Jesus?
:
Rocker Nugent tied Jesus at two votes apiece.

少なくともこの記事では、ミュージシャンで出てるのはテッドだけ。
ほかにスポーツ選手やコメディアンは出てるけど。
どうも他の州でもテッドへの投票はあった模様。
テッドって、USでどんな扱いなんだろう。 かなりメジャーであることは間違いんだろなあ。

ちなみにこのMorning Sunってのは地方紙で、カンザス州ピッツバーグ（有名なのはペンシルバニア州ピッツバーグで、それとは別)の新聞らしい。

AC/DCの8年ぶりの新譜Black Iceが出て、大騒ぎになっているけど。
Excelでもプロモーションされている。
ここ
AC/DC "Rock N Roll Train" -- the world's first music video in an Excel Spreadsheet

でExcelファイルが配布されていて、開くと、Play Videoというボタンがあってこれを押すと、Rock N Roll trainのプロもビデオが流れる。
流れるといっても、音は普通に鳴るけど、映像はアスキーアート。

うーん、これはすごい。
が、何でこんなもん作ったんだろ。

配布ページのコメントには、

AC/DC smashes through your firewall with real rock 'n' roll!
Download the spreadsheet to watch the Rock N Roll Train video in all it's Low Definition™ glory!
AC/DCが真正ロックンロールでファイアウォールを粉砕してやる。
表計算ファイルをダウンロードして、Rock N Roll Trainのビデオを低解像度のすばらしさで楽しもう！

このサイト、AC/DCRocks.comはコピーライトColumbia Recordsとあるから、公式宣伝サイトってことか。

インターネット広告のひみつ - ブログ: 世界初、エクセルで音楽ビデオを配信

USの本をどうやったら安く買えるか。
The Best of Technology Writing 2008 (Best of Technology Writing)
Amazon.co.jp ￥2,244+0
が、Amazon.comでは$12.21で売っているというのが悔しくて、これを題材に、いくつか調べて見た。
(もっと安く買える方法があるはずだろ)

結論としては、この本については紀伊国屋書店BookWebで買うのが安い。
数冊まとめるともっと割安になる感じ。
5000円以上になると送料が無料になるので、そこまでまとめる手だな。

USの業者から買おうとすると、日本に出荷しているところがまず少ない。
Amazon.comなんかだと、10冊くらい発注しないと意味がない感じ。
うまくできてるなあ。

以下、調べた内容。

まずAmazon.com。
販売価格は $12.21 -> 日本への出荷でJPY1,248 + 918 = 2,166、80円くらいAmazon.co.jpより安いと。 USから送ってくるのを2~4週間待って、80円じゃなあ。
$1@JPY102で計算されている。昨日の終値は98.4
USD支払いだと、$12.21+8.98=$21.19、カード会社のレートは大体2円アップ、すると同じくらいか。

次に、価格検索サイトを見てみる。
【インターネット書店一括検索】和書＆洋書 - アマゾン,丸善書店,紀伊国屋他:
紀伊国屋書店 がなぜか、値段が2種類載っているけど、US取り寄せ2週間で1,712+380=2,092
ちなみにMy Life in Advertising だと紀伊国屋\1,425、Amazonでは\1,791。
とりあえずは、ここで比較すると良いのか。

USの本屋値段についての情報。
底値生活 in シリコンバレー | アメリカでの本の買い方～その２
Buy.com ・・・amazonより必ず10%以上安く買えます（価格表示がそれより高ければRefund）。
$10.07だ。だが外国には出荷していない。
Overstock.com ・・・結構安い。amazonよりいくら安いか表示されます。
$12.09 国際出荷はあるが日本は対象外。アメリカは良いなあ。

Barnesandnoble.com
Online Price16.15, Members Pay 14.53
国際出荷は、$7.49+1冊5.49 だから1冊だと$13くらいかかる。ぜんぜんだめだな。

究極にはアメリカに私書箱を作って郵便転送してもらうことになるのか。
http://www.usabox.com/
入会費$25、Only Mailプランで月会費$24.95、毎月一回4lbまで送れる。 1.8kgくらいか。これって何冊くらいだろう。