[技術]OpenSSL の脆弱性に関して

先日発覚して一大ニュースとなったOpenSSL問題に関して
一技術者の目線で考えてみようと思います。
※各方面で既出の内容になるかもですが、ご容赦ください

OpenSSL問題 → 「OpenSSL脆弱性「Heartbleed」」

■OpenSSL とは?
まずOpenSSLとはどのようなものなのか。
ネット上で調べたりすると「暗号通信技術」とか「SSL/TLS」とか
いろいろと小難しいことが書かれていますが
簡単に言えば

「ネット上で入力した内容(個人情報)を守るための技術」

と思って頂ければいいかと思います(ざっくりしすぎですが…)
主に「https://~」となっているWebサイトで使われています。
例)GMail、Facebook、ショッピングサイト、会員サイトなど

イメージとしては、送る情報が入った鍵のかかった金庫を
郵便屋さん(OpenSSL)に送ってもらう感じでしょうか。
金庫を開けるための鍵は送り先がもっている

■なにが問題なのか?
「金庫を開けるための鍵は送り先がもっている」と書きました。
しかし、この問題ではその金庫に鍵をかけない状態で
郵便屋さんに送ってもらうことになることになります。
#金庫が盗まれてしまえば中身は見られ放題。

なので、ショッピングした際に使用したクレジットカード番号や
銀行口座番号、パスワードなどが盗まれてしまうことが
起こる可能性が高まってしまいます。

これっておそろしいですよね・・・

■なぜ起こったのか?
こんな記事があります。


OpenSSLに脆弱性、バグは2年前から存在
(引用元:CNN.co.jp)

バグは2年前から存在

この技術は全世界のWebサイトで導入されているものなので
対応が大変なのはわかります。
防ぐためには提供側、使う側の両方が対策が必要ですし。

しかし、2年間もの長い間公表しなかったのはどうかと感じます。
知らずに発覚したのと、知ってて発覚したのでは大きく違いますし。
脆弱性の内容が内容なだけに。。。

私の考える起きた理由は
スマホ/タブレットが普及し、容易にインターネットに
つなぐことができることになったことに加え、SNSの普及と
https接続が日常的になってきたこともあり、事が起こって
からではまずいからなのではないかと考えます。

一般的なシステム開発 / サービス開発 という観点で
考えれば(内容にもよりますが)2年間も知らない振りを
していたというのは大問題になっていたことでしょう。
※実際騒ぎにはなりましたが・・・

私自身も過去、サービスイン後に問題が見つかったりして大変な
思いをした経験があるので背筋が凍る思いです…
 
 
安心と言われていたOpenSSLがこんなことになるとは・・・
多くの方に使われているものだからといっても技術は人が作りしもの。
慢心してはいけないということですね。

発覚するまでの間に情報が盗まれたりしていなかったか心配です。。

[雑記]LPICに挑戦

LPIC(Linux Professional Institute Certification)
Linux技術者の技術者認定資格です。
・公式ページ:こちら

Linux・・・ 交換機のサーバだったりAndroidのOSの
ベースでもあるオペレーティング
システム
のこと
Cent OS、Red Hat Linux、Debian などが
有名です

情報系の資格といえば有名なのは国家資格である
IPAの情報処理技術者試験ですが、LPICはそれとは
異なり民間資格に該当するものとなります。

実はこの資格、前々職のころから取得を試みていました。

しかし、当時忙しかったのとそれほど必要としていなかった
(業種も今と違っていたので) ということもあり本格的に取得に
向けて動き出していませんでした。

今現在はWebの仕事をしていることもあるのとLinux上で
アプリケーションサーバ(主にApache)の構築をしたり、今回自分でも
構築しましたが、今流行(?)のWordpressを設置する機会が増えたりと
Linux環境に触れることが多くなったのでこれを機に取得に挑戦。
※前々職の頃、仕事で使用していましたが、ほぼ独学だったので
 ちょうどよい機会かなぁとも思ったりと…

LPICはLevel1~Level3まであるので
まずは基本であるLevel1の取得を目指そうと思います。
— 今年(2014年)でLevel2までいけたらなおよしかな。

—————————————————
※ブログ引っ越しました。
過去ブログはこちら又はメニュー(過去ブログ)からアクセスできます。
ご興味のある方はよろしければご参照ください。

CEATEC JAPAN 2011 に行ってきました


先週末の3連休初日となる10月8日、幕張メッセで開催されている

CEATEC JAPAN 2011 を見学してきました。

これは「最先端IT・エレクトロニクスの総合展」というもの。

昨年の2010年に続き、今年も行くのを楽しみにしていました。

11時過ぎに会場に入り、なんだかんだで終了時間の17時まで滞在。

最先端の技術や未来の姿、日本技術の凄さを目の当たりにし
感動しっぱなしでした。

内容的には、IT関連では

・スマートグリッド関連

・BtoB向けのクラウド技術

・センサを利用した様々な技術

・各種携帯キャリアによる新サービス
※KDDIでは次世代高速通信(LTE)のことも紹介されていました

・アクセシビリティ関連

がやはり今年も多く、エレクトロニクス関連では

・グラスレス3Dテレビ

・3D関連製品

・4K(フルハイビジョンの16倍画質)のプラズマテレビ

・レーザーテレビ

・有機EL関連

ちょっとおもしろいものでは
・ワイヤレス充電器

・10分で充電ができる充電器(DoCoMo)

・着せ替えジャケット(DoCoMo)
→スマフォンに付けるカバーにいろいろな機能をもたせたもの
※ デモとして、体脂肪計、放射線量測定機などがありました

などがありました。

一流企業から中小企業までさまざまな会社が出展していましたが
個人的に「すごい!!」と思ったのは2つあり、No.1は

東芝 のブースでした。

東芝の製品の1つではなく、ブース全体がすごかったです。

エレクトロニクス系として

SONY、SHARP、Panasonic

といった大手会社もありましたが、出展しいていた
製品の質・パフォーマンスどちらもずば抜けていたと私は見て感じましたね。

各社のテーマとしては
東芝:REGZA WORLD
SONY:ネットワークを利用しての各種SONY機器でのコンテンツシェア
SHARP:画質へのこだわり
※ 8Kのプラズマテレビの試作品が紹介されていました
Panasonic:3Dに特化したPanasonic機器の連携
でした。

そんな中、東芝が紹介していた製品はというと

1.2D/3Dの切り替えが可能なグラスレス4Kプラズマテレビ

2.「過去のテレビ番組が保存可能な」HDDレコーダー

3.世界最薄・最軽量のREGZAタブレット

※ タブレットから全てのREGZA製品を操作可能

というもの。

Basicなところは他社と変わらないのですが、1つ1つの技術を中途半端にせず
突き詰めたところがすごいなと。

No.2は KDDI ブースで紹介していた 「自由視点鑑賞」 という技術です。

これは簡単に言うと

スポーツ・ライブなどの映像を 自分の好きな視点 で見ることができる技術です。

サッカーを例としてあげるなら、一般的な映像だとカメラを
振っている方の視点でしか放映されません。

しかし、この技術を用いると サッカーボールの視点で試合を見たり
見ている方が好きな選手の視点で試合を見ることができるようになるそうです。

これって何気に凄いですし、いろいろなことに応用ができそうだと思いますね~。

他にもいろいろありましたが、きりがないのでこのへんで。

また、来年も行こうと思います。
今度はカンファレンスとかが開かれている平日に行きたいなぁ。