クラウドコンピューティングと経営革新

[3]Perl入学式(大阪)がJoe’s@梅田をホームにして、はや2年

Joe’sでは、3年ほど前からオープンソースのセミナーや勉強会などのイベントに、東京・銀座と大阪・梅田のJoe’sビジネス・センターの大会議室を提供しています。最大でも24名、机をおくと18名程度しか収容できない狭い部屋ですが、ロケーションがよく、プロジェクター・スクリーンとインターネットが利用できるので、頻繁にご利用頂いています。
 

Perl入学式の公式サイト

最近では、梅田では、concrete5, NetCommons, Perl入学式のセミナーが毎月行われてきました。Perl入学式(http://www.perl-entrance.org/)というのは、聞きなれない方もいるかもしれませんが、Perlの非営利の勉強会です。現在では、大阪だけでなく東京や福岡でも開催されているということです。
 

cPanelから必要なモジュールをインストールでき、バージョンも更新できる。以前は、Perlモジュールをインストールする作業をJoe'sの技術者が手動でおこなっていた


 
現在では、PHPでCMSのスクリプトを書くことが多くなっていますが、以前はサイト開発では、Perlで書いたスクリプトをHTMLから呼んで使うことが多かったように思います。当時から、多くのPerlモジュールが開発されています。したがって、Perlは現在も広い用途で使われています。また、サーバー管理でスクリプトを書く場合、PerlはOSの機能と連携することが容易なので、非常に便利です(Joe’sの技術者もPerl入学式に参加しています)。
 
PerlはCに近く、汎用性があり、基礎から学べば、他の言語でもマニュアルを見ながらプログラムを組めるようになるといったことも利点としてあげられます。最近は、オブジェクト指向でプログラムが簡単に書けるようになっています。
 

以前に大阪でボランティアで講師をされていた福本さん、修士論文もPerlに関するもので、Perlに情熱を傾けた学生生活を送ったといっても過言ではない

Joe’sとPerl入学式の繋がりは、Joe’sビジネス・センター梅田で行われていたconcrete5の勉強会に参加していた若林信敬さん(現在もPerl入学式の中心メンバー)が、Perl入学式の会場として使わせてほしい、というように依頼されたことがきっかけでした。そして2012年4月15日に初めて、Joe’sビジネスセンター梅田でPerl入学式が開催されました。
 
参加しているJoe’sの技術者(増本)も、「Webアプリケーションフレームワークを使って初心者でも最終的に簡単なWebアプリを作れるようになれる」というような感想を述べています。
 
これまで、熱心なサポーターの方々が、この勉強会盛り上げていきました。2012年は、当時関西学院大学の大学院生であった福本貴之氏(現在は東京のIT企業に勤務)が講師をつとめていました。福本さんは、理解しにくい箇所を前もって想定してクリアになるようにつとめるなど、プレゼンの術がたけていました。修士論文もPerlに関するものであったということです。
 

Perl入学式の会場の風景(Joe'sビジネスセンター梅田)。実際は、もっとアットホームで、質疑応答が多い

Joe’sではこれまで、Joe’sオープンソース推進プロジェクトの一環で、コミュニティの活動に会場を提供してきましたが、最近は若干の変化がありました。ひとつは、同業(レンタルサーバー)他社も、イベントの会場提供やOSSのイベントのスポンサーシップで積極的になってきたということです。これは嬉しいニュースです。Joe’sがそのような動きの引き金になったのかもしれません。
 
もうひとつは、コミュニティが成長して、銀座や梅田のJoe’sビジネス・センターではイベントの参加者が収まりきらなるケースが出てきていることです。concrete5 (関西)などがそうです。書籍の出版後人気が急上昇し、参加者が会場におさまらずキャンセル待ちが増えたため、今年の5月からは会場を移しています。これも、嬉しいニュースです。
 
今後も銀座・梅田で、OSSのコミュニティの活動に対して、会場を提供していきたいと思っています。6月のPHP関西、7月のOSC名古屋、8月のOSC京都などでもブースを設けていますので、お気軽に声をかけて下さい。

[2]メールアカウント乗っ取りによる不正利用が多発

 

スパム送信されると、不達メールを受信するので、POPしきれなくなる

スパム送信されると、不達メールを受信するので、POPしきれなくなる

最近ちまたで、メールアカウントを乗っ取られて、スパム送信に利用されるという事件が多発しています。最も多いのは、個々のメールアカウントのパスワードが盗まれるケースです。ブルートフォース(brute-force)といって、パスワードの可能性の高いものとそれに近いものを、手当たり次第に見つけ出していくという攻撃が、多くなっています。パスワードが、メールアドレスやユーザ名などから類推されしやすいと、そのような被害に合う可能性が高くなります。

 

 

 

 

 

ブロックリストに入っているかどうかをチェックできるサイト(http://mxtoolbox.com/blacklists.aspx)

ブロックリストに入っているかどうかをチェックできるサイト(http://mxtoolbox.com/blacklists.aspx)

共用サーバーでも、専用サーバーでも、通常は、同じメールサーバーを利用して、送信することになります。メールを乗っ取られると、届かない宛先に大量に送信されてしまうので、戻ってきたメールを大量に受信することになります。POP受信してもなかなか完了せず、PCのメールボックスが不達メールで一杯になります。その不達メールを消そうとして、今までにあった重要なメールを削除してしまったり、ゴミ箱に入れてしまうというケースも多いようです。

下記のような対策をしていただければ、回避できると思われます。

  1. パスワードを長くして、総当りで見つけ出される確率を下げる
  2. 意味をもたない(規則性のない)パスワードを利用する
  3. 使っていないメールアカウントは削除する
  4. 大量の不達メールが届いたら、そのような攻撃で乗っ取られた可能性が大きいので、パスワードを変更する

Joe’sの技術サポートでも、そのような被害にあわれたユーザの方の相談を受けることが非常に多くなっています。

 

 

 

cPanelでは、パスワード設定の際に強度が表示される

cPanelでは、パスワード設定の際に強度が表示される

次に多いのは、不正なファイルを設置されるというケースです。WordPressなどのCMSを、自動インストーラなどでインストールしたままバージョンアップせずに放置してあると、脆弱性をつかれます。ファイル内に不自然なURLがある場合などは、不正ファイルである可能性が大きいと言えます。見覚えのないファイルやコードは直ちに削除する、FTPパスワード(=cPanelパスワード)を定期的に変更する、CMSをアップデートするなどの対策をとってください。

さらに、ブルートフォースで、cPanelのパスワードを盗まれるという場合もあります。メールアカウントのみならず、そのユーザ権限でどのようなこともされてしまうので、慎重にパスワードを選ぶ必要があります。cPanelでは、パスワードを指定する際に、その強度が表示されるので、妥当かどうかチェックして下さい。

 

 

Joe's SSL市場で専用SSL証明書を購入したら、専用IPアドレスで独自のメールサーバーを持とう

Joe's SSL市場で専用SSL証明書を購入したら、専用IPアドレスで独自のメールサーバーを持とう

一方、メールアカウントを乗っ取られた場合、同じメールサーバーを利用している他のユーザまでが、スパム送信者とみなされ、送信ができなくなる可能性があります。

インターネットでは、有志による、スパムホストのリストを管理している組織がいくつかあります。メールアカウントを乗っ取られてスパム送信の踏み台になった場合、そのメールサーバー全体がスパムホストとみなされ、そのIPアドレスがブロッリストに登録されます。そして、受信サーバーによっては、スパム受信を防ぐために、そのようなリストを参照して、該当IPアドレスからの受信を拒否するような設定にしているところがあります。そのような場合、Joe’sの技術サポートが、ブロックリストから該当IPアドレスを削除するよう、依頼します。Joe’sでは、ブロックを解除するよう各所に依頼しますが、時間がかかる上、応じてもらえない場合もあります。また、解除までの間、同じサーバーを利用している他ユーザにも影響が出てきます。

 

 

メールのセキュリティを保つには専用サーバーかVPSがおすすめ。Joe'sではフルマネージドでも12,000円から。

メールのセキュリティを保つには専用サーバーかVPSがおすすめ。Joe'sではフルマネージドでも12,000円から。

そこでおすすめしたいのが、専用のIPアドレスの利用です。Joe’sでは、専用のIPアドレスをご希望の方に、用途などを審査の上発行しています。専用のIPアドレスを利用するのに、月額5,000円以上支払わなければならない他社のサービスがありますが、Joe’sでは、専用IPアドレスは年額で8,000円(税別)でご利用にいただけます。

さらにセキュリティを保つためには、専用サーバーもしくはVPSでroot権限で管理するか、管理者がいない場合、Joe’sの素(フルマネージド)のご利用をおすすめしています。

メールのセキュリティで、ご質問などございましたら、お気軽にご連絡いただければ、幸いです。

[1]CloudStack最新版 4.3、使ってみましたか?

 

Apache版のCloudStackは、4.3にバージョンアップされた

Apache版のCloudStackは、4.3にバージョンアップされた

Joe’sでは、KVMのVPSサービスを年間5,000円からという低価格で提供しています。以前は、イベントなどで1年間の無償アカウントを配布していたこともあります。Joe’sのVPSは、CloudStackのアドバンストモードを利用しています。仮想ネットワークの機能も付いているので、どちらかといえば、通常のクラウドに近いサービスであるといえます。ロードバランサやVPNの機能も標準になっています。

 

 

 

 

 

 

Joe'sのVPSはCloudStackを利用していて、VPNが標準になっている

Joe'sのVPSはCloudStackを利用していて、VPNが標準になっている

ところで、CloudStackは無償版であるApache版と有償版であるCitrix版とにわかれます。有償版でも、VMwareなどと比べてかなり安価で利用できます。Joe’sでは、オンプレミスでのプライベートクラウドの設置運営代行のサービス(次号で詳細をお伝えします)では、有償版も利用していますが、VPSやプライベートクラウドに関しては、無償版を利用しています。無償版であるからといって品質が悪いということはなく、Citrix社からのサポートの有無が大きな差異になっています。Joe’sでは、CloudStackを2年以上扱っており、商用のパブリックサービスとして実績があります。

 

 

 

 

さて、2013年3月末にCloudStack 4.3がリリースされました。詳細に関しては、各種サイトで解説されています。

Joe'sのVPSはCloudStackを利用していて、ロードバランサが標準になっている

Joe'sのVPSはCloudStackを利用していて、ロードバランサが標準になっている

http://apache-cloudstack-release-notes.readthedocs.org/en/latest/about.html

従来バージョンとの差異で重要なものとして、Joe’sの技術者(池原)は、以下の5点をあげています。

  1. システムVM(仮想ルータ、コンソールプロキシ、セカンダリストレージ)が64ビットになった。
  2. 仮想ルーターの監視機能(ダウンしても自動的に復旧し、復旧不可の場合、管理者にメールが送信される)
  3. 管理者が、各アカウントのCPU, メモリ, ディスクサイズのリソース制限をかけることができる
  4. ハイパーバイザとして、Hyper-Vが利用可能になった (従来は、KVM, Xen, VMware)
  5. ユーザインターフェイスの向上

このうち、1~3は、管理者側の機能追加・性能改善に相当します。4.は、Joe’sでは現在のところ提供していません。

 

 

 

CloudStack 4.1のインスタンスの状態を示す表示

CloudStack 4.1のインスタンスの状態を示す表示

Joe’sでは、4月20日より、VPSユーザにはCloudStack 4.3を提供しています。5.のユーザインタフェイスに関しては、見た目にはほとんど差異がありません。青色のバックが若干濃い青になったぐらいです。しかし、ユーザのコンソールが最初に出てくる速度が速いなど、動作が安定しています。「機能としては4.1、4.2のリリースのときの方が新しいものが多かったが、今回内部のバグフィックスが行われ、特にCloudStackの泣きどころであった仮想ルータの動作が安定するようになった」というのが、Joe’sの技術陣の認識です。

 

 

 

CloudStack 4.3のインスタンスの状態を示す表示(バックの青色が若干濃い)

CloudStack 4.3のインスタンスの状態を示す表示(バックの青色が若干濃い)


また、CloudStackではファイアーウオールのポートの外から内は、デフォルトで閉まっていますが、4.1からは内から外もデフォルトで閉まっているということです。サポートでよく質問されるポイントでもあるため、マニュアルを改定するということです。今後、CloudStackに関しては最新情報を常に把握し、新しい情報が出てきたらまた発表する予定です。

[4]Joe’sが、PHPカンファレンス関西2014のスポンサー企業に

 

PHPカンファレンス関西のロゴ


Joe’sでは、EC-CUBE標準サーバー、 Netcommons標準サーバー、 LMS標準サーバ(Moodle)、 concrete5標準サーバーといったCMS標準サーバーの入門プラン(インストール済サーバーが1年間無償)の提供、小規模なセミナーや勉強会に東京・銀座、大阪・梅田の会場を無償で提供、大規模なイベントにスポンサーになるなど、オープンソース(OSS)のコミュニティを支援してきました。
 

データを消失事件に見舞われたこのレンタルサーバー(堺筋本町)も、PHPカンファレンス関西2014に協賛企業として参画する


実は、こうしたCMSのほとんどはPHPというプログラミング言語で動作しています。最近のCMSは進化していて、PHPの知識がなくても、デザインのスキルがあれば、サイトが構築できるようになっています。ただ、仕事として独立してやっていくためには、HTMLやCSSだけでは不安が残ります。PHPでスクリプトが組めなくても、ある程度読めれば、CMS内部のカズタマイズもできます。場合によっては、独自のCMSを構築することもできます。
 
 

concrete 5の場合、PHPを知らなくても美しいサイトができるが、PHPの知識がないと、独り立ちするには不安だ


今回、2014年6月28日(土)に大阪産創館(堺筋本町)で開催される、「PHPカンファレンス関西2014」(http://conference.kphpug.jp/2014/)に、カンファレンススポンサーとして参画させていただくことになりました。

Joe'sでもOSSのセミナーに、会場を提供している (NetCommons関西)


 
堺筋本町といえば、大手レンタルサーバーの2社の本社があり、それぞれ今回のスポンサーになっています。Joe’sも同じ大阪に本社をもつIT企業で、特にサービスでPHPをご利用のお客様が多いことから、今回のお話になりました。地元関西といえば、関西オープンフォーラム(KOF)(https://k-of.jp/2014/)にも毎年協賛させて頂いています。

PHPカンファレンス関西と関西オープンフォーラム(KOF)の両方で、ボランティアをされている方が多いということ


 
当日はセミナーなどで講演はしませんが、ブースにいますので、講演の間の休憩時間や懇親会で、ご質問やご相談を承りたいと考えています。また、今回のPHPカンファレンス関西に限らず、OSSのスポンサーシップについてご相談があれば承ります。今後とも、OSSの活動を支援していきたいと考えています。

[3]Joe’sの春は、Moodleで始まる

研修といえば、全員が会議室に集まるというようなイメージがあるが


Joe’sの春は、Moodleで始まると言っても過言ではありません。新入社員が、サーバーやSSL証明書について、大学の講義のようなコースを受講して、知識を習得します(マナーや電話応対など、オンザジョブの研修もありますが)。
 
Moodleを使うと、教師が教材を配布したり、課題を集めたり、採点したり、成績をつけたりするところを、インターネットを利用して管理できます。 Joe’sでも新人研修で、Moodleでスライドとそれに対応した音声を聞いて、基礎知識を得ます。各学生(新人)が何度でも聞いてよく、また、課題もサイト内におかれていてオンラインで提出します。教師(研修担当)もその課題をオンラインで採点します。
 

Moodleでできない研修は、オフィスでのオン・ザ・ジョブになる


教師も学生も、早起きして業務開始前に会議室に集まって研修をするよりは、この方がずっと効率的だと感じています。ただ、個別指導ですから、教師は課題で提出された回答を読んでチェックし、最後のテストも(オンラインで)採点しないといけません。Moodleによる研修は原則自宅で行っていますが、教師からはアクセス状況が見え、学生の頑張っている様子が想像できます。
 
 

オーストラリアにあるMoodleの本部に訪れた、Joe's鈴木禎子代表


 
現在は、SSL証明書の単元に取り組んでいます。昨年までは2010年問題に関する内容が含まれていましたが、今年は脆弱性問題で有名になった OpenSSLの内容に変更しています。毎年同じで使いまわすというのではなく、改定がなされてよいものへと進化していきます。
 
Joe’sのMoodleの教材は、至って簡単なものです。以前に使っていたスライドに音声をつけたものと、それに対しての課題10問程度、模擬試験問題集からなります。教材を新規に作成するには時間がかかりますが、研修の教材の蓄積があれば、それをファイルの形にすれば何とか始められます。そして、社内に熱意のある教師がいることが必須となります。
 

現在行われているSSL証明書の単元。2010年問題は、OpenSSLに改定される予定だ。


Joe’sでは、社外向けのサービスとしても、Moodleがインストールされたサーバーを1年間無償で提供したり(LMS標準サーバ 入門プラン)、Moodleの勉強会に会場を無償で提供したり、Moodleのイベントに協賛するなど、Moodleの普及に努めています。

Joe’sのLMS標準サーバでは、現在お申込みになりますと、最新版の2.6.2がご利用になれます。2.5と2.6で機能的に大きな差異はありません。パスワードのリセット、テキストエディタ、 モバイル機器での操作性などの利便性の向上、Microsoft Onedrive(オンラインストレージ)との連携。教師の側では、コース作成エディタの改良、ダウンロードせずにPDFに注釈がつけられる、提出手続きの自動化、採点者名の割当、フォーラム・クイズ・SCORMの改良と、項目は多いですが、いずれもインターフェイスを中心とした小幅な改良にとどまってい ます。
 

Moodleがすぐに使える、LMS標準サーバー。入門プラン(無料)は、人気が高い。


Joe’sでは、読者の皆さんにMoodleの導入をおすすめします。LMS標準サーバ のうち1年間無料の入門プランで準備を進め、次回の研修ではLMS標準サーバ 標準プラン(月額1,575円)でかっこよくデビューして下さい。読者の皆さんの職場でも、Moodleで優れた人材を育てることを祈ってやみません。

[2]アベノミクスで、助成金・補助金は、簡単にもらえる

アベノミクスの成長戦略、補助金ブームの火付け役になった感がある


 
助成金や補助金は、大企業や特別な施策を行っている企業だけがもらえるというように思っていませんか。それは正しくありません。消費税アップで景気が冷えないよう、また中小企業の業績が落ち込まないよう、減税や公共事業以外に、助成金・補助金(ともに返済不要)という形で、大量のお金がバラまかれています。日本経済の再生に向けた「3本の矢」の中のひとつ、成長戦略に基づいています。
 
http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/saikou_jpn.pdf
 
助成金は、キャリアアップ助成、障害者雇用などで、随時受け付けていて条件さえ合えば、100%受給可能です。これに対し補助金は、国や地方公共団体 の特定年度の予算によるものが多く、採択数(合計金額)に制限があり、申請しても、採択されるとは限らないものです。しかし、実際の採択率をみると、 40-60%という補助金が多く、しかも申請書類は1~2日以内で完成するものがほとんどです。

「中小企業・小規模事業者、ものづくり・商業・サービス革新事業」の申請書。昨年度上げたかどうか記載する欄があった(証拠書類を添付する必要あり)。大手だけでなく中小にも賃上げを波及させていきたい、という安部首相の思いが垣間見られる。


補助金は、補正予算の成立を待って募集が行われます。ただ、1~3月に募集し2~4月に締切りになるものが多く、2回に分けて募集しているものも、半年遅れではなく2ヶ月遅れで募集するものが多いようです。したがって、現時点では締め切ったもの多いのですが、今回は、今からでも間に合うおすすめの補助金のひとつを紹介します。
 
それは、「中小企業・小規模事業者、ものづくり・商業・サービス革新事業」という、中小企業庁が行っている補助金(ものづくり補助金)です。これも年2回募集がありますが、1回目は締め切っています。2回目の締め切りは、5月14日です。申請金額は、700万円から1500万円で、40%程度の申請が採択されたとい うことです。
 
http://www.tokyochuokai.or.jp/topics/2013topics/3/monozukuri/h24kobo_monozukuri.html
 

補助金・助成金のセミナーは、いつも満席だ。Joe'sビジネスセンター銀座。

申請の仕方は、募集要項に詳しく書いてありますので、それ以外のことで、本音に近い注意点を2, 3述べておきます。
・補助金の申請は似たようなものがいくつかあり、例年募集しているものが多いので、万一採択されなくても、その申請書の問題点を反省して修正し、再度チャレンジすれば無駄にはならない。つまり、失敗のリスクは少ない、といえます。ですから、ポシティブな心構えで臨むことをおすすめします。
・募集要項に多少難しことが書いてあっても、(都合のよいようにねじ伏せないで)正しく理解し、 事業の内容を知らない人でもわかるように、申請書の項目を埋めていくことが重要です。採択率40%ということは、優秀な申請者だけが採択されるのではない、ということを意味しています。わかるように書いたかどうかが勝負を決する、といっても過言ではありません。
・申請したい(資金が必要だ)が、募集要項の内容が理解できない、文章を作成する自信がない、という弱気な方や、書類等を集めるのが面倒という方は、業者に申請を依頼するという方法があります。ただその場合、受給金額の15%を支払うとか、成功報酬以外に着手金を支払うのが普通です。そして、事業内容の概要をその業者に伝える 必要があります。代行業者が申請者と面接をして申請に必要なポイントを見出し、シナリオを考えます。
 
Joe’sでも今後、補助金の申請について必要なサービスを行う予定です。現段階では、皆さんに有益な情報をお伝えしています。興味をもつきっかけになれば幸いです。
 

今年のGWはこの助成金を作成して、会社を黒字にし、来年こそ海外旅行を。


この記事を読んで、刺激を受けて、今から募集要項をダウンロードして、ゴールデンウィークに申請書を作成しようと考えていらっしゃる方もいらっしゃるかもしれません。是非頑張っていただければと思います。もし、ご意見やご要望などがございましたら、下記までいただければと思います。
 
Joe’sビジネスセンター(http://www.joes-office.com)のライブチャット(担当: まきしま、すずたま、わたなべ)で、補助金についてと、お問い合わせ下さい。

[1]OpenSSL脆弱性問題、あなたの会社のセキュリティは大丈夫?

SSLプロトコルにおけるハンドシェイク

2014年4月7日に、OpenSSLという、暗号化を行うソフトウェアの脆弱性に問題があることが発表され、セキュリティ関係者はお花見どころではなかったと思われます。
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

 

そもそも、SSL (Secure Socket Layer)とは、米国Netscape社が開発した暗号化のための通信手順を指します。Joe’s SSL市場で販売されているようなSSL証明書を連想されるもいらっしゃると思います。そうした商用のSSL証明書は、OpenSSLで動作するように、フォーマットが決められています。つまり、SSL通信を行うためのデファクトで、オープンソースであっても、商用で普通に利用されています。

 

SSLプロトコルにおけるハートビート


脆弱性というのは、OpenSSLの根幹部分ではなく、ハートビート拡張という機能についてで、
・OpenSSL 1.0.1 から 1.0.1f
・OpenSSL 1.0.2-beta から 1.0.2-beta
の範囲のバージョンに脆弱性があることがわかりました。

 
SSL通信では、公開鍵暗号と共通鍵暗号の両方が使われます。最初は、サーバーとブラウザで暗号化復号化のための手順(鍵)を共有していないので、ブラウザがサーバーの公開鍵から共通鍵を生成してサーバーに渡します。次に、その共通鍵を利用して、実際に送信する情報の暗号化を行います(後者の方がより高速です)。最初の段階(ハンドシェイク)では、サーバーが意図している送信先かどうかを、ブラウザがチェックします(フィッシングを防ぐ)。そのために、SSL証明書が必要です。ただ、ハンドシェイクはサーバーへの負荷が大きく、送信が終わってもある一定期間接続を有効にしておく必要があります。
 

秘密鍵が盗まれれば、なりすまし(ネット上のおれおれ詐欺)のサイトがつくられる

ハートビートとは、実際の通信がない状態でも、一定時間ごとにパケットを送信して接続していることを伝える手順を意味します。その際に、サーバーは「了解しました」と返信します。今回発見された脆弱性を突けば、サーバー内のメモリの隣接する領域(64キロバイト)の内容(これを繰り返せば任意の大きさの領域)までも、ブラウザが読めるということです。
 
その脆弱性を修正したバージョン
・OpenSSL  1.0.1g
にアップデートするという対策をされた方も多いかと思います。しかしそれでも、それまでにその脆弱性を突かれて、ウェブサーバー内にあった顧客のパスワードやクレジットカード番号などの情報がすでに読まれる可能性はあります。実際、三菱ニコスUFJの個人情報894名分が、この脆弱性を突かれて流出したという報道があります。
 
ただ、OpenSSL 1.0.1は、2013年にリリースされてまだ1年程度しか経過していません。また、CentOS 5がまだサポートの有効期限内であったために、OpenSSL 1.0.1を採用したCentOS 6の利用は20%未満、という見方もあります。実際、Joe’sや他社レンタルサーバーでも、OpenSSLを緊急でアップデートしたのは、共用サーバーでも全体の10~15%程度であったとされています。
 

Joe'S SSL市場: セキュリティについて、ご相談をお待ちしています

ところで、読者の方々で特に気になるのは、SSL証明書の問題かと思われます。Joe’s SSL市場でも、もちろんこの問題を検討しています。ハンドシェイクで利用される公開鍵暗号では、秘密鍵をメモリ内において、ブラウザから送信された内容を復号します。もし、秘密鍵が何であるかがわかれば、そのサーバーに送信されたすべての内容が盗聴されます。
 

さらに、SSL証明書を発行したサーバーであるというなりすましができます。秘密鍵があれば、本来のサーバーにかわってハンドシェイクができるからです。そして、サーバーの秘密鍵を変えれば、SSL証明書を再発行する必要が生じます。
 
問題は、2048ビット(256バイト)の秘密鍵が、メモリのダンプ情報からわかるかどうかということです。シマンテック社(旧ベリサイン)は、メモリ上にある一般データと比較して、秘密鍵を見いだすのは理論上可能だが困難である、という見解をしています。
http://internet.watch.impress.co.jp/docs/news/20140416_644735.html
 
ただ、何らかの検証実験を行ったわけではなく、安全性が証明されたわけではなく、シマンテックも当事者であるので、安全サイドで判断したほうが賢明のように思われます。
Joe’s SSL市場では、今回のOpenSSLの脆弱性問題で、秘密鍵の変更にともなって
SSL証明書を再発行する必要が生じた場合には、無償で対応しています。お気軽にご相談下さい。

[3]海外向けECサイト、カード決済の不正を回避するには

ネット社会になっても、オンラインのカード決済は不安だという人はいる。


海外旅行でたくさん買い物をすると、カード会社から、それらが本当に本人のものか確認の電話がかかってきたご経験は無いでしょうか。顧客の個人情報が流出したというようなニュースは、毎日のように聞かされます。その流出した個人情報のカードを不正に利用して、オンライン決済で買い物をされるというケースは、日本でもなくは無いですが、海外では非常に多く発生しています。
 
 

今年になって好調な、Joe'sの海外向けサービス (joes-cloud.com)


Joe’sでも海外サービス(英語、シリコンバレーに設置, http://joes-vps.comの英語版)で、2013年8月から、Paypal以外に、クレジットカードでの決済を始めています。日本だと、たとえば、Joe’s SSL市場などでお申込みいただくと、申請のための企業情報を提出いただく関係もあって、不正は皆無ですが、海外向けのJoe’sのサービスでは、申込みの約60%が不正カードによるものでした。当初は、国内向けサービスと同じ感覚で、それらの決済を無条件に承認して、数十件もの不正取引を発生させ、払戻しを請求されました。
 
いわゆる英語圏でなくても、サイトに書いてあることが読めれば、そのサービスが使えるので、ほぼ全世界に向けてのサービスになります。また、日本のように豊かでない国や地域もあります。
 

MaxMindのコンパネ。設定するところが少なく、非常にシンプル。


2013年9月から、MaxMindという不正防止のツールを設置しました。
1. proxy経由での申し込みを認めるか否か
2. リスクの高い国からの決済を認めるか否か
などにチェックを入れますが、Riskscoreといって、MaxMindが計算したスコア(100段階)のどこまでを通すかのしきい値の設定が一番重要になります。RiskScoreは、過去に不正のあったIPアドレス、IPアドレスと国名の整合性、銀行識別番号と国名の整合性、emailアドレス、匿名proxyなどから計算されています(具体的な計算方法は秘密になっています)。
 
現在でも、申込みの50%以上は不正なカードによるものですが、それらうちの80%は、このMaxMindで拒否されます。そして、残り20%のうち、リスクの高い申込みに関しては、不正か否かを判断するためのツールを利用して、社内で判断します。その結果、承認された決済の中での不正申込みの割合は、1%未満となりました。ただ、現在もこの判断は人間が行っています。データマイニングなどの方法で、過去の統計情報から最適な決定が自動的に行われるようになれば、と考えています。そうなれば、申し込みから一定時間以内(例えば1分以内)に、アカウントを自動的に発行することも可能であると思われます。
 

カード決済のコンパネで、suspiciousとされる顧客のリスト。


皆様の中には、すでに、海外向けのサービスを開始していて、同様のご経験をされている会社の方もいらっしゃるかもしれません。今回の記事が、今後海外展開をされている方にとっての参考になれば、幸いです。Joe’sでは、近い将来、海外向けのECサイト運営のサービスの支援を行う予定です。また、サービスの提供の準備ができましたら、発表させていただきます。

[1]OSCの記念すべき100回目の開催、空前の盛り上がりをみせる

第1回OSC開催の案内(2004年9月)

オープンソースカンファレンス(OSC)は、Joe’sでは、2011年7月の京都で協賛として参加して、今回で16回目(東京6回、京都3回、名古屋3回、北海道1回、広島1回、クラウド2回)になります。ただ、OSC自体は2004年9月の第1回から数えて、今回で100回目の開催になるということです
 

100回の開催の間に、スタッフのTシャツも変化していった。


協賛と言っても、それほど大きな金額の協賛金を出しているわけではなく、OSSを利用してビジネスをしている以上、その収益の一部を還元することはむしろ当然の責務と考えています。逆に、OSC代表の宮原徹氏をはじめ、事務局のスタッフの皆さんにおかれましては、プログラムを作成したり、前日や当日の朝早くから来て、会場の設営をしたりで、肉体的・精神的にスタミナが消耗してくる部分があると思われます。Joe’sでは、日頃から感謝していますが、今回あらためて、100回目の開催をお祝い申し上げる次第です。
 
さて、今回の春のOSC東京は、例年より若干早く、2月28日から2日間の日程で行われました。昨年の秋(1300人)と比べて、かなり多くの方が参加されていると思われましたが、やはり1900人ものご参加を頂いていたとのことでした。

Joe'sのOSS標準サーバーシリーズ


 
Joe’sでは、緒方がJoe’sのOSSへの取組みについてビジネスライトニングトークで、新人の奥村がOpenStackのHavanaについてセミナーで発表を行いました。また、ブースでは、最近リリースしたconcrete5を含めた4種のOSS標準サーバー(EC-CUBE, NetCommons, ムードル)についての説明をしました。concrete5標準サーバーの詳細は、今月号の別のトピックスで詳細をお話します。
 

運営責任者の宮原徹氏、ブースをまわるツアーで。

今回は、Joe’sでも、非常に多くの方がブースにお見えになり、興味をもって質問していただきました。また、OSS標準サーバー(concrete5, EC-CUBE, NetCommons, ムードル)だけでなく、KVMのVPSやマネージドつきの専用サーバーに関しても、多くの質問をいただきました。また、他のCMSのコミュニティで、Joe’sのOSS標準サーバーのサービスをしてほしいというご要望もいただきました。
 

Joe'sの期待の新人、奥村


奥村は、2013年3月に学校を卒業し、2013年12月から入社したばかりの技術者ですが、コミュニケーションやハードウェアなど多方面のスキルがあります。どこの会社でも、プレゼンのスライドをまともに作成できる人は、新人では少ないように思われます(字が多かったり、結論がぼけているとか)。今回のスライドも、上司がほとんど手を入れていません。Joe’sでも奥村を期待しています。サポートなどで、接する機会があれば、可愛がってやってください。
 

明星大学のOSCは、懇親会はいつもこの会場で行う


 
OSCは、日常の業務もあるので、どうしても東京、京都、名古屋での参加に限られてしまいますが、ユーザの方が質問に来られたりしますので、今後も積極的に参加していきたと考えています。

[2]プロ野球のキャンプに入り混じって、Moodleが沖縄でトレーニング

横浜ベイスターズのキャンプ。ブランコ選手がゲージに。


2月19日(水)から21日(金)にかけて、沖縄国際大学で開催されたMoodle Moot 2014に、賛助会員として参加しました。2012年の三重大学、2013年の東京家政大学に引き続きの参加で、いずれもこの時期に開催されています。
 
Moodleは、本ニューズレターでも何度か取り上げています。また、LMS(learning management system)標準サーバー(https://lms.ac)というサービスを提供していることもあって、ご存知の方も多いかと思います。一言で言えば、教育用のオープンソース(OSS)のCMS (Content Management System)です。

阪神タイガースのキャンプ、多くのファンが詰めかけていた。


 
Moodleを使うと、大学の講義で、先生が教材を配布したり、課題を集めたり採点したり、成績をつけたりを、インターネットを利用して管理できます。学生から「欠席した分のプリントください」とか、「私は全部のレポートを提出していますか」と聞かれることはありません。また、講義でなくてもコースの形式の教材にもなります。そして、学生がインターネットを利用して自分のペースで学習できます。

Joe'sのブース


 
Moodleの創始者で代表者でもある、Martin Dougiamas氏は、オーストラリアの人ですが、学校まで遠かったので(ヘリコプターの救急車もあるくらいの広い国土のある国ですから)、自宅にいながら学習できる手段はないかと考えたそうです。類似のシステムは商用でもありますが、ライセンス代がかなり高価(年額500万円以上と言われています)で、Dougiamas氏は、OSSで無料でLMSが何とか提供できないかを考え、Moodleという彼の分身を育ててきました。
 

Joe'sのセミナー(池原)


今回は、宜野湾市にある沖縄国際大学でMoodle Mootが行われました。近くで、プロ野球の横浜ベイスターズのキャンプが行われていました。ケージにいたブランコ選手が柵越えを連発していました。阪神タイガーズも宜野座という30キロくらい離れたところでキャンプをしていて、特に関西からファンが大勢駆けつけていました(リトル大阪というの感じでした)。Moodle Mootがこの時期に開催されるのは、春休みということもありますが、新学期を前にMoodleのスキルをあげたい、ノウハウを交換しあってレベルを高めたい、という意味があると思います。開幕前の準備と言えるのかもしれません。
 
ただ、沖縄で開催されたこともあってか、参加者が若干少なかったように思えます。OSC(オープンソースカンファレンス)でも沖縄開催は、100から150ですから、参加者が増えなくてもやむをえなかったかもしれません。大阪以外では、沖縄行のLLCの便が少なく、また入学試験の関係で、遠隔地に宿泊することが難しかったかもしれません。
 

懇親会では、沖縄舞踊が披露された


Joe’sでは、EC-CUBEは新年会、NetCommonsは夏のユーザカンファレンスに参加されることをおすすめしていますが、Moodleでは、スキルを高めたい方、ビジネスのチャンスを伺いたい方に、このMootに参加されることを、おすすめしています。今回は、MOOC(Massive open online course)といって、Stanford大学のKoller先生らが運営しているのCourseraのような、全米で大学の共通のコースをインターネットで提供する動きについて、土屋俊先生(学位授与機構)、堀真寿美先生(帝塚山大学)がキーノート講演を行いました。今回も、原島会長を中心に綿密に準備がすすめられ、エキサイティングな企画が提供されていました。懇親会では、沖縄の音楽と舞踊が披露されました。
  

会場を提供していただいた沖縄国際大学大城保学長と、日本ムードル協会会長の原島先生


Moodleは、会社の研修でも有効です。研修のたびに会議室に全員が集まるのでは、効率が良くないと思われます。理解力の異なるスタッフ(学生)がそれぞれのペースで学習をすすめ、研修の責任者(先生)が、提出された課題をチェックしてコメントを返すという形であれば、効果が高まると思われます。
 
 

オーストラリアのパースにあるMoodleの本部には、Joe'sの鈴木禎子社長も訪れたことがある(2011年12月)。


Joe’sで提供しているLMS標準サーバーのアカウントをもてば、Moodleがすぐに利用できます。コースが幾つもあっても、1アカウントもてば、特に入門プランでは1年間無料です(その後継続するとしても年額で18,000円(税抜)です)。無料のアカウントでMoodleのアカウントを取得して、4月の入社式(開幕)を迎えてみてはいかがでしょうか。思いの他簡単です。

 前へ 1 2 3 4 5 6 7 8 9 10 ... 23 24 25 次へ