TOP業界裏話注目ニュース徒然コメントリンク紹介
『外資系企業に住む住人の視点からIT業界の出来事を伝えます。』

以前好評いただいた『資料作成の基本』から図解作成だけにテーマを絞って抽出した本が2018年6月23日に発売となります。 https://www.amazon.co.jp/dp/4799106511

図解作成の基本
本書は「資料」ではなく「図解」の作成に特化しています。図解は、論理的にわかりやすい内容、感覚的に心地よい見た目が好まれます。図形のカタチ(フォーム)と配置(ポジション)で生み出される「要素のバランス」、色の使い分け(カラー)によって醸し出される「コンテンツの強弱」です。それらを「図解キューブ」というモデルで表し、その実践例をチャートとグラフの「図解パターン」として体系的・網羅的に整理しました。これらを「エグゼクティブ図解術」と私は呼んでいます。本書を図解作成のハンドブックとして、ぜひ使ってみてください。


【吉澤準特の本:累計10万部以上】
外資系コンサルのビジネス文書作成術』はロングセラーで重版多数
外資系コンサルが実践する資料作成の基本』はロングセラーで重版多数
外資系コンサルの仕事を片づける技術』はロングセラーで重版多数
フレームワーク使いこなしブック』はロングセラーで重版多数
兄弟本の『ビジネス思考法使いこなしブック』はロングセラーで重版多数

【吉澤準特の過去配布レポート】
「外資系コンサルの仕事を片づける技術」特別抜粋版のダウンロード
「最新会議運営の基本と実践がよ〜くわかる小冊子」のダウンロード
できる人の9つの法則
コンサルタント直伝!コミュニケーションのプロになれる!


IT業界の裏話(まぐまぐ殿堂入りメルマガ)へ
メルマガ登録ならコチラ メルマガ解除ならコチラ
メールアドレス:
メールアドレス:



2014年06月10日

意外に知られていない、情報詐取を意味する「フィッシング」は「Fishing(釣り)」のことでは無い
このエントリーを含むはてなブックマーク

ここ数年、オンラインバンキングのIDとパスワードを盗まれて銀行口座に不正アクセスされる事件が頻発しています。その原因は、悪意あるプログラム(マルウェア)による情報漏えいや、本物同様の巧妙なニセサイトに誘導されて認証情報を入力してしまうことにあります。

こうした行為はフィッシング、ニセサイトなどはフィッシングサイトと呼ばれます。これらの名称はニュースで報道されることが増えるにつれて、広く一般的に知られるようになりました。

テレビや新聞などでフィッシングという犯罪行為が広く知らされるのは、注意喚起の点で良いことだと思いますが、その代わりに私たちに大きな勘違いを引き起こしてしまいました。それは、「フィッシング」という言葉そのものについてです。

日本では、ネットスラングで相手を騙すという意味で「釣り」という言葉を使いますが、これとフィッシングという言葉を結びつけて、フィッシングとは「釣り」を英語で表した「Fishing」であると思い込んでいる人は多いようです。メディアでは「フィッシング」というカタカナでしか表記されないため、そのように思い浮かべてしまうのは当然の発想です。ですが、タイトルに示したように、それは正しい表現ではありません。

では、「フィッシング」とは英語でどのように表すのでしょう。その言葉の起源をたどると、なんと1996年にまで遡ることになります。

以下はコンピューターワールドで2004年1月に紹介されていた「フィッシング」という用語解説です。

The word phishing was coined around 1996 by hackers stealing America Online accounts and passwords. By analogy with the sport of angling, these Internet scammers were using e-mail lures, setting out hooks to "fish" for passwords and financial data from the "sea" of Internet users. They knew that although most users wouldn't take the bait, a few likely would. The term was mentioned on the alt.2600 hacker newsgroup in January 1996, but it may have been used earlier in the print journal 2600, The Hacker Quarterly.
Hackers commonly replace the letter f with ph, a nod to the original form of hacking known as phone phreaking. Phreaking was coined by John Draper, aka Captain Crunch, who created the infamous Blue Box that emitted audible tones for hacking telephone systems in the early 1970s.
By 1996, hacked accounts were called phish, and by 1997, phish were being traded among hackers as a form of currency -- people would routinely trade 10 working AOL phish for a piece of hacking software.

いきなり1行目に答えが書いてありました。そうですね、「phishing」という用語がフィッシングを意味する英語表現なのです。

この説明を読むと、「Phishing」(フィッシング)という用語は1996年のアメリカオンライン(AOL)ユーザに対するアカウント&パスワード詐取にて生まれた造語だと述べられています。

よく読むと、「釣りになぞらえて、インターネットというSea(海)からパスワードや金融データというFish(魚)を釣り上げるためのルアーとしてメールが使われた」という説明の後に、「フォンフリーキング(電話の不正利用)という造語になぞらえて、ハッカーたちはよく”F”という文字を”PH”に置き換える」ことが述べられています。

その上で、インターネット上で詐取したAOLユーザーアカウントを「Phish」(フィッシュ)と呼ぶようになり、一時期ではこのPhishがアンダーグラウンドにおける通貨として使われていたと説明されています。10 Phishでハッキングソフトウェアと交換、という具合です。

ちなみに、Phishingの語源について、日本国内の通説では、「ユーザーを釣るためのエサが洗練(sophisticated)されていることから、phという文字を取って、Phishingになった」というのが一般的でしたが、これはインターネットメディアのITproが2004年に紹介した記事が影響しているのではないか、という話が人力検索はてなの中のやりとりにありました。

『「フィッシング詐欺(Phishing)の由来は"fishing"と"sophisticated"である」という説の初出はどこでしょうか?』
http://q.hatena.ne.jp/1240491121

皆さんの中には、それくらい常識だ、と思っている方もいると思いますが、ネットセキュリティへの関心が薄い人にはフィッシングの語源を気にする人なんてほとんどいませんから、思いの外、多くの人がFishingではなくPhishingであることを知りません。

トリビアとして知っておくと、どこかで「へぇ」と言ってもらえることがあるかもしれません。

posted by 吉澤準特 at 03:42 | Comment(0) | TrackBack(0) | 業界裏話

2014年06月06日

政府「大きすぎて潰せない!」世界の26銀行+邦銀3行
このエントリーを含むはてなブックマーク

「大きすぎて潰せない(Too Big To Fail)!」

TBTF問題とも呼ばれますが、この言葉が世界で流行したのは、2007年サブプライムローン問題の頃からです。その会社がつぶれてしまうと困る人が世界中に溢れて社会混乱を招いてしまうから、政府としては潰したくても潰せない、という話なのですが、果たしてそれは本当かという懐疑的な声も当時は挙がっていました。

しかし、2008年に米国を代表する投資銀行リーマンブラザーズが破綻・倒産してしまった結果、64兆円にも上る巨額負債の煽りを受けて、世界中の金融機関・企業が大変な損失を被り、連鎖的に生じた世界不況から経営危機に陥ったところもたくさん出ました。

たとえば、米国絡みでもこれだけの巨大な事例があります。
※ベアスターンズの破綻・救済はリーマンショックより前なので除外

・ファニーメイ(連邦住宅抵当公庫) →破綻・国有化
・フレディマック(連邦住宅抵当公庫) →破綻・国有化
・リーマンブラザーズ(投資銀行) →破綻・倒産
・ワシントンミューチュアル(貯蓄貸付組合) →破綻
・ワコビア(銀行・証券等) →破綻・救済買収
・GM →破綻・復活
・クライスラー →破綻・救済買収

こうした経験から、大規模な金融機関を潰してしまうと世界規模の大不況を引き起こすことを痛感した先進国(G20)によって、「規模が大きすぎて潰したら大変なことになる銀行リストを作ろう」という声が強まります。

こうして出来上がったのが「Global Systemically Important Banks」、略してG-SIBと呼ばれるリストです。

2013年11月時点で、以下の29行が対象とされています。日本の銀行では、みずほ銀行・三井住友銀行・三菱東京UFJ銀行が含まれています。国別に整理されたリストがwikipediaにあったので、そちらのリンクを参考までに紹介しておきます。

『List of systemically important banks』
http://en.wikipedia.org/wiki/List_of_systemically_important_banks

【バケット4】(+2.5%の資本追加)
HSBC
JP Morgan Chase

【バケット3】(+2.0%の資本追加)
Barclays
BNP Paribas
Citigroup
Deutsche Bank

【バケット2】(+1.5%の資本追加)
Bank of America
Credit Suisse
Goldman Sachs
Group Crédit Agricole
Mitsubishi UFJ FG
Morgan Stanley
Royal Bank of Scotland
UBS

【バケット1】(+1.0%の資本追加)
Bank of China
Bank of New York Mellon
BBVA
Groupe BPCE
Industrial and Commercial Bank of China Limited
ING Bank
Mizuho FG
Nordea
Santander
Société Générale
Standard Chartered
State Street
Sumitomo Mitsui FG
Unicredit Group
Wells Fargo

バケットというグループは、グローバル活動/規模/相互連関性/代替可能性/複雑性という5つの指標のスコアから判断されるもので、最高ランクはバケット5です。今のところ、そのレベルに該当する銀行はありません。
https://www.financialstabilityboard.org/publications/r_131111.pdf

これらのTBTF(Too Big To Fail)な銀行では、何かあっても国民の税金が惜しみなく投与されて救済されるということで、政府や市民の監視団体がギラギラと目を光らせて、経営の健全性をチェックしてきます。

ですから、そうした期待?に応えるため、これらの銀行では特にITを使った高度化の取り組みが盛んです。古くはアセットライアビリティマネジメント(ALM)という仕組みはIT化されてきましたし、昨今ではサイバーセキュリティにおける高度な防衛技術の導入も進んでいます。最近のビッグデータやアナリティクスというキーワードからは「監査」がホットトピックです。

<何をやるのか、の例>
『内部監査の現状と高度化への課題』
http://www.boj.or.jp/announcements/release_2014/data/rel140107a10.pdf

<どうやるのか、の例>
『データ分析導入による内部監査の高度化』
http://www.shinnihon.or.jp/services/advisory/itr-and-a/column/2014-06-05.html

IT業界にとっては、この辺りが商機として熱いところになっていくのではないかと思います。上記は日本国内の話ですが、米国や欧州だけではなく、アジアでもこうした観点での機能強化はITによる実現が求められるものです。

銀行の中で鍛えられたソリューションは、高いセキュリティを求めるその他の企業にも転用できるため、機密度の高い設計図や研究データを扱う国内企業にも活用する余地がでてくるでしょうね。

posted by 吉澤準特 at 14:52 | Comment(0) | TrackBack(0) | 業界裏話

2014年06月03日

世界の1/3を止めるサイバー攻撃を「見える化」するサービス
このエントリーを含むはてなブックマーク

百聞は一見に如かず、という格言がありますが、これをサイバーセキュリティの世界で実現したサービスをGoogleが公開しているのを知っていますか?

先の格言は、データをたくさん並べて言葉で説明するよりも、図を1つ見せた方が理解が何倍も早いという話ですが、これはインターネットの世界にも当てはまります。中でも、日々複雑度を増しているサイバー攻撃の世界では、それが顕著です。

インターネット上では日々数百数千のサーバー攻撃が行われているのですが、とりわけ簡単にできて、かつ効果が深刻なものに「DDoS攻撃」(ディードス攻撃)というものがあります。これは、Distributed Denial Of Serviceの略称で、たくさんのアクセスを対象サーバに集中させて、そのサーバが提供しているサービスを利用不能にしてしまう攻撃方法です。

その手軽さゆえ、組織間や国家間でのいざこざがあると、DDoS攻撃は途端に数を増やします。この特性を利用すると、この攻撃だけをウォッチすることで、あの日あの時あの場所で起きた世界レベルのサイバー攻撃を把握することが可能です。

それをGoogleは「Digital Attack Map」というサービスで実現しました。

『Digital Attack Map』(デジタルアタックマップ)
http://www.digitalattackmap.com/

Digital Attack Map


このサービスとニュースサイトのDDoS攻撃情報を組み合わせると、その攻撃が実際にどのようなものであるかをイメージで知ることができます。

たとえば、日本でよく知られるDDoS攻撃に、中国や韓国からの歴史イベントに絡めた抗日攻撃があるのですが、中でも9月18日の柳条湖事件は中国からの攻撃が活発化するタイミングとして有名です。

これを先のデジタルアタックマップで眺めてみると、2013-09-17の段面では、中国から日本への攻撃のみが顕著に突出しており、当日世界中で起きたDDoS攻撃の大半がここで占められているのではないかと感じさせます。

他の日では、アメリカが受けている攻撃が世界の大半を占めているようなので、その異常さはとても印象的です。


なお、同サイトにはDDoSの解説ページがあり、このサービスでウォッチしているDDoS攻撃は、1週間150ドルで注文!できることや、世界中のシステムサービス停止の1/3がDDoS攻撃によるものであることが示されています。

また、攻撃手段として以下のものがあることも解説しています。

・TCPコネクション攻撃
→ネットワークに接続可能な口を使い切らせる
・大量データ攻撃
→相手のネットワークをデータで溢れさせる(オーバーフロー)
・断片化攻撃
→データを細切れにして送り相手が読み取る負荷を増やす
・アプリケーション攻撃
→アプリケーションの特定機能を使用不能にさせる
・DNSリフレクション
→1回のDDoS攻撃を最大70倍に増幅させる
・キャラジェン攻撃
→通信機器のテスト機能を利用して通信量を増幅させる


サイバー攻撃やDDoS攻撃と聞くと、何やら難しい世界のように思う人もいるでしょうが、こうしてGoogleが公開している見える化サービス(インフォグラフィックス)を利用してみると、目で理解することの重要さにふと気づかされますね。

posted by 吉澤準特 at 11:57 | Comment(0) | TrackBack(0) | 業界裏話





【IT業界の裏話】過去コラム(No.1-337)
[ TOP ]IT業界の裏話

▼ IT業界の人々
「内製率を高めたい」のに「世界...
人の話を聞かないIT技術者の...
コンサルを目指す学生との対話...
IT業界、悪魔の辞典『ヒト編』
改善は「自分が楽をすること...
近くて遠きもの、プログラ...
IT企業が求めるプログラマ...
ITプロの3割が機密情報に...
10年働くソルジャーが欲しい...
PGとSEの仕事の面白みは何...
メールをすぐ返信する人、しな...
├ ITコンサルタントになる方法
我がコードは我流。我流は無...
欧米人がグリーンITに積極的...
実は変化など望んでいないエ...
├ 実はコミュニケーション能力に...
IT業界人は自分のドッグフード...
IT業界を不人気にした重鎮...
IT業界の変わった人々
電子メール禁止!ゼロメール...
名言集−運用フェーズ−
システム開発における名言集
失敗から学ぶ人、学ばない人...
SEに多いコーチングタイプは...
あなたのコーチングタイプは...
ITエンジニアの年収公開サ...
CTCは何の略?
会議は踊る、されど進まず...
繰り返し使われるメールアド...
遅刻しそうなので面接受け...
社内SEが人気を集めている...
サポートセンターの悪夢
IT業界に向いていない人
日本の夏、熱暴走の夏
客前で後ろから刺される
システム障害でクビが飛ぶ人
病欠って何ですか?
昼休みって何ですか?
Windowsに弱いIT技術者2
Windowsに弱いIT技術者
エンジニアは音を伸ばさない
話しにくい人
転職する人しない人
サイコロ一振りで給料を決め...
コンサルがお絵描き好きなの...
コンサルの報酬額って?
ITコンサルとSEの違い
SEのITリテラシ
公私のケジメ

▼ 仕事のやり方
客先で自分のPCが差し押さえられ...
「闇リリース」は善意でやっても...
新人のための7つのワークハック...
仕事の質を落とさないメソドロ...
組織が150人を超えると仕事の質...
世界最大のコンサル会社が最低...
IT業界、悪魔の辞典『SI編』
パワーポイントを紙芝居に貶め...
日本と米国の違い:ベンダーサ...
定時退社日に罪悪感を感じるIT...
ストレス厳しい職場を生き抜く...
おまえが呼ぶな、俺が呼ぶ「ハ...
ITプロレタリアートは多機能工...
図表をリッチにする5つのシン...
セクシーパワーポイント道
エンジニア御用達のIT誌
メールコミュニケーションを200.
├ ニッポン・エンジニア・レボリュ...
ITのプロって何ですか?
クールビズにも限界、冷房28...
真夏に長袖!なのに裸より涼...
測定しにくいものを測定する方...
山田さんの使いやすいシス...
SEの品格
コンサルの品格
ダメシステムはひとまず葬れ
眠気対策アイテムを考える
長篠メソッド
ITサポートがユーザーに教え...
資格の価値
出張先のホテルでインターネ...
お口の恋人
絶対に潰れない会社の悩み
エアエッジが必要になる理由
ハイプ曲線+キャズム理論
ユンケル黄帝液とスーパー黄...
一貫性が信用を生む
デビルズ・アドボケイト
落とし所を見定める
クライアントの良き友人たれ
キャンペーンでたたみかける
比較で暴利をごまかす
権威を活用する
ヒヤリハットの考え方
密談のタバコ部屋
「えいや」で決まる、魔法の言葉
海外テレカンの心得
IT業界でうまく生きていくコツ
ポンチ絵
仕事と作業の違い
上司に背を向けると怒られる?
ロケットスタートのススメ
人の考えを利用すべし
「見える」化
仕事の範囲
ワークシートのススメ
フローチャートの基本
仕事のやり方、片付け方
もんたメソッド
高橋メソッド
作業時間の見積り方
仁義を切る
アクションプラン
ミーティングと議事録
ベンダー選定の基準
ITと数学
レスポンシビリティとアカウンタ..
仕事の密度
リクルーティング
ドキュメントプロパティ
クライアントが納得する答え

▼ 仕事の環境
こんなのITのプロらしい仕事...
デスマーチに陥るお決まりパ...
外資が休暇を大切にする”真”...
HTMLメールとテキストメール...
ペーパーレス化が紙の無駄...
携帯電話のSDカードも禁止す...
人々は安定性と安全性の両方...
カタカナ会社はあやしい会社?
サービスリリースの落とし穴
IT業界の職場環境
IT業界の労働環境悪化は...
英語の必要性
正月出勤
年末年始の過ごし方
止められないコンピュータ
動かないコンピュータ
リリース直前の危機

▼ IT業界の動向
クラウドプレイヤーの名言集...
ネット史上最大の惨事、マイクロ...
ベンダー努力を台無しにするIFRS...
電子政府構想は無駄遣いの温床...
NASAのレポートがIT業界に与える...
中国当局によるプログラム盗用は...
コンサルもSIerもいらない内製...
中国のソースコード強制開示制度...
IBMは当て馬、Oracleが演出する...
PWCCが復活、ベリングポイントを...
IBMに喰われたSun、IT業界に訪れ...
ヤフー、自社データセンター所有...
自分が決めたルールに違反するGo...
SOAは死んだ
データセンターを巡るIT業界三...
├ リーマン破綻にみる米国証券業界...
IT史に輝く「すべったテクノロジ...
冷却を必要としない常温データ...
過去のIT業界10大予測を振り...
├ エンジニアよ、大志を抱け!
├ 黒箱襲来!コンテナがDC...
IT業界進化論: SIer 2.0を目...
IT業界がダメな理由を学生の...
IT業界温室効果の1/4はDC...
新生ニコニコ動画、ニコンド...
システム前線異常アリ!ゆう...
ニコニコ動画は文化の架け橋
Web2.0の向こう側〜サードリ...
セカンドライフだけで宣伝の...
国家戦争にも利用されるDDo...
DoCoMo2.0に見る情報格差...
DoCoMo2.0とWeb2.0
ITIL準拠という幻想
システム障害訓練の日を制...
WAONとnanacoが提携したい...
NTT東西の野望〜光回線編...
mixi招待制の綻び
Vistaが売れない理由
独自仕様に走り過ぎて泣き...
米国事情から見る日本のIT...
MVCからAjaxへ
外字ってなんですか?
Sunがx86サーバにIntel採用...
やりたい放題バッドウェア!
アウトソーシングという名の幻...
ソフトバンクモバイル、MNP停...
やっぱり止まったソフトバンク...
あらゆる意味でやり過ぎの...
経営者不在の日本版SOX法...
働いてみたいIT企業ランキン...
サーバの進化がデータセン...
_システム運用にRSSを活用
電力線通信が認可される日...
携帯メールはSSL通信よりも...
経営者不在の日本版SOX法...
Microsoftがサイトリニューア...
停電に脆弱なシステム
システムは誰のためにある...
ITILで運用が楽になる?
進化するコールセンター
Vacademy
IT業界にロングテールはある...
時間をお金で買う
あなたの猫はコンピュータウ...
個人情報保護法の範囲
あなたvsプロジェクト構成管理
ドラマ24にみるシステム最前...
次世代トレンドと枯れた...
日本版SOX法の施行に向け...
新しいWindowsはWeb決済...
地震に強いシステムをお持...
IT Doesn't Matter
SOAと分散コンピューティン...
各社で定義が異なるESB
おサイフケータイに見...(2/2)
おサイフケータイに見...(1/2)
子会社のシマを荒らす親会社
アインシュタインに学ぶソフ...
公職選挙法とインターネット
マイレージ負債
インターネットの舞台裏:海底...
ゼロ・クライアント
サーバのトレンド
外資系パッケージベンダー

▼ 業界の構造
対極にあるIT業界とコンビニ業...
IT業界は成果報酬型のサービス...
特定ベンダー以外をふるい落と...
欧米人なら爆笑するレベルと...
IT業界が詐欺師集団と言われる...
IT業界の格差社会、年収200...
├ 新基準導入でデスマーチがな...
公式では言えないニコニコ動...
├ コンサルとアプリ開発者、格差...
システム運用はIT業界の最下...
テストフェーズの呼び方は千...
2000年問題再来!?サマー..
減り続ける正社員の割合
労働局が偽装請負の抜け道...
会社貸与のPCは何年償却?
ITIL Foundationを2万円で買..
IT製品もイメージ重視?
お試しできない製品は売れない
IT業界は無免許制
どんぶり勘定
標準価格と提供価格
ソフトウェアライセンス
社外秘の秘密度合
偽装請負 
システム開発の流れ7 テス...
システム開発の流れ6 開発...
├ システム開発の流れ5 開発...
システム開発の流れ4
システム開発の流れ3
システム開発の流れ2
システム開発の流れ1
IT業界の構造

▼ 業界ランキング
SIerランキング2005
コンサルランキング2005

▼ その他
「幣社」という表現は相手を見下...
コミュニケーション力の不足は...
聞く耳を持たないYahooニュース...
黒デスクトップ事件に見る中国...
ITコンサルから見たブラッディ...
違法ダウンロードでネット追放...
就職難民=不出来な学生とい...
モンスターペアレント、会社襲来
あえて言おう、Yahooの掲示...
プログラマ向きなカフェをオー..
├ Japan Brog Award 2008を..
日立さん、IT大喜利をもう一度
インターネット上の信頼できる...
IT業界でありそうな迷惑勧誘...
倒産してもカネを要求する悪2...
倒産してもカネを要求する悪1...
├ 枯れた技術の水平思考で
├ ずさん極まりない環境保護ラ...
世界の奇妙な法律を集めた...
50万円のキーボード
洋楽を1曲10円で購入できる...
CNETとZDNetは同じ会社
情報の価値(情報商材)
コンパイル1回12時間の世界
楽天ポイント事件
楽天ポイント事件〜利用者...
楽天300ポイント付与で謝罪
ライブドア強制捜査
└ ネットワークベンダー