はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ

WEB+DB PRESS Vol.114へのお便り

この記事を読むのに必要な時間:およそ 3 分

こんにちはこんにちは!! まだ寒い季節ですね! この時期は暖房などで部屋は暖かくできますが,露出している手先だけは冷えがちですね。ぼくも手がかじかんで,ゲーム中に操作をミスすることがよくあります。しかし良いグッズを見つけました。バスケ用の手甲という手袋です。これ手の甲だけをカバーして,手の平や指は露出したままなので操作を防げることなく防寒できます。冬のプログラミングにもお勧めですよ!

はまちちゃん
さわやか笑顔のスーパーハカー。ここの特別編集部員? 時折見せる憂いを帯びた瞳の奥に映っているのは,きっとあなたの脆弱性…!

わかばちゃん
はまちちゃんについてきちゃった,メガネがかわいいネット大好き14歳。プログラムはちんぷんかんぷんだけど,乙女の勘で今日もガンバル。

Vol.114の特集1

  • 特集1「AWS/GCPセキュア化計画」は,内容が非常に濃く勉強になりました。一口にクラウド利用といっても知らないことばかりですので,こういった特集記事で知識を蓄えられるのはありがたいです。オンプレミスで環境構築するときと比べて楽になる部分もありますが,特有の知識も必要だと感じていますので,読み返してしっかり身に付けていきたいです。

    東京都日野市 r_tihiroさん

前号の特集1では,AWSやGCPを安全に運用するための設定や管理方法について徹底的に解説しました!

最近はいろんなサーバに世界中からの攻撃が増えてきてるってよく聞くよ~。

そうだね。⁠うちは誰も狙わないから安心」なんて思っていると,いつの間にか踏み台にされていたりすることもあるから気を付けないといけないね。


  • 昨今,どの企業もセキュリティに重きをおいてきており,さらにクラウドサービスの利用も増えてきているので,この特集はクラウドのセキュリティの方法や一般論を広く浅く学ぶうえで役に立つように感じました。

    大阪府東大阪市 池原将太さん

特集では,単なる設定の解説にとどまらず,プロジェクトでの安全な運用方法やルール管理,継続的な監査などについてもしっかりと解説しました!

設定だけしたら,はい終わりっていうわけじゃないんだね。


  • ついつい,IAMの学習を面倒くさがって,rootユーザーを使っていました。まったく触っていないわけじゃないんですが,いまいち自分が使う権利を制限するのが面倒くさいんですよね。でも,この特集を機にIAMにチャレンジしてみようと思います。

    千葉県柏市 矢嶋勇一郎さん

IAMって何だっけ?


どのユーザーにどんな権限を与えるかを管理できるものだよ。まずはrootユーザーで最初のIAMユーザーを作ったあとは,管理者のタスクもすべてIAMユーザーで行うことが推奨されているね。

Vol.114の特集2

  • どのようにパスワードや2段階認証の問題解消や煩わしさを解決するのか,特集2「作って学ぶWebAuthn」はとてもおもしろかったです。自分に直接的な職務,職責範囲ではありませんが,もっと深掘りしてみたくなりました。

    東京都八王子市 はちぱんださん

前号の特集2 では,2019年3月にWeb標準化された,安全性を確保しつつ利便性が高いWebAuthnの仕様と実装方法について詳しく解説しました。

えっと……,WebAuthnって結局何なの?


パスワードを使わない認証ができるしくみだよ。


  • 従来型の認証方法が抱える問題点を克服する必要性を強く感じていたところだったので,助かりました。読んでみるとわかりやすい親切設計の記事のおかげで思ったほどハードルが高くはないと感じ,抵抗感がかなり薄まりました。公開鍵を生成しパスワードレス認証の導入に取りかかる良いきっかけをいただきました。

    宮城県仙台市 オミオさん

パスワードって使わないほうがいいの?


いちいち覚えないといけないし,使いまわしていたら危険だし,フィッシングなんかにも弱いからね。


  • PCの性能の進化につれ,かつての破りにくい認証も破りやすくなりました。開発者として,何か共通で信頼性の高い手法があれば良いと思っています。しかし,そんなしくみが出たからといって,信じ切って良いかという不安もあります。こうして,しくみと実装例を紹介していただき,前向きに取り組む気持ちになりました。

    東京都新宿区 NAZOさん

じゃあ,これからは全部パスワードレスになったほうが良さそう!

そうだね。だけどその一方でスマートフォンとかの認証器をなくしたときの救済措置は,利用者も提供者もしっかりと考えておく必要がありそうだね。

Vol.114の特集3

  • 特集3「Kyash開発ノウハウ大公開」は,Kyashがいかにシステムを工夫して安全な決済システムを作っているのかがわかりました。暗号化すべき場所や外のネットワークとの境界などの考え方がしっかりとしており,設計から実装まですべてに興味が持てました。次回もし続編があるのならアーキテクチャの責務周りを詳しく見てみたいと思いました。

    東京都墨田区 イノケイさん

前号の特集3では,キャッシュレス決済サービスの1つとして注目されているKyashについて,セキュリティ面やアーキテクチャなど開発のノウハウを紹介しました。

あっ,聞いたことある。決済だけじゃなくて個人間で送金もできたりするやつだよね。


  • アプリ開発の現場のスキル,やり方が掲載されていたのでたいへん参考になりました。AndroidアプリをKotlinで書けるように勉強中です。

    福島県福島市 ウェブウサギさん

Kotlinは本誌でもたびたび取り上げているので,よかったら参考にしてくださいね。

前回はバックナンバー109号で特集してま~す。ちょうど1年前の号!


  • ここまでノウハウを公開している記事はあまりないなと感じました。内部を知ることができて,とてもおもしろかったです。

    東京都小平市 吉良雄司さん

アプリケーションやサービスの開発ノウハウだけではなく,情報保護の観点からも,しっかりとコード付きで解説されていたのも良かったですね。

前号は全体的にセキュリティづくしだったな~。


著者プロフィール

はまちや2(通称はまちちゃん)

mixiやHatena,果てはGoogleやYahooやAmazon,そしてIEの脆弱性を突き,世の中を混乱に陥れたクラッカー。彼がmixiに放ったワームによって,CSRFという攻撃手法が一気に日の目を浴びることとなった。ユーモア溢れるキャラクターで愛され,独特のテンポでつづるブログにはファンが多い。合言葉は『こんにちはこんにちは!!』

URL:https://blog.hamachiya.jp/


竹原(たけはら)

はてなダイアリーの非公式マスコットキャラ『はてなちゃん』を,独自の可愛らしいタッチで描くことで注目されている絵師。 彼女の描くイラストは,いずれも淡い色彩で塗られているにもかかわらず,つい目を引いてしまう色使いが特徴的。 ほもだいすきな腐女子。『幕府をつくりたいのですが』(白泉社)の表紙イラスト・挿絵などを手がけた。

URL:http://mint37.net