■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
 ■ ┏━┳━┳━┓                          ■
 ■ ┃@┃I┃T┃[@IT通信 No.418]2009/08/20            ■
 ■ ┗━┻━┻━┛                          ■
 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■ C o n t e n t s ━━━━━━━━━━━━━━━━━━━━━━━━━━━━


 ■今週のテーマ
   あなたのデータベース、健康ですか?
 ■今週のキーワード(from @IT用語事典)
   ソーシャルエンジニアリング
 ■[コラム]@IT編集部員のつぶやき
   実に悩ましきパスワード問題
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

今回のコラムや@IT編集部ブログでも取り上げたのですが、ECサイトの情報漏えい事
件に巻き込まれてしまいました。Security&Trustフォーラムを担当しているので、さ
まざまなリスクを認識していたつもりでしたが、当事者にならないと分からないこと
もあるのだと痛感しているところです。

■今週のテーマ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 「今週のテーマ」は、@ITで過去に掲載された記事の中から、担当編集者が
■ お勧めの記事をテーマ別に再掲載するものです

【テーマ】あなたのデータベース、健康ですか?

●データベースの「何」を「どう」監視すべきか
ゼロからのリレーショナルデータベース入門(10)

そもそも「監視」とはどのような行為なのでしょうか。三省堂「大辞林」によれば、
「不都合なことの起こらぬように見張ること」と定義されています。つまり、データ
ベースシステムの監視とは、データベースシステムの安定稼働を阻害する事象が発生
しないように、「何か」を見張ることです。本稿では、データベース運用において、
監視する対象や方法について説明していきます。

ところで、「データベースシステムの安定稼働を阻害する事象」とは何でしょうか。

人の場合で考えてみると、健康で生活することを阻害する要因として「病気」が考え
られます。病気にならないように定期的なチェック(血圧、体温、体重の測定など)
や、医師による診断が必要なように、データベースにおいても普段からの定期的な健
康状態の把握や診断が必要です。

例えば、システムの利用状況はビジネスの変化により影響を受けるため、カットオー
バー時には想定していなかった負荷状況になることがよくあります。処理量やデータ
量の増加、アプリケーションの改修、パラメータ変更など、実にさまざまな要因が
データベースに影響を与えます。その影響によっては、データベースの性能が劣化す
るだけでなく、データベースとしてのサービスを提供できない問題に発展する場合も
あります……

▼続きは「本文」へ
http://www.atmarkit.co.jp/fdb/rensai/basics_rdb/10/basicrdb10_01.html

さらに「データベース運用管理」関連記事は……

●DB運用管理、あなたの会社はどのタイプ?
Database Watch 2009年8月版 超高速なインメモリ・データベースが登場した8月。
4つに分類できるデータベース運用管理、タイプ別に改善ポイントを考えてみよう
(2009/8/17)
http://www.atmarkit.co.jp/fdb/rensai/dbwatch2009/dbwatch20098_01.html

●ロックをつぶせ!最初に疑うべき原因
Oracleパフォーマンス障害の克服(2) SQLが原因でパフォーマンス障害が発生して
いる場合、まず「ロック」を確認しよう。ロックにまつわる全作業工程を詳細に解説
する(2004/7/28)
http://www.atmarkit.co.jp/fdb/rensai/oraobstacle02/oraobstacle02_1.html

●そのデータベース壊せますか? そして直せますか?
データベースエンジニアへの道(6) ユーザーの入力ミス、運用ミスなどで生じる
データの不整合は、ディスク障害よりはるかに厄介だ。どうやったら未然に予防でき
るか(2006/9/27)
http://www.atmarkit.co.jp/fdb/rensai/db_enginer06/db_enginer06_1.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■


==PR------------------------------------------------------------------------
8月25日(火)開催「Oracle Database Summit 2009」で人気のセッションを緊急特集!
━━━━『 クラウドインフラに求められる柔軟なシステム運用管理とは 』━━━━
確実に訪れるクラウド時代、そこにあるべき情報システムの運用管理とは何か?
皆様の疑問や不安のポイントへ、オラクルのソリューションをご用意しました。
9月3日(木)オラクル本社にて http://www.atmarkit.co.jp/misc/ct.php?id=EV982592
--------------------------------------------------------------------------==


■今週のキーワード(from @IT用語事典) ━━━━━━━━━━━━━━━━━━

■ ソーシャルエンジニアリング

ネットワークシステムへの不正侵入を達成するために、必要なIDやパスワードを、物
理的手段によって獲得する行為を指す。代表的な例として、侵入した企業・組織の従
業員になりすましてパスワードを聞き出したり、盗み聞きしたりする行為が挙げられ
る。

ほかにも廃棄された紙ゴミから企業・組織に関する重要情報を読み取るなどの行為も
あり、これもソーシャルエンジニアリングの一種である。電話に出た子どもに対し
て、両親に関する個人情報を聞き出すことも立派なソーシャルエンジニアリングであ
り、最近よく見られる事例である。

企業・組織における対策例としては、偽造の難しい身分証を発行し携帯を義務付ける
ことや、重要情報に関する取り扱いや管理に関する規定を策定、明文化し、責務の明
確化を行うことが挙げられる……

▼続きは「@IT セキュリティ用語事典」へ
http://www.atmarkit.co.jp/aig/02security/socialengineering.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

■[コラム]@IT編集部員のつぶやき━━━━━━━━━━━━━━━━━━━━━

■ 実に悩ましきパスワード問題

実は私、以前ニュースになったECサイトでクレジットカード番号を流出されてしまい
ました。それだけでなくメールアドレスやログインパスワードも漏れた可能性がある
ということで、Security&Trustフォーラム担当としては大変おいしい、いや大変悩ま
しい状況です。それをきっかけに、複数のサイトで併用していたパスワード文字列
を、それぞれのサービス専用のパスワード文字列に修正をかけました。今回は私の
パスワード作成方法をお話ししましょう。

●ステップ1:種となるパスワード文字列を作る

まずは6〜8文字でパスワードの種を作ります。この作り方は前々職の後輩くんに教え
てもらったのが秀逸だったので、いまもそれを使ってます。それは「どこか適当な駅
名、地名を基にする」というもの。

例えば秋葉原を選んだとします。これをローマ字読みにしてakihabara、先頭を大
文字にしてAkihabara、さらに数字に置き換えたりしてAki88raなんかにします。舞浜
だったら「Ma18ma」ですかね。乗り換え駅や自分の住んでた街の住所を基にすればい
いかと。本来はここで記号も入れられるといいです。

●ステップ2:サービスごとにプレフィックス/サフィックスを付ける

Twitterならば「tw」とか、tumblrなら「tu」とかをその種の前後に付けます。
「Aki88ratw」とか「tuMa18ma」ですかね。

……ということで、これですと人間が見てしまえばプレフィックス/サフィックスを
付けていることがバレバレです。あーじゃあamazonだとAki88raamね、ハイ終了なの
ですが、機械的なブルートフォースには耐えられるのではないかと思っています
(一部のECサイトではパスワードが8文字までなどの制限が付いたりして困るのです
が……むしろそのような制限が付いているということはアレであると判断して使わな
いという手もあります)。

もちろん、本来はすべてのサイトですべてランダムなパスワードをきっちりと管理す
るという方法が一番正しく、ある意味上記も「使い回し」ではあるので危険性はゼロ
ではありません。しかしこのあたりはよくいわれる「セキュリティと利便性のバラン
ス」が重要だと思いますので、どこで折り合いを付けるかは「自己責任」なのでしょ
う。

私がなぜこれを書いたかというと、ぜひ皆さんの意見ややり方を知りたい、という思
いがあったからです。パスワードのノウハウはなかなか表に出しにくいとは思います
ので、本来は匿名掲示板などがあるといいのですが、オレにひとこと語らせろ! と
いう方はぜひ@ITクラブ Cafeに書き込んでみてください(炎上しない程度に)。

▼@IT編集部blog:アスマート情報漏えい、カード番号よりもヤバイもの漏れてます
http://atmarkit.blog.corp.itmedia.co.jp/archives/50887927.html

                           (@IT編集部:宮田健)

▼このコラムについてのご意見・ご感想は「@ITクラブ Cafe」へ
http://ap.atmarkit.co.jp/bbs/core/club_cafe

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
                       (@IT通信/編集担当:宮田健)


==「@ITメールマガジン」について--------------------------------------------

@ITでは、複数のメールマガジンを発行しています。すべて無料です。ご希望のメー
ルマガジンをお選びください。

▼メールマガジンについて
http://www.atmarkit.co.jp/applymember/club/mail_news.html

▼メールマガジン選択変更・確認・停止、配信先メールアドレスの変更は@ITクラブ
 の「メールマガジン配信変更・停止」ページにログインして行ってください。
http://www.atmarkit.co.jp/applymember/profile/optin.php

本メールに記載された内容の著作権は、記事執筆者およびアイティメディア株式会社
が有します。本メールの配布・転載等は自由に行っていただいてかまいませんが、そ
の際に内容の改編等の行為は禁止します。本メールに記載された内容で不明点・疑問
点がありましたら、下記のメールアドレスまでご連絡ください。

info@atmarkit.co.jp (記事やこのメールの内容について)
membership@atmarkit.co.jp (メール配信やメンバー登録について)
aditmedia@ml.itmedia.co.jp (広告について)

発行:アイティメディア株式会社
----------------------------------------------------------------------------
                 Copyright(C) 2009 アイティメディア株式会社
--------------------------------------------------------------------------==