Cover Image

HCL AppScan による、重大な Log4j のセキュリティー脆弱性問題への対応 - CVE-2021-44228 の解説
2021/12/14 - 読み終える時間: 4 分

HCL AppScan Guide to Critical Log4j - CVE-2021-44228 の翻訳版です。

HCL AppScan による、重大な Log4j のセキュリティー脆弱性問題への対応 - CVE-2021-44228 の解説

12月9日(木)、世界で最も利用されているオープンソースのログシステムであるLog4jが、Apple、Amazon、Cloudflare、Steam、Tesla、Twitter、Baiduなど、世界中の大企業に影響を与える重大な脆弱性の明確な証拠を示したというニュースが流れました。

Microsoft Security Response Team によると、Apache Log4j 0-day 脆弱性は、認証されていないリモートコードの実行を可能にするもので、攻撃者がさまざまな異なる入力ベクターを通じて提供した特別に細工された文字列が、Log4j 2の脆弱なコンポーネントによって解析および処理されたときに発動します。この報告から1日も経たないうちにすでに攻撃が行われており、中国の大手ハイテク企業であるQihoo 360のネットワークセキュリティ部門である Netlab は、MiraiMuhstik(別名:Tsunami)のような攻撃者が、悪用できる脆弱なサーバーを今も積極的に探していることを明らかにしました。

現在、CVE-2021-44228 として知られるこの脆弱性は、Oracle 社の勧告によると、リスクマトリックスのベーススコアが10で、最も高いリスクとなっており、GitHub 社の勧告では、深刻度レベルが「クリティカル」とされています。

画像の説明

影響を受けているかどうかの判別

お使いのアプリケーションがこの脆弱性の影響を受けているかどうかを判断するには、以下の手順を実行します。

  • 現在のLog4jのバージョンを確認し、アップデートしてください。2.15.0 より前のすべてのバージョンが影響を受けています。
  • 現在のJavaのバージョンを確認し、アップデートしてください。以下のバージョンより低いものはすべて脆弱です。
    • Java 6 - 6u212
    • Java 7 - 7u202
    • Java 8 - 8u192
    • Java 11 - 11.0.2

アプリケーションにJavaとLog4jの両方の問題がある場合、Certnz 社の勧告によれば、確実に影響を受けています。しかし、GitHub - log4shell-tester のようなオープンソースのテストツールを使用して、ドメインの脆弱性を確認することができます。

Log4jのソリューション

Log4j のバージョン2.15.0 をダウンロードしてください(アップグレードできない場合は、以下の手順に従ってください)。

  • システムプロパティ formatMsgNoLookups または環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS を true に設定することで、動作を緩和することができます。

  • バージョン >=2.0-beta9 かつ <=2.10.0 を使用している場合、zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class のように、Java のクラスパスから log4j の JndiLookup クラスを削除します。

AppScanはどのように役立つか

HCLのAppScanは、クラウドベースのAppScan on Cloudのオープンソース解析(OSA)機能を使って、どのバージョンのLog4Jを利用しているかを検出します。それによって該当のLog4Jを使用していることが分かり、バージョンアップ等の対策を取ることが出来るようになります。

AppScan on Cloud (ASoC) とは?

ASoCは、SAST、DAST、IAST、OSAなど、クラウド上で利用できる包括的なセキュリティ検査ツールの比類のないスイートを提供します。ソフトウェア開発ライフサイクル(SDLC)の早い段階で脆弱性に対処することができ、誤検知を減らし、書かれたコードを修正し、より正確な結果を出すための高度な相関関係を得ることで、安全でコンプライアンスの高いソフトウェアを迅速かつ大規模に提供することが可能になります。

AppScanのSCAツールと、SAST、DAST、Web用IAST、オープンソース・アプリケーションを含む一連のセキュリティ・テスト・ツールについてのお問い合わせ、購入のご相談はお問い合わせ窓口までお願いします。

HCL AppScanのデプロイメント・プラットフォームにおけるLog4jの脆弱性に関する追加情報は、AppScan の技術情報をご覧ください。

Cover Image

ヘッドレスコンテンツマネジメントはデジタルエクスペリエンスのゲームチェンジャーか
2021/12/14 - 読み終える時間: ~1 分

Headless Content Management Is a Digital Experience Game Changer? の翻訳版です。

ヘッドレスコンテンツマネジメントはデジタルエクスペリエンスのゲームチェンジャーか

2021年12月13日

著者: Marci Maddox / Research Director, Digital Experience Strategies at IDC

企業がお客様やステークホルダーに価値を提供できるかどうかは、常にリーダーシップの場で議論されているテーマです。 多くの場合、企業がどれだけ顧客とつながっているか、また、社内のスタッフがコンテンツやパーソナライズされた体験を作成して、増え続けるチャネルに簡単に提供できるかどうかが問題となります。 急激な市場の変化と顧客の嗜好の変化により、企業はヘッドレスアーキテクチャのような軽快なDXPデザインに投資する必要性が高まっています。ヘッドレスアーキテクチャは、コンテンツの開発とそのソースを、実際のコンテンツ配信やユーザーエクスペリエンスから切り離すものです。これを受けて、ITリーダーたちは、ヘッドレスコンテンツマネジメントをデジタルトランスフォーメーションの議論の場に持ち込み、柔軟なAPIを実現し、アジャイルなWebサービスをサポートすることで、あらゆるチャネルやデバイス上で、あらゆるフロントエンドデザインにコンテンツを配信しようとしています。

デジタルエクスペリエンスの再考による、スケールの大きな顧客との関係構築

デジタルへの劇的なシフトは世界共通で、メーカーは従来の小売チャネルを避けて初めてのEコマースストアを開設し、銀行は合理化されたオンライン融資プロセスで顧客の要求に応えようとしています。ヘッドレスコンテンツマネジメントシステム(CMS)の使用は、フロントエンドの開発者がアイデアを現実のものとし、顧客とつながるコンテンツを大規模かつ迅速に提供できる柔軟性を備えているため、人気が高まっています。このようなシステムは、マルチチャネル体験をサポートする強固なAPIフレームワークを備えたバックエンドのコンテンツエンジンを提供します。マーケティングチームは、消費者の関心を引くような魅力的な体験を自由にデザインすることができ、必要に応じてコンテンツのパーミッション、セキュリティ、データのプライバシーをCMSが処理してくれることに安心感を持つことができます。

画像の説明

魅力的なデジタル体験を提供するためのデータソースが増え続ける中、CMSを長期的に持続させるためには、APIファーストのアプローチが不可欠です。統合ポイントをしっかりと確保することで、開発者はバックエンドシステムでのデータ管理方法に制約されることなく、新しいサイトを立ち上げたり、すぐに削除したりすることができます。ヘッドレスアプローチは、1つのCMSで複数の部門の要件をサポートできるモジュラー型プラグアンドプレイモデルをサポートします。例えば、大学の同窓生グループが寄付を目的としたコマースツールを利用している一方で、大学のスポーツ部門がゲームのチケットを購入するためのモバイルアプリを必要としているとします。両者が同じコンテンツ資産を利用することで、ブランドの一貫性を保ち、認知度を高め、母校の誇りを高めることができます。

自前のソリューションでは、今日のデジタル消費者の要求に応えることはできません。ブランドのフロントエンドを変更するためには、IT部門とビジネス関係者の間で数週間から数ヶ月の調整が必要になることもあります。ヘッドレスコンテンツアプリケーションを使えば、開発者は他のITスタックに影響を与えることなく、サイトのあらゆる部分を変更することができます。このレベルの俊敏性と柔軟性は、今後のCMS投資においても重要な役割を果たします。 ヘッドレス・コンテンツ・アプリケーションの主な利点は次のとおりです。

  • すべてのタッチポイントでシームレスな体験を提供することができる。
  • 最新のテクノロジーをより迅速かつ容易に取り入れることができる俊敏性。
  • デジタル・エクスペリエンスを変更するための開発コストの低減。
  • よりシンプルで標準化された統合ポイントは、より多くの選択肢とスケーラビリティをもたらす。
  • 価値ある体験をより早く市場に提供する能力。
  • コンテンツを提供する際に、開発者やパブリッシャーへの依存度が低くなる。

画像の説明

クラウドネイティブソリューションの価値でヘッドレスのパワーを拡張する

ヘッドレスコンテンツアプリケーションは、その性質上、プラットフォームを接続し、反復的な展開作業をサポートするための熟練したリソースを必要とします。クラウドベースのソリューションプロバイダーは、新しいソリューションを市場に投入するためのプロセス、ツール、および時間を削減することを目指しています。企業は、ホスティングされたソリューションを使用して、数分でサイトのプロビジョニングを行い、メンテナンス作業もアウトソースすることができます。企業によっては、ヘッドレスCMSの能力をフルに発揮したいと思っていても、それを実現するための開発者のスキルが不足している場合があります。このような場合、DXPベンダーとそのパートナーネットワークと協力することで、その負担を軽減し、エコシステムの専門知識を活用してヘッドレスCMSの可能性を最大限に引き出すことができます。

従来のCMSにはフロントエンドの技術が含まれていますが、サイトオーナーはそれがすべてのニーズを満たしていないことや、作業方法が制限されていることに気づくことがよくあります。結局、アプリケーションをカスタマイズしたり、テクノロジーの構造に合わせて社内のプロセスを変更したりしなければなりません。ヘッドレスCMSにはリファレンス実装が含まれており、コンテンツが最終消費者にどのように配信されるか、また公開プロセスを合理化するためにAPIをどのように利用すればよいかをチームが確認できるようになっています。レガシーのフルスタックCMSモデルから移行する際には、ヘッドレスCMSのロールアウトを段階的に行い、ユーザーの採用を得るために試用する必要があるかもしれません。クラウドは、ヘッドレスシステムがハイパフォーマンスのシナリオでどのように動作するかをテストし、学ぶための低リスクのオプションを提供します。

ヘッドレスCMSで次世代の体験を提供する

カスタマーエクスペリエンスを向上させるために様々な企業と話をする中で、IDCは、多くの企業が次のCMSへの投資に関して岐路に立っていることを確認した。 一方では、モジュール性、設計の自由度、開発コントロールを求め、他方では、高いレベルのセキュリティとデータプライバシーを満たしながら、マーケティングチームが使いやすいコードレスのコンテンツ環境を求めている。CMSプロバイダーは、ビジネスユーザーに合わせたヘッドレスプラットフォーム、「アプリストア」タイプのエクスペリエンス、そしてデジタルカスタマーエクスペリエンスを強化する様々な統合データソースをサポートするAPIフレームワークで、これらの要件に取り組んでいます。フロントエンドとバックエンドのシステムを分離し、ヘッドレスまたはデカップリングされたCMSを導入することで、企業はより俊敏に、あらゆるチャネルやデバイスに、より短時間でカスタマーエクスペリエンスを提供することができます。

Cover Image

キッチンをリフォームして HCL に入社しました (これらのうち1つは間違った判断だった)
2021/12/14 - 読み終える時間: ~1 分

I Remodeled My Kitchen and I Joined HCL. (One of These Things Was a Bad Decision.) の翻訳版です。

キッチンをリフォームして HCL に入社しました (これらのうち1つは間違った判断だった)

2021年12月9日

著者: Henry Bestritsky / Low-Code Transformation Sherpa

私と妻は、新しいキッチンが欲しかったのです。10年前に購入した家電製品は、昨年家を買ったときに手に入れたSubzeroとWolfの高級品でしたが。そこで、お金で買える最新の人気家電に大金を払って買い替え、スマホのアプリで操作できるようにしました。もちろん、Alexaにも対応しています。その2ヶ月後に冷蔵庫が壊れたのですが、(3週間待って)修理屋さんが来たときに、"こういうのは古いものだと壊れないんですよ "と笑顔で言われました。私もその前日にHCLに入社し、世界の古典的な技術のひとつである「Domino」に再び携わることができることになったので、笑顔になりました。これもまた、壊れない「古いもの」の一種です。

はっきり言って、私は技術に関しては懐古主義者ではありません(しかし、人に関しては懐古主義者であり、長年にわたって最も賢い人たちと仕事をしてきました)。 自分が10点だと思うなら、12点の人たちに囲まれなさい、と私はいつも言っています)。このことを証明するために、私はまず、IBMのトップパートナーであり、企業がビジネスプロセスを自動化するためにLotus(後にDominoとなる)を採用するのを支援していたBinary Treeに長年勤めました。Dominoの技術革新や投資が行われなくなってからは、Office 365が登場したときにMicrosoftに転職しました。私はおそらく、何百万人もの人々をDominoからOffice 365へと移行させる手助けをしたことでしょう。何年もかけて多くの人々にDominoを採用してもらった後、私は文字通り人々をDominoから離すことで生計を立てていました。こんなことになるはずではありませんでした。

率直に言って、私は何年もの間、Lotus/Dominoの代わりとなるものを探そうとしてきました。 まるで、聖杯を探すインディ・ジョーンズのようでした。 時が経ち、技術が進歩するにつれ、「ローコード」や「ノーコード」という言葉が、MendixやOutsystemsなどの企業から登場するようになりました。 他にも、AirtableやFormstackなど、よりノーコード側のプレイヤーも登場しました。 IMHOでは、Airtableは素晴らしいツールだと思いますし、以前のDominoのオーナーが全く同じものを作ればよかったと思います。

Airtableがステロイドを使った表計算ソフトだとしても、やはりDominoではありません。 率直に言って、Dominoではないというのが私の結論です。 Dominoにできることは何にも代えがたい。だからこそ、企業はいまだにDominoを運営し、製品を作り、人々を助け、そしてお金を稼いでいるのです。 さて、私がDominoを推しているように聞こえるかもしれませんが、まあ、少しはそうかもしれません。 そうでないわけがありません。 誰かに最初の車は何だったかと聞かれたら、笑顔になりませんか?

このブログは「The Low-Code Lowdown」という新シリーズの1回目で、ローコード/ノーコード市場とその市場を支える製品を掘り下げ、コスト・ベネフィット分析、リスク分析、セキュリティに関する意見、市場動向、パンデミックによって企業が経験している大規模なデジタルトランスフォーメーションなどを提供します。そして、30年以上経った今でもDominoが支配している理由をお教えします。

そして、MendixやOutsystemsのようなローコードの会社についてもお話します。そして、次のような厳しい(しかし基本的な)質問をするつもりです。もしあなたが、Dominoがあなたを拘束していると考えているならば、いったいなぜ彼らと一緒に行きたいと思うのですか? 次回のブログでは、この質問を別の形で紹介します。「DominoからOutsystemsに移行したいのか?次のブログでは、この質問を別の方法で説明します。「DominoからOutsystemsに移行したいなら、Ford Pintoを売ってもらおう(あるいは、ミレニアル世代ならSolarwindsについて話そう)」。

サポート技術情報: 2021/12/6-12/12 更新
2021/12/13 - 読み終える時間: 39 分

新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。

CentOS 8 のサポート終了後も Domino 11/12 はサポートを継続します
2021/12/10 - 読み終える時間: ~1 分

CentOS 8 は 2021年12月末でサポートが終了します。HCL Domino V11 および V12 が CentOS 8 をサポートしていますが、CentOS 8 のサポート終了後も継続してしてサポートします。OS に起因する障害の場合は制限が発生する可能性はありますが、ベストエフォートでサポートを継続します。

Cover Image

HCL Notes/Domino V12.0.1 と HCL Nomad Web 1.0.2 は 2021年12月14日にリリース予定です
2021/12/9 - 読み終える時間: ~1 分

HCL Notes/Domino V12.0.1 と HCL Nomad Web 1.0.2 ですが、無事に開発および品質検査が完了し、リリースを待つばかりとなりました。今回は以下の新機能を搭載しました。

時差の関係上、ダウンロードサイトでの公開は 14日の夕方以降になる予定です。もう少しだけお待ちください。

Domino V12.0.1 の新機能・改善
  • セキュリティー機能に関する強化
  • ワンタッチ・セットアップの機能強化
  • カスケード MUI パックでサポートされるサイレント・インストール
  • 64 ビット Windows クライアントのベータ版
  • Active Directory ユーザーを検索する名前検索の改善
  • 名前変更要求の自動処理
  • ライセンス・トラッキングの機能強化
  • Domino と国際化ドメイン名 (IDN) を持つドメイン間のメール・ルーティング
  • 外部インターネット・ドメインに送信されるメッセージの DKIM 署名
  • Domino Administrator の [ファイル] タブでフォルダーを非表示にする
  • バックアップとリストアの機能強化
  • 新しい Updall のオプション
  • 圧縮の機能強化
  • 新しい Notes クライアントの notes.ini 設定
  • .ind ファイルの機能強化
  • R4.6 と R5 のセクションを Domino ディレクトリーから削除
Notes V12.0.1 の新機能・改善
  • メールの改善点
  • カレンダーの改善
  • ワークスペースの改善
  • 視覚的な改善
  • パフォーマンスの改善
  • インストールの改善点
  • その他の機能拡張
Nomad Web 1.0.2 の新機能・改善
  • Nomad Federated Login (NFL) のサポート
  • Security Assertion Markup Language (SAML) のサポート
  • panagenda MarvelClient Web Migration のサポート
  • UI の改善
  • 日本語環境での IME や添付ファイルの動作の不具合修正

HCL Domino: ユーザーの最大アクセスレベルのデータを収集するためのレポートツール
2021/12/9 - 読み終える時間: ~1 分

HCL Notes/Domino のセキュリティー維持のためには、データベースのアクセス権の管理が重要です。今回、HCL Software では、この作業を支援するためのツールを公開しました。

Cover Image

記事紹介: 「草刈り場」とは言わせない! DX時代でこそ輝くNotesの設計思想
2021/12/9 - 読み終える時間: ~1 分

週刊BCN+ のサイトで以下の記事が公開されています。古いけど新しい、そして DX にも対応できる HCL Notes/Domino についての評価がされています。是非、ご覧ください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Aftermarket Cloud Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA CDP Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iAutomate iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient Model Realtime nds2019 ndv12beta Nippon Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修