cles::blog

ソフトウェア開発のレビュープロセスに関する JIS 規格 JIS X 20246 が正式版になっていたのでメモ。
「ISO/IEC 20246:2017 Software and systems engineering — Work product reviews」の邦訳版になります。

設計書・仕様書のレビュー方法を定めたJIS規格登場　チェック体制を標準化しやすく - ITmedia NEWS

「JIS X 20246」は、設計書・仕様書の見直し作業を「計画作業」「レビューの立ち上げ」「個々人のレビュー」「要検討項目の共有および分析」「修正作業および報告作業」の順に整理し、実行するべきタスクや手順を規定するもの。システム開発や試験、保守などの場面で作るあらゆる仕様書に適用可能。

• 日本産業規格(JIS)を制定・改正しました（2021年11月分） （METI/経済産業省）
• システム開発における作業生産物のレビュープロセスに関する JIS 制定

以下のウェブページから X20246 で検索すると閲覧できます（ダウンロード不可）。

• 日本産業標準調査会：データベース検索-JIS検索

ページ数も 40 ページとコンパクトにまとまっているので、すぐに読み終わると思います。
内容としてはFagan Inspection^*1)や、IEEE 1028 IEEE Standard for Software Reviews and Auditsなどの古典的なレビュー方法を踏まえた基本的なものなので特に目新しい感じはしないですね。

• ^*1: M. E. Fagan, "Design and code inspections to reduce errors in program development". IBM Systems Journal, 15(3), pp.182–211, 1976. (doi:10.1147/sj.153.0182

JPCERT/CC が Web メールサービスのアカウントを標的としたフィッシングについて注意喚起していたのでメモ。

最近僕のところにも cles.jp のメール管理者を騙るフィッシングが良く届きますが、僕のメールサーバは自分専用（つまり管理者は自分）なので、この手のメールに騙されることはありません。

Webメールサービスのアカウントを標的としたフィッシングに関する注意喚起

Webメールサービスのメンテナンスやお知らせなどをかたったメールが送られており、メールの本文中のリンクへ接続すると、同サービスのログイン画面になりすましたサイトに誘導されます。そのサイトでメールアドレスとパスワードなどを入力して情報を送信すると、攻撃者にアカウント情報が詐取されます。

フィッシング対策協議会のフィッシング対策ガイドライン（2021 年度版）が公開されていたのでメモ。
昨今の状況に鑑み、SMS には国内直接接続の配信を利用することを対策要件に盛り込むなどの改訂がされているようです。

フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: フィッシング対策ガイドラインの改定について

私大等の学校法人で不祥事が相次いでいる問題で文科省学校法人ガバナンス改革会議が、学校法人の経営の監視について抜本的な改革を行う方向のようなのでメモ。

評議員会がは学外者だけで組織されるようになり、最高議決機関になるというのが柱のようです。

どうなる私大のガバナンス強化　有識者案に大学側が猛反発：朝日新聞デジタル

現在は学校内の人も入っている評議員会のメンバーを学校外の人だけにしたうえで、理事の選任・解任や予算・決算、合併や解散などの重要な決定を行えるように、私立学校法などの法令の改正を提案するという内容

企業についてはコーポレート・ガバナンス強化のために社外取締役が過半数を占める委員会等設置会社という制度ができたり、スチュワードシップ・コード及びコーポレートガバナンス・コードが^*1*2策定されたりと、経営の監督機能と業務執行機能が分離されているので、これに近い形態にするということになりそうです。

• ^*1: スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議：金融庁
• ^*2: コーポレート・ガバナンス | 日本取引所グループ

サーバ等を運用していると定期的に当てなければならないパッチ管理を管理するのは結構大変です。

Windows Update や apt upgrade 、dnf update なども個人のマシンならば気軽にやってしまっても問題ありませんが、仕事用のマシンだと影響がないかどうかの確認にも含めていろいろと事前にいろいろと作業が必要になるので、結局アップデートされていないということに繋がっている場合も多いかと思います。

今回の NIST の標準ができれば、現状に一石を投じることができるでしょうか。

NIST SP 1800-31（ドラフト）一般的なITシステムへの組織全体のパッチ適用の改善：既存ツール活用とより良い方法によるプロセスの実行: まるちゃんの情報セキュリティ気まぐれ日記

NISTがパッチ管理についての２つのドラフトを公開し、意見募集をしています。

• SP 800-40 Rev.4（ドラフト）組織全体のパッチ管理計画のためのガイド：技術についての予防的保守
• NIST SP 1800-31（ドラフト）一般的なITシステムへの組織全体のパッチ適用の改善：既存ツール活用とより良い方法によるプロセスの実行

コロナ禍で資格試験の受験料が値上げラッシュになっているようです。

情報処理技術者試験^*1や TOEIC^*2、英検^*3の値上げがあったのは知っていましたが、社会福祉士・介護福祉士・精神保健福祉士などの厚生労働省系の資格も 2 ～ 3 割の値上げになっているようです。

コロナ禍で試験に値上げの波　TOEIC20%増、社労士67%増：朝日新聞デジタル

厚生労働省は社会福祉士・介護福祉士・精神保健福祉士の3資格で、2021年度分から受験料を2～3割引き上げた。「受験を避ける動きを生む」と福祉系団体などから反発の声もあがったが、来年1～2月の試験は値上げ後の新たな料金で実施される。

• ^*1: 情報処理技術者試験の受験料が 7,500 円に
• ^*2: TOEIC の受験料が値上げに
• ^*3: 入試への影響は？　英検が3年連続で検定料値上げ「コロナで会場費高騰」

2011年11月にスタートしたさくらのクラウドが 10 周年を迎えていたのでメモ。

• さくらのクラウドは皆様のおかげで10周年を迎えました | さくらのクラウドニュース

リリース当初はストレージシステムの障害が断続的に発生し、アーキテクチャの刷新を余儀なくされていたり、無料化期間が長引いたりと滑り出しは順調とはいえないものでしたが、最近はそのようなことがあったことが嘘のように安定稼働してくれています。

世間では Windows 11 にするかどうかというのが結構な関心事になっていますが、Windows 10 は Windows 10 でアップデートは続いていくわけで、今期の大型アップデート 21H2 (November 2021 Update) が配信が開始されました。

21H2 で粘るか、Windows 11 にアップグレードするかというのも悩ましい選択になりそうです。

Cybersecurity and Infrastructure Security Agency, "Incident Response Process," Federal Government Cybersecurity Incident and Vulnerability Response Playbooks, p.6, Nov. 2011.

米 Cybersecurity and Infrastructure Security Agency (CISA) がインシデント対応に関するプレイブックを公表していたのでメモ。

これは米国連邦政府向けのマニュアルですが、40 ページ程度と非常にコンパクトにまとまっているだけでなく、インシデントと脆弱性の各ステップがカラーのフローチャートで詳細に解説されていたり、チェックリストもついているので、読みやすく活用しやすい構成になっていると思います。

• New Federal Government Cybersecurity Incident and Vulnerability Response Playbooks | CISA
• Federal Government Cybersecurity Incident and Vulnerability Response Playbooks

9 月にアナウンスされていた「読んでいたツイートが見当たらなくなる問題を解決する」ための機能がリリース^*1されていました。

昔と同じように TL の上部に「○○ 件のツイートを表示」という表示が復活していて、これを押すと TL が更新されるという方式のようです。これはこれで便利なんですが、読み込まれた部分がわかり辛いのでこれはこれで使い勝手がいまいちな感じがします。

• ^*1: https://twitter.com/TwitterSupport/status/1460304788621508618