【暗号化通信のしくみを手を動かしながら理解する】 SSL/TLSは、通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており、今日のWebでは利用が一般的になっています。本書では、その最新バージョンであるTLS 1.3のしくみと、その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが、それを応用していくには技術に関する理論の理解が必須になります。しかしSSL/TLSに関連する技術は大変多く、かつそれらのドキュメントは不足している状態です。本書ではこの理論部分を丁寧に解説し、それを活かした形で実装例まで解説することで、Web開発者たちが望んでいる解説と実践を相互に接続します。 ■目次 ●第1章 SSL/TLSの世界へようこそ 　　暗号化の役割と重要性 　　SSL/TLSの歴史 　　SSL/TLSの定義 　　SSL/TLSの構成要素 　　終わりに ●第2章 暗号アルゴリズムと鍵 　　検証環境 　　共通鍵暗号 　　ストリーム暗号 　　ブロック暗号 　　ハッシュ関数 　　認証付き暗号 　　公開鍵暗号 　　デジタル署名 　　暗号鍵 　　鍵生成 　　鍵管理 　　終わりに ●第3章 SSL/TLSの各プロトコル詳細──Wiresharkによる解析 　　検証環境 　　最も代表的なプロトコル──Handshakeプロトコル 　　フルハンドシェイクの解析 　　セッション再開の解析 　　その他のプロトコル 　　TLS 1.3特有の仕組み 　　終わりに ●第4章 SSL/TLSの標準規格とPKI 　　検証環境 　　符号化とフォーマット 　　PKCS──公開鍵暗号標準 　　PKI──公開鍵基盤 　　PKIの利用──証明書のライフサイクル 　　終わりに ●第5章 OpenSSLによるSSL/TLSプログラミング入門 　　開発環境の構築 　　フルハンドシェイクの実装 　　セッション再開の実装 　　HRRの実装 　　0-RTT（Early Data）の実装 　　終わりに ●第6章 脅威・脆弱性 　　中間者攻撃──MITM（Man-In-The-Middleattack） 　　BEAST攻撃──ブロック暗号のIVを狙った攻撃 　　パディングオラクル攻撃──ブロック暗号のパディングを狙った攻撃 　　Lucky 13攻撃──タイミング攻撃、暗号アルゴリズムの実行時間に対する攻撃 　　POODLE攻撃──SSL 3.0のパディングチェック方式を狙った攻撃 　　CRIME攻撃──サイドチャネル攻撃、その他の物理的特性に対する攻撃 　　危殆化 　　量子コンピュータによる暗号解読の可能性 　　終わりに ●第7章 性能の測定 　　性能測定の目的──時代に合わせた選択をするため 　　測定環境の構築 　　プロトコルの性能 　　暗号アルゴリズムの性能──AES-GCMとChaCha20-Poly1305の測定 　　署名、鍵交換の性能 　　終わりに ●第8章 SSL/TLSが抱える課題と展望 　　仕様変更と普及の問題 　　PKIにおける課題 　　証明書の信頼性 　　SSL/TLSの展望 　　暗号化は必要か 　　終わりに ■著者プロフィール ●市原 創：大学時代にCGIプログラミングをしながら黎明期のインターネットに親しむ。修士課程修了後、電機メーカーで流通、金融等業務システムの基盤ソフトウェア開発や性能改善に従事。転籍後キヤノン製品や車載機器の制御ソフトウェアの開発業務の中で暗号技術と格闘する。現在はキヤノンITソリューションズ（株）のサイバーセキュリティラボでマルウェアや暗号技術の調査・研究・情報発信を担うリサーチャーとして活動中。 ●板倉 広明：小学生の頃プログラミングを始め、高校在学中はWeb分野に明け暮れる。大学で電気電子工学を学ぶ一方、Webサービスへの攻撃事例を見てリバースエンジニアリングなどセキュリティ分野に興味を持つ。その後はキヤノングループでキヤノン製品の画像処理・認証ソフトウェアの開発に従事。現在はキヤノンITソリューションズ（株）で組み込みソフトウェアのセキュリティを中心に活動中。バーチャルYouTuber「因幡はねる」の大ファン。

※本書は、日経コンピュータ誌の特集記事「ゾンビOSSが危ない」（2014年12月11日号）を 　スマートフォンでも読みやすく再構成した電子書籍です。 　専門記者によるレポートが手ごろな価格で手に入ります。 既に死んでいるにもかかわらず町中を徘はい徊かいし、 人間に危害を加えようとする怪物「ゾンビ」――。 記者は、「ソフトウエアとしての寿命が尽きた“ゾンビOSS”が 世界中の情報システムを危機に陥れている」と主張しています。 分かりやすい例は、Javaアプリケーションフレームワーク「Struts 1」の セキュリティ脆弱性、暗号ソフト「OpenSSL」の脆弱性「Heartbleed」です。 これらのOSSを利用している情報システムは大きなリスクを抱え込むことになりました。 「なぜこんな事態になったのか」「ではどうしたらよいのか」を独自の分析でまとめたのが本書です。 ゾンビ化を避けるには、「OSS側の開発事情を知ることが大切」だと記者は論じ、 OSSを５つに分類して、それぞれのリスクを解説しています。ここが一番の読みどころです。 パート３では「ゾンビ化を避ける心得」として４つ紹介しています。 それは、OSSを利用するすべてのエンジニアが知っておくべき内容だと思います。

特集1 開発環境の整備，効果的な議論，評価制度 実践リモートワーク オフィスに集まれない課題の解消方法 COVID-19が世界中で流行し，われわれの活動は変化を余儀なくされました。そこで注目を集めたのがリモートワークです。しかし，いざ行ってみると，今までオフィスでの開発では現れなかった問題が発生します。本特集では，以前から準備を進め2020年6月よりリモートワークを基本とする勤務体制に移行したGMOペパボのエンジニアにより，リモートワークをどう導入していったか，そして実践して浮かび上がった問題点とその対策など，現場のノウハウ満載で解説します。 特集2 Pythonデータ可視化入門 COVID-19／家計調査／財政データで実践！ 本特集ではPythonによるデータの前処理と可視化，さらにその情報のWebアプリケーション化を解説します。政府などが公開するオープンデータを自分の手元で，自分の見たい形に可視化する実践を通して，データ処理の手法と見せ方の工夫を自分のものにしましょう。 特集3 ツールで簡単！ はじめての脆弱性調査 Rails，nginx，サブドメイン，DB，OpenSSL 本特集では，脆弱性の発見に役立つツールの使い方を紹介します。静的解析ツールやネットワークスキャナなどを用いることで，Ruby on Railsやnginxなどのミドルウェア，サーバやネットワーク機器の脆弱性を簡単に発見できます。脆弱性の修正コストは，開発後よりも開発中のほうが低いため，昨今，開発プロセスにセキュリティ対策を組み込むDevSecOpsの重要性が叫ばれています。脆弱性の見つけ方を知っておくことは，開発者にとっても大切です。