ISO 27000の入力データ妥当性確認
(Last Updated On: 2019年3月14日)セキュリティ標準では入力データの妥当性確認(入力バリデーション)が要求されています。具体的な方法はBS 7799(英国のJIS規格のような物、2000年に国際標準化)が作られた時(90年代後半)から記載されており、前の版までのISO 270001にも記載されています。2013年版のISO 27000ではセキュアプログラミングが普及したので具体的な方法などは省略しています。(日本では普及していないような。。) セキュアプログラミングの基本中の基本がセキュリティ対策ではない、というような意味が全く解らない議論もあるのが現状です。 かなり昔に似たようなことを書いたようにも思いますが、記憶が定かではありません。今でも有効なので改めて(?)ブログにします。 ISO27000の入力データ妥当性確認 以下の解説はJIS X 5080:2002 (
ISO 27000とセキュアプログラミング
(Last Updated On: 2018年8月4日)セキュアプログラミングの啓蒙にも少々食傷気味ですが、今回もセキュアプログラミングの話題です。IPAのセキュアプログラミング講座Web編は削除予定であるとFacebookではお伝えしましたが、ブログではまだだったので合わせて紹介します。 ISO 27000がセキュアプログラミングついてどのように書いているのか紹介します。ISO 27000シリーズはISMS(Information Secuirty Management System – 情報セキュリティマネジメントシステム)認証の根幹となっている国際セキュリティ標準です。ISMS導入で自動的にセキュリティ問題に対応できる!といったモノではありませんが、体系的なセキュリティ導入にとても役立つ規格で2015年6月29日時点で4646組織の認証登録があります。 セキュアプログラミングとは?
クラウドサービスにおける個人情報保護――異例の速さで策定された「ISO/IEC 27018」とは?
クラウドサービスの急速な広まりをうけて、異例の速さで策定された「ISO/IEC 27018」とは? BSAはアドビやアップルなど、グローバルなソフトウェア企業で構成される業界団体。著作権など知的財産権の保護や教育啓発活動、ひいては世界各国政府との意見交換や提言なども行っている。今回は個人情報保護に関する制度や規格に関して、今後のありかたを考えるための会議となった。 近年クラウドサービスの普及が急速に進み、クラウドには個人情報を含むデータが爆発的に増えている。その一方でクラウドサービス上で個人情報に関わるデータを扱うためのルールはどうするべきかが喫緊の課題となっている。いま世界各国がこの問題に手探りで取り組んでいるところだ。法整備の過程にあるのは日本だけではない。 今やあらゆる企業が業務を通じて顧客の個人情報を保有している。この責任は重い。冒頭でBSA EMEA地域 政策担当ディレクター ト
大垣靖男氏はISO27000を理解していない - st4rdustの日記
大垣靖男氏著『Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?』には付録として「サンプルBBS」のソースコードが掲載されています。大垣さんによる「入力バリデーション」の実際を、見てみます。 そのために、Lib/bbs.class.phpで定義されているValidateInputs()関数の挙動をみることにします。 ログイン画面からユーザ名、パスワードを受けて、この関数は、正規表現で検査した結果の返り値を、V_RETURN に格納する *はず* です。ところがせっかく得られた返り値 V_RETURN を入力バリデーションの判定に利用せずに捨ててしまっていますので、結果的にはなんでもオーケーになっていて、入力バリデーションをしていないのと同じになってしまっています。 この後、入力バリデーションが機能しないまま、 Login($username,$password) のパラメータに引
JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
Q 27000:2019 (1) 目 次 ページ 0 序文······························································································································· 1 0.1 概要 ···························································································································· 1 0.2 この規格の目的 ·······························································································
第45回 入力バリデーションはセキュリティ対策 | gihyo.jp
「入力バリデーションはセキュリティ対策である」は世界の常識です。少なくとも大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えています。 もちろん入力バリデーション対策がすべてであるわけではなく、ほかのセキュリティ対策も重要ですが、入力バリデーションが最も重要な対策の1つである、と考えている人は沢山います。 入力のバリデーションはすべてのプログラムに必須の保護機能です。一部に「入力バリデーションはセキュリティ対策ではない」とする声もあるようですが、入力バリデーションは間違いなくセキュリティ対策です。入力バリデーションはセキュリティ対策ではない、とする考え方は、混乱を招くだけです。 入力バリデーションをセキュリティ対策としているのは筆者のみではありません。世界的に利用されているセキュリティ標準でも、入力バリデーションを非常に有効なセキュリティ対策としてとら
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
