A Description of the Camellia Encryption Algorithm
注意: 論理左シフト演算は、無限データ幅で行われる。 MASK8、MASK32、MASK64 および MASK128 の定数値は、以下のように定義されている。 MASK8 = 0xff; MASK32 = 0xffffffff; MASK64 = 0xffffffffffffffff; MASK128 = 0xffffffffffffffffffffffffffffffff; 2.2. キー・スケジューリング部分 English Camellia のキー・スケジューリング部分では、KL と KR の 128 bit 変数が以下のように定義されている。128 bit キーに関しては、128 bit キーである K が KL として使われ、そして、KR は、0 となっている。192 bit キーに関しては、キー K の左端 128 bit が KL として使われ、K の右端 64 bit と、
ITスキル標準とは?:IPA 独立行政法人 情報処理推進機構
ITスキル標準に関するご紹介 ITスキル標準とは? ものさしとしてのスキル標準 (4) レベルの概念 レベルは、当該職種/専門分野においてプロフェッショナルとして価値を創出するために必要なスキルの度合いを表現しています。また、キャリアパスを明確にするために、7段階のレベルを設けています。 レベルを職種/専門分野横断的に捉える参考的な視点としては、次のように考えています。 ◆レベル7 プロフェッショナルとし てスキルの専門分野が確立し、社内外において、テクノロジやメソドロジ、ビジネスを創造し、リードするレベル。市場全体から見ても、先進的なサービスの開拓や市場化をリードした経験と実績を有しており、世界で通用するプレーヤとして認められます。 ◆レベル6 プロフェッショナルとしてスキルの専門分野が確立し、社内外において、テクノロジやメソドロジ、ビジネスを創造し、リードするレベル。社内だけでなく市場
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開:IPA 独立行政法人 情報処理推進機構
ウェブ改ざんに繋がる脆弱性等をコストをかけずに検査する、3種のツールの使い勝手を比較 2013年12月12日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を2013年12月12日からIPAのウェブサイトで公開しました。 2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生しました。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになります。 現在、ウェブサイトを持たない組織
IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」の公開:IPA 独立行政法人 情報処理推進機構
「SHODAN(*1)」を活用し、複合機・ネットワーク対応ハードディスク(*2)等の確認を 2014年2月27日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、オフィス機器、家電製品のインターネット接続に伴う新たな脅威や、不用意な外部公開をSHODANで確認する手順をまとめたレポート「増加するインターネット接続機器の不適切な情報公開とその対策」を2014年2月27日からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/technicalwatch/20140227.html 近年、ウェブサーバ機能やファイル共有機能等のインターネット技術を搭載したオフィス機器や家電製品が増えており、インターネットに接続されている機器は、2009年の9億台から2020年には260億台に達すると予測されています
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
「セキュリティ・キャンプフォーラム2013」開催:IPA 独立行政法人 情報処理推進機構
2004年度より開催している「セキュリティ・キャンプ(*1)」は、次世代を担う若年層が、ITに関する高度な技術を合宿形式で学ぶことができる有益なイベントとして認知されつつあります。 本事業は2004年度から2007年度まで経済産業省事業として実施し、2008年度以降、IPAの事業として実施してきました。また2012年度からは、昨今のサイバーセキュリティ犯罪の多発化と、その脅威が社会的な問題になりつつあることを鑑み、民間企業・団体によって構成される「セキュリティ・キャンプ実施協議会」と共に、官民連携による情報セキュリティに特化した高度IT人材の早期発掘と育成の場として、次世代を担う中等高等教育段階にある就業前の若者を対象に事業を実施し、累計400名の卒業生を数えるところとなりました。 このたび、セキュリティ・キャンプ卒業生、講師、協議会メンバー、学校の先生、一般の興味ある方などをにお集まりい
Internet Explorer の脆弱性対策について(MS13-008)(CVE-2012-4792):IPA 独立行政法人 情報処理推進機構
以下の Internet Explorer が対象です。 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 1.脆弱性の解消 - 修正プログラムの適用 日本マイクロソフト社から提供されている修正プログラムを適用して下さい。 修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。 Microsoft Update による一括修正方法 Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。 http://windowsupdate.microsoft.com/ Microsoft Update の利用方法については以下のサイトを参照してくだ
Rubyの磨き方
Rubyの磨き方 東京大学大学院情報理工学系研究科 創造情報学専攻 特任助教 笹田 耕一 1 Ruby とは オブジェクト指向プログラミング言語Ruby るびー.計算機に仕事を頼むときに使う「言語」 いろんなプログラミングをいいとこ取りしていて人気 Java,JavaScript,C,C++,Perl,Python,PHP,Smalltalk, Self, Lisp,Fortran,Cobol,Eiffle,CLU, Lua,Io,Icon,Sather,Rexx ,…などの親戚 日本発(まつもとゆきひろ氏:2005年度OSS貢献者賞受賞) 世界中で広く利用 • Ruby on Rails の大ブーム Ruby処理系はオープンソースソフトウェア • Rubyプログラムを実行するためのソフトウェア • CRuby, JRuby, IronRuby,Rubinius 等々,今はたくさん
今月の呼びかけ:IPA 独立行政法人 情報処理推進機構
(ご案内) 2012年9月まで毎月公表しておりました「コンピュータウイルス・不正アクセスの届出状況」につきましては、2012年10月より、四半期毎の公表とさせていただくことになりました。2012年の第3四半期分の届出状況公表は、10月中旬を予定しております。 なお、「今月の呼びかけ」につきましては、従来通り、毎月の公表を予定しております。 最近、インターネット上のサービスである“Twitter(ツイッター)”などのミニブログサービスや、“mixi(ミクシィ)”、“Facebook(フェイスブック)”、“Google+(グーグルプラス)”などの SNS(ソーシャルネットワーキングサービス)が人気です。これらのサービスは、今の自分の行動や考えを簡単にインターネット上に発信できることや、同じ趣味や考えを持つ利用者同士の交流の場として利用できることが特徴となっており、多くの利用者を集めています。そ
Internet Explorer の脆弱性の修正について(MS12-063)(CVE-2012-4969等):IPA 独立行政法人 情報処理推進機構
日本マイクロソフト社の Internet Explorer にリモートからコード(命令)が実行される等の脆弱性が存在します。(KB2757760)(CVE-2012-4969) (1)OnMove の解放後使用の脆弱性 - CVE-2012-1529 (2)イベント リスナーの解放後使用の脆弱性 - CVE-2012-2546 (3)textBlock の解放後使用の脆弱性 - CVE-2012-2548 (4)cloneNode の解放後使用の脆弱性 - CVE-2012-2557 (5)execCommand の解放後使用の脆弱性 - CVE-2012-4969 このうち (5) の脆弱性を悪用した攻撃が確認されました。 この脆弱性は、Internet Explorer のメモリ管理の処理に存在します。攻撃者は、この脆弱性を悪用した攻撃コードを埋め込んだウェブサイトを作成し、利用者を誘
プレス発表 「パーソナル情報保護とIT技術の調査」報告書を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、パーソナル情報を適切に保護しつつ安全に活用したビジネスを推進するために、パーソナル情報活用や課題の現状について「パーソナル情報保護とIT技術の調査」を実施し、その報告書を2012年8月23日(木)から、IPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/fy23/reports/pdata/index.html ビッグデータ時代の到来の中、サイバー空間で増大するパーソナル情報(*1)を活用した新たな市場の可能性が期待される一方で、利用者の個人情報の悪用等に対する不安や、プライバシーが侵される事への懸念が高まっています。また、先端的なデータマイニング技術により分散した断片的なパーソナル情報から個人が特定されるなど、個人情報保護法における個人情報の定義が、IT技術に十分に対応でき
夏休みにおける注意喚起:IPA 独立行政法人 情報処理推進機構
第12-18-254号 掲載日:2012年 8月10日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) お盆休みや夏休みなどの長期休暇中は、システム管理者が不在になるケースが多くなると思われます。この間にトラブルが発生した場合、対処が遅れてしまい、自社のコンピュータ環境に大きな被害が及んだり、顧客に対してもウイルス感染の被害が及んでしまう可能性があります。 最近の攻撃手口やウイルス感染後の被害事例としては、以下のようなものがあります。 SQLインジェクション攻撃 [対策事項1該当No.:1、9] ウェブアプリケーションの多くは利用者からの入力情報を基にSQL文を生成している。この生成方法に問題があると、悪意を持って細工されたSQL文もデータベースへの問い合わせの一部として埋め込んで(Injection)しまう可能性がある。この問題を悪用した攻撃はSQLイン
プレス発表 「組織内部者の不正行為によるインシデント調査」報告書を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、組織における内部不正の防止を推進していくために、内部不正の発生状況および誘導要因等に関する基礎的な調査として「組織内部者の不正行為によるインシデント調査」を実施し、その報告書を2012年7月17日(火)から、IPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/fy23/reports/insider/index.html 昨今、企業や組織では、情報漏洩やウイルス感染等の情報セキュリティインシデント(*1)が相次いでいます。その目的もこれまでの愉快犯的なものから経済的な利得へと移行しており、その被害もますます深刻化しています。情報セキュリティインシデントは、発生原因として、組織外部からの攻撃と組織内部の不正行為の大きく2つに分けることができます。海外の調査(*2)では、漏洩した
「組織内部者の不正行為によるインシデント調査」報告書の公開:IPA 独立行政法人 情報処理推進機構
昨今、企業や組織では、情報漏洩やウイルス感染等の情報セキュリティインシデント(*1)が相次いでいます。その目的もこれまでの愉快犯的なものから経済的な利得へと移行しており、その被害もますます深刻化しています。情報セキュリティインシデントは、発生原因として、組織外部からの攻撃と組織内部の不正行為の大きく2つに分けることができます。海外の調査(*2)では、漏洩した全データ数のうち、外部からの攻撃による漏洩が95%を占めているのに対し、内部の不正行為による漏洩がわずか3%となっています。しかし、被害額に関する他の調査(*3)では、外部からの攻撃の方が大きいとする回答が38%であるのに対して、内部の不正行為の方が大きいとする回答が33%と同程度であることから、内部の不正行為は、発生すると大きな被害をもたらす、組織として看過できない課題であると言えます。しかし、国内外の調査では、内部犯罪を対象とした調
情報処理推進機構:情報セキュリティ:調査・研究報告書:情報セキュリティ技術動向調査(2008 年下期) 5 テンポラリファイルの扱い
2008年下期には、Perl の File::Path モジュールの rmtree 関数に関する CVE が 3件発表された。 (CVE-2008-2827, CVE-2008-5302, CVE-2008-5303)また、symlink attack に関する CVE は 100件以上出ている。 テンポラリファイルの扱いに関する問題は古くからあるが、いまだに多くの問題が発生する。そこで本稿ではテンポラリファイルの扱いかたについて解説する。また、安全な削除に利用できる新しいシステムコールが提案されているので、それについても触れる。 テンポラリファイルはプログラムが一時的に利用するファイルである。 Unix においては /tmp や /var/tmp というディレクトリが提供されており、すべてのユーザがそのディレクトリ下にテンポラリファイルを生成・削除するのが慣習である。本稿では、これらのデ
情報セキュリティ技術動向調査(2008 年下期):IPA 独立行政法人 情報処理推進機構
ダークネットとはインターネット上の未使用のIPアドレス空間のことを示す。ダークネットに到来するパケットを観測することで、インターネットを経由して感染を広めるマルウェア(以下、リモートエクスプロイト型マルウェア)の活動傾向などを把握することが出来る。本稿では、ダークネット観測の技術動向ならびに、2008年度下半期の観測事例について示す。 ダークネットとは、インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においては稀なはずであるが、実際にダークネットを観測してみると相当数のパケットが到着することが分かる。これらのパケットには リモートエクスプロイト型マルウェアが次の感染対象を探査するためのスキャン マルウェアが感染対象の脆弱性を攻撃するためのエクスプロイトコード 送信元IPアドレスが詐称され
プレス発表 ソースコードセキュリティ検査ツール「iCodeChecker」の公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェアの脆弱(ぜいじゃく)性をソースコードで検査し、問題箇所や修正方法のレポートを出力するソースコードセキュリティ検査ツール「iCodeChecker(アイコードチェッカー)」を開発し、2012年5月8日からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html 近年、ソフトウェアの脆弱性を悪用する攻撃やそれによる被害が継続的に報告されており、ソフトウェアベンダーにおいては、脆弱性を極力低減させる安全なソフトウェア開発が求められています。その為には、「脆弱性を作り込まない」「脆弱性を確実に取除く」ことが重要になります。その一つの有力な手段に、ソースコード検査技術があります。一部の企業では本技術を開発工程に取り入れて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How to Secure your Website 3rd Edition (application/pdf オブジェクト)
ここからセキュリティ! 情報セキュリティ・ポータルサイト