タグ

2010年11月30日のブックマーク (13件)

  • 米国で普及が進むPCI DSS、新たな課題も浮き彫りに

    クレジットカード業界のセキュリティ標準「PCI DSS」が米国で普及し、日でも対応への関心が高まりつつあるという。普及動向や課題をネットワンシステムズの子会社が説明した。 米国で普及が進むクレジットカード業界のセキュリティ標準「PCI DSS」は、日でも対応への関心が高まりつつあるという。普及動向や課題について、ネットワンシステムズ子会社のビジネスアシュアランスがメディア向けに説明した。 PCI DSS(Payment Card Indutry Data Security Standard)は、VisaとMasterCard、American Express、Discover、JCBの国際カードブランドが、カード発行会社や加盟店などへ独自に定めていたセキュリティ要件を統一したもの。カード会員情報の保護とシステムおよび運用面における最低限のセキュリティ対策を12の要件に取りまとめ、200

    米国で普及が進むPCI DSS、新たな課題も浮き彫りに

  • セキュリティ基準「PCI DSS」 - ITpro

    「リリース後1カ月以内のパッチ適用」「WAFの導入」「1日1回のログのレビュー」――。PCI DSS(PCIデータセキュリティ基準)には,情報セキュリティの基準が具体的に定められている。米国ではここ数年,PCIDSSの認定を取得する企業が急増。国内でも注目が高まっている。どのような要件があるかを解説し,要件を満たすための製品/サービスを紹介する。 「PCI DSS」改訂の裏側 上機嫌なボブのスピーチで年次総会が開幕 “仮想化”は取り残された PCI DSSと10の神話 コンサルタントは一般企業への適用を促す PCI DSSの概要 違反すると罰金や損害賠償が課せられる ISMSやプライバシーマークとは全く違う 導入時は自己問診票でチェック 運用時は四半期ごとにスキャニング 情報システムに大きなインパクト 「6個の目的」と「12個の要件」 目的1:安全なネットワークの構築・維持

    セキュリティ基準「PCI DSS」 - ITpro

  • 5分で絶対に分かるPCI DSS − @IT

    PCI DSSとは? セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS(Payment Card Industry Data Security Standard)とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。

    5分で絶対に分かるPCI DSS − @IT

  • WAFでWebアプリの脆弱性を守れるか

    Webアプリケーションに対する攻撃を防いでくれるWAF(Web Application Firewall)の実力を検証した。パターン・マッチングで攻撃を遮断するブラックリストに着目して,市販の主要5製品を評価した。攻撃は大半が遮断されたが,一部通過するケースがあった。中国製などの攻撃ツールを試すと,どのWAFも遮断できた。検証を担当してもらったHASHコンサルティングの徳丸 浩さんに詳細を報告してもらう。

    WAFでWebアプリの脆弱性を守れるか

  • 第1回■ぜい弱性がなくならない本当の理由(わけ)

    2008年に入り,SQLインジェクション攻撃が猛威を奮い続けている。8月6日には,アウトドア商品などを扱う通販サイト「ナチュラム・イーコマース」が外部からSQLインジェクション攻撃を受けたことを明らかにした(関連記事)。約65万件の個人情報が流出した可能性があるという。その少し前の7月23日には,ECサイト事業を手がけるアイリスプラザが攻撃を受けたと発表した。使っていない古いプログラムのぜい弱性を突かれ,カード情報2万8000件が漏えいした可能性があった。 SQLインジェクション攻撃では,情報を盗み出すものだけでなく,サイト改ざん事件も多発している。例えば(米国のビジネスウィーク誌のサイトが乗っ取られた事件(関連記事)。Webページではないが,ゴルフダイジェストオンラインもSQLインジェクション攻撃によって,メルマガ配信用のコンテンツを書き換えられた。 SQLインジェクション以外のぜい弱性

    第1回■ぜい弱性がなくならない本当の理由(わけ)

  • セキュリティ対策の心得 - 賢いセキュリティ対策 Part1 | IT Leaders

    増大、巧妙化するセキュリティの脅威 無駄を省いて実益重視の対策を どんな攻撃にも耐え得る体制を作るのは現実的ではない。専門家は、脅威の種類や影響度を理解した上で妥協点を探るとともに、無駄を徹底排除して投資効果を最大化することをポイントに挙げる。 企業情報システムを脅かす攻撃の手口はますます巧妙化している。例えば、ボットネット。ウイルスなどの形でPCやサーバーに遠隔操作用のプログラムを忍ばせておき、コントロール下にある大量のコンピュータを一斉に支配して多面的に攻撃を仕掛ける。具体的には、迷惑メールの一斉送信や特定のサーバーに負荷をかけてダウンさせる(あるいは侵入する)といったことが可能だ。大規模で複雑なネットワークを介しているだけに、大元の指令者が誰かを特定するのは難しい。ほかにも、フィッシングやSQLインジェクション、クロスサイトスクリプション、MITM(Man-In-The-Middl

  • http://itpro.nikkeibp.co.jp/members/bn/bnsearch.jsp?OFFSET=0&MAXCNT=20&BID=9032

    以下のページでログインをお願いします。 [SSL(Secure Sockets Layer)プロトコルで入力いただいた内容を保護いたします] ■登録されているユーザーIDとパスワードをお忘れの方は,「日経BPパスポート」の「ユーザーID・パスワードのお問い合わせ」ページでご確認いただけます。 ■ITpro-News,ITpro-Reportなどのメール配信サービスをご利用の方も, Web上のコンテンツをご覧いただくためには,改めて登録をお願いいたします。

  • WAFとは 「Webアプリケーションファイヤーウォール」 ワフ: - IT用語辞典バイナリ

    WAF フルスペル: Web Application Firewall 読み方: ワフ 別名: Webアプリケーションファイヤーウォール WAFとは、外部ネットワークからの不正アクセスを防ぐためのソフトウェア(あるいはハードウェア)であるファイアーウォールの中でも、Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御することのできるファイアウォールのことである。 WAFの特徴としては、従来のファイヤーウォールがネットワークレベルで管理していたことに対して、WAFはアプリケーションのレベルで管理を行う、といった点を挙げることができる。WAFでは、プログラムに渡される入力内容などを直接に検査することによって、不正と見なされたアクセス要求を遮断するという仕組みが採用されている。クライアントの操作するWebブラウザとWebサーバを仲介するかたちで存在し、ブラウザとの直接的なや

  • WAFはどのように脆弱性を防御するのか

    連載の1回目および2回目では、Webアプリケーションの脆弱性について例を挙げて説明した。第1回にも書いたとおりWebアプリケーションの脆弱性を防御することができるのは、セキュアプログラミングとWebアプリケーションファイアウォール(WAF)である。 セキュアプログラミングが、アプリケーションプログラム自体の対策方法であるのに対して、WAFはアプリケーションからは独立した外付けの対策である。これら2つは排他的な関係にあるわけではなく、WAFはセキュアプログラミングを補完するものであるといえる。 プログラム自体をセキュアに作成していくことは、どのWebアプリケーションにおいても必要である。しかし、現実的にはWebアプリケーションのすべての脆弱性をセキュアプログラミングだけで防ぎきれるものではない。そこで必要となってくるのがWAFであり、セキュアプログラミングとの2重の防御によって脆弱性にさら

    WAFはどのように脆弱性を防御するのか

  • Webサイトへの攻撃に対抗!「WAF」即解! - IT、IT製品の情報なら【キーマンズネット】

    「自分の担当分野しか知らない」なんてことはなかなか言えない情報システム担当者。まったく関係ない分野の製品も一応は押さえておきたい…でも、じっくり勉強する暇はない!というアナタのために、様々な分野の製品をアニメーションで簡単に解説。今回のテーマは「WAF」。Webアプリケーションの脆弱性対策に特化した「WAF」とは何か、簡単な動画で解説する。また、もっと詳しく知りたい場合は、製品購入ウラづけガイドの「アプリケーションファイアウォール」特集でWebアプリケーションの脆弱性を突いた代表的な攻撃や製品の基機能をわかりやすく紹介している。そちらもぜひ参考にしていただきたい。 WAF(Webアプリケーション・ファイアウォール)とは、Webサイトに設置されたアプリケーションサーバやデータベースへの攻撃に対抗する製品のことだ。Webアプリケーションやデータベースに仕掛ける攻撃は一見すると正当なパケットで

  • PR) オンライン英会話 初体験 - Chikirinの日記

    ラングリッチ(こちら)というオンライン英会話スクールの体験レッスンを受けました。サンプルとして全カテゴリー受けさせて頂いたので、お礼をかねて宣伝のお手伝いをしておきます。 プロセスはこんな感じ。ちきりんみたくIT音痴の場合、英語と同時にスカイプも学べます。 ステップ0) スカイプを使えるようにする→こちら ステップ1) ラングリッチに登録し、HPから希望の時間や先生を選んで予約 ステップ2) 授業で学ぶ科目を決めて、テキストをダウンロード ステップ3) 時間になったらスカイプにログイン。先生から連絡があるので応答して授業開始 ラングリッチの創業者3人とスカイプチャットした時、「一番の売りはなに?」と聞いたら「ホーム・ティーチングではなく、先生をオフィスに呼んで授業をさせているから回線や授業クオリティが保てること」と説明されました。たしかに通信クオリティも問題なかったし、他のオンライン英会話

    PR) オンライン英会話 初体験 - Chikirinの日記

  • 池上彰さんに聞く! なぜメディアは「わかりやすく伝える」ことができないんでしょうか?:日経ビジネスオンライン

    伝えるメディア側が、実は視聴者や読者をバカにしている? ――前回までのお話で、日の国際貢献が、新しいインフラ市場やBOP市場の発達と密接に関連していること、そして多くの日人が現場で奮闘していることを知りました。国際貢献というと、税金のムダ使いじゃないか、現地で役に立ってないんじゃないか、というぼんやりしたイメージがあったのですが、メディアの末席にいながら不明を恥じる次第です。 池上 私も現場を取材し、専門家の方々と直にお話しすることで、日の国際貢献の意味がはっきり見えるようになりました。 実は長年、日国内で「国際貢献」という言葉はあまりイメージがよくありませんでした。それというのも、70年代から80年代にかけて、「日は国際貢献分野でカネは出すけれどもヒトは出さない」と何度も批判されたからです。 きわめつけは、90年代初頭の湾岸戦争のときです。日は130億ドル以上の資金援助を多国

    池上彰さんに聞く! なぜメディアは「わかりやすく伝える」ことができないんでしょうか?:日経ビジネスオンライン

  • 47NEWS(よんななニュース)

    学校利用のメール中継サーバーに不正アクセス、13万件近い迷惑メールが送信される 出水市「不審なメールは開封せず削除を」

    47NEWS(よんななニュース)

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.