定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
【ワシントン=川合智之】企業が従業員にパソコンのパスワードを頻繁に変更するよう義務づけると、かえって安全性が低下することが米国で消費者法制を担う米連邦取引委員会(FTC)と米大学などの調査で分かった。推測可能なパスワードが使われやすくなるためで、FTCのローリー・クレーナー技術責任者は「強制的なパスワード変更は考え直すべきだ」としている。米カーネギーメロン大学などの調査によると、頻繁なパスワー
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
退社した人のPCや前の管理者が管理していた共有PCなど、パスワードが分からなくなり、仕方なくWindows OSを再インストールする羽目になった、ということもあるのではないだろうか。実は、パスワードが分からなくなっても、ちょっとした操作でパスワードの再設定ができる。ただし悪用は厳禁である。他人のPCに対して許可なく、以下の方法でログオン(サインイン)すると犯罪になる。 以下、Windows 10のインストールメディアを使い、Windows 10のパスワードを解除する手順を紹介する。他のバージョンのインストールメディアやWindows 7/8/8.1でも同じ手順でパスワードの再設定が可能だ。 Windows OSのパスワードをリセットする裏技 パスワードを再設定するには、ちょっとした裏技(?)を利用する。Windows 7/8/8.1/10のログオン(サインイン)画面にある[コンピューターの
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
1 安全なWebアプリ開発の鉄則2006 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Intertnet Week 2006 チュートリアル 2006年12月7日 配布資料 2 経済産業省 受託研究 • 平成17年度脆弱性関連情報流通の枠組み構築事業 「ウェブアプリケーションのセキュリティガイドライン策定に関す る調査研究」 • 実施体制 – 産業技術総合研究所(プロジェクト総括、ガイドライン案作成) – 日本ユニシスソリューション (開発事業者の立場から調査) – NTTデータ (検査事業者の立場から調査) – 関西情報・産業活性化センター (発注者の立場から調査) – 三菱総合研究所 (ソフトウェア部品、脆弱性実態の調査) 3 自治体の実態調査アンケート • 平成17年度脆
Webシステム/Webアプリケーションセキュリティ要件書 セキュリティ要件書 トライコーダでは、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書『発注者のためのWebシステム/アプリケーションセキュリティ要件書』を公開していました。 2013年11月1日からは、OWASP の 『セキュリティ要件定義書ワーキンググループ』に『Webシステム/アプリケーションセキュリティ要件書』としてドキュメントを引き継いでいます。 Webアプリケーションのセキュリティ要件は明確 セキュリティ対策に終わりはないと言われていますが、Webアプリケーションにおいては、ここ数年まったく新しい攻撃手法はほとんど発見されていません。つまり、Webアプリケーションを安全に構築するためのセキュリティ要件は明確になっているのです。 今後も新しい攻撃手法が発見されないとは限りませんが、少なくとも現在起きている攻撃の大
Not your computer? Use a private browsing window to sign in. Learn more
過去、「勉強会には興味があるんだけど、海(瀬戸内海)をこえてまでは出席しづらいなぁ~」っていう声をいくらか耳にしていました。
Not your computer? Use a private browsing window to sign in. Learn more
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24) Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11) 2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 Recruit-CSIRTがマルウェアの「培養」用に内製した動的解
持ち運びやすさやリーズナブルな価格で、多くのユーザーを獲得している「ネットブック」。CPUやディスク容量などの基本的なスペックは一般的なノートPCよりも低いが、Web閲覧やメールの利用では十分な性能といえるだろう。 気軽に利用できるネットブックだが、ネットワークに接続するからにはセキュリティ対策が欠かせない。とはいえ、低スペックなネットブックにセキュリティソフトをインストールすることで「サクサク動かなくなるのでは」という心配もあるだろう。 そこでASUSTeK Computerが7月に発売してネットブック人気の火付け役となった「Eee PC 901-X」に以下のセキュリティソフト6製品の体験版をインストールし、起動速度、メモリ使用量、スキャン速度、Web閲覧に与える影響などを検証した。 ・ノートン インターネットセキュリティ 2009(以下ノートンと略記、他も同様) ・ウイルスバスター20
これまで構築してきた自宅サーバーによるサービスを,外出先からも利用できたら便利だ。そこで今回は,SSHサービスとポート・フォワードを設定し,外からも自宅サーバーを使えるようにしてみよう。 連載の最後となる今回は,自宅サーバーでSSH(Secure Shell)サービスを稼働させる。SSHは,外部から自宅サーバーへのリモート・ログインを可能にするサービスだ。このSSHとポート・フォワード機能を併用すれば,SSHで接続したクライアントはLAN内に設置したように,メールやWebなどのサービスを利用できる。 もちろん外部向けのサービスを稼働すれば,それだけ攻撃を受ける可能性が高くなる。そこで,よりセキュアに運用できるよう,公開鍵(かぎ)認証やファイアウオールを設定したSSHサーバーを構築しよう。 SSHの認証方法 SSHを使って,外部からリモート・ログインを行うときのユーザー認証では,パスワード認
JPCERTコーディネーションセンター(JPCERT/CC)、日本インターネットプロバイダー協会、日本データ通信協会のTelecom-ISAC Japan、日本ネットワークセキュリティ協会(JNSA)、日本電子認証協議会が主催するセキュリティ専門のカンファレンス「SecurityDay2008」が16日、東京都内で開催された。 今回のSecurityDayは、「日本の情報セキュリティのあり方を考える」と題して開催。「暗号危殆化問題と今後の展開」「標的型攻撃の現状と対策~有効な対策はあるのか~」「変化を続けるマルウエアとどう闘うか~僕らの苦悩と模索~」という3つのテーマのセッションが設けられたが、すべて2時間ずつのパネルディスカッション形式となっており、参加者と問題意識を共有しながら議論を行えるようにしたという。当日は約80名の参加があった。 「変化を続けるマルウエアとどう闘うか~僕らの苦悩
無線LANの暗号化方式「WEP」が、わずか10秒で解読されるという発表がコンピュータセキュリティシンポジウム2008で行われた。今回の特集ではWEPの危険性を踏まえた上で、家庭内で行える無線LANのセキュリティ対策について考えていく。 ■ 「WEPは約10秒で解読できる」と大学教授が発表 2008年10月に開催された「コンピュータセキュリティシンポジウム2008」で、神戸大学と広島大学のグループから無線LANの暗号化方式である「WEP」の解読にわずか10秒で成功したという興味深い発表がなされた(関連記事)。 無線LANは、電波を利用することで、面倒な配線をすることなくPCやゲーム機などをネットワークに接続することができるという利便性を持つ反面、そのセキュリティも問題になりがちだった。PCやゲーム機の間を流れるデータが電波の形で存在するため、これを盗聴することでその内容が第三者にも見えてしま
Microsoft Corporationは22日、システム管理者向けの脆弱性チェックツール「Microsoft Baseline Security Analyzer(MBSA)」v2.1を公開した。今回公開されたv2.1での主な変更点は、Windows VistaおよびWindows Serever 2008に対応したこと。また、64ビット版のOSやコンポーネント、「SQL Server 2005」などの脆弱性チェックにも対応した。 「MBSA」は、Windowsがインストールされたネットワーク上の複数PCに対して、セキュリティ上の脆弱性を調査できるシステム管理者向けのソフト。OSだけでなく「SQL Server」「Microsoft Office」など同社が提供する製品全般におけるセキュリティ更新プログラムの適応状況を調査したり、セキュリティ上好ましくないPCの設定を検出できる。 本ソ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く