VMwareやMicrosoftの仮想PC製品に匹敵する無償ソフトウェア
仮想PCソフトウェアは、VMwareやParallels、Microsoftの製品だけに限らない。オープンソースの「VirtualBox」も徐々に市場を獲得しつつある。この選択肢を無視する手はない。無料だからだ。そう、読み間違いではなく、このソフトウェアは無償で提供されている。 わたしはVMware Workstationをずっと愛用しているが、この製品は価格が玉にきずだ。わたしの意見では、メインストリームユーザーが仮想PCを利用する上で、価格がネックとなっている。VirtualBoxのこれまでのダウンロード数が850万件に上ることを考えると、ほかの人もこの意見に賛成してくれそうだ。 オープンソースの軽量な仮想化技術であるVirtualBoxは、32ビットおよび64ビットプラットフォームで動作し、Windows、Linux、Mac OS XのホストOS環境をサポートする。これは、真のクロス
予算が削減されてもセキュリティを強化する方法
暗い年になりそうな2009年に突入し、あらゆる組織がどの部分でコストや人員を削減できそうか模索するのは確実だ。ITセキュリティのメリットは企業の業績に与える効果が最も目に見えにくいため、残念ながらいち早く予算が縮小される可能性がある。情報セキュリティの管理職にとってもスタッフにとっても、これは極めて憂慮すべきことだ。わたしの記憶では、セキュリティ予算は好調なときでも頻繁に増額されるものではなかった。つまり、ただでさえ逼迫(ひっぱく)気味のリソースが、さらに減らされそうな情勢なのだ。 しかし、どんな形で予算を減らされても、セキュリティに対する認識の低下を招いてはならない。セキュリティ管理者として、セキュリティポリシーでコンプライアンスを確実に保ち続けるため、上層部による情報セキュリティ支持を組織内の優先課題とすることだ。ほかの部局の管理職は、かなりのプレッシャーの下でプロジェクトを迅速かつ経
無線セキュリティ──WPAとWPA2の仕組み
前回の「無線セキュリティ──WEP暗号化の仕組み」ではWEP暗号化の仕組みについて説明した。今回は、WPAとWPA2で暗号化方式がどのように改良されているかを見てみよう。 WPA 2001年までに、WEPに対するハッカーの攻撃が増大し、無線セキュリティの強化が緊急課題となった。IEEEは改良規格である802.11iの標準化作業を開始。2003年にWi-Fi Allianceが、この規格の最終承認を待たずにWPA(Wi-Fi Protected Access)を開発した。WPAはIEEE 802.11iの当時の最新ドラフト仕様のサブセットをベースにしていた。 WPAはハードウェアアップグレードの必要がないように配慮して設計された。初期のアクセスポイント(AP)は、処理能力が非常に限られているものが多かった。RC4暗号方式がWEPで採用されたのは、強力なCPUが不要なためだった。WPAでは引き
USBメモリの不正使用防止──ソフトウェア制限ポリシーとアプリ編
USBメモリの不正使用防止に関し、接着剤などを利用するテクニックや、BIOS設定とグループポリシーによる方法について説明してきた。本稿では、利用が許可されていないUSBメモリが社内ネットワーク上で問題となるのを防ぐためのテクニックをさらに2つ紹介したい。 ソフトウェア制限ポリシーを作る Windows XPおよびWindows Server 2003の「ソフトウェア制限ポリシー」は本来、USBメモリの使用を禁止するためのものではないが、この目的の1つに役立てることは可能だ。ソフトウェア制限ポリシーは、ユーザーが未許可のソフトウェアを自分のPCにインストールするのを防止するためのグループポリシー設定だ。つまり、ソフトウェア制限ポリシーは、USBメモリの使用を防止するものでもなければ、データをこれらのデバイスにコピーするのを防止するものでもない。しかし、ユーザーがUSBメモリを使って未許可のソ
USBメモリの脅威を食い止める2つの方法
企業におけるセキュリティ違反の大多数は、信頼されている従業員によって犯されている。それ故、自社のネットワーク内部のセキュリティを厳しくチェックすることが極めて重要だ。ネットワークに対する最大の内部的脅威の1つがUSBメモリの使用だ。USBメモリは、ネットワークから大量のデータを盗むのに利用できる。ユーザーがアクセスできるものなら何でもUSBストレージにコピーできるからだ。 ユーザーがUSBメモリのようなリムーバブルストレージにデータをコピーすることによるリスクは以前から問題視されているが、USBメモリは独自の難問を突きつけている。例えば、何年か前であればユーザーがデータを盗もうと思った場合、それを実行するための主要な手段はフロッピーディスクを用いることであった。しかし、フロッピーディスクはデータの読み書きが遅く、容量も非常に少ないため、ユーザーが盗めるデータ量は極めて限られていた。 これに
【Q&A】USBメモリの深刻なリスクとは?
質問:ベンダーはよくUSBメモリをプレゼントとして配布しています。USBメモリは社内の環境にリスクを持ち込むため、そういったことは良くないと言う人もいます。具体的にどのようなリスクがあるのでしょうか。そしてそれを避けるにはどうすればいいのでしょうか。 携帯できる小型のフラッシュメモリ(いわゆるUSBメモリ)は実際、ネットワークセキュリティに深刻なリスクをもたらす。こうしたデバイスは非常に安価になったため、ノベルティーグッズとして使われることが多くなった。USBメモリは確かに便利だが、機密データがそこに保存されたり、悪質なコードがネットワークに持ち込まれたりする恐れがある。次世代の「U3」スマートドライブは、さらに大きなリスクを招く可能性がある。U3スマートドライブでは、保存したアプリケーションを直接実行できるのだ。また、ホストコンピュータの管理者権限がなくてもソフトウェアをU3ドライブにダ
セキュリティテストには攻撃者の視点が肝心
ソフトウェアセキュリティエンジニアとトレーナー、両方の経験から言うと、物事を理解する早さは人によって大きく違うものだ。だが、本来優秀な人がなかなか実力を発揮しないことも多い。どんなバグでも突き止められるベテランのテスターが、セキュリティテストにはなかなか習熟できない、といったことがよくある。わたしはこの数年、世界最大級のソフトウェアベンダー数社で開発者チームのトレーニングに従事する中で、彼らの行動を調べ、優れたセキュリティテスターに必要なものを明らかにしようとしてきた。その結果分かったことを紹介しよう。 セキュリティテスターに必要な3つのスキル わたしは、セキュリティテスターは皆、以下の3つの専門スキルをベースとして持たなければならないという結論に達した。 優れた想像力 多くの場合、セキュリティテスターとして欲しい情報は、すべて手に入るわけではない。例えば、SQLインジェクションの脆弱性を
マルウェア対策用USBメモリ携行の勧め ― TechTargetジャパン
医者や弁護士は、カクテルパーティーのような場では自分の職業をあまり人に明かしたがらないという話を聞いたことがある。それを耳にしたほかの出席者が病気や法律問題に関するアドバイスを求めて周囲に集まり、無料相談の輪が形成されてしまうからだ。昨今のパーティーでは、コンピュータセキュリティの分野で働いているとほのめかそうものなら、あっという間にそういった輪ができるのは間違いない。セキュリティ専門家が出席していると聞けば、誰もが動作の遅くなったPCや煩わしいポップアップウィンドウに関してアドバイスを求めようと思うのは無理からぬことだ。 情報セキュリティ専門家にとって、手元に本格的なツールセットがなくても、取りあえず応急対策を実施する必要がある、といったケースはよくある。本稿ではこういった場合のために、マルウェアに感染したマシンに対して利用できるポータブルなソフトウェアキットを作成する方法を紹介する。イ
IT技術者面接のコツ──最高の管理者を採用するには
IT管理職にとって人材を採用する過程で最大の課題は、最高の技術を持った適切な技術者を適職に配置することだろう。候補となる人材の専門技術分野ばかりに注目する採用担当者も多いが、ヒューマンスキルを考慮することも同じくらい大切だ。 わたしの経験では、技術者の面接は、候補となる人材の技術力評価とコミュニケーション能力評価という2段階に分けると最もうまくいく。資格それ自体は必ずしも技術力を示す最高の指標になるわけではないが、面接はまず最初にMCSEやMCSDといった資格や適切な職務経歴があるかどうかに焦点を当てるといいだろう。 採用過程におけるヒューマンスキルの方だが、わたしは長年にわたってWindowsシステム、ネットワークおよびデータベース管理者の採用に携わり、主に2つの教訓を学んだ。コミュニケーション能力に着目すること、および人は常にナンバー1を目指すものだということ忘れてはいけないということ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
