BLOGOS サービス終了のお知らせ平素は株式会社ライブドアのサービスを ご利用いただきありがとうございます。 提言型ニュースサイト「BLOGOS」は、 2022年5月31日をもちまして、 サービスの提供を終了いたしました。 一部のオリジナル記事につきましては、 livedoorニュース内の 「BLOGOSの記事一覧」からご覧いただけます。 長らくご利用いただき、ありがとうございました。 サービス終了に関するお問い合わせは、 下記までお願いいたします。 お問い合わせ ※カテゴリは、「その他のお問い合わせ」を選択して下さい。
データベースの暗号化、もしくはパスワードの保存方法のまとめ - めもおきば
追記: (2021-06-04) いまだにこの記事へのアクセスが多いので、2021年現在におけるパスワードの取り扱いに関するベストプラクティス記事を紹介します。 cloud.google.com (追記ここまで) PSNの障害で盛り上がっていますが、クレジットカード番号は暗号化していたがパスワード含む個人情報は暗号化していなかったという点が注目されているようです。 というわけで、パスワードの保存方法についてまとめてみます。 前提となる暗号の話 いわゆる暗号化と呼ばれている技術には、以下の2種類があります。 1. 復号のための鍵があって、暗号化する前の「平文」に戻すことができる「暗号化」 ざっくり言えば、この2通りの操作ができます。 平文と鍵1 ―(暗号化)→ 暗号文 暗号文と鍵2 ―(復号)→ 平文 平文が暗号化される前のデータ、鍵と書かれているのが2048ビットだったりする暗号化の方法に
「情報処理安全確保支援士」試験の最短合格法 - ysadaharuhatenablog
はじめに 本エントリは、情報処理技術者試験の「情報処理安全確保支援士」に最短合格するための勉強法について書いたエントリです。 私が2011春のSC試験に合格した時に実践した試験対策をまとめてみました。 結論から言えば「午前は過去問、午後はポケスタをやる」。これだけです。 ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験) 作者:村山直紀発売日: 2017/03/25メディア: 単行本 ※その他の情報処理関連のエントリは[情報処理]タグからどうぞ サマリー 冒頭にも少し述べたましたが、SC試験(登録セキスペ)に合格するためにやるべきことは以下の2つです。 午前:過去問を解く 午後:『ポケットスタディ 情報処理安全確保支援士』を習得する なぜこの2つなのかについて、以下説明します。 初受験の方 初受験の方は、まずは前回の過去問をIPAからダウンロードして、午前・午後を全部解いてみ
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
Mac買ったらこれだけはやっておけ!~Macのセキュリティ、アンチウイルス、8つの設定
2011 年 4 月 16 日 anchor Mac買ったらこれだけはやっておけ!(追記3)〜個人情報は暗号化して保存せよ 10)中級編〜個人情報は暗号化して保存せよ 先日「Mac買ったらこれだけはやっておけ!〜Macのセキュリティ、アンチウイルス、8つの設定」という記事を書いたところいろいろ反響をいただいた。 そのなかでログインパスワードを設定して、個人情報を守れという話を書いたところ 「File VaultとOpenFirmware Passwordが必要なのでは?」 というコメントがあった。 実は前にもこういうテーマを取り上げた時に同じ話題になった。 まずOpenFirmware Passwordについてはこちらでも取り上げた。 OSXのrootパスワードはシステムディスクがなくてもリセットできる2〜じゃオープンファームウエアパスワードなら安全なのか!?〜セキュリティのシチュエーショ
パスワードが無くなってログインできない Mac に無理矢理ログインする方法
会社で前任者が使用していたMacを使用する際など、管理者ユーザーのパスワードが紛失してしまってログインできなくなってしまう場合があります。っていうか、実際になって大変困りました>< このような場合、Mac OS Xでは「シングルユーザーモード」でOSを起動して、ユーザーのパスワードを自由に書き換えてログインできるようにすることができます。万が一の場合に便利なのでご紹介いたします。 参考にしたページはこちら。 http://d.hatena.ne.jp/viz3/20091029 ■対象環境Mac OS X 10.4以上であること (launchctlを使用するため)UNIX / Linuxの対話環境についてある程度以上の知識があること失敗しても泣かない心があること大変申し訳ありませんが、こちらに記載されている内容を実行して失敗してシステムが起動しなくなっても当方は責任を負いかねます>< 1
情報セキュリティスペシャリスト試験合格者の使用テキストはこれだ! - ysadaharuのはてなダイアリー
情報処理サマリー情報セキュリティスペシャリスト試験(平成23年特別試験)合格者の【使用テキスト】を集計してみた。結論から言うと、情報セキュリティスペシャリスト試験の合格に最適なテキスト(参考書、問題集)は「翔泳社の情報処理教科書+過去問」の組み合わせがベストという結果となった。情報処理教科書 情報セキュリティスペシャリスト 2011年版posted with amazlet at 11.08.25上原 孝之 翔泳社 売り上げランキング: 2014 Amazon.co.jp で詳細を見る ※その他の情報処理関連のエントリは[情報処理]タグからどうぞ ※私の情報セキュリティスペシャリスト試験オススメ勉強法はこちら集計対象集計対象は、2chの本スレでH23特別試験の合格者が報告した【使用テキスト】。8/25時点で、テンプレ報告した合格者数は70人ということで、サンプル数としてはまずまずの数かと
確実に情報セキュリティスペシャリストに合格できる勉強法と参考書 - Akio's Log
(2011/12/21追記) ネットワークスペシャリストにも合格できたので、ネスペ向けの参考書などもまとめました。 確実にネットワークスペシャリストに合格できる勉強法と参考書 - Akio’s Log 昨日、平成23年度特別情報処理技術者試験の合格発表があり、3度目の受験にしてようやく、情報セキュリティスペシャリスト(SC試験)に合格することができました。 ちなみに点数はこんなです。 平成23年度 特別 情報セキュリティスペシャリスト試験 成績照会受験番号 SC105-XXXX の方は, 合格 です 午前I得点 68.00点 午前II 得点 84.00点 午後I得点 81点 午後II得点 76点 午前1が際どかったですね。午後1/2は、自己採点でどちらも60点台だったのですが、部分点多めにもらえてようです。 ちなみにタイトルは大げさ過ぎますねwww 3度目の受験だったのですが、これまでの2
偽造されたSSL証明書は500以上:Geekなぺーじ
CA(Certificate Authority / 認証局)であるDigiNotarがクラックされて偽のSSL証明書を発行していた問題で、偽のSSL証明書はGoogleだけではなく、現時点で531にのぼることがわかったようです。 Computerworld: Hackers steal SSL certificates for CIA, MI6, Mossad Computer Worldの記事によると、現在わかっている偽造された531のSSL証明書に、 CIA、MI6、モサド、Microsoft、Yahoo、Skype、Facebook、Twitter、MicrosoftのWindows Updateサービスなどが含まれているとあります。 現時点では、主要WebブラウザがDigiNotar社のSSL証明書を信頼しなくなっています。 関連 イランからGoogleへのSSL通信が傍受されて
Androidスマホのセキュリティー対策、企業が採るべき対策は?【スマホ2011春】 - 日経トレンディネット
通信システムの技術開発や調査を専門とするKDDI研究所の竹森敬祐氏は「Androidフォンのセキュリティ ~リスクと対策~」をテーマに講演。Androidスマートフォンはセキュリティー面でどのような脅威が存在するのか、セキュアに利用するための対策などを解説した。 竹森氏は「Androidスマートフォンは、悪意のあるマルウエアの感染を防ぐことに注意しなければならない」と述べた。マルウエアの感染経路は、ほとんどがアプリのインストールによるものだという。いったんインストールしてしまうとシステム領域に入り込み、容易に削除できないものも存在する。怪しいアプリをインストールしないように心がけることがまず重要となるわけだ。 だが、Android用のアプリが公開されている「Androidマーケット」は、アプリの内容のチェックが甘く、マルウエアを含むアプリが掲載されているケースがあるという。アプリのインスト
[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)
Firefox2でもhttponlyが使えるという話を耳にしました。 httpOnly - Firefox Add-ons*1 httponlyがいよいよ普及するか? というのでネタにしてみます。 なお、この日記は、WinXP+IE6SP2環境を前提として書きました。 はじめに httponlyは、XSS脆弱性がある状況においても、cookieを窃取されないようにすることを狙ったIEの独自機能です。 MSDN - Mitigating Cross-site Scripting With HTTP-only Cookies この機能を有効にするためには、発行するcookieにhttponly属性を付けます。 Set-Cookie: key=value; domain=example.com; HttpOnly httponly属性が付けられたcookieは、JavaScriptのdocume
![[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)](https://cdn-ak-scissors.b.st-hatena.com/image/square/e8a0aea5d375a69b5b38062b6dbabb4cf556055e/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711097230%2F1548045809)
遊びながら情報セキュリティについて学べる「セキュリティ投資すごろく」 - GIGAZINE
約450万人分もの個人情報が漏えいしたYahoo! BB顧客情報漏洩事件をはじめ、何らかの要因によって大事な情報が外部に漏れてしまうケースは少なくありません。企業のシステム管理に携わっている人ならともかく、一般の社員などでは「情報セキュリティ」についての認識が甘いというケースも多いのではないでしょうか。 NTT西日本が作成した「セキュリティ投資すごろく」は遊びながら情報セキュリティについて学べるという無料ゲームで、情報セキュリティ対策の基本的な知識や考え方を無理なく覚えることができます。これから情報セキュリティについて学びたいという人にはピッタリかもしれません。 「セキュリティ投資すごろく」の遊び方は以下から。 セキュリティ投資すごろく 上記ページ内、「ゲームを始める」をクリック。 男性と女性からキャラクターを選びます。今回はかわいらしい女性にしてみました。「次へ」をクリック。
PCI DSSと10の神話
PCI SSC年次総会で配布された資料に興味深いものがあった。PCI DSSに関する誤解を解くために作成された「PCI DSSに関する10の神話(Ten Common Myths of PCI DSS)」と題する冊子だ。 「とりわけセキュリティ対策が行われていない,あるいは『何が必要で,何が必要でないか』を指導してくれるITの専門家がいない小規模な加盟店にとっては,PCI DSSの要求は包括的で,敷居が高いように見えるかもしれません」との書き出しで始まる「10の神話」は,PCI DSSをより正確に理解することに役立つので,紹介する。 神話1:単一ベンダー・単一製品で準拠を実現できる Myth 1 -- One vendor and product will make us compliant 多くのベンダーがPCI準拠のための多くのソフトウエアやサービスを提供しているが,1社あるいは1製品
セキュリティ基準「PCI DSS」 - ITpro
「リリース後1カ月以内のパッチ適用」「WAFの導入」「1日1回のログのレビュー」――。PCI DSS(PCIデータセキュリティ基準)には,情報セキュリティの基準が具体的に定められている。米国ではここ数年,PCIDSSの認定を取得する企業が急増。国内でも注目が高まっている。どのような要件があるかを解説し,要件を満たすための製品/サービスを紹介する。 「PCI DSS」改訂の裏側 上機嫌なボブのスピーチで年次総会が開幕 “仮想化”は取り残された PCI DSSと10の神話 コンサルタントは一般企業への適用を促す PCI DSSの概要 違反すると罰金や損害賠償が課せられる ISMSやプライバシーマークとは全く違う 導入時は自己問診票でチェック 運用時は四半期ごとにスキャニング 情報システムに大きなインパクト 「6個の目的」と「12個の要件」 目的1:安全なネットワークの構築・維持
5分で絶対に分かるPCI DSS − @IT
PCI DSSとは? セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS(Payment Card Industry Data Security Standard)とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。
不要なサービスの停止こそ管理の第一歩
サーバ管理者の多くは、自分の運用するサーバに対して、第一にサービスが停止しないこと、そして第二に不正侵入されないことを願うだろう。特にここ数年は、不正侵入の事例が多く報告されていることから、いま一度サーバのセキュリティを見直し(再点検し)たいと思っている読者も中にはいると思う。 そうした場合、OSのリプレースから行い、セキュリティを考慮した設定を行うのが望ましい。しかし実際は、顧客などにサービスを提供したり基幹サーバとして24時間フル稼働している以上、そうやすやすと止めるわけにはいかないのが現実だ。もちろんサーバの冗長化を行っていればその問題はクリアされるが、ほとんどの場合、予算などの関係ですべてのサーバがそのような構成を取ることはできないだろう。 本連載では、現行動作しているUNIXサーバを対象に、稼働サービスの停止を最小限に抑えつつ、セキュリティを向上・維持するための一連の設定やツール
特権ユーザーの安全性向上を行うsudoの設定例
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、sudoの基本的な使い方と例をいくつか紹介した。今回も引き続きsudoを用いたコマンドの利用制限を中心に説明する。 sudoコマンドのおさらい sudoの設定例に入る前に、sudoの基本的な使い方をおさらいしておこう。 sudoコマンドの使い方 前回説明したとおり、sudoの使い方はとてもシンプルで実行するコマンドの前にsudoと入力するだけだ。例えば、/var/log/secureというファイルを特定ユーザーの権限で参照したい場合は、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDEA * IDEA
IPA-安全なウェブサイトの作り方2021年改訂第7版.pdf
IPA セキュア・プログラミング講座:Webアプリケーション編