誰がシステムのセキュリティを“大丈夫”にするのか
「セキュリティは大丈夫なようにしておいてよ」 開発を依頼するときに、こんな言葉を交わしていませんか。開発会社は開発のプロなんだから、セキュアなシステム構築のことも熟知しているし、任せておけば大丈夫……果たして、それで本当に大丈夫なのでしょうか。 開発会社はセキュリティなんかにかまっている余裕はない? これまで、いくつかの開発会社やその現場を見てきましたが、その中にはセキュリティのことをあまり考えていない開発会社もありました。そういった会社は、セキュアなシステム構築への取り組みを会社として何もしていなかったり、セキュリティのことは設計者やプログラマの個人的なスキルに依存していることもしばしばです。 中には「セキュアにシステム構築なんかしている場合じゃない」と社長自らが述べている開発会社もありました。セキュリティにはコストがかかるし、特別なスキルが必要という先入観からなのか、セキュリティのこと
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
クレジット情報を守る「日本カード情報セキュリティ協議会」発足 - @IT
2009/04/21 「日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:略称JCDSC)」が4月21日、正式に発足した。NTTデータ・セキュリティが中心となって運営していた設立準備会は4月21日、31社の参加企業とともに第1回総会を開催し、事務局と運営委員を選定した。 日本の「改正割賦販売法」と世界の「PCI DSS」の悩ましい関係 協議会総会において、日本オフィス・システム コンサルティング推進室の森大吾氏が日本のカードセキュリティの現状を解説した。2008年6月に成立した改正割賦販売法では、原則に当たる部分は経済産業省で決め、具体的な設定基準などを定めた細則は国が認定した業界団体、割賦販売協会で決める。その認定割賦販売協会として、日本クレジット協会が4月1日に発足している。 現状のカード情報セキュリティの基準は、原則に当たる政令
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
“セキュアなWebアプリ”に立ちはだかる課題
“セキュアなWebアプリ”に立ちはだかる課題:セキュリティ、そろそろ本音で語らないか(4)(1/3 ページ) SQLインジェクションによる情報漏えい事件がクローズアップされています。対策は簡単なこと……と言われ続けているのですが、なぜWebアプリケーションの脆弱性は無くならないのでしょうか。第4回ではその理由に迫ります(編集部) 私は前職で、Webアプリケーションの脆弱(ぜいじゃく)性による個人情報の漏えいの脅威を広く知ってもらうために実在のサイトの脆弱性を公開する、ということをしていました。最初のレポートが2001年10月で、恐らく日本で最初ではないかと記憶しています。 それから何年もたちましたが、相変わらずWebアプリケーションの脆弱性はなくならず、いまもさまざまな対策ソリューションが発表されています。 Webアプリケーションの脆弱性対策は、おおむね以下のように分類できます。 開発時に
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
Windows Hyper-V Server 2008を利用する- @IT
Hyper-VはWindows Server 2008で利用できる機能の1つであり、仮想的に構築したコンピュータ(VM)上で、OSやアプリケーションを稼働させることができる(TIPS「Windows Server 2008にHyper-Vをインストールする」参照)。VM上でシステムを運用すると、(たいていの場合)パフォーマンスに関してはやや劣るものの、システムの運用管理は大幅に簡略化される。例えばディスク・イメージは単なるファイルとして扱われているので、システムのバックアップやリストア、複製、導入などが容易になる。スナップショットの機能を使えば、システムの復旧や構成変更なども簡単に行える。 Hyper-Vを利用する場合は、Windows Server 2008のほかの役割などを兼用せず、専用環境として利用することが望ましい。1台のサーバで複数の役割を兼用すると、管理が面倒になるし、パフォー
mixiや楽天の「中の人」、インフラエンジニアを語る
パソナテックは2008年12月6日、「インフラエンジニア討論会2008 ~インフラエンジニア進化論~」を開催した。楽天の和田修一氏、スカイホビットの越川康則氏、ミクシィの長野雅広氏、モトローラの石原篤氏、paperboy&co.の宮下剛輔氏、計5人の「インフラエンジニア(サーバやネットワークなどの設計・管理・運用を担当する技術者全般を指す)」が登壇し、自らの業務や興味関心、インフラエンジニアとして働くことのやりがいなどを語った。 個人のスキルに「依存した」運用の可能性 前半は各自のトークセッションとして、自らの業務、キャリア、興味関心などを5人がそれぞれ講演した。 和田氏は現在「開発部 国際開発室」に所属しており、アプリケーション開発も若干行っているものの、メインは台湾版「楽天市場」の設計・構築・運用の業務を行っている。大学時代は経済学部で、技術を学んだのは就職後。「大学時代はバンドに明け
PCI DSS v1.2で注目すべき4つの変更点 - @IT
第3回 PCI DSS v1.2で注目すべき4つの変更点 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/11/21 2008年10月にPCI DSSがアップデートされました。このアップデートでは「WEP利用の禁止」という項目が注目を集めていますが、そのほかにもすべてのシステムで検討すべき対策が盛り込まれています。第3回では今回のバージョンアップの内容と、そのアップテートの狙いを解説します(編集部) 第1回「エンジニアも納得できる“PCI DSS”とは」、第2回「あの手この手で守るべきカード情報、その中身とは?」では、PCI DSSの概要を解説しました。2008年10月にはPCI DSSの最新バージョン1.2がリリースされ、各所で話題になっていますが、第3回はこのバージョン1.2の変更点と対応に当たっての注意点を述べたいと思います。
「MS Officeに知らないうちに依存していた」、OOo導入の会津若松市 − @IT
2008/10/29 「『無料のオープンソースソフトウェアなのだから、OpenOffice.orgを入れればコストを削減できる』と安直に導入すると、絶対に失敗する。導入や教育といった部分も含め、どうやるかをしっかり考えないとリスクは大きく、経費削減どころか大きな投資になってしまう恐れもある」――。 10月28日に東京都内で行われた「IPAフォーラム 2008」に、オープンソースのオフィススイート「OpenOffice.org」を全庁で導入と発表した会津若松市役所 総務部情報政策課 副主幹の本島靖氏が登壇。OpenOffice.org導入の経緯や課題を説明する中でこのように語り、「タダだから」という理由による安易な導入を戒めた。 導入も研修も職員が担当 会津若松市は2008年5月に、OpenOffice.orgを全庁に導入することを発表した。5年をかけて、840台のPCにインストールされてい
@IT:経営層にセキュリティの重要性を納得させる
セキュリティ製品の基礎知識と導入手引き 【連載】情報セキュリティ運用の基礎知識 第4回 経営層にセキュリティの重要性を納得させる 小川博久 シーフォーテクノロジー 2003/1/10 どんな業務を行うにしても予算や人員を確保することが、一番始めの仕事になる。当然、セキュリティに携わる者にとっても同じであるが、セキュリティ関係の仕事においては、少なからず違う側面があるのも事実だ。連載最後の回は、セキュリティ関係の仕事には必ずついて回ってくる問題「上司を納得させる材料」について現場の立場に立って考えたい。 企業に所属している限り、必要な人・物・金を確保するには、当然、上司や経営層を納得させなければならない。特にセキュリティ関連業務においては、上司や経営層にセキュリティの重要性を理解させるということが、最も重要な問題となってくる。 企業のセキュリティを強化するということは、その企業のセキュリティ
カミンスキー氏が発表したDNSアタック手法と対策例 ― @IT
カミンスキー氏が発表したDNSアタック手法と対策例:DNSキャッシュポイズニングの影響と対策(前編)(1/4 ページ) 2008年7月に公開されたDNSキャッシュポイズニングの脆弱性。DNSの仕様に深く関係するこの手法に対して、エンジニアはどのように対策を打つべきでしょうか。この脆弱性の本質的な問題と対策、そして私たちが考えなくてはならないセキュリティの心構えなど、2回に分けてお送りします(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク、コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークや
「自分の人生は自分で決めること」―エンジニアの未来サミット ― @IT
「IT業界は『泥』ばかりじゃないし、いい面ばかりでもない」。9月13日、技術評論社が主催する「エンジニアの未来サミット」が行われた。定員250人の会場は満員となり、注目の高さを伺わせた。 イベントは2部構成。第1部は「アルファギーク vs. 学生~エンジニア業界の過去・現在・未来、そして期待と現実」と題して、ディーエイエヌ 小飼弾氏、電通国際情報サービス ひがやすを氏、ミラクル・リナックス よしおかひろたか氏、ライブドア 谷口公一氏、はてな 伊藤直也氏の5人と、学生4人がパネリストとして登壇。第2部は「エンジニア、デザイナーたちの“30代”の生き方・考え方~あのころの理想と今を熱く語る」と題し、9人のITエンジニアやWebデザイナーが、仕事やライフスタイルについてパネルディスカッションを行った。 会場の様子はUstream.tvで生中継された。また、Ustream.tvのチャットで書き込ま
“LocalSSL”でキーロガー対策、トレンドが新製品 ― @IT
トレンドマイクロは9月10日、総合セキュリティソフト「ウイルスバスター2009」を発表した。ダウンロード販売は同日17時から、店頭販売は9月19日から開始する。 新バージョンでは、キーロガーによるパスワード詐取に対する防御機能として「キー入力暗号化」機能を搭載。LocalSSLと呼ぶサードパーティー製の技術を使ってキーボードから受け付けた入力を暗号化。キーロガーが混入している可能性のあるソフトウェア層をバイパスしてWebブラウザのプラグインにパスワードを渡す。対応するのはInternet Explorer 6.0 SP2、同7.0で、ユーザーが明示的にキー入力暗号機能をオフ・オフできる。 【訂正:2008年9月11日18時30分】初出時、LocalSSLがトレンドマイクロ社製の独自技術とありましたが、正しくは他社製の技術でした。訂正してお詫びいたします。 同日会見で新製品の機能説明をしたト
Rubyで作った国産タスク共有システム「9arrows」 - @IT
2008/09/09 9Arrowsは9月9日、Rubyで作成されたタスク共有システム「9arrows」をオープンソースソフトウェアとして公開した。公式サイトから無償でダウンロードできる。同時にASP版9arrowsも提供される。 9arrowsは、プロジェクトを作業単位に分割して、担当者の割り振りやスケジュール、進捗状況の管理を行うWBS(Work Breakdown Structure:作業分解図)ツール。従来のグループウェアでは対応が困難だった作業管理を行い、予定や進捗状況を共有することで、プロジェクトを効率的に進めることができる。 「Ruby on Rails」やJavaScriptのフレームワーク「ExtJS」のほか、Flex、AIRといった技術を用いて開発されている。Ruby on Rails 2.0以上が動作する環境で利用可能だ。ほかにPostgreSQL 8.2以上、Ado
インターネットを過激に加速するアプリdolipoの種明かし− @IT
Webブラウジングでのクライアントのレスポンスを向上するプロキシソフト「dolipo」。使い方とともに、高速化の仕組みを解説する 少しでもネットワークを高速化したいヨーロッパ圏から学ぶ こんにちは、dolipoを開発したdrikinです。dolipoの着眼点は、ネットワークの技術的な側面だけでなく、Webアプリケーションの開発時に悩むネットワーク速度の問題に対しても、面白いアプローチになっています。 僕のこの技術との出合いは偶然でした。dolipoの元となったPolipoのプログラムを発見したときその効果に感動し、何とかこの素晴らしさをより簡単にもっと多くの人に伝えたいと思いdolipoを作りました。 日本では、光ファイバなどの高速回線の普及度が高く、サービスの品質も高いため、ネットワークサービスを開発する際にも、ネットワークのスピード自体はほとんど問題ではありません。いかにクライアントや
IPSは“魔法の箱”か
皆さんこんにちは、川口です。2008年7月12日に大阪で行われたセキュリティ関連の勉強会、「第15回まっちゃ139」にお招きいただき、講演をさせていただきました。前々からまっちゃ139の存在は知っていたのですが、予定が合わず参加できずにいました。初参加がいきなり講師ということになりましたが、皆さんに積極的に参加していただいたおかげで楽しくお話しさせていただきました。 当然、懇親会にも参加して、ほかの参加者と交友を深めてきました。さまざまな立場の人と知り合って、話ができる勉強会&懇親会というのは良いですね。日本の各地でセキュリティをテーマにした勉強会が開催されているので、情報をキャッチアップされている人には特に積極的に参加してほしいと思います。 IPSは使えるのか? このようなセミナーや勉強会などに参加するとよく聞かれる質問があります――「実際のところIPS(Intrusion Preven
ネガティブか、ポジティブか……それが問題だ ― @IT
この特徴を基にシグネチャを作ります。監視カメラを見る担当者は「サングラス」と「拳銃」を持っていたら銀行強盗と定義しました。このシグネチャを作ることでほかの銀行強盗が銀行に入ってきても速やかに対応することができました。 あるとき、銀行強盗は学びました。自分の特徴を変えたとしたら……? 「拳銃」を持っていることが発見されているのではないかと考えた銀行強盗は「拳銃」を「ライフル銃」に変えて、銀行を襲いました。銀行強盗を発見するためのシグネチャは「サングラス」かつ「拳銃」という条件になっているため銀行強盗の発見が遅れてしまいました。この事象がフォールスネガティブです。 本来発見しなければならない強盗がシグネチャにマッチングしなかったために見逃す結果となってしまいました。このフォールスネガティブの確率を下げるために、担当者は「サングラス」をかけていた場合に銀行強盗とする条件のシグネチャに変更しました
日本初の「ミューチップ」図書館、50冊を3秒で読み取り可能に - @IT
2008/06/26 東京都北区は、日立製作所の無線ICタグ「ミューチップ」を蔵書管理に活用した「北区立中央図書館」(赤レンガ図書館)を6月28日に開館する。ミューチップを採用した公立図書館は日本で初めてといい、蔵書点検が大きく効率化されるとしている。 開館する中央図書館は陸上自衛隊が管理していた戦前の東京砲兵工廠銃包製造所の「赤レンガ倉庫」を活用した建物で、今年3月30日に閉館した旧中央図書館が移転した。3階建てで延床面積は6165平方メートル。30万冊の蔵書があり、10年後には50万冊まで増やす予定という。 ミューチップを採用した理由は「利用者ができるだけ長く図書館のサービスを使えるようにすること」と、北区立中央図書館 図書主査 新中央図書館担当の小野克巳氏は説明する。中央図書館の情報システムは2006年春から検討を始め、「ICタグでいかに効果を出すかを考えた」という。小野氏らが考えた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
