シグネチャに頼らないWAFアプライアンス「WAPPLES」3製品、200万円台の低価格モデルも
ペンタセキュリティシステムズ株式会社(ペンタセキュリティ)は5月10日、Webアプリケーションファイアウォール(WAF)アプライアンス「WAPPLES」のラインアップに、3モデルを追加すると発表した。新たに提供されるのは、エントリー向けの「WAPPLES-50」と、ハイエンド向けの「同-2000」「同-5000」で、いずれも同日より提供を開始する。価格は200万円(税別)から。 WAPPLESは、Webアプリケーションの脆弱性を保護するために利用される、WAFアプライアンス製品。シグネチャを利用したパターンマッチングに頼らない、独自のロジック分析エンジンにより、攻撃者が狙う脆弱性を埋める手法を採用し、高い検出率と低い誤検知率を実現しているのが特徴だ。また、事前に設定されたポリシーを選択肢、26個のルールを設定するだけで検知設定を行えるなど、管理に要する手間が削減されていることから、他社製品
VMwareの仮想環境をフル活用した「ニフティクラウド」の実力を見る
2008年の金融危機以降、自社でシステムを持たない“クラウドコンピューティング”に関心が集まりつつある。このクラウドコンピューティングに対するひとつの回答となりそうなのが、ニフティ株式会社が開始した「ニフティクラウド」だ。1月27日よりサービスを開始したニフティクラウドは、いわゆるIaaS(Infrastructure as a Service)と呼ばれるインフラ基盤をサービスとして提供している。今回、このニフティクラウドを試用する機会が得られたので、機能や使い勝手などを紹介する。 ■@niftyのサービス基盤をそのまま使ったニフティクラウド 今回サービスを開始したニフティクラウドとは、どのようなサービスなのだろうか。 同社営業本部ISP営業部の上野聡志氏は、「ニフティが持っている数千台規模のサーバーを、顧客専用のプラットフォームとして提供するのがニフティクラウドです。クラウドといってもさ
楕円曲線暗号、RSA暗号との相対強度は従来の数千倍-富士通が解読実験
富士通株式会社と株式会社富士通研究所(以下、富士通研)は1月18日、インターネット通信などの新暗号技術である「楕円曲線暗号」について、RSA暗号との精密な強度比較基準を策定。楕円曲線暗号がRSA暗号と比較して、従来考えられていたよりも、数千倍程度相対的に高い強度であることが考えられると発表した。 現在、インターネットで最もよく使われている暗号方式はRSA暗号であるが、RSA暗号よりも短い鍵長で同等の強度を実現できることから、楕円曲線暗号に注目が集まっている。楕円曲線上の離散対数問題に基づく新技術として、1985年にKoblitzとMillerによって発表されたもので、すでにデジタルコンテンツ暗号規格に採用されている。 これまで両方式の強度比較は行われてこなかったが、今回、富士通と富士通研が実施。まず、すべての楕円曲線暗号に適用できる最速の解読法「ρ法」を用いて、統一環境下で網羅的に、一般的
強まるRuby標準化を求める声~RubyWorld Conference2009
Rubyは、まつもと ゆきひろ氏が中心となるコミュニティで開発されている日本発のプログラミング言語だ。1995年にリリースされて以来、Webサイトの構築を中心に世界中で採用されるようになった。2004年には、Rubyを用いたWebアプリケーションのフレームワーク「Ruby on Rails」が登場し、その流れはさらに加速。有名なところではTwitterで採用されている。 松江市にはまつもと氏がフェローを務めるまつもと氏の勤務先、株式会社ネットワーク応用通信研究所 (NaCl) があり、まつもと氏は松江に在住している。こうした背景からRubyWorld Conference 2009は島根県松江市が開催地となり、会場は島根県立産業交流会館が使われた。 今回のRubyWorld Conferenceで注目されたテーマの1つに、Rubyの国際標準化がある。以下では、このRubyの国際標準化をテー
テクマトリックス、ソースコードに潜む脆弱性を検出する「Jtest Security」
テクマトリックス株式会社は8月4日、ソースコードに潜む脆弱性を自動検出する「Jtest Security」の販売を開始したと発表した。 Jtest Securityは、米Parasoftが開発するWebアプリケーションのソースコードセキュリティ検証ツール。「静的解析」と「フロー解析」でソースコードを検証し、セキュリティの脆弱性につながるコーディングの問題を直接/間接的に検出する。 「クロスサイトスクリプティング」「SQLインジェクション」「HTTPレスポンス分割」「不適切なエラー処理」「安全でない暗号化」といった、PCIDSS/SANS TOP 25/OWASP TOP 10などで発表されているWebアプリケーションの脆弱性を検出するための全38カテゴリ、1000種類以上のコーディングルールを搭載。加えて、リソースリークや不定・不良データへのアクセス、バグの可能性、パフォーマンスの劣化とい
Windows 7時代の新常識-仮想ハードディスクをドライブとして使う【後編】
VHD(Virtual Hard Disk)は、Hyper-VやVirtual PCなどで使われている仮想ハードディスクのファイルフォーマットだ。これまで仮想環境で使われていたVHDファイルだが、Windows 7とWindows Server 2008 R2では、ドライブとしてマウントしたり、OSのブートドライブとして利用できるようになる。 今回は、VHDファイルをブートドライブとして使用する方法を紹介する。 ■新しく作るVHDファイルを使ってブートドライブを作る まずは、HDDの代わりにVHDファイルをブートドライブにする方法を紹介する。ここでは、未フォーマットのHDDに対して、新たにVHDファイルを作成し、作成したVHDファイルにWindows 7をインストールする方法を紹介する。 注意が必要なのは、VHDファイルをブートドライブにできるOSは、Windows 7/Windows S
Windows 7の新機能「Windows XP Mode」を使ってみる
5月7日に国内ユーザー向けに一般公開されたWindows 7 RC(製品候補版)。限りなく製品に近いバージョンとなったRCで、新たに用意されたのがWindows XP Modeだ。Windows XP Modeを利用することで、Windows 7上で動作しないアプリケーションを動かせるのが最大の特徴となっている。サーバー関連の仮想化情報を紹介している本連載ではあるが、企業ユーザーにとって関心が高まるであろうWindows XP Modeを今回紹介する。 【10/23追記】Windows 7およびWindows XP Modeともに正式版が公開されたので、記載内容に違いのある部分のみ加筆・修正を行っています。 ■Windows XP Modeとは? Windows XP Modeは、ホスト型の仮想化ソフト「Windows Virtual PC」を利用することで、Windows 7では動作しな
HASHコンサルティング、Web脆弱性の診断サービスや実技教育サービス
HASHコンサルティング株式会社は4月7日、「ウェブ健康診断」の仕様に基づき、Webシステムの脆弱性検査サービスや検査実技教育サービス、セキュリティ要件コンサルティングサービスなどを提供すると発表した。 ウェブ健康診断とは、財団法人地方自治情報センター(以下、LASDEC)により公開された、地方公共団体の提供するWebアプリケーションの安全状況を簡易検査により把握するための診断仕様。精密検査を行う前の抜き取り検査の内容を定めたもので、12項目の診断項目により危険性の高い脆弱性を網羅するほか、診断仕様・判定基準・抜き取り基準が明確に定義・公開されているのが特長。また、無償ツールのみで診断が可能で、本番稼働のサイトを前提とした安全な診断仕様であるという。 HASHコンサルティングは、LASDECの技術アドバイザーとして同仕様の原案策定、各種マニュアルやドキュメントの作成、診断事業者の技術指導な
米FortinetがWAF市場に参入、トータルセキュリティの提供目指す
米Fortinetは2月17日(米国時間)、Webアプリケーションファイアウォール(WAF)アプライアンス「FortiWebシリーズ」を発表した。まず、中/大規模向けの「FortiWeb-1000B」を提供する。 もともとはUTM(統合脅威管理)アプライアンスの専業ベンダーとして知られる同社だが、2008年には、米IPLocksから取得した技術をもとにデータベースセキュリティアプライアンス「FortiDB」をリリースし、アプリケーションセキュリティの分野に進出。今回のWAF提供で、さらに同分野に本腰を入れてきた。 これについてFortinetのCTO、マイケル・ジー氏は、「顧客から特定の領域でセキュリティを高めたいという要望をもらっている。Web サービスはエンタープライズでも一般的になり、社内的にWebサーバーが増えていることもあって、その保護に対する需要は増えている」と述べ、事業領域の
VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに
VISAは11月11日(シンガポール時間)、カード産業におけるデータセキュリティ基準「PCI DSS」において、順守に必要な国際的に統一された枠組みを発表した。その中で、VISAカードの取引件数が年間600万件を超えるような大手加盟店に、2010年9月30日までのPCI DSS準拠を義務化した。 PCI DSSは、カード産業におけるデータセキュリティ基準。具体的な実装レベルのセキュリティ要件が定められており、カード情報流出を防止するため、カード加盟店やプロセサ(決済代行処理事業者)などに準拠が推奨されている。今回発表した枠組みの中ではまず、バリデーションプログラムの統一が行われた。 PCI DSSに準拠するためには、「訪問審査」「脆弱性スキャン」「自己問診」などの審査をクリアしなければならない。どの審査を受けるかはカード取引件数などに応じて異なり、その条件を定めたのがバリデーションプログラ
米カーネギーメロン大、HTTPS通信を安全にするFirefox向け拡張機能公開
米カーネギーメロン大学コンピュータ科学部の研究者らが8月28日(米国時間)、SSH/SSL通信での攻撃を防止するためのFirefox 3向け拡張機能「Perspectives」を公開した。Linux、Windows、Mac OS Xに対応。同大学のWebサイトから無料でダウンロードできる。 Perspectivesは、米VeriSignの認証局が署名したPKIを利用していない自己署名型Webサイトと安全な通信を確保するための層を提供する。こうした自己署名型Webサイトに接続した場合、Firefoxはセキュリティエラーメッセージを出すが、Perspectivesは新しいアプローチによって、サイトの有効性を確認して自動でエラーメッセージを上書きする。ユーザーは間違ったステップを踏むことなく、シンプルに安全性を確認できるという。 具体的には、「ネットワーク公証サーバー」と呼ぶ公開サーバーを立ち上
見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第三回】
日本でのEV SSL導入の進み具合は米国と比べると遅い。発端が米国にあり、次いで日本に上陸する以上、タイムラグは当然なのだが、ほかにも日本ならではの促進阻害要因があるようだ。第三回では、日本の商習慣・法的枠組みに対応した普及活動を行う有限責任中間法人 日本電子認証協議会(以下、JCAF)に、活動方針や課題克服に向けてどう取り組むのか、また今後の展望をどう見るのかなどについて話を聞いた。 ■ JCAFの設立経緯とその役割 フィッシングサイトでのSSL証明書悪用。その原因はもっぱら、技術的仕様はあれど、発行審査プロセスのガイドラインが存在しなかったためだ。このため、審査は認証局ごとにバラバラになってしまった。この問題を解決するために、世界の主要認証局、Webブラウザベンダにより、米国でEV SSLの普及、仕様策定などを行うCA/Browser Forum(以下、CABF)が設立された。 CAB
Windows Server 2008 RC1ファーストインプレッション
マイクロソフト株式会社は、Windows Server 2008 RC1(Release Candidate:リリース候補版)を公開した。同社サイトからダウンロードできる。さっそく、ダウンロードしたWindows Server 2008 RC1(x64 Edition)をインストールして、一通り使ってみたのでレポートする。 インストール環境に関しては、Windows Server 2008 RC0と同じく、CPUにAthlon 64×2 4200+(2.2GHz)とチップセットはAMD 690G(内蔵グラフィックコア RadeonX1250相当)、メモリ3GBという環境だ。 まず、インストール自体は、ほとんど問題なく行われた。ただし、インストール後、「Administrator」のパスワードを入力するときに、とまどった。Windows Server 2008 RC0では、短いフレーズのパス
サイオス、無償のプロジェクト管理ソフト「ProjectKeeper」をベータ公開
サイオステクノロジー株式会社は7月4日、OSS(オープンソースソフトウェア)のプロジェクト管理ソフト「ProjectKeeper」を発表した。価格は無償。同日よりベータ版を、8月中に正式版を公開する。 ProjectKeeperは、工程管理、スケジュール管理、ダッシュボードなどの機能を搭載したプロジェクト管理ソフト。Webアプリケーションとして動作するため、クライアントPCにインストールすることなく、すぐに利用できるのが特長。LDAPと連携したユーザー管理機能も用意。また、APIを公開しているため、基幹システムとの連携にも対応可能だ。 工程管理機能では、工程のパターンをあらかじめ登録できるテンプレート機能を用意。これを利用することで、類似プロジェクトの工程を容易に作成することが可能。スケジュール管理機能では、ガントチャートを使った管理が行える。また、ガントチャートはマウス操作で自由に編集す
EV SSLでアドレスバー変色機能を正しく活用するには?-日本ベリサインが説明
日本ベリサイン株式会社は4月12日、フィッシング詐欺などのオンライン犯罪対策として期待される「Extended Validation(EV) SSL証明書」について説明会を開催。米Verisign、プロダクトマーケティングディレクタのTim Callan氏から、EV SSL証明書に関する取り組みや技術的な仕組みなどが説明された。 同氏はまず、昨今のインターネットを取り巻く環境を説明。1年前には4000カ所ほどだったフィッシングサイトがこの1年間で3万7000カ所にまで増加している点を指摘。その上で、数千人のインターネットユーザーに対して行った調査において、90%の人が正規のWebサイトとフィッシングサイトを見分けられなかったことに触れた。 そうした問題を抱える時代の要請に応えるようにして現れたのがEV SSL証明書。2007年に行われた調査では、Webブラウザのアドレスバーが緑色に変色して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ユニアデックスとMBSD、IT統制サービス推進のため協業強化