サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
画力アップ
www.shadan-kun.com
インターネットをはじめとしたネットワークの発達は、企業や組織に大きな利益と業務の変化をもたらしてくれました。ネットワークに常時接続し、デジタルデータのやり取りやサービスの提供を受けることで、業務の効率化などの様々なメリットの享受に繋がります。 しかし、それと引き換えに、世界中の悪意あるユーザーによるサイバー攻撃の前にさらされることにもなりました。ネットワークで接続されているということは、接続しているどこからでも攻撃が可能となることも意味しているからです。 このようなサイバー攻撃において、どこから、どれだけの攻撃を受けているかを把握することが対処の第一歩となります。サイバー攻撃を可視化し、対処への足がかりを提供するのが、サイバー攻撃可視化ツールです。その重要性から、多くのセキュリティプロバイダーから提供されています。 本記事では、代表的なサイバー攻撃可視化ツールを6つ紹介します。ツール提供を
DoS攻撃・DDoS攻撃というサイバー攻撃を聞いたことありますか?それぞれ「ドス攻撃」「ディードス攻撃」と読み、簡単にいうと、Webサイトやサーバに対して大量の情報を送りつけるサイバー攻撃です。DoS攻撃・DDoS攻撃によってWebサイトがアクセスしにくくなること、またはサーバーダウンとなることがあります。 この記事では、このDoS攻撃・DDoS攻撃について詳しく解説します。また、DoS攻撃・DDoS攻撃を対策するための選択肢も少なくないので、併せて紹介します。 DoS攻撃とは? DoS攻撃とは、Denial of Service Attackの略称でアクセスが集中することでサーバがパンクすることを利用し、悪意を持ってサーバに大量のデータを送りつけるサイバー攻撃のことです。 日々インターネットを使用している中で、「このサイトつながりづらいなあ」「このサイトつながりやすいなあ」と、サイトによ
DoS攻撃とは、標的のWebサイトに対してツールを使って多くの回数攻撃し、標的Webサイトのサーバのリソース(CPU、メモリなど)を枯渇させることにより、Webサイトをダウンさせる攻撃です。DoS攻撃によって、Webサイトの閲覧が不可能になったり、サイトが遅延してスムーズな閲覧が不可能になるなどします。 DoS攻撃は1箇所から大量のトラフィックを発信するため、その発信元のIPアドレスを特定し通信を受け付けないように設定することで攻撃を防ぐことが可能です。 そのため、傾向としてDoS攻撃よりもさらに複雑なDDoS攻撃が主流となりつつあります。 DoS攻撃に取って代わり、猛威を奮っているのはDDoS(Distributed Denial of Service attack)攻撃です。 DDoS攻撃とは、ネットワーク上の関係のない複数のコンピュータに攻撃プログラムを仕込んでおき、プログラムを持つ
Webサイトのセキュリティ対策について理解する際に、どのような資料を参考にすればよいか迷うことはありませんか。今回はその際に、参考となる資料やスライドを、解説を交えながらご紹介していきます。 「情報セキュリティ5か条」(IPA) https://www.ipa.go.jp/files/000055516.pdf 「我が社にはサイバー攻撃で盗られるものなんかない」と思われる方もいるかもしれませんが、万が一従業員のマイナンバーのデータ、取引先の機密情報や顧客情報などが漏えいしてしまうと大な損害が発生してしまいます。事前に損害を防ぐためにも、まずは情報セキュリティ5か条を守るところから始めてみてはいかがでしょうか。
Webアプリケーションを狙った攻撃が増加している中、適切な対策をしている企業はまだ少ないです。総務省の調査によると、2022年における国内企業のWAF(Web Application Firewall)導入率はわずか13.6%にとどまっていて、低い水準となっております。 WAFの導入が進まない理由の1つに、「WAFは必要ない」という誤った認識があります。しかし、Webアプリケーションのセキュリティ対策として、WAFは本当に不要なのでしょうか? この記事では、WAFの重要性について解説します。WAF導入にあたっての注意点も紹介するので、WAFについて正しく理解することで、自社に合ったセキュリティ対策を実施しましょう! WAFは必要ない?WAFの重要性 「WAFは必要ない」と誤認している方もいますが、結論から言うと、Webアプリケーションのセキュリティ対策にはWAFの導入が必要不可欠です。 こ
パソコンやスマートフォンでブラウザを利用してWebサイトを参照している時に、URLを意識して見ることがあるでしょうか。URLはWeb上のどの番地を見ているというアドレスを表すものですが、その始まりがhttpsの場合とhttpの場合があります。 httpsはサービス提供者とユーザーの間で安全に通信をすることを目的として利用されています。本記事では初心者にもわかりやすく、http(http://から始まるもの)とhttps(https://から始まるもの)の違い、httpsにすると何がいいのか、URLの読み方、SSL通信とはどのようなものかについてご説明します。 https(Hypertext Transfer Protocol Secure)を略してhttpsと呼びます。 https(Hypertext Transfer Protocol)にSecureのSを付けてhttpsとしています。
サイバーセキュリティに関連したキーワードとしてSOC(ソック)というキーワードを耳にしたことがあるでしょうか。サイバーセキュリティ対策のための組織というところまではご存知の方も多いでしょう。 SOCは「Security Operation Center(セキュリティ・オペレーション・センター)」の略です。企業や組織のインフラやシステムなどを監視・分析し、サイバー攻撃の検出・通知を行います。 SOCは自組織のセキュリティを守る組織である場合と、他組織に向けたSOCサービスの提供などの形態をとります。昨今、企業のセキュリティ対策の重要性が強く認知され、SOCを構築する企業は増加傾向です。 今回はSOCとは、どのような組織なのか、その具体的なセキュリティ監視の仕組みについて、基礎となる知識を解説します。 SOCはSecurity Operation Center(セキュリティ・オペレーション・セ
IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれるセキュリティ確保の仕組みです。 インターネットに公開するサービスへアクセスしてくる通信は、クライアントからの正当なデータの要求の場合も、悪意を持ったサイバー犯罪者からの不正侵入の場合もあり得ます。 クライアントからの正当な要求の場合もあるわけですから、サービスを設置しているサーバやネットワークに対する通信を全て不許可とするわけにはいきません。そのため、ファイアウォールでは接続を許可し、正常な通信と異常な通信の区別なく、サーバやネットワークにはアクセスされることになります。 しかし、当然ながら、悪意を持ったサイバー犯罪者からの不正侵入を許可するわけには行きません。そこで、IDSを設置することで、通信を監視します。 IDSは異常を検出した場合には、管理者へ通知を行います。管理者はこの通知を受け
みなさんはBasic認証という名前をご存知ですか? Webサイトを運営していれば一度は目にしたことがあると思います。 Basic認証はその名の通り、Webサイトに対して必要最低限の認証設定をかけることを指します。 Webサイトを公開する前に、特定の人にだけアクセスができるようにしたい時などに使用します。 今回はBasic認証についてご紹介したいと思います。 Basic認証とはWeb上で利用できる認証システムです。 Webサイトを運用したことがある人であれば一度は見たことがあるかもしれません。 Basic認証が設定されているページへアクセスすると、ポップアップが表示されます。 そこに前もって設定してあったIDとpasswordを入力することで、ログインすることができます。 「.htaccess」を利用して、設定できるという非常に簡単な認証機能のため、 セキュリティのレベルとしては非常に低いも
クロスサイトスクリプティング(XSS)とはWebアプリケーションへのサイバー攻撃手法で、代表的なサイバー攻撃のひとつです。クロスサイトスクリプティングによって顧客の個人情報の流出もあり得るのでしっかり対策する必要があります。 この記事では、クロスサイトスクリプティングの流れや起こる原因を解説したうえ、攻撃に有効的な対策についても詳しく紹介します。 クロスサイトスクリプティング(XSS)攻撃とは クロスサイトスクリプティング(XSS)とは、Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。クロスサイトスクリプティングの英語表記「Cross Site Scripting」の略称として「XSS」と表記する場合もあります。 アンケートサイトやサイト内検索、ブログ、掲示板などユーザーからの入力内容をもとにWebページを生成するサイトや、FacebookやTwi
2018/4/20 執筆、2020/1/14修正・加筆、2022/2/28修正・加筆、2022/10/5修正・加筆 自社で利用しているWebアプリケーションのセキュリティ対策状況をご存知でしょうか。もし、Webアプリケーションに脆弱性が存在し対策がされていないのであれば、サイバー攻撃によってWebサイトが簡単に改ざんされたり、ダウンさせられたり、保有する個人情報の漏えいにまで繋がる可能性があります。 例えば、企業の運営するECサイトが脆弱性を突いた攻撃によりダウンしたら、「大変なこと」が起きることは明白です。それにもかかわらず、自社のWebアプリケーションの脆弱性については、導入したきりで誰も把握していない場合も多々あります。 そこでおすすめしたいのがセキュリティ診断ツール「OWASP ZAP(オワスプ・ザップ)」です。OWASP ZAPはWebアプリケーションの脆弱性をチェックすることが
みなさん『SRE』という言葉をご存知ですか? SREとはGoogleによって提唱された言葉でSite Reliability Engineering=サイト信頼性エンジニアリングという言葉のことです。 この役割の意味は「サイトの信頼性向上のために、自動化、障害対応、パフォーマンス管理、可用性担保などを通じて収益・ブランドを支える役割」ということです。 つまり、ただシステムの安定稼働に専念するだけでなく、ビジネスへの寄与が求められています。 もともと大規模なITインフラを使って、デジタルビジネスを提供し続けてきた企業はすでに取り組んでいたものでもあります。 今までSREという言葉がなかったため概念的に捉えられていたものがこの言葉が提唱されたことによって注目度が上がっています。 インフラエンジニアたちがこの業務を自然と担っていたのですが、この言葉とともにSREチームとして名を改める動きもありま
マルウェアとウイルスの違いをご存知でしょうか? インターネットへの接続、利用はいまや社会インフラの一つといえるほどに普及しています。ビジネス用途でパソコンから接続したり、スマートフォンから情報を得るために接続したりと、そのための機器や形態も多様化しています。また、インターネットでは多くの便利なサービスが利用でき、SNSなどコミュニケーションツールとしての役割も大きいです。 しかしながら、インターネットが与えてくれるのは良いものばかりではありません。マルウェアやウイルスに感染して、個人情報が漏えいした、機密情報を盾に身代金を要求されたといった物騒なニュースを目にした方も多いでしょう。 今回は、インターネットにおけるサイバー犯罪に関連して耳にするマルウェアとウイルスについて違いやポイントを紹介します。
EC、流通大手Amazon社の提供するクラウドサービスAWS(Amazon Web Service)。国内クラウド市場でもトップシェアを誇っています。 企業におけるITシステムおよび環境の構築でも、クラウドの活用が進んでいます。政府も利用システムの調達においてクラウドファースト(クラウド・バイ・デフォルト)とすることを標榜しており、クラウドはまさにIT環境の第一の選択肢の座に登り詰めたといえるでしょう。 積極的に利用していきたいクラウドサービスですが、心配なのがセキュリティです。特にパブリッククラウド上にシステムを構築するとなれば、ネットワーク上に存在するため外部からの攻撃にさらされかねません。 今回は、AWSを利用する場合に知っておきたいWebセキュリティについてご紹介いたします。 クラウドはネットワーク上に構築された仮想コンピュータ環境やソフトウェアです。パブリッククラウドの場合はイン
CSRF(Cross-Site Request Forgeries、クロスサイトリクエストフォージェリ)は、Webシステムを悪用したサイバー攻撃の一種です。 CSRFの手口は、ユーザーが悪意のあるURLにアクセスしてしまった場合に、意図しないリクエストを特定のWebサービスに送られてしまうというものです。Webサイトのリンクやメールに記載されたリンクをクリックして、URLのアドレスにアクセスすることで特定のWebサービスへのリクエストが送られてしまいます。 特定のWebサービスへのリクエストは、Webサービスによって内容は変わるものの、Webサービスの設定変更や値の入力、操作の実行などに繋がります。また、WebサービスがSNSや掲示板の場合には、悪意のあるURLに設定した内容を投稿してしまうことになります。 ユーザーの意図しない情報・リクエストが送信されてしまうためリクエスト強要とも呼ばれ
HTTPヘッダ・インジェクションとは、動的にヘッダを生成するWebページに対し、改行コードをヘッダ内に挿入することで任意の文字列を生成させて不正な動作を引き起こさせる攻撃手法です。 攻撃者はHTTPヘッダ・インジェクション対策をしていないページのURLに対し、改行コードの 「%0d%0d」 とURL内に挿入し、改行コード以降にテキストやスクリプトを仕込み、意図しない動作をさせる事でWebページの所有者及び閲覧するユーザーへ攻撃を仕掛けます。
サーバとしての用途だけでなく、デスクトップ環境でも無料で利用できるオープンソースのOSとして、Linuxは非常に魅力的です。ラズベリーパイなどのシングルボードコンピュータを利用して、プログラミングを学んだり、自宅サーバやお子さん向けの教育も楽しく進められる機会も増えています。今回はLinuxのセキュリティで知っておきたい基礎知識についてご説明します。 Linuxを学ぼうとする時、またはサービスのリソースや物理デバイスとして利用する時は、まずはLinuxが起動するか、GUIで扱えるかなどで悩むことが多いのではないでしょうか。GUI、デスクトップ環境が無事に起動した後は他のOSと同じようにブラウザをインストールしたり、FTPやメールクライアントなどを学ぶこともあるでしょう。 しかし、ネットワークに繋がっている状態なら、今一度root権限やユーザー設定など、本当の意味での基礎知識を確認することが
外部からご指摘頂いた当記事については、技術的観点を含め見直しを行っているため、現在公開を停止しております。 他の記事についても順次内容の見直しを行います。
情報セキュリティの基礎知識は、読書やWebサイトからも手軽に学ぶことができます。 今回は「情報セキュリティの勉強に絶対読んでおきたい3冊」を紹介します。 書籍名:図解入門よくわかる最新情報セキュリティの基本と仕組み(第3版) 著者:相戸浩志 出版社:秀和システム 価格:1,944円(税込) URL:http://www.shuwasystem.co.jp/products/7980html/2558.html 情報セキュリティ学ぶ際に、多くの人が最初にぶつかるのが「『よくわからない』の壁」です。 サイバー攻撃やファイアウォールは目で見ることができません。目で見えるものといえば、コンピュータやモニターに映っている画像、通信回線機器くらいです。 本書では、サイバー攻撃などイメージしづらいものを、図を用いて説明しており、入門者にも理解しやすいよう工夫されています。 本書で獲得できる知識は、「情報
Webアプリケーションの脆弱性を突いた攻撃による「サイト改ざん」や「情報流出」などのセキュリティ対策には、WAF(ワフ:Webアプリケーションファイアウォール)があります。 WAFとは外部に公開されているWebサーバへのアクセスを監視、不審な通信を遮断してサーバを防御するセキュリティツールです。 Mod SecurityはWAFの中でも数少ないオープンソースのソフトウェアで、無償で利用できます。 今回はMod Securityを選択するメリット、および導入方法と流れについて、概要を解説いたします。 WAF とは? Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・
昨今、サイバー攻撃による情報漏えいのニュースが報道されることが多くなりました。 企業においてセキュリティ対策の重要性が高まるなか、「そろそろ情報セキュリティの知識を身につけておいたほうがいいかもしれない」と思う人は多いのではないでしょうか。 情報セキュリティやサーバセキュリティに関する基礎知識は、一体どのようにして身につけたら良いのでしょうか。 「簡単」「無料」そして、「確実な情報源」で知識を身につける良い方法があります。 それは「政府系サイト」と「日本経済新聞系の記事」です。 今回は、おすすめのサイトや記事を紹介します。暇なときにパソコンで開いて流し読みするだけでも、セキュリティに関する知識が身につきます。 ・URL:https://www.nisc.go.jp/security-site/files/handbook-02.pdf ・タイトル:セキュリティを理解して、ネットを安全に使う
F5アタックはサイバー攻撃でありDoS攻撃の一種として、簡単でありながら強力な攻撃手法の一つです。さらに、サイバー攻撃の中でも比較的簡単な方法も存在しており、安易に使われてしまいます。 Windowsのパソコンでは、キーボードの「F5」キーは、画面の更新「リロード」に割り当てられています。 簡単に再読み込みすることができるので、よくパソコンを利用する人なら、キーボードショートカットとして覚えている方もいらっしゃるでしょう。パソコンに標準的に備わっている機能であり、誰しもが一度は利用したことがあるはずです。 F5キーを押すと、ページが再読み込みされ、サーバーへリクエストが送信されます。 しかし、繰り返しF5キーを押すと、Webサーバには負荷がかかります。ブラウザでのリロードはDoS攻撃になりうるのです。攻撃対象のシステムにもよりますが、連続してF5キーを押し続けるだけで、その負荷に耐えられな
Webアプリケーションへのサイバー攻撃としてよく知られる方法に、ブルートフォースアタックやSQLインジェクションがあります。その被害事例や手口、対策については広く知られるようになってきました。 これらの攻撃と並んで、Webアプリケーションへの直接的な攻撃方法として「OSコマンドインジェクション」があります。やはり他の攻撃と同様に、手口を知り対策を行う必要のある攻撃です。 本記事では、「OSコマンドインジェクション」の仕組みやプログラム上での対策、WAFを利用した対策についてわかりやすく紹介いたします。 OSコマンドインジェクションは、Webサイトに向けて不正な入力を行うことにより、Webサーバ側で想定していない動作をさせるサイバー攻撃です。入力を受け付けるWeb画面を主なターゲットとし、ユーザーからのデータや数値の入力に紛れ込ませて、プログラムに与えるパラメータ(入力値)にOSへの命令文(
Webサイトのセキュリティ対策は昨今、必須になりつつあります。何故なら、不正アクセスによるWebサイト改ざんや情報漏洩が多数発生しているからです。 Webサイトの脆弱性や運用管理のずさんさに目をつけた攻撃者が、さまざまな手段を用いて攻撃を仕掛けてくるためです。 こういったサイバー攻撃によって情報が流出すると、サービス停止や損害賠償といった企業にとって甚大な損害を生み出す可能性もあります。 Webサイトの安全を守るためにも、ホームページやウェブサイトの立ち上げを検討するタイミング等の、早い段階からセキュリティ対策をすることが大切です。 今回はWebサイト立ち上げ時にやっておくべきセキュリティ対策について解説します。 Webサイトを構成する要素の一つであるWebアプリケーションには、数多くの脅威があります。 もし脆弱性が一つでもあれば、その脆弱性を狙った悪意ある第三者によって、サイバー攻撃が行
webセキュリティを真剣に考えるのであれば、サイバー攻撃の対策に備えることが欠かせません。以前であればDos攻撃というものが主流で、対策ツールやサービスが普及しています。しかし、最近ではDDos攻撃というものが多く報告されています。近年の傾向としては利用している方も多い「仮想通貨」などでも被害が少なくありません。 今回は今後の対策がさらに求められるDDos攻撃とDDos攻撃に有効な対策方法について紹介します。 DoS(Denial Of Service)攻撃は、攻撃対象のWebサイトやWebサーバへ大量のトラフィックを送信しサービスを停止させる攻撃です。通信プロトコルのデータ通信を用いて処理を促すことでシステムに負荷をかけて、脆弱性を引き起こすことが狙いです。しかし、単独IPの攻撃が特徴で、攻撃を仕掛ける送信元を特定すればアクセスを遮断することが可能で、対応に困ることはありません。しかし、
【独自調査レポート】TOP3脆弱性にSQLインジェクションとクロスサイトスク... 調査レポート2023.08.16
HTTPヘッダインジェクションとOSコマンドインジェクションの違いと対策方法を徹底解説! 2020.01.06 セキュリティ対策 概要 HTTPヘッダインジェクションは、HTTPレスポンスヘッダの出力処理に関するサイバー攻撃です。この脆弱性が存在する場合、「任意のクッキーがセットされる」、「任意のURLへリダイレクトされる」などの問題が発生する可能性があります。 前提 攻撃の説明の前に、少しだけHTTPレスポンスのデータ構造についてご説明します。 データ構造の仕組みを悪用することがHTTPヘッダインジェクションになり、最低限の知識は身につけておく必要があります。 HTTPで通信した際、HTTPレスポンスは下記のような内容になります。 【HTTPレスポンスの例】 HTTP/1.1 200 OK Date: Wed, 08 Feb 2017 08:33:35 GMT Expires: -1 C
最近は、企業のホームページがサイバー攻撃を受けたというニュースも頻繁に見るようになりました。 サイバー攻撃の増加に伴い、セキュリティ対策の一環としてツール導入を検討している企業も増えています。ただし、一言セキュリティツールといってもさまざまな種類があり、違いがわからないと感じる人も少なくありません。 例えばWAFとIPS/IDSです。不正アクセスを対策するツールで一見同じに感じますが、実は守るレイヤーが異なるため、防御できる攻撃もそれぞれ違います。 この記事では、よく間違えられるWAFとIPS/IDSについて解説します。 サイバー攻撃の種類 WAFとIPS/IDSについての解説を行う前に、最近よく耳にするいくつかのサイバー攻撃について、その仕組みや攻撃内容を紹介します。 SQLインジェクション SQLインジェクションとは、アプリケーションの脆弱性を利用し本来の意図ではないSQL分を実行させ
こんにちは。 技術サポートの大平です。 さっそくですが、先日の気になったセキュリティー情報をピックアップしたいと思います。 下記のトレンドマイクロさんから発表されているリリースについてです。 『トレンドマイクロ、「国内標的型サイバー攻撃分析レポート 2016年版」を公開』 http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20160509023452.html?cm_re=news-_-corp-_-press このニュース内で特に気になったのが、C&Cサーバを国内に設置する事例が減少しているというくだりで、海外では「防弾ホスティングサービス」を攻撃に使う事例が多い、という点です。 ※ちなみにC&Cサーバーとは、外部から侵入して乗っ取ったコンピュータを利用したサイバー攻撃で、踏み台のコンピュータを制御し
次のページ
このページを最初にブックマークしてみませんか?
『攻撃遮断くん | 国内シェアNo.1のクラウド型WAF』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く