※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
ソフトウェアは柔らかいのに固い、だけどやっぱり柔軟だ エンジニアは一見暗いけど実は明るい、というより自由だ パターンは便利だけどワンパターン、というか原則があればより自由だ 日本の現在は2極化しているけど未来に品格はある?ようわからんから見える化! というようなことを皆さんとダイアローグしてみたいと思います。守・破・離ってなんだ?わからん。シュハリ?しばり?!シュワッチ! お題を頂いて以上のような妄言がうずまく脳内宇宙であります。できればMVCプラス新たなパターンダンスもお披露目します。 合掌、臥床、合唱。 以上、異常、委譲。 ■プロフィール 株式会社豆蔵取締役会長。技術士(情報工学部門)。 オブジェクト指向やソフトウェア工学の実践適用に関するコンサルティング、セミナー講師に従事し、後進の育成にあたる。 現在、アジャイルプロセス協議会会長、IPA/SEC設計技術部会委員、情報処理学会ソフト
6/2(金)に(株)アットウェア様主催のatWorksにて「アプリケーション・ライフサイクルの品質をあげる」というお話をさせていただきました。資料はこちらからダウンロードできます。 さて、次回に向けて大いに反省のある勉強会になりました。価値あるアプリケーションとは何か、という議論が消化不良になってと思います。僕が出したキーワードは「ビジネスへのフィット」なのですが、じゃ、それって何よと。 なかなか難しいのかもしれませんが、僕の定義は「ビジネスと同じだけシステムが変化できる」ということだと思います。 例えば3年後。ビジネスが大きく変化しましたと。そのとき、ちょいちょいっとシステムが変化できればよい、といいたいところですが、そんな事はありません。SOAで語られるような話は間違いなく妄想です。 だからビジネスや組織が変化したように、また、同じだけシステムが変化すればよいと思います。システムはビジ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く