はじめに 本エントリは、情報処理技術者試験の「情報処理安全確保支援士」に最短合格するための勉強法について書いたエントリです。 私が2011春のSC試験に合格した時に実践した試験対策をまとめてみました。 結論から言えば「午前は過去問、午後はポケスタをやる」。これだけです。 ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験) 作者:村山直紀発売日: 2017/03/25メディア: 単行本 ※その他の情報処理関連のエントリは[情報処理]タグからどうぞ サマリー 冒頭にも少し述べたましたが、SC試験（登録セキスペ）に合格するためにやるべきことは以下の2つです。 午前：過去問を解く 午後：『ポケットスタディ 情報処理安全確保支援士』を習得する なぜこの2つなのかについて、以下説明します。 初受験の方 初受験の方は、まずは前回の過去問をIPAからダウンロードして、午前・午後を全部解いてみ

If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the

さくらインターネット株式会社のDNSサービスにセキュリティ上の問題がありましたが、改修されましたので報告します。 DNSサービスへのドメイン登録時における不具合について 障害内容 : 当社の提供するネームサーバサービスにおいて、既に登録されているドメインのサブドメインが、他の会員IDの方に登録できる状態となっておりました。この障害により、悪意のある第三者がドメインの一部を乗っとれる脆弱性につながる危険性がありました。 本問題につきましては現在は解消されており、全ての登録について不正がないかの調査を行っております。 この問題の発見者は前野年紀氏で、私はさくらインターネット株式会社に問題を通告し、改修を促すための連絡などでお手伝いをしました。 (12:00追記)なお、この脆弱性が混入したのは6月8日頃で、さくらインターネットは6月11日から修正を開始し、昨日（6月13日）には改修されましたので

電子証明書は、Web通信の暗号化に欠かせない機能である。Windows Serverには電子証明書を発行する機能があるのだが、具体的な設定方法はあまり知られていないようである。そこで今回と次回とで、証明機関の構成方法について解説する。まずは、証明書の原理の説明からだ。 Active Directory証明書サービス Windows Server 2008には、「Active Directory証明書サービス（AD CS）」が標準で装備されている。これは従来「証明機関（CA：Certificate Authority）」と呼ばれていた機能である。Windows Server 2008では、認証やID管理を行なうサービスを「Active Directory」ブランドで統一するため、名称が変更された。 このAD CSにはActive Directoryドメインサービスと一体となった「エンタープラ

PCI DSSとは？ セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS（Payment Card Industry Data Security Standard）とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。

企業でのWebサービスの実現が具体的になるにつれ、パスワード／IDマネジメントが重視されるようになり、「シングル・サインオン」がますます注目を集めている。この連載では、シングル・サインオンの実践ステップなど具体的な考え方を紹介する。また、メタディレクトリやLDAPなど「ディレクトリ統合」をキーワードとしてシングル・サインオンを実現するための技術を分かりやすく解説する。（編集部） シングル・サインオンとは何か 現在、多くの企業の情報システムは、多種多様なプラットフォームを組み合わせて利用しています。そして、それらのプラットフォーム上では多種多様なアプリケーションが動作しています。 通常、ユーザーはクライアントPC上のOSや各アプリケーションに対して、ログインの手続きを行ったうえでそれらを使用します。ユーザーは自分自身を識別するための情報（例えばユーザーIDとパスワードの組み合わせ）を提示し、

このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 December 2011 Volume 26 Number 12 ASP.NET のセキュリティ - ASP.NET アプリケーションをハッキングから守る Adam Tuliper | December 2011 毎日のように、また新たなサイトがハッキングされたというニュースがメディアを賑わせています。このように、優秀なハッカー グループが繰り返し起こす不正アクセスについて耳にするたび、彼らはいったいどれほど高度な技術を使っているのか疑問に思われるかもしれません。最新の攻撃の中にはきわめて複雑なものもありますが、多くの場合、最も効果が大きい攻撃は、非常に単純で、もう何年も使用され続けています。さいわい、この

コンピュータやネットワークが一般社会に浸透し，情報を扱う利便性は向上してきました。しかし利便性の向上は，同時にセキュリティの低下も招きました。サービスの利便性を享受するには，自分の身は自分で守り，他人には迷惑をかけないようにしていかねばなりません。 この連載コラムでは， ●情報セキュリティに関する知識を増やしたい ●何をすればどうなるのかはわかっているけれど，その舞台裏を知りたい ●情報セキュリティ関連の資格試験を受験するための基礎知識を固めたい という方々を対象に，知っておきたい情報セキュリティの概念，技術，規約などを解説していきます。 忙しい方は，各回の冒頭にある「ポイント」だけを読んでいただければ話の大枠は理解できるようにしました。ポイント部分に目を通して興味がわいてきたり，自分の弱点だと感じたら，そのあとに続く本文もぜひ読んでみて下さい。 毎週水曜日に1本ずつ記事を掲載して行く予定

ポイント ●ワンタイム・パスワードとは，一度しか使えないパスワード（使い捨てパスワード）のこと。これを実装するための仕組みを意味する場合もある。 ●事前に認証する側と，される側でハードウエアや関数を共有しておく必要がある。 固定式のパスワードだと，セキュリティ向上のために定期的に変更したり，類推されにくい文字列を使用したりする必要がありました。逆に考えれば，「パスワードを毎回異なるものにして，意味のない文字列を使う」ことができれば理想的です。これを仕組みとして実装したものが，ワンタイム・パスワードです。 ワンタイム・パスワードの実装は製品によってまちまちです。しかも，見たり使ったりしても内部の仕組みはわかりません。そこで，今回はワンタイム・パスワードを実現するために利用されている代表的な技術を2つ紹介します。どちらも「毎回異なるパスワードを利用する」と仕組みを実現するために，事前に認証する

PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ

“SSL-VPN or IPSecVPN”どちらが最適ですか？：SSL-VPNの導入メリット（後編） 前編「リモートアクセスVPNにSSL-VPNを採用する最適なケースは？」では、SSL-VPNはどのような技術を使用しているのか、さらにどのような仕組みでVPN環境を実現しているのか、について説明した。後編では、インターネットVPNを構築するためのソリューションの１つであるIPSecVPNと以下のポイントについて比較する。 実装されるプロトコル階層の違いが何に影響するのか 利用する環境に応じてどのような点を注意すべきか 運用・管理においてどのような点を注意すべきか この特集は双方のVPN技術を単純に比較してどちらが有効なのかという結果を導くことを目的としていないことを最初に断っておく。組織がリモートアクセス型VPN環境を構築する場合に、どちらのVPN技術が最適なのかを判断するために必要な情報

リモートアクセスVPNにSSL-VPNを採用する最適なケースは？：SSL-VPNの導入メリット（前編） 最近、“リモートアクセスVPNはSSL-VPNで決まり！”のような言葉をよく目にする。SSL-VPNがなぜリモートアクセスVPNの有効なソリューションなのか、本特集ではSSL-VPNの機能概要、利用形態、さらに、IPSecVPNとの相違点は何か、について記述する。前編では、SSL-VPNの機能概要および利用形態について説明し、後編では、SSL-VPNとIPSecVPNの相違点について紹介していく。 「SSL技術」とは SSL-VPNはその名が示すとおりSSL（Secure Sockets Layer）技術を使用したVPNソリューションである。SSLはトランスポート層とアプリケーション層の間に位置する。トランスポート層の上位層に位置することで、SSLはアプリケーション単位に実装される。つま

鍵のマークが表示されても、「オレオレ証明書」じゃ意味がない！ 緑のマークの「EV SSL証明書」で安全が確保できる理由を5分で解説します

公開鍵基盤とはいったい何だ Public Key Infrastructure（PKI）は、一般的な日本語訳では「公開鍵暗号基盤」もしくは、「公開鍵暗号方式を利用したセキュリティインフラ」だと言われる。しかしそういわれても、その実体や機能はさっぱり伝わってこない。 一方で、電子署名法の施行や電子政府構想など、社会的にPKIの重要度が確実に高まってきている。いったいPKIとは何なのだろうか、この記事は、わずか5分でその疑問をすっかり解決することに挑戦した。 PKIの分かりにくさは、主に複数の技術の組み合わせであることと、インフラであるがゆえのつかみどころのなさに起因する。しかし、そのコンセプトはそれほど複雑ではない。さっそく説明を始めよう。

セキュリティ上の問題と向き合いながら使うために 最近、新聞やニュースサイトでAndroidに関連したセキュリティ上の問題が取り上げられることが増えました。Androidでセキュリティ上の問題が多く報告されていることは事実です。しかし、気を付けるべきポイントを理解していれば、他のOSと同様、セキュリティ上の問題と向き合いながらうまく利用できるはずです。 本記事では、本記事執筆時点におけるAndroidを取り巻く現実的な脅威を概観したうえで、Android端末をプライベートで使用するユーザーが気を付けるべきことを紹介します。特に、Android端末を使い始めたばかりのユーザーに読んでいただければと思います。 なお、Android端末を「ビジネス用途」で使用したい場合には事情が変わります。Android端末をビジネス用途で使用する場合には、「私物のAndroid端末の取り扱い」や「Android

今、見直すべきAndroidのセキュリティ：Androidセキュリティの今、これから（1）（1/2 ページ） 爆発的な勢いで普及し始めたAndroid端末は、大きなポテンシャルを秘める一方で、セキュリティという課題にも直面しています。この連載ではAndroidアプリ開発者や一般ユーザー、ビジネスユーザーと、あらゆるユーザーを対象に、Androidのセキュリティについて解説していきます。（編集部） 普及とともに避けては通れない「セキュリティ」 こんにちは、Androidセキュリティ部 部長の丹羽直也です。このたび、Androidセキュリティ部として連載の機会をいただき、その第1回を執筆することになりました。この連載では4チームに分かれ、Androidのセキュリティについて解説していきます。 ご存じの方も多いと思いますが、Androidは2007年にGoogleが発表したLinuxカーネルベー

ネットワークを利用するにあたっては、セキュリティを確保することはきわめて重要なことである。本連載では、ネットワークでのセキュリティの脅威とその対策について、一から学んでいく。今回は不正アクセスとファイアウォールがテーマだ。 利便性の後ろにセキュリティの脅威 インターネットを使うと、Webの便利なサービスを利用したり、重要な文書を他のユーザーとの情報を共有したり、メールやIP電話などによる円滑なコミュニケーションが実現される。しかし、ネットワークを利用するということは、別のユーザーに対しても自身の情報をさらしていることになる。 企業や家庭のLANであれば、ユーザーがある程度特定できるため、あまり問題ないだろう。しかし、数億人のユーザーが利用する公共のインターネットでは、匿名性が高い。そのため、さまざまな愉快犯や犯罪集団が、ユーザーの個人情報や財産を狙って攻撃を仕掛けてくる。他人を偽って個人情