![Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本](https://cdn-ak-scissors.b.st-hatena.com/image/square/bb743da3b6221b993a4f4495e5ed9d2be5ef49e4/height=288;version=1;width=512/https%3A%2F%2Fm.media-amazon.com%2Fimages%2FI%2F51wWshX%2BoIL._SL500_.jpg)
米GoogleのAndroidを搭載したスマートフォンとタブレット端末には、セキュリティ上の課題がある。本稿では、会社が支給する端末か従業員の私物のAndroid端末かを問わず、大企業および中堅・中小企業(SMB)におけるAndroid搭載端末のセキュリティ対策について主なポイントを解説する。 関連記事 先を行くiPadやAndroidにどう対抗? MicrosoftがWindows 8投入を焦らない理由 「iPad以外」が企業に食い込む可能性は? Androidネイティブの管理機能とセキュリティ機能を理解する Android搭載端末ユーザーは、その管理機能とセキュリティ機能を理解する必要がある。 IT部門に好まれるカナダのResearch In Motion製BlackBerryや米AppleのiPhoneに搭載されているiOSと異なり、Androidにはネイティブの端末管理機能が存在し
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
従来のID・パスワードセキュリティの盲点 実は、このID・パスワードを利用した従来の情報セキュリティには大きな盲点がある。仮に、どんなに優れた暗号化製品でもID・パスワードが盗まれれば簡単に復号化でき、また多額の投資を行ってシンクライアントを導入しても、サーバー側への認証は従来通りID・パスワードのみであるため、ID・パスワードがわかれば本人以外でもアクセスが可能となってしまう。さらに、PCの操作履歴を収集してもログに残されたユーザー名と本人が一致しなければ、追跡調査しても、ユーザーを特定することは困難である。特に、共有PCを設置している企業や、社外スタッフのために共有アカウントを用意している企業常に危険な状態にあると考えるべきだろう。 不正アクセスの防止やコンプライアンスが高いレベルで求められるようになった現在、情報セキュリティ対策は「厳格な本人認証」と「なりすましの防止」を両立してこそ
ファイルサーバをクラウドに――。自社内に設置していたファイルサーバをクラウド(インターネット上)のストレージサービスに置き換える。そんな流れが注目を集めている。 クラウドサービスって本当に使えるの? 例えば、米Amazon.comが開発者向けに提供するクラウド型ストレージ「Amazon S3」。1Gバイトから利用できるオンラインストレージで、利用に応じて容量を無制限に追加できる(有償)のが特徴だ。多額の初期投資なく始められて、事業の規模に応じて最小限の投資で容量を増やせるのがクラウド型ストレージの良さだが、その一方で一般企業の担当者からは、こうしたサービスについて「不安」という声も聞く。 開発者ならいざ知らず、通常のビジネスで利用するには日本語のサポートが不可欠。特に国内にサポート部隊がいないと、社内のヘルプデスクと化したIT担当者の業務が止まりかねない。専任の担当者をおける大企業ならまだ
外出先で急に必要になったあのファイルはオフィスのPCの中…。そんなとき、リモートコントロールサービス「LogMeIn」があればもう安心。デキるビジネスパーソンのたしなみ「LogMeIn」の実力とは。 あのデータが必要なのに!手元に大切なデータがないときも、LogMeInなら安心 営業マンのあなたは、毎日のようにオフィスの外に出て、顧客回りをしている。1日のスケジュールは決まっていて、持ち歩くノートPCに必要なデータを入れておいて、どんな場面にでもすぐに対応できるようにしている。「デキるビジネスパーソン」の第一歩は、用意周到な計画から。あなたは1日の計画に合わせてきっちりとデータをそろえて営業に挑んでいるだろう。 しかし、突発的な顧客からの連絡で対応を余儀なくされ、急遽別のデータが必要になるなど、なかなか計画通りにいかないのも事実。オフィスのデスクトップPCに保存されているデータをすべて持ち
MicrosoftのWindows Vistaを飛ばしてWindows XPからWindows 7へ移行する予定の企業は、ホストベースの「セキュリティが強化されたWindowsファイアウォール」(Windows Firewall with Advanced Security:WFAS)をクライアントPCで活用する計画を立てるといい。WFASはWindows VistaとWindows Server 2008にも搭載されていたが、Windows 7ではその高度なセキュリティ機能をエンドユーザーマシンにまで広げ、多層防御を強化できるようになった。 Windowsのこれまでのバージョンと同様、ポリシーを(ここではWindows Server 2008上で)作成したら、それをGroup Policy Objects(GPO)経由でネットワーク上のコンピュータにプッシュ配信する。WFASは、ポリシー
米VanDyke Softwareが企業のIT幹部とネットワーク管理者を対象に最近行った調査によれば、セキュリティ監査を社内で実施している企業の46%は「監査の結果、重大なセキュリティ問題が見つかった」と答えている。これは半数近い数字だ。また、外部に委託して実施したネットワークセキュリティ監査では、この数字が54%に増加している。 つまり、企業は少なくとも五分五分の可能性で重大なネットワークセキュリティ問題を1つ以上抱えており、監査はそれを発見するための有効な手段だということだ。実際、調査の回答者の43%が、もっと頻繁にネットワーク監査を実施すべきだと考えている。 しかし本記事の読者の中には、自分の会社ではまだネットワークセキュリティ監査を定期的に実施していないという人もいるのではないだろうか。その理由は恐らく、そういった監査は日々のネットワーク管理業務に支障を来すと考えられているからだろ
新しいセキュリティアプライアンスのセットアップや社内のユーザーのマシンにセキュリティソフトウェアを配備するというのは時間のかかる作業だ。しかしセキュリティを強化するだけでなく、インターネット利用環境を改善する無償のサービスも存在する。「OpenDNS」がそれだ。OpenDNSは素早く簡単にセットアップでき、Web利用の安全性を高めるとともに、Webページを読み込む時間を短縮する。Webコンテンツへのユーザーアクセスをコントロールし、ユーザーをフィッシング攻撃から守る役割を担うネットワーク管理者にとって、OpenDNSは迅速な解決策を提供してくれる頼もしいサービスである。 DNS(Domain Name System)はインターネットに不可欠なコンポーネントであり、人間が覚えやすいコンピュータの名前をIPアドレスに変換する。例えば、「www.google.com」を「66.102.9.104
前編では、クロスサイトスクリプティング(XSS)攻撃の基礎知識として、XSS攻撃が成立する仕組みについて説明した。今回はXSS攻撃を防ぐための手法を紹介する。 XSS攻撃の防止方法 自社のサイトがXSS攻撃の被害に遭う確率を下げるためには、何らかの形のセキュリティ開発ライフサイクル(SDL)を使ってWebアプリケーションを開発することが不可欠だ。その目的は、アプリケーションの設計とコーディング段階でセキュリティ関連問題の数を減らし、問題が見つけられずに残ってしまった場合でも危険性を抑えることにある。セキュアなアプリケーションの開発において学ぶべき鉄則として、そのアプリケーションが受け取るデータはすべて、信頼できないソースから来ることを前提としなければならない。これは、そのアプリケーションで受け取るデータ、cookie、電子メール、ファイル、画像など、あらゆるデータに当てはまる。たとえ自分の
Webはクロスサイトスクリプティング(XSS)の脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で
IT投資が年々縮減傾向にある中、仮想化への関心は一向にさめる気配などなく、ますます熱を帯びていくようである。 ITインフラの統合・集約によるコスト削減、運用管理負荷の軽減、競争力の強化、さらにはレガシー資産の延命などを目的に、仮想化に本格的に取り組む企業が急増。自社のデータセンターをクラウド化し、パブリッククラウドサービスと連携したプライベートクラウドを構成して、より柔軟性の高いITインフラ利用環境を構築しようとする企業も出始めている。2011年までに現在稼働中のサーバの半数が仮想化されると予想する調査結果もある。 仮想化・クラウド化は、変化の激しいビジネスへの対応と、閉塞気味のITシステムの現状を改善するための切り札としての期待があるのは確かだ。しかし、どこか漠然とした不安を感じてはいないだろうか。仮想化で従来のようなセキュリティレベルやIT統制はいかに保たれるのか。多数のアプリケーショ
中小規模企業のセキュリティ対策 企業において情報セキュリティ対策への取り組みは、年々その重要性を増してきている。以前の情報セキュリティ対策といえば、電子メールや外部メディアなどによるウイルス感染の被害から各クライアントPCを守る程度でよかった。しかし、現在では、ウイルス対策はもはや当たり前となり、スパイウェア、悪意のあるWebサイト、フィッシング詐欺、さらには内部からの機密データの盗難などまで、情報セキュリティの脅威は多様化・複雑化が進み、企業規模を問わず、より高度な情報セキュリティ対策が必要となってきている。 このように、今まで以上に情報セキュリティ対策の強化が求められている中で、特に中小規模企業では、その対応に頭を悩ませているIT担当者は少なくないはずだ。長引く経済不況の波が直撃している中小規模企業にとって、情報セキュリティ対策のために割くことのできる時間、予算、リソースは限られている
個人を確認する認証技術は、相手が見えないネットワーク経由でのやりとりに必要不可欠な技術だ。中でも、ハードウェアやソフトウェアにセキュリティ機能を組み込んだ認証トークンは、企業間のみならず、オンラインバンキングといった消費者向けサービスでも導入されつつある。 その認証トークンに、今再び注目が集まっている。 理由の1つには、「HIPAAやPCI DSSなどのコンプライアンスへの対応」が挙げられる。これらのセキュリティ対策に関する法令や基準では、より強固なセキュリティが求めてられている。例えば、セキュリティ対策の具体的な実装要求を示したPCI DSSでは、ユーザーを認証する際にパスワードやUSBキー、スマートカードなどの認証トークンを少なくとも1つは採用するように規定している。 もう1つは「クラウドコンピューティングへの対応」だ。クラウドにおけるセキュリティ対策の普及・促進を目指す業界団体「Cl
エフセキュアは2月17日、アールエヌティーホテルズが同社のSaaS(Software as a Service)型セキュリティサービス「エフセキュア プロテクション サービス ビジネス」を全国のリッチモンドホテルに導入したことを発表した。 エフセキュア プロテクション サービス ビジネスは、ウイルス対策、スパイウェア対策、スパムメール対策、ファイアウォール、アプリケーション制御といった機能で、PCや各種サーバをウイルスやスパイウェアの脅威から守るSaaS型セキュリティサービスである。サーバレスの運用管理を実現し、Webを通してエフセキュアから管理サーバ機能が提供されるため、ユーザー企業は社内に新たにサーバを構築することなく各クライアント端末上のセキュリティソフトを一元管理できる。 アールエヌティーホテルズが経営するリッチモンドホテルは、全国30拠点に展開するホテルチェーン。これまで同ホテル
「Find Shared Folders」のメイン画面。進捗表示やスキャン完了のアラートはなく、テキストのエクスポートもできないというシンプルな作り まずは調査したいIPアドレスの範囲を入力する。利用するルータなどにも依存するが、家庭内ネットワークであれば通常は「192.168.0.*」か「192.168.1.*」だろう。前者の場合、「192.168.0.1」から「192.168.0.255」を範囲に設定すればいい ファイルをやりとりするためにほんの一時的にフォルダを共有にしたつもりが、その後ずっと放置したままになっていることがある。ファイルの外部流出などのリスクを考えると、こうした状態のまま放置しておくのは非常によろしくない。仮にパスワードを設定していたにせよ危険な状態であることは同じだ。 こうした場合に簡易チェッカーとして使えるのが、今回紹介する「Find Shared Folders
常時接続が当たり前だと、どんなプログラムがネットにアクセスしているか無頓着になりがち。不用意なアクセスを行っているプログラムがないか、「Internet Content Logger」でチェックしてみよう。 インターネットの常時接続が当たり前となった今日では、どのプログラムがどのくらいネットにアクセスしているのか無頓着なまま、毎日を過ごしていることが多い。その結果、不要なプログラムが常時ネットと通信を行っているのを見逃したり、悪意あるプログラムを介してPCからデータが流出しているのに気づかないといった事態に陥りがちである。前者であれば通信帯域を多少圧迫する程度で済むが、後者であれば一大事だ。 どんなソフトがネットと通信を行っているかは、ルータのログを解析すれば見つけることもできるし、セキュリティソフトのログで確認することもできるが、もっと手軽にチェックするのであれば、今回紹介する「Inte
ライフハッカー過去記事「FastCopyでファイル転送を高速化!(無料)」ではファイル転送を高速化するフリーソフト「FastCopy」や「TeraCopy」をご紹介しましたが、こちらでは、ファイル転送のスピードアップとセキュリティ対策を兼ね備えたフリーソフト「Killcopy」のご紹介です。 「Killcopy」はローカルやネットワーク上でファイル転送するときに使えるプログラム。Windowsデフォルト機能に比べて2~3倍の速さでコピーできます。 また、同種のソフトと異なるのは、カスタマイズ設定によりセキュリティ対策にも使えること。ファイルを上書きするときに、以前のファイル保存場所をデータパスを使って削除し、元ファイルを安全に削除させることができるのです。また、重要ファイルにコピー認証をつけるといった設定を追加することもできますよ。 「KillCopy」は無料ツール。Windowsのみの対
“いつでも、どこでも”利用するために生まれたノートPC。日経コンピュータ誌とEnterprise Platformサイトの共同調査では、IT技術者の13%が持ち出し禁止の環境下にあり、業務効率が落ちていると感じている。こうした状況を打破するための解決策についても、技術的な側面と制度的な側面のそれぞれから、多数のアイデアや寄せられ、また実際の運用が始まっている。 持ち出したいけれどルールは必要 職場におけるノートPCの持ち出し禁止あるいは制限に対し、回答を寄せたIT技術者の約64%が「セキュリティ対策を施し、モバイル利用を可能にすべき」とした(図1)。次いで多いのが「不便になるがセキュリティ上やむを得ない」とする回答で、約23%を占める。
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く