Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本
Android端末はなぜ危険か
米GoogleのAndroidを搭載したスマートフォンとタブレット端末には、セキュリティ上の課題がある。本稿では、会社が支給する端末か従業員の私物のAndroid端末かを問わず、大企業および中堅・中小企業(SMB)におけるAndroid搭載端末のセキュリティ対策について主なポイントを解説する。 関連記事 先を行くiPadやAndroidにどう対抗? MicrosoftがWindows 8投入を焦らない理由 「iPad以外」が企業に食い込む可能性は? Androidネイティブの管理機能とセキュリティ機能を理解する Android搭載端末ユーザーは、その管理機能とセキュリティ機能を理解する必要がある。 IT部門に好まれるカナダのResearch In Motion製BlackBerryや米AppleのiPhoneに搭載されているiOSと異なり、Androidにはネイティブの端末管理機能が存在し
Webアプリケーション作った後のチェック表
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
ネットワークセキュリティ監査の基礎知識
米VanDyke Softwareが企業のIT幹部とネットワーク管理者を対象に最近行った調査によれば、セキュリティ監査を社内で実施している企業の46%は「監査の結果、重大なセキュリティ問題が見つかった」と答えている。これは半数近い数字だ。また、外部に委託して実施したネットワークセキュリティ監査では、この数字が54%に増加している。 つまり、企業は少なくとも五分五分の可能性で重大なネットワークセキュリティ問題を1つ以上抱えており、監査はそれを発見するための有効な手段だということだ。実際、調査の回答者の43%が、もっと頻繁にネットワーク監査を実施すべきだと考えている。 しかし本記事の読者の中には、自分の会社ではまだネットワークセキュリティ監査を定期的に実施していないという人もいるのではないだろうか。その理由は恐らく、そういった監査は日々のネットワーク管理業務に支障を来すと考えられているからだろ
クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み
Webはクロスサイトスクリプティング(XSS)の脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で
1日15分のセキュリティ対策って想像できますか?
中小規模企業のセキュリティ対策 企業において情報セキュリティ対策への取り組みは、年々その重要性を増してきている。以前の情報セキュリティ対策といえば、電子メールや外部メディアなどによるウイルス感染の被害から各クライアントPCを守る程度でよかった。しかし、現在では、ウイルス対策はもはや当たり前となり、スパイウェア、悪意のあるWebサイト、フィッシング詐欺、さらには内部からの機密データの盗難などまで、情報セキュリティの脅威は多様化・複雑化が進み、企業規模を問わず、より高度な情報セキュリティ対策が必要となってきている。 このように、今まで以上に情報セキュリティ対策の強化が求められている中で、特に中小規模企業では、その対応に頭を悩ませているIT担当者は少なくないはずだ。長引く経済不況の波が直撃している中小規模企業にとって、情報セキュリティ対策のために割くことのできる時間、予算、リソースは限られている
ネットと通信する「怪しい」プログラムをすばやく見つける
常時接続が当たり前だと、どんなプログラムがネットにアクセスしているか無頓着になりがち。不用意なアクセスを行っているプログラムがないか、「Internet Content Logger」でチェックしてみよう。 インターネットの常時接続が当たり前となった今日では、どのプログラムがどのくらいネットにアクセスしているのか無頓着なまま、毎日を過ごしていることが多い。その結果、不要なプログラムが常時ネットと通信を行っているのを見逃したり、悪意あるプログラムを介してPCからデータが流出しているのに気づかないといった事態に陥りがちである。前者であれば通信帯域を多少圧迫する程度で済むが、後者であれば一大事だ。 どんなソフトがネットと通信を行っているかは、ルータのログを解析すれば見つけることもできるし、セキュリティソフトのログで確認することもできるが、もっと手軽にチェックするのであれば、今回紹介する「Inte
第2回 こうすれば持ち出せる-IT技術者が考える解決策
“いつでも、どこでも”利用するために生まれたノートPC。日経コンピュータ誌とEnterprise Platformサイトの共同調査では、IT技術者の13%が持ち出し禁止の環境下にあり、業務効率が落ちていると感じている。こうした状況を打破するための解決策についても、技術的な側面と制度的な側面のそれぞれから、多数のアイデアや寄せられ、また実際の運用が始まっている。 持ち出したいけれどルールは必要 職場におけるノートPCの持ち出し禁止あるいは制限に対し、回答を寄せたIT技術者の約64%が「セキュリティ対策を施し、モバイル利用を可能にすべき」とした(図1)。次いで多いのが「不便になるがセキュリティ上やむを得ない」とする回答で、約23%を占める。
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
ゼロデイは序の口? ユーザーもベンダーも知らないWebからの脅威
不正プログラム(マルウェア)対策について現在多くの企業が直面している1つの課題は、「未知の脅威(ウイルスなどの悪意のあるプログラムやその活動)にいかに対抗するか」であろう。その背景には、Webからの脅威(後述)による亜種ウイルスの大量発生、特定の対象を狙った攻撃の増加により、セキュリティベンダーがパターンファイルを作成するスピードが新種ウイルスの出現スピードに追い付かず、未パッチの脆弱性を狙うゼロデイ攻撃が発生するケースや、迅速にウイルス検体を入手できないケースが急増していることが挙げられる。その結果、従来のパターンマッチングのみに頼った不正プログラム対策の有効性が低下し、企業において不正プログラム対策が後手に回る状況が発生しつつある。 本稿では企業が直面する未知の脅威ならびに既存の対策での問題点を取り上げるとともに、具体的に現在どのような対策があるのかを見ていく。 「未知の脅威」とは何な
なぜ外部からWindowsマシンに侵入できるのか?
「コンピュータが乗っ取られる」「サーバーから機密データを盗まれた」という話をよく耳にするが,登録されたユーザー以外は使用できないはずのWindowsマシンに,なぜ外部から侵入できるのだろうか?侵入者は,事前に周到な準備をしてから攻撃をしかける。侵入を許す前に,その兆候を察知して攻撃を未然に防ぐことは不可能なのだろうか? 個人情報保護の観点から,情報漏えい対策を急ぐ企業が多くなってきた。情報漏えい事件の手口を見ると,社内に犯人または協力者がいることが多いが,外部の人間がネットワーク経由で不正に侵入してくる危険性も侮ってはいけない(図1)。不正侵入事件が起これば,真っ先に責任を問われるのがシステム管理者であることを十分理解しておく必要がある。社内の情報を盗まれなかったとしても,侵入者が他の企業を攻撃するときの踏み台にされることもあり得る。
ESET Smart Security V4.0(イーセット スマート セキュリティ) | 検出率No.1,軽さNo.1のウイルス対策ソフト
こちらのセキュリティソフトESET(イーセット)ダウンロード販売サイトは、株式会社kubellが運営しています。
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/7241c583676d54fc052c4388a6edd25e4c7f280b/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Fgihyojp-ogp.png)
情報処理推進機構
サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。 マナビDX「マナビDX」は、デジタルスキルを身につける講座を紹介するポータルサイトです。 はじめての方でもデジタルスキルを学ぶことのできる学習コンテンツを紹介します。 また、掲載している講座の中には、受講費用等の補助が受けられる講座もあります。 IPAの“今”がわかる広報誌IPA NEWSは、IPAの活動状況や注力事業などをわかりやすくご紹介する広報誌。セキュリティ対策情報やDX推進に役立つ情報などをまとめてお届けしています。最新号の公開をメールでお届けするサービスをご利用いただけます。
暗号化機能を簡単に実装しよう ― @IT
―― 対称暗号機能と暗号ハッシュを簡単に利用するための機能を提供する「Cryptography Application Block」 ―― アバナード株式会社 市川 龍太(patterns & practices Champion) 2006/08/10 前回では、ASP.NET 2.0の認証・認可機能を踏まえながら、Security Application Blockを使った認可機能について解説した。 今回は暗号化機能を提供するCryptography Application Block(以下CryptoAB)について解説する。なお、前回で2006年1月に.NET Framework 2.0に対応したEnterprise Library 2.0(以下EntLib 2.0)がリリースされたことはすでに述べているが、CryptoABはHash Provider(=ハッシュ生成アルゴリズムをカ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さらに分かっておきたいトランジスタの種類 − @IT MONOist
http://www.commoncriteriaportal.org/