Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本
Android端末はなぜ危険か
米GoogleのAndroidを搭載したスマートフォンとタブレット端末には、セキュリティ上の課題がある。本稿では、会社が支給する端末か従業員の私物のAndroid端末かを問わず、大企業および中堅・中小企業(SMB)におけるAndroid搭載端末のセキュリティ対策について主なポイントを解説する。 関連記事 先を行くiPadやAndroidにどう対抗? MicrosoftがWindows 8投入を焦らない理由 「iPad以外」が企業に食い込む可能性は? Androidネイティブの管理機能とセキュリティ機能を理解する Android搭載端末ユーザーは、その管理機能とセキュリティ機能を理解する必要がある。 IT部門に好まれるカナダのResearch In Motion製BlackBerryや米AppleのiPhoneに搭載されているiOSと異なり、Androidにはネイティブの端末管理機能が存在し
Webアプリケーション作った後のチェック表
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
エレックサービス – 地方創生SDGsの普及・促進・PR
地方創生SDGs官民連携プラットフォームとは? SDGsとは、国連が掲げる「持続可能な開発目標」のことで、持続可能な開発のための必要条件 であるとして達成すべき 17のゴール を掲げています。 SDGs目標2「飢餓をゼロに」 すべての人々一年中安全かつ栄養のある食料を十分得られるようにする。 生産性を向上させ、生産量を増やし、生態系を維持し、気候変動や極端な気象現象 干ばつ、洪水及びその他の災害に対する適応能力を向上させる。 SDGsが掲げる上記目標達成に向けた情報発信を日々継続いたします。 SDGs目標4 質の高い教育をみんなに 人生100年時代と言われて久しいですが、ステップアップのため 有益な資格を取得することは大変重要なことであります。 厚生労働省が支援する『キャリア形成・学び直し支援』にも積極的に推し進め 資格情報の提供を通し社会に貢献いたします。 SDG
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
ITpro SPECIAL - セキュリティやコスト削減の要求に応えるクラウド時代のファイルサーバー活用法
自社でICT資産を保有せず、事業者が提供するハードウェアリソースやアプリケーションをネットワーク経由でサービスとして利用する、いわゆるクラウドコンピューティング型のサービスが注目されている。 クラウド型のサービスを活用することで、企業は様々なメリットを享受することができる。 まずわかりやすいのが、ICT資産を保有しないことによる、運用・管理負荷の低減だ。また、技術革新がめざましい昨今では、最新のシステムを導入しても、すぐに陳腐化してしまうおそれがあるが、クラウド型のサービスならそうしたリスクも少ない。さらに、企業がサーバーやストレージなどの機器を自前で導入する場合、将来の拡張を考慮して機器を選択することが多い。それが余剰なリソースや初期投資コストの増加といった問題を招きやすいが、必要な時に必要なサービスを迅速に調達できるクラウド型のサービスなら、こうした問題も解決できる。 一方でクラウド型
マカフィー、USB経由のウイルス感染も防止する暗号化USBメモリ「McAfee Encrypted USB」
マカフィーは3月4日、セキュリティ機能を備えた暗号化USBメモリ「McAfee Encrypted USB」を発表した。3月15日より提供開始する。 暗号化USBメモリ「McAfee Encrypted USB」 同製品の特徴は、リムーバブルディスクの利便性を確保しながら、同時にセキュリティも確保している点。デバイス上に保存されたコピーまたは転送された情報を暗号化し、認証済みのユーザーにのみデータ読み込み権限を与える。デバイスに組み込まれたアンチウイルスエンジンがデータのウイルスチェックをするため、USB経由のウイルス感染も防止できる。 加えて、同社のセキュリティ管理ツール「McAfee ePolicy Orchestrator」と連携した全社規模でのデバイス一元管理も可能。管理コストを削減しながら社内のセキュリティ強化を実現するとしている。 メモリ容量は1Gバイト/2Gバイト/4Gバイト
ネットワークセキュリティ監査の基礎知識
米VanDyke Softwareが企業のIT幹部とネットワーク管理者を対象に最近行った調査によれば、セキュリティ監査を社内で実施している企業の46%は「監査の結果、重大なセキュリティ問題が見つかった」と答えている。これは半数近い数字だ。また、外部に委託して実施したネットワークセキュリティ監査では、この数字が54%に増加している。 つまり、企業は少なくとも五分五分の可能性で重大なネットワークセキュリティ問題を1つ以上抱えており、監査はそれを発見するための有効な手段だということだ。実際、調査の回答者の43%が、もっと頻繁にネットワーク監査を実施すべきだと考えている。 しかし本記事の読者の中には、自分の会社ではまだネットワークセキュリティ監査を定期的に実施していないという人もいるのではないだろうか。その理由は恐らく、そういった監査は日々のネットワーク管理業務に支障を来すと考えられているからだろ
クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み
Webはクロスサイトスクリプティング(XSS)の脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で
1日15分のセキュリティ対策って想像できますか?
中小規模企業のセキュリティ対策 企業において情報セキュリティ対策への取り組みは、年々その重要性を増してきている。以前の情報セキュリティ対策といえば、電子メールや外部メディアなどによるウイルス感染の被害から各クライアントPCを守る程度でよかった。しかし、現在では、ウイルス対策はもはや当たり前となり、スパイウェア、悪意のあるWebサイト、フィッシング詐欺、さらには内部からの機密データの盗難などまで、情報セキュリティの脅威は多様化・複雑化が進み、企業規模を問わず、より高度な情報セキュリティ対策が必要となってきている。 このように、今まで以上に情報セキュリティ対策の強化が求められている中で、特に中小規模企業では、その対応に頭を悩ませているIT担当者は少なくないはずだ。長引く経済不況の波が直撃している中小規模企業にとって、情報セキュリティ対策のために割くことのできる時間、予算、リソースは限られている
ネットと通信する「怪しい」プログラムをすばやく見つける
常時接続が当たり前だと、どんなプログラムがネットにアクセスしているか無頓着になりがち。不用意なアクセスを行っているプログラムがないか、「Internet Content Logger」でチェックしてみよう。 インターネットの常時接続が当たり前となった今日では、どのプログラムがどのくらいネットにアクセスしているのか無頓着なまま、毎日を過ごしていることが多い。その結果、不要なプログラムが常時ネットと通信を行っているのを見逃したり、悪意あるプログラムを介してPCからデータが流出しているのに気づかないといった事態に陥りがちである。前者であれば通信帯域を多少圧迫する程度で済むが、後者であれば一大事だ。 どんなソフトがネットと通信を行っているかは、ルータのログを解析すれば見つけることもできるし、セキュリティソフトのログで確認することもできるが、もっと手軽にチェックするのであれば、今回紹介する「Inte
第2回 こうすれば持ち出せる-IT技術者が考える解決策
“いつでも、どこでも”利用するために生まれたノートPC。日経コンピュータ誌とEnterprise Platformサイトの共同調査では、IT技術者の13%が持ち出し禁止の環境下にあり、業務効率が落ちていると感じている。こうした状況を打破するための解決策についても、技術的な側面と制度的な側面のそれぞれから、多数のアイデアや寄せられ、また実際の運用が始まっている。 持ち出したいけれどルールは必要 職場におけるノートPCの持ち出し禁止あるいは制限に対し、回答を寄せたIT技術者の約64%が「セキュリティ対策を施し、モバイル利用を可能にすべき」とした(図1)。次いで多いのが「不便になるがセキュリティ上やむを得ない」とする回答で、約23%を占める。
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
@IT Special PR:Windows XPからWindows Vista、強化された3つのポイント
2008年2月にWindows Vista SP1がリリースされ、1年近く経過した今、安定して稼働しているという実績もできてきている。リース切れなどでクライアントPCの入れ替え時期が迫っている企業にとって、そろそろWindows Vistaが検討対象に入ってくることだろう。そこで、Windows VistaとはどういうOSかについて、ここで再確認しておきたい。 企業のクライアントOSは、新OSが出たらすぐにアップグレードするというものではない。クライアントPCのリース満了時期や、情報システムの刷新時期に合わせて行う必要があるからだ。また、リリース直後はトラブルが発見されることが多いため、バグ修正プログラムであるサービスパック(SP)が提供されてから導入検討を始めるのが普通だ。 企業で業務用のクライアントPCとして使う場合、自宅で使う個人のパソコンとは違った観点からの使い勝手が求められる。W
「2.5秒で新種が発生」――トレンドマイクロが未知ウイルスの予防サービスを開始
トレンドマイクロは企業向け有償セキュリティ対策サービス「トレンドマイクロ プレミアム サポート」(以下、TPS)を2009年1月1日より刷新すると発表した。ウイルス感染被害発生後のサポート中心のサービスに脅威リスク分析による予防対策を新たに加えることで、新種の不正プログラムへの防御を高めることが狙い。TPSの想定価格は250万円(税別)からで、1年間で50社の新規導入を目指す。 TPSは、専任あるいは兼任のエンジニアがウイルス感染時の問い合わせ対応やウイルスの検体解析による個別のパターンファイル提供などにより、感染被害拡大の抑制を図る常時サポートサービス。新TPSでは、これに加えてユーザーの問い合わせや製品のログといった実情報に基づくアセスメントを通じてセキュリティリスク分析を行ったり、ユーザー環境に合わせたセキュリティ対策製品の実装を支援して、未知のウイルス出現時の被害発生を未然に防ぐ「
ゼロデイは序の口? ユーザーもベンダーも知らないWebからの脅威
不正プログラム(マルウェア)対策について現在多くの企業が直面している1つの課題は、「未知の脅威(ウイルスなどの悪意のあるプログラムやその活動)にいかに対抗するか」であろう。その背景には、Webからの脅威(後述)による亜種ウイルスの大量発生、特定の対象を狙った攻撃の増加により、セキュリティベンダーがパターンファイルを作成するスピードが新種ウイルスの出現スピードに追い付かず、未パッチの脆弱性を狙うゼロデイ攻撃が発生するケースや、迅速にウイルス検体を入手できないケースが急増していることが挙げられる。その結果、従来のパターンマッチングのみに頼った不正プログラム対策の有効性が低下し、企業において不正プログラム対策が後手に回る状況が発生しつつある。 本稿では企業が直面する未知の脅威ならびに既存の対策での問題点を取り上げるとともに、具体的に現在どのような対策があるのかを見ていく。 「未知の脅威」とは何な
さらに分かっておきたいトランジスタの種類 − @IT MONOist
組み込みソフトウェア/ハードウェア開発における技術力の向上、改善・最適化などを幅広く支援する“組み込み開発エキスパート”のための情報フォーラム
なぜ外部からWindowsマシンに侵入できるのか?
「コンピュータが乗っ取られる」「サーバーから機密データを盗まれた」という話をよく耳にするが,登録されたユーザー以外は使用できないはずのWindowsマシンに,なぜ外部から侵入できるのだろうか?侵入者は,事前に周到な準備をしてから攻撃をしかける。侵入を許す前に,その兆候を察知して攻撃を未然に防ぐことは不可能なのだろうか? 個人情報保護の観点から,情報漏えい対策を急ぐ企業が多くなってきた。情報漏えい事件の手口を見ると,社内に犯人または協力者がいることが多いが,外部の人間がネットワーク経由で不正に侵入してくる危険性も侮ってはいけない(図1)。不正侵入事件が起これば,真っ先に責任を問われるのがシステム管理者であることを十分理解しておく必要がある。社内の情報を盗まれなかったとしても,侵入者が他の企業を攻撃するときの踏み台にされることもあり得る。
VoIP/SIPエンティティに対するDoSアタック
DoS(denial of service)攻撃とはサービス妨害攻撃のことで,一般的に大量のパケットを送りつけるものであることは既にご存知だろう。SIP(session initation protocol)/VoIP(voice over IP)といった音声を扱う世界でも,同じような攻撃が存在する。SIPやRTPといった特定のプロトコルを使うアプリケーションを攻撃するものから,回線容量を超えるようなメッセージ量やパケット・サイズを送りつけるものなどその攻撃手法は様々だ。 DoS攻撃自体はインターネットの世界では古くから存在している攻撃であり,これに対する防御方法もよく知られている。インターネットに接続されている環境では機器の種別によらず,いつでも起こり得る攻撃である。にもかかわらず,VoIP/SIPエンティティ(機器)はDoS攻撃を想定していない製品が多い。 三つに分かれる攻撃方法 Vo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
住宅販売、「子育て」に重点、積水ハウス、市場テコ入れ、携帯で防犯、間取り自由に。 | SECURITY SHOW