SANS,「セキュアなプログラムを作る技術」の認定試験を開発
米国のセキュリティ研究機関であるSystem Administration Networking and Security Institute(SANS)がこのほど,セキュアなコード作成に関するプログラマ向け評価/認定プログラムを発表した。SANSは主だったセキュリティ・ベンダーや大学,短大と協力し,プログラマがより安全なコードの開発方法を学べるようにするため,プログラムを策定する。 SANSによるプログラムでは,Global Information Assurance Certification(GIAC)によるSecure Software Professional(GSSP)資格を取得できる認定試験や,知識や技術の不足している分野を自覚するのに役立つ試験を実施する。 C/C++,Java/Java 2 Enterprise Edition(J2EE),Perl/PHP,.NET/Ac
「自分は大丈夫?」,個人情報が不正使用されていないか検索するサービス
ID管理および保護サービスを手がける米TrustedIDは米国時間1月23日,自身の個人情報が不正使用されていないか消費者が無料で確認できる検索サイト「StolenID Search」を発表した。 StolenID Searchのデータベースは,盗難あるいは悪用されている可能性のある200万件以上の情報を収集する。当初は,クレジットカード番号と社会保障番号の2種類の情報を対象とする。 同社設立者兼CEO(最高経営責任者)のScott Mitic氏は,「多くの場合,消費者は自身の機密情報が不正アクセスを受けたことや,今も受け続けていることに気づかずにいる。情報が犯罪に使われる前に,漏えいや盗難を発見することが重要だ」と説明する。「当社の検索エンジンは,ID情報窃盗と闘う人々を助けるための,必要かつ便利な手段を提供する」(同氏)。 しかし,身分証明を必要とせずに,誰でもStolenID Sea
MS、「Excel」の修正版のセキュリティアップデートをリリース
Microsoftは米国時間1月18日に、「Excel 2000」のセキュリティアップデートを再配布した。これは、特定の言語で作成したファイルが開けなくなる同ソフトウェアのバグを修正している。 Microsoftの広報担当者によれば、最新のアップデートは、先週リリースしたセキュリティパッチに含まれていたバグを修正しているという。セキュリティパッチを適応した後、韓国語、中国語、日本語で作成されたExcelファイルを開くことができない問題が発生していた。 Microsoftが先週リリースしたセキュリティパッチは、ユーザーのコンピュータを遠隔地から制御しようとする悪質な攻撃からシステムを保護するためのものだった。アップデートの修正版は、このセキュリティ脆弱性に対処しつつ、Excelで作成したファイルに埋め込まれているふりがなをExcelが処理する方法が原因で発生するバグを解決していると、広報担当
「花子」にバッファ・オーバーフローのセキュリティ・ホール
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は12月5日,ジャストシステムのグラフィック・ソフト「花子」にセキュリティ・ホールが見つかったことを明らかにした。細工が施された文書ファイルを開いて特定の操作をおこなうと,ファイルに仕込まれた悪質なプログラムを実行される恐れがある。対策は修正パッチ(アップデート・モジュール)の適用。 今回のセキュリティ・ホールは,「花子2004」「花子2005」「花子2006」「花子ビューア1.0」――に見つかった。これらにはバッファ・オーバーフローのセキュリティ・ホールが存在するため,細工が施された文書ファイルを開いて特定の操作をすると,花子が不正終了したり,ファイルに仕込まれた任意のプログラムを実行されたりするという。 セキュリティ・ホールの詳細については明らかにされていないが,IPAなどの情報によると,細工が施さ
Power Usersアカウントが持つ恐ろしい「力」
Windowsのユーザー・アカウントを「Power Users(標準ユーザー)」グループに所属させるのは,ユーザーに与える権限を最低限に抑えながら,それでいて権限の小ささに伴う様々な苦痛を回避できる一般的な手法である。Power Usersグループのメンバーであれば,ソフトウエアのインストールや電源とタイムゾーンの設定変更,ActiveXコントロールのインストールといった,「Users(制限ユーザー)」のメンバーには許可されていない様々なアクションが可能である。ただしその一方で,セキュリティが犠牲になることも忘れてはならない。 なぜならPower Usersグループのメンバーは,自分自身をすべての権限を持つAdministrator(管理者)に昇格できることが,多くの記事によって指摘されているからだ(例:マイクロソフトのサポート技術情報「Windows Server 2003,Window
ITpro Special : アプリケーション開発から始まるセキュリティ対策
文=吉田 航太郎 日本においてIMEの開発を担当し,実際にマイクロソフトのセキュリティ開発ライフサイクルを導入し,セキュアなアプリケーションの構築を実践している。 これまで3回に渡って,セキュアなアプリケーション・ソフトウエアを開発するにあたって開発者が考慮すべき基本的な考え方を紹介し,Webアプリケーションの例を取ってそれを掘り下げた。最終回となる今回は,より具体的な例として,セキュアなソフトウエアの開発のためにマイクロソフトの開発部門で実践され,効果をあげている開発モデルを紹介する。 マイクロソフトでは,セキュリティに対する社会的関心の高まりに応え,2002年に当時開発中だった「Windows Server2003」に対して「セキュリティプッシュ」と呼ばれるセキュリティに特化した開発フェーズを実行しました。この開発フェーズは, 開発者全員のセキュリティ技術教育 新たな知識に基づく設計の
ITpro Special : アプリケーション開発から始まるセキュリティ対策
セキュリティコンサルタントとして,不正アクセス監視やセキュリティ検査などに従事。金融機関,官公庁,大手製造業など幅広い業務・業態に対するセキュリティシステムの導入,セキュリティ検査などの実績を持つ。 国分●確かに,SQLインジェクションやクロスサイトスクリプティングなど,特にWebアプリケーションに関するセキュリティ上の脅威が,最近になって急速に顕在化しています。しかし,こうした脅威は,ここにきて突然登場してきたわけではなく,以前から存在していました。つまり,攻撃手法が強力になってきていること以上に,Webアプリケーションの利用が一般化したことで,攻撃対象となるような脆弱性を有するターゲットが増え,実際の被害が拡大しているのです。 私自身,主に企業システムのアプリケーションについてのセキュリティ診断を業務としている立場ですが,診断を依頼されたシステムの約9割に何らかの問題があるのが実情です
真髄を語る 「会社のPC」は無くなる
世界最大のIT(情報技術)リサーチ会社、米ガートナーのデビッド・スミス フェローは、「従業員所有PC」というアプローチが企業にとって有効との見方を示す。従業員所有PCとは、企業が従業員に一定金額を支給し、従業員が自分で選んだパソコンを購入し、保有するやり方。「自分のPC」なので、会社の仕事だけではなく、個人利用も許容される。企業は「会社のPC」の管理から開放され、従業員は最先端かつ低価格の消費者向けパソコンを利用できる。米国では、一部の先進企業がこのアプローチに取り組み始めているという。 ガートナーはITの世界の大きな流れを、「ITコンシューマライゼーション(消費者先導型IT)」と呼んでいる。消費者向けのIT機器に最先端の技術が投入され、それらが順次企業向けに展開されるという意味だ。となると、企業がパソコンや携帯電話などを保有し、従業員に支給するのではなく、消費者でもある従業員が最先端のマ
Windows Vistaの知られざる目玉機能は「InfoCard」
読者の皆さんは,2006年末にリリースされる予定の「Windows Vista」のことをどう思っているだろうか。筆者は,Windows Vistaのあまり話題になっていないある機能のことを,非常に高く評価している。それは,セキュアな電子商取引(Eコマース)を簡単に実現する「InfoCard」という技術だ。InfoCardがユーザーにどのようなメリットをもたらすか,InfoCardの「使用前」と「使用後」を比較しながら解説しよう。 Eコマース・サイトで商品を選択して注文するときのことを想像してみよう。仮にそのEコマース・サイトを「Bigfirm.com」とする。ユーザーはまず,Bigfirm.comにアカウントを作成する必要がある。アカウント登録時には,住所や電話番号,その他の個人情報を入力しなければならないだろう。これらの情報は品物の配送目的で使用されることが多いが,たとえ品物がダウンロー
続・生体認証の怪 ~日経ビジネスオンライン読者の疑問に答える:日経ビジネスオンライン
4月17日付で公開したコラム「生体認証の怪 かえってセキュリティ強度が下がるのはなぜ?」について、日経ビジネスオンライン読者の方々からご意見とご質問を頂戴した。質問の多くは、コラムの中で紹介した本人認証技術に関するものであったので、その技術の開発者とともに以下の回答文を作成してみた。 文中で「谷島」とは筆者、「國米」とはニーモニックセキュリティの國米仁社長を指す。同社が開発した本人認証技術「ニーモニックガード」は、端末などに複数枚の画像を表示しておき、その中から本人しか分からない画像を数点選択させ、それによって本人かどうかを確認する技術である。小学校時代の友人たちの写真や過去に飼った犬や猫の写真を交ぜておけば、本人ならまず間違えないし、暗証番号と違って忘れることもない。 ■読者の意見 「面白いが展開が大変」 なかなか面白い手法だと思いました。利用者の抵抗感は少なくて済みそうですし、操作が単
生体認証の怪:日経ビジネスオンライン
気になる記事をスクラップできます。保存した記事は、マイページでスマホ、タブレットからでもご確認頂けます。※会員限定 無料会員登録 詳細 | ログイン 4月12日付日本経済新聞朝刊の1面に、「暗号は猫の顔」と題した記事が掲載された。「ネットと文明」というシリーズ企画の1つで、「デジタルを人間くさく」という見出しがついていた。記事の中に、子供の顔写真36葉を表示した携帯電話画面が大きく掲載されており、その写真を覚えている読者がおられるかもしれない。 この写真が紹介していたのは、ニーモニックセキュリティというベンチャー企業が開発した本人認証技術「ニーモニックガード」である。この技術は、複数の画像からあらかじめ決めておいた画像を数点選択することで、本人かどうかを確認する。自分の子供の写真や飼い猫の写真を混ぜておき、それらを選ぶようにすれば、本人であればまず間違えないし、忘れることもない。パスワード
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「G Data 2010」シリーズ、ホワイトリスト採用でスキャン高速化 
3億ユーザーから情報を収集、脅威に対応する「Kaspersky 2010」 
ITpro Special : アプリケーション開発から始まるセキュリティ対策
ITpro Special : アプリケーション開発から始まるセキュリティ対策
Technical documentation