ディスクを破棄したり、譲渡したりする場合には、あらかじめディスクの内容を消去しておかないと情報が漏えいする危険性がある。単純にファイルを削除しただけでは、ファイルを復活させることもできる。データを完全に消去するためには、ディスク全体に渡ってデータを完全に上書きする必要がある。 連載目次 解説 コンピュータやハードディスクを破棄したり、他人に譲渡したりする場合、内部のデータを完全に消去しておかないと、そこから社内の機密情報や顧客情報、メール・アドレスなどが漏えいしてしまう危険性がある。実際、中古で購入したコンピュータのハードディスクに対してデータ復元ソフトウェアを実行したところ、ある医療機関が健康保険組合などに医療費を請求するために作成した診療報酬明細書の画像データが取り出せた、という事例が総務省の「国民のための情報セキュリティサイト」で報告されている。 国民のための情報セキュリティサイト(
SQLを用いてデータベースを扱うWebアプリケーションは、SQL注入を許さないようにする必要がある。SQL注入攻撃対策のうち、まずは実装における対策について述べる。 文脈に応じた特殊記号対策はコマンド注入攻撃対策と同様である。加えて、プリペアードステートメントの使用や言語の選択による対策を説明する。 「SQL注入(SQL injection)」は、パラメータを埋め込んでSQL文を組み立てる場合、そのパラメータに特殊記号(記号)を含ませたSQLコマンドを与えることによって、データベースの不正操作が可能となってしまう問題である。 参考: CWE-89: Improper Neutralization of Special Elements used in an SQL Command(日本語訳) SQL注入攻撃のメカニズム ここに、次のようなSQL文を使用したログイン判定プログラムがあるとする
Javaのハッシュ値を求めるために、java.security.MessageDigestクラスを使ったりするが、 ぶっちゃけあんなん求めるのに例外処理だー、アルゴリズムは~だーなんて 面倒くさいのでラッピングしてみた。 packege mbs.security; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; /** * ハッシュ値生成機能を提供 * @auther Mahny */ public class Encrypter{ /** * メッセージダイジェスト:MD5 */ public static final String ALG_MD5= "MD5"; /** * メッセージダイジェスト:SHA-1 */ public static final String
近年、標的型攻撃はやり取り型や水飲み場型の出現、使われるマルウェアの高機能化などますます多様化しており、被害が後を絶ちません。原因の1つには、ウイルス対策ソフト等の入口対策を突破して侵入を果たした攻撃が情報システム内部で密かに活動しているのを検知できず、情報流出等の実害が発覚するまで攻撃に気付かないことが多いことが挙げられます。 IPAでは2010年12月に「脅威と対策研究会」を設置し、標的型攻撃から組織の情報システムを守るためのシステム設計ガイドを公開してきており、本書はその最新改訂版となります。本版では、システム内部に深く侵入してくる高度な標的型攻撃を対象に、システム内部での攻撃プロセスの分析と内部対策をまとめています。 また、前版に対するヒアリング結果や意見を基に、よりシステム設計・運用現場が利用しやすいよう、改訂ポイントの1つとして、対策を以下のように整理しました。 <統制目標の明
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く