ソフトウェア資産管理を極める!(3):SAMS構築の手順
手順自体は、一般的なISOよりもむしろ簡単だ。端的に言えば、管理システムを構築し、PDCAを回していくということなのである。手順を簡単にまとめた下図を参照しつつ、読み進めてもらいたい。 まず第1に目標を定め、規程や体制を構築する。目標とは、管理目的をどのレベルで達成するか? ということである。もちろん、ライセンスが「足りない」という状態は論外である。「ライセンスに不足がない」ということは前提として、たとえば、過剰ライセンスは何%以内に抑えるとか、非稼働PC は何%以内にするというような目標となる値を定めるのである。 次に現状を把握する。最初に目標を定めたことで、どういう管理手法・管理体制にすれば良いかが明確になり、規程の詳細、たとえば、現状把握の回数とその方法とか、管理台帳の更新頻度、部門管理か全体管理か、といったことを決めていくことができる。 次に、現状と目標との差分を明確にする。その差
ソフトウェア資産管理を極める!(1)なぜSAMが注目されているのか?
皆さんは、「ソフトウェア資産管理」と聞いて、どんなことを思うだろう?「今さらソフトウェアを管理するの?」と、思うだろうか?それとも、「管理なんていやな響きだ」と感じるだろうか? 筆者は、これまで約7年間にわたり、さまざまなお客様のIT資産管理をお手伝いしてきたが、昨年からは、特にソフトウェア資産管理のコンサルティングの依頼が急増している。 ここでは、筆者のこれまでのコンサルティングの実績を踏まえ、 1.なぜソフトウェア資産管理がクローズアップされているのか? 2.なにがソフトウェア資産管理を難しくさせているのか? 3.どのようにすれば、ソフトウェア資産管理がうまくいくのか? について述べていきたいと思う。 ソフトウェア資産管理に関するさまざまな相談や質問は、エンドユーザー(以下、使用者)のみならず、ソフトウェアベンダー(以下、権利者)、やソフトウェア資産管理ツールベンダー(以下、ベンダー)
サイバークリーンセンター(CCC)|ホームページからの感染を防ぐために
最近は、「危ないサイト」だけではなく、正規サイトや、“いつも見ているホームページ”が、ある日突然、ウイルスへのリンクを埋め込む改ざんが行われ、そのサイトを見た方が感染する被害が増加しています。 当サイトでは、ボットウイルスから守るために「ボットの駆除対策手順」のページで以下の3つの対策お願いしております。 しかし、ホームページからの感染を防ぐためには、この3つの対策以外に次の「1,ホームページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。 また、ホームページを持っていらっしゃる方は、「2,ホームページ開設者の対処方法」を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざんされていた場合は手順に従い復旧を行ってください。 JVN(Japan Vulnerability Notes)の「MyJVNバージョンチェッカ」を利用してWeb感染型に
猛威をふるうガンブラーの徹底対策術 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
民主党やホンダなどの大手サイトが、ガンブラーによって次々と改ざんされている。表示しただけでウイルスに感染する可能性があるので、徹底的な対策が必要だ。 特に自分でブログなどを開設している人は警戒したい。(テクニカルライター・三上洋) 民主党、ホンダ、JR東日本など大手サイトが改ざん被害 民主党東京都総支部連合会のウェブサイトも改ざん被害を受けた。12月25日から1月4日にかけて改ざんされた状態にあり、閲覧した人はウイルス感染している可能性がある 前回の記事「ガンブラーウイルスが猛威…JR東サイトも改ざん」でも紹介したように、ガンブラー(Gumblar、別名GENOウイルス)と亜種のウイルスによる被害が急拡大している。昨年12月からの被害だけでも、JR東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄などの大手企業サイトが改ざんされた。また、検索サイトの
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
CSRFとは - IT用語辞典
概要 CSRF(Cross Site Request Forgeries)とは、Webブラウザを不正に操作する攻撃手法の一つで、偽装したURLを開かせることにより利用者に意図せず特定のサイト上で何らかの操作を行わせるもの。 攻撃者はあるサイトへ特定のリクエストを発生させるURL(Webアドレス)を用意し、何らかの方法でこれを偽装・隠蔽してWeb閲覧者に開かせる。閲覧者は気付かずに、あるいは何のURLであるかを誤認して開き、攻撃者の意図したリクエストを発生させてしまう。 URLを開かせる手法はいくつか知られており、Webページやメール本文にリンク先について虚偽の内容を記載したリンクを設置する、HTMLのimgタグのようにページを開くと自動的にURLが読み込まれるタグを悪用する、ページ上にURLを読み込ませるようなスクリプト(JavaScript)や自動転送(HTTPリダイレクト)などを仕掛け
SQLインジェクション(SQL injection)とは - IT用語辞典
概要 SQLインジェクション(SQL injection)とは、データベースと連動したWebアプリケーションなどに対する攻撃手法の一つで、検索文字列など外部から指定するパラメータの一部にSQL文の断片などを混入させ不正な操作を行うもの。また、そのような攻撃を可能にする脆弱性。 “injection” は「注入」の意。 データベースを利用するWebサイトの中には閲覧者の求めに応じて動的にプログラムを起動し、データベース管理システム(DBMS)へデータの検索や更新などを依頼するものがあるが、その際に「SQL」(Structured Query Language)と呼ばれる問い合わせ言語が標準的に利用される。 検索機能などを実装するために、閲覧者がフォームなどに入力した文字列をプログラムが受け取り、あらかじめ用意されたSELECT文などの一部に埋め込んでDBMSへ渡し、検索と該当データの抽出を依
クロスサイトスクリプティングとは|XSS|Cross Site Scripting - 意味/解説/説明/定義 : IT用語辞典
概要 クロスサイトスクリプティング(XSS)とは、利用者が入力した内容を表示するような構成のWebサイトに存在する欠陥を悪用して、攻撃者が用意した悪意のあるスクリプトを利用者の元に送り込んで実行させる攻撃手法。 SNSやECサイトのように閲覧者が送信したデータを何らかの形でコンテンツの一部として表示する機能を含むWebサイトが標的となる。入力内容のチェックが甘い場合に、攻撃者の仕掛けたスクリプト(Webページ上で実行される簡易プログラム)が閲覧者のコンピュータで実行される。 典型的な攻撃例は以下の通りである。まず、標的サイトには入力フォームがあり、閲覧者の入力を受け付けてサイト内の別のページに表示する。入力内容が「Hello World」の場合「http://標的サイト/message.cgi?text=Hello+World」というURLでアクセスするものとする。 フォームの受け付けプロ
「政府機関の情報セキュリティ対策のための統一基準」について
政府機関(各府省庁)の情報セキュリティ対策については、1)情報セキュリティ水準の高い省庁と低い省庁の格差が大きい、2)急激に変化するIT環境に対応した情報セキュリティ対策を実施する人材が全体的に不足している等の問題が指摘されています。[参考資料] また、昨今、政府機関へのサービス不能(DoS)攻撃が増加し、国内の企業等においては、重要情報の漏洩問題が相次ぐなど、情報セキュリティ関連の事故が多発している状況にあります。 こうした状況を受けて、まず、平成17年9月15日、情報セキュリティ政策会議第2回会合において、「政府機関の情報セキュリティ対策の強化に関する基本方針」及び「政府機関の情報セキュリティ対策における統一基準の策定と運用等に関する指針」が決定されるとともに、政府機関全体として統一的にとるべき対策のうち、緊急性の高いものについて定めた「政府機関の情報セキュリティのための統一基準(20
「情報システムに係る相互運用性フレームワーク」の公表について(METI/経済産業省)
本件の概要 経済産業省では、政府や公共機関が情報システムを調達する際に相互運用性確保の観点から取り組むべき事項や留意すべき事項について、独立行政法人情報処理推進機構と協力して検討を行ってまいりました。 今般、パブリックコメントの実施を経て、「情報システムに係る相互運用性フレームワーク」としてとりまとめましたので、公表いたします。 担当 商務情報政策局 情報処理振興課 公表日 平成19年6月29日(金) 発表資料名 「情報システムに係る相互運用性フレームワーク」の公表について(PDF形式:93KB) 情報システムに係る相互運用性フレームワーク(PDF形式:759KB) Acrobat Readerをダウンロード(Adobeサイトへ) このページの先頭へ
「滅亡か、復権か:大規模デジタル化時代と本の可能性」(東京古書組合 創立90周年記念 日本の古本屋 シンポジウム) - かたつむりは電子図書館の夢をみるか(はてなブログ版)
今日は参加希望者多数により抽選が出るほど盛況であったという、「日本の古本屋」シンポジウムに参加してきましたっ。 シンポジウムwebサイト http://www.kosho.ne.jp/symposium/ 当日の映像(録画) VideoPlanning 「日本の古本屋」サイト 日本の古本屋 「滅亡か、復権か」という刺激的なタイトルをつけられたシンポジウムですが、中身も名前負けしない刺激的なものであったかと思います。 以下、例によって当日のメモです。 同じく例のごとく、min2-flyが聞きとれた/理解できた/書きとれた範囲でのメモですので、その点ご了解願います(引用等される場合には映像の確認をお勧めしますっ)。 誤りなど発見された場合にはコメント欄等を通じてご指摘いただければ幸いです。 開会挨拶(小沼良成さん・東京都古書籍商業協同組合) 今年は東京古書組合創設からちょうど90周年の年。 正
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
文化庁 | 「デジタル・ネットワーク社会における出版物の利活用の推進に関する懇談会」の開催
HTTPレスポンススプリッティングとは | 情報セキュリティ用語解説 | 情報セキュリティブログ | 日立システムアンドサービス
ディレクトリ・トラバーサルとは | 情報セキュリティ用語解説 | 情報セキュリティブログ | 日立システムアンドサービス
ドイツ国立図書館、典拠データをLinked Dataとして提供を試行