各規制はセキュリティ診断の頻度をどのように定めているか? - セキュリティコンサルタントの日誌から
2018/01/09 金融庁関連の話題を追加しました。 少し前ですが、2017年8月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーションがどのようについてどのように言及しているか整理を行いました。 今回は、各レギュレーションがどのようにセキュリティ診断の頻度を定めているか整理したいと思います。 各レギュレーションが定義する頻度 各レギュレーションが定義する脆弱性スキャン・ペネトレーションテストの頻度は以下の通りです(間違っていたらすいません)。これを見ると、少なくても年1回はペネトレーションテストをすることが求められていると考えられます。 JPCERT/CC JPCERT/CCは、「Web サイトへのサイバー攻撃に備えて」にて以下のように定義しています。この規
思考実験:クラウドソーシングはツールの欠点を補えるか? - セキュリティコンサルタントの日誌から
久しぶりに記事を更新したいと思います。本日は、Webアプリケーションについての思考実験をしてみたいと思います。 既にご存知の通り、Webアプリケーション診断の脆弱性スキャナとして、様々な製品が登場しています。 IBM AppScan HP WebInspect Rapid7 AppSpider これらの製品は、XSS(Cross Site Scripting)やSQLインジェクションといった「機械が発見を得意とする脆弱性」には非常に有効ですが、Webアプリケーションの脆弱性には「機械が発見を苦手とする脆弱性」もいくつか存在します。 今回は、「機械が発見を苦手とする脆弱性」を補う方法を検討します。 機械が発見を苦手とする脆弱性 その代表的な脆弱性が、「アクセスコントロールの不備」や「ビジネス・ロジックの悪用」に関する脆弱性です。 アクセス・コントロールの不備 アクセス・コントロールの不備とは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
