「サイバー脅威に適切に対応すれば評判は落ちない」、RSAが提言
写真●米EMCのRSA事業本部でRSAグローバル・パブリック・センターのCTO(最高技術責任者)を務めるマシュー・マコーマック氏 「悪人がネットワークに侵入することは大前提。セキュリティはもはやリスク管理に変わった。攻撃を受けたら、企業の評判を守るために素早く対応することが大切だ。情報共有が唯一の対策となる」――。EMCジャパンのセキュリティ部門であるRSA事業本部は2015年3月19日、都内で説明会を開き、昨今のサイバー脅威に対して日本企業がとるべき対策について解説した。 説明会では、米EMCのRSA事業本部でRSAグローバル・パブリック・センターのCTO(最高技術責任者)を務めるマシュー・マコーマック氏(写真)が登壇し、サイバー攻撃に対する米国政府の考え方を示した。米国では既に、サイバー攻撃はブロックできないという前提の下、攻撃を受けた際にどう対処すべきかという視点に立っているという。
NginxでのOCSP Stapling対応設定
意外にハマったのでメモ。 OCSPとは OCSP(Online Certificate Status Protocol)とは、SSL/TLS暗号化通信の初期フェーズにおいて証明書の失効を確認するための手順。 従来は署名所失効リスト(CRL)が利用されていたが、CRLはリストが肥大化しダウンロードに非常に時間がかかるようになってきたため、単一レコードの取得で済むOCSPが、現在では証明書の失効を確認する方法として一般的になった。 OCSP Staplingとは 通常は以下の図のように、証明書をダウンロードしたクライアントがOCSP Responderにサーバ証明書の失効を確認する。 OCSP Staplingに対応すると、以下の図のように証明書の失効確認をサーバ側で処理することができる。 また、OCSPレスポンスは一定の間はサーバにキャッシュされ、都度OCSP Responderに問い合わせ
Qualys SSL Labs - SSL Pulse
SSL Pulse is a continuous and global dashboard for monitoring the quality of SSL / TLS support over time across 150,000 SSL- and TLS-enabled websites, based on Alexa’s list of the most popular sites in the world. SSL Security Summary: This is the summary of the effective SSL security implemented by the most popular web sites. To be secure, a site has to be well configured, which means that it must
東京海上日動、企業向けに「サイバーリスク保険」を発売
東京海上日動火災保険は9日、企業向け新商品「サイバーリスク保険」を発売した。 新商品は、事業活動を取り巻くサイバーリスクを1契約で包括的に補償する総合保険であり、企業が不正アクセスやサイバー攻撃を受けた場合に、その対応のためのフォレンジック調査等に関する費用(危機管理対応費用)や、実際に発生した情報漏えい等に起因して提起された損害賠償請求訴訟に関する賠償金・争訟費用等を補償するもの。 近年、日本企業が海外から不正アクセスやサイバー攻撃を受けるケースが急速に増加し、わが国においても、諸外国と同様、サイバーセキュリティ対策が喫緊の課題となっているという。しかしながら、攻撃側の手法が次々と進化する等の事情により、事故防止対策だけでは十分でなく、セキュリティ事故が発生してしまった後のダメージ・コントロールのための態勢作りがすべての企業にとって重要になっている。 同社としては、企業を対象に同商品を広
AIU保険がサイバーリスク保険発売、攻撃・不正に包括対応
米AIGグループ傘下で、日本で損保事業を営むAIU保険は2013年1月23日、企業の「サイバーリスク」をカバーする保険の新商品「CyberEdge(サイバーエッジ)」について、商品内容と事業方針を説明する記者会見を開いた。同商品は2012年12月に発売し、既に今年1月から保険引き受けを始めている。直販と代理店販売を併用し、今後1年間で大企業・グローバル企業を中心に100社の契約獲得を目指す。 AIGはCyberEdgeを米国など世界35カ国で発売済みで、今回新たに日本市場にも投入した。AIGでアジア太平洋地区の経営・業務保険を統括するバイスプレジデントのイアン・ポラード氏(写真1)は「企業が受けるサイバー攻撃のリスクは高まっている。しかも世界的に個人情報保護法などの法規制が厳しくなっており、万が一の場合に企業の負担は大きくなりがちだ。多様なリスクをカバーする新商品は日本でも受け入れられるは
日本でさっぱり売れない「サイバーセキュリティ保険」、普及への壁
「これだけサイバーセキュリティに対する関心が高まっている状況だから、もっと売れるだろうと思っていたが、なかなか厳しい」。米AIG傘下の保険会社であるAIU損害保険の阿部瑞穂経営保険業務部第一アンダーライティング課課長はこう話す(写真1)。 AIUは2012年12月に日本国内で、企業のサイバーリスクをカバーする保険商品「CyberEdge(サイバーエッジ)」を発売した(写真2、関連記事:AIU保険がサイバーリスク保険発売、攻撃・不正に包括対応)。この時点で米国など世界35カ国で発売しており、米国を中心に販売を伸ばしていた。だが、日本では発売後2年が経過しても“苦戦”していることを率直に認める。 AIUのCyberEdgeは、サイバー攻撃発生に伴う損害を包括的に補償する保険商品だ。個人情報が漏洩した場合なら、それに伴って顧客から請求された損害賠償や、行政機関への届け出などにかかる費用、原因を特
SQLインジェクション脆弱性の有無が重過失の判断に影響を与えた判決 | 株式会社クロスジール
ソフトウェア製作者に衝撃が走った判決 2015年1月中旬、北海道大学の町村先生、HASHコンサルティングの徳丸先生による下記のエントリが話題になりました。 2015/01/13 privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例 http://matimura.cocolog-nifty.com/matimulog/2015/01/privacy-8cc8.html 2015/01/22 SQLインジェクション対策もれの責任を開発会社に問う判決 http://blog.tokumaru.org/2015/01/sql.html これは東京地裁平成23年(ワ)32060号、東京地判平成26年1月23日の損害賠償請求事件です。 システム開発における判例は増えてきていますが、具体的に根拠として経産省やIPAの文書を出した上で「SQL分の組み立てにバインド機構を使用
XSS Filter Evasion - OWASP Cheat Sheet Series
XSS Filter Evasion Cheat Sheet¶ Introduction¶ This article is a guide to Cross Site Scripting (XSS) testing for application security professionals. This cheat sheet was originally based on RSnake's seminal XSS Cheat Sheet previously at: http://ha.ckers.org/xss.html. Now, the OWASP Cheat Sheet Series provides users with an updated and maintained version of the document. The very first OWASP Cheat S
要件定義・基本設計で役立つ、安全なWebアプリ&インフラ構築術
第7回 アプリ開発者やSE、PMも必見!インフラのセキュリティ対策 この連載では、Webシステムの要件定義や基本設計で押さえておきたいセキュリティについて解説してきました。前回まではWebアプリケーションのセキュリティが中心でしたが、最終回では一般的なインフラのセキュリティ対策、インフラやネットワークを狙った攻撃の種類、各種機器の設定・管理上の注意点を説明し、まと… 2015.04.23 第6回 大きな被害が相次ぐ!文字列処理の落とし穴 Webアプリケーションに対する攻撃で、狙われやすい箇所の一つが、ユーザーが文字列などを入力したときの処理にかかわる部分です。今回は、この入出力時の文字列処理を狙った攻撃と対策について説明します。 2015.04.16 第5回 意外と知らない?HTTPSを使いこなすテクニック 今回は、通信経路を暗号化するHTTPS(Hyper Text Transport
TechCrunch | Startup and Technology News
Less than one year after its iOS launch, French startup ten ten has gone viral with a walkie talkie app that allows teens to send voice messages to their close… While all of Wesley Chan’s success has been well-documented over the years, his personal journey…not so much. Chan spoke to TechCrunch about the ways his life impacts how he invests in startups.
暗号化キーは盗まれていなかった! 世界最大手のSIMメーカーがスノーデンリークに反論
暗号化キーは盗まれていなかった! 世界最大手のSIMメーカーがスノーデンリークに反論2015.02.27 13:00 盗まれてなかったことに一安心、NSAでも破れないものがあることにもう一安心。 先週、米メディアInterceptが、米国家安全保障局(NSA)がSIMカードを保護している暗号化キーを入手し、保存することができていたと報道しました。この報道を受けて世界最大手SIMカードメーカーのジェムアルトは、データ漏洩を否定した上で、3G/4Gネットワークは影響を受けないことを説明しました。 先週の報道は、NSAと英政府通信本部(GCHQ)が無線区間で携帯電話の信号の暗号化を解除できたり、あらゆるジェムアルト製SIMの暗号化キーを手に入れるために遠隔でハードウェアにマルウェアを埋め込んでいたりするという内容でした。ジェムアルトは毎年20億枚にもおよぶSIMを、AT&T、スプリント、ベライゾ
複数のWebサーバでSSLセッションキャッシュを共有してSSL処理を高速化(Apache + mod_ssl + mod_socache_memcache) - 元RX-7乗りの適当な日々
HTTPS(SSL利用)サイトがSEO的に優遇されるトレンドで、世間的にもHTTPS接続でサイト運用するサービスが増えてきています。 これが、ハイトラフィックサイトになってくると、このフロントエンドでSSL処理させることが負荷的にもなかなか辛いのです。 で、Apache 2.3以降では、Shared Object Cache Providerとして、memcachedが選択できるようになっています。 この仕組みを利用して、Apacheとmemcachedを並べることで、各サーバでユーザのSSL Session Cacheを共有しながらHTTPSリクエストを負荷分散できる構成を作ってみました。 WebサーバでSSLオフロード 常時SSLを利用したWebサイトを運用するために、SSLアクセラレータといったアプライアンス製品だとか、ソフトウェアだとApacheやNginxのSSLモジュールを使う
より具体的かつ明確に、「附属書A」の変更点や追加点を深掘りする
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みを新規格(ISO/IEC27001:2013)へ対応させる作業を行っていく物語です。 読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。 第5回目となる今回のテーマは、「附属書Aの変更点や追加点の理解(2)」です。
「附属書A」時代にあわせて増えたもの、減ったもの
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。 読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。 第4回目となる今回のテーマは、「附属書Aの変更点や追加点の理解(1)」です。
情報セキュリティマネジメントの改訂ポイント
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。 読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。 第3回目となる今回のテーマは「規格要求事項の変更点や追加点の理解(2)」です。
何が変わった? 新しい「規格要求事項」を理解しよう
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。 読者の皆さま、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。 第2回目となる今回のテーマは、規格要求事項の変更点や追加点の理解(1)です。
ご存じですか? ISMS規格改訂の背景と意図
ご存じですか? ISMS規格改訂の背景と意図:みならい君のISMS改訂対応物語(1)(1/2 ページ) 情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう? とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。 情報セキュリティマネジメントシステム(ISMS)の評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この物語は、ISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みをその新規格(ISO/IEC27001:2013)へ対応させる作業を行っていく過程を描くものです。 読者の皆さまには、この連載を通じて、改訂版規格であるIS
100分の1の法則 (新宿中村屋にて) : 先見日記 Insight Diaries 1 note
Not found Error code: 404 お探しのページはみつかりませんでした。 メニューから探す: DATA INSIGHT サービス 業種別ソリューション デジタル お客様事例 ニュース 企業情報 サステナビリティ IR情報 採用情報
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
インテリアショップサイトに不正アクセス、カード情報含む個人情報が漏えい(ミサワ) | ScanNetSecurity
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
