高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱
(語り手)JILIS副理事長 高木 浩光 (聞き手)JILIS出版部 編集長 小泉 真由子 (撮影)宇壽山 貴久子 この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。 —— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。 高木: はい、よろしくお願いします。話はと
PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性
サマリ PHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに 古庄親方の以下のツイートを見て驚きました。 CSRF用のトークンの作成 $token = password_hash(mt_rand(), PASSWORD_DEFAULT); ってのを書籍で見た………もンのすンげぇなぁ(苦笑 書籍名でググって調べる……評判が悪いので、まぁ、納得っちゃぁ納得。 — がる (@gallu) July 17, 2019 CSRFトークンの生成に、password_hash関数を使うですと? 親方に書籍名を教えていただき、購入したのが、この記事で紹介する「PH
iOS/Android セキュリティガイドライン - Qiita
必須: 基本的に対応が必要。何らかの要因で対応できない場合は関係者への同意をとる。 できれば:状況的に困難でなければなるべく対応する。 基本対応なし:特別な要件がなければ対応しない。 直近修正履歴(2018/11/21) [OS共通] ログ出力の対策にproguardによる方法を追記 [iOS] 通信データのキャッシュの対策に一部問題があったため修正 [OS共通] 通信の暗号化 対応要否:必須 リスクの詳細 HTTPで通信を行うと通信データが平文でネットワークに流れるため、情報漏洩の危険性がある。 対策 通信を行う場合はHTTPS(SSL/TLS)通信を利用する [OS共通] SSL証明書のチェック 対応要否:必須 リスクの詳細 通信やWebViewで行われるSSL証明書の正当性検証を無効化すると、ネットワーク管理者などにより通信経路上のデータ改竄、傍受が可能になる。 対策 試験環境で証明
めちゃくちゃ大変!スタートアップの社内情報システムの構築がわからなくて泣ける件 - Findyブログ
こんにちは、Findy CTO の @ma3tk です。 今会社でフリーランス・副業エンジニア向けの事業を作りながら CTO も兼ねて会社に在籍したりしています。もちろん、スタートアップという段階なので当然ながら自社のネットワーク環境やオフィス内でのシステム周りについて取りまとめる役割も兼ねています。 元々知見がない中でいろんな方にサポートしてもらいつつ、前職でこんな感じでやってたななど思い出しながら Findy で環境を整えて行ったりしています。 そこで本日は今20人規模の組織においてそれぞれの項目でどう苦労しているかについてご紹介していきたいなと思います。 施錠管理 今 Findy ではフルタイム6人という状態に加えて、副業やパートタイム業務委託として関わってもらいオフィスに来てもらってる方が15人ほどいらっしゃったりします。その中で15人がオフィスに来てもらって都度ドアを開ける、もし
「個人情報」の意味、知ってますか? Tカード、Suica、マイナンバーで考える「個人情報の危うさ」 (ITmedia NEWS) - Yahoo!ニュース
先日、とあるニュースを見て驚きました。そのニュースは「個人情報」に関するもので、あまり詳しくない私が見ても危うさを感じるものでした。この危うさはすぐにピンと来る人もいれば、なぜそこまで恐れるのか分からないと公言する人もいます。そこで今回は、基礎知識として知っておくべき「個人情報の危うさ」に触れたいと思います。 【画像】マイナンバーは個人情報? ●最初のはなし:“マイナンバー”って個人情報なの? まず入り口は、皆さんもそれぞれに割り当てられている12桁の数字「マイナンバー」です。この数字、正確には個人番号と呼びますが、これは「個人情報」として取り扱われることが決められています。 こう聞くと、単なる文字の羅列に、私たちの本名や住所などが入っているか疑問に思う方も多いでしょう。もちろん、個人番号も数字自体にそのような情報は含まれていません。よく出てくる言葉である「個人情報」とは氏名、住所、生年月
世界30%のSSL証明書が3月と10月に強制無効化!? あなたのサイトが大丈夫か確認する3ステップ | 初代編集長ブログ―安田英久
2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン/シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元: SymantecGeoTrustRapidSSLThawte無効化スケジュール: 2018年3月15日ごろ: Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ: Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ: Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ: Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼
図解:OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回では、RFCが公開されてから5年が経過した「OAuth 2.0」を振り返り、3つのユースケースを通じて、アクセス権限を受け渡す仕組みを紹介しました。OAuth 2.0はさまざまなユースケースに適用できます。その際、開発者はアプリケーションが動作する環境の特性を考慮しながら、仕様で定義されている処理を実装する必要があります。 今回は、脆弱(ぜいじゃく)性を作り込まないOAuth 2.0の実装手法を紹介し
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
あのパスワード規則、実は失敗作だった - WSJ
パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
「Microsoft以外のウイルス対策ソフトは害悪なので入れるべきではない」とMozillaの元開発者が告白
Mozillaの開発者だったロバート・オカラハン氏がブログで、「ウィルス対策ソフトはひどい。Microsoft純正のもの以外はインストールするべきではない」と述べています。どうやら、ウイルス対策ソフトはブラウザ開発者にとって大きな障害になっているようです。 Eyes Above The Waves: Disable Your Antivirus Software (Except Microsoft's) http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html オカラハン氏は、多くのウイルス対策ソフトについて「ウイルス対策ソフトでセキュリティが向上するという証拠はほとんどない」とブログで明言しています。GoogleのProject Zeroがウイルス対策ソフト・ノートンに25個のバグがある
GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された
エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている。 概要 GoDaddy社は米国のホスティング(レンタルサーバー)やレジストラの大手で、認証局(CA)の事業も手がけています。 GoDaddyが発行するドメイン認証証明書の認証手続きに不備があったとして報告されています。 In a typical process, when a certificate authority, like GoDaddy, validates a domain name for an SSL certificate, they provide a random code to the customer and ask them to p
IPAがセキュリティ新資格の取得方法を発表、維持費は3年で15万円
RISSは、情報処理技術者試験で従来実施していた「情報セキュリティスペシャリスト試験」をベースに新設する。従来試験との違いについて、IPAでHRDイニシアティブセンター情報処理安全確保支援士グループグループリーダーを務める高橋将氏は、「登録情報の公開による資格取得者の見える化と、講習受講による質の担保」と説明する。 資格は「試験合格」「登録」「維持」の3段階から成る。「試験合格」とはペーパーテストに合格すること。RISSの初回試験は2017年4月に実施する。経過措置として、情報セキュリティスペシャリスト試験の合格者と「テクニカルエンジニア(情報セキュリティ)試験」の合格者は2018年10月20日まで試験を免除する。 「登録」とはIPAが運営する資格保持者のデータベースである「登録簿」に登録することだ。登録には手数料1万700円と登録免許税9000円が必要。登録情報はIPAのWebサイトで公
IPA 独立行政法人 情報処理推進機構:国家資格「情報処理安全確保支援士」
情報処理安全確保支援士(登録セキスペ) 「令和6年能登半島地震」により被災された方の救済措置について 「令和6年能登半島地震」において被災された皆様に対し、心よりお見舞い申し上げます。 経済産業省告示により、災害救助法が適用された自治体に登録住所があり、かつ登録更新申請期限が2024年1月31日の情報処理安全確保支援士の方は、登録更新申請期限を2024年5月1日に延長します。更新期限は2024年3月31日→2024年6月30日に変更となります。 詳細は、対象の方へ別途ご案内します。 国家資格「情報処理安全確保支援士(登録セキスペ)」とは サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が
情報処理安全確保支援士制度って何?
ITProのニュース『サイバー法改正案が閣議決定、「情報処理安全確保支援士」新設へ』でも発表されていますが,政府は2016年(平成28年)2月2日に,「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」を閣議決定し,国会に提出しました。 この法案は,「サイバーセキュリティ基本法」を改正する内容で,中に,サイバーセキュリティに関する助言を行う国家資格「情報処理安全確保支援士」を新設することが含まれています。 この「情報処理安全確保支援士(略称:情確士)」は,新たにできる情報セキュリティ関連の資格制度となります。 今までの情報処理技術者試験とは別の制度ではありますが,関係ないわけではありません。 情報処理安全確保支援士の位置付け 情報処理安全確保支援士は,情報セキュリティ人材の育成・確保のために経済産業省によって考えられた登録制度です。 2015年(平成27年)1
[Windows 10]PIN対パスワード、そしてWindows Passport
こんにちは、富士榮です。 昨年夏のリリース時から「パスワードは時代遅れです」というメッセージで世の中を混乱の渦に巻き込んできたWindows 10ですが、半年が経過した今でも「やっぱり意味がよくわからない」という声をしばしば耳にします。 ※ちなみにTH2のビルドだと「PINのセットアップ」というメッセージになっています。 これまでも各所の記事やセミナなどでは簡単に話をしたことはあるのですが、ちょうど前回から書き始めているWindows 10のドメイン参加やサインインの仕組みの大前提になる話でもあり、良い機会でもあるので簡単にまとめておきたいと思います。 (ちなみに多分に私見が入っています) ◆何が議論されているのか? まず、これまで起きている議論はどういうものなのか、簡単にまとめておきます。 Windows 10をセットアップすると「PINはパスワードを使用するよりも早くて安全です」という
![[Windows 10]PIN対パスワード、そしてWindows Passport](https://cdn-ak-scissors.b.st-hatena.com/image/square/ec15125467cd4780e24941cb91587b90b3a446f9/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEgyUJ89KkuGkPWUtw2RGFevpqsCwNhlUl7-ynVQ0Uwu3AtfKabSOMkdfL_8h-xMd9vphF2KDLPeP919MeO1mYpMx6PFOz7EwEStuuROedaVHDTpNuYN9Oy1EYPHj9MEH7c-kSNoRRmt5RE%2Fw1200-h630-p-k-no-nu%2F1.png)
横柄なパスワード – パスワード認証に関する改善策 | POSTD
パスワードにはうんざり。改善しましょう。 誰もが経験するあの瞬間。新しいサービスに登録し、パスワードを選んで入力する。でも、入れません。選んだパスワードは十分安全なはずなのに、使いたいサービスが独善的にそれを拒むのです。 記号、数字、大文字、小文字を少なくとも1つずつ使用しなければなりません。 小文字の長いパスワードの方がドルマークだらけの短いパスワードより安全だということを証明する、 XKCDの有名なコミック のことは忘れましょう。まず、あなたの主力パスワードが $$ICECREAM$$ だとします。アイスクリームは、恐ろしい人生の希望の灯火とも呼べるほどの大好物なので簡単に思い出せます。そして、このパスワードにはブートのための特殊文字が入っています。 残念なことに、 $$ICECREAM$$ には小文字と数字がないので、客観的に見れば安全ではありません。そこで、このサービスのためのパス
Web認証におけるせめぎ合い – 2人のセキュリティ専門家によるやりとり | POSTD
(訳注:2015/11/1、いただいた翻訳フィードバックを元に記事を修正いたしました。) 成長し続ける様々な脅威に対抗すべく、この10年間でWeb認証システムは進化を遂げてきました。この記事では、架空のWebアプリケーション開発者とアタッカーのせめぎ合いを通じて、最新のセキュリティ技術がどのように様々な脅威に対抗することができるかを提示したいと思います。 以下のやり取りにおいて、ユーザはアタッカーが出現する前に、すでにディフェンダーでいくつかのトラストアンカー(パスワードやハードウェアトークンなど)を正規に確立していることが前提となっています。暗号は、時間や空間にわたって、既存のトラストや秘密を伝達する場合にのみ 使うことができます 。もし、トラストやセキュリティが確立される前にアタッカーがディフェンダーになりすましたとしたら、正規のものを見分けるのは極めて難しいでしょう。また、サイトには
クレジットカードのICチップセキュリティを突破した驚愕の手法とは?
By frankieleon 現行のほとんどのクレジットカードやキャッシュカードには、従来型の磁気ストライプではなく、より強固なセキュリティを誇る「Chip&PIN」方式のICチップが採用されています。PINコードを知られない限り破られないと考えられていたChip&PIN方式ですが、凄腕ハッキング集団によって強行突破され、もはや絶対的に安全とは言えない事態に陥っていることが明らかになっています。 How a criminal ring defeated the secure chip-and-PIN credit cards | Ars Technica http://arstechnica.com/tech-policy/2015/10/how-a-criminal-ring-defeated-the-secure-chip-and-pin-credit-cards/ X-Ray Sca
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ人材、「IT部門に6年いたら終わり」
実は危ない、パスワードの定期変更 - 日本経済新聞
