yebo blog: いかに情報セキュリティをダメにするのか
2009/01/18 いかに情報セキュリティをダメにするのか SANS DiaryにLenny Zelster氏の「How to Suck at Information Security」という記事がある。参考までに超訳を。 セキュリティポリシーとコンプライアンス 法令遵守要件を無視する 利用者はあなたがお願いすれば、セキュリティポリシーを読むと決めてかかっている (そんな事はない) カスタマイズせずにセキュリティテンプレートをそのまま利用する 十分に準備する前にISO 27001/27002のようなフレームワークに飛びついてしまう 実行できないセキュリティポリシーを作ってしまう 十分に承認を得ずにポリシーを強制してしまう 全体のセキュリティアーキテクチャを作成せずに順守要件に盲目的に従ってしまう チェックボックスだけのセキュリティポリシーを作成する あなたの会社のビジネスやプロセスの知識
「最も危険なプログラミングエラー」25種類のリスト発表
サイバースパイやサイバー犯罪につながる「危険なプログラミングエラー」の上位25種類をSANSが発表した。 SANS Instituteは1月12日、ソフトウェアの脆弱性発生の原因となる「最も危険なプログラミングエラー」上位25種類のリストを発表した。 リスト作成には、米SymantecやMicrosoftなどの民間企業、カリフォルニア大学などの学術機関、米国土安全保障省の国家サイバーセキュリティ部門(NCSD)、日本の情報処理推進機構(IPA)などが協力した。「コンポーネント間のセキュアでない相互作用」「危険なリソースマネジメント」「防御の不備」の3分野にわたる計25項目を「最も危険なプログラミングエラー」として挙げた。 2008年は、このうち2項目だけで150万件のWebサイトセキュリティの問題が発生。問題のあるWebサイトを訪れたユーザーのコンピュータが、攻撃者によって「ゾンビPC」に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ターゲットはOSからアプリへ、米SANSがセキュリティリスク報告書 
United States
SANS.edu Internet Storm Center - SANS Internet Storm Center
