判例から学ぶ情報セキュリティ対策~CISOは何をすべきか
細川 義洋氏 ITプロセスコンサルタント まずは「予備知識」から。冒頭に細川氏は不正アクセス防止法を挙げた。不正アクセス行為に対する罰則や再発防止について定めており、一定の歯止めにはなるだろう。ただし、である。 「アクセス制御が不十分なコンピュータは法律でも守られません」と細川氏はくぎを刺す。 条文を見ると、法律が保護するのは「アクセス制御機能を有する特定電子計算機に」とある。コンピュータがパスワードなり指紋認証なり、アクセスを制御できる仕組みを施していれば保護の対象となるということ。ところがディスプレイにパスワードをメモした付せんが貼られているようなコンピュータでは「アクセスが制御されている」とはみなされない。基本的なことだが、アクセス制御がきちんと機能するような運用状態も大事である。 なかには「不正アクセスは情報を盗むのだから窃盗罪ではないか」と考える人もいる。細川氏によると、この考え
仮想化を使ったWeb閲覧分離の有効性
標的型攻撃への対策として、アプリケーション仮想化技術を使ったWebブラウザの分離の有効性についてかいせつしています。標的型攻撃では、マルウェアの感染を防止することが極めて難しいため、「出口対策」が必要性が一般にも認識されていますが、一般に知られる出口対策よりも、仮想化によるWeb閲覧分離のどんな点が優れているかを説明します。Read less
AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy
最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsqlmapをかけたところ、攻撃をブロックしてくれたという記事があります。 記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。 こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。 単純にSQLインジェクションしてみる まずは、AWS WAFがないときにSQLインジェクションができること、また、AWS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とある診断員とAWS
