【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
こんにちは。モロと申します。 実は数年前警察のお世話になり、数年裁判等をやって、昨年晴れて無罪放免となったのですが、そういえばその後どこにも情報をまとめていなかったことに気が付きました。 正直にいうとまったく気の進まない作業ですし、数年間これにかかりきりだったこともあり「わざわざまとめなくても誰でも知ってることでは……?」みたいな気持ちもあります。 とはいえ冷静に考えると大抵の人は一生関わり合いになることのない知識で、お世話になった界隈に対して何も残さないのも不義理という感じがしたため遅ればせながら筆を執らせていただきます。 はじめに 当記事は、実際に警察のお世話になり、数年間弁護士の方にご指導いただきはしたものの、あくまで法律の専門家でも何でもない一エンジニア(というか多少エンジニアリングをかじったデザイナー)によるもので、第三者による監修等もなされていません。 実体験に基づいて少しでも
Announcing ISACA’s Digital Trust Ecosystem Framework and Portfolio Advance Digital Trust Credentialing CREDENTIALING CERTIFICATIONS CERTIFICATIONS CISA—Certified Information Systems Auditor CISM—Certified Information Security Manager CRISC—Certified in Risk and Information Systems Control CDPSE—Certified Data Privacy Solutions Engineer CGEIT—Certified in the Governance of Enterprise IT CET—Certifi
基盤チームの右京です。 昨今はフロントエンドのアプリケーションもリッチになり、ブラウザ上で実行されるコードが行うことの範囲も増えてきました。一方で多くのことを実装できてしまうのはリスクでもあり、BASE でも問題となることがあります。 その中でも「開発環境の URL」や「デバッグ機能の存在」ような環境毎に異なる情報は、特に意図せずに漏れやすいものだと考えています。これらはコードを記述する際に、実装方法を知識として知っていればその多くが回避可能です。この記事ではその実装例を解説しています。 コードから漏れる情報 例えば、次のようなコードがあるとします。 function debug() { // 開発環境の host であればデバッグ機能を有効にする return location.host === 'dev.example.com'; } なんの変哲もないようなコードに見えますが、ブラウザ
ソフトウェア開発者でなくとも、セキュリティ・バイ・デザインという言葉は聞いたことがあると思います。しかし、セキュリティ・バイ・デザインが十分に実施できていると言える組織は多くないのではないでしょうか。 いざセキュリティ・バイ・デザインを実施しようとしても「何をすればよいのだろう?」「どうやれば良いのだろう?」となかなか手が動かない。そんな状況の一助となるよう、我々がセキュリティ・バイ・デザインを学び、実践した内容を文書化し公開する運びとしました。 セキュリティ初心者でも読みやすいように、以下の特徴を念頭において本書を執筆しました。 軽快な文章 図表を多用したグラフィカルな見た目 キャラクターのセリフに共感しながら理解ができる 1章 セキュリティ・バイ・デザイン -セキュリティ・バイ・デザインの概要や必要性の説明 2章 脅威分析 -組織やシステムに対する脅威分析の実施方法 3章 セキュリティ
キャプチャー・ザ・フラッグ(Capture The Flag、略称: CTF)は、互いに相手陣地の旗を奪い合う騎馬戦や棒倒しに似た野外ゲームのことである。また、そこから派生して、ファーストパーソン・シューティングゲーム(FPS)などのeスポーツや、コンピュータセキュリティなどの分野でも用いられている。特に、コンピュータセキュリティにおけるCTFは、しばしば「ハッカーコンテスト」などと意訳されて報じられる(後述)。 ファーストパーソン・シューティングゲームにおけるCTFでは、参加者は二つのチームに分かれ、マップ上にそれぞれの陣営が配置される。陣営には旗(あるいはその他の目標アイテム)があり、それぞれのチームは、相手の陣営にある旗を奪って自分の陣営に持ち帰るとスコアを獲得できる。一定時間内にスコアを多く獲得する、またはゲーム開始前に決めたポイント数を獲得したチームが勝者となる。 なお、旗を奪わ
アクセス制御リスト(アクセスせいぎょリスト、Access Control List、ACL)とは、コンピュータセキュリティにおけるアクセス制御を実現するために、あるリソース(受動体)に対して、誰からのどの操作を許可するかを列挙したもの。 アクセス制御リストに基づくセキュリティモデル[編集] アクセス制御リストに基づくセキュリティモデルでは、能動体(subject, 人間やプロセス)が受動体(object, システムやファイル)への操作を要求したとき、システムは許可属性のリストを検査して、その操作を実行してよいかどうかを決定する。アクセス制御リスト (ACL) に基づくセキュリティモデルの定義の鍵となるのは、ACLがどう修整されるかである。つまり、各受動体のACLに対して誰がどんな修整をすることが許されているかである。 ACLを用いる制御には2種類ある。任意アクセス制御と強制アクセス制御であ
アクセス制御(アクセスせいぎょ、Access Control)は、対象へのアクセスを制御すること、また制御する仕組みである。 すなわち、対象(部屋・スマートフォンなど)へのアクセス(出入り・利用など)を制御する(鍵の持ち主のみ入室できる、スマホの持ち主のみ利用できる)仕組みである。部屋に入るための鍵/錠前や、スマホを利用するための指紋認証はアクセス制御の一例である。対象の特性から、物理セキュリティ、コンピュータセキュリティ、ネットワークセキュリティなどに分けられ、各々下記の意味を持つ。 コンピュータセキュリティ[編集] コンピュータセキュリティにおけるアクセス制御とは、主体/subjectによる対象/objectへのアクセスを許可・拒否すること、またそれを実現する仕組みを指す。例えば人間やプロセス(主体)によるシステムやファイル(対象)への読み/書き/実行(アクセス)を許可・拒否することは
Code injection is a class of computer security exploits in which a vulnerable computer program is tricked into misinterpreting external data as part of its code. An attacker thereby introduces (or "injects") code into the program and changes the course of its execution. The result of successful code injection can be disastrous, for example, by allowing computer viruses or computer worms to propaga
データがビジネスを駆動する現在、さらなるサービスの進化と利便性を推進するために、個人に関する情報は不可欠です。本書は、機微な個人情報を多く含むヘルスデータを題材に、プライバシー保護とデータ有用性という相反する命題をいかに満たすかについて、豊富な実例とともに解説する書籍です。リスクベースの非特定化方法論、横断的データ、縦断的イベントデータ、データリダクション、地理空間の集約、マスキングなどデータの匿名化に必要な事柄を網羅的に解説します。医療者はもちろん、個人のプライバシーを守りつつ、より洗練されたサービスを提供したいエンジニア、データ技術者必携の一冊です。 監訳者まえがき まえがき 1章 イントロダクション 1.1 匿名化すべきか、せざるべきか 1.1.1 同意を得るか、匿名化するか 1.1.2 お金を節約する 1.1.3 人目に触れたくない 1.2 匿名化における2本の柱 1.2.1 マス
Unlock innovation with highly secure, fully-managed Database-as-a-Service capabilities on IBM Cloud® IBM Cloud® Database-as-a-Service (DBaaS) services free developers and IT from complex and time-consuming tasks including deployment of infrastructure and database software, infrastructure operations, database software updates, and backup. IBM Cloud® Database SMEs deliver and maintain ready-to-use,
Not found Error code: 404 お探しのページはみつかりませんでした。 メニューから探す: DATA INSIGHT サービス 業種別ソリューション デジタル お客様事例 ニュース 企業情報 サステナビリティ IR情報 採用情報
この記事には複数の問題があります。改善やノートページでの議論にご協力ください。 出典がまったく示されていないか不十分です。内容に関する文献や情報源が必要です。(2023年4月) 出典は脚注などを用いて記述と関連付けてください。(2023年4月) 出典検索?: "コールスタック" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL コールスタックまたは呼び出しスタック(英: call stack)とは、プログラムで実行中のサブルーチン(関数)に関する情報を格納するスタックである。実行中のサブルーチンとは、呼び出されたもののまだ処理が完了していないサブルーチンのことを指す。実行スタック (execution stack)、制御スタック (control stack)、関数スタック (function stac
This blog is closed, new posts will be published at http://sakurity.com/blog Thanks for being with me here for so many years :) I read a post about CSRF on DigitalOcean (in Russian) by Sergey Belove. My first reaction was, obviously, how come? DigitalOcean is not kind of a team that would have lame "skip_before_action :verify_authenticity_token". DigitalOcean uses Doorkeeper, the most popular OAut
In software development, obfuscation is the act of creating source or machine code that is difficult for humans or computers to understand. Like obfuscation in natural language, it may use needlessly roundabout expressions to compose statements. Programmers may deliberately obfuscate code to conceal its purpose (security through obscurity) or its logic or implicit values embedded in it, primarily,
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く