「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ
事後対応に重きを置いた「サイバーセキュリティ経営ガイドライン」 経済産業省は2017年11月16日に「サイバーセキュリティ経営ガイドライン」の改訂版を発表した。メッセージは当初から一貫している。サイバーセキュリティを経営課題の1つとしてとらえ、「技術者任せ」「現場任せ」ではなく、経営者が責任を持って取り組んでほしい、というものだ。 ガイドラインではかねて、サイバー攻撃に備えた「防御」だけでなく、攻撃を受けた場合に備えた「対応」「復旧」にも目を向けている。事後対応にも重点を置くよう推奨してきた。Ver 2.0ではこの方針が一層鮮明になったことが特徴だ。併せて、ビジネスパートナーや委託先なども含めた「サプライチェーン全体の対策強化」に関する項目を追加した。 経済産業省のガイドラインに対しては、旧版の公開当初からさまざまな反響があった。11月に公開された改訂版ではそうした声を踏まえ、より具体的な
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
3. Drupalとは Drupal(ドルーパル、発音: /ˈdruːpəl/)は、プログラム言語PHPで記述され たフリーでオープンソースのモジュラー式フレームワークであり、コンテ ンツ管理システム (CMS) である。昨今の多くのCMSと同様に、Drupalはシ ステム管理者にコンテンツの作成と整理、提示方法のカスタマイズ、管理 作業の自動化、サイトへの訪問者や寄稿者の管理を可能にする。 その性能がコンテンツ管理から、幅広いサービスや商取引を可能にするに まで及ぶことから、Drupalは時々「ウェブアプリケーションフレームワー ク」であると評される。Drupalは洗練されたプログラミング・インター フェースを提供するものの、基本的なウェブサイトの設置と管理はプログ ラミングなしに成し遂げることができる。Drupalは一般に、最も優れた Web 2.0フレームワークの一つであると考えられ
WordPress の安全性を高める - WordPress Codex 日本語版
WordPress ではセキュリティを非常に重要なものと考えています。しかし、他のどんなシステムでも同様ですが、基本的なセキュリティ対策がなされていない場合には問題が発生する可能性はあります。このページでは、よくある脆弱性について、そして WordPress を安全に保つためにできることを紹介します。 このページはセキュリティに対する心配を一掃するその場限りの応急措置とは違います。特定のセキュリティ問題や不明な点を抱えている場合は、コンピューターセキュリティの知識を十分に持っている信頼のおける人ときちんと話し合うべきです。 セキュリティとは 基本的には、セキュリティとは「完璧に安全なシステム」のことではありません。そのようなものは実用的ではないか、見つけたり運用したりするのは不可能といえるでしょう。セキュアなサーバーは、サーバー管理者のコントロールのもとに、リソースのプライバシー・整合性・
実はこんなにいた! セキュリティ女子
SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA)は2014年6月29日、女性のみに限定したCapture The Flag(CTF)のワークショップ、「CTF for GIRLS」を東京・六本木で開催した。参加者も女性だけならば講師も皆セキュリティに携わる女性という集まりで、学生や社会人、約70人が参加した。 CTFとは、セキュリティ技術を競う競技会の一種だ。主に、用意された問題を解いて得点を積み重ねていくクイズ形式と、互いに手元のサーバーを守り合う攻防戦形式の2タイプがある。いずれも、脆弱性検査や監視、マルウェア解析などに必要となるスキルを組み合わせて取り組まなければ、勝利は難しい。米国で行われる「DEFCON CTF」を筆頭に海外では盛んに開催されており、時にはセキュリティエンジニアのリクルーティングの場として活用されることもある。 日本でも最近になって、セキュリテ
『ドラゴンクエストX 目覚めし五つの種族 オンライン』にアレが実装されていた!? 人気オンラインゲームのセキュリティ対策【CEDEC 2013】 - ファミ通.com
ユーザーのセキュリティ意識も重要! まず、近年、あらゆるネットサービスで急増している“リスト型アカウントハッキング”について、改めて松田氏が解説した。これはご存じの方も多いだろうが、同一のID、パスワードを使用しているユーザーが被害に遭いやすい。手口としては、何らかの方法(セキュリティの弱いサービスをハッキングするなど)によって入手したID、パスワード群を、ほかのサービスで手当たり次第に入力して不正ログインするというもの。 これは、IDとパスワードによる認証システムを使っている限り、サービス提供側がどれほど強固なセキュリティを構築したとしても、ユーザー側がセキュリティ意識を高く持ち、同じID、パスワードをほかのサービスで使い回さないようにしないと、防ぐことが難しい。 青山氏によると、やはり『DQX』においても、一定数の被害報告があるのだそうだ。ログを追うと、不正ログインしたキャラクターは、
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
CTFに使用するツール類まとめ - ソースコード置き場
CTFによく使用するツールやコマンドの、主に自分の備忘録としてのまとめです。 何か思い出したらまた適当に更新します。 基本 Google http://www.google.co.jp/ 困ったときはこれ。 manコマンド コマンドの使い方がわからないときに。コマンドに-hや--helpオプションを付けても見られるものもあります。 fileコマンド ファイルの種類を確認するコマンドです。 stringsコマンド バイナリファイル中の文字列を抽出するコマンドです。-nオプションで最低文字数を指定できます。 istrings バイナリファイルからASCII文字列の他に日本語文字列も抽出することができます。 バイナリ Bz バイナリエディタ。UTF-8も表示できます。 Stirling バイナリエディタ。EBCDICも表示できます。 PEditor PEファイルの情報の閲覧・編集ができます。 P
サードパーティCookieの歴史と現状 Part3 広告における利用、トラッキング、ターゲティング広告におけるプライバシーリスク - 最速転職研究会
前回の続き。なるべく一般人向けに書きます。サードパーティCookieとあまり関係のない話も書きます。 http://d.hatena.ne.jp/mala/20111125/1322210819 http://d.hatena.ne.jp/mala/20111130/1322668652 前回までの概要 トラッキング目的のCookieの利用などからサードパーティCookieの利用は問題視されIE6で制限がかけられるもプライバシーポリシーを明示すれば利用できるという迂回手段を用意、しかし今ではP3Pはオワコン化、SafariはサードパーティCookieの受け入れをデフォルトで拒否する設定を採用したが一度受け入れたCookieは問答無用で送信、Mozilla関係者は「殆ど合法的な利用目的はない」と言っていたものの既存Webサイトとの互換性のために変更できず、ブラウザはサードパーティCookie
サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会
わたくしは立場上、実装がダメなことにはとやかく言いますがポリシーについてはとやかく言わないことをポリシーとしており、また個人的にも所属組織的にも付き合いがある企業様を痛烈に批判するというのはブーメランとか槍とか鉄砲玉とかソーシャルメディアガイドラインとか飛んできたりしてリスキーではあるのですが、どう見てもアウトだろこれ、と考えるに至りまして筆を取らせていただく次第です。 これ http://d.hatena.ne.jp/kanose/20120306/hbmbutton http://blog.dtpwiki.jp/dtp/2011/09/post-9367.html どう見てもアウトだろ。理由は単純で、そういう目的で設置されたボタンではないし、はてなブックマークボタンが設置されているサイトは、はてなの管理してないサイトなのではてなの裁量でやってはいけないからです。いつから「はてな」は「は
政府のセキュリティ対策状況は? 内閣官房が中間報告
内閣官房情報セキュリティセンター(NISC)は1月19日、政府機関の情報セキュリティ対策状況について発表した。標的型不審メール攻撃に対する訓練や公開Webサーバの脆弱性検査結果の中間報告、送信ドメイン認証技術のSPFレコードの設定状況を明らかにした。 標的型不審メール攻撃に対する訓練は、12の政府機関の職員など約6万人を対象に、2011年10~12月に実施した。訓練では対象者に事前教育を行い、標的型不審メールの模擬メールを2回送信。開封率や受信時の行動などの結果を分析している。 ファイルを添付した1回目のメールの平均開封率は10.1%(レンジは1.1~23.8%)、リンクを記載した2回目のメールの平均開封率は3.1%(同0.4~6.1%)だった。メールを開封した以外の事例では受信メールに返信する形で送信元に差出人を確認してしまうケースや、不在通知が自動的に送信されるケースがあったという。
Androidユーザーを狙うワンクリック詐欺アプリが出現
アダルトサイトなどで不正に金銭を要求する「ワンクリック詐欺」の機能を搭載したAndroidアプリが発見された。トレンドマイクロがブログでその特徴などを解説している。 見つかったワンクリック詐欺アプリは、ゲーム動画サイト上で動画視聴アプリと称して配布されているという。ユーザーがインストールし実行してしまうと、ポップアップで未入金の場合は請求するなどの文言を表示。さらに、ユーザーの端末情報などを記した請求画面も表示する。 Webサイトを使ったワンクリック詐欺ではWebブラウザを閉じれば、請求画面が再度表示されるケースはないものの、今回見つかったアプリでは5分おきにWebブラウザを勝手に起動して請求画面を表示する仕組みになっている。 同社が解析したところ、このアプリは端末の電話番号などの情報を取得する機能があるほか、取得した情報を外部に送信する機能が搭載されていることも分かった。ワンクリック詐欺
サイバートラスト マネージド PKI
サイバートラスト マネージド PKI について サイバートラスト マネージド PKI は、お客様ブランドの電子認証局を初期導入コストや運用コストを抑え、多様なご利用用途に対応し、安全確実なアウトソーシングでご提供する ASP 型プライベート認証局サービスです。
セキュリティ関連のポッドキャストいろいろ - セキュリティは楽しいかね? Part 1
日本にも 「セキュリティのポッドキャスト」があった!ということを今日になって知ったわけですが。(^^; こういう試みはいいですね。応援してます。ぜひ頑張って続けてください。 ところで目を海外に転じてみると、セキュリティ関連のポッドキャストってたくさんあるんですよね。以前どこかに書いたような気がするのですが…どこにも見当たらないので、あらためて書こうと思います。ポッドキャストは隙間時間を有効活用できるし、最新情報のキャッチアップにも使えるし、英語の勉強にもなる、といいことづくめですよね。みなさんにもオススメしたいです。 以下、私がよく聞いているポッドキャストを紹介しますが、一応メインは「セキュリティ」なので、選択にかなり偏りがあることを、あらかじめお断りしておきます。 〜 総合系 〜 Security Now! (更新頻度:毎週 1回 木曜日) http://www.grc.com/secu
クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜(METI/経済産業省)
トップページ > 報道発表 > 過去の報道発表 > クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜 本件の概要 経済産業省では、クラウドサービスを安全に安心して利用するために「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(以下、ガイドライン)」を策定しました。 本ガイドラインは、クラウド利用者が、クラウドサービス利用の際に、情報セキュリティ対策の観点から活用することを企図して策定しています。本ガイドラインを利用することで、より一層のクラウドサービスの利用促進を目指します。 担当 商務情報政策局 情報セキュリティ政策室 公表日 平成23年4月1日(金) 発表資料名 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜(PDF形
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ドラクエX」テクニカルディレクターが語る「オンラインゲームの攻防戦」 セキュアなオンラインゲームを作るために必要な事とは?
Quick and dirty BurpSuite tutorial | Infosec
「ITコーディネータが見た中小企業等におけるクラウドサービス利用上の課題・導入実態調査報告書」:IPA 独立行政法人 情報処理推進機構
クラウドコンピューティングの安全性に関する5つの懸念 - Cyberlaw