「サービス妨害攻撃の対策等調査」報告書について:IPA 独立行政法人 情報処理推進機構
近年、電子商取引や検索サービス、インターネットバンキング等、各種 Web サービスの提供が、さまざまな企業や公的機関等で広く行われています。このようなサービスは、普段から適切な対策を実施していなければ、悪意ある者によるサービス妨害攻撃(Denial of Service Attack、DoS 攻撃)により、サービスの継続を妨害される可能性があります。 2009年7月には、韓国や米国で大規模な分散型のサービス妨害攻撃が発生し、政府機関のみならず民間の Web サイトも攻撃対象となりました。最近では、米国の内部告発サイトに関するものと見られるカード会社等への攻撃も発生しています。一方、国内では、公共施設の Web サービスを利用する目的でのアクセスが、サービス妨害攻撃と判断された事例も発生しています。 集中したアクセスがサービス妨害攻撃か否かを判断し、攻撃に対処するため、Webサービスの提供者
間違い3「開発ガイドラインに頼る」
「方式設計の時点でセキュリティに関する開発ガイドラインを整備する現場は増えているが、十分に機能しているケースは少ない」とHASHコンサルティングの徳丸浩氏(代表取締役)はいう。SQLインジェクションなどの脆弱性を防ぐコーディングルールをまとめた開発ガイドラインは、脆弱性を作り込まないためにぜひ整備したいものだ。 付きっきりで教える しかし、せっかく用意したガイドラインも「開発メンバーに渡しただけでは決して浸透しない」(野村総合研究所 基盤ソリューション事業本部 DIソリューション事業部 主任システムアナリスト 関倫賢氏)。ガイドラインがあるからと、メンバーにセキュリティ対策を任せてしまうのは間違いだ。 この間違いを防ぐ方法は、大きく分けて二つある。一つは、メンバーへの教育を徹底すること。もう一つは、開発ガイドラインに頼らなくても、脆弱性を作り込まない仕組み作りである。 メンバーのコードを毎
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
