体系的に学ぶ安全な利用規約の作り方TopicsPlaceHolder SectionTitlePlaceHolder TIME rest time current/total
PR:現職分野を生かしてセキュリティの世界で活躍する
ITエンジニアにとって重要なのは、今後“売れる”技術を学び、自分にしかできない分野を確立することだろう。これが実現できる技術分野として最適なのがセキュリティ分野である。セキュリティコンサルティングの草分け、NRIセキュアテクノロジーズにセキュリティコンサルタントになる秘けつを聞いた。 @IT自分戦略研究所とJOB@ITが2009年6月に実施したITエンジニアの意識調査によると、実に8割以上のITエンジニアが仕事における将来的な不安や危機感を抱いている。彼らはこの状況にどう対処しているのだろうか。同調査によると、「新しいテクニカルスキルを身に付けるための勉強」「資格取得またはそのための勉強」「マネジメントスキルの勉強」に勤しむという回答がトップ3を占めている。 問題は、「今後、売れる技術や資格は何か」ということだ。SaaSなどのWebサービスが浸透していく中で、システム開発の手法は少しずつ変
asahi.com(朝日新聞社):「メール文化」に問題 カブドットコム不正取引調査委 - ビジネス・経済
ネット証券のカブドットコム証券の元社員によるインサイダー取引事件で、弁護士でつくる同社の外部調査委員会が、社長の「独断専行型の経営」や「過剰な情報共有思想」、電子メールに頼る社内の「メール文化」が背景にあったとする報告書をまとめた。同社が28日公表した。 報告書は、知らせるべきでない重要情報を、斎藤正勝社長が全社員にメールで知らせたことが事件のきっかけになったと指摘。会長や社外取締役も監視する役割を果たしていなかったとしている。 社内のインサイダー防止規定については、親会社の三菱UFJフィナンシャル・グループの例にならったため、自社を「当行」と呼んだり、社内にない「店長」という言葉を使ったりしていると指摘。内部管理体制が「形式を整えるだけに終始し、適切に運用できていない」と批判している。カブドットコム証券は報告書を参考にして、社内処分や再発防止策を検討する。
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
日本恒生、「中国における暗号化製品使用申請支援サービス」提供 - IT、IT製品の情報なら【キーマンズネット】
日本恒生ソフトウェア株式会社は、中国の恒生電子股フェン(フェンは人偏に分)有限公司と共同で、中国への暗号化製品の持ち込みを規制する“商用暗号管理条例”への対応を支援する「中国における暗号化製品使用申請支援サービス」の提供を、開始した。 「中国における暗号化製品使用申請支援サービス」は、海外製の暗号化製品を中国に持ち込み使用する際に義務付けられた“国家暗号管理局”への申請など、“商用暗号管理条例”に対応する日本企業のコンプライアンス強化を支援するサービス。日本のユーザ窓口として日本恒生が暗号化製品の内容や説明文書の中国語翻訳、使用形態のアドバイスなどを行ない、実際の翻訳や、中国当局への申請、審査への対応は恒生電子が行なう。 「申請支援サービス」では、暗号化製品の利用形態を調査し、申請方法や申請内容、期間、予算を検討する。また、中国暗号管理局への申請書類の作成代行や、必要書類の中国語への翻訳、
アウトソーシングとセキュリティ対応(3)リスク管理ツールとしての契約書作成の留意点
今回は,委託先に対するセキュリティ対応の一環としての委託契約について検討します。これまでも指摘したとおり,委託契約ごとに委託される情報は様々であり,一律に決まっているわけではありません。 それでは,契約書を作成する上で,どのような点に留意しなければならないのでしょうか。下記の項目は,経済産業省の個人情報保護法ガイドラインにおいて「個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項」として記載されているものです。 ・委託者及び受託者の責任の明確化 ・個人データの安全管理に関する事項 -個人データの漏えい防止,盗用禁止に関する事項 -委託契約範囲外の加工,利用の禁止 -委託契約範囲外の複写,複製の禁止 -委託契約期間 -委託契約終了後の個人データの返還・消去・廃棄に関する事項 ・再委託に関する事項 -再委託を行うに当たっての委託者への文書による報告 ・個人データの取扱状況に関す
IT news, careers, business technology, reviews
Generative AI will drive a foundational shift for companies — IDC
“正義のハッカー”米企業で引っ張りだこ - MSN産経ニュース
【ホノルル=USA TODAY(グレッグ・ワイルズ)】米国でハッカーの侵入を防ぐ正義のハッカー(ホワイト・ハット・ハッカー)の需要が増えている。2002年に制定されたサーベンス・オクスリー法(企業改革法)により、上場企業の内部監視強化が義務づけされた影響が大きいようだ。 グレグストン・チューさん(33)は“侵入テスター”。「倫理的ハッカー」とも呼ばれるホワイト・ハットの1人。英大手会計事務所、アーンスト・アンド・ヤングのアドバンスト・セキュリティー・センター(テキサス州ヒューストン)の上級マネジャーを務める。 大手企業のコンピューター・システムをチェックし、悪意のあるハッカー(ブラック・ハット)が侵入可能なセキュリティーホールを見つけ、防護策を提案するのが仕事。「見つからないと思われているものを見つけるのがハッカーの喜び。こちらは刑務所に入らなくてよい点が違う」と仕事を楽しむ。だが、作業は
セキュリティエンジニア急募 - ockeghem's blog
当ブログのオーナー(徳丸浩)の勤務先(京セラコミュニケーションシステム)にて、セキュリティエンジニアのキャリア採用を募集しています。 職種は、以下の通りです(若干名)。 Webアプリケーションの脆弱性診断エンジニア、コンサルタント(の卵) セキュリティASPサイトの企画、構築、運用 セキュリティ製品のプリセールス、サポート 要求スキルは、ITの基礎スキル、ヒューマンスキルを重視しています。 プログラミング、システム構築スキル(1,2) とくに(1)に関しては、Webアプリケーション開発経験があるとよい ネットワーク、サーバー構築スキル(3) セキュリティエンジニアとしての経験(必須ではないあれば尚可) セキュリティに関心のある方 ヒューマンスキルとしては、 真面目な方 自分の人生を一生懸命に生きようとする方 明るい方(困難に対して前向きに考えられる方) を高く評価します。 そのほかの条件、
Webアプリ脆弱性診断でNECフィールディングとKCCSが協業
NECフィールディングは、企業のWebサイトの脆弱性を診断するKCCSのサービスを同社のセキュリティサービスメニューに加えた。 NECフィールディングと京セラコミュニケーションシステム(KCCS)は、企業のWebサイトの脆弱性を診断するサービスの提供で協業すると発表、「Webセキュリティ診断サービス」として同日より販売を開始した。 Webセキュリティ診断サービスは、KCCSの技術者が企業サイトのWebアプリケーションの脆弱性を、ソースコード解析などを含め、手動およびツールを用いてマニュアル/半自動で診断するサービスを、NECフィールディングのサービスメニューとして提供するもの。 併せて、NECフィールディングは、同社が提供中のネットワーク、OS/パッケージソフトのセキュリティ診断サービスと組み合わせることで、企業の多様なニーズに応える。
Takayuki Nakamura's blog: WebAppSecの脆弱性の分類方法について考えてみる
2007年7月7日 WebAppSecの脆弱性の分類方法について考えてみる 講演資料や教育資料を作る際に、脆弱性を分類して、それぞれについて問題点と対策について説明するわけなのですが、分類方法が混在している場合が多く、どうもすっきりしません。 分類方法については、メジャーなWebAppSec情報サイト(OWASPやWASCなど)を参考にするのがよいと思いますが、これらのサイトでも、分類方法が混在しています。これについてはwatchfireのブログでも触れられています。watchfireのOry Segal 氏はWASC Threat Classification の次期バージョンの編集作業を行なっており、次のバージョンは、すっきりした分類方法となるよう、色々と考えているようです。 タイトルを仮に「脆弱性の分類」としていますが、分類方法としては、 脆弱性攻撃手法攻撃により発生する現象攻撃によ
「中小企業のセキュリティはお任せあれ」,ソフトバンクテレコムがUTMの運用代行
ソフトバンクテレコムは,ファイアウォールやウイルス対策など複数のセキュリティ機能を搭載するUTM(unified threat management,統合脅威管理)装置の設定から運用,保守までを代行するサービスを2007年9月ごろに始める。利用料金を月額3万円からと従来サービスより割安に設定し,主に中小規模のユーザー企業の利用を促す。 新サービスの名称は「セキュアゲートウェイライト」。ファイアウォール,ウイルス対策,URLフィルタリング,迷惑メール対策といった各種セキュリティ機能から,ユーザー企業が選んだものを稼働させ,運用や保守を一括して請け負う。 UTM装置には,米シスコの「Cisco ASA5500」シリーズを用いる。同シリーズはファイアウォールやウイルス対策といった機能モジュールごとにCPUを搭載する。このため,「従来のUTM製品とは違い複数の機能を稼働させても処理性能が劣化しにく
自治体のセキュリティを診断する無償サービス、MSなど3社が提供
マイクロソフトとラック、自治体ドットコムは、アンケートと自動診断ツールを利用して自治体のセキュリティを診断する無償サービスを開始する。 マイクロソフトとラック、自治体ドットコムは、総務省のガイドラインなどを基にした全国の自治体向けの無償のセキュリティ診断サービスを5月21日から開始した。 同サービスは、「セキュリティに対する意識調査」と「PCの実機診断」で構成されるASPサービス。自治体のセキュリティ対策状況を測定し、5段階評価の診断結果と問題点への対策ポイントをリポートとして提供する。 セキュリティに対する意識調査は、総務省のガイドラインに基づく37項目の質問に職員などが回答するもので、物理的、人的、技術的および運用面でのセキュリティ対策に関する評価が行われる。 また、PCの実機診断は自動診断ツールを使ってWindows OSなどのセキュリティ状態を1台ずつ診断する。特に情報漏えいのリス
世の中にあふれる脆弱性情報の読み解き方
3月13日のセミナー「知っておくべき不正アクセス対策~総集編~」の中で、JPCERT/CCの宮崎清隆氏が、世の中にあふれる脆弱性対策情報の読み砕き方を説明した。 世の中には山のように脆弱性とその対策情報が流通している。そして、これらの情報に基づいて対策を取った後、何もトラブルが起こらないのが一般的ではあるが、不具合が発生することもまれではない。こうした現状を踏まえ、脆弱性情報をどのようにかみ砕き、日々の運用に活用していくべきか――。 日本ネットワークインフォメーションセンター(JPNIC)とJPCERTコーディネーションセンター(JPCERT/CC)が3月13日に開催したセミナー「知っておくべき不正アクセス対策~総集編~」の中で、JPCERT/CCの宮崎清隆氏(情報流通対策グループ)は、世の中にあふれる脆弱性対策情報の活用方法について講演を行った。 「同じ情報でも、目的が異なれば解釈も異な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/mishiki/status/3101183166
セキュリティをアウトソースする、これだけの理由
The Value Of Automated Security Tests
Chasing Vulnerabilities for Fun and Profit III
国土交通省 航空関係のヒヤリハット事例 - まるちゃんの情報セキュリティ気まぐれ日記
PlanetHoster - Suspendu