無償アンチウイルスソフトは、誤った安全の感覚を与えるか
文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-07-21 16:48 2009年7月、Symantecの製品マネージャーDavid Hall氏は無償のセキュリティソフトウェアは有償バージョンの代わりにはならないと退けるとともに、Microsoftの無償の「Microsoft Security Essentials」について、「Microsoftが小売店から引き上げた製品OneCareの必要最小限の機能を残したものだ」と表現した。 競合企業からのこのような発言は、対抗馬となるソリューションに対する直接的な攻撃として行われることが多いことはもちろんだが、これらの発言が無償のアンチウイルスソフトウェアが安全性に対するあやまった感覚を与えるかどうかという議論に火を注いだことも事実だ。 答えはどちらなのだろうか。データとほんの少しの常識
「Security Essentials」か「Forefront」、Windowsユーザーはどちらを選択すべきか?
Microsoftの無償マルウェア対策ソフトウェア「Microsoft Security Essentials(MSE)」(開発コード名「Morro」)について、このところ新しい情報が入ってこない。だが、Microsoftは年内に同製品をローンチする計画で、それに向けて静かに準備を進めている。 簡単にまとめておくと、MSEは「Windows Live OneCare」の置き換えであり「Windows Defender」の改善と位置づけられる製品だ。Microsoft側は、セキュリティソフトウェアにお金を払いたくない、もしくは払えないユーザー向けの製品と説明している。「Windows XP」「Windows Vista」「Windows 7」に対応することから、Microsoftウォッチャーの多くが、MSEの正式版は10月に登場すると予想している(Windows 7は10月22日にローンチ予
主要なブラウザに中間者攻撃に対する新たな脆弱性
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-08-10 09:04 Microsoftのセキュリティ研究者が、暗号の仕組みを壊すことなくHTTPSのエンド・ツー・エンドの安全性の保証を破る方法を発見した。 今年まとめられた研究プロジェクトの中で、Microsoft Researchの研究チームが、HTTP/HTTPSの上位にある表示モジュールを標的にすることで、悪意のある中間者によって悪用することが可能な脆弱性を発見した。 研究チームの説明では、問題の骨子は以下の通りだ。 攻撃者がブラウザのトラフィックを傍受できる多くの現実にあるネットワーク環境では、攻撃者がHTTPSサーバからの秘密データを盗むこと、HTTPSのページを偽造すること、認証されたユーザーを装ってHTTPSサーバーにアクセスすることが可能である。これらの脆弱性は、
研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ
文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-06-15 12:17 侵入テスト用LinuxディストリビューションのBackTrackを配布しているRemote-Exploit.orgの研究者が、最近オープンソースの無線キーボードスニファー「Keykeriki」を公開した。このソフトウェアは、Microsoftの27MHzを使用するキーボードへの入力に対し、XOR暗号をリアルタイムで復号化しながら、スニフィングとデコードを行うことができる。 彼らの無線キーボードのスニフィングは、1年半前に同グループが発表した研究論文に基づく概念実証だ。 無線キーボードの安全性の欠如について書いたホワイトペーパー「27Mhz Wireless Keyboard Analysis Report」の発表から1.5年経った今、われわれはここに汎用無線
アドビ製品のセキュリティ問題に苦しめられる企業
AdobeはAdobe Reader 9.1およびAcrobat 9.1に存在する、緊急度の高いゼロデイ脆弱性を修正するパッチのリリース日を、米国時間5月12日に設定している。 Adobeの公式なセキュリティ勧告では、この脆弱性の深刻さを認めており、ユーザーに対してコード実行攻撃を避けるための一時的な対策として、JavaScriptを無効にすることを勧めるアドバイスを繰り返している。しかし、このAdobeの緩和策は実現が難しく、さらに悪いことに、企業環境では役に立たないという愚痴が顧客から聞こえてきている。 (参照:Adobe Readerの新たなゼロデイ脆弱性に対する攻撃コードが公開される) ニューヨークに本社を置く電子商取引企業のセキュリティ担当役員であるErik Cabetas氏は、歯に衣着せず次のように述べている。 これはうまくいかない。これでは、JavaScriptは無効にできな
海外製SFA/CRMで忘れられた「和の心」とは?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます インフォファームは4月2日、SFA/CRMパッケージソフトウェア「戦略箱ADVANCED」を発表した。出荷開始日は4月16日。 「戦略箱ADVANCED」は、同社が2000年に最初のバージョンをリリースしたCRMパッケージソフト「InfoFarm戦略箱」の最新版となる。戦略箱は、日本の商習慣に基づいて開発されたというSFA/CRM製品であり、流通、サービス、製造業を中心とした、100から1000名の中堅規模ユーザーがメインターゲットとなっている。 海外製の同種パッケージ製品と比較して、初期導入コストを抑えつつ、同等以上の機能を提供する点が特徴。また、導入にあたっては、ユーザーごとの手厚いプロダクトコンサルテーションを実施することにより、
それでも「ERPには価値がある」と言える理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「あなたは、この会社のお金を3億2000万ドルもこのプロジェクトに投資したわけですが、それでどんな見返りがあるのですか」--(「チェンジ・ザ・ルール!」Eliyahu M. Goldratt著、三本木亮訳、ダイヤモンド社刊より) この連載の初回で紹介した小説「チェンジ・ザ・ルール!」は、ERPシステムを開発するベンダー、システムインテグレーター、ERPを導入したユーザー企業の重役たちが、IT投資に見合った利益をユーザー企業が得るために必要な「ルールの変更」にいかに取り組んでいくかを描いた物語である。 冒頭の一文は、ユーザー企業のCEOが、導入中のERPが生む投資対効果について取締役会で説明を迫られたことを、ERPベンダーとSIerのCE
サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回は、クロスサイトスクリプティング(XSS)について説明したが、今回はXSSと並び、話題となっているSQLインジェクションについて説明する。 2年前に立て続けにSQLインジェクションの脆弱性を攻撃された事件が発生したため、この言葉を聞いたことがある人は多いことだろう。それ以前は、SQLインジェクションの脆弱性を攻撃するには、SQLやプログラミングの知識が必要とされていた。 しかし、ちょうど3年ほど前に、SQLインジェクションの脆弱性を攻撃するためのツールが作成されたため、このツールさえ使えれば、誰でも簡単にアプリケーションを攻撃することができるようになった。その結果、2年前よりSQLインジェクションを利用した情報漏えいがたびたび発生す
「Apache Tomcat 5.0.x」シリーズのサポートが打ち切りに
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Apache Tomcatプロジェクトチームは10月23日、「Apache Tomcat 5.0.x」シリーズのサポート打ち切りを表明した。コミッターのMark Thomas氏がApache Tomcatメーリングリストに投稿し、明らかにした。今後は、Apache Tomcat 6.x、5.5.xをサポートしていくという。 事実、Apache Tomcat 5.0.x系列はメンテナンスが施されないまま、かなりの期間が経過している。また、既にダウンロードページからは、5.0.x系が消えていることが確認できる。
サイト脆弱性をチェックしよう!--第3回:開発工程におけるレビューやテストのコツ(その1)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回、前々回と脆弱性の発生個所といった観点から脆弱性について考えてきた。今回からは、安全なアプリケーションを作るためのチェック方法について説明していきたいと思う。 安全なアプリケーションを作成するには、ただ構築するだけでなく、各開発工程におけるレビューと適切なテストが必要になる。レビューを行うことにより、考慮漏れや誤りを見つけ出し、少ない工数で修正することが可能になる。 また、テストを行うことで、作成したアプリケーションに問題が無いことを確認することができる。しかし、実際にレビューやテストはどのよう行えばよいのか分からないのが実状ではないだろうか。 そこで、今回はレビューやテストのコツを紹介する。 「設計レビュー」と「コードレビュー」
サイト脆弱性をチェックしよう!--第1回:ウェブアプリケーションに潜む危険
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウェブアプリケーションに潜む危険は数多くあるが、これまでのセキュリティ対策で指摘されてきたのは脆弱性の種類から見た危険性とその対策だった。 たとえば、クロスサイトスクリプティングの脆弱性とは何か、SQLインジェクションの脆弱性とは何か、そしてそれらへの対策とは……。これらについては、既に的確な解説をウェブ上で見つけることができるので、この連載では改めてその視点での解説はしない。 この連載では逆の視点から、つまり原因となる行動に焦点をあてて、ウェブアプリケーションにおける脆弱性を考えていきたいと思う。 まず、ウェブアプリケーションの脆弱性が発生する原因だが、「既製品の脆弱性」および「カスタマイズアプリケーションの脆弱性」の大きく2つに分類
チェック・ポイント、侵入防御ソリューション「IPS-1」を発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます チェック・ポイント・ソフトウェア・テクノロジーズは5月7日、侵入防御(IPS)専用のセキュリティ・ソリューション「IPS-1」の出荷を開始すると発表した。 IPS-1は、同社がNFR Securityから買収した技術をベースとする製品。リアルタイムの防御機能や管理機能、フォレンジック分析機能に特色があり、さまざまな導入形態に柔軟に対応できるという。ワームや自動化されたマルウェアなどにも対応する。 チェック・ポイント製品ファミリの中核となるセキュリティ・イベント管理コンポーネントに統合されており、ログの一元化を可能にする「SmartView Tracker」、およびリアルタイムでのイベント相関分析/優先順位付けを提供する「Eventia
ZDNet Japan Blog - ZDNet.com Between the Linesブログ:グーグル社員が明かすグーグラーの仕事の仕方
VORTEX 2005カンファレンスにおいて、Googleの情報技術担当シニアディレクターDouglas Merrillが、Googleではどのようにしてプロジェクトが進められているかを披露し、会場を沸かせた。Merrillは2004年にGoogleに加わる前は、Charles Schwab、Price Waterhouse、RAND Corporationに勤めた経験をもつ。同氏によれば、Googleにとって情報は「悟り」(パワーではない)であり、組織全体が、「豊富なデータやコンピュータリソースを使って、情報を自由に分かち合い、お互いから学び合うことで、みんなの仕事のやり方や学び方を変えていく」という考えに基づき、仕事に打ち込んでいるという。 言い換えれば、Googleで働くということは、オープンであり、フラットであり、透過的であることを意味するらしい。つまり、同社が外の世界と交じり合う
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
