楽天がCSIRTを新設--インシデント対応力の強化を図る
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 楽天は組織内で情報セキュリティに関わる問題を一括して扱う専門組織「CSIRT」(Computer Security Incident Response Team)を新設し、インシデント対応力の強化を図る。有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)の協力を受け、インシデント対応プロセスとフローの整備、明文化を実施し、12月6日付けで同社内に設置された。チームの人員数は非公表。 JPCERT/CCの文書「組織内 CSIRT 構築支援マテリアル」によると、情報セキュリティ分野でのインシデントは、「ITシステムの正常な運用または利用を阻害するウイルス感染、不正アクセス、情報漏えい、DOS攻撃などの事案や現象の発
ドリコム、楽天に約9億円の第三者割当で楽天の持分法適用関連会社に
ドリコムは21日、同日に開催された取締役会において、楽天との資本業務提携および楽天を割当先とする新株式発行を決議したと発表した。 楽天に割り当てる新株式の発行数は5,350株で、発行後の発行済株式総数における比率は20.02%。この第三者割当によりドリコムは9億415万円を調達、楽天の持分法適用関連会社になる。楽天の所有株式数は、ドリコム 内藤裕紀代表取締役の43.2%に次いで2位となる。 ドリコムでは今回の業務提携について、同社の行動ターゲティング広告配信技術と、国内有数のインターネット媒体を持つ楽天のノウハウの融合による事業展開や、海外を視野に入れた発展的拡大を通じた企業価値および株主価値の向上が目的と説明。調達した約9億円は行動ターゲティング広告のサービス展開立ち上げに約1~2億円、ドリコムの借入金返済に約6~7億円を充当する予定という。
CSIRT マテリアル - JPCERT Coordination Center
CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。 近年の組織 (企業) の IT 利用の拡大に伴い、情報セキュリティ対策は組織にとって重要な問題となってきています。高度に複雑化し、かつインターネットを介して大容量のデータを瞬時に、しかも容易に世界中とやり取りできる IT システムの利用が一般的になったことで、単に「現場 = システム管理者」の頑張りだけで済む問題ではなくなってきています。例えば、情報システムがコンピューターウイルスに感染してしまったために、顧客の個人情報が世界中にばら撒かれてしまったといった事態を考えてみれば、情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題であることは容易に想像
]SQLインジェクションによるサイト改竄 2008-03-20 - T.Teradaの日記
今月に入り、SQLインジェクションによるサイト改竄被害が、広範囲で発生しているようです(参考:LACの注意喚起)。 この攻撃で使われた手法に関する詳細な情報が、以下のページに載っていました。 http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx 非常におおざっぱに言うと、以下のような感じです。 リクエストを送ってみて、SQLインジェクション脆弱性があるか調べる。 脆弱性がある場合、それを突いて、全テーブルの、全カラムの、全レコードの値を改竄する*1。具体的には、DB格納値の末尾に「<script src=http://www.211796...(省略)」のような攻撃コードを追加する。 DBのデータをエスケープせずにHTMLに出力している
![]SQLインジェクションによるサイト改竄 2008-03-20 - T.Teradaの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/f1f73d68b2028ddb7e86850fc884fc4031e279d8/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711092818%2F1548045430)
LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠
(Last Updated On: 2008年4月3日)誤解を招く記事 – LAMPセキュリティを強化する4つの方法で紹介した記事ように、最近「言語を替えるとセキュリティが向上する」といった間違った認識が広まりつつあるように思えます。 結論からいうと、セキュリティに関連する機能が同等な言語であれば「言語を替えるとセキュリティが向上するいう考え」は妄想です。言語を替えても、正しいセキュリティ知識を持ち合わせた開発者が開発しないと、危ないアプリケーションが簡単に作れます。 ちょうど良い証拠となるPloneのCVEエントリが公開されています。PloneはPythonで記述されたCMSです。私も利用したことがありますが、なかなかよくできているCMSです。出来立てのCMSではなく何年も前から実用されています。フレームワークとしてPythonのWebシステムよく利用されているZopeを利用しています。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう
