クラウド利用時にクリアすべきリスクと課題
技術的観点からみた課題 技術的な課題に関しては、技術進歩に伴い改善されていくものと予想される。要素技術について課題を掘り下げていくとかなり細分化されてしまうため、ENISAでも取り上げられている4つの分類、 ネットワークのセキュリティ ホストのセキュリティ アプリケーションのセキュリティ データのセキュリティ で整理した。 課題の傾向をみると、クラウド事業者側で対応しなければならないものが多いが、利用者側でリスクを軽減したり、リスクの影響を小さくするなど対応可能なものもある。SaaS/PaaS/IaaSなど、利用するサービスによっては対応できないケースもあるので、実際の利用ケースを想定してリスクおよび課題を参照してほしい。 クラウドサービスは“マルチテナント”であること、仮想化技術や分散処理技術を利用していることから、同じシステムを社内に導入した場合と比べてリスク要因が多く、リスクの影響範
.NET TIPS [ASP.NET]フォーム認証用のパスワードを暗号化するには? - C# VB.NET Webフォーム - @IT
別稿「TIPS:[ASP.NET]構成ファイルのみでフォーム認証を実現するには?」では、web.configを利用したフォーム認証を紹介した。しかし、セキュリティに敏感な皆さんならば、きっと不安に思われた点があるはずだ。 web.configのようなテキスト・ファイルで平文(=暗号化されていない文)のパスワードを管理して、果たしてパスワード漏えいの心配はないのだろうか。なるほど、ASP.NETのデフォルトの設定では、Webブラウザ経由でweb.configにアクセスすることはできない。管理者が自らmachine.configの設定を変更しない限り、HTTP経由でパスワードが漏えいする心配はないだろう。しかし、サーバ上のファイル・システムに対して直接にアクセス可能なユーザーが、その平文のテキスト・ファイルにアクセスした場合はどうだろうか。 もちろん、適切なアクセス権限を設けておけば、むやみと
リアリティはないけど、脅威は確かにいるよ
ちょっと遅れてやってきた夏休みの宿題は、ハニーポットを用いた侵入手法の観察日記。狙われやすいパスワードが明らかに!(編集部) 厳しい残暑が続く日々から一転、涼しい風が吹くようになったこの頃、いかがお過ごしだろうか。涼しくなる前にしっかり夏休みは取れただろうか? 約2年前の夏には、前の連載「セキュリティ対策の『ある視点』」の第11回「ハニーポットによるウイルス捕獲から見えてくるもの」という記事で、「nepenthes」というハニーポットを用いてワームの捕獲を行う、いわば「ネットワークセキュリティ版昆虫採集」について紹介した。 「ハニーポットとは何か?」については前回の記事を参照していただくとして、ここでは割愛する。今回紹介するのは、ロー・インタラクション(低対話型)ハニーポットの「Kojoney」だ。 SSHアタックに飽き飽きして作られたハニーポット 今回題材とするのは「Kojoney」とい
CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた
「安全なSQLの呼び出し方」というSQLのセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月
「脆弱性根絶なんてできっこない」と嘆く前に
「脆弱性根絶なんてできっこない」と嘆く前に:セキュリティ、そろそろ本音で語らないか(13)(1/3 ページ) 脆弱性は上流工程でつぶせるか 私は最近、多くの時間を割いてプログラムを書いています。本来の性格から来るものか、バグはゼロになりません。この原稿の場合、誤字脱字に相当するでしょうか。この原稿などは編集部でキッチリ見てもらっているので大丈夫だと思いますが、プログラムはお客さまに迷惑をかけるかもしれないので、テストを繰り返してバグをつぶしていきます。 私は性格がそもそもおっちょこちょいな上にずぼらですから、プログラマには最も向いていないのかもしれません。いや、脆弱性を考えると「プログラムを作ってはいけない」といわれそうです。 私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場は
川口洋のセキュリティ・プライベート・アイズ(22) 新春早々の「Gumblar一問一答」 − @IT
皆さん明けましておめでとうございます。川口です。2010年も引き続き「川口洋のセキュリティ・プライベート・アイズ」をよろしくお願いします。このコラムも20回を超え、初めてお会いした方が読んでくださっていたということも増えてきました。これからもJSOCという特別な場所から見える風景をお伝えしようと思っています。 前回のコラム「実はBlasterやNetsky並み? 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。 今回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイ
Gumblar対策には「アクセスコントロール強化を」 - @IT
2010/01/07 トレンドマイクロは1月7日、不正プログラムの傾向と対策をテーマとした報道向けセミナーを開催した。同社Threat Monitoring Center課長の飯田朝洋氏は、不正プログラムにおいてUSBメモリなどを悪用する手段が「常套(とう)化」していること、正規のサイトを改ざんして感染を試みる「Gumblar」ウイルスが増加していることなどに注意を呼び掛けた。 同社に寄せられた不正プログラム感染被害の報告数は、前年の5万6880件から20%以上減少し、4万5310件にとどまった。 USBメモリを媒介とするウイルスは、2008年に続き猛威を振るっている。その代表である「OTORUN(オートラン)」は、前年同様ワースト1位となり、報告数も3617件に登った。「企業はゲートウェイやエンドポイントなど、何重にもアンチウイルスの対策を導入しているが、USBメモリを悪用するウイルスは
@IT:セキュリティ用語事典[クロスサイトスクリプティング]
クロスサイトスクリプティング(Cross Site Scripting)とは、Webアプリケーションの脆弱性の一種、またはそれを突く攻撃手法の名称のことだ。 クロスサイトスクリプティング(Cross Site Scripting)とは、Webアプリケーションの脆弱(ぜいじゃく)性の一種、またはそれを突く攻撃手法の名称のことだ。「XSS」という略称が用いられることも多い。 Webアプリケーションのユーザーを標的とする攻撃手法であり、標的ユーザーへのなりすましや、標的ユーザーしか知り得ない情報の漏えいなどにつながることが知られている一方、情報処理推進機構発行の「ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況[2016年第2四半期(4月~6月)]」では、Webサイトで発見、報告された脆弱性の過半数がクロスサイトスクリプティングであると報告されているなど、日々多くのWebサイトでクロスサイ
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
[さらに気になる]JSONの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=
@IT:ファイルを暗号化/復号するには(公開鍵暗号方式編)
公開鍵暗号方式では、ファイルを復号する人が公開している「公開鍵」を使ってファイルを暗号化する。 Webサイトや電子メールで公開鍵を入手したら、それをgpgコマンドでインポート(--importオプション)する。 $ gpg --import nori.pub (省略) gpg: 鍵71CF37EF: 公開鍵“Noriyuki Kitaura (foobar) <nori@example.jp>”を読み込みました gpg: 処理数の合計: 1 gpg: 読込み: 1
Q.E.D.――セキュリティ問題を解決するのは「人」
Q.E.D.――セキュリティ問題を解決するのは「人」:セキュリティ対策の「ある視点」(17)(1/3 ページ) セキュリティにおける「合わせ技一本」 前回「たった1つの脆弱性がもたらすシステムの“破れ”」の最後に、ペネトレーションテストにおける評価軸、脆弱性の指標を解説し、たった1つでも高い危険度の指摘事項があった場合、それが「ウイークリンク」となり、システム全体の評価を押し下げるということを解説した。 しかし、世の中のもののほとんどに「例外」が存在するように、ペネトレーションテストの結果の判断でも「例外」と呼ぶべきものが存在する。それはどのようなものか。筆者は、例え話が好きなので、ここでは柔道の技の判定に例えてみよう。 柔道の技は、「一本」、「技あり」、「有効」と3つの判定で評価される。「一本」は「一本勝負」とよくいわれるように、この評価の技を決めた選手は試合の残り時間にかかわらずその勝
いまからでも遅くない! ケータイデザインの基礎固め
いまからでも遅くない! ケータイデザインの基礎固め:一撃デザインの種明かし(6)(1/2 ページ) 普段はPCサイトを作っているけど、ケータイサイトに興味が出始めた人向けの、初めてケータイのデザインハウツーです。日々変化するケータイデザインの基礎の基礎をご紹介 ケータイ機種のスペックが上がりデザイン表現の幅は広がっていますが、PCサイトに比べまだまだ容量やスタイル、キャリア対応などさまざまな制限があるのも確かです。 今回は、普段PCサイトを作っているけど、ケータイサイトに興味が出始めた人、初めてケータイのデザインに触れる人のための基礎固めとして、日々変化するケータイデザインの基礎の基礎をご紹介したいと思います。 誰でも最初は初心者だった! ケータイデザインの基礎の基礎 ケータイの画面サイズを考える! 一般的な画面サイズはQVGA(縦320px×横240px)ですが、最近ではQVGAワイド(
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
x86コードのサンドボックス、グーグルの「NaCl」は安全か? - @IT
2009/08/06 Webブラウザ上で、ネットワークからダウンロードしたx86バイナリを安全に実行する――。2008年暮れにグーグルがオープンソースプロジェクトとして公開した「NaCl」(Native Client)は、本当に安全なものに仕上げることができるのか。先日グーグルが主催したセキュリティ・コンテスト、「Native Client Security Contest」でNaClの脆弱性を2つ発見して、日本人で唯一入賞したサイバーディフェンス研究所 上級分析官の福森大喜氏に話を聞いた。 静的解析で安全にx86コードを実行 福森氏は、Webブラウザ上にx86バイナリを実行するサンドボックスを載せるというアイデアを評価する。「基本的には、いい考え。コードに悪意がある場合でも、WebブラウザやOSが被害を受けないようにできている。ソースコードを見た印象ではOSのカーネルに似ている」(福森氏
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
[柔軟すぎる]IEのCSS解釈で起こるXSS
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
文字化けに関するトラブルに強くなる【基礎編】
連載記事 「習うより慣れろ! iptablesテンプレート集」