私のこと、勝手に診断しないでください:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(43) 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第43列車は「無料セキュリティ診断」です。※このマンガはフィクションです。
![私のこと、勝手に診断しないでください](https://cdn-ak-scissors.b.st-hatena.com/image/square/1ecd0c00888137f9dafe1de25a91d64e2b36f0e3/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F2312%2F27%2Fcover_news010.jpg)
「Webサイトの脆弱(ぜいじゃく)性が悪用され、情報漏えいが発生した」――こうした報道や過去のセキュリティインシデントを教訓に、Webアプリケーションのセキュリティを意識し、設計段階からセキュリティを考慮し、脆弱性を修正した上でリリースしようとする企業の動きは以前に比べて広がりつつある。 だがそれでも“残念な”セキュリティインシデントは根絶できていないのが実情だ。 EGセキュアソリューションズのCTO(最高技術責任者)としてセキュリティ対策の支援に当たり、さらに「徳丸本」こと『安全なWebアプリケーションの作り方』やYouTubeを通じてセキュリティの啓発活動に携わる徳丸 浩氏が、@IT主催の「Cloud Native Week 2023夏」基調講演に登壇。架空のWebサービス「オニギリペイ」を例に、セキュリティを意識して作られつつあるWebアプリケーションのどこに落とし穴があるのか、解説
米国証券取引委員会(SEC)は2023年7月26日(米国時間)、上場企業に対してサイバーセキュリティに関する重大なインシデントの発生と、サイバーセキュリティのリスク管理、ガバナンス、戦略に関する重要情報の開示を義務付ける規則を採択した。 SECは、米国で上場し、主に米国外で事業を展開している企業にも同様の開示を義務付ける規則も採択している。 SECのゲーリー・ゲンスラー委員長は次のように述べている。 関連記事 最高監査責任者はデータ分析、セキュリティ、デジタル化推進に最注力すべき Gartner Gartnerは、最高監査責任者が2023年に最も注力する分野は、データ分析の推進や急増するデジタルリスクに対するアシュアランスの提供、そして人材管理であると発表した。 企業のパブリックGitHubリポジトリは機密情報だらけ? APIキーやトークン、認証情報が複数見つかる セキュリティ企業SOCR
NIST(米国国立標準技術研究所)は、2023年3月20日、セキュリティ専門家が一般ユーザーに対して抱きがちな誤解をテーマにした論文「Users Are Not Stupid」の概要を公式ブログで紹介した。論文は、同組織所属のコンピュータサイエンティスト、ジュリー・ヘイニー氏が執筆したものだ。 「セキュリティ専門家のコミュニティーは、技術に大きく依存してセキュリティの問題を解決しようとしている。そのため、セキュリティ対策において重要な、人的要素を十分に考慮しないことがある」(ヘイニー氏) 人的要素とは、セキュリティツールに対するユーザーの認識やユーザーのセキュリティ導入に影響を与える個人的、社会的要因のことを指す。強力なセキュリティのツールやアプローチでも、ユーザーがそれを障害と認識し、使わなければ、リスクレベルが上昇する可能性がある。ヘイニー氏は、セキュリティとユーザーの両コミュニティー
逆転無罪を決定付けた「反意図性」と「不正性」の解釈(Coinhive事件最高裁解説 前編):モロさんは令和の「スパルタクス」だ(1/2 ページ) 市井のエンジニアが不正指令電磁的記録保管罪に問われた「Coinhive裁判」において、最高裁判所は2022年1月、無罪判決を言い渡した。東京高裁での有罪判決から逆転無罪を勝ち取れたポイントは何だったのか、主任弁護人と弁護側証人が解説する。 Webサイトを閲覧した人の計算能力を利用して仮想通貨のマイニングを行うプログラム「コインハイブ(Coinhive)」を自分のWebサイトに設置したとして、不正指令電磁的記録保管罪に問われていたWebデザイナーの諸井聖也さん――Twitter上では「モロさん」の裁判で、最高裁は2022年1月20日、罰金10万円の支払いを命じた東京高裁判決を破棄し、逆転無罪判決を下した。 支援金の募集などを通じて一連の戦いを支援し
読者の皆さんは、「Cyan」(サイアン)という言語をご存じないかもしれない。Cyanは、Lispのマクロを持ち、Python風のインデントによってブロックを表すプログラミング言語。2008年の春、林拓人という1人の高校生によって設計された。 連載第1回の竹内郁雄氏が「開発」の天才、第2回の五十嵐悠紀氏が「発想」の天才とするならば、今回の林氏は「プログラミング言語」の天才だ。 林氏がプログラミング言語に初めて触れたのは中学3年の夏休み。そこから冬休みまでの5カ月間に、5つのプログラミング言語を習得した。その後もいくつかのプログラミング言語を学ぶ中、林氏の興味はWebサービスなどのものづくりには行かず、ひたすら言語自体へと向かっていった。 高校2年の春、自身でプログラミング言語Cyanを作り上げた。Cyanを設計した林氏は、「U-20プログラミング・コンテスト」(以下、U-20プロコン)で経済
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。 2019年初め、ファイル共有サイト「宅ふぁいる便」で会員情報の漏えいが発生した事件では、世間に大きな驚きが走った。漏えいの事実自体もさることながら、保存されていたパスワード情報が「暗号化されていなかった」ためであり、特にインターネット上では「今どき、パスワードを暗号化していないなんて」と厳しい批判が相次いだ。 複数の調査や報道によると、パスワードを平文で保存しているサイトは宅ふぁいる便に限らない。その後FacebookやGoogle、Twit
「日本は実際の被害は少ないが、危機意識は諸外国より高い」 F-Secure意識調査:調査対象の8カ国のうち51%が被害に F-Secureの個人情報保護に関する意識調査によると、家族の誰かが何らかサイバー犯罪の被害を受けたことがあると回答した割合は51%、自分がサイバー犯罪などの被害に遭うのではないかと感じていると回答した割合は71%だった。
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編):権利は国民の不断の努力によって保持しなければならない(1/3 ページ) Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。 2018年6月、自身が運営するWebサイト上に、閲覧してきた
「JavaScript」と「警察」は相性が悪いのか?:セキュリティクラスタ まとめのまとめ 2019年3月版(1/3 ページ) 2019年3月のセキュリティクラスタでは、「JavaScriptを使った無限アラートサイトへのリンクで中学生が補導された事件」に対する意見が殺到しました。「コインハイブ事件の判決」でもJavaScriptと警察の対応が話題の中心になりました。この他、「破産者マップ」についても多数のツイートが飛び交いました。 セキュリティクラスタ まとめのまとめ 一覧 コインハイブ事件に無罪判決 自らが管理するWebサイトに仮想通貨をマイニングするJavaScript「Coinhive(コインハイブ)」を設置したことで逮捕されたいわゆる「コインハイブ事件」が転機を迎えました。横浜地裁が2019年3月27日に無罪を言い渡したからです(その後、検察側が控訴)。 この裁判で争点となったの
仮想通貨の発掘は悪なのか? VS. 平文パスワード保存は是なのか?:セキュリティクラスタ まとめのまとめ 2019年1月版(1/3 ページ) 2019年1月、年明けのTwitterセキュリティクラスタでは「ZOZOの前澤社長のツイート」や「Coinhive裁判」の他、「宅ふぁいる便」の情報漏えいが大きな話題となりました。 セキュリティクラスタ まとめのまとめ 一覧 「100人に100万プレゼント」、前澤社長に便乗した偽アカウントが大量出現 2018年の年末は「PayPay」に参加された方が多かったでしょう。使った金額が全部戻ってくる可能性があったからです。続いて2019年の年始にはZOZO社長の前澤友作氏が、お年玉として100人に100万円、計1億円をプレゼントするという発表を行い、話題となりました。前澤氏のTwitterアカウントにフォローしてリツイートすることが条件でした。 これに反応
関連記事 2018年7月の脆弱性順位でIoT関係が3件ランクイン――チェック・ポイント調べ チェック・ポイント・ソフトウェア・テクノロジーズは、既知の脆弱(ぜいじゃく)性を狙った攻撃検出数とマルウェアのランキングを発表した。対象期間は2018年7月。マルウェアの上位は仮想通貨関連が占めた。脆弱性悪用ランキングの上位10種には、IoT関連の脆弱性が新たに3件ランクインした。 サイバー攻撃をリアルタイムで地図上に表示、カスペルスキーが日本語版を公開 カスペルスキーはサイバー攻撃をリアルタイムで地図上にアニメーション表示するサイバーマップを公開した。1秒当たりの検知数や、国別の検知状況ランキング、過去の統計データなどをリアルタイムで確認できる。 世界地図上でインターネット稼働状況の健全性を追跡できる――Oracleが「Internet Intelligence Map」を公開 Oracleは、世
自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」編として、セキュリティ人材が装備を整える難しさ、そして人材育成の難しさについて、RPGスタート時の主人公の育成に例えてお話しした。 そこで、「RPGにおける主人公と魔王の関係はセキュリティ人材と攻撃者の関係とよく似ている」としたが、第2章は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 RPGの最後は「魔王」などと称しているラスボスを倒すことで
10年以上前からあるLinux Kernelの懸念点が脆弱性として発見された「Stack Clash」――意図的に公開が遅らされた理由:OSS脆弱性ウォッチ(2)(1/2 ページ) 連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2017年9月14~15日に開催された「Linux Security Summit」でも話題になっていた「Stack Clash」の詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性に関する情報を取り上げ、解説していきます。 2017年6月20日に、「Stack Clash」と呼ばれる一連の脆弱性が報告されました。少し時間がたってしまっていますが、2017年9月1
いまだ勢いの衰えを見せないサイバー攻撃。企業や経営者は増加するセキュリティの脅威に対し、どう対応していかなければならないのか――。3人のセキュリティのプロフェッショナルが、経営者とセキュリティ担当者が今なすべきセキュリティ対策について語り合った。 サイバー犯罪の進化はとどまるところを知らず、サイバー攻撃はますます巧妙化・凶悪化している。日本の企業や公共組織を狙う犯罪者は多く、2020年に向けて、さらに攻撃が激化していくとも予想されている。 こうしたサイバー攻撃に対し、企業の経営者は自社のビジネスや貴重な人材を守るために手を尽くす義務がある。セキュリティ担当者もまた、自身の経験や知見を最大限に活用して、最良の施策を立案・実行する必要がある。両者とも、限られたリソースの中で最適な対策は何か、最も優先すべきことは何かと、常に悩まされていることだろう。 いま、私たちが行うべきセキュリティ対策は、ど
2017年7月のセキュリティクラスタでは、「Adobe Flash Player」が話題になりました。脆弱性によってユーザーが攻撃にさらされることが多く、2020年末に廃止されることが発表されて、ようやくかとほっとするツイート、さらには移行について考えるツイートが多数ありました。7月はあまり大きなセキュリティインシデントが発生せず、無事に米国の「Black Hat USA」「DEF CON 25」に遠征できた方が多かったようです。どちらもとても盛り上がったようでした。 DEF CON/Black Hatに日本人が多数参戦 1年に1度のハッカーのお祭りといえば、「DEF CON」です。例年は8月ですが、2017年のDEF CON 25は少し早めの7月28~30日に開催されました。DEF CONに先駆けて真面目な方のカンファレンス「Black Hat USA」も7月22~27日に開催。ちなみに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く