ソフトウェア脆弱性管理の切り札、「SBOM」はなぜ必要か?
OSSは企業のシステムにおける重要なコンポーネントとなっている。さまざまなソフトウェアにOSSが組み込まれることで、高度な処理が行える。だが、オープンであるが故に脆弱性が入り込む可能性も否定できない。この状況をいち早く検知し、対処するためのツールとして注目されている「SBOM」について有識者に話を聞いた。 米国大統領令で一気に注目された「SBOM」 オープンソースソフトウェア(OSS)は既に企業のシステムにおける重要なコンポーネントとなっている。さまざまなメリットがある一方で、ソフトウェアの「サプライチェーン」を狙う攻撃も多く、ソフトウェアの部品として組み込まれるOSSの脆弱(ぜいじゃく)性がシステム全体に影響を及ぼすことが課題となっている。この状況をいち早く検知し、対処するためのツールとして「SBOM」(ソフトウェア部品表)が注目されている。 SBOMとは、ソフトウェアサプライチェーンに
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編):権利は国民の不断の努力によって保持しなければならない(1/3 ページ) Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。 2018年6月、自身が運営するWebサイト上に、閲覧してきた
UXを損なわないセキュリティのために、LINEが取り組む3つのリスクコントロール
UXを損なわないセキュリティのために、LINEが取り組む3つのリスクコントロール:@ITセキュリティセミナー2018.2 @ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、特別講演「LINEが追求する『安心して使えるアプリ』~多様化・複雑化するサービスのセキュリティコントロール~」の内容をお伝えする。 日本発のメッセージアプリとして、国内のみならず台湾やタイ、インドネシアなど海外でも利用されているLINE。今や決済やショッピングといったさまざまなサービスやビジネスパートナーと連携し、エンタープライズ分野もカバーするプラットフォームへと拡張してきた。最近ではAIスピーカー「Clova」も市場に投入し、IoTという新たな領域も視野に入っている。 「LINEのミッションは、人と人、人と企業との距離を縮めていくことだと思っている。『CLOSING THE DI
ここが変だよ、そのWeb改ざん対応
IEのゼロデイ攻撃で最初のトリガーとなった「Web改ざん」。改ざんされた後の対応次第では、被害をさらに広げてしまう結果になりかねません。今回は、筆者が見かけた「いまいちイケてない」インシデント対応を紹介します。 連載目次 エポックメーキングな出来事だったIEのゼロデイ攻撃 皆さんこんにちは、川口です。気が付けば半年もこのコラムからご無沙汰しておりました。あちこちで「最近は書かないんですか?」と聞かれてしまい、期待していただいている方には申し訳ない気分でいっぱいです。言い訳をすると、仕事も少し変わり、Hardening One Remixをやり、セキュリティキャンプをやり、出張三昧が続き……と目まぐるしい生活を送っていました。 そんなこんなの生活を送っているうちに、Internet Explorer(IE)に存在したゼロデイ脆弱性を狙った事件が発生していました。私がセキュリティを意識するよう
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは?
「オースティンってどこ? 何があるの?」と同僚や友人に何度も聞かれ、入国管理管には「観光するところないよ」と言われつつ、2012年10月22日から10月25日にかけて、メキシコと国境を接しているアメリカ合衆国のテキサス州オースティンへ行ってきました。「OWASP AppSec USA 2012カンファレンス」に参加することが目的です。 OWASPっていったい何? OWASP(The Open Web Application Security Project)は、Webアプリケーションのセキュリティの向上を目的としたボランティアによるプロジェクトです。Webアプリケーション開発者の手助けとなるツールやフレームワーク、ガイドラインを提供しており、すべてを無料で公開しています。 Webアプリケーション開発をしている方の中には、「OWASP-Top10」という言葉を聞いたことのある方もいるのではな
読みやすい文章の極意は「修飾語」にあり
「提案書」や「要件定義書」は書くのが難しい。読む人がITの専門家ではないからだ。専門用語を使わず、高度な内容を的確に伝えるにはどうすればいいか。「提案書」「要件定義書」の書き方を通じて、「誰にでも伝わる」文章術を伝授する。 第5回「ドキュメントの質を確実に上げる6つの文章作法」に続き、顧客に伝わる文章を記述するためのポイントを紹介します。今回は、修辞句や用語など、「より具体的な表現方法」について説明します。なお、前回同様に、まず「分かりにくい例文」を取り上げてどこが分かりにくいのかを解説し、その後に分かりやすい文章へと修正していきます。 「修飾語を適切に使う」ことが、読みやすい文章を作るコツ 分かりやすい文章を書きたいなら、「修飾語」に着目しましょう。修飾語を使うときは、以下のような点に注意します。 長い修飾語は前に、短い修飾語は後に置く 文章を書く際は、句や文節を使った長い修飾語を前に、
ASP.NET MVCベータ版がリリース(1/3) - @IT
本記事は、Microsoftの本社副社長であり、ASP.NETやSilverlightなどの開発チームを率いるScott Guthrie氏のブログを翻訳したものです。氏の許可を得て転載しています。 本日(2008年10月16日)、ASP.NET MVCフレームワークの新しいベータをリリースしました。ここをクリックすればダウンロードできます。またwww.asp.net/mvcで、チュートリアル、クイックスタート、ビデオからもさらに学ぶことができます。 ASP.NET MVCベータは.NET 3.5および.NET 3.5 SP1の両方で動作し、VS 2008およびVisual Web Developer 2008 Express SP1(これは無償になっており、現在ではクラス・ライブラリおよびWebアプリケーションのプロジェクト・タイプをサポートしています)の両方をサポートしています。 本日の
「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは ― @IT
2008/04/11 すべての暗号はいずれ破られる。2000年前のシーザー暗号の時代から高度な暗号技術が一般化したデジタル通信の現代に至るまで、それが暗号通信の歴史が証明し続けた事実であると同時に、もっとも人口に膾炙したクリシェでもあった。例えば、鳴り物入りでリリースされたDVDのコンテンツ暗号技術「CSS」(Content Scramble System)が、リリースからわずか数年で10代のノルウェー人ハッカーに破られたことは記憶に新しい。 【追記】(2008年4月15日) この記事は取材に基づいて執筆したものですが、一部専門家らから「CAB方式暗号は解読不能」というのは誇大表現ではないかとの疑義が呈されています。アルゴリズムの公開や第三者による検証がない現在、この記事に登場するCAB方式が発案者・実装者の主張通り画期的な暗号方式で、本当に解読が不可能であるかどうか分かりません。現在、専
jQueryとMicrosoft - @IT
本記事は、Microsoftの本社副社長であり、ASP.NETやSilverlightなどの開発チームを率いるScott Guthrie氏のブログを翻訳したものです。氏の許可を得て転載しています。 jQueryは軽量なオープンソースのJavaScriptライブラリ(サイズ的にはたったの15KBytes)で、比較的短い期間で非常に人気の出たWeb上のライブラリの1つです。 jQueryの大きな魅力は、手際よく(そして効率的に)できる限り少ないコードでHTML要素を検索し操作できるところです。jQueryでは開発者は便利な“セレクタ”APIを通じてHTML要素を検索することができ、“コマンド”をそれらに適用することができます。jQueryコマンドの特性の1つは、お互いを“連鎖”させることが可能であるため、一方のコマンドの結果をもう一方へ送ることができることです。jQueryにはコマンドとして使
カミンスキー氏が発表したDNSアタック手法と対策例 ― @IT
カミンスキー氏が発表したDNSアタック手法と対策例:DNSキャッシュポイズニングの影響と対策(前編)(1/4 ページ) 2008年7月に公開されたDNSキャッシュポイズニングの脆弱性。DNSの仕様に深く関係するこの手法に対して、エンジニアはどのように対策を打つべきでしょうか。この脆弱性の本質的な問題と対策、そして私たちが考えなくてはならないセキュリティの心構えなど、2回に分けてお送りします(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク、コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークや
Strutsの常識を知り、EclipseとTomcatの環境構築 (1/4) - @IT
Strutsの常識を知り、EclipseとTomcatの環境構築:Webアプリの常識をJSPとStrutsで身につける(2)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です いまさら聞けないStrutsの常識 今回は、「Strutsの常識」と題し、Webアプリケーションフレームワークの1つであるStrutsについての概要を説明したうえで、JDKやEclipse、TomcatなどのWebアプリケーション作成の環境構築を行い、サンプルプログラムを実際に作成してみましょう。 連載第1回の「いまさら聞けない、Webアプリケーションの常識」で、「本連載ではStrutsを取り上げていきます」
ソフトウェアによる暗号化手法の知っておくべき特性
機密データを保護するための手法を追う連載第2回では、さまざまなベンダからソリューションが提供されている「ソフトウェアによる暗号化手法」にフォーカスします(編集部) データはいつ、どこで暗号化されているのか コンピュータのハードディスクには、通常何らかの機密データが保存されています。これらのデータのセキュリティを確保することはビジネス上最優先事項とされてきました。本連載では、データの保護について理解を深め、また適切なソリューションを選定する際に役立つよう、この重要な主題に関する記事を掲載していきます。第1回では、ハードディスクへのアクセスを抑制する手法の長所と短所に焦点を絞り、いわば玄関の鍵に当たる部分を取り上げました。 シリーズ第2回では、保護における次の層、つまりディスクドライブにあるデータの実際の暗号化に焦点を絞ります。 機密データを暗号化する意味を再確認する OSやBIOSが提供する
GoogleのMapReduceアルゴリズムをJavaで理解する
GoogleのMapReduceアルゴリズムをJavaで理解する:いま再注目の分散処理技術(前編)(1/2 ページ) 最近注目を浴びている分散処理技術「MapReduce」の利点をサンプルからアルゴリズムレベルで理解し、昔からあるJava関連の分散処理技術を見直す特集企画(編集部) いま注目の大規模分散処理アルゴリズム 最近、大規模分散処理が注目を浴びています。特に、「MapReduce」というアルゴリズムについて目にすることが多くなりました。Googleの膨大なサーバ処理で使われているということで、ここ数年の分散処理技術の中では特に注目を浴びているようです(参考「見えるグーグル、見えないグーグル」)。MapReduceアルゴリズムを使う利点とは、いったい何なのでしょうか。なぜ、いま注目を浴びているのでしょうか。 その詳細は「MapReduce : Simplified Data Proc
無料でWebアプリにありがちな脆弱性を調べて治す
クロスサイトスクリプティングを解消するには? XSSの対策といっても、何をすればいいのでしょう? 文字コードのエスケープ 一番スタンダードな方法は、フォームから送られてくる文字列をHTMLタグとして解釈されないように、一部の記号をWebブラウザ上での表示に利用できる実体参照に変換する方法です。 一般的によく狙われる文字は以下の表にまとめてあります。内容に変換するようにコードを変更すれば、対策可能です。
Subversionを利用したイケてる.NET開発 ― @IT
連載 オープンソースで始めるバージョン管理&タスク管理 第1回 Subversionを利用したイケてる.NET開発 株式会社アークウェイ 黒石 高広 2008/06/24 ■1. はじめに 本連載では3回にわたって、.NET開発におけるオープンソース・ソフトウェアを活用したバージョン管理、タスク管理について説明する。まず初回となる本編では、バージョン管理ソフトウェアとしてSubversion(サブバージョン)について説明していくわけだが、読者の皆さんは現在どのようなバージョン管理ソフトウェアをお使いだろうか? よく利用されているバージョン管理ソフトウェアには、Visual SourceSafeやVisual Studio Team System、CVS、今回説明するSubversionなどがある。読者の中には「バージョン管理ソフトウェアをまったく使っていない」「バージョン管理ソフトウェアを
特集 C# 2.0新機能徹底解説(前編) ― 開発生産性を飛躍的に高めるジェネリック(3/4) - @IT
■データの検索:FindIndexメソッドおよびPredicate<T>デリゲート ある一定の条件に合致するデータを検索するには、FindIndexメソッドを使うことができる。FindIndexメソッドはPredicate<T>デリゲートを受け取り、Predicate<T>デリゲートがTrueを返した項目について、そのインデックスを戻り値で示してくれる。Predicate<T>デリゲートは次のように宣言されている。 public sealed delegate bool Predicate<T>(T obj); ある名前の商品が含まれているItemsコレクション(=List<T>コレクション)の最初の行は、以下のコードで取得できる。 class FindOrderLineByNamePredicate { public string name; // Predicate<T>デリゲートの処
グーグル エンジニアのまじめな日常 ― @IT
グーグルがどのようにソフトウェア開発を行っているかは、これまであまり詳細が明らかにされてこなかった。だがグーグルは6月10日、開発者向けイベント「Google Developer Day 2008 Japan」を開催し、グーグルのソフトウェアエンジニアがグーグルでの仕事術を語る「Google ソフトウェアエンジニアの日常」という講演会を実施した。スピーカーは、NECでITエンジニアとして勤務した経験がある藤島勇造氏。2006年からグーグルのソフトウェアエンジニアとして働いている。藤島氏は、グーグルでのソフトウェア開発方法について、グーグルのカルチャーと自身の見解を織り交ぜて語った。 グーグル ソフトウェアエンジニアの1日の流れ 藤島氏の1日は、朝10時ごろ出社し、メールをチェックすることから始まる。この時間にメールを見る理由は、米国にいる同僚に連絡が付きやすい時間帯だからだ。 午前中の主な
連載:C# 3.0入門 ― @IT
第2回 簡潔なコーディングのために (2017/7/26) ラムダ式で記述できるメンバの増加、throw式、out変数、タプルなど、C# 7には以前よりもコードを簡潔に記述できるような機能が導入されている 第1回 Visual Studio Codeデバッグの基礎知識 (2017/7/21) Node.jsプログラムをデバッグしながら、Visual Studio Codeに統合されているデバッグ機能の基本の「キ」をマスターしよう 第1回 明瞭なコーディングのために (2017/7/19) C# 7で追加された新機能の中から、「数値リテラル構文の改善」と「ローカル関数」を紹介する。これらは分かりやすいコードを記述するのに使える Presentation Translator (2017/7/18) Presentation TranslatorはPowerPoint用のアドイン。プレゼンテー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
なぜ、パスワードを平文で保存するのですか?【追記あり】
C#/Scala/Python/Ruby/F#でデータ処理はどう違うのか?