cloudpackエバンジェリストの吉田です。 2/7(金) カード・ウェーブさん主催セミナーで、AWSを使ってPCI DSS準拠環境を構築・運用するポイントについて話してきました。 『カード・ウェーブ』オープンセミナー クレジットカードの情報セキュリティと『PCI DSS Ver3.0』のポイント クラウドでPCI DSS環境を構築・運用するポイント from 吉田 真吾 クラウドだと何がよいのか 初期構築費用・運用費用ともに、必要なリソースを必要な分だけ調達できることによりTCOの削減が期待できます。また、インフラ部分はAWSの複数のサービスがPCI DSSに準拠しているためユーザーでそこを担保する必要がありません。 課題は? 現在、AWSを用いてPCI DSS環境を構築・運用した実績が豊富なPCI DSSコンサル、SIer、MSP事業者が多くないので、誰に相談したらいいかという悩みは
前回は、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)が発行する「チェック・ポイント セキュリティ レポート 2013年版」から実数値を引用しながら、サイバー攻撃について紹介した。今回も同レポートの調査結果を参考にしながら、組織における情報漏えいの実態について解説する。 組織には、さまざまな情報が溢れている。その情報を保管・管理するために、ITを利用することが当たり前となって久しいが、改めて認識しておきたいのが、「データの移動のたやすさ」である。データ消失のリスクを軽減するためのバックアップも、この「たやすさ」を前提として行われているケースが多い。 情報の移動が容易であるがゆえに、機密情報を狙ったAPT攻撃が急増していることは、前回の記事で触れた。では、ターゲットとされる組織側から見ると、どれだけの情報漏えいインシデント(対策を講じる必要がある事案)が発生して
内閣大臣官房番号制度担当室は「行政手続番号法」(マイナンバー制度)の施行令案を公開し、2014年2月11日から24日までパブリックコメントを行うと発表した。通常は30日間のパブリックコメントの期間を短縮した。「下位の法令である省令についても、政令の制定後、早急に整備する必要があり、平成26年早期に政令を公布する必要」があると判断したという。 番号制度担当室によると、4月から本格的にシステム改修などに着手することが求められ、政令を受けた番号法の施行規則となる省令などもパブリックコメントが必要。そのため、「準備を始めるためには30日間では時間がもうないということを踏まえた」という。 2月10日に施行令案の概要公表にともなって始めたパブリックコメントを任意の意見募集に切り替えると発表していたが、「任意の意見募集に切り替えた後、間を空けずに施行令案を公開できた」としていったん同日に終了。寄せられた
ICT総研は2月12日、「インターネットバンキングのセキュリティ状況調査」の結果を発表した。2013年8月~12月の間、主要123行の銀行各社のホームページおよびネットバンキングサイトの、運営状況やセキュリティ評価を実施した(協力:ベルウクリエイティブ)。 まず、「インターネットバンキングサイト」について、利用されている証明書では、全体の75.8%が「EV SSL(Extended Validation Secure Sockets Layer)」と「SGC(Server Gated Cryptography)」の両方に対応済みだった。EV SSL証明書を取得している(認証レベルは高い)が、SGC非対応(暗号化強度が低い)は15.3%。逆にSGCのみ対応済みは8.1%。証明書なし(認証・暗号レベルともに弱いもの)は0.8%だった。 サービス提供会社については、NTTデータのサービス(Ans
島根県庁(松江市)で昨年12月、庁舎内の時計約250台が真夜中の1時35分頃に一斉停止する“怪現象”が起こった。翌朝、出勤した職員らが気付き、すべての時計が「1時35分」を指して止まっている様子は、「この時刻に何が起きたのか?」と気味悪がられた。時計は間もなく職員らが復旧させたが、当初、一斉停止の詳しい原因は分からず、ネットなどでは「ポルターガイスト現象では?」と話題に。その後の県の調査で判明した原因とは…。無人の庁舎、全ての時計が「1時35分」指し停止 昨年12月16日朝、いつものように出勤してきた県庁の職員らは何気なくフロアを見渡し、おかしなことに気付いた。 「時計が止まっているぞ」 関係課への連絡調整などを続けるうち、止まった時計がそこかしこにあることが分かってくる。あそこも、この部屋も…。周囲の壁にかかっている時計はすべて止まっていた。しかも不思議なことに、全てが「1時35分」を指
NBCニュースが入手したエドワード・スノーデンさんの暴露文書から、英諜報機関GCHQがハッカー集団「アノニマス」と「ラルズセック」にDDoS攻撃を仕掛けていたことが分かりました。 2012年のNSA会議用プレゼンテーション資料によると、GCHQの合同脅威研究情報班(Joint Threat Research Intelligence Group/略称:JTRIG)は、アノニマスが使用していたインターネットのチャットルームに対してDDoS攻撃を実施。その目的は、ハッカー同士のコミュニケーション妨害だったとのことです。 同攻撃は、アノニマスが2011年にPayPalに対して仕掛けたDDoS攻撃への報復として、コードネーム「Rolling Thunder」任務の一環で行われました。JTRIG諜報員は同チャットルームに潜入するためにアノニマスのメンバーを装い、ハッカーを特定したと報じられています。
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
片山祐輔氏には接見禁止がついているため、直接面会したり、手紙のやりとりができない。そのため、昨年10月と12月の2回、弁護人を通じて質問状を送った。回答は、弁護人がパソコンで打ち直したものを受け取った。明らかな誤字脱字は江川が補った。末尾の注は江川による補足説明。 「出口のないトンネルの中にいるよう」あれから1年ーー現在(2013年10月)の状況と心境は? 監禁生活は8ヶ月を超え、10月27日現在で260日目となります。春、夏が過ぎ、今は本格的な秋の季節になりましたが、四季を感じることができない環境に閉じ込められています。やっていることと言えば、弁護人から差し入れてもらっている本を読むかパズル雑誌を解くことぐらいです。1日数時間流れるラジオからは音楽番組やトーク番組が聞こえてきますが、「秋が深まってまいりました」「今日は絶好の行楽日和です」等のコメントを聞くたびに、せつなさでいっぱいになり
脆弱性関連情報の届出受付業務の取扱いプロセス 2004年7月8日から経済産業省の告示に基づき、独立行政法人情報処理推進機構(IPA)は脆弱性関連情報の届出の受付、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は、ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行ってきました。 IPA は、届出受付機関として届出された脆弱性関連情報を下記のとおり取扱います。 ソフトウエア製品の取扱いプロセス 1.届出の受付 発見者からの届出を受付ます。 以降、受付した順序に関わらず、届出された脆弱性による影響が大きい案件を優先して取扱います。 2.届出の受理/不受理の決定 記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。 3.JPCER
※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Chester Wisniewski on January 31, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 本記事では、二要素認証とは何か、どのように機能し、どのような場面で使用するのかなど、二要素認証の重要な点を説明します。 パスワードのデータベースへの侵入、フィッシング攻撃、すべてのキーストロークを記録するマルウェア、近所の ATM や行きつけの店舗に取り付けられたクレジットカードスキミング機器などの事件は繰り返し発生しています。 かつては 8 文字のパスワードでも十分でしたが、今ではより堅牢で信頼性の高い認証方法が必要となっています。 二要素認証の概要 マルチファクタ認証 / 二段階認証とも呼ばれることのある二要素認証 (2FA)
もし自分が突然、死んでしまったら――「SNSのアカウント」は誰が引き継ぐの? 弁護士ドットコム 2月11日(火)14時4分配信 人間、いつ死ぬかわからない。病気しらずな人でも、事故や事件に巻き込まれることはある。大きな事故や事件なら、実名で報道されることもあるし、そうなると名前や経歴が検索され、ツイッターやフェイスブックなどのSNSのアカウントが「発見」されるかもしれない。 最近は、SNSの投稿内容が「死後」になって、多くの人の目にとまるというケースもめずらしくない。SNSによっては、突然の死を想定したアカウントの「削除方法」が用意されているところもある。たとえばフェイスブックでは、家族や友人が申し出ることで、故人のプロフィールを削除したり、追悼ページに変えることができる。 では、SNSの利用者が、死を想定した設定などを一切せずに亡くなったら、そのアカウントは自働的に家族に「相続」され
ことの発端は、大手まとめサイトである「保守速報」が、ある偽装gif(端から見るとjpg拡張子の画像ファイルにしか見えない)を転載してしまった事が原因なのだが、この偽装gifにある特定の個人に対する殺害予告の画像が用いられていたという顛末らしい。大手まとめサイト「保守速報」「ソニック速報」の管理人が身バレww 一連の流れまとめ 北大獣医のアフィサイトがgif画像トラップに引っかかり殺人予告。サーバー登録に住所と本名を乗っけてたため10分で特定されなんJで祭りに。 ちょうどオフシーズンだったなんJ民の暇つぶしにアフィブログが次々と大炎上(本名住所公開からアカウントハック、amazon履歴公開、アルカイダ強制入隊、アレフに寄付、白い粉を送付など) 保守速報も割れる(サーバー登録代行業者噛ませてたが二年前のリアル住所の登録履歴が発掘されて無意味に)。今後しばき隊が凸する模様 ↑https://ww
情報漏えい防止をはじめとする情報セキュリティ対策を、断片的にではなくエンドポイントを軸にして横断的に行うことができるIT統合管理ソリューション。このようなソリューションを導入するには、まず自社の課題を明確にし、どうすれば自社のニーズに最適な解決方法となるのかについて考えておくことが望ましい。そこで、ハンモック 営業本部 東日本営業部 営業二課の課長、藤田英雄氏に、実際の導入事例を踏まえてIT統合管理ソリューションの導入により最大限の効果を発揮する方法についてアドバイスをいただいた。 藤田英雄氏がセッションを行う「本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー」の申し込みはこちら (参加費無料、3月5日水曜日開催、東京・竹橋) “目の肥えた”企業はIT統合管理ソリューションのどこを評価するのか? 藤田氏によると、「IT統合管理ソリューションの導入を検討している企業は、資産管理
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 2013年6月に突然明らかになった米英政府によるインターネットの監視は、世界中を驚かせ、メディアの見出しを飾った。インターネット時代のプライバシーの在り方を考えさせるものだが、実際にそれが契機となってウェブメールやチャットといったサービスの利用が減っているわけでもなさそうだ。 2013年6月がインターネットの歴史にとってどのような位置づけになるのだろうか――。Edward Snowden氏がリーク先に選んだ英メディアThe Guardianのジャーナリストが、セキュリティ分野の専門家に今起きていることや今後の予想について意見を聞いている。 右からJames Ball氏(Guardian)、Anthony House氏(Google)、G
出典:ITpro 2014/01/24 (記事は執筆時の情報に基づいており、現在では異なる場合があります) セキュリティ関連のブログのうち、押さえておきたい記事をピックアップする。今回はまず、米シマンテックが公開した、エネルギー業界を標的にしたサイバー攻撃に関する調査結果(PDF文書)の概要をまとめたブログ。これによると、エネルギーを供給する企業や産業に対する攻撃の試みは年々増加しているという。 2013年上半期に世界で行われたサイバー攻撃のうち、エネルギーセクターを標的にしたものは5番目に多い7.6%だった。米国土安全保障省は、エネルギー関連企業のシステム妨害を目的とした攻撃が急増しているとして2013年5月に警告を発している。シマンテックによれば、旧来のエネルギー供給会社は特に「Stuxnet」や「Shamoon」のようなマルウエアによって引き起こされる事態を懸念している。 またシマン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く