並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 206件

新着順 人気順

セキュリティチェックの検索結果1 - 40 件 / 206件

  • AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法|DevelopersIO

    はじめに 自分が使っているAWS環境のセキュリティに問題がないかと心配になることはないでしょうか?私はよくあります。そこでCIS Amazon Web Service Foundations Benchmark というAWSのセキュリティのガイドラインに沿って使っているAWSアカウントのセキュリティの状況をチェックしてみました。チェック項目は全部で52あります。内容を一通り確認したところ知らなかったAWSのセキュリティの機能やノウハウを知ることができ、見ただけでもとても勉強になりました。簡単にチェックする方法も併せて紹介しますのでぜひ使っているAWS環境でチェックしてみてください。 1 IAM 1.1 rootアカウントを利用しない rootアカウントは強力な権限を持つため、rootアカウントを利用せずIAMユーザーを利用してください。通常運用でrootアカウントが利用されていないか確認し

      AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法|DevelopersIO
    • セキュリティーチェックシートという闇への防衛術 - Qiita

      といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす

        セキュリティーチェックシートという闇への防衛術 - Qiita
      • Webデベロッパのためのセキュリティ・チェックリスト | POSTD

        安全で堅牢なWebアプリケーションをクラウドで開発するのは 非常に困難 です。それを簡単だと思っているような人は、例えばとんでもない頭脳をお持ちというなら別ですが、遠からず痛い目を見ることになるでしょう。 もし MVP(Minimal Viable Product:必要最低限の機能を備えた製品) のコンセプトを鵜呑みにして、有益かつ安全な製品を1ヶ月で作成できると考えているようなら、プロトタイプを立ち上げる前に一度考え直した方がいいと思います。以下に挙げたチェックリストをご覧いただければ、セキュリティに関するクリティカルな問題の多くをスキップしていることが分かるはずです。あるいは少なくとも、潜在的なユーザに対しては 誠実 であるように心がけ、製品が完全ではないこと、そしてセキュリティが不十分な製品を提供していることを伝えるようにしてください。 このチェックリストはシンプルなもので、決して完

          Webデベロッパのためのセキュリティ・チェックリスト | POSTD
        • フリーでやろうぜ!セキュリティチェック!

          July Tech Festa 2015にて登壇した際の資料です。 なお後日、小河さんがOpen VASのCLI操作の解説について以下のスライドを追加投稿してくれました! 「フリーでできるセキュリティチェック OpenVAS CLI編」 http://www.slideshare.net/abend_cve_9999_0001/openvas-cli-51048313Read less

            フリーでやろうぜ!セキュリティチェック!
          • [2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO

            「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは

              [2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO
            • Node.jsのセキュリティ・チェックリスト | POSTD

              (訳注:2016/1/5、いただいた翻訳フィードバックを元に記事を修正いたしました。) セキュリティ – 誰もが見て見ぬふりをする問題 。セキュリティが重要だということは、誰もが認識していると思いますが、真剣にとらえている人は少数だと思います。我々、RisingStackは、皆さんに正しいセキュリティチェックを行っていただきたいと考え、チェックリストを用意しました。皆さんのアプリケーションが何千人というユーザやお客様に使用される前にセキュリティチェックを行ってください。 ここに挙げたリストのほとんどは概略的なもので、Node.jsに限らず、全ての言語やフレームワークに適用することができます。ただし、いくつのツールは、Node.js固有のものとなりますので、ご了承ください。 Node.jsセキュリティ に関するブログ記事も投稿してありますので、こちらも是非読んでみてください。 構成管理 HT

                Node.jsのセキュリティ・チェックリスト | POSTD
              • たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita

                セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し

                  たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
                • AWS再入門2018 セキュリティチェック編 | DevelopersIO

                  こんにちは。池田です。本州からは梅の便りが届いていますが、札幌はまだまだ雪景色です。 最近になり周囲で「今度はEchoの招待が届いた!」とか「2回目のEcho Dotの招待が届いた!」とか「2台目ゲット!」とか聞こえてきました。我が家にEcho Plusを迎え入れる日はいつになるのでしょうか。 早くスマート家電を声で制御する生活を体験したくてワクワクしています。 はじめに 今年に入ってからAWS再入門シリーズと題して勉強を進めているのですが「たまにはAWSホワイトペーパーを読んでみよう」と思い立ちいくつか読んでいた中でAWS_Security_Checklistという資料を見つけました。 内容は非常に簡潔ですが、各項目はそれぞれ関連するAWSドキュメントへのリンクが設けられていました。 そこで今回は資料からの各リンク先ドキュメントを基に筆者が整理したチェックポイントなどを「AWS再入門20

                    AWS再入門2018 セキュリティチェック編 | DevelopersIO
                  • クラスメソッド 標準セキュリティチェックシートを公開しました | DevelopersIO

                    オペレーション部 江口です。 私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。 このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。 具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。 https://classmethod.jp/policy/ 作成・公開の目的 当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。 ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。 そうしたお問い合わせの一助として、

                      クラスメソッド 標準セキュリティチェックシートを公開しました | DevelopersIO
                    • 受け入れテスト用セキュリティチェックリスト for Webアプリケーション

                      サービス終了のお知らせ いつもYahoo! JAPANのサービスをご利用いただき誠にありがとうございます。 お客様がアクセスされたサービスは本日までにサービスを終了いたしました。 今後ともYahoo! JAPANのサービスをご愛顧くださいますよう、よろしくお願いいたします。

                      • 仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog

                        はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク

                          仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog
                        • Androidアプリのセキュリティチェックはsecroid(セキュロイド)

                          Androidアプリのセキュリティチェックならsecroid(セキュロイド)!アプリをインストールする前にリスクを確認しませんか?Androidアプリのリスクレベルを確認! app game 注意リスト 人気(無料) 人気(有料) NEW(無料) NEW(有料) 注目

                          • セキュリティチェックシートの書き方のヒント

                            AWS ExpertOnline Nov2.2022

                              セキュリティチェックシートの書き方のヒント
                            • 【米国】 脳腫瘍手術後の障害の少女、空港のセキュリティチェックで職員に殴られ血まみれに : 痛いニュース(ノ∀`)

                              【米国】 脳腫瘍手術後の障害の少女、空港のセキュリティチェックで職員に殴られ血まみれに 1 名前:あしだまな ★:2016/07/04(月) 14:55:58.81 ID:CAP_USER9.net 米運輸保安局(TSA)からアメリカの空港に配属となり、搭乗者の荷物や身の回り品を厳しくチェックする係官たち。彼らについてはかねてから「態度が悪い」との声が続出しているが、そんな市民感情が激化するような事件がテネシー州で起きた。 このほどテネシー州のメンフィス国際空港で、搭乗前のセキュリティチェックに臨んだ女性がTSA職員により殴られて顔中血だらけとなり、泣きながら助けを求めるという事件が起きた。女性は19歳のハンナ・コーエンさん。メンフィスにある「セント・ジュード病院」で脳腫瘍の外科的治療を受けた後、晴れて自宅に戻るところであったという。 地元メディア『WREG-TV』が母親のシャーリー・コー

                                【米国】 脳腫瘍手術後の障害の少女、空港のセキュリティチェックで職員に殴られ血まみれに : 痛いニュース(ノ∀`)
                              • Linux ワークステーションのためのセキュリティチェックリスト | POSTD

                                対象読者 これは、プロジェクトのITインフラへのアクセスや管理でLinux ワークステーションを使用しているシステム管理者向けの資料です。 システム管理者が遠隔から管理をしている場合は、ワークステーションが主要なセキュリティ条件を満たしていることを確認することで、ITインフラ全体へのサイバー攻撃の進入経路となることを防ぐことができます。その際、ここに書いたガイドラインを参考にしてください。 システム管理者が遠く離れた場所にいない場合でも、携帯可能なノートパソコンを使用している可能性や緊急対応用に自宅から会社のネットワークにアクセスできるよう設定している可能性があります。いずれの場合でも、環境に合ったガイドラインの適用をお勧めします。 制約事項 これは、「ワークステーションの強化」を徹底した資料とは言えません。しかし、これが明白なセキュリティ上のエラーを起こすのを回避できる基本的ガイドとなれ

                                  Linux ワークステーションのためのセキュリティチェックリスト | POSTD
                                • 日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題|Conoris VRM Labo

                                  日本ではまだ黎明期であるVendor Risk Management(ベンダーリスクマネジメント)やクラウドサービスのセキュリティ運用管理について情報発信を行います! https://www.conoris.jp/

                                    日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題|Conoris VRM Labo
                                  • PHPアプリケーションのセキュリティーチェックシートPDF:phpspot開発日誌

                                    Definitive PHP security checklist | sk89q PHPアプリケーションのセキュリティーチェックシートPDFが公開されています。 入力、ファイルアップロード、認証、セッション、データベース等のジャンル別に多数のチェックが掲載されていて、自分の弱そうな部分の確認にもよさそうです。 こういう網羅されたチェックシートはありそうで無かった気がしますね。 関連エントリ PHPチートシート集 PHPでのフィルタリング&エスケープ時のチートシート

                                    • 「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”

                                      企業を狙ったサイバー攻撃は複雑化、巧妙化している。特にサプライチェーンを狙った攻撃は増加傾向にある。情報処理推進機構(IPA)が2023年2月28日に公開した「情報セキュリティ10大脅威 2023(組織)」では「サプライチェーンの脆弱(ぜいじゃく)性を悪用した攻撃」が第2位にランクインした。 サプライチェーンセキュリティ対策が難しいのは「自社だけでは守れない」ことだ。ビジネスが複雑化している中、サイバー攻撃者は中堅・中小企業のセキュリティ対策が十分ではない部分を突いてくる。これに対し、企業はどのように対策を講じるべきか。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」に、業界のご意見番であるEGセキュアソリューションズの徳丸 浩氏(取締役CTO)が登壇。「古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか」と題す

                                        「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
                                      • 脆弱性スキャナ「OpenVAS」でのセキュリティチェック | さくらのナレッジ

                                        これらはそれぞれ同一のマシンで実行させることもできるし、異なるマシンで実行させることも可能だ。なお、Greenbone Security DesktopおよびOpenVAS CLIについてはLinuxおよびWindows向けのバイナリがリリースされているが、それ以外のコンポーネントについては基本的にはLinux向けとなっている。ダウンロードページではソースコードのほか、CentOS 6およびFedora 15~18、Red Hat Enterprise 6向けバイナリパッケージの入手方法が案内されている。なお、Debian GNU/LinuxやFedoraなどはその公式リポジトリでOpenVASのバイナリパッケージが提供されている。ただし、必ずしも最新のバージョンが提供されているわけではないので、それらを利用する際は注意してほしい。 今回は、CentOS 6.3をインストールした1台のサー

                                          脆弱性スキャナ「OpenVAS」でのセキュリティチェック | さくらのナレッジ
                                        • PHPセキュリティチェックリスト:phpspot開発日誌

                                          Checklist for Securing PHP Configuration | Ayman Hourieh's Blog Inside is a check list of settings that are intended to harden the default PHP installation.PHPセキュリティチェックリスト。 PHPの設定ファイルによってはセキュリティ的によろしくない場合もよくあることなので、そのチェックを行うためのリスト。 allow_url_fopen、register_globals など、一連のphp.iniに関する設定のチェックする際に役立ちます。

                                          • Amazon倉庫の労働者がセキュリティチェックで拘束される時間は勤務時間対象外との逆転判決が下る

                                            By Robert Scoble Amazon倉庫に勤務する従業員が「倉庫を退出する時に課せられるセキュリティチェックで長時間待機させられる時間は勤務時間なので残業代が支払われるべきだ」として訴えた裁判で、米連邦控訴裁判所が残業代の支払いを認める判決を下したためAmazonは上訴して内容を争っていました。最高裁まで持ち込まれて争われてた裁判は、「セキュリティチェックは勤務時間対象外なので残業代の支払いは不要」という逆転判決で幕を閉じました。 SCOTUS Amazon Ruling http://ja.scribd.com/doc/249650310/SCOTUS-Amazon-Ruling U.S. top court rejects worker pay for security-screening time | Reuters http://www.reuters.com/artic

                                              Amazon倉庫の労働者がセキュリティチェックで拘束される時間は勤務時間対象外との逆転判決が下る
                                            • クラウドサービスセキュリティチェックDB | マネーフォワード Admina

                                              Connect a CMS Collection List The layer that's connected isn't a Collection List. Make sure the Collection List isn't inside of any other layers or components when connecting it.

                                                クラウドサービスセキュリティチェックDB | マネーフォワード Admina
                                              • IoTセキュリティチェックリスト

                                                いわゆる IoT や IoT デバイスと呼ばれている、物理的な実体をもつ物の状態に関する情報を収集したり、収集された情報などをもとに物の状態を変える制御を行うための分散システムは近年、注目されており、今後も増加傾向が続くとされています。 そのような IoT デバイスは、常時ネットワークに接続されており、多数の同じIoTデバイスがネットワーク上に接続されているケースが多く、個々のIoTデバイスのセキュリティ管理の徹底が難しいことが多いと考えられます。また、IoT デバイスの中には、新機能の作り込みに注意を奪われるあまり、セキュリティ的な耐性に関する設計が忘れ去られているものが少なくありません。 利用者においても、IoTデバイスを使ってシステムを構築する際に、必要なセキュリティ的耐性を備えていることを確認した上で、システムを構成する製品を選定することが重要になります。不適切な製品を選べば、サイ

                                                  IoTセキュリティチェックリスト
                                                • DeNAでのセキュリティチェックから分かるゲーム開発で作りがちなチートの穴 | BLOG - DeNA Engineering

                                                  こんにちは、技術統括部セキュリティ部セキュリティ技術グループの小川です。 今回は Shibuya.gamesec #2 にて発表した内容について、ブログ上で紹介していきたいと思います。ゲーム開発者の方がどのようなことに気を付けて開発をすると良いか、参考になれば幸いです。 DeNA におけるリリース前のチート・脆弱性診断 DeNA ではサービスの新規リリースやアップデートを行う前に、セキュリティ部がコードレビュー等を含むチート・脆弱性診断を行っています。公開する前に「その内容を世の中に出して安全か」を確認し、危険な箇所があれば指摘、安全な状態にしてからリリースをしています。 ここでは、このセキュリティチェックで過去発見・修正した脆弱性について集計し、どのような脆弱性がありがちかに触れていきます。集計対象はゲームアプリ・サーバーに関する脆弱性に限ります。しかし、一般的な統計情報として利用するた

                                                    DeNAでのセキュリティチェックから分かるゲーム開発で作りがちなチートの穴 | BLOG - DeNA Engineering
                                                  • セキュリティチェックが捗る!AWS Security Hubで全リージョンのセキュリティ基準の結果を集約して見れるようになりました! | DevelopersIO

                                                    こんにちは、臼田です。 みなさん、AWSのセキュリティチェックやってますか?(挨拶 やったーついにキタ━━━━(゚∀゚)━━━━!! AWS Security Hubのセキュリティ基準が全リージョンまとめて一括でチェック出来るようになりました!こんな感じ! 右上のリージョンはAll Linked Regionsとなっていて、セキュリティスコアのコントロール単位のパーセンテージと項目単位の失敗割合も全リージョンから集まってきた値になりました! AWSのWhat's Newは以下です。 AWS Security Hub launches cross-Region security scores and compliance statuses もう少し背景から詳しく説明していきます。 背景 AWS Security HubはAWS上で最強のセキュリティチェックができるサービスです。「セキュリティ

                                                      セキュリティチェックが捗る!AWS Security Hubで全リージョンのセキュリティ基準の結果を集約して見れるようになりました! | DevelopersIO
                                                    • ポートスキャンツール「Nmap」を使ったセキュリティチェック | OSDN Magazine

                                                      サーバーの基本的なセキュリティ対策の1つとして重要なのが、ネットワーク内のどのマシンがどのポートでサービスを提供しているのかを把握することだ。このために有用なのが、ポートスキャナと呼ばれるツールだ。本記事ではポートスキャナとして有名な「Nmap」というソフトウェアを使用し、ポートスキャンを行う方法について解説する。 定番のポートスキャナ「Nmap」とは 対象として指定したホストに対してポート番号を変えながらIPパケットを送信し、その反応を調べることでどのポートが外部からアクセス可能なのかを調査する行為をポートスキャンと呼ぶ。Nmap(Network Mapperの略)は、オープンソース(GPLv2ライセンス)で開発・提供されているポートスキャンツール(ポートスキャナ)だ。NmapではOSが提供するソケット機能を利用するだけでなく、ポートスキャンに使用するパケットを独自に生成することで、高速

                                                        ポートスキャンツール「Nmap」を使ったセキュリティチェック | OSDN Magazine
                                                      • 一見スマホに見える銃が登場、セキュリティチェックをすり抜ける危険性

                                                        銃大国のアメリカで、スマートフォンのようなサイズ・形状のコンパクトな銃の発売の日がせまっていると報じられています。身に隠して携帯できることがウリの"スマートフォン・ガン"は、そのデザインから銃と見抜けない可能性があるため物議を醸しています。 Home | Ideal Conceal https://www.idealconceal.com/ You can now buy a gun that looks like a smartphone — police concerned - Business Insider http://www.businessinsider.com/you-can-now-buy-a-gun-that-looks-like-a-smartphone-police-concerned-2017-1 L'inquiétant "iPhone gun" débarqu

                                                          一見スマホに見える銃が登場、セキュリティチェックをすり抜ける危険性
                                                        • なぜ、セキュリティチェックシートはなくならないのか|大森厚志

                                                          はじめまして、セキュリティチェックシートの一元化に取り組むサービス「Assured(アシュアード)」の事業責任者を務めている大森と申します。 準備期間を含め約2年以上にわたりセキュリティチェックの課題に向き合ってきたことから、本問題について、私見を述べられたらと思い、この記事を書いています。 何か少しでも、同じ問題意識を持たれている方のお役に立てれば幸いです。 そもそも、セキュリティチェックとはSaaS/ASPの利用(検討)企業様(以下、クラウド利用企業様)とSaaS/ASPの提供企業様(以下、クラウド事業者様)の間で行われる、セキュリティに関するリスク評価業務を指します。 ※広義には委託先管理全般で用いられる言葉ですが、本記事では上記に絞り書かせていただいています。 多くは、各クラウド利用企業様毎に保有する、EXCEL等で作成された質問表をクラウド事業者様との間でやり取りする形で行われま

                                                            なぜ、セキュリティチェックシートはなくならないのか|大森厚志
                                                          • いきなり乱入者「日大学長会見、謎のおばちゃんによるキックオフ。次から次へとどんどん新キャラ出てくる」「このセキュリティチェックの甘さにじわじわ来てる」

                                                            乱入した御婦人についてはこちら→日大学長会見、乱入女性は72歳「名刺も出さずスーッと」入室「こちとら江戸っ子だい」/スポーツ/デイリースポーツ online https://www.daily.co.jp/general/2018/05/25/0011291278.shtml ニコ生はこちらにあがっているようです http://live2.nicovideo.jp/watch/lv313374535

                                                              いきなり乱入者「日大学長会見、謎のおばちゃんによるキックオフ。次から次へとどんどん新キャラ出てくる」「このセキュリティチェックの甘さにじわじわ来てる」
                                                            • 現場で使えるIoTセキュリティチェックシート、NIST-CSF準拠の第2版を無償公開

                                                              現場で使えるIoTセキュリティチェックシート、NIST-CSF準拠の第2版を無償公開:IoTセキュリティ 日本スマートフォンセキュリティ協会(JSSEC)の利用部会は、企業でIoT関連の機器やシステムを導入する場合のセキュリティ検討事項を網羅的にまとめた「IoTセキュリティチェックシート」の第2版をWebサイトで無償公開した。 日本スマートフォンセキュリティ協会(JSSEC)の利用部会は2019年2月28日、企業でIoT(モノのインターネット)関連の機器やシステムを導入する場合のセキュリティ検討事項を網羅的にまとめた「IoTセキュリティチェックシート」の第2版をWebサイトで無償公開した。IoT活用による工場や物流、小売り、オフィスなどのスマート化を目指す企業において、情報システム部門(IT)と設備システム部門(OT)の共通言語となることを目指し「第1版の発表から、3000社以上が加盟する

                                                                現場で使えるIoTセキュリティチェックシート、NIST-CSF準拠の第2版を無償公開
                                                              • 脆弱性スキャナ「OpenVAS」で実行するセキュリティチェック | OSDN Magazine

                                                                これらはそれぞれ同一のマシンで実行させることもできるし、異なるマシンで実行させることも可能だ。なお、Greenbone Security DesktopおよびOpenVAS CLIについてはLinuxおよびWindows向けのバイナリがリリースされているが、それ以外のコンポーネントについては基本的にはLinux向けとなっている。ダウンロードページではソースコードのほか、CentOS 6およびFedora 15~18、Red Hat Enterprise 6向けバイナリパッケージの入手方法が案内されている。なお、Debian GNU/LinuxやFedoraなどはその公式リポジトリでOpenVASのバイナリパッケージが提供されている。ただし、必ずしも最新のバージョンが提供されているわけではないので、それらを利用する際は注意してほしい。 今回は、CentOS 6.3をインストールした1台のサー

                                                                  脆弱性スキャナ「OpenVAS」で実行するセキュリティチェック | OSDN Magazine
                                                                • Apacheセキュリティチェック、PCI DSSの場合 - @IT

                                                                  第4回 Apacheセキュリティチェック、PCI DSSの場合 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/12/1 PCI DSSはペイメントカード業界だけではなく、セキュリティのチェックリストにも使える、というのがこの連載の趣旨でした。では、具体的にどのようにチェックを行っているのでしょうか。今回は身近な「Apache」を題材に、セキュリティ評価ベンダがなにをチェックしているのかを解説します(編集部) セキュリティ評価ベンダ(QSA)によるPCI DSSの訪問審査では、文書調査やインタビューのほかに、実際のOSやアプリケーションの設定を、画面上で目視確認することで、PCI DSSの要件に対応しているかどうかを調査します。今回は、QSAとして訪問審査を実施する際に確認するシステム上のポイントを、「QSAの視点」と称して、実際の

                                                                  • LinkedIn製AndroidセキュリティチェックTool、QARKを使ってみた

                                                                    LinkedIn製のAndroidセキュリティチェックTool「QARK」がオープンソースとして、Githubで公開されました。 QARKとは QARK(=Quick Android Review Kit)はAndroidアプリケーションの脆弱性を検知するセキュリティチェックToolです。ソースコードまたはAPKファイルからチェックが可能です。テスト端末のroot取得は不要で、ユーザーが通常利用する環境下の脆弱性に焦点を当てています。 動作環境 python 2.7.6 JRE 1.6+ (preferably 1.7+) OSX or Ubuntu Linux (Others may work, but not fully tested) 検知項目 次のような項目を検知します。 export可能なコンンポーネント(Activity,Serviceなど) 不適切なexportコンポーネント

                                                                      LinkedIn製AndroidセキュリティチェックTool、QARKを使ってみた
                                                                    • アメリカ国土安全保障省前長官が伝授! 空港のセキュリティチェックをすばやく通過する方法 | ライフハッカー・ジャパン

                                                                      いかに空港のセキュリティーチェックポイントを簡単にくぐり抜けるかというのは、なかなか重要な問題であります。トレイにモノを入れる順番など誰しもが自分なりのルールを持っているようですが、国土安全保障省前長官マイケル・チェルトフ(Michael Chertoff)氏も例外ではありません。彼は、トレイにモノを入れる順番からゲート通過、そしてすべてのアイテムをまた身につけるまでの順番について語っています。 Photo by Jennifer 8. 彼の方法の中心となるのは「ジャケット」です。財布や携帯機器、その他のものをトレイに入れるのではなく、それらすべてをジャケットのポケットにあらかじめ入れておきジャケットごとトレイに入れるのです。 トレイにも順番があり、ゲートをくぐり抜けた後に身につける順番で入れて行きます。 空港で書類を提示した後、書類は胸ポケットへ入れます。荷物の「スクリーニング」の際には

                                                                        アメリカ国土安全保障省前長官が伝授! 空港のセキュリティチェックをすばやく通過する方法 | ライフハッカー・ジャパン
                                                                      • Apple、macOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためで、2021年にはセキュリティチェック機能を改善するとコメント。

                                                                        AppleがmacOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためだと説明し、2021年にはより強固なセキュリティチェックを導入するとコメントしています。詳細は以下から。 Appleが2020年11月より正式に提供を開始した「macOS 11 Big Sur」では、Beta段階から新たに導入されたNetworkExtensions APIsにホワイトリストが用意され、このリストに記載されているFaceTimeやシステムアップデートなどApple製の56アプリ/サービスのトラフィックはNetworkExtensions APIをバイパスしてファイヤーウォール系のアプリでチェックできない問題や、 ユーザーがいつアプリを起動したかや、アプリのハッシュ値(Unique ID)などを収集している問題などが確認され、セキュリティ界隈で話題

                                                                          Apple、macOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためで、2021年にはセキュリティチェック機能を改善するとコメント。
                                                                        • ポートスキャンツール「Nmap」を使ったセキュリティチェック | さくらのナレッジ

                                                                          サーバーの基本的なセキュリティ対策の1つとして重要なのが、ネットワーク内のどのマシンがどのポートでサービスを提供しているのかを把握することだ。このために有用なのが、ポートスキャナと呼ばれるツールだ。本記事ではポートスキャナとして有名な「Nmap」というソフトウェアを使用し、ポートスキャンを行う方法について解説する。 定番のポートスキャナ「Nmap」とは 対象として指定したホストに対してポート番号を変えながらIPパケットを送信し、その反応を調べることでどのポートが外部からアクセス可能なのかを調査する行為をポートスキャンと呼ぶ。Nmap(Network Mapperの略)は、オープンソース(GPLv2ライセンス)で開発・提供されているポートスキャンツール(ポートスキャナ)だ。NmapではOSが提供するソケット機能を利用するだけでなく、ポートスキャンに使用するパケットを独自に生成することで、高速

                                                                            ポートスキャンツール「Nmap」を使ったセキュリティチェック | さくらのナレッジ
                                                                          • APIセキュリティチェックリスト(APIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリスト) - もた日記

                                                                            API Security Checklist github.com GitHubのトレンドリポジトリを眺めていたらAPIセキュリティチェックリストというものがあった。 日本語訳も最近追加されたみたい。 API-Security-Checklist/README-jp.md at master · shieldfy/API-Security-Checklist · GitHub 内容は、 API Security Checklist これはAPIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリストです。 認証(Authentication) Basic認証を使用してはならない。標準的な認証を使う。(例 JWT, OAuth) 認証, トークン生成, パスワードの保管において車輪の再発明をしてはならない。 最大ログイン試行回数 (Max Retry) と、jail fe

                                                                              APIセキュリティチェックリスト(APIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリスト) - もた日記
                                                                            • 空港のチェックイン時間を半分に短縮し業績5倍アップに成功、いかにしてセキュリティチェックを改善したのか?

                                                                              by James Emery 空港では飛行機に搭乗する前に、チェックインカウンターや荷物のセキュリティチェックなどで長い時間行列に並んで待たされることがあります。そんな乗客の不満を解消するため、スイスのジュネーブ空港では施設内でBluetoothとWi-Fiセンサーを活用して、乗客が行列に並ぶ時間を半減させた上に、業績を前年度の5倍以上にアップすることに成功しています。 Genève Aéroport Cuts Wait Times by Half : Blip Systems http://blipsystems.com/geneve-aeroport-cuts-wait-times-by-half/ ジュネーブ空港は、スイス国内で2番目に利用者数の多い空港であることから、既存のセキュリティチェックの設備配置やチェック方法の改善に2014年から取り組んでいます。一環として、デンマーク企業

                                                                                空港のチェックイン時間を半分に短縮し業績5倍アップに成功、いかにしてセキュリティチェックを改善したのか?
                                                                              • 「Mirai」に備えよ、JPCERT/CCがIoTセキュリティチェックリストを公開

                                                                                JPCERT コーディネーションセンター(以下、JPCERT/CC)は2019年6月27日、IoT(モノのインターネット)製品の開発者や製品の導入利用者向けに、「IoTセキュリティチェックリスト」を公開した。同リストはセキュリティインシデントが頻発するIoT製品の開発、利用時に最低限配慮すべき39項目を列挙しており、JPCERT/CCは「製品のセキュリティ機能を確認する第1歩として使ってほしい」と呼びかけている。 JPCERT/CCは2019年6月26日、東京都内で記者向けに説明会を開催し、同リストの作成背景や意図、利用法を解説した。同団体で早期警戒グループ 情報セキュリティアナリストを務める輿石隆氏は、IoT製品に関するセキュリティインシデントが増加傾向にあると警鐘を鳴らす。 輿石氏はIoT製品に対する脅威の代表格として、2016年から猛威を振るうマルウェア「Mirai」を挙げ、製品開発

                                                                                  「Mirai」に備えよ、JPCERT/CCがIoTセキュリティチェックリストを公開
                                                                                • 初級者でも分かる「情報セキュリティチェックリスト」を経済産業省が公開

                                                                                  「経営者は守るべき情報を把握している?」から始まるチェックリスト 経済産業省の調査によると、技術が流出したと考えられる事例の流出経路として「取引先による流出」が過半数を占めているという。技術情報は事業者にとって競争力の源泉であり、技術情報の流出は共同研究などオープンイノベーションに取り組む際の課題になる。こうした背景もあり、同省は2018年に技術情報管理認証制度を創設した。 関連記事 システム運用は「全自動化」への過渡期 「設計」ができる人材が不可欠だ 2023年1月に開催された@IT主催オンラインイベント「『予算や人が足りない』からこそ『データ』に頼れ デジタルシフト時代、エンドユーザーの期待に応える運用変革」において、千葉工業大学教授の角田仁氏が基調講演「オペレーションからエンジニアリングへ~運用管理の誤解を解き、仕組みと人材を革新して『過渡期の時代』を乗り切ろう~」と題して講演した。

                                                                                    初級者でも分かる「情報セキュリティチェックリスト」を経済産業省が公開