【最大55%OFF】Kindle本コンピューター&IT関連本セール、続・カドカワ祭ゴールデンなど開催中
デジタル庁は10月26日、日本政府の共通クラウド基盤「ガバメントクラウド」として、「Amazon Web Services」と「Google Cloud Platform」を選んだと発表した。「公募に3社の応募があったが、セキュリティや業務継続性など350の項目を満たした2社を選定した」(同庁)という。 デジタル庁は今後、同庁のWebサービスなどをAWSとGCPで構成したマルチクラウド基盤に構築。他省庁の新システムなども、クラウド移行を行う場合はガバメントクラウドの活用を検討する。自治体のシステムの提供基盤も2025年度末までに共通化し、政府・自治体間のデータ移行や、既存システムの機能拡張をしやすくするとしている。 クラウド化により、各自治体のサーバ導入・運用コスト削減も見込む。複数の民間事業者がガバメントクラウド上に業務用アプリなどを開発し、自治体が状況に合わせて導入を判断できるようにす
1982年、埼玉県生まれ。東京地下鉄(東京メトロ)で広報、マーケティング・リサーチ業務などを担当し、2017年に退職。鉄道ジャーナリストとして執筆活動とメディア対応を行う傍ら、都市交通史研究家として首都圏を中心とした鉄道史を研究する。著書『戦時下の地下鉄 新橋駅幻のホームと帝都高速度交通営団』(2021年 青弓社)で第47回交通図書賞歴史部門受賞。Twitter @semakixxx ニュース3面鏡 インターネットの登場以来、以前にもまして巷にはニュースがあふれ返っています。そうしたニュースや出来事の中から、DOL編集部が気になる出来事を厳選し、正面のみならず右から左から、価値あるニュース、楽しいニュースをお届けします。 バックナンバー一覧 9日夜、東海道新幹線で起きた殺傷事件は、新幹線のセキュリティ対策の限界を改めて浮き彫りにした。東京オリンピックまであと2年。JR各社はセキュリティ対策
はじめに 昨年、Googleから Google Cloud Platform に関するWhitePaperがいくつか公開されました。その中でGoogleのサービス内部で使われている新しいALTSというプロトコルを説明した文書「Application Layer Transport Security」は、読んでみると非常に面白く、セキュアなサービス間通信には本当に何が必要なのか、といったことを改めて深く考えさせられるものでした。物理的なマシンからサービス運用まで、ALTSがカバーする範囲は幅広い領域に渡り、あの巨大なGoogleのサービスをよくここまでまとめ上げたものだとホント感心させられます。 以前から、Googleはデータセンタ内のサービス通信までも暗号化を進めていると言われていました。それは、2013年にエドワード・スノーデンが暴露した資料が、Googleのデータセンタ内部の通信データ
さくらインターネット、セキュリティ・プロフェッショナル集団ゲヒルン株式会社を子会社化 〜情報セキュリティ分野のサービスと人材を強化〜 インターネットデータセンター事業を運営するさくらインターネット株式会社(本社:大阪市中央区、代表取締役社長:田中 邦裕)は、セキュリティ分野のサービスと人材強化のために、セキュリティコンサルティングやウェブサイトの脆弱性診断サービスなどを提供するゲヒルン株式会社(本社:東京都千代田区、代表取締役:石森 大貴、以下、ゲヒルン)の全株式を取得し、完全子会社化することを決議いたしました。 近年、インターネット環境においては、重要インフラへのサイバー攻撃が急増、その攻撃手法も多様化・巧妙化しており、セキュリティ対策の重要性が一層高まっております。その一方で、優秀なセキュリティ・エンジニアの不足が叫ばれて久しく、企業はセキュリティ人材の確保に苦労している状況です。 今
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング(XSS)」と呼ばれる脆弱性が有名で、「特集 クロスサイトスクリプティング対策の基本」という記事で詳細に解説した。しかし、Webアプリケーションに潜む脆弱性はXSSだけではなく、XSSよりもはるかに危険性の高いセキュリティーホールが存在する。 本稿では、Webアプリケーシ
ソースコード管理ツールのGitLabを提供するGitLab,Incは、1200人以上いる社員全員がリモートで働いていることでも知られています。 そのGitLabが社内のセキュリティ対策演習として社員にフィッシングメールを送信。実際に引っ掛かった社員がいたことなどを明らかにしました。 具体的には「レッドチーム」と呼ばれる社内の専門チームが、ランダムに選んだ社員50人に対して、情報部門からの連絡を装った「あなたのノートPCがMacBook Proにアップグレードすることになりました」という内容のメールを送信。 メールの末尾に、手続きのためのリンクが張られており、このリンク先のフィッシングサイトでGitLab社員がIDとパスワードを入力すると、これらの情報が盗まれる、というものです。 フィッシングメールには怪しい点がいくつも込められていた ただしこのメールには、あらかじめフィッシングメールらしい
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
私は出先部署のセキュリティ担当者だ。大学の専攻は異なるが、本来業務に上乗せでやらされている。ここ10年、誰かがやらないといけないことだからやってきた。 やりたくてやってる訳じゃない。100%ただの善意、ボランティアである。 これまで色々なことがあった。 1)お局対応 「都度アップデートなんて面倒臭いからやりたくない」「貴方が定期的にやれば良いじゃない」 →いつ使用システムのアプデが発生するかなんて誰にも分からない。お前が使うタイミングに合わせてアプデしろとか私はお前の奴隷じゃない。そもそも部署が違う。爆発しろ。 2)馬鹿対応 「私は貴方より役職が上だから貴方の言うことなんて聞く必要無い。アップデートなんて不要でしょ。」 →論外。爆発しろ。 3)上司対応 「増田君、パソコン好きだったよね。これもあれもチャチャっとやっちゃってよ。」 →「好きではありません。システム使わないと仕事が終わらないか
当サイトについて 当サイトは、日本の主な銀行・ネットバンクのATM手数料・振込手数料・インターネットバンキング・円預金・円定期預金・外貨預金・FX・住宅ローン・カードローン・投資信託・セキュリティと、それぞれのキャンペーンを比較し、銀行ランキング・手数料一覧・金利一覧・掲示板・最新銀行キャンペーン情報などから、みなさんが「よりよい銀行」を選ぶ手助けをしたいと考えています。もう「間違いだらけの銀行選び」、やめませんか?
9月24日(金)の21時半頃から9月25日(土)0時27分にかけてGIGAZINE・毎日jp・Impress・Slashdot・価格.com・食べログ・みんなの株式・みんカラ・J-CASTなど多数のサイトのページを見た一部ユーザーが偽セキュリティソフト「Security Tool」に感染している可能性が明らかになりました。原因はページ内に表示していたマイクロアド社の広告が原因、この広告を配信していた多数のサイトでも同様の被害が発生していたとのことです。 GIGAZINEでは即座に原因を特定したため、マイクロアドの広告を非表示にし、今も念のため非表示処理を続行しています。もう少し早くこちらで特定できればもっと早くに非表示にして被害を抑えることができたのですが、これが限界でした、非常に申し訳ないです。 現時点までで明らかになった経緯まとめと「Security Tool」の駆除方法などは以下から
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク
こんにちは、臼田です。 みなさん、AWSセキュリティやってますか?(挨拶 今回は開催中のre:Invent 2020にて発表された「AWSセキュリティのための10のこと」最新版について紹介します。 前置き 「AWSセキュリティのための10のこと」は実は昨年行われたre:Invent 2019にてAWSのCISOであるスティーブ・シュミット氏が発表していました。 その時の内容は以下AWSブログでも紹介されています。 AWS アカウントのセキュリティを改善するための 10 個の項目 | Amazon Web Services ブログ 上記では「AWSアカウントのセキュリティを改善するための10個の項目」というタイトルですが、長いので私は「AWSセキュリティのための10のこと」と勝手に表現しました。決して公式の表現ではないのでご容赦を。 で、上記は以下の10項目になっています。 アカウント情報を
こんにちは、エンジニアの cocoiti です。 竹迫 良範氏が8月1日付けでメルカリの技術顧問として就任したことをお知らせいたします。氏には、主にセキュリティ分野の体制強化にご尽力いただきます。 これまでもメルカリではセキュリティの取り組みとして、内部のエンジニアによる調査検証体制や、外部会社の調査を行っていました。今回、急成長するサービスや社員数増加に対応するため、セキュリティ分野の内製エンジニアの採用強化や、社内のエンジニアの体系的なセキュリティスキルの向上など、非連続的な成長が急務と考え、セキュリティ及び技術マネージメントに造詣の深い竹迫氏を技術顧問としてお迎えすることとなりました。 竹迫氏は現在、ゼクシィやスタディサプリなどを運営する株式会社リクルートマーケティングパートナーズにおいて内製開発エンジニア組織の体制強化と人材育成でご活躍されています。また対外活動として長年セキュリテ
セキュリティ相談を受けたときに引用したい記事・ニュース集・事例集 これは何? セキュリティ相談受けた際、過去のインシデントや事例などを引用して、「その対策必要なの?」というい疑問への説得力を持たせたりすることがあります。 が、その場で思い出せることは稀です。よく引用できていますが、「どっかにあった気がするんだけどな〜」と思って思い出せないことが7割くらいな気がします。 そんなことがないように、ここにまとめていきます。 いつかまとめたいと思っていたんですが、すぐ思い出せないので永遠に先延ばしにしていたので、未完成のまま公開します。 少しずつ思い出す度に増やします。 BetterThanNothingの精神です。 参考: https://www.youtube.com/watch?v=bnfPUrJQh1I 事例集 各種プロダクトのセキュリティガイドラインなど メルカリさんのgithub ac
「iOS 7」を安心して使いたい人のための“セキュリティ対策10選”:iPhoneから個人情報が丸見え!?(1/4 ページ) ←・見づらい? 使いづらい? を解消:「iOS 7」にまだ慣れない人のための“基本ワザ10選” iOSは比較的セキュリティの高いモバイルOSとして知られるが、設定によっては思わぬ危険が潜んでいる。特に最新の「iOS 7」は、ユーザーの手間を減らす便利な新機能が多数加わった半面、ロック画面から個人情報が漏れやすく、セキュリティに対する一層の注意が必要だ。 ここでは、iOS 7を安心して使いたい人へ、10の対策を紹介しよう。 (1)ロック画面を回避できない「iOS 7.0.2」にアップデートする iOS 7のダウンロードは2013年9月19日(日本時間)に始まったが、その直後に特定の操作でロック画面のパスコード入力を回避できてしまう問題が発覚した。 そこで、アップルはこ
McAfee+ Individual Plans Complete privacy, identity and device protection for individuals.
AWSは今エンタープライズ祭り AWSと聞いて、ホームページを運営するためのレンタルサーバーぐらいに思っている方は認識を改めた方が良いかと思います。今、AWSをエンタープライズ分野で利用する企業が増えています。そこで、必ずといっていいほど出てくるキーワードが、セキュリティです。まぁ、自前でラックを用意して運用するよりも、AWSに預けた方が安全なのは明らかなのですが、セキュリティがザルなオンプレからクラウドに移行するにあたって、改めて考えてみようということで読んで頂ければと思っています。今回は、トレンドマイクロ社が公開しているホワイトペーパーを読みながら理解を深めます。 クラウドコンピューティングとは 毎度おなじみの用語の定義です。ここでは、NIST(The US National Institute of Standards and Technology)が定義するクラウドコンピューティン
Qiita上で「ゲームでよくされるチート手法とその対策 〜アプリケーションハッキング編〜」という記事がいいね数を集めているようですが、全セクションにツッコミどころがあるような印象です。私はセキュリティ本職というわけではありませんが、素人の私から見てもひどいと思ったところだけ個別にツッコミを入れてみます。 念のため補足しておくと、誰であろうと情報発信すること自体は大変良いことです。ただ、誤りを含んだ文章がウッカリ注目されてしまうとそれを信じてしまう人も出てくるので、大人げないと思いつつツッコミを入れる次第です。 デコンパイル(逆コンパイル) 2.の詳しい解説として、C/C++で記述されたコードをコンパイルすると機械語に変換されます。これを逆コンパイルしても、逆アセンブラまでにしかなりません。そのため、この状態ではソースコードの中身を解析するのは(人間では)非常に困難なため、ネイティブコードで
日本経済新聞社は5月18日、新卒エンジニア向けセキュリティ研修資料を無償公開した。同社が4月の新人研修で使用した34ページの資料。同社のエンジニアたちが作成したという。 今回の資料では、「セキュリティに対してポジティブに付き合えるようになる」などを目的に、直近で話題になったセキュリティに関するトピックやセキュリティを取り巻く環境などを紹介している。 同社では2017年から、新卒エンジニアを対象にしたデジタル分野の講義を行う研修を実施している。配属後に必要となる基礎知識の習得や、企画立案を進めるためのデータを取り扱うスキルの習得などを目的としているという。 23年はセキュリティ研修の他、Web APIやモバイルアプリ開発、UI/UX、機械学習などに関する講義を実施。セキュリティ研修は、講義とハンズオンの2回に分けて行い、座学で基礎を学んだ後、サイバーセキュリティの学習サービス「KENRO」で
「セキュリティ意識が高すぎ」とネットで話題――3要素認証の「ATM型貯金箱」はなぜ生まれた? ちゃお編集部に聞く:週末エンプラこぼれ話(1/4 ページ) 1977年に創刊した、小学館の女児向け雑誌「ちゃお」。2018年12月に発売された「ちゃお2月号」にネット上がざわついたのをご存じだろうか。その理由は、ふろくの「ATM型貯金箱」。3要素認証を備えた“超強固”な貯金箱は、どのようにして生まれたのだろうか。 「ちゃおっ娘」のセキュリティ意識が高過ぎる――。 2018年も終わろうとしているころ、ある雑誌の“ふろく”にネット上がざわついた。それは、小学館の女児向けマンガ雑誌「ちゃお」2月号のふろくである「タッチ認証!ATM型貯金箱」だ。 ちゃおのメインターゲットは小学4~6年生の女子。そんな子ども向けのおもちゃがなぜ大きな注目を集めたのか。それは貯金箱のロックを解くために必要な“認証技術”にある
すったもんだの末にWindows XPのサポート期限が5年間延長され、2014年4月8日までセキュリティパッチが提供されることになりましたが、それ以降もパッチが提供される可能性が高いことをコンピューターワールドが伝えています。サポート期限が近づく中、はたしてMicrosoftはどういう結論を下すのでしょうか。 Microsoft will craft XP patches after April '14, but not for you - Computerworld http://www.computerworld.com/s/article/9241912/Microsoft_will_craft_XP_patches_after_April_14_but_not_for_you 来春、Microsoftは、およそ12年前にリリースしたWindows XPのサポートを終了することになっ
新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大しています。Web会議サービスの活用は大変有益である一方、盗聴、情報漏えい、サイバー攻撃等のセキュリティリスクに十分注意する必要があります。IPAではWeb会議サービスを使用する場合に注意すべきセキュリティ上のポイントを「Web会議サービスを使用する際のセキュリティ上の注意事項」としてまとめました。資料をダウンロード頂き、ご活用いただければ幸いです。 対象読者:法人組織のWeb会議主催者、および、情報システム管理部門 「会議データの所在」、「暗号化」、「会議参加者の確認・認証方式」等をWeb会議サービス選定時に考慮すべきポイントとしてあげてます。 Web会議サービスを安全に使用する際の注意事項として、会議準備、会議実施のタイミングでの注意すべきポイントをまとめています。 資料は以下からダウンロード
不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
By Ron Bennetts ウェブメールサービスやSNS、ネットバンキングなどの増加により、パスワードを設定する機会が多くなっていますが、同じパスワードを複数のサイトに登録する人は多いようで、マカフィーの発表によると、全ネットーユーザーのうち74%が同じパスワードを複数のウェブサイトで使用しており、また、よく使われているパスワードは「password」「123456」「12345678」でハッカーにとってかなりクラックしやすくなっているとのこと。マカフィーはインターネットユーザーに対し注意喚起の意味をこめて、クラックされにくいパスワードの設定方法を公開しました。 Are you Hackable or Uncrackable? “Password Day” is Today! | Blog Central http://blogs.mcafee.com/consumer/passwor
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Websecurifyは主立ったWebサーバにおけるセキュリティチェックを自動化してくれるソフトウェアです。 Webサイトを巡るセキュリティ問題は多々あります。自動化されている攻撃ソフトウェアもあり、ちょっとした油断で一気に重要データが引き抜かれたり、逆に破壊されてしまう可能性があります。それを事前に確認すべく使っておきたいソフトウェアがWebsecurifyです。 メイン画面です。 テストを行うURLを入力します。実行前に確認が出ます。 テストの実行中です。 完了しました。 レポート画面でインシデントの詳細が確認できます。 Websecurifyは代表的と言えるセキュリティチェックについて自動で行ってくれます。SQLインジェクション、ローカルファイルの読み込み、クロスサイトスクリプティング、CSRFなど多岐にわたります。サーバの種別を判断した上でやり方を変えるので、より確度が高くなります
2月1日~3月18日は「サイバーセキュリティ月間」です。 普及啓発活動へご協力ください。 不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。 誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。 このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く