14日、NHKにて「プロフェッショナル仕事の流儀 サイバーセキュリティー技術者 名和利男」が再放送されました(2015年9月放送のもの)。 サイバーセキュリティー技術者の中でも最高の技術を持つ「トップガン」と称される名和利男氏のお話し。年々巧妙化し、かつ悪質化しているサイバー攻撃に対応し、日本を守るすごい人。 再放送とはいえ、2chではかなりの盛り上がりに。「神回」の言葉にふさわしく、感心する人が多かったようです。
プロフェッショナル仕事の流儀が神回!セキュリティー技術者、名和利男氏の覚悟が凄すぎる : IT速報
14日、NHKにて「プロフェッショナル仕事の流儀 サイバーセキュリティー技術者 名和利男」が再放送されました(2015年9月放送のもの)。 サイバーセキュリティー技術者の中でも最高の技術を持つ「トップガン」と称される名和利男氏のお話し。年々巧妙化し、かつ悪質化しているサイバー攻撃に対応し、日本を守るすごい人。 再放送とはいえ、2chではかなりの盛り上がりに。「神回」の言葉にふさわしく、感心する人が多かったようです。
セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ
こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。 情報収集の方法って、学生さんももちろん、セキュリティエンジニアの方同士も「他の人はどうやっているんだろう?」と思っているネタなのではと思いまして、今回ブログのテーマにすることにしました。 ということで、私と同じデジタルペンテスト部に所属している一部のセキュリティエンジニア約30名に協力してもらい、セキュリティ技術の情報収集に関するアンケートを実施しました。結果をご紹介します。 1:セキュリティ技術の情報収集は何を使って実施していますか(複数回答可) 1位:Twitter 2位:ニュース系サイト 3位:書籍・ブログ(同数) 4位:脆弱性情報データベース 5位:
2014年10月に江戸前セキュリティ勉強会で発表させていただいた資料。テーマは「セキュリティ技術者になるには」です。Read less
Webセキュリティ技術のキャッチアップ
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
あらゆるものがインターネットにつながる時代。パソコンやスマートフォンは私たちの日常生活や仕事に欠かすことのできないものになっています。 一方で、公的な機関へのサイバー攻撃が相次いだり、企業の顧客情報などの個人情報が流出する事件が多発するなど大きな社会問題になっています。そして、悪意ある者のその手口は、ますます巧妙化しています。しかし、日本では、そんなサイバー攻撃から企業などの情報を守る情報セキュリティ技術者が不足しているといいます。 今夜は、情報セキュリティ技術者の不足を解消するためにはどうすればよいか?を考えます。 コンピューターへの不正侵入、データの改竄(かいざん)や破壊、情報漏洩(ろうえい)、コンピューターウイルスの感染などがなされないように、コンピューターやコンピューターネットワークの安全を確保することをいいます。 そして、情報セキュリティ技術者とは、組織の情報の、何をどう守
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 開発者がセキュリティについて考えていないと批判されることはしばしばある。しかしLinuxカーネルの生みの親であるLinus Torvalds氏は、開発者やエンドユーザーのことを気に掛けないセキュリティ関係者の存在に嫌気がさしているようだ。 同氏は米国時間11月17日、Linuxカーネルのメーリングリストにおいて、カーネルのセキュリティ強化という名目で開発プロセスをないがしろにしようとした一部の開発者らを強く批判した。その後同氏は21日に別の投稿で、近視眼的にセキュリティを追求する彼らの行為に対する自らのフラストレーションについて、より落ち着いた論調で説明した。 Torvalds氏は、カーネル内でセキュリティを多層化するのは良い考えだとい
Googleは、2013年1月、セキュリティに関する研究結果を公表した。このレポートは「Authentication at Scale」というタイトルで、ユーザー認証技術についての評価報告である。Googleはこのレポートで、「パスワードとCookieで利用者を守ることはできない」と結論付け、新たな技術の導入を検討していることを明らかにした。 ユーザー認証にハードウエア・キーを利用 Googleが評価している技術の一つがYubiKey (ユビキー) という製品である。この製品は、Palo Alto (カリフォルニア州) に拠点を置く、Yubico (ユビカ) というベンチャー企業により開発されている。YubicoはRSA Conferenceに同社の最新技術を出展していた。 Yubicoのブースにおいて (上の写真、出展はすべてVentureClef)、John Salterから、製品デモ
Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls
はじめに 脆弱性対応に追われる状況は、開発からデプロイまでの時間を浪費し、またサイバー攻撃への対応力を弱めがちです。そこで、開発者が最初からセキュアにソフトウェアを構築する能力を身につける必要性が高まっています。前回の記事では、深刻な影響のある10の脆弱性についてまとめた「OWASP Top 10」から、それぞれの脆弱性についての解説や、開発者の方に活用してほしいOWASPコミュニティの成果物を紹介しました。OWASP Top 10によりソフトウェア・セキュリティの世界の扉を開くきっかけになれば幸いです。 OWASP Top 10では各脆弱性の概要、脆弱性の有無の確認方法、防止方法などを理解できることを紹介しました。このドキュメントは、脆弱性そのものを軸として説明がなされていることから、事前の対策、すなわち脆弱性が発生しないようにするための防止方法を軸として見た視点とは異なっています。その
hiro_ on Twitter: "セキュリティ技術を学びたいんだけど、どうすればいいの?と聞かれるのですが、一番、もっとも効果的で手っ取り早いのは、毎月リリースされている「マイクロソフト著:月刊:Patch Tuesday」リリースノートを読み込んで、書かれている… https://t.co/j5XLe9QrZa"
セキュリティ技術を学びたいんだけど、どうすればいいの?と聞かれるのですが、一番、もっとも効果的で手っ取り早いのは、毎月リリースされている「マイクロソフト著:月刊:Patch Tuesday」リリースノートを読み込んで、書かれている… https://t.co/j5XLe9QrZa
富士通研究所は11月15日、異なる仮想通貨の交換や決済を簡単・安全に実行できるセキュリティ技術として「コネクションチェーン」を開発したと発表した。 同社によると、仮想通貨を使った資金調達手段である「ICO」など、仮想通貨の発行が注目されているが、ブロックチェーンで管理される仮想通貨間の決済には、それぞれのブロックチェーンの境界で通貨を交換処理するアプリケーションが必要であり、その部分の透明性確保や複数のブロックチェーンの取引タイミングを制御して、連続する一連の取引として扱えるようにするには課題があったという。 そこで、複数のブロックチェーン間を新たなブロックチェーンで接続し、各チェーンにおける一連の通貨交換に関わる取引処理を紐づけることで全体をひとつの取引として自動実行する「スマートコントラクトの拡張技術」と、各チェーンでの取引処理の実行タイミングを同期させる「トランザクション制御技術」を
情報処理推進機構:情報セキュリティ:調査・研究報告書:情報セキュリティ技術動向調査(2008 年下期) 5 テンポラリファイルの扱い
2008年下期には、Perl の File::Path モジュールの rmtree 関数に関する CVE が 3件発表された。 (CVE-2008-2827, CVE-2008-5302, CVE-2008-5303)また、symlink attack に関する CVE は 100件以上出ている。 テンポラリファイルの扱いに関する問題は古くからあるが、いまだに多くの問題が発生する。そこで本稿ではテンポラリファイルの扱いかたについて解説する。また、安全な削除に利用できる新しいシステムコールが提案されているので、それについても触れる。 テンポラリファイルはプログラムが一時的に利用するファイルである。 Unix においては /tmp や /var/tmp というディレクトリが提供されており、すべてのユーザがそのディレクトリ下にテンポラリファイルを生成・削除するのが慣習である。本稿では、これらのデ
独立行政法人 情報通信研究機構(NICT)は11月30日、12月1日の2日間にわたり「NICTオープンハウス」を開催した。その講演の一部をレポートしよう。 独立行政法人 情報通信研究機構(NICT)は11月30日、12月1日の2日間にわたり「NICTオープンハウス」を開催した。このイベントはNICTの最新の研究成果を講演、デモンストレーション、パネル展示を通して紹介するものだ。本記事ではその講演の一部をレポートしよう。 nicterやDAEDALUSが作られた背景――「サイバーセキュリティ研究の最前線」 サイバーセキュリティ研究室の井上大介氏からは、NICTの研究成果であるインシデント分析センター「nicter」や、対サイバー攻撃アラートシステム「DAEDALUS」の解説とデモが行われた。 NICTは以前より、思わず目を引かれるインターフェイスのツールを製作、提供している。INTEROPな
米ツイッターが2月1日に25万人にも及ぶ個人情報が流出したことを明らかにしてから、1カ月が経過した。流出した件数は、2億を超えるアカウントのうちの25万だが、同サービスのユーザーにはいくつかの影響が推測される。その後も、米フェイスブックや米マイクロソフトへのサイバー攻撃が相次ぐなか、ツイッターから流出した情報の意味と影響が及ぶ可能性を整理し、同様のサービスから情報が流出したときにユーザーが取るべ
この何年かでWebアプリケーションは、サーバ上のみでプログラムが動作するものから、多くのJavaScriptコードがWebブラウザで動作し、背後でサーバと連携して、リッチかつスムーズな操作感を提供するものへと進化してきた。このことは、Webブラウザ上に悪意のスクリプトを送り込む「スクリプト注入(XSS)」攻撃を、より防止しづらく、悪用の懸念がより大きなものに変化させた。本稿は、WebアプリケーションにAjax等の進化をもたらした技術について振り返るとともに、スクリプト注入対策を考慮すべき新たな文脈について論じるものである。 Ajax(Asynchronous JavaScript and XML)[1]は、必要となるデータを非同期でWebサーバから取り寄せつつ、Webブラウザの画面上でなめらかな操作性を提供する形態のJavaScriptプログラムのことである。かつてのブラウザにおいてはこの
By Ian Lamont オンラインストレージサービスを運営しているDropboxでは脆弱性報奨金制度を行っており、報告の内容によっては最高で約3万3000ドル(約350万円)の報奨金を支払う制度を導入しています。しかし、昨今のセキュリティ研究者は脆弱性情報を公開することで「企業に損害を与えた」として訴訟されるケースがあり、セキュリティ技術の発展を妨げている状況にあるとDropboxが指摘しています。そこで、Dropboxはセキュリティ研究者を守るための脆弱性公開ポリシー(VDP)を更新し、他企業でも利用できるようにテンプレート化したとのことです。 Protecting Security Researchers | Dropbox Tech Blog https://blogs.dropbox.com/tech/2018/03/protecting-security-researcher
In 2017, Microsoft announced the ARM version of Windows. The number of devices with ARM version of Windows is increasing, such as Surface Pro X series and HP ENVY x2, and it is gradually becoming popular. When using these ARM devices, there is a compatibility issue that existing x86/x64 applications cannot be used. However, this problem has been addressed by providing x86/x64 emulation capabilitie
EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。
セキュリティー意識の重要性と技術 日常圏内にさまざまなデジタル端末が普及することで、いまやネットワーク空間におけるセキュリティに関する意識はエンジニアのみならず、我々一般的なコンピューターユーザーにも浸透しつつある。SECCONとは、未来のセキュリティのスペシャリストを育成すべく、その実践的な技能を競う日本最大のコンテスト。CTF(Capture The Flag)という世界共通のゲーム形式でネットワーク、プログラミング、バイナリ解析、暗号解読などの技術を競う国内予選を経て、来る2015年2月開催の全国大会に挑む選手が選ばれる。 バイナリ解析や、暗号解読というと……ネットワークのセキュリティを脅かす者=ハッカーと同じと思われる方もいるかもしれない。誤解を恐れずに言うならば、技術を持っているという意味では同根のものだろう。ただ、その知見や技術をどのように活かすかが異なる点であり、例えば往年の
IE9は、ファイルをダウンロードしようとするたびに警告を表示するのではなく、ファイルの「レピュテーション(評判)」を基に不要な警告を出さないようにする技術を採用している。 Microsoftの次期ブラウザ「Internet Explorer(IE)9」はHTML5対応が大きな特徴となっているが、新たなセキュリティ機能も備えていると、Microsoftが明らかにした。 IE9では新しいダウンロードマネージャが搭載され、ダウンロードの進捗確認やキャンセルなどが簡単になるほか、マルウェアフィルター「SmartScreen」にダウンロードレピュテーション技術が組み込まれる。この技術は、ダウンロードしようとするファイルのレピュテーション(評判)データに基づいて、ファイルの安全性を判定する。よく知られている一般的なファイルには不要な警告を出さず、リスクが高いファイルにはより厳しい警告を発するという。
OpenID 2.0 は実装を容易にするために、ユースケースを「OpenIDプロバイダのID情報を用いた、RPへのログイン/属性提供」に限定した仕様となっている。その結果、以下のような要件を満たすことは、仕様の範囲内では容易ではない(図2)。 機能の制限された Web ブラウザへの対応 OpenID 2.0 では、ユーザ・エージェントとして一般的なWebブラウザを対象としており、ある程度大きなURL長を処理する能力や、リダイレクト機能などを有する必要がある。そのため、携帯端末などのように機能が制限された環境のWebブラウザでは、OpenID 2.0 プロトコルを処理できない場合がある。 セキュリティ要件への対応 OpenID 2.0 プロトコルでは、Web サイト間でのID情報の要求(認証リクエスト)ならびにその提供(アサーション)は、Webブラウザのリダイレクト機能を用いて、平文のメッセ
ハッキングコンテストでIEやSafari、Firefoxの最新版が破られ、Microsoftの最新のセキュリティの仕組みもかわされた。 カナダでこのほど開かれたセキュリティカンファレンス「CanSecWest 2010」で、今年もブラウザのハッキングコンテストが開かれた。セキュリティ企業の米Symantecがブログでその結果を報告、攻撃阻止を目的としたセキュリティ技術の効果について考察している。 ハッキングコンテストではMicrosoft Internet Explorer(IE)、Mozilla Firefox、Google Chrome、Apple Safariの各ブラウザ最新版が標的となった。参加者は64ビット版Windows 7のIE 8で2件の脆弱性を突いて任意のコードを実行することに成功。さらに、OS XのSafari、Windows 7のFirefoxも破られ、Microso
パナソニックは2月20日、AI(人工知能)を活用してビルオートメーション(BA)システムをサイバー攻撃から守るセキュリティ技術を開発したと発表した。1月末から森ビルが所有するビルの実データを使った実証実験を始めている。 BAシステムは、ビルの電気や空調設備、防災・防犯設備、エレベーターといった機器を総合的に監視、管理、制御する情報システムのこと。 昨今、ビル設備の多くは省エネや管理の省力化のため、BAシステムのネットワークを利用して集中制御されている。一方で、BAシステムのオープン規格プロトコルである「BACnet IP」が普及したことで、サイバー攻撃の標的にもなりやすくなった。また、暗号鍵の管理の煩雑さから認証機能が使われていなかったり、なりすまし攻撃が容易だったりと脆弱性(ぜいじゃくせい)が問題になっているという。 パナソニックの大庭達海さん(製品セキュリティセンター セキュリティ技術
関連キーワード PayPal | ウイルス対策 | マルウェア | セキュリティリスク 米PayPalは、ポリモーフィック型マルウェアの技法を生かしたセキュリティ対策に取り組むイスラエルCyActiveを買収した(画像はCyActiveのWebサイト)《クリックで拡大》 「ポリモーフィック型マルウェア」を知っている人は多いだろう。現況に適応して、セキュリティソフトウェアを回避し、標的のコンピュータに危害を加える能力を持ったマルウェアのことだ。この種類のマルウェアは、実行時の攻撃ベクトル(攻撃方法・経路)の性質が常に変化する。そのため、シグネチャベースのスキャンツールや他の標準的な検出手段を簡単に回避できる。 同じ動作を防御に使用したらどうなるだろうか。つまり、マルウェアが標的のシステムを簡単に感染させることができないよう、システムが変化しているように見せるということだ。非常に洗練された考え
Untrusted search path vulnerability は「信用できない検索パスの脆弱性」という意味である。代表例としては環境変数 PATH に .(カレントディレクトリ)を入れた場合の問題が古くから知られているが、これに限られたものではない。2009年上期には、Python に関連したUntrusted search path vulnerabilityが多数出たことを踏まえ、これを解説する。 Python は動的オブジェクト指向プログラミング言語である。Pythonはアプリケーションに組み込むことにより、アプリケーションをPythonで拡張することができる。実際、vim やblenderなど多くのアプリケーションがPythonの組み込みをサポートしている。 昨年から、Python関連のUntrusted search path vulnerabilityとして以下のよう
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、組込みシステムの情報セキュリティ対策を推進するため、7分野(RFID 、ICカード、情報家電、携帯電話、金融端末(ATM)、自動車搭載機器カーナビ、自動車搭載機器ETC)の組込みシステムを対象として、製品のライフサイクルを考慮したセキュリティ技術マップを策定し、「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」として2007年5月10日(木)より、IPAのウェブサイトで公開しました。 「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査」では、今後顕在化すると予測されている組込みシステムの脅威に対する情報セキュリティ対策の浸透、向上を目指し、RFID、ICカード、情報家電、携帯電話、金融端末(ATM)、自動車搭載機器カーナビ、自動車搭載機器ETCの7分野の組込みシステムを調査対象として
2018年10月24日 日本電気株式会社 株式会社日立製作所 富士通株式会社 日本電気株式会社(注1、以下、NEC)、株式会社日立製作所(注2、以下、日立)および富士通株式会社(注3、以下、富士通)は、実践的なスキル・ノウハウを持つサイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定し、本日からIT・セキュリティベンダー向けに公開します。 近年、サイバー攻撃の増加のみならず、その手口も高度化・巧妙化が進む中、国内において高度なセキュリティ対策を担うセキュリティ技術者が不足しており、こうした課題を解決するために政府機関などによるセキュリティ技術者の育成・確保に向けた取り組みが加速しています。 一方、IT・セキュリティベンダーにおけるセキュリティ技術者の人材像はそれぞれで異なり、人材の育成も各社独自で行っているため、適切なセキュリティ技術者を効率的に育成するには限界が
数学が苦手な人向けの,「暗号理論」の入門テキスト・PDF。 RSA暗号から認証・署名などのセキュリティ技術 - 主に言語とシステム開発に関して
講義ノートの目次へ 数学が苦手な人が暗号技術を学ぶための資料。 セキュリティ技術に詳しくなりたいが,数式はあまり使いたくない・・・ という場合に役立つ。 独学に使える物として,下記の2種類を集めた。 (1)数式をあまり使わず暗号理論を説明。 要点:共通鍵暗号,公開鍵暗号,RSA暗号の仕組み (2)暗号理論に必要な数学(=初等整数論)を,やさしく学ぶ。 整数の合同式,素因数分解の難しさ,フェルマーの小定理 使いやすいテキストだけに絞ってある。 ※もし数学が得意なら,こちらのノートを使うとよい。 (1)数式をあまり使わずに暗号理論を説明 (2)暗号理論に必要な数学 (1)数式をあまり使わずに暗号理論を説明 暗号理論を,細かい数式をほとんど使わずに,文章を中心に学ぶ。 Webページとして閲覧できるもの: ライブラリ|SBINS Developer Center http://dev.sbins.
by Josh Bancroft 世界最大の半導体メーカーであるインテル(Intel)はセキュリティソフトウェア大手マカフィー(McAfee)を76億8000万ドル(約6560億円)で買収すると発表しました。 詳細は以下から。Intel to Acquire McAfee | Business Wire 発表によると、インテルとマカフィーは、マカフィーの普通株の全株を1株48ドル(約4100円)、総額76億8000万ドル(約6560億円)でインテルが取得することで合意に至ったそうです。買収は現金で行われ、マカフィーの株主総会で承認を得られ次第、実行されるとのことです。 昨年度は2ケタ成長を見せ、売上総利益率80%と好調なマカフィーですが、買収が完了すればインテルの完全子会社となります。 インテルは2009年にも組み込みシステム向けリアルタイムオペレーティングシステム大手「Wind Rive
米ツイッターが1月下旬に25万件の個人情報を流出させた問題で、前回はそれぞれの情報について危険性と取るべき対策を整理した。ではユーザーはTwitterなど各種インターネットサービスを使う際に、個人情報の肝となるパスワードをどのように管理すべきか。サイトの重要度や用途でメリハリを付け、安全性と利便性を両立させる管理のあり方を提案する。人間の記憶力には限界、現実的な運用を前回の記事で解説したよう
近年、ソフトウェアやハードウェアなどのリソースをネットワーク経由で利用する形態である「クラウドコンピューティング」が流行っている。クラウドコンピューティングには、SaaS(Software as a Service)やPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などの「パブリッククラウド」や、企業毎に自社のデータセンタ上でサーバ仮想化技術を使用して、社内の部門に対して仮想サーバの貸し出しサービスを行う「プライベートクラウド」などが存在するが、複数の企業のプライベートクラウドを物理的に同じインフラ上で実現することでコスト削減を実現する「仮想プライベートクラウド」が注目されてきている。仮想プライベートクライドでは、サーバの論理分割だけでなく、ネットワークの論理分割を行い、各社のプライベートクラウド間のセキュリティを確
Webサービスにおける安全な通信を実現するためにTLS(Transport Layer Security)プロトコル[1]では通信データの暗号化と通信相手の認証が行われている。本稿で取り上げるDANE(DNS-based Authentication of Named Entities)は、このTLSにおける通信相手の認証のために、認証局ではなくDNSを使う仕組みである。本稿では、2011年度上半期のインターネットにおけるセキュリティ技術の動向としてDANEを紹介する。 DANEは、2010年8月頃、KIDNS(Keys in DNS)と呼ばれ、IETF(Internet Engineering Task Force)のメーリングリスト1で議論が始まった仕組みで、2010年末にワーキンググループが設立され、プロトコルの策定に向けた議論が活発化した。DANEは、DNSを使って、電子証明書を配
FreeBSD9.0からは、新たなセキュリティ機構としてケーパビリティを利用するcapsicumが実装された。ここでは、一般的なケーパビリティと、capsicumの使用方法を説明する。 通常Unixでは、プロセスは一般ユーザの権限で動くか、特権(root権限)で動くかの2種類となる。たとえば、Apacheなどのサービスが1024番未満のいわゆる「特権ポート」をプロセスで使用する際や、pingやsnortなどのように生(raw)ソケットをイーサネットデバイスに対してオープンし、生のIPデータトラフィックを見る時、あるいはntpdなどでシステムの時刻を設定する際には、プロセスに特権が必要になる。 しかし、プロセスに特権をすべて与えてしまうと、動作しているプロセスに脆弱性があった場合に、不正な操作ですべての特権が取られてしまう可能性がある。 この問題は随分前から指摘されており、これを解決する方法
セキュリティ技術者が解説するサイバー攻撃者の手口
サイバー犯罪に加担する攻撃者はどのような手口を用いるのか。Sophosの技術戦略担当ディレクター、ジェームス・ライン氏が近年に広がっている攻撃の手口を解説した。 企業や個人を狙うサイバー攻撃にはどのような手口が使われているのか――セキュリティ企業の英Sophosで技術戦略ディレクターを務めるジェームス・ライン氏が、近年のサイバー犯罪で用いられることの多い攻撃手法を解説した。 ライン氏は、セキュリティの脅威がPCだけでなくモバイルの世界にも広がり、クラウドサービスやHTML5のような先端のインターネット技術ではベストプラクティスの確立が課題になると指摘する。マルウェアに感染するPCは1日当たり約18万5000台に上り、この5年間で感染台数が激増しているという。 攻撃者向けにクラウドサービス マルウェア感染を通じてコンピュータの情報を盗み取るようなサイバー攻撃では攻撃者を相手にしたクラウドサー
本報告では 2009 年上半期のアイデンティティ管理技術に関する動向として、OAuth 仕様の動きを概観する。 2.1 概要 OAuth [1] は、Web サイトや非 Web アプリケーション(「コンシューマ」)がWeb サービス(「サービス・プロバイダ」)内のデータやサービス(「リソース」)に対して Web API 経由のアクセスを行う際の、そのアクセスの認証を行うためのプロトコルである。 コンシューマとサービス・プロバイダが OAuth に対応することにより、ユーザはコンシューマに対してサービス・プロバイダでのクレデンシャル(ログインID /パスワードなど)を開示することなく、ユーザのリソースへのアクセスを、コンシューマに許可することができるようになる。 ユースケースの一例として、写真共有サイトと写真加工アプリケーションとの間でのデータ共有が挙げられる。前者がサービス・プロバイダ、後
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
時論公論 「どうする?情報セキュリティ技術者不足」 | 時論公論 | 解説委員室:NHK
情報セキュリティ技術動向調査(2009 年下期):IPA 独立行政法人 情報処理推進機構
トーバルズ氏、一部セキュリティ技術者に苦言--「ユーザーの視点で」
「パスワードでの保護は限界」と結論したGoogleが評価するセキュリティ技術
Microsoft、新しいOSセキュリティ技術「Win32 app isolation」を発表/万が一ゼロデイ脆弱性をついた攻撃をうけても、影響を最小限にとどめる隔離機構
異なるブロックチェーンを安全につなげるセキュリティ技術--富士通研究所が開発
NICTが「かっこいいセキュリティ技術」にこだわる理由
どのデータが一番"危険"だったのか ラック セキュリティ技術統括 専務理事 西本 逸郎 - 日本経済新聞
情報セキュリティ技術動向調査(2011 年上期):IPA 独立行政法人 情報処理推進機構
Dropboxがセキュリティ技術者の権利を守るための脆弱性公開ポリシーを設定
Mr201306 機械学習のセキュリティ技術応用
大企業のマネジメントのキャリアを捨て「いちセキュリティ技術者」へ―HASHコンサルティング徳丸浩さん
セキュリティー技術専門家とすがやみつる氏による“今昔ハッカー対談”【CEDEC 2014】 - ファミ通.com
新しいセキュリティ技術「RLBox」で武装した「Firefox 95」が正式リリース - 窓の杜
IE9に新セキュリティ技術 DLするファイルを「評判」で判定
情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開 | ScanNetSecurity
【イニシャルB】気づいてないだけで知らない通信は今この瞬間も頻繁に! セキュリティ技術で家庭を守る無線LANルーター「WRC-2533GHBK2-T」
ブラウザのハッキングコンテストで露呈した最新セキュリティ技術の限界
ビルへのサイバー攻撃、AIで検知 パナソニックがセキュリティ技術を開発
PayPalも注目、ウイルスの“悪知恵”から生まれたセキュリティ技術のすごさ
情報セキュリティ技術動向調査(2009 年上期):IPA 独立行政法人 情報処理推進機構
組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書:IPA 独立行政法人 情報処理推進機構
NEC・日立・富士通、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定
IntelがMcAfeeを77億ドルで買収、ハードとソフトの両面からのセキュリティ技術の向上を目指す
Amazon.co.jp: 情報セキュリティ技術大全―信頼できる分散システム構築のために: ロスアンダーソン (著), トップスタジオ (翻訳), Anderson,Ross J. (原名): 本
「賢い」情報管理で安全と便利を両立 ラック セキュリティ技術統括 専務理事 西本 逸郎 - 日本経済新聞
情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
情報セキュリティ技術動向調査(2011 年上期):IPA 独立行政法人 情報処理推進機構
情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
情報セキュリティ技術動向調査(2009 年上期):IPA 独立行政法人 情報処理推進機構