何でもできちゃう脆弱性ならそれでパッチを当てればいいんじゃない? ~とあるセキュリティ会社が掟破りの「Log4Shell」ワクチンを開発してしまう/【やじうまの杜】
ゼロトラスト的なことを始める時に注意すべきだと思ったこと - Qiita
自社内でゼロトラスト的な取り組みを行っていますが、設計や選定の時に注意すべきと感じたことを書きたいと思います。実際やってみてどうだったかも簡単に書きたいと思います。実は2020年10月28日の Akamai Gaming Leadership Summit でウェビナー登壇させて頂いた時の資料です。せっかくスライドを作ったので少し補足も加えつつ公開してみました。スライドは下記にもアップロードしてあります。 スライド版 https://www.slideshare.net/ssuser8200d3/ss-239010449 補足 どこかしらで信頼するのと、本などを読むと何故かゴチャゴチャしているため。 補足 上記はあくまで危ないと思う一例です。他にもPolicyで評価されない攻撃リクエストがEnterprise Resourceに届いてしまう実装パターンはあるかもしれません。実際に出会ったこ
政府情報システムにおけるゼロトラスト適用に向けた考え方 | 政府CIOポータル
本サイトは、過去のIT総合戦略室の情報発信サイトです。2022年6月30日に更新を停止しました。 現在のデジタル政策に関するデジタル庁の公式サイトはこちらをご覧ください。 境界型セキュリティの限界を示し、ゼロトラストと呼ばれるこれからのセキュリティの考え方を紹介し、政府情報システムにおけるゼロトラストの適用の取り組みを取りまとめました。 パブリック・クラウドの利用、働き方改革、APIによる官民連携等が政策上の大きなテーマとなっていますが、これらを推進するには、これまでの境界型セキュリティの考え方だけでは、その実現が困難です。 本文書では、上記のとおり境界型セキュリティの限界を示し、ゼロトラストと呼ばれるこれからのセキュリティの考え方を紹介し、政府情報システムにおけるゼロトラストの適用の取り組みを1)パブリック・クラウド利用可能システムと利用不可システムの分離、2)システムのクラウド化徹底と
デジタル・アイデンティティの最新動向 (07-10-2020)
MS内で社内転職をし、Identity Standardsチームにジョインしてから、早3週間が経ちました。 Identity業界で起きている社内外の最新動向にキャッチアップをするために、ひたすら猛勉強をしていました。 インプットがどれくらい身についてきたかの確認も兼ねて、ラーニングをまとめてみました。 Identity最新動向のシラバス 以下のようなラーニングプランで3週間勉強していました。 分散型アイデンティティ(Decentralized identity) A. 規格(Specification)の読み込み B. MSがローンチしたサービスの仕組み・概要を理解(プライベートプレビュー中) C. 現在起きている規格を策定するワーキンググループ(WG)への参加 D. GDPRコンプライアンスに関するリーガル・リサーチ 従来型アイデンティティ(Centralized Identity) A
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは
不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは:「検索コマンドを実行したら約5万回のアラートが流れて大変だった」(1/2 ページ) ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を導入。Wazuhを選択した理由やWazuhの導入後に起きた3つの運用課題を解決した方法について語った。 Japan Perl Associationは2019年1月26日、「YAPC::Tokyo」を開催した。本稿ではGMOペパボのホスティング事業部でテックリードを務める山下和彦氏の講演「Wazuhを利用した大統一サーバ監査基盤」の内容を要約してお伝えする。 GMOペパボでは、2018年1月に起きた不正アクセスを教訓にオープンソースソフトウェア(OSS)のセキュリ
シスコ、「IOS」のセキュリティ情報--深刻度の高い脆弱性にも対処
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます シスコが、広く導入されている「Cisco IOS」と「Cisco IOS XE」に存在する、深刻度が「High」と設定された10件以上のセキュリティの脆弱性について明らかにしている。そのうち1件は、産業用ルーターとグリッドルーターに影響があるという。 Ciscoは管理者に、デバイスで動作しているCisco IOSとCisco IOS XEのバージョンを確認し、これら13件の脆弱性に対処したアップデートが適用されている状態にするよう勧告している。 これらの脆弱性に関する情報は、同社が年2回、Cisco IOSおよびCisco IOS XEのセキュリティ情報を提供するセキュリティアドバイザリーバンドルで公表された。 12件のアドバイザリーで
SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ
SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて,Yに対し,その調査と報告を依頼した。 その結果,本件システムには,SQLインジェクション対策が不十分という脆弱性が判明したことから,XはYに対し,その脆弱性はYの被用者の故意過失によって生じたものであるから,使用者であるYには使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システ
「え、ウチのCSIRTってレベル低すぎ……?」を確認する方法
「え、ウチのCSIRTってレベル低すぎ……?」を確認する方法:ITmedia エンタープライズ セキュリティセミナーレポート(1/3 ページ) CSIRTのミッションは何か、どういった業務を行うのか、どんな役割の人間やスキルが必要になるのか――こういったCSIRTの基本から、立ち上げたCSIRTの成熟度を評価する方法をANAシステムズの阿部氏が解説。読者の皆さんも試してみては? 国内外でセキュリティインシデントが増え続ける中、組織的なセキュリティ対策として、CSIRT(Computer Security Incident Response Team)を整備する機運が高まっている。しかし、CSIRTのミッションは何か、どういった業務を行うのか、どんな役割の人間やスキルが必要になるのか――こういった基本的なポイントを改めて問われると、明確に答えられない人もいるのではないだろうか。 2018年1
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点
不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
Apacheウェブサーバに脆弱性、パッチが公開--共有ホスト環境の管理者権限奪取を誘発
The Apache Software Foundationは米国時間4月1日、Apache(httpd)ウェブサーバに存在する深刻な脆弱性(「CVE-2019-0211」)に対するパッチを公開した。同脆弱性は特定の状況下において、悪意あるサーバスクリプトの管理者(root)権限での実行を許してしまうことで、そのサーバの乗っ取りを可能にするというものだ。 同脆弱性はUNIXシステム向けのApacheウェブサーバ(バージョン2.4.17から2.4.38)のみに影響を与えるものであり、同日にリリースされたバージョン2.4.39によってフィックスされている。 Apacheチームによると、同脆弱性を悪用することで、低い権限で実行されるはずのApacheの子プロセス(CGIスクリプトなど)において、親プロセスの権限で悪意あるコードを実行できるようになるという。 Apache httpdはたいていのU
SSHの公開鍵認証における良くある誤解の話 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 背景 これを知っていたからと言って何かの役に立つかというと、そうでない人の方が多いとは思うのですが、いい加減、SSHの公開鍵認証の説明がデマばかりなので、少しはちゃんとした説明もあった方が良いかもな、ということで記事にしました。 SSHについて 皆さんご存知の通り、SSHはSecureSHellの略であり、暗号によって保護された通信を通じて遠隔操作を行う1アプリケーション、またはプロトコル2を指します。 Linux等のUNIX系OSの遠隔操作3、またはネットワーク機器の管理に広く使われており、その実装としてはOpenSSHが有
共通脆弱性評価システムCVSS v3概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CVSS(Common Vulnerability Scoring System) ~脆弱性の深刻度を評価するための指標~ 共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで2004年10月に原案が作成されました。 その後、CVSSの管理母体としてFIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)(*1)で適用推進や仕様改善が行われており、2005年6月にCVSS v
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
ラック、企業のセキュリティ運用負荷を軽減する調査ツールを無料公開 | セキュリティ対策のラック
ラック、企業のセキュリティ運用負荷を軽減する調査ツール「FalconNest」を無料公開 ~セキュリティ侵害とマルウェアの判定をクラウドで提供~ 2018年11月 8日 | プレス 株式会社ラック(本社:東京都千代田区、代表取締役社長 西本 逸郎、以下 ラック)は、緊急対応サービスやセキュリティ監視サービスにより蓄積された膨大なセキュリティインテリジェンス情報を活用した様々なセキュリティ調査ツールを無料で提供するウェブサイト「FalconNest(ファルコンネスト)」を、本日より公開します。これにより、企業のセキュリティ対応部門が独自にサイバー攻撃の痕跡確認やマルウェアの判定を手軽に行えるようになり、被害の深刻度を迅速に把握することが期待できます。 企業にとって、情報資産と情報システムをサイバー攻撃から保護することは、今や当たり前の時代になりました。そして、セキュリティ対策に先進的な企業の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
オープンソースの暗号化ドライブ作成ツール「VeraCrypt」v1.24が正式公開/RAMのキー・パスワード暗号化など、より安全に運用するための機能を数多く導入
GitHub - google/google-authenticator-libpam
Windows版「TeamViewer」に特権昇格の脆弱性 ~修正版v14.4.2669が公開/「TeamViewer パイロット」タブを追加するなどの機能改善も
ツール分析結果シート