Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
パスワード管理は、常に慎重であらねばならない。パスワードの漏洩はあらゆる被害をもたらしてしまうからだ。 安全なログインを実行するため、「BeamU」を導入するという手段がある。このBeamUは、オンライン上での情報漏洩の可能性をシャットアウトしたクレジットカード型パスワードマネージャーである。指紋認証システムを駆使した、財布に納まるセキュリティーガジェットだ。・クラウドサーバーを使わずBeamUには指紋認証センサーが搭載されている。スマホやPC等の各機器と接続後、指紋認証でログインを行う。 BeamUはNFC、Bluetooth、そしてUSB-Cプラグ装着に対応する。だがクレジットカードサイズなのに、USBプラグなどどこに着けるのか。それに関しては磁気接着機構が解決している。USBプラグを、外からはめ込むように設置する方式だ。全てのパスワードはBeamU本体に保管され、クラウドサーバーは一
Microsoftが、一般的な「セキュリティ構成フレームワーク」について公開している。システム管理者が「Windows 10」デバイスを保護するために適用するべき基本的なセキュリティ設定についてのガイダンスが含まれる。 MicrosoftのプリンシパルプログラムマネージャーであるChris Jackson氏は、「われわれは、次の問題についてじっくりと考えた。ユーザーの環境について何も分かっていない場合、最初に実装すべきセキュリティポリシーとセキュリティコントロールとして、われわれは何を推奨するだろうか」と述べた。 その結果、「SECCON」フレームワークが考え出された。このフレームワークは、Windows 10デバイスを5種類のセキュリティ設定のいずれかに分類する。 「米軍が防衛体制を表すのに使用するDEFCONレベルに倣っており、数字が小さいほど、セキュリティが強固であることを示している
「サーバー証明書」はWebサイトの必需品 Webサイト全体をHTTPS化すること、いわゆる「常時SSL化」が叫ばれるようになって久しい。10年前であれば、HTTPSを導入する場合、Webサイトのなかでも重要な情報を扱う箇所、たとえばログイン画面や個人情報入力画面、決済画面などに絞って導入するというサイトも、よく見かけたものである。しかし、今ではWebサイト全体をHTTPS化することが当たり前となっている。 そしてWebサイトをHTTPS化する際、必要になるのが「サーバー証明書」だ。今回は、Webサイトにサーバー証明書を導入するときの、製品選択のポイントを解説する。 サーバー証明書は何を証明するのか サーバー証明書の役目はWebサイトの「真正性証明」と通信の暗号化である。暗号化にはサーバー証明書に含まれる公開鍵を使うのだが、暗号化して通信する前にWebサイトが信頼できるかどうかをサーバー証明
BSIMMは、米Cigital(シジタル/2016年11月に米Synopsysが買収)が構築したフレームワークである。ソフトウェア開発プロセスを、セキュリティ構築の「成熟度モデル(Maturity Model)」を基に、実際のソフトウェア セキュリティ対策で実行されるアクティビティを定量化して評価する。BSIMMを指針としながら改善を継続することで、セキュアなソフトウェア開発が実施できるというわけだ。 BSIMMがユニークなのは、自社のソフトウェア セキュリティ対策を、同業他社と比較して評価できる点である。BSIMMの成熟度モデルの基となるのは、すでにBSIMMを利用している先行企業から収集したデータだ。4つのドメインと12のプラクティス(判断基準)に基づいて自社の行動をスコアリングすることで、先行企業と比較した開発プロセスのベンチマークが得られる。 BSIMMの成熟度モデルの基となる4つ
Wi-Fiのセキュリティ向上を目指して「WPA3」という規格が2018年6月に策定され、2018年末には対応機器が登場し、普及が始まっています。しかし、登場から1年を待たずしてWPA3のセキュリティを破る方法が見つかり、「Dragonblood」というタイトルの論文にまとめられて発表されました。 Dragonblood: Analysing WPA3's Dragonfly Handshake https://wpa3.mathyvanhoef.com/ Security Flaws in WPA3 Protocol Let Attackers Hack WiFi Password https://thehackernews.com/2019/04/wpa3-hack-wifi-password.html 2019年現在において幅広く利用されている規格としてWPA3の1つ前の規格である「W
Webのセキュリティ プログラミングスクールからエンジニアデビューしたものですが、セキュリティの重要さと、攻撃された時の恐ろしさに戦々恐々としました。今でもしてます。 たとえ、エンジニアでなくとも、最低限の対策をしないとリリースするのは危険です。 プログラミングスクールではセキュリティについては、深く学ぶことはあまりないと思います。 自分と同じ駆け出しエンジニアさんや、エンジニアじゃないけど、Webサービスリリースしたい!みたいな方に共有できたらと思います。 セミナーでセキュリティについて学んできたので、復習も兼ねて自分なりの解釈で記事に落とそうと思います。 脆弱性? Webサイトの脆弱性は二種類。 ロジックエラー(設計段階で生まれる脆弱性) セッションの管理不備や特殊文字を処理せずにデータを受け渡してしまうことです。 テクニカルエラー(実装段階で生まれる脆弱性) SQLインジェクション、
企業や官公庁、団体のシステムを標的としたサイバー犯罪の手法は、多様化・高度化する一方だ。攻撃に負けない堅牢なセキュリティを実現するために、開発者の負荷は増え続けている。だが納期やリソースが限られた中で迅速に脆弱性を発見・修正するのは、もはや人手では対応しきれない。そこで注目を集めているのが、自動化されたセキュリティテストをDevOpsに組み込む「DevSecOps」だ。日本シノプシスの最先端IASTツール「Seeker」によるテストの自動化と、そのメリットについて吉井氏が語った。 講演資料:セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有) 日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア・セールス・エンジニア 吉井雅人氏 セキュリティテストを開発時に行いCI/CD連携を加速するDevSecOps 吉井氏は、「DevOpsとセキュリティの間には、越
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
無線化が進む製造現場を守るためのセキュリティ導入ガイドを7社共同で作成 製造現場で注意すべきセキュリティの課題と対策についてまとめたツールを提供 本ガイドはドイツ開催ハノーバーメッセにて概要を発表、Webにて配布開始予定 NICTは、製造現場でIoT化を推進するため、業界の垣根を越えて、無線通信技術の基礎評価及び検証を行うための共同実験プロジェクトであるFlexible Factory Projectを2015年6月に立ち上げ、これまで検証を続けてきました。本プロジェクトの検証を通して、工場において無線化が進むことによって顕在化するセキュリティの課題が分かってきました。このような背景の下、NICTをはじめとするFlexible Factory Project参加企業の合計7社で、無線化が進む製造現場を守るため、セキュリティ導入ガイド(日本語版・英語版)を発行します。 本ガイドは、無線通信が
【OSS】Google、C/C++ライブラリ用サンドボックス自動生成ツール「Sandboxed API」---ソフトウェアライブラリ用セキュリティポリシーを作成 OSS×クラウド最新TOPICS 2019年3月20日 12:31 Googleは、C/C++ライブラリ用サンドボックス自動生成ツール「Sandboxed API」をオープンソース化している。 「Sandboxed API」とは 「Sandboxed API」は、Googleのデータセンターで長年使用してきたもので、プログラマーがLinuxシステム上で動作するC/C++ライブラリをサンドボックス化し、悪意のあるユーザー入力や悪用からそれらを保護するのに役立つ。 サンドボックス化することで、開発者は個々のソフトウェアライブラリ用のセキュリティポリシーを作成できる。 https://github.com/google/sandboxe
Sandboxed APIでは、サンドボックスを個々のソフトウェアライブラリに実装することが可能で、同APIをベースとするライブラリは簡単に他のプロジェクトに再利用できるという。 米Googleは、社内で使っていたセキュリティ対策プロジェクトの「Sandboxed API」をオープンソースとして公開した。セキュリティ対策のサンドボックスを簡単に実装できるようにすることで、信頼できないコンテンツからシステムを守る対策に役立ててもらう狙い。 Googleによると、例えばユーザーが投稿した画像ファイルなど、外部からのデータには不正なコードが含まれている恐れがあり、そうしたデータをソフトウェアで処理する際に、脆弱(ぜいじゃく)性を悪用されることがある。 この問題を緩和するために使われるのが、隔離された環境の中で信頼できないコンテンツを実行する「サンドボックス」という手段。これにより、たとえリモート
出典:日経 xTECH 2019年 3月 1日 (記事は執筆時の情報に基づいており、現在では異なる場合があります) ラックは2019年3月1日、サイバー空間におけるトラブル回避につながるIT知識を世代・立場別にまとめた指南書「情報リテラシー啓発のための羅針盤(コンパス)」を公開した。指南書およびプレゼンテーション資料を同社のWebサイトから無償でダウンロードできる。教育関係者や保護者など、啓発活動にかかわるユーザーの利用を見込む。 同書はインターネットに代表されるサイバー空間上のトラブルを「情報モラル」「情報セキュリティ」「消費者トラブル」の3分野37項目に分け、それぞれにおけるトラブルの概要と対策の指針を啓発対象者の属性別にまとめたもの。サイバーセキュリティーにとどまらず、フェイクニュースや炎上トラブルで加害者になるリスクや情報商材や高額課金の被害リスクまで網羅する。 属性は未就学児・小
セキュリティ事故が発生してしまった際のインシデントレスポンスをテーマに、事後対応を迅速かつ適切に行うための心構えや、そもそも事前からどういった備えを行っておくべきかについて解説。役立つソリューションとあわせて紹介する。 東芝の事故対応と、その後のセキュリティ強化の取り組み 事例講演に登壇するのは、東芝の技術・生産統括部 サイバーセキュリティセンターでシニアエキスパートを務める小川 八洲志氏だ。 サイバー空間と現実世界をつなげて、さまざまな情報を収集、蓄積、解析、融合し、新たな価値を創造する産業構造の変化が進んでいる。これに伴ってセキュリティの脅威も日々増大しているのが現状だ。 「デジタルトランスフォーメーション時代のサイバーセキュリティ」と題した本講演では、過去に東芝グループで発生したセキュリティインシデント対応の経験も踏まえ、上記のような社会の変化に対応するために、同社が進めているセキュ
2018年後半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわたって掲載する。 カード情報流出の原因は結局、脆弱性 ECサイトでの情報漏洩ですが、エンドユーザーができる対策はありますか? 徳丸 エンドユーザーに気をつけろというのはちょっと酷な話で、じゃあ、私が気づけるのかと言われるとちょっと自信がないですね。伊織の事件だったら気づくかもしれません。あれは画面遷移が不自然だったんですよ。だから気づけたはずなんですが、多くの人は気づかなかったということですね。SOKAオンラインやウエストの事件では、気が付けるとは思えません。 そうなると、運営側に真剣に取り組んでもらうしかないですね。不思議なのは、どうしてカード情報を盗む人たちが、ECサイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く