セキュリティテストには攻撃者の視点が肝心
ソフトウェアセキュリティエンジニアとトレーナー、両方の経験から言うと、物事を理解する早さは人によって大きく違うものだ。だが、本来優秀な人がなかなか実力を発揮しないことも多い。どんなバグでも突き止められるベテランのテスターが、セキュリティテストにはなかなか習熟できない、といったことがよくある。わたしはこの数年、世界最大級のソフトウェアベンダー数社で開発者チームのトレーニングに従事する中で、彼らの行動を調べ、優れたセキュリティテスターに必要なものを明らかにしようとしてきた。その結果分かったことを紹介しよう。 セキュリティテスターに必要な3つのスキル わたしは、セキュリティテスターは皆、以下の3つの専門スキルをベースとして持たなければならないという結論に達した。 優れた想像力 多くの場合、セキュリティテスターとして欲しい情報は、すべて手に入るわけではない。例えば、SQLインジェクションの脆弱性を
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
