OWASP Top10 2017の日本語版公開!
先日公開されたOWASP Top10 2017の日本語版を公開しました。公開した資料はOWASP JapanのHPからダウンロードいただけます。 前回バージョンのOWASP Top10 2013からの変更点は下図のとおりです。 2013年版からの変更点 2017年版では、2013年版からA8−CSRFとA10−未検証のリダイレクトと転送がランキング外となっており、一方でA4:2017−XXE、A8:2017−安全でないデシリアライゼーション、A10:2017−不十分なロギングとモニタリングが新たにランキング入りしています。特に新たにランキング入りしたリスクに関しては、その内容についてご確認いただき、考慮・評価していっていただければと思います。もっとも、本文に記載のとおり10まででやめずに、上記ランキング外となったリスクを一例とした他のリスクについても考慮・評価していく必要があります。また2
ゼロトラストをより細かく分解する
(Last Updated On: 2018年8月12日)セキュリティを維持する為にはゼロトラスト、何も信頼しない所から始めて信頼できることを検証する、作業が必要です。ゼロトラストは信頼できるモノと信頼できないモノに分ける作業ですが、より細かく考える必要があります。 ※ より細かく考える、とはいっても「細かい事だけ」では合成の誤謬にハマります。全体と詳細、両方をバランスよく「ゼロトラスト」することが大切です。 信頼できるモノ、信頼できないモノ 信頼できるモノと信頼できないモノ、と単純に分類できれば良いのですが現実にはそうなりません。「モノ」の粒度が大きいと単純に「モノ」全体を信頼することができないからです。 セキュリティ設計を行う場合 物理的 ネットワーク的 ソフトウェア システム の各レベルで信頼境界を引き、可能な限り信頼できるように設計します。しかし、普通は信頼境界の中の「モノ」全体を
手動診断による脆弱性診断スキルを獲得する、「Webアプリケーション脆弱性診断ガイドライン」公開!! #owaspjapan
JNSAのセキュリティオペレーションガイドラインWG(WG1)とOWASPJapan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」から「Webアプリケーション脆弱性診断ガイドライン」が4月24日に公開されました。 Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られず、手動診断を併用することが望ましいと考えられています。 とはいえ、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違が生じてしまっているのが現状です。 そこで、脆弱性診断士スキルマッププロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができるようになるための、「Webアプリケーション脆弱性診断ガイドライン」を公開しています。 脆弱性診断士スキルマッププロジェクトWebアプリケーション脆弱性
脆弱性検査・管理・評価ツールのF-Secure Radarの紹介 | DevelopersIO
こんにちは、臼田です。 先日セキュリティベンダーであるエフセキュア株式会社様が当社パートナー企業になりました。 エフセキュア様は様々なセキュリティ商材を取り扱っており、弊社では以前Windows サーバ セキュリティ スタンダードを利用したことがありました。 F-Secure Windows サーバ セキュリティ スタンダードをEC2 Windowsへ導入して、検知テストしてみた。 そして、今回はエフセキュア様の新しい製品であります F-Secure Radarを検証しておりますので、こちらをご紹介したいと思います。 F-Secure Radarとは Radarは脆弱性検査のツールです。 しかしただ脆弱性が検査できるだけではなく、脆弱性を管理・評価することも出来ます。 といってもよくわからないと思いますので、下図をご覧ください。 こちらはRadarの検知している脆弱性の推移のグラフです。
新入社員のためのWAF(Web Application Firewall)入門 | DevelopersIO
佐々木です。クラスメソッドも4月から新しい仲間が増えました。今日はWAF(Web Application Firewall)の基本的な知識を整理してみました。 基礎知識 WAFとは WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。 ファイアウォールとは ファイアウォールは、IPヘッダやTC
情報セキュリティポリシーサンプル改版
情報セキュリティポリシーサンプル改版(1.0版) (西日本支部 中小企業向け情報セキュリティポリシーサンプル作成ワーキンググループ) はじめに 情報セキュリティポリシーサンプル0.92a版は、2002年の作成から12年以上を経過して今なお、JNSAの公開サイトへのアクセスが毎月 1000件を超えており、改訂の要望が多く寄せられています。 また、スマートデバイスやクラウド、SNSといった新しい技術やサービスの登場や、国際標準のISO/IEC27001:2013、ISO/IEC27002:2013の更新など、環境が変化している現状から、JNSA西日本支部では情報セキュリティポリシーサンプルの0.92a版を元に改訂作業を行い、情報セキュリティポリシーサンプル1.0版として公開いたします。 情報セキュリティポリシーサンプル改版(1.0版)概要 今回の情報セキュリティポリシーサンプル改版のポイントお
OWASP DAY 2016 Spring MINI Hardening writeup(?) - yuta1024's diary
同期から教えてもらって Hardening に参加できたらいいなー, と思ってポチったら無事当選でき参加してきた. チーム 4人1チームだったのだけれど,1人は最初からメールの返信もなく,当日も現れなかった…. 偶然なのか何なのか同じ会社の人もチームメンバーでとても驚いた. シナリオ 与えられたシナリオは簡単にはざっと以下のような感じ(足りないとこもありそう). LAMP 環境の Web サイトが与えられる Web サイトは Wordpress で構築されている FTP を使ってサイトのファイルを更新している IT 担当のアカウントが3つ転がっている 競技者は unyou アカウント or 自分で作ったアカウントを利用する 採点は, ftp や http などが上がってるかどうかで(全部で4つあった), 前のスクリーンに映しだされていたが,小さくてよく見えなかった. とりあえず自分のチーム
OWASP ZAPではじめる2016年のウェブアプリケーションセキュリティ | gihyo.jp
新年明けましておめでとうございます。昨年は年金機構への標的型攻撃による個人情報の漏えいを筆頭に、セキュリティに関する報道が毎日のように世間を騒がしていました。特にウェブにおいてはHTTP.sysの脆弱性やFlashの脆弱性などが発見されたり、継続して標的型攻撃やパスワードリスト攻撃などの攻撃も繰り返されています。 ウェブの普及に伴い、攻撃を受ける可能性のあるインタフェースが増加し、その攻撃対象も企業から個人まで幅広くなりつつあります。これらの攻撃による情報漏えいやインシデント等の発生から身を守る術、すなわち情報セキュリティを身につけ、自らの情報を自らの手で守り抜くことが求められています。全ての人にとって情報セキュリティへの理解を深めることは課題であると言えます。 OWASPとは このような背景の下、ウェブアプリケーションを作成する開発者や、ウェブアプリケーションに関わる意思決定を行う方々に
ハードニングプロジェクト - Hardening Project | Hardening Project
Hardening Project – 「衛る技術」の価値を最大化することを目指す、10年続くセキュリティ・プロジェクト Hardening Project(ハードニングプロジェクト)とは、セキュリティ堅牢化競技会である「ハードニング競技会」をデザインし、実現するボランティア・プロジェクトです。2012年を皮切りに、毎年継続して開催してきました。 このプロジェクトは、サイバー攻撃により不安に満ちたインターネット社会において、最高の「衛る」ための施策、すなわち技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰してきました。サイバーセキュリティの実践力を強力に向上することが目的です。 ハードニング競技会 – 未知の課題を解決する個々の力を引き出し、かつ全体の学びを最大化するためのデザイン ハードニング競技会は、脆弱性の潜むビジネスシステム(ECサイトなど)へのハードニング(堅牢化)
「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目:川口洋のセキュリティ・プライベート・アイズ(52)(1/2 ページ) 全国各地から寄せられるセキュリティインシデントに関する相談の中には「これさえ設定していれば軽い被害で済んだのに」「ここだけでも把握できていれば早く対応できたのに」というケースが数多くあります。そうした残念な状況に陥らないようにするための7つのポイントを紹介しましょう。 連載目次 相変わらず絶えないセキュリティインシデントに関する相談 皆さんこんにちは、川口です。大変ご無沙汰しています。久々に書くコラムが、年を越して2015年になってしまいました。今年もよろしくお願いします。 相変わらず全国各地からセキュリティに関するお悩み相談を受けることが多く、世の中では今も多数のセキュリティインシデントが発生していることを痛感しています。その相談の中には「これ
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
Safie(セーフィー)|クラウドカメラ・防犯カメラの録画サービス
【「Safie」がスーパーマーケットの買い物客と従業員に調査】 買い物客の多くがスーパーの「混雑」「品揃え」に不満を抱く一方で 「人通りや混雑の把握」「適切な人員配置」ができない店舗の現状が明
ノートンブログ - ヒント、教育、FAQへの回答
若い世代を中心に人気のティックトック(Tik Tok)について、そこに潜んでいる危険性と、その危険性に適切に対処する方法を解説します。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CYDER | ナショナルサイバートレーニングセンター | NICT-情報通信研究機構
被害の前に!Macを買ったら絶対にやるべき10の無料セキュリティ対策
情報処理システム高信頼化教訓のリンク集(ITサービス編) | アーカイブ | IPA 独立行政法人 情報処理推進機構
まとめよう、あつまろう - Togetter
Owasp Dev Guide
Webプラットフォームのセキュリティ
セキュリティ対策情報 | セキュリティ対策のラック