更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構
SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。 ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。 サーバ管理者および利用者は対策の要否を検討し、必要に応じて後述の対策を実施してください。 図:脆弱性を悪用した攻撃のイメージ サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できます。 なお、SSL 3.0 を無効化することで次の影響を受ける可能性があります。 サーバ側で SSL 3.0 を無効にした場合 一部のクライアントから接続ができなくなる可能性があります。 クライアント側で S
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
プレス発表 脆弱性の問題を意図的に発生させるテスト方法等を解説した資料を公開:IPA 独立行政法人 情報処理推進機構
情報家電等組込み製品の開発事業社向けに、最適なツールや検出テストのノウハウ等を紹介 2013年11月7日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、情報家電等の製品の脆弱性を検出するテスト(以後、ファジング)の方法を実例と共に解説した「ファジング実践資料(テストデータ編)」を2013年11月7日からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/fuzzing.html サイバー攻撃の多くはソフトウェアの脆弱性を狙ったもので、ソフトウェアによって様々な機能を備えた家電製品、およびソフトウェア制御が進む自動車などにも脆弱性は存在します。これらはネットワーク接続などによる外部データの活用でさらに高付加価値が進められている反面、脆弱性を狙った攻撃の危険性が高まっています。 こうし
入札公告 「プログラム言語Rubyの国際規格化提案に係る仕様書の形式変換及び修正業務」に係る一般競争入札:IPA 独立行政法人 情報処理推進機構
入札金額は、「プログラム言語Rubyの国際規格化提案に係る仕様書の形式変換及び修正業務」に関する総価で行う。総価には、それぞれの業務にかかる費用をすべて含むものとする。 なお、本件については入札の際に提案書を提出し、技術審査を受けなければならない。落札決定に当たっては、入札書に記載された金額に当該金額の5パーセントに相当する額を加算した金額(当該金額に1円未満の端数が生じたときは、その端数金額を切捨てるものとする。)をもって落札価格とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積った契約金額の105分の100に相当する金額を入札書に記載すること。 また、入札者は、その提出した入札書の引き換え、変更又は取消しをすることはできないものとする。
IPA ISEC セキュア・プログラミング講座:C/C++言語編 第7章 データ漏えい対策:最小の特権
第7章 データ漏えい対策 最小の特権 特権が狙われる 特権をもつプログラムが侵害された場合、システム全体が乗っ取られるなど、深刻な被害が発生するおそれがある。プログラムにはなるべく特権を与えないようにするか、必要最小限のもののみ与える配慮が必要である。 多くのプラットフォームでは、システムの設定を変更したり重要なリソースにアクセスすることを特権をもつプログラムのみに許す、というやり方をとることが多い。これは、一般のプログラムがそれらのリソースに勝手にアクセスするのを防ぐのが目的である。 攻撃者の観点からすると、特権が与えられたプログラムはシステムの設定を変更でき重要なリソースを手中に収めることのできる、システム侵害の格好の標的である。 特権を表すアカウント 「システムのシャットダウンの特権」のように、特定の特権の概念が組み込まれていて、それらを特定のアカウントグループに与えるという仕組みを
IPA セキュア・プログラミング講座
ダウンロード このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。 講座テキスト「はじめに - 脆弱性の分類と開発工程」 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」 講座テキスト「第2回 設計工程における考慮が重要である対策」 講座テキスト「第3回 主に実装工程で実施する対策」 Webアプリケーション脆弱性対策チェックリスト 用語解説 品質保証部門向けコンテンツ この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工
セキュリティ対策セルフチェックシート:IPA 独立行政法人 情報処理推進機構
本チェックシートは、現時点の情報に基づいて、情報システムに対するインターネットを経由した外部からの不正アクセス(注)を可能な限り防ぐとともに、不正アクセスが行われた際の被害を軽減させるために行うべき対策について記したものである。 ただし、これらの対策のみで万全であるわけではないこと、時間や費用がかかるために即座に実行できない項目もあること、提供サービスとのトレードオフで行うことが難しい項目もあることに留意されたい。 参考:(別紙1)セキュリティ対策チェックシート作成の考え方 なお、各項目の左側に付したアルファベットの意味は、以下のとおりである。 A:必ず行うべきもの B:守るべき情報の重要性との兼ね合いではあるが、極力行うべきもの C:守るべき情報の重要性と、当該項目の実施に必要なコスト等を勘案の上、必要と思われる場合には行うべきもの (注)不正アクセスとは、システムを利用する者が、その者
SQLインジェクション検出ツール「iLogScanner」を機能強化:IPA 独立行政法人 情報処理推進機構
なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュア・プログラミング講座:Webアプリケーション編