OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開
OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開:開発者にも、そして発注者にも安全なWebアプリの要件定義を OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。 OWASP Japanは2013年11月1日、「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。安全なWebアプリケーションを実現するため、開発を依頼する発注者側と、実際に開発を担う受注者側の双方が留意すべき要件についてまとめている。 The Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体だ
HTML5で生じる脆弱性と対策は? JPCERT/CCが報告書公開
HTML5で生じる脆弱性と対策は? JPCERT/CCが報告書公開:HTML5を利用した安全なWebアプリ開発のために JPCERTコーディネーションセンターは、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた調査報告書を公開した。 JPCERTコーディネーションセンター(JPCERT/CC)は2013年10月30日、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。調査作業の一部は、ネットエージェントが委託を受けて実施した。報告書は、JPCERT/CCのWebサイトから無償でダウンロード可能だ。 次世代のHTMLとして注目を集めるHTML5は、
不正ログインを食い止めろ! OpenAMで認証強化
不正ログインを食い止めろ! OpenAMで認証強化:OSSによるアイデンティティ管理(2)(2/2 ページ) デバイスプリント認証 デバイスプリント認証は、2013年末(2013 Q3)にリリースが予定されているOpenAM 11.0で提供される、新しい方式のリスクベース認証です。前述のアダプティブリスク認証と同様にログインしようとするユーザーの本人性を確認し、追加の認証を要求します。アダプティブリスク認証との違いは、デバイスプリントの評価を主としている点です。 デバイスプリントとは、ユーザーの使用しているOSの画面解像度や色深度、インストールされているフォントの種類、ブラウザの種類やバージョンなど、クライアント固有の情報を意味します。ログインする前にこれらの情報を収集して、認証時のリスク判断に使用します。前回ログインした際に取得したデバイスプリントと今回取得したデバイスプリントが大きく異
不正ログインを食い止めろ! OpenAMで認証強化
不正ログインを食い止めろ! OpenAMで認証強化:OSSによるアイデンティティ管理(2)(1/2 ページ) 多発するパスワードリスト攻撃による不正ログインに対しては、リスクベース認証やワンタイムパスワード認証を含む多要素認証が効果的です。今回はオープンソースのアクセス管理ソフトウェアであるOpenAMの概要と、OpenAMが提供するリスクベース認証(アダプティブリスク認証、デバイスプリント認証)、ワンタイムパスワード認証(OATH/YubiKey認証)について解説します。 連載目次 不正ログインに対して今できること 2013年に入ってから多発しているパスワードの使い回しを狙った不正アクセス(不正ログイン)は、半年近く経った今も継続して発生しています。このような状況を受け、「パスワードを使った認証は限界」といった声も聞かれるようになっていますが、パスワードを使わない新しい認証方式を今すぐ全
セブンネットショッピングで不正ログイン、カード情報約15万件が閲覧の恐れ
「セブンネットショッピング」が外部からの不正ログインを受けた。クレジットカード情報を含む顧客の個人情報が、最大で15万165件、第三者に閲覧された可能性がある。 セブンネットショッピングは2013年10月23日、同社が運営するオンラインショッピングサイト「セブンネットショッピング」が外部からの不正ログインを受けたことを明らかにした。クレジットカード情報を含む顧客の個人情報が、最大で15万165件、第三者に閲覧された可能性があるという。 不正ログインが発生したのは4月17日から7月26日にかけて。外部から不正に取得したと思われるIDとパスワードを用いて、サイトへのなりすましアクセスが試みられた。この結果、会員サービス「いつもの注文」にクレジットカード情報を登録していた顧客の届け先の氏名、住所、電話番号、クレジットカード番号と有効期限が不正に閲覧された恐れがある。 同社はプレスリリースの中で、
米グーグル、DDoS対策や検閲回避ツールを公開
米グーグルは2013年10月21日、表現の自由を支援することを目的に、「Project Shield」「Digital Attack Map」「uProxy」という3種類のツールを公表した。 米グーグルは2013年10月21日、表現の自由を支援することを目的に、「Project Shield」「Digital Attack Map」「uProxy」という3種類のツールを公表した。コンテンツのフィルタリングや検閲、あるいは特定のWebサイトをダウンさせることを狙った攻撃からユーザーを守り、表現の自由をサポートしていくという。 Project Shieldは、分散型DoS(DDoS)攻撃からWebサイトを守るためのサービスだ。同社のDDoS攻撃緩和技術と、コンテンツ高速化技術「Page Speed Service(PSS)」を組み合わせ、攻撃を受けてもWebサイトを通じた情報発信を継続できるよ
これでGitも怖くない! GUIでのバージョン管理が無料でできるSourceTreeの7つの特徴とは
これでGitも怖くない! GUIでのバージョン管理が無料でできるSourceTreeの7つの特徴とは:ユカイ、ツーカイ、カイハツ環境!(31)(1/3 ページ) SourceTreeは直観的なGUIで使いやすい、今話題の無料のリポジトリ管理ツールです。本稿では、Windows版のSourceTreeをGitサポート機能を中心に紹介します。 Gitも使える大人気のバージョン管理ツール「SourceTree」 SourceTreeは、もともとMac OS X用に開発されていた無料のGit/Mercurialのクライアントアプリケーションで、GUI(Graphical User Interface)による直観的なバージョン管理の操作ができます。 SourceTreeは、2011年10月に「JIRA」「Bitbucket」で有名なアトラシアンに買収され、Windows用の正式版が2013年6月に公
「カード番号すらシェアする世代」を守るには
2013年10月1日より米国・ワシントンD.C.にて開催された「VISA Global Security Summit 2013」では、「金銭」を直接扱う業界におけるセキュリティの現状を共有し、各プレイヤーが何をすべきかのヒントが提示された。 2013年10月1日より米国・ワシントンD.C.にて「VISA Global Security Summit 2013」が開催された。ペイメントカードに関係する加盟店やカード発行会社を対象としたイベントで、「金銭」を直接扱う業界におけるセキュリティの現状を共有し、各プレイヤーが何をすべきかを考えるセッションが多数行われた。 決済ネットワーク大手であるVISAは、カードブランドとして著名な企業であり、コンシューマーにもなじみ深いものだろう。 クレジットカード、デビットカードなどの取引の中身は、加盟店や利用者、カード発行会社との「電文の交換」である。世界
MS Open Tech、HTTP/2.0相互接続試験用のエンドポイント公開
MS Open Tech、HTTP/2.0相互接続試験用のエンドポイント公開:オープンソースで開発 米Microsoft Open Technologiesは、次世代プロトコル「HTTP/2.0」の相互接続試験に向けて、新しいエンドポイントを公開したと発表した。HTTP/2.0サーバをオープンソースで開発し、そのソースコードをGitHubで公開した。 米マイクロソフトの子会社である米マイクロソフトオープンテクノロジーズ(MS Open Tech)は2013年10月3日、IETF(Internet Engineering Task Force)の作業部会で仕様策定を進めている次世代プロトコル「HTTP/2.0」の相互接続試験に向けて、新しいエンドポイントを公開したと発表した。 新しいエンドポイントでは、「Katanaプロジェクト」を使ってHTTP/2.0サーバをオープンソースで開発し、そのソ
米アドビに不正アクセス、顧客情報290万件にアクセスされた可能性
米アドビに不正アクセス、顧客情報290万件にアクセスされた可能性:Acrobatなど製品ソースコードへの不正アクセスも 米アドビシステムズは2013年10月3日、同社のシステムが不正アクセスを受け、「Adobe ID」のアカウントと暗号化されたパスワードなど290万件が影響を受けた可能性があると公表した。 米アドビシステムズは2013年10月3日、同社のシステムが不正アクセスを受け、「Adobe ID」のアカウントと暗号化されたパスワードなど290万件が影響を受けた可能性があると公表した。この中には、クレジットカード番号やその有効期限などの情報も含まれているという。 アドビのブログによると、不正アクセスを受けて攻撃者にアクセスされた可能性があるのは、同社製品の購入や「Adobe Creative Cloud」などのオンラインサービスのアクセスに必要なAdobe IDのほか、暗号化されたパス
Unicode標準6.3が公開、日中韓の互換表意文字改善
Unicode Consortiumは、Unicode標準バージョン6.3を発表した。日本語・中国語・韓国語の互換表意文字に関する改善などが盛り込まれた。 Unicode Consortiumは2013年9月30日、Unicode標準の更新版となるバージョン6.3を発表した。日本語・中国語・韓国語で使われている、字形が異なるが同じ意味の文字(互換表意文字)に関する改善などが盛り込まれた。 公式ブログによると、バージョン6.3のUnicode双方向アルゴリズム(Bidirectional Algorithm)では、丸カッコやかぎカッコの組み合わせのレイアウト一致を図り、カッコの表示方法や位置などを調整したという。また、テキスト処理を孤立化させる仕組みを提供し、別々のソースからメッセージを、文字の順番を乱すことなく組み立てられるようにした。 日中韓の言語への対応では、1002文字の日中韓の互換
SI企業が集まってノウハウ共有なんて本当にできるの? PGECの活動から
SI企業が集まってノウハウ共有なんて本当にできるの? PGECの活動から:Database Watch(2013年9月版)(1/2 ページ) 企業におけるPostgreSQL利用のノウハウ共有などを目的として設立されたPostgreSQL Enterprise Consortium(以下PGEC、リンク)。いま2年目の活動計画を確定しようとしているところです。あらためてこれまでの経緯から来年度の見通し、また参加企業にもたらされるメリットなどを話していただきました。 協業して情報開示することでお互いに支えられる 日本におけるPostgreSQLユーザー活動といえば、まずは「日本PostgreSQLユーザ会」(JPUG、リンク)が有名です。現在PGECに活動する人のなかにはJPUGからコミュニティ活動に関わってきた人もいます。例えば富士通 プラットフォーム技術本部 プロダクトソリューション技術
IEのゼロデイ脆弱性を狙う攻撃を国内でも確認、早急な回避策適用を推奨
IEのゼロデイ脆弱性を狙う攻撃を国内でも確認、早急な回避策適用を推奨:「Fix It」適用が困難な場合は他ブラウザ利用の検討も 日本マイクロソフトは2013年9月18日、Internet Explorer(IE)に任意のコードの実行につながるゼロデイ脆弱性が存在することを明らかにした。複数のセキュリティ関連組織が注意を呼び掛け、早急に対策を取るよう推奨している。 日本マイクロソフトは2013年9月18日、Internet Explorer(IE)に任意のコードの実行につながるゼロデイ脆弱性が存在することを明らかにし、一時的な回避策「Fix It」(51001)を公開した。すでに国内外でこの脆弱性を悪用した攻撃が観測されていることから、複数のセキュリティ関連組織が注意を呼び掛け、早急に対策を取るよう推奨している。 この脆弱性が存在するのは、IE 6~11までのすべてのバージョンだ。メモリオブ
DNSリフレクション攻撃の準備行動が中国から? 9月18日への警戒を呼び掛け
DNSリフレクション攻撃の準備行動が中国から? 9月18日への警戒を呼び掛け:DNSサーバとWebサーバ、それぞれ対策を 来る9月18日前後に、中国から日本の組織・企業をターゲットにしたサイバー攻撃が増加する恐れがあるとして、警察庁やセキュリティ企業のラックが警戒を呼び掛けている。 来る9月18日前後に、中国から日本の組織・企業をターゲットにしたサイバー攻撃が増加する恐れがあるとして、警察庁やセキュリティ企業のラックが警戒を呼び掛けている。 9月18日は、満州事変のきっかけとなった柳条湖事件が発生した日だ。過去数年、この時期には中国の掲示板で日本に対するサイバー攻撃を呼びかける書き込みが増加し、官公庁や企業を狙った攻撃が発生していた。特に2012年には、政府が沖縄県の尖閣諸島を国有化した直後となったことから、大規模な攻撃が発生した。 ラックによると、攻撃の手段は主に2つある。1つは、ツール
HTML5時代のWeb開発者が知らないとガチヤバな3つの未来予測と6つの脆弱性対策
8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
AWSコマンドラインインターフェイスが正式にリリース
米Amazon Web Services(AWS)は、コマンドライン形式のAWSサービス向け統合管理ツール「AWS Command Line Interface」(CLI)を正式にリリースした。 米Amazon Web Services(AWS)は2013年9月3日、AWSサービスの統合管理ツール「AWS Command Line Interface」(CLI)の正式リリースを発表した。 AWSによると、このツールをダウンロードして設定すれば、Linux、Mac OS X、Windowsのコマンドラインから複数のAWSサービスを管理できるようになり、スクリプトを通じた自動化が可能になる。コマンド形式は といった形だ。 正式版はAmazon EC2、S3、Elastic Beanstalk、Simple Workflow Seriveなど23のサービスに対応し、Amazon S3用には新しい
セキュリティ対策に数学の力を――機械学習は先行防御の夢を見るか?
膨大なログの中から不審な通信を見つけ出したり、マルウェアの挙動を解析するならば専門家の長年の経験やカンに勝るものはない、という印象が強い。しかし、次々と亜種のマルウェアを生み出してくる攻撃者の「物量作戦」の前には、いくら優秀な専門家でも後手に回りがちだ。ならば「機械学習」を活用して異常を速やかに検出し、次の亜種を予想して、先回りして攻撃を防げないだろうか――そんなアプローチが始まろうとしている。 機械学習は、コンピュータの黎明(れいめい)期から研究が進んできた分野だ。コンピュータプログラムにデータを与え、その中に潜んでいる規則性を機械学習のアルゴリズムを使って抽出し、モデル化することで、あたかも人間と同じように判断を下せるようにする。かつては、膨大な計算量が必要なことがネックとなっていたが、近年のコンピューティング能力の向上に伴い、画像処理やユーザーの行動分析、それに基づくレコメンデーショ
ヴイエムウェアが明らかにしたSoftware Defined Data Centerの具体像
ヴイエムウェアが明らかにしたSoftware Defined Data Centerの具体像:VMworld 2013 ヴイエムウェアは8月最終週に開幕した年次カンファレンス「VMworld 2013」で、同社が昨年構想として発表したSDDCの根幹となる技術が一通りそろったことをアピールし、同社のいうSDDCの具体的な意味を説明した。だが、ヴイエムウェアの説明を表面的にとらえると、おそらく誤解することになる。 IT業界では複数の企業が「Software Defined Data Center」(以下、SDDC)という言葉を使い始めている。ではSDDCとは何なのか。正解はない。この言葉こそ、今後いう人の数だけの意味が生まれ、「Software Defined Networking(SDN)」よりも定義の難しい言葉として知られていくことになるだろう。だが少なくとも、この言葉を最初に使った米ヴイ
なぜ、富士通は「色覚障がい者のための診断ソフトウェア無償提供」を終了したのか
富士通は2013年8月20日、視覚障がい者や色覚障がい者のアクセシビリティを高めるための診断ソフトウェアツール群「富士通アクセシビリティ・アシスタンス」の無償提供を終了した(参照記事)。このニュースはSNSでの反響も大きく、ユーザーから「なぜこのような素晴らしいサービスが終了してしまうのか」との声が多く聞かれた。 同様のツールは他にもあったが、富士通アクセシビリティ・アシスタンスが愛用されるのにはわけがあった。富士通アクセシビリティ・アシスタンスは、3つのツール群「WebInspector(ウェブインスペクター)」「ColorSelector(カラーセレクター)」「ColorDoctor(カラードクター)」から構成されており、それぞれ以下の特徴が挙げられる。 WebInspector ローカルフォルダを指定した場合、サブフォルダのHTMLまで一括でチェックでき、結果をCSVで保存できる C
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「俺たちのJavaは、まだまだこれからだ」未来の鍵はInternet of Thingsにあり?~JavaOne 2013まとめレポート(前編)
