情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
SP 800-63-1文書[1]は、米国NIST(National Institute of Standards and Technology:国立標準技術研究所, NIST)が発行するSP(Special Publications)シリーズのひとつであり、米国OMB(Office of Management and Budget:行政管理予算局)が米国各省庁および各政府機関長官宛に発行したガイダンスOMB M-04-04「連邦政府機関向けの電子認証にかかわるガイダンス(E-Authentication Guidance for Federal Agencies)」を上位ポリシーとしたガイドラインである。 ガイドラインはOMB M-04-04にある4レベルの保証をベースに、認証に係る作業(登録、本人確認、トークン、認証プロトコル)について記載されている。 SP 800-63自体は2004年
情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
OpenID 2.0 は実装を容易にするために、ユースケースを「OpenIDプロバイダのID情報を用いた、RPへのログイン/属性提供」に限定した仕様となっている。その結果、以下のような要件を満たすことは、仕様の範囲内では容易ではない(図2)。 機能の制限された Web ブラウザへの対応 OpenID 2.0 では、ユーザ・エージェントとして一般的なWebブラウザを対象としており、ある程度大きなURL長を処理する能力や、リダイレクト機能などを有する必要がある。そのため、携帯端末などのように機能が制限された環境のWebブラウザでは、OpenID 2.0 プロトコルを処理できない場合がある。 セキュリティ要件への対応 OpenID 2.0 プロトコルでは、Web サイト間でのID情報の要求(認証リクエスト)ならびにその提供(アサーション)は、Webブラウザのリダイレクト機能を用いて、平文のメッセ
情報セキュリティ技術動向調査(2010 年下期):IPA 独立行政法人 情報処理推進機構
暗号鍵の管理に関しては、米国国立標準技術研究所(NIST)が2005年にSP(Special Publication)シリーズとしてSP 800-57 "Recommendation for Key Management"のPart 1を発行し、暗号鍵管理の全体像を示した。その後Part 1は2回、改訂を繰り返し、最新のものは2007年に改訂された。またPart 2、Part 3も発行されて、ベストプラクティスや特定アプリケーションでの鍵管理を述べている[1]。 暗号鍵の管理は、単に暗号鍵の保護機構のみならず、暗号鍵の種類や有効期間・強度など暗号鍵そのものに関する情報や、暗号鍵の確立や保護、保証、アーカイブ、バックアップなど暗号鍵の管理機能、さらに管理フェーズや暗号鍵の状態、移行など暗号鍵の運用を含んでおり、非常に多岐にわたる。 国内では、「安全な暗号鍵のライフサイクルマネージメントに関す
情報セキュリティ技術動向調査(2009 年上期):IPA 独立行政法人 情報処理推進機構
本報告では 2009 年上半期のアイデンティティ管理技術に関する動向として、OAuth 仕様の動きを概観する。 2.1 概要 OAuth [1] は、Web サイトや非 Web アプリケーション(「コンシューマ」)がWeb サービス(「サービス・プロバイダ」)内のデータやサービス(「リソース」)に対して Web API 経由のアクセスを行う際の、そのアクセスの認証を行うためのプロトコルである。 コンシューマとサービス・プロバイダが OAuth に対応することにより、ユーザはコンシューマに対してサービス・プロバイダでのクレデンシャル(ログインID /パスワードなど)を開示することなく、ユーザのリソースへのアクセスを、コンシューマに許可することができるようになる。 ユースケースの一例として、写真共有サイトと写真加工アプリケーションとの間でのデータ共有が挙げられる。前者がサービス・プロバイダ、後
情報セキュリティ技術動向調査(2008 年上期):IPA 独立行政法人 情報処理推進機構
最近のアイデンティティ管理技術の動向についてまず言えるのは、サービス間でアイデンティティを相互連携させる上でコアとなる仕様の標準化が、昨年12 月のOpenID 2.0の最終版の確定をもって、ほぼひと段落したということである。今後は、それらコアとなる仕様を基盤とした応用技術の進展が期待される。 本報告では、まずコアとなる仕様に関して大きなトピックであるOpenID 2.0 について概観し、後に今年上半期の技術動向を紹介する。 OpenID とは、ユーザが自身のID を自由に選択し、それをさまざまなWeb サービス へのログインに利用できる、非集中型のアイデンティティ・フレームワークのことである。 2007 年 12 月 にリリースされた、いわゆる「OpenID 2.0 」とは、「OpenIDAuthentication 2.0」[1] と「OpenID Attribute Exchange
情報セキュリティ技術動向調査(2008 年下期):IPA 独立行政法人 情報処理推進機構
本報告では、OpenID を中心に、2008 年下半期のアイデンティティ管理技術に関する動向を概観する。 筆者の主観ではあるが、2008年のアイデンティティ管理技術に関する議論の多くは、直接的・間接的に関わらず、OpenIDを意識して行なわれてきたように思われる。 その背景には、OpenID の爆発的な普及がある。2007年12月に コア仕様である OpenID Authentication 2.0 が確定して以降、大量の ID 情報を保有するサイトが相次いで OpenID プロバイダ機能の提供を開始し、一方 OpenID に対応したサイト(リライング・パーティ)も、米 JanRain 社の集計によれば、2008年の1年間で約3倍の 31,000サイト以上に増加しているという[1]。 そして普及に伴い、OpenIDの利活用を進める上での仕様の改版・拡張や、実運用での工夫などに進展がみられる
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
