第3回 ブラウザとサーバーが連携、外部サイトからの表示を拒否する
今回はクリックジャッキングを防ぐ、「X-FRAME-OPTIONS」の具体的な設定を解説する。 攻撃を受けたくないウェブサイト側が、外部サイト上のframe要素またはiframe要素として表示されることの可否を宣言 「X-FRAME-OPTIONS」に対応したウェブブラウザは、ウェブサイトからの宣言を読み、表示が許可されていない場合は、そのコンテンツの読み込みを拒否する クリックジャッキング攻撃への対策をとろうとするウェブサイト運営者は、X-FRAME-OPTIONSをHTTPレスポンスヘッダーに書き込むことで2つのパターンを選択できる。一つはすべてのframe要素またはiframe要素としての表示を禁止するパターンと、同じドメインのframe要素またはiframe要素での表示だけを許可する方法である。 「DENY」、「SAMEORIGIN」の値をとる。それぞれの設定値の違いは表1の通りで
複数のサイボウズ製品に脆弱性--IPA発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます IPA(独立行政法人情報処理推進機構)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は4月15日、「複数のサイボウズ製品におけるクロスサイト・リクエスト・フォージェリの脆弱性」をJVN(Japan Vulnerability Notes)で公表したと発表した。 これによると、サイボウズが提供する複数の製品に、クロスサイト・リクエスト・フォージェリの脆弱性が存在する。該当製品にログインした状態で細工されたURLにアクセスした場合、管理画面にアクセスするためのパスワードや、ユーザー認証のためのパスワードを変更される可能性がある。 IPAは、開発者が提供する情報をもとに最新版にアップデートするよ
安全なSQLの呼び出し方
2010 年 3 月 「安全なウェブサイトの作り方」 別冊 安全な S Q L の 呼び出し方 本書は、以下の URL からダウンロードできます。 「安全な SQL の呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html 目次 目次.....................................................................................................................................................................................................2 はじめに.................................................
知らぬ間にプライバシー情報の非公開設定を 公開設定に変更されてしまうなどの 「クリックジャッキング」に関するレポート ~クリックジャッキング攻撃の対策が行われていたのは、56 ��
知らぬ間にプライバシー情報の非公開設定を 公開設定に変更されてしまうなどの 「クリックジャッキング」に関するレポート ~クリックジャッキング攻撃の対策が行われていたのは、56 サイトの内 3 サイト~ 1 目次 はじめに ........................................................................................................................................... 2 本書の対象読者............................................................................................................................. 2 1. クリックジャッキ
IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第17回)を作成、公開しました。 「クリックジャッキング」は2008年にその脅威が周知された攻撃で、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃のことです。操作した自覚がないにもかかわらず、SNSサイトなどウェブサイト上で非公開としていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の一つとなっています。既に主要なブラウザ
情報処理推進機構:ソフトウェア・エンジニアリング 「アジャイル型開発におけるプラクティス活用事例調査」の報告書とリファレンスガイドを公開
2013年3月19日公開 独立行政法人情報処理推進機構 技術本部 ソフトウェア・エンジニアリング・センター 概要 インターネット販売サイトやSNS(ソーシャルネットワークサービス)等のシステムでは、その構築において要件のすべてが明確にならなくても開発に着手し、要件の明確化や変更には開発と並行して対応します。それは、いかに早くサービスを提供するかに、ビジネスの命運がかかっているからです。 こうした要件の変化に柔軟に対応できる開発手法として、「アジャイル型開発」があります。これは、ビジネス上の優先度が高い順に、短いサイクルで機能単位の開発を繰り返す手法です。 このアジャイル型開発手法は自社開発(内製)が中心の米国で発展したものであり、要件を決めて外部に開発を委託することが多い等、受発注環境が異なる日本でアジャイル型開発を適用するのは難しいと考えられています(*1)。 「アジャイル型開発」には、
ついに公開、話題の無償PMツール - ツール開発者が活用法を解説:ITpro Active
大和田 裕=情報処理推進機構(IPA) 技術本部 ソフトウェア・エンジニアリング・センター(SEC) エンタプライズ系プロジェクト 研究員 日々の進捗やメンバーの負荷などプロジェクトの状態を数値でつかむ。そんな定量的マネジメントの無償ツールが登場し、話題を呼んでいる。ツール開発者が活用法を解説する。 高い品質や新技術へのチャレンジを求められるが、予算も工期もギリギリで余裕はない。そんな難しいプロジェクトが増えるに伴い、プロジェクトマネジャー/プロジェクトリーダー(以下プロマネ)には、緻密なマネジメントが求められている。 利用部門からの仕様変更の要求を受け入れるかどうか、納期を守るために何人のメンバーを補充するか、どのサブチームを重点的にテコ入れするか――。そうした判断が不適切だったり遅れたりすると、プロジェクトの成功はおぼつかない。ITの現場を率いるプロマネの責任は重大である。 筆者は業務
Internet Explorer の脆弱性対策について(MS13-008)(CVE-2012-4792):IPA 独立行政法人 情報処理推進機構
以下の Internet Explorer が対象です。 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 1.脆弱性の解消 - 修正プログラムの適用 日本マイクロソフト社から提供されている修正プログラムを適用して下さい。 修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。 Microsoft Update による一括修正方法 Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。 http://windowsupdate.microsoft.com/ Microsoft Update の利用方法については以下のサイトを参照してくだ
導入事例からIT製品・サービスを探す|キーマンズネット
基幹系システム ERP 会計システム 電子帳票システム ワークフロー 勤怠管理システム もっと見る 情報共有システム・コミュニケーションツール グループウェア Web会議 テレビ会議/ビデオ会議 ファイル共有 文書管理 もっと見る 情報システム SFA CRM コールセンター/CTI BPM PLM もっと見る メール 電子メール メールセキュリティ メールアーカイブ その他メール関連 もっと見る エンドポイントセキュリティ アンチウイルス 暗号化 認証 ID管理 メールセキュリティ もっと見る ネットワークセキュリティ ファイアウォール WAF IPS UTM セキュリティ診断 もっと見る 運用管理 統合運用管理 IT資産管理 サーバー管理 ネットワーク管理 統合ログ管理 もっと見る バックアップ バックアップツール バックアップサービス テープバックアップ その他バックアップ関連 もっ
“アジャイル開発”適用への3つの課題――IPAが指摘
独立行政法人情報処理推進機構(IPA)ソフトウェア・エンジニアリング・センターは、アジャイル型開発を中心とした“非ウォーターフォールモデル型開発”に適したシステムの分野や規模などについての調査「非ウォーターフォール型開発に関する調査」を行い、17のサンプル事例を含む報告書をWebサイトで3月30日に公開した。 IPAが刊行した「ソフトウェア開発データ白書2009」によると、開発プロジェクトの96%がウォーターフォール型開発を採用しているという。今回IPAは、アジャイル型開発の普及に向け、適用分野などの現状把握とその課題を整理して今後の対応へ結び付けることを目的とした「非ウォーターフォール型開発に関する調査」を実施した。この調査では、Webアプリケーションや企業の業務システムなど幅広いシステム開発の領域からサンプル事例を17例収集し、アジャイル型開発が「どのような特性のプロジェクトに向いてい
本物サイトの中に偽画面、IPAがネット銀行マルウェアに注意喚起
IPAは、インターネットバンキングサービスに介入して悪事を働くマルウェアへの対策などを呼び掛けている。 情報処理推進機構(IPA)は12月3日、月例のセキュリティ注意喚起でインターネットバンキングサービスを悪用するマルウェアの分析結果や対策を取り上げた。サービス利用者は細心の注意を払い、自己防衛を心掛けてほしいと呼び掛けている。 ネットバンキングを標的にしたサイバー犯罪は、これまで正規サイトに似せたフィッシングサイトや金融機関を装うメールに添付したマルウェアでログイン情報やパスワードなどを盗み出す手口が頻繁に使われた。最近見つかった手口では何らかの方法でユーザーのコンピュータをマルウェアに感染させ、ユーザーが正規サイトにアクセスすると、マルウェアが正規サイトの画面の一部を改ざんしたり、ポップアップで正規サイトの画面の一部を覆い隠したりする。ユーザーは正規サイトに接続していることから、マルウ
国内向けAndroid端末の複数機種にDoS攻撃を受ける脆弱性が見つかる、IPAなどが公表
情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2012年11月14日、主に国内メーカーが製造した国内向けAndroid端末の複数機種に、DoS(Denial of Service、サービス妨害)攻撃を受ける可能性につながる脆弱性が見つかったことを公表した。 両組織が共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)に同日付けで掲載された情報(JVN#74829345)によると、同脆弱性は「Android OSを搭載した一部の端末に、特定のシステム領域を参照する際の処理に問題があり、これを悪用されるとDoS攻撃を受ける危険性がある」というもの。フォティーンフォティ技術研究所の大居司氏が発見してIPAに報告した。 具体的に、同脆弱性を利用したDoS攻撃の流れは次のようになる。ま
SNSのサービス連携でアカウント不正利用の被害 - IPAが注意喚起
独立行政法人 情報処理推進機構(IPA)は10月1日、SNSにおけるサービス連携に関して、利用者に不正利用などに関する注意を呼びかけた。同機構は「今月の呼びかけ」として、毎月さまざまな注意喚起を行っている。 同社によると、最近、TwitterなどのミニブログサービスやSNSの利用者がインターネット上で被害にあうケースが増えているという。Twitterの利用者などから「何もしていないのに、自分のアカウントで勝手に投稿が行われていた」といった相談が複数寄せられている。同機構が調査したところ、Twitterやその他のSNSで用意されているさまざまな連携サービスが被害の背景にあるという。SNS間のサービス連携機能を悪用された場合に、こうした被害が発生することが確認されている。 たとえば画像共有サービスとTwitterとの連携を許可している場合、画像をアップロードすると、Twitterに投稿画像が自
プレス発表 ファジングによる脆弱性検出の有効性の実証結果の公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェア製品における脆弱(ぜいじゃく)性の減少を目指す「脆弱性検出の普及活動(*1)」において、ブロードバンドルーター(*2)6機種に「ファジング」を実践したところ、3機種で合計6件の脆弱性を検出できました。この実証結果を基に、ファジングを行う際のノウハウや知見をまとめ、「ファジング活用の手引き」として2012年3月27日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/fuzzing.html ソフトウェア製品に内在している脆弱性(未知の脆弱性を含む)を検出する技術の一つにファジング(Fuzzing)があります。ファジングは、ソフトウェア製品などに何万種類もの問題を起こしそうなデータ(例:極端に長い文字列)を送り込み、ソフトウェア製品の動作状態(
情報セキュリティ早期警戒パートナーシップガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報セキュリティ早期警戒パートナーシップガイドラインとは 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。 IPA、一般社団法人JPCERTコーディネーションセンター(略称:JPCERT/CC)、一般社団法人 電子情報技術産業協会(略称:JEITA)、一般社団法人 ソフトウェア協会(略称:SAJ)、一般社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国
ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル
※目次 1. 本資料の目的 2 2. 脆弱性対策について利用者が必要としている情報 2 3. 脆弱性対策情報の公表項目と公表例 3 4. 脆弱性対策情報への誘導方法 8 5. 参考文献 9 独立行政法人 情報処理推進機構 一般社団法人 JPCERT コーディネーションセンター 社団法人 電子情報技術産業協会 社団法人 コンピュータソフトウェア協会 社団法人 情報サービス産業協会 特定非営利活動法人 日本ネットワークセキュリティ協会 ソフトウエア製品開発者による 脆弱性対策情報の公表マニュアル 2009 年 7 月 情報セキュリティ早期警戒パートナーシップガイドライン 付録 5 抜粋編 2 1. 本資料の目的 ソフトウエア製品を開発した企業や個人 (以下「製品開発者」という)にとって、その利用者 (一般消費者やシステム構築事業者など。以下「製品利用者」という)に安全なソフトウエア製 品を提供
海外でなぜアジャイル開発が普及しているのか? IPAが分析と提言
海外ではなぜアジャイル型開発が普及しているのか、IPA(独立行政法人情報処理推進機構)が継続的に行っている非ウォーターフォール型開発についての調査や提言活動の一環として、海外でのアジャイル開発の背景などについての報告書「非ウォーターフォール型開発の普及要因と適用領域の拡大に関する調査報告書 (非ウォーターフォール型開発の海外における普及要因編)」が公開されました。 調査対象国は、アメリカ、イギリス、中国、ブラジル、デンマークです。アメリカはアジャイル宣言が行われたアジャイル開発先進国として、イギリスもアジャイル開発の先進国として選ばれ、中国は日本のオフショア先であり新しいソフトウェア開発市場が起こりつつある国として、ブラジルはアジャイルコミュニティが活発化しており、デンマークは政府がアジャイル開発を推進している国として選択されました。 報告書のハイライトを紹介します。 海外でなぜアジャイル
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、開発者向け「安全なウェブサイトの作り方」改訂第6版を公開 
IPA、脆弱性の存在によりWindows版「Safari」の使用停止を勧告
Androidアプリの脆弱性、7割超が「アクセス制限の不備」
