Windowsセキュリティ・メカニズム入門(前編) ― @IT
―― Windows OSのセキュリティ・チェックの仕組みを知る ―― 1.セキュアなOSに必要なこと 畑中 哲 2006/06/01 Windows OSのセキュリティ・チェックはどう行われているか コンピュータ・システムで利用するソフトウェアには、大きく分けてオペレーティング・システム(OS)とアプリケーションとがある。OSはアプリケーションが動作するための基盤を提供するもので、そのためにOSにはさまざまな要件が求められる。現代のOSは、単にハードウェアとアプリケーションとの仲立ちをするだけではなく、より高度な機能や堅牢性、そして安全性(セキュリティ)も大事な要件だろう。 今日セキュリティといえば、不具合(バグ)による脆弱性から来る問題が話題になることが多い。だがそもそもOSがアプリケーションに提供する環境に、セキュリティを実現するための仕組み自体が存在しなければ、たとえバグがなかった
組み込み開発フォーラム - MONOist
組み込みソフトウェア/ハードウェア開発における技術力の向上、改善・最適化などを幅広く支援する“組み込み開発エキスパート”のための情報フォーラム
カーネギーメロン武田教授、「日本はサイバーテロ状態」 - @IT
2006/3/25 カーネギーメロン大学日本校は3月24日、東京都内で情報セキュリティセミナーを開催、このなかで同校の武田圭史教授は「現在、日本のセキュリティは最悪に近い状態にある」と語った。 武田氏は、国内で情報漏えいが多発しているWinny上の暴露ウイルスについて、「マスコミでは組織の情報漏えいがクローズアップされているが、プライベートな情報の流出が深刻。人間関係が破壊されるなど、クレジットカード情報の流出よりもリスクが高い。結果的に日本はいま、サイバーテロのような状態だ」と話した。 武田氏は、2006年1月から3月中旬にかけて一般報道された情報セキュリティ事故の内訳を示し、「Winnyを通じた情報漏えい、メーリングリストの操作ミス、Webアプリケーションの脆弱性による情報漏えい、個人情報入りパソコンまたはメディアの紛失・盗難に対応すれば85パーセントの事故は防げる」と指摘。 セキュリ
カーネルが無実のプロセスをkillし始めるとき(2/2) - @IT
3月版 カーネルが無実のプロセスをkillし始めるとき 上川純一 日本ヒューレット・パッカード株式会社 コンサルティング・インテグレーション統括本部 2006/3/28 “不安定なsysfs”が含まれる“安定版カーネル”って…… halやudevやALSAは、カーネル側のインターフェイスに対応したユーザー空間のアプリケーションを提供しています。ユーザー空間側のudevやALSAライブラリがカーネルのバージョンに対応したものである限り、問題はありません。しかし、現実には安定版リリースであってもユーザー空間との互換性を損なうような変更がカーネルに適用されています。カーネルとユーザー空間側でバージョンの不一致があると、うまく動作しなくなります。 2月に行われたsysfsの構成変更のあおりを受けて、これまでのバージョンが動かなくなったlsscsi(注)ツールの新バージョン、0.17がリリースされま
コンセントでホームネットワークを構築する電力線通信 - @IT
連載:IEEE無線規格を整理する(7) ~ワイヤレスネットワークの最新技術と将来展望~ コンセントでホームネットワークを構築する電力線通信 千葉大学大学院 阪田史郎 2006/3/2 IEEE無線企画を整理する連載第1回目「無線ネットワークの規格、IEEE 802の全貌」では、拡大するIEEE 802規格の全貌を、第2回では、実用化が始まった「標準化が進むRFIDと日本発ucode」について説明してきた。ZigbeeやBluetoothなどの無線PAN(パーソナル・エリア・ネットワーク)についてまとめた。第3回「ZigbeeとBluetooth、UWBをめぐる動き」、第4回目「高速化とメッシュ化へ進展する無線LAN」「無線MAN」に続き、「情報家電ネットワーク」「2010年の情報家電ネットワークを予想する」をお伝えした。 前回は、「2010年の情報家電ネットワークを予想する」で、短距離無
コンセントでホームネットワークを構築する電力線通信 - @IT
連載:IEEE無線規格を整理する(7) ~ワイヤレスネットワークの最新技術と将来展望~ コンセントでホームネットワークを構築する電力線通信 千葉大学大学院 阪田史郎 2006/3/2 (2) UPnP(Universal Plug and Play) UPnP(Universal Plug and Play)は、1998年にサン・マイクロシステムズのJiniに対抗する意味合いでマイクロソフトによって提案されたホームネットワークのための規格であり、文字通り、購入した情報家電機器群を、接続即利用できるようにすることを狙いとする。ネットワークに接続される各種機器の検出と各種の設定を自動化し、主に一般家庭の利用者が利用しやすいネットワーク・プラットフォームを提供する。例えば、DVDで映画を観るために、DVDプレーヤの電源を入れると、スクリーンが天井から下りてプロジェクタのランプが点灯し、カーテン
適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT
Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、本連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、本連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な
Flashで作ったゲームも攻撃対象になるんです! − @IT
Web担当に異動してからの数々の功績によって、星野君はすっかり「社内のセキュリティ何でも屋さん」状態だ。いままでに発見し対処してきた脆弱性は、SQLインジェクションにクロスサイトスクリプティングなど有名どころを一通り。今日はひさびさの休日。飼い猫たちとのんびり、ゴロゴロしていると……。 今日は日曜日。星野君は自宅でゴロゴロしていた。山下君が家にやってくる予定なのだが、約束の時間まであと1時間くらいある。特にすることもないので、飼っている猫のクロとシロと遊んでいた。 クロはやんちゃで自由奔放、シロはおとなしくかなりの甘えん坊と、まったく正反対の性格の猫だ。星野君がシロと遊んでいると、クロが邪魔をしてくる。「そうかそうかこっちもかまってやらねば」と思ってクロの方に注意を向けると、途端に「興味なんてないもんね」といっているかのようにそっぽを向いてしまう。そんないつもの光景だった。 「ピンポーン」
勝つためのセキュリティ戦略が必要~三菱商事などSRM分野に進出 - @IT
2006/3/10 三菱商事とティーディー・セキュリティ、米SkyBox Securityの3社は3月9日、SRM(Security Risk Management)の分野で戦略的提携を行うことで合意し、今後3社共同でSkyBox SecurityのSRMツール「Skybox View」を中心としたソリューションを提供していくと発表した。 SRMとは、企業に無数に存在する脆弱性や脅威に対して優先順位を付け、ビジネス上の被害を最小化するためのプロセスを構築するための情報セキュリティ管理手法。一般的に、情報セキュリティの脅威のうち、ビジネスに深刻な影響を与えるものは通常、全体の1~2%程度であるという。SRMでは、企業の運営継続性や競争力向上などの経営的側面からそれらを見極め、これら深刻な脅威に対応するためのプロセスを構築していく。ティーディー・セキュリティ 代表取締役社長 吉田宣也氏は、「米
2006年、T-Kernelはこうなる!(1/3) ― @IT
ECサイトを題材にソフトウェア開発の全工程を学ぶ新シリーズ「イチから全部作ってみよう」がスタート。シリーズ第6回は、開発方法の整備やスパイラルモデルなど、前回に続きさまざまな問題がある要求仕様フェーズの対処法について解説します。
年齢とスキルのギャップは恐ろしい ― @IT自分戦略研究所
毎日、人材紹介会社のコンサルタントは転職希望者と会う。さまざまな出会い、業務の中でこそ、見えてくる転職の成功例や失敗例。時には転職を押しとどめることもあるだろう。そんな人材コンサルタントが語る、転職の失敗・成功の分かれ道。 手も足も出せない不採用理由 人材紹介会社経由で求人企業に応募して書類選考や面接で不採用となったときは、人材紹介会社が求人企業からその理由を聞き取り、応募者に伝えるというのが一般的です。その際は、次につなげるための改善点・アドバイスも併せてお伝えすることは当然です。ただ、同じ不採用理由でも、前向きに伝えられるものと、そうでないものがあります。中でも以下の理由は、次に向けた立て直しがしにくく、お伝えする際にいつもチクリと胸に棘(とげ)が刺さるものです。 「○歳でXXしか経験がないのは厳しい。せめてあと○歳若ければ……」 企業への応募に当たっては、人材紹介会社が事前に求人要件
開発者が押さえておくべきセキュリティ標準規格動向
【特別企画】 開発者が押さえておくべき セキュリティ標準規格動向 ~BS、ISO/IEC、JISなどの標準化動向と現在の管理制度~ 小川 博久 シーフォーテクノロジー 2002/1/31 e-Japan重点計画が進み、BS7799やISO/IEC 15408などの標準規格を導入していない企業の問題がクローズアップされてきている。設計・開発者は、提供するシステムにセキュリティ製品を導入すれば、それだけでよい結果が得られると考えていないだろうか? 今回は、国際標準規格を導入していない企業や導入検討している企業の設計・開発者が、各国際標準規格を理解し、何をすべきかを考えることを目標にしている。ITセキュリティ評価基準の策定は、情報セキュリティ管理との関係が深い。まずは、世界の標準化動向と現在の情報セキュリティ管理制度について解説する。 インターネットを介して扱う情報において、企業の機密情報や顧客
GCC 4.0向け最適化開始で2.95はオシマイ(1/2) - @IT
注:HAVE_ARCH_XXXは、汎用の関数を定義する一方、各アーキテクチャ用に最適化されたルーチンがある場合はそれを使うようにする仕組み。例えば、__HAVE_ARCH_MEMCPYなどで利用されている。 という構文には「意味がなく、追跡が難しいため、カーネルソースから追放するべきだ」と主張しました。具体的には、USE_ELF_CORE_DUMP、HAVE_PCI_MMAP、ARCH_HAS_PREFETCH、HAVE_CSUM_COPY_USERなどを例として挙げ、 この方式を利用するとコードが見にくくなる 実際に一貫性のない名称が利用されており、特に方式として確立されていないのに慣習として使われている といった点を問題として指摘しました。 ではどうするべきでしょうか? Linusは、実装するのなら、Makefileで のようにして汎用のヘッダを定義するのがよいだろう。その方がgrep
MSが無償配布、「Visioで書く内部統制文書ガイド」 - @IT
2006/2/25 マイクロソフトは2月24日、内部統制の構築で必要な業務プロセスの文書化を「Microsoft Office Visio 2003」で効率的に行うための方法を紹介する、「Visioで書く内部統制対応文書作成ガイド」をWebサイトで公開した。無償で利用できる。 日本版SOX法などに対応した内部統制の構築には業務プロセスの文書化作業が重要とされている。しかし、文書化は時間とコストがかかる。マイクロソフトが公開した作成ガイドを使えば、「Visio 2003を実際に使って、ステップバイステップで業務プロセスの文書化を行うことができる」という。 作成ガイドは61ページのWord文書。業務プロセス文書化の前提となる業務フローの作成方法を主に記述している。作成ガイドでは、業務フローで行うべき項目や順序を入力したAccessファイルが準備されていることを想定した、業務フローの作成方法も説
オープンソースWebアプリのセキュリティを調査 - @IT
2006/2/25 Webアプリケーション・セキュリティに関心を持つ企業や個人が参加する「Web Application Security フォーラム」(WASフォーラム)は2月24日、東京都内でセミナーを開催、フォーラムの製品評価分科会で2005年11月に実施したオープンソース・ソフトウェア(OSS)のセキュリティに関する調査の結果を報告した。 この調査では、オープンソースの電子商取引アプリケーション数種を、推奨される構成でインストールし、これに対してWebアプリケーション検査ツールを実行、それぞれについてクロスサイト・スクリプティングやSQLインジェクションなどの脆弱性を確認した。 さらに、それぞれのアプリケーションに対して3種のWebアプリケーション・ファイアウォール(WAF)を適用し、再びWebアプリケーション検査ツールを実行し、適用前との違いを調べた。 調査の対象となったのは、O
電子署名方式の最新技術「DKIM」とは
送信ドメイン認証技術にはIPアドレスを利用するものと電子署名を利用するものがある。前者の代表は「Sender ID」や「SPF(Classic SPF)」であり、後者のそれは「DomainKeys」である。 今回は、電子署名を利用するタイプの送信ドメイン認証である「DomainKeys Identified Mail(DKIM:ディーキムと発音する)」を解説する。DKIMの具体的な説明に入る前に、その誕生について触れよう。 DKIMの両親となったDomainKeysとIIM 「電子署名を使うDomainKeysの設定方法」にて説明したDomainKeys以外にも電子署名を利用した送信ドメイン認証を実現する方法として、Cisco Systemsが提案した「Identified Internet Mail(IIM)」という規格がある。IIMはDomainKeysとは異なり、署名に利用した公開鍵
Ajax技術の目に見えない通信内容をのぞいてみよう ― @IT
Ajax(エイジャックス)の登場によって、ブラウザのプラグインソフトに頼らなくても、見た目が華やかで動きも面白いWebアプリケーションの開発が可能となりつつあります。筆者のみならず、読者の皆さんもこの技術の行方に興味津々といったところでしょう。本連載では、ブラウザ上での「見た目」だけに注目するのではなく、本技術の背景や目に見えない通信内容、セキュリティといったところにも焦点を当て、より深く掘り下げていきたいと考えています。 はじめに まず、読者の皆さんは、なぜAjaxに興味を持たれたのだろうか? おそらく、GoogleローカルやGoogleサジェストが、そのきっかけの1つになったのではないかと予想する。確かに、地図が滑らかにスクロールしたり、キーを入力するたびに画面がリアルタイムに切り替わったりする点は、これまでのWebページにはなかった新しい「感触」で、感嘆の声を上げた方も少なくないだろ
@IT Special PR:Itanium Solutions Alliance Developer Days Japanレポート
Itanium® Solutions Alliance主催 日本初の開発者向けテクニカルセミナー開催! 並列化でLinuxソリューションの魅力を高める方法を伝授 インテル® Itanium®(アイテニアム)プラットフォームに最適化されたプログラム開発を支援するセミナー、「Developer Days Japan」が2005年12月14日に東京で開催された。このセミナーは、Itanium® 2プロセッサ・ベースのソリューションの普及促進を目的に発足したグローバル規模のアライアンス「Itanium® Solutions Alliance」が主催する、日本初のDeveloper Daysで、ミッションクリティカル分野への進出が著しいLinuxのソフトウェア開発者を対象としたものとなった。 インテル® Itanium® 2 プロセッサは大規模でミッション・クリティカルな環境や大量の演算処理を行うシ
先輩エンジニアが心得ておくべきこと(前編)
研修を終えた新人たちが現場にやってくる。皆さんの中には、先輩エンジニアとして彼らを指導する人も多いのではないだろうか。新人を迎え、指導するために必要なのは、相手を知り、自分を知ること。新人と自分との間にあるギャップを意識し、成長の手助けをしよう。それが先輩エンジニアとしての心得だ。 新入社員を迎えるに当たって こんにちは。「5月病」の時期も終わり、いよいよ梅雨に入ろうかという季節になりました。皆さんの部署には、今年は新入社員はいらっしゃいますか。ここ2~3年の緩やかな景気の回復に伴い、いままで凍結していた新卒採用を再開した企業も多いのではないかと思います。6月ともなると、研修を終えた新入社員たちが皆さんの部署にも配属されてくるのではないでしょうか。 新入社員を迎え入れる先輩となる皆さんの中には、メンターやOJTリーダーに任命される人もいらっしゃることと思います。新入社員を迎えるに当たって、
効果的な職務経歴書の書き方教えます
転職する際、最初の関門が書類選考に突破することだ。ここではどのようなポイントに気を付ければいいのか、どのような職務経歴書を書くと効果的かを紹介する。 職務経歴書は誰が読む? 当たり前ですが、転職したいといっても、すぐにその会社の人事や現場部門の担当者と会い、自己PRできるわけではありません。普通は履歴書や職務経歴書(職歴書と略される場合もあります)などを提出します。採用企業はその書類でまずは選考するという関門があります。つまり、書類選考に通らなければ、自己PRも何もありません。書類作成がいかに重要か、分かると思います。 提出する書類は、原則として「履歴書」「職務経歴書」の2点です。履歴書は、市販のものを含め、ある程度記載する項目やフォーマットが決まっているので、作成も簡単です。やっかいなのは、職務経歴書の方です。書式が自由なため、個人差が一番出ますし、職務経歴書の書き方を解説した書籍も多数
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
