ITmedia総合  >  キーワード一覧  >  S

「Struts」最新記事一覧

セキュリティのアレ(26):
専門家が教える「脆弱性情報」の見方
セキュリティ専門家が時事ネタを語る本連載。第26回のテーマは「脆弱性情報への対処の仕方」です。名前や危険度などの情報に振り回されないための考え方を解説します。(2016/5/27)

セキュリティクラスタ まとめのまとめ 2016年4月版:
セキュリティエンジニアを目指す若者の4月
2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。(2016/5/17)

Apache Struts2の脆弱性対策はGW前に、攻撃活発化で「緊急事態」
攻撃実証コードの有効性が確認され、国内で脆弱性の悪用を狙う攻撃が活発化している。(2016/4/28)

またこの時期に……攻撃コードの公開も確認:
Apache Struts2に深刻な脆弱性、アップデートや回避策の実施を推奨
Webアプリケーションフレームワーク「Apache Struts2」に、深刻な脆弱(ぜいじゃく)性が存在することが明らかになった。この脆弱性を狙うアクセスも観測されており、修正版へのアップデートといった速やかな対策が推奨される。(2016/4/27)

(更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開
悪用された場合に任意のコードを実行される恐れがある。(2016/4/27)

3つのフレームワークで学ぶエンタープライズJava開発入門(3):
いまさら聞けないRESTの基礎知識、JAX-RSを使ったREST APIの作り方と使い方
新規のエンタープライズJava開発において現在有力視される3つのフレームの違いについて解説する連載。前回から複数回に分けて、MVCのViewとControllerにフォーカスして各要素を紹介しています。今回はJava EEのJAX-RSについて。JAX-RSの基本的な設計方針であるRESTについて解説し、Struts 1、JSFとの違いやJAX-RSの使いどころを紹介します。(2016/4/18)

ソフトウェア脆弱性対策の効率化に向けて着手――IPAとSAMAC
脆弱性の影響を受ける製品の調査やパッチ適用などの対応作業が煩雑になっている現状を踏まえ、IPAとSAMACが情報連携による作業効率化のための取り組みに着手する。(2016/3/9)

3つのフレームワークで学ぶエンタープライズJava開発入門(2):
Strutsと比較して理解するJSFとCDI、アクションベースとコンポーネントベースの違い
新規のエンタープライズJava開発において現在有力視される3つのフレームの違いについて解説する連載。今回から複数回に分けて、MVCのViewとControllerにフォーカスして各要素を紹介していきます。今回はJSFについて。サンプルコードを通じてJSFの機能を紹介し、JSFの特徴を3つ挙げた上で、JSFのメリット・デメリットを検討します。(2016/1/18)

インフラではなく「顧客のWebサービス」を守る:
PR:無料でWAFを提供――「さくらの専用サーバ」が導入したセキュリティ強化施策とは?
「クラウドの使い勝手」と「物理サーバーの性能」の両立をうたう「さくらの専用サーバ」がリニューアルされた。エンタープライズのニーズに応えるべく、専用サーバーサービスとしては珍しいSLAを導入した他、ジェイピー・セキュアのWebアプリケーションファイアウオールを追加コストなしで導入できるようにし、「性能」「安定性」「セキュリティ」「コストパフォーマンス」などを同時に満たすサービス提供を目指す。(2015/12/7)

Apache Struts2にXSSの脆弱性、更新版が公開
脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。(2015/9/4)

15周年記念特別企画:
EJB、SOA、マイクロサービスへと至る大規模システム向けアーキテクチャの変遷
2000年前後からのアプリケーションアーキテクチャやEJB、SOAに触れながら、今後、大規模システム構築で主流になるであろう「マイクロサービス」アーキテクチャの意義と価値を考える。(2015/7/17)

3つのフレームワークで学ぶエンタープライズJava開発入門(1):
Strutsを使い続けることの問題点&現在有力なJava EE、Spring、Play Frameworkの基礎知識とアーキテクチャ
新規のエンタープライズJava開発において現在有力視される3つのフレームの違いについて解説する連載。初回は、Strutsを使い続けることの問題点と3つの概要、アーキテクチャ、使い分けについて。(2015/7/2)

「WAFは面倒」は過去のもの:
PR:進化した国産WAF「SiteGuard」でWebにセーフティネットを
Apache Sturtsの脆弱性や「Shellshock」に代表されるように、2014年以降相次いで深刻な脆弱性が公になっている。次々明らかになる脆弱性からWebアプリケーションを守るためのセーフティネットとして、あらためて注目を集めているソリューションがWebアプリケーションファイアウォール(WAF)だ。その中でも、ブラックリスト方式を採用することで、長年安定した保護を提供してきた国産WAF、「SiteGuard」の特徴とは何だろうか。(2015/6/1)

Java Day Tokyo 2015基調講演:
日本の開発者コミュニティが次世代Java仕様策定に貢献、Lambdaを手に入れたJavaテクノロジのその先へ
2015年4月8日、Javaテクノロジに関する開発者イベント「Java Day Tokyo 2015」が開催された。基調講演で紹介されたJavaテクノロジに関する話題を解説していきたい。(2015/5/1)

全世界的に攻撃数が増加:
DoS攻撃コードのうちにIISサーバーの早期対処を、HTTP.sysの脆弱性
マイクロソフトが2015年4月15日に修正したHTTP.sysの脆弱性を狙い、DoS状態を引き起こす攻撃コードが早速確認された。IISを動かしている環境では早期の対応が必要だ。(2015/4/17)

@IT セキュリティセミナー 東京・福岡・大阪ロードショーリポート(3):
CSIRT立ち上げ、セキュリティ内製化、攻撃の研究――いまこそ最前線の声を聞け!
攻撃に利用するための「全世界の脆弱なDNSサーバーをリストアップ」するのにかかる時間は? CSIRTの立ち上げやセキュリティの内製化など、ここでしか聞けなかったセッションを紹介しよう。(2015/4/3)

セキュリティインシデントに立ち向かう「CSIRT」:
セキュリティ問題を引き起こすインシデントの最新実態とは?
情報漏えいやシステム障害といった重大な問題を引き起こすサイバー攻撃などのインシデントはどのような実態にあるのか。IPAやJPCERT/CCによる2014年の調査結果から紐解いてみたい。(2015/3/5)

PR:経営層からの「うちは大丈夫か」にすぐに応えられる、NECのノウハウを結集したサイバー攻撃対策
高度化・巧妙化するセキュリティの脅威から情報資産を守ることは、企業に課せられた社会的使命といえるだろう。だが対策を講じようにも、現場には課題が山積みだ。NECの情報システム部門が長年取り組んできた「プロアクティブサイバーセキュリティ(先読み対策)」の事例を紹介する。(2015/2/27)

見えにくかったソフトウエアの品質を見える化:
PR:セキュリティも含めたソフトウエア品質向上を支援する2つのツール
市場環境の変化などを背景に、ソフトウエア開発の現場にはスピーディな開発が求められている。一方で、バグや脆弱性の少なさ、ライセンス遵守といった総合的な品質の確保も重要な課題だ。この2つの両立を支援する強力なツールとは?(2015/2/19)

自民党、エムティーアイなど3事例も紹介
比べて分かる、「クラウドWAF」「アプライアンスWAF」のどちらが買いか?
Webアプリケーションのセキュリティ対策である「WAF」には、大きく分けてクラウド型とアプライアンス型の2種類がある。両者は何が違うのか。WAFの基礎を含めて徹底解説する。(2015/1/21)

ITmedia エンタープライズ ソリューションセミナー レポート:
組織の内外で高まるセキュリティのリスクと脅威を乗り切る方法とは?
標的型攻撃や内部不正など企業を取り巻くセキュリティの脅威が一段と激しさを増している。対策が難しくなる中で有効なアプローチをどうとるべきか――ITmedia エンタープライズ編集部主催セミナーでユーザー企業の取り組みや最新の動向などが解説された。(2015/1/9)

登録したら勧誘の電話が掛かってきたぞ→その原因は:
2014年に露見した三つの重大課題とは、ラックが今年のサイバー事件、事故を総括
内部不正が起きる日本ならではの理由は? 国家間のサイバー攻撃における本当の目的は? ラックが2014年の総括を行った。(2014/12/17)

McAfee FOCUS 2014 Report:
サイバー攻撃ばかりでマヒ? 「未知」の脅威を「既知」に変える対策システムが登場
定義ファイルだけのセキュリティ対策はもう通用しないといわれる。この現状を打開するという対策手法をMcAfeeが披露した。鍵となるのは“怪しげな動き”だという。(2014/10/30)

従来型ペネトレーションテストを超えて:
SBT、システム内部からの侵入も想定したセキュリティ診断サービスを開始
ソフトバンク・テクノロジーは、ホスト単体の脆弱性の有無にとどまらず、現実の攻撃のシナリオを想定し、システム全体の耐性まで確認する「セキュリティ診断サービス」の提供を開始した。(2014/10/20)

Java 8時代の開発者のためのデバッグ/トラブル解決の基本・応用テクニック〜JJUG CCC 2014 Springまとめリポート(後編)
Java開発における3大トラブルと対策、IDEのデバッガー活用の必要性、Java 8より導入された新しいメモリ領域を使いこなすためのテクニック、独自のトランザクショナルメモリ機構を実装した有効性などをお伝えする。(2014/10/15)

bash脆弱性を狙う攻撃止まず、対策実施が急務に
9月下旬から「bash」シェルの脆弱性を抱えたシステムを狙う攻撃が続いている。より標的を絞る傾向にあるという。(2014/10/9)

脆弱性の改修、必要性が分かっていても先送り?:
シマンテックがWeb攻撃の傾向を解説、最多の攻撃はSQLインジェクション
誰もが知る「SQLインジェクション」攻撃、なのに対策は進んでいない――シマンテックが「分かっているけど対策できない」現状を解説した。(2014/9/29)

WAFで見つけたWebサイトへの攻撃状況は?
2013年後半からWebサイトの改ざん被害が増えている。シマンテックが国内サイトに対する攻撃の検知状況を明らかにした。(2014/9/26)

Strutsへの脆弱性攻撃やパスワードリスト攻撃にも対応:
PR:「使い続けられるWAF」を実現、シマンテックのクラウド型WAFとは
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。(2014/9/1)

脆弱性攻撃の対策に工夫を――2014年上半期の脅威から読み解く傾向は?
IBMが東京のセキュリティ監視センターで観測した脅威動向によれば、脆弱性発覚から攻撃までの期間が短くなり、対応に要するスピード感が重要になっている。(2014/8/27)

Struts後時代のJava EE/Javaモダン開発はどうあるべきか〜JJUG CCC 2014 Springまとめリポート(前編)
Java EEにおいてJava 8はどこまで利用できるのか、Java開発でGit、CI、継続的デリバリは、どこまで有効なのか、Struts後時代のJava EE開発における有効なフレームワークなどをお伝えする。(2014/8/26)

危険な攻撃が横行、2014年4〜6月期の脆弱性状況
2014年上半期に登録されたOpenSSLやFlash Player、Internet Explorer、Apache Strutsに関する脆弱性は177件で、2013年通期の68%を占める規模になっている。(2014/7/23)

Cisco、Apache Strutsの4年前の脆弱性を修正
Ciscoは同社製品に実装された「Apache Struts 2」の脆弱性を修正した。Apache Strutsチームは2010年8月にこの問題を修正していた。(2014/7/10)

川口洋のセキュリティ・プライベート・アイズ(50):
工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
沖縄は今日もアツかった。2014年6月に開催した「Hardening 10 APAC」、運営チームはこんなことを考えながら、妄想を現実のものにしていたのです。(2014/7/9)

4回目を数えた「守る」技術のコンテスト:
沖縄の暑さに負けない熱戦を繰り広げた「Hardening 10 APAC」
2014年6月21日、22日にかけて、「守る」技術を評価することを目的としたセキュリティコンテスト「Hardening 10 APAC」が沖縄・那覇市にて開催された。その模様をお伝えする。(2014/7/4)

@ITセキュリティセミナーレポート:
標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は
6月6日に都内で開催された@IT主催セミナー「標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は」では、最近のセキュリティインシデントを振り返りながら、必要な戦略や対策を考察、提案する講演が行われた。(2014/6/27)

VMware製品に脆弱性、更新版が公開
「VMware vCenter Operations Management Suite 5.8.2」では、リモートコード実行などの脆弱性が修正された。(2014/6/26)

セキュリティクラスター まとめのまとめ 2014年5月版:
急転直下の結末を迎えた遠隔操作ウイルス事件
4月末に見つかった脆弱性の余波で、多忙な連休を送った人が多かったセキュリティクラスター。5月後半になると、遠隔操作ウイルス事件が意外な結末を見せ、タイムラインをにぎわせました。(2014/6/10)

「Webをセキュアに」という社会的責任を果たすために:
PR:OpenSSL脆弱性――あの緊急時にSSL証明書の世界的ブランド、シマンテックはどう動いたか
2014年4月に明らかになったOpenSSLの脆弱性は、日本のみならず海外でも大きく報じられた。単にソフトウェアをアップグレードするだけでは済まなかったこの問題に、どのように対処すればいいのか、とまどった企業も少なくないのではないだろうか。シマンテックは「SSL」の世界を構成する一員として、情報の整理と対策支援ツールの提供を通じて、この困難な脆弱性への対策を支援した。(2014/6/2)

OWASP AppSec APAC 2014レポート:
404 Found――Webをセキュアに、ネットをセキュアに
Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。(2014/5/13)

セキュリティクラスター まとめのまとめ 2014年4月版:
HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
2014年4月はびっくりするような大きな事件が立て続けに発生。そしてゼロデイ脆弱性の発表方法にも注目が集まりました。(2014/5/12)

徹底解説! ITアーキテクトとは何か?(2):
Webアプリ構築で、まず考えるべきアーキテクチャの検討ポイント(基礎編)
ITアーキテクトの役割を、具体的かつ分かりやすくふ分けして解説する本連載。今回はアプリケーションアーキテクチャ設計の勘所を紹介する。(2014/5/12)

川口洋のセキュリティ・プライベート・アイズ(49):
ウイルスとは言い切れない“悪意のあるソフトウェア”
有名なソフトウェアをダウンロードしたつもりが、ヘンなソフトも一緒にインストールされている? その悪意に同意しないよう、現状を知りましょう。(2014/5/8)

無償版向けパッチは準備中:
NTTデータ、「TERASOLUNA」向けにApache Struts 1の独自パッチを提供
NTTデータは2014年4月28日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 1」について、独自に対策パッチを開発し、「TERASOLUNA Server Framework for Java」を利用しているシステムに対し、順次適用作業を実施していくことを明らかにした。(2014/4/30)

Strutsの脆弱性、「ITパスポート試験」に影響 IPA、試験を急きょ中止
「ITパスポート試験」に採用している「Apache Struts 1」に脆弱性が見つかり、29、30日に予定していた試験が中止に。(2014/4/30)

Apache Struts2の更新版公開、早期アップデートを
ClassLoaderの不正操作につながる脆弱性が修正され、開発元ではアップデートの適用を強く推奨している。(2014/4/28)

長期的な視点に基づく組織的なWebサイト管理を:
XPよりも難問? IPAがサポート切れのWebサーバー関連ソフトに警鐘
IPAは2014年4月25日、Webサーバーの適切な運用を呼び掛ける文書「サーバソフトウェアが最新版に更新されにくい現状および対策」を公開した。少なからぬ割合のWebサーバーで、サポートが終了したバージョンのサーバーソフトウェアやミドルウェアが使われているという。(2014/4/25)

Apache Struts2の脆弱性 “完全修正版”は近日リリース
Apache Software Foundationでは完全修正版リリースまでの回避策の適用を強く推奨している。(2014/4/25)

Apache Struts2の脆弱性は未解決? Struts1にも存在――国内サイト多数に影響か
脆弱性を修正したとされるバージョンでは対応が不十分である可能性が指摘された。一方、この脆弱性はサポートが終了しているStruts1にも存在し、多数のWebサイトが無防備なままになっているという。(2014/4/24)

国内セキュリティ企業が相次いで注意喚起:
Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在
脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。(2014/4/24)



7月29日で無料アップグレード期間が終了する、Microsoftの最新OS。とんでもないレベルで普及している自社の基幹製品を無料でアップグレードさせるというビジネス上の決断が、今後の同社の経営にどのような影響をもたらすのか、その行方にも興味が尽きない。

ドイツ政府が中心となって推進する「第四次産業革命」。製造業におけるインターネット活用、スマート化を志向するもので、Internet of Things、Industrial Internetなど名前はさまざまだが、各国で類似のビジョンの実現を目指した動きが活発化している。

資金繰りが差し迫る中、台湾の鴻海精密工業による買収で決着がついた。寂しい話ではあるが、リソースとして鴻海の生産能力・規模を得ることで、特にグローバルで今後どのような巻き返しがあるのか、明るい話題にも期待したい。