ITmedia総合  >  キーワード一覧  >  W

「WAF」最新記事一覧

現場エキスパートに学ぶ実践的サイバー攻撃対策塾:
最終回 「サイバーセキュリティ経営ガイドライン」で確かめる対策の抜けや漏れ
これまで標的型攻撃対策に役立つ防御方法やツール、組織体制などについて解説してきた。今回はまとめして、それらの取り組みをどのように進めるべきかについて、経産省の「サイバーセキュリティ経営ガイドライン」に照らしながら解説しよう。(2016/12/5)

利便性とセキュリティの両立を図るには
iPhone/Androidの“危ないWebアプリ作者”にならないための「5つのやることリスト」
モバイルデバイス向けアプリケーションをWebアプリケーションとして開発することの支持が広がりつつある。一方でモバイルWebアプリケーションの採用に当たり、IT部門が考慮すべきことは少なくない。(2016/11/22)

Trend Micro DIRECTION特別講演:
劇的なスピードでIT環境が変化する今、三菱化学エンジニアリング、太陽生命保険、ローソンが取り組むセキュリティ対策とは
トレンドマイクロが2016年11月18日、「情報セキュリティカンファレンス Trend Micro DIRECTION」を開催。本稿では、三菱化学エンジニアリング、太陽生命保険、ローソンが取り組むセキュリティ対策の講演の模様をレポートする。(2016/11/22)

クラウドを守る、クラウドで守る:
PR:クラウドのセキュリティ対策に新たな選択肢――Azureリソースを監視し、不適切な構成を「見える化」して対応を促すMicrosoft Azureセキュリティセンター
クラウドサービスを活用する際、多くの企業やIT担当者は、セキュリティ対策について悩むはずだ。これまでオンプレミスで実装してきた対策を実現できるのか、それ以上の安全性を確保できるのか、既存のポリシーに最適化するのは無理ではないか――。マイクロソフトは、そうした不安を払拭するセキュリティサービスとして「Microsoft Azureセキュリティセンター」を提供。どのような特徴があるのか、本当に必要なセキュリティ対策を実現できるのか。(2016/11/21)

現場エキスパートに学ぶ実践的サイバー攻撃対策塾:
第5回 脅威に備える最終防衛ライン、インシデント管理システムとは?
セキュリティインシデント発生時は、対応フローに基づく的確な作業を実施できるかがポイントになる。今回はその中心的な役割を担う「インシデント管理システム」について紹介しよう。(2016/11/1)

現場エキスパートに学ぶ実践的サイバー攻撃対策塾:
第4回 フロー図で理解するセキュリティインシデントの対応
情報セキュリティにかかわるインシデントが起きれば、どうすればいいのだろうか。担当者や対応方法は決まっているだろうか? 今回はこの「インシデント対応」について考えてみたい。(2016/10/4)

オンプレミスと同様な対策をクラウドに適用:
SecureWorksがAWS対象のセキュリティサービス、ビッグデータ解析と機械学習を活用
SecureWorks Japanは2016年9月14日、Amazon Web Services(AWS)に特化したマネージドセキュリティサービスおよびセキュリティインシデントへの緊急対応サービスを国内で提供開始すると発表した。ビッグデータ解析に専門家のノウハウを組み合わせている点が特徴。(2016/9/15)

Tech Basics/Keyword:
WordPress(ワードプレス)
企業系サイトでも広く利用されるようになってきたWebコンテンツ管理システム「WordPress」。普及の理由は? その特長は?(2016/9/15)

AWS上のシステムにセキュリティ対策、セキュアワークスが監視サービス
企業がAWSで構築、運用しているシステムの通信を監視し、サイバー攻撃などに対応する。(2016/9/14)

現場エキスパートに学ぶ実践的サイバー攻撃対策塾:
第3回 サイバー攻撃の心理を読み解く「5W1H」の視点とは?
標的型攻撃の具体的な対策を考える上では、守る側だけでなく、攻撃する側の視点が欠かせない。今回は攻撃者の視点がどのようなものかを「5W1H」で解説する。(2016/9/5)

Tech Basics/Keyword:
リバースプロキシ(Reverse Proxy)
Webシステムにしばしば登場する「リバースプロキシ」。セキュリティ対策や性能向上、Webサーバの負荷分散、Webアクセス要求の振り分けなどに利用されるという。その仕組みや実際の用途、メリットとは?(2016/8/25)

「Webサーバを立ち上げたらまずはWAFを」という世界を目指して:
PR:Webサイトを強固なだけでなく“楽に”守る――キヤノンITソリューションズから見た「SiteGuard」
キヤノンITソリューションズがセキュリティ戦略を強化し、WAFをラインアップに加えた新ソリューションの提供を開始した。そこで選ばれたジェイピー・セキュアの「SiteGuard」。最近の脅威の動向やSiteGuard採用の理由などを聞いた。(2016/8/25)

セキュリティ・テクノロジー・マップ(5):
WAF/メールゲートウェイ――特定の攻撃を「検知」「防止」する技術の基礎(その2)
典型的な社内システムを想定し、セキュリティ技術の基礎をおさらいする本連載。第5回では、「Webサイトを狙う攻撃」や「メールを使った攻撃」を検知、防御する技術を紹介します。(2016/8/9)

現場エキスパートに学ぶ実践的サイバー攻撃対策塾:
第2回 紙とペンで見つけていくセキュリティ対策の落とし穴
いくら効果的なセキュリティ対策であっても万全なものは存在しない。今回は標的型攻撃対策の「多層防御」において陥りがちな対策の“抜け・漏れ”を見つけていく方法を紹介する。(2016/8/2)

脆弱性情報と引き換えに身代金を求める
悪の“バグ報奨金プログラム”ともいえる「サイバー恐喝」の恐怖とは
2015年、IBMは“バグの領域”を侵害するサイバー恐喝攻撃を30件報告している。その攻撃は、悪意のあるハッカーがSQLインジェクションの脆弱(ぜいじゃく)性を悪用して、企業を“助ける”ことを目的にしているという。(2016/7/28)

Maker's Voice:
中小企業のサイバー攻撃対策実現に向けて加速するベンダーのヨコ連携
高度なサイバー攻撃への対策は、資金や人材が乏しい中小企業に手が届きづらい。ベンダー側では対策情報やノウハウの共有・連携で防御力を強化しようとする動きが進む。(2016/7/22)

クラウド時代の「認証」再考論【第3回】
「IDaaS」は“パスワード認証の悪夢”から逃れるための救世主となるか?
ID/パスワード認証に関わる課題を解消する「フェデレーション」だが、自前でその仕組みを構築するのは骨が折れる。フェデレーションの恩恵を容易に享受できる「IDaaS」の実力に迫る。(2016/7/22)

「@ITセキュリティセミナー 〜迷宮からの脱出〜」レポート(2):
“法的にもセキュアな”システムを作れるエンジニアになろう
@IT編集部が2016年6月23日に東京・青山ダイヤモンドホールで開催した「@ITセキュリティセミナー」レポートの第2弾をお届けする。(2016/7/20)

Ubuntuフォーラムから200万人の情報流出、放置の脆弱性が悪用される
攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。(2016/7/19)

セキュリティ、若手に聞いてみよう(2):
「少しでも現場の負担を減らせる技術を生み出したい」――セキュリティ若手研究者インタビュー
「業界の“一流人”だけでなく、もっと身近な人たちのことも知りたい」。そんな方々に向けて、セキュリティ業界で働く若手たちの生の声をお届けする本連載。今回は「企業研究者」の方にインタビューしました。(2016/7/19)

【新連載】現場エキスパートに学ぶ実践的サイバー攻撃対策塾:
第1回 中身を知れば怖くない? 標的型攻撃を解剖すると……
防御が難しいとされるサイバー攻撃だが、システムの現場では数々の防御策が日夜講じられている。ITインフラを支えるエキスパートが実践的な対策方法を紹介する新連載。第1回は標的型攻撃の中身をひも解く。(2016/7/1)

脅威に負けない我が社のセキュリティ強化大作戦:
今後のセキュリティ対策を左右するマネージドサービスの使い方
セキュリティの脅威が高まるにつれて、企業が自社で対策を運用することは困難になります。その状況に対応していく新たなセキュリティ対策で注目されているのが、「マネージドセキュリティサービス」の活用です。(2016/6/27)

「脅威対策プラットフォーム(CTP)」を拡充:
SecureWorks、AWS上のアプリとデータのセキュリティ監視に対応
SecureWorksは、データ分析エンジン「脅威対策プラットフォーム(CTP)」の機能を拡充し、AWSでホストされているクライアントアプリケーションとデータのセキュリティ監視を可能にした。(2016/6/15)

脅威に負けない我が社のセキュリティ強化大作戦:
圧倒的有利な攻撃者への対抗手段 多層防御とインテリジェンスのしくみ
セキュリティ対策の主流になった多層防御は、巧妙化や隠蔽化が進むサイバー攻撃を検知するポイントを増やして怪しい動きを見つけ、重要な情報の盗み出しを阻止するという考え方です。それでも攻撃側は潤沢な資金を背景に高度化を進めるため、今回は守る側が手にしつつある次の手段のSIEMやインテリジェンスについて解説します。(2016/6/13)

クラウド時代の「認証」再考論【第2回】
”パスワード認証の悪夢”から解放する「フェデレーション」の底力
ID/パスワード認証にまつわるさまざまな課題を一気に解決する可能性を秘める「フェデレーション」とは何か。その仕組みとメリットを整理する。(2016/6/7)

API連携でAWSのセキュリティを「自動化」:
PR:インフラ管理者とセキュリティ担当者の距離を縮める「これからのクラウドセキュリティ」とは
セキュリティ強化を目的としてクラウド採用を決める企業も増加しつつある昨今だが、「クラウドにすれば全てを“お任せ”にできる」と安易に考えてはいないだろうか? クラウドならではのメリットを生かし、セキュリティを実現するには、どこまでをサービス事業者に任せ、どこからは自力で守るのかを見極めることが肝要だ。本稿では、そのクラウドセキュリティの勘所を探っていく。(2016/5/31)

システムインテグレーションとセキュリティ(3):
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか?
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。(2016/4/21)

クラウド時代の「認証」再考論【第1回】
“パスワードがない世界”が目前でも「パスワード使い回し」が大問題になる理由
パスワード認証の代替技術が成熟し“パスワードがない世界”が現実のものになりつつある一方、パスワードの問題は重大さを増している。その裏にはオンラインサービスの普及と、急激には変わらない認証の現状がある。(2016/4/20)

セキュリティ・テクノロジー・マップ(2):
「サーバにおけるアクセス制御」の基本――ネットワークで防ぎ切れない脅威からサーバを守る
さまざまなセキュリティ技術の基本を一望できる「世界地図」を提供する本連載。第2回は、前回の「ネットワークアクセス制御」に続き、「サーバにおけるアクセス制御」について解説します。(2016/4/18)

「アプライアンス頼り」「事業者頼り」の課題も洗い出す:
手加減無用の実践的サイバー演習で弱点の洗い出しを、PwC
PwCサイバーサービスは2016年4月12日、サイバーキルチェーンに基づいて疑似的なサイバー攻撃を仕掛け、インシデント対応体制や計画が機能しているかどうかを検証する「レッドチーム演習」について説明した。(2016/4/13)

Microsoft Azure最新機能フォローアップ(13):
国内での本格展開がスタートしたMicrosoft Azure Marketplace
「Azure Marketplace」は、ISVが自社のソリューションを世界のMicrosoft Azureユーザーに提供できるようにするオンラインマーケットプレースです。2016年1月より、日本国内での本格展開がスタートしています。(2016/3/31)

セキュリティ・テクノロジー・マップ(1):
ネットワークアクセス制御の基本――「正しいセキュリティ設計の考え方」入門
セキュリティ技術についての知識が必要になったけれど、学ぶべきことが多過ぎて何から手を付ければよいのか分からない。そんな方も多いのではないでしょうか? 本連載は、そんな皆さまのために、さまざまなセキュリティ技術の基本を一望できる「世界地図」を提供することを目指します。(2016/3/17)

セキュリティ事故の被害を回避するインシデントレスポンス:
インシデントレスポンスとは何か――自動車事故に置き換えて考える
セキュリティ上の重大事故や障害での対応とはどのようなものでしょうか。自動車事故における対応の流れを例に解説します。(2016/3/7)

5分で絶対に分かる:
5分で絶対に分かるWAF
「SQLインジェクション」などの攻撃からWebサイト(Webアプリケーション)を守るWAF(Web Application Firewall)について、5分で解説します。(2016/3/7)

マルチテナント環境の運用効率化に寄与:
F5のBIG-IPが富士通のホスティングサービスに採用
富士通が提供するホスティングサービスのファイアウォールと負荷分散装置に、F5ネットワークスジャパンの「F5 BIG-IP」が採用された。ネットワーク機能を、顧客自身が設定可能になる。(2016/3/1)

リソースグループごとにポリシー設定:
Azure Security Centerが機能強化、他のクラウド利用を制御するCASBも提供へ
米マイクロソフトはMicrosoft Azureで、Azure Security Centerを大幅に機能強化、さらにユーザーによる各種SaaS利用をコントロールできるセキュリティサービスを2016年4月に提供開始する。(2016/2/26)

@ITマイナンバーセキュリティセミナーレポート:
マイナンバー対応は「騒ぎ過ぎず、楽観し過ぎず」で
2016年1月からいよいよ正式に開始されたマイナンバー制度。関連する詐欺が発生したり、重複して番号が発行されたりと、何かと話題は尽きない。一方企業側での対応はどうだろうか。幾つかの調査結果によると、既にマイナンバー対応の取り組みを進める企業がある一方で、中小企業を中心に「まだこれから」「具体的にどうすればいいか分からない」という段階の企業も少なくない。こうした悩みに対する指針を示すセミナーの模様をお届けする。(2016/2/24)

ITmedia エンタープライズ ソリューションセミナー レポート:
セキュリティインシデントに強い組織づくり 標的型攻撃を再点検する
国内企業・組織を狙う標的型攻撃の脅威が改めて注目された2015年。情報資産やシステムをインシデントの被害からどう守るべきだろうか――ITmedia エンタープライズ主催セミナーではセキュリティの専門家が標的型攻撃を中心とする対策ポイントを解説した。(2016/1/22)

ITmedia エンタープライズ ソリューションセミナー レポート:
企業・組織で高まる標的型攻撃の脅威、対策の再点検を考える
2015年は国内企業・組織を狙う標的型攻撃の脅威が改めて注目された。情報資産やシステムを守る方法をどう見直すべきか――ITmedia エンタープライズ主催セミナーでは専門家らが標的型攻撃対策のポイントを解説してくれた。(2016/1/19)

アカマイがWeb脅威に関する報告書を公開:
Web担当者必見。知らぬうちにSEO攻撃に組み込まれる可能性
アカマイ・テクノロジーズは、Webセキュリティの脅威に関する報告書を発表した。SQLインジェクションを使用して、検索エンジンのランク付けに影響を与える攻撃を確認したという。(2016/1/14)

PR:毎日数百通を超える標的型メールを検知し遮断、NECの知見を生かしたサイバー攻撃対策
数多くの大規模プロジェクトを手掛けるNECには、機密情報を狙う標的型メールが毎日送り付けられているという。NECでは長年に渡ってサイバー攻撃の脅威から情報の安全を守るノウハウを蓄積。そのノウハウを生かして同社が提供しているサイバー攻撃対策ソリューションを紹介しよう。(2015/12/25)

知って納得、「セキュリティ法制度対応」の具体策【第2回】
マイナンバー対応でよく耳にする「安全管理措置」、具体的に何をするのか?
連載第2回となる本稿では、マイナンバーに関するセキュリティ法制度対応として、情報システムに求められるマイナンバーの安全管理措置について解説する。(2015/12/11)

「情報共有」の重要性を身をもって体験:
マネジメント力が勝利の鍵となった「Hardening 10 ValueChain」
「守る」技術を競うコンテスト、「Hardening 10 ValueChain」が沖縄コンベンションセンターで開催された。勝利の鍵を握ったのは、技術力ももちろんだが、情報共有と優先順位付けを行う「マネジメント力」だったようだ。(2015/11/25)

「フォームページのみHTTPS」はもう古い?:
PR:セキュリティだけじゃない、常時SSL/TLS化がもたらすメリットとは
ブラウザーで「鍵」マークを確認するのは、フォームに個人情報やクレジットカード情報を入力する時だけ……。そんな世界が、新たな標準「HTTP/2」の登場によって変わろうとしている。全てのページでSSL/TLSを利用する「常時SSL/TLS」を採用するWebサービスが増加しているのだ。常時SSL/TLSを導入することで、セキュリティの向上やマーケティング面でのメリットがもたらされる。しかし一方で、Webサイト管理者には、いくつか考えなければならない課題があるのも事実だ。本稿では、それらのメリットと課題を整理してみる。(2015/11/20)

「標的型攻撃対策」の現実解【第2回】
丸分かり「標的型攻撃対策」:未知の攻撃にどう対抗? 「入口対策」基礎の基礎
多層防御が鍵となる標的型攻撃対策。その基本となるのが「入口対策」だ。未知の攻撃にも耐え得る入口対策を進めるために、どのようなセキュリティ製品を導入すべきか。基礎から解説する。(2015/9/11)

Webセキュリティには必須でもまだ「高根の花」
中小企業にも手軽に導入できるWAFはないだろうか?
Webサイトがビジネスに欠かせない存在になる一方、そこがセキュリティの「穴」として狙われることが多くなった。セキュリティ保護のためにはWAF導入が望まれるが、コスト的に手が出ない。どうすればいいのか。(2015/9/10)

普通のサンドボックスと何が違う?
早くも登場の次世代サンドボックス、「スマートサンドボックス」って何だ?
ゼロデイ攻撃の対策として有望視されていたサンドボックスだが、攻撃の進化に伴い早くも限界が露呈しつつある。そこで登場したのが「スマートサンドボックス」だ。従来のサンドボックスと何が違うのか。(2015/9/7)

PR:うちのサーバはもう死んでいる!? ギリギリのIT運用管理がもたらす“致命的な事態”とは
(2015/9/1)

普通のファイアウォールとどこが違う?
また出た新種のファイアウォール、「社内ファイアウォール」って何だ?
内部脅威の手段としてベンダーが訴求し始めた「社内ファイアウォール」。従来のファイアウォールと何が違うのか。その利点と課題を解説する。(2015/8/26)

新人IT担当者のためのネットワーク機器入門・機器選定編【第1回】
より速く、より密に、よりシンプルに 「スイッチ」の進化に3つの潮流
ネットワーク機器の基礎的な技術と機能について説明してきた「新人IT担当者のためのネットワーク機器入門」。今回からは最近の製品トレンドをおさえつつ、機器選定のポイントを説明していきます。(2015/7/30)



多くの予想を裏切り、第45代アメリカ合衆国大統領選挙に勝利。貿易に関しては明らかに保護主義的になり、海外人材の活用も難しくなる見込みであり、特にグローバル企業にとっては逆風となるかもしれない。

携帯機としても据え置き機としても使える、任天堂の最新ゲーム機。本体+ディスプレイ、分解可能なコントローラ、テレビに接続するためのドックといった構成で、特に携帯機としての複数人プレイの幅が広くなる印象だ。

アベノミクスの中でも大きなテーマとされている働き方改革と労働生産性の向上。その実現のためには人工知能等も含むITの活用も重要であり、IT業界では自ら率先して新たな取り組みを行う企業も増えてきている。