スパム時代のサニタイズ開発手法 Webアプリケーションの脆弱性は、基幹サービス運用を脅かす重大な問題だ。運用時に守るべきか? 開発時に対策を講じるべきか? マネジャーや開発者が考えておくべき指針とは。新着記事スパム時代のサニタイズ開発手法:「WAF」は2006年のネットサービス防御トレンドか?従来のファイアウォールではWebアプリケーションを守り切れない。インターネット上のサービスに根ざす企業では、サイト稼働率が信頼のバロメーターだ。Webアプリケーションを使っているならば、WAFの導入が必須のものとなっている。 (12/28 09:54) スパム時代のサニタイズ開発手法:サーバの複雑さが変えたセキュリティ「サニタイズ」とはWebサイトとして公開されているサーバには、いったい幾つのソフトウェアが含まれているだろう。サービス指向でシステム化が進む現代、数十から数百のツールが連携し合って成り立っているものが多い。複雑化したサーバの防御策は? (12/27 09:06) スパム時代のサニタイズ開発手法:巧妙化するネット地雷原の避け方「ページを見ただけで感染する」。このようなニュースを読んで怖さを感じた人は多いだろう。なぜそのようなことが起きるのか? 理由を知っておけば、巧みなネット地雷原を避けることができるはずだ。 (12/22 08:10) スパム時代のサニタイズ開発手法:あのCGIがクラックされてしまった理由Perlをはじめとする言語では、フォームとパイプ処理に十分な注意をしなければならない。その理由には、Webからローカルリソースへのアクセスを極力制限する必要があるからだ。 (12/21 08:28) スパム時代のサニタイズ開発手法:Perlは悪くない――CGIセキュリティホールの落とし穴比較的レガシーになってきた言語「Perl」に対し、旧サービスのメンテナンス不備が問題視されている。問題なく稼働中であっても、脆弱性が潜んでいる場合があるからだ。何に注意すればよいのか? 具体的に触れていこう。 (12/20 08:34) スパム時代のサニタイズ開発手法:Cookieは悪くない――潜む漏えいパターンの真実日ごろ何げなくPCに保存されているCookieという名の情報保存の仕組み。この仕組みには、アクセス先のサイトによって暗号化を行っていない場合や、無用に長い保存期間で設定されている場合がある。サーバ管理者やユーザーは何に注目すればよいのか。 (12/14 13:44) スパム時代のサニタイズ開発手法:セキュリティホールで問うこれからの常識セキュリティーホールとはどのようなものなのか? 日ごろニュースで書かれているその核心を理解するために、ITマネジャーでも分かりやすい事例を挙げて解説する。 (12/7 15:54) スパム時代のサニタイズ開発手法:ネットセキュリティの考え方が変わった理由日ごろ何気なくショッピングサイトなどで見かける暗号化(SSL)や情報保存(Cookie)の仕組み。そのセキュリティは本当に信じられる状態にあるのか? 今回の記事では、利用者が必ず知っておくべき真偽の判断基準を解説する。 (12/1 00:00) ニュースマカフィーの企業向けASP型ウイルス対策サービスで不具合マカフィーは1月11日、ASP形式で提供している企業向けのウイルス対策サービス「McAfee Managed VirusScan」のアップデートに際し、一部の端末で不具合が生じたことを明らかにした。 (1/12 19:15) 双日システムズ、USBトークン活用したシングルサインオン製品を発売双日システムズは1月12日より、Web向けのシングルサインオン製品「All My Key」の販売を開始した。 (1/12 19:13) SymantecのNortonにもrootkitSymantecが自社製品にrootkit的機能を搭載していたことを認め、修正した。「ますます多くの商業ベンダーがrootkitを使っている」とセキュリティ専門家は警鐘を鳴らす。 (1/12 16:19) 有害サイトを瞬時に自動評価、ブルーコートがURLフィルタリングDBを提供ブルーコートシステムズはURLフィルタリングサービス「Blue Coat Web Filter」をリリースした。同社のプロキシゲートウェイ型アプライアンス「Proxy SGシリーズ」で利用が可能。 (1/12 12:07) FTC、サイバー犯罪防止の啓発サイト開設スパイウェアやなりすましといった問題について消費者に理解を深めてもらうための啓発サイト「www.onguardonline.gov/quiz」が開設された。 (1/12 07:38) アップデートテクノロジーと日立ソフト、パッチ管理と暗号化の連携で協業アップデートテクノロジーと日立ソフトは、情報漏えい対策ソフト「秘文」の機能と連動した自動アップデート管理ツールの提供に関して協業を結んだ。 (1/11 19:20) ISO/IEC27001認証は内部統制にも役立つ、GSXが移行支援コンサルグローバルセキュリティエキスパートは、情報セキュリティマネジメントの国際規格「ISO/IEC27001」の認証取得を支援する「ISO/IEC27001 新規構築・移行コンサルティングサービス」を開始した。 (1/11 18:07) 「川柳道場」も復活、MSがセキュリティニュースレターをリニューアルマイクロソフトは2006年1月より、セキュリティ更新情報などを電子メールで提供する「セキュリティ ニュース レター」をリニューアルした。 (1/11 16:28) SPSS、データマイニングツール「Clementine」のデスクトップ版を提供エス・ピー・エス・エスは、データマイニングツール「Clementine」のデスクトップ版に当たる「Clementine Desktop」の提供を開始した。 (1/11 15:20) Apple、脆弱性修正した「QuickTime 7.0.4」公開Apple Computerは米国時間の1月10日、5種類の脆弱性を修正した「QuickTime 7.0.4」をリリースした。あらゆるQuickTime 7ユーザーにアップデートを推奨している。 (1/11 13:46) サン、ID管理状況監査ソフトでコンプライアンス対応を支援サンは、ID管理が適切に行われているかどうかを監査し、コンプライアンスに向けた内部統制の実現を支援する「Sun Java System Identity Auditor」の販売を開始した。 (1/11 12:25) MS月例アップデート、WindowsとOutlookの脆弱性に対処1月の月例アップデートはWindowsとOutlookに関連した2件で、最大深刻度はいずれも「緊急」となっている。 (1/11 08:02) Novell、Linuxアプリセキュリティ強化の新プロジェクトNovellはLinuxアプリケーションのセキュリティ強化を図る新しいオープンソースプロジェクト「AppArmor」を発表した。 (1/11 07:52) ファウンドリーネットワークス、Snortと連携した侵入検知/防止機能を提供ファウンドリーネットワークスは1月10日、同社のネットワークモニタリングテクノロジ「sFlow」とオープンソースのIDS「Snort」を統合した侵入検知/防止機能を発表した。 (1/10 16:54) 2005年、ウイルス届出数は最多に上るも被害率は低下――IPA情報処理推進機構セキュリティセンターは1月10日、2005年12月のウイルス/不正アクセス届出状況をまとめ、公開した。同時に、2005年通年の届出数も発表している。 (1/10 16:50) 緊急パッチから数日、WMFに新たな脆弱性緊急フィックスリリースの数日後に、WMFの新しいバグが2件指摘された。実証コードらしきものも既に公開されている。 (1/10 09:53) Sober攻撃は当面空振り、拡散もストップ攻撃指定日を過ぎた1月6日から、Sober.yワームに感染したマシンが特定サイトにアクセスしてファイルをダウンロードしようとする動きが始まったが、サイトは空の状態だという。 (1/10 08:09) 2005年、最もフィッシング詐欺に騙られたのはeBayとPaypal――Netcraft英Netcraftはフィッシング対策ツールバーを通じて収集した情報を元に、フィッシングサイトの動向をまとめた。 (1/6 20:25) サン、日本でもシービヨンド製品の営業を開始サンは、シービヨンド日本法人の営業権の譲渡を受け、国内における営業を開始したと発表した。 (1/6 16:08) 1月の月例パッチは2件、WMF脆弱性修正パッチとは別に公開1月6日に緊急公開されたMS06-001とは別に、月例パッチとして2件の修正プログラムがリリースされる予定だ。 (1/6 14:45) Special- PR -Special- PR - |