セキュリティニュースアラート:
大規模言語モデルのセキュリティを確保 ツールキット「LLM Guard」が公開
大規模言語モデルのセキュリティを向上させるオープンソースツールキット「LLM Guard」がGitHubで公開された。LLM開発時のセキュリティ課題の解消が期待される。(2023/9/25)
Javaのよくあるランタイムエラーの5大原因【第1回】
Javaアプリの異常を招く“不適切な入力値”とは? 対策は
起こりがちなJavaの「ランタイムエラー」とその回避方法を把握しておくことは重要だ。特に頻出する、入力値に基づくランタイムエラーとその解決策を紹介する。(2022/6/13)
これで分かる「DevSecOps」の課題と解決【第2回】
脆弱性検出ツール「IAST」が「DevSecOps」に欠かせないのはなぜか?
アプリケーション開発時のセキュリティツールとして、脆弱性を検出する「IAST」がある。セキュリティを取り入れたアプリケーション開発手法「DevSecOps」の具現化に役立つという、IASTの特徴とは。(2023/1/18)
「3回書き込みでデータ消去」ってホント?:
PR:データ消去はリスクだらけ? プロが解説する「よくある失敗例」と「正しい対処法」
昨今、さまざまなセキュリティ事件が絶えない。そんな中で見過ごされがちなのが、「データ消去」。ごみ箱に入れただけではもちろん、HDDのフォーマットや出荷時状態へ戻しただけで十分だと考えていたら、大間違い。本記事では、“ばか正直”を自称するデータ消去のプロに、正しい消去法を聞いた。(2022/3/8)
Gartner Insights Pickup(242):
現代的なネットワークセキュリティアーキテクチャ構築で知るべき17の略語とコンセプト
ネットワークアーキテクチャの変化に伴い、ネットワークセキュリティには、信頼性の高い定番技術と新技術を組み合わせた新しいアプローチが求められている。(2022/1/28)
半径300メートルのIT:
情報漏えいインシデントを教訓に生かせ “個人の”バックアップHDD管理を再考する
フリーマーケットで販売されていたHDDに、企業のビジネス文書が含まれていたとして話題になりました。これを教訓に今回は個人でできるバックアップHDDの安全な運用管理を考えていきます。(2022/1/18)
半径300メートルのIT:
「破棄」するまでがデータ保護です サプライチェーンリスクを防ぐためにできること
ディスクの破棄には手間も掛かりますが、これを怠るとサプライチェーンリスクを招く可能性があります。使い終わったHDDやSSDを適切に「破棄」するポイントとは何でしょうか。(2021/11/9)
公開情報が少なく対策が不十分:
多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。(2021/10/12)
VPN製品「Pulse Connect Secure」に複数の脆弱性 乗っ取りの危険性あり
VPN製品「Pulse Connect Secure」に複数の脆弱性が発見された。修正版は配布済みのため迅速にアップデートを適用してほしい。(2021/8/10)
IoTセキュリティ:
数百万の制御システムに影響も、組み込みTCP/IPスタック「NicheStack」に脆弱性
JFrogのセキュリティリサーチチームとForescout Research Labsは、制御システムに広く利用されているTCP/IPネットワークスタック「NicheStack」に14件の脆弱性を発見したと発表。リモートでのコード実行、サービス拒否、情報漏えい、TCPスプーフィング、DNSキャッシュポイズニングなどのサイバー攻撃につながる可能性がある。(2021/8/5)
メモリ安全ではないバグを予防:
Androidの開発へ「Rust」を導入、なぜなのか
GoogleはAndroidオープンソースプロジェクト(AOSP)が、「Android」の開発へ「Rust」導入を進めている。従来のようなC/C++とJavaを組み合わせた開発にはどのような問題があるのだろうか。(2021/4/15)
コンサルは見た! 偽装請負の魔窟(8):
本社に支援を頼むから安心して!→だが、助けは来ず
契約外で行った作業のミスが元で地獄と化したプロジェクト現場。倒れるエンジニア、姿をくらます経営者。孤立無援のプロマネに救いの手は来るのか――?(2020/11/5)
コンサルは見た! 偽装請負の魔窟(4):
PJはワンチーム、会社の垣根を越えて助け合わないとねえ
イツワ銀行の勘定系システム刷新プロジェクトで、テストデータが消えた。その原因は……?(2020/10/20)
「Amazon CodeGuru」が正式版に 機械学習によりコードの問題部分や遅い部分を指摘
「Amazon CodeGuru」が正式版に。機械学習のモデルによるコードレビューを自動的に行い、問題があると思われる部分や性能低下につながっている部分などを指摘してくれるサービス。(2020/7/2)
貴社のHDD“確実に”廃棄していますか?
狙われるハードディスク “人頼み”の廃棄処理から情報流出リスクをなくすには
安全に廃棄されたはずのHDDから、内部情報が流出――あらゆる組織が恐れるシナリオが現実化したような事件が起こった。人手不足に悩む組織の情シスや中堅中小企業はどう対策すればいいのか。情報流出リスクをなくす取り組みを紹介しよう。(2020/1/23)
機械学習でコードを分析:
AWS、ソースコードの問題点修正や、稼働中のアプリケーションの性能改善に役立つサービス「Amazon CodeGuru」を発表
Amazon Web Services(AWS)は、コード品質やアプリケーションパフォーマンスで問題が起こる前に改善できるように支援するフルマネージドサービス「Amazon CodeGuru」を発表した。(2019/12/5)
特集:サプライチェーンセキュリティ(1):
サプライチェーン攻撃とは何か
サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。(2019/8/30)
マイナンバー事務や総合行政WANを未知の脅威から防御――徳島県庁総合ネットワークにエンドポイント対策「FFRI yarai」導入
徳島県は、県庁総合ネットワークのPC計5200台にFFRIのエンドポイントセキュリティ対策製品「FFRI yarai」を導入。インターネットに接続されていないマイナンバー利用事務系、総合行政ネットワーク接続系のネットワークでも機能する「未知の脅威の振る舞い検知機能」を有する。(2018/10/24)
HDDと同じ手順では情報漏えいの危険も
SSDの廃棄方法と、SSDが「ドリルで穴を開けても復旧可能」な理由
使用済みのSSDを寄付するのは素晴らしいことのように思える。だが、データの安全を保ちたいなら話は別だ。SSDの廃棄とリサイクルは思っているより複雑だ。(2018/10/18)
傾向と対策を解説
バックアップも破壊する「DeOS型攻撃」(サービス破壊型攻撃)とは?
攻撃者の目的は機密情報の取得だけでない。最近はデータの破壊やビジネス停止を目的とする「DeOS型攻撃」の脅威が深刻化しつつある。(2018/7/23)
高度な技術をどうサポートするか
CIOが機械学習から逃げられなくなる日
機械学習を企業に導入する流れをCIOはどのようにサポートできるだろうか。恐らくはデータレイクの構築から始めることになるだろう。(2018/6/28)
攻撃を受けやすそうなデバイスのデータを守る
エンドポイントを守る「NAC」「DLP」入門、重要データを保護する定番ツールとは
企業のエンドポイントでデータが失われないよう、ネットワークアクセス制御(NAC)、データ損失防止(DLP)、データの完全消去の各ツールを使ってデータのセキュリティを確保する方法について考える。(2017/12/6)
組み込み開発ニュース:
Java対応テスト自動化ツールに単体テストを効率化する新機能を搭載
テクマトリックスは、Java対応テスト自動化ツール「Jtest 10.3.1」の販売を開始した。JUnitの単体テストを効率化するアシスタント機能を新たに搭載したほか、セキュリティ脆弱性チェックの機能を強化した。(2017/6/1)
Angular TIPS:
AngularでビューにHTML文書を「バインド」するには?(Property Binding)
プロパティバインディングでHTMLタグを含む文字列にバインドした場合、デフォルトでサニタイズされる挙動を確認。逆に意図的にサニタイズさせない方法を説明する。(2017/2/13)
大容量SSD時代へ加速:
TLC採用で最安値クラスの容量単価に!! 「Crucial BX200」シリーズSSDを試す
普及価格帯の大容量SSD「BX 200」シリーズを徹底検証。BX100と比較して何が変わったのか。(2016/1/6)
Mozilla開発者ネットワークのユーザー情報が公開サーバに
約30日の間、ユーザー約7万6000人の電子メールと、約4000人の暗号化されたパスワードが一般にアクセスできるサーバ上に置かれていたという。(2014/8/4)
node.jsでサーバサイドJavaScript開発入門(1):
サーバサイドJavaScriptの本命「node.js」の基礎知識
いま注目の「サーバサイドJavaScript」の実装の本命として話題を集める「Node.js」の概要から実践的な使い方まで解説する連載(2011/2/28)
Security&Trust ウォッチ(60):
今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
(2010/6/25)
Webアプリの常識をJSPとStrutsで身につける(11):
Webアプリにおける11の脆弱性の常識と対策
本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です(2009/9/1)
データ漏えい防止策:
用済みPCを安全に処分するには
米国の機密情報が入ったPCがeBayに出品されていたことが最近明らかになった。こうした情報流出を防ぐには、適切なプランと管理が必要だ。(2009/5/12)
フレックス・ファームのWebアプリ変換エンジンがイー・モバイルに対応
(2008/2/27)
3つの攻撃手口とその対策
Webアプリケーションサーバ攻撃を検知・阻止するには
Webアプリケーションサーバからバックエンドのデータベースサーバに侵入するのは比較的簡単だ。最もポピュラーな手口と、その対策を紹介する。(2007/7/10)
Column
データベースセキュリティにありがちな5つの弱点
安易なパスワードやSQLインジェクション、不適切なエラー処理――データベースを危険にさらす代表的な脆弱性とその対処法を紹介する。(2007/3/15)
個人情報保護時代の情報セキュリティ:
脆弱なWebアプリケーションから脱却する5つのコツ
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。(2006/2/2)
星野君のWebアプリほのぼの改造計画(4):
まこと先輩と星野君とCSRFの微妙な関係
(2006/1/28)
スパム時代のサニタイズ開発手法:
「WAF」は2006年のネットサービス防御トレンドか?
従来のファイアウォールではWebアプリケーションを守り切れない。インターネット上のサービスに根ざす企業では、サイト稼働率が信頼のバロメーターだ。Webアプリケーションを使っているならば、WAFの導入が必須のものとなっている。(2005/12/28)
スパム時代のサニタイズ開発手法:
サーバの複雑さが変えたセキュリティ「サニタイズ」とは
Webサイトとして公開されているサーバには、いったい幾つのソフトウェアが含まれているだろう。サービス指向でシステム化が進む現代、数十から数百のツールが連携し合って成り立っているものが多い。複雑化したサーバの防御策は?(2005/12/27)
星野君のWebアプリほのぼの改造計画(3):
Webアプリ、入力チェックで万事OK?
(2005/12/22)
スパム時代のサニタイズ開発手法:
巧妙化するネット地雷原の避け方
「ページを見ただけで感染する」。このようなニュースを読んで怖さを感じた人は多いだろう。なぜそのようなことが起きるのか? 理由を知っておけば、巧みなネット地雷原を避けることができるはずだ。(2005/12/22)
スパム時代のサニタイズ開発手法:
あのCGIがクラックされてしまった理由
Perlをはじめとする言語では、フォームとパイプ処理に十分な注意をしなければならない。その理由には、Webからローカルリソースへのアクセスを極力制限する必要があるからだ。(2005/12/21)
スパム時代のサニタイズ開発手法:
Perlは悪くない――CGIセキュリティホールの落とし穴
比較的レガシーになってきた言語「Perl」に対し、旧サービスのメンテナンス不備が問題視されている。問題なく稼働中であっても、脆弱性が潜んでいる場合があるからだ。何に注意すればよいのか? 具体的に触れていこう。(2005/12/20)
スパム時代のサニタイズ開発手法:
Cookieは悪くない――潜む漏えいパターンの真実
日ごろ何げなくPCに保存されているCookieという名の情報保存の仕組み。この仕組みには、アクセス先のサイトによって暗号化を行っていない場合や、無用に長い保存期間で設定されている場合がある。サーバ管理者やユーザーは何に注目すればよいのか。(2005/12/14)
スパム時代のサニタイズ開発手法:
セキュリティホールで問うこれからの常識
セキュリティーホールとはどのようなものなのか? 日ごろニュースで書かれているその核心を理解するために、ITマネジャーでも分かりやすい事例を挙げて解説する。(2005/12/7)
Perlの脆弱性は氷山の一角か
先週報告されたPerlの脆弱性はあまり注目されていないが、この脆弱性を抱えたまま忘れられているPerlスクリプトはたくさんあるに違いない。(2005/12/6)
スパム時代のサニタイズ開発手法:
ネットセキュリティの考え方が変わった理由
日ごろ何気なくショッピングサイトなどで見かける暗号化(SSL)や情報保存(Cookie)の仕組み。そのセキュリティは本当に信じられる状態にあるのか? 今回の記事では、利用者が必ず知っておくべき真偽の判断基準を解説する。(2005/12/1)
Webアプリケーションファイアウォールの必要性(2):
多様化するWebアプリケーションへの攻撃
(2005/11/22)
星野君のWebアプリほのぼの改造計画(2):
誰でもWeb管理画面に入れる気前のいい会社
(2005/11/19)
セキュリティフィクスのXOOPS 2.0.13 JPリリース
オープンソースのコンテンツ管理システム「XOOPS」に複数のセキュリティー関連のバグが発見され、対応したXOOPS 2.0.13 JPがリリースされた。(2005/10/25)
開発時点でWebアプリの脆弱性に対処、NTTデータが入力値チェックライブラリ
NTTデータは、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を作りこまないようにするJavaライブラリ「SecureBlocker」の提供を開始した。(2005/10/17)
星野君のWebアプリほのぼの改造計画(1):
セミナー申し込みフォームがスパムの踏み台?
(2005/10/15)