脆弱性評価ツールの有効性を知る(1/3)- @IT
DBの脆弱性評価ツールはどのような効果をもたらすのでしょうか。DB運用に潜むリスクと、ツールによる解決策を取り上げます(編集部) 第3回「診断ツールでデータベースの健全性を保つ」では、データべースの“脆弱性評価”とはどのようなものか、診断ツールで何ができるのか説明しました。データベースを運用する上で脆弱性をきちんと把握、改善することは、セキュリティ管理の前提であり、とても重要です。 今回も引き続きデータベースの脆弱性評価について掘り下げるともに、実際の環境において脆弱性評価ツールがどのような効果をもたらしてくれるのかについて具体的に解説します。 DBをセキュアに保つための管理プロセスを確立せよ データベースをセキュアに保つためには、現在のシステム構成でセキュリティ上の“弱点”がないかを評価し、現状を把握することが重要です。その評価結果を基にポリシーを見直し、改善策を施す――これを継続して実
情報処理推進機構:プレス発表
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、バイオメトリクス(生体認証)の利用による情報セキュリティ対策を推進するため、日本国内で一般利用者が入手可能なバイオメトリクス製品の情報を収集し、「バイオメトリクス製品データベース」として2007年12月27日より、IPAのウェブサイトで公開しました。 (URL:https://isec.ipa.go.jp/biodb/) 銀行のATM(現金自動預け払い機)や建物への入退室システムなど、生体情報を利用し個人認証を行うバイオメトリクス製品が普及しています。高いセキュリティが要求される分野だけに、その導入にあたっては、セキュリティレベルや認証精度に関して十分に検討された製品を選択することが大切です。しかし、現状ではバイオメトリクス製品情報はベンダごとに開発・販売側の視点で書かれているため、利用者が製品情報を読んでも、セキ
無料のデータベース脆弱性スキャナ「Scuba by Imperva」
Oracle、IBM DB2、Microsoft SQL Server、Sybaseに対応したデータベース脆弱性スキャナ「Scuba by Imperva」が無料でダウンロードして利用できるようになりました。パッチが適用されているかどうか、危険なプロセスおよび弱いパスワードはないかどうかなど、何百もの欠点を見つけてくれるとのこと。日本語のマニュアルも付いてきます。 Windows 98/NT/2000/XP、Sun Java JRE ver.5.0以上で動作します。 ダウンロードは以下から。 無償データベース脆弱性スキャナ | Scuba(スキューバ) by Imperva 製品情報 ダウンロードには無料のユーザー登録が必要で、起動する際にも情報の登録が必須です。 起動するとこんな感じ レポートはHTMLファイルで出力可能です MySQLなどにも対応してくれているとよかったのですが、将来的
[ThinkIT] 第1回:データベース・セキュリティは本当に必要なのか (1/3)
近年、個人情報をはじめとする機密情報が外部に漏洩する事件が多発しています。各種メディアで報道されるだけでもかなりの件数がありますが、外部に公表せずに処理してしまったものや、そもそも情報漏洩の事実に企業側が気付いていないものを含めると、実際には相当な件数の情報漏洩事件が起こっていると考えられます。 情報漏洩の経路は様々です。Winnyを通じて感染を拡げるウィルスにより、PC上の個人情報や機密情報が漏洩する事件が後を絶ちません。またノートPCの盗難・紛失によって、機密情報が漏洩したおそれがあるという趣旨の報道発表も少なくありません。このような「過失」による情報漏洩だけでなく、外部からの不正アクセスや内部者による情報の持ち出しなど、「故意」による情報漏洩も少なくありません。 こうした「故意」による情報漏洩事件の相次ぐ発生を受け、データベースのセキュリティ対策「データベース・セキュリティ」が近年急
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響 SQLインジェクションに関する脆弱性の修正などを行ったPostgreSQL 8.1.4,8.0.8,7.4.13,7.3.15の各バージョンが,5月23日一斉にリリースされた(関連記事)。いずれも同じメジャーバージョン系列であれば,dump/restoreによるデータ移行なしでアップグレードできる(ただし,8.1,8.1.1から8.1.4への移行については注意が必要。詳細は付属のリリースノートを参照されたい)。 修正が提供されないPostgreSQL 7.2以前のバージョン 今回対策された脆弱性はPostgreSQL 7.2以前にも存在するが,開発者のポリシーにより,7.2以前はサポートの対象になっていない。いまだに7.2 以前のバージョンを使っているユーザーは,7.3以降にアップグレ
![[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
[ThinkIT] 第1回:SQLインジェクションによるデータベース操作 (1/3)
SQLインジェクションでは、クエリなどの任意データを、データベースが実行するSQL文に挿入します。挿入されたクエリは、意図しないデータを検索したり、データベースの情報を変更したり削除したりするというように、様々な操作をデータベースに行います。問題を実証するために次の例を見てみましょう。 // 問題を実証するための入力 $name = "ilia'; DELETE FROM users;"; mysql_query("SELECT * FROM users WHERE name='{$name}'"); 上記の関数内では、ユーザが指定した名前とnameカラムの値が一致したデータをusersテーブルから取り出すことを想定しています。普通、$nameには、iliaといった文字列のように、アルファベットとスペースからできた文字列が格納されています。 しかしここでは、$nameにまったく新しいクエリ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[LAC]ラックのデータベースセキュリティ研究所が提供するデータベース安全ガイド![[LAC]ラックのデータベースセキュリティ研究所が提供するデータベース安全ガイド](https://cdn-ak-scissors.b.st-hatena.com/image/square/f56929744b18665abe82c2f039aa259a251e6a46/height=288;version=1;width=512/https%3A%2F%2Fwww.lac.co.jp%2Fcommon%2Fimg%2Fimg_ogp01.jpg)