日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。 本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and Misconceptions」で、米国Amazonのレビューでは4.6の高評価を得ています。また、「インターネットの父」ことヴィントン・サーフ氏が本書に前書きを寄せています(後述)。 はじめにサイバーセキュリティは、その短い歴史にも関わらず、神話や都市伝説に満ちています。古典的なものとして、本書の冒頭では、「ウイルス対策企業が自社製品を売るためにマルウェアを作って拡散した」が紹介されています。 本書は、このようなセキュリティの都市伝説や神話をとりあげ
情報セキュリティの敗北史 by @azu #42 情報セキュリティの敗北史|白揚社 -Hakuyosha- 1950年ぐらいのセキュリティの歴史の話から始まって、1970年には「大規模なソフトウェアシステムにおいては、エラーや異常が完全にないことを検証するのは事実上不可能」という話があったのが面白い。 Ware report - Wikipedia あと1970年にPROS(Provably Secure Operating System:証明可能な安全性を持つOS)という形式的証明みたいなことやってたのも面白い。 Provable security - Wikipedia 科学では反証可能性で担保するが、セキュリティではそうなってない。 あるシステムは安全ではないと言うことはできるが、あるシステムは安全であると言うことは難しい(バグがないシステムは存在しない)。セキュリティでは、完璧に安
# どういう書籍か コンテナの要素技術である Linux Namespaces などの Linux の機能について体験し、それらが機能していないコンテナではどういった脅威が生じ、どのような攻撃手法があるのかについて紹介した本です。 副題は「Dockerを通して理解するコンテナの攻撃例と対策」ですが、演習題材として Docker を使うという意味であり、Kubernetes などの環境では通用しないという意味ではありません。本書を通して得た知識は、Docker だけでなく、Kubernetes や Nomad などのコンテナ環境のセキュリティに適用できるように書いています。 # 他の書籍との違い コンテナとそのセキュリティに関する書籍はいくつかあります。有名どころだと次のようなものがあり、これらの中でセキュアなコンテナ運用について書かれています。 Docker/Kubernetes開発・運用
本日、PEAKS出版『Wizard Bible事件から考えるサイバーセキュリティ』の電子書籍版がリリースされました。著者は私と、Wizard Bible事件の当事者であるIPUSIRONさんです。 Wizard Bible事件を中心にCoinhive事件やアラートループ事件も扱った本です。一連の事件を扱った一般本としては国内初になると思います(法学雑誌・紀要を除く)。 一連の事件の取材・寄稿協力 本書は複数の関係者の取材・寄稿をオムニバス形式で掲載しています。以下の方々から取材や寄稿のご協力を頂いています。 IPUSIRONさん(Wizard Bible事件当事者) Lyc0risさん(Wizard Bible事件関係者) 金床さん(Wizard Bible投稿者) 元Coinhiveユーザーさん(Coinhive事件当事者) モロさん(Coinhive事件当事者) 平野敬さん(Coinh
安全な Web アプリケーションの作り方 ブログ枠で入り込みました。 2018年9月10日(月)19:00~20:30 @ EGセキュアソリューションズ株式会社 Connpass から引用: 弊社代表 徳丸の著書であり、ウェブエンジニアのみなさまのバイブルとして親しんでいただいております『安全なWebアプリケーションの作り方』。6月21日に待望の第2版が発売されました。 今回の勉強会では少しカジュアルに、『安全なWebアプリケーションの作り方』第2版執筆にあたっての想いや、初版との違い、お勧めの読み方等を著者徳丸自らがお伝えします。 さらに、第2版で新規に追加された以下の脆弱性のデモもご覧いただきます。 表紙 初版の表紙と第二版の表紙で微妙に向きが変わっている、特に意味はないけど。逆向きの矢印も検討したんだけど、座りが悪った。 初版(amazon) 第二版(amazon) 第二版で改訂しま
徳丸本こと、「体系的に学ぶ 安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。 そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。 改訂にあたり、以下を考えています。 Web APIとJavaScriptに関する説明を4章に追加 XHR2対応に向けてCORSの説明を3章に追加 携帯電話の章は丸ごと削除して、別の内
ITの進歩により便利になる一方、その影に潜むリスクは 企業だけでなくあなたのすぐそばまで迫っています。 でも、ウイルス感染や情報漏えいなんて、自分は大丈夫。 セキュリティは面倒くさいし、どう学べばいいかわからない。 そう思っていませんか? どんなに高い投資をしてツールをいれても、 会社の大切な資産を守るためには、社員一人ひとりの意識が大切です。 また、あなた個人の身を守るためにも、あなた自身の意識が必要です。 本書は、まず身につけておくべき「セキュリティ 7つの習慣」、 また身近に起こる様々なリスクをQ&A形式の「20の事例」にまとめました。 セキュリティの基礎を学びたい方や社会人としての教養を身に付けたい方、 会社でのセキュリティ研修やマナー研修などにご活用ください。 本書・資料が皆様の“セキュリティリテラシー向上” のお役に立てれば幸いです。 2017年2月 エムオーテックス株式会社
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
【本書は世界24カ国同時発売である。日本では本日朝から書店店頭に並べられている。ということはこのレビューが世界最速になるかもしれない】 このレビューを書くため、「スノーデン」や「NSA」などのキーワードを20回以上Googleで検索し、何件かの事実確認をするためにMicrosoft Office 365を経由してメールを送受した。すでにこれらの通信は北米大陸のどこかに存在するサーバーに蓄積されているかもしれない。 “バウンドレス・インフォーマント”と呼ばれるプログラムが、2013年3月8日から1ヶ月間で世界中から傍受したメールは970億件以上、通話は1240億件以上だ。なかでもイランやパキスタンなどは140億件を超えている。それどころか、傍受が禁止されている米国内や、技術的に難しいはずの中国からですら30億件以上のメールと通信データを収集している。もちろん日本も例外ではない。米国企業に勤務
2009年、ニュースで寺田学衆議院議員が日本のサイバー関連予算の削減を要求している姿を観て、我が目を疑った。明らかにサイバー・テロ及び犯罪が頻発している時代に逆行する行為だったからだ。 アメリカではサイバー犯罪に対抗する為に「サイバーコマンド」が創設されているし、NATO、韓国、中国もサイバー・テロに備える組織をそれぞれ創設している。サイバー犯罪及びその対策で世界の先頭を走るアメリカ・ロシア・中国に囲まれた日本はこんなにも無防備でいいのだろうか。 2010年、コンピューターウイルス「Stuxnet」の存在が明らかになり、欧米のメディアはこぞってこの件を取り上げた。イランの原子力施設で発見されたこのウイルスは、核燃料や核兵器の原材料製造のための遠心分離機を使ったウラン濃縮装置を誤作動させたのである(「Stuxnet」は、とても個人レベルで作れるような代物でなく、イスラエル・アメリカの両政府が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く