誰もが間違う、セキュリティ対策「9の迷信」
関連キーワード CIO | Symantec(シマンテック) | サイバー攻撃 | セキュリティ | セキュリティ対策 企業はサイバー攻撃に関して“ハイテク”な対策を取るようになっているが、攻撃者は“ローテク”になっている。本稿では、最高情報責任者(CIO)が見落としがちな点とサイバー攻撃が発生する仕組みを紹介する。 強固なサイバー攻撃対策が自社を保護する適切なアプローチだと今も信じて疑わないCIOに警鐘を鳴らしたい。 関連記事 米NSAの“最強ハッカー集団”「TAO」の背筋が凍る手口 何が起きたのか「韓国大規模サイバー攻撃」 1400万ドルを荒稼ぎ、FBIが摘発した大規模サイバー犯罪の手口 「金融機関をハッキングせよ」 英国でサイバー攻撃演習が実施 「ATMは止まらない?」、疑似サイバー攻撃で銀行が試される 受動的になりがちなサイバー攻撃対策の態勢を強化し、油断した状態を改める必要がある
組織内の情報セキュリティ啓発が不可欠な理由
情報セキュリティの専門家なら、組織内でセキュリティについての認識を高めることは、悪天候との闘いのようなものだと身に染みている。やらなければならないのだが、無駄に思えることも多い。しかし、世界でも名だたる企業がサイバー攻撃の被害に遭ったと伝えられる中、企業はあらゆる手段を駆使して情報セキュリティ強化を追求しなければならない。 本稿では、社外秘情報の流出につながりかねない攻撃に遭って被害が出るのを防ぐため、組織内のセキュリティに対する認識をどう高めるかについて解説する。 最近、悪天候で路面が凍結して運転が難しくなり、交通事故が急増したことがあった。事態を憂慮した自動車関連団体や省庁は、路面の状況に合わせて運転する方法など注意すべき点についてアドバイスを出した。幸い、車をすべてハンドリングの良さで定評がある某ブランドに買い換えるようにと勧告したところは皆無だった。凍結した路面でのハンドリング性能
Webアプリの入力検証不備──4つの実例とその対策
Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。本稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。 ログインIDが含まれたURL これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基本的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住
カード業者じゃなくてもセキュリティに効く? 一般企業にとってのPCI DSS
実践的なセキュリティ基準として最近よく耳にする「PCI DSS」とは、どのようなものだろうか。PCI DSS(Payment Card Industry Data Security Standard)とは、5大国際カードブランド(Visa International、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が2004年に共同で作成したカード会員データの漏えい防止を目的とした情報セキュリティ対策の実装要求基準である。2006年にPCIセキュリティ標準協議会(PCI SSC:PCI Security Standards Council)が設立されてから米国を中心に急速に普及している事実上の国際標準となっている。現在は、このPCI SSCという団体が基準の策定や改良、普
「費用対効果見えにくい」Webアプリケーション脆弱性診断、その有用性は?
調査概要 目的:TechTargetジャパン会員のWebアプリケーション脆弱性診断サービスの利用状況調査 方法:Webによるアンケート 調査対象:TechTargetジャパン会員 調査期間:2009年3月22日~4月3日 有効回答数:321件 ※ 回答の比率(%)は小数点第2位を四捨五入し、小数点第1位まで表示しているため、比率の合計が100.0%にならない場合があります。 TechTargetジャパンでは2009年3月22日から4月3日にかけてTechTargetジャパン会員を対象に、企業のWebサイト(システム/アプリケーション)に脆弱性がないかどうかをセキュリティベンダーがツールや手動で診断するサービス「Webアプリケーション脆弱性診断サービス」に関する読者アンケート調査を実施した。その調査結果を見ると、実際に脆弱性診断サービスを利用したのは回答者の1割足らず。主に費用対効果の点に不
Webアプリケーションの脅威モデリングの勘所
Webアプリケーションセキュリティ対策の重要なポイントの1つは、どのようなリスクにさらされているかを把握し、それらのリスクを評価することだ。このプロセスは脅威モデリングと呼ばれる。その過程ではアプリケーションの弱点とその影響を技術的に検討するため、脅威モデリングには脆弱性モデリングやリスクモデリングといえる側面もある。 Webアプリケーションのセキュリティがあなたの会社のビジネスにとって重要なら、脅威モデリングの結果は高レベルなものも含めて、十分に注意を払いながら開発プロセスに反映させなければならない。というのも、Webアプリケーションでは思いがけないさまざまなことが起こる可能性があるからだ。Webの世界では、ファイアウォールやSSL、強力なパスワードといった基本的なセキュリティ要素が整備されていれば、すべてが安全だという思い込みに陥りやすい。この危険な思い込みは結局のところ、どのようなリ
Webサイト防御のためにできること
2005年春、2007年春に猛威を振るったSQLインジェクション(※注1)の検知数が、2008年の3月上旬から当時の何倍もの規模にまで増えてきた(図1)。正直なところSQLインジェクションは「過去の遺物」であり、ほとんどのサイト運営者が何らかの手を打ち、もう絶滅したと思われていたが、現在も被害に遭うサイトは後を絶たない(図2)。 ※注1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法 図1●JSOC(ラックセキュリティ監視センター)で検知したSQLインジェクションの件数 図2●被害サイトは予想以上(Googleの検査結果)《クリックで拡大》 ここではWebアプリケーション(以下、Webアプリ)の脆弱性対策の話が中心であるため、攻撃の詳細にまでは触れないが、一連の攻撃で厄介だったのは、攻撃コードが難読化されていたことである(図
セキュリティの深刻な脆弱性につながるダングリングポインタ
従来、ダングリングポインタという非常に一般的なプログラミングエラーは、セキュリティの問題というよりも品質管理の問題と考えられることが多かった。例えば、2005年にInternet Information Services 5.1のダングリングポインタがMicrosoftに報告されたが、その後2年間、対応パッチが提供されなかった。こうしたバグはシステムをクラッシュさせたり、深刻なセキュリティ上の脅威をもたらす可能性があるにもかかわらずだ。 ダングリングポインタは、プログラマーがメモリオブジェクトを作成・使用し、解放時に、オブジェクトのポインタの値をそれに合わせて変更(つまり、NULLに変更)しなかった場合に発生する。そのポインタは、メモリの割り当てが解除されたメモリ位置を不正に参照することになる。このポインタがダングリング(宙ぶらりん)ポインタと呼ばれるのは、このポインタが指すメモリが、もは
セキュリティテストには攻撃者の視点が肝心
ソフトウェアセキュリティエンジニアとトレーナー、両方の経験から言うと、物事を理解する早さは人によって大きく違うものだ。だが、本来優秀な人がなかなか実力を発揮しないことも多い。どんなバグでも突き止められるベテランのテスターが、セキュリティテストにはなかなか習熟できない、といったことがよくある。わたしはこの数年、世界最大級のソフトウェアベンダー数社で開発者チームのトレーニングに従事する中で、彼らの行動を調べ、優れたセキュリティテスターに必要なものを明らかにしようとしてきた。その結果分かったことを紹介しよう。 セキュリティテスターに必要な3つのスキル わたしは、セキュリティテスターは皆、以下の3つの専門スキルをベースとして持たなければならないという結論に達した。 優れた想像力 多くの場合、セキュリティテスターとして欲しい情報は、すべて手に入るわけではない。例えば、SQLインジェクションの脆弱性を
カード会員情報のセキュリティ基準「PCI DSS」への対応
Payment Card Industry Data Security Standard(PCI DSS:PCIデータセキュリティ基準)では、クレジットカードやデビットカードのデータを保存、処理、転送する販売業者やサービス業者が、この機密性の高い情報を保護するために順守すべき12の要件が定められている。ほとんどのセキュリティ専門家は、これらの要件(「ダーティダズン」という俗称で呼ばれることも多い)は、「現在の情報セキュリティのベストプラクティスを盛り込んだものであり、機密性の高いデータを管理するための妥当な指針を提供する」という認識で一致している。 PCI DSSの要件は、クレジットカード情報の保護という目的にかなっているかもしれない。だが、大企業などが日常的に扱うデータの大部分に適用するには、あまりに厳しく、コストが掛かりすぎる内容だろう。例えば、大規模な大学がネットワークの大部分を公開
二重通信ミスマッチ【前編】――コンフリクトはなぜ起きるのか
二重通信のコンフリクトというのは、なかなか厄介な問題だ。この10年間にわたってIPネットワークをさいなんできた二重通信コンフリクトは依然として、パフォーマンス低下の最大の元凶であるようだ。10Mbpsイーサネット時代から引きずっているこの問題は、対処するのは難しくないが、問題そのものを特定し、局所化するのは途方もなく難しい。そして、インタフェースの状態(動作/停止)が時間的に変化し、またネットワークホストがアップデートされたり変更されたりするのに伴って問題が再発する。 二重通信コンフリクト(「二重通信ミスマッチ」ともいう)の原因特定作業を経験したことがないなどというネットワーク管理者はほとんどいないだろう(あるいはイーサネット技術に詳しくない管理者かもしれない)。この問題は、ありとあらゆるアプリケーションに甚大な悪影響をもたらす可能性がある。その症状は非常に一過性のものであり、pingを使
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
