「セキュリティ」に関する記事
-
2020/01/28
ホワイトハッカーの存在意義と、開発者が考えるべきセキュリティのこれから――侵入テストのプロ集団による「レッドチーム演習」のけん引者に聞く
エフセキュアは、およそ300人ものホワイトハッカーを抱えるサイバーセキュリティ企業。同社プリンシパルセキュリティコンサルタントのTom van de Wiele(トム・ヴァン・デ・ヴィーレ)氏は、その中でも「レッドチーム演習」という、模擬的に対象組織を攻撃しその企業のセキュリティ対策が十分であるか検証を行うチームを率いている。企業にとって「最悪なシナリオ」を演出するというレッドチーム演習。その攻撃や侵入のための技術は多岐にわたる。2019年秋にフィンランド本社で行われたプレス向け発表会で同氏は...
-
2019/11/07今、開発者に必要なセキュリティのマインドセットとは?――攻撃が高度化するサイバーセキュリティの現況
エフセキュアは、およそ300人ものホワイトハッカーを抱えるサイバーセキュリティ企業。10月1日、エフセキュアはプレスツアーを行い、フィンランド本社にて同社CEO・CROから今日のサイバーセキュリティを取り巻く現状とサイバー攻撃技術の高度化について概況が発表された。本記事ではその様子をレポートする。また、発表会後にCROミッコ・ヒッポネン氏へのインタビューを敢行し、高度なセキュリティが求められる現在において、開発者はどうあるべきか、知見を訊いた。
-
2019/07/01GitHub SponsorsはOSSへの新しいコントリビュートの形――GitHub Satelliteでの発表を日本向けに解説
5月23日、GitHubやソフトウェア開発の最新情報を共有するためのカンファレンス「GitHub Satellite」がドイツのベルリンで開催され、いくつかの新機能・新サービスが発表された。そのGitHub Satellite Berlinに登壇したGitHubのデヴォン・ツェーゲル氏が来日し、日本向けに記者発表会を実施。新サービス「GitHub Sponsors」をはじめ、セキュリティやエンタープライズ版の新しい機能についても、詳しい説明がなされた。また、発表会終了後にツェーゲル氏にインタビ...
-
2018/10/01Webアプリケーション開発におけるDevSecOpsの設計
お久しぶりです。ユービーセキュアの長田です。前回は各種セキュリティ対策ツールを紹介しました。今回は、前回紹介したツールの一部について開発工程にどのように組み込むべきか、組み込み方法や注意点について説明します。
-
2018/09/22初心者でも図解でまるわかり!ネットワークとセキュリティのしくみをわかりやすく解説
翔泳社からITの基本が図解でわかる新シリーズ「図解まるわかり」が登場します。9月21日に発売となるのが『図解まるわかり ネットワークのしくみ』と『図解まるわかり セキュリティのしくみ』。新入社員などこれからIT業界で働くつもりの方、あるいはプログラミングに興味を持った学生の方が、文字だけでは理解しづらい概念や技術をイラストで理解することができる入門書です。
-
2018/02/28セキュアな開発ライフサイクル「DevSecOps」と、それを支えるセキュリティ対策ツールの種類と特徴
はじめまして。ユービーセキュアの長田です。普段はWebアプリケーションのセキュリティ診断ツールの開発を行っています。ニュースで報道されるようなセキュリティ事件・事故が相変わらず多く発生しており、セキュリティ対策の重要性は増すばかりです。しかし、セキュリティ対策が必要なことは分かっていても、アプリケーションの開発スピードが落ちるのではないかと、二の足を踏んでいる人や、そもそも、どうやってセキュリティ対策を進めたらいいのか分からないという人も多いのではないでしょうか。
-
2017/07/03セキュアなIoTエコシステムはどうすれば実現できる?
「Internet of Things」すなわちIoTは、利便性の高いものであり期待がある一方、プライバシーの侵害など、利用者が被害を受ける懸念があります。また、間接的にIoTデバイスが他者へのDDoS攻撃に利用されてしまうなど、加害者となるケースも懸念されています。このような問題が大規模に起きないよう、IoTに関わるデバイスのような局所的な部分のみならず、エコシステム(=生態系)全体を通して、利用者が安全・安心に利用できるようにあらかじめ対策を施す重要性が叫ばれています。
-
2017/03/31IoTのセキュリティ設計って、どこから学んだらいいの?
「IoT(Internet of Things:モノのインターネット)」は注目度が高いものの、全体的に未成熟な分野だと言われています。利用者にとって、また事業者にとっても、想定される脅威に対応したセキュアなIoT製品を開発することが課題であり、そのための情報、ガイドライン、あるいはその教材の需要は高いと考えられます。
-
2016/12/02セキュリティリスクを減らすために知っておきたい暗号のこと
本連載では、ITエンジニアが時代の波に飲み込まれず、ITの世界で生き残っていくための知識を解説していきます。第6回のテーマは暗号です。セキュリティリスクを減らすために、安全性を高める暗号化技術の基本を知っておきましょう。盲点になりがちな「暗号化される範囲」についても解説します。
-
2016/11/23開発者はハッカーに勝てるか? 脆弱性とセキュリティの話
本連載では、ITエンジニアが時代の波に飲み込まれず、ITの世界で生き残っていくための知識を解説していきます。第4回のテーマは情報セキュリティ。前回解説したようなデータ分析をビジネスに活用する意識が高まり、同時に個人情報の価値が上がっています。つまり、データは盗む価値があるともいえます。本稿では、攻撃に対抗するにはどうすればよいか、ハッカーの視点も交えながら考えます。
-
2016/09/20入門! チートの解剖学 ~セキュアプログラミングでゲームのチートは防げるのか? ~
ゲームのチート対策について、技術的に見るとチートとはどういった行為であるのかを解説し、チート対策の原理や仕組みを解説します。Webアプリケーション開発におけるセキュアプログラミング等とは大きく異なるチート対策に特有のポイントを挙げ、同じく「セキュリティ」と呼ばれるものでも両者は大きく異なる技術分野であることを見ていきます。チートの多くは技術的にはそれほど難しいことをしているわけではなくチートの被害はいつでも発生しうるのだということ点を実感していただくために、Unityで作成したAndroidア...
-
2016/09/06組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」
昨今のウェブアプリケーションでは、ほとんどの場合、オープンソースのフレームワークやライブラリのような、自社開発ではないパッケージ化された部品(コンポーネント)を組み合わせて構築することでしょう。ですから、もしも既知の脆弱(ぜいじゃく)性が存在するようなコンポーネントを利用してウェブアプリケーションを開発していた場合には、組み込まれたコンポーネントの脆弱性を悪用され、攻撃を受けてしまう可能性が高くなります。
-
2016/06/30OWASP ZAPで開発中にセキュリティ診断!
ウェブアプリケーションのセキュリティ対策を考える上で、リリース直前ではなく、開発中の早期の段階からセキュリティ診断を行い、すぐに脆弱性を修正するというサイクルを繰り返すことが重要です。本記事では、その実践に役立つオープンソースのセキュリティ脆弱性検査ツール「OWASP Zed Attack Proxy(以下OWASP ZAP)」のインストール方法と、主要な機能を紹介します。
-
2016/02/12IoT時代において重要性が増すデバイスのセキュリティ
本稿ではOWASPコミュニティから公開されているOWASP IoT Top 10をご紹介したいと思います。2014年に公開されたものですが、ウェブサービス(OWASP Top 10)やモバイル(OWASP Mobile Top 10)のセキュリティと並び重要なものとして、注意すべき脆弱性がまとまっています。
-
2016/01/29
SQLインジェクション対策の極意はSQL文を組み立てないことにあり
特にウェブアプリケーションにおいて、SQLインジェクションはもっとも有名な脆弱性の一つであり、2005年以降は日本のウェブサイトにも活発に攻撃が行われています。OWASP Top 10の2010年版においても、最新版の2013年版においても、ともに1位に位置づけられています。本稿では、OWASPのドキュメントを参照しながら、SQLインジェクションのあるべき対策について説明します。
