TechTargetジャパン

「Adobe Acrobat」の「Chrome」用拡張機能の教訓から
ありがた迷惑なブラウザ拡張機能の“勝手インストール”、回避策は?
2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。(2017/6/15)

「RSA Conference 2017」基調講演レポート
Dell創業者も賛同、今「協調型セキュリティ」が必要な理由
RSA Securityのズルフィカー・ラムザン最高技術責任者(CTO)は「RSA Conference 2017」の基調講演で、協調型セキュリティに関する判断が及ぼす影響について強調した。(2017/2/22)

次期アップデートでWeb攻撃対策を強化
「Microsoft Edge」が“究極の安全ブラウザ”に一歩近づくセキュリティ新機能とは?
Microsoftは「Microsoft Edge」の次期アップデートで、クロスサイトスクリプティングやコンテンツインジェクションといったWebベースの攻撃への対策を強化する。(2017/2/22)

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)

「安全なオープンソース」を疑う
「オープンソース安全神話」信奉者が見なかったことにしたい“つらい現実”
オープンソースだから安全だと容易に判断してはならない。脅威が数多く見つかっている、オープンソースWebアプリケーションの注意点を説明しよう。(2016/6/13)

Webサイトのセキュリティ診断サービス選びを再考する
“人も技術もないWebセキュリティ診断サービス”を容易に選んではいけない理由
Webサイトの脆弱性を突く不正アクセスを受け、情報流出を招く例は後を絶たない。既にWebセキュリティ対策の必要性が指摘され、診断ツールやサービスも普及しているにもかかわらずだ。問題はどこにあるのか。(2016/3/30)

「機械学習」「ビッグデータ」が変えるセキュリティ対策【第2回】
データ駆動型セキュリティの鍵、「SIEM」を見極める3つのポイント
対症療法的なセキュリティ対策が有効だといえた時代は終わった。根本的なセキュリティ対策には、社内外のデータの活用が重要だ。その現実的な手段である「SIEM」選定のポイントを示す。(2016/3/22)

攻撃者は何でもできるようになる
多くのルーターに存在するバックドア、最悪の悪用シナリオとは
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか?(2015/11/6)

「Trident」に変わる新エンジン「EdgeHTML」の実力をチェック
Microsoft Edgeが“最強ブラウザ”になれない「ただ1つの欠点」
「Internet Explorer」をしのぐパフォーマンスやセキュリティ機能を実現する「Microsoft Edge」。ただし、ユーザーが待ち望む「あの機能」はまだ実装されていない。(2015/9/17)

豊富なセキュリティ機能をレビュー
“危険なIE”にさようなら 新ブラウザ「Microsoft Edge」は“究極の安全”実現か
Windowsの新たな標準ブラウザ「Microsoft Edge」は、「Internet Explorer」での経験を教訓に、豊富なセキュリティ機能が実装されている。詳しく説明しよう。(2015/8/20)

今こそ見直す「Webセキュリティ対策」【第5回】
あなたのWebサイトの欠陥も丸見え? 「脆弱性検索サイト」の脅威
SQLインジェクションやXSSなど、Webサイトの脆弱性を狙った攻撃は止む気配がない。こうした中、Webサイトの脆弱性を検索可能な公開ツールも登場。その危険性と対策を探る。(2014/1/27)

実益を狙った攻撃が拡大
実際はもっと深刻? サイバー攻撃に狙われる世界の主要銀行
世界の主要銀行50行のWebサイトのうち、半数以上がハッキング被害に遭っている。そうした実態が調査結果から明らかになった。銀行は果たしてどのような攻撃を受けているのだろうか。(2014/1/10)

今こそ見直す「Webセキュリティ対策」【第2回】
“危ないWebアプリ”を生む「既存コードの脆弱性」の怖さ
Webアプリを脅かす脆弱性のうち、最も危険なものとは何か。セキュリティの有識者集団が選んだ脆弱性ワースト10の結果からは、意外な事実が明らかになった。(2013/10/28)

今こそ見直す「Webセキュリティ対策」
Webサイトを標的としたセキュリティ事故が相次いで明るみに出ている。今後対策が急務だと考えられるポイントとは何か。Webサイトの中心的な要素であるWebアプリケーションに必要なセキュリティ対策とは。徹底解説する。(2014/1/27)

フォーティネットのWAF専用製品「FortiWeb」
高価で運用が難しいWAFアプライアンスばかりではない
Webアプリケーションの脆弱性を突かれたセキュリティ事故が後を絶たない中、WAFアプライアンス製品を導入する企業が増えている。しかし依然として、WAF製品は高価で運用が難しいと思い込んでいる企業も多い。(2013/3/27)

Webアプリの脆弱性放置が情報漏えいの温床に
ISACA報告書:SNSとWebアプリの安易な連携が被害を大規模化
ソーシャルネットワークとWebアプリケーションを安全に連携させるには、脆弱性対策などのセキュリティ確保は必須だ。だが企業の対応は遅れていると専門家は危機感を募らせる。(2011/11/30)

NEWS
日本ベリサイン、サーバ証明書の顧客に脆弱性調査を無償提供
日本ベリサインは、SSLサーバ証明書のユーザー企業に対して、Webサイトの脆弱性を診断するサービスを無償提供する。併せて、Webサイトの安全性を示すアイコンのデザインと名称を変更すると発表した。(2011/10/7)

企業はJavaScriptを完全に無効にすべきか否か
IE、Firefox、Chrome開発者を悩ませるJavaScript、ユーザー企業への影響は?
高品質なWebページを実現できる一方でハッカーに悪用されるケースの多いJavaScript。企業はその存在を完全に無効にすべきかどうか、必要なセキュリティ対策も踏まえて検討する。(2011/9/12)

TechTargetジャパン電子ブックレット
TechTargetジャパンのコンテンツをスマートデバイスでの表示に最適化したEPUB形式とKindle用のMOBI形式で提供しています。TechTargetジャパン会員であれば、全て無料でダウンロードできます。(2012/12/10)

「WAF」製品紹介【第4回】シトリックス・システムズ編
L7スイッチとも連携可能なWAF「Citrix NetScaler Application Firewall」
シトリックスはWAFの技術をL7スイッチング機能を持つNetScalerとハードウェア/OSを共用して連携することで、Webサイトに必要となる機能を統合的に実現している。(2011/2/23)

【IFRS】140字で解説! 会計人のためのIT用語集【7】
会計人のためのセキュリティ用語解説
セキュリティ事故を未然に防ぐにはセキュリティについての知識が不可欠だ。特に財務データなどを扱う会計人は高いセキュリティ意識が求められる。そんな会計人が最低限知っておきたいセキュリティ用語を紹介する。(2010/12/16)

「WAF」製品紹介【第1回】チェック・ポイント編
ファイアウォール/IPSと連携してWebサイトを保護する「Check Point Web Security」
古くからWebサイトの安全性に注目してきたチェック・ポイントでは、同社のファイアウォールに組み込む形のWebセキュリティ製品を提供している。(2010/11/15)

NEWS
フォーティネット、大規模Webサイトに対応する新WAFアプライアンスを発表
フォーティネットは、WAF製品「FortiWeb」シリーズの新版を発表した。新プロセッサを搭載し、大規模サイトに対応。Web改ざん防止、脆弱性評価などのセキュリティ機能を強化した。(2010/9/9)

Webセキュリティに欠かせないSSL暗号化
自社サイトのセキュリティを強化するHTTPS実装
ログインページなどで見掛ける「https://」で始まるURL。意味は知っていても実装の方法をご存じだろうか?(2010/6/1)

NEWS
トレンドマイクロ、仮想化セキュリティに対応するサーバ向け製品を発表
トレンドマイクロは、2010年はクラウドに注力する方針を示すとともに、「Trend Micro Deep Security 7.0」を発表した。仮想化/物理サーバ環境に統合的なセキュリティサービスを提供する。(2010/1/25)

スクリプト対策から脆弱性チェックまで
クロスサイトスクリプティング攻撃とは 後編――防止方法
いまだに攻撃者の攻撃手段として利用されるクロスサイトスクリプティング(XSS)。この、簡単に実行できてしまうXSS攻撃による被害を最小限に抑える方法を取り上げる。(2010/1/19)

情報詐取の常とう手段
クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み
XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。(2010/1/12)

SMBのためのSaaS利用術【第5回】
「運用管理系こそSaaS移行へ」は正しいか?
自社努力では管理負担を軽減しにくい運用管理系システムは、システム特性上SaaSとの親和性が高いといえる。だがこの場合、SaaS移行することだけが最適解になるとは限らない。なぜだろうか?(2009/11/19)

NEWS
東京エレクトロンデバイス、不正DBアクセス防止やリスク洗い出しが可能なImperva新製品を発表
米ImpervaのDBセキュリティアプライアンスに新製品が加わった。特権ユーザーのアクセスによる情報漏えいを防いだり、内在するリスク・脆弱性を検出したりできる。(2009/11/18)

脆弱性が悪用される前に
Webアプリの入力検証不備──4つの実例とその対策
Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかもこうした不備は、問題が起こるまで気付かれないことが多いものだ。(2009/11/16)

システム導入担当者のためのPCI DSS【後編】
“まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン
PCI DSSで実践的なセキュリティ対策の要件が分かっても、どこから手を付けるべきかが分からない――。そこで役立つのが、リスク低減効果を基に対策の優先順を示す「6つの里程標」だ。(2009/7/30)

有用な機能だが……
IE 8のセキュリティ機能、生かすにはユーザー教育が必要
SmartScreenフィルターやInPrivateブラウズなど、IE 8では幾つものセキュリティ機能強化が図られたが、その恩恵を受けるためにはエンドユーザーに知識を伝える必要がある。(2009/4/27)

NEWS
「フォーティネットの製品は日本車と同じ」――老舗UTMベンダーがWAF製品を投入
UTMで知られるフォーティネットは同社初のWAFアプライアンスを発表。来日した同社のジーCTOは、アプリケーションと仮想化にフォーカスするという。(2009/2/20)

NEWS
ラックが6万円台のWeb脆弱性診断サービス SQLインジェクション対策に特化
セキュリティ診断の内容を、現在最も流行しているSQLインジェクションとXSSの2つの攻撃への対策に特化することで低価格設定を実現。1サイト10URLまで脆弱性チェックができる。(2009/1/21)

NEWS
インパーバ、WAF/DBセキュリティ装置「SecureSphere」の日本語版を発売
インパーバ・ジャパンはWAFやDBアクセスセキュリティの3製品について英語のインタフェースを日本語化、管理を容易にした。(2008/10/3)

SNSは危険がいっぱい?
MySpaceなどのSNSはセキュリティの基本原則を無視
MySpaceのプラットフォームは「XML化された混合物」にすぎず、「攻撃手法を考案するのに便利な説明書付きAPI」を悪質なハッカーに提供するものだ、とセキュリティ専門家が指摘した。(2008/9/16)

リスクを把握・評価する
Webアプリケーションの脅威モデリングの勘所
Webアプリケーションがさらされるリスクを把握し、評価する脅威モデリングを進める上で欠かせない重要な7つのステップを紹介する。(2008/9/2)

負荷分散だけじゃない、Web高速化装置の魅力【後編】
SaaS時代のアプリケーションスイッチはこう選ぶ
製品の登場から10年、アプリケーションスイッチの機能・性能はもはや成熟期にあり、単純に価格や性能だけで比較や選択はできない。それなら、「どう使いこなすか」で選択しよう。(2008/8/8)

NEWS
バラクーダ、200万円を切るWAFアプライアンスをSMB向けにリリース
Webアプリケーション脆弱性対策、SSL暗号化処理、負荷分散の機能を備えるセキュリティアプライアンスを197万円で提供する。カード業界基準PCI DSSにも準拠した。(2008/7/31)

今、見直すWebアプリケーションのセキュリティ
Webサイト防御のためにできること
Webサイトへの攻撃が後を絶たない。改ざんや悪質サイトへと誘導するその手口はさらに巧妙化し、従来のIPSなどでは防ぎきれなくなった。サイトを脅威から守るために、今すぐできるセキュリティ対策を紹介する。(2008/7/10)

NEWS
IPAがWebサイトのSQLインジェクションの脆弱性検出ツールを無償公開
WebサイトへのSQLインジェクション攻撃によく用いられる文字列を検出し、WebサイトのSQLインジェクションの脆弱性を検出する無償ツール「iLogScanner」を公開した。(2008/4/18)

最後に侵入テストを行ったのはいつ?
「SSLさえ使っていれば安全」は大きな誤解
本当に危険なのは、データが転送された後でWebサーバやアプリケーションの脆弱性を突かれてしまうことだ。そのための対策は万全だろうか?(2008/1/16)

苦労しそうな3つの分野とは
2008年セキュリティ展望──SMBにとっては厳しい年に
2008年はセキュリティの3つの分野が緊密に絡み合い、SMBのITセキュリティ担当者にとって厳しい1年になりそうだ。だが、このチャレンジは克服不可能ではない。(2007/12/17)

万能ではないが検討の価値あり
Webアプリケーション脆弱性スキャナの勧め
脆弱性スキャナは、開発者が潜在的なセキュリティホールを調査し、発見するのをサポートするツール。手動で行うと時間がかかる面倒な作業を自動化してくれる。(2007/12/14)

スーパーテスターの3つのスキル
セキュリティテストには攻撃者の視点が肝心
攻撃者はバグを1つ見つければ済むが、セキュリティテスターは、リリース期限までに多くの重大なセキュリティバグをつぶさなければならない。(2007/10/16)

ソフトとハード、2つの対策アプローチ
古くて新しいフォールトインジェクション攻撃
フォールトインジェクション攻撃の概要と種類を説明し、被害に遭わないようにするための開発のベストプラクティスを紹介する。(2007/9/26)

ウイルスシグネチャでは太刀打ちできない
動的コード難読化──新たな脅威には新たな防御策を
Web2.0技術の登場に伴い、コード難読化はブラウザ攻撃、リダイレクト機能、クロスサイトスクリプティング攻撃を隠すための強力なツールになった。(2007/8/23)

3つの攻撃手口とその対策
Webアプリケーションサーバ攻撃を検知・阻止するには
Webアプリケーションサーバからバックエンドのデータベースサーバに侵入するのは比較的簡単だ。最もポピュラーな手口と、その対策を紹介する。(2007/7/10)

Column
Ajaxのセキュリティ――悪用防止の5つの対策
Webアプリケーション内でAjaxを利用すると、その全体的な複雑性は大幅に増大し、サーバ側の各機能が攻撃者にとって新たなターゲットになる。こういった脅威を軽減するための5つの対策を示す。(2007/4/3)

Column
データベースセキュリティにありがちな5つの弱点
安易なパスワードやSQLインジェクション、不適切なエラー処理――データベースを危険にさらす代表的な脆弱性とその対処法を紹介する。(2007/3/15)