APIのリスクと対策【中編】
“便利なAPI”の裏の事情「攻撃に狙われる」 その理由は?
企業は自社アプリケーションのAPIを公開する際、さまざまなセキュリティのリスクを想定して対策を講じなければならない。具体的にはどうすればいいのか。(2024/11/12)
危ないのはLenovoだけじゃない?
“Intel CPU”搭載PCを危険にさらす「UEFIファームウェア」の脆弱性とは
PCのファームウェアに潜む新たな脆弱性が見つかった。当初報告されたLenovo製品だけではなく、他メーカーのPCにも影響が及ぶ可能性がある。どのような危険性があるのか。(2024/9/6)
ChatGPTはSASTツールになるのか【前編】
「ChatGPT」は“夢の静的解析ツール”になれるのか? コード診断の新時代
コーディングの世界に生成AIの波が押し寄せている。「ChatGPT」が「SAST」に関する開発プロセスを変える可能性があるという。どの程度実用的なのか。サンプルコードを使いながらChatGPTの実力を探る。(2024/8/8)
侵入を許すユーザー企業の特徴
「狙われるVPN」の共通点とは? Check Pointが明かした攻撃の実態
Check Point Software Technologiesによると、同社VPN製品の脆弱性を悪用した攻撃で狙われるユーザー企業には、ある共通点があった。どのようなユーザー企業のVPNが狙われているのか。(2024/7/2)
Googleが開発した技術に影響
ChromeやEdgeなど人気ブラウザを危険にする「画像フォーマット」の脆弱性とは
「Chrome」や「Edge」といった広く使われているWebブラウザに関連する脆弱性が見つかった。悪用されると、どのような危険のある脆弱性なのか。(2023/9/22)
セキュアコーディングの極意【第3回】
「シフトレフト」でセキュアコーディング まずやるべき基本は?
アプリケーションセキュリティを強化する開発手法「セキュアコーディング」の実践には、何が必要なのか。開発プロジェクトを進める上で意識すべきことを、有識者が解説する。(2023/8/3)
FortinetのVPNに「緊急」の脆弱性【後編】
最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とは
ユーザー企業が対処しなければならないのは、IT製品の「最新の脆弱性」だけではない。FortinetのVPN製品を利用する際に注意が必要な「古い脅威」とは何か。(2023/1/19)
FortinetのVPNに「緊急」の脆弱性【前編】
FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか
FortinetのVPN製品に深刻な脆弱性が見つかった。ユーザー企業は迅速に対処する必要があるという。具体的にはどうすればいいのか。(2023/1/13)
企業が取るべき脆弱性対策【前編】
米CISAが「脆弱性カタログ」更新 政府機関“お墨付き”の危ない欠陥は
米国政府機関は、実際に悪用されている脆弱性をカタログにまとめている。一般企業もこのカタログを確認し、適切な対策を取ることが推奨されている。(2022/11/25)
「Carbon」は「C++」の後継になり得るか【第2回】
C++が“使ってはいけないプログラミング言語”だと言われるのはなぜ?
「C++」は、「C」の後継として生まれたプログラミング言語だ。後継言語として強力な仕組みを持つ一方、さまざまな問題を抱えていると専門家は指摘する。どのような問題なのか。(2022/9/26)
バッファオーバーフロー攻撃に備える【後編】
「バッファオーバーフロー攻撃」の被害を防ぐ6つの対策
Webアプリケーションを狙う「バッファオーバーフロー攻撃」による被害を防ぐには、どうすればよいのか。開発から運用までのベストプラクティスを紹介する。(2020/5/15)
バッファオーバーフロー攻撃に備える【前編】
「バッファオーバーフロー攻撃」の仕組みとは? 何が危険なのか?
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。(2020/5/7)
Webアプリケーションを脅かす5つの脆弱性【後編】
バッファオーバーフロー、CSRF、アクセス権限の不備とは? 危険なWeb脆弱性
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。(2020/5/1)
Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)
「シェルコード」とは何か【後編】
「シェルコード」は何が危険なのか? 具体的な対策は?
悪意あるプログラムを実行させるために用いられる「シェルコード」。それを悪用した具体的な攻撃手法と、企業が取るべき対策を紹介する。(2020/2/12)
「シェルコード」とは何か【前編】
「シェルコード」とは? 凶悪なマルウェア感染を可能にする手口
攻撃者がマルウェアを感染させるための使う手段として「シェルコード」がある。どのような仕組みを持ち、どのような危険性があるのか。(2020/2/3)
「バッファオーバーフロー攻撃」を知る【後編】
いまさら聞けない「バッファオーバーフロー攻撃」とは? 仕組みと対策を解説
「バッファオーバーフロー攻撃」はシステムの一時的な記憶領域を狙った攻撃だ。その具体的な攻撃手法と対策を紹介する。(2019/8/29)
「バッファオーバーフロー攻撃」を知る【前編】
知っておきたい「バッファオーバーフロー攻撃」とは? 主要な4種を紹介
メモリに許容量以上のデータを送り込む「バッファオーバーフロー攻撃」にはさまざまな種類がある。主要な4種類について、それぞれの特徴と攻撃手法について説明する。(2019/8/21)
セキュアなモバイルアプリ開発の10大ベストプラクティス【後編】
「モバイルアプリ」を社内システムと安全に連携させるには? 脆弱性のつぶし方は?
モバイルアプリを開発する際に重要なのは、セキュリティだ。本稿ではコードレベルのセキュリティ確保や、バックエンドシステム/各種サービスとの接続時のセキュリティなどを取り上げる。(2018/2/26)
ビジネス駆動型セキュリティとは
「ビジネス駆動型セキュリティ」を実現する4つのポイント
サイバーセキュリティ企業RSAの新任プレジデント、ロヒット・ガイ氏は、同社が新たに提唱する「ビジネス駆動型セキュリティ」について語った。(2017/2/23)
「エンドポイントセキュリティ」再浮上のなぜ【第2回】
「次世代エンドポイントセキュリティ」は今までのウイルス対策と何が違うのか
巧妙化する攻撃を前に限界を迎えたエンドポイントセキュリティ。その課題を乗り越えるべく登場し始めた「次世代エンドポイントセキュリティ」は、今までとどう違うのか。(2016/5/17)
「機械学習」「ビッグデータ」が変えるセキュリティ対策【第2回】
データ駆動型セキュリティの鍵、「SIEM」を見極める3つのポイント
対症療法的なセキュリティ対策が有効だといえた時代は終わった。根本的なセキュリティ対策には、社内外のデータの活用が重要だ。その現実的な手段である「SIEM」選定のポイントを示す。(2016/3/22)
「標的型攻撃対策」の現実解【第3回】
丸分かり「標的型攻撃対策」:“社内なら絶対安全”は幻想、「内部対策」基礎の基礎
入口対策と並び、標的型攻撃対策の重要な要素である「内部対策」。社内が安全であるという“幻想”を捨て去り、現実的な対策をどう進めるべきかを解説する。(2015/11/11)
豊富なセキュリティ機能をレビュー
“危険なIE”にさようなら 新ブラウザ「Microsoft Edge」は“究極の安全”実現か
Windowsの新たな標準ブラウザ「Microsoft Edge」は、「Internet Explorer」での経験を教訓に、豊富なセキュリティ機能が実装されている。詳しく説明しよう。(2015/8/20)
ホワイトペーパーレビュー
データセンターのセキュリティ対策が分かる3つのホワイトペーパー
本稿では、データセンターでのセキュリティ対策を解説した3つのコンテンツを紹介する。(2011/1/14)
「WAF」製品紹介【第1回】チェック・ポイント編
ファイアウォール/IPSと連携してWebサイトを保護する「Check Point Web Security」
古くからWebサイトの安全性に注目してきたチェック・ポイントでは、同社のファイアウォールに組み込む形のWebセキュリティ製品を提供している。(2010/11/15)
NEWS
古典的な脆弱性が潜む組み込み機器のセキュリティを強化――FFRが独自の検証ツールを発表
組み込み機器のネットワーク化が進む中、懸念されるのがセキュリティの問題だ。FFRでは、開発機器の脆弱性を検知できるツールを発表。危険性を呼びかける。(2010/8/26)
有用な機能だが……
IE 8のセキュリティ機能、生かすにはユーザー教育が必要
SmartScreenフィルターやInPrivateブラウズなど、IE 8では幾つものセキュリティ機能強化が図られたが、その恩恵を受けるためにはエンドユーザーに知識を伝える必要がある。(2009/4/27)
デスクトップのセキュリティ
ホワイトリストによるマルウェア対策
マルウェアとの戦いに勝利する唯一の方法は、それをシステム上で動作させないことだ。ホワイトリストは、システム上で動作させるアプリケーションを管理する強力な手段だ。(2009/1/13)
重要なのは「VoIP」
ユニファイドコミュニケーションのセキュリティの勘所
ユニファイドコミュニケーション導入に際して注意すべきセキュリティ上の脅威と、その対策に役立つ製品を具体的に紹介する。(2008/10/6)
転換期迎える検疫ネットワーク【第3回】
あなたの企業に最適なNACの選び方
本特集では、検疫ネットワークの課題から導入ポイントを導き出した。では「本来のNAC」を実現するにはどのような機能が有効なのか。端末のネットワーク接続前と接続後、それぞれのフェーズでの機能要件をまとめた。(2008/6/27)
小さな節約で大きな省エネ
IEEEの“グリーン”な新イーサネット仕様
IEEEの新しい省エネプロジェクト「P802.3az Energy Efficient Ethernet」は、ネットワークアイドル時のエネルギー浪費が大きいことに目を付けた。(2008/5/13)
NEWS
バラクーダ、SMB向けの低価格WAFアプライアンスを提供
同社初の中小規模企業向けWAF製品「Barracuda Application Gateway NC 500 AG」を発表。中小企業のIT予算に見合う低価格でWebサイトを保護することができる。(2008/4/1)
最後に侵入テストを行ったのはいつ?
「SSLさえ使っていれば安全」は大きな誤解
本当に危険なのは、データが転送された後でWebサーバやアプリケーションの脆弱性を突かれてしまうことだ。そのための対策は万全だろうか?(2008/1/16)
万能ではないが検討の価値あり
Webアプリケーション脆弱性スキャナの勧め
脆弱性スキャナは、開発者が潜在的なセキュリティホールを調査し、発見するのをサポートするツール。手動で行うと時間がかかる面倒な作業を自動化してくれる。(2007/12/14)
危険度はバッファオーバーフロー級
セキュリティの深刻な脆弱性につながるダングリングポインタ
ダングリングポインタは品質管理段階まで放置すると取り返しがつかなくなる恐れがあるため、開発ライフサイクルの早い段階から回避策を実行する必要がある。(2007/11/1)
Column
セキュリティが改善されたWindows Vista――それでも完全ではない
「Windows史上最もセキュア」とされているWindows Vistaだが、ほとんど毎月のように、深刻なセキュリティ問題が公表されている。(2007/6/18)
Ask The Expert
【Q&A】Webアプリのバッファオーバーフローとメモリリークの原因は?
質問:Webアプリケーションのメモリリークとバッファオーバーフローについて説明してください。また、具体的な例でこれらのテスト方法を教えてください。(2007/5/16)
Column
多発するVoIP攻撃――VoIP導入には慎重な検討が必要
VoIPトラフィックのスニッフィング、特定のVoIPシステムの実装の欠陥を突いた攻撃、コールマネージャサーバへの攻撃というVoIPの3大脅威とその対策を解説する。(2007/5/7)
Column
整備が進むXML Webサービスのセキュリティ基盤
Webサービスに取り組んでいる開発者にとって、標準化団体のW3CとOASISが定義するWebインタフェースと仕様をサポートするのが賢明だろう。(2007/4/6)
Winnyウイルスから機密情報を守れ!【第3回】
WinnyユーザーのPCがゾンビPCに変わる日
Winnyウイルスは次々と亜種が発生しており、感染した際の被害範囲も大きくなってきている。さらにWinny本体にもセキュリティホールが発見されたことで、さらに強力なウイルスが登場する危険性が出てきた。(2006/5/31)
Winnyウイルスから機密情報を守れ!【第2回】
Winnyウイルスが企業に与える被害と対策の現状
顧客情報などに代表される企業の機密情報の流出は、Winnyウイルスの登場以前から発生している。では、実際に個人情報が流出してしまった場合、企業はどのようなダメージを受けるのかを検証してみよう。(2006/5/24)
Winnyウイルスから機密情報を守れ!【第1回】
Winnyウイルスの現状を知ろう
企業や団体が所有している機密情報の流出が、毎日のようにニュースで報じられている。このほとんどがWinnyウイルスの感染が原因だ。ウイルスは日々進化しており、Winny自体のセキュリティホールも発見された。(2006/5/15)