セキュリティ採用面接での質問と回答例【第6回】
採用面接で「セキュリティの専門知識」を問われたら“あの用語”を語るべし
セキュリティ分野の採用面接ではさまざまな質問が投げ掛けられるが、結局は高い専門性が採用決定の重要な決め手になる。どうすれば、自分の専門性を伝えることができるのか。(2024/9/26)
「ホワイトハッカー」認定資格5選【前編】
ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ
セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。(2024/9/23)
LLMの「10大リスク」と対策【前編】
「生成AIが攻撃を受ける」とはどういうこと? LLMの脅威“10選”
大規模言語モデル(LLM)に基づいた生成AIツールの利用が広がっているが、十分にセキュリティ対策を講じずに使っている組織もあるだろう。LLMを巡る「10大脅威」と、安全利用のこつとは。(2024/7/17)
求められる“緊急の脆弱性対策”
Fortinetユーザーが“無防備”に 「SQLインジェクション」の影響範囲は?
Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。(2024/5/14)
LEGO売買サイトの脆弱性から得られる教訓【後編】
犯罪者に狙われ始めた「API」 その笑えない理由
LEGOの中古品売買サイト「BrickLink」に見つかった脆弱性は、「API」の脆弱性だった。専門家はAPIセキュリティの重要性を呼び掛けている。その背景は。(2023/2/10)
LEGO売買サイトの脆弱性から得られる教訓【前編】
LEGO売買サイト「BrickLink」に潜んでいた“危険な脆弱性”とは何だったのか
セキュリティ専門家が、LEGOの中古品売買サイト「BrickLink」に脆弱性を発見した。見つかったのは2つの脆弱性だ。どのような脆弱性だったのか。発見に至ったいきさつとは。(2023/2/2)
英国の「.uk」ドメイン取り締まり事情【後編】
“コロナ便乗詐欺”に使う悪質ドメインの実態 取り締まりの内容と効果は?
新型コロナウイルス感染症に関連したドメインを新規に登録し、サイバー犯罪に悪用する動きがある。こうした悪質ドメインを取り締まるため、「.uk」ドメイン管理団体Nominetはどのように取り組んでいるのか。(2022/2/3)
英国の「.uk」ドメイン取り締まり事情【前編】
“悪質ドメイン”減少の訳は? 「.uk」ドメインの停止件数が過去最少に
英国のドメイン管理組織Nominetの報告から、同国でのサイバー犯罪に対する取り組みが功を奏していることが明らかになった。効果の概要とその要因を解説する。(2022/1/20)
TechTarget発 世界のITニュース
新しいランサムウェア「BlackMatter」現る 実体は姿を変えた「REvil」の可能性も
2021年7月に新しいランサムウェア「BlackMatter」が出現、作成者はサイバー攻撃者を“募集”している。ランサムウェア「REvil」が犯罪者フォーラムを利用禁止になった直後というタイミングから、2つの密な関係が浮かび上がっている。(2021/9/27)
“ゲーム人気”は攻撃者にも
「ゲーム業界狙いのWeb攻撃」がコロナ禍で活発化 最も多かった攻撃は?
コロナ禍の中で人気を博しているゲームは、サイバー攻撃の格好の標的となっている。どのような種類の攻撃が目立っているのか。Webアプリケーション攻撃に絞り、調査結果を基に実態を探る。(2021/8/18)
「Microsoft Azure」のネットワークサービス11選【前編】
「Azure VNet」「Load Balancer」「Application Gateway」とは Azureネットワークサービスの基礎
「Microsoft Azure」にはさまざまなネットワークサービスがある。その中から「Azure Virtual Network」「Load Balancer」「Application Gateway」を説明する(2021/7/28)
セキュリティ対策に役立つコンピュータ言語5選【中編】
「HTML」「JavaScript」をセキュリティ担当者が学ぶべき納得の理由
「HTML」「JavaScript」の知識を身に付けておくことは、セキュリティ担当者にとって決して損ではないという。それはどういうことなのか。(2021/2/27)
Webアプリケーションを脅かす5つの脆弱性【後編】
バッファオーバーフロー、CSRF、アクセス権限の不備とは? 危険なWeb脆弱性
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。(2020/5/1)
Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)
British Airwaysで何が起こっていたのか
大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当か
British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。(2019/8/7)
役立つツールも紹介
クラウドアプリの性能とセキュリティを確保するための5つのテストと主要製品
高いパフォーマンスが発揮されていることを確認し、クラウドアプリのセキュリティを確保する上で重要な5種類のテストの概要を説明する。(2018/8/24)
「Adobe Acrobat」の「Chrome」用拡張機能の教訓から
Chromeで発生した「Adobe Acrobat」自動インストール問題の真相
2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。(2017/6/15)
「RSA Conference 2017」基調講演レポート
「協調型セキュリティ」とは何か、なぜ必要なのか
RSA Securityのズルフィカー・ラムザン最高技術責任者(CTO)は「RSA Conference 2017」の基調講演で、協調型セキュリティに関する判断が及ぼす影響について強調した。(2017/2/22)
次期アップデートでWeb攻撃対策を強化
「Microsoft Edge」が“究極の安全ブラウザ”に一歩近づくセキュリティ新機能とは?
Microsoftは「Microsoft Edge」の次期アップデートで、クロスサイトスクリプティングやコンテンツインジェクションといったWebベースの攻撃への対策を強化する。(2017/2/22)
事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)
「安全なオープンソース」を疑う
「オープンソース安全神話」信奉者が見なかったことにしたい“つらい現実”
オープンソースだから安全だと容易に判断してはならない。脅威が数多く見つかっている、オープンソースWebアプリケーションの注意点を説明しよう。(2016/6/13)
Webサイトのセキュリティ診断サービス選びを再考する
“人も技術もないWebセキュリティ診断サービス”を容易に選んではいけない理由
Webサイトの脆弱性を突く不正アクセスを受け、情報流出を招く例は後を絶たない。既にWebセキュリティ対策の必要性が指摘され、診断ツールやサービスも普及しているにもかかわらずだ。問題はどこにあるのか。(2016/3/30)
「機械学習」「ビッグデータ」が変えるセキュリティ対策【第2回】
データ駆動型セキュリティの鍵、「SIEM」を見極める3つのポイント
対症療法的なセキュリティ対策が有効だといえた時代は終わった。根本的なセキュリティ対策には、社内外のデータの活用が重要だ。その現実的な手段である「SIEM」選定のポイントを示す。(2016/3/22)
攻撃者は何でもできるようになる
多くのルーターに存在するバックドア、最悪の悪用シナリオとは
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか?(2015/11/6)
「Trident」に変わる新エンジン「EdgeHTML」の実力をチェック
Microsoft Edgeが“最強ブラウザ”になれない「ただ1つの欠点」
「Internet Explorer」をしのぐパフォーマンスやセキュリティ機能を実現する「Microsoft Edge」。ただし、ユーザーが待ち望む「あの機能」はまだ実装されていない。(2015/9/17)
豊富なセキュリティ機能をレビュー
“危険なIE”にさようなら 新ブラウザ「Microsoft Edge」は“究極の安全”実現か
Windowsの新たな標準ブラウザ「Microsoft Edge」は、「Internet Explorer」での経験を教訓に、豊富なセキュリティ機能が実装されている。詳しく説明しよう。(2015/8/20)
今こそ見直す「Webセキュリティ対策」【第5回】
あなたのWebサイトの欠陥も丸見え? 「脆弱性検索サイト」の脅威
SQLインジェクションやXSSなど、Webサイトの脆弱性を狙った攻撃は止む気配がない。こうした中、Webサイトの脆弱性を検索可能な公開ツールも登場。その危険性と対策を探る。(2014/1/27)
実益を狙った攻撃が拡大
実際はもっと深刻? サイバー攻撃に狙われる世界の主要銀行
世界の主要銀行50行のWebサイトのうち、半数以上がハッキング被害に遭っている。そうした実態が調査結果から明らかになった。銀行は果たしてどのような攻撃を受けているのだろうか。(2014/1/10)
今こそ見直す「Webセキュリティ対策」【第2回】
“危ないWebアプリ”を生む「既存コードの脆弱性」の怖さ
Webアプリを脅かす脆弱性のうち、最も危険なものとは何か。セキュリティの有識者集団が選んだ脆弱性ワースト10の結果からは、意外な事実が明らかになった。(2013/10/28)
今こそ見直す「Webセキュリティ対策」
Webサイトを標的としたセキュリティ事故が相次いで明るみに出ている。今後対策が急務だと考えられるポイントとは何か。Webサイトの中心的な要素であるWebアプリケーションに必要なセキュリティ対策とは。徹底解説する。(2014/1/27)
フォーティネットのWAF専用製品「FortiWeb」
高価で運用が難しいWAFアプライアンスばかりではない
Webアプリケーションの脆弱性を突かれたセキュリティ事故が後を絶たない中、WAFアプライアンス製品を導入する企業が増えている。しかし依然として、WAF製品は高価で運用が難しいと思い込んでいる企業も多い。(2013/3/27)
Webアプリの脆弱性放置が情報漏えいの温床に
ISACA報告書:SNSとWebアプリの安易な連携が被害を大規模化
ソーシャルネットワークとWebアプリケーションを安全に連携させるには、脆弱性対策などのセキュリティ確保は必須だ。だが企業の対応は遅れていると専門家は危機感を募らせる。(2011/11/30)
NEWS
日本ベリサイン、サーバ証明書の顧客に脆弱性調査を無償提供
日本ベリサインは、SSLサーバ証明書のユーザー企業に対して、Webサイトの脆弱性を診断するサービスを無償提供する。併せて、Webサイトの安全性を示すアイコンのデザインと名称を変更すると発表した。(2011/10/7)
企業はJavaScriptを完全に無効にすべきか否か
IE、Firefox、Chrome開発者を悩ませるJavaScript、ユーザー企業への影響は?
高品質なWebページを実現できる一方でハッカーに悪用されるケースの多いJavaScript。企業はその存在を完全に無効にすべきかどうか、必要なセキュリティ対策も踏まえて検討する。(2011/9/12)
TechTargetジャパン電子ブックレット
TechTargetジャパンのコンテンツをスマートデバイスでの表示に最適化したEPUB形式とKindle用のMOBI形式で提供しています。TechTargetジャパン会員であれば、全て無料でダウンロードできます。(2012/12/10)
「WAF」製品紹介【第4回】シトリックス・システムズ編
L7スイッチとも連携可能なWAF「Citrix NetScaler Application Firewall」
シトリックスはWAFの技術をL7スイッチング機能を持つNetScalerとハードウェア/OSを共用して連携することで、Webサイトに必要となる機能を統合的に実現している。(2011/2/23)
【IFRS】140字で解説! 会計人のためのIT用語集【7】
会計人のためのセキュリティ用語解説
セキュリティ事故を未然に防ぐにはセキュリティについての知識が不可欠だ。特に財務データなどを扱う会計人は高いセキュリティ意識が求められる。そんな会計人が最低限知っておきたいセキュリティ用語を紹介する。(2010/12/16)
「WAF」製品紹介【第1回】チェック・ポイント編
ファイアウォール/IPSと連携してWebサイトを保護する「Check Point Web Security」
古くからWebサイトの安全性に注目してきたチェック・ポイントでは、同社のファイアウォールに組み込む形のWebセキュリティ製品を提供している。(2010/11/15)
NEWS
フォーティネット、大規模Webサイトに対応する新WAFアプライアンスを発表
フォーティネットは、WAF製品「FortiWeb」シリーズの新版を発表した。新プロセッサを搭載し、大規模サイトに対応。Web改ざん防止、脆弱性評価などのセキュリティ機能を強化した。(2010/9/9)
Webセキュリティに欠かせないSSL暗号化
自社サイトのセキュリティを強化するHTTPS実装
ログインページなどで見掛ける「https://」で始まるURL。意味は知っていても実装の方法をご存じだろうか?(2010/6/1)
NEWS
トレンドマイクロ、仮想化セキュリティに対応するサーバ向け製品を発表
トレンドマイクロは、2010年はクラウドに注力する方針を示すとともに、「Trend Micro Deep Security 7.0」を発表した。仮想化/物理サーバ環境に統合的なセキュリティサービスを提供する。(2010/1/25)
スクリプト対策から脆弱性チェックまで
クロスサイトスクリプティング攻撃とは 後編――防止方法
いまだに攻撃者の攻撃手段として利用されるクロスサイトスクリプティング(XSS)。この、簡単に実行できてしまうXSS攻撃による被害を最小限に抑える方法を取り上げる。(2010/1/19)
情報詐取の常とう手段
クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み
XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。(2010/1/12)
SMBのためのSaaS利用術【第5回】
「運用管理系こそSaaS移行へ」は正しいか?
自社努力では管理負担を軽減しにくい運用管理系システムは、システム特性上SaaSとの親和性が高いといえる。だがこの場合、SaaS移行することだけが最適解になるとは限らない。なぜだろうか?(2009/11/19)
NEWS
東京エレクトロンデバイス、不正DBアクセス防止やリスク洗い出しが可能なImperva新製品を発表
米ImpervaのDBセキュリティアプライアンスに新製品が加わった。特権ユーザーのアクセスによる情報漏えいを防いだり、内在するリスク・脆弱性を検出したりできる。(2009/11/18)
脆弱性が悪用される前に
Webアプリの入力検証不備──4つの実例とその対策
Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかもこうした不備は、問題が起こるまで気付かれないことが多いものだ。(2009/11/16)
システム導入担当者のためのPCI DSS【後編】
“まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン
PCI DSSで実践的なセキュリティ対策の要件が分かっても、どこから手を付けるべきかが分からない――。そこで役立つのが、リスク低減効果を基に対策の優先順を示す「6つの里程標」だ。(2009/7/30)
有用な機能だが……
IE 8のセキュリティ機能、生かすにはユーザー教育が必要
SmartScreenフィルターやInPrivateブラウズなど、IE 8では幾つものセキュリティ機能強化が図られたが、その恩恵を受けるためにはエンドユーザーに知識を伝える必要がある。(2009/4/27)
NEWS
「フォーティネットの製品は日本車と同じ」――老舗UTMベンダーがWAF製品を投入
UTMで知られるフォーティネットは同社初のWAFアプライアンスを発表。来日した同社のジーCTOは、アプリケーションと仮想化にフォーカスするという。(2009/2/20)
NEWS
ラックが6万円台のWeb脆弱性診断サービス SQLインジェクション対策に特化
セキュリティ診断の内容を、現在最も流行しているSQLインジェクションとXSSの2つの攻撃への対策に特化することで低価格設定を実現。1サイト10URLまで脆弱性チェックができる。(2009/1/21)