セキュリティとは?/ アットローン
[ 85] セキュリティ : ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/security/
|
「クロスサイト・スクリプティング」と「SQLインジェクション」への対策が施されているかを検証した。ライブドアのデータセンターでは,クロスサイト・スクリプティングの脆弱性が一部で発見された。SQLインジェクションにはよく対策されていた。 米Webセンスのセキュリティ・ラボでは,「Stormワーム」が最初に猛威をふるった2007年初頭から,同ワームの追跡を続けている。Stormワームの亜種のほとんどは専用のパッカー「Tibs」で圧縮/暗号化されているのだが,最近になってある亜種の大量配信に遭遇。分析したところ,マルウエアがいくつかの興味深い機能を持っていることに気付いた。分析結果のポイントを紹介しよう。 多数のWebサイトを悪意のあるJavaScriptで改ざんし,様々なぜい弱性を悪用してコンピュータに感染するインジェクション攻撃が世間を騒がせていることを受け,これまでの経過に目を向けてみることにした。その結果は,非常に興味深いものであった。 JPCERTコーディネーションセンター(JPCERT/CC)は4月,ルーターをはじめとする組み込み機器に関するぜい弱性情報の公開件数が増えているとの警告を出した。ネットワーク機器への攻撃は,知らぬ間に情報を盗まれる被害にもつながる。「その時」に備え,対処法を考える必要がありそうだ。 フィンランドのエフ・セキュアは2008年6月2日,悪質なPDFファイル(PDFウイルス)を簡単に作成できるツールを確認したことを明らかにした。ウイルス作者がテスト用に作成したと思われるPDFウイルスに埋め込まれていたという。 無線LANでパスワード漏えいによる不正アクセスや盗聴を防ぐには,認証を厳密にしてパスワードが漏れないようにする必要がある。そのためにWPAとWPA2では,IEEE802.1Xという認証技術を利用できるようになっている。同一アクセス・ポイントを利用するユーザーが異なるパスワードを使ってログインし,異なる暗号鍵を使いながら通信する。 前回は情報セキュリティマネジメントの考え方の第一歩について解説しました。ISMSとは違う切り口からのリスクに対する考え方とういうことで,少し新鮮だったのではないでしょうか。今回は,事故が発生することによる影響を考えながらリスク・マネジメントについて考えてみましょう。 米Webセンスのセキュリティ・ラボでは,「Stormワーム」が最初に猛威をふるった2007年初頭から,同ワームの追跡を続けている。Stormワームの亜種のほとんどは専用のパッカー「Tibs」で圧縮/暗号化されているのだが,最近になってある亜種の大量配信に遭遇。分析したところ,マルウエアがいくつかの興味深い機能を持っていることに気付いた。分析結果のポイントを紹介しよう。 最近のマルウェアはどれも様々な解析対策が施されており,数年前と比べて解析がやや面倒になっています。攻撃者はマルウェアの発見を困難にさせたり,セキュリティベンダーらによる解析を遅らせたりするため様々な解析対策を実装しています。今回は,このデバッガ検出を無効にする方法を紹介します。 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 86] コンピュータセキュリティ - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
|
コンピュータセキュリティとは、コンピュータを災害、不正な利用、誤用などから守ること。不正な利用とは、第三者による秘密情報へのアクセスや、許可されていない操作の実行などが含まれる。この語は、しばしばコンピュータセキュリティ(安全性)を保つための仕組みや技術を指すために用いられてしまう。 20世紀末に始まったインターネットの発展と普及に伴い、コンピュータセキュリティは非常に重要な課題になった。一般に、インターネットの通信は暗号化されておらず、その中継点にいる人間なら誰でも盗聴できてしまうという欠点をもつ。またこれ以外にも、コンピュータが外部と接続されたことによって悪意のある人間が故意にコンピュータを破壊したり、データを改竄したりすることが可能になってしまった。コンピュータセキュリティとは、このような行為を防ぐこと(保安)をいう。 一般にセキュリティと利便性は相反する性質のものである。現在のコンピュータではおもにユーザIDとパスワードによってユーザを認証しているが、セキュリティを確保するために利用者が頻繁にパスワードを入力するようではシステムが使いづらくなってしまう。かといって、パスワードを要求しなければ情報が他人に悪用される可能性がある。利便性を減らさずにセキュリティを高める方法を見付けるのがコンピュータ・セキュリティ研究の目標である。 コンピュータ・セキュリティ研究では暗号化方式や認証方式を道具として用い、加えて実装に依存したコンピュータのソフトウエアおよびハードウエアの知識を用いてセキュリティを高める方法を研究する。 従来のコンピュータシステムのほとんどが利便性を優先させたシステムであり、インターネットなどの設計思想が性善説に基づいていることもあり、セキュリティの改善はむずかしい。また、ソフトウエアが複雑になりすぎたことによって、設計者の意図しなかった場面で不正利用が可能になってしまう場合がある(この脆弱性をセキュリティホールという)。コンピュータシステムの総合的なセキュリティの向上は、ソフトウエア工学や心理学なども考慮しなければならない難しい問題である。 ハニーネット - ハニーポットが1台のコンピュータなのに対して、ハニーネットはネットワーク1式をクラッカーを誘い込むために用意する。必ずしも実際のネットワークである必要はなく、仮想コンピュータと仮想ネットワーク上にも作られる。クラッカーからは仮想システムであることが分からない。 セキュリティホール, バックドア - セキュリティ上の問題になりうるソフトウエアの脆弱性、欠陥。バッファオーバーランやクロスサイトスクリプティング、SQLインジェクションなどがある。 物理的セキュリティ(古来の保安・警備)に該当する対策も、コンピュータセキュリティ上は補完要素として重要である。ここでは保安・警備システムのうちコンピュータに直接関係あるものを列挙する。ICカードや指紋認証等のバイオメトリクス技術が応用されることも多い。 筐体管理 - パソコンなどの筐体カバーが開けられたことの検出・警報など。また、ノートパソコンのケンジントンロック管理なども。 このようなコンピュータシステムと、入退室ロックなどのセキュリティ機構をセットとして提供するベンダーもある。 攻性防壁 - 攻撃してきた相手コンピュータを探知し、それに対して攻撃し返すという防御(目には目を)である。『攻殻機動隊』などのサブカルチャー作品に登場する架空のものであるが、現実にも計画されたことがある。 |
アットローンのサイトです。
