辻 伸弘
ソフトバンク・テクノロジー株式会社

高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部)
たった2行でできるWebサーバ防御の「心理戦」
セキュリティ対策の「ある視点」(1)
 セキュリティ対策は鉄壁の防御だけではなく、“彼ら”に選ばれないことも重要。本連載では今まで気付かなかった「ある視点」を提供します

Security&Trust」フォーラム 2007/7/19
ディレクトリ非表示の意味をもう一度見つめ直す
セキュリティ対策の「ある視点」(2)
 ApacheでIndexesオプションを削除している管理者は多いはず。その設定を行うべき理由を、“彼ら”の視点とともに考えてみましょう

Security&Trust」フォーラム 2007/8/22
「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
セキュリティ対策の「ある視点」(3)
 なにげなく接しているメッセージ、それを文字通りに受け取らないことで見えてくるものもあるのです。あなたはこの問いにどう答えますか?

Security&Trust」フォーラム 2007/9/26
メールサーバ防御でも忘れてはならない「アリの一穴」
セキュリティ対策の「ある視点」(4)
 「千丈の堤もアリの一穴」という言葉があります。大きな穴を埋めることも重要ですが、穴になりそうなものへの対策も重要かもしれません

Security&Trust」フォーラム 2007/10/19
DNS、管理者として見るか? 攻撃者として見るか?
セキュリティ対策の「ある視点」(5)
 安定運用してしまうと軽視されがちなDNSサーバ、実は一番「ほっとけない」! DNSの設定ミスでSSHパスワードまで抜かれる可能性も?

Security&Trust」フォーラム 2007/11/30
己を知り、敵を知る――Nmapで見つめ直す自分の姿
セキュリティ対策の「ある視点」(6)
 ポートスキャンは正義の管理者には関係ない? いいえ、己の姿を客観的に見るためには、的確なポートスキャン術が必要なのです

Security&Trust」フォーラム 2008/1/8
魂まで支配されかねない「名前を知られる」という事件
セキュリティ対策の「ある視点」(7)
 古代、日本では本名を知られることは相手に支配されることと同義でした。それは本の中だけの話ではなく、“ユーザー名”でも同じこと

Security&Trust」フォーラム 2008/2/8
魂、奪われた後――弱いパスワードの罪と罰
セキュリティ対策の「ある視点」(8)
 ユーザー名が知られることは魂を奪われるのと同義。そしてその魂、管理者権限を奪うと、彼らはパスワードハッシュを丸裸にしていきます

Security&Trust」フォーラム 2008/3/26
人の造りしもの――“パスワード”の破られ方と守り方
セキュリティ対策の「ある視点」(9)
 パスワードを破るのも人ならば、それを守るのも人。今回はあなたのパスワードを守るために、「今すぐできること」を解説します

Security&Trust」フォーラム 2008/5/8
SNMPコミュニティ名、そのデフォルトの価値は
セキュリティ対策の「ある視点」(10)
 ネットワークシステムを監視し、機器の情報を集めることができるSNMP。今回はその「コミュニティ名」をある言葉に置き換えて考えます

Security&Trust」フォーラム 2008/7/1
ハニーポットによるウイルス捕獲から見えてくるもの
セキュリティ対策の「ある視点」(11)
 もうすぐ夏休みも終わり。そこで今回は夏休み特別企画、ネットでできる「ITセキュリティ版昆虫採集」で脅威の今を探ります

Security&Trust」フォーラム 2008/8/21
プレイバックPart.I:ウイルスのかたち、脅威のかたち
セキュリティ対策の「ある視点」(12)
 振り返ることで初めて見える脅威もあります。あなたの知らないコンピュータウイルスの進化の歴史を2回に分けて解説します

Security&Trust」フォーラム 2008/10/14
プレイバックPart.II:シフトした脅威の中で
セキュリティ対策の「ある視点」(13)
 2004年、ウイルスは新世紀へ。コンピュータウイルスの歴史をひもとく旅、後編は“攻撃者”の狙いが徐々に変化するさまを追います

Security&Trust」フォーラム 2008/10/24
ASV検査、ペネトレテスターの思考を追う
セキュリティ対策の「ある視点」(14)
 PCI DSSで定められた脆弱性スキャンテストを行う組織、ASV。彼らの検査手順と考え方をトレースし、セキュリティの意味を再考せよ!

Security&Trust」フォーラム 2009/1/22
報告、それは脆弱性検査の「序章」
セキュリティ対策の「ある視点」(15)
 ペネトレーションテストにおける最後のフェイズ、「報告」。しかしセキュリティの確保という命題において、報告は始まりにすぎないのだ

Security&Trust」フォーラム 2009/8/3
たった1つの脆弱性がもたらすシステムの“破れ”
セキュリティ対策の「ある視点」(16)
 検査結果の報告では、発見された脆弱性を個別に5段階評価する。ではシステム全体の評価はどう算出すべきだろうか

Security&Trust」フォーラム 2009/9/2
Q.E.D.――セキュリティ問題を解決するのは「人」
セキュリティ対策の「ある視点」(終)
 なんでもない穴でも「合わせ技一本」につながるのがセキュリティの世界。ペネトレテスターによる報告手法3部作、これにて証明完了

Security&Trust」フォーラム 2009/9/9

Profile
辻 伸弘(つじ のぶひろ)

ソフトバンク・テクノロジー株式会社


セキュリティエンジニアとして、主にペネトレーション検査などに従事している。
民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

●辻氏のブログ「(n)」: http://n.pentest.jp/
●辻氏のTwitter: http://twitter.com/ntsuji

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 「セキュリティリサーチャー」って何をする人? (2017/5/26)
     ネットにはさまざまな脅威や脆弱性の情報もあふれている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか
  • マルウェアを防ぐには出入口対策から――複数のセキュリティ技術で多層防御する (2017/5/24)
    人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
  • セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン (2017/5/16)
    「脅威の侵入を100%防ぐのは不可能」という前提に立った新たなセキュリティ対策を模索してきたローソン。脅威の検知と一次対応を速やかに実行し、迅速なインシデントレスポンスを支援するツールを導入した結果、20秒以内に社員が利用する約7000台のPCから感染端末を検索する体制を立ち上げた。
  • 無線LANのただ乗りに「無罪判決」の驚き (2017/5/11)
    2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH