@IT:Security&Trust 全記事一覧

最終更新日:2010年9月17日

Quick Link
セキュリティ用語辞典 クラウドセキュリティ
5分で絶対に分かるシリーズ スパム対策技術
ファイアウォール インシデントレスポンス
不正侵入検知/防御システム VPN
ウイルス対策 フィッシング詐欺対策
スパイウェア対策 クライアントセキュリティ
Webサイトセキュリティ サーバセキュリティ
送信ドメイン認証 セキュアOS
運用管理 セキュリティポリシー
ISMS/BS7799/PCI DSS プライバシーマーク
個人情報保護法対策 情報漏えい対策
セキュリティ監査 フォレンジック
セキュリティ情報マネジメント ICカード
USBデバイス バイオメトリクス
認証 イントラネット
データベースセキュリティ 暗号
PKI 電子署名
電子政府 Webサービスセキュリティ
開発者向け 資格/認定試験
サイバー犯罪 トレンド解説
コラム イベントレポート

 セキュリティ用語辞典

セキュリティ用語事典
電子政府関連で電子署名、PKIが必須となる。また、「BS7799」「ISO/IEC15408」「ISMS」など、ガイドラインもいろいろと揃ってきたセキュリティ業界。今後ますます重要になっていくセキュリティを理解するための実用用語事典
Last Update 2006/10/6
 クラウドセキュリティ

dknight なぜクラウドは「不安」なのか 
利点のみがクローズアップされがちなクラウド、企業が安心して使うには? クラウド利用のリスクと課題を2回に分けて解説する
前編 クラウドコンピューティングの心理的課題
後編 クラウド利用時にクリアすべきリスクと課題
Last Update 2010/7/13
クラウドセキュリティ、私はこう見る クラウドセキュリティ、私はこう見る
いまだ定石のないクラウドセキュリティ。このコラムでは、さまざまな立場のプレイヤーがリレー形式で“クラウドセキュリティ”を語ります

第1回 クラウド利用の根本にある1つの“問い”
 (インフォリスクマネージ)

Last Update 2010/9/6

 5分で絶対に分かるシリーズ

5分で絶対に分かるファイアウォール
ファイアウォールとは、「信頼できないネットワーク」から「信頼できるネットワーク」を守る最初の砦。外部攻撃から守り、セキュリティを大幅に高める。わずか5分でその概要を解説
Last Update 2002/3/1
5分で絶対に分かる侵入検知システム(IDS)
侵入検知システム、すなわちIDSは、コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムのことである。わずか5分でその概要を解説
Last Update 2002/3/16
5分で絶対に分かるVPN
インターネットで安全に社外から社内へアクセスしたい、 アプリケーションを意識しないで暗号化したいなどに答える最も有効なソリューション。わずか5分でその概要を解説
Last Update 2002/4/27
5分で絶対に分かるPKI
PKIの分かりにくさは、主に複数の技術の組み合わであることと、インフラであるがゆえのつかみどころのなさに起因する。わずか5分でその疑問をすっかり解決
Last Update 2001/2/17
5分で絶対に分かるフィッシング詐欺
フィッシング詐欺の被害は拡大しています。自衛のための簡単な基礎知識と、だまされてしまった場合の対処方法を5分で解説します
Last Update 2005/10/25
5分で絶対に分かるWinny情報漏えい対策
ファイル交換ソフト「Winny」による情報漏えいは、「Winny」を削除しても防げません。「Winny」系ウイルス対策の基本をもう1度見直しましょう
Last Update 2006/3/18
5分で絶対に分かるSSL-VPN
リモートアクセスの手軽な実現方法として注目されているSSL-VPN。もう一度基本に立ち返り、その動作と導入に必要な検討項目を確認しましょう
Last Update 2006/11/10
5分で絶対に分かるバッファオーバーフロー
最近よく聞く「バッファオーバーフローの脆弱性」、バッファあふれがなぜ攻撃につながるのでしょうか? そのワケを5分で解説しましょう

Last Update 2008/3/21
5分で絶対に分かるPCI DSS
日本でも注目され始めたPCI DSS。金融系という最もセキュリティに厳しい業界からやってきた基準は、意外なほどに具体的で、エンジニアの強力な武器になるスグレモノでした

Last Update 2008/8/7
5分で絶対に分かるEV SSL証明書
鍵のマークが表示されても、「オレオレ証明書」じゃ意味がない! 緑のマークの「EV SSL証明書」で安全が確保できる理由を5分で解説します
Security&Trust」フォーラム 2008/10/31

 スパム対策技術

綱引きに蛇口当て?! ベイズフィルターを楽しく学ぶ
スパム対策の基本技術解説(前編) 
現代のメールはスパムフィルターなしに語れません。荒廃したメール世界の救世主、ベイズフィルターを2回にわたり解説します

Last Update 2008/3/5

 ファイアウォール/UTM関連記事

意外とウマ合い! 統合セキュリティ機器活用法
浸透するUTM機器、あんなところではそんな使い方を? 現場での使い方をもとに、セキュリティの勘所を解説します

第1回 仮想専用サーバには仮想UTMがウマ合い!
第2回 Windows Embeddedを使ったFAシステムをどう守る?
第3回 製造装置を守るUTMに必須な機能とは
Last Update 2009/1/14
5分で絶対に分かるファイアウォール
ファイアウォールとは、「信頼できないネットワーク」から「信頼できるネットワーク」を守る最初の砦。外部攻撃から守り、セキュリティを大幅に高める。わずか5分でその概要を解説
Last Update 2002/3/1
ファイアウォールの正しい使い方を教えます
ファイアウォール運用の基礎
Webサイト不正改ざんのニュースが多数報道されるなか、企業ネットワークを守るファイアウォールに注目が集まっている。本記事では、ファイアウォールの仕組みや正しい運用方法について解説していく
第1回 ファイアウォールの基礎知識
第2回 サーバの要塞化とTCP/IPの基礎知識
第3回 フリーソフトを使ったファイアウォール構築
第4回 構築したファイアウォールの動作テスト
第5回 FireWall-1によるファイアウォール構築法
最終回 ファイアウォール運用のコツ

Last Update 2001/11/8
ファイアウォールのリモート・マネジメントの機能と運用
ファイアウォール導入後、管理者として最も重要で負荷がかかるのが運用管理。今回は遠隔地へ導入したファイアウォールにフォーカスし、その問題点を解説する

Last Update 2002/3/23
ファイアウォールの機能の現状と将来
前編 ポイントは、目的に応じたファイアウォールの選択
後編 ネットビジネスで求められるファイアウォールの機能
ファイアウォール製品を選定するうえでどのようなアーキテクチャを持つ製品が適しているかなど、選択基準のポイントを紹介する

Last Update 2001/12/27
大規模ネットワークを支えるMSのファイアウォール
ISA Server 2004 Enterprise Editionの実力
 大規模ネットワークに必要な管理機能とは? 新たに追加された大規模ネットワーク向け機能を紹介します
Last Update 2005/10/5

 インシデントレスポンス関連記事

インシデントの見抜きかた
攻撃検知のためのツールは数あれど、最終的にインシデントを判断するのは人間の目。実例からインシデントの特徴を見抜く力を養いましょう
第1回 Webサーバへの攻撃を見抜く
第2回 クライアントが狙われる――受動的攻撃を見抜く
第3回 脆弱なホストを狙った不正中継を見抜く

Last Update 2007/11/7
インシデントレスポンス入門
管理者のためのセキュリティ推進室

JPCERT/CCが、コンピュータセキュリティ・インシデント(不正アクセス)やセキュリティ技術に関する情報を紹介していく
第1回 インシデントレスポンスとは?

第2回 インシデントを発見する方法(1)
第3回 インシデントを発見する方法(2)
第4回 インシデント発見時の対応手順
第5回 インシデント発見後の関係サイトへの連絡

最終回 インシデント発見前の注意点
Last Update 2002/11/27
rootkitを検出するために
インシデントレスポンスはじめの一歩

攻撃者の侵入で仕掛けられることの多いバックドアやトロイの木馬、rootkitについて解説。また、rootkitのしくみや実践的なオペレーションワークを詳細に解説する。「インシデントレスポンス」の参考としていただきたい

第1回 バックドアとトロイの木馬とrootkit
第2回 侵入者が仕掛ける「rootkit」の特徴を知る
第3回 侵入者の不利な情報を隠すLKM rootkitの仕組み
第4回 侵入者が仕掛けるLKM rootkitの実情
第5回 セキュリティ対策の基本であるIRの位置付け
第6回 証拠保全のために正規のバックドアを用意する
第7回 不正アクセス情報の入手方法

Last Update 2003/12/11
情報資産を守れ!
不正侵入の手口と対策

サーバ管理者に攻撃者の不正侵入の手口を知ってもらうことで、よりセキュアなサーバの運用管理を行うための解決法を紹介する

第1回 攻撃者側から見た侵入前の事前調査(下見)
第2回 攻撃者に有用な情報を与えない対策法
第3回 侵入者の攻撃手法とその対策
第4回 攻撃者が侵入後に行うバックドアの設置例
第5回 バックドアの検出と対処
最終回 アクセスログの改ざんと検出方法
Last Update 2003/2/22
不正アクセスに備え、自己スキルを高める5冊!
いまや不正アクセスの対処など、セキュリティに関する知識は管理者はもちろんプログラマやSEにとっても必要なスキル。現状と具体的な対処法を知るための書籍を紹介しよう

Last Update 2002/10/30

 IDS/IPS関連記事

“振る舞い検知”の裏側にある技術
振る舞い検知型IPSの技術解説(後編)
 未知の攻撃はどうすれば止められるのでしょうか。後半では実際の攻撃パターンから、その特長を3つの視点でとらえます

Security&Trust」フォーラム 2009/6/1
従来型IPSの課題と解決策
振る舞い検知型IPSの技術解説(前編)
 既知の脅威ならシグネチャで対応できますが、未知の脅威への対応は? それに対する1つの解答、振る舞い検知の技術を解説

Security&Trust」フォーラム 2009/5/22
5分で絶対に分かる侵入検知システム(IDS)
侵入検知システム、すなわちIDSは、コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムのことである。わずか5分でその概要を解説
Last Update 2002/3/16
セキュリティの次の一手となる不正侵入防御システム
IPSアプライアンスカタログ2005[前編]
 外部からの不正侵入や内部でのウイルス拡散によって重要な情報が流出している。今回はISSとマカフィーのIPSを紹介する

Last Update 2005/6/24
DoSやスパイウェアにも効く不正侵入防御システム
IPSアプライアンスカタログ2005[中編]
 優先順位が低くなりがちなIPSだが、導入すれば効果は分かる。今回は、日本ラドウェア、シマンテック、ジュニパーのIPSを紹介
Last Update 2005/7/29
ワームの拡散を防ぐ不正侵入防御システム
IPSアプライアンスカタログ2005[後編]
 IPSでWindowsの脆弱性を突くワームをブロックできる。今回はトップレイヤー、セキュアソフト、TippingPointのIPSを紹介する

Last Update 2005/9/29
IPSの実装技術と防御方法とは
IPS(不正侵入防御システム)を知る[前編]
 不正侵入対策としてIPSが注目されている。IDSと何が違うのか、何ができるのかについて紹介する
Last Update 2005/3/16
IPSを実装する場所と考慮すべき点
IPS(不正侵入防御システム)を知る[後編]
 IPSはネットワークの境界部以外で真価を発揮する。イントラ内での効果的な使い方2つを紹介する
Last Update 2005/5/20
Snortでつくる不正侵入検知システム
不正アクセスに対抗する手段はいくつか存在する。 IDS(侵入検知システム)を導入することで 緊急事態が発生しても速やかに対処することが可能だ
第1回 不正侵入検知システムを知る

第2回 Snortのインストールと初期設定
第3回 ACIDのインストールと設定
第4回 誤検知を減らすためのSnortチューニング
第5回 Snortで使用可能なプリプロセッサを理解する
第6回 独自ルールファイルで細かなチューニング
最終回 ツールを使ってSnortをさらに便利に使う
Last Update 2005/4/8
不正侵入対策最前線
前編 不正侵入の現状とトータルセキュリティのススメ
後編 侵入検知システムでのトータルセキュリティの構築
不正侵入対策にはどのような限界があるのだろうか? それは解決可能なのか? IDS導入の前提として、現状の再認識が必要だ

Last Update 2001/9/15
続 不正侵入対策最前線
代表的なネットワーク型IDSについて、その問題点を最近のソリューションがどのようなアプローチで解決しようとしているのか、最新動向を解説

Last Update 2002/7/3
ハニーポットを利用したネットワークの危機管理
重要なサーバへの攻撃の回避、不正アクセス兆候の早期発見などのために、侵入者・攻撃者をおびき寄せるおとりサーバの仕組みを紹介する
Last Update 2002/1/19

 VPN関連記事

5分で絶対に分かるSSL-VPN
リモートアクセスの手軽な実現方法として注目されているSSL-VPN。もう一度基本に立ち返り、その動作と導入に必要な検討項目を確認しましょう
Last Update 2006/11/10
5分で絶対に分かるVPN
インターネットで安全に社外から社内へアクセスしたい、 アプリケーションを意識しないで暗号化したいなどに答える最も有効なソリューション。わずか5分でその概要を解説
Last Update 2002/4/27
VPNの実力を知る
前編 異機種間のIPSecVPN構築の注意点
後編 知っておきたいリモートアクセス型VPNの運用のポイントは インターネットVPNが広まり、本社と支店間に異なるVPN装置を使用したサイト接続型のVPN構築が多く導入されている。ではその接続性は?

Last Update 2004/1/23
インターネットVPNの接続環境とその機能
前編 組織間を接続する「サイト間接続型VPN」とは?
後編 リモートアクセス型VPNの構築ポイント
インターネットVPNを使用して、組織間を接続するサイト間接続型VPN構成で、管理者が認識すべき特徴を押さえる

Last Update 2003/5/31
インターネットVPNの導入メリット
前編 リモートアクセスのセキュリティ対策
後編 VPNゲートウェイを導入する際の検討ポイント
RAS接続とインターネットVPN、IP-VPNサービスをレビューし、IPsec技術が何を実現できるのか、その適用の可能性を考える

Last Update 2003/1/16
SSL-VPNの導入メリット
前編 なぜSSL-VPNはリモートアクセスVPNに有効か?
後編 “SSL-VPN or IPSecVPN ”どちらが最適?
SSL-VPNがなぜリモートアクセスVPNの有効なソリューションなのか。その機能の概要および利用形態について解説する
Last Update 2003/10/18
インフラソリューションはこう選べ
最適インフラビルダーからの提言
 ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回 専用線からVPNへの移行、選択に自信あり?
第2回 外出先からリモートアクセスVPN、どれが得
第3回 専用線二重化と同レベルの安心をVPNで得る
第4回 VPNのアクセス回線を二重化する
第5回 VPNでQoSの確保は難しいのか

Master of IP Network」フォーラム 2003/11/29
なぜSSL-VPNなのか。素朴な疑問を解消しよう
使い方が見えた! これからが本番、SSL-VPN(前編) 
必然的にSSL-VPNが出現した背景を紐解きながら、実現のための4つの方式、導入前に理解すべきポイントを解説する

Master of IP Network」フォーラム 2004/6/17
SSL-VPN、アプリケーション連携の先にあるもの
使い方が見えた! これからが本番、SSL-VPN(後編)
 SSL-VPNでアプリケーションの利用はどう変わるのか? ファイアウォールとの関係で分かる効果的な適用対象とは?

Master of IP Network」フォーラム 2004/7/1

 ウイルス対策関連記事

5分で絶対に分かるWinny情報漏えい対策
ファイル交換ソフト「Winny」による情報漏えいは、「Winny」を削除しても防げません。「Winny」系ウイルス対策の基本をもう1度見直しましょう
Last Update 2006/3/18
いまさらというなかれ!
管理者のためのウイルス対策の基礎 

管理者にとってウイルス対策はセキュリティの基本。だが不確かな知識では効果的な対策にならない。いま一度基本に立ち返ろう
第1回 コンピュータ・ウイルスによる被害とその影響

第2回 企業が受けるウイルスによる被害とは
第3回 ステルス技術を使うウイルスとアンチウイルスの攻防
第4回 防御以外に企業に必要なウイルス対策機能
最終回 ウイルス対策のキモは事前準備にあり
Last Update 2004/5/15
変幻自在なBOTの正体を暴く
BOTとは何か?[前編]
 BOT(ボット)と呼ばれる不正プログラムがあなたのPCを狙っています。BOTに感染すると、どのような悪さをされるのか解説します
Last Update 2005/9/22
なぜBOTは増殖するのか
BOTとは何か?[後編]
 BOT(ボット)の亜種が多いのは“オープンソース”だからです。製作者はウイルス対策ソフトを避けるさまざまなテクニックを駆使します
Last Update 2005/9/23
どうなる? 2005年のウイルス・スパム・フィッシング
ウイルス対策最前線
 2004年のウイルス被害は急増した。また、ウイルス以外の問題も発生している。年初企画として2005年の展望を対策ベンダに聞く
Last Update 2005/1/15

 フィッシング詐欺対策関連記事

5分で絶対に分かるフィッシング詐欺
フィッシング詐欺の被害は拡大しています。自衛のための簡単な基礎知識と、だまされてしまった場合の対処方法を5分で解説します
Last Update 2005/10/25
企業がすべきフィッシング詐欺対策
フィッシング詐欺を防ぐにはユーザーの努力だけでいいのでしょうか? 企業はセキュアなメール送信環境を構築すべきです
第1回 不正なメールを不正なものと判断できますか?

第2回 正しいメールを正しいと通知する方法の落とし穴
最終回 S/MIMEを使ったフィッシング詐欺対策
Last Update 2005/9/30
本物と偽物のサイトを組み合わせるフィッシング詐欺
フィッシング詐欺の手口[前編]
 フィッシング詐欺の手口は複雑になるのでなく、シンプルに洗練されてきた。手口を知ることは対策の第一歩となる

Last Update 2005/6/22
いまさらフィッシング詐欺にだまされないために
基礎解説:フィッシング詐欺 偽サイトに誘導され、パスワードやクレジットカード情報などを盗まれてしまうフィッシング詐欺。日本でも流行の兆しが見える
Last Update 2004/12/25

 スパイウェア対策関連記事

急速に広がるスパイウェアの脅威
スパイウェアの基礎知識
 スパイウェアによる被害が話題になっている。最新のスパイウェア動向も含めて、基本的な部分をおさらいしておこう

Last Update 2005/11/30

 クライアントセキュリティ対策関連記事

“ノートPC使わない”以外の盗難防止策
持ち運べるデバイスには、さまざまなリスクがある。そのリスク回避の歴史と、回避のための技術動向を3回にわたり解説する
第1回 日本的なリスク回避策と、それに代わる技術


Last Update 2010/8/20
セキュリティを形にする日本のエンジニアたち
日本発のセキュリティ対策ソフトは、どのような思想を持ち、誰が作り出したのか。本連載では、「セキュリティ」がどのように作られていくのかを“エンジニアの目線”で語ります

第1回 限界を迎えつつある「パターンマッチング」という手法
第2回 「おれがやる」――必然だったサンドボックスの搭載
第3回 この脆弱性対策エンジンは“永遠に完成しない”
第4回 ウイルスはなぜウイルスなのか
第5回 “感染後をケアするエンジン”の必要性
Last Update 2010/8/11
セキュリティTips for Today!
現場に最も近い“サポートエンジニア”がそっと教える、いますぐ使えるTips集

第1回 USBメモリを悪者にしないための“プラスアルファ”
第2回 いつものアイコンを“オリジナル”にして先手を打て
第3回 賢く使って! パーソナルファイアウォール
第4回 このTipsでOutlook Expressをよりできる子に
第5回 Webからの脅威を調べもの専用ブラウザで封じ込めろ
第6回 アイコン偽装に負けない秘策は「プレースバー」だ!
第7回 ゴシップへの好奇心を「実行防止」せよ!
第8回 ファイル名は「左から右に読む」とは限らない?!
第9回 プラグイン脆弱性問題に決め手はあるのか
第10回 Windows 7ならできる、もう1つのUSBメモリ対策
Last Update 2010/2/15
どう対策すべき? “モバイル”のセキュリティ
セキュリティベンダに聞きました
 スマートフォンにネットブック、UMPCにUSBメモリ……モバイルデバイスのセキュリティ対策、いったい何から始めればよいのでしょうか?

Security&Trust」フォーラム 2009/2/18
セキュリティベンダに聞く「Macって安全ですか?」
攻撃者もMacへスイッチ? 
「Macを買ったら真っ先に入れるソフトウェア」にセキュリティ対策ソフトが見あたらないのは問題なし? 安全といわれているOSの現状と対策を知ろう

Security&Trust」フォーラム 2008/5/16
脆弱性スキャナで実現する恒常的なセキュリティ管理
セキュリティ対策の“次の一手” 
あなたは脆弱性スキャナを誤解していませんか? 継続的スキャンのススメ、その理由と代表的な製品を紹介します

Security&Trust」フォーラム 2008/2/21
セキュアな無線LANを構築する技術を求めて
IPN-WLAN技術解説
 無線LANをセキュアに、手軽に利用したい。そのニーズを満たす「日本発」の技術はこのように動いている
Last Update 2006/10/11
クライアントPCの危機対策
クライアントPCのセキュリティ対策は家庭だけの問題ではない。企業におけるクライアントセキュリティの重要性を紹介する
第1回 企業におけるクライアントPC危機対策

第2回 Windows XP SP2の導入でセキュリティを向上
第3回 Windows XP SP2でIEはどう変わった?
第4回 XP SP2環境下での安全な無線LAN環境構築
Last Update 2005/4/15
なぜ検疫ネットワークが普及しないのか
検疫ネットワークの未来
 検疫ネットワークが注目されて久しい。しかし、注目度に比べて導入が進んでいないのが現状だ。その原因と、検疫ネットワークの将来を展望する
Last Update 2005/7/14
持ち込みPCをLANに安全につなぐ検疫とは?
特集:検疫ネットワークとは(前編)
 感染した持ち込みノートPCから社内のネットワークを守る「検疫ネットワーク」。隔離し、検査、治療のメカニズムと構築方法を紹介する
Master of IP Network」フォーラム 2005/2/18
2つの事例から考える検疫の効果と課題
特集:検疫ネットワークとは(後編)
 検疫するクライアント数が100と26万の例を紹介。モバイルIPや資産管理を活用する現場を見てみよう。導入前に企業がとるべき対策は?
Master of IP Network」フォーラム 2005/4/9
検疫条件としてパラメータをどのように設定するのか
特集:検疫ネットワーク導入の条件(1) 
標準化が始められたばかりの検疫ネットワーク。まずは検疫条件設定の妥当性や、自社だけでは解決できない課題を理解しよう

Master of IP Network」フォーラム 2005/9/10
既存ネットワーク構成にあう検疫パターンを見極めよう
特集:検疫ネットワーク導入の条件(2) 
十人十色の様相を呈している検疫ネットワークの実現方法。自社の既存ネットワーク構成に対して負担の少ない、検疫パターンは?

Master of IP Network」フォーラム 2005/10/4
ウイルス治療の導入を妨げてしまう事情とは?
特集:検疫ネットワーク導入の条件(3) 
検疫ネットワークを導入したくても、できない既存ネットワークのタイプがあるという。導入の妨げとなってしまう事情を列挙する

Master of IP Network」フォーラム 2005/11/8

 Webサイトセキュリティ対策関連記事

再考・ケータイWebのセキュリティ 再考・ケータイWebのセキュリティ
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます
第1回 「PCでは見えないはず」に頼ることの危険性

Last Update 2009/11/17
アナリストが見逃せなかった、攻撃の“ある傾向”
データで見るSQLインジェクション渦
 2008年3月から続くSQLインジェクション攻撃の波は止まらない。この攻撃の多様性と、データから見え隠れする「攻撃者の姿」を解説する

Security&Trust」フォーラム 2008/7/24
もいちどイチから! HTTP基礎訓練中
Webアプリのセキュリティについてもっと詳しく知りたいけれど、まず何を勉強すればいいの?
第1回 XSSは知ってても、それだけじゃ困ります?
第2回 リクエストをいじれば脆弱性の仕組みが見えるのだ!
第3回 Ajaxのセキュリティ、特殊なものだと思ってました
第4回 その文字列はセーフ? 本当は奥深いデコード処理
第5回 レスポンスヘッダ+改行コード=脆弱性?!
第6回 SQLインジェクション攻撃、ターゲットは“あなた”です
第7回 基礎のキソ、エブリバディ・セッション管理!
第8回 これだけは知っておきたいセッション変数の基礎
Last Update 2009/2/6
星野君のWebアプリほのぼの改造計画
念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった
第1回 セミナー申し込みフォームがスパムの踏み台?
第2回 誰でもWeb管理画面に入れる気前のいい会社
第3回 Webアプリ、入力チェックで万事OK?
第4回 まこと先輩と星野君とCSRFの微妙な関係
第5回 Flashで作ったゲームも攻撃対象になるんです!
第6回 Cookie Monster襲来! 戦え、星野君
第7回 公開中のHTMLファイルがごっそり消失!?
第8回 メールアドレスの登録チェックが、余計なお世話に?
第9回 隠されていたSQLインジェクション
第10回 マルチバイトの落とし穴
最終回 安全なWebアプリケーションの実現に向けて

番外編第1回 Flashとポリシーファイルの密接なカンケイ
番外編第2回 赤坂さん、Flashを攻める!
番外編最終回 Flash完成! 最後の仕上げを忘れずに
Last Update 2007/4/13
Webアプリケーションファイアウォールの必要性
SQLインジェクションなどWebアプリの脆弱性を突く情報漏えいが発生した。WAFの導入を検討してみよう
第1回 機密情報に合法的に近づけるWebアプリを守れ
第2回 多様化するWebアプリケーションへの攻撃
第3回 WAFはどのように脆弱性を防御するのか
第4回 WAFのセキュリティレベルとパラメータ設定
Last Update 2006/9/14
Strutsで作るセキュアWebアプリケーション
JavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワーク。この実装時に注意すべき点を解説する
第1回 適切なエスケープ処理でXSSに備える
第2回 サーブレットコンテナが抱える問題を認識する
第3回 Validatorを利用した入力値チェックの注意点
最終回 安全なセッション管理を実現するために
Last Update 2006/8/1
セキュアなWebサイトを運営するための
Webアプリケーションに潜むセキュリティホール

Webアプリケーションに潜むセキュリティホールが注目されている。その危険を認識し、セキュアな開発を目指そう
第1回 サーバのファイルが丸見え?!
第2回 顧客データがすべて盗まれる?!
第3回 気を付けたい貧弱なセッション管理
第4回 エラーメッセージの危険性
第5回 Webアプリケーションの検査テクニック
第6回 Webサイトのセッションまわりを調べる方法
第7回 攻撃されないためのセッション管理の検査方法
第8回 ロジック系の検査
第9回 オンラインショッピングにおける脆弱性の注意点
第10回 安全なWebアプリケーション開発のススメ
第11回 Webアプリケーションファイアウォールによる防御
第12回 mod_securityのXSS対策ルールを作成する
第13回 OSコマンドインジェクションを防ぐルールを作成する
最終回 Webアプリケーションの脆弱性を総括する
Last Update 2005/3/4
クロスサイトスクリプティング対策の基本
前編 クロスサイトスクリプティング脆弱性とは?
中編 XSS脆弱性により起こる被害とその対策
後編 XSSを防ぐために不可欠なサニタイジング(無害化)
Webアプリケーションに存在するセキュリティホールが問題となっており、その代表格「XSS」の仕組みを解説しよう

Last Update 2003/1/8
事例から学ぶWebサイトの脆弱点とその対応
Webサイト運営者のセキュリティ確保の心得
過去の事例などを元に、Webサイト運営者が気を付けるべき脆弱点を紹介。本連載がセキュリティ確保のヒントになる
第1回 Webサイトセキュリティ侵害事件から見た脆弱点
第2回 Webアプリケーションサーバに存在するさまざまな脆弱点
最終回 DBサーバの構築、運用から発生する脆弱点と対策
Last Update 2002/5/15
SSLでセキュアなECサイト構築
直接人が顔を合わせることなく行われるECでは、「盗聴」「なりすまし」といったトラブルがつきものだ。本記事では、Webサーバ〜ブラウザでの安全な通信を実現するSSLを利用したセキュアなECサイトの構築ノウハウを紹介しよう
Last Update 2001/3/6

 サーバセキュリティ対策関連記事

セキュリティ・ダークナイト
ダークナイトが帰ってきた! 「セキュリティ対策の『ある視点』」を執筆したペネトレーションテスターによる新連載は、気になるセキュリティトピックを、時には攻撃者として、時には防御者として取り上げます

第1回 プレイ・ザ・ゲーム! CTFが問いかけるハックの意味
第2回 魂を奪え! 隠されたシークレット・パスワード
第3回 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編
第4回 パケットキャプチャ術で秘密もちょっぴりこぼれた?
Last Update 2010/6/28
DNSキャッシュポイズニングの影響と対策
インターネットの根幹を揺るがす大事件。それを踏まえてエンジニアが何を考え、何をなすべきかを2回に分け解説します

前編 カミンスキー氏が発表したDNSアタック手法と対策例
後編 DNSキャッシュポイズニングの原因・対策・その理由
Last Update 2008/9/24
セキュリティ対策の「ある視点」
セキュリティ対策は鉄壁の防御だけではなく、“彼ら”に選ばれないことも重要。本連載では今まで気付かなかった「ある視点」を提供します

第1回 たった2行でできるWebサーバ防御の「心理戦」
第2回 ディレクトリ非表示の意味をもう一度見つめ直す
第3回 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
第4回 メールサーバ防御でも忘れてはならない「アリの一穴」
第5回 DNS、管理者として見るか? 攻撃者として見るか?
第6回 己を知り、敵を知る――Nmapで見つめ直す自分の姿
第7回 魂まで支配されかねない「名前を知られる」という事件
第8回 魂、奪われた後――弱いパスワードの罪と罰
第9回 人の造りしもの――パスワードの破られ方と守り方
第10回 SNMPコミュニティ名、そのデフォルトの価値は
第11回 ハニーポットによるウイルス捕獲から見えてくるもの
第12回 プレイバックPart.I:ウイルスのかたち、脅威のかたち
第13回 プレイバックPart.II:シフトした脅威の中で
第14回 ASV検査、ペネトレテスターの思考を追う
第15回 報告、それは脆弱性検査の「序章」
第16回 たった1つの脆弱性がもたらすシステムの“破れ”
最終回 Q.E.D.――セキュリティ問題を解決するのは「人」
Last Update 2009/9/9
もう一度見直したいDNS/DHCP
DNSやDHCP、安定稼働しているからといって放っていたりしませんか? ネットワークを支える要となるサービスにもう一度注目しよう

第1回 ヘルスチェックしてる? 怠ってはならないDNSのケア
第2回 DNSベストプラクティスとは「隠す」そして「重ねる」
第3回 いつかは起きる「DHCPが止まる日」のために
最終回 DHCPベストプラクティスと新たな役割の模索
番外編 DHCPスヌーピングでよりセキュアな環境を構築する
Last Update 2008/8/20
Forefrontが実現する包括的セキュリティ
マイクロソフトがForefrontブランドでセキュリティ分野に参入しました。本連載ではForefront製品群を各レイヤごとに紹介します

第1回 いよいよ明かされるMS製アンチウイルス製品の全容
第2回 何が変わった? エッジ層を保護するISA Server 2006
第3回 Exchangeを守る決め手は「マルチスキャンエンジン」

最終回 FCSが示すエンタープライズ・クライアントの守り方
Last Update 2007/6/25
DoS攻撃の手法を知る
DoS攻撃の手法と対策[前編]
 日本でもDoS攻撃を受けるWebサイトが増えてきた。DoS攻撃の仕組みを理解することで効果的な対策を学びたい
Last Update 2005/3/11
DoS攻撃防御製品の仕組みと特徴
DoS攻撃の手法と対策[後編]
 DoS攻撃を防御する製品が登場している。いくつかの防御技術を取り上げ、どのタイプの攻撃に有効なのかを紹介する
Last Update 2005/4/14
必見!稼働中のサーバをセキュアにする方法
止められないUNIXサーバのセキュリティ対策(「止められない基幹業務サーバの管理対策」改め)
悩ましいのは停止できないサーバの管理。稼働サービスの停止を最小限に抑えた、セキュリティ向上の設定やツールを紹介

第1回 不要なサービスの停止こそ管理の第一歩
第2回 ソフトウェアの現状確認とアップグレード
第3回 サービスをセキュアにするための利用制限
第4回 スーパーユーザーの特権を制限する
第5回 管理者権限を制限するためのsuとsudoの基本
第6回 特権ユーザーの安全性向上を行うsudoの設定例
第7回 UNIXサーバの運用管理で欠かせないログ管理
第8回 syslogによるログの一元管理
第9回 安全性の高いログ・サーバへの乗り換えのススメ

第10回 ログ管理のセキュリティ強化を実現する方法を知ろう
第11回 Tripwireでファイルの改ざんを検出せよ
最終回 Tripwireのポリシーを最適化する
Last Update 2004/7/23

 セキュアOS関連記事

オタワで聞いた“Thanks to Japanese Community”
Ottawa Linux Symposium 2008レポート
 オタワで開催されたLinux最大級の国際会議。そこで感じたセキュアOSの今を、SEEditを作った中村氏の視点でレポートします

Security&Trust」フォーラム 2008/8/26
スイッチ・オン! SELinux
この防御力を利用しないのはモッタイナイ! Linuxのツールを入れるなら、SELinuxの力を借りて、より安心できる運用体制をつくりましょう
第1回 CMSツールをよりセキュアに導入しよう
第2回 SELinuxでいろいろバックアップ/リストアしてみた
第3回 SELinuxのお行儀を監視する――MRTG/Nagios編
第4回 NRPEプラグインを作って確認「SELinux、異常なし!」
第5回 トラブルシューティングはCentOS 5におまかせ
第6回 GUIでカスタマイズも簡単! SELinux on CentOS 5.1
第7回 やっぱり気になるスイッチ・オン! での性能変化
第8回 なぜクラスタリングにSELinuxを使わないのか!
第9回 挑戦! SELinuxでWebアプリもクラスタリング
最終回 Heartbeat+独自ドメインでセキュアな世界のその先へ

Last Update 2008/7/16
セキュリティをやってるやつらは狂っている?!
LinusもキレたセキュアOS論争
 カーネルMLは罵詈雑言のオンパレード?! あのLinusがいい放った「狂ってる」という言葉の裏には、実は愛が隠されていました

Security&Trust」フォーラム 2007/10/31
セキュアOSの思想
セキュアOSの複雑な概念はなぜ生まれたのでしょうか。その歴史をひもとくことで、情報を守るというセキュリティの原点をもう一度考えてみましょう
第1回 思想の数だけセキュアOSは生まれる

第2回 セキュリティ至上主義からセキュリティ市場主義へ
第3回 セキュアOS論争から見えるカジュアルなセキュアOS
最終回 商用セキュアOS、その思想と現実
Last Update 2007/9/13
日本のセキュアOSを支える5つのプロジェクト
セキュアOS動向解説
 商用セキュアOSでは他国に後れを取る日本、でもオープンソースの活動なら負けてはいません。世界を視野に開発を続ける日本発プロジェクトを紹介!
Security&Trust」フォーラム 2007/4/20
Red Hat Enterprise Linux 5で始めるSELinux
SELinux新機能解説
 まもなくリリースされるRHEL5、それに含まれるSELinuxも新しくなっています。新たに追加されたツールにより、セキュアOSはより身近になっています

Security&Trust」フォーラム 2007/3/14
想像以上?! お隣韓国のセキュアOS事情(前)
セキュアOS動向解説
 普及がなかなか進まない日本のセキュアOSですが、お隣韓国では導入が順調に進んでいます。いったいそれはなぜなのでしょうか?
Security&Trust」フォーラム 2007/2/19
想像以上?! お隣韓国のセキュアOS事情(後)
セキュアOS動向解説
 政府の後押しもあり順調に普及する韓国のセキュアOS、そこにある課題とは? 日本におけるセキュアOSへの取り組みもあわせて紹介する
Security&Trust」フォーラム 2007/3/16
SELinux Policy EditorでSELinuxを簡単に
便利ツール、SEEditを紹介
 SELinux、活用していますか? SELinuxとあなたの距離を縮めるために作られたツール、SELinux Policy Editorを紹介します
Security&Trust」フォーラム 2006/12/8
セキュアOS「LIDS」入門
情報家電など組み込み製品に汎用OSが採用されています。そこで既存OSの弱点を解消する「セキュアOS」が脚光を浴びています
第1回 なぜセキュアOSが必要なのだろうか
第2回 ファイルACLを用いたアクセス制御

第3回 権限を最小化するLinuxカーネルケーパビリティ
第4回 VMwareでLIDSに触れてみよう
第5回 「信頼されたPath」という考え方をLIDSで使う
第6回 TDEポリシーとアプリケーションのサンドボックス化
第7回 LIDSのACLをチューニングする
第8回 設定ファイルを更新するlidsconfコマンド
第9回 lidstoolsを使ってACLを設定する
第10回 ACL設定のステップバイステップ
第11回 NETMARKで不正な通信をシャットアウト
第12回 NETMARKとiproute2でトラフィックを完全掌握
第13回 NETMARK+iproute2+TDEでLIDS総仕上げ
Last Update 2006/12/20
SELinuxの最新動向
セキュアOS「SELinux」の最新動向を紹介する。まずはSELinuxがなぜ生まれたのかというところから始めよう
第1回 SELinuxの出自とキソのキソ
第2回 構成が大きく変わったセキュリティポリシー 2.x系
第3回 Referenceポリシーを設定してみよう
第4回 ReferenceポリシーをEnforcingモードで動かそう
第5回 Referenceポリシーの作成と動作テスト
第6回 新しく追加されたMulti Category Security
第7回 Multi Level Securityでより厳密なポリシーを実現する
第8回 Multi Level Securityで機密ファイルを管理する
最終回 SECMARKによるネットワークの取り扱い方法
Last Update 2007/2/14

 送信ドメイン認証関連記事

Sender ID:送信者側の設定作業
送信者認証技術解説
 スパムメールやフィッシング詐欺メールの対策としてSender IDが利用されている。送信サーバ側で必要とされる手順を解説する
Last Update 2005/10/27
Sender ID:受信者側の設定作業
送信ドメイン認証技術解説
 Sender IDを使って送信元IPアドレスを検査しよう。検査用プログラムの追加など受信側で必要な作業を解説する
Last Update 2005/12/14
電子署名を使うDomainKeysの設定方法
送信ドメイン認証技術解説
 電子署名方式のDomainKeysはメールを転送しても送信ドメイン認証ができる。dk-milterを実際に設定してみよう
Last Update 2006/1/12
電子署名方式の最新技術「DKIM」とは
送信ドメイン認証技術解説
 電子署名を使う認証方式で期待されているのが「DKIM」だ。ベースとなったDomainKeysとの違いや利点は何なのか?
Last Update 2006/2/16

 運用管理関連記事

アップデーティング・メールセキュリティ
メールセキュリティはウイルス、スパム対策だけではありません。メールセキュリティの知識を“アップデート”する連載です
第1回 メール暗号化の必然性と暗号化手法の基礎

Last Update 2008/11/20
電子メールセキュリティの基礎知識
電子メールは便利なものであると同時に企業に脅威を与えるものになりつつあります。電子メールを安全に使うために必要な知識を整理しましょう
第1回 電子メールセキュリティの現状を知る
第2回 スパムメール対策――必要なメールを必要な人に

第3回 情報漏えい対策――保存と検閲で「もしも」に備えよ
最終回 古くて新しい、電子メール暗号化対応とその手法

Last Update 2008/2/1
内部統制とエンジニアをつなぐのはログだ!
ログ活用セミナーレポート
 エンジニアは内部統制にどうかかわるべきか? その答えを探るために開催された「内部統制のためのログ活用セミナー」をレポートする

Security&Trust」フォーラム 2007/3/2
内部統制時代の統合ログ管理を考える
統合ログ管理の基礎知識
 さまざまなシステムで発生するログを把握できていますか? 内部統制時代を踏まえ、現在の問題点とログ管理ツールの必要条件を解説します
Security&Trust」フォーラム 2006/12/1
初級システム管理者のためのセキュリティ入門
にわか管理者奮闘記

初級システム管理者が行うべきセキュリティ対策とはどんなことがあるかということを示し、管理者が行わなければならない対策やそのための情報収集の方法などについて解説
第1回 それはある日突然に……

第2回 社内ネットワークの恐るべき実態
第3回 突然、メールが届かなくなってしまった
第4回 反撃開始、まずは全社的ポリシーの導入から
第5回 ポリシーを作っただけでは終わりではない
最終回 ネットワークの私的利用をやめさせよう
補遺編1 ネットワーク管理のあるべき姿
補遺編2 本来、セキュリティ対策はどうあるべきだったか
Last Update 2004/10/1
初級システム管理者のためのセキュリティ入門
新にわか管理者奮闘記

数々の難問をくぐり抜け、そろそろ「にわか」も卒業かな、と思っていた中村君。そうは問屋が卸さなかった!
第1回 まさかわが社の顧客情報が漏えいするとは!

第2回 情報が漏れた! まず何をすればいいのか?
第3回 漏えい原因は怨恨の線が濃厚?
最終回 傷だらけの勝利? 情報漏えい事件解決
Last Update 2005/3/31
セキュリティ製品の基礎知識と導入手引き
情報セキュリティ運用の基礎知識

システムやソフトウェアの脆弱性を挙げ、その解決のための技術や製品を紹介

第1回 情報セキュリティの基盤技術としての暗号
第2回 社内ネットワークにおけるクライアントの対策
第3回 Web構築・運営における脆弱性とその解決法

最終回 経営層にセキュリティの重要性を納得させる
Last Update 2003/1/10
ちょっとためになるセキュリティテーマを紹介
セキュリティのつぼ

セキュリティ技術や周辺テクノロジといった技術論だけではなく、セキュリティ導入を検討するために知っておくとちょっとためになるテーマを順次掲載する。技術者のみならず、コンサルタント、ユーザーの方々への参考としてほしい
第1回 セキュリティホールはなぜできる?
第2回 隣人をも疑うべきか? ソーシャルエンジニアリング
第3回 防御困難なメールアドレス詐称への対策

最終回 攻撃を受けた場合の対策、インシデント対策とは
Last Update 2002/2/15
企業に求められるセキュリティ対策「SCM」とは何か
セキュアコンテンツマネジメント
 
ファイアウォールとクライアントPCのウイルス対策は一般的になった。では、その間を流れるコンテンツに対策は不要なのだろうか?
Last Update 2004/8/12
e-文書法施行が企業活動に与えるインパクト
e-文書法とは 4月に施行されたe-文書法によって、紙の書類のデジタル化が加速した。コスト削減という長所もあるが、デジタル化のためのセキュリティにも留意すべきだ
Last Update 2005/7/20

 セキュリティポリシー関連記事

効果的な情報セキュリティポリシーへの最短距離
実践!情報セキュリティポリシー運用

セキュリティを行うに当たって不可欠なのが情報セキュリティポリシーだ。本連載ではポリシーの構成、策定手順など実際の策定時に役立つ注意点やポイントを紹介していく

第1回 情報セキュリティポリシー入門
第2回 策定期間短縮のススメ
第3回 サンプルを用いたポリシーの策定方法

第4回 セキュリティポリシー運用のサイクル
第5回 ポリシー運用サイクルに適した形態とは
最終回 セキュリティポリシー運用の実際とコツ

Last Update 2002/11/21
スローポリシーのススメ
第1回 情報セキュリティポリシーの現状
第2回 現状の情報セキュリティポリシーの問題点
第3回 日本型企業にポリシーの承認と運用を実践させるには
組織の実態を反映しないポリシーを策定してはいないだろうか。時間と手間をかけた現実解としてのスローポリシーをいま提唱する

Last Update 2003/1/29
セキュリティポリシー策定に役立つ4冊!
やみくもにセキュリティ対策をするのでは穴だらけのシステムになってしまう。対策の前に、セキュリティポリシー関連書籍で対策手順を学ぼう!

Last Update 2002/6/28

 ISMS/BS7799/PCI DSS関連記事

オール・ザッツ・PCI DSS
クレジットカード業界から登場した新たなセキュリティ対策基準“PCI DSS”。これは既存のISMSなどの基準と何が違うのでしょうか。PCI DSSの出自から利用方法を解説する連載
第1回 エンジニアも納得できる“PCI DSS”とは
第2回 あの手この手で守るべきカード情報、その中身とは
第3回 PCI DSS v1.2で注目すべき4つの変更点
第4回 Apacheセキュリティチェック、PCI DSSの場合
第5回 カード情報システムでのIIS、QSAはどう見る?
第6回 PCI DSS対応の難しさは「あいまいさ」?
第7回 要件の目的をつかみ、要件を読み取るために
第8回 データ保護と暗号化はイコールではない?
第9回 決済アプリのセキュリティ基準、PA-DSSとは
Last Update 2010/2/24
ISMSをツールとして役立よう
ISMSで考える運用管理のヒント
ISMSが再度注目されています。取っつきにくい印象があるISMSですが、実はあなたの仕事の大きなヒントになる力を秘めているのです

第1回 ISMSで仕事をラクにしよう!
第2回 そのメディア、そのまま捨てて良いのでしょうか?
第3回 御社のログ管理体制、見直してみませんか?
Last Update 2007/8/17
効果的な管理を実現するセキュリティガイドラインとは
情報セキュリティマネジメントシステム基礎講座

いま企業情報の安全な維持・管理が重要になっている。ISMSの確立を、国際的にセキュリティポリシー策定のガイドラインとして最も注目されているBS 7799を中心に、ISO/IEC 17799、JIS X5080、ISMS、GMITSなどを解説

第1回 ISMSの基盤となるISO/IEC17799とJISX5080
第2回 認証取得のためのISMSガイド
第3回 企業のセキュリティリスクを査定するガイドGMITS

第4回 ISMS構築で重要なリスクアセスメントの手法
第5回 評価されたリスクへの管理策の選択
第6回 セキュリティ対策のキモである「監査」の重要性
第7回 期待が高まる「情報セキュリティ監査制度」
第8回 セキュリティ監査人に必須の実施・報告ガイドライン
第9回 情報セキュリティ監査の実施手順
最終回 情報セキュリティ監査に必須の報告基準ガイドライン
Last Update 2004/4/17
企業情報を守るための基本
ISMS構築・運用ステップ・バイ・ステップ

ISMSの構築から運用、見直しまでのプロセスを、一歩一歩順を追って解説。問題点とその解決過程を参考としていただきたい

第1回 ISMS認証取得セキュリティ委員会の役割
第2回 情報資産の洗い出しとリスクアセスメント
第3回 リスクマネジメントとその管理策
第4回 ISMSは生かし続けてこそ意味がある
最終回 ISMS認証取得とその効果
Last Update 2003/11/29
事例から学ぶ認証取得のポイント
BS7799・ISMS認証取得の実態を聞く

BS7799やISMS認証を取得した事業者に、当事者だからこそ語れる苦労やテクニックなどを取材し、レポートする

第1回 新日鉄ソリューションズ編
第2回 ラック編
第3回 エクサ編
第4回 NTTデータ編
第5回 富士通エフ・アイ・ピー編
第6回 キヤノンソフトウェア編
第7回 凸版印刷編
第8回 IIJテクノロジー編
第9回 グローバルフォーカス編
Last Update 2003/11/8
IP Network Meeting Security Trackレポート 
効果的な情報セキュリティマネジメントへのアプローチ
不正アクセスやウイルス感染はいまだに収束していない。その解決策は「BS7799」「ISMS認証」が有効だという

Last Update 2002/12/18

 プライバシーマーク関連記事

Pマーク取得への道
個人情報を安心して提供してもらうための環境作りが不可欠です。プライバシーマークの取得を検討してみましょう
第1回 プライバシーマーク取得への第一歩
第2回 業務フローと保有個人情報の洗い出し
第3回 リスクを把握して適切な対策を講じる
第4回 コンプライアンス・プログラムを作る
第5回 コンプライアンス・プログラムの運用と内部監査
第6回 プライバシーマークの申請と審査
最終回 新しい審査基準「JIS Q 15001:2006」を学ぶ
Last Update 2007/1/10

 個人情報保護対策関連記事

やさしく読む「個人情報保護法」
個人情報の保護に関する法律が全面施行される。誰が、何を守るのか、何をすべきかをステップ・バイ・ステップで解説する

第1回 「個人情報」とは何でしょうか?
第2回 「個人データ」とは何でしょうか?
第3回 「利用目的」とは何でしょうか?
第4回 個人情報を外部に業務委託するには?
第5回 「安全管理措置」とは何ですか?
最終回 「個人情報保護法」10個の質問
Last Update 2005/9/1
個人情報保護法に備える4つの課題
情報セキュリティコンサルタントの提言 個人情報保護法の全面施行まであと4カ月。未だに対策を検討中、もしくは未実施という企業も多い。なぜなのか?
Last Update 2004/12/2
個人情報漏えいが発生したらどうすべきか?
RSA Conference 2004 JAPAN レポート
 個人情報保護法全面施行まで1年を切った。企業が個人情報を漏えいした場合、どのように対処すべきか
Last Update 2004/6/25

 情報漏えい対策関連記事

じっくり考える「情報漏えい発生の理由」 
なぜ「情報漏えい」は止まらないのか――根底にある「雇用形態と情報の関係」から、その理由を3回に分けて解説する

前編 雇用形態の変化と情報漏えいの実態
中編 情報漏えいが事業経営に与えるインパクト
後編 情報漏えい対策ソリューション、DLPとは

Last Update 2009/9/7
データを守るためにできること
情報漏えい事件は日々報道され、企業は対策に奔走しています。本連載では、情報の器である「ハードディスク」での対策に着目します
第1回 ハードディスクのパスワードロックはなぜ破られた?
第2回 ソフトウェアによる暗号化手法の知っておくべき特性
最終回 暗号化ハードディスクのあるべき姿とは
Last Update 2008/10/2
5分で絶対に分かるWinny情報漏えい対策
ファイル交換ソフト「Winny」による情報漏えいは、「Winny」を削除しても防げません。「Winny」系ウイルス対策の基本をもう1度見直しましょう
Last Update 2006/3/18
わが社に必要な情報漏えい対策製品は何だ?
情報漏えい対策製品の選び方
 個人情報保護法が施行されて3カ月。法律の理解や全体的な体制作りは終わった。具体的なソリューション導入の注意点とは?
Security&Trust」フォーラム 2005/7/12
安心が情報漏えいの穴になる不思議
HTTP暗号化通信のパラドックス
 SSLによる暗号化通信(HTTPS)はセキュリティを向上させるはずだ。しかし、それは情報漏えい事故を引き起こす諸刃の剣となりうる!?
Last Update 2004/12/18
情報漏えいに備えるセキュリティ投資の目安
情報セキュリティ投資講座 個人情報保護法の全面施行に向けて情報漏えい対策の整備が急務だ。どのような危険に対していくらの投資を行えばいいのだろうか?
Last Update 2004/8/25
個人情報漏えいが発生したらどうすべきか?
RSA Conference 2004 JAPAN レポート
 個人情報保護法全面施行まで1年を切った。企業が個人情報を漏えいした場合、どのように対処すべきか
Last Update 2004/6/25

 セキュリティ監査関連記事

セキュリティ監査の必要性と目的
セキュリティ監査概論[前編]
 セキュリティ監査によってさまざま脆弱性が明らかになる。個人情報保護という観点からも総合的なセキュリティの見直しが不可欠だ
Last Update 2005/3/9
事例にみるセキュリティ監査のポイント
セキュリティ監査概論[後編]
 実際にセキュリティ監査を実施したいくつかの事例を紹介する。定期的な監査によりセキュリティレベルを向上させたい
Last Update 2005/4/19

 フォレンジック関連記事

フォレンジックで内部不正を発見せよ
コンピュータフォレンジック[後編] コンピュータフォレンジックの守備範囲は情報漏えいだけではない。むしろ内部監査や企業間訴訟の時に真価を発揮するのだ
Last Update 2005/7/6
内部不正による情報漏えいを許さない
コンピュータフォレンジック[前編] 情報漏えいのほとんどは内部犯といわれている。漏えいが発生した後で犯人探しを始めても特定に至ることは少ない
Last Update 2005/6/10

 セキュリティ情報マネジメント関連記事

実践・アフターJ-SOX時代のID管理
内部統制の波で注目されたID管理。本連載では、導入が一段落したいまだからこそ分かる、ID管理システムのいまを解説します

第1回 “ID管理システム化プロジェクト”のその後
第2回 いま、あなたの会社にID管理システムが必要な理由
第3回 ID管理システム、要件定義から基本設計まで
最終回 ID管理システム導入の総仕上げ、移行と運用
Last Update 2009/7/14
セキュリティ、そろそろ本音で語らないか
情報セキュリティコストはもはや「聖域」ではない! 誰もが思っていた“クチにできない本音”をズバッと語ります

第1回 IT界の埋蔵金? 手付かずのセキュリティコストと戦う
第2回 情報セキュリティコストの削減、4つのアプローチ
第3回 CISO考――ところで、CISOって必要ですか?
第4回 “セキュアなWebアプリ”に立ちはだかる課題
第5回 中堅企業には中堅企業ならではのセキュリティ対策
第6回 情報セキュリティは情報システムコストを削ってから?
第7回 プログラマをやって思うこと
第8回 非常時のために「さらば、分厚い規定集」といおう
第9回 求む、新時代のセキュリティアーキテクチャ
第10回 誌上セミナー「拡大を続けるログ砂漠」
第11回 犯罪者の「否認」に対応するには
第12回 セキュリティシステムをマネジメントせよ
第13回 「脆弱性根絶なんてできっこない」と嘆く前に
第14回 求む、納得できる仮想プライベートサーバ
第15回 納得できる仮想プライベートサーバ探し、その後
第16回 クラウドセキュリティにコストをかける覚悟はあるか
Last Update 2010/8/9
SIMで企業のセキュリティを統合管理せよ
セキュリティ情報マネジメント概論[前編] SIMというキーワードが日本にも入ってきた。セキュリティ機器が発するアラームの嵐に忙殺される管理者の力強い味方となるか
Last Update 2005/7/26
セキュリティ情報管理を技術的に理解する(1)
セキュリティ情報マネジメント概論[中編]
 SIMを構成する4つのコンポーネント。ログを収集するエージェント、イベントを相関分析するマネージャを技術的に詳説する
Last Update 2005/9/6
セキュリティ情報管理を技術的に理解する(2)
セキュリティ情報マネジメント概論[後編]
 SIMを構成する4つのコンポーネント。収集したイベントを格納するデータベース、分析結果を表示する管理コンソールを技術的に詳説

Security&Trust」フォーラム 2005/9/8
業務中にSkypeやIMを使っているのは誰だ?
SIMを上手に使いこなす[前編]
 セキュリティ情報マネジメント(SIM)を使って、実際にネットワークを監視してみよう。チューニングの試行錯誤を紹介する

Last Update 2005/11/8
不審な通信や無許可ホストを見逃さない
SIMを上手に使いこなす[後編]
 管理者に無断でHTTPトンネリングソフトを使って外部と接続したり、ネットワーク機器を増設したり。SIMはこんなユーザーも見逃さない

Security&Trust」フォーラム 2005/11/11

 ICカード関連記事

知っておきたいICカードのタイプと使われ方
ICカードの基礎知識[前編] 企業の入退室管理やおサイフケータイなど利用が進むICカード。普段、なにげなく利用しているICカードの内部はどうなっているのだろう?
Last Update 2005/8/12
ICカードをめぐる3つのセキュリティ要素
ICカードの基礎知識[後編]
 ICカードをかざしたリーダが偽物だったら? ICカードを使っているユーザーは本人? ICカードシステムのセキュリティに関する疑問に答えます

Last Update 2005/9/13

 USBデバイス関連記事

USBデバイスとセキュリティ
USBフラッシュメモリ、USBキー、USBトークン。形の似ているUSBデバイスを正しく理解していますか?
第1回 USBデバイスはセキュリティにおける悪者じゃない
第2回 事例に見るUSBキーの利点と欠点

第3回 ICチップを搭載するUSBトークンの利点
最終回 USBトークンがライフスタイルを変える未来
Last Update 2006/4/22

 バイオメトリクス関連記事

バイオメトリクス認証のメリットとデメリット
導入前に知っておきたいバイオメトリクス認証(前編)
 個人認証において紛失・盗難の心配がない高信頼性と利便性を実現するバイオメトリクス認証の概要を紹介する

Last Update 2003/11/22
バイオメトリクス認証、導入前に検討すべき項目とは
導入前に知っておきたいバイオメトリクス認証(後編)
 本人認証において高信頼性を得られるバイオメトリクス認証。導入前に知っておきたい利用方法や導入例を紹介する

Last Update 2003/12/26
指紋認証システムカタログ
特集:バイオメトリクスカタログ(前編) 高信頼性と利便性を実現するセキュリティシステムのキーポイントとなるバイオメトリクス機器の1つ「指紋認証システム」について紹介

Last Update 2001/10/20
虹彩、声紋などバイオメトリクスカタログ
特集:バイオメトリクスカタログ(後編) Comdex Fall 2001でもバイオメトリクスが注目の的。空港警備などのセキュリティへの応用が急速に進められている要チェック技術だ

Last Update 2001/11/28
バイオメトリクス技術の特徴とPKI
バイオメトリクスは個人認証に特化した手法だ。PKIなどさまざまなセキュリティソリューションとの組み合わせることで、セキュリティ強度と利便性を向上させることができる

Last Update 2001/11/17

 認証関連記事

アイデンティティ管理の新しい教科書
OpenIDにSAML、Liberty AllianceにInformation Card ……。ここでもう一度、アイデンティティ管理をイチから学んでみませんか。ID管理の周辺情報をまとめ、新しい教科書として使える連載です
第1回 「アイデンティティ管理」の周辺事情を整理しよう
第2回 ID管理技術をつなぐ女神、コンコーディア
第3回 OpenID/SAMLのつなぎ方とその課題

Last Update 2010/1/22
OpenIDの仕様と技術
URLをIDとして利用する認証プロトコル、OpenIDが注目を集めています。どのような仕組みであなたが「あなた」であることを証明するのかを確かめましょう
第1回 仕様から学ぶOpenIDのキホン

第2回 あなたのサイトをOpenID対応にしている2行の意味
第3回 Consumerの実装を知り、OpenIDを使ってみよう
第4回 OpenIDをとりまくセキュリティ上の脅威とその対策
第5回 OpenID Authentication 2.0時代の幕開け
Last Update 2008/2/19
RADIUSを使おう
認証無線LANやVPN接続で企業での導入が進むRADIUSサーバ。本連載では、RADIUSサーバの必要性と設置する際の注意点について解説していく
第1回 企業に認証サーバが必要な理由
第2回 認証だけでなく課金管理も担うRADIUS
第3回 認証サーバとしてRADIUSとLDAPのすみ分けとは?

Master of IP Network」フォーラム 2005/2/3
OATH:オープンスタンダードな認証基盤
ネットワークのさまざまなところで認証が行われています。認証ベンダの独自仕様を標準化していこうという動きが始まりました
第1回 OATHが目指す“信頼”の形
第2回 認証技術の複合化を目指すOATHのロードマップ

Last Update 2006/2/18

 イントラネットセキュリティ関連記事

新・Exchangeで作るセキュアなメッセージ環境
最新のWindows Server 2008にも対応のExchange 2007。セキュアなメッセージ環境を作るための新機能に注目します
第1回 Exchange Server 2007、4年分の進化を見よ
第2回 メッセージ環境をクリーンにするコンテンツフィルタ
第3回 ウイルス対策に重要なのは「多層防御」
第4回 クライアント/サーバ間のプロトコルと暗号化通信を知る
最終回 Exchange Server 2007間の暗号化通信総まとめ
Last Update 2009/3/5
Exchangeで作るセキュアなメッセージ環境
企業のメッセージ環境を担うExchange Server 2003。しかし、セキュリティ機能をやみくもに設定しても意味はありません
第1回 メッセージ環境の保護について考える
第2回 メッセージ送受信へのセキュリティ対策
第3回 Exchange Server 2003のS/MIME、SSL実装手順
第4回 スパムメールをシャットアウトするフィルタ機能
第5回 ExchangeサーバとSender IDの親和性
第6回 Exchange Serverへの安全なリモートアクセス(前編)
第7回 Exchange Serverへの安全なリモートアクセス(後編)

Last Update 2006/5/2

 データベースセキュリティ関連記事

SE-PostgreSQLによるセキュアDB構築 
オープンソースのRDBMSでもアクセス制御はここまでできる! 日本発のセキュリティ機能拡張、SE-PostgreSQLを体感しよう
第1回 SELinuxのアクセス制御をデータベースでも
第2回 データベース強制アクセス制御をカスタマイズする
第3回 アクセス制御の実装は“巧妙”かつ“大胆”に
最終回 SE-PostgreSQLの実運用に向けて
Last Update 2007/11/27
データベースセキュリティの基礎のキソ
企業で機密性の高い情報を管理しているデータベースシステム。 しかしセキュリティに関して意外と管理がされていない場合も多い。 本連載でデータベースのセキュリティ対策の基本を学んでほしい

第1回 データベースセキュリティの基本的な考え方
第2回 データベースの設置場所および接続時の勘所

第3回 OracleDB導入時のセキュリティ対策の基本
第4回 OracleDBで活用したい「データの保護」と「暗号化」
第5回 内部犯行を抑制するデータベース監査

最終回 Oracleサーバに対する通信経路の暗号化
Last Update 2004/5/21
DBセキュリティ虎の巻
個人情報保護法をにらみ、個人データの入れ物としてのデータベース構築はよりセキュアにする必要がある。まずは10項目のチェックをしてみよう
第1回 個人情報データ保護の思考回路
第2回 データベースの認証を総点検
第3回 データベースアプリケーションのセキュリティ
最終回 DBをセキュアに保つために行うべき作業
Last Update 2005/5/26

 暗号関連記事

デファクトスタンダード暗号技術の大移行
ハッシュ暗号SHA-1が破られたというニュースは記憶に新しい。世界の標準となる米国が2010年までの暗号強化を始めた
第1回 すべてはここから始まった〜SHA-1の脆弱化
第2回 暗号も国際標準化の時代へ〜政府・ISO/IEC・インターネット標準
第3回 これだけは知っておきたいアルゴリズム〜共通鍵暗号
第4回 知っておきたいアルゴリズム〜ハッシュ・公開鍵暗号
第5回 鍵長をどのように選択していくか
最終回 システムの利用期間に見合った暗号技術の選択へ向けて
Last Update 2006/9/27
暗号モジュール評価の基礎知識
暗号を使った製品は数多く利用されている。暗号そのものの強度だけを判断基準にするのは危険だ。暗号の実装方法にも目を向けよう
第1回 暗号モジュールの安全性について考える

第2回 各国で採用されるFIPS 140-2の重要性
最終回 FIPS 140-2認定がもたらすユーザーへの恩恵
Last Update 2005/2/23
注目の情報管理方式「しきい値秘密分散法」
基礎技術解説:秘密分散法
 機密情報を丸ごと盗まれたらどうしようもない。秘密分散を使えば、分割情報の一部を失っても安全にデータを復元することができる
Last Update 2004/11/27
S/MIMEでセキュアな電子メール環境をつくる!
いまや電子メールは生活に欠かせないものだが、常に盗聴等の危険と隣り合わせ。暗号化と電子署名による安全な電子メール環境を実現する、S/MIMEの仕組みを解説しよう
Last Update 2001/5/30

 PKI関連記事

インターネット時代のセキュリティインフラを理解しよう
PKI基礎講座
インターネットが普及し、商取引のインフラとしても使用されるようになった今、いかにセキュリティを保つかが重要な課題である。本連載では、このセキュリティの基礎インフラとなる「PKI」の仕組みや最新トピックについて解説していこう
第1回 PKIの基礎を理解しよう
第2回 電子証明書と認証局
第3回 身近なPKI〜SSLを理解する
第4回 ECを加速する電子署名法
第5回 証明書の有効性を検証する仕組み
第6回 PKIの適用事例を検証する
第7回 PKIの適用事例を検証する(2)
第8回 PKIの適用事例を検証する(3)
最終回 キーワードで学ぶ電子政府

Last Update 2001/10/27
インターネットセキュリティの切り札
PKI再入門 

電子政府などが本格化し、PKIの需要はますます高まってきている。ここではPKIを考えるうえで必要となる「個人認証」などの概念をいま一度整理する

第1回 PKIを考えるうえでの基礎となる個人認証
第2回 “信頼”こそPKIにおける電子認証の大前提
第3回 信頼関係構築に必須の「信頼モデル」
第4回 信頼構築で最も重要な「公開鍵の信頼」
最終回 公開鍵との結び付きを証明する第三者認証局
Last Update 2003/9/6
PKI導入の手引き
PKIについて、ひととおり理解できたら、次は実際の導入だ。検討〜設計〜導入〜運用まで、PKI導入のためのノウハウを実際の例をもとに解説していこう。今回公開するPart.1の「PKIを立ち上げてみよう!」では、検討から運用開始までを紹介する
Master of Network」フォーラム 2000/8/29
PKIでなにが守れるのか?
その仕組み・導入・運用までを解説

近年のインターネットの普及で、ネット上のセキュリティに注目が集まっている。そのセキュリティインフラの中核となるPKIに着目し、その仕組みから、実際の導入・運用について解説する
Master of Network」フォーラム 2000/5/23
PKI運用のアウトソーシングの流れ
ウトソーシングで提供されるPKIのマネージドサービスとはいったいどのようなものであるのか? そのメリットを解説しよう
Last Update 2002/9/18
バイオメトリクス技術の特徴とPKI
バイオメトリクスは個人認証に特化した手法だ。PKIなどさまざまなセキュリティソリューションとの組み合わせることで、セキュリティ強度と利便性を向上させることができる

Last Update 2001/11/17
Acrobat 5.0とPKIとの連携を検証する
Acrobat 5.0に搭載された目玉機能の1つに、電子証明書を使用したセキュリティ機能がある。EntrustやVeriSignとの連携から、汎用アプリのPKI対応の現状を検証してみる
Last Update 2001/6/27
PKI対応アプリケーションでXML文書へ電子署名
JetFormの電子帳票ソフト「FormFlow99」は、生成したXMLデータに電子署名を施すことが可能。改ざん/成りすましの検知、さらにベンダごとに異なる証明書の相互運用を検証
Last Update 2001/8/8
GPKIで実現する電子政府構想
2001年4月の電子署名法施行を受け、GPKI(政府認証基盤)の構築による電子政府構想が動き出しつつある。これまで紙や印鑑を必要とした各種申請や契約書などが、電子データのやりとりで完結できるようになるのだ
Last Update 2001/4/5
PKIの導入・運用前にオススメの5冊!
暗号・電子署名・ユーザー認証などを兼ね備えたPKIこそセキュリティ対策の柱となる技術である。今後PKIを導入・運用する場合のガイドとなる書籍を紹介しよう

Last Update 2003/4/29

 電子署名関連記事

電子署名の導入の仕方を教えます
電子署名導入指南
PKIと電子証明書いう言葉は知っているが、関連性は?実際の業務においての利用の仕方や導入を検討するうえでの予備知識を解説する
第1回 電子署名で何が変わる?
第2回 導入プランを立てよう!
第3回 電子署名導入プラン サーバ編その1
第4回 電子署名導入プラン サーバ編その2
最終回 電子署名導入プラン クライアント編

Last Update 2002/2/9
S/MIMEでセキュアな電子メール環境をつくる!
いまや電子メールは生活に欠かせないものだが、常に盗聴等の危険と隣り合わせ。暗号化と電子署名による安全な電子メール環境を実現する、S/MIMEの仕組みを解説しよう
Last Update 2001/5/30
PKI対応アプリケーションでXML文書へ電子署名
JetFormの電子帳票ソフト「FormFlow99」は、生成したXMLデータに電子署名を施すことが可能。改ざん/成りすましの検知、さらにベンダごとに異なる証明書の相互運用を検証
Last Update 2001/8/8

 電子政府関連記事

GPKIで実現する電子政府構想
2001年4月の電子署名法施行を受け、GPKI(政府認証基盤)の構築による電子政府構想が動き出しつつある。これまで紙や印鑑を必要とした各種申請や契約書などが、電子データのやりとりで完結できるようになるのだ
Last Update 2001/4/5
電子政府の現状と今後
前編 電子政府は、どこまで進んだか?
後編 ビジネスチャンスとしての電子政府の捕らえ方
 

電子政府、電子自治体は着実に進んでおり、いくつかの実証実験も行われている。ビジネスチャンスとしての電子政府を捕らえよう

Last Update 2002/5/10
電子申請の実証実験とその対応
電子申請の実証実験が始まったが、一部のシステムでセキュリティ問題があった。その対策を検証し、技術的な面から解説

Last Update 2002/6/5

 Webサービスセキュリティ関連記事

APIアクセス権を委譲するプロトコル、OAuthを知る
クロスドメインでのデジタルアイデンティティを守る 
マッシュアップでAPIアクセス権の委譲をどう扱うべきか――この問題を解決すべく作られたプロトコル「OAuth」に迫る

Security&Trust」フォーラム 2008/1/21
PKIとPMIを融合する新しいXMLベースのセキュリティメカニズム
Webサービスのセキュリティ

電子商取引や電子政府の必須の技術である、WebサービスでのXMLベースのセキュリティ標準の枠組みを紹介
第1回 Webサービスのセキュリティ概要
第2回 XMLデジタル署名とXML暗号
第3回 XML鍵管理サービスとXMLプロトコル

第4回 強力なSSOを実現するXML認証・認可サービスSAML
第5回 PKIとPMIを融合させる次世代言語XACML
最終回 XACMLのアクセス制御ルールとその仕様
Last Update 2002/12/11
XML & Web Servicesフォーラム連動企画
Webサービス・セキュリティ構築の実践(前編)
Webサービス・セキュリティ構築の実践(後編)
本格的な実用Webサービス・システム構築には万全なセキュリティ対策が不可欠。前編はSOAPに起因する諸問題を解説する

XML & Web Services」フォーラム 2004/5/6

 開発者向け記事

ITアーキテクトによるセキュリティ設計
つぎはぎシステムを防ぐセキュリティアーキテクチャ
IT設計する際、セキュリティのことをアーキテクチャとして考慮しているだろうか。取って付けたものではだめだ

Last Update 2004/4/29
開発者が押さえておくべきセキュリティ標準規格動向
e-Japan計画が進み標準規格の未導入の問題も出てきた。BS、ISO/IEC、JISなどの標準化動向と現在の管理制度と今後の開発者の取り組み方などを紹介

Last Update 2002/1/31

 資格/認定試験関連記事

セキュリティ認定資格「Security+」に挑戦
セキュリティ認定資格ガイド
 “絶対”が存在しないセキュリティにおいて個人の対応能力を測定するのは難しい。CompTIAの「Security+」は世界で通用する認定資格だ
Last Update 2005/10/7

 サイバー犯罪関連記事

サイバー犯罪条約と国内法整備の課題
データの押収や通信傍受など既存のネットワーク関連法規と比べ強引なサイバー犯罪条約。同条約の概略や適用範囲、国内法との兼ね合いなどを解説
Last Update 2002/1/24

 Secutiry Tips

Security Tips
システムやネットワークセキュリティに役立つテクニックとヒント集
ポートスキャナを使ってPCの存在を確認する
Windowsの標準機能でパケットフィルタリング
自マシンの開きポートとプロセスの関係を確認する

外部からのポートスキャンサービスを利用する
スパム中継防止のため、第三者中継をチェックする
stringsコマンドの使い方

NetcraftでWebサーバの見え方を確認する
ログオンを模したプログラムからパスワード情報を守る
ログオンしないとシャットダウンできない設定にする
メッセンジャーサービスの無効化
効果的なパスワード管理
不審なプロセスを調査する
特定のIPアドレスからの通信を行えなくする
パケットフィルタログの有効活用
syslogサーバの限界を確認する
SSL非対応メーラのSSL化
修正プログラムの一括適用とqchain
イベントログの自動監視とコマンドの自動実行
Windowsをリブートせずにパケットフィルタリング
IISのヘッダ情報の一部を消去
Windowsで最後にログオンしたユーザー名を表示しない
ファイルハッシュ値の計算
WSHの暗号化 - Script Encoderの紹介
ハードディスクの内容を安全に消去 - DBAN
Windows XP Home EditionをSUSクライアントに
opensslを使って共通鍵暗号でファイルを暗号化
Network Grepで手軽なパケットキャプチャ
添付ファイルの自動実行を抑止する
OpenSSLを使って公開鍵暗号でファイルを暗号化
Live HTTP HeadersでHTTPヘッダ情報を確認する
Solarisのスタック実行制御でオーバーフローを防ぐ
プロセスの実行を監査する(Windows編)
SolarisのRBAC機能でsudoを置き換える
未登録機器のイーサネット接続をブロック - ip-sentinel
Windows NT 4.0でMBSA 1.2を活用する
Linuxでアカウントのログイン時間を制限する
Solaris 9のinetdに備わるアクセス制御機能を活用する
hp-uxのinetdに備わるアクセス制御機能を活用する
Office文書の隠しデータを削除する
Explorerを別のユーザーとして実行する
Explorerの実行ユーザーを表示しておく
プロキシ環境下でWindowsの自動更新を有効にする
QuickMLでメンバーを容易に追加できないようにする
TCPポートをノックしてコマンドを実行するknockd

Last Update 2004/10/6

 トレンド解説

新社会人が知っておくべきメールセキュリティの基本
いまなら聞ける!
 就職活動でもフル活用した電子メール。入社前にもう一度、ビジネスの電子メールで気を付けるべき点を、@ITの記事を振り返りながらチェックしてみよう

Security&Trust」フォーラム 2009/3/10
セキュリティ用語で覚える新社会人の「鉄則」
いまなら聞ける!
 新社会人になると、いままで知らなかった言葉がたくさん聞こえてくるでしょう。今のウチに重要なキーワードを知り、先輩社員にほめてもらおう!

Security&Trust」フォーラム 2008/4/1
Security&Trustトレンド解説
セキュリティを取り巻く最新のトレンドを詳細に解説
第1回 Sender IDはスパム対策の切り札となるか!?

第2回 対策の進むスパイウェアとアドウェア
第3回 フィッシング詐欺対策として企業が負うべき責任
第4回 巨人たちを中心に再編の進むセキュリティ業界
第5回 脅威に対して自動的に防衛するネットワーク
第6回 Webアプリのセキュリティを後回しにするな
第7回 企業ユースも攻略していくFirefox
第8回 企業ユーザーもスパイウェア対策が当たり前の時代
第9回 変わりゆく手法と意味、メールセキュリティの今を知る
第10回 どうする? Windows 2000 Serverの「Xデイ」対策

Last Update 2010/4/30

 コラム

セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ

広大なネットで起こる数々の攻撃、それを追い続ける男の目に映るものは? 第一線のセキュリティアナリストによるコラム
第1回 あの「SQLインジェクション」騒動の裏で(前編)
第2回 あの「SQLインジェクション」騒動の裏で(後編)
第3回 4月にセキュリティインシデントが急増するワケ

第4回 ポートスキャン、私はこう考える
第5回 ネガティブか、ポジティブか……それが問題だ
第6回 IPSは“魔法の箱”か
第7回 夏が来れば思い出す……
第8回 クッキーに隠されたSQLインジェクション、対策は?
第9回 レッツ、登壇――アウトプットのひとつのかたち
第10回 ところで、パッケージアプリのセキュリティは?
第11回 ○×表の真実:「検知できる」ってどういうこと?
第12回 急増したSQLインジェクション、McColo遮断の影響は
第13回 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
第14回 表裏一体、あっちのリアルとこっちのサイバー
第15回 狙われる甘〜いTomcat
第16回 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
第17回 米韓へのDoS攻撃に見る、検知と防御の考え方
第18回 学生の未来に期待する夏
第19回 狙われるphpMyAdmin、攻撃のきっかけは?
第20回 ECサイトソフトウェアはなぜ更新されないのか
第21回 実はBlasterやNetsky並み? 静かにはびこる“Gumblar”
第22回 新春早々の「Gumblar一問一答」
第23回 Gumblarがあぶり出す 「空虚なセキュリティ対策」
第24回 Gumblar、いま注目すべきは名前ではなく“事象”
第25回 実録・4大データベースへの直接攻撃
第26回 ともだち373人できるかな―― IMセキュリティ定点観測
第27回 不安が残る、アドビの「脆弱性直しました」
第28回 Webを見るだけで――ここまできたiPhoneの脅威
第29回 曇りのち晴れとなるか? クラウド環境のセキュリティ
Last Update 2010/9/17
セキュリティ動向チェック
Security&Trustウォッチ
セキュリティ技術や周辺テクノロジに詳しい筆者陣による、セキュリティ関連業界動向を順次掲載
第1回 セキュリティ対策よりも認定取得が目的に?
第2回 費用対効果を認識したといえるISMS認証取得
第3回 無線LANは危なくて使えない?
第4回 強度と使いやすさは二者択一ではない
第5回 セキュリティ製品導入の「二極分化」
第6回 求む、エンドユーザーにパッチ適用を徹底させる法
第7回 「相乗り」ICカードというけれど……
第8回 あらゆる情報を、うのみにするな?!
第9回 2003年、セキュリティ業界はこうなる?
第10回 本当のところ、CRYPTRECは活用されているのか?
第11回 セキュリティ技術者を「憧れの職業」にするには?
第12回 責められるべきはMSだけだろうか?
第13回 痛い目に遭って考えた、ビジネス継続性の重要さ
第14回 猛威を振るうSARSウイルスに思ったこと
第15回 あらゆる人にセキュリティ教育を
第16回 オレオレ詐欺に学ぶソーシャル対策
第17回 人はミスをするものと思え、故に事前対策が重要
第18回 企業でのセキュリティ資格の意味合いは?
第19回 Blasterがもたらした多くの“メリット”
第20回 治安の悪化で改めて痛感したこと
第21回 大事なことは製品でもなく知識でもなく……
第22回 いまこそ一般教養としてセキュリティを!
第23回 脆弱性のあるサイトとセキュリティ技術者の関係
第24回 端末を持ち歩くことの危険を意識せよ!
第25回 セキュリティ担当者には想像力が必要
第26回 標的にされる無防備なコンピュータ
第27回 言論の自由とセキュリティコミュニティ
第28回 安全確保のために東京は明るく! 大阪は暗く!
第29回 個人情報保護法を論理的に読み解く
第30回 魔法の鍵と最後の鍵
第31回 平田です。届いてますか?
第32回 25番ポートの攻防
第33回 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
第34回 「Whoppix」を使ってペネトレーションテストをやろう
第35回 メールアドレスを漏えいから守る方法
第36回 個人情報漏えい後の対応ガイドライン
第37回 メールは信頼できても信用できない
第38回 偽装メールを見破れ!(前編)
第39回 偽装メールを見破れ!(後編)
第40回 CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」
第41回 「取りあえず管理者アカウントで」という思考停止はもうやめよう
第42回 今夜分かるSQLインジェクション対策
第43回 Windows管理者必携、Sysinternalsでシステムを把握する
第44回 暗号化仮想ドライブで手軽にファイルを暗号化
第45回 セキュリティのバランス感覚を養うための1冊
第46回 セキュリティを教える人に読んでほしい1冊
第47回 Webアプリを作る前に知るべき10の脆弱性
第48回 この夏、グミ指を作ってみないか
第49回 インターネット物理モデルでセキュリティを考えた
第50回 せめて、ハードディスクの最期はこの手で……
第51回 最終手段? 京都に究極のセキュリティ対策を見た
第52回 CeCOS IIにみるネット犯罪のもう一方の側面
第53回 売り上げ重視かセキュリティ重視か!? 「安全なウェブサイト運営入門」
第54回 キャンプに集まれ! そして散開!
第55回 技術は言葉の壁を越える!Black Hat Japan 2008&AVTokyo2008(前編)
第56回 技術は言葉の壁を越える!Black Hat Japan 2008&AVTokyo2008(後編)
第57回 誰がシステムのセキュリティを“大丈夫”にするのか
第58回 Perl Mongersはセキュリティの夢を見るか?
第59回 「わざと脆弱性を持たせたWebアプリ」で練習を
第60回 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
Last Update 2010/6/25

 イベントレポート

dlp2010 情報漏えい対策を通じて「守るべきもの」とは
@IT 情報漏えい対策セミナーレポート
 企業はセキュリティをどうやって確保しているのだろうか。情報漏えい対策のいまを、オリンパスの事例とカード業界の事例で学ぶ

Security&Trust」フォーラム 2010/7/12
ポストGumblar時代のエンドポイント保護は?
第7回情報セキュリティEXPOレポート
 Gumblarの登場で単純な対策が意味をなさなくなったいま、エンドポイントを保護する手段とは何か? 各社のアプローチを紹介

Security&Trust」フォーラム 2010/5/27
「クラウドで守る」「クラウドを守る」
Hadoopでスパム対策も、米国発セキュリティトレンドレポート
 RSA Conference 2010でのディスカッションを基に「クラウドセキュリティ」の最新動向をレポート

Security&Trust」フォーラム 2010/5/11
PCI DSSは“北極星”に向かうためのツールだ!
@ITセキュリティソリューションLive! レポート
 2010年9月には一部で準拠期限を迎えるPCI DSS。アメリカでの現状を踏まえて、PCI DSSとの「付き合い方」を考えよう

Security&Trust」フォーラム 2010/3/26
予選はクイズ感覚の「超高度な知恵くらべ」
いざラスベガス、いざDEFCON CTF決勝へ(前編)
 周りのヤツらはみんな敵?! 日本人としてCTF決勝に参加した“ハッカー”が、予選の難問と混乱を解説します

Security&Trust」フォーラム 2009/9/14
アスキーアートや単語当てゲーム、それが「問題」だ
いざラスベガス、いざDEFCON CTF決勝へ(後編)
 決勝は自分を守りつつ相手を攻める、何でもありのサイバー決戦。渡されたのはサーバ一式、で、出題内容は?

Security&Trust」フォーラム 2009/10/6
進化するセキュリティ、ベクトルはどこに向かうのか
RSA Conference Japan 2009レポート
 Interopに併催されたRSAカンファレンス。そこで見られたセキュリティ対策ソリューションの進化と変化をレポートしよう

Security&Trust」フォーラム 2009/6/26
Interopに見るネットワークの未来、セキュリティのいま
Interop Tokyo 2009開催直前インタビュー
 さまざまなサービスが発表される2009年のInterop。2つの企業の“エンジニア”に、作り出したサービスに込められた想いを聞く

Security&Trust」フォーラム 2009/6/4
浸透しつつある仮想化環境をどう守る? どう使う?
RSA Conference 2009 レポート(2)
  カンファレンス会場では、仮想化やソーシャルネットワークといったトレンドに対しどんなセキュリティ対策が求められるかが話題に

Security&Trust」フォーラム 2009/5/19
「対策疲れ」に対するセキュリティ業界の解は?
RSA Conference 2009 レポート(1)
 4月20日から24日にかけて米サンフランシスコで開始された「RSA Conference 2009」のキーワードは「統合」や「連携」だ

Security&Trust」フォーラム 2009/5/15
技術と法律で迷惑メールを包囲せよ
メールソリューションセミナー2009講演レポート
 迷惑メール根絶のためにできることとは? 攻撃側の思考と法整備、それぞれの第一人者はどう考えているのだろうか

Security&Trust」フォーラム 2009/4/3
聞け! 日々“3億件”のログと戦う男の声を
ログセミナー特別講演レポート
 セキュリティを強化するため、ログをどう活用すべきか。各所から報告される大量のログから、本当の問題を見つけ出す男の話をレポートする

Security&Trust」フォーラム 2009/3/25
生粋のハッカーに学ぶ、メールの攻め方守り方
@ITセミナー、再び大阪へ!
 メールの攻め方を知れば、おのずと守り方も見えてくる。「セキュリティ対策のある視点」の筆者が大阪で語った“メールの攻めどころ”とは?

Security&Trust」フォーラム 2009/1/5
PCI DSSはなぜ登場したのか
カード国際ブランド、マスターカードが語る
 カードブランド5社が共同で策定したPCI DSSを、カードブランドの立場で語る――@IT編集部主催イベントの基調講演をレポートしよう

Security&Trust」フォーラム 2008/12/26
あの人、あの技術に会いたい、ただそのために
私はこう見た、Black Hat Japan 2008(後編)
 イベント、それは出会い系!? Black Hatをさまざまなエンジニアの視点でレポートするシリーズ、最後は2日目の様子とTipsを

Security&Trust」フォーラム 2008/12/8
日本から世界へ広がれ、セキュリティエンジニアの輪
私はこう見た、Black Hat Japan 2008(前編)
 セキュリティエンジニアはBlack Hatをこう見た。セキュリティを考えるイベントに参加し、考えたことを2回に分けてレポートします

Security&Trust」フォーラム 2008/12/4
DEFCONの向こうにある安全な世界を目指して
脅威に打ち勝つために情報武装せよ
 ハッカーが集い、ハッカーが学ぶ一大イベント、DEFCON。そこから見える現状と未来をセキュリティアナリストの視点で解説します

Security&Trust」フォーラム 2008/9/29
チーム「dumbtech」、Sexy Hacking Girlsへの挑戦
DEFCON16、参戦しました!
 精鋭によるハッキング合戦CTF、ネットワーク攻撃プロフェッショナルの資格NOP、そして目指すはセクシーお姉さん?! 祭りはまだまだ続きます

Security&Trust」フォーラム 2008/9/12
突撃! ハッカーの祭典「DEFCON16」in ラスベガス
セキュリティアナリストが見たギークの“お祭り”
 攻撃&防御合戦にピッキングコンテスト……。とってもフリーダムなセキュリティカンファレンス、DEFCONは面白マジメでした

Security&Trust」フォーラム 2008/9/10
地道に“セキュア”を積み重ねることの重要性
Interop Tokyo 2008レポート
 ネットワークとセキュリティは表裏一体。「Security@Interop」のコーナーを中心に、安全を確保するためにできることの最前線をレポートします

Security&Trust」フォーラム 2008/6/24
セキュリティ分野にも「仮想化」「SaaS」「国際基準」
第5回情報セキュリティEXPOレポート
 話題のキーワードはセキュリティの世界にどう関係する? 情報セキュリティの今後を、イベントで見つけた製品から探ります

Security&Trust」フォーラム 2008/5/26
「法律」はメールの秩序を取り戻す鍵となるか
メールセキュリティソリューションセミナーレポート
 「分かっちゃいるけど」「ついうっかり」がメールクライシスの発端だった? そして法的リスクの面からもメールをチェックしよう

Security&Trust」フォーラム 2008/3/14
「精神論」に頼らないメールセキュリティ対策とは
メールセキュリティソリューションセミナーレポート
 危険なURLを正確に判断する能力を前提とした「精神論」――失敗しないように頑張れ、というのは対策ではないのです

Security&Trust」フォーラム 2007/12/12
不正を見破り、紙・メール・ファイル状況変化“なし”
Security Solution 2007レポート
 「守る」という意味が日々変化するセキュリティの世界。あらゆるデータの不正を許さない環境を実現するために、製品も日々進化します

Security&Trust」フォーラム 2007/11/6
物理セキュリティは「統合」と「選択」の段階へ
第2回オフィスセキュリティEXPOレポート
 ITシステムのセキュリティ対策と連動し、執務室や机、キャビネットも含め統合的に企業の情報を保護するソリューションを紹介します

Security&Trust」フォーラム 2007/7/26
あらゆる機器にセキュリティを組み込め!
第4回情報セキュリティEXPOレポート
 ジュラルミンケースからFAX、ケータイまで。あらゆる機器がセキュリティに関係する今、イベントで見つけた興味深い技術をレポートしよう

Security&Trust」フォーラム 2007/6/6
もう無関係ではいられない「物理的セキュリティ」
SECURITY SHOW 2007レポート
 オフィスのセキュリティ、十分に確保できていますか? 入退場管理や紙媒体のセキュリティを「SECURITY SHOW 2007」で考えてみよう

Security&Trust」フォーラム 2007/3/29
内部統制とエンジニアをつなぐのはログだ!
ログ活用セミナーレポート
 エンジニアは内部統制にどうかかわるべきか? その答えを探るために開催された「内部統制のためのログ活用セミナー」をレポートする

Security&Trust」フォーラム 2007/3/2

 書評

セキュリティポリシー策定に役立つ4冊!
やみくもにセキュリティ対策をするのでは穴だらけのシステムになってしまう。対策の前に、セキュリティポリシー関連書籍で対策手順を学ぼう!

Last Update 2002/6/28
不正アクセスに備え、自己スキルを高める5冊!
いまや不正アクセスの対処など、セキュリティに関する知識は管理者はもちろんプログラマやSEにとっても必要なスキル。現状と具体的な対処法を知るための書籍を紹介しよう

Last Update 2002/10/30
セキュアなWindows環境を保つには!
Windowsでは比較的簡単にシステム構築できるが、その分セキュリティがおろそかになりがち。そんなWindows管理者の手助けとなるセキュリティ対策書籍を紹介しよう

Last Update 2003/3/14
PKIの導入・運用前にオススメの5冊!
暗号・電子署名・ユーザー認証などを兼ね備えたPKIこそセキュリティ対策の柱となる技術である。今後PKIを導入・運用する場合のガイドとなる書籍を紹介しよう

Last Update 2003/4/29

 読者調査

ネットワークセキュリティ対策の現状と今後
Security&Trust読者調査結果(1)
セキュリティ製品の導入状況や読者のセキュリティへの関心事などについて、その主要な結果を紹介
Last Update 2001/7/24
ウイルス感染の実態と対策を追う
Security&Trust読者調査結果(2)
実際にどのくらいの人がウイルスの影響を受け、今後どういう対策を取ろうとしているのだろうか?
Last Update 2002/1/5
Webアプリケーションに対するセキュリティ意識は?
Security&Trust読者調査結果(3) ビジネスの手段としてWebサイトが増加する一方、セキュリティ上のリスクも存在する。サイト構築などに関わる技術者の認識や対応は?
Last Update 2002/4/24
情報セキュリティポリシーの策定状況は?
Security&Trust読者調査結果(4) インシデントが急増し、ポリシー策定の必要性が唱えられている。多種のガイドラインが整備されてきたが実際の浸透度は?

Last Update 2002/8/23
どうなる? 2003年のネットワーク・セキュリティ対策
Security&Trust読者調査結果(5)
Webのビジネス活用が進む現在、企業は新たな脅威への対応を迫られている。今後はどのようなツールの導入が進むのだろうか?
Last Update 2002/12/20
情報システムのセキュリティ管理体制は?
Security&Trust読者調査結果(6)
 セキュリティ管理の重要性が語られる一方で、掛けているリソースが少ないとの声もある。今日どの程度整備が進んでいるのだろうか?
Security&Trust」フォーラム 2003/5/14
ファイアウォール/VPNの最新導入状況とその課題?
Security&Trust読者調査結果(7) 外部接続時の代表的なセキュリティ対策として、ファイアウォールやVPNが挙げられるが、企業ではどのように活用しているのだろうか?
Security&Trust」フォーラム 2003/8/27
内部セキュリティ対策の意識と実態は?
Security&Trust読者調査結果(8) 
従来のセキュリティ対策である外部からの攻撃に対し、社内からの脅威が注目されている。では内部セキュリティの実施状況をレポートしよう

Security&Trust」フォーラム 2004/1/9
2004年度、喫緊のセキュリティ課題は?
Security&Trust読者調査(9) 
セキュリティ対策の3本柱は、ツールの導入、ポリシーの運用、従業員のリテラシー向上だ。セキュリティ管理者の思惑をレポートする

Security&Trust」フォーラム 2004/6/12

 @ITハイブックス連携

マイクロソフト認定技術資格試験に挑戦
@ITハイブックス ラーニングシリーズ連携 
Windows Server 2003環境管理と保守能力を評価する、MCP/MCSE必須科目70-293対応問題集よりセキュリティ関連項目を抜粋

入力フィルタと出力フィルタ
インターネット接続ファイアウォール
IPセキュリティポリシー
トンネリングプロトコル
VPNセッションの管理

Last Update 2004/3/3
Windowsサーバーセキュリティ徹底解説
@ITハイブックス連携 
セキュリティの確保を目標に、セキュアOSとして世に送り出されたWindows Server 2003。7つのレイヤすべてを保護するセキュリティの手法を伝授
5種類の認証システムを使いこなせ

暗号化ファイルシステムを使いこなせ
パーソナルファイアウォールを使いこなせ

Last Update 2004/7/14


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間