誠に勝手ながら、2004年12月以降の記事一覧は「全記事一覧」に移行させて頂きます。宜しくお願いいたします。(編集局)
テーマ別 全記事一覧
|
最終更新日:2004年12月28日
|
| 基礎解説 |
 |
いまさらフィッシング詐欺にだまされないために 基礎解説:フィッシング詐欺 偽サイトに誘導され、パスワードやクレジットカード情報などを盗まれてしまうフィッシング詐欺。日本でも流行の兆しが見える |
|
 |
安心が情報漏えいの穴になる不思議 HTTP暗号化通信のパラドックス SSLによる暗号化通信(HTTPS)はセキュリティを向上させるはずだ。しかし、それは情報漏えい事故を引き起こす諸刃の剣となりうる!? |
|
 |
暗号モジュール評価の基礎知識 暗号を使った製品は数多く利用されている。暗号そのものの強度だけを判断基準にするのは危険だ。暗号の実装方法にも目を向けよう 第1回 暗号モジュールの安全性について考える |
|
 |
注目の情報管理方式「しきい値秘密分散法」 基礎技術解説:秘密分散法 機密情報を丸ごと盗まれたらどうしようもない。秘密分散を使えば、分割情報の一部を失っても安全にデータを復元することができる |
|
 |
初級システム管理者のためのセキュリティ入門 新にわか管理者奮闘記 数々の難問をくぐり抜け、そろそろ「にわか」も卒業かな、と思っていた中村君。そうは問屋が卸さなかった! 第1回 まさかわが社の顧客情報が漏えいするとは! 第2回 情報が漏れた! まず何をすればいいのか? |
|
 |
クライアントPCの危機対策 クライアントPCのセキュリティ対策は家庭だけの問題ではない。企業におけるクライアントセキュリティの重要性を紹介する 第1回 企業におけるクライアントPC危機対策 第2回 Windows XP SP2の導入でセキュリティを向上 第3回 Windows XP SP2でIEはどう変わった? |
|
 |
いまさらというなかれ! 管理者のためのウイルス対策の基礎 管理者にとってウイルス対策はセキュリティの基本。だが不確かな知識では効果的な対策にならない。いま一度基本に立ち返ろう 第1回 コンピュータ・ウイルスによる被害とその影響 第2回 企業が受けるウイルスによる被害とは 第3回 ステルス技術を使うウイルスとアンチウイルスの攻防 第4回 防御以外に企業に必要なウイルス対策機能 最終回 ウイルス対策のキモは事前準備にあり |
|
 |
セキュリティ基礎技術をわずか5分ですっかり解決 5分で絶対に分かるシリーズ 5分で絶対に分かるPKI 5分で絶対に分かるファイアウォール 5分で絶対に分かる侵入検知システム(IDS) 5分で絶対に分かるVPN |
|
 |
管理者のためのセキュリティ推進室 JPCERT/CCが、コンピュータセキュリティ・インシデント(不正アクセス)やセキュリティ技術に関する情報を紹介 第1回 インシデントレスポンスとは? 第2回 インシデントを的確に発見する方法 第3回 システムの改ざんを検知する方法 第4回 インシデント発見時の対応手順 第5回 インシデント発見後の関係サイトへの連絡 最終回 インシデント発見前の注意点 |
|
 |
セキュリティ製品の基礎知識と導入手引き 情報セキュリティ運用の基礎知識 システムやソフトウェアの脆弱性を挙げ、その解決のための技術や製品を紹介 第1回 情報セキュリティの基盤技術としての暗号 第2回 社内ネットワークにおけるクライアントの対策 第3回 Web構築・運営における脆弱性とその解決法 最終回 経営層にセキュリティの重要性を納得させる |
|
 |
効果的な情報セキュリティポリシーへの最短距離 実践!情報セキュリティポリシー運用 セキュリティを行うに当たって不可欠なのが情報セキュリティポリシーだ。本連載ではポリシーの構成、策定手順など実際の策定時に役立つ注意点やポイントを紹介していく 第1回 情報セキュリティポリシー入門 第2回 策定期間短縮のススメ 第3回 サンプルを用いたポリシーの策定方法 第4回 セキュリティポリシー運用のサイクル 第5回 ポリシー運用サイクルに適した形態とは 最終回 セキュリティポリシー運用の実際とコツ |
|
 |
ファイアウォールの正しい使い方を教えます ファイアウォール運用の基礎 Webサイト不正改ざんのニュースが多数報道されるなか、企業ネットワークを守るファイアウォールに注目が集まっている。本記事では、ファイアウォールの仕組みや正しい運用方法について解説していく 第1回 ファイアウォールの基礎知識 第2回 サーバの要塞化とTCP/IPの基礎知識 第3回 フリーソフトを使ったファイアウォール構築 第4回 構築したファイアウォールの動作テスト 第5回 FireWall-1によるファイアウォール構築法 最終回 ファイアウォール運用のコツ |
|
 |
インターネット時代のセキュリティインフラを理解しよう PKI基礎講座 インターネットが普及し、商取引のインフラとしても使用されるようになった今、いかにセキュリティを保つかが重要な課題である。本連載では、このセキュリティの基礎インフラとなる「PKI」の仕組みや最新トピックについて解説していこう 第1回 PKIの基礎を理解しよう 第2回 電子証明書と認証局 第3回 身近なPKI〜SSLを理解する 第4回 ECを加速する電子署名法 第5回 証明書の有効性を検証する仕組み 第6回 PKIの適用事例を検証する 第7回 PKIの適用事例を検証する(2) 第8回 PKIの適用事例を検証する(3) 最終回 キーワードで学ぶ電子政府 |
|
 |
ちょっとためになるセキュリティテーマを紹介 セキュリティのつぼ セキュリティ技術や周辺テクノロジといった技術論だけではなく、セキュリティ導入を検討するために知っておくとちょっとためになるテーマを順次掲載する。技術者のみならず、コンサルタント、ユーザーの方々への参考としてほしい 第1回 セキュリティホールはなぜできる? 第2回 隣人をも疑うべきか? ソーシャルエンジニアリング 第3回 防御困難なメールアドレス詐称への対策 最終回 攻撃を受けた場合の対策、インシデント対策とは |
|
 |
初級システム管理者のためのセキュリティ入門 にわか管理者奮闘記 初級システム管理者が行うべきセキュリティ対策とはどんなことがあるかということを示し、管理者が行わなければならない対策やそのための情報収集の方法などについて解説 第1回 それはある日突然に…… 第2回 社内ネットワークの恐るべき実態 第3回 突然、メールが届かなくなってしまった 第4回 反撃開始、まずは全社的ポリシーの導入から 第5回 ポリシーを作っただけでは終わりではない 最終回 ネットワークの私的利用をやめさせよう 補遺編1 ネットワーク管理のあるべき姿 補遺編2 本来、セキュリティ対策はどうあるべきだったか |
|
ページの先頭へ| トレンド解説 |
 |
Security&Trustトレンド解説 セキュリティを取り巻く最新のトレンドを詳細に解説 第1回 Sender IDはスパム対策の切り札となるか!? 第2回 対策の進むスパイウェアとアドウェア 第3回 フィッシング詐欺対策として企業が負うべき責任 |
|
| セキュリティポリシー |
 |
BS、ISOなどの標準化動向と現在の管理制度 開発者が押さえておくべきセキュリティ標準規格動向 e-Japan計画が進み標準規格の未導入の問題も出てきた。BS、ISO/IEC、JISなどの標準化動向と現在の管理制度と今後の開発者の取り組み方などを紹介 |
|
 |
効果的な管理を実現するセキュリティガイドラインとは 情報セキュリティマネジメントシステム基礎講座 いま企業情報の安全な維持・管理が重要になっている。ISMSの確立を、国際的にセキュリティポリシー策定のガイドラインとして最も注目されているBS 7799を中心に、ISO/IEC 17799、JIS X5080、ISMS、GMITSなどを解説 第1回 ISMSの基盤となるISO/IEC17799とJISX5080 第2回 認証取得のためのISMSガイド 第3回 企業のセキュリティリスクを査定するガイドGMITS 第4回 ISMS構築で重要なリスクアセスメントの手法 第5回 評価されたリスクへの管理策の選択 第6回 セキュリティ対策のキモである「監査」の重要性 第7回 期待が高まる「情報セキュリティ監査制度」 第8回 セキュリティ監査人に必須の実施・報告ガイドライン 第9回 情報セキュリティ監査の実施手順 最終回 情報セキュリティ監査に必須の報告基準ガイドライン |
|
|
効果的な情報セキュリティポリシーへの最短距離 実践!情報セキュリティポリシー運用 セキュリティを行うに当たって不可欠なのが情報セキュリティポリシーだ。本連載ではポリシーの構成、策定手順など実際の策定時に役立つ注意点やポイントを紹介していく 第1回 情報セキュリティポリシー入門 第2回 策定期間短縮のススメ 第3回 サンプルを用いたポリシーの策定方法 第4回 セキュリティポリシー運用のサイクル 第5回 ポリシー運用サイクルに適した形態とは 最終回 セキュリティポリシー運用の実際とコツ |
|
 |
事例から学ぶ認証取得のポイント BS7799・ISMS認証取得の実態を聞く BS7799やISMS認証を取得した事業者に、当事者だからこそ語れる苦労やテクニックなどを取材し、レポートする 第1回 新日鉄ソリューションズ編 第2回 ラック編 第3回 エクサ編 第4回 NTTデータ編 第5回 富士通エフ・アイ・ピー編 第6回 キヤノンソフトウェア編 第7回 凸版印刷編 第8回 IIJテクノロジー編 第9回 グローバルフォーカス編 |
|
 |
ポリシー策定の考え方を再認識 スローポリシーのススメ 組織の実態を反映しないポリシーを策定してはいないだろうか。時間と手間をかけた現実解としてのスローポリシーをいま提唱する 第1回 情報セキュリティポリシーの現状 第2回 現状の情報セキュリティポリシーの問題点 第3回 日本型企業にポリシーの承認と運用を実践させる |
|
 |
なぜセキュリティポリシーが必要なのか? IP Network Meeting Security Trackレポート 不正アクセスやウイルス感染はいまだに収束していない。その解決策は「BS7799」「ISMS認証」が有効だという 効果的な情報セキュリティマネジメントへのアプローチ |
|
 |
企業情報を守るための基本 ISMS構築・運用ステップ・バイ・ステップ ISMSの構築から運用、見直しまでのプロセスを、一歩一歩順を追って解説。問題点とその解決過程を参考としていただきたい 第1回 ISMS認証取得セキュリティ委員会の役割 第2回 情報資産の洗い出しとリスクアセスメント 第3回 リスクマネジメントとその管理策 第4回 ISMSは生かし続けてこそ意味がある 最終回 ISMS認証取得とその効果 |
|
ページの先頭へ| PKI(公開鍵暗号基盤) |
|
5分で絶対に分かるPKI PKIの分かりにくさは、主に複数の技術の組み合わであることと、インフラであるがゆえのつかみどころのなさに起因する。この記事は、わずか5分でその疑問をすっかり解決することに挑戦した |
|
 |
PKIでなにが守れるのか? その仕組み・導入・運用までを解説 近年のインターネットの普及で、ネット上のセキュリティに注目が集まっている。そのセキュリティインフラの中核となるPKIに着目し、その仕組みから、 実際の導入・運用について解説する |
|
 |
PKI導入の手引き PKIについて、ひととおり理解できたら、次は実際の導入だ。検討〜設計〜導入〜運用まで、PKI導入のためのノウハウを実際の例をもとに解説していこう。今回公開するPart.1の「PKIを立ち上げてみよう!」では、検討から運用開始までを紹介する |
|
|
インターネット時代のセキュリティインフラを理解しよう PKI基礎講座 インターネットが普及し、商取引のインフラとしても使用されるようになった今、いかにセキュリティを保つかが重要な課題である。本連載では、このセキュリティの基礎インフラとなる「PKI」の仕組みや最新トピックについて解説していこう 第1回 PKIの基礎を理解しよう 第2回 電子証明書と認証局 第3回 身近なPKI〜SSLを理解する 第4回 ECを加速する電子署名法 第5回 証明書の有効性を検証する仕組み 第6回 PKIの適用事例を検証する 第7回 PKIの適用事例を検証する(2) 第8回 PKIの適用事例を検証する(3) 最終回 キーワードで学ぶ電子政府 |
|
 |
電子署名の導入の仕方を教えます 電子署名導入指南 PKIと電子証明書いう言葉は知っているが、関連性は?実際の業務においての利用の仕方や導入を検討するうえでの予備知識を解説する 第1回 電子署名で何が変わる? 第2回 導入プランを立てよう! 第3回 電子署名導入プラン サーバ編その1 第4回 電子署名導入プラン サーバ編その2 最終回 電子署名導入プラン クライアント編 |
|
 |
PKIとPMIを融合する新しいXMLベースのセキュリティメカニズム Webサービスのセキュリティ 電子商取引や電子政府の必須の技術である、WebサービスでのXMLベースのセキュリティ標準の枠組みを紹介 第1回 Webサービスのセキュリティ概要 第2回 XMLデジタル署名とXML暗号 第3回 XML鍵管理サービスとXMLプロトコル 第4回 強力なSSOを実現するXML認証・認可サービスSAML 第5回 PKIとPMIを融合させる次世代言語XACML 最終回 XACMLのアクセス制御ルールとその仕様 |
|
 |
GPKIで実現する電子政府構想 2001年4月の電子署名法施行を受け、GPKI(政府認証基盤)の構築による電子政府構想が動き出しつつある。これまで紙や印鑑を必要とした各種申請や契約書などが、電子データのやりとりで完結できるようになるのだ |
|
 |
電子政府の現状と今後 前編 電子政府は、どこまで進んだか? 後編 ビジネスチャンスとしての電子政府の捕らえ方 電子政府、電子自治体は着実に進んでおり、いくつかの実証実験も行われている。ビジネスチャンスとしての電子政府を捕らえよう |
|
 |
電子申請の実証実験とその対応 電子申請の実証実験が始まったが、一部のシステムでセキュリティ問題があった。その対策を検証し、技術的な面から解説 |
|
 |
バイオメトリクス技術の特徴とPKI バイオメトリクスは個人認証に特化した手法だ。PKIなどさまざまなセキュリティソリューションとの組み合わせることで、セキュリティ強度と利便性を向上させることができる |
|
 |
Acrobat
5.0とPKIとの連携を検証する Acrobat 5.0に搭載された目玉機能の1つに、電子証明書を使用したセキュリティ機能がある。EntrustやVeriSignとの連携から、汎用アプリのPKI対応の現状を検証してみる |
|
 |
PKI対応アプリケーションでXML文書へ電子署名 JetFormの電子帳票ソフト「FormFlow99」は、生成したXMLデータに電子署名を施すことが可能。改ざん/成りすましの検知、さらにベンダごとに異なる証明書の相互運用を検証 |
|
 |
PKI運用のアウトソーシングの流れ アウトソーシングで提供されるPKIのマネージドサービスとはいったいどのようなものであるのか? そのメリットを解説しよう |
|
 |
インターネットセキュリティの切り札
PKI再入門 電子政府などが本格化し、PKIの需要はますます高まってきている。ここではPKIを考えるうえで必要となる「個人認証」などの概念をいま一度整理する 第1回 PKIを考えるうえでの基礎となる個人認証 第2回 “信頼”こそPKIにおける電子認証の大前提 第3回 信頼関係構築に必須の「信頼モデル」 第4回 信頼構築で最も重要な「公開鍵の信頼」 最終回 公開鍵との結び付きを証明する第三者認証局 |
|
ページの先頭へ| ファイアウォール |
 |
5分で絶対に分かるファイアウォール ファイアウォールとは、「信頼できないネットワーク」から「信頼できるネットワーク」を守る最初の砦。外部攻撃から守り、セキュリティを大幅に高める。わずか5分でその概要を解説 |
|
|
ファイアウォールの正しい使い方を教えます ファイアウォール運用の基礎 Webサイト不正改ざんのニュースが多数報道されるなか、企業ネットワークを守るファイアウォールに注目が集まっている。本記事では、ファイアウォールの仕組みや正しい運用方法について解説していく 第1回 ファイアウォールの基礎知識 第2回 サーバの要塞化とTCP/IPの基礎知識 第3回 フリーソフトを使ったファイアウォール構築 第4回 構築したファイアウォールの動作テスト 第5回 FireWall-1によるファイアウォール構築法 最終回 ファイアウォール運用のコツ |
|
 |
ファイアウォールの機能の現状と将来 前編 ポイントは、目的に応じたファイアウォールの選択 後編 ネットビジネスで求められるファイアウォールの機能 ファイアウォール製品を選定するうえでどのようなアーキテクチャを持つ製品が適しているかなど、選択基準のポイントを紹介する |
|
 |
ファイアウォールのリモート・マネジメントの機能と運用 ファイアウォール導入後、管理者として最も重要で負荷がかかるのが運用管理。今回は遠隔地へ導入したファイアウォールにフォーカスし、その問題点を解説する |
|
ページの先頭へ| IDS(侵入検知システム) |
 |
5分で絶対に分かる侵入検知システム(IDS) 侵入検知システム、すなわちIDSは、コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムのことである。わずか5分でその概要を解説 |
|
 |
不正侵入対策最前線 前編 不正侵入の現状とトータルセキュリティのススメ 後編 侵入検知システムでのトータルセキュリティの構築 不正侵入対策にはどのような限界があるのだろうか? それは解決可能なのか? IDS導入の前提として、現状の再認識が必要だ |
|
 |
続
不正侵入対策最前線 代表的なネットワーク型IDSについて、その問題点を最近のソリューションがどのようなアプローチで解決しようとしているのか、最新動向を解説 |
|
 |
Snortでつくる不正侵入検知システム
不正アクセスに対抗する手段はいくつか存在する。 IDS(侵入検知システム)を導入することで 緊急事態が発生しても速やかに対処することが可能だ 第1回 不正侵入検知システムを知る 第2回 Snortのインストールと初期設定 第3回 ACIDのインストールと設定 第4回 誤検知を減らすためのSnortチューニング |
|
| VPN(Virtual Private Network) |
 |
5分で絶対に分かるVPN インターネットで安全に社外から社内へアクセスしたい、 アプリケーションを意識しないで暗号化したいなどに答える最も有効なソリューション。わずか5分でその概要を解説 |
|
 |
インターネットVPNの導入メリット 前編 リモートアクセスのセキュリティ対策 後編 VPNゲートウェイを導入する際の検討ポイント RAS接続とインターネットVPN、IP-VPNサービスをレビューし、IPsec技術が何を実現できるのか、その適用の可能性を考える |
|
 |
インターネットVPNの接続環境とその機能 前編 組織間を接続する「サイト間接続型VPN」とは? 後編 リモートアクセス型VPNの構築ポイント インターネットVPNを使用して、組織間を接続するサイト間接続型VPN構成で、管理者が認識すべき特徴を押さえる |
|
 |
SSL-VPNの導入メリット 前編 なぜSSL-VPNはリモートアクセスVPNに有効か? 後編 “SSL-VPN or IPSecVPN ”どちらが最適? SSL-VPNがなぜリモートアクセスVPNの有効なソリューションなのか。その機能の概要および利用形態について解説する |
|
 |
VPNの実力を知る 前編 異機種間のIPSecVPN構築の注意点 後編 知っておきたいリモートアクセス型VPNの運用のポイントは インターネットVPNが広まり、本社と支店間に異なるVPN装置を使用したサイト接続型のVPN構築が多く導入されている。ではその接続性は |
|
| Webサイトセキュリティ |
 |
SSLでセキュアなECサイト構築 直接人が顔を合わせることなく行われるECでは、「盗聴」「なりすまし」といったトラブルがつきものだ。本記事では、Webサーバ〜ブラウザでの安全な通信を実現するSSLを利用したセキュアなECサイトの構築ノウハウを紹介しよう |
|
 |
S/MIMEでセキュアな電子メール環境をつくる! いまや電子メールは生活に欠かせないものだが、常に盗聴等の危険と隣り合わせ。暗号化と電子署名による安全な電子メール環境を実現する、S/MIMEの仕組みを解説しよう |
|
 |
情報資産を守れ! 不正侵入の手口と対策 サーバ管理者に攻撃者の不正侵入の手口を知ってもらうことで、よりセキュアなサーバの運用管理を行うための解決法を紹介する 第1回 攻撃者側から見た侵入前の事前調査(下見) 第2回 攻撃者に有用な情報を与えない対策法 第3回 侵入者の攻撃手法とその対策 第4回 攻撃者が侵入後に行うバックドアの設置例 第5回 バックドアの検出と対処 最終回 アクセスログの改ざんと検出方法 |
|
 |
事例から学ぶWebサイトの脆弱点とその対応 Webサイト運営者のセキュリティ確保の心得 過去の事例などを元に、Webサイト運営者が気を付けるべき脆弱点を紹介。本連載がセキュリティ確保のヒントになる 第1回 Webサイトセキュリティ侵害事件から見た脆弱点 第2回 Webアプリケーションサーバに存在するさまざまな脆弱点 第3回 DBサーバの構築、運用から発生する脆弱点と対策 |
|
 |
クロスサイトスクリプティング対策の基本 前編 クロスサイトスクリプティング脆弱性とは? 中編 XSS脆弱性により起こる被害とその対策 後編 XSSを防ぐために不可欠なサニタイジング(無害化) Webアプリケーションに存在するセキュリティホールが問題となっており、その代表格「XSS」の仕組みを解説しよう |
|
 |
ハニーポットを利用したネットワークの危機管理 重要なサーバへの攻撃の回避、不正アクセス兆候の早期発見などのために、侵入者・攻撃者をおびき寄せるおとりサーバの仕組みを紹介する |
|
 |
セキュアなWebサイトを運営するための
Webアプリケーションに潜むセキュリティホール Webアプリケーションに潜むセキュリティホールが注目されている。その危険を認識し、セキュアな開発を目指そう 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 ロジック系の検査 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する |
|
| バイオメトリクス |
 |
バイオメトリクスカタログ 前編 指紋認証編 後編 虹彩、網膜、声紋などその他認証編 高信頼性と利便性を実現するセキュリティシステムのキーポイントとなるバイオメトリクス機器。空港警備などのセキュリティへの応用が急速に進められている要チェック技術だ |
|
|
バイオメトリクス技術の特徴とPKI バイオメトリクスは個人認証に特化した手法だ。PKIなどさまざまなセキュリティソリューションとの組み合わせることで、セキュリティ強度と利便性を向上させることができる |
|
 |
導入前に知っておきたいバイオメトリクス認証 前編 バイオメトリクス認証のメリットとデメリット 後編 導入前に検討すべき項目とは 個人認証において紛失・盗難の心配がない高信頼性と利便性を実現するバイオメトリクス認証の概要を紹介する |
|
| 運用管理 |
|
管理者のためのセキュリティ推進室 JPCERT/CCが、コンピュータセキュリティ・インシデント(不正アクセス)やセキュリティ技術に関する情報を紹介 第1回 インシデントレスポンスとは? 第2回 インシデントを的確に発見する方法 第3回 システムの改ざんを検知する方法 第4回 インシデント発見時の対応手順 第5回 インシデント発見後の関係サイトへの連絡 最終回 インシデント発見前の注意点 |
|
 |
必見!稼働中のサーバをセキュアにする方法 止められないUNIXサーバのセキュリティ対策(「止められない基幹業務サーバの管理対策」改め) 悩ましいのは停止できないサーバの管理。稼働サービスの停止を最小限に抑えた、セキュリティ向上の設定やツールを紹介 第1回 不要なサービスの停止こそ管理の第一歩 第2回 ソフトウェアの現状確認とアップグレード 第3回 サービスをセキュアにするための利用制限 第4回 スーパーユーザーの特権を制限する 第5回 管理者権限を制限するためのsuとsudoの基本 第6回 特権ユーザーの安全性向上を行うsudoの設定例 第7回 UNIXサーバの運用管理で欠かせないログ管理 第8回 syslogによるログの一元管理 第9回 安全性の高いログ・サーバへの乗り換えのススメ 第10回 ログ管理のセキュリティ強化を実現する方法を知ろう 第11回 Tripwireでファイルの改ざんを検出せよ 最終回 Tripwireのポリシーを最適化する |
|
 |
rootkitを検出するために インシデントレスポンスはじめの一歩 攻撃者の侵入で仕掛けられることの多いバックドアやトロイの木馬、rootkitについて解説。また、rootkitのしくみや実践的なオペレーションワークを詳細に解説する。「インシデントレスポンス」の参考としていただきたい 第1回 バックドアとトロイの木馬とrootkit 第2回 侵入者が仕掛ける「rootkit」の特徴を知る 第3回 侵入者の不利な情報を隠すLKM rootkitの仕組み 第4回 侵入者が仕掛けるLKM rootkitの実情 第5回 セキュリティ対策の基本であるIRの位置付け 第6回 証拠保全のために正規のバックドアを用意する 第7回 不正アクセス情報の入手方法 |
|
|
セキュアなWebサイトを運営するための
Webアプリケーションに潜むセキュリティホール Webアプリケーションに潜むセキュリティホールが注目されている。その危険を認識し、セキュアな開発を目指そう 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 ロジック系の検査 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する |
|
|
初級システム管理者のためのセキュリティ入門 にわか管理者奮闘記 初級システム管理者が行うべきセキュリティ対策とはどんなことがあるかということを示し、管理者が行わなければならない対策やそのための情報収集の方法などについて解説 第1回 それはある日突然に…… 第2回 社内ネットワークの恐るべき実態 第3回 突然、メールが届かなくなってしまった 第4回 反撃開始、まずは全社的ポリシーの導入から 第5回 ポリシーを作っただけでは終わりではない 最終回 ネットワークの私的利用をやめさせよう 補遺編1 ネットワーク管理のあるべき姿 補遺編2 本来、セキュリティ対策はどうあるべきだったか |
|
 |
企業に求められるセキュリティ対策「SCM」とは何か セキュアコンテンツマネジメント ファイアウォールとクライアントPCのウイルス対策は一般的になった。では、その間を流れるコンテンツに対策は不要なのだろうか? |
|
| そのほか |
 |
個人情報保護法に備える4つの課題 情報セキュリティコンサルタントの提言 個人情報保護法の全面施行まであと4カ月。未だに対策を検討中、もしくは未実施という企業も多い。なぜなのか? |
|
 |
情報漏えいに備えるセキュリティ投資の目安 情報セキュリティ投資講座 個人情報保護法の全面施行に向けて情報漏えい対策の整備が急務だ。どのような危険に対していくらの投資を行えばいいのだろうか? |
|
 |
個人情報漏えいが発生したらどうすべきか? RSA Conference 2004 JAPAN レポート 個人情報保護法全面施行まで1年を切った。企業が個人情報を漏えいした場合、どのように対処すべきか |
|
 |
つぎはぎシステムを防ぐセキュリティアーキテクチャ ITアーキテクトによるセキュリティ設計 IT設計する際、セキュリティのことをアーキテクチャとして考慮しているだろうか。取って付けたものではだめだ |
|
 |
XML & Web Servicesフォーラム連動企画 Webサービス・セキュリティ構築の実践(前編) Webサービス・セキュリティ構築の実践(後編) 本格的な実用Webサービス・システム構築には万全なセキュリティ対策が不可欠。前編はSOAPに起因する諸問題を解説する |
|
 |
サイバー犯罪条約と国内法整備の課題 データの押収や通信傍受など既存のネットワーク関連法規と比べ強引なサイバー犯罪条約。同条約の概略や適用範囲、国内法との兼ね合いなどを解説 |
|
 |
データベースセキュリティの基礎のキソ 企業で機密性の高い情報を管理しているデータベースシステム。 しかしセキュリティに関して意外と管理がされていない場合も多い。 本連載でデータベースのセキュリティ対策の基本を学んでほしい 第1回 データベースセキュリティの基本的な考え方 第2回 データベースの設置場所および接続時の勘所 第3回 OracleDB導入時のセキュリティ対策の基本 第4回 OracleDBで活用したい「データの保護」と「暗号化」 第5回 内部犯行を抑制するデータベース監査 最終回 Oracleサーバに対する通信経路の暗号化 |
|
ページの先頭へ| 事例 |
|
事例から学ぶ認証取得のポイント BS7799・ISMS認証取得の実態を聞く BS7799やISMS認証を取得した事業者に、当事者だからこそ語れる苦労やテクニックなどを取材し、レポートする 第1回 新日鉄ソリューションズ編 第2回 ラック編 第3回 エクサ編 第4回 NTTデータ編 第5回 富士通エフ・アイ・ピー編 第6回 キヤノンソフトウェア編 第7回 凸版印刷編 第8回 IIJテクノロジー編 第9回 グローバルフォーカス編 |
|
| コラム |
 |
セキュリティ動向チェック Security&Trustウォッチ セキュリティ技術や周辺テクノロジに詳しい筆者陣による、セキュリティ関連業界動向を順次掲載 第1回 セキュリティ対策よりも認定取得が目的に? 第2回 費用対効果を認識したといえるISMS認証取得 第3回 無線LANは危なくて使えない? 第4回 強度と使いやすさは二者択一ではない 第5回 セキュリティ製品導入の「二極分化」 第6回 求む、エンドユーザーにパッチ適用を徹底させる法 第7回 「相乗り」ICカードというけれど…… 第8回 あらゆる情報を、うのみにするな?! 第9回 2003年、セキュリティ業界はこうなる? 第10回 本当のところ、CRYPTRECは活用されているのか? 第11回 セキュリティ技術者を「憧れの職業」にするには? 第12回 責められるべきはMSだけだろうか? 第13回 痛い目に遭って考えた、ビジネス継続性の重要さ 第14回 猛威を振るうSARSウイルスに思ったこと 第15回 あらゆる人にセキュリティ教育を 第16回 オレオレ詐欺に学ぶソーシャル対策 第17回 人はミスをするものと思え、故に事前対策が重要 第18回 企業でのセキュリティ資格の意味合いは? 第19回 Blasterがもたらした多くの“メリット” 第20回 治安の悪化で改めて痛感したこと 第21回 大事なことは製品でもなく知識でもなく…… 第22回 いまこそ一般教養としてセキュリティを! 第23回 脆弱性のあるサイトとセキュリティ技術者の関係 第24回 端末を持ち歩くことの危険を意識せよ! 第25回 セキュリティ担当者には想像力が必要 第26回 標的にされる無防備なコンピュータ 第27回 言論の自由とセキュリティコミュニティ 第28回 安全確保のために東京は明るく! 大阪は暗く! 第29回 個人情報保護法を論理的に読み解く 第30回 魔法の鍵と最後の鍵 |
|
| Book Review |
| 読者調査/アンケート結果 |
 |
Security&Trust読者調査 セキュリティに関するアンケートの結果、今後ホットになりそうな分野が見えてきた。管理者たちが注目しているセキュリティ動向をチェック (1) ネットワークセキュリティ対策の現状と今後 (2) ウイルス感染の実態と対策を追う (3) Webアプリケーションのセキュリティ意識は? (4) 情報セキュリティポリシーの策定状況は? (5) どうなる? 2003年のネットワーク・セキュリティ対策 (6) 情報システムのセキュリティ管理体制は? (7) ファイアウォール/VPNの最新導入状況とその課題? (8) 内部セキュリティ対策の意識と実態は? (9) 2004年度、喫緊のセキュリティ課題は? |
|
 |
セキュリティ用語事典 電子政府関連で電子署名、PKIが必須となる。また、「BS7799」「ISO/IEC15408」「ISMS」など、ガイドラインもいろいろと揃ってきたセキュリティ業界。今後ますます重要になっていくセキュリティを理解するための実用用語事典 |
|
ページの先頭へ| セキュリティ Tips |
 |
Security
Tips システムやネットワークセキュリティに役立つテクニックとヒント集 − ポートスキャナを使ってPCの存在を確認する − Windowsの標準機能でパケットフィルタリング − 自マシンの開きポートとプロセスの関係を確認する − 外部からのポートスキャンサービスを利用する − スパム中継防止のため、第三者中継をチェックする − stringsコマンドの使い方 − NetcraftでWebサーバの見え方を確認する − ログオンを模したプログラムからパスワード情報を守る − ログオンしないとシャットダウンできない設定にする − メッセンジャーサービスの無効化 − 効果的なパスワード管理 − 不審なプロセスを調査する − 特定のIPアドレスからの通信を行えなくする − パケットフィルタログの有効活用 − syslogサーバの限界を確認する − SSL非対応メーラのSSL化 − 修正プログラムの一括適用とqchain − イベントログの自動監視とコマンドの自動実行 − Windowsをリブートせずにパケットフィルタリング − IISのヘッダ情報の一部を消去 − Windowsで最後にログオンしたユーザー名を表示しない − ファイルハッシュ値の計算 − WSHの暗号化 - Script Encoderの紹介 − ハードディスクの内容を安全に消去 - DBAN − Windows XP Home EditionをSUSクライアントに − opensslを使って共通鍵暗号でファイルを暗号化 − Network Grepで手軽なパケットキャプチャ − 添付ファイルの自動実行を抑止する − OpenSSLを使って公開鍵暗号でファイルを暗号化 − Live HTTP HeadersでHTTPヘッダ情報を確認する − Solarisのスタック実行制御でオーバーフローを防ぐ − プロセスの実行を監査する(Windows編) − SolarisのRBAC機能でsudoを置き換える − 未登録機器のイーサネット接続をブロック - ip-sentinel − Windows NT 4.0でMBSA 1.2を活用する − Linuxでアカウントのログイン時間を制限する − Solaris 9のinetdに備わるアクセス制御機能を活用する − hp-uxのinetdに備わるアクセス制御機能を活用する − Office文書の隠しデータを削除する − Explorerを別のユーザーとして実行する − Explorerの実行ユーザーを表示しておく − プロキシ環境下でWindowsの自動更新を有効にする − QuickMLでメンバーを容易に追加できないようにする − TCPポートをノックしてコマンドを実行するknockd |
|
|
@ITハイブックス連携 |
 |
マイクロソフト認定技術資格試験に挑戦 @ITハイブックス ラーニングシリーズ連携 Windows Server 2003環境管理と保守能力を評価する、MCP/MCSE必須科目70-293対応問題集よりセキュリティ関連項目を抜粋 − 入力フィルタと出力フィルタ − インターネット接続ファイアウォール − IPセキュリティポリシー − トンネリングプロトコル − VPNセッションの管理 |
 |
Windowsサーバーセキュリティ徹底解説 @ITハイブックス連携 セキュリティの確保を目標に、セキュアOSとして世に送り出されたWindows Server 2003。7つのレイヤすべてを保護するセキュリティの手法を伝授 − 5種類の認証システムを使いこなせ − 暗号化ファイルシステムを使いこなせ − パーソナルファイアウォールを使いこなせ |
Security&Trust フォーラム 新着記事
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
Copyright © ITmedia, Inc. All Rights Reserved.