https://github.com/arodu/cakelte composerを使用して、cakelteをインストールします。 $ vagrant up $ vagrant ssh [vagrant@localhost]$ cd /var/www/html/myapp [vagrant@localhost]$ composer require arodu/cakelte シェル コマンドを使用してプラグイ…
Vagrant Cakephp4で開発環境の構築 Cakephp4を利用したWEBアプリケーション開発構築について以下に示します。 ローカルホストhttp://192.168.56.10/ cakephp4 デフォルトURLhttp://192.168.56.10/myapp/ 開発環境の構築 VagrantとVirtualBoxでWebサーバーの…
このページはあくまでも学習のため、参考になったWebページを貼り付けているだけのページになります。 個人的な学習を進めていく上でとても参考になったため、今後のためこのページに記しておきます。 same-origin hasegawa.hatenablog.com CORS qiita.com D…
概要 ファイアウォールを用いることでネットワーク環境において一定レベルの機密性を確保するとともに、不要なパケットを遮断することによって、ネットワークの利用効率を高めることが可能となる。なお、このような正当のものを選別し、不要な物を取り除くこ…
TrustedOS(信頼されたオペレーティングシステム)とは、セキュリティ機能を強化するとともに、設計仕様書やマニュアル類難度を整備し、定められた検証テストをクリアしたOSのことを意味する。 5.4.1 TrustedOSの概要 元々は米国国防総省が定めたセキュリテ…
5.3.1 脆弱性検査の概要 対象システムの構成や設定などの情報は開示されていない状態で、実際に擬似的な侵入・攻撃手法などを用いて行うブラックボックス検査と、対象のシステムの設計書、仕様書、設定内容を元に主に卓上で行うホワイトボックス検査がある。…
ホストの要塞化 ホストの要塞化とはOSをはじめとするソフトウェアに内在するバグや設定ミスなののセキュリティホールを塞ぎ、堅牢な状態にすること。 5.2.1 ホストの要塞化の概要 要塞化を行う作業として次のようなものがある OSやアプリケーションのバージ…
情報セキュリティ対策の全体像 5.1.1 情報セキュリティ対策の分類 次の二つの観点から分類することができる。 セキュリティの要素(機密性、完全性、可用性)からの分類 機密性・完全性への侵害への対策 可用性低下への対策 セキュリティ対策の機能・効果か…
4.10.1 情報セキュリティ監査の必要性と監査制度の概要 情報セキュリティ監査の必要性 情報セキュリティ監査とは、企業などの情報セキュリティ対策について、独立かつ専門的知識を要する仙mんかが客観的評価を行うことである。情報セキュリティ監査は、情報…
事業継続管理 事業継続管理(BCM)はISMSの要求宇治公であるとともに、内部統制の強化などと並び、企業経営における重要課題となっている。ここでは事業継続管理及び継続計画(BCP)の要点について解説する。 4.9.1 BCP BCM の概要 事業継続管理に関するISMS…
情報セキュリティに関する事件、じこなどによる障害を最小限に抑えるためには、予防策を講じるとともに、インシデンと発生時の対応法補を明確にしておく必要がある。 ここでは情報セキュリティインシデンと管理における要点について解説する。 4.8.1 情報セ…
情報セキュリティの最大の脅威とも言える「人」に対して適切な対策を施すことは大変重要である。ここでは人的資源に対する情報セキュリティについて解説する。 4.7.1 人的セキュリティ対策実施の要点 人的セキュリティに関するISMSの要求事項 ISMSの管理策で…
物理的環境的セキュリティとは、サーバ室の設置、防水、ぼうか、電源、空調などの各種設備、入退室管理システムの導入、回線・通信機器の二重化、情報資産の物理的な保護を目指す。情報セキュリティ対策では、地震、火災、水害などの災害、、回線障害、建物…
組織の重要な情報資産を適切に保護するためには、その重要度などに応じて整理・分類するとともに、取扱方法を明確にする必要がある。ここでは、情報資産の分類や管理における要点、クライアントPCの管理とセキュリティ対策などについて解説する。 4.5.1 情報…
情報セキュリティマネジメントを組織全体で推進していくためには、情報セキュリティの責任を明確にするとともに、関連する部署の代表が調整しながら継続的な活動を行なっていく必要がある。 ここでは情報セキュリティマネジメントに必要な組織、体制について…
情報セキュリティポリシとは、組織の情報資産を守るための方針や基準を明文化したものである。効果的にセキュリティ対策を実施するためには、組織体の長による明確な方針と、リスクアセスメント結果に基づいた対策基準が必要である。ここでは情報セキュリテ…
リスクマネジメントとリスク対応 業務や情報システムに内在する様々なリスクを分析・評価し、適切な処置を施すことで、損失発生の可能性を最小限に止めるために、組織を指導し、行われる一連のリスクマネジメントである。リスク分析やリスクアセスメントもリ…
4.1 リスクの概念とリスクアセスメント 情報セキュリティ対策の効果を高めるためには、リスク分散によって組織に内在する様々な情報リスクを洗い出すと共に、その影響度を分析・評価し、有効な対策を導き出す必要がある。この一連の取り組みをリスクアセスメ…
多くの組織がWebサイトを持つようになり、Webページ上でユーザーからの入力データを受け付けるためのWebアプリケーションが広く利用されている。ここではHTTPとウェブアプリケーションの脆弱性と対策について解説する。 3.6.1 HTTPとウェブアプリケーション…
3.5.1 DNSの脆弱性 2.6節でも触れたように、DNSについては、次のような脆弱性が指摘されている。 1 ゾーン転送機能によって第三者に登録情報が不正利用される可能性がある。 ゾーン転送要求は、セカンダリDNSサーバとプライマリDNSサーバの登録内容を同期さ…
FFmpegは動画を変換、編集などできるフリーソフトでターミナルで動かします。 動画の切り取り、トリミング、クロップ、形式変換、速さを変える、画像を合成、などコマ ンドを使いこなせさえすれば基本的に幅広く可能です。 今回はすでにHomebrewがインストー…
電子メールを実装しているSMTP(Simple Mail Transer Protocol)やPOP3(Post Office Protocol Vershion3)はDNSやHTTPと並んで古くから普及しているサービスである。古くから使われている分、プロトコルの使用や実装において数多くのセキュリティ上の問題点…
Box運用を構築する中で役に立ちそうな記事をひたすら貼っていく。後日落ち着いたら実施した内容や運用方法含めて記載する。 記事一覧 ユーザー利用 ● 共有リンクのパスワード設定 https://support.box.com/hc/ja/articles/360043697554-共有リンクの設定 ● n…
TCP/IP(Transmission Control Protocol/Internet Protocol)を構成する各プロトコルには、その仕様や実装における様々な脆弱性がある。第二章で解説した各種攻撃手法もそうしたプロトコルの脆弱性をついて行われるものが多い。 ここではTCP/IPプロトコル全…
3.2.1 ネットワーク構成における脆弱性 ネットワーク構成(トポロジ、セグメンテーション、回線、通信機器の種類・配線など)における脆弱性を次に示す。 ● 機密性、関税生の侵害につながる脆弱性の例 機密性、完全生の侵害につながる脆弱性の例として、次の…
3.1.1 脆弱性とは 情報セキュリティにおける脆弱性とは、組織や情報システム、物理環境など、情報取り扱いに関わる様々な構成要素の中にあって、情報の漏洩や損失、改竄などのリスクを発生しやすくしたり、拡大させたりする要因となる弱点や欠点のことである…
マルウェア(malware)とは、コンピュータウイルス、トロイの木馬、ボット、ランサムウェアなど、利用者の意図に反する不正な振る舞い(情報収集・侵入・妨害・破損など)をするように作られたプログラムやスクリプトなどをいう。ここではマルウェアの攻撃に…
近年、Webアプリケーションの入力データチェック不備などの脆弱性を悪用し、不正なスクリプトや命令を実行させる攻撃が多発している。ここではそうした攻撃の仕組みと対策について解説する。 2.8.1 不正なスクリプトや命令を実行させる攻撃の種類 Webアプリ…
DoSとは「Denial of Service」の略であり、日本語ではDoS攻撃を「サービス不能攻撃」「サービス拒否攻撃」「サービス妨害攻撃」などと呼ぶ。DoS攻撃とは、ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送りつけることで、特定のサービ…
組織のネットワークをインターネットに接続する上で欠くことができない重要な要素の一つに名前解決を行うDNSサーバがある。重要なだけにDNSサーバは攻撃対象にもなりやすい。ここではDNSサーバに対する攻撃について、その仕組みや対策を解説する。 2.6.1 DNS…
