2023-01-01から1年間の記事一覧
XserverにCakePHP4をインストールし、CakeLTEをインストールした流れで、CakeDCでログイン認証周りを作ってみる。 github.com といっても、ドキュメント通りに実施したらできるので問題ない。 日本語の個人ブログ見るより公式ドキュメントの方が良かったから…
zshrc、新しいmacで作業する際にコピペで利用するよう。 ######################################## # 環境変数 export LANG=ja_JP.UTF-8 # 色を使用出来るようにする autoload -Uz colors colors # emacs 風キーバインドにする bindkey -e # ヒストリの設定…
組織の重要な情報資産を適切に保護するためには、その重要度などに応じて整理・分類するとともに、取扱方法を明確にする必要がある。ここでは、情報資産の分類や管理における要点、クライアントPCの管理とセキュリティ対策などについて解説する。 4.5.1 情報…
情報セキュリティマネジメントを組織全体で推進していくためには、情報セキュリティの責任を明確にするとともに、関連する部署の代表が調整しながら継続的な活動を行なっていく必要がある。 ここでは情報セキュリティマネジメントに必要な組織、体制について…
情報セキュリティポリシとは、組織の情報資産を守るための方針や基準を明文化したものである。効果的にセキュリティ対策を実施するためには、組織体の長による明確な方針と、リスクアセスメント結果に基づいた対策基準が必要である。ここでは情報セキュリテ…
リスクマネジメントとリスク対応 業務や情報システムに内在する様々なリスクを分析・評価し、適切な処置を施すことで、損失発生の可能性を最小限に止めるために、組織を指導し、行われる一連のリスクマネジメントである。リスク分析やリスクアセスメントもリ…
4.1 リスクの概念とリスクアセスメント 情報セキュリティ対策の効果を高めるためには、リスク分散によって組織に内在する様々な情報リスクを洗い出すと共に、その影響度を分析・評価し、有効な対策を導き出す必要がある。この一連の取り組みをリスクアセスメ…
多くの組織がWebサイトを持つようになり、Webページ上でユーザーからの入力データを受け付けるためのWebアプリケーションが広く利用されている。ここではHTTPとウェブアプリケーションの脆弱性と対策について解説する。 3.6.1 HTTPとウェブアプリケーション…
3.5.1 DNSの脆弱性 2.6節でも触れたように、DNSについては、次のような脆弱性が指摘されている。 1 ゾーン転送機能によって第三者に登録情報が不正利用される可能性がある。 ゾーン転送要求は、セカンダリDNSサーバとプライマリDNSサーバの登録内容を同期さ…
電子メールを実装しているSMTP(Simple Mail Transer Protocol)やPOP3(Post Office Protocol Vershion3)はDNSやHTTPと並んで古くから普及しているサービスである。古くから使われている分、プロトコルの使用や実装において数多くのセキュリティ上の問題点…
3.2.1 ネットワーク構成における脆弱性 ネットワーク構成(トポロジ、セグメンテーション、回線、通信機器の種類・配線など)における脆弱性を次に示す。 ● 機密性、関税生の侵害につながる脆弱性の例 機密性、完全生の侵害につながる脆弱性の例として、次の…
3.1.1 脆弱性とは 情報セキュリティにおける脆弱性とは、組織や情報システム、物理環境など、情報取り扱いに関わる様々な構成要素の中にあって、情報の漏洩や損失、改竄などのリスクを発生しやすくしたり、拡大させたりする要因となる弱点や欠点のことである…
マルウェア(malware)とは、コンピュータウイルス、トロイの木馬、ボット、ランサムウェアなど、利用者の意図に反する不正な振る舞い(情報収集・侵入・妨害・破損など)をするように作られたプログラムやスクリプトなどをいう。ここではマルウェアの攻撃に…
近年、Webアプリケーションの入力データチェック不備などの脆弱性を悪用し、不正なスクリプトや命令を実行させる攻撃が多発している。ここではそうした攻撃の仕組みと対策について解説する。 2.8.1 不正なスクリプトや命令を実行させる攻撃の種類 Webアプリ…
DoSとは「Denial of Service」の略であり、日本語ではDoS攻撃を「サービス不能攻撃」「サービス拒否攻撃」「サービス妨害攻撃」などと呼ぶ。DoS攻撃とは、ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送りつけることで、特定のサービ…
組織のネットワークをインターネットに接続する上で欠くことができない重要な要素の一つに名前解決を行うDNSサーバがある。重要なだけにDNSサーバは攻撃対象にもなりやすい。ここではDNSサーバに対する攻撃について、その仕組みや対策を解説する。 2.6.1 DNS…
セッションハイジャックとは、クライアントとサーバの正規のセッション間に割り込んで、そのセッションを奪い取る行為である。ここでは、セッションハイジャックについて、その仕組みと対策を解説する。 2.5.1 セッションハイジャックの概要 攻撃者がセッシ…
パスワードクラックとは、OSやアプリケーションプログラムに設定されているパスワードを破ることを目的として、何通りのパスワードや流出したパスワードリスト等を用いてパスワードを解読したり、ログインを施行したりする手法である。 2-3-1パスワードクラ…
バッファオーバフロー(BOF)攻撃とは、CやC++言語で開発されたOSやアプリケーションプログラムの入力データの処理に関するバグをついて、コンピュータのメモリに不正なデータを書き込み、システムへの侵入や管理者権限の取得を試みる攻撃手法である。ここ…
ポートスキャンとはターゲットとなるホスト上で開いているポートをスキャン(探査)することである。 ここでは、ポートスキャンについて、その仕組みと対策を解説する。 2.2.1 ポートスキャンの目的と実行方法 TCPコネクションを確立するタイプのポートスキ…
驚異の分類 脅威とは情報セキュリティを脅かし、損失を発生される直接の原因となるものである。情報資産が存在すれば、そこには常に何らかの脅威が存在する。 情報セキュリティにおける脅威行為は、次のように分類できる。 驚異の種類 区分 具体例 環境 災害…
1.2 情報セキュリティの特性と基本的な考え方 情報セキュリティ三つの特性とは何か 三つの特性を適切に確保・維持する上での考慮すべき点は何か 情報セキュリティの付加的な特性には何があるか 付加的な特性を適切に確保・維持する上で考慮すべき点は何か 情…
1.1 情報セキュリティの概念 チェック セキュリティとは何か 情報セキュリティとは何か 情報セキュリティとはどのように分類できるか 論理セキュリティはどのように分類できるか 1. セキュリティとは何か セキュリティとは「安全」と言う意味があり、大切な…