JPCERT/CC ソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」(英語版)に新たに 6つのパターンを追加
こんにちは,丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」(英語版)に新たに 6つのパターンを追加した公表していますね。。。
こんにちは,丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策「セキュアデザインパターン」(英語版)に新たに 6つのパターンを追加した公表していますね。。。
こんにちは、丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」を公開していますね。。。
=====
セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
=====
そのとおりどす。。。
=====
ソフトウエアあるいはシステムが提供する機能のセキュリティ品質(非機能要件としてのセキュリティ)の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類(アプリケーションドメイン)を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリストの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
=====
なるほど。。。
こんにちは、丸山満彦です。本日はRSAカンファレンスに行きます。。。IPAが「情報システム等の脆弱性情報の取扱いに関する研究会」2008年度報告書を公開していました。。。
こんにちは、丸山満彦です。第13回サイバー犯罪に関する白浜シンポジウムが始まっています。。。
テーマは
「ウイルスとマルウェアの脅威」
~あなたの生活が狙われている~
です。。。
昨年度 このブログ
・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。
講演内容は。。。
こんにちは、丸山満彦です。ちょっと世の中に遅れ気味ですわ。。。IPAが「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公表していますね。。。
こんにちは、丸山満彦です。日本銀行金融研究所が、人工物メトリックスに関する3つの報告書(ディスカッションペーパー)をだしていますね。。。
・人工物メトリック・システムにおける耐クローン性の評価方法の構築に向けて
・偽造防止技術の中の人工物メトリクス:セキュリティ研究開発の動向と課題
・偽造防止技術の新潮流:金融分野における人工物メトリクスの可能性
岩下さんです。
こんにちは、丸山満彦です。経済産業省のCHECK PCキャンペーンが始りはったみたいや。。。今年はバーチャルアイドル?のセキュリーナやそうや。。。両親をデジタルアーティストともつ東京都出身の「しな」と世界で有数のコンピュータ系の学校を首席で卒業した「せな」らしいは。。。「しなさい」、「せなアカン」をかけてるらしいわ。。。
ここで歴代のセキュリティ大使?のおさらいですわ。。。
・2006年:眞鍋かをり
・2007年:白石美帆
・2008年:上戸彩
こんにちは、丸山満彦です。暗号関係です。特定の技術に社会インフラを預けようとすると大変どす。総務省が公的個人認証サービスにおける暗号方式等の移行に関する検討会報告書案についてコメントを募集していますね。。。
こんにちは、丸山満彦です。IPAが「2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書」を公開していますね。。。
こんにちは、丸山満彦です。総務省と経済産業省が、「電子政府推奨暗号リストの改訂に関する骨子(案)」を公表していますね。。。
=====
電子政府推奨暗号リストには、策定後10年間は安心して利用できるという観点で選定された暗号が掲載されていますが、暗号に対する解析/攻撃技術が高度化しており、また一方で新たな暗号の開発も進んでいます。
このため、暗号技術検討会では、電子政府推奨暗号リストの改訂に向けて、平成21年度から暗号技術の公募を行うこととし、この度、当該公募の基本方針をまとめた「電子政府推奨暗号リストの改訂に関する骨子(案)」を作成しました。
=====
とのことです。。。で、意見をうかがってから
=====
意見募集の結果を踏まえ、平成20年度中に暗号技術公募の基本方針を策定します。
=====
とのことです。。。
こんにちは、丸山満彦です。IPAが
・「MD5 の安全性の限界に関する調査研究」に関する報告書と
・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
を公表していますね。。。
こんにちは、丸山満彦です。仕事が忙しくて更新が滞っていました。。。何人から「大丈夫?」ってメールをいただきました。心配していただいた皆様、ありがとうございます。。。元気でした。。。このブログが死活監視のツールになっているようです(笑)。ひとやま超えそうってところなので、気分転換にブログです。
IPAから「ハッシュ関数安全性評価手法の開発」に関する報告書が公表されていますね。。。SHA-1のコリジョンの問題など、最近いろいろと言われておりますので、読んでおこうかと思います。。。
「共通鍵暗号をベースとしたハッシュ関数安全性評価手法の調査」と「算術演算をベースとするハッシュ関数安全性評価手法に関する調査 」の2つについての報告書になっていますね。。。
こんにちは、丸山満彦です。JNSAが「2007年度 セキュアOSの導入に関する課題の試行結果報告書」を公表していますね。。。
「はじめに」からの抜粋ですが
=====
・・・
JNSAのDMZ設置サーバに対してセキュアOSを適用し、その過程も含めて広く公表していくことで多くの方にセキュアOSの本質を理解をしていただけるよう活動を展開することになった。
=====
ということのようです。。。
こんにちは、丸山満彦です。IPAが「脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~」を公表していますね。。。
こんにちは、丸山満彦です。内閣官房が「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)についての意見募集を行っていますね。。。
こんにちは、丸山満彦です。経済産業省でCheck PC!がはじまっていますね。。。今年は「上戸彩」さんイメージキャラクター?ですね。。。
昨年は白石美帆さん、一昨年は眞鍋かをりさんでしたね。。。
こんにちは、丸山満彦です。某先生のmixiで紹介されていて気づきました。。。マイクロソフトのセキュリティ啓発絵本?です。9月21日からあったんだ。。。
うーん。。。なんというか。。。
こんにちは、丸山満彦です。内閣官房情報セキュリティーセンター(NISC)がJRE等を利用する政府機関の公開情報システムに係る緊急調査の結果を公表していますね。。。
こんにちは、丸山満彦です。厚生労働省の電子申請システムで個人情報が流出する恐れのある欠陥を放置しているという話があるようですね。。。
こんにちは、丸山満彦です。IPAが「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公表していますね。。。
=====
本マニュアルは、利用者に必要な情報が的確に届けられることを目的に、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順について、具体的に公表すべき項目と公表例、脆弱性対策情報への誘導方法などを記載しているほか、望ましくない公表例なども記載しています。
=====
あわせて、「情報システム等の脆弱性情報の取扱いに関する研究会」報告書も公開していますね。。。
こんにちは、丸山満彦です。運用開始4 年目となるJVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) に変更しましたね。3文字略語は同じですが・・・。
で、JVN のリニューアルと脆弱性対策情報データベースの公開もしました。。。
こんにちは、丸山満彦です。JNSAから「2006年度 脆弱性定量化に向けての検討報告書」が公表されていますね。。。
報告書の「経緯と目的」から・・・
=====
ベンダ各々が独自の判断で脆弱性の危険度を報告しており、同じ「危険度高」であっても、A社とB社ではその判断基準が違っていたり、判断基準そのものが公開されていないといった状況であった。このような中で、ベンダの差に依存しない脆弱性の定量化が可能なのかどうなのかということの検討をはじめたことが、本WG発足の契機であり目的であった。
=====
なかなか意欲的な報告書ですね。。。
こんにちは、丸山満彦です。飛行機の前脚が出ないという事故はボルトが1つなかったことが原因だったようですね(詳細の調査が終わらないとわからないのですが・・・)。
こんにちは、丸山満彦です。昨日、高知空港での全日空のボンバルディアDHC8機による胴体着陸については、大きな事故にならずになりよりでした。。。この機種では前脚の脚格納ドアの開閉は、通常は油圧装置で、緊急時には手動(ワイヤー?)で開閉させることになっているようですが、今回の事故では両方とも機能しなかったようですね。。。しかし、大きな事故にならなかったのは、訓練された人間が適切に対応したからということだろうと思いました。。。
こんにちは、丸山満彦です。IPAが情報セキュリティ白書2007年度版を公表していますね。。。
■2006年の10大脅威 「脅威の“見えない化”が加速する!」は次のとおりのようです
・第01位 漏えい情報のWinnyによる止まらない流通
・第02位 表面化しづらい標的型(スピア型)攻撃
・第03位 悪質化・潜在化するボット
・第04位 深刻化するゼロデイ攻撃
・第05位 ますます多様化するフィッシング詐欺
・第06位 増え続けるスパムメール
・第07位 減らない情報漏えい
・第08位 狙われ続ける安易なパスワード
・第09位 攻撃が急増するSQLインジェクション
・第10位 不適切な設定のDNSサーバを狙う攻撃の発生
こんにちは、丸山満彦です。内閣府で実施している「治安に関する世論調査」によると、ネット犯罪について約4割の人が不安を抱いているということのようです。6割の人は不安をあまり抱いていないということなのでしょうかね・・・
こんにちは、丸山満彦です。ウィニー事件の地裁判決がありましたね・・・。「技術自体の価値は中立的だが、著作権侵害への利用を認識し、弊害も知っていた。独善的かつ無責任な態度で非難は免れない。しかし侵害のまん延を積極的に意図したわけではない」(毎日新聞)と判断されたようです。
こんにちは、丸山満彦です。ボットに感染しているパソコンは国内で40万台以上になるようですね(テレコムアイザック)。個人で利用しているパソコンの場合、ウイルス対策ソフトを導入していなかったり、パターンファイルが更新されていなかったりで、ボットに感染している場合が多いのかもしれませんね。
こんにちは、丸山満彦です。JNSAの脆弱性定量化に向けての検討WGが、検討中の「パッチ適用の判断を行なうための指標」の実用性を検証するためにWebアンケートを企画していますね。
大変おもしろい企画だと思います。。。
こんにちは、丸山満彦です。マイクロソフトエクセルの脆弱性については、ゼロデイアタックもあったというような話もあります。ところで、エクセルは期末決算の時に、試算表の作成、連結財務諸表の作成、注記の作成などで利用されることが多いわけですが、エクセルに脆弱性が存在する前提に立った場合、どこまで脆弱性管理ができていると、財務報告に係る内部統制が有効といえるのでしょうか。。。
こんにちは、丸山満彦です。被害にあわれた市川さんのご冥福を祈るばかりですが、原因を追究し、再発防止につなげるのが今必要なのでしょうね。。。その原因の追究ですが、もちろんいろいろな原因が積み重なって事故につながっているわけですが、その因果関係とキーとなる問題を明らかにし、その問題への対応を考えることが重要なのだろうと思います。
こんにちは、丸山満彦です。JPCERT/CCがMicrosoft Word にパッチ未公開の脆弱性があるとして注意喚起をしていますね。
こんにちは、丸山満彦です。IPAから、情報システム等の脆弱性情報の取扱いに関する研究会の報告書が公表されていますね。
■IPA
・2005.05.18 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表
・2005..05.18 情報システム等の脆弱性情報の取扱いに関する研究会 報告書
・現場技術者向け手引書『組込みソフトウェアのセキュリティ ~機器の開発等における40のポイント~
政府統一基準やJIS Q 27002、COBITとの対比表がほしいところです。
とりあえず表にまとめてみました。
こんにちは、丸山満彦です。マイクロソフト社が、Windowsの脆弱性を修復するパッチを予定より早くリリースしましたね。この脆弱性については、セキュリティの専門家が非公式パッチの適用をユーザに推奨したということでも話題となりましたね。
こんにちは、丸山満彦です。NRIセキュアテクノロジー株式会社がSANSの"The SANS Top 20 Internet Security Vulnerabilities "を翻訳していますね。ふーむ、助かります。
こんにちは、丸山満彦です。海外で「バグの責任は開発者個人にあるのかベンダーにあるのか」という話が話題になっているようですが、議論がちょっとかみ合っていないようにも思いながら・・・
こんにちは、丸山満彦です。Windowsが引き起こした損害はビルゲイツに損害賠償させるべき・・・という過激な発言も飛び出したようですね。
こんにちは、丸山満彦です。JISA(社団法人情報サービス産業協会)が「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス」を公表しています。「SI事業者が、脆弱性情報が公表された後、製品開発ベンダーや顧客と連携し、迅速かつ適切な対応をとるために必要な社内体制や対応手順を整備するための手引書として活用されることを目的」としているとのことです。。。。ねっ、西岡@三菱電機さん!
こんにちは、丸山満彦です。量子暗号の新しい方式で、長距離、高速な暗号通信ができるとして注目されているのが、Y-00暗号方式です。ところがそのY-00暗号が通常の古典的なストリーム暗号と等価の計算量的な安全性しか保証しないという論文が発表されて議論になっているようですね。
こんにちは、丸山満彦です。マイクロソフトが8月にリリースしたパッチで修正される「プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる」という脆弱性が利用したワームが若干出ているようですが、それほど広がっているようでもなさそうです。で、対応のページですが・・・
これが結構、難しいことを書いていますね・・・
こんにちは、丸山満彦です。経済産業省の施策である。脆弱性情報の流通の仕組み、「情報セキュリティ早期警戒パートナーシップ」は成功している施策の一つであると思っています。このパートナーシップのガイドラインが半年の運用を経て改訂されたようです。改訂されるということは、機能しているということなんでしょう。
こんにちは、丸山満彦です。経済産業省から、「米国におけるカード会員情報の流出について」が2005.06.28公表されていますね。米国では政府やカード会社の対応があまりよくないという新聞報道もあったようですが、日本では迅速に対応されているようですね。信頼できるところが情報を整理して迅速に発表してくれると国民もとりあえず安心できますね。
こんにちは、丸山満彦です。今朝(2005.06.26)の日経新聞の朝刊の1面に「官公庁サイト ネット犯罪悪用の恐れ 4機関で緊急修正 政府、官民に対策促す」という記事がでていましたね。
こんにちは、丸山満彦です。ウェブサイトを含むソフトウェアの脆弱性をなくすにはどうしたらよいのでしょうか?マイクロソフトのMSNウェブサイトにもクロスサイトスクリプティングの脆弱性があったようですね。
こんにちは、丸山満彦です。最近、ソフトウェアの不具合や、脆弱性情報の発表が多いように思えているのは私だけでしょうか?。ミッション・クリティカルなシステムが脆弱だと危ないですね・・・脆弱なソフトと知りながら、ミッション・クリティカルなシステムにそれを使うと経営者の責任も問われないのでしょうか。
こんにちは、丸山満彦です。マイクロソフトが毎月公表しているセキュリティパッチとは別に、研究者などから脆弱性情報が公開されると直ちに対処する「Microsoftセキュティアドバイザリー」制度を開始するそうです。
こんにちは、丸山満彦です。マイクロソフトからメールが来ました。それによると、4月のセキュリティ情報の事前通知は8件だそうです。前月は0だったのにね・・・緊急もあるそうです・・・
こんにちは、丸山満彦です。小島先生のウェブをみていたら、2005.04.06付けで、マイクロソフトから、「管理者の権限を持たないユーザーがリモート コンピュータから TSShutdn.exe コマンドを使用して Windows XP Service Pack 1 ベースのコンピュータをシャットダウンできる」が、公表されていることがわかりました。
これって、便利な機能なんでしょうか?困った問題なのでしょうか?
こんにちは、丸山満彦です。日経BP社のITプロにありましたが・・・マイクロソフトが脆弱性情報を米国政府の国土安全保障省(DEPARTMENT OF HOMELAND SECURITY)に優先的に配布するらしい・・・
こんにちは、丸山満彦です。経済産業省が、2004年第4四半期(10月~12月)の脆弱性情報の届け状況について発表しています。
制度は順調に活用されているようですね。
こんにちは、丸山満彦です。ACCSのサイト上から個人情報が読み取れたことを発表した元研究員の行為が不正アクセスに該当するかどうかを争っている裁判で、検察側は懲役8月を求刑、弁護側は無罪を主張した。
こんにちは、丸山満彦です。振り込め詐欺で、「電話の発信番号通知偽装」が行われていて問題となっている件につき備忘録的にリンクしました。昨年の12月にも警察の電話番号を偽装した事件がありましたね。
こんにちは、丸山満彦です。表記の通りです。最大深刻度は「緊急」、でも、11日(米国時間)までは秘密といわれると、心づもりだけはしておかないとだめですね。
こんにちは、丸山です。マイクロソフト社のセキュリティレスポンスチームのメンバーが「脆弱性の発見とマイクロソフトの対応」という表題で、新たに発見された脆弱性に対して、マイクロソフトが行っている対応の流れを説明しています。 図表も含めわかりやすく解説されています。 私が気になるのは・・・
こんにちは、トーマツの丸山です。マイクロソフトの脆弱性のセキュリティパッチMS04-045 が12月17日に更新されています。 12月15日のアップデート以降の更新です。
こんにちは。トーマツの丸山です。脆弱性といえば、Windowsばかりではありませんね。PDFファイルを読むときにお世話になっている、アクロバットリーダにも脆弱性があると報告されています。
皆さん、こんにちは。トーマツ丸山です。「proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない 」ということがおこっていることを、お恥ずかしながら、小島さんのブログのようなウェブと、上原さんのブログで、今頃知りました。
Recent Comments