インターネット・セキュリティ技術一般 THEME

ガールズ&パンツァー劇場版🎥 プレミアムフィギュア 西住まほ レビューです📷 メーカー セガ ガールズ&パンツァー劇場版 西住まほ 1/7スケール PVC製 塗装済み完成品 フィギュア 出版社/メーカー: キューズQ 発売日: 2018/11/30 メディア: おもちゃ＆ホビー この商品を含むブログを見る ボリューム大のプライズアイテム🎰 黒森峰のマークが入った台座が付属 スラっと伸びた脚が美しい・・・😘 まほお姉ちゃんスタイル抜群😍 ウエスト細っそい👀 顔なかなか似ています👌 生脚が眩しい❤️ 第1話 戦車道、始めます！ メディア: Amazonビデオ この商品を含むブログを見る 服の皺のデ…

ガールズ&パンツァー劇場版🎥 大洗コラボレーションフィギュア 冷泉麻子 メーカー システムサービス 『ガールズ＆パンツァー』 冷泉麻子 抱き枕カバー 【C86 コミックマーケット86】 出版社/メーカー: キャラアニ メディア: この商品を含むブログを見る わたしシステムサービス製は初めてです。 大手メーカーではないですよね🤔 名刺💳を渡す姿での立体化 台座は大きめで、穴だらけです。フィギュアを自由な位置に配置でき、他のキャラクターとディスプレイすることも可能📷 個人的には穴だらけの台座は見た目がよろしくないので好きではないです。 ソロでディスプレイするには台座の大きさが気になります👀 制服姿…

世界征服謀略のズヴィズダー💀 秘密結社スペシャルフィギュアレビューです📷 メーカー フリュー 世界征服~謀略のズヴィズダー~新・ズヴィズダー大作戦(完全生産限定版)[Blu-ray] 出版社/メーカー: アニプレックス 発売日: 2014/10/15 メディア: Blu-ray この商品を含むブログ (4件) を見る 外箱には美麗イラストが⭐️ 元々小柄な幼女👧なのでフィギュアも小さめ 半端なくエロい姿です 笑 台座はシンプルな無地の丸型 髪のボリュームが凄いです❗️ 【Amazon.co.jp限定】世界征服 ~謀略のズヴィズダー~ 黒星紅白デザインワークス イラストカード付き 作者: 黒星紅…

マイメロディ クルミ・ヌイ💀 フィギュア レビューです✨ ホビージャパン限定版 メーカー:アガツマ ダークなゴスロリ風衣装です🌹 台座はシンプルな無地の黒台座 スタンドパーツでしっかりと固定されています👍 セイワ(SEIWA)車用携帯電話ホルダー マイメロディ スマートフォンスタンド MM23 出版社/メーカー: セイワ(SEIWA) 発売日: 2015/02/13 メディア: Automotive この商品を含むブログを見る 肩のフリル、腰のリボン、スカートがクリア仕様になっています✨✨ マイメロに会えたらイイナ！ メディア: Amazonビデオ この商品を含むブログを見る バラのワンポイン…

スプラトゥーン2🔫 ブキコレクション2 レビューです🍀 スプラトゥーン2 オクト・エキスパンション|オンラインコード版 出版社/メーカー: 任天堂 発売日: 2018/03/09 メディア: Software Download この商品を含むブログを見る バンダイ製🎰全8種 定価：410円×8 1BOX(8個入り)で全種類コンプできました🙂 ヒーローシューター レプリカ 蛍光色が目を惹く👀ミリタリーテイスト溢れるヒーローシューターです❗️ クリアパーツも使用されていて、カブトガニのマーキングがイカしてます✨ パラシェルター amiibo テンタクルズセット[ヒメ/イイダ] (スプラトゥーンシリ…

ワーキング🍴山田葵 プレミアムフィギュア レビューです📷 セガ プライズ🎰 WORKING!! 山田 葵 (1/8スケール PVC製塗装済み完成品) 出版社/メーカー: アルター 発売日: 2011/11/30 メディア: おもちゃ＆ホビー 購入: 1人 クリック: 45回 この商品を含むブログ (8件) を見る フィギュアと同じポーズのキュートなイラストが🐱 泥棒猫的なポーズが可愛いです❤️ フィギュアは凸凹差し込み式で安定しています。 クリアピンクのかなり大型な台座🔴 WORKING´!! Wonderful★Blu-ray Box【完全生産限定版】 出版社/メーカー: アニプレックス 発…

エヴァンゲリヲン新劇場版🎥綾波レイフィギュアレビューです🔎 セカンドインパクト 一番くじ🎁 メーカー:バンプレスト Creators' Labo CL#015 新世紀エヴァンゲリオン 綾波レイ 出版社/メーカー: やまと 発売日: 2007/12/28 メディア: おもちゃ＆ホビー 購入: 2人 クリック: 188回 この商品を含むブログ (4件) を見る 外箱は後ろ姿も見れるようになってます。 プラグスーツ 立ち姿での立体化✨ サイズ感あります😄 台座はネルフのロゴありクリア仕様 エヴァらしいスタイリッシュな造形美✨ 綾波レイ 1/6スケールフィギュア 出版社/メーカー: 千値練 発売日: …

バカとテストと召喚獣より島田美波👱‍♀️プライズフィギュアレビューです🎵 エクストラプールサイドフィギュア Vol.2 メーカー:セガ🎰 バカとテストと召喚獣 エクストラフィギュア 姫路瑞希・島田美波 全2種フルセット メディア: おもちゃ＆ホビー クリック: 5回 この商品を含むブログ (2件) を見る プールフィギュアということで水着👙での立体化💕 なかなかスタイルいいっすね😳 ワンポイントでリストバンドしています👍 台座はプライズらしいシンプルな白台座 顔は微妙(笑) 似ていない感じ。 口👄がダメですね。 原作に忠実に真っ平らですね。 小学生並みの胸かも😌 腋...健康的なエロス...😳…

ひぐらしのなく頃に解より園崎姉妹の妹 詩音のフィギュアレビューです🦋 組立式DXフィギュア〜魅音＆詩音〜 ひぐらしのなく頃に解 組立式DXフィギュア?スクール水着登場? 園崎詩音 単品 出版社/メーカー: セガ メディア: おもちゃ＆ホビー この商品を含むブログを見る バンプレスト プライズ品です🎰 赤いビキニの水着姿での立体化👙 ひぐらしは熱狂的なファンがいる色々な意味で伝説的なアニメ作品ですね🔪 台座はプライズにありがちなシンプルな黒台座 (TVアニメ化10周年記念)(ひぐらしのなく頃に)全話いっき見ブルーレイ [Blu-ray] 出版社/メーカー: Frontier Works Inc.…

這いよれ！ニャル子さんWのフィギュアレビューです🐱 這いよれ！ニャル子さんW プレミアムフィギュア 奥様はニャルラトホテプ(長い商品名❗️) セガプライズ品です🎰 這いよれ! ニャル子さん&這いよれ! ニャル子さんW コンプリートニャルバム アーティスト: 後ろから這いより隊 出版社/メーカー: エイベックス・ピクチャーズ 発売日: 2014/03/26 メディア: CD この商品を含むブログ (3件) を見る ニャル子さん2期のWより、這いよる混沌ニャルラトホテプさんが立体化💀 セクシーなポージングです😍 足下はスリッパというアンバランス感 笑 這いよれ! ニャル子さんW ニャル子 バニーV…

宮川武 原型の激かわメイドフィギュア レビューです❤️ メーカー メディエイション LED付き 高機能 ネコ耳ヘッドフォン 『AXENT WEAR』 Cat Ear Headphones 並行輸入品 出版社/メーカー: AXENT WEAR メディア: エレクトロニクス この商品を含むブログを見る このフィギュアのキャラクターは、美少女雑誌📕E☆2 えつ 出典みたいですね。 外箱に美麗イラストがあります💕 2人の美少女がメイド姿で立体化🍀 このメイド服えっちすぎますね 笑 白黒のモノトーン台座が衣装と合っていて映えますね👀 スカート短スギィ😍 顔はのっぺりした、プライズっぽい感じ😥 カチューシ…

マスタースターズピース ルパン三世 峰不二子 フィギュア レビューです👙 バンプレスト プライズ ルパン三世 MONO MADONNA ? 出版社/メーカー: バンプレスト メディア: おもちゃ＆ホビー この商品を含むブログを見る 新テレビアニメ版のOPシーンから立体化📺 サイズはかなり大きめ👀 細身で脚が長いモデル体型です👙 後ろ姿もセクシー😍 だらしなく半分だけ はだけたシャツ👚にエロスを感じる。。 ワンポイントで、赤いマニキュア💅と腕時計⌚️ ルパン三世 オープニングビネットIII 【峰不二子】 バンプレスト プライズ 出版社/メーカー: バンプレスト メディア: おもちゃ＆ホビー この…

K-1ワールドグランプリ世界王者👑 マークハント フィギュアのレビューです🔥 プロレス・格闘技ファンにはおなじみの、ハオフィギュアです🤜🤛 K-1 ワールドグランプリ 10年の軌跡 DVD-BOX 出版社/メーカー: フジテレビジョン 発売日: 2002/12/04 メディア: DVD この商品を含むブログ (1件) を見る ジェロム・レ・バンナを下しチャンピオンにも輝いた男🕺 硬質ソフビフィギュアになっています。 K-1からPRIDE、DREAM、UFCと渡り歩き常に最前線で戦い続けるタフな男💪 ハント特有の分厚い上半身もしっかり再現されています👀 ナチュラルなスーパーヘビー級の肉体をデフォ…

モンスターハンター 獄狼竜ジンオウガ亜種 レビューです⚡️ リボルテックヤマグチ No.135 ジンオウガ メーカー海洋堂 パワーショップ流通限定商品になります✨ S.H.フィギュアーツ 魂MIX モンスターハンター 邪神覚醒ジンオウガ 約160mm PVC&ABS製 塗装済み可動フィギュア 出版社/メーカー: バンダイ 発売日: 2017/03/31 メディア: おもちゃ＆ホビー この商品を含むブログを見る 全付属品 モンスターハンター3より登場したメインモンスター ジンオウガの亜種タイプになります🤔 可動フィギュアの人気ブランド リボルテックとモンハンのコラボレーション⭐️ 可動式のモンス…

MASTER STARS PIECE INSPECTOR ZENIGATA レビューです👮 メーカー:バンプレスト プライズ品🎰 警部銭形 (アクションコミックス) 作者: 岡田鯛,モンキー・パンチ 出版社/メーカー: 双葉社 発売日: 2017/09/28 メディア: コミック この商品を含むブログを見る クオリティの高さで有名なMSPシリーズ✨ 全高約26cmのサイズ感のあるフィギュアです👀 ルパンシリーズ特有の細身のシルエットがよく再現できていますね🔎 台座はレンガ調のオシャレなモノ👍 後ろ姿に漂う漢の哀愁🍂 ルパン三世 CREATOR×CREATOR INSPECTOR ZENIGAT…

Amazonからこんなメールが届きました。 「お支払い方法の情報を更新してください」 あなたのアカウントは一時的にロックされています。 中身を読んでみると、Amazonのアカウントの有効期限が24時間以内に停止されてしまうとのこと。問題を解決するには「アカウントを更新する」というボタンをクリックして、情報を更新してください、と書かれています。 でも、ボタンはクリックしないでください！ これはフィッ

セキュリティ対策ソフトを最新版に更新することは大切ですが、これって詐欺ですよね？《画面表示 (画像) 》「最新の脅威やマルウェアからパソコンを保護するために、最新バージョンのWindowsのウイルス対策ソフトウェアをお勧めします。ここをクリックして最新バージョンに更

2020年1月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/01/02 金融領域でのブロックチェーンの活用について主要な領域5つ紹介 2020/01/02 イスラエル当局、仮想通貨分野の「危険信号」リストを公開 AML巡りブロックチェーン大国が警戒 2020/01/03 「携帯電話がウイルス感染、除去に必要」３９５万円だまし取られる 2020/01/05 破砕機フル稼働、ＨＤＤを「鉄くず」に 処理業者ら困惑 2020/01/05 「AV鑑賞中の顔写真をバラまく」 金銭要求スパムメール被害がまた増加中 2020/01/06 イランのハッカーは、米国に「破壊的なサイバー攻…

JASA（Japan Information Security Audit Association、日本セキュリティ監査協会）が、2020年のセキュリティ10大トレンドを発表しました。 www.jasa.jp // これは、情報セキュリティ監査人が監査計画を考える上で、参考となるように公開されています。この10大トレンドは、情報セキュリティ監査人約1800人を対象としたアンケートにより選ばれたものです。 2020年のセキュリティ10大トレンド 1位にランキング上がっている「自然災害によるIT被害の拡大」は、2018年の北海道胆振東部地震によるブラックアウトや、2019年の台風15号による千葉県…

IPA（情報処理推進機構）では、毎年、社会的に影響が大きかった情報セキュリティにおける事案から、その年のセキュリティ脅威予測を公開しています。 www.ipa.go.jp 2020年のセキュリティ脅威 2020年のセキュリティ脅威 // 企業のランキングには6位に「予期せぬIT基盤の被害に伴う業務停止」が上がっています。 これは、2019年の大規模自然災害や、クラウドベンダーの人為的ミスによる長時間のサービス停止を受けてランクインしたものです。 また、自然災害による業務停止はJASAの10大トレンドにも取り上げられています。 www.iestudy.work また、企業におけるセキュリティ脅威…

脅威インテリジェンスとは 脅威インテリジェンスという言葉について整理してみました。 // 脅威インテリジェンスとはCERT-UKによると、サイバー脅威インテリジェンスは「掴みどころのない」概念である。サイバーセキュリティは、ITセキュリティ専門家を採用し、組織にとって不可欠なインフラまたは知的財産を保護するための技術的手段を導入することで構成される。一方、サイバー脅威インテリジェンスは オープンソースインテリジェンス (OSINT)、 ソーシャルメディアインテリジェンス (SOCMINT)、 ヒューマンインテリジェンス (HUMINT)、 テクニカルインテリジェンス (技術情報) 深層Webと…

2020年2月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/02/03 メールアカウントへの不正アクセス、パスワードスプレー攻撃で特定された可能性（東京企画） 2020/02/03 理事が所属する大学のPCがウイルス感染、不審メールの送信を確認（日本女性科学者の会） 2020/02/03 防衛事業部門で利用する社内サーバに不正アクセス、未知のマルウェア検知システムでも発見できず（NEC） 2020/02/03 複数のIoT機器に「Mirai」亜種の感染を狙うアクセスが増加（警察庁） 2020/02/03 防衛事業部門の社内サーバーに不正アクセス、NECが発表 2020…

Windows 10には、インターネットを閲覧するアプリとして、Edge（エッジ）と呼ばれるアプリがインストールされています。そのEdgeが、2019年1月より「Chromiumベース」となり、だいぶGoogle Chr […]

データのバックアップ データのバックアップとは、テープやその他のポータブルメディア上に、ハードディスクドライブで格納しているデータのコピーを二重に作成する作業です。データをバックアップする目的は、1次ストレージメディアハードディスクのデータが消失した場合、確実に使用できる最新のデータのコピーを障害復旧及びリストアできるようにすることです。 バックアップのローテーション方式 Grandfather・Father・Son方法 GFS方式のイメージ GFS方式と呼ばれ、メディアローテーションにより、複数世代の保持ができます。月次でのフルバックアップを長期保存用とする事で、テープコストを抑えながら長期…

KGIとは KGI（key goal indicator）は、重要目標達成指標といい、企業などの組織において達成すべき最終的な成果を定量的に表した指標です。売上高や利益額のように具体的に定義できるものが選択されます。例として、自社の業界シェア来年度中までに2位まで伸ばしたい、などがあります。 KPIとは KPI(key performance indicator)は、重要業績評価指標といい、企業などの組織において、個人や部門の業績評価を定量的に評価するための指標です。達成すべき目標に対し、どれだけの進捗がみられたかを明確にできる指標が選択されます。 KGIは企業全体の方向性を示し、KPIはそれ…

NISTによるクラウドコンピューティングの定義 発行機関：NIST発行年月日：2011年9月 https://www.ipa.go.jp/files/000025366.pdf NISTでは、クラウドコンピューティングを5つの基本的な特徴と、3つのサービスモデル、および4つの実装モデルで定義しています。 // 基本的な特徴 特徴 概要 オンデマンド・セルフサービス(On-demand self-service) ユーザは、各サービスの提供者と直接やりとりすることなく、必要に応じ、自動的に、サーバーの稼働時間やネットワークストレージのようなコンピューティング能力を一方的に設定できる。 幅広いネッ…

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18) 発行機関：NIST 発行年月日：2006年2月 https://www.ipa.go.jp/files/000025324.pdf // 概要 NIST SP800-18は、セキュリティ計画を策定する際のガイドラインです。セキュリティ計画にはいくつかのインプットが必要になります。 例えば、NIST SP800-53は、情報システムに対するセキュリティ管理策のベースラインが策定してあり、（アメリカの政府関連の）情報システムは上記に適合する必要があります。新たに策定するセキュリティ計画では、上記のセキュリティ管理策…

火災には等級があり、それぞれ適した消火器を使用する必要があります。 // 火災の等級 等級 説明 等級A 木材、紙、布、ゴム、多くのプラスチック製品など、通常の可燃性物質による火災で、水または水を大量に含む溶液の消火・冷却効果を活用することが最も重要です。クラスAに分類される消火器は保有する水の量、消化できる火の量が示されています。 クラスA 等級B 引火性液体、グリース、油、タール、油性塗料、ラッカー等、引火性／可燃性のある液体による火災です。クラスBの火災は、空気を遮断するか、またはその供給を断って、化学的な連鎖反応を防ぐことが重要となります。 クラスB 等級C 電気設備内またはその付近で…

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60) 発行機関：NIST 発行年月日：2004年6月 https://www.ipa.go.jp/files/000025339.pdf // リスクマネジメントでの位置づけNIST SP800-60は、以下のセキュリティ文書と合わせて活用することができます。以下の文書は情報システムセキュリティ管理策の選択、特定、採用、評価のためのガイドラインであり、連邦情報セキュリティマネジメント法（FISMA）の要件を満たすことを目的としたガイドラインです。 RMFでの位置づけ 情報及び情報システムの分類 情報及び…

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64) 発行機関：NIST 発行年月日：2008年10月 https://www.ipa.go.jp/files/000025343.pdf // 概要NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項」は、セキュリティの手順をITシステム開発ライフサイクル（SDLC: System Development Life Cycle）に取り入れる際のガイドラインとして作成されました。 SDLCについて SDLCは以下のフェーズから構成されます。 「開始」 「開発／調達」 「イン…

コモンクライテリア(Common Criteria、ISO/IEC 15408) とは コモンクライテリアとは、セキュリティの観点から情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。 // 欧米諸国では1980年代から自国のセキュリティ評価基準と評価制度を持ち、活用されてきました。1990年代になり、これらのセキュリティ評価で先行していた国々により商用製品の活用や国際的な市場からの調達などを目的とした国際的なセキュリティの共通評価基準を作成するプロジェクトが発足したことがコモンクライテリアの始まりです。1999年にコモンク…

2019年11月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/10/31 公衆電話からSMS 機能の背景 2019/10/31 DDoS攻撃を示唆し仮想通貨を要求する脅迫メールに注意喚起＝JPCERT/CC 2019/10/31 北朝鮮のハッカー集団が作成したマルウェアが原子力発電所のネットワークに侵入 2019/10/31 ロシアのハッカー集団が東京五輪に照準、スポーツ機関を攻撃 2019/10/31 2020年にも企業のIT利活用に法定指針、国がついに経営者の尻を叩く 2019/11/01 ウォッチガード、拡大するセキュリティの盲点を払拭し、フィッシング攻撃の防御…

SCAPとは SCAPはSecurity Content Automation Protocol（セキュリティ設定共通化手順）の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。なお、SCAPはNIST SP800-126で仕様が策定されています。 https://csrc.nist.gov/csrc/media/publications/sp/800-126/rev-3/draft/documents/sp800_126_r3_draft.pdf // SCAPの構成要素 SCAPは次の6つ…

ISCMの定義された背景として セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。 // 「ISO/IEC 27005」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が策定した情報セキュリティ管理とリスク管理プロセスにかかわる作業を規格化したガイドラインです。ISO27005では、情報セキュリティリスク管理プロセスを以下のように定義しています。 状況規定＝リスク管理の境界を定義 リスク分析(リスク特定/評価の段階)＝リスクの程度を評価 リスク調査(リスク分析/評価の…

ガントチャート及びPERT図は、プロジェクト完了のためのタスクを表示するプロジェクトマネジメント手法です。 // ガントチャートガントチャートは、プロジェクトの計画とスケジューリングのための使用される表です。ガントチャートは、プロジェクトが時間の経過と共に小さいな作業や具体的なタスクに分割されます。ガントチャートでは、表の横棒で作業の進捗状況を表し、各タスクの継続時間、進捗状況などを確認できます。 ガントチャートのイメージ ja.wikipedia.org PERT図（アローダイアグラム）PERT図（Program Evaluation and Review Technique）は、複雑なプロ…

COBIT（Control Objectives for Information and related Technology）は、組織における情報システム管理に関するガイドラインです。COBITは、IT統制に関する国際的な団体ITGI（IT Governance Institute）およびISACA（Information Systems Audit and Control Association）が公表しています。COBITは情報システム管理についてのベストプラクティス集（フレームワーク）であり、ITガバナンスや内部統制に関する指標となります。COBITは日本でも活用されており、経済産業省…

証拠保全ガイドライン（第7版） 発行機関：デジタル・フォレンジック研究会 発行年月日：2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の技術を言います。 フォレンジックの重要性とガイドラインの目的ICTの活用が進むにつれて個人や企業、または国をまたいでの法的紛争が発生し、電磁的記録の証拠保全及び調査・分析を適切に行い、行動の正当性を積極的に検証するフォレンジック技術の重要性が高まってい…

個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインhttp://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf 金融分野における個人情報保護に関するガイドラインhttps://www.fsa.go.jp/common/law/kj-hogo/01.pdf また、ビッグデータやIoTの流れを受け、201…

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関：NIST 発行年月日：2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF（NIST SP800-37）や、CSFに取り込まれました。 参考 NIST SP800-37連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド（NIST SP800 37） - 家studyをつづって CSF「重要インフラのサイバーセキュリティを改善…

PKIとは PKI（Public Key Infrastructure）は「公開鍵基盤」ともいい、「公開鍵暗号方式」という技術を利用し、暗号化、デジタル署名、認証等のセキュリティ対策が実現する基盤です。 // PKIの全体イメージ PKIの機能 PKIは以下の2つの機能を提供します。 種別 説明 暗号化 (Encryption) データを暗号化し、第3者に読まれることを防ぎます。 デジタル署名 (Digital Signature) データに対して、そのデータの作成者を特定するための署名を付与します。 暗号化とデジタル署名の機能を用いて、PKIは以下のセキュリティサービスを提供します。 種別 …

セキュア･プログラミング講座 発行機関：情報処理推進機構 発行年月日：2016年10月 www.ipa.go.jp // 概要 「セキュア・プログラミング講座」では、製品プログラミングや、Webプログラミングを対象にした、ガイドラインを公開しています。このガイドラインでは、これまでの内容をまとめ、共通的なセキュリティ原則を抽出し、広く開発分野に関わる人に向けた、開発のガイドラインとして公開しています。 リスク＝【情報資産】×【脅威】×【脆弱性】 上記の式に基づき、それぞれの要素を0に近づけることで、リスク低減をはかっています。 セキュア・プログラミングには、脆弱性を作りこまない根本的解決策と予…

COSOとフレームワーク COSO（Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会）の略称です。COSOでは内部統制のフレームワーク（COSOフレームワーク）公開しており、当該フレームワークは様々な規定に組み込まれています。COBITの内部統制に関する基準も、COSOフレームワークの考え方を取り入れています。日本では、金融庁「金融検査マニュアル」などもCOSOを参考にしています。 // COSOの内部統制定義 COSOでは内部統制を、”以下の目的を達成するために、合理的な保証を提供…

前提として コンピュータシステムの信頼性を総合的に評価する基準として、RASISという概念があります。 Reliability（信頼性） Availability（可用性） Serviceability（保守性） Integrity（保全性） Security（機密性） // 信頼性（Reliability）は、システムが安定して稼働し続けている時間からみた安定性の指標で、平均稼働時間（MTBF）で表されます。 MTBFの求め方 なお、MTBFの逆数をとることで、故障率を求めることができます。 故障率の求め方 保守性（Serviceability）は平均修理時間（Mean Time To Re…

2019年12月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/12/02 国へのサイバー攻撃、ハッキングのビジネス化など、2020年のサイバー脅威（サイファーマ） 2019/12/02 「PHP-FPM」の脆弱性を狙うアクセスが増加（警察庁） 2019/12/02 職員のPCがウイルス感染、迷惑メールを複数送信（京都市観光協会） //

パスワードに対する攻撃はパスワードクラッキングといいます。パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。 // パスワードクラッキング手法一覧 名称 概要 ブルートフォースアタック 一つのアカウントに対して、パスワードの組み合わせを総当たりで試行する攻撃です。 パスワードに対してアカウントを総当たりで試行する攻撃手法はリバースブルートフォース攻撃と呼ばれます。 辞書攻撃 辞書や人名リストなどにある単語の組み合わせから、パスワードを推測する攻撃です。 リスト型攻撃 外部に流出したアカウント情報（リスト）…

ウェブサイトにおける脆弱性検査手法の紹介発行機関：IPA発行年月日：2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストをかけずに脆弱性の診断ができるように、オープンソースの脆弱性検査ツールについて、特徴や使い勝手をまとめています。 脆弱性診断ツール一覧 タイプ ツール名 検査対象 特徴 手動検査 Paros Webアプリ 脆弱性検査に脆弱性を検出するコードの知識が必要となる 手動検査 WebScrab W…

ソフトウェアテストに関する言葉を整理しました。 // Vモデル V字モデル V字の左半分は、ウォーターフォールに沿った開発工程を上流工程から順番に右下がりに並べています。V字の右半分は、左の開発工程に対応したテスト工程が並んでおり、それぞれの工程で行うテストを確認できます。 単体テスト単体テストは、クラスや関数等、プログラム単位でのテストです。 機能確認テスト1つのモジュールが設計書や仕様書通りに動作することを確認するテスト 制御フローテストプログラム構造に沿って、命令や分岐が実行されるかを確認するテスト データフローテストデータや変数が定義されたから消滅するまでを確認するテスト ※モジュール…

CSAとは クラウドセキュリティアライアンス（CSA）は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティリスクを総合的に評価するための指針です。CCMではクラウドのセキュリティ管理策のフレームワークを16のドメインに分けて記述しています。 CCMの16ドメイン Application & Interface Security （アプリケーションとインターフェースセキュリティ） Audit As…

ファジング実践資料(テストデータ編) 発行機関：IPA 発行年月日：2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPAでは、ファジングにおけるテストデータの考え方「データ構造の『どの部分』を『どのように』細工するか」を解説しています。 ファジングとはファジング（fuzzing）とは、問題を起こしそうなデータ（例：極端に長い文字列）を対象製品に送り、対象製品の動作状態から脆弱性などを発見するテスト手法です。 ファ…

電話回線の種類 電話回線は大きく分けると、アナログ回線、デジタル回線、光回線の3種類があります。 アナログ回線アナログ回線はアナログ信号で音声及びデータの送受信を行う電話回線です。黒電話の時代から使われているもので、回線には銅線を使っているので、メタル回線とも呼ばれます。 デジタル回線（ISDN）デジタル回線はデジタル信号でデータの送受信を行う通信回線の総称です。アナログ回線が音声をそのまま電気に乗せて送信しているのに対して、デジタル回線は音声をデジタルデータに変換して送信するため、アナログよりも音声がクリアに聞こえるのが特徴です。 光回線光回線は、アナログ回線やデジタル回線で使われていた銅線…