セキュリティ

結構申込いただけるセキュリティセミナーより

ファーストサーバ営業部では、昨年からセキュリティをテーマにしたセミナーを開催しています。 今回は2017/11に開催したセミナーのネタを、少し紹介させていただきます。 もう少し詳しく聞きたい方・・・・弊社営業までお気軽にご相談ください。 セキュリティ事故例・市場動向ネタ 対岸の火事では無いことを感じて欲しく、最初に、事故例・各社レポートなどを紹介させていただいています。 毎回参加者の方には「JPCERTって知ってますか?」と質問させていただくのですが、手が上がるの...

通信の保護について

通信の保護について  想定する脅威モデル - なりすまし - 情報漏洩(盗聴) - データの改ざん - 否認  情報漏洩(盗聴) - 暗号化で対策  - 共通鍵暗号方式  - 公開鍵暗号方式  - ハイブリッド暗号方式(SSLプロトコルで使用)  共通鍵暗号方式 共通の鍵を使って暗号化と復号化をおこなう。 1. 2者(アリスとボブ)間で暗号化アルゴリズムを決めて「共通鍵」を作成 2. アリスは「共通鍵」を使ってデータを暗号化してボブに送る 3. ボブは暗号化されたデータを受け取...

STRIDEについて調べてみた

STRIDEという脅威モデルについて  STRIDEとは Microsoft が提唱する脅威の分類手法 STRIDEは6つの驚異の頭文字をとったもの。  Spoofing(なりすまし) 別の誰かを装って、不正に情報に関与すること。 - IPスプーフィング - フィッシング - パスワードクラック - ソーシャルエンジニアリング などがある。  Tampering(データの改ざん) データの書き換えたり、破壊したりすること。 Webサイトの書き換えがイメージしやすい。(外部から攻撃) 決算データの書き換え=粉飾決済(内...

暗号備忘録

はじめに ネットワークセキュリティを勉強する機会があったので 特に、「暗号」についてざっくりまとめてみました 4つの問題 ネットワークセキュリティを考えるときに、以下の4つの問題を考えることが大切です 秘匿性:secrecy [機密性:confidentialityともいう]  ⇨情報が第三者に渡らないようにすること 認証:authentication  ⇨通信相手が誰かを確認するために用いる 否認防止:nonrepudiation  ⇨署名を扱う、あとから主張を変更されることを防ぐ 完全性:integrity  ⇨受けと...

リバースエンジニアリングへの道 - その1

リバースエンジニアリングへの道 はじめまして、出田 守と申します。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを...

リバースエンジニアリングへの道 - その2

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

この夏、クラウドのセキュリティ管理のあり方を学んでみませんか

ひときわ暑い夏ですが、夏休みなどすこし時間がとれるときにチェックしておくとよいのがセキュリティ。特にクラウドのセキュリティについてはクラウドの導入期にはいろいろ不安の声がありましたが、クラウドの利用が浸透しつつある中でクラウド事業者の提供するシステムのセキュリティ管理に対する信頼が広まるとともに、やはり外部のシステムを利用するための注意事項があることが認識されるようになってきています。@IT, TechTarget, ZDnetなどのオンラインメディアにこの夏、掲載さ...

リバースエンジニアリングへの道 - その16

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

TLP のすすめ

概要 TLP (Traffic Light Protocol) は、機密情報が適切な公開先に共有されるようにするための指定方法です。FIRST (Forum of Incident Response and Security Teams) が考案した規格です。 定義 TLP:RED: 公開禁止、関係者限り TLP:AMBER: 公開制限、関係者組織限り TLP:GREEN: 公開制限、コミュニティ限り TLP:WHITE: 公開制限なし 使用法 メールでの使用法 メールの件名、本文、情報の直前に以下のいずれかの文言を付与する。 - TLP:RED - TLP:AMBER - TLP:GREEN - TLP:WHITE ドキ...

リバースエンジニアリングへの道 - その18

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

セキュリティ関連

セキュリティ対策の「ある視点」 Webアプリにおける11の脆弱性の常識と対策

リバースエンジニアリングへの道 - その5

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

有名なセキュリティ攻撃名おさらい

セキュリティ研修を受けたのでメモ。 内容としては超有名な攻撃とその対策なんだけど、 これを自分の口で説明しようとすると途端に難しい。 SQLインジェクション 多分もっとも有名なやつ。SQL知っていれば説明不要なんだけど、 SQL知らない人に説明するのがちょっと難しい。 簡単に言うと、DBを操作するSQLって命令をいじる攻撃。 たとえばDBの個人情報盗んだり、データを壊したりできる。 攻撃者にとって自由にDB書けるのと同じ。 SQL SELECT ID FROM USER WHERE NAME = 'ここにフォ...

リバースエンジニアリングへの道 - その3

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

リバースエンジニアリングへの道 - その21

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

セキュリティ関連文書・リンクのまとめ

目的 設計、プログラミング、顧客説明等、様々なタイミングでセキュリティに関する調査を行います。 その都度、探さずに済むようリンクをまとめます。 セキュリティ設計 IPA 情報セキュリティ対策 https://www.ipa.go.jp/security/measures/index.html ISMS(情報セキュリティマネジメントシステム) https://isms.jp/ 脆弱性対策 IPA 脆弱性対策(脆弱性対応ガイドライン等) https://www.ipa.go.jp/security/vuln/index.html#section1 日本ネットワークセキュリティ教会 http://www.jnsa...

リバースエンジニアリングへの道 - その14

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

リバースエンジニアリングへの道 - その8

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

リバースエンジニアリングへの道 - その7

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...

リバースエンジニアリングへの道 - その4

リバースエンジニアリングへの道 出田 守です。 最近、情報セキュリティに興味を持ち、『リバースエンジニアリング-Pythonによるバイナリ解析技法』という本(以降、「教科書」と呼びます)を読みました。 「こんな世界があるのか!かっこいい!」と感動し、私も触れてみたいということでド素人からリバースエンジニアリングができるまでを書いていきたいと思います。 ちなみに、教科書ではPython言語が使用されているので私もPython言語を使用しています。 ここを見ていただいた諸先輩...