家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介発行機関:IPA発行年月日:2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストを…

パスワードクラッキングの手法

パスワードに対する攻撃はパスワードクラッキングといいます。パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。 // パスワードクラッキング手法一覧 名称 …

2019年12月のIT・セキュリティトピック

2019年12月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/12/02 国へのサイバー攻撃、ハッキングのビジネス化など、2020年のサイバー脅威(サイファーマ) 2019/12/02 「PHP-FPM」の脆弱性を狙うアクセスが増加(警察庁) 2019/12/02 職員…

MTTRとMTBF

前提として コンピュータシステムの信頼性を総合的に評価する基準として、RASISという概念があります。 Reliability(信頼性) Availability(可用性) Serviceability(保守性) Integrity(保全性) Security(機密性) // 信頼性(Reliability)は、シス…

COSOとフレームワーク

COSOとフレームワーク COSO(Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会)の略称です。COSOでは内部統制のフレームワーク(COSOフレームワーク)公開しており、当該フレームワークは様々な規定に組…

戦略と戦術

会社の中では戦略や戦術といった言葉が使われることがあります。それぞれの言葉の意味を整理しました。 // 戦略 戦略(strategy)は、一般的には特定の目的を達成するために、長期的視野と複合思考で力や資源を総合的に運用する技術・応用科学である。 ja.wi…

「セキュア・プログラミング講座」の概要

セキュア・プログラミング講座 発行機関:情報処理推進機構 発行年月日:2016年10月 www.ipa.go.jp // 概要 「セキュア・プログラミング講座」では、製品プログラミングや、Webプログラミングを対象にした、ガイドラインを公開しています。このガイドラインで…

PKIについて整理しました

PKIとは PKI(Public Key Infrastructure)は「公開鍵基盤」ともいい、「公開鍵暗号方式」という技術を利用し、暗号化、デジタル署名、認証等のセキュリティ対策が実現する基盤です。 // PKIの全体イメージ PKIの構成要素 認証局 (CA: Certification Author…

Underlying Technical Models for Information Technology Security(NIST SP800-33)

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関:NIST 発行年月日:2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF(NIST SP800-37)や、CSFに…

「証拠保全ガイドライン」の概要

証拠保全ガイドライン(第7版) 発行機関:デジタル・フォレンジック研究会 発行年月日:2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行…