セキュリティ対策が重要なのはもはや言うまでもありません。本当にセキュリティ対策は万全ですか?セキュリティの最終チェックとして脆弱性診断を行うことをオススメします。
また個人情報流失事件
15日、千趣会の子会社であるベルネージュダイレクトが、約13万人の個人情報を流出した可能性があると発表しました。 今回の個人情報流出の…

http://moneytalk.tokyo/moneytalk/2259
問題があったのはWebアプリケーションの脆弱性
千趣会の子会社が運営するECサイトが不正アクセスを受け、13万1096件の個人情報が流出した可能性。
13万件もの情報が流失
あなたのWebのセキュリティは大丈夫ですか?
マカフィーによると、2014年のセキュリティ事件1位はベネッセの顧客情報流出という。より重要なものとして、相次いで見つかった脆弱性に今後も注意を払うべきと提言した。

http://japan.zdnet.com/article/35056459/
ベネッセの情報漏出はだいぶ問題になりましたね
トレンドマイクロは7月30日、公式ブログで「Hacking Team情報漏えいで確認された脆弱性、香港・台湾のWebサイト改ざんに利用。RAT『PoisonIvy』へ誘導」と題する記事を公開しました。

http://www.is702.jp/news/1810/partner/183_s/
Flash PlayerだけでなくInternet Explorerも脆弱性が発見されています。
日本年金機構は2015年6月6日、午後3時40分に機構のウェブサイトを閉鎖した。脆弱性が見つかったためという。
国のWebですら脆弱性の危機があります。
GoodfindEngineer@GfEngineer
【Webセキュリティの傾向と対策】脆弱性のあるWebサイトだと個人情報流出の危険も。主な攻撃方法だけでもおさらいしておこうgoodfind.jp/engineer/skill…
個人情報が流出するのはまずいですね!
そもそも脆弱性(ぜいじゃくせい)ってなに
そもそも「脆弱性」とはいったい何でしょうか。セキュリティ関連のキーワードの一つとして、漠然としたイメージとして認識はあるかと思います。ですが、その対策が“時間勝負”であるとか、対策を怠ったときに被るリスクなど、具体的な影響や対策についてはあまり語られていません。そこで今回は全3回のシリーズで、改めて脆弱性についての概要やセキュリティ対策の考え方について説明していきます。

http://enterprisezine.jp/iti/detail/7154
脆弱性はリスクが多いのですね。
2014年は、広く使われているソフトウエアやプロトコルに、危険な脆弱性が相次いで見つかった1年だった。しかも、セキュリティベンダーなどのマーケティングの一環で、いくつかの脆弱性にはキャッチーな名前が付けられた。
メインコンテンツへジャンプ サブメニューへジャンプ フッターへジャンプ はじめに 基礎知識 一般利用者の対策 企業・組織の対策 用語辞典 サイト内検索フォーム ホーム > 基礎知識 > どんな危険があるの? > 脆弱性(ぜいじゃくせい)とは? 脆弱性(ぜいじゃくせい)とは? 脆弱性 (ぜいじゃくせい)とは、コンピュータの OS やソフトウェアにおいて、プログラムの不具合や設計上のミスが原因…

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html
2015年7月、Android OSの脆弱性が発見された。Android4.0.1から5.1.1までが対象となる脆弱性で、全世界のAndroid端末の94.1%が該当するという。現在はまだこの脆弱性による被害は確認されていないそうだが、悪用された場合は、メール(MMS)に添付されたビデオメッセージなどの不正なメディアファイルを実行することで、「スマホに保存してある画像や動画が抜き取られる」「遠隔…
AndroidやiOSもやばい脆弱性が報告されています
これら脆弱性がないかを調べ上げるのが脆弱性診断士!
活動紹介|ISOG-J 日本セキュリティオペレーション事業者協議会
日本セキュリティオペーレーションが主催のようです
近年、ソフトウエアやWebサイトなどの脆弱性の有無を診断して適切に対応できる技術者のニーズが高まっている。だが、脆弱性診断に携わる技術者が保有すべきスキルについて標準がない。そこで、セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。将来的には資格化を目指す。
世界初の資格になるみたいです!
大沼@levena_evenas
脆弱性診断士(Webアプリケーション)スキルマップ – pentester-web-skillmap-201412.pdf isog-j.org/output/2014/pe…
どこで受けれるんだろこれ
しかもまだ新しいし
非常に興味が
どこで受けれるんだろこれ
しかもまだ新しいし
非常に興味が
そもそも脆弱性が生まれる理由は?
Webアプリケーションの脆弱性評価ツールAppScanのご紹介
パソコンを利用する上で避けられないのが、「脆弱性」がもたらす危険性だ。脆弱性とは、セキュリティ上の問題を引き起こす、ソフトウエアの欠陥(バグ)のこと(図1)。
安全なWebサイトを作るには?
「安全なウェブサイトの作り方」最新版をIPAが公開、脆弱性対策を教示 | 脆弱性の原因や特徴、解決策、安全性を向上させる取り組みを網羅

http://hajimeteweb.jp/news/details/150318_01.php
皆様、こんばんは。ゴールデンウィーク明けの水曜日、いかがお過ごしでしょうか?さて今回の投稿ですが、先日の投稿で告知させていただいたように、脆弱性対策の実践方法に関する投稿です。
Microsoft攻撃されすぎですね
まずは現在確認されている脆弱性をチェック
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
少し昔の話になりますが、Webアプリケーションの脆弱性対策をしないというノーガード戦法をとっている人達はかなりいたと思います。そういう人達の決まり文句は「今まで問題が起きたことがないから」でした。実際は監視していないから気がついていないだけ
なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診
脆弱性診断を行う前に決めておかなければならないことがあるのですね
TechFeeds@JapanTechFeeds
#tech
Apache Struts2にXSSの脆弱性、更新版が公開 – ITmedia エンタープライズ:
Java WebアプリケーションフレームワークのApache Struts2で、2件のクロスサイトスクリプティン.. j.mp/1JT5Db3
Apache Struts2にXSSの脆弱性、更新版が公開 – ITmedia エンタープライズ:
Java WebアプリケーションフレームワークのApache Struts2で、2件のクロスサイトスクリプティン.. j.mp/1JT5Db3
ニュースもチェック
庄司 諭史@satoyan419
#WordPress 用 YouTube Embed プラグインにXSSの脆弱性があるようです。お使いの方はご注意ください。/JVNDB-2015-004540 – JVN iPedia – 脆弱性対策情報データベース ow.ly/RIWwo #web
いよいよ脆弱性診断士の出番!脆弱性診断のやり方!
19-E-3上野 宣株式会社トライコーダ代表取締役自分でできるWebアプリケーション脆弱性診断

http://www.slideshare.net/uenosen/web-2010-3241609
自分で脆弱性診断ができるようです。
IPA テクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介 (ウェブアプリケーション検査編)」
検査方法が載っていますね
Webアプリケーションの検査に加えて、サーバやネットワークの検査も重要だ。改めてネットワーク脆弱性検査の重要性を認識するためにも、今回はフリーツールを使ったネットワーク脆弱性検査を紹介する。

http://www.itmedia.co.jp/enterprise/articles/0507/07/news001.html
ツールを使う方法も紹介されています
IPAのウェブ健康診断仕様
IPAの脆弱性診断のやり方が詳しく載っているPDFです。これを参考に診断していきましょう!
はじめに IPA(独立行政法人情報処理推進機構)から第7版として(2015年3月に)公開されてる 安全なウェブサイトの作り方 (PDF) の「第1章 ウェブアプリケーションのセキュリティ実装」の要点まとめです。 (要点といいつつ結局書き写しみたいになってしまった感が強いが..) 詳しくは、ドキュメントを見てください。 Webアプリケーションエンジニアであれば、Webアプリにおける…
qiitaでも紹介されています
安全なWebサイト運営に欠かすことができない脆弱性診断。これまで主に外部サービスの利用によって行われていた脆弱性診断だが、近年では内製化の方向へと進みつつある。コストの削減やノウハウの蓄積など、内製化によって企業が得られるメリットは大きい。その一方で、脆弱性診断によって生じる手間の増加と診断技術に関するノウハウの蓄積方法といった課題が立ちはだかる。
ツールによる自動化による弊害もでていますので注意してください。
他の技術ネタもまとめてありますのでご参考ください。
Twitterをはじめとしたベンチャー企業に人気のRuby on Rails。便利なぶん難しいと言われていますが、実は無料で学べる環境が整っているのです。この機…

https://matome.eternalcollegest.com/post-2144143316675964201
https://matome.naver.jp/odai/2144146285104513901
2015年09月15日