EnterpriseZine:運用統合やセキュリティが悩みの種〜Webアプリケーションに求められるアクセス管理の要件

セキュリティ

シングルサインオンのお話。無駄に3ページ。

このへん強引な持って行き方。

まず、「アプリケーションの運用統合」を問題視している企業が350社中101社と一番多くなっているのがわかります。ここでは対策として「統合」がキーワードとして考えられます。
 次に、セキュリティ対策が注目されています。具体的にはユーザID・パスワードでの単一要素認証のみ、従ってアプリケーション内で他のセキュリティ対策などが取られていない、ログインしてしまえば基本的に何でも出来てしまう可能性もある…という状態です。最近はIT内部統制の観点から、個人の役割に合った操作、システムへのアクセスが求められます。アプリケーション内でも誰々はこの役割を持っているから何ができる、という役割に基づいたアクセスのみが実現可能な状態にしておくべきです。WebではURL直接入力により任意のページへショートカットできます、「SQLインジェクション」の危険性も検討しなければなりませんから関連するエリアとしてDBMSでのアクセス権限管理、あわせてOSでのアクセス権限管理も重要になります。このように「アクセス管理」もひとつのキーワードと考えられます。

サーバープログラムをアンインストールするとプログラムフォルダの内容が削除される

セキュリティ

(ぱしりん経由、はなずきん♪さん経由

Symantec AntiVirusをSAVCE 10.1.6MR6にアップグレードしたらサーバプログラムがc:\program filesになってしまい、アンインストールするとprogram files全体が削除されちゃう不具合。

ありえん・・・

旧バージョンの Symantec AntiVirus Corporate Edition (SAVCE)、Symantec Client Security (SCS) のサーバープログラムがインストールされているコンピュータに SAVCE 10.1.6 MR6 や SCS 3.1.6 MR6 をアップグレードインストールしたところ、サーバープログラグラムのインストールフォルダが以下のフォルダに変更されてしまう場合がある。

C:\Program Files

この状態でサーバープログラムのアンインストールを行うと、Program Files フォルダ内のすべてのファイルやフォルダが削除されてしまう。

Mozilla 24 〜 Worldwide Continuous Event 〜

セキュリティ

(himorin経由、はなずきん♪さん経由

京都にもサテライトがあるそうです。行きたいけどちょっと無理そう・・・

日時  2007年9月15日(土) 日本時間 午後 12:00より
2007年9月16日(日) 日本時間 午後 12:00 迄
会場(会場毎のプログラム http://www.mozilla24.com/program/)
慶應義塾大学三田キャンパス東館(DMC Global Studio)
ベルサール九段(東京)
SHIBUYA BOXX & SHIBUYA @FUTURE(東京)
京都大学学術情報メディアセンター(関西) 他

メール添付ウイルスは減少するも、株価不正操作情報、偽ウィルス情報、SNS詐称など多様な被害〜8月ソフォス調査:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2007/09/03

セキュリティ

最近はネットワーク型ウイルスも減ってきて、メール添付型ウイルスも減ってきましたね。傾向としては標的型攻撃か株価操作情報が増えてきていますね。

やっぱりお金になるのは株価操作ですか・・・

発表によると、8月にメール添付で送信されたウイルスの数は1,000通に1件と2007年1〜6月の322通に1件から劇的に減少している一方、無料サービスの宣伝やヌード写真、音楽PVなどを騙ったスパムの被害は深刻化している。8月中旬には、不正な株価操作で利益を得ることを目的とした、特定の企業についての偽情報が短期間で大量に配信された。

A Closer Look at Ichitaro - TrendLabs | Malware Blog - by Trend Micro

セキュリティ

一太郎脆弱性を使ったウイルスに関する解析手法のデモです。

全く持ってわからない・・・このあたり勉強するか・・・それとも・・・

The exploit is a stack-based buffer overflow on Ichitaro (.jtd file) application. The vulnerable code can be found on JSTBLLY2.DLL. The exploit was achieved by calling certain wrapper function (found at 0×3B61BE20) for MSVCRT.memmove API. Validation was not done on this function. Calling it for 0×1B08h times causes a buffer to overflow, overwriting a return value in the stack, thereby gaining control of the execution.

失敗の原因を探るより解決を探る - ニュース - nikkei BPnet

セキュリティ

システムなどの障害については、論理的に考えて追求したら原因が分かるかも知れないけど、複雑なシステムなどは、人間が関わってくるので、一筋縄でいかないってこと。

まぁ、当然ですよね。そして難しすぎますよね。

理工系の人間はシステムをできるだけ単純なモデルで数学的に考えるクセがついているため、失敗には追求できる原因があると考えやすい。プログラムや単一の設計・製造プロセスというような整然としたシステムであれば、失敗の原因を探求することには意味がある。だが、たいていの人間社会の出来事では多様な悪条件が複雑に噛み合って失敗をもたらしていることが多く、失敗の原因はいくら探求しても明確にならないことが多い。
整然としたシステムなら失敗には探求できる原因があるが、複雑なシステムは失敗原因がわからないことが多い。原因探求よりも解決のための実践が重要になる。
こうした複雑性は社会に限らない。人間が関わるできごとは常に複雑な要因が関係する。一人の人間の行動パターンですらプログラムのように単一な制御によるものではない。

ITmedia エンタープライズ:インドの銀行サイトに不正コード、悪質サイトに誘導

セキュリティ

インド銀行のWebサイトにIFRAMEでウイルスをダウンロードさせるようになっていたそうです。

インドの銀行、Bank of IndiaのWebサイトに不正なIFRAMEが仕掛けられているのが見つかったと、セキュリティ各社が伝えた。
この問題は、セキュリティ企業の米Sunbelt Softwareが8月30日にブログで報告した。Bank of Indiaのトップページに不正なIFRAMEが隠され、悪質なWebサイトにリンクされていたという。システムに完全なパッチを当てていないユーザーが訪れると、マルウェアに感染する状態になっていた。

削除だけ????根本的対策は???

なお、McAfeeF-Secureは31日、Bank of Indiaのトップページの不正IFRAMEはその後削除され、現在では同サイトを訪れても安全になったと伝えている。

【触ってきました!】子どものパソコン使用を制限できる魔法の鍵「ぱそこんキッズキー」:デジタルARENA

セキュリティ

これは、パソコンか?ってのは、置いて置いてUSBキーを入れると子供用のテーマで起動できるそうです。

これは面白い。検索もKidsYahoo!を使うみたいだし。良い感じ。

http://arena.nikkeibp.co.jp/article/column/20070903/1002459/04.jpg

このぱそこんキッズキーをパソコンのUSB端子に接続すると、現在のアカウントをログオフしたうえで、自動的に子ども専用モード「キッズモード」に切り替わる。このキッズモードでは、有害なWebサイトへのアクセスを制限するほか、利用できるプログラムやファイルを制限したり、パソコンの利用可能時間を設定できるようになる。ぱそこんキーにインストーラーを内蔵しており、セットアップもぱそこんキッズキーをUSB端子に接続するだけと簡単だ。

ある程度簡単に使えて安全に使えるあたりが良さそうですね。

「しらべる」のアイコンをクリックしてWebブラウザーを起動すると、子ども用のポータルサイトYahoo!きっず」に接続するようになっている。標準の設定では、URLアドレスを直接入力できないので、有害サイトへの接続は行えない(保護者ユーザーの設定により、URLアドレスの入力も可能になる)。

基本6歳からとなってますが、たぶんひらがなを読める前提で6歳でもっと前の子供も使うのに良さそうですね。

ぱそこんキッズキーのターゲットは6〜9歳前後の子どもと保護者。未就学児に向けた、よりシンプルな構成にした「おもちゃ箱モード」も用意している。

自動更新が適用される前に、IE 7環境を見直しておこう

セキュリティ

IE7の自動更新が2008年以降に延期されるとの内容ですが、

IE 7の自動更新が始まると、何が起こるかと言うと、Windows XP SP2、Windows XP Professional X64 Edition、Windows Server 2003 SP1/SP2をPCのOSに使用している場合、9月26日以降Microsoft UpdateWindows Updateによる自動更新を利用していたり、サイトを訪問して利用した場合、PC内のブラウザとして、このIE 7がセキュリティ修正プログラムなどと同様に、自動アップデートによりインストールされることになる。

事前に不具合が解消されているとのことで、要確認ですね。でも画面が白くなるのはしょうがないみたいですね。

まぁ、Internet Explorer 5.5以上推奨とか言ってるサイトで、Internet Explorer 7.0が使えないのは問題だと思いますけどw

また、IE 7は、アーキテクチャ変更のためか、これまでのバージョンアップに比べて、不具合が多く発見されている。初期の段階ではそのために、必要な機能が使えず、バージョンアップをためらっている人もいるだろう。
実は、それらのいくつかはすでに修正されており、使う上で障害とはなっていない場合もある。その場合は、せっかくの新バージョンのブラウザを使わないのはもったいないことだ。
自動更新開始までに、自分がIE 7にしなかった原因が修正されていないか、確認しておくといいだろう。

Apple Quicktime < 7.2 SMIL Remote Integer Overflow PoC

セキュリティ

QuicktimeSMIL脆弱性に関するPoCが出ています。

#!/usr/bin/perl -w

####
# QuickTime SMIL integer overflow vulnerability (CVE-2007-2394) POC
#
# Researched on QuickTime 7.1.3 on Windows 2000 SP4.
#
# David Vaartjes <d.vaartjes at gmail.com>
####

OSSの仮想化ソフト「VirtualBox 1.5.0」がリリース | エンタープライズ | マイコミジャーナル

セキュリティ

VirtualBox 1.5.0が出ています。ハード強化もしているらしくネットワークブートも可能とのこと。

メモリも最大2GBまで割り当てられるそうです。へぇーーー面白そう。

今回のリリースでは、ホストOS側と区別なくゲストOSのウインドウを管理できる機能「Seamless Windows」が追加。サポートされるゲストOSはWindowsに限定されるが、競合する仮想化ソフトVMwareParallelsと同等のWindows OSとの親和性を実現した。

ハードウェア層への対応も強化、シリアルポートの仮想化とIntel PXE 2.1ネットワークブートが可能になった。サポートされるゲストOSには、新たにWindows Vista 64bit版とOS/2 Warpが追加されている。Windowsゲストに最大2GBのメモリを割り当て可能になったほか、USBおよびフォルダ共有機能有効時のステータスランプが追加されるなど、設定や運用に関する機能の見直しが図られている。

Winny流出ファイルの保有IPアドレスを特定、情報漏洩の事後対策ツール

セキュリティ

チーム鵜飼によるWinny関連の新ツールが出たそうです。ファイル保持者のIPアドレスが分かるそうです。

WinnyRadarは、Winnyプロトコルで利用されている暗号を復号しつつ、Winnyネットワークに存在するすべてのノードを巡回する。その際、各ノードが保持しているファイルの所在情報(キー情報)を収集し、データベースに蓄積する。蓄積したファイルのキー情報には、ファイル名、ハッシュ値、およびそのファイルを公開しているノードのIPアドレスなどが含まれている。そのため、データベースを検索することで、指定されたファイルを保持しているノードのIPアドレスを列挙することができるという。

エンドユーザとサービス事業者のライセンスがあるそうです。両方とも500万だそうです。

WinnyRaderの提供形態は、自社の情報漏洩対策などに利用できるエンドユーザー用の「WinnyRader End User Edition」と、第三者に情報漏洩の事後対策コンサルティングを行なうサービス事業者用の「WinnyRader Service Provider Edition」がある。料金は、ともに500万円。

NECでは社内SNSをどのように使っているのか?(1/2) - @IT

セキュリティ

社内SNS銀の弾丸などではなく、コミュニケーションやKnowHowを共有するための一ツールと考えなければならないでしょうね。

SNSは「あらゆる問題を解決できる、既存の業務ツールすべてを置き換えられる魔法のツール」ではありません。あくまで「既存の業務ツールのすき間を補完し、コミュニケーションやノウハウの共有を促進するためのツール」と認識したうえで、目的に合わせて活用してこそ、そのユニークな真価を発揮します。

パートナー企業との情報交換やアンケートの場としての利用も面白そうですね。

企業内SNSの枠からは少し外れるかもしれませんが、外部から参照可能なSNSをパートナー企業との連絡や意見交換の場として活用したり、出先からのちょっとしたメモの共有といった用途にも活用したりもできそうです。この場合は、しっかりとアクセス制限やセキュリティ対策をする必要があります。

荒れないためには・・・以下に注意したほうがいいとのこと。

  • 「所属・実名を明記する」
  • 「機密情報を記載しない」
  • 「他者や他社の誹謗(ひぼう)中傷をしない」
  • 「従業員就業規則を順守する」

某社みたいに、決まり文句は必要かも知れませんねw

コミュニティにおける○○社員による発言やコメントは、○○の正式な見解またはコメントではありません。

SNSを使ってみてやっぱり、コミュニケーションツールとしての利点はあるみたいですね。草の根社内SNSってのもやってみたいなぁ。

SNSを運用・利用してみて

 SNSを実際に業務に結び付けて利用してみて、業務ツールとしてのSNSの有用性、何気ないコミュニケーションや当人にとってはあまり重要ではないかもしれない情報から生まれるアイデアなどを、あらためて実感しています。

 同時に、SNSは万能ではないということもよく分かってきました。SNS、特にOpenPNEは導入するのは非常に簡単です。しかし、導入すればよいというものではなく、それをいかに繁栄させ、活用していくかは運用次第です。

 人と人のつながり、そのうえでやりとりされる情報、蓄積されるノウハウこそが最大の資産となるに違いありません。

Trend Micro Security Blog ≫ アーカイブ ≫ 谷口ウイルス

セキュリティ

今度は谷口ウイルス「TROJ_TANIGU.A」らしいです。

2007年夏、通称「谷口ウイルス」というものが少々話題になっています。Winnyなどで不正に流通しているゲームソフト(「うみねこのなく頃に」「東方風神録」「涼宮ハルヒの超乱闘」など)をインストールすると感染するという報告をいただいております。

トレンドマイクロ製品(正規版)では通称「谷口ウイルス」を「TROJ_TANIGU.A」として検出します。ウイルスの動作などの詳細についてはまだ確認中です。確認でき次第、「TROJ_TANIGU.A」のウイルス情報ページに掲載予定です。

トロイの木馬を簡単に生み出してしまうツール「SharK」:ITpro

セキュリティ

標的型攻撃のファイルが簡単に作成できるようなツールSharKが出ているそうです・・・こういうなのが出てくると厳しいなぁ・・・

標的型攻撃が簡単にできてしまう・・・

“マルウエア自作キット”が普及したことで,どこにでもいるような若者が,気まぐれに第三者のコンピュータに侵入する術(すべ)を身につけた。そして,時間の経過とともに,これら自作キットの使いやすさはさらに高まったし,身を隠すためのステルス技術も進歩した。「SharK」はまさにこれに当てはまるRATキットで,攻撃者は同キットに搭載された機能を使い,トロイの木馬を自由にカスタマイズできる。

第2回:ファイル転送/HTTPダウンロードを測ってみた:ITpro

セキュリティ

802.11nスループット報告です。ワイヤーに比べて20%減だけ?だそうです。

なんか結果だけ一人歩きしそうな記事だなぁ。

100Mイーサネットが40MHz幅で動作する802.11n機器のスループットを20%程度上回った(図3)。100Mイーサネットが71.7Mビット/秒,バッファローNECアクセステクニカの802.11n対応製品がそれぞれ57.7Mビット/秒,55.4Mビット/秒だった。11nを20MHz幅で通信させた場合は,40MHz幅の場合に比べてバッファローNECアクセステクニカとも10%程度低下した。

HTTPならワイヤと殆ど差がない・・・んですかぁ???100MBイーサで10Mbpsってのもどうなんだろ・・・計測どうよ・・・

次に,HTTPの場合を見てみる。結果を速度順に並べるとイーサネットが10.1Mビット/秒,802.11nの40MHz幅が9.6Mビット/秒,20MHz幅が9.4Mビット/秒,802.11aが8.3Mビット/秒となった(図4)。この傾向は,ファイル転送の結果と同じである。802.11aやgを社内/家庭内で利用しているユーザーが802.11nを導入すれば,若干ではあるがスループットを向上できる。

Webサイトデザインを省力化--CSSフレームワーク「Blueprint 0.5」:ニュース - ZDNet Japan

セキュリティ

CSSフレームワークソフトだそうです。

CSSフレームワーク「Blueprint」のバージョン0.5がリリースされた。BlueprintはCSSで記述されたライブラリ。Blueprintを用いることで、ウェブページのコンテンツを簡単にグリッドに沿って配置することができるようになる。

色々ブラウザによる差があるので、難しいですけど面白い試みですね。

バージョン0.5は実験用のバージョンと位置づけられている。0.5では、グリッドのカラム数が14から24に増えてより柔軟にレイアウトを組むことができるようになったほか、フォントのサイズや水平線の太さなどで、emに代わってpxが単位として用いられるようになり、バージョン0.4で生じていたブラウザの種類によって表示が崩れるという問題が解消された。

「迷惑メールは開かず削除」IPAがウイルス・不正アクセスの状況を公表

セキュリティ

eCard系のスパム→ウイルスのやつですね。

情報処理推進機構IPA)は4日、8月のウイルス・不正アクセスの届出状況を公表した。8月にIPAに寄せられたウイルスの届出件数は2,806件、ウイルスの検出数は約49万個と、いずれも前月から減少。8月にIPAに寄せられた相談の中では、迷惑メールに記載されているURLにアクセスしたところ、ウイルス対策ソフトが警告を表示したといった内容が多くあったとして、こうした迷惑メールに記載されているURLをクリックしないよう呼びかけている。

まぁ迷惑メール対策をして、[MEIWAKU]だの[spam]だの付けて貰っている人は削除しやすいんでしょうね。

してない人も、基本はアドレス帳以外は削除ってのがベストプラクティスかな。

IPAでは、迷惑メールの中には動画サイトのURLに見せかけたようなURLなど、人の興味を引く文章とともに受信者をサイトに誘導し、そのサイトにウイルスが仕掛けられている例があるとして注意を喚起。こうした迷惑メールに対しては、リンク先のサイトや添付ファイルなどを開かず、削除するよう呼びかけている。

ITmedia エンタープライズ:Webアクセシビリティ診断機能を搭載した「やさしさブラウザ」が登場

セキュリティ

IBMが開発したAjaxを使った閲覧支援システムらしいです。基本はコンテンツを対応させるとIEプラグインからやさしく見れるらしいです。

やさしさブラウザは、日本IBMが開発したAjaxを利用するWeb閲覧支援ツール「らくらくウェブ散策」をベースに、インフォ・クリエイツが独自機能を追加してASPとして提供するもの。これまで自治体や官公庁を中心に、民間企業ではキヤノンコスモ石油などが導入。70サイトで提供されている。

ユーザーは、同サービスに対応したサイトからプラグインを入手して、Internet Explorer(5.5以降に対応)にインストールする。インストール後は、対応サイトにある文字や画像の拡大表示、速度調節の可能な音声読み上げ機能を利用でき、色覚障害に対応して背景色と文字色も変更できる。

ちょっとした改善で飛躍的にアクセスビリティが向上する、そういうもんなんですね。

加藤均代表取締役社長は、「静岡県はベスト5に入る項目もあり、問題のある部分を改善することでアクセシビリティの飛躍的な向上が期待される。順位を競うものではないので、利用しやすいWebサイト作りのために活用していただきたい」とコメントした。

OSシェア、LinuxとWindows 98が並ぶ − @IT

セキュリティ

LinuxWindows98を比較してなにになるんだろうか?この記事意味分からない・・・

それほどLinuxは使われていないよ!と言いたいのだろうか。。。

Webアクセス解析を提供するW3Counterが発表した8月30日現在のOSシェアによると、Linuxが1.34%でWindows 98に並んだ。Windows 98は低落傾向で、Linuxは上昇傾向のため、近くLinuxが上回るとみられる。

単純に、Windows2000Windows98からVistaへの移行が進んだだけじゃないのか???

8月30日現在のOSシェア(W3Counter)

1 Windows XP 83.48%
2 Windows 2000 3.94%
3 Mac OS X 3.73%
4 Windows Vista 3.46%
5 Linux 1.34%
6 Windows 98 1.34%
7 Windows 2003 0.69%
8 Windows Me 0.47%
9 Windows NT 0.06%
10 Mac PowerPC 0.04%

.NET Framework/Visual Studio年表 - @IT

セキュリティ

.NET Framework 3.5ですか。

2002年4月に.NET Frameworkの最初のバージョン「1.0」が公開されてからすでに5年が経過し、来年出荷開始予定のVisual Studio 2008に含まれる.NET Frameworkのバージョンは「3.5」となる。

年表になっていますが、もうすこし横軸で年表にして欲しかったなぁ。でも分かりやすいですね。.NET Framework 1.1が2003年の物であって、4年も経っていると言うことがよく認識できましたw

そこで本稿では、.NET Frameworkを中心に、Visual Studio(以下、「VS」と略す)や開発言語(C#およびVB)と併せて、これらのバージョンを年ごとの一覧にまとめてみた。なお、VS 2008/.NET Framework 3.5については本稿執筆時点ではまだベータ版(ベータ2)の段階だが、ここで記しているような主要な機能はほぼ確定していると考えて問題ないだろう。