→セキュリティ関連
- もうEDRしか勝たん、という話 2020.12
- Endpoint Detection and Response の頭文字。
- 「エンドポイントの情報(インストールされているアプリケーション、ログ、起動プロセスなど)を収集し、エンドポイントでの脅威検知及び対応を支援するツール」
- PS3 呆気無く陥落
- 何で、そんな大事な private key が解析されてしまったのでしょうか?。
- カンファレンスにおける fail0verflow の説明によると、ECDSA(楕円曲線暗号デジタル署名) でキーの生成に使う乱数がなんと「固定値」になっているということで、private key の探索範囲が一挙に縮まり、どうやら private key の奪取に成功したようです。
- これはもう人災ですね。カンファレンスでも、「これはプログラムの不具合ではなく、PS3 の実装を使っただけですから」どか言われてるし…。
- ボットネットの新たな温床になりかねないネットワーク・プロセッサ 2008.7.31
- NPUネットワーク・カードが普及し,さらに同カードを悪用するボットが登場したとしよう。悪質なソフトウエアが同カードに攻撃を仕掛け,パソコン本体のプロセッサやOSに影響を与えずに同カードを完全に掌握する可能性がある。ボットがNPUを管理下に置いてしまえば,このパソコンで送受信しているすべてのネットワーク・データが盗聴される上,ほかのパソコンのNPUネットワーク・カードも攻撃対象になりかねない。加えて,これらの攻撃はすべて,通常のウイルス対策ソフトから検知されずに実行できるのだ。
- SQLインジェクション攻撃の波が再来、通常の70〜100倍に 2008.3.13
- ASPを用いて開発されたアプリケーションは、企業の要件に応じて個別に開発されることが多いが、その「バグが作り込まれやすいところを狙ってきている。このため、一概にパッチの適用で修正できるというわけではなく、対処が困難だ」と新井氏は指摘。Webサーバを運用している企業や組織は、パッケージ製品だけでなく、外注しているアプリケーションについても改めて診断を受け、修正を施すべきだと述べた。
公的な情報源†
→資格関連 ←情報処理安全確保支援士についてはこちらへ
- Linuxセキュリティ標準教科書(Ver1.0.0) 2013.10.1
- 本教材を学校教育や企業研修において活用していただき、OSS/Linuxにおけるセキュリティ教育の質向上の一助としていただければ幸いです。
- また、本教材は、セキュアなシステム設計・サーバ構築のスキルを認定する「LPICレベル3 303試験(LPI-303 Security Exam)」の教育および学習にも役立ちます。
ISMS†
用語説明†
- サイドチャネル攻撃
- サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。
- 白熱電球の例えがわかりやすい。電球の明滅の情報だけでなく、消した後に残る熱からどの電球が点いていたかの情報を得るのがサイドチャネル攻撃に相当する。
- シフトレフト|セキュリティ用語解説|NRIセキュア 2022
- シフトレフトとは、開発ライフサイクルが短期間化し、迅速かつ頻繁にアプリケーションをリリースする傾向が広がっていくなか、リリースのスケジュールを妨げないように、セキュリティに関わる工程を前倒しして実施するという概念です。
- 具体的には、開発前の段階からセキュリティを考慮した設計を行ったり、開発したシステムにおけるセキュリティ診断工程を内製化・自動化したりする取り組みが行われています。システム開発のスケジュールは、左から右に進行する流れで描かれるため、工程を前倒しすることは、左側へ移行することを意味することから、このように呼ばれるようになりました。
Security.txt†