Information
JNSAバイヤーズガイドメールニュースについて
毎月2回(第1・第3水曜日)に配信しておりました、JNSAバイヤーズガイドメールニュースですが、12月19日(水)配信を最後にいったんサービスを停止させていただき、1月22日(火)より、NETWORKWORLD週刊メールニュースにサービスを統合させていただくことになりました。現在まで、誠にありがとうございました。(2007年12月11日)
JNSA Press(Web版)・・注目トピック掲載中
新規コンテンツ「ケーススタディによる安全なWebサイト構築と運用 テストフェーズ」を公開しました。(2007年12月19日)
「ケーススタディによる安全なWebサイト構築と運用」連載中
JNSA技術部会「WebアプリケーションWG」による、Webシステム安全のための啓発コンテンツを連載しています。(2008年5月13日)
JVN 脆弱性対策情報を配信開始
本サイトの右エリアにJVN 脆弱性対策情報を追加しました。同エリアでは、JPCERT/CCが取り扱った脆弱性に関する最新情報をお届けしています。(2007年5月14日)
JNSA Press (Web版)
ケーススタディによる安全なWebサイト構築と運用
運用フェーズ
企画、設計、開発、テストの各フェーズにて様々な問題を抱えたまま、JNSA商事のWebサイトはオープンを迎えました。オープン当初は何のトラブルも発生せず、無事に稼働しているようです。しかし、今まで放置されてきた各フェーズでの問題点はどれもシステムに重大な影響を与えるものばかりです。そしてこれらの多くが運用フェーズに入ってから問題を引き起こします。果たしてJNAS商事のWebサイトはこのまま何事も無く順調に運用されていくのでしょうか・・・?今回は、トラブル発生時における運用フェーズでの問題点やその改善策を検討します。(2008年5月13日)
ケーススタディによる安全なWebサイト構築と運用
テストフェーズ
今まで企画、設計というフェーズでJNSA商事を見てきましたが、今回はテストフェーズでの状況や問題点、その改善策を検討していこうと思います。今までなんとかスケジュール遅延を起こさずにやってきたJNSA商事ですが、テストフェーズはどうなるでしょうか?(2007年12月19日)
情報セキュリティと仕様のオープン性に関する課題
-「IC・IDカードの相互運用可能性の向上に係る基礎調査」から-
(後編)
ICカードのセキュリティの高さの根拠として、よく耐タンパー性などが説明されます。しかし、耐タンパー性や、ICカードで利用されている暗号のアルゴリズム等は、非常に重要な要素ではありますが、それらが評価されているからICカードは安全というのはかなり危ない発想です。それらにより何が保護されているか、どのように保護されているかといったことへの理解がより重要です。(2007年12月5日)
セキュリティ診断を実施したい
Webサイトやネットワークのぜい弱性を放置しておくと、ウイルス/ワーム感染や不正アクセス、情報流出などの被害にあう可能性があります。きちんと対策したつもりでも、どこかに1か所でも“抜け穴”があると、そのほかの対策がむだになってしまうと言っても過言ではありません。ここでは、Webサイトやネットワークなどのセキュリティ診断のための製品/サービスを紹介します。
(2007年6月20日)
P2PソフトやIMの利用を制限したい
P2Pファイル交換ソフトやインスタントメッセンジャー(IM)は、情報漏えいの源となる可能性があります。しかも、IDP(侵入検知/防御システム)やファイアウォールによる防御では、根本的な解決にはなりません。いちばんの対策は、クライアントPCにインストール・稼働させないことです。ここでは、こうした危険をはらむP2PソフトやIMへの対策製品/サービスを紹介します。
(2007年6月20日)
ネットワークに接続しているデバイスやユーザーを管理したい
ネットワークに接続してくるデバイスやユーザーは、常にセキュアとはかぎりません。OSのセキュリティパッチを適用していないかもしれません。外部に持ち出されて、ウイルスに感染しているかもしれません。社員のPCを攻撃者が悪用している可能性も否定できません。ここでは、ネットワーク上のデバイスやユーザーを管理するための製品/ソリューションを紹介します。
(2007年6月20日)
経営者や一般社員に対してセキュリティの意識を高めたい
情報セキュリティマネジメントの観点では、ITによる対策のほかに、人材教育が欠かせません。セキュリティ教育はこれまでは軽視されがちでしたが、現在は、エンジニアのみならず、経営幹部や一般社員にも相応の知識が求められています。ここでは、セキュリティに対する意識向上のために企業が取り組むべきソリューションを紹介します。
(2007年6月20日)
メール(社内・外向け)のセキュリティを強化したい
電子メールの利用が増えるにつれて、ワーム/ウイルス、スパム、フィッシングなどの被害も増しています。これらの問題に適切に対処しなければ、セキュリティ上の脅威を取り払うことができず、従業員の生産性低下やビジネス機会の損失といった事態に陥ってしまう可能性があります。ここでは、対策が急務となっている電子メールのセキュリティ対策製品/サービスを紹介します。
(2007年6月20日)
製品/サービス名:
Webアプリケーション・ファイアウォール・アプライアンス
『IMPERVA SecureSphere WAF』
業界唯一の自動化Webアプリケーションファイアウォール
現在、Webアプリケーションの脆弱性を狙った「SQL インジェクション」などの攻撃が急増しており、Webサイトの改ざんや個人情報の漏えい、また攻撃の踏み台にされるなどの深刻な被害となっています。多くのアプリケーションの脆弱性を狙った攻撃に対し、ファイアウォールやIPS(侵入防止システム)などの従来のセキュリティ製品では、個々のアプリケーションに自動的に対応することや、高度化・複雑化する脅威すべてを1つのソリューションで防御することができません。『SecureSphere』は、マルチレイヤ対応のリアルタイムで自動化されたセキュリティを実現しており、アプリケーションの脆弱性を狙った既知および未知の脅威を防御します。
既存の環境を変更することなく、Webサーバ、Webアプリケーションサーバを防御
■セキュリティ機能
■アプライアンス スペック
価格:別途お問合せ
URL(詳細ページ):
http://www.dcs.co.jp/security/application/wafirewall/isswaf/wafoutline.html
(2008年12月24日)
製品/サービス名:
DB/Webアプリケーションファイアウォール
『SecureSphere (セキュアスフィア) DSG/WAF』
DB/Webアプリを評価・監査・防御
Imperva社開発「SecureSphere」は、DBサーバや電子商取引サーバ、Webアプリサーバを包括的に、かつ負荷をかけずに、不正アクセス、改ざん、情報漏えいなどから護ると同時に、DBアクティビティを監視し、監査します。導入に際し、既存のインフラの変更および手動調整は必要ありません。
【特徴】
●ダイナミック Web/ XML/DB ファイアウォール
ホワイトリスト完全自動学習
●IPS
ネットワーク ファイアウォール、シグネチャ検出およびHTTP/SQLプロトコル異常検知機能
●相関攻撃検証
複数イベントを相関分析することで、複雑で精巧な攻撃も正確に防御
●データベース監査(DSG)
監査のためにデータベースへのアクセスを全文記録
●データベース フルレスポンス監査(DSG)
アクセスだけでなく、レスポンス(実際に閲覧された情報)も全文記録
●全世界で700社を超える実績
SecureSphere導入事例(フジテレビジョン様他):http://www.ahkun.jp/resource/model.html#ss
2007/08/29 無料データベース脆弱性スキャナ 提供開始:http://www.ahkun.jp/product/ss3.html
2007/10/25 Forensic for SecureSphere DMG/DSG 販売開始:http://www.ahkun.jp/product/ss4.html
2008/12/10 低価格WAF(248万円~) SecureSphere G2 WAF 販売開始:http://www.ahkun.jp/product/ss.html
会社名:株式会社アークン
価格:248万円(税別)~
URL(製品情報):
http://www.ahkun.jp/product/ss.html
(2008年12月15日)
製品/サービス名:
データベース監査アプライアンス
『SecureSphere(セキュアスフィア) DMG』
DBを評価・監査
Imperva社開発 「SecureSphere DMG」は、三層構造(エンドユーザ⇒Webアプリケーション⇒データベース)に対応したデータベース アクセス監査ソリューションです。DMGは、ノン-インラインでネットワーク モニタとしてアプリケーション サーバとDBのそれぞれへのアクセスを個別に捕捉し照合することで、監査ログにエンドユーザ情報を記録します。
【特徴】
●三層構造(エンドユーザ⇒Webアプリケーション⇒データベース)対応
●データベース監査
監査のためにデータベースへのアクセスを全文記録
●データベース フルレスポンス監査
アクセスだけでなく、レスポンス(実際に閲覧された情報)も全文記録
●防御機能付DSGへ容易にアップグレード可能
IPS機能、ホワイトリスト違反防御機能、SQLプロトコル異常防御機能、WAF機能
●ライセンス無制限(監視対象DB無制限)
●全世界で700社を超える実績
SecureSphere導入事例(フジテレビジョン様他):http://www.ahkun.jp/resource/model.html#ss
2007/08/29 無料データベース脆弱性スキャナ 提供開始:http://www.ahkun.jp/product/ss3.html
2007/10/25 Forensic for SecureSphere DMG/DSG 販売開始:http://www.ahkun.jp/product/ss4.html
2008/12/10 低価格WAF(248万円~) SecureSphere G2 WAF 販売開始:http://www.ahkun.jp/product/ss.html
会社名:株式会社アークン
価格:要お問い合わせ
URL(製品情報):
http://www.ahkun.jp/product/ss.html
(2008年12月15日)
製品/サービス名:
メールシステムへの負荷を大幅に軽減させるメールフローコントロールアプライアンス
【マトリックススキャン FLOW】
マトリックススキャン FLOW メールフローコントロールアプライアンスは、多種多様な受信メールを的確にコントロール。メールシステムへの負荷を劇的に軽減させ、システムリソースを有効活用に寄与します。
会社名:アイマトリックス株式会社
URL(製品情報):
http://www.imatrix.co.jp/flow_1.html
価格:498,000円(100アカウント)より
URL(製品資料請求):
http://www.imatrix.co.jp/inquiry.html
(2008年12月 2日)
製品/サービス名:
国産技術、抜群の性能と信頼性を誇るアンチスパム製品の最高峰
【マトリックススキャン APEX】
「マトリックススキャン APEX」は日本語スパムメールの特異性にも対応したメールセキュリティアプライアンスです。国内スパム専用検出センターを設置し、刻々と変化する日本や世界のスパム事情に機敏に対応できるサービスをご提供いたします。オンメモリ処理による高速MTA、リアルタイム2検出など独自技術による様々な特長を持っています。
会社名:アイマトリックス株式会社
URL(製品情報):
http://www.imatrix.co.jp/9.html
価格:598,000円(100アカウント)より
URL(製品資料請求):
http://www.imatrix.co.jp/inquiry.html
(2008年12月 2日)
- ITエンジニア/ITエキスパートのための専門サイト、TECH WORLDオープン(2008年4月18日)
- MySpaceに新たなセキュリティ問題――特定ユーザーに行動を追跡されるおそれ (2008年4月18日)
- 混迷を極める企業のセキュリティ対策 (CIO Magazine 2008年2月号に掲載)
