2010年05月02日

裁判所の電子データの証拠保全不備・・・

地元の新聞にも載っていましたが、
これはあまりにもヒドイ話です。。。

福島地裁郡山支部が証拠保全で記録した映像データを消去した問題で、内部調査をした同地裁の首席書記官が「なくなったものはどうしようもない」などと、責任回避と受け取れる不適切な発言をしていたことが30日、原告の男性(40)の証言で分かった。


■毎日新聞:
  福島地裁郡山支部、証拠映像消去
 「原因はヤブの中」 首席書記官、説明回避 /福島
http://mainichi.jp/area/fukushima/news/20100501ddlk07040205000c.html

裁判所でも電子データの証拠保全について勉強して
証拠の大切さをしっかり学んで欲しいですね
裁判所の信用問題ですから。。。

2010年04月21日

OWASP top 10 for 2010リリース版

OWASP top 10 for 2010が正式公開されました。
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

1位: Injection
2位: Cross-Site Scripting (XSS)
3位: Broken Authentication and Session Management
4位: Insecure Direct Object References
5位: Cross-Site Request Forgery (CSRF)
6位: Security Misconfiguration (NEW)
7位: Insecure Cryptographic Storage
8位: Failure to Restrict URL Access
9位: Insufficient Transport Layer Protection
10位: Unvalidated Redirects and Forwards (NEW)


順位の変動はありましたが、大きな入れ替えはなく6位と10位がランク外からの登場ですね。
「Security Misconfiguration」は、セキュリティの初期設定と最新版への更新維持の不備。
「Unvalidated Redirects and Forwards」は、リダイレクトやフォワードによってユーザを未許可のページへアクセス。最近、リダイレクトするサイトが多いですね。

2007年度版で3位だった「Malicious File Execution」と6位だった「Information Leakage and Improper Error Handling」はランク落ちです。
「Malicious File Execution」はPHPでの脆弱性対応が進んだ事でランク落ちしたのでしょう。
「Information Leakage and Improper Error Handling」は設定情報漏洩と不適切なエラーハンドリングですが、まだまだありそうな気がします。。。


あとで英語と格闘して熟読したいと思います。

2010年04月15日

新入社員のセキュリティ教育マニュアル

JPCERTで新人教育向けのセキュリティマニュアルが公開されました。
この時期は、こういった文書が多く公開されますね。

JPCERTでは、あわせてセキュリティクイズなんていう物も公開しています。
このクイズは、活用させてもらおうかなひらめき

ちょっと自分もクイズを試してみます。
(ボロボロだったらどうしよう。。。)


■JPCERT:新入社員等研修向け情報セキュリティマニュアル

2010年04月02日

PDFの危険な仕様

何気なく使っているAdobe PDFですが、PDFの仕様はドキュメントとして756ページもあるそうです。
たった一つのドキュメント仕様なのに700ページはビックリですね。
たしかに見たことない音楽が鳴るPDF、動画が流れるPDFなんていう仕様もあるので、そのぐらいになってしまうのでしょう。。。

そんな多種多様な仕様の中に脆弱性が潜んでおり、PDFファイルを開くだけで「実行ファイル」を呼び出すことが出来しまうとフィンランドのセキュリテイ企業によって発見されました。

誰でも、どのPCでも手軽に見れるPDFは便利ですが、過去の仕様は廃止していって欲しいですね。

Adobe社の方で仕様が変更できないなら、ユーザー側が危険性に対する備えとして「Chrome OS」などのブラウザベースのOSを使う必要がありそうです。


■IT Pro:「ファイルを開くだけでプログラム実行の恐れ」、PDFの危険な仕様

2010年03月31日

IPA「2010年版 10大脅威」を公開

IPAから2009年の一年間に届けられた情報や一般で報道された情報をまとめた資料が公開された。

組織の各レイヤー毎の脅威と対策を分かりやすくまとめられているので、2009年度の反省を踏まえて「2010年版の10大脅威」を自組織に照らし合わせて見直したり、お客様へセキュリティの提案していく参考資料にしていけるかな。

■IPA:「2010年版 10大脅威 あぶり出される組織の弱点!」を公開

本資料の第1章では、2009年に実際にあった脅威を例に、組織にとってのビジネスインパクトを考察しています。第2章では、安全なインターネットの利用における脅威を、2009年に「印象が強かったもの」「社会的影響が大きいもの」などの観点からまとめた10大脅威について解説しています。第3章では、経営者・システム管理者・開発者の立場から、10大脅威に対する事前対策・事後対応を紹介しています。