無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

情報セキュリティ

認証-バイオメトリックス認証

身体的な特徴や行動面での特性など個人に固有の情報を利用して認証を行う。 ○詐称が困難。なりすましが困難。 ○識別情報の管理が容易。暗記不要。盗難等にも強い。 ×事前に特徴の入力が必要 ×特徴が似ている場合、誤認識のおそれがある。 ×特徴が体調や加齢…

認証-ワンタイムパスワード方式による認証3つ

1回だけの使い切りのデータを用いて認証を行う認証方式。 ○1回だけの使い切りなので、盗聴されても安心 ○リプレイアタックも防げる ×クライアント認証で使う場合、サーバー認証の機能はないのでサーバーのなりすましは防げない。 次の3つの方式がある。 チャ…

認証

認証 何かしらの知識をもとに、対象の正当性を確認する行為。(→認証 - Wikipedia) 認証する対象 情報セキュリティで認証する対象として出てくるのはだいたい次の3つ。 人 ユーザー認証。操作を実行する人が正当か確認する。 ハードウェア ハードウェアが正当…

脆弱性と対策-ネットワーク構成

機密性/完全性に関する脆弱性 脆弱性 リスク 対策 セキュリティレベルの違うサーバーが同じセグメント内に混在 公開サーバーが攻撃を受けのっとられた場合、社内サーバーが攻撃を受ける。内部犯罪の誘発。 セキュリティレベルに応じてセグメントを分割する。…

脆弱性と対策-無線LAN

認証 脆弱性 リスク 対策 通信パケットに暗号化されないSSIDが含まれる SSIDでのユーザー認証の無効化 IEEE802.1Xなどによる認証の強化 APからのビーコン信号にSSIDが含まれる SSIDでのユーザー認証の無効化 IEEE802.1Xなどによる認証の強化/ビーコン信号の…

脆弱性と対策-DNS

脆弱性 リスク 対策 不正なDNS情報をキャッシュしてしまう(DNSキャッシュポイズニング) 不正なサーバーへの誘導→ファーミング詐欺 TSIGによるゾーン転送を受け入れるサーバーの認証 ゾーン転送してしまう 内部ネットワーク構成の漏洩 設定により、不要なゾー…

脆弱性と対策-メールプロトコルの脆弱性と対策

メールの送信(SMTP)と受信(POP)プロトコルの脆弱性と対策まとめ。 メール送信プロトコル(SMTP)の脆弱性 脆弱性 リスク 対策 メールの投稿と中継の仕組みが同じ パケットフィルタリングによる第三者中継の抑制が困難 Outbound Port 25 Blocking(外側へのSMTP…

攻撃手法-ウイルス/ワーム類

悪意を持つプログラム。以下の機能を持つ。 潜伏 伝染 発病 種別 説明 ウイルス 寄主(ファイル)を必要とするモノ。OSのブートセクタやexe等のプログラムに感染し、実行時に悪事を働く。また、アプリケーションのマクロを利用しファイルに感染するマクロウイ…

攻撃手法-CSRF(クロスサイトリクエストフォージェリ)

Cookie等に保存された正しい認証情報を使って、正規ユーザーに任意のコマンドを実行させる。 流れ 正規ユーザーが認証→認証情報がクッキーに保存される。 攻撃者がコマンドを実行するURLを正規ユーザーに送る。 正規ユーザーがURLをクリック。→クッキーの認…

攻撃手法-XSS

問題を持つWebサイトを利用し、ターゲットのブラウザで任意のスクリプトを実行させる。 クッキー情報の奪取 Webサイトの改ざん 等が可能。 流れ ユーザが悪意あるWebサイト(悪意のあるスクリプトを含むURLがある)を閲覧 ユーザーがURLのリンクをクリック。→…

攻撃手法-OSコマンドインジェクション

入力値をそのままプログラムとして実行するような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、プログラムを不正に実行する。 対策 危険な関数の利用を避ける。 パラメータのチェック/サニタイズ WAFでの入力値チェック プログラムに…

攻撃手法-SQLインジェクション

入力値をそのままSQL文の一部に組み込むような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、データベースに不正アクセスする。 対策 ストアドプロシージャの利用。 パラメータのサニタイズ WAFでの入力値チェック プログラムに与える…

攻撃手法-バッファオーバーフロー

脆弱性のあるプログラムを悪意のあるパラメータで起動し、任意のコマンドを実行させる。 対策 ソフトウェア利用者 最新のセキュリティパッチを適用する。 スタック領域でのプログラム実行をOSの機能で禁止する。 プログラム実行を禁止するOSの機能を使う。(…

攻撃手法-スプーフィング

パケットの改変によてMACアドレス、IPアドレスなどを詐称し、それによるによるアクセス制御を無効化する。 対策 詐称されうる情報に頼ったアクセス制御を利用しない。

攻撃手法-セッションハイジャック

正規のユーザーにより確立されたTCP(や、より上位の層の)セッションを横取りし、正規ユーザーの権限でシステムに不正アクセスする。 名前 方法 リスク 対策 セッションハイジャック TCPやHTTPのセッションを奪取しなりすます。 奪取したセッションによる不正…

攻撃手法-パスワードクラック

パスワードを不正に入手し、システムにアクセス。情報漏洩やデータの改ざん、システムの破壊などのリスクにつながる。 名前 方法 対策 ブルートフォースアタック プログラムを利用した総当たり攻撃で、ユーザーのパスワードを得る パスワードを長くする。定…

攻撃手法-Dos(サービス不能)攻撃

ソフトウェアの停止やネットワークの負荷をあげ、サービス不能に陥れる。このほか、バッファオーバーフローでサーバープログラム停止→サービス不能とかもできる。(その場合、不正なコマンドを実行されることのほうが問題なのでここにはいれない。)大きく、 …

攻撃手法-情報収集

攻撃対象の情報収集手法のリスト。リスクには直結しないが、脆弱性が発見されることにより次の攻撃につながる。 名前 方法 リスク 対策 フットプリンティング 企業のディスクロージャ情報やWebページ、JPNICデータベース、およびDNSからターゲットとなるホス…

攻撃手法-おおざっぱな分類

主な攻撃手法はだいたいこんな感じ? 情報収集 DoS(サービス不能)攻撃 パスワードクラック セッションハイジャク スプーフィング バッファオーバーフロー OSコマンドインジェクション SQLインジェクション XSS/CSRF ウイルス/ワーム類 なんか足りない気もする…

評価制度

「情報セキュリティマネジメントシステム」と「個人情報の取り扱い」についてそれぞれ認定制度がある。どちらもJIPDECが管轄 ISMS適合性評価制度 企業の情報セキュリティマネジメントシステム(ISMS)が、JIS Q 27001:2006に準拠していることを認定する評価制…

個人情報保護の規格

JIS Q15001 (個人情報保護に関するコンプイアンス・プログラムの要求事項) 事業者が業務上取り扱う個人情報を安全で適切に管理するための標準を示した規格。→Wikipedia - JIS Q 15001(個人情報保護マネジメントシステム-要求事項) 事業者が保有する個人情…

情報セキュリティ関連の法律

電気通信事業法 電気通信の健全な発達と国民の利便の確保の為の、電気通信事業に関する詳細な規定。 通信の秘密 : 電気通信事業者の取扱中の通信を侵してはならない 刑法 以下の悪事は刑法でも規制されている。 電磁的記録不正作出及び供用 人の事務処理を誤…

情報セキュリティマネジメントの規格

情報セキュリティマネジメントシステムの構築と運用のために、なにをしないといけないかの規格(JIS Q 27001:2006)と、どうやったらいいかの規格(JIS Q 27002:2006)とがある。 JIS Q 27001:2006 情報技術−セキュリティ技術−情報セキュリティマネジメントシス…

可用性の話

可用性(稼働率)の計算式 可用性(稼働率)は以下の式で求められる。 可用性(稼働率) = MTBF / MTBF+MTTR MTBF(Mean Time Between Failure) 平均故障間隔=動いている期間 MTTR(Mean Time To Repair) 平均修理期間=とまっている期間 MTBF+MTTR 動いている期間+と…

リスクアセスメント

リスクアセスメント リスクの分析と評価のこと。情報セキュリティポリシー対策基準策定時に行う。 リスク分析手法 「IT セキュリティマネジメントのガイドライン−第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」では次の4つのリス…

情報セキュリティポリシーの策定

ISMSのPDCAサイクルにおけるP(Plan)の部分。 構造 情報セキュリティポリシーは次の3つの階層から構成される。→IPA - 情報セキュリティマネジメントとPDCAサイクル(図つき) 基本方針 経営者の「情報セキュリティに本格的に取り組んでいく」という宣言。 具体…

情報セキュリティマネジメントシステム(ISMS)

情報セキュリティマネジメントシステム(ISMS) 情報セキュリティを確保、維持するための、人的、物理的、技術的、組織的な対策を含む、組織的な取組みのこと。 PDCAサイクル Plan-Do-Check-Act の略で、情報セキュリティマネジメントシステムを有効に機能させ…

セキュリティ対策の分類

セキュリティ対策を機能的に分類すると、次の5つに分けることができます。 脅威や脆弱性に対して、これら5つの観点で対策ができていることが重要。 たとえば予防だけして検知や修復の対策を怠ったりするのはまずい。 目的と重要性にあわせてバランスよく対策…

情報セキュリティとは

以下の目的のため、各種脅威から情報資産を保護すること。 事業の継続 損害の最小化 利益と事業機会の最大化 具体的には次の3つのポイントを最低限維持することが必要。 機密性 権限が与えられたもののみに情報資産へのアクセスを許す。 可用性 必要なときに…

情報セキュリティはじめました。

2月になりました。そろそろ、情報処理技術者試験の勉強をはじめないと!今年も「テクニカルエンジニア-情報セキュリティ」目指してまったりがんばります。ということで、以下のテキストを買ってきました。当面はこれを読みつつ要点をまとめていくことにします…