情報セキュリティセミナー(技術コース標準編2)

情報セキュリティセミナー 本ブログ2010年9月28日に掲載した 情報セキュリティセミナー の昨日10月1日分 技術コース標準編 を受講して来ました。 午前の部については本日の午前中の記事 技術コース標準編1 に記しましたのでご参照下さい。

午後は期待通り極々技術的な内容となります。 先ずは ウェブアプリケーションへの攻撃手法 として

  1. SQLインジェクション
  2. クロスサイトスクリプティング
と言う代表的な二者が挙げられ、 デモを加え乍ら説明がなされました。 この際 VMware(ヴイエムウェア) と言う仮想化ソフトウェア、即ちコンピュータの中に仮想的にコンピュータを構築する手法を使って 実際にドメイン間のシミュレートをされているのに成る程なと思わされました。

SQLインジェクションと言うのはホームページの穴を突いて データベースを不正に操作する方法を言いますが、 IT業界に携わると最早古典的の感も有る程、繰り返し耳にするものです。 クロスサイトスクリプティングとは正規のホームページに 攻撃者のホームページへと情報を漏洩させる仕組みを仕込むものです。 今回はセッションID(何頁ものホームページを行き来する読者が同一であることを確保します)を 他サイトに送信するjavascriptの概略が紹介されました。 此方もWebに携われば耳慣れた手法です。 どちらも良く知られた攻撃手法であり乍再々度俎上に上げられるのは、 両者が変わらず攻撃手法の多数を占め、尚且つ攻撃者からは有効であるからに他なりません。 講師経営企業で用意された ウェブアプリケーションセキュリティ要件 も紹介されましたので必要な方はリンク先をご参照下さい。

次なる項目は インシデントレスポンス です。 インシデントレスポンスとは、 実際に情報セキュリティに関する事件がが起きたらどうするか、と言うものです。 情報セキュリティ上の事件は何時でも起こり得るものです。 其の中でいざ事件が起きたらどう対処するか? 事例を挙げて紹介されました。 特に去年より猛威を振るい、今も尚度々ことを引き起こす ガンブラーについて取り上げられましたので、 実情に基づいた分かり易い内容となっていました。 因みに此の ガンブラー とは攻撃タイプのカテゴリー名で ウイルス名ではないと言う認識に落ち着いていますので、 勘違いされていた向きはご修正のほどを。

ホームページ運営に詳しい方では、 ご自分でホームページを更新される方も居られるでしょう。 サーバーにホームページをアップする際にはどんなソフトをご利用でしょうか。 此の時の通信の約束事、 プロトコルFTP を使われている方が未だ多いかも知れません。 ソフトウェアの名前に FTP と付いていれば其の可能性は高いです。 ソフトウェアの利用するプロトコルを SSH に変更すれば此れだけで可成、 安全度が向上するとの話がありましたのでご参考下さい。

またレクチャーでは役立つ 情報セキュリティ上のチェックツールも紹介されましたので 以下に代表的なもの二つを記しておきます。

今日のセミナーで最も印象に残ったのは、 情報セキュリティの専門家である講師の方の認識としても、 ウイルス感染パソコンは現状ほぼ初期化しかなくなりつつあると言うことです。 又良く言われることですが、ウイルスに感染すると加害者になることも屡です。 いみじくも講師がセミナー中使用の自信のノートPCを指差し、 これだって感染していないとは言えない、 との発言もありました。 さても皆さんもくれぐれもウイルス対策は怠り無く。 この様な極々専門家の何気なく漏らす生の声がセミナー参加の優位点であり、 是非来年も参加したく思いながら、 今回の情報セキュリティーセミナーを終えたのでした。

2件のコメント

  1. 情報セキュリティセミナー~2011年度マネジメントコース入門編

    2008年度、2009年度、2010年度に引き続き今年で個人的には4度目の浜松商工会議所主催、IPA(独立行政法人情報処理推進機構)による情報セキュリティセミナーを受講して来ました。本記事には1月25日、26日と二日に渡って開催された内の初日、25日のマネジメントコース入門編に

  2. 情報セキュリティセミナー~2011年度技術コース標準編

    浜松商工会議所主催、IPA(独立行政法人情報処理推進機構)による情報セキュリティセミナーが2012年1月25日、26日と二日に渡って開催され受講した際の初日文のレポートを投稿したのが本ブログ昨日1月26日の記事情報セキュリティセミナー~2011年度マネジメントコース入門編に

コメントは受け付けていません。