PowerPoint プレゼンテーション

Similar documents
PowerPoint プレゼンテーション

— intra-martで運用する場合のセキュリティの考え方    

OpenRulesモジュール

OpenRulesモジュール

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

SiteLock操作マニュアル

— IM-VisualDesigner Migration Tool 2017 Spring リリースノート   初版  

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

IM-SecureSignOn

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

intra-mart EX申請システム version.7.2 事前チェック

intra-mart EX申請システム version.7.2 PDFオプション リリースノート

— 製品保守ポリシーとアップデート・パッチの考え方    

SQLインジェクション・ワームに関する現状と推奨する対策案

目的 概要 全体像 概念図 用語の定義 用語 説明 用語 説明 用語 説明 用語 説明 参考資料

2. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取得 更新するための API SAP リアルタイム連携 API を提供いたします またこれらの API を利用した業務テンプレートが同梱されています 各機能の詳細や設定方法に関しては 各マニュアルまたはセットア


intra-mart FormatCreator Version6.1

2. バージョンアップ内容 intra-mart WebPlatform/AppFramework Ver.7.1 および Ver.7.2 に対応いたしました SAP JCo 3.0.x に対応いたしました 3. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

intra-mart EX申請システム version.5.4 提出依頼機能 リリースノート

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

FormatCreator

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

WSUS Quick Package

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

WEBシステムのセキュリティ技術

金融工学ガイダンス

クライアント証明書導入マニュアル

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

金融工学ガイダンス

CA Federation ご紹介資料

intra-mart EX申請システム version.5.3 PDFオプション リリースノート

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

OmniTrust

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

業務サーバパック for 奉行シリーズスタートアップガイド

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

金融工学ガイダンス

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

— IM-SecureSignOn for Accel Platform 2016 Spring リリースノート   第2版  

WEBバンキングサービス

<4D F736F F D CC2906C A90848FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

弊社アウトソーシング事業

HDC-EDI Base Web/deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について


脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

UCSセキュリティ資料_Ver3.5

— IM-SecureSignOn for Accel Platform 2017 Winter リリースノート   第2版  

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

intra-mart ワークフローデザイナ

Interstage Application ServerのTLS 1.1/1.2サポートについて(広報)

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

目 次 〇はじめに 利用方法 3 〇宿泊施設用チェックリスト 4 1.Wi-Fi のセキュリティ対策 4 2. ホームページのセキュリティ対策 6 3. 重要システム ( 客室管理システム 予約システム等 ) のセキュリティ対策 8 4. 組織のセキュリティ対策 9 〇用語集 11 2

製品概要

事務連絡 平成 28 年 4 月 25 日 障害福祉サービス事業所 障害児施設 各位 東京都国民健康保険団体連合会 介護福祉課障害福祉係 電子請求受付システムにおける Windows 10 への対応及び留意事項について 平素 本会の事業運営につきまして 格別のご高配を賜りお礼申し上げます さて 平成

セキュリティ基盤ソリューション

— OpenRulesモジュール 2017 Summer リリースノート   初版  

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

2Mac OS OS Safari プラグインソフト 3.X Mac OS X 5.X Mac OS X 5.X Mac OS X Adobe Reader ( 入出金明細照会結果を印刷する場合 / ローン 外貨サービスを利用する場合 ) Adobe Fla

別添 2 SQL インジェクション ぜい弱性診断で最低限行うべき項目 1 ( ' ( 検索キー )''-- ( 検索キー ) and 'a'='a ( 検索キー ) and 1=1 は最低限 行うこと ) OS コマンドインジェクション 2 (../../../../../../../bin/sle

個人向け WEB バンキングサービス 推奨環境と設定について 新システムにおける個人向けWEBバンキングサービスの推奨環境は以下のとおりです 推奨環境には 開発元のサポートが終了し セキュリティ更新プログラム等の提供が行われていないOSやブラウザは含まれません また 推奨環境については動作確認をして

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

<4D F736F F D FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

金融工学ガイダンス

いよぎんインターネットEB ご利用の手引

TDB電子証明書ダウンロード手順書(Microsoft Internet Explorer 版)

スライド 1

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

WEB-FB(法人用インターネットバンキング)

1. 件名 各種学生情報システム群の脆弱性診断業務一式 2. 目的独立行政法人国立高等専門学校機構 ( 以下 機構 という ) は 平成 16 年 4 月に独立行政法人化され 全国 51の国立高等専門学校 ( 以下 高専 という ) が一つの法人格にまとまることによるスケールメリットを活かした管理運

— OpenRulesモジュール 2017 Summer リリースノート   第2版  

*2 Windows7 (SP なし ) につきましては セキュリティ向上のため Windows7 SP1 をご使用することをお薦めいたします *3 ソフトウェアキーボードご利用時に この Web ページがクリップボードへアクセスするのを許可しますか? というメッセージがダイアログボックスで表示され

マルウェアレポート 2018年1月度版

Microsoft Word - 推奨環境.doc

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

ALC NetAcademy システム構成

metis ami サービス仕様書

目次 2 1. 実施内容 スケジュール ご依頼事項 加盟店様への影響 購入者様への影響 07 6.TLS1.2 未満使用停止の背景 08 7.FAQ 09

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

HDC-EDI Base deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

Webアプリケーションを守るための対策

<4D F736F F F696E74202D20466F C68EE390AB B28FD089EE2091E6382E3094C A2E B8CDD8AB B83685D>

SinfonexIDaaS機能概要書

McAfee Application Control ご紹介

V05L14R1 Release News Letter

KDDI Smart Mobile Safety Manager ( 基本プラン /4G LTE ケータイプラン ) オプション機能説明 2018 年 2 月 27 日現在 KDDI 株式会社 ver Copyright 2018 KDDI Corporation. All Rights


サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

Transcription:

情報種別 : 公開会社名 : NTT データイントラマート情報所有者 : 開発本部 intra-mart で運用する場合の セキュリティの考え方 株式会社 NTT データイントラマート

Webアプリケーションのセキュリティ対策 一般的にセキュリティ 脆弱性 対策は次に分類されます ①各製品部分に潜むセキュリティ対策 製品の中でも 次のように分類したとします A サーバOS Java データベース製品 Webブラウザ等のミドルウェア製品» 例) JDK8の脆弱性 WindowsServer2012R2の脆弱性等 Internet Explorerの脆弱性による問題 OSに侵入したウィルスによる問題等 P.3にて解説します B intra-mart製品 P.4にて解説します ②個別に開発したアプリケーション 連携先アプリケーションの対策» 例) SIer開発のプログラム 連携先のERPやWebサービス等 P.7にて解説します ③サーバOS Webサーバ等のインフラ部分の設定 管理の徹底 サーバその他 物理的なネットワークに関するセキュリティ対策» 例) 暗号化通信 SSL VPN回線 専用回線 Firewall等のアーキテクチャ P.8にて解説します 2

①各製品部分に潜むセキュリティ対策 サーバOS Java データベース製品 Webブラウザ等 各ベンダーから提供される修正プログラムを必ず適用 してください ミドルウェアベンダーからの修正プログラムを適用» Oracle Java の脆弱性対策について(CVE-2015-0469等) http://www.ipa.go.jp/security/ciadr/vul/20150415-jre.html OS Webブラウザは定期的なWindows Updateを実施» Microsoft 製品の脆弱性対策について(2015年5月) http://www.ipa.go.jp/security/ciadr/vul/20150513-ms.html -コラム- 修正プログラムの適用によるintra-mart製品への影響は 原則 影響はないものと考えられます 脆弱性に対する修正となるため 動作仕様が変 更となる事はないと考えられます ただし 弊社から提供するものではありませんので 修正プログラムの詳細については 各ベンダー側へご確認ください また 修正プログラム適用後に問題が発生した場合は 弊社までお問合せください 3

①各製品部分に潜む脆弱性 intra-mart製品 パッケージ部分 intra-mart製品のセキュリティ 脆弱性 対策は リリース前に一定の水準を持ったテスト および 脆弱性対応を施しています 弊社製品リリース前に実施する脆弱性テストの検知対象 クロスサイトスクリプティング OSコマンドインジェクション HTTPレスポンス分割 SQLインジェクション パラメータ改竄 強制ブラウジング Hiddenフィールドの不正な操作 Cookieの濫用 バックドア および デバッグオプション コンテンツ脆弱性 製品リリース後 万が一 intra-mart製品に関する部分でセキュリティに関する 脆弱性などが見つかった場合は 最新アップデートに対する緊急パッチ 次期アップ デートにて対応します 事象に応じては 過去1年のアップデートに対するパッチ提供も検討致します 弊社から提供する脆弱性修正プログラムによって 原則 動作仕様が変更になる事はありません 4

①各製品部分に潜む脆弱性 代表的な脆弱性に対するintra-martの方針 1 パラメータタンパリングなどURL操作 リクエスト操作によるセキュリティ intra-mart製品は ユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳 密に制限します このため 不正なパラメータが送られた場合においても 通常は個人に割当 られた情報のみが開示される仕組みになります ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れに よる セキュリティリスクがあります クロスサイト スクリプティング 通常ユーザが入力する箇所については クロスサイト スクリプティングを想定したサニタイ ジング 無害化 処理を行ったアプリケーションを作成しています ただし Webブラウザそ のものの脆弱性に関するスクリプトなどは 対応しかねる部分があります また 一部管理者向けの機能にて 悪意あるスクリプトが入れられてしまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う必要があります SQLインジェクション 通常ユーザが入力する箇所については SQLインジェクションを想定したサニタイジング 無 害化 処理を行ったアプリケーションを作成しています また 一部管理者向けの機能にて 悪意あるSQLが入れられてしまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う必要があります 5

①各製品部分に潜む脆弱性 代表的な脆弱性に対するintra-martの方針 2 ブロークンアクセスコントロール intra-mart製品は ユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳 密に制限します このため 不正なパラメータが送られた場合においても 通常は個人に割当 られた情報のみが開示される仕組みになります ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れに よる セキュリティリスクがあります バッファーオーバーフロー intra-mart製品は Javaで作成されています 通常は不正なメモリ領域にアクセスさせるよう なパラメータを侵入させることは困難な仕組みとなります セッションハイジャック セッションポイズニング セッションハイジャックについては 今現在のアーキテクチャにおいてはリスクを完全に回避 することが困難です このため 物理的なレイヤでの制御やOSでのセキュリティ強化によって ユーザのCookieを秘 匿に保っておくなどの対策が必要です 6

②個別に開発したアプリケーション 連携先アプリケーション 弊社intra-mart製品基盤上で動作する個別に開発したアプ リケーション 連携先アプリケーションについては Sier お客様側でセキュリティ 脆弱性 対策が別途必要 です 製品基盤で全て担保されるものではありません 脆弱性検知ツールや 脆弱性診断サービス等のご利用をご 検討ください -コラム- どこまで対策を行えばよいのか お客様企業におけるセキュリティポリシーや RFP 提案依頼書 に盛り込ま れるセキュリティ要件 システムの用途 外部への公開有無 機密情報の取り 扱いレベル 利用者の範囲 により異なります 以上でお困りの場合 弊社コンサルティングサービス をご利用ください 個別に開発したアプリケーション 連携先アプリケーショ ンなど お客様毎で最適なご提案が可能です 7

③サーバOS Webサーバ等のインフラ部分の設定 管理の徹底 intra-mart製品の取り扱うセキュリティは 物理シス テムや通信アーキテクチャなどを除いた アプリケー ションレイヤーの一部分となります intra-mart 製品基盤 としてのセキュリティ対策は施して いますが その上で Firewallによるアクセス制御 SSLク ライアント認証 VPN敷設 その他ウィルス対策ソフト導入 などの弊社製品の範囲外については別途 対策を総じて講じ る必要があります インフラ等のシステム初期構築のみではなく その後の運用 も考慮したセキュリティ対策を検討する必要があります -コラム- どこまで対策を行えばよいのか お客様企業におけるセキュリティポリシーや RFP 提案依頼書 に盛り込ま れるセキュリティ要件 システムの用途 外部への公開有無 機密情報の取り 扱いレベル 利用者の範囲 により異なります お困りの際は 弊社コンサルティングサービスまでご相談ください 8

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック