PowerPoint プレゼンテーション

Similar documents
PowerPoint プレゼンテーション

— intra-martで運用する場合のセキュリティの考え方    

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

WEBシステムのセキュリティ技術

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情


OpenRulesモジュール

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

[投影版]見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策_

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

OpenRulesモジュール

目 次 〇はじめに 利用方法 3 〇宿泊施設用チェックリスト 4 1.Wi-Fi のセキュリティ対策 4 2. ホームページのセキュリティ対策 6 3. 重要システム ( 客室管理システム 予約システム等 ) のセキュリティ対策 8 4. 組織のセキュリティ対策 9 〇用語集 11 2

IM-SecureSignOn

— IM-VisualDesigner Migration Tool 2017 Spring リリースノート   初版  

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

intra-mart EX申請システム version.7.2 事前チェック

SiteLock操作マニュアル

— 製品保守ポリシーとアップデート・パッチの考え方    

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

intra-mart EX申請システム version.7.2 PDFオプション リリースノート

別添 2 SQL インジェクション ぜい弱性診断で最低限行うべき項目 1 ( ' ( 検索キー )''-- ( 検索キー ) and 'a'='a ( 検索キー ) and 1=1 は最低限 行うこと ) OS コマンドインジェクション 2 (../../../../../../../bin/sle

1. 件名 各種学生情報システム群の脆弱性診断業務一式 2. 目的独立行政法人国立高等専門学校機構 ( 以下 機構 という ) は 平成 16 年 4 月に独立行政法人化され 全国 51の国立高等専門学校 ( 以下 高専 という ) が一つの法人格にまとまることによるスケールメリットを活かした管理運

<4D F736F F F696E74202D20466F C68EE390AB B28FD089EE2091E6382E3094C A2E B8CDD8AB B83685D>

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

目 次 〇はじめに 利用方法 3 〇バス事業者及びバスターミナル事業者用共通チェックリスト 4 1.Wi-Fi のセキュリティ対策 4 2. ホームページのセキュリティ対策 6 3. 予約システム等のセキュリティ対策 8 4. 重要システム ( 配車 運行システム等 ) のセキュリティ対策 9 5.

に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区か

2. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取得 更新するための API SAP リアルタイム連携 API を提供いたします またこれらの API を利用した業務テンプレートが同梱されています 各機能の詳細や設定方法に関しては 各マニュアルまたはセットア

目的 概要 全体像 概念図 用語の定義 用語 説明 用語 説明 用語 説明 用語 説明 参考資料

Webアプリケーションを守るための対策

FormatCreator

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

2. バージョンアップ内容 intra-mart WebPlatform/AppFramework Ver.7.1 および Ver.7.2 に対応いたしました SAP JCo 3.0.x に対応いたしました 3. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取

intra-mart FormatCreator Version6.1

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

学校ホームページ管理ツール導入委託提案要求仕様書

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

金融工学ガイダンス

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

近年のセキュリティインシデント インターネットにおける事件が多様化 ウェブサイトにおけるセキュリティ事件も多発 時期 報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ 米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20

intra-mart EX申請システム version.5.4 提出依頼機能 リリースノート

SQLインジェクション・ワームに関する現状と推奨する対策案

金融工学ガイダンス

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

intra-mart ワークフローデザイナ

WSUS Quick Package

金融工学ガイダンス

クライアント証明書導入マニュアル

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

<4D F736F F F696E74202D E A B D682CC91E3955C93498D558C822E707074>

CA Federation ご紹介資料

HDC-EDI Base Web/deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

金融工学ガイダンス

<4D F736F F D CC2906C A90848FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2016 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2016 年 1 月 1 日から 2016 年 3 月 31 日まで

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

業務サーバパック for 奉行シリーズスタートアップガイド

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 4 月 1 日から2013 年 6 月 30 日までの

いよぎんインターネットEB ご利用の手引

TDB電子証明書ダウンロード手順書(Microsoft Internet Explorer 版)

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

<4D F736F F D FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

WEBバンキングサービス

<4D F736F F D DEC90E096BE8F E C E312E30816A2E646F63>

4. 業務概要 (1) WEB サイトの企画 設計 1 業務内容 ( ア ) 企画会議及び編集会議の運営 議事録の作成 ( イ ) 業務実施内容及び作業工程を示した業務計画書の作成 2 留意事項 ( ア ) WEB サイトの全体構成 デザイン等を議論するため 神戸市水道局職員等との企画会議を適宜開催

Microsoft Word 基_シラバス.doc

OmniTrust

intra-mart EX申請システム version.5.3 PDFオプション リリースノート

平成15年度 加古川水系広域農業水利施設総合管理事業

セキュリティ基盤ソリューション

Microsoft PowerPoint - Userguide-SyoninMail-v1.0.ppt

SinfonexIDaaS機能概要書

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

HDC-EDI Base deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

個人向け WEB バンキングサービス 推奨環境と設定について 新システムにおける個人向けWEBバンキングサービスの推奨環境は以下のとおりです 推奨環境には 開発元のサポートが終了し セキュリティ更新プログラム等の提供が行われていないOSやブラウザは含まれません また 推奨環境については動作確認をして

WSMGR for Web External V7.2 L50 ご紹介

2Mac OS OS Safari プラグインソフト 3.X Mac OS X 5.X Mac OS X 5.X Mac OS X Adobe Reader ( 入出金明細照会結果を印刷する場合 / ローン 外貨サービスを利用する場合 ) Adobe Fla

スライド 1

— IM-SecureSignOn for Accel Platform 2016 Spring リリースノート   第2版  

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 10 月 1 日から 2013 年 12 月 31

WEB-FB(法人用インターネットバンキング)

弊社アウトソーシング事業

Microsoft Word - 推奨環境.doc


目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

IOWebDOC

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

Interstage Application ServerのTLS 1.1/1.2サポートについて(広報)

— IM-SecureSignOn for Accel Platform 2017 Winter リリースノート   第2版  

マルウェアレポート 2018年1月度版

*2 Windows7 (SP なし ) につきましては セキュリティ向上のため Windows7 SP1 をご使用することをお薦めいたします *3 ソフトウェアキーボードご利用時に この Web ページがクリップボードへアクセスするのを許可しますか? というメッセージがダイアログボックスで表示され

Transcription:

情報種別 : 公開会社名 : NTT データイントラマート情報所有者 : 開発本部 intra-mart で運用する場合の セキュリティの考え方 株式会社 NTT データイントラマート

Webアプリケーションのセキュリティ対策 一般的にセキュリティ 脆弱性 対策は次に分類されます ①各製品部分に潜むセキュリティ対策 製品の中でも 次のように分類したとします A サーバOS Java データベース製品 Webブラウザ等のミドルウェア製品» 例) JDK8の脆弱性 WindowsServer2012R2の脆弱性等 Internet Explorerの脆弱性による問題 OSに侵入したウィルスによる問題等 P.3にて解説します B intra-mart製品 P.4にて解説します ②個別に開発したアプリケーション 連携先アプリケーションの対策» 例) SIer開発のプログラム 連携先のERPやWebサービス等 P.8にて解説します ③サーバOS Webサーバ等のインフラ部分の設定 管理の徹底 サーバその他 物理的なネットワークに関するセキュリティ対策» 例) 暗号化通信 SSL VPN回線 専用回線 Firewall等のアーキテクチャ P.9にて解説します 2

①各製品部分に潜むセキュリティ対策 サーバOS Java データベース製品 Webブラウザ等 各ベンダーから提供される修正プログラムを必ず適用 してください ミドルウェアベンダーからの修正プログラムを適用» Oracle Java の脆弱性対策について(CVE-2015-0469等) http://www.ipa.go.jp/security/ciadr/vul/20150415-jre.html OS Webブラウザは定期的なWindows Updateを実施» Microsoft 製品の脆弱性対策について(2015年5月) http://www.ipa.go.jp/security/ciadr/vul/20150513-ms.html -コラム- 修正プログラムの適用によるintra-mart製品への影響は 原則 影響はないものと考えられます 脆弱性に対する修正となるため 動作仕様が変 更となる事はないと考えられます ただし 弊社から提供するものではありませんので 修正プログラムの詳細については 各ベンダー側へご確認ください また 修正プログラム適用後に問題が発生した場合は 弊社までお問合せください 3

①各製品部分に潜む脆弱性 intra-mart製品 パッケージ部分 intra-mart製品のセキュリティ 脆弱性 対策 製品リリース前 IPA 安全なウェブサイトの作り方 をベースに製造» http://www.ipa.go.jp/security/vuln/websecurity.html 一定の水準を持ったテストの実施 製品リリース後 製品リリース後 万が一 intra-mart製品に関する部分でセ キュリティに関する脆弱性などが見つかった場合は 最新 アップデートに対する緊急パッチ 次期アップ デートにて 対応します» 事象に応じては 過去1年のアップデートに対するパッチ 提供も検討致します 弊社から提供する脆弱性修正プログラムによって 原則 動 作仕様が変更になる事はありません 4

1 各製品部分に潜む脆弱性 情報種別 : 公開会社名 : NTT データイントラマート情報所有者 : 開発本部 弊社製品のセキュリティ ( 脆弱性 ) 対応の一例 クロスサイトスクリプティング HTTP レスポンス分割 パラメータ改竄 Hidden フィールドの不正な操作 バックドア および デバッグオプション パス名パラメータの未チェック / ディレクトリ トラバーサル メールヘッダ インジェクション セッション管理の不備 バッファオーバーフロー OS コマンドインジェクション SQL インジェクション 強制ブラウジング Cookie の濫用 コンテンツ脆弱性 CSRF ( クロスサイト リクエスト フォージェリ ) HTTP ヘッダ インジェクション クリックジャッキング アクセス制御や認可制御の欠落 5

①各製品部分に潜む脆弱性 代表的な脆弱性に対するintra-martの方針 1 パラメータタンパリングなどURL操作 リクエスト操作によるセキュリティ intra-mart製品は ユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳 密に制限します このため 不正なパラメータが送られた場合においても 通常は個人に割当 られた情報のみが開示される仕組みになります ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れに よる セキュリティリスクがあります クロスサイト スクリプティング 通常ユーザが入力する箇所については クロスサイト スクリプティングを想定したサニタイ ジング 無害化 処理を行ったアプリケーションを作成しています ただし Webブラウザそ のものの脆弱性に関するスクリプトなどは 対応しかねる部分があります また 一部管理者向けの機能にて 悪意あるスクリプトが入れられてしまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う必要があります SQLインジェクション 通常ユーザが入力する箇所については SQLインジェクションを想定したサニタイジング 無 害化 処理を行ったアプリケーションを作成しています また 一部管理者向けの機能にて 悪意あるSQLが入れられてしまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う必要があります 6

①各製品部分に潜む脆弱性 代表的な脆弱性に対するintra-martの方針 2 ブロークンアクセスコントロール intra-mart製品は ユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳 密に制限します このため 不正なパラメータが送られた場合においても 通常は個人に割当 られた情報のみが開示される仕組みになります ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れに よる セキュリティリスクがあります バッファーオーバーフロー intra-mart製品は Javaで作成されています 通常は不正なメモリ領域にアクセスさせるよう なパラメータを侵入させることは困難な仕組みとなります セッションハイジャック セッションポイズニング セッションハイジャックについては 今現在のアーキテクチャにおいてはリスクを完全に回避 することが困難です このため 物理的なレイヤでの制御やOSでのセキュリティ強化によって ユーザのCookieを秘 匿に保っておくなどの対策が必要です 7

②個別に開発したアプリケーション 連携先アプリケーション 弊社intra-mart製品基盤上で動作する個別に開発したアプ リケーション 連携先アプリケーションについては Sier お客様側でセキュリティ 脆弱性 対策が別途必要 です 製品基盤で全て担保されるものではありません 脆弱性検知ツールや 脆弱性診断サービス等のご利用をご 検討ください -コラム- どこまで対策を行えばよいのか お客様企業におけるセキュリティポリシーや RFP 提案依頼書 に盛り込ま れるセキュリティ要件 システムの用途 外部への公開有無 機密情報の取り 扱いレベル 利用者の範囲 により異なります 以上でお困りの場合 弊社コンサルティングサービス をご利用ください 個別に開発したアプリケーション 連携先アプリケーショ ンなど お客様毎で最適なご提案が可能です 8

③サーバOS Webサーバ等のインフラ部分の設定 管理の徹底 intra-mart製品の取り扱うセキュリティは 物理シス テムや通信アーキテクチャなどを除いた アプリケー ションレイヤーの一部分となります intra-mart 製品基盤 としてのセキュリティ対策は施して いますが その上で Firewallによるアクセス制御 SSLク ライアント認証 VPN敷設 その他ウィルス対策ソフト導入 などの弊社製品の範囲外については別途 対策を総じて講じ る必要があります インフラ等のシステム初期構築のみではなく その後の運用 も考慮したセキュリティ対策を検討する必要があります -コラム- どこまで対策を行えばよいのか お客様企業におけるセキュリティポリシーや RFP 提案依頼書 に盛り込ま れるセキュリティ要件 システムの用途 外部への公開有無 機密情報の取り 扱いレベル 利用者の範囲 により異なります お困りの際は 弊社コンサルティングサービスまでご相談ください 9

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック