カテゴリー: Other

SQLインジェクション対策保証付きソースコード検査はじめました

Webシステムに限らず、SQLインジェクション脆弱性は絶対に作りたくない脆弱性の1つです。裁判でSQLインジェクション対策漏れよる損害賠償が契約金額を上回った事例もあります。

ソースコード検査ならSQLインジェクションが行えないことを保証することが可能です。私の会社ではソースコード検査サービスを提供していますが、これまでに検査証を発行したアプリケーションでSQLインジェクションが問題になった事はありません。 もっと読む

岡山大学大学院 平成29年度ビジネスマインド養成講座のお知らせ

岡山大学大学院工学部では一般社会人向けの無料公開講座として、ビジネスマインド養成講座を開講しています。工学部の講座ですが技術的な内容に偏重せず幅広い内容です。業務の内容に関わず、一般社会人の方に理解いただける講座です。(学生の方の参加も大歓迎です)

このブログをご覧になった方は、上記申込書にご記入いただき、件名を「H29ビジネスマインド養成講座申込」として info@es-i.jp へお送り頂ければ申し込み処理を行います。返信が無い場合、迷惑メールに分類されている可能性があります。お手数ですが、弊社(エレクトロニック・サービス・イニシアチブ 0866-90-2131)までお電話ください。

平成29年度ビジネスマインド養成講座一覧

上記PDFの案内書に記載されている講座一覧は以下の通りです。

担当講座

本年度も岡山大学のビジネスマインド養成講座の講師を勤めさせていただきます。情報セキュリティがよく解らない、必要性がよく解らない、対策の選択がよく解らない、の原因は基本的・根本的な部分の誤解や知識不足が原因であることがほとんどです。

私の担当講座(2017/11/11)では情報セキュリティ標準に基づいて、これらの誤解や知識不足を解消します。情報セキュリティに「完全」はありませんし、闇雲に対策するモノでもありません。講義をお聞きいただければ、少なくとも自身が行っている対策にそれなりの自信を持てるようになります。

  • テーマ: 経営者・マネージャーが知るべき情報セキュリティ
  • 日時:平成29年11月11日 土曜日 13:00 から 18:00
  • 場所:岡山大学自然科学棟 第2講義室 (PDF案内書に地図を記載)
  • 対象:社会人および近い将来社会人になる学生
  • 費用:無料(車の場合は駐車料金が必要です)

以下のような方に有用な講義です。

  • セキュリティとは何をどうすれば良いのか、明確な判断方法、判断基準が不明確
  • PCやスマホ、最近話題のIoTを使っていてどんな問題が発生するのか知りたい
  • 会社や組織の情報セキュリティ対策を実施する為の役立つモノを知りたい
  • 情報セキュリティ対策は専門業者に任せているから大丈夫、とお考えの場合
  • 情報セキュリティ対策は難しい、と感じている場合
  • システム開発に携わっており、セキュリティ対策に疑問や不満を感じている方
  • 未知の脅威への対策を行いたい方

平成27年度の資料は以下の通りです。本年度の担当講座の内容は大幅に変わります。以前の講座に比べ、IT技術者でも理解不足であることが多いセキュリティ設計の原理と原則をより理解り易く解説します。

 

 

通常はEXCELファイルによる申し込みが必要ですが、私の講座に限りメールやメッセージなどで連絡頂くだけでも大丈夫です。途中からの受講でも構いません。お時間がある方は私の講座のみでなく、他の講座も是非受講ください!

 

ブログのHTTPS化によりコメントなどがリセットされました

このブログのURLをhttpからhttpsに変更しました。これにより、幾つかの情報1が参照できなくなるので記載しておきます。

  • Facebookのコメント
  • FacebookのLikeやブックマークなど共有

ブログをWordPressに移行してから設定されたURLは自動的にhttpsにリダイレクトされます。

このブログでは移行前に「仕方ないので諦める」ことにしたのですが、サイトのhttps化を検討されている方はこれらの情報が直接参照できなくなる点に注意が必要です。

ブログをhttps化する際にFAQ的な箇所でハマってしまいました。詳しくは WordPress + HTTPS + リバースプロキシ = このページにアクセスする権限がありません を参照してください。


  1. 大量のコメントスパムに対応しきれないので、このブログではFacebook APIを利用したコメントシステムに変更しています。WordPress純正のコメントの場合、HTTPS化しても参照できなくなることはありません。 

岡山大学大学院平成27年度ビジネスマインド養成講座のご案内

追記:平成29年度の講座の情報は

をご覧ください。

岡山大学大学院 平成27年度ビジネスマインド養成講座のご案内です。想定している対象は大学教職員、学生およびIT関連のマネジメントを行う社会人を対象とした無償の講座ですが、ITにはマネジメントが欠かせません。IT技術者の方にも有用な講座です。

岡山でも技術系/交流系の勉強会が色々行われていますが、マネジメント系を対象とした物は少ないと思います。講義は岡山大学の島津キャンパスで行われます。お誘い合わせの上、お申し込みをお願いいたします。

追記:残席があるようです。この日でもまだ参加できるようなので、いつでもご連絡ください。手配致します。2015/6/25

もっと読む

Webアプリケーションセキュリティ対策入門の付録を更新

既に執筆してから10年ほど経っている「Webアプリケーションセキュリティ対策入門」ですが、サンプルコードがおかしいという指摘がありました。しばらく前からWikiに載せているのですが、時間がなくブログは書いていませんでした。

http://wiki.ohgaki.net/sample

コードが随分おかしいという指摘は今まで私にまで届いておらず、何かバグがあったのだろうくらいに思ってっていました。しかし、実際にコードを見てみるとおかしなことだらけで、とんでもないミスをしていがことが分かりました。

もっと読む

徳丸浩氏との長年の議論に終止符 – 論理的/体系的セキュリティとそれ以外

私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格/ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができたと思われます。

徳丸さんがセキュリティ対策製品であるWAF(Web Application Firewall)を販売/推奨しつつ、アプリケーション側のファイアーウォールと言える「入力バリデーション」を「セキュリティ対策ではない」と主張されるのは、ジョブセキュリティやステスルマーケティングの類ではないのか?と思えるほどでした。アプリケーションがバリデーションしなければしないほどWAFの有効性は上がり、WAFが売れるでしょう。「WAFはセキュリティ対策」「アプリのバリデーションはセキュリティ対策ではない」としている方がWAFを売りやすいからです。

徳丸さんにもこのブログを書いたことを連絡し、もし誤解している部分があるのであれば反映したいと思います。これから紹介するように論理矛盾が明らかになった直後、今後議論をされないことを表明されましたが、この長いブログでも手法や論理的矛盾の誤りを指摘し尽くしていないので議論いたします。徳丸さん、反論を書かれるようであればご連絡ください。

追記:”原理/原則などに根拠がない”ことが判ったので議論することは無いのですが、IPAが誤りを正した後の2017年に間違ったセキュアコーディングを啓蒙されていました。これは指摘せざるを得ないのでブログに書きました。

科学的に出鱈目なセキュリティ対策で得をするのは、サイバー犯罪者とセキュリティ業者だけす。

TL;DR;

論理的思考で導ける必要条件と十分条件を理解している方にはここで解説している内容は読まずとも理解されていると思います。

もっと読む

ChatWorkのコピーサイトを調べてみました

ChatWorkをまるごとコピーしたコピーサイトが中国に登場で紹介したように、まるごとコピーしたサイトが現れました。こういうコピーサイトが現れると、内部のソースコードが漏洩したのでは?と不安になる方も居ると思います。調べてみたので参考にして下さい。

ChatWorkの画面
chatwork_capture

コピーサイトのWokingIMの画面
workingim

もっと読む

Facebookのコメントプラグインを追加しました

大量に送信されてくるコメントスパムに対処できなかった為、コメント機能を無効にしていましたがFacebookのコメントプラグインを利用してコメントできるようにしました。このプラグインの導入はとても簡単でした。

https://developers.facebook.com/

にアクセスしてFacebookデベロッパーになり、画面上部の「Apps」メニューからコメントアプリを新規に作成し、

https://developers.facebook.com/docs/plugins/comments/

でページに挿入するコードを生成し、ブログテンプレートの適当な場所にペーストするだけで完了です。

1つだけ問題になったのはサードパーティークッキーです。

普段利用するWebブラウザではサードパーティークッキーを無効にしていたのですが、このプラグインにサードパーティークッキーは必須です。無効な場合、アバターは表示されていてもコメントを保存できません。なぜ「ログインしていない」とエラーになるのか、しばらく考えてしまいました。ご注意ください。

 

OSX+Android(Xperia)+オープンソースでテザリング

Xperiaを購入したのでOSXを無料でテザリングする方法探してやってみました。流石にテザリングソフトを購入した方が簡単ですが、一旦環境を作ってしまえば使うのはそれほど手間ではありません。

Wikiに手順をまとめておいたので興味がある方はどうぞ。

必要な物は、Android SDK, Azilink(Android側のVPNアプリ), OpenBlick(Mac OSX用のVPN GUI – openvpnだけでも何とかなるがこれが無いとネットワーク設定が面倒)です。詳しくはWikiを見てください。

制限事項

  • ping はできない(UDP pingでエミュレーションしているため)
  • USB接続(Wifi, Bluethooth接続は無理)
  • 自己責任。パケホーダイなら最大約1万3千円のようですが、スマートフォンの最大金額(約6000円)を超えるかもしれません。自己責任で使用してください

速度は計測していませんが、それほど遅くないような気がします。

同じような手順でLinuxでもテザリングできます。OpenVPNやルーティングテーブルを手動で調整するだけです。

しばらくXperiaを使ってみた感想は、普通にスマートフォンとして使うには良いのではないか、と思いました。時々アプリが落ちたりするのは愛嬌でしょう。iPhoneよりも無料アプリが充実しているので、Androidならとりあえず無料アプリでほとんど何とかなると思います。

弄りたおそうと思ってXperiaを購入した訳ではないので私は特に困りはしませんが、弄り倒したい人にはrootが取れないのは痛いです。テザリングもrootが取れるならWifiのアクセスポイントとしてAndroid携帯を設定する方法が一番便利だと思います。

XperiaがマルチタッチにH/W的に対応していないのは訴訟リスクの回避だとは思いますが、「これをマルチタッチにして実装すれば..」と思える操作がいくつかあります。H/Wだけは対応しておけば良かったのにと思います。

電池の持ちですが、直ぐに自動的にアイドルタスクを終了させるアプリを入れたせいか困る程は消耗しないです。あまり使いすぎると1日は持ちませんが、USBで一応充電できるのでPCと一緒に使っている人なら特に問題とはならないと思います。

追記:
USENのスピードテストでは岡山大学の構内で1.6Mbpsから3.1 Mbps程でした。

「実践iPhoneアプリケーション開発講座」を6月に岡山・高松で開催

iPhone/iPad/iPodアプリ開発のブートキャンプと言える「実践iPhoneアプリケーション開発講座」を6月に岡山&高松でオープンウィンドさんと私の会社で開催します。今回はちょっと高い有料セミナーです。

有料なだけあって至れり尽くせりで、セミナーテキスト500ページ、複数のハンズオンセッションで実際にiPhoneの開発を体験できるセミナーになっています。開発環境からObjective-Cの解説、開発フレームワークの解説からデバッグ手法、実際のアプリ構築を行う4日間の集中講座です。iPhoneアプリ開発にはMacが必須ですが、Macが初めての方でも無理なく受講できる講座になっています。

今売れすぎて手に入らないiPadやiPod touchのアプリはiPhoneアプリと同じ開発手法で開発できます。

個人的には、iPadを使ったスマートな営業支援システム(タッチパネルとワイヤレスキーボード)などは非常に面白いのではと思っています。PCを買うより安く、機能が限定されている分安全で、しかも使い易い、GPSも装備されているので管理者も実績などを管理し易く(される方は大変?)、ある意味最強(?)のSFA端末になるのではないかと思っています。

セミナー会場は岡山駅と高松駅の直ぐ近くです。

岡山会場: ままかりフォーラム   6/1(火) – 6/4(金)

高松会場: サンポート高松  6/15(火)- 6/18(金)

http://www.es-i.jp/seminar/

募集を開始したばかりです。5/1までに申し込みされた方は早期申し込み割引5000円です。募集定員は16名です。受講をご希望の方はお早めに登録してください。