NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Security

オープンソースの WAF(ModSecurity)について

WAF とは WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。 WAF を使用することで以下の効果を期待できます。 脆弱性を悪用した攻撃からウェブアプリケーションを防御…

OWASP ZAP による脆弱性診断について

OWAP ZAP とは 無料で Web アプリケーションの脆弱性をチェックできるセキュリティ診断ツール「OWASP ZAP」は、The Open Web Application Security Project(通称 OWASP、オワスプ)という国際的なコミュニティがつくりました。OWASP を運営しているのはアメ…

IPsec の暗号化アルコリズムについて

IPsec の暗号アルゴリズムに TDEA を使用しているのを時折みかけますが、TDEA は、平文のデータを取得される脆弱性(sweet32)が確認されており、NIST(アメリカ国立標準技術研究所)が可能な限り早期に TEDA から AES に切り替えていくことを推奨しています…

ユーザー証明書のエクスポートについて

Windows 10の Internet Explorer 11において、証明書のエクスポートは、[インターネットオプション]-[コンテンツ]-[証明書]からできますが、PowerShell コマンドを利用して行うことも可能です。 証明書の拇印の取得 現在のユーザーの [個人] の証明書ストア…

インターネット分離時のファイル共有について

インターネット分離とは 近年、標的型サイバー攻撃による情報漏洩インシデントが多発しています。この事態を受けて、総務省・IPA*1・NISC*2は個人情報などの機密情報を扱うシステムをインターネットから分離する事を推奨しています。「インターネット分離」…

ランサムウェアについて

ランサムウェアとは ランサムウェアは機器、ネットワーク、データセンターに感染し、ユーザーや組織が身代金を支払うまで、システムをロックさせ使用できない状態にするタイプのマルウェアです。 ランサムウェアは通常、いくつかあるパターンのうち1つを使っ…

SSL-VPN について

VPN はインターネットのようなセキュリティが担保されていないネットワーク上で、認証・暗号化技術を用いて、利用者間で安全に通信可能にする技術です。代表的なものとして、SSL-VPN や IPsec-VPN ありますが、今回は SSL-VPN について整理します。 SSL-VPN …

SSL サーバー証明書について

SSL サーバー証明書には以下の2つの機能があります。 サイトの実在証明 ウェブサイトを運営する組織が実在する事を確認する機能 SSL 通信では、まずサーバーが「SSLサーバ証明書」をクライアントに送信します。 クライアントは証明書について、次のことを確…