ISEC/SITE/ICSS/CSEC/SPT合同研究会 B会場
- akirakanaoka
- 1863
- 0
- 0
- 0
まとめ:トータルに安全にするという観点。特定の攻撃だけ考えても安全にならない。アプリを無視すると痛い目見るぜ? #csec50
2010-07-01 16:33:01つづいてセキュアテック研究所鵜野さん(タイトルなし)。ID/パスではない本人認証について(かな?) #csec50
2010-07-01 16:37:10まとめ:全部守るのは困難。被害を拡大させない対応なら可能?秘密鍵漏れる前提のセキュリティ理論アプローチは多いので応用できるといいのだが。 #csec50
2010-07-01 16:54:07時間無いのでここでコメントしますね。Gumblar系ってFTPアカウント情報とられちゃうのが問題の1つにあって、じゃぁそれをどうするかっつったら単純に言うと「そんな認証やめろ」なんですが、それ単純にはいかないわけですよね。(つづく) #csec50
2010-07-01 17:10:56(つづき)単純にいかない理由には、Webサイト作りたい顧客と、Webサイト作成業者と、ホスティング業者がいて、で業者は変わる可能性があって、そうなると「業者が変わってもオッケーな認証方式」という選択肢をしないといけないんですよね。ポピュラーな認証方式。(つづく) #csec50
2010-07-01 17:13:19(つづき2) だから思い切った認証(あるいはコンテンツアップロード)をO.K.とする(しかしない)としちゃう業者が現れて、そこが脚光あびるといいとおもうんですよね。なのでパネルでISPとして出ていた方、がんばってくださいー。 #csec50
2010-07-01 17:17:50IPSJの研究報告2009-CSEC-47 No.4はクラウドのセキュリティ事情がまとまっていて助かる…が、Referするためにはそれ以上の何かしらのアイディアが必要。むぅ
2010-07-02 08:53:40というわけで中の人頼んだ RT @yumano: 誰か8083で通信するガンブラ作らないかな RT: @akirakanaoka: ガンブラ、ガンブラX、ガンブラ8080などの歴史。こうみるとガンダムっぽい。どっかに「一年戦争」とか書いてないかな。 #csec50
2010-07-02 09:21:13論文概要:OSのコード、隠したいがバイナリからリバースエンジニアリングされる。そこでOSコードをOSユーザから隠しながら実行する「Hyper Censor」を提案。仮想マシンモニタを用いて実装、秘密コードは仮想マシンモニタ内保存。OSユーザはアクセスできない。 #csec50
2010-07-02 09:28:48論文概要:侵入検知システムの研究、異常検知のアプローチはシステムコールの捕捉に基づいたものが多い。それらはオーバヘッドが大きい。そこで従来の検査タイミングの一部だけで検知作業を行う。精度低下があるが、性能とのトレードオフのバランスを提供可能。 #csec50
2010-07-02 09:54:20懇親会で話したのですが、アプリ屋としては是非取り上げたかった。今回はオフトピだし時間なかった…次回(CSS?)ではやりたいです。 RT @guriri: 岡崎市の図書館の件はオフトピックスになっちゃうのかな? #csec50
2010-07-02 11:14:44@akirakanaoka 以外と、利便性が高くてセキュアで、コストのかからない認証付きアップローダがあれば、一気にそっちに流れるかもですよ。ま、そんなのは今ない訳だが #csec50
2010-07-02 11:22:53#csec50 自動登録はレジストリとスタートアップフォルダで、行うが、スタートアップフォルダの位置はレジストリに書かれている。マルウェアが書き換えたら?by JPCERT椎木さん。→考えてなかった。
2010-07-02 12:14:19論文概要:情報セキュリティガバナンスの評価のための情報セキュリティ対策モデルと表記法を提案。業務プロセスモデリングIDEF0に基づいて、対策をルール・プロセス・データ・リソースで表現。提案モデルをセキュリティ統制評価プロセスの一部に適用。 #csec50
2010-07-02 13:28:10#csec50 西垣先生より、これは手順書の良し悪しを判断して、修正すべき点をアドバイスするようなものと思うが、例えば何本線が必要かはわかる→そのノウハウにデータベースを使う
2010-07-02 13:51:31