特定の組織に属する人などに絞って
行われるフィッシングを
スピアフィッシング
という
PR
クッキーポイゾニング
・クッキーの不正な変更
サイバーストーキング
・SNSなどでのストーキング。言いがかり、中傷などのいやがらせ
DoS攻撃:サービス妨害
・特定のコンピュータやサービスに対して、メッセージを大量に送り
通常の操作ができないようにする
電磁パルス(EMP)
・電子機器を損傷するつよい電磁放射パルスをだす
プログラムの数値処理の部分に
予期しない数値が与えられることによりおこる脆弱性
どんな手法で、どの情報を狙っているかの情報を入手し、
攻撃を受ける前に、対応する技術
SLDC のそれぞれのフェーズで、セキュリティに関しては、次のような活動を含む
〇要件定義
要求をもとに、何をする、何をしないかを明確にする
ユースケースを書くときは、利用者の誤った使用についても
考慮する必要がある
また、この工程では、リスクについて、分析し、理解を深める
〇設計
設計段階では、システム全体および個々のコンポーネントレベルでの
セキュリティ対策を考える
システム全体では、ソフトウェアに対する攻撃の防御策を考え
脆弱性や脅威のインパクトから、デザインを決定する必要がある
コンポーネントレベルでは、それぞれのコンポーネントをどのように作るかを決定する
〇実装
次のようなことに、気をつける必要がある
・適切なエラーハンドリング
・適切な入力チェック
・適切な暗号の利用
・SQL Injection対策
SQLで利用されるInput は、検証済みのものにする
・エラー画面や、ログから、重要な情報が漏れないようにする
・ネットワーク上に、重要な情報を、平分で流さない
・ディスク等に重要な情報を残さない
