徳丸 浩

徳丸本の著者です

徳丸 浩

徳丸本の著者です

今話題のドメイン名オークションの仕組み

NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。 「ドコモ口座…

徳丸 浩
徳丸 浩
1年前
106

経営者がITに通じているべきかに関する問答

以下の記事はpeingの質問・回答の転載です。長くなりますのでこちらに移しました。 先の7payの質問を見て、私は「一般企業ならともかく、IT企業のトップはITに通じている…

徳丸 浩
徳丸 浩
4年前
17

イントラ設置の業務システムの脆弱性診断は必要か?

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。 イントラ設置のスクラッチ開発の業務システムの脆弱性診断(アプリケーション、プラットフォーム…

徳丸 浩
徳丸 浩
4年前
8

パソコンに入っているソフトウェアは全て疑ってかからないと行けないのか

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。 パソコンに入っている、インターネットのウェブサイトを閲覧するためのコンピュータープログラ…

徳丸 浩
徳丸 浩
4年前
4

自分で考えろと言われてその通り実行したら機嫌を損ねられた質問者への回答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。 職場の先輩に仕事の質問をして、自分で考えるのが仕事という回答をいただき、自身のみでした作…

徳丸 浩
徳丸 浩
4年前
7

現状に即していないセキュリティ規定についての問答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。 特に日本の大企業において、現状の技術やプラクティスに全く即していないセキュリティ関係の規…

徳丸 浩
徳丸 浩
4年前
17

暗号初期化ベクトルは役に立つのか?

Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。 現在、暗号化ではIV(暗号初期化ベクトル)が不要なECBモードは推奨されず、それらが…

徳丸 浩
徳丸 浩
4年前
39

セキュリティエンジニアになるにはどのような勉強をすべきですか?

このエントリはPeingでの質問(表題通り)に対する回答の転載です。 以前、Yahoo!知恵袋で類似の質問に回答したことがきっかけとなり、著名な大学教授や業界の有名人が回…

徳丸 浩
徳丸 浩
4年前
4

脆弱性診断をする際に最も重きを置くことは何ですか?

このエントリはpeingの質問への回答を転載したものです。 脆弱性診断をする際に最も重きを置くことは何ですか? | Peing -質問箱 脆弱性診断において重要なことは複数あ…

徳丸 浩
徳丸 浩
4年前
9

パスワードを積極的に使い回すというパスワード管理手法

パスワードをサイト間で使いまわししてはいけないというのは周知の事実ですが、この記事では、敢えてパスワードを使い回すというパスワード管理手法について紹介します。結…

徳丸 浩
徳丸 浩
5年前
7
徳丸 浩

徳丸 浩

今話題のドメイン名オークションの仕組み

NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。

「ドコモ口座」のドメイン、落札される 402万円で - ITmedia NEWS

まだ金融機関などから当該ドメインへのリンクなどが残っているので、フィッシングや詐欺サイトなどに悪用される懸念が表明されているところではありますが、

もっとみる
徳丸 浩

徳丸 浩

経営者がITに通じているべきかに関する問答

以下の記事はpeingの質問・回答の転載です。長くなりますのでこちらに移しました。

先の7payの質問を見て、私は「一般企業ならともかく、IT企業のトップはITに通じているべきでは」と感じました。CTOをうまく使うにも最低限のリテラシーが必要と思うのですが、どうでしょうか
https://peing.net/ja/q/ce3168e4-91ce-4991-a8d5-2ad29350fbc9 より

もっとみる
徳丸 浩

徳丸 浩

イントラ設置の業務システムの脆弱性診断は必要か?

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。

イントラ設置のスクラッチ開発の業務システムの脆弱性診断(アプリケーション、プラットフォーム)って、必要なのでしょうか?
https://peing.net/ja/q/31832176-ce49-46a4-a5fe-5be6ef5dd508

わざわざ「スクラッチ開発」と断っているのは、「URL構成などが独自なので外部から

もっとみる
徳丸 浩

徳丸 浩

パソコンに入っているソフトウェアは全て疑ってかからないと行けないのか

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。

パソコンに入っている、インターネットのウェブサイトを閲覧するためのコンピュータープログラム(「e」←このようなアイコン)は、基本的に信頼できないのでしょうか。
世界中で広く一般的に使われているコンピュータープログラムなら、まれによくある不具合修正をきちんと適用していれば基本的には信頼できると考えて、よほどタイミングが悪く

もっとみる
徳丸 浩

徳丸 浩

自分で考えろと言われてその通り実行したら機嫌を損ねられた質問者への回答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。

職場の先輩に仕事の質問をして、自分で考えるのが仕事という回答をいただき、自身のみでした作業がありました。
後日、先輩になぜ相談しなかったと言われ、話しかけるのも躊躇うほど機嫌を損ねてしまいました。
謝罪はしましたが許してもらえず、次の最善はどうすればいいでしょうか。
https://peing.net/ja/q/2d02

もっとみる
徳丸 浩

徳丸 浩

現状に即していないセキュリティ規定についての問答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。

特に日本の大企業において、現状の技術やプラクティスに全く即していないセキュリティ関係の規定や細則が存在している傾向があるかと思います。これらについてどのように思いますか?また、是正すべきであればどのように是正すべきでしょうか
https://peing.net/ja/q/f547e99d-0af6-4a0c-ad1c-c

もっとみる
徳丸 浩

徳丸 浩

暗号初期化ベクトルは役に立つのか?

Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。

現在、暗号化ではIV(暗号初期化ベクトル)が不要なECBモードは推奨されず、それらが使用されるCBC等が推奨されています。
しかし、暗号化後の文章も、暗号化初期ベクトル(平文)も同様にDBに直接保存される為、結局のところ意味をなすのでしょうか?
暗号化後の文章が漏れる≒IVが漏れると思いますが、どのような時にI

もっとみる
徳丸 浩

徳丸 浩

セキュリティエンジニアになるにはどのような勉強をすべきですか?

このエントリはPeingでの質問(表題通り)に対する回答の転載です。

以前、Yahoo!知恵袋で類似の質問に回答したことがきっかけとなり、著名な大学教授や業界の有名人が回答に参入してお祭りになったことがあります。

セキュリティエンジニアを将来の夢にしているのですが現在高2なの... - Yahoo!知恵袋

そこでも回答したことですが、セキュリティエンジニアを目指すには、まず情報工学の基礎をし

もっとみる
徳丸 浩

徳丸 浩

脆弱性診断をする際に最も重きを置くことは何ですか?

このエントリはpeingの質問への回答を転載したものです。

脆弱性診断をする際に最も重きを置くことは何ですか? | Peing -質問箱

脆弱性診断において重要なことは複数あり、優先度をつけることがむずかしいのですが、あえて一つ選ぶとすれば、網羅性ではないかと思います。

脆弱性診断の周辺にあるサービスや施策として、ペネトレーションテストやバグバウンティ制度などがありますが、いずれも網羅性を指

もっとみる
徳丸 浩

徳丸 浩

パスワードを積極的に使い回すというパスワード管理手法

パスワードをサイト間で使いまわししてはいけないというのは周知の事実ですが、この記事では、敢えてパスワードを使い回すというパスワード管理手法について紹介します。結論として、この手法は今や使いものにならないと思いますが、考え方は面白いと思います。実用にはなりませんが、読み物としてお読みください。

※ この記事は、Quoraの回答として書いたものの一部を編集し直したものです。

昔、高名なセキュリティ

もっとみる