スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月16日のtwitterセキュリティクラスタ

PCI DSS(Payment Card Industry Data Security Standard)というアメリカでよく採用されているらしいセキュリティ基準が改正されるということについて。
yumano: PCI DSS関連の仕様が秋くらいに一気に更新されるらしい。 #islsjp

yumano: 日本では普及がまだまだ。>PCI DSS 仕様は追いかけるけど、対象となるお客さんを持ってないから普及度合いとかあんまり興味ないんだよなぁ。 *YF*

marinedolf: @yumano PCIDSS 2.0 2010/10 ?

yumano: @marinedolf 2.0 2010/10公開 2011/1発効のようです。レビューが7~9月。リリースサイクルが3年に変更されるようです。#islsjp *YF*

ikepyon: @yumano PCIDSS自体日本じゃ普及しなさげですもんねぇ。対応できないところが多いし・・・

marinedolf: @yumano 3年ごとにメジャーバージョンUPってどうなんですかね…(滝汗)

yumano: 一方ISMSはダントツ。前、どっかでISMSの数が多い→日本市場のセキュリティ意識は高いという感じの資料を見て吹いた覚えがある RT @ikepyon: @yumano PCIDSS自体日本じゃ普及しなさげですもんねぇ。対応できないところが多いし・・・ *YF*

ikepyon: www日本のISMSはとることが目的のところ多いから・・・orz RT: @yumano: 一方ISMSはダントツ。前、どっかでISMSの数が多い→日本市場のセキュリティ意識は高いという感じの資料を見て吹いた覚えがある



そして、PCI DSSの基準を満たすにはWAFが必要だそうですよ。だからアメリカでWAFが普及しているんですね(ITホワイトボックスで聞いた)。だけど… というお話になっていきます。知っちゃいけないセキュリティ業界の裏側を見た気がします。
ikepyon: そういえば、アメリカじゃPCIDSSを満たすためにWAFが売れてるって数年前に聞いたなぁ。WAFが正しく設定されているかどうか、動いてるかどうか不明だけどw

ikepyon: ようは、WAFさえ入れておけばOKらしいw

vulcain: 違うよ。単純なXSSとSQLインジェクション的somethingは弾かないといけないらしいw RT @ikepyon ようは、WAFさえ入れておけばOKらしいw

ikepyon: おっかわったの?RT: @vulcain: 違うよ。単純なXSSとSQLインジェクション的somethingは弾かないといけないらしいw RT @ikepyon ようは、WAFさえ入れておけばOKらしいw

hir0_t: PCI準拠のために、WAFは入っているけどBlockしない設定で動かしているってのをどこかで聞いたことがあります。 QT @ikepyon: ようは、WAFさえ入れておけばOKらしいw

vulcain: PCIDSSの審査受けるときだけねw RT @ikepyon おっかわったの?RT: @vulcain: 違うよ。単純なXSSとSQLインジェクション的somethingは弾かないといけないらしいw RT @ikepyon ようは、WAFさえ入れておけばOKらしいw

ikepyon: @vulcain なるほど。そのときだけ動かしとけばいい訳ねw

hir0_t: @ntsuji 運用とか設定はQSA次第なんでしょうか。そもそもWAF自体の要件もないですし。

ntsuji: @hir0_t QSAがどこまで詳しくみるかとどこが審査するかというのが明暗を分けるということは現実としてあるような気がします。情報を保護することが目的だったはずなのに、審査に通ることが目的なものにしないようQSA以外のボクたちも心掛けないといけないなと思います。

ntsuji: @hir0_t WAFに限らず、検査なんかでもスキャナの結果をペネトレの結果です。と出されるケースもあるようです。色々なところで議論がなされてのバージョンアップをしているようなのでボクも次期バージョンを期待しています。

hir0_t: @ntsuji おっしゃるとおりです。10月にリリースされるPCI DSS次期バージョンで、もう少し基準が明確になるといいですね。

hir0_t: @ntsuji スキャナの結果=ペネトレの結果はひどいですね。要件11.2と11.3で分けている意味がない。



たまに見えるプロのお仕事の話は、興味深いですよね。そんなふうにテストしてるんだ、とか。
ymzkei5: お客さんからの要件で市販ツールを使ってWeb診断。普段使う自社ツールとちがって、マニアックな設定をしようとすると道に迷う。・・・なぜテスト除外をしたパラメータにHTMLタグとか送るんだ、こいつはw (Proxyをはさんで気に入らないリクエストをはじくしかないかなぁ。><)



ルートネームサーバーに続いて来年にはjpサーバーもDNSSECが運用されるそうですね。
bakera: [メモ] DNSSECはあんまり理解できていないのですが、そろそろ本格的に勉強しないと……。 http://japan.cnet.com/news/service/story/0,3800104747,20416930,00.htm



Try WiMAXのお話。うちも奧さんが使っているのですが、データのアップには時間がかかるらしく(イーモバではエラーがよく起こってた)光ほどの速度はないらしいですよ。それにしても壁が厚くてうらやましい限りです。うちは外と室内の気温が変わらないくらいだというのにw
takesako: Try WiMAX で15日間レンタルしてみたけど、自宅で余裕で繋がって嬉しい。無線LANルータもあるのでポケットWi-Fi的な使い方ができて、こりゃ便利だわ。 http://www.uqwimax.jp/service/trywimax/

kuroneko_stacy: @takesako 自宅で繋がるって羨ましいっ>< うちのマンションどれだけ壁厚いのかと…。

takesako: @kuroneko_stacy 期待してなかったので繋がってびっくりでした。レンタル専用機器はアンテナ1本ですけど、最近でたNECのATermとEgg無線ルータはアンテナが2本入ってるので、通りがよくなることもあるっぽいです。理論上は27階ぐらいの高さまではいけるそうです。

takesako: NEC Aterm WM3300R (WiMAX無線LANルータ) のレビューを見ると少し大きくてバッテリーの持ち時間が少ないみたい http://review.kakaku.com/review/K0000066280/

takesako: WiMAX対応モバイルWi-Fiルーター「egg」は今のところヤマダ電機とソフトアンドハードのMVNOにしか対応してないのか。無線LANのみの接続でUSB充電ケーブルは別売りらしい http://bit.ly/cG42ya



レンサバ屋さんがこうつぶやくと、リアルに怖いですね。ドメインも数あれば広告につながったりするのでしょうかね。
kunihirotanaka: バナーで「息子の名前にぴったりのドメインを探し中なう。○○ならドメインが100円で」とあった。ただ次年度以降は1,000円近く負担させられ、解約したら息子のドメイン跡地にローン、キャッシング、カジノ等の広告が並ぶ。格安ドメイン屋のビジネスモデルって解約後の広告収入だから怖い。



それでもいいので、たまには誰か仕事の声かけてください><
ymzkei5: RT @yumano: #memo 良いまとめ RT @kosaki55tea: ダメな仕事を受けないためのNGワード | おごちゃんの雑文 http://htn.to/bB4M6



HJといってもセキュリティに関係ある方のHJは動的なページはないので安心ですね。?\静的セキュリティ!/
ikepyon: あらら、HJハックされたのか http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2290

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
06-2017
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

05   07

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。