ブレースホルダ
- XP
週40時間労働、ソースコードの共有、常に統合、ペアプログラミング
テスト駆動開発:プログラムより先にテスト作成
- 機関
JPDEC:プライバシーマーク
JPCERT/CC:セキュリティインシデントの報告受付、対策の助言、CSIRTマテリアル、JVN(脆弱性対策情報ポータルサイト)
NISC:内閣官房
JISC:経済産業省
- CC、ISO15408
情報セキュリティ国際評価基準
- エクスプロイトコード
脆弱性を検査するためのコード
- CVSS
脆弱性の評価手法、基本、現状、環境
デジタル署名、送信元のドメイン認証
統合能力成熟度モデル、組織・プロジェクトの成熟度
- デジタルフォレンジックス
セキュリティインシデントの記録の収集・解析
- 特許
サブライセンス:第三者にライセンスを許諾
- モジュール結合度
データ結合:データのみ
スタンプ結合:データ構造
制御結合:制御要素
外部結合:外部宣言共通データ
共通結合:共通域宣言共通データ
内容結合:内部
- モジュール強度
暗号的強度:関係ない機能まとめた
論理的強度:関連する複数機能まとめた
時間的強度:ある時点で必要な機能まとめた
手順的強度:逐次
連絡的強度:逐次、連絡しあう
情報的強度:同じデータ構造を扱う機能をまとめた
機能的強度:1つの機能のみ実現
複数のサービスを組み合わせて新しいサービスを作る
異なる暗号化
- サイドチャネル攻撃
物理量
- ドライブバイダウンロード攻撃
保守性の高いプログラムに書き直す
- バーンダウンチャート
残作業量、時間
- SysML
UMLの拡張
サイトを横断したトラッキングを防止
RSAより短い、公開鍵
オブジェクト指向で頻繁に使われる設計手法を定義
- CRUDマトリクス
エンティティに対する操作
- CVE
脆弱性ごとにつけられた識別子
- リーンソフトウェア開発
7つの原則、22の思考ツール
- ISO/IEC 17799
ISMS適合性評価制度、情報セキュリティ対策の規範
- ISO/IEC 15408
システム・製品のセキュリティ特性を評価
環境マネジメント
- ISO 9001
品質マネジメント
鍵生成、ハッシュ演算、デジタル署名などの機能を持つ
- リゾルバ
デジタル証明書のハッシュ番号などをおくり証明書の有効性を確認
スパムメール対策。固定IPからの送信、SMTP-AUTHのノードからの送信は影響を受けない
画像や音声への情報の埋め込み
- WPA2-PSK
アクセスポイントと端末でパスワードを共有
暗号化、認証、遠隔地のコンピュータ
- サーバプロビジョニングツール
サーバを自動的に構成
- プラットフォーム開発
最初に作った共用部分(プラットフォーム)を土台に複数製品を開発
障害原因分析、樹形図
- クリプトジャッキング
暗号資産のマイニングを他人のPCに勝手にやらせる
- APT攻撃
持続的標的型攻撃
- KPT手法
スプリントレトロスペクティブ。継続すべき点(Keep)、問題点(Puroblem)、次回やりたいこと(Try)
- オープンリダイレクト
自動的にほかのサイトに遷移
- クロス開発
開発マシン環境と実行マシン環境が異なる
- セキュアOS
最小特権、強制アクセス制御
- デザインレビュー
問題点の早期発見
- ISMAP
政府のセキュリティ要求を満たすクラウドサービス、政府情報システムのためのセキュリティ評価制度
HTML形式の文書
- セキュアブート
デジタル署名の検証などによりOS起動前のマルウェアの実行を防ぐ
- サブミッションポート
