リスクファインダーブログ

情報処理安全確保支援士または、登録情報セキュリティスペシャリストの登録が始まった。

2016-10-24T20:58:00.000+09:00

本日10月24日に、国家資格「情報処理安全確保支援士」取得についての資料がIPAで公開されました。 IPA:国家資格「情報処理安全確保支援士」～経過措置対象者向けの初回登録申請の受付を本日から開始～英語名は、Registered Information Security Specialist （RISS）」。通称は「登録情報セキュリティスペシャリスト（登録セキスペ）だとか.... 色々名前が出過ぎて覚えにくい... (RISSのロゴマーク）細かい内容は上記を見て頂くとして、自分が気になったことをまとめると受付期間：１０月２４日（月）～１月３１日（火曜日）申告書類送付したら１カ月程度で、受付た旨と以後の審査スケジュールが電子メールで来る。登録書交付に合わせ今後の講習案内お知らせが届く（４月１日登録）→支援士情報公開申請できる資格試験を持っている人は２

RiskFinder 6.0（2016年7月版）リリース

2016-07-29T15:52:00.000+09:00

本日、RiskFinder 6.0（2016年7月版）をリリースしました。今回は新たに追加された機能や情報について簡単にお知らせしたいと思います。 2016年7月版での主な変更点について今回の更新では、第三者モジュールの問題に対するリスク検出機能を中心に強化しています。最近のアプリ開発は、第三者が公開しているライブラリを利用して新たに開発するコード量を減らし、開発期間を短縮するのが主流になっています。しかしライブラリに脆弱性があった場合、これを利用するアプリも同じ脆弱性を持つことになってしまいます。開発者はライブラリの内部実装を知る術がありませんので、アプリのリリース前にライブラリの脆弱性に気づくことはほぼ不可能です。このような状況が脆弱性のあるアプリがリリースされてしまう一因となっています。実際に、アプリ開発用のフレームワークが提供するライブラリに脆弱性が発見さ

情報処理セキュリティスペシャリスト試験に合格しました。

2016-07-04T18:08:00.000+09:00

会社のブログで情報処理試験合格したー！という記事を書くのはどうかと思ったのですが、家に合格証が届いて結構嬉しかったので.... 試験を受けた動機情報処理試験は、情報処理２種を学生の時取ったきりで、他の資格は持ってませんでした。私の年代だと、会社で取れとか言われたりしないと、仕事と関係ある知識は自分で覚えるし、資格持っている＝仕事ができるわけでもないしといった世代です。試験とかはまったく関心がなかったのですが、今年の初めに、情報処理安全確保支援士というのができるというニュースがでました。「士」ということで、会計士とか税理士とかと一緒で、持っていないと出来ない仕事をこれから作るという話もあり、そうなると、できない仕事ができるとまずいなぁ、逆に何かセキュリティ的な仕事にチャンスがあるかな？と思い、過去問題をチラッとみてみたら、なんか数学の集合記号とか出てるし、なんか見たことあるけど

IPAにアンドロイドアプリの脆弱性報告をした話

2016-05-31T18:11:00.000+09:00

昨日(2016/5/30)日、IPAより「DMM.com証券製の複数の Android アプリにおける SSL サーバ証明書の検証不備の脆弱性」が公開されました。 https://jvn.jp/jp/JVN40898764/ 今回この脆弱性は、リスクファインダー株式会社から報告させて頂きましたので、この件につきまして経緯や脆弱性報告手順について記載したいと思います。 SSLサーバ証明書の検証不備の脆弱性は、前から定期的に報告されていますが、なかなか減りません。アンドロイドアプリの脆弱性検査ツールを販売していていつも思うのは、自分の会社のソフトは大丈夫と思い込んでいる人が多い事です。特に銀行や証券会社等は、お金を取り扱う会社ですので、セキュリティホールが見つかると顧客の資産に影響を与えます。今回はDMM.com証券での脆弱性でしたが、過去には百五銀行

Androidアプリセキュア開発セミナーを開催します

2016-05-31T10:18:00.000+09:00

半年にごとにセキュアスカイ・テクノロジーさんと共催しているAndroidアプリセキュア開発セミナーのお知らせです。 Nのプレビュー3が公開になっていますが、今回もセキュリティ周りの変更がいくつかあるようです。まだ正式リリースではないのできちんと説明することはできませんが、予告編的なお話はしてみたいと思っています。概要日時：2016年6月15日（水）10:00-17:00　(9:30受付開始) 会場：セキュスカイ・テクノロジー社セミナールーム（PMO 神田司町2F）対象：Androidアプリケーションの企画、設計、開発のリーダー、およびマネージャ費用：50,000円／人（税抜き）詳細はこちらすっかり恒例となったこのセミナですが、Androidアプリを開発する上で開発者が犯しがちな誤りや、Androidが提供するセキュリティの仕組みや限界について説明しつつ、セキュア

ワイヤレスジャパン2016に出展します

2016-05-23T10:49:00.000+09:00

今週水曜日から開催のワイヤレスジャパン（イベント詳細はこちら）。リスクファインダー社も出展します！ということで、今回は出展のお知らせです。開催概要開催日時：2016年5月25日（水）〜5月27日（金）10:00〜18:00（最終日17:00終了）開催場所：東京ビッグサイト　西3・4ホール / 会議棟ブース番号：6-2-8（日本Androidの会）内注意： 5月20日現在、出展者情報では、日本Androidの会はブース3-2-6 で出展すると記載されていますが、変更になっています。6-2-8が正解ですのでお間違いのないように！ブースでは「 Androidアプリの脆弱性診断ウェブサービス RiskFinder」をご紹介します。 RiskFinderはリリースから3年経ちますが、当初から比べると大きく進化しています。今回は近日リリース予定の新版を展示しますので

AndroidMで追加された、クリアテキスト機能について

2016-04-27T13:08:00.000+09:00

Google Developer Blogの方で先日、「Protecting against unintentional regressions to cleartext traffic in your Android apps」という記事が投稿されました。セキュリティに関する事ですので、翻訳をしました。要約すると、Android N のNetwork Security Config機能でこのあたりまた拡張されるのですが、Android Mでも平文通信を禁止するクリアテキスト機能は使用可能で、サードパーティのライブラリ等は影響うけるからそろそろ対応してね。という感じです。クリアテキストという用語はあまり聞きなれない用語になりますが、「平文」と置き換えるのが一番いいと思います。クリアテキスト通信→平文通信となります。検証等、動作確認はしていませんが、以下翻訳（超訳？）です。興味

Network Security Configurationについて - Android N

2016-03-14T21:33:00.001+09:00

３月１０日にAndroid NのPreview版がリリースされました。ようやくAndroid Mのセキュリティ回りの調査が一段落したと思っていたのに（全然調査内容ブログで書けてませんが…）もた調査の始まりです Android Mの時は、Runtime-Permissionという大きな機能が追加されました。現在ざっと見た感じ、NはMのような大きな変更はありませんが、それでも調査が必要な項目がいっぱいありました。皆さんマルチウインドウを色々試して盛り上がっているのを横目に、地味なセキュリティ回りの調査です。今回のセキュリティ回りで目を引いたのが、「Network Secure Config」という機能です。公開されているアンドロイドアプリは脆弱性がいっぱいですが、特にHTTPS通信の証明書の検査不備はひどいもので、IPAから注意喚起が出るほどです。プレス発表　【注意喚起

RiskFinder6.0 JSSEC対応版リリース

2016-02-18T22:13:00.000+09:00

本日、RiskFinder6.0 JSSEC対応版をリリースしました。ここでは、RiskFinder6.0 JSSEC対応版で新たに追加された機能や情報、リリースの経緯などについて簡単にお知らせしたいと思います。 JSSEC対応版とは