徳丸　浩

徳丸本の著者です

今話題のドメイン名オークションの仕組み

NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。「ドコモ口座」のドメイン、落札される　402万円で - ITmedia NEWS まだ金融機関などから当該ドメインへのリンクなどが残っているので、フィッシングや詐欺サイトなどに悪用される懸念が表明されているところではありますが、この記事では、ドメイン名オークションの仕組みについて説明します。ドメイン名の

経営者がITに通じているべきかに関する問答

以下の記事はpeingの質問・回答の転載です。長くなりますのでこちらに移しました。先の7payの質問を見て、私は「一般企業ならともかく、IT企業のトップはITに通じているべきでは」と感じました。CTOをうまく使うにも最低限のリテラシーが必要と思うのですが、どうでしょうか https://peing.net/ja/q/ce3168e4-91ce-4991-a8d5-2ad29350fbc9 より引用私自身は、必ずしもそうではないと思っています。私は60歳近いジジイです

徳丸　浩

4年前

16
イントラ設置の業務システムの脆弱性診断は必要か?

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。イントラ設置のスクラッチ開発の業務システムの脆弱性診断(アプリケーション、プラットフォーム)って、必要なのでしょうか？ https://peing.net/ja/q/31832176-ce49-46a4-a5fe-5be6ef5dd508 わざわざ「スクラッチ開発」と断っているのは、「URL構成などが独自なので外部からXSSやCSRF等の受動的攻撃を仕掛けることができない」という趣旨だと推測しまし

徳丸　浩

4年前

8
パソコンに入っているソフトウェアは全て疑ってかからないと行けないのか

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。パソコンに入っている、インターネットのウェブサイトを閲覧するためのコンピュータープログラム（「e」←このようなアイコン）は、基本的に信頼できないのでしょうか。世界中で広く一般的に使われているコンピュータープログラムなら、まれによくある不具合修正をきちんと適用していれば基本的には信頼できると考えて、よほどタイミングが悪くなければ怪しいウェブサイトを「見るだけ」なら問題ないだろうと今まで思っていました

徳丸　浩

4年前

4

今話題のドメイン名オークションの仕組み

107

徳丸　浩

7か月前

経営者がITに通じているべきかに関する問答

16

徳丸　浩

4年前
イントラ設置の業務システムの脆弱性診断は必要か?

8

徳丸　浩

4年前
パソコンに入っているソフトウェアは全て疑ってかからないと行けないのか

4

徳丸　浩

4年前

自分で考えろと言われてその通り実行したら機嫌を損ねられた質問者への回答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。職場の先輩に仕事の質問をして、自分で考えるのが仕事という回答をいただき、自身のみでした作業がありました。後日、先輩になぜ相談しなかったと言われ、話しかけるのも躊躇うほど機嫌を損ねてしまいました。謝罪はしましたが許してもらえず、次の最善はどうすればいいでしょうか。 https://peing.net/ja/q/2d025bc5-51fd-4191-b4c0-cc283f75c330 より引用詳

徳丸　浩

4年前

7
自分で考えろと言われてその通り実行したら機嫌を損ねられた質問者への回答

7

徳丸　浩

4年前
現状に即していないセキュリティ規定についての問答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。特に日本の大企業において、現状の技術やプラクティスに全く即していないセキュリティ関係の規定や細則が存在している傾向があるかと思います。これらについてどのように思いますか?また、是正すべきであればどのように是正すべきでしょうか https://peing.net/ja/q/f547e99d-0af6-4a0c-ad1c-c102094df641 より引用 1. どう思うか特に思うところはないですね。

徳丸　浩

4年前

17
現状に即していないセキュリティ規定についての問答

17

徳丸　浩

4年前
暗号初期化ベクトルは役に立つのか?

Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。現在、暗号化ではIV（暗号初期化ベクトル）が不要なECBモードは推奨されず、それらが使用されるCBC等が推奨されています。しかし、暗号化後の文章も、暗号化初期ベクトル（平文）も同様にDBに直接保存される為、結局のところ意味をなすのでしょうか？暗号化後の文章が漏れる≒IVが漏れると思いますが、どのような時にIVを設定したことによる恩恵が受けられるのでしょうか？ https://peing

徳丸　浩

4年前

38
暗号初期化ベクトルは役に立つのか?

38

徳丸　浩

4年前
セキュリティエンジニアになるにはどのような勉強をすべきですか？

このエントリはPeingでの質問（表題通り）に対する回答の転載です。以前、Yahoo!知恵袋で類似の質問に回答したことがきっかけとなり、著名な大学教授や業界の有名人が回答に参入してお祭りになったことがあります。セキュリティエンジニアを将来の夢にしているのですが現在高2なの... - Yahoo!知恵袋そこでも回答したことですが、セキュリティエンジニアを目指すには、まず情報工学の基礎をしっかりと学ぶことがとても重要だと思います。以下は、立命館大学の上原先生のブログエ

徳丸　浩

4年前

4
セキュリティエンジニアになるにはどのような勉強をすべきですか？

4

徳丸　浩

4年前
脆弱性診断をする際に最も重きを置くことは何ですか？

このエントリはpeingの質問への回答を転載したものです。脆弱性診断をする際に最も重きを置くことは何ですか？ | Peing -質問箱脆弱性診断において重要なことは複数あり、優先度をつけることがむずかしいのですが、あえて一つ選ぶとすれば、網羅性ではないかと思います。脆弱性診断の周辺にあるサービスや施策として、ペネトレーションテストやバグバウンティ制度などがありますが、いずれも網羅性を指向するものではありません。この点、脆弱性診断は網羅性が期待される（べき）ものだと

徳丸　浩

4年前

9
脆弱性診断をする際に最も重きを置くことは何ですか？

9

徳丸　浩

4年前
パスワードを積極的に使い回すというパスワード管理手法

パスワードをサイト間で使いまわししてはいけないというのは周知の事実ですが、この記事では、敢えてパスワードを使い回すというパスワード管理手法について紹介します。結論として、この手法は今や使いものにならないと思いますが、考え方は面白いと思います。実用にはなりませんが、読み物としてお読みください。 ※ この記事は、Quoraの回答として書いたものの一部を編集し直したものです。昔、高名なセキュリティ専門家が、パスワード管理手法の１つとして、ウェブサイト等をリスクランク毎に分類し

徳丸　浩

5年前

7
パスワードを積極的に使い回すというパスワード管理手法

7

徳丸　浩

5年前

最近の記事

今話題のドメイン名オークションの仕組み

経営者がITに通じているべきかに関する問答

イントラ設置の業務システムの脆弱性診断は必要か?

パソコンに入っているソフトウェアは全て疑ってかからないと行けないのか

今話題のドメイン名オークションの仕組み

経営者がITに通じているべきかに関する問答

イントラ設置の業務システムの脆弱性診断は必要か?

パソコンに入っているソフトウェアは全て疑ってかからないと行けないのか

自分で考えろと言われてその通り実行したら機嫌を損ねられた質問者への回答

自分で考えろと言われてその通り実行したら機嫌を損ねられた質問者への回答

現状に即していないセキュリティ規定についての問答

現状に即していないセキュリティ規定についての問答

暗号初期化ベクトルは役に立つのか?

暗号初期化ベクトルは役に立つのか?

セキュリティエンジニアになるにはどのような勉強をすべきですか？

セキュリティエンジニアになるにはどのような勉強をすべきですか？

脆弱性診断をする際に最も重きを置くことは何ですか？

脆弱性診断をする際に最も重きを置くことは何ですか？

パスワードを積極的に使い回すというパスワード管理手法

パスワードを積極的に使い回すというパスワード管理手法