理系学生日記

おまえはいつまで学生気分なのか

security

Cookieによる情報取得同意の要否と改正個人情報保護法

Cookieによる情報取得に関して同意を求めるポップアップが、多くのページで実装されるようになりました。 (GDPRではなく)改正個人情報保護法の観点で、Cookieの扱いに関して調べたことをまとめます。正しいのかは確信がないけれど。 私の中の結論としては…

npm auditのaudit-levelとCVSSの関係

npm auditにはaudit-levelオプションがありますが、このオプションで渡せるSeverityとCVSSにはどのような関係があるのでしょうか。 この興味が湧いたのは、運用設計においてどの程度のCVSS値を持つ脆弱性から真剣に対応するかを定めようとしているからです。…

OWASPのチートシート集がすごい

セキュリティに関するガイドを書いています。 セキュリティといえばOWASPでときどき参照させていただいていましたが、その過程で初めてのプロジェクトに出会ってしまいました。 OWASP Cheet Sheet Seriesです。 こちら、様々なセキュリティ分野のチートシー…

「安全なウェブサイトの作り方 改訂第7版」を読んだ

セキュリティのガイドを書けという話があり、日本で最も基本的なところであろうIPAの「安全なウェブサイトの作り方」の1章を再確認します。 対策の種類 脆弱性対策には2種類があり、根本的対策と保険的対策です。 根本的対策はそもそもとして「脆弱性を作り…

ISMSを示すときのISO 27001とSOC 2

他企業様のサービスを利用する場合、ISMS認証を求められることが多いです。 ISMSはInformation Security Management Systemの略であり、 wikipedia:情報セキュリティマネジメントシステムによると以下のように述べられています。 ISMSの目標は、リスクマネジ…