read more
Pick up
-
2022.01.17(月)
イベント・セミナー
開発手法の変化と最近の作り込みやすい脆弱性傾向の関係を紐解く
~脆弱性診断で見えてきた、古くて新しい「初歩的な」脆弱性とその対策~ -
2022.01.13(木)
お知らせ
【1月20日開催】TECH+セキュリティセミナー「ゼロトラストの効能、システム・運用変更のポイント」に、弊社取締役CTO 徳丸浩が登壇いたします。 -
2021.12.28(火)
ブログ
Log4Shell的な緊急度高の脆弱性対処に備えて5つのやっておくべきこと -
2021.12.28(火)
メルマガ
2021年12月28 Vol7 メルマガを配信しました。 -
2021.12.13(月)
メルマガ
2021年12月13日 緊急アラート・セキュリティ情報
Apache Log4jの深刻な脆弱性(CVE-2021-44228)と「SiteGuardシリーズ」の対応
see all news
Services
あらゆる工程でウェブセキュリティをサポート
-
Diagnosis
診断
脆弱性診断/セキュリティ診断とはセキュリティ上の問題となりうるバグ(脆弱性)を検査するサービスの総称です。ウェブアプリケーション脆弱性診断の他、プラットフォーム(サーバー)やスマホアプリの診断サービス、ペネトレーションテストなど、ニーズに合わせた各種診断プランをご用意しております。
-
Education & Consultation
教育・相談
ウェブアプリ開発者が知っておくべき攻撃と防御の知識を徹底解説した『安全なWebアプリケーションの作り方』著者であるCTO徳丸浩の知見と、多くの脆弱性診断サービスを提供してきた実績を生かし、セキュアコーディング講座をはじめとした各種講座やトレーニングを提供しています。
-
Consulting & Support
コンサルティング・支援
CTOの徳丸浩のノウハウと実績、最新技術への知見から生まれたハイクオリティなサービスと、そのエッセンスを生かした、より導入しやすいエントリーサービスを幅広くラインナップ。スポット利用から継続利用まで、柔軟なご利用形態もご用意。貴社の課題にマッチしたサービスが、ここにあります。
see all services
Case
導入事例
-
演習課題をふんだんに盛り込んだ実践形式の「脆弱性診断内製化トレーニング」でWebセキュリティに関する知識やスキルのレベルの統一化を目指す
JCOM株式会社
技術運用本部 NOC セキュリティオペレーションセンター
マネージャー/公認情報システム監査人(CISA),CISSP,GCIH 白井雅夫様情報処理安全確保支援士 水野貴文様
SERVICE
-
診断
セキュリティ教育
-
-
セキュリティ専門集団による脆弱性診断は、競合他社との差別化になる
株式会社ニューズピックス
ソフトウェア・エンジニア
武藤 雅幸様
SERVICE
-
サービスを高いセキュリティレベルで提供し続けるためにも、いろいろな形で連携していきたい
株式会社サミーネットワークス
システム管理部 システムサポート課 課長
寺田文吾様
SERVICE
see all cases
Client
主要取引先・導入実績
-
-
-
-
-
-
-
- 五十音順・敬称略
Event & Seminars
イベント・セミナー情報
-
2022.01.17 UP 受付終了
開発手法の変化と最近の作り込みやすい脆弱性傾向の関係を紐解く2022年2月16日 WED
16:00 ー 17:00
~脆弱性診断で見えてきた、古くて新しい「初歩的な」脆弱性とその対策~read more
-
2021.09.06 UP 受付終了
-
2021.08.26 UP 受付終了
-
2021.07.07 UP 受付終了
-
2021.06.08 UP 受付終了
-
2021.02.18 UP 受付終了
-
2021.02.17 UP 受付終了
-
2020.11.04 UP 受付終了
-
2020.10.01 UP 受付終了
-
2020.08.13 UP 受付終了
see all event&seminars
Blogs
ブログ
-
2021.12.28 UP
-
2020.09.02 UP
私はこうやってEGSSに潜り込んだ(中途/IT業界未経験編)
シリーズ第3弾です。3人目ともなると弊社の採用基準の多様さが徐々に見えてくるかと思います。今回の投稿もそれほど長文というわけではないので、軽い読み物としてお付き合いください。
read more
-
2020.07.22 UP
私はこうやってEGSSに潜り込んだ 他業種中途編
こんにちは、EGセキュアソリューションズ(EGSS)の黒木です。 前回に引き続き「こうやってEGSSに潜り込んだシリーズ」として他業種から中途入社した私(黒木)の事例を紹介します。
read more
-
2020.06.03 UP
私はこうやってEGSSに潜り込んだ 新卒編
こんにちは。エンジニアの竹添です。 本日は、新卒でセキュリティエンジニアになった私が、どのような経緯で業界に足を踏み入れ、どのようなお仕事をしているのか、というテーマで記事を書いてみたいと思います。
read more
-
2020.01.30 UP
Apacheが最新版(2.4.41)かどうかを確認する方法
こんにちは。EGセキュアソリューションズの社長の徳丸です。 今日は、Apacheが本稿執筆時点での最新版 2.4.41 であるかを確認する方法を公開しちゃいます。
read more
-
2019.05.10 UP
-
2019.03.29 UP
【連載】JSONとJSONPの違い、そしてそれにまつわる脆弱性
こんにちは。EGセキュアソリューションズ診断チームです。 JSONとJSONPという、Webサイトを構築する上でよく目にする技術について、 使用する上で注意すべき脆弱性を、解説を交えながら紹介したいと思います。
read more
-
2019.02.22 UP
WordPressサイト移行に便利なDB置換ツールを使う際の注意点
WordPressサイトの引っ越しや、開発環境から本番環境への移行等によりドメイン名やディレクトリ構造を変更する必要がある場合、データベース内のドメインやURLをSQLで直接書き換えるのではなく、DB置換ツール(Search Replace DB)が広く利用されているようです。
read more
-
2017.11.24 UP
-
2017.09.07 UP
-
2017.05.12 UP
-
2017.04.18 UP
「危険な脆弱性にいかに対処するか実践的ウェブサイト防衛セミナー」開催します
4月26日(水)HASHコンサルティング株式会社は、株式会社ジェイピー・セキュアと共催にて標記セミナーを開催いたします。
read more
-
2016.11.16 UP
HASHコンサルティングはWordPressを使っています
こんにちは。HASHコンサルティングの一ノ瀬太樹です。 前回の記事では「弊社のWordPressに対する取り組み(by HASHコンサルティング 松本)」について書かせて頂きました。
read more
-
2016.10.26 UP
WordPressとセキュリティ「ゆりかごから墓場まで」
こんにちは。HASHコンサルティングの松本隆則です。 今回は弊社のWordPressに対する取り組みについてお話させていただきます。
read more
-
2016.09.06 UP
私は如何にして心配するのを止めてOWASP ZAPハンズオンセミナーを愛するようになったか
はじめまして。HASHコンサルティングでエンジニアをしている松本隆則と申します。 弊社一ノ瀬に続き、私もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。
read more
-
2016.07.23 UP
httpoxyでAffected指定されているけどPoCが無いフレームワークで再現試験をした話
はじめまして。HASHコンサルティングでエンジニアをしている一ノ瀬と申します。ご存知の通り、現在HASHコンサルティングは現在も積極的にセキュリティエンジニアを募集しています。従業員も少しずつ増えてきましたので、今回の投稿から弊社の代表である徳丸と共に従業員もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。というわけで、従業員の投稿第1弾は2016/7/19に公開され話題となったhttpoxyの話です。
read more
-
2016.03.03 UP
HASHコンサルティングの入社試験ではウェブ健康診断実技を実施しています
HASHコンサルティング株式会社では、一緒に働く仲間を募集しています。弊社はウェブアプリケーションのセキュリティを専門分野にしていますので、ウェブアプリケーションの開発経験のある方を歓迎いたします。セキュリティの専門知識や経験は、入社いただく時点では必須とはしておりません。
read more
-
2015.10.13 UP
PHPのJSON HashDosに関する注意喚起
4年前にHashDos(Hash Collision Attack)に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施したため、PHPにはHashDosに対する攻撃経路がまだ残っているということは、一部の技術者には知られていました。例えば、以下の様なつぶやきにも見ることができます。
read more
-
2015.07.07 UP
【10社限定】イー・ガーディアン主催のセミナーにて講演します
HASHコンサルティング株式会社がイー・ガーディアン株式会社にジョインして初のセミナーをイー・ガーディアン主催で行うことになりましたので報告します。
read more
-
2014.08.05 UP
[PR]リアルタイム改ざん検知・復旧システムであるウェブアルゴスを使ってみた
重要事項説明: 本稿は、HASHコンサルティング株式会社が、デジタルインフォメーションテクノロジー株式会社(以下DIT)から依頼を受けて「ウェブアルゴス」を評価し、その結果を執筆した記事広告です。
read more
-
2013.12.06 UP
弊社のホームページにContent Security Policy(CSP)を導入しました
弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。
read more
-
2013.08.26 UP
バラクーダネットワークスジャパンのセミナー(名古屋)で講演します
8月29日バラクーダネットワークスジャパン株式会社の「企業公開サイトのセキュリティ対策セミナー」にて講演致します。まだ若干お席があるようですので、ご案内いたします。
read more
-
2012.12.30 UP
日本3大SNSのログイン画面について、SSL利用状況を検証する
このエントリは弊社メールマガジンの第一号(2012年4月27日発行)の記事の転載です。入力フォームをSSLにしないことの問題が話題となっていますので、読者の参考のため公開するものです。 この件に関連して、私はtwitterで以下のようにつぶやきました。
read more
-
2012.12.30 UP
ロリポップ上のWordPressをWAFで防御する方法
(2013/08/29)追記:ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました
read more
-
2012.10.10 UP
[PR]日本ベリサインの「脆弱性アセスメント」機能を使ってみた
本稿は、HASHコンサルティング株式会社が、日本ベリサイン株式会社から依頼を受けて「脆弱性アセスメント」を評価し、その結果を執筆した記事広告です。
read more
-
2012.06.26 UP
-
2012.06.18 UP
-
2012.05.17 UP
-
2012.04.27 UP
-
2012.04.24 UP
HASHコンサルティング株式会社のメールマガジンを創刊します
HASHコンサルティング株式会社では、このたび無償メールマガジン(以降、メルマガと表記)を創刊することに致しました。セキュリティや弊社代表徳丸浩に関する記事を、ほぼ毎月(努力目標)お届けいたします。 第1回の発行(送信)は四月末頃を予定しています。
read more
-
2012.04.21 UP
-
2012.03.27 UP
-
2012.01.30 UP
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
版の評価結果を報告します。SiteGuard Liteは、ModSecurityのようにApacheにモジュールとして組み込むタイプのWAFです。
read more
-
2011.10.16 UP
-
2011.09.11 UP
-
2010.05.22 UP
WAS Forum Conference 2010講演資料
WAS Forum Conference 2010講演資料 日付 2010年05月22日(土曜日) 時間 10時00分~18時00分 場所 コクヨホール 演題 ケータイ2.0が開けてしまったパンドラの箱 ケータイ2.0が […]
read more
-
2010.03.19 UP
「かんたんログイン」DNSリバインディング耐性のチェック方法
このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。
read more
-
2009.11.24 UP
-
2009.09.06 UP
9月4日 PHPカンファレンス2009 ビジネスデイで発表しました
こちらの日記はずいぶん後沙汰しておりますが、標記のように、 PHPカンファレンス2009 ビジネスデイにて発表する機会をいただきました。関係者のみなさまありがとうございました。
read more
-
2008.06.22 UP
WASForum Conference 2008で講演します
標記のように、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりました。7月5日土曜日、東銀座時事通信ホールです。
read more
-
2008.06.15 UP
安全なWebアプリケーションのために発注者がなすべきこと – 発注者のためのWebアプリケーションセキュリティ入門(1)
このブログでの連載開始にあたり、Webアプリケーションを発注する立場でのセキュリティに対する責任や、なすべきことを説明したいと思います。
read more
-
2008.06.11 UP
セキュアなWebアプリケーション開発のためのノウハウを提供します
こんにちは。HASHコンサルティング株式会社の徳丸浩です。私はこれまで二種類のブログを運営してきましたが、いずれも技術的な内容にフォーカスした内容でした。
read more
see all blogs
Tokumaru Hiroshi official
徳丸 浩Official
Chief Technical Officer
取締役CTO 徳丸 浩
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。
2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。
read more
Mail magazine
弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。
メールマガジンのご登録