日本セキュリティオペレーション事業者協議会(ISOG-J)は5月24日、「脆弱性トリアージガイドライン作成の手引き」を公開した。
AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか?(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね?そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いAWSセキュリティのコンテンツたちを紹介します。 紹介するコンテンツは、最近実施しているAWSセキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini S
There’s an increasing demand for skilled cybersecurity professionals. It’s being driven by a surge in cyberthreats and more sophisticated attackers. However, many employers are hesitant to fill open cybersecurity roles and are hiring conservatively in case of economic downturn—even though they understand the importance of having the right expertise to mitigate contemporary cyberrisks. Organization
総務省は、今般、令和4年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の内容を、わかりやすく解説するために「クラウドの設定ミス対策ガイドブック」を策定いたしました。 総務省では、クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスについてとりまとめた「クラウドサービス利用・提供における適切な設定のためのガイドライン」を、令和4年10月に策定・公表しました。 今般、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が引き続き発生している中で、本ガイドラインの活用促進を図るため、ガイドラインの内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を策定しま
JPCERTコーディネーションセンターは、産業制御システムにおけるインシデント対策を支援する資料「制御系SIRTの機能を備えるための手引き」を公開した。 同資料は、産業制御システム(ICS)も対象としたインシデント対応体制を整備する際のノウハウをまとめた手引書。ICS特有の事情を考慮し、備えるべき能力や必要な要件などを整理している。 さまざまな業種における製造業のICSセキュリティ担当者が参加するコミュニティにおいて、実務者目線から検討し、知見を取りまとめた。執筆にあたり20社以上、のべ35人以上の関係者が参加している。 さまざまな産業制御システムが存在するが、執筆内容については同コミュニティの範囲に留まり、すべてを網羅しているわけではない点に注意が必要。同センターでは必要に応じてアップデートしていく予定。 (Security NEXT - 2024/03/28 ) ツイート PR
2021年5月18日、米国の非営利団体であるCIS(Center for Internet Security)は、「CIS Controls」の最新版となる「CIS Controls v8」を公開しました。 CIS Controlsとは、組織で「最低限行うべきこと」に着目し、技術的な対策153項目を整理したガイドラインです。 自社のセキュリティに漠然とした不安がある方や、何から取り組んでよいのかわからない、といった方々がCIS Controlsを参照することで、セキュリティ対策のポイントを押さえられるようになっています。 その一方、153項目といったボリュームやユニークな概念(IG※1、Controls※2、Safeguards※3)の使用によって、一読しただけでは内容や重要性の理解が難しい可能性もあります。 本記事では、「CIS Controlsとはそもそも何が書かれているのか?」「自社
総務省は、本日、LINEヤフー株式会社(代表取締役社長 出澤 剛、法人番号 4010401039979、本社 東京都千代田区)に対し、同社における、不正アクセスによる通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう、文書による行政指導を行いました。 LINEヤフー株式会社(代表取締役社長 出澤 剛。以下「LINEヤフー社」という。)からの報告により、同社及び同社のITインフラの運用に係る業務委託先であるNAVER Cloud社が、それぞれセキュリティに係るメンテナンス業務を委託していた企業においてマルウェア感染が生じたことを契機として、NAVER Cloud社の社内システムが侵害されるとともに、同社を介して、同社とネットワーク接続のあったLINEヤフー社の社内システムに対して不正アク
情報処理推進機構(以下、IPA)は2024年2月29日、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案をまとめた「情報セキュリティ10大脅威 2024」の追加資料として、新たに「情報セキュリティ10大脅威 2024」(各脅威の詳細をまとめたもの)「情報セキュリティ10大脅威の活用法 2024」「情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策」を公開した。 情報セキュリティ10大脅威 2024の追加資料が公開 追加された資料では、脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。公開された情報を確認するとともに、対策に活用してほしい。 公開されたドキュメントは以下の通りだ。
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
2024.2.17 微修正 2024.2.15 デブサミ2024きっかけでリバイス (OWASP LLM 1.1/祝AISI設立) 2023.10.24 追記・セクション明確化 2023.8.30 Q&A追加などupdate 2023.8.27 増補版 2023.8.26 初版:塩尻サイバーセキュリティ勉強会 2023 夏 ( 更新は、特別カスタマイズ版を除きスライドを上書き更新していきます) 岡田良太郎 オカダリョウタロウ OWASP Japan Lead アスタリスク・リサーチ Executive / Researcher ビジネス・ブレークスルー(BBT)大学講師 神戸デジタル・ラボ CSA The English version is available. Ask me. : How Software Security Will Change with the Rise of AI
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く