piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ
piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ:特集:1P情シスのための脆弱性管理/対策の現実解(2) いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。 脆弱(ぜいじゃく)性が企業組織に与える影響は、想像よりも大きく、想像よりも“面倒くさい”状況にある。そもそも「脆弱性」という言葉の認識も、もしかしたら人によって大きく異なり、対処を想定していない脆弱性が存在する可能性もある。 インシデント情報をまとめ記
日々増える「脆弱性」を何とかしたい企業に贈る、脆弱性管理を導入する前に検討すべき5ステップ
企業がスムーズに脆弱(ぜいじゃく)性管理に取り組めることを目指して、脆弱性スキャナーの種類や脆弱性管理のステップについて解説する本連載「脆弱性管理の実践ポイント」。 本連載の第1回では脆弱性スキャナーの種類と役割について、第2回では脆弱性管理の成熟度を向上させるための考え方について解説した。最終回となる今回は、脆弱性管理を導入する際に検討すべきステップについて説明する。連載の初めにも述べたが、いざ「脆弱性管理を実施しよう」とすると、意外と簡単にはいかない。そこで、脆弱性管理の導入という最初の1歩を踏み出すときに必要となる検討事項を下図にまとめた。 ここからは各ステップについて、詳細に解説する。 設計 脆弱性管理を導入する際の最初のステップは、管理対象を特定することになる。連載の第2回で述べたように、初めから全ての資産を対象にすることはハードルが高い。管理対象とする資産の選定に当たっては、サ
無知? 怠慢? 脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由――パッチマネジメント自動化はどんな効果があるのか
無知? 怠慢? 脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由――パッチマネジメント自動化はどんな効果があるのか:こっそり始めるパッチマネジメント自動化入門(1) パッチ適用の時間を短縮する「自動化」について解説する連載。初回は、脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由、「そもそもパッチ適用作業とは何をするものなのか」を整理します。パッチ適用全体を管理する業務「パッチマネジメント」と、その自動化がもたらす効果についても解説します。 セキュリティパッチの重要性 Emotetの猛威が収まりません。2014年に初めて観測されたマルウェアではありますが、攻撃手法を巧妙に変化させることによって、過去何回かの流行を繰り返し、最近新たな流行傾向を示しています。 トヨタ自動車の子会社がランサムウェア攻撃を受け、トヨタ全体が操業停止に追い込まれた事件は記憶に新しいところ
中小企業の情報セキュリティ対策、駆け込み寺は「商工会議所」? 専門家が解説
本特集の第1回で、ランサム攻撃の被害件数は大企業より中小企業の方が多いという話を紹介した。インターネットイニシアティブ(IIJ)の秋良雄太さん(セキュリティ本部)によれば「(攻撃者は)情報セキュリティ対策が弱く侵入しやすいところを探して攻撃していることが多い」からという。 中小企業が攻撃をかわすためには情報セキュリティ対策が必要だ――というのは言わずもがなだが、人手不足などで情報システム部門が1人しかいない企業や、そこまで情報セキュリティに詳しくないのに担当として任命されてしまった人もいるだろう。 知識が不十分だと、対策に必要な情報をどうやって探せばいいか、その情報をどう読み解けばいいのかが分からないまま、問題を放置してしまいかねない。攻撃者に狙われるのは、まさにその放置された問題箇所だ。 今回は前回に引き続き、情報セキュリティ初心者が知っておくべき情報源と、困ったときの相談先についてII
2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ - SoftEther VPN プロジェクト
2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ はじめに 本ドキュメントは、2021/08/16 公開の 「SoftEther VPN」/「PacketiX VPN」の Ver 4.37 Build 9758 Beta に関連する情報を提供します。 本ドキュメントは、「SoftEther VPN」/「PacketiX VPN」をインストールし管理されている VPN サーバーの管理者様で、IPsec 機能 (L2TP/IPsec, EtherIP/IPsec または L2TPv3/IPsec) を有効にされ、かつ、以下の条件に合致する方向けのものです。 「SoftEther VPN」/「PacketiX VPN
あなたの会社のなりすましが現れたら? 迷惑メール対策方法とYahoo!メールのDMARC導入事例紹介
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。エンジニアの中村成陽と申します。Yahoo!メールを担当しております。 今回の記事ではなりすましメールについての説明と、その対策としてYahoo!メールに導入した送信ドメイン認証技術のひとつである「DMARC」についてご紹介します。そしてこれらを踏まえ、なりすましメール対策のために何ができるのかをご紹介しますので、参考になれば幸いです。 なりすましメールとは? なりすましメールとは、送信者自身のものではない、うそのメールアドレスを詐称、つまり別のメールアドレスからのものであると偽って送られたメールのことです。 送信元メールアドレスには、手紙でいえば封筒に記載する差出人となる EnvelopeFrom アドレスと、中身の
「仮想パッチ」は通常のパッチと何が異なるのか
比較サイトComparitech.comは2021年6月6日、同社のWebサイトで仮想パッチについて解説した。仮想パッチを重要なサイバー攻撃対策と位置付け、ネットワークやシステムの管理者に対し、業務の一環として取り組むよう勧めている。 仮想パッチの主な目的と機能、必要性、長所、短所、実行プロセス、注意点、ツールの要件を説明し、3種類の主要なツールを紹介した。 仮想パッチとは何か 仮想パッチは通常のパッチと同様に、ソフトウェアの脆弱(ぜいじゃく)性を解消するプロセスだ。だが、個々のエンドポイントごとにソフトウェアへパッチを適用するのではなく、エンドポイントの脆弱性の悪用をネットワークレベルで防止する。 仮想パッチではデータパケットとトラフィックを分析し、脆弱性の悪用を防止するセキュリティポリシーレイヤーをネットワークに展開する。仮想パッチソリューションが効果を発揮するには、「ディープパケット
あなたのドメインでメール運用を始めたら、終わらせるときのことも考えてみよう
2020年11月12日、日本シーサート協議会の年次会合「EmotetとのCSIRTとしての向き合い方」が開催されました。日本シーサート協議会は、日本で活動するコンピュータセキュリティインシデント対応チーム(CSIRT)間の情報共有及や連携を目的に活動する組織です。日本シーサート協議会副運営委員長兼「GSX-CSIRT」のメンバーである萩原健太氏は、「Emotet」を始めとした組織に致命的なダメージを与えるマルウェアへの対抗策として、4つの“別れ”を提案しました。 発表の中で萩原氏は「メールの廃止」に加え、メールにおける「ZIPファイルとパスワードを別送りする『PPAP』の廃止」「添付ファイルの廃止」を提案しました。組織的な観点からは、ソフトウェア導入後のアップデートを怠るリスクを問題視した「導入した製品の放置の廃止」も併せて訴えています。 萩原氏の提案の中でも、特にメールの廃止については賛
DXとセキュリティ、インシデントに対峙するトップの姿……コロナ禍だけではなかった2020年を振り返る
DXとセキュリティ、インシデントに対峙するトップの姿……コロナ禍だけではなかった2020年を振り返る:大混乱から未来志向の2021年へ 年末は一年を振り返って「いろいろなことがあった」と感慨深くなりがちですが、こと2020年は日本企業のIT担当の皆さんにとっては劇的に環境が変わった一年だったのではないでしょうか。今年の人気記事ランキングを集計してみたところ、「本当にいろいろあった」ことが分かりました。 2020年は年始と年末とでまったく状況が変わってしまった一年でした。年始のころ、私たちは旧来型システム延命の限界とIT人材不足などが日本企業に一気に押し寄せる「2025年の崖」のリスクをどう解消するかに関心があったことと思います。デジタルトランスフォーメーション(DX)が必要という言説を聞いても、働き方改革が重要だと言われても「いずれ対応するために検討中」とのんびり構えていたところがあったか
戦略的EOL対応フレームワーク - Qiita
何を書いた記事か こんにちは。 みなさん、自分たちのシステムで使ってる製品・サービスの寿命(EOL)管理してますか? 大抵の場合気づいたころにはEOL迎えてたものが大量にあって何から手をつけたら・・という状態になっているのではないかと思います。 僕もそうだったので、今回大量の寿命切れに直面したときにどのように対応していくか、自分なりに考えたことをまとめていきます。 なぜEOL対応するのか そもそもEOLとは そのそも、EOLって何でしょうか。 EOLとは「End of Life」のことで、読んで字の如く、「寿命切れ」です。 (似た言葉にEOSやEOSLがありますが、ここではだいたい同じ意味として、代表的なEOLに記載を統一します。) じゃあなんの寿命切れか、と言われたら、いろいろです。 システムを構成するのに、全て自分たちで1からフルスクラッチで作ることは現代においてありえなくて、何かしら
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点:半径300メートルのIT(1/2 ページ) テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。 ほぼ全ての企業がPCとネットワークを活用し、何らかのITシステムを使っています。インターネットに接続する可能性があれば、そこにはインシデントが発生する可能性も存在します。 最近ではサイバー攻撃を受けることも当たり前になりつつありますが、インシデントが発生したあとにしっかりとその被害状況に関してのレポートも公開されるようになりました
中小規模企業向けセキュリティチェックリスト
中小規模の企業の場合、ITセキュリティの専任部門を持つことが必ずしも採算に合わないことから、インフラ全体の監視が1人に任されることもしばしばです。常勤の正社員ではない人に任されることもあります。 優秀な管理者は多くのことをこなせますが、その道のプロであっても、特に問題が山積みで時間が足りない場合には、何かを見逃す可能性があります。そのため、重要な作業を習慣化することには、それに見合う価値があります。ここでは、定期的に確認すべき5つの項目をご紹介します。 1. 企業Webサイトのセキュリティ証明書を更新する ユーザーデータを要求したり処理したりするWebサイトには、SSL証明書が必須です。これは、Webサイトに入力された情報が傍受されないように保護するためのものです。今どきのブラウザーのほとんどは、SSL証明書を持たないWebサイトにアクセスすると、「このWebサイトは安全ではありません」と
マイクロソフトとNISTが協力、企業のパッチ適用ガイドを策定へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftと米国の国立標準技術研究所(NIST)は、企業のセキュリティパッチの適用に関するNISTのガイドの策定を進めている。 両者は他の利害関係者に対して、この策定中の文書作業への参加を求める呼びかけを始めた。このプロジェクトには、製品を提供する側のベンダーも、ユーザーとしてパッチの適用に関わる知見を持っている企業や個人も参加できる。 作成された文書は、システム管理者が社内のセキュリティパッチ適用基準の策定や改善を行うために利用できる、「Special Publication 1800」シリーズのNISTの標準として公開される。 このガイドは、業界ガイドラインを策定する米国の政府機関であるNISTが定めるものであり、今後大きな
ユーザー企業における情報システムとセキュリティ #seccamp2019
ユーザー企業ではユーザーとビジネスを守る(Protect)ため、様々なリスク管理を実施しています。それ自体の変化はありませんが、業務システムやサービスをホスティングする環境が多様化するかたわら、新しいリスクが生まれてきているのも事実です。 本講義では、ビジネスを継続成長させていく中で、経営的なお話、新し…
Microsoft、「BlueKeep同様に危険」なリモートデスクトップサービスの脆弱性修正の早期適用を呼び掛け
米Microsoftは8月13日(現地時間)、月例セキュリティ更新プログラムを公開した。リリースノートとは別に、Microsoftはリモートデスクトップサービス(RDS)の修正パッチについて公式ブログで早急に更新プログラムを適用するよう呼び掛けた。 この更新プログラムは、2つの重大なリモートコード実行(RCE)の脆弱性を修正する。これらの脆弱性(CVE-2019-1181およびCVE-2019-1182)は、「BlueKeep」と同様に、ワーム化(ユーザーが気づかないうちにマルウェアがPCからPCへと伝播)する恐れがあるとしている。なお、今のところこれらの脆弱性が悪用された証拠はない。 影響を受けるWindowsのバージョンは、Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows S
常時SSL化について | JPRS
Webサイトの一部のみをHTTPS化するのではなく、Webサイト全体をHTTPS化することは常時SSL化(常時HTTPS化)と呼ばれています。 従来はログインページやクレジットカード決済ページなど、Webサイト上でパスワードや個人情報等を入力するページのみをHTTPS化して通信を保護することが一般的でした。 しかし近年、インターネットにおけるセキュリティ意識の高まりやGoogle Chromeなどの主要なブラウザーでの対応を受け、Webサイト全体をHTTPS化することが求められています。 このページでは、常時SSL化のメリットや対応までの流れ、押さえておきたい注意点などについて解説します。 Webサイトを常時SSL化することにより、Webサイトのセキュリティ向上(なりすましや盗聴の防止など)やアクセス解析の精度向上(解析ツールへのリファラ情報の引き渡しなど)などの効果が見込めます。 HTT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
By popular demand: Windows LAPS available now! | Microsoft Community Hub
イエラエセキュリティ CSIRT支援室 第17回「イエラエセキュリティ漫画コラム『とっても大事な保全の巻』」 | ScanNetSecurity
.NET Framework 4.5.2/4.6/4.6.1のサポートが2022年4月26日に終了/1年の猶予の間に.NET Framework 4.6.2および.NET Framework 4.8への更新を
ファイルをクラウドに送ってもらうにはどうするの?――リモート管理とデータ転送を安全に行うための基礎知識
