SLSA (Supply-chain Levels for Software Artifacts) についてSBOMとの関係を調べるうちにいくつかわかったこと・翻訳などをまとめておきます。 SLSAとは SLSAとはGoogleが提唱しているソフトウェアのサプライチェーンにおける完全性を確保するためのセキュリティフレームワークです。SLSAの主な目的は、ソフトウェアの開発から顧客が使用までの一連の流れであるサプライチェーンを保護し、改ざんやインシデントからソフトウェアを保護することです。SLSAのフレームワークは、成熟度によってレベル1から4に分類されており、各段階ごとにソフトウェア・サプライチェーンの安全性を強化する事項が定められています。 SLSAが必要な理由 ここら辺はGoogleの「What is SLSA?」の翻訳＋抜書きになりますので先にご承知おきください。 ソフトウェア開発に

すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform Windows 365 開発者

Microsoft Azureのセキュリティチームは11月4日、中国のハッカー集団が構築したボットネット「CovertNetwork-1658」（別名：Quad7、xlogin）を使用して、同社のクラウドサービスに対する巧妙なパスワードスプレー攻撃を展開していることを明らかにした。このボットネットは2023年8月から活動を開始し、主にTP-Link製ルーターなど1万6000台以上のIoTデバイスを不正に操作して構成されている。現在も平均して8,000台規模のデバイスが攻撃に利用されており、企業や政府機関のクラウドアカウントを狙った組織的な攻撃が継続している。 中国発ボットネット「Quad7」が進化、1.6万台のTP-Linkルーターを乗っ取りMicrosoft Azure顧客を標的に このボットネットは2023年10月に研究者Gi7w0rmによって初めて確認され、「Botnet-7777」

村上さん @fdd3f5ac 最近ポストにイタズラされるので、開けた人間に絶望を与えるポストにしてやった この前は鍵破壊された 絶対許さねぇ pic.x.com/twtwAcIai7 2024-11-01 11:25:51

IPA（独立行政法人情報処理推進機構）では、経済産業省が公開した「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した「IT製品の調達におけるセキュリティ要件リスト活用のためのガイドブック」を公開しています。 平成25年6月に情報セキュリティ政策会議で決定された「サイバーセキュリティ2013」では、政府機関における、安全性・信頼性の高いIT製品等の利用推進が求められています。これを受け、経済産業省とIPAが共同で作成した「IT製品の調達におけるセキュリティ要件リスト（第1版）」が平成26年5月に経済産業省から公開され、今般 その第2版が公表されました。 「IT製品の調達におけるセキュリティ要件リスト」はデジタル複合機、ファイアウォール等の製品分野毎に考慮すべきセキュリティ上の脅威とそれに対抗するためのセキュリティ要件をまとめたものです。政府機関だけでな

ST確認制度 ST確認とは、セキュリティ評価基準ISO/IEC 15408(CC: Common Criteria)に基づき開発者・申請者により作成されたセキュリティ設計仕様書(ST: Security Target)及び機能仕様を、規定された評価方法であるISO/IEC 18045(CEM: Common Evaluation Methodology)に従って第三者機関が評価し、IPAがその評価結果を確認するわが国固有の制度です。 ST確認制度の概要 背景 本来、ISO/IEC 15408に基づく評価は、設計書、製品テスト、開発環境あるいは配付手続などさまざまな側面について行われます。平成13年3月、政府は情報システムの構築に当たって調達するIT関連製品は、可能な限りISO/IEC 15408に基づいてセキュリティ評価されたもの等の利用を推進する方針を示しています。しかし、これらの評価基

本制度の基本となるセキュリティ評価基準であるCC (ISO/IEC 15408) について、簡単に説明します。 CC (ISO/IEC 15408) とは CC (Common Criteria) とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。 欧米諸国では1980年代から自国のセキュリティ評価基準と評価制度を持ち、軍需や政府調達を主体に活用されてきました。90年代になり、これらのセキュリティ評価で先行していた国々により商用製品の活用や国際的な市場からの調達などを目的とした国際的なセキュリティの共通評価基準を作成するプロジェクトが発足したことがCC開発の始まりです。1999年、CCはISO標準 (ISO/IEC 15408) となり、2000年にはJIS標準 (JIS X 507

安全性を高めるため証明書の最大有効期間は年を追って徐々に短くなってきた。2011 年以前は最長で約 8 年だったものが、2020 年には約 13 ヶ月になった。Apple の提案が受け入れられれば、証明書の最大有効期間は 2025 年 9 月から 200 日に短縮され、その 1 年後には 100 日に、そして 2027 年 4 月以降は 45 日まで短くされる。この提案には、ドメイン認証（DCV）の有効期間を段階的に短縮し、2027 年 9 月以降は 10 日にすることも含まれている。

CCE(Common Configuration Enumeration) ～セキュリティ設定項目を識別するための共通の識別子～ ENGLISH パスワード編　共通セキュリティ設定一覧CCE概説 （パスワード編） 共通セキュリティ設定一覧CCE（Common Configuration Enumeration）（*1）は、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号（設定項目識別子）を付与する仕様です。 CCEは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP（Security Content Automation Protocol）（*2）の構成要素のひとつです。米国政府の支援を受けた非営利団体のMITRE社（*3）が中心となり仕様策定を進めており、2007年8月に、Windows 200

概要本記事では脆弱性診断時に何故WAFを無効化したほうがいいかについて記載する。 なお、本記事内での脆弱性診断とは「Webアプリケーション内にXSSやSQLインジェクション等のセキュリティホールが存在しないかを調査するサービス(ブラックボックステスト)」を指し、WAFとはWebアプリケーションの脆弱性を悪用した攻撃から保護するファイアウォールを指す。 脆弱性診断を依頼される際、少なくない場面でWAFを有効化したままの状態で検査を依頼されることがある。 依頼者曰く「実際の運用では常にWAFを有効化しているのだから、この状態でどのようなセキュリティホールが存在するか確認してほしい」とのこと。 理屈はわかるが、それでは脆弱性診断サービスを効果的に利用できないと考える。 本記事ではこの理由について記載する。 WAFの効果 まず、WAFとは実際にどのようなことを行うかを説明する。 簡単にいえば、脆弱

コンピューティング あらゆるワークロードに対応した VM により、構築、リリース、スケーリングを迅速に実行

KADOKAWAグループは10月29日、グループポータルサイトを再開した。6月上旬に発生したランサムウェア攻撃の影響で停止してから、およそ4カ月半ぶりに復旧した。 KADOKAWA広報の公式Xアカウントは「長らくご不便をかけましたが、今後も当社、および当社グループの情報を掲載してまいりますので、引き続きよろしくお願いします」としている。 KADOKAWAグループは今年6月、第三者からランサムウェア攻撃を受け、社員の個人情報などが漏えい。「ニコニコ」のサービスなどが2カ月にわたって休止に追い込まれた他、書籍の出荷遅延や公式サイトの停止などグループ全体で多岐にわたる影響が出た。 このうちニコニコやKADOKAWA公式サイト、書籍の出荷などは8月から段階的に復旧。10月17日にはニコニコ動画全体の再開をアナウンスしている。 ただし業績への影響も大きく、8月に発表した2025年3月期通期（24年4

現在、当社メールアドレス（no-reply@accounts.nintendo.comなど）を装い、当社とは無関係の企業・サービスについて案内する不審なメール（なりすましメール）が送信されている事案を確認しております。これらは第三者が送信元メールアドレスを偽装して送信したもので、当社から送信した正規のメールではございません。 こうした不審なメール中に記載されたリンク（URL）は詐欺サイトの可能性がありますので、受信した場合にはメール中のリンクは開かずに、メールを削除していただきますようお願いいたします。 なお、不審なメールが何度も届く場合は、お使いのメールサービス提供者へのご相談をおすすめします。メールサービスによっては、迷惑メールやなりすましメールを防ぐサービスを提供している場合があります。 万一、リンク先のサイトを開いてしまった場合は、速やかにブラウザーを終了してください。また、リンク

なぜか、国産のセキュリティ製品となるととたんに導入のハードルが上がるんです。公的な研究所が作った技術をベースに国産で開発され、中身もわかっている製品であるにもかかわらず、「この製品は攻撃されても大丈夫なのか」とネガティブに見られがちです。

2024年10月21日週は、VMware vCenter Serverのセキュリティアップデートに失敗したBroadの他、Fortinetの「FortiManager」に深刻な脆弱性が見つかったことなどが報じられた。 2024年10月21日週は、ソフトウェアの脆弱（ぜいじゃく）性対応と、ランサムウェアの被害が目立った。VMwareを買収したBroadcomの他、FortinetやCisco Systemsが脆弱性情報を発表した。 ランサムウェアでは日本郵船グループのMTIの事例が示唆に富む。同社は従業員数70人と小規模だが、船舶に関する技術で多数の受賞歴がある。高度な技術を持つ企業が狙われた事例だと捉えられるかもしれない。 次々見つかる深刻な脆弱性 Broadcomの課題はセキュリティアップデートに手間取ったことだ。いったん公開した「VMware vCenter Server」のアップデー

フロントエンドエンジニアのブライアン・ブラウン氏がかつてドメインを購入した際に失敗した事について、過去を振り返るブログ記事を投稿しました。 Before you buy a domain name, first check to see if it's haunted | Bryan Braun - Frontend Developer https://www.bryanbraun.com/2024/10/25/before-you-buy-a-domain-name-first-check-to-see-if-its-haunted/ ブラウン氏はブラウザ上で動くインタラクティブなオンラインオルゴールを開発し、musicboxfun.comでホストしていました。2022年にmusicbox.funというドメインが空いている事を発見し、購入してサイトを移行したとのこと。 ブラウン氏が全ての