Blog|既知の悪用された脆弱性一覧 CISA KEVカタログ
yamoryでは、CISA Known Exploited Vulnerabilities (KEV) カタログを取り込み、CISA KEVカタログに掲載されている脆弱性があるかどうかをすぐに確認できるように、オートトリアージ機能への組み込みを行いました。 CISA KEVカタログは、既知の悪用が観測された脆弱性が掲載されているため、特にリスクの高い脆弱性の一覧となっております。 今回は、CISA KEVカタログの概要と公開された背景、CISA KEVカタログを脆弱性管理に有効活用する方法の例として優先順位付けのフレームワークのSSVCの紹介と実運用時の課題について紹介します。 CISA Known Exploited Vulnerabilities (KEV) カタログとはCISA Known Exploited Vulnerabilities (KEV) カタログは、米国サイバーセキュ
SBOM出力(SPDX/CycloneDX)機能をリリース
SBOM(Software Bill of Material)の標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。これにより、ソフトウェアサプライチェーンの中で組織を越えて SBOMを共有するための相互運用性が向上します。 SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。 ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。大統領令では、ソフトウェアサプライチェーンセキュリティを向上するためのガイドラインや SBOM の最小要素の発行が命じられています。 日本国内においても、経済産業省に「サイバー・フィジカル
IT資産登録機能をリリース
これまでExcel等で独自に管理されていたネットワーク機器等のIT資産やコンポーネント情報を取り込み、yamory上での資産管理および脆弱性の一元管理を可能にする「IT資産登録機能」を2023年4月24日にリリースいたします。 これによりクラウドのみならずオンプレミス環境のIT資産やコンポーネント情報の統合的な脆弱性管理が可能になります。ITシステムに必要な脆弱性対策をオールインワンで実現し、安心してテクノロジーを活用できる世界を目指してサービスを磨いてまいります。 サイバー攻撃が巧妙化する中、ネットワーク機器の脆弱性を悪用した攻撃が多発しています。昨今では、VPNの脆弱性を突かれたことによる医療機関へのサイバー攻撃が大きな話題となりました。この攻撃で悪用された可能性のある脆弱性(CVE-2018-13379)は、2019年に修正プログラムが公開されているにもかかわらず、2021年には63
国内唯一となるAmazon Linux 2023ローンチパートナーとAmazon Linux Readyの認定を取得
アマゾン ウェブ サービス(以下、AWS)が 2023年3月15日から一般提供を開始する「Amazon Linux 2023」 (以下、AL2023) の、国内唯一となるローンチパートナーとして認定されたことをお知らせします。 これにより、AL2023の提供開始直後からyamoryによるスキャンが可能となります。また、AWSサービスレディプログラムの一つであるAmazon Linux Ready認定も取得しました。yamoryは、Amazon Linux上でサポートされたソフトウェアとして安心してご利用いただけます。 AL2023ローンチパートナーおよびAmazon Linux Ready認定サービスとしてAWSと緊密に連携し、AWSサービスにおける脆弱性対策をお客様に提供することで、安心してテクノロジーを活用できる世界を実現し、社会のDX加速を支えるべく、サービス向上に努めてまいります。
事例 | BIPROGY株式会社様
BIPROGY様は、創業から60年以上にわたり、ITサービスインテグレーターとして様々な業界における基幹システム、業務システムなどの受託開発やITサービス提供を行っています。同社のITサービス提供におけるDevSecOpsの取り組みを進めるなかで、SCA(Software Composition Analysis、ソフトウェアコンポジション解析)活用のためのツールとしてyamory導入に至りました。 この度、BIPROGY Techマーケ&デザイン企画部 村野 葉月氏とプロセスアウトソーシング本部 合原 忠孝氏にyamory導入の背景や同社の取り組みについて伺いました。 BIPROGY株式会社様 創業から60年以上にわたり、ITサービスインテグレーターとして様々な業界における基幹システム、業務システムなどの受託開発やITサービスを提供
Blog|2022年 脆弱性セキュリティレポート 増加する脆弱性とソフトウェア管理の重要性
2022 年も残りわずかとなり今年の振り返りをする時期になりました。 yamory では脆弱性データベースを構築しているため日々公開される脆弱性情報を収集していますが、今年も多くの脆弱性・攻撃コード (PoC) を目にしました。 今回、yamoryの脆弱性データベースの情報や実際に脆弱性スキャンによって検知された脆弱性情報から今年はどのような傾向があるのか、今後どのような対策が必要になるのかを分析し、脆弱性セキュリティレポートとして公開しました。 本記事では脆弱性セキュリティレポートの内容を一部紹介したいと思います。 脆弱性セキュリティレポートはこちらよりお申し込みください。 脆弱性数の推移世の中に公開されている脆弱性データベースとして有名なものとして、アメリカ国立標準技術研究所NISTが管理する NVD (National Vulnerability Database) があります。 N
脆弱性診断と脆弱性管理の違い メリット・デメリット | yamory Blog
本記事では、脆弱性診断と脆弱性管理サービスの脆弱性の検出方法の違いと対象となるレイヤーの違いからどのようなメリット・デメリットがあるのかについて紹介します。
yamoryがない状態には戻りたくない。OSSの脆弱性管理工数を月35人日削減 - サイボウズ株式会社 | yamory Blog
セキュリティを守る3つの脆弱性対策手法と、大きな工数削減を実現したyamoryの導入についてお伺いしました。
Blog|2021年セキュリティニュース振り返り
2021年も残りわずかとなりましたが、今年も多くのセキュリティのニュースがありました。 ランサムウェアによる被害やWindowsの脆弱性の悪用などの去年もよく目にしたニュースや、Dependency Confusion (依存関係かく乱攻撃)やCodecov社のセキュリティインシデント、大統領令など今年に新たに大きく話題となったものも多くあります。 また、今月にもApache Log4jの脆弱性(CVE-2021-44228)が公開され、世界中の多くのサービスで使われていることもあり、大きく話題となりました。 今回は、今年気になったセキュリティニュースを月毎にピックアップして紹介し、さいごに今年の振り返りをしたいと思います。 月 IPA 情報セキュリティ 10大脅威 2021公開毎年IPAより発行されている「情報セキュリティ 10大脅威」が公開されました。 https://www.ipa.
Blog|OSSの脆弱性を発見して、CVEを2件取得するまで 脆弱性の発見・報告のポイント紹介
Amazon Translateでも利用されている機械翻訳フレームワークSockeyeとPythonのマイクロサービスフレームワークnamekoの任意のコード実行に繋がる脆弱性を発見し、報告を行い、CVEを2件(CVE-2021-43811, CVE-2021-41078)取得しました。 オープンソースソフトウェア(OSS)の脆弱性を発見、報告、CVEを取得までどのような過程を経たのか、OSSの脆弱性を見つける場合にはどのようにすると良いのか、報告方法はどうすればいいのか、今回の経験をもとにポイントを紹介します。 脆弱性報告の経緯 そもそもOSSの脆弱性を発見した経緯としては、前回の「TensorFlowだけじゃない!安全でないデシリアライゼーション in Python」の記事を書く中で、GitHubでyaml.unsafe_loadやyaml.UnsafeLoaderで検索すると脆弱な実
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
国内初の AWS Graviton Service Ready Partner に認定 | yamory Blog
マリシャスパッケージへの対応開始 | yamory Blog
SBOM(ソフトウェア部品表)の重要性と効率的な対応方法~オンラインセミナー開催レポート~ | yamory Blog
脆弱性対策で開発スピードが向上、バージョンアップの習慣化がポイント - KDDI株式会社 | yamory Blog