セキュリティは楽しいかね? Part 2
ポッドキャスト収録用のメモですよ。 podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。 事件、事故 英NCA が DDoS 攻撃代行サービスを摘発 攻撃、脅威 KnowBe4 が米国市民に詐称した北朝鮮の IT 労働者を雇用していたことを公表 米司法省が米国の病院等へのランサムウェア攻撃に関与したとして、北朝鮮政府のハッカーを起訴。また関連して FBI、CISA などが共同で、北朝鮮の攻撃者グループ Andariel の攻撃活動に関する注意喚起 脆弱性 CISA が Known Exploited Vulnerabilities (KEV) カタログに 2 個の脆弱性を追加 ISC BIND に複数の脆弱性 その他 Google が Third-party cookie 廃止の方針を撤回 Let's Encrypt が OCSP サービスの提供を終了
On 18th April 2021, a security researcher identified a vulnerability in our review-cask-pr GitHub Action used on the homebrew-cask and all homebrew-cask-* taps (non-default repositories) in the Homebrew organization and reported it on our HackerOne. Whenever an affected cask tap received a pull request to change only the version of a cask, the review-cask-pr GitHub Action would automatically revie
ツールやフレームワークの力は大きいが、さまざまなサービスやシステムを支えるソフトウェアを作っているのは人間だ。そして、そのソフトウェアに含まれるバグや脆弱(ぜいじゃく)性を見つけるのもまた人間だ。その人間同士が1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。 今や、モノ作りはハードウェアだけでは完結しない。デジタルの力を借り、ソフトウェアやサービスを組み合わせることで他にない独自の価値を生み出そうと多くの企業が取り組んでいる。だが、そこには課題もある。「バグのないソフトウェアはない」といわれるが、もしそれがセキュリティ上の問題につながる脆弱性であれば、ユーザーに害を与える恐れがあるからだ。 そこで今、徐々に増えつつあるのが、自社が提供する製品の脆弱性を見つけ出し、対応に当たる「PSIRT」(Product Security Incident Respo
FIRST is the global Forum of Incident Response and Security Teams FIRST is the premier organization and recognized global leader in incident response. Membership in FIRST enables incident response teams to more effectively respond to security incidents - reactive as well as proactive. FIRST brings together a variety of computer security incident response teams from government, commercial, and educ
APT攻撃 - Wikipedia
APT攻撃(APTこうげき、英:Advanced Persistent Threat、持続的標的型攻撃)はサイバー攻撃の一分類であり、標的型攻撃のうち「発展した/高度な(Advanced)」「持続的な/執拗な(Persistent)」「脅威(Threat)」の略語で長期間にわたりターゲットを分析して攻撃する緻密なハッキング手法、または集団[1][2][3]。「ターゲット型攻撃(APT)」とも訳される[4]。 独立行政法人 情報通信研究機構(NICT)のサイバー攻撃対策総合研究センター(CYREC)では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」[5]としている。世界のセキュリティー業界では、組織名不明のクラッカー組織を見つけると、イランに拠点を置くハッカー組織APT33、ロシアのAPT29、北朝鮮のAPT38
ガートナー ジャパン(以下、ガートナー)が主催する「ガートナー セキュリティ&リスク・マネジメント サミット」(2023年7月26日~28日)に積水化学工業の原 和哉氏(デジタル変革推進部 情報システムグループ長)が登壇した。同氏は「積水化学グループのサイバーセキュリティマネジメント」と題し、同社のリテラシー教育やリスクマネジメントに関する取り組みを語った。 72時間で1億円の損失? ランサムウェア被害を自分ごとにする演習とは 積水化学工業は1947年創業の住宅、樹脂加工品メーカーだ。ポリバケツなどのプラスチック製品から始まり、パイプなどの産業用部材の製造にビジネスを拡大すると、その後は現在の主力事業である「セキスイハイム」ブランドの住宅部門や、検査薬や原薬などのヘルスケア部門にも取り組んでいる。2023年3月期の売上高は約1兆2400億円、従業員数は約2万6000人になり、海外売上比率も
CSIRTの仕事はまず早期警戒から
情報収集はセキュリティの基本 脅威情報の提供サービスを使え 脅威情報には標準の記述形式がある 近年、サイバー攻撃が極めて高度化しています。この状況を憂慮して、CSIRT(Computer Security Incident Response Team)というセキュリティの専門チームを設ける企業が急増しています。CSIRTの役目は、セキュリティインシデントへの対処だけではありません。他社で発生したインシデント情報を早期に入手し、自社の対策に生かす「早期警戒」も重要なミッションです。今回は、この早期警戒を取り上げます。 セキュリティを維持、確保していく上で、情報収集は欠かすことができない重要な活動です。例えば、利用しているOSやミドルウエアの脆弱性の情報を早期に得て、対応の必要性を見極めた上でパッチを適用するというのは、セキュリティ対策の基本中の基本といえます。また、流行しそうなサイバー攻撃手
Best Practices for Organizational Units with AWS Organizations | Amazon Web Services
AWS Cloud Operations & Migrations Blog Best Practices for Organizational Units with AWS Organizations AWS customers look to move quickly and securely when launching new business innovations. The multi-account environment provides guidance to help customers plan their AWS environment. This framework is designed to meet security needs, while maintaining the ability to scale and adapt their environme
サイバー攻撃対策の「砦」として注目されるCSIRT(セキュリティー対応チーム、シーサート)。経済産業省のガイドラインでも企業に対して設置が推奨され、急速に増えているが、「作ったもののうまく機能しない」といった悩みも聞こえてくる。どうすればいいのだろう。 情報セキュリティー上の問題に対応するための体制や仕組み。被害拡大防止や原因解明にあたるほか、通信監視や社内教育も行うケースや、自社では内外の連絡調整だけ担い、その他の機能は外部委託するケースもあるなど、そのあり方は千差万別だ。 外部の機関から「不審な通信が見つかった」と通報を受けた。サイバー攻撃を受けている可能性がある。さあ、どう対処するか。社内や外部との連絡や調整は? 何をどのように調査する?顧客へのサービスは継続できるのか――? この夏、静岡県内で行われた2泊3日の合宿。企業や官庁から参加した24人の受講者が様々な想定を与えられ、対応方
セキュリティ専門家 人狼 SECWEREWOLFの公式Twitterアカウントはこちら » https://twitter.com/Sec_JINROH SECWEREWOLF英語ページはこちら » カードゲームを通してサイバーセキュリティを学ぶ『セキュリティ専門家 人狼』(略して セキュ狼)を2017年1月23日にベルサール八重洲で開催された「Network Security Forum 2017」で発表しました。「セキュ狼」に関するイベントの開催情報や開催中の様子については公式Twitterアカウント「@Sec_JINROH」をご覧下さい。 『セキュリティ専門家 人狼』(略して セキュ狼)概要 サイバーセキュリティインシデントに関する報告を受け取り、調査し、緊急時における対応機能を有した専門的な組織を「シーサート(CSIRT: Computer Security Incident Re
1つとして同じCSIRTはない! CSIRTを構築するのが難しいとされる理由の1つとして「CSIRTに標準規格のようなものがないから」と言われることがよくあります。しかし、規格がないということは逆に企業や組織ごとに自由に実装してよいという意味であり、実際にCSIRTの実装の仕方は企業や組織によって大きく異なります。 私がCSIRT研究家として数々のCSIRTを調査した経験から言えば、1つとして同じCSIRTは存在しないと言っても過言ではありません。また、同業他社を真似すればよいとの声も耳にしますが、必ずしも有効とは言えません。 同業であれば、似たようなシステムを使っていたり、規制などの法的な面で同じような縛りがあったりするなど、確かに互いに参考になる部分はあるかもしれません。それでも、具体的なCSIRTの実装は同業であっても大きく異なり、むしろ異業種の方が参考になるケースも珍しくないのです
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?:OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか 各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。 高まるSBOM導入の機運、継続的な監視/運用の体制作りが重要に ここ数年で、オープンソースソフトウェア(OSS)の利用リスクに大きな注目が集まるようになった。「Apache Log4j」で明らかになった脆弱(ぜいじゃく)性の問題は、今やOSSがあらゆるところで使われており、セキュリティ上の問題がもたらす社会的インパクトが大きいという事実を浮き彫りにした
UPDATE: While the industry has shortened validity times, we still offer service plans of up to 2, 3, even 6 years—and the automation to make it seamless. Three, Two, One, Liftoff on One-Year TLS Certificates At the CA/Browser (CA/B) Forum in Bratislava, Slovakia, this week, Apple announced that beginning Sept. 1, newly issued publicly trusted TLS certificates are valid for no longer than 398 days.
「君たちの仕事は社員のハートをつかむことだ」。クラウド名刺管理サービスのSansanを創業したメンバーの1人であり、CISO(最高情報セキュリティ責任者)を務める常楽諭取締役は全社のセキュリティレベルを向上させるため、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)のメンバーに社員と接する時の心構えを日々こう説いている。 現在、同社はCSIRT「Sansan-CSIRT(Sansan Computer Security Incident Response Team)」を専任技術者4人を中心にして運営する。セキュリティリスクが高まる中、2018年に入って新卒1人と中途採用1人を増員した。CSIRTは有事にインシデントハンドリングの役割を果たし、平時は脆弱性情報などの収集と社内外への発信、ログの分析、社員のセキュリティ教育などを担当している。 脆弱性診断で2度の苦い思
コインチェック株式会社(本社:東京都渋谷区、代表取締役:勝屋敏彦、以下当社)は、2018年1月26日に発生した不正アクセスによる仮想通貨NEMの不正送金に関連し、お客様の資産保護及び不正送金の原因究明のため部分的にサービスを停止し、業務改善計画の策定とその実行により、経営管理態勢及び内部管理態勢の改善を図ってまいりました。また、当社はこれまで、外部専門家による協力を受け技術的な安全性の確認が完了したサービスについて、段階的に再開を行ってまいりました。具体的には2018年2月に日本円の出金、2018年3月から6月にかけて仮想通貨の出金・売却の再開を順次行ってまいりました。今般、「新規口座開設」「一部仮想通貨の入金・購入」を再開する準備が整い、2018年10月30日より再開いたしましたので、お知らせいたします。 2018年10月30日より再開するサービス 新規口座開設 一部仮想通貨の入金 入金
アドビ、CS5アプリの無償セキュリティフィックスを提供へ
Adobe Systemsは、同社の「Photoshop」「Illustrator」「Flash Professional」の各製品について、最新のセキュリティパッチを入手するために顧客に支払いを求める方針をどうやら変更したようだ。 これらのパッチは、リモートユーザーが悪意のあるコードを実行し、上記の製品が動作するコンピュータの制御を奪い取ることが可能になる脆弱性に対処するものだ。 Adobeは米国時間5月11日付けのセキュリティブログの投稿で、次のように述べている。 われわれは、「Adobe Illustrator CS5.x」「Adobe Photoshop CS5.x(12.x)」「Adobe Flash Professional CS5.x」に存在する脆弱性への対策を進めていて、パッチが利用可能になり次第、それぞれのSecurity Bulletinをアップデートする。 ユーザーは
CISO ハンドブックについて 情報セキュリティ事故が数多く報道され、またGDPR(EU 一般データ保護規則)などの国際的な規制の対応が求められるなど、セキュリティへの関心が高まり、組織のセキュリティ対策を所轄するCISO(Chief Information Security Officer)が注目されています。一方で、情報セキュリティ対策は、危険性や損失といったマイナス面が主要なテーマとなり、ビジネスに対してどのように貢献するのか、という視点で議論される事は殆どありません。しかし、CISOが経営陣の一員として、セキュリティに取り組むためには、想定される危険性や損失に取り組むだけではなく、ビジネスの視点を持って業務を執行することが求められます。 セキュリティを経営に取り込むための試みとして、経済産業省が発行した「サイバーセキュリティ経営ガイドライン(2)」が注目されています。重要な取り組み
「Internet Explorer」に存在する、パッチ未公開のセキュリティ問題を悪用し、ユーザーに悪質なソフトウェアをインストールさせようと試みるサイトが出現したと、専門家らが米国時間9月19日に警告を発した。 この脆弱性は、IE 6のグラフィックス処理を行う部分に存在する。複数のセキュリティ企業によれば、攻撃者は、ウェブサイトや電子メールに書かれた悪質なリンクをユーザーにクリックさせることで、彼らの気付かないうちに悪質なソフトウェアをWindows PCにインストールするという。 VeriSignのiDefense事業部で緊急対策チーム担当ディレクターを務めるKen Dunham氏は、電子メールによる声明のなかで、「これまでのパッチをすべて適用したInternet Explorerブラウザでさえも、この問題に対しては脆弱だ。この新しいゼロデイ攻撃は簡単に真似ることができる。したがって近
Security Update Additional Technical Details Morning Press Call Transcript Afternoon Press Call Transcript Originally published on September 28, 2018 at 9:41AM PT By Guy Rosen, VP of Product Management On the afternoon of Tuesday, September 25, our engineering team discovered a security issue affecting almost 50 million accounts. We’re taking this incredibly seriously and wanted to let everyone kn
Uberが何者かによってハッキングされた模様 | 二本松 哲也
WebセキュリティエンジニアのSam Curry 氏によると、9/16 9:58 頃にUber従業員のHackerOneアカウントがハッキングされた事が確認された模様です。 Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE — Sam Curry (@samwcyo) September 16, 2022 “誰かがUberの従業員のHackerOneアカウントをハッキングして、すべてのチケットにコメントしています。彼らはおそらくUber HackerOneの全レポートにアクセスできる
Hardening Drivers Conference 2021でCSIRTの受援力についてパネルディスカッションをしました - Classi開発者ブログ
こんにちは、サイバーセキュリティ推進部の野溝(@nomizooone)です。普段はClassiサービスの脆弱性診断や顧客対応などを担当しています。 先日、Hardening Projectにより開催された/dev/hardening – Hardening Drivers Conference 2021 のセッション「CSIRTの受援力」にて、私を含むClassiサイバーセキュリティ推進部の3名がパネラーとしてお話をさせていただきました。 「Hardening Project」(ハードニングプロジェクト)とはウェブサイトの安全性を追求する技術の啓蒙と人材の育成や、技術の社会的認知の向上による健全なネット社会への進歩に貢献することを目的としたセキュリティ界隈の皆さんにはおなじみのコミュニティです。 インシデント情報公開が登壇のきっかけに Classiは昨年度、大規模な個人情報漏えい事件をおこ
さよならShockwave Player――Adobe Systemsが複数製品のセキュリティアップデートを公開
Adobe Systemsは2019年4月9日(現地時間)、「Adobe Flash Player」「Adobe Acrobat」「Adobe Acrobat Reader」「Adobe Shockwave Player」などのセキュリティアップデートを公開し、多数の深刻な脆弱(ぜいじゃく)性を修正した。 Adobe Systemsのセキュリティ情報によるとAdobe Flash Playerは、Windows、macOS、Linux、Google Chrome OS向けのセキュリティアップデートで2件の脆弱性に対処した。このうち1件は任意のコード実行に利用される恐れがあり、緊急度は同社の3段階評価で最も高い「クリティカル」に指定。優先度はWindowsやmacOSで「2」、Linuxでは「3」に位置付けている。 Adobe AcrobatやAdobe Acrobat Readerのセキュ
セキュリティ対応組織の教科書 v1.0
セキュリティ対応組織の教科書 v1.0 日本セキュリティオペレーション事業者協議会(Information Security Operation providers Group Japan 略称:ISOG-J) セキュリティオペレーション連携 WG(WG6) はじめに(抜粋) 本書「セキュリティ対応組織の教科書」は、SOC (Security Operation Center)や CSIRT(Computer Security Incident Response Team)と言ったセキュリティ対応組織において、どのような機能や役割、人材が必要となるかについてまとめたものである。 昨今、企業内の CSIRT 構築や企業内に閉じたプライベート SOC の構築が広く検討、あるいは実際に実行されるようになってきている。しかしながらその構築や運営にあたっては、セキュリティ対応に必要となる機能や役割を
米Uberのダラ・コスロシャヒCEOは11月21日(現地時間)、「2016 Data Security Incident(2016年のデータセキュリティ事件)」と題する公式ブログで、昨年10月にサイバー攻撃を受け、5700万人以上のユーザーデータや60万人のドライバーのデータが盗まれていたことを明らかにした。 8月にCEOに就任したコスロシャヒ氏は、「こうしたことは起きてはならないことだったし、言い訳のしようもない。過去を消すことはできないが、この過ちから学び、顧客の信頼を得られるよう努力することはできる」としている。 このブログ公開の直前には米Bloombergがこの事件の詳細を報じる記事を掲載した。 UberがBloombergに説明したところによると、2人の攻撃者はまずUberのソフトウェアエンジニアが使っていた個人のGitHubアカウントを入手し、それを使ってUberがユーザーデー
米軍基地と間違えられた?岩国の病院被害を調査
筆者は最近、自宅で「1人CSIRT(シーサート)▼」を始めました。世の中で起きた情報セキュリティインシデントを調査し、情報を共有するのが目的です。ニュース内容の真偽や、サイバー攻撃の手法を調査します▼。 ▼CSIRT Computer Security Incident Response Teamの略。情報セキュリティのインシデントが発生した際に先頭に立って対応に当たる専門組織。筆者の1人CSIRTのTは、「Tsuji」という意味を含んでいる。
情報セキュリティ - Wikipedia
情報セキュリティ(じょうほうセキュリティ、英語: information security)とは、情報の機密性、完全性、可用性を維持すること。 定義[編集] 基本の定義[編集] 情報セキュリティは、JIS Q 27000(すなわちISO/IEC 27000)によって、情報の機密性、完全性、可用性を維持することと定義されている[1]。それら三つの性質の意味は次のとおりである[2]。 機密性 (Confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること 完全性 (Integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること 可用性 (Availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること これらを情報セキュリティの3要素といい、英語
今年新卒で入社したfreee PSIRTのhikaeです。 freee Developers Advent Calendar 2023の5日目を担当します。 PSIRT(Product Security Incident Response Team)はインシデント発生の予防、早期検知、早期解決、被害の最小化を通して、freeeのプロダクトを堅牢にし、顧客情報を安全に管理するチームです。そのためfreeeの提供する沢山のプロダクトに関わることとなります。 DevSecOpsムーブメントを進めるにあたって、開発サイドでのシフトレフトを積極的に進めています。 本記事ではシフトレフトの手段の一つ、SASTについて入門記事を書いてみました。 DevSecOps SAST(Static Application Security Testing)とは、ソースコードを解析して実装の不備を検知する仕組みです
経営課題化してきたサイバーセキュリティ――企業・組織を守るために経営者は何から始めるべきか?
進むビジネスのデジタル化、企業は常にITリスクと背中合わせに 名立たる大企業や組織による情報漏えい事故が、相も変わらず後を絶たない。そのたびに、企業における情報セキュリティ対策の在り方について再考を余儀なくされている。これまではどちらかというと「セキュリティはIT部門任せ」にしてきた日本企業の経営層も次第に「情報セキュリティの確保と維持は経営課題の一つ」とその考えを改め始めている。いざという時、経営層が迅速に意思決定できるようCSIRT(Computer Security Incident Response Team)の構築を急ぐ企業も増えているという。 さらに現在では、ITを駆使した「ビジネスのデジタル化」は、新しいビジネスモデルの構築やビジネススピードの飛躍的な向上など、これまでのビジネスの在り方を大きく変革すると期待されている。それは、どう顧客に近づき、顧客の課題を理解し、素早く解決
ここはBP商事のIT企画室。入社3年目のエンジニアであるA君は,パソコンの前で渋い顔をしていた。先日,上司のS課長,同僚のBさんとセキュリティ・インシデントへの対応策を話しているとき,そのための専門チームを持っている会社を調べてみると請け負った。ところが実際に探し始めてみると,どこから手をつけたらいいのかわからず,行き詰まってしまったのだ。そこにBさんがA君に声をかけてきた。 Bさん:どうしたの? 朝から渋い顔して。 A君:「もしものときのための組織作り」の下調べを始めたんですけど,苦戦してるんです。昨日は課長に「調べてみますよ」なんて気軽に言っちゃったんですけど,こういう社内体制の具体的な話ってあんまり表に出ないみたいで,どこから手をつければいいかわかんなくて・・・。 Bさん:どんなところから調べているの? A君:何か取り仕切っている部署があるんじゃないかなと思って,そこから探し始めてみ
いまだ勢いの衰えを見せないサイバー攻撃。企業や経営者は増加するセキュリティの脅威に対し、どう対応していかなければならないのか――。3人のセキュリティのプロフェッショナルが、経営者とセキュリティ担当者が今なすべきセキュリティ対策について語り合った。 サイバー犯罪の進化はとどまるところを知らず、サイバー攻撃はますます巧妙化・凶悪化している。日本の企業や公共組織を狙う犯罪者は多く、2020年に向けて、さらに攻撃が激化していくとも予想されている。 こうしたサイバー攻撃に対し、企業の経営者は自社のビジネスや貴重な人材を守るために手を尽くす義務がある。セキュリティ担当者もまた、自身の経験や知見を最大限に活用して、最良の施策を立案・実行する必要がある。両者とも、限られたリソースの中で最適な対策は何か、最も優先すべきことは何かと、常に悩まされていることだろう。 いま、私たちが行うべきセキュリティ対策は、ど
パスワード管理アプリ「LastPass」のソースコードの一部が攻撃者によって奪取されました。LastPassの開発企業は、ユーザーのパスワードが盗まれた証拠は見つかっていないと述べています。 Notice of Recent Security Incident - The LastPass Blog https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/ LastPass developer systems hacked to steal source code https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/ 公式発表によると、2022年8月にLast
CSIRT小説「側線」 第1話:針(後編)
一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT」。その活動実態を、小説の形で紹介するCSIRT小説「側線」、第1話の後編です。メタンハイドレードを商業化する貴重な技術を持つひまわり海洋エネルギーにインシデントの予兆が……。 この物語は 一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT(Computer Security Incident Response Team)」。その活動実態を、小説の形で紹介します。コンセプトは、「セキュリティ防衛はスーパーマンがいないとできない」という誤解を解き、「日本人が得意とする、チームワークで解決する」というもの。読み進めていくうちに、セキュリティの知識も身につきます。これまでのお話はこちらから。 前回までは メタ
組織においては、不審なメールを受信した場合、さらには添付ファイルを開いてしまった場合、ウイルス感染等の被害に遭うことがあり、その被害拡大を抑止すべく適切な対処を行う必要があります。そのため、有事に備えて、セキュリティ企業が提供している"標的型攻撃メール訓練"サービスを利用したり、自前でシステム管理部門等が中心となって同様の訓練を実施したりするケースがあります。 IPAには「不審なメールを受信した」という情報提供や「不審なメールの添付ファイルを開いてしまった」という相談が連日のように寄せられています。そして、その中には「IPAを騙った不審なメールを受信した」という内容もあります。しかし、その多くはIPAの組織名を用いた訓練メールであったことを確認しています。背景として、訓練を実施する際に用いるメール文面には、リアリティ追求の観点から実在する組織名を使うべき(脚注1)という考えがあるようです。
やばいぞ人材、攻撃者目線のメンバーも欠かせない
日本の企業や団体におけるサイバーセキュリティの現状のまずさと、そこからの脱却方法を解説する連載の最終回は、今や日本を覆う課題となったセキュリティ人材を取り上げる。 多くの組織は、次世代のセキュリティオペレーションを支える5軸を意識したCSIRT(シーサート:Computer Security Incident Response Team)がどのように活動し、そこにどんなスキルセットを持った人材が必要かを分かっていない。このため、CSIRTの構築を任された人はセキュリティ会社に頼り切りになり、セキュリティ会社が売りたい「軸」だけに偏ったCSIRTが誕生する。これはやばい。 確かに全ての軸について人材を配置する必要はない。しかし「収集」など特定の軸は自組織の要員で担う必要があり、全体の軸を主体的に管理する人材も欠かせない。筆者が13年間、MSS(マネージド・セキュリティ・サービス)に携わった経
Adobe、クリック乗っ取り問題に対処
最新版のFlash Player 10.0.12.36は「クリックジャッキング」問題など複数の深刻な脆弱性に対処した。 米Adobe Systemsは10月15日にリリースしたFlash Player最新バージョン10.0.12.36で、ユーザーのクリックが乗っ取られる「クリックジャッキング」(clickjacking)の脆弱性に対処した。 Adobeのセキュリティ情報によると、脆弱性が存在するのはAdobe Flash Player 9.0.124.0とそれ以前のバージョン。 クリックジャッキングはC Playerや主要ブラウザに存在する脆弱性で、ユーザーが知らないうちに、意図しないリンクをクリックさせられる恐れがある。Flash Player最新版ではこの問題に対処して、カメラとマイクロフォン機能に関する攻撃防止策を盛り込んだ。 また、クロスドメインポリシーファイルに関する権限昇格の脆
遠隔地でコラボが可能なノースロップグラマン社のタッチテーブル
軍参謀会議にピッタリ? 遠くの誰かがTouchTableに触ると、こちらのTouchTableにその人のタッチが伝わる、そんな「統合コラボ環境(integrated collaboration environment=ICE」が可能なタッチテーブルです。 マイクロソフトSurface と Rosie に強敵出現? 米LAのミサイル製造大手ノースロップグラマン社が今週ロンドンの防衛会議でお披露目しますけど、開発はもう数年前から進めていたようです。製作は同じLAのApplied Minds Incが担当。記事下にあるのがマーケティング用公式サイトです。 手でパニングしたり、写真を横から横に移動したり、2本の指でズームアウト、ズームインしたり。これはiPhoneとまるで一緒ですね。45インチ(解像度1920x1080)と、84インチ(解像度1600x1200)の計2バージョンで、後者には外付けの
こんにちは。フィンランドに本社を置くサイバーセキュリティ企業、エフセキュアのサイバーセキュリティ技術本部でシニアセールスエンジニアを務める、落合一晴です。広く知られた「ハッカー」という言葉。本来は「コンピュータ、プログラミング、ネットワークに関する深い知識を持つ人」を指しているのですが、世間一般では「悪意を持った攻撃者」の代名詞として広まってしまっています。 われわれは後者を「ブラックハットハッカー」、そして彼らから人々を守る役割を果たす人を「ホワイトハットハッカー(倫理ハッカー)」と区別しています。スター・ウォーズのシスとジェダイのようなものです。 本稿では、ホワイトハットハッカーの認定資格である「CEH = Certified Ethical Hacker (認定倫理ハッカー)」の意義、そして実際にこの資格を取得している筆者の体験に基づいて、取得までの道のりについて解説していきます。ま
CSIRT - Wikipedia
CSIRT(Computer Security Incident Response Team、シーサート)とは、コンピュータやネットワーク(特にインターネット)上で何らかの問題(主にセキュリティ上の問題)が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称。 CSIRT以外にCIRT(Cyber Incident Response Team)という略称が使われることもある。 概要[編集] 1988年のインターネット上のモリスワームによるインシデントの際に、米国カーネギーメロン大学内にCERT/CCが設置された。 その後、世界各地に「CERT」を含むチームが設置された。 しかし、カーネギーメロン大学の登録商標との関係から別の呼称が求められ、「CSIRT(computer security incident response te
Myspace.com Blogs - Pitched Down House Sound Mix - The Revenge MySpace Blog
Help Site Info Privacy Terms Ad Opt-Out Do-Not-Sell My Personal Information A part of the People / Entertainment Weekly Network. May 31, 2016 You may have heard reports recently about a security incident involving Myspace. We would like to make sure you have the facts about what happened, what information was involved and the steps we are taking to protect your information. What Happened? Shortly
いち早くPSIRT整備を進め、製品のセキュリティ向上に取り組んできたサイボウズがゲヒルンを信頼するワケ | ゲヒルン株式会社
いち早くPSIRT整備を進め、製品のセキュリティ向上に取り組んできたサイボウズがゲヒルンを信頼するワケ クラウドベースのグループウェアサービス「cybozu.com」や業務アプリケーションプラットフォーム「kintone」を中心に、業務を支えるサービスおよびソフトウェアを提供してきたサイボウズ。「チームワークあふれる社会を創る」ことを理念にコラボレーションツールを作り続けており、導入企業数は 85,000社を超える。 その同社にとって、サービス・プロダクトのセキュリティは必要不可欠な要素だ。「サイボウズの製品が扱う情報の性質上、機密性はもちろん、可用性・完全性の観点も守ることが不可欠と考えています」と、同社Cy-PSIRTの大塚由梨子氏は述べる。 サイボウズ Cy-PSIRTの大塚由梨子氏 こうした背景からサイボウズでは、サービス・製品のセキュリティ品質の向上に特化した「PSIRT」(Pr
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Security Incident Disclosure
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
FIRST - Improving Security Together
積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
サイバー対策、未熟な「砦」~CSIRT導入で悩む現場 : 科学 : 読売新聞(YOMIURI ONLINE)
「セキュリティ専門家 人狼」JNSA教育部会 ゲーム教育ワーキンググループ
「運用を継続できる」ことを意識して構築しよう!CSIRTを適切に実装する方法【後編】
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
DigiCert's Position on 1-Year TLS SSL Certificates
社員のハートをつかむ、SansanのCISOが定めた指針
新規口座開設、一部仮想通貨の入金・購入再開のお知らせ | コインチェック株式会社
CISO ハンドブック(CISO支援WG)特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
「Internet Explorer」にパッチ未公開の脆弱性--すでに悪用始まる
Security Update | Facebook Newsroom
Uberの新CEO、昨年の大規模情報漏えいをざんげし、隠ぺいした幹部を解雇
CodeQLでつくる誤検知を減らすためのSAST入門 - freee Developers Hub
第2回 「CSIRT」って何だろう――事故発生前に構築しておく,社内のインシデント対応チーム
経営者とセキュリティ担当者が今なすべきセキュリティ対策とは
パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生
組織における標的型攻撃メール訓練は実施目的を明確に | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ホワイトハットハッカーになろう!(1) ハッカーの種類と企業に必要なホワイトハットハッカー