「情報セキュリティの敗北史」が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は→賢者は歴史に学ぶ
もよもよ。 @yoppu1eg 情報セキュリティの敗北史が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は。まだ3章だぞ?これだこのことが私が生まれる少し前から起きてたのか??なんで、3ヶ月くらい寝かしてたの?この本?? pic.twitter.com/3vHXxg2W1h
もよもよ。 @yoppu1eg 情報セキュリティの敗北史が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は。まだ3章だぞ?これだこのことが私が生まれる少し前から起きてたのか??なんで、3ヶ月くらい寝かしてたの?この本?? pic.twitter.com/3vHXxg2W1h
私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
セキュリティ監視入門
A new tool that blends your everyday work apps into one. It's the all-in-one workspace for you and your team
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配:ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構(IPA)サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中 - 意図せずダウンロードされたファイルを実行しないで! - 2024年6月から、パソコンを使用中に突然、画面全体に偽のメッセージが表示されて、キーボードやマウスの操作を一切受け付けなくなり、電源を入れなおして再起動しても状況が変わらないという相談が寄せられています(本資料ではこの手口を「操作不能の偽メッセージ」と呼称します)。 メッセージには、マイクロソフトサポートへ電話をするように嘘のメッセージがあることから、これまでの「サポート詐欺(別名:偽のセキュリティ警告)」と同様に相談が寄せられていますが、ウェブブラウザに偽の警告を表示していたものとは手口が異なり、これまでのサポート詐欺の手口でご案内した対処が通用しないことが確認されています。 手口の詳細や原因および目的などは不明な部分が多いですが、継続して相談が寄せられて
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
ダラスにあるホテルに宿泊したら部屋に置いていた荷物がすべてなくなった人の記録「全くトラックできないセキュリティホールが存在している」
hiro_ @papa_anniekey BMX Racer. And also, Security analyst/Architect/ex-researcher/Hobbiest. Tweet & article is my own. otx.alienvault.com/user/papa_anni… hiro_ @papa_anniekey 明日からダラスにまた移動です。ちょっと疲れた笑 今回2年ぶりにラスベガス来て感じたのは、アメリカを足元の景気は悪化してるのかな?ということ。お店の商品のラインナップが抑えられてたり、エンタメの集客がよくなかったり。 hiro_ @papa_anniekey この3日間、営業的な研修でした。 アメリカン達と朝から晩までディスカションというなかなか辛いカリキュラム。内容はもちろんながら、研修に出席する姿勢がAPACとAMERは全く違く、カルチャーギ
6月に受けたサイバー攻撃がネット上でさまざまな反響を呼んでいるKADOKAWAグループは7月3日現在、セキュリティエンジニア職の求人を求人サイトに掲載している。同グループのインフラ開発・運用業務などを担う子会社・KADOKAWA Connected(東京都千代田区)の社員を募集。セキュリティエンジニア職の最大年収は800万円という。
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
「セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまい、技術的には対策が打てたとしても、運用が追いつかない…」という指摘が秀逸すぎる話
ケビン松永 @Canary_Kun 大手SIerで15年間システム開発に従事し、現在は独立してITコンサルをやってます。零細法人経営者 | 意識高い系よりは尿酸値高い系 | 3児の父 | 大家クラスタ | 多重債務力167M、加重平均金利は197bp ケビン松永 @Canary_Kun 自分は情報安全確保支援士(登録セキスペ)も持っていて素人ではないんですが、セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 技術的には対策が打てたとしても、運用が追いつかない…。そんな気持ちを連ツイします。 x.com/yuri_snowwhite… 白”雪姫” @yuri_snowwhite 一応、セキュリティ担当としておおっぴらには言ってないことなんだけどたまにはきちんと言おうかな。 今回のSSHの件然り、カドカワの情報漏洩然りなんだけど、 1:定期的に脆弱性対応
総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
総務省は、本日、LINEヤフー株式会社(代表取締役社長 出澤 剛、法人番号 4010401039979、本社 東京都千代田区)に対し、同社における、不正アクセスによる通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう、文書による行政指導を行いました。 LINEヤフー株式会社(代表取締役社長 出澤 剛。以下「LINEヤフー社」という。)からの報告により、同社及び同社のITインフラの運用に係る業務委託先であるNAVER Cloud社が、それぞれセキュリティに係るメンテナンス業務を委託していた企業においてマルウェア感染が生じたことを契機として、NAVER Cloud社の社内システムが侵害されるとともに、同社を介して、同社とネットワーク接続のあったLINEヤフー社の社内システムに対して不正アク
Webセキュリティのあるきかた
2024/10/5 YAPC::Hakodate 2024
ヨドバシカメラは現在、お客様との接点をドメインとして設計する新たなAPIを開発中であることを、クリエーションラインが主催し10月27日に開催されたイベント「Actionable Insights Day 2023」で明らかにしました。 REST APIとして実装される予定のこのAPIについて同社は「ヨドバシスタッフの魂を注入する」としており、厳重なセキュリティやユーザーフレンドリーで高い利便性などが追求されています。 ヨドバシAPIがどのように設計され、開発、実装されていくのか。その中味が紹介されたセッションの内容を見ていきましょう。 本記事は前編と後編の2本の記事で構成されています。いまお読みの記事は前編です。 疎結合なのに一体感、ヨドバシAPIがつなぐ社会 株式会社ヨドバシカメラ 代表取締役社長 藤沢和則氏。 ヨドバシカメラの藤沢と申します。本日はまずこの貴重な機会をいただきありがとう
無料メールは「Gmail」だけじゃない!セキュリティ、容量ほかニーズ別おすすめサービス7選 | ライフハッカー・ジャパン
ベストなメールサービスは、有料のケースがほとんどですが、無料メールプロバイダーにも優秀なものはたくさんあります。 問題は、そうしたプロバイダーを見つけるのが難しい、という点です。なぜなら、無料メールプロバイダーは、ユーザーのプライバシーと引き換えに、サービスを無料で提供しているものが多いからです。 ニーズに合わせて、サービスを選ぼうサービス提供元の企業にもよりますが、メールのデータが、広告の表示や、そのユーザーのウェブ全体での行動のトラッキングに使われる可能性があり、極端な例ではメール内のテキストを人工知能(AI)のトレーニングに使っているケースまであります。 無料で使えることのメリットと、プライバシーの保護。どちらを取るのかは、なかなか難しい問題です。 一般的には、真の意味でプライバシーを保護しているメールプロバイダーを使うには、ある程度の料金を払うことは避けられません。また、その気にな
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編] 104ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編] 94ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け) 72ページ(PDF:3.9 MB) 情報セキュリティ10大脅威 2024 [組織編](英語版) 104ページ(PDF:4.2 MB) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(ZIP:6.8 MB) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(ZIP:6.4 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威
定期的に更新・追加していきます。 セキュリティガイドライン、フレームワーク集 サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。 ただ、これらの文書の要件を満たすような施策を実施するためには、 1. 自組織が適用(組織・技術的に対策)したい各種ガイドラインやフレームワーク等を選定する 2. これら文書における抽象的な要件を具体的な要件へ落とし込む 3. 具体的な要件を満たすために最適なセキュリティ策を実施する のような流れを踏む必要があります。 2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。 また、業界や技術等の軸で存在感のある
合格率も高く,ITSSのスキルレベルもITパスポート同等のものであるため,比較的とっつきやすい試験だと感じております. なぜ受けるべきか 「知識をつけたいなら参考書を読むだけで十分」「資格試験は取るだけでは実務に活かせる部分が少なく意味がない」等々,色々な意見があるのは重々承知していますし,どれも間違いではないと思います. ですが,「学習を進め,知識の習得率を測るために試験合格をゴールとする」ことは大変有意義なことだと私個人は思います.その理由を以下に2点述べたいと思います. セキュリティの体系的な知識は知ろうとしないと身につかない まず大前提ですが,受け身で学習していても部分的な知識しか身につきません. 受け身でいる場合,ニュースで見るようなセキュリティ事故やSNSで閲覧する表層的な知識くらい得ることができません.情報収集がしやすい反面,体系的に学ぶことができないのが欠点です. これは,
対象読者 様々なプロダクトへ AWS アカウントや環境を提供する SRE / CCoE チームを想定しています。 マルチAWSアカウント環境 SRE / CCoE は各プロダクトが安全かつ便利に AWS を利用できるよう、AWS アカウントの設定・払い出しや周辺コンポーネントの提供(踏み台・ID管理・ログ収集 etc...)を行います。 個別プロダクトの基盤設計や構築は行いません。 私の担当案件では 100 以上の AWS アカウントを提供しています。これでも多いとは言えず、例えば NTT ドコモでは 2,000 以上の AWS アカウントを管理[1]しているそうです。 セキュリティ対応方針 セキュリティグループの全開放や S3 バケットのパブリック公開など、AWS リソースの不適切な設定についての対応を考えます。 ゲート型 IAM ポリシーやサービスコントロールポリシー (SCP) で
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit | DevelopersIO
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか?(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね?そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いA
総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及び サイバーセキュリティの確保の徹底に向けた措置(指導)
総務省は、LINEヤフー株式会社(代表取締役社長CEO 出澤 剛)に対し令和6年3月5日付けで行政指導を実施し、同年4月1日、同社から再発防止等に向けた取組に関する報告書の提出を受けました。同報告書を踏まえ、総務省は、同行政指導において求めた措置の早期実施等を求めるとともに、その実施状況や実施計画を報告するよう、本日、文書による行政指導を行いました。 総務省は、LINEヤフー株式会社(代表取締役社長CEO 出澤 剛、法人番号 4010401039979、本社 東京都千代田区。以下「LINEヤフー社」という。)に対し、令和6年3月5日付けの「通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)」(総基用第46号)による行政指導を実施し、同年4月1日、同社から再発防止等に向けた取組に関する報告書の提出を受けました。 同報告書によれば、一定の応急的な対策については実施済みとのこと
2023年度に観測されたインシデントの状況から国内外の情報セキュリティ政策、対策強化や取り組みの動向などをまとめた。主なトピックは以下の通り。 国家の支援が疑われる攻撃者グループによるゼロデイ脆弱性を悪用した攻撃の観測を発表:2023年5月 ファイル転送ソフトウェアに対するゼロデイ攻撃により情報漏えいやランサムウェア被害が発生:2023年6月 名古屋港のコンテナターミナルで利用しているシステムがランサムウェア攻撃を受けて停止:2023年7月 「政府機関等のサイバーセキュリティ対策のための統一基準群」が全面改訂:2023年7月 福島第一原発処理水放出に関する偽・誤情報拡散:2023年8月 元派遣社員による顧客情報約928万件の不正持ち出しを大手通信会社グループ企業が公表:2023年10月 能登半島地震が発生、SNSで偽・誤情報拡散:2024年1月 NISTが「サイバーセキュリティフレームワー
義父のPCがクッソ重くて調べてみたら、McAfeeが常にCPUの80%を食い潰してる→あの手のセキュリティソフトはもう要らん。過去の遺物
Henry @HighWiz 義父のPCがクッッッッッッッソ重くて、調べてみたらMcAfeeが常にCPUの80%を食い潰している。 悪い奴らから守ってやりますよヘッヘッってツラしながら宿主が動けなくなるまで寄生するのほんと情報社会の寓話過ぎてヘンリーは激怒した。 かの邪智暴虐のセキュリティソフトを除かねばならぬと決意した。
PHPの脆弱性(CVE-2024-4577)を狙う攻撃について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。 そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され
【読売新聞】 米マイクロソフトの基本ソフトウェア(OS)「ウィンドウズ」で19日に発生したシステム障害は、社会システムにも影響を与えた。デジタル技術に過度に依存することの危険性を改めて浮き彫りにした。 障害は米クラウドストライクによ
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
まず初めに、セキュリティー事件や事故が社会で深刻化し、その被害が急拡大していて、未然に防ぐためには利用者も気を付けなければいけない、というくだり。 ・・・これはわかる。使い方を間違えると危険なプログラムを社内に引き込んでしまい、大被害につながる。それはそうだろう。 次にランサムウェアを含むセキュリティー事件の仕組みの話。過去は、目立つために有名な企業が狙われたが、今はお金目的が大半。攻撃が成功すればいいので、むしろ有名な企業より、目立たない小さな企業や個人が狙われるようになった。 ・・・これもわかる。その通りだろう。今は完全にビジネスで攻撃者もやっている節がある。お金の話が必ず出てくる。 そして、どういうルートでランサムウェアが入り込むかという話になる。そこで、電子メールの話が強調される。電子メールの中に細工がしてあって、色んな経路で怪しげなプログラムを端末で実行させようと攻撃者は試みる。
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
当社社員が作成協力した「セキュリティ対応組織の教科書 第3.2版」が公開されました | NTTデータ先端技術株式会社
ISOG-J(日本セキュリティオペレーション事業者協議会)より、当社セキュリティ&テクノロジーコンサルティング事業本部の河島 君知、藤原 稔也が作成協力している「セキュリティ対応組織の教科書 第3.2版」が公開されました。 「セキュリティ対応組織の教科書」は、日本のセキュリティオペレーション事業従事者たちがまとめた組織構築・運用ノウハウと国際勧告ITU-T X.1060を統合し、グローバルにも適用できるセキュリティ体制構築・運用・評価のフレームワークを提供しています。 今回公開される第3.2版では、64のサービスの着手事例が新たに紹介されています。これらの事例は、実際の運用に基づいた具体的なアプローチを示しており、セキュリティ対応組織が参考にできる貴重な情報が提供されています。また、セキュリティ対応組織の教科書 第2.1版からセルフアセスメントシートが刷新され、より実践的で具体的な評価が可
セキュリティ対策テストで職員のほぼ全員が引っかかって開封してしまった「卑怯すぎるファイル名」に同情の声「訓練でよかったな」
きんむいーにゃ @NTR66802653 セキュリティ対策テストで「給与変更のお知らせ」という添付ファイルついたメール送ってくるの卑怯すぎだろ 職員のほぼ全員が開封してしまった
「AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 今回はAWSセキュリティ成熟度モデルを活用して組織のセキュリティレベルを上げよう!というイベントで登壇した内容の解説です。(ちょっと前のイベントですが) 最近私が注目しているAWSセキュリティ成熟度モデルについての解説になります。 資料 解説 アジェンダは以下のとおりです。 セキュリティ対策頑張ってるってどうやって言えばいいんだ? AWSセキュリティ成熟度モデルとは 使い方・コツ 説明できたら次のステップ セキュリティ対策頑張ってるってどうやって言えばいいんだ? まずは課題の話から。 AWSに限らずですが、セキュリティ対策はITを扱う上で基本的なことでもあり、しかし継続的に取り組まなければいけない一筋縄ではいかない課題です。 そんな中で例えば上司から「AWSのセキュリティ対策ちゃんとやってる?」と聞かれたときにあ
ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした 国立遺伝学研究所でセキュリティ珍事
国立遺伝学研究所 生命情報・DDBJセンターは10月22日、ハッカー集団から「データを窃取した」「データの5%を公開し、1万ドルを支払わなければ残りの95%も公開する」とする脅しをX上で受けたと発表した。しかし、肝心のデータはもともと誰でも無料でダウンロードできるもので「脅迫は無意味」(生命情報・DDBJセンター)という。 脅迫を確認したのは8日深夜。「CyberVolk」(サイバーフォルク)と名乗る国際ハッカー集団から、塩基配列のデータベース「DDBJ」の情報を窃取したと脅されたという。生命情報・DDBJセンターは事態を受け詳細を調べたが、22日時点ではシステムへの不正侵入や改ざんの形跡はなかった。 DDBJは、研究者から投稿された DNAおよびRNAの塩基配列データを収集・注釈付けし、無料で公開するプラットフォームだ。ハッカー集団が窃取したと主張するデータも、誰でも無料でダウンロードで
KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付(TOB)を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円におよぶという。 KDDIとラックは2007年に資本提携し、新サービスの共同開発や、クラウド・IoT領域への拡大など、数多くの協業案件を通じてサイバーセキュリティーソリューションを提供してきたという。KDDIは「本取引を通じて、ラックのサイバーセキュリティーに関する豊富な知見と、KDDIのネットワークサービスなどの経営資源を集約し、お客さまに最適なソリューションを提供できる体制を構築していく」としている。 公開買付は11月下旬を予定。買付が成立した場合、一連の手続きを経て上場廃止を見込む。これに先駆け、ラックが設置した特別委員会による答申を受け、24年11月7日開催のラックの取締役会において、TOBに賛同するとともに、
「LINEのセキュリティ」は大問題 TikTokと同じ道をたどるのか:世界を読み解くニュース・サロン(1/5 ページ) 日本人の8割、約9600万人が利用している無料メッセージングアプリの「LINE」。新しいコミュニケーションツールとして2012年ごろから一気に市民権を獲得。写真やファイルを簡単に送れる機能や、キャラクターのスタンプなどが人気を博して、瞬く間に日本人の生活に不可欠なアプリとなった。 クラウド型ビジネスチャットツール「LINE WORKS」などで、深くLINEと付き合っている企業も少なくないだろう。 民間企業は言うまでもなく、中央省庁や地方自治体もLINEアカウントを開設している。例えば、コロナ禍では、経済産業省がLINEで「経済産業省 新型コロナ 事業者サポート」を設置して企業を支援。厚生労働省は海外から日本に入国する人に向けて「帰国者フォローアップ窓口」をLINEで設置し
偽のセキュリティ警告画面(サポート詐欺)が表示される仕組み - NTT Communications Engineers' Blog
みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析をしています。 最近、広告から偽のセキュリティ警告画面に飛ばされる事例が目立っています。 本記事では、偽のセキュリティ警告画面が表示される仕組みについて、実際に使われているツールを使って紹介していきます。 ぜひ最後まで読んでみてください。 NA4Secについて 「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
KADOKAWAグループ、セキュリティエンジニア募集中 最大年収800万円 「0→1を経験」
偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(前編)
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
サイバーセキュリティ情報インプット集 第1.0版 - Qiita
ウェブ・セキュリティ基礎試験(徳丸試験)受験のすゝめ - Qiita
IPA、「情報セキュリティ10大脅威 2024」の解説および対策のための資料公開
第4回:覚えておいてほしい、クレジットカードを不正に利用されてしまった時の対処方法【カード会社が教えるクレジットカードのセキュリティ】
マルチAWSアカウント環境のセキュリティって無理ゲーじゃね?
IPA、「情報セキュリティ白書2024」発行 PDF版はアンケート回答で無料ダウンロード可
セキュリティーソフト世界シェア1位があだ…ウィンドウズ障害、「過去最大規模」の見方も
セキュリティー研修を受けるといつも思うこと - orangeitems’s diary
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が
世界大混乱の元凶、謎のセキュリティー企業 クラウドストライクの誤算:日経ビジネス電子版
KDDI、セキュリティ企業のラックを買収へ 約246億円で
「LINEのセキュリティ」は大問題 TikTokと同じ道をたどるのか