Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
認証と認可の超サマリ OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本
認証と認可についての知識が必要になったので、基礎的なことを学んでいます。 一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。 この本は「個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい」とか「手当たり次第に詳細調査をする前に、一瞥してこれから踏み込もうとしている領域の超俯瞰マップを作る」という感じで使うことを想定しています。 同じ様な方の役に立ったら、とても嬉しいです。 この本は筆者の理解に連動して追記修正される可能性があります。
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃(ブルートフォースアタック)というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す
世界一わかりみの深いOAuth入門
マッチングアプリ「Omiai」会員情報管理サーバーへの不正アクセスについてまとめてみた - piyolog
2021年5月21日、ネットマーケティングは同社が運営するマッチングアプリ「Omiai」の会員情報の一部が不正アクセスにより、流出した可能性が高いと発表しました。ここでは関連する情報をまとめます。 171万件の年齢確認書類画像が流出 www.net-marketing.co.jp 不正アクセスを受けたのはOmiaiの会員情報を管理するサーバー。意図しない挙動がサーバー上で確認され、その後内部点検から不正アクセスの痕跡を発見。 流出した情報は法令で確認が義務づけられた年齢確認書類の画像データ。通信ログ分析から数回にわたり画像データが外部へ流出したと判明。流出した画像データの約6割は運転免許証で、画像データの暗号化も行っていなかった。*1 当初流出の可能性と公表していたが、8月11日の第三報では流出が確認されたことを公表した。 流出アカウント件数 171万1756件 (会員累計数は20年9月末
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
エクアドル、ほぼ全国民の個人情報流出か
エクアドルで、全国民に相当する規模の大規模な個人情報流出が発生/Fiscalía General del Estado/Twitter (CNN) 南米エクアドルで最近、国民ほぼ全員の個人情報がインターネット上に流出した恐れがある。サイバーセキュリティーを手掛ける専門家集団「vpnメンター」が問題を発見し、16日に発表した。 同国の未成年者約700万人を含む2000万人以上の名前や生年月日、出生地、住所、メールアドレス、身分証明書番号や納税者番号、銀行口座の残高情報などが漏れたとみられる。 エクアドルの人口は約1650万人。司法当局によると、残りの数百万人はすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。 vpnメンターの報告書によると、情報流出は同国のコンサルティング会社「ノバエストラット」が米フロリダ州マイアミに保有している無防備なサーバーで見つかった。 2012年
長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ
NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割
当社社員が翻訳協力した「ChatGPTのセキュリティへの影響」が公開されました | NTTデータ先端技術株式会社
一般社団法人 日本クラウドセキュリティアライアンス(以下:CSAジャパン)にて、「ChatGPTのセキュリティへの影響」が公開されました。 CSAジャパンは、Cloud Security Alliance(以下:CSA)の日本法人で、日本のクラウドセキュリティの向上を目的とし、クラウドのセキュリティに関する啓発・情報発信等の活動を行う任意団体です。 「ChatGPTのセキュリティへの影響」は、CSAが公開している「Security Implications of ChatGPT」の日本語訳で、ChatGPTのような大規模な言語モデルがサイバーセキュリティ産業の未来をどのように形作るかを包括的に理解することを目的としています。 原本である「Security Implications of ChatGPT」の日本語化において、当社サイバーセキュリティ事業本部 石井 英男が、翻訳メンバーの一員と
毎日新聞のニュースサイトに掲載の記事・写真・図表など無断転載を禁止します。著作権は毎日新聞社またはその情報提供者に属します。 画像データは(株)フォーカスシステムズの電子透かし「acuagraphy」により著作権情報を確認できるようになっています。
【レポート】AWS における安全な Web アプリケーションの作り方 #AWS-55 #AWSSummit | DevelopersIO
この記事では、5月12日に行われた AWS Summit Online 2021 のオンラインセッション『AWS における安全な Web アプリケーションの作り方(AWS-55)』の模様をレポートします。 セッション概要 情報処理推進機構(IPA) の公開している「安全なウェブサイトの作り方」をはじめとしたセキュリティを考慮した安全なウェブアプリケーションの設計ガイドラインがいくつか知られています。本セッションでは、アプリケーション開発者向けにガイドラインに則ったアプリケーションを AWS 上でどのように実装するのかを AWS プラットフォームレイヤーとアプリケーションレイヤーのそれぞれの観点から項目ごとに解説し、アプリケーション導入前、または導入後のセキュリティ対策の指標となることを目指します。 登壇者 アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテク
Terraform, Dockerfile, KubernetesなどIaCの脆弱な設定をCI/CDで検知する - knqyf263's blog
概要 自分の所属企業であるAqua SecurityがTFsecというOSSを買収しました。 blog.aquasec.com TFsecはどういうツールかというとTerraformの静的解析スキャナーです。Terraformの設定ファイルを渡すことでセキュリティに関する設定ミスを主に検知してくれます。 github.com そのアナウンスに伴い、TFsecは自分が開発している脆弱性スキャナーであるTrivyに統合されました。TrivyではTerraformに加えDockerfileやKubernetesなど、いわゆるInfrastructure as Code(IaC)の設定ミスを検知するマネージドポリシーも提供しています。他にもJSONやYAMLなど一般的なファイルフォーマットに対応しているため自分でポリシーを書くことでそれらの検知にも使えます。CloudFormationやAnsib
Webエンジニア向けセキュアコーディング学習サービス「KENRO」のトライアルを一般開放しました - Flatt Security Blog
こんにちは、Flatt Security執行役員の @toyojuni です。 弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を 無償・期間無制限で一般開放 することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししようと思います。 「KENRO」とは? 「KENRO」のトライアルとは? トライアル一般開放の背景 トライアルはどのような人にオススメ? トライアルの利用方法 最後に 「KENRO」とは? 「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。 https://flatt.tech/kenro これまでエ
「Amazon.co.jpを不正利用された」──X(元Twitter)では9月上旬からそんな投稿が相次いでいる。「Amazonギフトカードを大量購入された」「二段階認証を設定していたのに、それを突破された」などの報告が上がっている。 Xでは「(アカウントに)二段階認証を設定していたにもかかわらず不正アクセスされ、Amazonギフトカードを大量に購入された」と被害を訴える声が多く見られる。特に話題になっているユーザーの投稿によると「注文履歴を非表示にされ、不正利用に気が付かないままクレジットカードの請求が来た」と語っている。 このユーザーがAmazonのサポートに問い合わせしたところ「同様の案件が多発している」「現状では手口が分からないのでどうやって侵入してるのか調査中」などと返事があったという。その後、被害額は全て返金してもらったとしている。 Amazonではサイバーセキュリティ対策の一環
22 Hacking Sites To Practice Your Hacking Skills
22 Hacking Sites To Practice Your Hacking Skills 0{�-�U �, /�U Taken from: https://hackerlists.com/hacking-sites/ 22 Hacking Sites, CTFs and Wargames To Practice Your Hacking Skills InfoSec skills are in such high demand right now. As the world continues to turn everything into an app and connect even the most basic devices to the internet, the demand is only going to grow, so it’s no surprise eve
OpenAI co-founder and Chief Scientist Ilya Sutskever is leaving the company
イスラエル8200部隊出身のガチプロハッカーに、一流のハッカーになる方法について聞いてみた。 - Qiita
私がインターンで勤めている企業のハッカーは、イスラエル国防軍におけるサイバー攻撃・防御の超精鋭部隊、 8200部隊出身のガチプロハッカーです。8200部隊はアメリカのNSAと並んで世界最高のハッキング技術を持つと言われています。高校卒業後に兵役の義務があるイスラエルで、なんと彼は大学の学位を取り終えて、入隊したそう。 そんなスペシャルなハッカーに、東京大学で(一応)コンピュータ関係を専攻する私が、「一流のハッカーになる方法」について聞いてみたら面白かったので、本人の許可を得てその邦訳を記事にしてみました。 イスラエルのハッカーエコシステム イスラエルの8200部隊について教えてください。 8200部隊はイスラエル軍におけるインテリジェンスユニットです。詳しい内容は秘密事項でお伝えすることはできませんので、Wikipediaなどを見ていただくのが早いと思います(笑)。主にサイバーセキュリティ
大手電子部品メーカーの村田製作所は、取引先や自社の従業員の銀行口座などの情報、7万2000件余りが、再委託先の中国企業の社員によって持ち出され、中国国内のクラウド上にアップロードされていたと発表しました。会社は、第三者がこれらの情報を取得した形跡はないとしています。 村田製作所によりますと、ことし6月、会計システムの更新を請け負っていた中国の企業の監視システムがアラートを検知し、調査したところ、この会社の社員が、業務用パソコンに村田製作所の取引先や従業員の情報など7万2000件余りを、無断でコピーしていたことがわかりました。 取引先の会社名や銀行口座などに加え、従業員の氏名やメールアドレス、銀行口座なども含まれていたということです。 この社員は、個人アカウントを使って中国国内にあるクラウド上にアップロードしていましたが、情報はすでに削除され、クラウド上で第三者によってコピーしたり、ダウンロ
経済産業省では、セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。 背景・趣旨 経済産業省は、平成29年12月に「産業サイバーセキュリティ研究会」を設置し、ワーキンググループ3(サイバーセキュリティビジネス化)において、日本発のサイバーセキュリティビジネスの成長促進に向け、検討を行ってきました。 我が国が提唱する「Society 5.0」は、IoT機器等を通じてサイバー空間とフィジカル空間が高度に融合することによって、新たな価値が生み出していくものです。しかしその一方で、サイバー空間とフィジカル空間が相互に作用しあうことで、サイバー攻撃がフィジカル空間に及ぼす影響も増大していくことを意味しており、サ
開発者のためにつくられた 攻撃とコードの修正で学ぶ実践型演習OWASP Top 10 に含まれる脆弱性をはじめ、Webアプリケーション開発で特に意識すべき脆弱性を学ぶことが出来ます。 実際にWebアプリケーションを攻撃するCTF 形式の「ハッキング演習」と、コードを書いて脆弱性を修正する「堅牢化演習」を通じて、開発現場ですぐに活かせる学びを提供します。 脆弱性の知識を基礎から体系的に。 いつもの言語やフレームワークで学べます。演習だけでなく脆弱性の原理に関わる技術の基礎など、脆弱性について体系的に学べるコンテンツを提供しています。(堅牢化演習ではGo、Java、Ruby をはじめとした6言語に対応) また、GraphQLやJSON Web Tokenのような、まだ世の中に対策情報の少ない技術のセキュリティのコンテンツも提供しています。
セキュリティエンジニアのための機械学習
情報セキュリティのエンジニアや研究者を読者対象とした機械学習の入門書。フィッシングサイト、マルウェア検出、侵入検知システムなどの情報セキュリティ全般の課題に対して、機械学習を適用することでどのようなことが可能になるのか? 本書ではサイバーセキュリティ対策でとても重要なこれらの知識を実装レベルで身につけることができます。また、どうすれば機械学習による検出を回避できるか、という点についても同時に解説します。サンプルコードはPython 3対応。Google Colaboratory上で実際に手を動かしながら学ぶことができます。 訳者まえがき まえがき 1章 情報セキュリティエンジニアのための機械学習入門 1.1 なぜ情報セキュリティエンジニアに機械学習の知識が必要なのか 1.2 本書のコードサンプルの実行環境 1.2.1 Google Colaboratory入門 1.2.2 GPU/TPUラ
内閣官房内閣サイバーセキュリティセンター(NISC)は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」(以下「本ハンドブック」といいます。)を作成しています。 企業における平時のサイバーセキュリティ対策及びインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等を可能な限り平易な表記で記述しています。 企業実務の参考として、効率的・効果的なサイバーセキュリティ対策・法令遵守の促進への一助となれば幸いです。 ※Ver2.0は、令和5年9月に、サイバーセキュリティを取り巻く環境変化、関係法令・ガイドライン等の成立・改正を踏まえ、項目立て・内容の充実、更新を行い改訂されたものです。 Q&Aで取り上げている主なトピックスについて サイバーセキュリティ基本法関連 会社法
警察庁は全国のサイバー犯罪を直接捜査する新組織を発足させる。国境を越えて巧妙化するサイバー犯罪に対応するため、自ら捜査にあたる体制を構築する。警察庁は警察行政に特化し直接捜査は都道府県警察が担ってきた戦後の現行警察体制の転換となる。2022年の通常国会に警察法改正案を提出し、同年度中の始動を目指す。新組織の構成は、全国で発生した重大なサイバー犯罪の捜査を担う「直轄隊」と、それを指揮監督する「サ
[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える | DevelopersIO
Amazon GuardDutyは脅威検知のサービスです。うまく活用してインシデントに対応するために運用方法をまとめます。 こんにちは、臼田です。 みなさん、AWSのセキュリティ運用してますか?(挨拶 Amazon GuardDutyはAWS上の脅威検知サービスです。今回はこのサービスにフォーカスしたセキュリティ運用を考えてみます。 ちなみにAWS Security Hubについても同じようにセキュリティ運用についてまとめたので以下もご確認ください。 AWSセキュリティ全体像 フォーカスしていく前に全体の整理をします。以下にざっくりとAWSにおけるセキュリティの要素について書き出してみます。 AWSレイヤー IAM管理 ネットワークセキュリティ 設定管理 OS/アプリレイヤー 不正プログラム対策 脆弱性管理 セキュアアプリケーション アプリケーション保護 全体管理 ガバナンス・コンプライア
![[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/667f87d2f54fdeff2f01ae7c6408e45a44404f8e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-guard-duty.png)
【セキュリティ ニュース】IPA、「情報セキュリティ白書2021」を発行 - 無料PDF版も提供予定(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、セキュリティの動向を広く紹介する年次白書の最新版「情報セキュリティ白書2021」を7月30日に発刊する。書籍として販売するほか、無料のPDF版も提供する予定。 同白書は、セキュリティ分野の概況を幅広く紹介する資料。2008年より毎年発行している。組織における注意喚起や教育、講演資料、試験対策などに活用されている。 国内外の政策や人材の状況、インシデント被害、脆弱性の動向など、毎年収録しているトピックにくわえて、今回は制御システムやIoTに関するセキュリティの話題や、米国標準技術研究所(NIST)のセキュリティ関連活動を個別テーマとして取り上げた。 またテレワークについても取り上げ、インシデントの事例、テレワーク環境の脅威や課題、対策について解説している。 書籍はA4判で272ページ。価格は2200円(税込)。ISBNは「978-4-905318-75-0」。無
経済産業省は、企業がサイバーセキュリティ経営ガイドラインに基づいてサイバーセキュリティの体制を構築し、人材を確保するための要点をまとめ、2020年9月に公表した『サイバーセキュリティ体制構築・人材確保の手引き』(以下、「手引き」)を改訂し、第1.1版として本日公開しました。 1.背景・趣旨 サイバー攻撃が高度化・巧妙化し、我が国の産業界を脅かす中、サイバーセキュリティに関する体制構築とそのための人材の確保・育成が各企業の急務となっています。そこで、経済産業省では、企業内の経営層から人事担当者、実務者に至る様々な立場の人が、体制構築・人材確保において考慮すべき要点まとめた手引き(第1版)を2020年9月に公開しました。今般、この第1版を基に、読者の利便性の観点から内容の拡充及び見直しを行い、第1.1版を取りまとめました。また、経営層を含む幅広い方に手引きの内容を御理解いただくため、手引きの概
「Googleでサインイン(Sign in with Google)」は、いくつもパスワードを覚えておかなくても、Googleのアカウントでアプリやサービスにログインできる便利な機能です。Googleが2021年8月3日に、この「Googleでサインイン」がより簡単にできるようになる「One Tap」を発表しました。 Google Developers Blog: Launching our new Google Identity Services APIs https://developers.googleblog.com/2021/07/launching-our-new-google-identity-services-apis.html Googleのプロダクトマネージャーであるフィリップ・ベルレー氏が8月3日に、ユーザーがGoogleのサインインページに遷移することなくログインで
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版 (教育部会|情報セキュリティ知識項目(SecBoK)改訂委員会) 背景 情報セキュリティ知識項目(SecBoK)は、2016年4月の大規模改定以降、ITベンダー・セキュリティベンダーのみならず、多くの企業においてセキュリティ人材育成の際の参考資料として活用されてきました。また教育界との連携も深めてきました。しかし、逆に多くの場面でSecBoKを利用いただきたいとの思いから、SecBoK側が様々な分野への適用を意識する傾向もありました。そこでSecBoK2021では、BoK(Body of Knowledge)であるとの原点に立ち返り、ディクショナリー的位置付けとして、より多くの方が参照できることを目標に、有識者である委員の皆様のご意見を反映して改定をおこないました。 情報セキュリティ知識項目(SecBoK)2021の特長につ
サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介、機能概要・動作環境構築編 - Qiita
2024年2月15日: MITRE CALDERA 5.0.0 が公開されました。 https://github.com/mitre/caldera/releases/tag/5.0.0 2023年6月20日: MITRE CALDERA 4.2.0 が公開されました。 https://github.com/mitre/caldera/releases/tag/4.2.0 2022年9月20日: MITRE CALDERA 4.1.0 が公開されました。 https://github.com/mitre/caldera/releases/tag/4.1.0 2022年6月15日: MITRE CALDERA 4.0.0 が公開されました。 https://github.com/mitre/caldera/releases/tag/4.0.0 2021年10月7日: MITRE CALDER
【読売新聞】 政府は、重大なサイバー攻撃を未然に防ぐ「能動的サイバー防御」で、自衛隊の新任務を創設する方向で調整に入った。武力攻撃事態に至らない平時に、発電所などの重要インフラや政府機関を守るため、攻撃元サーバーへの侵入・無害化措置
ランサムウエアで初の死亡例か 病院が標的に
News Corp is a global, diversified media and information services company focused on creating and distributing authoritative and engaging content and other products and services.
中国の「密码法(暗号法)」と中国サイバーセキュリティ法における暗号化対策|Engineers' Blog|SBクラウド株式会社 - SBクラウド株式会社
こんにちは。 SBクラウドの吉村です。 今回は中国における暗号化に関する法律について書きます。 前半は密码法(暗号法)について、後半はサイバーセキュリティ法の暗号化要件と対策について説明します。 中国の「密码法(暗号法)」について 法律の全文 法律のポイント 中国サイバーセキュリティ法における暗号化の要件 暗号化実装のポイント Alibaba Cloud プロダクトの暗号化設定 ECS (データディスク)の暗号化 NAS の暗号化 RDS の暗号化 OSS の暗号化 データ通信の暗号化 まとめ ※SBクラウドが提供する「中国サイバーセキュリティ法対応支援ソリューション」はこちらをご覧ください。 www.sbcloud.co.jp 中国の「密码法(暗号法)」について 2020年1月1日に施行された中国の法律です。 一部では中国怖いという形で受け取られていますが、私が調べた範囲では決してそのよ
17年も前からMicrosoftのWindows DNSサーバに存在していたという極めて深刻な脆弱性が、7月の月例セキュリティ更新プログラムで修正された。それと前後してSAPやOracleといった大手の製品でも、管理者特権を奪取されかねない脆弱性が修正されるなど、今月は企業や組織に重大な影響を及ぼすネットワーク関連の脆弱性が相次いで発覚している。 Windows DNSサーバの脆弱性(CVE-2020-1350、別名「SIGRed」)は、イスラエルのセキュリティ企業Check Pointが発見して5月にMicrosoftに報告していたもので、Windows Server 2003~2019までのバージョンに存在する。危険度は共通脆弱性評価システム(CVSS)で「10.0」と最も高い。 Microsoftによれば、この脆弱性は「ワーム可能(Wormable)」、つまり、マルウェアに悪用された
3800万件分の個人情報がMicrosoftのツールから流出
Microsoftが提供する組織内と組織外のあらゆるユーザーがポータルを使用してMicrosoft Dataverse内のデータを操作できるようになるツール「Power Apps ポータル」から、新型コロナウイルスワクチンの接種記録や社会保障番号などと関連付けられた個人情報3800万件がデータ漏えいしていたことが明らかになっています。 By Design: How Default Permissions on Microsoft Power Apps Exposed Millions | UpGuard https://www.upguard.com/breaches/power-apps Microsoft Spills 38 Million Sensitive Data Records Via Careless Power App Configs | Threatpost https:
TechCrunch
Cities around the country have long been crying out for more control over how autonomous vehicles are deployed on their streets. In California, they might finally get their wish. A handful of AV-relat
令和3年6月30日 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について 金融庁では、これまで官民が一体となって金融分野のサイバーセキュリティ強化に取り組んで参りました。こうした中、サイバー攻撃は引き続き複雑化・巧妙化しており、更なるサイバーセキュリティ強化に取り組んでいく必要があるところです。 デジタライゼーションの進展に伴い、金融機関においても、クラウドの利用や外部委託先とのデータ連携等が進み、従来の境界防御ではなく、侵入されることを前提としたセキュリティ対策が注目されています。 ゼロトラストとは、こうしたデジタル化を踏まえ、ネットワークの内外にかかわらず、従業員の端末通信や情報資産へのアクセス等についても常に監視することでセキュリティを確保する考え方です。 この度、金融機関によるセキュリティ対策の促進及びモニタリングの参考等に活用するため、ゼロトラストの現状と
「AWSアカウントのセキュリティインシデント調査どうする? Amazon Detectiveを利用した調査の勘所」というタイトルでAKIBA.AWS ONLINE #04に登壇しました #AKIBAAWS | DevelopersIO
「AWSアカウントのセキュリティインシデント調査どうする? Amazon Detectiveを利用した調査の勘所」というタイトルでAKIBA.AWS ONLINE #04に登壇しました #AKIBAAWS 【6/25(金)リモート開催】AKIBA.AWS ONLINE #04 – こんなときどうする⁉︎ トラブル・インシデント対応 編- で登壇した内容の共有です。Detective使おうね! こんにちは、臼田です。 みなさん、インシデント対応してますか?(挨拶 今回は以下のイベントで登壇した資料とその解説を載せます。 【6/25(金)リモート開催】AKIBA.AWS ONLINE #04 – こんなときどうする⁉︎ トラブル・インシデント対応 編- #AKIBAAWS 動画 資料 解説 前置き 毎回AWSセキュリティの話をするときに、いろんな前提のセキュリティの話とかから始めるんですが
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita
世界一わかりみの深いOAuth入門
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Spectre の脅威とウェブサイトが設定すべきヘッダーについて
NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察
首相、「桜」廃棄ログは開示せず「内容明らかにすれば不正侵入を助長」 | 毎日新聞
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も
Engadget | Technology News & Reviews
セキュリティ事故が起こる前にトップ主導の体制作りを。経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」を更新
村田製作所 再委託先の中国企業社員が口座情報など持ち出し | NHKニュース
機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました (METI/経済産業省)
KENRO (ケンロー) | セキュアコーディングを当たり前にするエンジニアの学習プラットフォーム
関係法令Q&Aハンドブック - NISC
サイバー犯罪、警察庁が直接捜査 22年度に400人新組織 - 日本経済新聞
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました (METI/経済産業省)
1回タップするだけでアプリやサイトにサインインできる新機能「One Tap」をGoogleが発表
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
重大サイバー攻撃防止、自衛隊に平時の新任務…攻撃元サーバーに侵入・無害化措置権限
「次のサイバーパンデミック」に警戒、危険度最高の脆弱性が相次ぎ発覚
「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
www.asahi.com
president.jp
teiki.ko2.info
www.jiji.com
shonenjumpplus.com
teiki.ko2.info