ICI リスクアセスメントツール公開の背景 - ITOCHU Cyber & Intelligence Inc.
リスクアセスメントツールの公開 2024 年 7 月 31 日、ICI リスクアセスメントツールを公開しました。 このツールは、「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/ Business E-mail Compromise(BEC:読み方はビーイーシー)」の脅威に直面している組織が、自組織のリスク軽減率を可視化したり、多数の関連会社で構成される企業集団において、企業集団全体と個別のリスクを可視化したりするために有用なツールだと考えています。 図1. ICI リスクアセスメントツール 本ブログでは、このツールをどのような考えや価値観で作成したのか、背景について記載します。 サイバーセキュリティー分野のリスクアセスメントに関する資料 情報セキュリティーのマネジメントにおいて、リスクアセスメントはその推進のコアとして組織が行うべき作業に位置づけられています。そのため、過去から様々
PCI DSS が v4.0 に完全移行したので PCI DSS とAWSについてまとめてみる - Qiita
はじめに ついに本日(2024年3月31日)を以てPCI DSSがv4.0に完全に移行します。本記事では自身の勉強も兼ねてPCI DSSとAWSについて情報収集したので内容シェアさせていただきます。セキュアなAWS環境を作るうえでの気付きは多いと思いますので、多くの方に参考にしていただけたら嬉しいです。 PCI DSSの概要 PCI DSSとは PCI DSSという用語はご存知でしょうか。そうです、AWSの試験でやたら出てくるアイツです(笑) クレジットカード業界のセキュリティ基準で、正式には以下のように説明されています。 PCI DSS(Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの
※こちらの記事は2021年2月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です デジタルペンテスト部の小松奈央です。 主に OA 環境へのペネトレーションテストを担当しています。 以前、本ブログにて C2 フレームワーク「Covenant」の紹介記事が上がりましたが、今回は私の推し C2 フレームワークである「Merlin」について紹介したいと思います。 Covenant の紹介記事はこちら 注意:本投稿で記述した手法を用いてトラブルなどが発生した場合、当社は一切の責任を負いかねます。また、本情報の悪用はしないでください。 Merlin とは Merlin is a cross-platform post-exploitation HTTP/2 Command & Control server and agent written in golang.(GitHub
企業向けのChatGPTプランであるChatGPT Enterpriseについて、どういったセキュリティ対応がなされているのか、公式ドキュメントを参照しつつざっくり紹介します OpenAI社は2023年の8月にChatGPTの企業向けエディションである「ChatGPT Enterprise」を発表しました。企業向けということで、さまざまな面で安全性が向上していることが売りとなっています。 最も重要なのは、「入力が学習されないこと」で、これが企業利用におけるWeb版ChatGPTの入力における懸念であったと思います。 個人でChatGPTをWebで利用する場合でも入力を学習しなうようオプトアウトすること自体は可能ですが、オプトアウトすると入力情報の保存自体が行われないため履歴が保存されず、利便性の面では若干課題がありました。ChatGPT Enterpriseでは入力を学習しないけれど履歴は
好きな場所、好きな服装、好きな日、好きな時間に、パソコン1台で大金(?)が稼げる仕事があるとしたら、貴方は興味がありますか? うーん、胡散臭い匂いがプンプンしますね。(^^;; その仕事は「バグハンター」です。 日本ではまだ馴染みが少ないですが、世界には数十万人のバグハンターが活躍していると言われているのです。 貴方も、バグハンターを目指しませんか。 ここでは、バグハンターの主な作業内容についてご説明します。 これを機会に「バグハンター」に興味をもってもらえればうれしいです。 バグハンターとは バグハンターとは、ソフトウェアやウェブアプリケーションの脆弱性を発見し報告する「セキュリティ専門家」になります。 企業は「バグバウンティプログラム」利用して、バグハンターが脆弱性(バグ)を見つけた際に報奨金を支払います。 これにより、企業の製品のセキュリティが強化され、ハッキング被害のリスクが減少し
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 新製品・サービス > CSCの脆弱性管理ツール「SIDfm VM」、SBOMのインポート/管理機能を追加 セキュリティ セキュリティ記事一覧へ [新製品・サービス] CSCの脆弱性管理ツール「SIDfm VM」、SBOMのインポート/管理機能を追加 2024年7月23日(火)日川 佳三(IT Leaders編集部) リスト サイバーセキュリティクラウド(CSC)は2024年7月23日、脆弱性管理ツール「SIDfm VM」にSBOM(ソフトウェア部品表)管理機能を追加したと発表した。SBOMファイルをインポートし、脆弱性データベースと照合して脆弱性を検出できるようになった。 サイバーセキュリティクラウド(CSC)の「SIDfm VM(エスアイディーエフエム ヴイエム)」は、脆弱性情報を収集・管理するソフトウェアである。
1977年パンク開眼 ギグ仲間 初めてのエレキ スターン・ボップス参加 自分でやる――DIY マリン・ガールズ 〈チェリー・レッド〉 絶望的な恋、「オン・マイ・マインド」 安アパートのディスコクイーン──トレイシー・ソーン自伝 (ele-king books) 作者:トレイシー ソーン Pヴァイン Amazon 1977年パンク開眼 (略)一九七六年に私が自分で購入したレコードは以下の七枚であったらしい。 デイヴィッド・エセックス「ロック・オン」 ダイアナ・ロスの「ラヴ・ハングオーヴァー」の入ったアルバム リンダ・ルイス「アイル・ビー・スウィーター」 ビーチ・ボーイズ『グレイテスト・ヒッツ』 イーグルス『グレイテスト・ヒッツ・VOL1』 ジェファーソン・スターシップ「ウィズ・ユア・ラヴ」 カン「アイ・ウォント・モア」 (略) どの一枚に対しても恥ずかしく思うような気持ちは一切ない。しかし、
Hello there, ('ω')ノ セキュリティディストロ(セキュリティ特化型Linuxディストリビューション)は、ペネトレーションテストやセキュリティ評価を効率的に行うために、多数のセキュリティツールをあらかじめ搭載しています。これらのディストロは、セキュリティ専門家にとって不可欠なツールセットを提供し、幅広いセキュリティテストを実施するための強力なプラットフォームです。以下に、代表的なセキュリティディストロを紹介し、それぞれの特徴と利点について説明します。 1. Kali Linux 概要: - Kali Linuxは、世界で最も広く使用されているセキュリティディストロの一つで、Offensive Securityによって開発されています。ペネトレーションテスト、セキュリティ監査、リバースエンジニアリングなど、さまざまなセキュリティ関連のタスクに対応しています。 主要な特徴: 豊富
5月の概況 2024年5月(5月1日~5月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。 国内マルウェア検出数*1の推移 (2023年12月の全検出数を100%として比較) *1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。 2024年5月の国内マルウェア検出数は、2024年4月と比較して減少しました。検出されたマルウェアの内訳は以下のとおりです。 国内マルウェア検出数*2上位(2024年5月) 順位 マルウェア名 割合 種別 1 JS/Adware.TerraClicks 18.1% アドウェア 2 HTML/Phishing.Agent 17.7% メールに添付された
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 新製品・サービス > ニュートン・コンサルティング、疑似サイバー攻撃を仕掛けるペネトレーションテストを提供 セキュリティ セキュリティ記事一覧へ [新製品・サービス] ニュートン・コンサルティング、疑似サイバー攻撃を仕掛けるペネトレーションテストを提供 2024年7月22日(月)日川 佳三(IT Leaders編集部) リスト ニュートン・コンサルティングは2024年7月17日、セキュリティサービス「ペネトレーションテストサービス」を提供開始した。攻撃者の視点で作成したシナリオに沿って、企業のシステムに対して疑似サイバー攻撃を仕掛け、テスト実施計画書、攻撃シナリオ、テスト実施結果報告書などを作成・提供する。 ニュートン・コンサルティングの「ペネトレーションテストサービス」は、企業のシステムに対して疑似サイバー攻撃を実
IPA「情報セキュリティ白書2024」を解説
2024年7月30日に情報処理推進機構(IPA)から「情報セキュリティ白書2024」が刊行されました。 情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げている資料となっています。今回はその中でも「クラウドのセキュリティ」のトピックについて、弊社の調査事例も交えて解説します 。 <サマリー> ・SaaS導入企業が6割を超え、クラウドサービスの利用は「特別な選択肢ではなく定着しつつある」状況 ・「(利用者側の)設定ミス」「サイバー攻撃」「広域インフラ障害」等が原因でクラウドサービスでのインシデントが発生 ・有効な対策として「パスキー認証の導入・利用」や「(事業者側の)クラウドセキュリティ標準への準拠」が挙げられる クラウドサービスの利用状況 情報処理推進機構(IPA)「情報セキュリティ白書2024
2020/03/21に追記しました。 「サイバー脅威インテリジェンス」、あるいは「脅威ベースのペネトレーションテスト」など、セキュリティの世界では脅威(Threat)という概念が多数出てきます。しかし、脅威(Threat)について具体的な説明があまり知られていないため、この記事ではそのことについて考えてみたいと思います。 脅威の定義も多種多様に存在しまが、米国のセキュリティ研究教育機関SANSで紹介されている定義によれば、以下の3要素で決定するといわれています。以下の定義に従い、詳細を一つづつ見ていきましょう。 敵対的な意図(Hostile Intent) × 機会(Opportunity)× 能力(Capability) 敵対的な意図(Hostile Intent) 敵対的な意図(Hostile Intent)とは、攻撃者が組織を狙う目的を意味します。そして、攻撃者の目的は以下の3要素に
エンジニアが語るMicrosoft Azure, mac OS, GitHub, LINEの脆弱性の見つけ方 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
寺村 亮一 博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTREC 暗号活用委員など幅広く活動。CISSP / GXPN / 博士(工学) サイフィエフ ルスラン ロシアでシステム管理者/セキュリティエンジニアとして経験を積んだ後、日本でWebアプリケーション、ネットワーク、API、自動車の脆弱性診断に従事。ペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証を担当。OSEE、OSCP、GXPNなどの資格を持ち、CTFで受賞実績多数。 小池 悠生 2020年、サイバーセキュリティのスタートアップ創業メンバー。2023年GMOイエラエ サイバーセキュリティ事業本部執行役員に就任。ファジングを中心としたサイバーセキュリティに関する研究、コ
IT業界で言ってはいけない言葉一覧
ブラックリスト・ホワイトリスト(黒が悪い、白が良いという価値観を助長する)ブラックハットハッカー・ホワイトハットハッカー(黒が悪い、白が良いという価値観を助長する)マスター・スレーブ(黒人奴隷を想起し人種差別的)スタンドアップ(立てない人に失礼)ブラウンバッグミーティング(茶色の紙が人種差別に使われた歴史があるためダメ)ダミー(唖者をバカにしてんのか!) ディペンデンシー・インジェクション(挿入だなんてはしたない!)ペネトレーション(卑猥!)
製品(IoT)セキュリティのスペシャリスト林 彦博氏がGMOサイバーセキュリティ byイエラエに参画AIロボット時代のサイバーセキュリティを先導 GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は、IoTセキュリティのスペシャリストであり国内大手電気機器メーカーのPSIRT(※1)のトップとしてIoT製品のサイバーセキュリティにおける様々な活動をリードしてきた林 彦博(りん・ひこひろ)氏を、上席執行役員 グローバル戦略本部 本部長として2024年8月1日に迎えました。 (※1)PSIRT(Product Security Incident Response Team/製品セキュリティインシデント対応チーム)とは、企業が製造や開発を行う製品・サービスに対し
三井不動産は、4月に公表した新グループ長期経営方針「& INNOVATION 2030」に基づき、2030年を見据えた新たなグループDX方針として、「DX VISION 2030」を策定した。 DX VISION 2030については次のとおり。 &Customer 「リアル×デジタル」 ビジネス変革 リアルの場とデジタルを掛け合わせた不動産ビジネスの変革・イノベーション推進へ向け、グループ会社・事業横断での体験創出や、多様なステークホルダーとの共創型開発の推進により、不動産デベロッパーの枠を超えた価値創出に取り組む。 リアル×デジタルによる体験価値向上 オフィス、商業施設、スポーツ・エンターテインメント、住宅、ホテル、ロジスティクスなど三井不動産グループのリアルの場におけるお客様との接点やネットワークを活かしたデジタル・プラットフォームを強化し、リアルの場の価値の最大化を図る。 デジタルカ
OSCP合格体験記:ペネトレーションテストの国際的認定資格へのチャレンジ
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの鈴木雅也です。 今回は、OffSec社[1]が提供するペネトレーションテストの認定資格であるOSCP(OffSec Certified Professional) [2] について紹介します。 併せて、OSCPに対応するトレーニングコースであるPEN-200についても紹介します。 本ブログは、筆者がトレーニングと試験を受けた2022年当時の情報をもとに執筆しています。 OffSec社はトレーニングのコンテンツや試験のルールを定期的に改定しているため、本ブログと最新の状況とでは内容に差異が生じる点をご了承ください。 ※本ブログ公開日時点では2023年3月15日の改定[3]が最新の状況。 OSCPはOffSec社が提供するペネトレーションテストの認定資格の一つです。 また、 OSCPに対応するトレーニングコースとして、PEN-200
株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、株式会社エネコム(本社:広島県広島市、取締役社長:岡部 恵二、以下 エネコム社)が2024年8月26日よりサービスを提供するセキュリティ機器(UTM:統合脅威管理)監視運用支援サービス「EneWings Security Management」(略称:EWSM)へ、ラックが独自開発したクラウド型セキュリティ監視ソリューション「CloudFalcon(クラウドファルコン)」を提供します。 近年、デジタル化の急速な進展、多様化の中、サイバー攻撃の手法も巧妙化しており、企業は様々なセキュリティ脅威に直面しています。特に先端技術の届かない首都圏から離れた企業や自治体では、技術的な知識や専門性も不足しています。攻撃者はセキュリティ対策の弱い組織を見つけ出し、攻撃を仕掛けるため、地方でも組織規模にかかわらず、被害が発生
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
C2フレームワーク「Merlin」のすすめ - ラック・セキュリティごった煮ブログ
ChatGPT Enterpriseのセキュリティ周りを確認してみた | DevelopersIO
バグハンターの作業と利用するセキュリティツールについて | AIを武器にホワイトハッカーになる
CSCの脆弱性管理ツール「SIDfm VM」、SBOMのインポート/管理機能を追加 | IT Leaders
安アパートのディスコクイーン トレイシー・ソーン自伝 - 本と奇妙な煙
セキュリティディストロについてまとめてみた - Shikata Ga Nai
2024年5月 マルウェアレポート | サイバーセキュリティ情報局
ニュートン・コンサルティング、疑似サイバー攻撃を仕掛けるペネトレーションテストを提供 | IT Leaders
「脅威」について考えてみる - セキュリティコンサルタントの日誌から
製品(IoT)セキュリティのスペシャリスト林 彦博氏がGMOサイバーセキュリティ byイエラエに参画
三井不動産、リアル×デジタルのビジネス変革など、グループDX方針「DX VISION 2030」策定 | Biz/Zine
ラック、エネコム社へ監視ソリューション「CloudFalcon」を提供(2024年7月30日)| 株式会社ラック