米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2024年6月18日(米国時間)、ネットワークセキュリティにおけるガイダンスを公開した。CISAは以下のように説明している。 ガイダンスは、CISAの他、連邦捜査局、ニュージーランドおよびカナダのセキュリティ責任者が共同執筆した。あらゆる規模の企業の経営者に対し、ネットワークアクティビティーの可視性を高めるゼロトラスト、SSE(Security Service Edge)、SASE(Secure Access Service Edge)などのより堅牢(けんろう)なセキュリティソリューションへの移行を推奨している。加えて、このガイダンスは、従来のリモートアクセスとVPNの導入に関連する脆弱(ぜいじゃく)性、脅威、慣行およびリモートアクセスの誤った構成によって組織のネットワークにもたらされる固有のビジネスリスクを組織がよ
攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)および米国家安全保障局(NSA)は2023年10月5日(現地時間)、大規模組織でやりがちなセキュリティの誤設定について、その詳細と対策をまとめたサイバーセキュリティアドバイザリを共同で公開した。 このアドバイザリは、組織における10のセキュリティ誤設定に焦点を当て、それぞれの誤設定がどのように悪用されるか、またそれにどう対処すべきかについて詳細に解説している。 デフォルト設定の誤り: ソフトウェアやアプリケーションのデフォルト設定は必ずしも安全とは限らず、しばしばセキュリティリスクを抱えている。それにはデフォルト認証情報やサービス権限、設定などが含まれる ユーザーおよび管理者権限の不適切な分離: 1つのアカウントに複数の役割が割り当てられている。その結果、権限が過剰になっている 内部ネットワーク監視の不足:
Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2023年10月5日(米国時間)、共同サイバーセキュリティアドバイザリー(CSA)を発表した。 この共同CSA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」では、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、攻撃者がこれらを悪用するために用いる戦術、技術、手順(TTP)を解説するとともに、こうした悪用リスクを軽減するための推奨事項を紹介している。 NSAとCISAは、国防総省、連邦政府、州、地方政府、民間部門にわたる多数のネットワークのセキュリティ体制を評価してきた。共同CSAで挙げられた10のネットワーク構成ミスは、これらの評価の過程で特定された。
CISAは1300人以上のサイバーセキュリティ人材をどうやって集めたのか?:Cybersecurity Dive サイバーセキュリティ人材の不足が全世界で叫ばれている。これを解消するために企業が取り組むべきことは何か。CISAが注意すべき2つの要素を紹介した。 有能なサイバー人材を探して確保することは、依然として課題だ。 サイバーセキュリティトレーニングを提供するISC2の調査によると(注1)、サイバーセキュリティに携わる専門家の数は過去最高であり、470万人に上る。しかし人材の空白を完全に埋めるためには、さらに340万人の従業員が必要になる。 セキュリティリーダーの大多数である70%が「自社の組織にはサイバーセキュリティを担当する十分な従業員がいない」と回答している。 サイバーセキュリティ人材を集めるために企業がすべき2つのこととは? セイバーセキュリティの分野で働く専門家に高い給与を支
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国家安全保障局(NSA)は2023年10月4日(現地時間)、ID管理やアクセス管理において開発者や技術メーカーが直面する課題を評価し、対処できるようにするガイドライン「Identity and Access Management: Developer and Vendor Challenges」を公開した。 Identity and Access Management: Developer and Vendor Challengesは、CISAとNSAの主導で官民のクロスセクターパートナーシップを含む作業部会であるEnduring Security Framework(ESF)が取りまとめたもの。 今回のガイダンスは、重要インフラと国家安全保障システムを脅かすリスクに対処することを目的としており、同作業
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
CISA forced to take two systems offline last month after Ivanti compromise
CISA forced to take two systems offline last month after Ivanti compromise Hackers breached the systems of the Cybersecurity and Infrastructure Security Agency (CISA) in February through vulnerabilities in Ivanti products, officials said. A CISA spokesperson confirmed to Recorded Future News that the agency “identified activity indicating the exploitation of vulnerabilities in Ivanti products the
【セキュリティ ニュース】米CISA、「MS 365」のセキュリティ最低構成と評価ツールを公開(1ページ目 / 全1ページ):Security NEXT
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、米行政機関向けに「Microsoft 365」を利用する際のセキュリティ構成ベースラインと評価ツールを公開した。 同庁では、クラウド環境に保存された行政機関の情報資産を保護するため、2022年4月にSecure Cloud Business Applications(SCuBA)プロジェクトを設置。同年10月に「Microsoft 365」のセキュリティ構成ベースラインのパブリックコメント案を公開し、意見を募集していた。 パブリックコメントに寄せられた数百件の意見をもとに100以上の見直しを実施。パイロットプロジェクトを経て、今回「Secure Configuration Baselines for Microsoft 365 Version 1.0」をリリースした。 具体的には、「Microsoft Teams」「D
NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations | CISA
A plea for network defenders and software manufacturers to fix common problems. EXECUTIVE SUMMARY The National Security Agency (NSA) and Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint cybersecurity advisory (CSA) to highlight the most common cybersecurity misconfigurations in large organizations, and detail the tactics, techniques, and procedures (TTPs) actors use
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年10月5日(米国時間)、「NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA」において、米国家安全保障局(NSA: National Security Agency)と共にサイバーセキュリティの設定ミストップ10に関する勧告を発表した。 NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA 発表された共同サイバーセキュリティ勧告は次のサイトから閲覧できる。 「NSA and CISA Red a
CISA and UK NCSC Unveil Joint Guidelines for Secure AI System Development | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
GitHub - TURROKS/CVE_Prioritizer: Streamline vulnerability patching with CVSS, EPSS, and CISA's Known Exploited Vulnerabilities. Prioritize actions based on real-time threat information, gain a competitive advantage, and stay informed about the latest tre
The team at FIRST did an amazing job explaining why one would want to combine CVSS and EPSS in their EPSS User Guide. The following material has been extracted from that document. The figure below shows the correlation between EPSS and CVSS scores based on data from 05-16-2021. Recall that EPSS produces prediction scores between 0 and 1 (0 and 100%) where higher scores suggest higher probability o
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年10月16日(現地時間)、米国および国際的なパートナーと共同で、セキュア・バイ・デザインの原則とアプローチに関するガイダンス「Secure-by-Design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」のアップデート版を公開した。 このガイダンスはソフトウェアメーカーに対して製品の設計や開発、提供の際にセキュリティを最優先にするように緊急で求める内容になっていて初期のバージョンは2023年4月に公開された。 ガイダンスのアップデート版はCISAだけでなく米国連邦調査局(FBI)、米国家安全保障局(NSA)が関与している他、8つの新しい国
先週お伝えしたところ、かなりの反響があった「Pixel」シリーズおよびAndroidスマホのぜい弱性に関する問題。 実はユーザーの多いWindowsでも、同日までのセキュリティアップデート命令が出されています。詳細は以下から。 海外メディアの報道によると、アメリカ連邦政府機関では7月4日までにWindowsOSのセキュリティアップデートを行うか、使用を中止する必要があるそうです。 これは3月のWindowsアップデートで修正されたぜい弱性「CVE-2024-26169」が、ユーザーの操作とは関係無く特定プログラムに上位権限を付与できる「権限昇格(EoP)」を実行できるため。 実際に悪用されている例があることから、FBIやCISA(Cybersecurity and Infrastructure Security Agency)を含む複数の米国政府機関が協力し、サイバーセキュリティ勧告を発令
KEV Catalog Reaches 1000, What Does That Mean and What Have We Learned | CISA
By: Eric Goldstein, Executive Assistant Director for Cybersecurity, Elizabeth Cardona and Tod Beardsley Every organization is confronted by a common cybersecurity challenge: there are too many vulnerabilities in technology products. This makes it difficult to prioritize limited resources – with over 25,000 new vulnerabilities released in 2022 alone, where should an organization begin? As a startin
CISAらがランサムウェア対策のガイダンス「#StopRansomware Guide」を公開:セキュリティニュースアラート CISAなどの複数のセキュリティ機関が「#StopRansomware Guide」の更新版を公開した。このガイダンスにはランサムウェア攻撃の予防と対策に関する新しいベストプラクティスをまとめている。
CISA Releases Malware Next-Gen Analysis System for Public Use
Government CISA Releases Malware Next-Gen Analysis System for Public Use CISA’s Malware Next-Gen system is now available for any organization to submit malware samples and other suspicious artifacts for analysis. The US government’s cybersecurity agency CISA has released its threat hunting and internal malware analysis system for public use, promising capabilities for the automatic analysis of pot
FBI, CISA, and Partners Release Advisory Highlighting North Korean Cyber Espionage Activity | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
2023年3月に公認情報システム監査人(CISA)試験に暫定合格しましたので、今後受験される方および今後の試験勉強に向けての備忘として体験記を残します。 正式な合格通知が来たら追記予定です。 CISAとは?といった詳細はすでに多くの方が書かれているので割愛します。 バックグラウンド •応用情報技術者試験合格済 •大学の専攻は非情報系(文系) 勉強期間真面目にやった期間はおよそ3ヶ月(2023/1〜2023/3) だらだら問題集をペラペラしていた期間は2ヶ月(2022/11〜2022/12)ですが、正直実際に試験を申し込んだ2023/1以前は全く身が入っていなかったのであまり意味がなかったと思います。 実際に試験料の支払いをし、10万強が引き落とされていたのを確認し、職場の人に受けることを報告してから、「これは落ちるわけには行かない…」と本腰入れてやり始めました。1年前は8万くらいだったよう
Understanding and Responding to Distributed Denial-Of-Service Attacks | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
米国家安全保障局 (NSA) とサイバーセキュリティ・インフラストラクチャーセキュリティ庁 (CISA) が 5 日、よくあるネットワークの誤設定トップ 10 を取り上げたアドバイザリーを公開した (CISA のブログ記事、 The Register の記事、 アドバイザリー: PDF)。 誤設定トップ 10 は以下の通り。 ソフトウェアとアプリケーションをデフォルト構成で使用 ユーザー/管理者権限の不適切な分離 不十分な内部ネットワーク監視 ネットワークセグメンテーションの欠如 不十分なパッチ管理 システムアクセス制御のバイパスが可能 弱い・正しく設定されていないMFA ネットワーク共有とサービスに対する不十分なアクセス制御リスト 不十分な認証情報の安全性 無制限なコード実行 1 位のデフォルト構成としては、デフォルトの認証情報やサービスのパーミッション設定などが挙げられている。6 位は
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ランサムウェア攻撃を受ける可能性がある組織に直接警告をしたが、システム内の脆弱(ぜいじゃく)なデバイスを減らすための行動を取ったのは半数以下だった(注1)。 通知企業の半数しか対策せず なぜ重要インフラ組織は動けないのか? CISAは2023年、ランサムウェア防止プログラム「RVWP」(Ransomware Vulnerability Warning Pilot)の一環として、インターネットにアクセス可能な脆弱なデバイスを運用する(電力やガス、鉄道、空港などの)重要インフラ組織に対して、ランサムウェアの脆弱性に関する警告を1754件送信した。 同庁は「私たちの調査結果によると、1754件のうち852件は、CISAからの通知を受けてパッチが適用されたり、対応策が実施されたり、オフラインにされたりした」と述
Logging Made Easy: Free log management solution from CISA - Help Net Security
Please turn on your JavaScript for this page to function normally. CISA launched a new version of Logging Made Easy (LME), a straightforward log management solution for Windows-based devices that can be downloaded and self-installed for free. CISA’s version reimagines technology developed by the United Kingdom’s National Cyber Security Centre (NCSC), making it available to a broader audience on Gi
公認情報システム監査人(Certified Information Systems Auditor)(以下「CISA」)という資格に、2019年12月に2か月くらいの勉強期間で独学で合格しました。 まだ日本ではメジャーな資格ではないためか、試験概要についての説明や、どのようにすれば合格できるかなどの情報がネット上にあまりなかったので、私の経験を残しておきたいと思います。 <背景> 2019年10月に、会社の業務で資格取得の必要に迫られ、急遽、私の他にも数人で受験することになりました。 私自身は今までITコンサル系の業務(業務分析、システム調達、PMOなど)を7年間ほど行ってきましたが、システム監査の経験はなく、コンサルとして支援していたクライアント側の監査対応を支援したことや、社内のISMS対応の手伝いなどをしたことがある程度です。(非IT会社にいた時に会計監査の対応はがっつりやったことが
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月27日(米国時間)、「Mozilla Releases Security Advisories for Thunderbird and Firefox|CISA」において、Mozilla FirefoxおよびThunderbirdに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。 脆弱性に関する情報は次のページにまとまっている。 Security Vulnerabilities fixed in Firefox 118 — Mozilla Security Vulnerabilities fixed in Firefox
<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4756501279160409632/comment/cyph" data-user-id="cyph" data-entry-url="https://b.hatena.ne.jp/entry/s/atmarkit.itmedia.co.jp/ait/articles/2407/19/news065.html" data-original-href="https://atmarkit.itmedia.co.jp/ait/articles/2407/19/news065.html" data-entry-favicon="https://cdn-ak2.favicon.st-haten
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 CISA サイバーエッセンシャル 運用のベストプラクティス コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。 以下に、Cybersecurity & Infrastructure Secu
このページを見ている方は、監査部門に転職をされたか、 あるいは監査部門に配属をされて資格を急遽取ることになった人と思います。 短期間で合格する方法に絞って、記載していきます。 【試験前に確認すること】 ・有効な顔写真入りの身分証を持っているか。 保険証は利用できません! パスポート・運転免許証が必要です。 政府発行IDなのでマイナンバーもいける・・・はずですが、原付免許を取得して臨みました。 ・VISAまたはマスターのクレジットカードを持っているか JCBではエラーが発生しました。 ・上司の理解があるか 合格後に、CISAの登録をするときに上司のサインが必須です。 理解がない職場はサインをもらうことができず、最悪の場合は登録のために転職することになります。 (この点で転職することになりました) ・試験合格前に実務経験が達しているか、あるいは試験合格後5年以内に達する見込みがあるか 基礎的な
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2024年6月24日(現地時間、以下同)の通知で「私たちのシステムを標的とした同年1月の攻撃により、化学施設のデータが盗まれた可能性がある」と述べた(注1)。CISAは、10万人以上が所属する同施設に潜在的な被害がある旨を伝えた。 パッチリリースに先んじた攻撃 CISAはどのように侵入を許したか? 正体不明の攻撃者が2024年1月23~26日にかけて、化学物質の安全性を評価するCISAのツールに侵入したが、データの盗難や横方向の移動の証拠は見つからなかったという。 CISAの広報担当者は、電子メールで次のように述べた。 「CISAの調査ではデータ流出の証拠は見つからなかったが、今回の侵害により、トップ画面調査や脆弱(ぜいじゃく)性評価、サイトセキュリティ計画、人員保証プログラム提出、CSATのユーザーア
2021年9月28日、アメリカのCISA (Cybersecurity & Infrastructure Security Agency、国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁) およびNSA (アメリカ国家安全保証局) が、VPN製品の選定および堅牢化のガイドとなる情報を公開しました。 「NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs」 https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/2791320/nsa-cisa-release-guidance-on-selecting-and-hardening-remote-access-vpns/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
米CISAの「選挙管理者のためのセキュリティ運用ガイド」は一般的な機密情報管理にも参考になる内容【海の向こうの“セキュリティ”】
やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表
サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される? CISAとNSAが公開したアドバイザリをチェック【海の向こうの“セキュリティ”】
最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身【海の向こうの“セキュリティ”】
サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表
中国の脅威グループ「Volt Typhoon」による被害など、米CISA長官が警鐘を鳴らす重要インフラへのサイバー攻撃問題【海の向こうの“セキュリティ”】
米CISAの国際ガイドラインに日本も署名。民主主義の価値を損なうサイバー攻撃から研究者・ジャーナリストらを保護
CISAは1300人以上のサイバーセキュリティ人材をどうやって集めたのか?
MFAとSSOの導入・運用を助ける新たなガイドライン CISAとNSAが共同発表
Modern Approaches to Network Access Security | CISA
サイバーセキュリティの10大設定ミス、米国NSAとCISAが警告
CISA、日本のNISCらと協力し、セキュア・バイ・デザインに関する資料のアップデート版を提供
【注意喚起】「Windowsは4日までにアップデートを」FBIやCISAがサイバーセキュリティ勧告 | Buzzap!
CISAらがランサムウェア対策のガイダンス「#StopRansomware Guide」を公開
公認情報システム監査人(CISA)試験に独学で合格しました(予備校なし)|花札うさぎ
【海外ITトピックス】 オープンソースソフトのセキュリティ強化へ CISAがロードマップ発表
Joint Guidance on Deploying AI Systems Securely | CISA
米NSAとCISAが選ぶ、ネットワーク誤設定トップ10 | スラド セキュリティ
CISAのランサムウェア警告を半数以上が“無視” なぜ重要インフラ組織は動けないのか?
ど文系ど素人の公認情報システム監査人(CISA)合格体験記|渡邉恵士老(けいちゃん)@北海道の妖怪好き
米国CISAがFirefoxとThunderbirdの脆弱性について警告
『米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表』へのコメント
CISA サイバーエッセンシャル 運用のベストプラクティス - AWS Config
バイデン大統領、予算教書で CISA の資金を 30 億ドルに増額 ~ さらに医療サイバーセキュリティに約 15 億ドル要求 | ScanNetSecurity
監査未経験が公認情報システム監査人(CISA)試験に合格するまで(試験登録)|まえぞの
パッチリリースに先んじた攻撃 CISAはどのように侵入を許したか?
米国NSAとCISA、VPNをサイバー攻撃から守るためのセキュリティガイドを公開