攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)および米国家安全保障局(NSA)は2023年10月5日(現地時間)、大規模組織でやりがちなセキュリティの誤設定について、その詳細と対策をまとめたサイバーセキュリティアドバイザリを共同で公開した。 このアドバイザリは、組織における10のセキュリティ誤設定に焦点を当て、それぞれの誤設定がどのように悪用されるか、またそれにどう対処すべきかについて詳細に解説している。 デフォルト設定の誤り: ソフトウェアやアプリケーションのデフォルト設定は必ずしも安全とは限らず、しばしばセキュリティリスクを抱えている。それにはデフォルト認証情報やサービス権限、設定などが含まれる ユーザーおよび管理者権限の不適切な分離: 1つのアカウントに複数の役割が割り当てられている。その結果、権限が過剰になっている 内部ネットワーク監視の不足:
ISACA CISA
ISACA東京支部は、情報システム監査、情報セキュリティ、リスク管理、ITガバナンスの国際的専門団体です。 ■CISA (Certified Information Systems Auditor)とは?CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。 ■資格の権威、特徴は?情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では広く認知されています。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実
米サイバーセキュリティ・インフラセキュリティ庁(CISA)のChristopher Krebs長官は、ホワイトハウスに解任されることも覚悟しているという。Reutersが米国時間11月11日に報じた。Krebs長官がセキュリティを任されている米国の選挙システムは、米国の送電網や金融システムと同様の重要インフラに分類されている。 米国土安全保障省の1部門であるCISAは、2020年の選挙期間中、選挙でハッキングや不正があったという主張が虚偽であることを示すため、Rumor Controlというウェブサイトを運営してきた。 Reutersによれば、民主党が大掛かりな不正投票を仕掛けたという主張が虚偽であることを示した情報を、編集するかウェブサイトから削除するよう求められて、CISAはホワイトハウスと対立したという。CISAは12日、全米州務長官協会(NASS)、全米州選挙管理者協会(NASED
米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は5月18日(現地時間)、米VMware製品に認証回避や権限昇格の脆弱(ぜいじゃく)性があるとして、政府・行政機関に対策を指示した。 脆弱性が見つかったのは「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」といった、クラウドや情報セキュリティに関連する製品。 認証回避の脆弱性(CVE-2022-22972)は、影響度を示すCVSS v3のベーススコアが10点中9.8点で深刻度は「Critical」という。これは2021年12月に見つかっ
CISA、不正投票の偽情報を暴いてホワイトハウスと対立か--長官は解任も覚悟(CNET Japan) - Yahoo!ニュース
米サイバーセキュリティ・インフラセキュリティ庁(CISA)のChristopher Krebs長官は、ホワイトハウスに解任されることも覚悟しているという。Reutersが米国時間11月11日に報じた。Krebs長官がセキュリティを任されている米国の選挙システムは、米国の送電網や金融システムと同様の重要インフラに分類されている。 米国土安全保障省の1部門であるCISAは、2020年の選挙期間中、選挙でハッキングや不正があったという主張が虚偽であることを示すため、Rumor Controlというウェブサイトを運営してきた。 Reutersによれば、民主党が大掛かりな不正投票を仕掛けたという主張が虚偽であることを示した情報を、編集するかウェブサイトから削除するよう求められて、CISAはホワイトハウスと対立したという。CISAは12日、全米州務長官協会(NASS)、全米州選挙管理者協会(NASED
piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ
piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ:特集:1P情シスのための脆弱性管理/対策の現実解(2) いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。 脆弱(ぜいじゃく)性が企業組織に与える影響は、想像よりも大きく、想像よりも“面倒くさい”状況にある。そもそも「脆弱性」という言葉の認識も、もしかしたら人によって大きく異なり、対処を想定していない脆弱性が存在する可能性もある。 インシデント情報をまとめ記
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「Microsoft Exchange」のゼロデイ脆弱性の修正版が米国時間3月2日に公開されたことを受け、緊急指令(21-02)を発令した。 この緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」(Microsoft Exchangeのオンプレミス製品の脆弱性を緩和)は、3日に発令された。 Microsoftは、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」で見つかった4件のゼロデイ脆弱性が、国家関与が疑われる中国のAPT(高度サイバー攻撃)グループのHafniumに悪用されていると警告した。 「Exchange Online」は脆弱性の影響を受けないという
CISA 緊急指令19-01: DNSインフラ改竄の軽減 (私訳) - The Decisive Strike
この記事は、米国 Department of Homeland Security の Cybersecurity and Infrastructure Security Agency によって投稿された Emergency Directive 19-01: Mitigate DNS Infrastructure Tampering の私訳である。正確性は保証しない。 このページは、国土安全保障省 Cybersecurity and Infrastructure Security Agency の緊急指令 19-01 『DNSインフラ改竄の軽減』の電脳網版である。また、長官によるブログポストも参考にされたい。 44 U.S.C. 3553 (h) 項によって、国土安全保障省は、ある政府機関の情報セキュリティに対して明確な脅威を呈する、既知のあるいは十分に疑わしい情報セキュリティ上の脅威、脆弱
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年11月10日(現地時間)、脆弱(ぜいじゃく)性管理手法「SSVC方法論」(Stakeholder-Specific Vulnerability Categorization:利害関係者固有の脆弱性分類)に関するガイドラインを公開した。 SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。 近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。
CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita
CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting)MicrosoftAzureSecurity, 最近、対応すべき脆弱性の洗い出しに、米国の国土安全保障省 (DHS) のサイバーセキュリティ インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、通称 CISA)が公開している、悪用された脆弱性のリスト (Known Exploited Vulenraiblites catalog, 通称 KEV) を活用するのをよく目にするようになってきました。 今回は Microsoft セキュリティソリューションのアドベントカレンダーの記事という事で、KEV が話題になってる昨今、Microsoft のソリューション
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
君は今、ゼロトラストの旅路のどこにいる?――米国政府機関が参照する地図、CISA「ゼロトラスト成熟度モデル」とは
君は今、ゼロトラストの旅路のどこにいる?――米国政府機関が参照する地図、CISA「ゼロトラスト成熟度モデル」とは:働き方改革時代の「ゼロトラスト」セキュリティ(17) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、米国CISAが発表した「ゼロトラスト成熟度モデル」について解説する。 本連載では「働き方改革時代の『ゼロトラスト』セキュリティ」と題して、働き方改革がもたらすデジタルの変化に対応したセキュリティコンセプトとして、ゼロトラストの考え方を紹介してきました。 2020年4月以降はコロナ禍による不要不急の外出抑制やソーシャルディスタンスの確保など、社会生活が一変し、今もなおさまざまな場面で対応が求められています。中でも常態化したテレワークやクラウドサービス利用の促進は、私たちの働き方に大きな変化をもたらしました。自宅のリビングや書斎でPCを
米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は12月14日(現地時間)、連邦政府機関に対し、世界的に問題になっている「Log4j」の脆弱性の影響を受けるシステムに12月24日のクリスマスイブまでにパッチを適用するよう指示した。 CISAは13日、Log4jの脆弱性「CVE-2021-44228」を積極的に悪用された脆弱性のカタログに追加している。 CISAはまた、Log4j専用Webページを立ち上げた。このページには脆弱性の影響を受けている可能性のあるソフトウェアベンダーの一覧などの情報がまとめられており、随時アップデートされている。 Log4jの脆弱性は、9日に明らかになった。Log4jは多数の企業向けシステムに採用されていることもあり、システムのリモートからのハッキングに悪用されやすい。 既に少なくとも
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間8月11日、「Zeppelin」というランサムウェアに関するアドバイザリーを公開し、その中で同犯罪者グループが用いている戦術の詳細を明らかにした。このグループは、米国や欧州の大規模な組織を標的にして、多額の身代金を要求してきている。 Zeppelinは2019年後半に発見された「サービスとしてのランサムウェア」(RaaS)であり、そのキャンペーンでは二重脅迫型の手法が用いられている。かつて「VegaLocker」と呼ばれていたこのランサムウェアは、欧州や北米におけるヘルスケア分野の組織を標的にすることで知られていた。同アドバイザリーによると、防衛
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間11月16日、「Apache Log4j」に存在する脆弱性「Log4Shell」に関する共同アドバイザリーを発表した。「VMware Horizon」のサーバーインスタンスにパッチを適用していない組織や、緩和策を講じていない組織は、ネットワークが侵害されていると想定し、それに応じた行動をとるよう注意喚起している。 この警告は、両者が「連邦一般行政部」(FCEB)と言及する組織で、サイバー攻撃が発生したことに起因している。調査から、攻撃者はパッチが適用されていないVMware HorizonのLog4Shellを悪用して、ネットワークに侵入したこと
kokumօtօ on Twitter: "米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、無料サイバーセキュリティツールのリストを公開。CISA長官のJen Easterly氏は、公私問わず多くの組織が標的を豊富に持つ一方リソースは不足している… https://t.co/MRQqO0NzuZ"
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、無料サイバーセキュリティツールのリストを公開。CISA長官のJen Easterly氏は、公私問わず多くの組織が標的を豊富に持つ一方リソースは不足している… https://t.co/MRQqO0NzuZ
Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors | CISA
This joint Technical Alert (TA) is the result of analytic efforts between the Department of Homeland Security (DHS) and the Federal Bureau of Investigation (FBI). This alert provides information on Russian government actions targeting U.S. Government entities as well as organizations in the energy, nuclear, commercial facilities, water, aviation, and critical manufacturing sectors. It also contain
NSA, CISA release Kubernetes Hardening Guidance > National Security Agency Central Security Service > Article View
FORT MEADE, Md. – The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) released a Cybersecurity Technical Report, “Kubernetes Hardening Guidance,” today. This report details threats to Kubernetes environments and provides configuration guidance to minimize risk. Kubernetes is an open source system that automates the deployment, scaling, and management
Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
United States Computer Emergency Readiness Team (US-CERT)は12月24日(米国時間)、「CISA Releases Free Detection Tool for Azure/M365 Environment |CISA」において、Cybersecurity and Infrastructure Security Agency (CISA)が、Microsoft AzureおよびMicrosoft 365環境においてユーザーおよびアプリケーションにとって脅威となる異常で潜在的に悪意のあるアクティビティを検出するための無料のツールを公開したと伝えた。昨今、複数のセクタにおいてIDおよび認証ベースの攻撃が見られるが、開発されたツールはこうしたアクティビティを検出することに焦点を当てたものとされている。 開発されたツールは次のページにおいて
Emotet Malware | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間11月12日、選挙インフラのセキュリティを監視する他の各専門機関と共同で声明を発表し、2020年の米大統領選挙の開票作業にハッカーらが干渉したとする主張を否定した。この声明には全米州務長官協会(NASS)、全米州選挙管理者協会(NASED)および選挙の専門家らが名を連ねている。11日には、CISAのChristopher Krebs長官がホワイトハウスに解任されることも覚悟していると、Reutersが報じていた。 Christopher Krebs氏は米サイバーセキュリティ・インフラセキュリティ庁の長官で、アメリカの選挙システムの管理を担当している。 提供:Getty Images この声明でCISAらは2020年の米大統領選について、「米国史上最も安全」だったとし、さらに「投票システムによって票が削除または紛失されたり、
Publicly Available Tools Seen in Cyber Incidents Worldwide | CISA
This report is a collaborative research effort by the cyber security authorities of five nations: Australia, Canada, New Zealand, the United Kingdom, and the United States.[1][2][3][4][5] In it we highlight the use of five publicly available tools, which have been used for malicious purposes in recent cyber incidents around the world. The five tools are: Remote Access Trojan: JBiFrost Webshell: Ch
ISACA東京支部/公認情報システム監査人 (CISA: Certified Information Systems Auditor)
ISACA東京支部は、情報システム監査、情報セキュリティ、リスク管理、ITガバナンスの国際的専門団体です。 ■CISA (Certified Information Systems Auditor)とは?CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。 ■資格の権威、特徴は?情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では広く認知されています。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表
Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表 Exchange ServerやFortiOSの脆弱性を利用したサイバー攻撃に注意が必要だ。CISAとFBI、ACSC、NCSCは共同でセキュリティアラートを発表した。迅速に緩和策を実施してほしい。
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間1月10日、現時点で「Log4Shell」脆弱性を悪用した深刻な侵入は米国で報告されていないとの見解を示した。「Apache Log4j」に存在するこの脆弱性は、2021年12月に明らかにされた。 CISAのJen Easterly長官と、サイバーセキュリティ担当エグゼクティブアシスタントディレクターEric Goldstein氏は記者会見で、ベルギー国防省が標的となった攻撃以外、Log4jの脆弱性悪用が直接の原因となった深刻なインシデントは確認されていないと述べた。 「現時点で、重大な侵入につながるLog4Shellの悪用は確認されていない。これは、巧妙な攻撃者がすで
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
第5回 CISA(公認情報システム監査人)
資格の有効性や「資格がどうあるべきか」は,常に筆者の"研究テーマ"だった。資格の有効性については,筆者は「資格は体系的な知識を身につける有効なパッケージだ」と考えている。 ただ,「実務経験」を資格の中でどう位置づけるかは難しい。「実務経験がないと受験できない」となれば,優秀な受験者を排除してしまう。その結果受験者が減ってしまえば,資格自体を維持できない可能性がある。かといって実務経験を考慮しないと,「実務能力」を担保できない。 理想的なのは,試験に合格するとともに実務経験を証明することで資格を取得できる制度だろう。この制度を採用しているのが,システム監査に関する国際資格「CISA(Certified Information Systems Auditor,公認情報システム監査人)」であり,以前から大きな興味を持っていた。2002年から,システム監査関係の実務経験を積んでいた筆者は, 200
Jonathan Greig (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2021-10-06 06:30 米国の国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、国民や組織が仮想プライベートネットワーク(VPN)をどう選ぶべきかを説明した詳細なガイドを共同で発表している。これは、世界的にリモートワークや遠隔教育への移行が進む中、他国やサイバー犯罪グループによるVPNの悪用が増えているためだ。 この9ページの文書には、VPNを安全に導入するための方法に関する詳しい説明が含まれている。NSAは声明の中で、このガイドは、国防総省や、国家安全保障システム、防衛産業基盤のリーダーにとっても、「VPNに関連するリスクに対する理解を深める」ために役に立つだろうと述べている。 NSAによれば、国家の支援を受けている複数のAPT攻撃グループが、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Free Cybersecurity Services & Tools | CISA
やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表
サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される? CISAとNSAが公開したアドバイザリをチェック【海の向こうの“セキュリティ”】
CISA、不正投票の偽情報を暴いてホワイトハウスと対立か--長官は解任も覚悟
VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開【海外セキュリティ】
「Microsoft Exchange Server」の脆弱性、CISAが緊急指令--米政府機関などに対応促す
SSVC方法論とは? 脆弱性管理手法の新潮流をCISAが解説
Known Exploited Vulnerabilities Catalog | CISA
Kubernetes Hardening Guide | NSA/CISA
CISAが事業者に要求する「セキュリティ・バイ・デザイン」、多要素認証の必須化やメモリセーフなプログラミング言語への切り替えなどを推奨【海外セキュリティ】
米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
米CISAが公開、悪用された脆弱性をまとめた「カタログ」から見えた対策の実態【海外セキュリティ】
UDP-Based Amplification Attacks | CISA
Cybersecurity Alerts & Advisories | CISA
CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開
「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき--CISAとFBIが警告
最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身【海の向こうの“セキュリティ”】
Microsoft Azure/ 365向け異常検出ツールを無償で公開、CISA
2020年の米大統領選は「史上最も安全」だった--CISAなどが声明
Microsoft Operating Systems BlueKeep Vulnerability | CISA
「Log4j」の脆弱性に関連する「深刻な侵入」見られずも要警戒--CISA長官ら
Microsoft Windows Does Not Disable AutoRun Properly | CISA
VPN利用に伴うセキュリティリスクに対処するために--NSAとCISAが公開したガイダンス