リモート勤務やハイブリッド勤務が普及して2年以上が過ぎたが、その運用を巡る見解の違いは今もなお鮮明だ。上司の約85%は、部下が十分に仕事をしているかどうか分からないと不安に思う一方で、部下の87%は生産性に問題はないと考えている。マイクロソフトの調査で明らかになった。 職場で広く使用されるソフトウエアのメーカーとして巨大な存在であるマイクロソフトは、プロフェッショナル向けソーシャルネットワークのリンクトインも傘下に置いている。サティヤ・ナデラ最高経営責任者(CEO)は、部下のサボりを気にする上司の不安を「生産性のパラノイア」と表現。従業員の監視といった望まれない結果を招きかねないという。 「上司は部下の生産性が低いと考えているが、部下は生産的だと考え、むしろバーンアウト(燃え尽き症候群)を感じているケースも多い」とナデラ氏はブルームバーグテレビジョンのインタビューで語った。「新しい働き方の
GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~ - ぶるーたるごぶりん
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
ソフトウェア開発者でなくとも、セキュリティ・バイ・デザインという言葉は聞いたことがあると思います。しかし、セキュリティ・バイ・デザインが十分に実施できていると言える組織は多くないのではないでしょうか。 いざセキュリティ・バイ・デザインを実施しようとしても「何をすればよいのだろう?」「どうやれば良いのだろう?」となかなか手が動かない。そんな状況の一助となるよう、我々がセキュリティ・バイ・デザインを学び、実践した内容を文書化し公開する運びとしました。 セキュリティ初心者でも読みやすいように、以下の特徴を念頭において本書を執筆しました。 軽快な文章 図表を多用したグラフィカルな見た目 キャラクターのセリフに共感しながら理解ができる 1章 セキュリティ・バイ・デザイン -セキュリティ・バイ・デザインの概要や必要性の説明 2章 脅威分析 -組織やシステムに対する脅威分析の実施方法 3章 セキュリティ
サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
パブリッククラウド特有の脅威の向き合い方
近年急速に活用が進むパブリッククラウドですが、同時にパブリッククラウド特有のセキュリティ事故も多発しています。 本スライドでは、パブリッククラウド特有のセキュリティ脅威や事例について紹介し、それらに対する防御の考え方を示すことで より安全にパブリッククラウドを活用いただくことを目的としています。
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
内閣官房内閣サイバーセキュリティセンター(NISC)は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」(以下「本ハンドブック」といいます。)を作成しています。 企業における平時のサイバーセキュリティ対策及びインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等を可能な限り平易な表記で記述しています。 企業実務の参考として、効率的・効果的なサイバーセキュリティ対策・法令遵守の促進への一助となれば幸いです。 ※Ver2.0は、令和5年9月に、サイバーセキュリティを取り巻く環境変化、関係法令・ガイドライン等の成立・改正を踏まえ、項目立て・内容の充実、更新を行い改訂されたものです。 Q&Aで取り上げている主なトピックスについて サイバーセキュリティ基本法関連 会社法
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利
汎用ポリシー言語Rego + OPAと認可・検証事例の紹介 / Introduction Rego & OPA for authorization and validation
SSVCを参考にした脆弱性管理について本気出して考えてみている(進行中) - ペネトレーションしのべくん
はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩んでいる人と傷を舐め合いたい あわよくば有識者の目に止まってご意見を賜りたい(辛辣なのはイヤ) SSVCとは? Stakeholder-Specific Vulnerability Categolizationの略。CERT/CCが考案した脆弱性管理手法です。CVSSが「脆弱性の評価手法」であることに対して、SSVCは「脆弱性対応方針の判断手法」であると言えます。 たぶん今一番分かりやすい解説ページ。PWCだいしゅき! www.pwc.com 実際の資料は、CERT/CCのGitHubリ
はじめに 「近々ペネトレーションテストを実施したい!」と思っている会社、たくさんあるんじゃないでしょうか。 そこで質問、 あなたの会社は本当にペネトレーションテストを実施する準備ができていますか? セキュリティをよく考えないまま、監視製品を導入しているだけじゃないですか? はっきりいいます。 基本的なセキュリティ対策を行わないままペネトレーションテストを行なっても、有意義な調査結果は得られません。 せっかく高額な費用を払ってテストをするのであれば、有意義な調査結果を得るためにも、基本的なセキュリティ対策だけでもしっかり事前に実施し、準備を行なった上でテストを依頼すべきです。 対象の読者 企業の情報システム、特にエンタープライズネットワークなど、Windows Active Directoryに関連するネットワークのペネトレーションテストやレッドチーム演習、TLPTの実施を検討している会社の
ATT&CK-like Threat Matrix for CI/CD Pipeline on GitHub: https://github.com/rung/threat-matrix-cicd -------- Place: CODE BLUE 2021 OpenTalks at Tokyo Presenter: Hiroki SUEZAWA (https://www.suezawa.net) Abstract: With the popularization of Dev(Sec)Ops, the CI/CD (Continuous Integration and Delivery) environment is becoming more and more common in modern application development and infrastructure man
東京都千代田区の帝国劇場付近で18歳の女性の姿を勝手に動画に撮り、ユーチューブ上にアップしたとして、警視庁は13日、「私人逮捕系」と呼ばれる職業不詳の杉田一明容疑者(40)=東京都武蔵野市=を名誉毀損(きそん)の疑いで逮捕し、発表した。「はい、理解しました」と供述しているという。 生活安全特別捜査隊によると、杉田容疑者は9月19日ごろ、帝国劇場付近で、携帯電話を使って当時18歳の女性を撮影。女性に「お姉さん、パパ活やってるでしょ」「お金返して8万円俺に」などと告げる動画データをユーチューブ上に掲載して不特定多数が閲覧可能な状態にし、女性の名誉を毀損した疑いがある。 動画では、女性について「転売」「チケット」などと表現していたが、女性はチケットの不正転売に関わっておらず、友人と待ち合わせをしていたという。 プロフィールに「私人逮捕!」 ユーチューブは停止 動画の投稿後、女性が警視庁に「5~6
We value your privacy. We use cookies to enhance your browsing experience, serve personalized content, and analyze our traffic. By clicking "Accept", you consent to our use of cookies. Read More
サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について - JPCERT/CC Eyes
はじめに 先日、JPCERT/CCが事務局として参加した、専門組織同士の情報共有活動の活性化に向けた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の報告書が公開され、関連成果物のパブリックコメントが始まりました。 経済産業省 サイバー攻撃による被害に関する情報共有の促進に向けた検討会 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/cyber_attack/index.html JPCERT/CCはこれまでに下記の取り組みを通じて、情報共有活動の促進に向けたルール整備に取り組んできました。 令和2年度総務省「サイバー攻撃の被害に関する情報の望ましい外部への提供のあり方に係る調査・検討の請負」の調査報告(2021年7月公開)[1] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(2023年3
最新のGoogleオープンソースセキュリティスキャナー「Tsunami」を使って脆弱性診断してみた - GMO Research & AI Tech Blog
こんにちは。GMOリサーチでインフラを担当しているオカモトです。 コロナの影響で引きこもり生活が続く中、皆様いかがお過ごしでしょうか。 今回、Googleが先日公開した「Tsunami」というオープンソースのセキュリティスキャナーを試してみたのでその内容をご紹介します。 1.Tsunamiって何? Tsunamiは、2020年6月18日木曜日(現地時間)にGoogleがオープンソースのプロジェクトとして公開したセキュリティスキャナーです。 GoogleではGKE(Google Kubernetes Engine)を使ってインターネットからアクセスを受けているシステムの脆弱性診断にTsunamiを使っているそうです。 ・Tsunamiのリリースに関する記事は以下のURLから確認できます。 Google Open Source Blog https://opensource.googleblo
脅威モデリングをソリューション化させるまでの歩み | CyberAgent Developers Blog
本記事では、 脅威モデリングの概要と弊社で脅威モデリングをゼロからソリューションとして提供するまでの歩み、それに伴って発生した課題とその対応策の一部についてご紹介いたします。本記事を通じて、脅威モデリングの理解の助け、または実践する際の参考になれば幸いです。 ToC 背景 脅威モデリングについて 知見を整理するまでの歩み まとめ 背景 弊社のシステムセキュリティ推進グループ(以降、部署)は、「セキュリティ維持・向上・事後対応を通じて、サイバーエージェントグループの成長阻害要因となるITセキュリティリスクを排除する」をミッションに据えております。弊社には関連会社にてゲームやブログ、動画配信など多数サービスを有しており、弊部署は横断組織という位置付けから、それら関連会社に対してセキュリティ対応や管理策の設計・運用など日々多数の取り組みを実践しています。 その中で、プロダクトのシステムにおけるリ
本記事は『今日からできるサイバー脅威インテリジェンスの話-導入編-』の続きであり、具体的なサイバー脅威情報の収集方法やプラットフォームについて紹介する記事です。 『サイバー脅威インテリジェンスって何?』という方がいらっしゃれば前の記事を参考にしてください。 Let's CTI 私が個人レベルでやっている CTI の活動を分類してみると、以下の3つの方法になると思います。 無料で利用できるインテリジェンスサービス・データベースを活用する オンラインサンドボックスを活用する SNS や外部のコミュニティを利用する それぞれ長所やカバーできる領域が異なるので、自分の興味や組織の CTI の目的に合わせてどの方法を取るべきか検討してみると良いでしょう。 では、詳細に説明していきます。 1. 無料で利用できるインテリジェンスサービス・データベースを活用する 世の中には優秀なインテリジェンス分析者がた
GitHub - Yamato-Security/hayabusa: Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.
Hayabusa is a Windows event log fast forensics timeline generator and threat hunting tool created by the Yamato Security group in Japan. Hayabusa means "peregrine falcon" in Japanese and was chosen as peregrine falcons are the fastest animal in the world, great at hunting and highly trainable. It is written in Rust and supports multi-threading in order to be as fast as possible. We have provided a
本資料は、Cloud Security Alliance (CSA)が公開している「Cloud Thread Modeling」の日本語訳です。 クラウド脅威モデリングは、クラウドのサービスやアプリケーション固有の品質や考慮事項を説明するため、標準的な脅威モデリング手法を拡張します。クラウド脅威モデリングは、アタックサーフェスの特定及び削減を補い、さまざまなクラウドサービスプロバイダのセキュリティ要件の抽象化を支援し、リスク管理に役立てられます。 こちらからダウンロードしてください。
GitHub - veeral-patel/how-to-secure-anything: How to systematically secure anything: a repository about security engineering
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ふと怪しいサイトを見つけてしまったときに、どのくらい危険かをなんとなく3分くらいで調査する方法です。 本格的な調査の必要があるかどうかの判断材料の一つとして使えると思います。 なお、白の証明をするものではないので、ご注意ください。 役立つケース ネットサーフィンをしていて、いつの間にか変なサイトにアクセスしてしまい、不安になってしまったとき プロキシログを確認すると、見慣れないサイトへのアクセス履歴があり、不安になってしまったとき 活用サイト サイト名 概要 URL
ふと怪しいアクセス元を見つけてしまったときに、どのくらい危険かをなんとなく3分くらいで調査する方法です。 本格的な調査の必要があるかどうかの判断材料の一つとして使えると思います。 なお、白の証明をするものではないので、ご注意ください。 役立つケース サイト運営をしていて、アクセス解析で極端に数の多いアクセスを見つけて、不安になってしまったとき Webサイトのアクセスログを確認すると、不審なリクエストが含まれていて、不安になってしまったとき 活用サイト サイト名 概要 URL
As you might be aware, Twitter recently restricted its free API access, which has affected multiple communities that rely on Twitter’s data, including cvetrends.com I built cvetrends.com so the security community can monitor real-time, trending CVE mentions on Twitter for free. Unfortunately, due to Twitter’s recent API change, the site is currently unable to run. I’m exploring what options, if an
offsec.tools
(Y)et (A)nother (R)obber Yar is a tool for plunderin' organizations, users and/or repositories...
はじめに この記事はシスコの同志による Cisco Systems Japan Advent Calendar 2018 の 18 日目として投稿しました。今年はカレンダーが2つあります!! 2020年版(1枚目): https://qiita.com/advent-calendar/2020/cisco 2020年版(2枚目): https://qiita.com/advent-calendar/2020/cisco2 2017年版: https://qiita.com/advent-calendar/2017/cisco 2018年版: https://qiita.com/advent-calendar/2018/cisco 2019年版: https://qiita.com/advent-calendar/2019/cisco 2020年版: https://qiita.com/ad
GitHub - nomi-sec/PoC-in-GitHub: 📡 PoC auto collect from GitHub. ⚠️ Be careful Malware.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub - kitabisa/teler: Real-time HTTP Intrusion Detection
Important Dear users, We wanted to share some important updates regarding the development of teler IDS. 🛑 The development of teler IDS is currently on hold. However, we're thrilled to inform you that we've decided to take a bold step by embarking on a complete refactor, starting from scratch to enhance the overall development process. 🚀 In parallel, we're actively laying down the roadmap for tel
前回のあらすじ 3年ほど前にAWS上にハニーポット環境を作成しました。 大雑把に説明すると、(主に)AWSのEC2インスタンスあてにどのようなexploitが飛んでくるのか?というのを知るために、 EC2インスタンスに管理用、および観測用のElastic IP addressを設定し、そこでハニーポットを動かす ハニーポットで取得した生データ(pcap)をS3に保存し、Lambdaで分析する 分析結果は CloudWatch Logs Insights で閲覧できるようにする という構成にしていました。これはこれでマネージドサービスを使った面白い構成だったと当時は思っていたのですが、実際に動かしてみるといくつかの課題があり、最終的には運用を止めてしまいました。 前回の課題 1) Elastic IP addressの制限でスケールしにくい EC2は自前で2つ以上のネットワークインターフェー
Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Easily Identify Malicious Servers on the Internet with JARM - Salesforce Engineering Blog
TL;DR JARM is an active Transport Layer Security (TLS) server fingerprinting tool. Scanning with JARM provides the ability to identify and group malicious servers on the Internet. JARM is available here: https://github.com/salesforce/jarm JARM fingerprints can be used to: Quickly verify that all servers in a group have the same TLS configuration.Group disparate servers on the internet by configura
Weak Security Controls and Practices Routinely Exploited for Initial Access | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
GitHub - cipher387/osint_stuff_tool_collection: A collection of several hundred online tools for OSINT
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
A startpage with online resources about Cyber Threat Intelligence, created by infosecn1nja.
GitHub - rung/threat-matrix-cicd: Threat matrix for CI/CD Pipeline
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
OpenCTI とは OpenCTI は、Luatix が開発している Open Cyber Threat Intelligence Platform. Luatix はANSSI/CERT-FR, CERT-EUが founder members になっている非営利組織。Tainum や Thales がスポンサードしている。 STIX2.1 をベースにした Threat Intelligence のナレッジ管理を行うことができる。 (Source: OpenCTI Introduction to the platform & next steps) アーキテクチャ (Source: OpenCTI Introduction to the platform & next steps) ユースケース CERT-EU (Source: OpenCTI Introduction t
Hello there, ('ω')ノ 浸透テストの方法論は、以下のフェーズで。 1.偵察 2.スキャンと列挙 3.脆弱性評価 4.搾取(アクセスの獲得) 5.悪用後(アクセスとピボットの維持) 6.報告 ■報収収集 ・法的な許可の取得。 ・ペネトレーションテストの範囲の定義。 ・検索エンジンを使用して情報収集。 ・Googleハッキングテクニックを実行。 ・ソーシャルネットワーキングWebサイトを使用して情報収集。 ・Webサイトのフットプリントの実行。 ・WHOISの情報収集。 ・ドメインネームシステム(DNS)情報収集。 ・ネットワーク情報の収集。 ・ソーシャルエンジニアリングの実行。 ■ネットワークスキャン ・ネットワーク上でホスト検出。 ・ポートスキャンを実行してサービスを決定。 ・ターゲットオペレーティングシステムとポートのバナーグラブを実行。 ・脆弱性スキャンを実行。 ・ター
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
上司が部下を監視、「絶対やってはいけない」とマイクロソフトが警告
セキュリティ・バイ・デザイン導入指南書 :IPA 独立行政法人 情報処理推進機構
バグバウンティ入門(始め方) - blog of morioka12
関係法令Q&Aハンドブック - NISC
バグハント入門 (OSS編) - blog of morioka12
脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する
Honeypot_on_GCP-20191006.pdf
ペネトレーションテスト実施検討中の企業担当者が実施前に読む記事
Attacking and Securing CI/CD Pipeline
「私人逮捕」系ユーチューバー「煉獄コロアキ」、名誉毀損容疑で逮捕:朝日新聞デジタル
サイバーセキュリティレポート | NTT Security Holdings
今日からできるサイバー脅威インテリジェンスの話-実践編- - NFLabs. エンジニアブログ
翻訳WGが「クラウド脅威モデリング」を公開しました! – csajapan
あやしいサイトの3分調査方法(初心者向け) - Qiita
あやしいアクセス元の3分調査方法(初心者向け) - Qiita
CVE Trends - crowdsourced CVE intel
AWS Lambda で作る無償の脅威インテリジェンスリレーモジュール - Qiita
Microsoft Defender Threat Intelligence
クラウドネイティブハニーポット on AWS 2022春の陣
Cyber Threat Intelligence - start.me
OpenCTI 入門 | ninoseki.github.io
http://www.e-ontap.com/dns/csec87/
ペネトレーションテストのチェックリストを列挙してみた - Shikata Ga Nai
www.tokyo-np.co.jp
renrenno-torizatasokuhou.com
renrenno-torizatasokuhou.com
zenplus.jp
renrenno-torizatasokuhou.com
masahiro3.com