背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS(Exploit Prediction Scoring System)などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO
想定シナリオ 想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。 新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して 脆弱性診断ツールが導入されました。 そして、脆弱性診断で指摘された重要度CRITICAL の指摘事項は 必ず対応しないといけないと定められています。 ある日 特定のEC2インスタンスに対して 重要度CRITICAL の脆弱性 (CVE-XXXX-XXXX ※)が検出されました。 セキュリティエンジニアであるあなたは、脆弱性が検知された EC2インスタンスに対して セキュリティパッチを当てる責任があります。 まずは検証環境のEC2インスタンスを使って、 効率よくセキュリティパッチを当てる方法を探しはじめました。 ※C
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書など | アーカイブ | IPA 独立行政法人 情報処理推進機構
IPAは、「情報システム等の脆弱性情報の取扱いに関する研究会」における2020年度の活動成果として、小規模ウェブサイト運営者の脆弱性対策状況を調査した報告書や、ウェブサイト運営者が取るべき脆弱性対応をとりまとめた「企業ウェブサイトのための脆弱性対応ガイド」改訂版などを公開しました。 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)において、今年度は、小規模ウェブサイト運営者の脆弱性対策状況や課題を踏まえた方策を検討するため、2012年度と同様に小規模ウェブサイト運営者の現状把握のアンケート調査を実施し、2012年度の調査結果との比較考察等を行いました。さらに、調査結果を踏まえて、脆弱性対策の取り組みを促すための資料である、「企業ウェブサイトのための脆弱性対応ガイド」を改訂しました。 また、情報セキュリティ早期警戒パート
CVSSを逆から読むと?脆弱性対応の意思決定に使えるSSVCについて - NTT docomo Business Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2024 14日目の記事です。 脆弱性対応の分野で注目度が高まりつつあるSSVCの概要と、その運用方法について紹介します。 脆弱性対応の課題 公開される脆弱性の増加 実際に悪用される脆弱性は一部に過ぎない 脆弱性の悪用までが高速化 CVSSによる脆弱性のトリアージ SSVCとは SSVCを構成する要素 ステークホルダーのロールの特定 決定すべき優先度(Decision)の特定 Decisionが取りうる値(Outcome)の定義 Outcomeの算出に使う入力の決定(Decision Points) Outcomeの算出方法の決定(Policy) 要素のまとめ 既定のDecision Modelの活用 Deployer Decision Model SSVCの活用 組織に合わせたModelの選択 SSVC運
セキュリティ向上だけではなくエンジニアのキャリアにも好影響がある、脆弱性対応のプロセスを改善する意義
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog LINEの技術組織が取り組んでいる・今後取り組む未解決課題を深堀りするインタビューシリーズ「Unresolved Tech Issue」、今回のテーマは「脆弱性発見の自動化セキュリティチェックツールを開発し、業務効率やシステム品質の向上を目指す」プロジェクトです。 プロダクトセキュリティ室のアプリケーションセキュリティチームは、LINEグループ全体が提供しているサービスのセキュリティを向上させる役割を担っています。もともとこのチームでは、脆弱性を発見するために脆弱性診断ツールを活用したりセキュリティエンジニア自身が各サービスのソースコードを読んだりしていました。 しかし、一般的にツールによる脆弱性の点検は誤検知の問題がつきまと
Log4j 2.14.1の脆弱性対応
Log4j で強めな脆弱性が発見されました。 詳細は省きますが、ある条件可で任意のコードが実行できるような脆弱性です。 mavenのリポジトリによってはまだ2.15.0のバージョンが上がっていないようで、少し手こずったので記事にします。 (2021/12/10 13時時点) ※自分が所属するログラスでも依存しているライブラリでしたが、今はすでに修正とリリースが完了しています。 影響ライブラリと影響バージョンは log4j-api と log4j-core の 2.0 <= Apache log4j2 <= 2.14.1 です。 対応としては 2.15.0 に上げればいいそうです。 しかし、2021/12/10 13時現在Mavenのサイトでは2.15.0が上がっていないように見えます。 しかし、こちらの repo1.maven.orgのリポジトリにはあるそうで、素直に2.15.0を指定すれ
Log4j問題は大したことなかった? 脆弱性対応はスプリント&マラソン? SBOMで解決?――piyokango氏に聞いた
思い返すと、SANS Technology Institute(以下、SANS)の研究者(Johannes Ullrich氏)が、2021年12月にLog4jの脆弱性がいったん落ち着いたタイミングで、「Log4jへの対応はマラソンのようになる。そのように考えよう」とコメントしたことが記憶に残っています。Log4jはライブラリであり、「システムの中のどこで使われているか」を特定することが重要ですが、Log4jが内包されているシステムを漏れなく見つけ出す必要がある場合は時間も相応に要してしまうこともあります。その意味で“マラソン”と表現したのかもしれません。 CISAの注意喚起を見ると、Log4jそのものではなく、その脆弱性を悪用した「VMware Horizon」「VMware Unified Access Gateway(UAG)」への攻撃に警戒せよという内容になっています。これら脆弱性の
Rackの脆弱性対応を! (CVE-2022-44570,CVE-2022-44571,CVE-2022-44572)
2023年1月18日にRuby on Railsの脆弱性[1]とは別にRackの脆弱性が公表されました。 どれもReDoSの問題であり、CVE-2022-44571とCVE-2022-44572は以下の特徴により危険性がとても高いです。 multipartの解析部分での問題であり、数MBの文字列を攻撃に利用可能 RailsがHTTPリクエストを受け付けた際に呼び出される 呼び出しの際に認証が不要 殆どのRailsサーバが影響を受ける CVE-2022-44572は短い文字列で攻撃可能でPoCでは326byteの文字列で0.3秒の実行時間、416byteで22秒でした。1MBを超える文字列が攻撃として送信された場合の実行時間は1日以上になることが予想されます。 Rackのバージョンを2.0.9.2, 2.1.4.2, 2.2.6.2, 3.0.4.1のいずれかに更新することで解決します。[2
セキュリティ関連のニュースを報じる「The Hacker News」は2024年11月26日(現地時間)、Intruder Systemsが脆弱(ぜいじゃく)性対応プラットフォーム「Intel」を公開したと報じた。 Intelは新たな脅威への迅速な対応と脆弱性の優先順位付けを支援する脆弱性インテリジェンスプラットフォームだ。セキュリティ分野でのリソース不足を補うことを目的に開発されており、無償で利用できる。 無料で使える脆弱性対応プラットフォーム「Intel」 その性能とは? 同プラットフォームは過去24時間のトップトレンドの脆弱性情報データベース(CVE)を分析し、それぞれの脆弱性に「ハイプスコア」と呼ばれる100点満点の評価を割り当てる。このスコアは脆弱性の注目度やリスクレベルを可視化する値とされ、セキュリティチームが迅速かつ効果的に対応するための指針となる。 Intelは情報提供だけ
4人のセキュリティー専門家に聞く、脆弱性対応の秘訣
セキュリティーに「絶対大丈夫」はない。そして、企業ごとにシステムやネットワークの構成、事業内容などは様々。1つの脆弱性への対応をとっても、ケース・バイ・ケースで難しい。そんな難しい脆弱性対応で失敗しないためにはどんな策があるか。4人のセキュリティー専門家へのインタビューを掲載する。 佐々木 勇人氏 JPCERTコーディネーションセンター 政策担当部長兼早期警戒グループマネージャー脅威アナリスト 脆弱性の深刻度を測るCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)の値は個別の悪用の蓋然性を正確に示し切れていない課題はあるものの、年間に大量の脆弱性をユーザーがさばかなければならない際の指標にはなる。一定の目安として採用する手はある。 ただ、システムに与える影響は各社で判断するしかない。脆弱性情報を見て理解できるだけの知見が必要なので、ベ
ちょっと雑ですが、npmパッケージのバージョンアップと脆弱性対応の方法をまとめました。これがベストかはわからないけど、一つのやり方として紹介します。 node: v14.15.1 npm: v8.1.3 yarn: v1.22.17 バージョンアップ必要なパッケージを調査 npm-check-updatesをインストール npm install -g npm-check-updates // or yarn add global npm-check-updates バージョンアップが必要なパッケージをリストアップ ncu > @nuxtjs/eslint-config 5.0.0 → 6.0.1 > @nuxtjs/eslint-config-typescript 3.0.0 → 6.0.1 > eslint 7.24.0 → 8.1.0 > eslint-config-prettier
脆弱性対応とKnown Exploited Vulnerability Catalog(KEV Catalog)の考え方 |IssueHunt
世界中のホワイトハッカーたちが、お客様のプロダクトを守ります。成果報酬型でコストパフォーマンス抜群の脆弱性診断。運用サポート付き国産バグバウンティ・プラットフォーム「IssueHunt」が、セキュリティ対策をサポートします。
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国内で「Microsoft Exchange」サーバーを運用していた場合、攻撃者に侵害され、その後知らないうちに米連邦捜査局(FBI)によって問題が緩和されていた可能性がある。 米司法省は米国時間4月13日、FBIに対して、Exchangeの脆弱性を悪用してサーバーに不正にインストールされていたウェブシェルを削除する権限が与えられたことを明らかにした。 米司法省は「感染したシステムの所有者の多くは、数千台のコンピューターからウェブシェルを削除することに成功した。しかし、それを行えないと見られる所有者もおり、数百のウェブシェルが、問題が緩和されないまま残存していた」と述べている。 「今回の措置では、米国のネットワークに対する持続的な不正
安心してデータをやり取りする仕組みが逆にサイバー攻撃の標的になった。38社の日本企業を含む約900社について、社内システムに接続するVPN(仮想私設網)の暗証番号などが流出した。日本企業がテレワークを急拡大する中、セキュリティー対策も一新する必要性が浮かぶ。不正侵入を前提とした「ゼロトラスト」と呼ばれる対策が求められている。【関連記事】テレワーク、VPN暗証番号流出 国内38社に不正接続問題が発覚したのは8月中旬だった。犯罪情報が集まるサイトで、日本企業38社を含む900社超のVPNの暗証番号などがやり取りされている実態が確認された。データ流出にはロシアのハッカーが関与し
発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。 このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。 多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。 本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。 図1.2013年から2022年までの脆弱性数の推移[1] 出所)NVD[2]のCVSS Severity Distribution Ov
「ランサムウエアで攻撃側のパラダイムシフトが起きた。攻撃者にとって価値がないシステムやデータでも、企業にとって必要なら人質に取って金銭に換えられる。これまで狙われるはずがなかったシステムやデータが狙われるようになった」――。JPCERTコーディネーションセンター(JPCERT/CC)の佐々木勇人政策担当部長兼早期警戒グループマネージャー脅威アナリストは苦い顔をする。 どの規模の企業・団体も攻撃者の標的となる今、脆弱性を放置していれば痛い目に遭うことは明らかだ。しかも攻撃のスピードが増しているため、たった数日間対処しなかっただけで大きな被害を受ける可能性がある。脆弱性に速やかに対応するには、いち早く脆弱性情報を把握し、緊急対応が必要だと分かったときに素早く対処することだ。そのためには、事前の準備が重要になってくる。 対応チームに責任者が必要 まずは、脆弱性に素早く対応するためにどんな準備をし
クレジットカード情報の漏洩や不正利用が年々増加する中、ECサイト事業者やクレジットカード会社はセキュリティー対策のより一層の強化を求められている。ECサイト利用者も被害に遭わないためにセキュリティー意識を高めた行動をとり、不正利用対策を用意したクレジットカードサービスの利用を検討してほしい。 クレジット取引セキュリティ対策協議会が2025年3月5日、「クレジットカード・セキュリティガイドライン」の6.0版を公開した。クレジットカード会社や、EC(電子商取引)サイトを含むクレジットカードを利用できる店舗(加盟店)、決済サービス事業者(PSP:Payment Service Provider)などを対象に、クレジットカードに関連する事故や不正利用を防止するための指針を示したもの。経済産業省は割賦販売法におけるセキュリティー対策義務の「実務上の指針」と説明している。 6.0版では、ECサイトから
脆弱性対応は“ヒント”を見逃すな! サポート終了後のセキュリティパッチ提供が意味することとは:半径300メートルのIT アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。 Appleは2023年4月10日(現地時間)、「macOS Big Sur 11.7.6」にセキュリティアップデートを発表し、脆弱(ぜいじゃく)性「CVE-2023-28206」を修正しました。同脆弱性について同社はプレスリリース内で「カーネル権限で任意のコードを実行できる可能性がある。Appleは脆弱性が悪用された可能性があるという報告を把握しています」としています。macOSを利用している方は、おそらく自動更新が行われていると思いますが、この修正が適用されているかどうか、いま一度ご確認ください。
■ はじめに みなさんは自分の関わっているプロジェクトにおけるnpm packageの脆弱性対応をしたことがありますでしょうか? 今回、npm auditを利用して脆弱性対応をした内容をもとにnpm packageの脆弱性対応方法と対応手順をまとめてみました。 npm packageの脆弱性ってなに? npm auditってなに? npm audit fix --forceをやっても脆弱性が消えなかった ライブラリとかpackageの依存関係てなに? 上記に当てはまる人にとっては読む価値のある内容になっていると思います! それではいってみましょう! ■ そもそも脆弱性とは ソフトウェアにおける脆弱性(ぜいじゃくせい)とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。 この情報セキュリティ上の欠陥が存在すると、悪意ある人に勝手にプログラムを
【脆弱性対応】AWS Systems Manager Patch Manager を使ったパッチ戦略の例 | DevelopersIO
AWS Systems Manager(SSM) Patch Manager を使ってパッチ適用を自動化できます。 本ブログでは Patch Manager で実現できるパッチ戦略の例をいくつか紹介します。 Patch Manager でできることをざっくりと理解してもらえると幸いです。 ※そもそも Patch Manager って何?深堀りしたい方は以下ブログを是非御覧ください。 【AWS Systems Manager】パッチマネージャー実行時の関連リソースを、絵で見て(完全に)理解する。 | DevelopersIO 【AWS Systems Manager】パッチマネージャーの パッチベースライン と パッチグループ の概念を勉強する | DevelopersIO <<2021/06/24追記>> 実際の実装例を以下ブログにまとめています。 想定環境 以下想定するAWS環境です。
DevelopersIO Sapporo 2022 が開催され、久々のオフラインイベントが有りました。 その中でここ最近ライフワークのようになっていた、Spring, Tomcat 等の脆弱性対応について話してきました。 時間に対して資料がオーバーしていたため、共有できなかったURLをいくつか追記します。またコードについての解説も全くしていなかったのでそこもリンクを追記します。 時間がなかった参照リンク Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 cve-2022-22965 Spring4Shell の影響調査 Tomcat の修正 Commit を読んで理解する CVE-2021-43980 piyolog - Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた JVNVU#94675398 Spring Frameworkにお
はじめに セキュアスカイ・テクノロジー(以下、SST)、システム&セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内(いわゆる情シスの視点)で実施している対応の一部を可能な範囲でご紹介します。 https://www.jpcert.or.jp/at/2021/at210050.html SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当(や情報システム担当)が自社でどのような対応を実施しているか(執筆時点でも継続対応中のため、途中経過として)をご紹介することで、同様の立場で本脆弱性の対応をしている
サイバー攻撃が激化する昨今、自社のシステムに深刻な脆弱(ぜいじゃく)性が発覚したら速やかに対処することが企業には求められる。しかし社内体制やルール、システム環境などさまざまな要因からそう簡単にいかないのが実情だ。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」で、Armorisのマネジャーであり、金融ISACの事務局でも活動する宮内雄太氏が登壇。「クイズ! この状況で、あなたならどうする?~脆弱性対応編~」と題し、インシデントの再現動画を基にしたクイズ形式のセキュリティ演習から、参加者一人一人に「もしもあなたならどうする?」と呼びかけた。 インシデント対応に「正解」なし 演習で「考える力」を学ぼう 宮内氏は、金融業界のサイバーセキュリティにおける「共助」の実現に向けて活動しているコミュニティーである金融ISACと、サイバーセキュリティ関
「手足であれば、殴られると痛みは感じるものの全身にダメージが生じるわけではありません。しかし顔や頭に同じ圧を受けたとしたら、大きな影響が生じる恐れがあるでしょう。もともとかよわく、かつ攻撃に弱いため、被害を受けると予想以上に破壊的な影響を受けてしまう、それを脆弱性と呼ぶわけです」(岡田氏)。 これをITシステムの世界に適用すると、「特に弱い状態になっていて、攻撃を受けるとシステム全体に破壊的な影響を受けたり、予想以上に影響が長引いたりすること」(岡田氏)が、脆弱性ということになる。 ソフトウェア化された世界ではアップデートだけが脆弱性対策ではない ITシステムが非常に複雑化した今、スマートフォンやスマートスピーカーが当たり前のように生活空間の中にあり、われわれが意識せずともさまざまなデバイスやソフトウェアが動いている。また、今やクラウドプラットフォームを抜きにしたIT社会は考えられず、アプ
EC2の脆弱性対応で何が使える? Inspector や SSM あたりを整理する #nakanoshima_dev
EC2の脆弱性対応で何が使える? Inspector や SSM あたりを整理する #nakanoshima_dev
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由:ランサムウェア被害対応の専門家とpiyokango氏が議論 ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。 どのような企業や組織でも、ランサムウェア感染をはじめとするセキュリティインシデントに遭遇しないに越したことはない。だが現実に、絶対にインシデントに遭わないようにすることは不可能だ。 そんなセキュリティインシデント発生時に被害を最小化し、できる限り早く元の状態に復帰させるプロセスが「インシデントレスポンス」だ。当初は組織作りや対応プロセスにフォーカスされていたが、最近は「脆弱
IPAでは、2004年7月よりソフトウェア製品やウェブアプリケーション等における脆弱性関連情報の届出受付業務を担い、これまでに累計1万6225件の届出を受けてきた。そのうち、ウェブサイトに関する届出が全体の約7割を占める。IPAは受け取った情報に関してウェブサイト運営者に通知し修正を促しているものの、小規模ウェブサイト運営者においては脆弱性への修正対応がなされないケースも多く、脆弱性対策を進める上で課題となっていた。 このため、IPAでは2020年12月に、小規模ウェブサイト運営者301社から脆弱性対処の現状に関するアンケート結果を回収し、2012年度に行った調査との経年比較や課題の抽出、課題への対処方法の検討を行った。 アンケート調査の結果、ウェブサイトの重要性が高まるなか、この10年程度のセキュリティ対策コストは変わっていないこと、脆弱性対策を進める上での課題として、技術の習得や情報の
Picus Security発表:「露出検証」で脆弱性対応を90%効率化 ─ Gartner推奨のCTEMアプローチとは - イノベトピア
Last Updated on 2024-10-30 18:57 by TaTsu Picus Securityの共同創設者兼研究部門副社長であるDr. Suleyman Ozarslanが、サイバーセキュリティにおける「露出検証(Exposure Validation)」の重要性について解説する記事を発表した。 この手法は以下の特徴を持つ: 脆弱性の中から実際に脅威となるものだけを特定し、対処する 自動化されたツールにより、数千の脆弱性を迅速に検証可能 既存のセキュリティ対策で防御できる脆弱性を除外する 具体例として、ある金融サービス企業では1,000個の脆弱性のうち、検証の結果90%が既存の対策(NGFW、IPS、EDR)で防御可能であることが判明し、実際に対処が必要な重大な脆弱性は100個のみだったことが報告された。 この手法は、Gartnerが2024年の戦略的ロードマップで提唱す
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの松本です。本記事では、米国の政府機関CISA(Cybersecurity&Infrastructure Security Agency)が公開しているKnown Exploited Vulnerabilities catalog [1](以降KEV)について解説します。
システム管理者が常に頭を悩ませる問題として、セキュリティ対策は外せないでしょう。日々発表される脆弱(ぜいじゃく)性情報の中に、ゼロデイ脆弱性が存在すると速やかな対応を進める必要がでてきます。こうした脆弱性に対してシステム管理者の皆さまは常にセキュリティ対策が実施できるよう備えているでしょう。 しかし、いざ対策を実施するにしても、現在管理しているシステムが脆弱性の影響を受けるバージョンかどうかを確認するために、利用中のバージョンを確認する作業が伴います。確認する対象のシステム数が多ければ多いほど確認にかける時間は膨大なものとなりますし、対策を実施する時間も必要です。 今回は、このような場面においてAnsibleを利用し、複数のシステムに対するバージョンチェックや脆弱性対策を一度に実行する方法を紹介します。 Ansibleでバージョンチェックをする方法 脆弱性対応を始めるに当たり、まずは管理対
脆弱性対応の課題に挑む次の手とは
企業がセキュリティ対策をすべきITシステムやサービスは多岐にわたり、対応に苦慮するところは多い。サイバー攻撃による被害を減らすために、資産の把握や脆弱性の管理は不可欠だ。人材不足で手が回らない企業もある中、どのように対応するのが良いのだろうか。 日本企業が直面するセキュリティ対策の課題 コロナ禍を経て、多くの企業がテレワークに対応した。多様な環境からITシステムやサービスを利用するようになった結果、企業が対応すべきセキュリティ対策のスコープは拡大している。企業は、エンドポイントセキュリティやゼロトラストネットワークなどでセキュリティを強化し、こうした状況に対処している。 一方、サイバー攻撃は増加し続けている。例えば、ランサムウェアにおいては“攻撃の分業化”が進んでおり、その危険性は増すばかりだ。SBテクノロジーの金澤謙悟氏(執行役員サービス統括 セキュリティ&テクノロジー本部 本部長 兼
株式会社網屋主催のイベント「Security BLAZE 2024」において、SBテクノロジー株式会社のプリンシパルセキュリティリサーチャーである辻伸弘氏が、セキュリティ対策の具体的な方法について解説しました。Attack Surface Management(ASM)という攻撃対象領域の継続的な管理手法と、脆弱性対応における新しい優先順位の考え方を中心にKEV(Known Exploited Vulnerabilities)を活用した現実的な対策方法を提示しながら、「完璧でなくても諦めない」という姿勢の重要性を説明しました。 悪用されやすい設定ミスの事例辻伸弘氏:ここから守っていく話に入ろうかなと思っているんですが。まず唐突ですが、事例を2つ用意してきたので、その2つを見ていただきたいなと思います。 まず1つめ。これけっこう最近ですよね。2024年7月10日、税理士法人高野総合会計事務所
「Samba」に深刻な脆弱性--対応パッチをリリース
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Samba」の4.13.17より前のすべてのバージョンに存在する脆弱性が修正された。ヒープ領域外へのリード/ライトを可能にするこの脆弱性が悪用された場合、遠隔地からroot権限でのコードの実行が可能になる。 Sambaチームはそのセキュリティ通知ページに「この脆弱性は、『smbd』内でファイルをオープンする際のEAメタデータの解釈処理内に存在している。この脆弱性を悪用するには、ファイルの拡張属性に対する書き込みアクセス権限を有するユーザーによるアクセスが必要になる」と記している。 そして同チームは続けて「ファイルの拡張属性に対する書き込みが許可されていれば、ゲストや認証されていないユーザーであっても攻撃が可能になる」と記している。 D
JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構が運営する脆弱性情報データベース「JVN(Japan Vulnerability Notes)」に2025年4月18日、クオリティアのメールソフト「Active! mail」の脆弱性が掲載された。これを把握したGMOグローバルサイン・ホールディングスは、同社が提供するActive! mailを利用したサービスを翌営業日には停止させ、すぐに脆弱性を修正した。しかし、サービスの再開までに18日間を要した。なぜ18日もかかったのか、脆弱性対応の舞台裏を見ていこう。 「脆弱性の存在を把握したのは、4月18日午前11時50分に届いたJPCERT/CCからのメールがきっかけだった」――GMOグローバルサイン・ホールディングスの佐藤俊成CISO最高情報セキュリティ責任者情報セキュリティ対策室室長はこう振り返る。同社はわずか7分
任天堂は2022年7月20日、ゲーム機「Wii」「ニンテンドーDS」向けに発売したネットワーク機器「ニンテンドーWi-Fi USBコネクタ(NTR-010)」と「ニンテンドーWi-Fiネットワークアダプタ(WAP-001)」の使用中止を求める注意喚起を出した。両製品には脆弱性があり、使用を継続すれば通信データの改ざんや漏洩といった被害に遭う可能性があるという。NTR-010は2005年、WAP-001は2008年に発売され、2013年までに出荷を完了し、両製品ともサポートが終了している。 NTR-010が採用する暗号化方式「WEP(Wired Equivalent Privacy)」には、第三者により短時間で暗号が解読される脆弱性が見つかっている。一方、WAP-001は通信データを暗号化しなかったり、WEPを使ったりして通信する設定になっているという。このため、通信データの改ざんや漏洩とい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
安全なウェブサイト運営にむけて ~企業ウェブサイトのための脆弱性対応ガイド~ / 2021年3月 独立行政法人情報処理推進機構
脆弱性対応を「攻撃可能性」の観点で優先順位付けした場合はどうなる?【海外セキュリティ】
無償で使える脆弱性対応プラットフォーム「Intel」が登場 その性能とは?
npm パッケージのバージョンアップと脆弱性対応 – rinoguchi's techlog
Intel、内蔵GPUドライバなどに脆弱性。対応パッチを公開
FBI、「Exchange」の脆弱性対応で米国内サーバーのウェブシェルを強制除去
VPN脆弱性対応、日本企業に隙 「ゼロトラスト」不可欠 暗証番号など流出 - 日本経済新聞
CVSSに代わる脆弱性の評価手法「SSVC」とは|迅速な脆弱性対応を目指して
無理なく始める脆弱性対応の「松竹梅」プラン、事前準備が重要
クレジットカードの最新ガイドラインに学ぶ、サイトの脆弱性対応と不正ログイン対策
脆弱性対応は“ヒント”を見逃すな! サポート終了後のセキュリティパッチ提供が意味することとは
【npm audit】npm package の脆弱性対応してますか?
脆弱性対応どうやってたかについて話してきました #devio2022 | DevelopersIO
セキュアスカイ・テクノロジー情シスのLog4j脆弱性対応(進行中) - セキュアスカイプラス
脆弱性対応と社長命令の板挟み――情シスに明日はくるのか?
脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
IPA、「企業ウェブサイトのための脆弱性対応ガイド」を8年ぶりに改訂
脆弱性対応の判断に有効なKEV(Known Exploited Vulnerabilities catalog)の解説
Ansibleを使って複数サーバのセキュリティチェックと脆弱性対応を進める方法
"危険度"だけで判断してはいけない KEVを活用した脆弱性対応の新常識 | ログミーBusiness
白”雪姫” on X: "一応、セキュリティ担当としておおっぴらには言ってないことなんだけどたまにはきちんと言おうかな。 今回のSSHの件然り、カドカワの情報漏洩然りなんだけど、 1:定期的に脆弱性対応してましたか?"
GMOグローバルサインが脆弱性対応の舞台裏を明かす、やむなく18日間サービス停止
任天堂が旧製品の使用中止を呼びかけ、家庭向け製品の脆弱性対応に課題