「ツールを使わなければならない」は誤解、SBOM導入で取り組むべき2つのこと
近年、様々な業界でSBOM(Software Bill of Materials、エスボム)を活用したリスク管理を義務付ける動きが広がっており、企業は対応を迫られている。順調にSBOM導入を進めている企業もある一方、足踏みしている企業には、どのような課題があるのだろうか。本稿では、企業におけるSBOM導入の課題とその解消法について考察する。さらに、これからSBOMを導入する企業に向けて、「しておかなければいけないこと」と「やらなくていいこと」を具体的に説明する。 SBOMを導入していない企業であっても、製品のセキュリティー脆弱性への対処やライセンス管理はしていたはずだ。SBOMの出現により、その手法が明確に定義され、ツールによる管理や運用が可能になったに過ぎない。にもかかわらず、多くの企業でSBOM導入が進んでいないのはなぜだろうか。 まず考えられる理由は「SBOMというもの」を新たに行お
経産省の本気が見える「SBOM導入の手引きver2.0」、ソフト調達・取引の指針に
米国大統領令や日米豪印4カ国の枠組み「Quad(クアッド)」による共同原則、欧州サイバーレジリエンス法など、世界各国でSBOM(Software Bill of Materials、エスボム)対応の制度化が進む。日本もSBOMを国際標準戦略の一環と位置付け、普及を促進している。経済産業省は、2024年8月29日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を更新し、ver2.0を公開した。産業界におけるSBOMのさらなる活用をめざした具体的な手法などを追加している。 SBOMとは、ソフトウエアの構成要素とそれらの関係性を把握する、ソフトウエア管理の手法のこと。経産省の手引きは、付録を含めると約160ページに上る。特にver2.0で加わった内容は専門的であり、SBOM初心者には難しく感じられるかもしれない。 しかし、ここまで具
Excelの空白セル、飛び飛びでも同じ値を同時入力・強調表示も一発適用
空白セルに同じ値を瞬時に入力する 空白セルに同じ値を瞬時に入力する場合、値を入力する前にまず空白セルをすべて選択する必要がある。離れた箇所にあるセルを同時に選択する場合、[Ctrl]キーを押しながらマウスをクリックまたはドラッグする。 しかしながら選択する箇所が多いほど時間と手間がかかるので、今回は別の方法を利用しよう。B2:F7を選択したら、「ホーム」タブの「検索と選択」ボタンから「条件を選択してジャンプ」を選ぶ。
広がるLLM活用、NISTのフレームワークがセキュリティーリスク管理の一助に
日々驚異的なスピードで進化し、企業での利用が進んでいる大規模言語モデル(LLM)。生成AI(人工知能)利用の勢いは止まらないとの調査もある。米Gartner(ガートナー)が2023年10月に発表した「生成AIのハイプ・サイクル:2023年」では、「2026年までに80%以上の企業が生成AIのAPI(アプリケーション・プログラミング・インターフェース)やモデルを使用して、生成AIに対応したアプリケーションを本稼働する」としている。 LLMの使い方を模索する企業が増えるのに伴い、LLMのセキュリティーリスクに関する研究も世界中で進んできた。その結果、LLMを組み込んだアプリやシステムには様々なリスクが内在することが判明している。どんなリスクがあり、どう対策すべきか見ていこう。 OWASPはLLMの10大リスクを説明 まずLLMのリスクには具体的などんなものがあるのか。リスクを体系的に整理したも
NRIセキュアが生成AIアプリの脆弱性診断、2段階の疑似攻撃で
生成AI(人工知能)の活用が進むなか、それを利用したアプリケーションの脆弱性を突く攻撃への懸念が高まってきた。例えば、生成AIが回答出力のよりどころとする大規模言語モデル(LLM)に意地悪な質問を投げかけて、不適切な回答を引き出すといった攻撃だ。こうした攻撃への脆弱性の有無を診断するサービスをNRIセキュアが提供開始した。その仕組みを見ていこう。 NRIセキュアの診断サービス「AI Red Team」は、チャットボットやBIツールなど、LLMを組み込んだアプリが対象だ。LLM単体と、LLMを組み込んだアプリ全体という2段階で脆弱性を診断する。まずLLMに対して指示を与えるプロンプトを利用し、LLMに対して様々な疑似攻撃を実行する。仮にある攻撃プロンプトに対する出力内容に社外秘の情報を含むなど脆弱性のリスクがあると判断した場合、当該の攻撃を実際のアプリに仕掛け出力を制限する仕組みがあるかどう
GPT-4が脅威分析し「パワポ1枚」で報告、マイクロソフトがSecurity Copilot公開
米Microsoft(マイクロソフト)は2023年3月28日(米国時間)に開催した自社イベント「Microsoft Secure」で、米OpenAI(オープンAI)の大規模言語モデル(LLM)「GPT-4」を活用したセキュリティー分析ツール「Microsoft Security Copilot」を発表した。現在はプレビュー版を公開する。このツールで何ができるのか、マイクロソフトが示した実例に基づき解説しよう。 Security Copilotは、セキュリティー担当者が社内外で発生したセキュリティーインシデントなどについて自然言語で質問をすると、GPT-4ベースのAI(人工知能)がセキュリティーログなどのデータを分析して、攻撃の実態や対処方法などをテキストや図、PowerPointのスライドなどで返答するツールである。 Security Copilotは、マイクロソフトのSIEM(セキュリテ
富山大を誰が襲ったのか、民間で進むサイバー攻撃の全容解明
「この攻撃は中国とは別のグループからと思われます。マルウエア(悪意のあるプログラム)の特徴が違っています。このキャンペーン(関連性のある一連の攻撃活動)では最近、大学とメディアを狙っていると分析しています」――。 2016年10月10日朝、あるセキュリティ技術者からこんなメールが届いた。3連休の3日目、すっかり気が抜けて遅めの朝を過ごしていた筆者には、何のことか分からなかった。 この日、読売新聞が朝刊1面で富山大学がサイバー攻撃の被害に遭ったニュースを報じていた。三重水素(トリチウム)など放射性物質を研究する同大の水素同位体科学研究センターが2015年11月に標的型攻撃に遭い、東京電力福島第一原発の汚染水処理に関する研究成果や約1490人分の個人情報などが外部流出した恐れがある、というものだ。攻撃者は1000個以上の圧縮ファイルを作り、外部と大量のデータを通信したとした。 10日、富山大は
Windows 10 Anniversary Update「Red Stone 1」は何が変わるのか(前編)
マイクロソフトは、現行のWindows 10 バージョン1511(開発コード名はTH2)に対し、2016年夏に「Anniversary Update」を行うことを発表している。既にこのアップデートは、「RS1(Red Stone 1)」と呼ばれる開発コード名(ビルドに対するコード名)で知られていたもの。今回は、各種の情報や現行のWindows Insider Preview(以下WIPと略す)版などから、RS1の概要を解説する。 Windows 10のバージョンとOSビルド 最初に、Windows 10のバージョンを整理しておく。最初のWindows 10(従来の言い方ではRTM)は、現在ではバージョン1507と呼ばれている。その後登場した2015年11月のアップデートは、バージョン1511と呼ばれる。これらは、それぞれ開発コード名としてTH1、TH2という名称を持つ。THは、「Thres
世界初の資格化を目指す、「脆弱性診断士」の取り組みが始まる
近年、広く使われているソフトウエアやWebサイトなどに相次いで脆弱性が見つかり、サイバー攻撃に悪用されている。このため、脆弱性の有無を診断して適切に対応できる技術者のニーズは高まる一方だ。 そこで、セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。将来的には、脆弱性診断士の資格化も目指す。取り組みの第一弾が、2014年12月末に公開した「脆弱性診断士(Webアプリケーション)スキルマップ」である(図1)。 一般的に、脆弱性を診断する技術者には多岐にわたるスキルが要求される。ソフトウエアやネットワークに関する基本的な知識を備えているのはもちろん、脆弱性診断ツールの使用方法や、最新の攻撃手法などにも精通している必要がある。 だが、脆弱性診断に携わる技術者が保有すべきスキルについて、ベンダーなどの関係者の間でコンセンサス
SQL Server 2008はデータ型に大変更あり(1)
Visual Studio 2008 SP1の大きな特徴の一つは,マイクロソフトのリレーショナル・データベース管理システムの新版「SQL Server 2008」に対応したことだ。SQL Server 2008の新機能はたくさんあるが,何より注目すべき点は,新しいデータ型だろう。日付と時刻を扱うデータ型が新しくなったので,テーブルの定義をするときから,データベース・アプリケーションのコーディングをするところまで,その影響は大きい。 表1は前バージョンであるSQL Server 2005の日付と時刻に関するデータ型だ。datetimeとsmalldatetimeの二つがあるが,データ長が短いため,格納できる範囲や,精度の面では難しい面があると言える。SQL Server 2008では,表2に示したように,date,time,datetime2,datetimeoffsetという,日付と時刻に
セキュリティフライデー、Windowsネット可視化ツール新版「VISUACT3」を発表
アズビルセキュリティフライデーは2014年11月17日、社内ネットワークを流れるWindows特有のパケットをモニタリングし、可視化するためのネットワークセンサー「VISUACT3」(写真)を発表した。11月25日に発売する。 VISUACT3をインストールしたモニタリング用PCを、LANスイッチ(L2スイッチ)のミラーポートなど経由で監視対象となるセグメントやサーバーに接続。流れるパケットをリアルタイムにキャプチャして分析・可視化する。 可視化対象となるWindowsプロトコルは、Windowsファイル共有(SMB)、認証(Active Directory)、管理アクセス(WMI)、アプリケーション連携(DCOM)、リモートサービス(MSRPC)の5種類。ファイルサーバー監視向けツールだった前バージョン(VISUACT2)ではSMBのみをサポートしていたが、サポートプロトコルを大幅に増や
Googleとアドビが作った無料のフォント「源ノ角ゴシック」を使ってみよう
読者のみなさん、少々、お休みしてましたが、Google探検隊を再開します。さて、1回目はフォントの話をしよう。 Googleがアドビと共同してオープンソースのOpenTypeフォントを作った。中国語、日本語、韓国語に対応している(各国の頭文字をとってCJKフォントと呼ばれる)。 中国語や日本語は漢字文化である。字体の多さを想像してほしい。文字をひとつひとつデザインしていくのは気の遠くなる作業だ。実際、3年以上の開発期間がかかっている。 アドビはこのフォントをSource Han Sansと呼び、GoogleはNoto Sans CJKと呼んでいる。和名は「源ノ角ゴシック」。 まずはどんな文字か、見てもらおう。
HPのThe Machineは本当にスゴイのか?「メモリスタ」からひも解く
ご存じの方も多いかもしれないが、先日、米ヒューレット・パッカード(HP)が「The Machine」なる構想を鳴り物入りで発表した。 The Machineは、次世代のコンピュータアーキテクチャーに関するプロジェクトだ。2014年6月、米国ラスベガスで開催した自社イベント「HP Discover Las Vegas 2014」において、同社CTO兼Director of HP LabsのMartin Fink氏が登壇し、概要を発表した。現在のコンピュータアーキテクチャーを一新するとの目標を掲げた壮大なプロジェクトだ。 とどまるところを知らない計算能力向上やストレージ容量増大のニーズに応えるには、現在のコンピュータアーキテクチャーでは早晩、対応できなくなるというのがHPの主張。2012年にプロジェクトをスタートし、現在ではHP Labsの研究者の7割が、このThe Machineに関連した研
第1回 狙われるオフィス機器、サーバー機能が脅威の温床に
組織のネットワーク内には様々なオフィス機器が存在する。複合機などの大型の機器やウェブカメラのような小型の機器も、ネットワーク上は1台1台がサーバーとして機能している。そのため、業務用のウェブサーバーやPCなどと同様に、オフィス機器も導入前に機能や動作を理解した上で、ネットワークに接続する必要がある(図1)。 オフィス機器のサーバー機能に注意 オフィス機器には、ウェブサーバーやPCと同様に、LinuxやBSD系UNIX、WindowsなどのOSが、カスタマイズされて搭載されており、そのOS上でサーバーアプリケーションが稼動している。 多くの機器では、機器の設定変更を行うインタフェースとしてウェブサーバー機能が搭載されている。その他にファイル共有サーバー機能(FTP、SMB)、メールサーバー機能を搭載する機器も存在している。これらの機能を利用して、ブラウザー経由での設定変更や、オフィス機器で処
話題の新型電池「battenice」の正体
日本マイクロニクスは、グエラテクノロジー(本社神戸市)と共同で、新原理による二次電池「battenice」の量産化技術の開発に成功した。化学電池ではなく量子技術を用いた物理電池に分類されるもので、試作した100mm角、厚さ11μmのシート状電池では、単3形乾電池2本(直列接続)で約1分充電することで、小型のモータによってファンを1分以上回せる性能を実現している(図、「【動画で見る】これが新原理2次電池「battenice」のデモの様子だ」参照)。しかも、ファンの回転数はほぼ一定であり、放電特性は電気ニ重層キャパシタのように電圧が放電に応じて比例的に下がるのではなく、化学電池のように一定電圧を維持する。 同社によれば、電圧が1.5Vでエネルギー密度が500Wh/L、出力密度が8000W/L、サイクル寿命(初期容量の90%以上の容量保持)が10万回、動作温度範囲が-25~+85℃を実現できると
スマホアプリ版母子手帳で妊婦の不安解消、生涯健康データ蓄積のきっかけにも
2013年10月18日と19日の2日間香川県高松市で開催された第17回日本遠隔医療学会学術大会で、NTT東日本関東病院の産婦人科主任医長である杉田匡聡氏が、スマートフォンで利用するアプリ「妊婦手帳」(仮称)に関する発表を行った(写真1)。 このアプリは、NTT東日本関東病院産婦人科とNTTドコモ、博報堂、博報堂DYメディアパートナーズで共同開発した。まず4者が協力して、公募に応じた妊婦や分娩経験者に聞き取り調査を実施。その後病院内で実証実験を行った。 杉田氏は「当院の倫理委員会の承認を受けた上で、このアプリをインストールしたスマートフォンを31人の妊婦に2か月間貸し出した」と説明。アプリの機能は、毎日更新される(1)妊娠週数カウンターと(2)胎児の睡眠リズムなどを知らせるToday's Baby、毎週更新される(3)よくあるQ&A集、(4)病院からの宿題などの形で提案されるTo Doリスト
NRIセキュア、実際にパソコンを攻撃して脆弱性を報告するSIサービスを開始
NRIセキュアテクノロジーズは2013年10月8日、社員のパソコンや業務サーバーなどにセキュリティ上の脆弱性があるかどうかを調査し、診断書にまとめて報告するSIサービス「エンドポイントセキュリティ診断」を発表、同日提供を開始した。机上評価に加えて、実際に攻撃を試行することで、セキュリティー対策の盲点を指摘する。 机上評価と実機評価を組み合わせて、エンドポイント(Wndows/Android/iOS)のセキュリティ上の脆弱性を評価する。調査前のヒアリングから調査後の評価報告(評価報告書の作成/提出と報告会の実施)までを含む。想定するユースケースは、クライアントPCのリプレースにおけるセキュリティ対策の妥当性診断や、新規に導入したセキュリティ対策製品の有効性評価、など。 料金は個別見積もりだが、Active Directory環境下で同一設定のクライアントパソコン(Windows 7)を調査す
第3回 脆弱性の悪用を防ぐEMET、検証でわかるその有用性
前回は、クライアントソフトウエアの脆弱性への有効な対応方法について紹介した。今回は、対策情報が通常のサイクルに沿って対応できないケース(課題)で脆弱性への攻撃を緩和するEMETとその有効性を解説する。 脆弱性を突く攻撃の緩和に強みを発揮するEMET EMETは、Enhanced Mitigation Experience Toolkitの略称で、Microsoft社が無償で提供しているツールである。ソフトウエアの脆弱性が悪用されることを防止するユーティリティとなっており、攻撃を軽減する対象を設定することで脆弱性を悪用した攻撃からPCを保護し、脆弱性の悪用を可能な限り困難にするように機能する。専用の画面からどの軽減機能を有効にするのか、どのアプリケーションをチェック対象にするのかといった設定ができる(図1)。 脆弱性を悪用した攻撃を緩和するために、EMETには多くの機能が実装されている。特に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフト開発だけじゃない、日常業務に役立つVSCode活用術
悪質化する攻撃に専門技術者の連携で対抗、ラックがセキュリティ研究組織を強化