NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために

NSA and CISA share tips to secure the software supply chain

2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障シdesuステムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。

Continue reading “NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために”

CISO として考えるべき脅威検知の視点:7つの質問を用意してみた

7 threat detection challenges CISOs face and what they can do about it

2022/05/05 HelpNetSecurity — セキュリティ運用 (SecOps) チームは、新たな攻撃やマルウェアの亜種の氾濫に、さらされ続けている。最近の AV-TEST 調査によると、2021年だけで 1億7000万以上の新しいマルウェア亜種が存在している。その結果として、CISO とチームが、これらの新たな脅威を特定し、阻止するための負担は、かつてないほど高まっている。しかし、それを行おうとすると、スキル不足/データの相関関係の特定 (手作業)/誤検出の追及/長時間の調査といった、さまざまな課題に直面する。この記事では、CISO が直面している脅威検知プログラムの課題を探り、セキュリティ運用を改善するためのヒントを紹介したいと思う。

Continue reading “CISO として考えるべき脅威検知の視点:7つの質問を用意してみた”

Composer などのパッケージ・マネージャに脆弱性:開発者を狙う攻撃ベクター

Multiple Security Flaws Discovered in Popular Software Package Managers

2022/03/11 TheHackerNews — 一般的なパッケージ・マネージャには、複数のセキュリティ脆弱性が存在している。それらが悪用されると、侵入されたマシンでの任意のコード実行や、ソースコードやアクセストークンなどの機密情報へのアクセスを許してしまう可能性がある。つまり、この種のパッケージ・マネージャを取り扱う開発者は、いずれを使うにしても、悪意の影響を受けることに留意する必要がある。

Continue reading “Composer などのパッケージ・マネージャに脆弱性:開発者を狙う攻撃ベクター”

Salt Security の調査:API の広大な攻撃面積を保護するためには?

Salt Security Survey Surfaces API Security Weaknesses

2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ/アプリケーション/DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。

Continue reading “Salt Security の調査:API の広大な攻撃面積を保護するためには?”

脆弱性スキャンの現状:対象は3倍になり頻度は 20倍になっている

Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws

2022/02/09 DarkReading — Veracode の最新レポート State of Software Security によると、10年前との比較において企業は、アプリケーション・セキュリティ・テストの頻度を高めており、スキャンの対象となるアプリケーション数は3倍に、また、アプリケーションごとのスキャン回数は20倍になっている。

Veracode は、DevSecOps と呼ばれる文化的変化の特徴である、スキャン頻度の増加や、テストとデプロイの自動化、開発者の教育などに注力した結果として、脆弱なライブラリの数が 3分の2に減少し、欠陥の修正に要する時間が 3分の1に短縮されたとしている。

Continue reading “脆弱性スキャンの現状:対象は3倍になり頻度は 20倍になっている”

OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資

OpenSSF Launches Project to Secure Open Source Software

2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。

OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。

Continue reading “OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資”

Gartner が提唱する Cloud Native APP Protection:クラウド・セキュリティの構成要素が変化していく

Cloud Native Application Protection Platform (CNAPP): An Evolving Approach to Cloud Security

2022/01/19 SecurityBoulevard — CISO と CIO は、開発と運用のライフサイクル全体にわたって、数多くのクラウド・セキュリティの課題に取り組んでいる。IDC Survey Report: State of Cloud Security 2021 によると、98% の企業が過去18カ月間に、何らかのクラウド関連のセキュリティ侵害を経験している。今日、それぞれの企業が、特定のリスクに対応する様々なツールを導入することで、これらのギャップを解消しようとしている。

Continue reading “Gartner が提唱する Cloud Native APP Protection:クラウド・セキュリティの構成要素が変化していく”

脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加

The Final Count: Vulnerabilities Up Almost 10% in 2021

2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。

Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”

Cisco 調査レポート:レガシー・インフラのセキュリティ課題を明らかにする

Cisco Survey Surfaces Legacy Infrastructure Security Challenges

2021/12/07 SecurityBoulevard — Cisco の委託を受けて YouGov が実施した、5,123人の IT/Security/Privacy の専門家を対象とするグローバル調査 (Global Cisco Study Identifies Top Security Practices to Detect Threats and Ensure Business Resiliency) によると、39% の組織が古いと思われるセキュリティ技術に依存していることが判明した。

Continue reading “Cisco 調査レポート:レガシー・インフラのセキュリティ課題を明らかにする”

Palo Alto Networks が拡張するクラウドのためのセキュリティ・ポートフォリオとは?

Palo Alto Networks Extends Cloud Security Portfolio

2021/11/16 SecurityBoulevard — Palo Alto Networks は、オンライン会議 Ignite ’21 において、セキュリティ・プラットフォーム Prisma Cloud 3.0 を発表し、クラウド・インフラを保護するツールと、アプリケーションを保護するエージェントレス・オプションを追加すると述べた。同時に、Cloud Access Security Broker (CASB) を刷新し、機械学習アルゴリズム/NLP (自然言語処理) を活用することで、何千もの SaaS アプリケーションのデータを即時的/自動的に保護するという。

Continue reading “Palo Alto Networks が拡張するクラウドのためのセキュリティ・ポートフォリオとは?”

Oracle Cloud に無償のセキュリティ・サービスが提供される理由は?

Oracle Adds Free Security Services to Public Cloud

2021/11/09 SecurityBoulevard — 今日、Oracle Cloud Infrastructure (OCI) プラットフォームに4つの無料サービスが追加され、クラウド・セキュリティに関する、同社の懸念への対応が進められた。Oracle Cloud Infrastructure Vulnerability Scanning Service (OCI VSS) は、パッチが適用されていない脆弱性や、開放されたポートを特定するための無料サービスであり、OCI 上に展開されたアプリケーションのセキュリティ状態を監視する、無料サービスである Cloud Guard と統合される。

Continue reading “Oracle Cloud に無償のセキュリティ・サービスが提供される理由は?”

サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果

Supply chain attacks against the open source ecosystem soar by 650% – report

2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。

Continue reading “サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果”

API 攻撃のトラフィックが6ヶ月で 300+% も増大している

API Attack Traffic Grew 300+% In the Last Six Months

2021/07/30 SecurityBoulevard — Salt Labs が発表したレポートにより、過去6ヶ月間における AP 攻撃が。かつてないほど急増していることが明らかになった。月間の API コールレートは 141% 増加し、悪意のトラフィックは 348% と大幅に増加した。今回の調査結果は、Salt Security の顧客データのみをベースにしているが、クラウド・ネイティブの脆弱性が広まっていることが浮き彫りとなり、また、より強固なサイバー・セキュリティ対応が、IT 業界全体にとって必要なことが明確化している。

Continue reading “API 攻撃のトラフィックが6ヶ月で 300+% も増大している”

覚醒必須:API の脆弱性を先回りして特定する

Wake up! Identify API Vulnerabilities Proactively, From Production Back to Code

2021/07/23 TheHackerNews — 20年以上の歳月を経て、ようやく公知となった言葉は APIs are everywhere だ。2021年の調査では、すでに 73% の企業が、50個以上の API を公開していると回答し、この数は常に増え続けている。いまや API は、ほぼ全ての業界で重要な役割を担っており、ビジネス戦略の最前線において、その重要性は着実に増している。これは驚くことではない。API は、異なるアプリケーションやデバイスをシームレスにつなぎ、これまでにないビジネスの相乗効果や効率化をもたらすからだ。しかし、他のソフトウェア・コンポーネントと同様に、API にも脆弱性がある。さらに、セキュリティの観点から厳密にテストされなければ、新たな攻撃の対象となり、これまでにないリスクに晒されることになる。とは言え、API の脆弱性の発見を待ってから、プロダクション環境に移行するとなると、大幅なビジネス上の遅延が発生する。

Continue reading “覚醒必須:API の脆弱性を先回りして特定する”