Codenotary Previews Secure SBOM Creation Service
2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成/保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成/保存する機能を備えているという。
Continue reading “Codenotary SBOM Center のプレビューが公開:セキュアな SBOM の作成が可能に”Cloud Complexity Means Bugs Are Missed in Testing
2023/04/24 InfoSecurity — サイロ化したチーム/新たな問題への対応/クラウド・エコシステムの複雑さにより、ソフトウェアのプロダクション環境に脆弱性入り込む可能性が高まっていることを、CISO たちは認めている。観察業務のスペシャリストである Dynatrace は、2023 Global CISO Report を作成するために、従業員 1000人以上のグローバル大企業の CISO 1300人を対象に調査を行った。
Continue reading “脆弱性の管理は限界:そこにサプライチェーンとクラウドの複雑さが加わるという現実 – Dynatrace”The pros and cons of using open-source Kubernetes security software
2022/11/21 HelpNetSecurity — Kubernetes のセキュリティ環境においても、オープンソース・ツールは重要な役割を担っている。ARMO の調査により、大半の企業がオープンソースの Kubernetes セキュリティ・ソフトウェアを使用していることが明らかになった。The State of Kubernetes Open Source Security 調査では回答者の 55% が、Kubernetes クラスタを安全に保つために、複数のオープンソース・ツールを使用していると回答している。ただし、この数値には、オープンソースのみを使用している場合と、オープンソースと独自ソリューションを混合して使用している場合が含まれている。
Continue reading “Kubernetes に関連するセキュリティ・ソフトウェアの調査:55% が OSS を利用”NSA and CISA share tips to secure the software supply chain
2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障システムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。
Continue reading “NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために”7 threat detection challenges CISOs face and what they can do about it
2022/05/05 HelpNetSecurity — セキュリティ運用 (SecOps) チームは、新たな攻撃やマルウェアの亜種の氾濫に、さらされ続けている。最近の AV-TEST 調査によると、2021年だけで 1億7000万以上の新しいマルウェア亜種が存在している。その結果として、CISO とチームが、これらの新たな脅威を特定し、阻止するための負担は、かつてないほど高まっている。しかし、それを行おうとすると、スキル不足/データの相関関係の特定 (手作業)/誤検出の追及/長時間の調査といった、さまざまな課題に直面する。この記事では、CISO が直面している脅威検知プログラムの課題を探り、セキュリティ運用を改善するためのヒントを紹介したいと思う。
Continue reading “CISO として考えるべき脅威検知の視点:7つの質問を用意してみた”Multiple Security Flaws Discovered in Popular Software Package Managers
2022/03/11 TheHackerNews — 一般的なパッケージ・マネージャには、複数のセキュリティ脆弱性が存在している。それらが悪用されると、侵入されたマシンでの任意のコード実行や、ソースコードやアクセストークンなどの機密情報へのアクセスを許してしまう可能性がある。つまり、この種のパッケージ・マネージャを取り扱う開発者は、いずれを使うにしても、悪意の影響を受けることに留意する必要がある。
Continue reading “Composer などのパッケージ・マネージャに脆弱性:開発者を狙う攻撃ベクター”Salt Security Survey Surfaces API Security Weaknesses
2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ/アプリケーション/DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。
Continue reading “Salt Security の調査:API の広大な攻撃面積を保護するためには?”Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws
2022/02/09 DarkReading — Veracode の最新レポート State of Software Security によると、10年前との比較において企業は、アプリケーション・セキュリティ・テストの頻度を高めており、スキャンの対象となるアプリケーション数は3倍に、また、アプリケーションごとのスキャン回数は20倍になっている。
Veracode は、DevSecOps と呼ばれる文化的変化の特徴である、スキャン頻度の増加や、テストとデプロイの自動化、開発者の教育などに注力した結果として、脆弱なライブラリの数が 3分の2に減少し、欠陥の修正に要する時間が 3分の1に短縮されたとしている。
Continue reading “脆弱性スキャンの現状:対象は3倍になり頻度は 20倍になっている”OpenSSF Launches Project to Secure Open Source Software
2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。
OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。
Cloud Native Application Protection Platform (CNAPP): An Evolving Approach to Cloud Security
2022/01/19 SecurityBoulevard — CISO と CIO は、開発と運用のライフサイクル全体にわたって、数多くのクラウド・セキュリティの課題に取り組んでいる。IDC Survey Report: State of Cloud Security 2021 によると、98% の企業が過去18カ月間に、何らかのクラウド関連のセキュリティ侵害を経験している。今日、それぞれの企業が、特定のリスクに対応する様々なツールを導入することで、これらのギャップを解消しようとしている。
Continue reading “Gartner が提唱する Cloud Native APP Protection:クラウド・セキュリティの構成要素が変化していく”The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”Cisco Survey Surfaces Legacy Infrastructure Security Challenges
2021/12/07 SecurityBoulevard — Cisco の委託を受けて YouGov が実施した、5,123人の IT/Security/Privacy の専門家を対象とするグローバル調査 (Global Cisco Study Identifies Top Security Practices to Detect Threats and Ensure Business Resiliency) によると、39% の組織が古いと思われるセキュリティ技術に依存していることが判明した。
Continue reading “Cisco 調査レポート:レガシー・インフラのセキュリティ課題を明らかにする”Palo Alto Networks Extends Cloud Security Portfolio
2021/11/16 SecurityBoulevard — Palo Alto Networks は、オンライン会議 Ignite ’21 において、セキュリティ・プラットフォーム Prisma Cloud 3.0 を発表し、クラウド・インフラを保護するツールと、アプリケーションを保護するエージェントレス・オプションを追加すると述べた。同時に、Cloud Access Security Broker (CASB) を刷新し、機械学習アルゴリズム/NLP (自然言語処理) を活用することで、何千もの SaaS アプリケーションのデータを即時的/自動的に保護するという。
Continue reading “Palo Alto Networks が拡張するクラウドのためのセキュリティ・ポートフォリオとは?”Oracle Adds Free Security Services to Public Cloud
2021/11/09 SecurityBoulevard — 今日、Oracle Cloud Infrastructure (OCI) プラットフォームに4つの無料サービスが追加され、クラウド・セキュリティに関する、同社の懸念への対応が進められた。Oracle Cloud Infrastructure Vulnerability Scanning Service (OCI VSS) は、パッチが適用されていない脆弱性や、開放されたポートを特定するための無料サービスであり、OCI 上に展開されたアプリケーションのセキュリティ状態を監視する、無料サービスである Cloud Guard と統合される。
Continue reading “Oracle Cloud に無償のセキュリティ・サービスが提供される理由は?”Supply chain attacks against the open source ecosystem soar by 650% – report
2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。
Continue reading “サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果”API Attack Traffic Grew 300+% In the Last Six Months
2021/07/30 SecurityBoulevard — Salt Labs が発表したレポートにより、過去6ヶ月間における AP 攻撃が。かつてないほど急増していることが明らかになった。月間の API コールレートは 141% 増加し、悪意のトラフィックは 348% と大幅に増加した。今回の調査結果は、Salt Security の顧客データのみをベースにしているが、クラウド・ネイティブの脆弱性が広まっていることが浮き彫りとなり、また、より強固なサイバー・セキュリティ対応が、IT 業界全体にとって必要なことが明確化している。
Continue reading “API 攻撃のトラフィックが6ヶ月で 300+% も増大している”Wake up! Identify API Vulnerabilities Proactively, From Production Back to Code
2021/07/23 TheHackerNews — 20年以上の歳月を経て、ようやく公知となった言葉は APIs are everywhere だ。2021年の調査では、すでに 73% の企業が、50個以上の API を公開していると回答し、この数は常に増え続けている。いまや API は、ほぼ全ての業界で重要な役割を担っており、ビジネス戦略の最前線において、その重要性は着実に増している。これは驚くことではない。API は、異なるアプリケーションやデバイスをシームレスにつなぎ、これまでにないビジネスの相乗効果や効率化をもたらすからだ。しかし、他のソフトウェア・コンポーネントと同様に、API にも脆弱性がある。さらに、セキュリティの観点から厳密にテストされなければ、新たな攻撃の対象となり、これまでにないリスクに晒されることになる。とは言え、API の脆弱性の発見を待ってから、プロダクション環境に移行するとなると、大幅なビジネス上の遅延が発生する。
Continue reading “覚醒必須:API の脆弱性を先回りして特定する”
IoT OT Security News 