米国防総省のバグバウンティ Hack the Pentagon:4年に一度の大会が開催

US to Launch Third Iteration of ‘Hack the Pentagon’ Bug Bounty Program

2023/01/16 InfoSecurity — 米国国防総省 (DoD : Department of Defense) は、2016年に初めて行われた “Hack the Pentagon” バグバウンティ・プログラムの第3弾を、近々に開催すると発表した。Sam.Gov Web サイトの専用ページによると、この構想では、サイバー・セキュリティ研究者たちが、政府の Facility Related Controls System (FRCS) ネットワークの脆弱性を発見していくことになる。

Continue reading “米国防総省のバグバウンティ Hack the Pentagon:4年に一度の大会が開催”

Okta の GitHub リポジトリで侵害が発生:3月の Lapsus$ との関連性は不明

Okta’s source code stolen after GitHub repositories hacked

2022/12/21 BleepingComputer — 今月のことだが、認証サービスおよび IAM (Identity and Access Management) ソリューションの大手プロバイダーである Okta は、同社のプライベート GitHub リポジトリがハッキングされたことを発表した。Okta から送信された機密のメール通知によると、このセキュリティ・インシデントにおいて、脅威アクターが Okta のソースコードを盗み出したという。

Continue reading “Okta の GitHub リポジトリで侵害が発生:3月の Lapsus$ との関連性は不明”

SBOM 要件の延期を米議会に提出:防衛産業の団体が4つの理由を詳述

Industry Coalition Urges Congress to Hold off on SBOMs Requirements for Defense Contractors

2022/12/02 infoSecurity — サイバー・セキュリティ業界団体の連合は米国議会に対して、防衛請負業者に対する Software Bill of Materials (SBOM) 要件を延期するよう求める、公開書簡を発表した。この書簡は、National Defense Authorization Act for Fiscal Year 2023 の第 4543条に関するものであり、米国防総省が請負業者に対して SBOM 要件を定めるよう求めるものだ。

Continue reading “SBOM 要件の延期を米議会に提出:防衛産業の団体が4つの理由を詳述”

米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合

Majority of US Defense Contractors Not Meeting Basic Cybersecurity Requirements

2022/11/30 InfoSecurity — CyberSheath が委託した調査により、米国の防衛関連請負業者の 87% が、基本的なサイバー・セキュリティ規制の要件を満たしていないことが判明した。米国国防総省 (DoD) の請負業者 300社を対象にした調査では、Supplier Risk Performance System (SPRS) スコアが 70点以上である回答者は、わずか 13% であることが明らかになった。国防連邦調達規則補足文書 (DFARS: Defense Federal Acquisition Regulation Supplement) では、完全なコンプライアンスを得るためには、110点のスコアが要求されている。

Continue reading “米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合”

米国国防総省 (DoD) のマルバタイジング防止策:人工知能を用いた広告ブロックとは?

Defense Department blocks ads to counter malvertising, official tells Congress

2021/12/13 CyberScoop — この月曜日に米国国防総省 (DoD: Department of Defense) は、悪質な広告がもたらす脅威を回避するために、インターネット広告をブロックする複数の方法を採用していると文書で発表した。米上院議員 (民主) の Ron Wyden の質問に対する国防総省の回答は、この情報機関がセキュリティ対策として広告ブロックを利用しているという、以前と同様の回答となる。

Continue reading “米国国防総省 (DoD) のマルバタイジング防止策:人工知能を用いた広告ブロックとは?”

脅威モデリングを自動化する時代へと突入する?

Threat Modeling in the Age of Automation

2021/07/16 SecurityBoulevard — サイバー・セキュリティの脅威は急速に増加しており、アプリケーションを構築する企業は、将来の攻撃に耐えるためのコアとなる脅威モデルを含めて、予防原則に基づくセキュリティ対策を検討するようになってきた。しかし、Security Compass の最近の調査によると、ソフトウェア開発の初期段階 (要件の収集/設計) において、脅威モデルを取り入れている企業はわずか 25% だった。さらに、開発したアプリケーションの 90% 以上において、脅威モデルを取り入れていると回答した企業は 10% 未満であり、脅威モデルの自動化や統合において半数以上の企業が課題を抱えていることが分かった。

Continue reading “脅威モデリングを自動化する時代へと突入する?”