Can a Global, Decentralized System Save CVE Data?
2025/11/19 DarkReading — セキュリティ・データ・アナリストであり CVE.ICU を主催する Jerry Gamblin によると、いまの脆弱性情報を取り巻く課題である、収集/追跡/報告などをタイムリーに拡充していくためには、Common Vulnerabilities and Exposures (CVE) システムの刷新が必要になるという。現実を見れば、事実上 MITRE と NIST (National Institute of Standards and Technology) が管理するデータ・リポジトリである National Vulnerability Database (NVD) は、脆弱性の分析において依然として遅れをとっている。
Continue reading “CVE データはコミュニティが守るべきもの:現状を分析しながら分散化を提言する”NIST Releases Control Overlays to Manage Cybersecurity Risks in Use and Developments of AI Systems
2025/08/22 CyberSecurityNews — 米国の NIST が公開したのは、NIST SP 800-53:Control Overlays for Securing AI Systems の提案を概説する包括的なコンセプト・ペーパーだ。それにより、人工知能 (AI) アプリケーション向けの標準化されたサイバー・セキュリティ・フレームワークの重要なマイルストーンが確立される。2025年8月14日に発表された、このイニシアチブは、生成 AI/予測 AI/マルチエージェント AI アーキテクチャを網羅するものである。それにより、AI システムの開発/導入フェーズの双方において高まってきた、構造化されたリスク管理アプローチに対するニーズに応えるものとなる。
Continue reading “NIST が公開した AI 向けのセキュリティ・フレームワーク:Control Overlays for AI Systems”Secure by Design is just the start, CISA official says
2025/06/13 nextgov — CISA の関係者によると、Secure by Design の導入は、脅威に対抗する強靭なデジタル環境を構築するための、第一歩に過ぎないという。ワシントンD.C.で開催されたサイバー・セキュリティ会議 Critical Effect の講演で、CISA の Secure by Design Initiative PM である Kirk Lawrence は、「このイニシアチブの原則の導入は、家のセキュリティ対策として、玄関のドアに鍵をかけるようなもので、最初のステップに過ぎない」と述べている。
Continue reading “Secure by Design は単なるスタート地点:そしてレジリエンスの始まりである – CISA”NIST Publishes New Zero Trust Implementation Guidance
2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。
Continue reading “NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例”US Government Launches Audit of NIST’s National Vulnerability Database
2025/05/27 InfoSecurity — 米国政府が開始した監査は、National Vulnerability Database (NVD) に関するものであり、未処理の脆弱性情報の案件を、確実に進めるためのものである。5月20日付の覚書において、米国の商務省 (DoC:Department of Commerce) の監査室は、国立標準技術研究所 (NIST:National Institute of Standards and Technology) による NVD の監督体制について、監査を実施する計画を発表した。
Continue reading “NIST の NVD は大丈夫なのか? 米商務省 (DoC) による監査の実施が判明”Vulnerability Exploitation Probability Metric Proposed by NIST, CISA Researchers
2025/05/20 SecurityWeek — CISA と NIST の研究者たちが提案するのは、脆弱性が実際に悪用される可能性を算出するための、新たなサイバー・セキュリティ指標である。NIST の Peter Mell と CISA の Jonathan Spring が発表したのは、Likely Exploited Vulnerabilities (LEV) と呼ばれる指標の計算式を解説する論文である。ソフトウェアとハードウェアにおいて、毎年、数千件もの脆弱性が発見されている、実際に悪用されるのは、そのうちのごく一部である。
Continue reading “LEV による KEV と EPSS の強化:CISA と NIST の研究者が新たな指標の計算式を発表”GCVE: Decentralizing Vulnerability Identification for Greater Agility
2025/04/18 SecurityOnline — 新たな取り組みとして始動した Global CVE (GCVE) 割り当てシステムは、セキュリティ脆弱性の特定と、CVEID の採番という重要な作業に、分散型のアプローチを導入している。このシステムでは、独立した GCVE Numbering Authorities (GNA) が CVE ID を直接的に割り当てられるようになるため、従来の中央集権型の手法と比べて、より高い自律性と迅速さが期待されている。
Continue reading “GCVE という新たな取組:CVE ID 管理を中央集権から分散へと向かわせる”CISA Extends CVE Program Funding to Prevent Critical Service Disruption
2025/04/16 SecurityOnline — Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、サイバー・セキュリティ・コミュニティの基盤となるツールである、Common Vulnerabilities and Exposures (CVE) プログラムへの資金提供を延長し、その運用を継続して保護することである。この土壇場での介入により、25年の歴史を持つ脆弱性追跡システムの運用の、中断の危機が回避されたことになる。
Continue reading “CVE Program の危機が回避された:CISA から MITRE への資金提供の継続が決定”MITRE warns that funding for critical CVE program expires today
2025/04/16 BleepingComputer — 米国政府による CVE (Common Vulnerabilities and Exposures) および CWE (Common Weakness Enumeration) プログラムへの資金提供が、2025年4月16日で終了することを、MITRE の VP である Yosry Barsoum が発表した。それにより、世界中のサイバー・セキュリティ業界に、広範な混乱が生じる可能性があると、彼は警告している。
Continue reading “CVE プログラムに対する政府資金が終了:MITRE が懸念するセキュリティ分野への影響”NVD Revamps Operations as Vulnerability Reporting Surges
2025/04/11 InfoSecurity — 内部の混乱と脆弱性のバックログの増加に揺れた激動の1年を経て、米国 NIST (National Institute of Standards and Technology) 内の NVD (National Vulnerability Database) チームはようやく安定を取り戻した。しかし、いまの NVD は、新たな課題に直面している。つまり、報告される脆弱性の急増により膨れ上がったバックログが、再建されたチームの努力を上回る勢いを見せているのだ。
Continue reading “NIST NVD が運用体制を刷新:CVE バックログの解消に向けた改革とは?”NIST Defers Pre-2018 CVEs to Tackle Growing Vulnerability Backlog
2025/04/08 InfoSecurity — NIST (National Institute of Standards and Technology) の正式発表によると、2018年1月1日以前に公開された、すべての CVE に対して、NVD 上で “Deferred” (保留) としてマークされることが決定したようだ。このステータスが付与された CVE は、CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) に登録されない限り、詳細情報の更新の優先順位が下げられる。
Continue reading “古い脆弱性は後回しに? NIST が CVE データ管理の方針転換を発表”NIST’s vulnerability database logjam is still growing despite attempts to clear it
2025/03/19 NextGov — NIST (National Institute of Standards and Technology) は、昨年から続いている NVD (National Vulnerability Database) におけるセキュリティ脆弱性の分析遅延について、2025年の春頃にはバックログを解消する目標を掲げていた。しかし、先日の NIST の発表は、「当面は改善する見込みがない」というものだった。
Continue reading “NIST NVD がバックログの解消に苦戦:今後も停滞が続く見通し”Biden signs executive order inspired by lessons from recent cyberattacks
2015/01/16 NextGov — 2025年1月16日 (木) にバイデン米大統領は、この4年間に発生したサイバー攻撃から得た教訓を盛り込んだ、米国のサイバー・セキュリティに関する大統領令 (EO) に署名した。その教訓の多くは、政府の機密システムや民間部門の医療インフラの広範囲に狙いを定めたサイバー攻撃にまつわるものである。
Continue reading “バイデン大統領が新たな大統領令に署名:米国の新たなセキュリティ政策が始動”Trump 2.0 May Mean Fewer Cybersecurity Regs, Shift in Threats
2024/11/15 DarkReading — 次期大統領ドナルド・トランプの復帰と、閉鎖的な外交政策への転換という約束により、一連のサイバー脅威に対する新たな方針が生み出され、大半の産業分野における規制の緩和や、企業に優しい連邦プライバシー法の制定につながる可能性が高いと、サイバー・セキュリティと法律の専門家たちは指摘する。
Continue reading “トランプ 2.0:米政府のサイバー・セキュリティ施策の変化を予想する”NIST Cybersecurity Framework (CSF) and CTEM – Better Together
2024/09/05 TheHackerNews — 米国 NIST (National Institute of Standards and Technology) が Cybersecurity Framework (CSF) 1.0 を導入してから、すでに 10 年が経過している。2013 年の大統領令に従い NIST が作成したのは、組織がサイバー・リスクを管理し、確立されたスタンダードとベスト・プラクティスに基づくガイダンスを提供するための、自主的なサイバーセキュリティ・フレームワークである。このフレーム・バージョンは、重要インフラ向けに調整されたものだったが、2018 年のバージョン 1.1 は、サイバー・セキュリティ・リスク管理に取り組む、すべての組織向けに設計されたものである。
Continue reading “NIST の CSF と Gartner の CTEM:抜群に相性が良い理由を解説しよう – XM Cyber”US Authorities Issue RansomHub Ransomware Alert
2024/09/02 InfoSecurity — 8月29日に CISA が発表した “#StopRansomware: RansomHub Ransomware” は、ランサムウェア・グループ RansomHub に関する共同サイバー・セキュリティ・アドバイザリである。二重恐喝のテクニックを用いる RansomHub は、少なくとも 210社の被害者からデータを窃取/暗号化し、流出させたと見られている。その被害者の範囲は、医療/IT/政府/緊急サービス/食品・農業/上下水道などに及び、さらには製造/輸送/通信などの重要インフラにも達している。
Continue reading “CISA/FBI などの共同アドバイザリ:RansomHub ランサムウェアの TTPs/IoC を公開”NIST may not resolve vulnerability database backlog until early 2025, analysis shows
2024/07/26 NextGov — 米国が管理するサイバー・セキュリティの脆弱性データベースだが、現在の処理スピードで進むなら、2025年初頭になっても処理しきれないほどの、未処理の情報を抱えていることが、新たな分析で明らかになった。NIST (National Institute of Standards and Technology) の NVD (National Vulnerability Database) は、測定ツールなどを用いて脆弱性悪用の危険度を評価する研究者のための、基礎となるコンテンツ・リポジトリであるが、2月以降において明確な説明もないまま、未分析の脆弱性を蓄積し続けている。
Continue reading “NIST NVD に溜まり続ける脆弱性情報バックログ:渋滞解消は 2025年初頭という推測も”Dev rejects CVE severity, makes his GitHub repo read-only
2024/06/30 BleepingComputer — 人気のオープンソース・プロジェクト node-ip の GitHub リポジトリが、その開発者の手により、先日にアーカイブ (読み取り専用) 状態になってしまった。その背景にあるのは、今年の始めに node-ip に対する CVE が提出されたことで、開発者である Fedor Indutny に対して、インターネット上のユーザーからの脆弱性の指摘が集中したことである。残念なことに、今回のケースは、彼に限った出来事ではない。このところ、オープンソースの開発者たちの間で急増しているには、自分のプロジェクトに対して提出された、議論の余地のある CVE レポートや、十分な確認もなしに提出された全くのインチキ CVE レポートを受け取るケースである。
Continue reading “node-ip の GitHub リポジトリが凍結された:開発者が指摘する CVE 発行フローの問題点とは?”NIST says NVD will be back on track by September 2024
2024/05/31 HelpNetSecurity — 5月29日に NIST が発表したのは、NVD への CVE の登録を支援する契約を、同機関が 無名の企業/団体に依頼したことである。さらに NIST (National Institute of Standards and Technology) は、年度末である 9月30日までに、NVD (National Vulnerability Database) で未解析の状態にある CVE (Common Vulnerabilities and Exposures) の、エンリッチメント化も進める予定であるという。
Continue reading “NIST NVD の障害:2024年9月までには軌道に乗ると発表”NIST Getting Outside Help for National Vulnerability Database
2024/05/30 SecurityWeek — 5月30日に NIST が発表したのは、今後の数カ月以内に NVD (National Vulnerability Database) を軌道に乗せるために、外部の支援を受けることだ。NIST は、4月に発表した情報アップデートにおいて、NVD に提出された解析が必要な脆弱性の、バックログが増加していることを認めていた。そして、この問題の原因は、脆弱性の件数の増加と “省庁間のサポートの変化“ にあると述べていた。
Continue reading “NIST NVD の障害:外部への支援要請と契約締結について発表”NVD Leaves Exploited Vulnerabilities Unchecked
2024/05/23 InfoSecurity — 最近に悪用が確認されたソフトウェアの脆弱性の大半が、米国の NVD (National Vulnerability Database) の解析が不十分であることが、VulnCheck の最新のレポートで明らかになった。ソフトウェア・セキュリティ・プロバイダー である VulnCheck は、5月23日に公開したレポートで、2月12日以降に登録された KEV (known exploited vulnerabilities) 59件のうち 30件を、依然として NVD チームが分析していないことを明らかにした。つまり、KEV における重要なメタデータの、50.8% が欠落していることになる。
NIST Confusion Continues as Cyber Pros Complain CVE Uploads Stalled
2024/05/14 InfoSecurity — 脆弱性データベースとして、世界で最も信頼されている米国の NVD (National Vulnerability Database) だが、この数ヶ月において最大の危機を迎えており、それに比例してソフトウェア脆弱性の悪用が増加している。2024年2月中旬から、米国の NIST (National Institute of Standards and Technology) が運営する NVD は、脆弱性情報の更新を遅延させてきた。そして 5月9日以降においては、新しい脆弱性の表示を停止していると、ソフトウェア・セキュリティの専門家たちが Infosecurity に語っている。
Continue reading “NIST NVD の混乱が止まらない:新規の CVE 追加が一時的に停止していた”RSAC: CISA Launches Vulnrichment Program to Address NVD Challenges
2024/05/08 InfoSecurity — 5月8日に 米 CISA (Cybersecurity and Infrastructure Security Agency) が発表したのは、”Vulnrichment” と呼ばれる新たなソフトウェア脆弱性充実化プログラムの開始である。この動きは、NIST (National Institute of Standards and Technology) が運営する、世界で最も包括的な脆弱性データベースである NVD (National Vulnerability Database) が、脆弱性情報の充実という問題に直面してから、約3ヶ月後の出来事である。NIST 自身のデータによると、今年に入ってから NIST に寄せられた 14,228件の CVE のうち、分析できたのは 4523件にしか過ぎないという。
Continue reading “CISA の Vulnrichment:NVD が残したギャップを埋める脆弱性メタデータ- RSA Con”Cybersecurity Pros Urge US Congress to Help NIST Restore NVD Operation
2024/04/16 InfoSecurity — 米国の NVD (National Vulnerability Database) の問題が長引けば、サプライチェーンのセキュリティに大きな危機が生じかねないと、複数の脆弱性管理コミュニティーが警告を発している。“A cybersecurity crisis in waiting: On the Need to Restore and Enhance Operations with the National Vulnerability Database” という公開書簡が、米商務長官の Gina Raimondo と、複数の米議会議員のもとに送られたのは、4月12日のことである。その書簡には、サイバー・セキュリティの専門家たち 50人が署名しているという。
Continue reading “NIST NVD の障害:サイバーセキュリティの専門家たちが運用再開の支援を米議会に要請”CVE and NVD – A Weak and Fractured Source of Vulnerability Truth
2024/04/03 SecurityWeek — 共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のリストと、それに関連する NVD (National Vulnerability Database) だが、脆弱性において一番に信頼すべき情報源とは、もはや考えられなくなっている。現在の CVE システムには改善の余地があり、また、改善すべきものであることを疑う者はいない。米国の DHS (Department of Homeland Security) に支援される、MITRE が管理する CVE リストを、NIST が NVD に統合し、その詳細データを充実させてきた。MITRE が CVE ID の採番や管理を行う一方で、サイバー防衛者たちが脆弱性を評価する上で、拠り所としてきたのが NVD である。
Continue reading “CVE と NVD:脆弱性の正規の情報源は分断されている?”NIST Unveils New Consortium to Operate its National Vulnerability Database
2024/03/28 InfoSecurity — NIST (National Institute of Standards and Technology) が提供してきた、世界で最も利用されているソフトウェア脆弱性リポジトリの管理の一部が、業界コンソーシアムに引き継がれることが正式に決定した。米国商務省の一機関である NIST は、2005年に NVD (National Vulnerability Database ) を立ち上げて以来、ずっと運営を続けてきた。しかし、このデータベースの運営は、早ければ 2024年4月初旬から、審査に合格した組織の手に委ねられることになるという。
Continue reading “NIST NVD の新たなコンソーシアム設立が決定:FIRST カンファレンスでの発表とは?”NIST’s Vuln Database Downshifts, Prompting Questions About Its Future
2024/03/22 DarkReading — 2005年から NVD (National Vulnerability Database) は、世界中のセキュリティ研究者が発見した膨大な CVE (Common Vulnerabilities and Exposures) に関する、詳細情報を掲載してきた。しかし、この政府が後援する、重要かつ不可欠なデータベースが、2024年2月以降においては、ほぼ無意味なツールと化している。
Continue reading “NIST の脆弱性データベースの凍結:その将来に投げかけられる疑問とは?”NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold
2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。
Continue reading “NIST NVD の障害:CVE に紐づくはずのメタデータが提供されていない”NIST Cybersecurity Framework 2.0 Officially Released
2024/02/27 SecurityWeek — NIST Cybersecurity Framework (CSF) 2.0 の正式リリースが、2月26日に発表された。CSF の本来の対象は重要インフラ組織であるが、その他の業種などでも幅広く利用され、推奨されるようになった。そのことから、CSF 2.0 は セクター/規模/セキュリティなどの高低に関係なく、全ての組織のリスク低減を支援するように設計されていると NIST は強調している。
Continue reading “NIST CSF 2.0 が正式リリース:ニーズに応じたカスタマイズが可能なリソースとして活用!”AI Safety Summit: OWASP Urges Governments to Agree on AI Security Standards
2023/11/02 InfoSecurity — OWASP (Open Worldwide Application Security Project) によると、AI の急速な普及がもたらす危険を軽減するためには、AI を搭載するツールがもたらすセキュリティと倫理的リスクに関する、トップレベルの議論だけでは、もはや不十分だという。2023年11月1日~2日にイギリスのブレッチリー・パークで開催された AI Safety Summit に先立ち、この非営利団体はサミット参加者に対して、実用的な AI セキュリティ標準に合意し採用することを、迅速に推進すべきという行動喚起を促している。
Continue reading “AI Safety Summit:OWASP が各国政府に対して AI セキュリティ基準の採用を要求”Enterprises persist with outdated authentication strategies
2023/09/15 HelpNetSecurity — Enzoic の最新調査によると、認証はサイバー・セキュリティの要であるにもかかわらず、依然として時代遅れのリスク軽減戦略に依存していることが判明した。攻撃対象が拡大し続け、ますます巧妙化するサイバー脅威に対して、エンタープライズが苦慮しているのは、セキュアでユーザー・フレンドリーな認証の実現である。調査では、最新の戦略が登場している一方で、今回の調査で明らかになったのは、大半の企業が、依然として従来のアプローチに頼っていることである。
Continue reading “時代遅れの認証ストラテジー:依然としてユーザー企業に残り続ける”What’s New in the NIST Cybersecurity Framework 2.0
2023/08/15 DarkReading — およそ 10年前に導入が開始された、サイバー・セキュリティの技術的ガイダンスである NIST (National Institute for Standards and Technology) の、CSF (CSF:Cybersecurity Framework) ドラフト版が発表された。これまでの CSF の対象は、エネルギー/銀行/病院などの主要インフラだったが、今回のアップデートでは、あらゆる規模の組織にまで範囲が拡大されている。
Continue reading “NIST CSF 2.0 のドラフト版がリリース:ガバナンス項目の追加と対象の拡大”All Dutch govt networks to use RPKI to prevent BGP hijacking
2023/04/09 BleepingComputer — オランダ政府は、2024年末までに RPKI (Resource Public Key Infrastructure) 規格を採用することで、インターネット経路のセキュリティを向上させる予定だという。RPKI (Resource Certification) は、経路を暗号的に検証することで、悪意の有無にかかわらず、誤った経路変更からインターネット・トラフィックを保護するものである。この規格では、デジタル証明書を使用して、経路情報の交換に使用される BGP (Border Gateway Protocol) を保護し、ディスティネーション経路の IP アドレスを制御する正当なネットワーク事業者を、トラフィックが経由することを確認するものだ。
Continue reading “BGP ハイジャッキングを止めろ:オランダ政府が RPKI を全面採用する理由を考える”NIST chooses encryption algorithms for lightweight IoT devices
2023/02/09 HelpNetSecurity — 米国の National Institute of Standards and Technology (NIST) が発表したのは、IoT デバイス (エンベッド型医療機器/キーレスエントリー/スマートホームなど) が生成するデータを保護するための、軽量認証暗号化およびハッシュ・アルゴリズムに付けられた ASCON というグループ名である。ASCON のラベルの下には、7種類アルゴリズムが集められているが、今年の後半に NIST が発表するとしている、最終的な成果に含まれないものもある。
Continue reading “NIST が選んだ IoT デバイス向けの軽量暗号 ASCON:伝送中のデータの保護が目的”MITRE Releases Tool to Design Cyber-Resilient Systems
2023/02/03 DarkReading — サイバー攻撃は増加傾向にあり、企業のセキュリティ担当者は、ますます拡大/複雑化する攻撃対象領域を保護する必要に迫られている。そして、多くの企業にとっての関心事は、攻撃の防止から回復力へと焦点を移している。つまり、攻撃を受けても重要なビジネス機能を維持し、ダウンタイムから迅速に回復することである。そのため、MITRE は、サイバー・レジリエンス・システムを設計するエンジニアのための、可視化ツール Cyber Resiliency Engineering Framework (CREF) Navigator を無償でリリースした。
Continue reading “MITRE が CREF Navigator を発表:レジリエンス・システムの設計をサポート”Adobe, Apple, Cisco, Microsoft Flaws Make Up Half of KEV Catalog
2022/12/30 DarkReading — 2021年11月に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのが、活発に悪用されている脆弱性を、連邦政府機関や重要インフラ組織が特定/是正するための Known Exploited Vulnerabilities (KEV) カタログである。Grey Noise が発表した GreyNoise Mass Exploits Report によると、CISA は 2022年1月〜11月末に 58回の更新を行い、548件の新たな脆弱性をカタログに追加している。2021年11月/12月に追加された約300件の脆弱性を含めると、このカタログが始まってからの1年間で、CISA は約850件の脆弱性をリストアップしたことになる。
Continue reading “CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft”Understanding NIST CSF to assess your organization’s Ransomware readiness
2022/12/06 TheHackerNews — ランサムウェア攻撃の主な要因は、組織における脆弱なセキュリティ管理にあり、、その件数と影響が増え続けている。中堅企業が保有する貴重なデータが大量にあるが、大企業のような保護対策や人材が不足しているため、標的にされている。RSM の最新調査によると、中堅企業の 62% が今後の 12カ月間に、ランサムウェアの危険にさらされる可能性があると捉えている。サイバー・セキュリティのリーダーたちの感覚は、”まっさきに頭に浮かぶもの” から “深刻な頭痛のタネ” の間の、どこかにある。
Continue reading “NIST Cybersecurity Framework の概説:セキュリティの5つの要素を再確認する”Why CVE Management as a Primary Strategy Doesn’t Work
2022/11/12 DarkReading — セキュリティ研究者である私にとって、一般的な脆弱性と暴露 (CVE) は問題だが、その理由は、あなたが思うものではない。IT とセキュリティのチームは、CVE がもたらす脅威と膨大な修正作業のために CVE を嫌っているが、私が悩むのは、セキュリティための手続きと CVE との関係についてである。私たちが本当に必要としているのは、ハッカー中心のアプローチであるはずなのだが、私たちの緩和戦略は脆弱性管理に集中し、CVE 中心になってしまっている。
Continue reading “CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ”NSA and CISA share tips to secure the software supply chain
2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障システムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。
Continue reading “NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために”Mitre shared 2022 CWE Top 25 most dangerous software weaknesses
2022/06/29 SecurityAffairs — MITRE が、2022年版の CWE Top-25 をリリースした。2022年において、最も危険な弱点 Top-25 を集めたリストは、組織が内部インフラを評価し、その攻撃対象領域を特定するのに役立てられる。組織のインフラ内に、これらの脆弱性が存在すると、潜在的に広範な攻撃にさらされる可能性がある。
Continue reading “MITRE が 2022年版 CWE Top-25 をリリース:NVD と CISA のデータを活用”Google: SBOMs Effective Only if They Map to Known Vulns
2022/06/15 DarkReading — Software bills of materials (SBOMs) は、製品を構築するために使用されるコンポーネント/モジュール/ライブラリの詳細なリストであり、消費者のためのサプライチェーンにおけるサイバー・セキュリティ・リスクを低減する方法として、National Institute of Standards and Technology (NIST) や米国の規制当局により支持されている。
Continue reading “Google の視点:SBOM を適切に機能させるには脆弱性情報とのマッピングが不可欠”Cybersecurity agencies reveal top exploited vulnerabilities of 2021
2022/04/27 BleepingComputer — 世界中のサイバー・セキュリティ機関が NSA/FBI と共同で、2021年に脅威アクターが日常的に悪用した脆弱性の、Top-15 リストを発表した。共同アドバイザリーにおいて、これらのサイバー・セキュリティ機関は、一連のセキュリティ欠陥に対して速やかにパッチを適用し、攻撃対象領域を減らすためのパッチ管理システムを導入するよう促している。
Continue reading “NSA/FBI が警告する 2021年の脆弱性:日常的に悪用され続けた Top-15 とは?”Zyxel patches critical bug affecting firewall and VPN devices
2022/03/31 BleepingComputer — ネットワーク機器メーカーの Zyxel は、同社のビジネスグレード・ファイアウォールおよび VPN 製品のファームウェアをアップデートし、攻撃者による対象機器の管理者レベルへのアクセスという深刻な脆弱性に対処した。Zyxel のセキュリティ勧告は、USG/ZyWALL/USG FLEX/ATP/VPN/NSG (Nebula Security Gateway) シリーズの製品を対象としている。
Continue reading “Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性”Secure Software Summit: The State of OSS Supply Chain Security
2022/03/17 SecurityBoulevard — Open Source Software (OSS) サプライチェーンが、サイバー攻撃にさらされている。最近の Log4Shell 脆弱性に見られるように、OSS のサプライチェーンは、セキュリティの弱点を突こうとする、攻撃者の焦点となりつつある。数多くの調査レポートにおいて、いわゆる次世代ソフトウェア・サプライチェーン攻撃の、過去 10年間での大幅な増加が示されている。これらの攻撃は、ソースコード/ビルドシステム/CI/CDツール/コードテスト・ツールといった、ソフトウェア・サプライチェーンの重要なリンクの侵害を狙ったものである。
Continue reading “Secure Software Summit:OSS サプライチェーン・セキュリティの現状について”NIST Releases ICS Cybersecurity Guidance for Manufacturers
2022/03/17 SecurityWeek — 新しいサイバーセキュリティ実践ガイドのタイトルは「NIST SP 1800-10, Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector」である。これは、NIST の National Cybersecurity Center of Excellence (NCCoE) および MITRE、そして Microsoft/Dispel/Forescout/Dragos/OSIsoft/TDi Technologies/GreenTec/Tenable/VMware などの民間企業の協力により実現されたものだ。
Continue reading “NIST が製造業向けの Industrial Control System (ICS) ガイド SP 1800-10 を公開”OpenSSF Launches Project to Secure Open Source Software
2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。
OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。
The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”NIST Cybersecurity Framework: A Quick Guide for SaaS Security Compliance
2022/01/06 TheHackerNews — サイバー・セキュリティにおける最新のベストプラクティスを知りたいとき、私は米国の National Institute of Standards and Technology (NIST) を訪れる。最新のパスワード要件 (NIST 800-63) から、製造業者向けの IoT セキュリティ (NISTIR 8259) にいたるまで、NIST は常に出発点である。NIST は、組織の専門性と、NIST 文書の作成に協力する外部の専門家により、米国の標準制定者として重要な役割を果たしている。
Continue reading “NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的”Defense Department blocks ads to counter malvertising, official tells Congress
2021/12/13 CyberScoop — この月曜日に米国国防総省 (DoD: Department of Defense) は、悪質な広告がもたらす脅威を回避するために、インターネット広告をブロックする複数の方法を採用していると文書で発表した。米上院議員 (民主) の Ron Wyden の質問に対する国防総省の回答は、この情報機関がセキュリティ対策として広告ブロックを利用しているという、以前と同様の回答となる。
Continue reading “米国国防総省 (DoD) のマルバタイジング防止策:人工知能を用いた広告ブロックとは?”Update on the Executive Order on Improving the Nation’s Cybersecurity
2021/12/09 SecurityBoulevard — サイバー・セキュリティに関する新たな大統領令は、いつも前向きな行動と期限が決められている。バイデン政権は、SolarWinds や Colonial Pipeline への攻撃を受けて、国家のサイバー・セキュリティを向上させるための EO (Executive Order) を発表した。その主な内容は、連邦政府機関全体での MFA/ZeroTrust/EDR の実施を呼びかけるものだった。また、Cyber Safety Review Board も設立された。
Continue reading “ナショナル・セキュリティを改善する大統領令:2021年11月までの進捗を評価してみる”
IoT OT Security News 
You must be logged in to post a comment.