Misconfigurations Are Not Vulnerabilities: The Costly Confusion Behind Security Risks
2025/08/06 TheHackerNews — SaaS セキュリティに関する議論では、よく “ミスコンフィグ” と “脆弱性” が混同される。しかし、それらは同じではない。そして、この違いを誤解すると、深刻なリスクを招きこむことになる。この混乱は、単なる言葉の意味の問題ではない。特に、共有責任モデルに対する、根深い誤解を反映しやすい SaaS 環境においては、ベンダーとユーザーの責任の境界が曖昧になりがちである。
Continue reading “ミスコンフィグと脆弱性の決定的な違い:ログに記録されないリスクと対峙する方法とは?”New Attacks Exploit Year-Old ServiceNow Flaws – Israel Hit Hardest
2025/03/21 HackRead — ServiceNow で以前に公開された3つの脆弱性を狙う、悪意のある活動が大幅に増加していることを、脅威インテリジェンス企業 GreyNoise のセキュリティ研究者たちが警告している。ServiceNow は、ユーザー組織におけるデジタル・ワークフローの管理/自動化のためのクラウド・ベースのプラットフォームである。
Continue reading “ServiceNow の古い脆弱性 CVE-2024-4879/5217/5178 が標的:データベース侵害の恐れ”Unpatched Vulnerabilities Attract Cybercriminals as EDR Visibility Remains Limited
2025/02/27 gbhackers — CrowdStrike 2025 Global Threat Report によると、サイバー攻撃者たちの集団は、合法的なビジネスの業務効率を模倣し、高度に組織化されたプロ組織へと進化している。このレポートが強調するのは、2024年のサイバー脅威の状況が大きく変化し、高度な戦術を採用する攻撃者が、GenAI などの最新テクノロジーを活用して、そのアクティビティを拡大している状況である。
Continue reading “CrowdStrike の 2025 Global Threat Report:高度化する犯罪グループを数値で分析する”2025/02/27 TheHackerNews — GenAI に対する組織の立ち位置を整理すると、すでに導入しているケースと、ビジネス・プランに統合する戦略を評価しているケース、あるいは、その両方を推進しているケースに分かれるだろう。その一方で、情報に基づいた意思決定と効果的な計画を推進するには、現実を定量化したデータが不可欠となるが、その種のデータが、GenAI の世界では驚くほど不足している。
Continue reading “GenAI の企業での用方を調査する:可視化されない 89% の利用が新たなリスクを生み出す”2025/02/20 SecurityOnline — Microsoft が発表したのは、Power Pages プラットフォームに存在する、ゼロデイ脆弱性 CVE-2025-24989 (CVSS:8.2) への対処である。この脆弱性の悪用に成功した攻撃者は、ユーザー登録制御メカニズムをバイパスし、ネットワーク上での権限昇格の可能性を得る。この欠陥の悪用により、Power Pages 上に構築されたビジネス Web サイトにセキュリティ侵害のリスクが生じ、機密コンテンツや管理機能への不正なアクセスが許可される事態になり得る。
Continue reading “Microsoft Power Pages の脆弱性 CVE-2025-24989:悪用の報告と今後の対処について”Don’t Overlook These 6 Critical Okta Security Configurations
2025/02/10 TheHackerNews — 18,000 社を超える顧客を抱える Okta は、世界中の組織における ID のガバナンスとセキュリティの要となっている。しかし、この知名度の高さから Okta は、貴重な企業の ID/アプリケーション/機密データへのアクセスを求める、サイバー犯罪者たちの主要ターゲットにされている。先日にも Okta は、同社のサポート担当者になりすまし、フィッシング・ソーシャル・エンジニアリングを仕掛ける試みの増加を、顧客に警告している。
Continue reading “Okta のセキュリティ・コンフィグ:見落とせない6つの重要項目とは?”2025 State of SaaS Backup and Recovery Report
2025/01/24 TheHackerNews — いまのワークスペースは、劇的な変化を遂げている。ハイブリッド・ワークが標準となり、それを促進する企業により、クラウドベースの Software-as-a-Service (SaaS) アプリケーションが急速に導入されている。Microsoft 365 や Google Workspace などの SaaS アプリケーションは、いまのビジネス・オペレーションのバックボーンとなり、シームレスなコラボレーションと生産性を実現している。その一方で、SaaS ソリューションへの依存がサイバー脅威の急増を招き、ランサムウェアやフィッシングなどのリスクに、重要なビジネス データがさらされている。
Continue reading “SaaS におけるバックアップとリカバリーを考える:3,700 人を超える IT プロに聞いてみた”Microsoft Power Pages Misconfiguration Leads to Data Exposure
2024/11/14 InfoSecurity — ローコード SaaS Web プラットフォーム Microsoft Power Pages 内のミスコンフィグにより、深刻なデータ漏洩が発生している。AppOmni の新しいブログ投稿によると、過剰なアクセス権限を付与するユーザー組織では、PII (personally identifiable information) を取り込んだ機密データが、適切な権限を持たないユーザーに公開されるリスクが生じている。
Continue reading “Microsoft Power Pages のミスコンフィグ:深刻なデータ漏洩が発生している”Thousands of Oracle NetSuite E-Commerce Sites Expose Sensitive Customer Data
2024/08/17 DarkReading — Oracle NetSuite の ERP (enterprise resource planning) プラットフォーム SuiteCommerce で発見された、数千の Web サイトに影響を及ぼす広範なミスコンフィグレーションにより、機密性の高い顧客データが不正アクセスの危機に晒されている。この問題を明らかにしたセキュリティ会社の AppOmni は、eコマースをサポートするために NetSuite を使用している多くの企業が、CRT (Custom Record Type) に対するアクセス制御のミスコンフィグにより、顧客データへの不正アクセスを許していると指摘している。これらの CRT には、個人の住所や電話番号などの重要なデータが保存されており、サイバー犯罪者にとって格好の標的になっている。
Continue reading “Oracle NetSuite SuiteCommerce のミスコンフィグ:数千サイトの顧客データが危険に晒される”Compromised SaaS Supply Chain Apps: 97% Of Organizations At Risk Of Cyber Attacks
2024/03/29 GBHackers — SaaS (Software as a Service) アプリケーションに依存することで、効率性/イノベーション/成長を促進する企業が増えている。しかし、相互接続が多様化/複雑化するデジタル・エコシステムへのシフトには、リスクも伴うことになる。Wing Security の “2024 State of SaaS Security Report” によると、2023年には 97% もの組織が、侵害された SaaS サプライチェーン・アプリケーションを介した攻撃に直面しているという。この事実は、現代の企業のデジタル・インフラにおける、深刻な脆弱性を浮き彫りにしている。
Continue reading “2023 年の SaaS 脅威調査:97% の組織がサイバー攻撃のリスクに直面 – Wing Security 調査”Why Public Links Expose Your SaaS Attack Surface
2024/01/09 TheHackerNews — SaaS の強力なセールスポイントとなっているのは、アプリケーション間における連携機能である。Microsoft/Github/Miro などは、ユーザーのパフォーマンスを高めるものとして、各々のソフトウェア・アプリケーションの連携性の高さを訴求している。ファイル/リポジトリ/掲示板などへのリンク URL は、どこでも、誰とでも、共有できる。それにより、地域や部署を越えて分散している従業員間の連携が促進され、より強力なキャンペーンやプロジェクトを生み出すためのチームワークが後押しされる。
Continue reading “ファイル共有のベスト・プラクティス:SaaS の公開リンクが攻撃対象になる理由とは?”Critical Zoom Room Bug Allowed To Gain Access To Zoom Tenants
2023/11/30 SecurityAffairs — HackerOne の ライブ・ハッキング・イベント H1-4420 において、Zoom Room の脆弱性が AppOms の研究者たちにより報告された。言うまでもなく Zoom Rooms とは、秘密の会議やカンファレンスなどの物理的なスペースでのコラボレーションを強化する、Zoom ビデオ会議プラットフォームの機能のことである。この機能により、会議室にビデオ機能を備えたい企業や組織に対して、包括的なソリューションが提供される。
Continue reading “Zoom Room の深刻なバグ:HackerOne で報告された SaaS の問題”Confidence in File Upload Security is Alarmingly Low. Why?
2023/11/07 TheHackerNews — テクノロジー/金融サービス/エネルギー/ヘルスケア/政府機関など多くの業界が、クラウドベースやコンテナ化された Web アプリケーションの導入を急いでいる。そのメリットは否定できない。しかしこのシフトは、セキュリティ上の新たな課題をもたらす。OPSWAT の 2023 Web Application Security レポート では、次のことが明らかにされている:
Microsoft Temporarily Disables SketchUp Support After Discovery of 117 Vulnerabilities
2023/11/02 SecurityWeek — Microsoft 365 アプリケーションに、SketchUp (SKP) ファイルのサポートが追加された後に、117 件のユニークな脆弱性が発見されたと、Zscaler の ThreatLabz 調査チームが指摘している。Microsoft 365 の 3D コンポーネントの一部として、2022年6月に導入された SKP ファイル形式により、プレゼンテーションの作成とデータの視覚化において、多様な 3D ファイル形式の取り扱いが可能になった。この独自のファイル形式は、2000年から存在している。世界でもトップクラスの建築ソフトウェアである SketchUp は、そこに 3D モデルの作成に必要な情報を保存している。
Continue reading “Microsoft の SketchUp サポート:大量の脆弱性が発見され一時的に中止”ServiceNow Data Exposure: A Wake-Up Call for Companies
2023/10/30 TheHackerNews — 今週の初めに ServiceNow が発表したのは、同社のサポートサイト・プラットフォーム内でミスコンフィグレーションが生じていることだ、それにより、機密データへ向けた意図しないアクセスが発生する可能性があるという。ServiceNow を使用している組織にとって、このセキュリティの問題は、企業の機密データの重大な漏えいにつながりかねない重大な懸念事項である。そのため ServiceNow は、この問題を修正するための措置を講じている。
Continue reading “ServiceNow のデータ漏えい:たった1つのミスコンフィグレーションが原因だった”More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”Only 45% of cloud data is currently encrypted
2023/07/13 HelpNetSecurity — Thales によると、2022年にクラウド環境でデータ漏洩を経験した企業は 39% であり、前年に報告された 35% を上回っている。さらに、調査対象の 55%が クラウド・データ漏洩の主な原因として、人為的ミスを挙げている。その一方で、クラウドに保存される機密データのレベルが、劇的に高まっていることを多くの企業が報告している。クラウドに保存されているデータの40%以上が、機密データに分類されると、75% の企業が回答した。ハッカーの主な標的として挙げられるのは、38% の SaaS (Software as a Service) と、36% がクラウド・ストレージである。
Continue reading “暗号化されたクラウド・データは 45% に過ぎない:ハッカーの標的は SaaS/Storage に集中”Fileless attacks increase 1,400%
2023/07/04 HelpNetSecurity — Aqua Security が6ヶ月間のハニーポットデータを集計したところ、攻撃の 50%以上が防御回避にフォーカスしていたことが判明した。これらの攻撃には、”/tmp” から実行されるファイルなどによるマスカレード技術や、コードの動的なロード、難読化されたファイルなどが含まれていた。さらに、攻撃の 5%では、脅威アクターがメモリ常駐型のマルウェアを使用していた。2022年の Aqua Nautilus の事前調査と比較すると、この種のファイルレス攻撃は 1,400%増加している。つまり、脅威アクターが侵害されたシステム上で検知を回避し、より強固な足場を築く方法に重点を置くようになっていることが示されている。
Continue reading “Fileless 攻撃の台頭:Aqua Security のハニーポット集計で 1,400% の増加”53% of SaaS licenses remain unused
2023/07/04 HelpNetSecurity — 早急な対策を講じるべきだと Productiv が指摘しているのは、企業における調達/IT/財務部門のリーダーに対するものであり、支出とガバナンスの問題が制御不能に陥るのを防ぐための、SaaS (Software as a Service) ポートフォリオの合理化である。同社は、過去3年間に約1億の SaaS ライセンスが、どのように使用されたかを分析し、1,000億以上のアプリ使用データ・ポイントを含む、SaaS の成長/支出/統合/使用に関する、きわめて重要な SaaS の統計/洞察に関するレポートを提供している。
Continue reading “SaaS ポートフォリオ合理化の必要性:企業内の SaaS アプリの 51% がシャドー IT”MSPs urged to refine security solutions in response to growing SMB needs
2023/04/10 HelpNetSecurity — Kaseya の調査によると、それぞれの MSP は、サービス提供を効率化し、コスト管理を改善するために、コアツール間の統合と自動化にフォーカスしている。回答者の約 90% は、エンドポイントの管理/監視および、パッチ適用、チケット解決などの、サイバー・セキュリティに関するプロセスを自動化することで、効率を改善しようとしている。それにより、より多くの顧客を引き受け、より多くの収益を生み出すことが可能になるため、彼らのビジネスにとって自動化は、重要なテクノロジーであると評価しされる。
Continue reading “MSP たちは何を考える? セキュリティ・サービスの強化に同意する経営者と技術者”When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About
2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。
Continue reading “MFA の限界を知ろう:Active Directory との相性の悪さについて深堀りする”Public SaaS Assets Are a Major Risk For Medium, Large Firms
2023/03/01 InfoSecurity — 中堅企業の 81% および大手企業の 78% が、Google Drive/Workspace に暗号化ファイルを保存している。また、61% の組織には、会社が所有の資産を個人のメールで共有する従業員がいる。この調査結果は、DoControl の最新レポート Software-as-a-Service (SaaS) Security Threat Landscape から得られたものであり、機密資産の人手による追跡が、これまで想像されていた以上に複雑になる可能性を示唆している。
Continue reading “SaaS 内の資産は混乱している:3rd/4th パーティとの共有状況を定量化する”Shocking Findings from the 2023 Third-Party App Access Report
2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織 で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取/更新/作成/削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。
Continue reading “SaaS-to-SaaS 接続のリスク:人々の認識よりも遥かに根深い問題とは?”Insider attacks becoming more frequent, more difficult to detect
2023/01/30 HelpNetSecurity — Gurucul の調査によると、あらゆる種類の組織において、インサイダー脅威は最大の関心事となる。調査対象者のうち、インサイダー脅威のリスクについて、懸念しないという回答者はわずか3%だという。325名以上のサイバー・セキュリティの専門家たちからの回答をもとに、変化する内部脅威への対応に取り組む組織が、直面している最新のトレンドと課題、そして機密データと IT インフラの確実な保護のために、組織が取り組んでいる体制作りなどを、同社は調査している。
Continue reading “インサイダー脅威に関する調査:多発する攻撃と困難な発見への懸念”Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge
2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。
Continue reading “SaaS Shadow IT をゼロにしたい:非侵入型ディスカバリー・ツールの無償版とは?”Enforcement vs. Enrollment-based Security: How to Balance Security and Employee Trust
2023/01/03 TheHackerNews — セキュリティに対して強制を重視するアプローチは、セキュリティ・コントロールに裏打ちされたセキュリティ・ポリシーから始まる。多くのケースにおいて、危険な行動に走る従業員を引き止め、不注意による攻撃対象領域の拡大を抑制するよう、強引な設計が施されている。
Continue reading “セキュリティの強制は行き詰まる:従業員を信頼する登録型アプローチが不可欠”Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service
2011/11/15 TheHackerNews — サイバー・セキュリティ研究者たちが、Zendesk Explore に存在する欠陥 (パッチ適用済み) の詳細を公開した。この脆弱性の悪用に成功した攻撃者は、Explore 機能を ON にした顧客アカウントの情報に、不正にアクセスする可能性があったとされる。
Continue reading “Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生”Atlassian Vulnerabilities Highlight Criticality of Cloud Services
2022/10/25 DarkReading — アジャイル・プランニングの SaaS (Software-as-a-Service) ツール Atlassian Jira Align に存在する2つの脆弱性 (CVE-2022-36802/CVE-2022-36803) により、サービスにアクセスできる脅威アクターがアプリケーション管理者になり、Atlassian サービスを攻撃する可能性があることが判明した。サイバーセキュリティ・サービス企業である Bishop Fox は、「この脆弱性は、クラウド・サービスで生じるリスクの典型であり、比較的よく知られているが、発見するのが難しいことが多い」と、今日のアドバイザリで述べている。
Continue reading “Atlassian Jira Align の脆弱性:クラウド・インフラの一部を制御される可能性”Why Vulnerability Scanning is Critical for SOC 2
2022/09/12 TheHackerNews — SOC 2 (Service and Organization Controls) は自発的な基準かもしれないが、今日のセキュリティに対して敏感なビジネスにとって、SaaS プロバイダを検討する際の最小要件でもある。コンプライアンスには長く複雑なプロセスが必要だがが、Intruder のようなスキャナーを使用すれば、脆弱性管理の項目にチェックを入れることが簡単になる。
Continue reading “SOC 2 (Service and Organization Controls) について:SaaS の評価と脆弱性への対応”Phishing attacks abusing SaaS platforms see a massive 1,100% growth
2022/08/23 BleepingComputer — 脅威アクターたちが、Web サイト・ビルダーやパーソナル・ブランディング・スペースなどの、正規の SaaS (Software-as-a-Service) プラットフォームを悪用して、ログイン情報を盗むための悪質なフィッシング・サイトを作成する手口が増加している。Palo Alto Networks Unit 42 の最新レポートによると、研究者たちは SaaS 悪用の急増を確認しており、同社が収集したデータは、2021年6月〜2022年6月で 1,100% という大幅な増加を示しているという。
Continue reading “SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増”7 Key Findings from the 2022 SaaS Security Survey Report
2022/05/19 TheHackerNews — Adaptive Shield は CSAと共同で、今日の企業における CISO やセキュリティ担当者から見た SaaS セキュリティの状況を調査し、2022 SaaS Security Survey Report として提供している。このレポートでは、CSA 会員 340社から匿名の回答を集めることで、SaaS セキュリティ・リスクの高まりと、各組織もおけるセキュリティ対策の現状を調査している。
Continue reading “SaaS ユーザー 340社を調査:ミス・コンフィグレーションを無くす7つのポイントとは?”The SaaS-to-SaaS supply chain is a wild, wild mess
2022/05/12 HelpNetSecurity — クラウドへの移行と IT の民主化により、ビジネス・ワークフローのデジタル化と自動化のための統合が進み、相互に接続されたビジネス・アプリのネットワークが拡大し続けている。デジタル・トランスフォーメーション時代の従業員たちは、生産性を高めるために、SaaS アプリや、Workato/Zapier などの no/low code プラットフォーム、サードパーティ・アプリを独自に採用/接続している。
Continue reading “SaaS-to-SaaS サプライチェーンの時代:保護すべき対象がズレ始める時代”Researchers uncover URL spoofing flaws on Zoom, Box, Google Docs
2022/05/11 HelpNetSecurity — フィッシング犯人が生成した悪意のコンテンツへのリンクが、組織の SaaS アカウントによるホストされているように見せかける、いくつかの URL スプーフィング・バグを、研究者たちが Box/Zoom/Google Docs で発見された。
Continue reading “Zoom/Box/Google の URL スプーフィング問題:公認 SaaS のサブドメインなどが悪用される”Cyber Threat Protection — It All Starts with Visibility
2022/01/19 TheHackerNews — 動物が五感を使って危険を察知するように、サイバー・セキュリティは、コンピュータ環境における危険を知らせる信号を識別するセンサーに依存している。この感覚が高度に調整され、多様で協調的であればあるほど、危険を示す重要な信号を検出できる可能性が高くなる。しかし、これは諸刃の剣でもある。信号が多すぎても、高度な信号処理がなければ、ただのノイズになってしまう。しかし、高度に進化した信号処理による適切で多様な信号の存在は、生存へとつながる。
Continue reading “サイバー脅威の可視化:XDR (Extended Detection and Response) ソリューションとは?”NIST Cybersecurity Framework: A Quick Guide for SaaS Security Compliance
2022/01/06 TheHackerNews — サイバー・セキュリティにおける最新のベストプラクティスを知りたいとき、私は米国の National Institute of Standards and Technology (NIST) を訪れる。最新のパスワード要件 (NIST 800-63) から、製造業者向けの IoT セキュリティ (NISTIR 8259) にいたるまで、NIST は常に出発点である。NIST は、組織の専門性と、NIST 文書の作成に協力する外部の専門家により、米国の標準制定者として重要な役割を果たしている。
Continue reading “NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的”Underinvestment in Multi-Cloud Security a Pressing Concern
2021/11/24 SecurityBoulevard — 大多数の企業は 2022年において、マルチクラウドを戦略的に優先させ、セキュリティを最重要視する計画を立てているが、それ実行するために必要なツールやスキルが不足しているとも感じている。実際のところ、成長するビジネスに伴い、いずれはマルチクラウドが必要になると、大多数の企業は考えているが、セキュリティ上の複雑さが原因となり、IT リーダーたちはマルチクラウドへの移行を躊躇している。
Continue reading “マルチ・クラウドへの移行が止まらない:追いつかないセキュリティ関連の予算”Companies Fail to Encrypt, Protect Data in the Cloud
2021/11/02 SecurityBoulevard — 昨年において、40% の組織が、クラウド・ベース侵害の被害に遭っていることを考えると、クラウド上のデータを保護することに重きが置かれていると思えてくる。しかし、2021 Thales Global Cloud Security を観ると、そうでも無さそうだ。なんと 83% もの企業が、クラウド上に保管している機密データを、半分も暗号化できていないのだ。さらに、3分の1にあたる 34% は、暗号化キーを完全に管理していない。
Continue reading “クラウドにおけるデータの暗号化と保護:大半の企業が未達成という状況”Understanding the Human Communications Attack Surface
2021/11/01 DarkReading — 最近の話だが、Slack/Microsoft Teams/Zoom などのチャネルで、人と人のコミュニケーションを悪用した脆弱性の公開や、PoC エクスプロイトの悪用などのインシデントが増えている。これらのクラウド・ベースのチャネルは、具体的な攻撃手段であるだけではなく、内部の人間にアクセスできるという点で、ヒューマン・コミュニケーションを悪用する犯罪者にとって、魅力的な手段となっている。
Continue reading “Slack/Teams/Zoom などによる攻撃面積の拡大を理解する”Securing SaaS Apps — CASB vs. SSPM
2021/11/01 TheHackerNews — Cloud Access Security Brokers (CASB) と SaaS Security Posture Management (SSPM) は、SaaS アプリケーションのセキュリティに対処するために設計されたソリューションであるため、しばしば混同される。CASBは、重要なデータを保護するために、複数のセキュリティ・ポリシーを実施することで、機密データを保護する。
Continue reading “SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?”The Ultimate SaaS Security Posture Management (SSPM) Checklist
2021/10/14 TheHackerNews — クラウド・セキュリティとは、その中に IaaS/PaaS/SaaS を抱く傘である。Gartner は、セキュリティ・リスクを継続的に評価し、SaaS アプリケーションのセキュリティ体制を管理するソリューションとして、SaaS Security Posture Management (SSPM) カテゴリーを設けた。
Continue reading “SaaS セキュリティ統合:SSPM ツールを選ぶ際のチェックリスト”[eBook] The Guide for Reducing SaaS Applications Risk for Lean IT Security Teams
2021/10/13 TheHackerNews — SaaS (Software-as-a-Service) 業界は、わずか数年の間に、目新しいものから、ビジネス界に欠かせないものへと変化した。多くの企業にとってのメリットとして、効率性や生産性の向上と、容易なアクセスなどが明らかになっているが、SaaS モデルがもたらすリスクも目立ち始めている。現在、大半の企業が SaaS を利用していると言っても過言ではない。それにより、セキュリティ・チームにとって、大きな課題が生じている。
Continue reading “SaaS のセキュリティ:リスクを分析して対策を講じる”Unmanaged SaaS Data Brings Supply Chain Risks
2021/08/30 SecurityBoulevard — SaaS (Software-as-a-Service) のデータに対するアクセスが管理されていなと、内部および外部からの脅威が発生する可能性が高まる。その理由を、DoControl Inc の新しいレポートが示している。この SaaS セキュリティ企業は、平均 1,000人の従業員を抱える企業と、50万件〜1,000万件の資産を持つデータストアを評価した結果として、SaaS データ・アクセスの40%が管理されていないことを発見した。つまり、膨大な資産が、パブリックに共有される可能性があるのだ。
Continue reading “SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる”Salesforce Communities Misconfig Puts Clients, Partners at Risk
2021/08/17 SecurityBoulevard — Varonis の研究者たちが発見した、Salesforce Communities のミス・コンフィグレーションとは、大切なデータをインターネットに公開してしまう可能性を持つものだ。Varonis のブログには、「匿名のユーザにより、顧客リストや、サポート・ケース、従業員の電子メール・アドレスなどの、機密情報を含むオブジェクトの照会が可能になる」と述べている。
Continue reading “Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす”Adobe fixes critical preauth vulnerabilities in Magento
2021/08/10 BleepingComputer — Adobe は Patch Tuesday において、Magento の Critical な脆弱性と、Adobe Connect の important バグを修正する、セキュリティ・アップデートを公開した。今日のセキュリティ・アップデートが提供された Adobe 製品は以下の通りだ。
• APSB21-64 Security updates available for Magento
• APSB21-66 Security update available for Adobe Connect
Rising Threats Target Cloud Providers, Virtual Infrastructure
2021/07/20 SecurityBoulevard — Positive Technologies のレポートによると、仮想化環境を攻撃するためのマルウェア開発が増加しており、その中には仮想インフラをディプロイするためのソフトウェア内で既に見つかっている脆弱性を、積極的に利用しようとするサイバー犯罪者もいるという。2021年におけるサイバー攻撃の全体的な件数は、2020年の第1四半期との比較では 17% 増加となっており、また、77% が標的型攻撃であったとのことだ。
Continue reading “クラウドや仮想環境をターゲットにする脅威のトレンドとは?”How to Bridge On-Premises and Cloud Identity
2021/07/15 DarkReading — 組織が管理すべき ID の数は膨大であり、気が遠くなるほどだ。場合によっては、何十万/何百万もの人々/デバイスが存在することもある。歴史的にみるとは、これらの ID は、ビジネスアプリケーションや、レガシーの ID インフラストラクチャ、そして特定のデータセンターにハードコードされた、いくつかの内部 ID サイロに分散していた。
Continue reading “オンプレミスとクラウドの ID を効果的にブリッジするには”
IoT OT Security News 