Tag: Secure by Design

Secure by Design は単なるスタート地点:そしてレジリエンスの始まりである – CISA

Secure by Design is just the start, CISA official says

2025/06/13 nextgov — CISA の関係者によると、Secure by Design の導入は、脅威に対抗する強靭なデジタル環境を構築するための、第一歩に過ぎないという。ワシントンD.C.で開催されたサイバー・セキュリティ会議 Critical Effect の講演で、CISA の Secure by Design Initiative PM である Kirk Lawrence は、「このイニシアチブの原則の導入は、家のセキュリティ対策として、玄関のドアに鍵をかけるようなもので、最初のステップに過ぎない」と述べている。

Continue reading “Secure by Design は単なるスタート地点:そしてレジリエンスの始まりである – CISA”

CISA 長官 Jen Easterly の退任:トランプ新政権による人事の刷新

CISA Director Jen Easterly to Step Down

2024/11/19 SecurityWeek — 11月19日 (火) に米国の CISA が発表したのは、2025年1月20日付けで Jen Easterly 長官と Nitin Natarajan 副長官が退任し、新政権によるリーダーシップ刷新への道を開くことである。CISA の広報担当者は、「トランプ新大統領が 1月20日正午に就任までに、バイデン・ハリス政権が任命した、すべての幹部は退任し、新たな体制への移行に、CISA は全力で取り組んでいく」と、SecurityWeek に対して、

Continue reading “CISA 長官 Jen Easterly の退任:トランプ新政権による人事の刷新”

Secure-by-Design のトレーニングを実施するソフトウェア開発者は 4%未満 – Secure Code Warrior

Few software developers employ secure by design training, research finds

2024/10/15 NextGov — 10月15日 (月) に公開されたレポートによると、世界中のソフトウェア開発者のうち、製品の設計と開発に基本的なサイバー・セキュリティ基準を組み込むことに焦点を当てるトレーニングを実施しているのは、わずか 4%未満であるという。この数値の低さは、基本的なソフトウェアのバグが、依然としてハッカーたちに頻繁に悪用されている理由を裏付けるものかもしれない。このレポートは、産業界にセキュアなソフトウェア・ツール/サービスを提供する、オーストラリアの Secure Code Warrior によるものだ。

Continue reading “Secure-by-Design のトレーニングを実施するソフトウェア開発者は 4%未満 – Secure Code Warrior”

CISA/FBI の共同アラート:XSS バグの排除へ向けたアドバイスを公開

CISA Issues Advice to Help Eliminate XSS Bugs

2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の1つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。

Continue reading “CISA/FBI の共同アラート:XSS バグの排除へ向けたアドバイスを公開”

CISA が Secure by Demand Guide を発表:組織の調達戦略での採用を促す

#BHUSA: CISA Encourages Organizations to Adopt a ‘Secure by Demand’ Strategy

2024/08/09 InfoSecurity — 米国 CISA の主要イニシアチブのひとつに、2023年に開始された “Secure by Design” がある。その一方で同庁は、ソフトウェア・ユーザーに対して、Secure by Demand のアプローチを取るよう働きかけ始めた。これは、CISA の局長である Jen Easterly が、Black Hat USA の主要ステージで語ったメッセージである。

Continue reading “CISA が Secure by Demand Guide を発表:組織の調達戦略での採用を促す”

CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design

CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities

2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。

Continue reading “CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design”

境界防御について再考する:レベルアップした攻撃者たちの回帰に備えて- NCSC

Securing Perimeter Products Must Be a Priority, Says NCSC

2024/03/04 InfoSecurity — 英国のサイバー・セキュリティ専門家たちが警告するのは、企業ネットワークの境界における安全とは言えないセルフ・ホスト製品を、脅威アクターたちが標的にし始めていることだ。先週末のブログ投稿で NCSC (National Cyber Security Centre) は、ネットワーク防御者は対策と環境をアップグレードし、進化する脅威に適応する必要があると主張している。攻撃者たちは、境界から露出した製品の大半が、Secure by Design から逸脱していることに気づいており、また、一般的なクライアント・ソフトウェアよりも簡単に脆弱性を見つけ出せる対象だと知っている。

Continue reading “境界防御について再考する:レベルアップした攻撃者たちの回帰に備えて- NCSC”