サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ノーベル賞
yamory.io
開発者やセキュリティエンジニアの中には、日々セキュリティのニュースサイトや Twitter で自分たちが利用しているソフトウェアに新しい脆弱性が発見されていないか確認している方も多いかと思います。 もし、自分たちが利用しているソフトウェアに脆弱性がありそうだとわかったら次に何をしていますか? 多くの脆弱性には CVE ID が割り当てられているため、その CVE ID を使ってより詳細な情報、正しい情報を調べることと思います。 そして、その際に多くの人が利用するのがアメリカ国立標準技術研究所 NIST が管理する NVD(National Vulnerability Database)のサイトではないでしょうか。 本記事では NVD の情報だけでの脆弱性調査の課題や、より楽に正しい脆弱性情報を収集するための方法について解説します。 ※こちらの内容は 2020 年 4 月 22 日に開催され
既知の悪用された脆弱性一覧 CISA KEVカタログCISA KEVカタログの概要と公開された背景、SSVCと呼ばれる優先順位付けのフレームワークの概要と実運用時の課題について紹介します。
yamoryでは、CISA Known Exploited Vulnerabilities (KEV) カタログを取り込み、CISA KEVカタログに掲載されている脆弱性があるかどうかをすぐに確認できるように、オートトリアージ機能への組み込みを行いました。 CISA KEVカタログは、既知の悪用が観測された脆弱性が掲載されているため、特にリスクの高い脆弱性の一覧となっております。 今回は、CISA KEVカタログの概要と公開された背景、CISA KEVカタログを脆弱性管理に有効活用する方法の例として優先順位付けのフレームワークのSSVCの紹介と実運用時の課題について紹介します。 CISA Known Exploited Vulnerabilities (KEV) カタログとはCISA Known Exploited Vulnerabilities (KEV) カタログは、米国サイバーセキュ
医療機器やその他のハイセイフティ用途等のシステム、ソフトウェアに関連するお客様より、SBOMや脆弱性管理に関連する様々なニーズやご要望をいただいている中、ハイセイフティ用途に該当し得る場合でもyamoryサービスの利用を許諾して欲しいというご要望が多数ございました。 そのため、お客様側でyamory サービスのカバー範囲を正しくご理解いただいた上で、ハイセイフティ用途の場合についても本サービスの利用を認めることと致しました。 第14条(ハイセイフティ用途) 契約者は、本サービスが、一般用、家庭用、通常の産業用等の一般的用途を想定して提供されているものであり、航空機飛行制御、航空交通管制、大量輸送システムにおける運行制御、生命維持のための医療用機器、原子力核制御、発射制御等、極めて高度な安全性が要求され、仮に当該安全性が確保されない場合、生命・身体に対する危険性を伴う用途(以下「ハイセイフテ
OWASPよりOWASP API Security Top 10 2023が2023年6月5日に公開されました。 OWASP API Security Top 10では、Web アプリケーションだけでなく、モバイルアプリ、IoTなど様々な用途で利用されているAPIのセキュリティリスクを理解し、対策するためのベストプラクティスとして提供されています。 今回は、OWASP API Security Top 10 2023の各項目の概要とOWASP Top 10との違い、活用方法、実際にどのような形で脆弱性が存在するのかをバグバウンティで公開されているものを例に紹介します。 OWASP API Security Top 10 2023 OWASP API Security Top 10 2023 API1:2023 オブジェクトレベルの認可の不備 (BOLA) API1:2023 オブジェクトレ
SBOM(Software Bill of Material)の標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。これにより、ソフトウェアサプライチェーンの中で組織を越えて SBOMを共有するための相互運用性が向上します。 SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。 ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。大統領令では、ソフトウェアサプライチェーンセキュリティを向上するためのガイドラインや SBOM の最小要素の発行が命じられています。 日本国内においても、経済産業省に「サイバー・フィジカル
これまでExcel等で独自に管理されていたネットワーク機器等のIT資産やコンポーネント情報を取り込み、yamory上での資産管理および脆弱性の一元管理を可能にする「IT資産登録機能」を2023年4月24日にリリースいたします。 これによりクラウドのみならずオンプレミス環境のIT資産やコンポーネント情報の統合的な脆弱性管理が可能になります。ITシステムに必要な脆弱性対策をオールインワンで実現し、安心してテクノロジーを活用できる世界を目指してサービスを磨いてまいります。 サイバー攻撃が巧妙化する中、ネットワーク機器の脆弱性を悪用した攻撃が多発しています。昨今では、VPNの脆弱性を突かれたことによる医療機関へのサイバー攻撃が大きな話題となりました。この攻撃で悪用された可能性のある脆弱性(CVE-2018-13379)は、2019年に修正プログラムが公開されているにもかかわらず、2021年には63
弊社は、金融機関を対象としたサイバーセキュリティ対策強化を支援する活動の一環として、一般社団法人金融ISAC(所在地:東京都千代田区/理事長:谷合 通宏 以下、金融ISAC)に4月1日よりアフィリエイト会員として加盟いたしました。 サイバー攻撃の脅威は年々高まっており、金融業界においてもマルウェア感染による不正送金をはじめ、DDoS や悪意のあるメールの受信などのインシデントが発生しています。短期間で高度化、多様化、拡散する攻撃に対して、個別組織で対応していくことは困難で、企業の枠を越えて団結しサイバーセキュリティ対策を強化することが極めて重要です。こうした背景を踏まえ、深刻化する脅威に対抗し、金融サービス利用者の安心・安全を継続的に確保するべく、2014 年に金融ISAC が設立されました。 アシュアードが提供する脆弱性管理クラウド「yamory(ヤモリー)」は、サプライチェーンの複雑化
アマゾン ウェブ サービス(以下、AWS)が 2023年3月15日から一般提供を開始する「Amazon Linux 2023」 (以下、AL2023) の、国内唯一となるローンチパートナーとして認定されたことをお知らせします。 これにより、AL2023の提供開始直後からyamoryによるスキャンが可能となります。また、AWSサービスレディプログラムの一つであるAmazon Linux Ready認定も取得しました。yamoryは、Amazon Linux上でサポートされたソフトウェアとして安心してご利用いただけます。 AL2023ローンチパートナーおよびAmazon Linux Ready認定サービスとしてAWSと緊密に連携し、AWSサービスにおける脆弱性対策をお客様に提供することで、安心してテクノロジーを活用できる世界を実現し、社会のDX加速を支えるべく、サービス向上に努めてまいります。
BIPROGY様は、創業から60年以上にわたり、ITサービスインテグレーターとして様々な業界における基幹システム、業務システムなどの受託開発やITサービス提供を行っています。同社のITサービス提供におけるDevSecOpsの取り組みを進めるなかで、SCA(Software Composition Analysis、ソフトウェアコンポジション解析)活用のためのツールとしてyamory導入に至りました。 この度、BIPROGY Techマーケ&デザイン企画部 村野 葉月氏とプロセスアウトソーシング本部 合原 忠孝氏にyamory導入の背景や同社の取り組みについて伺いました。 BIPROGY株式会社様 創業から60年以上にわたり、ITサービスインテグレーターとして様々な業界における基幹システム、業務システムなどの受託開発やITサービスを提供
2022 年も残りわずかとなり今年の振り返りをする時期になりました。 yamory では脆弱性データベースを構築しているため日々公開される脆弱性情報を収集していますが、今年も多くの脆弱性・攻撃コード (PoC) を目にしました。 今回、yamoryの脆弱性データベースの情報や実際に脆弱性スキャンによって検知された脆弱性情報から今年はどのような傾向があるのか、今後どのような対策が必要になるのかを分析し、脆弱性セキュリティレポートとして公開しました。 本記事では脆弱性セキュリティレポートの内容を一部紹介したいと思います。 脆弱性セキュリティレポートはこちらよりお申し込みください。 脆弱性数の推移世の中に公開されている脆弱性データベースとして有名なものとして、アメリカ国立標準技術研究所NISTが管理する NVD (National Vulnerability Database) があります。 N
昭和41年の創業から、全国の会計事務所と、地方公共団体の2領域に特化した情報サービスを提供し独自の地位を築くTKC様は、本社の所在する「栃木県」の名門企業であり同時に東証プライム上場企業です。企業の財務情報や自治体のマイナンバー情報など、いわば「社会的にも極めて重要度が高い情報」を扱う同社は、独自データセンターを運営し、ソフトウェアの開発や、セキュリティを含む各種運用を行うエンジニアが約1,000名を数えます。 この度、yamoryをご導入いただいた株式会社TKC様にyamory導入の背景や同社の取り組みについて伺いました。
マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことです。 (悪意のあるパッケージ、悪意のあるライブラリなどの表現をされることもありますが、英語では malicious package と表現されているため、ここではマリシャスパッケージと表現します。) このパッケージをインストールすると環境変数に含まれる機微情報が抜き取られるなどの情報漏えい、クリプトマイニングのようなコンピュータリソースが悪用されるなど深刻な影響につながります。 次世代のソフトウェアサプライチェーンへの攻撃として登場し、近年攻撃が急増しています。 今回は、マリシャスパッケージとはどのような攻撃なのか、概要の説明と具体的にどのような攻撃手法があるのか、その対策方法について紹介します。 マリシャスパッケージとは? マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッ
AWS Graviton ベースのインスタンスにおいて脆弱性検知が可能に。AWS Graviton ならではの高いコストパフォーマンスと開発スピードを活かしながら、脆弱性対策をスムーズに実施することが可能になります。
セキュリティを守る3つの脆弱性対策手法と、大きな工数削減を実現したyamoryの導入についてお伺いしました。
SBOM の必要性が増している背景や国内外の状況、具体的な SBOM の仕様、SBOM 対応の方法についてお伝えしました。
本記事では、脆弱性診断と脆弱性管理サービスの脆弱性の検出方法の違いと対象となるレイヤーの違いからどのようなメリット・デメリットがあるのかについて紹介します。
特にゼロデイ攻撃を抑えて 6 位にランクインしている「脆弱性対策情報の公開に伴う悪用増加」とは、まさに既知の脆弱性を利用した攻撃のことを指摘しており、SBOM を利用して現在利用されているソフトウェアやそのバージョンが管理できていれば、事前に被害を抑えられたものであると言えるでしょう。 SBOM を取り巻く国内外の状況米国大統領令における SBOM の位置付けこれまでに説明してきたような既知の脆弱性に対する攻撃に対処するため、米国では 2021 年 5 月に SBOM に関する大統領令が発令されました。この中には、米国国立標準技術研究所(NIST)と米国商務省電気通信情報局(NTIA)が協力して SBOM の最小構成要素を定めること、NIST がソフトウェアサプライチェーンを明確にするためのガイドラインを策定すること、また製品購入者への SBOM 提供に関する項目も含まれています。 さらに
新規事業の創出と開発に向けた組織活性化や人材育成を行う株式会社アルファドライブ様は2018年創業。「新規事業が生まれ続ける」組織設計や制度作りを行っています。また、新規事業開発支援サービス「Incubation Suite」などのSaaSの自社開発を積極的に行っており、脆弱性管理クラウドyamoryをCI/CDツールと統合して、開発チーム全体で2022年5月から活用しています。 取材時に「私自身がyamoryが好きでファン」と破顔一笑した、執行役員CTO/ニューズピックス技術フェローの赤澤氏にお話をうかがいました。 株式会社アルファドライブ様 新規事業の創出と開発支援を行い、新規事業開発を支えるSaaS「Incubation Suite」や、人材育成と組織改革のプラットフォーム「NewsPicks Enterprise」などを提供
近年、Log4Shell、Spring4Shell などのゼロデイ攻撃・ゼロデイ脆弱性が話題になることがあります。 上記のようなゼロデイ脆弱性が発見されると、どのような影響があるのか、緩和策・回避策があるのか、いつ修正プログラムが提供されるのか、などの情報収集や脆弱性への素早い対応が求められます。 脆弱性が公開されるとすぐに攻撃コードと呼ばれる悪用に利用できるコードも公開され、悪用までのスピードも短くなってきていると言われています。 また、ゼロデイ攻撃が増加しているとも言われています。 今回は、そもそもゼロデイ攻撃・ゼロデイ脆弱性というワードの説明から、なぜ近年増加しているのか、またゼロデイ攻撃への対策はどうすればよいのかについて解説します。 ゼロデイ攻撃とは?ゼロデイ攻撃は、修正プログラムが提供される前に公開された脆弱性(ゼロデイ脆弱性)を悪用した攻撃のことです。 修正プログラムが提供さ
会社の成長と事業の多角化が進む中、全社横断での脆弱性管理とその自動化についてお伺いしました。
DevSecOpsを成功させるためのポイントと共に「アジャイル開発におけるセキュリティ | パターン・ランゲージ」を解説します。
2000年に創業したChatworkは、メール・電話・会議に代わるビジネスコミュニケーションツール「Chatwork」を提供し、343,000社(2021年12月末日時点)に導入されています。Chatworkでは、セキュリティ対策として脆弱性管理クラウドyamoryを導入し、プロダクトの安全性を強化しています。yamory導入の経緯、活用状況について、プロダクト本部 副本部長 兼 プロダクトセキュリティ部マネージャーである田中佑樹氏、およびプロダクトセキュリティ部の新沼孝之氏にお話をうかがいました。
2021年も残りわずかとなりましたが、今年も多くのセキュリティのニュースがありました。 ランサムウェアによる被害やWindowsの脆弱性の悪用などの去年もよく目にしたニュースや、Dependency Confusion (依存関係かく乱攻撃)やCodecov社のセキュリティインシデント、大統領令など今年に新たに大きく話題となったものも多くあります。 また、今月にもApache Log4jの脆弱性(CVE-2021-44228)が公開され、世界中の多くのサービスで使われていることもあり、大きく話題となりました。 今回は、今年気になったセキュリティニュースを月毎にピックアップして紹介し、さいごに今年の振り返りをしたいと思います。 月 IPA 情報セキュリティ 10大脅威 2021公開毎年IPAより発行されている「情報セキュリティ 10大脅威」が公開されました。 https://www.ipa.
Google によって開発されていた TensorFlow に任意のコード実行に繋がる脆弱性(CVE-2021-37678)が報告されました。 この脆弱性は安全でないデシリアライゼーションと呼ばれる脆弱性で、多くのプログミング言語に存在するバイト列等の表現で直列化されたデータを元のオブジェクトに変換する処理で発生する脆弱性です。 報告されたものは TensorFlow の脆弱性ですが、TensorFlow と同様の実装がされているソフトウェアにも影響があり、GitHub で検索をしただけでも多くプロジェクトで同様の実装が見られます。 今回は、TensorFlow の脆弱性を例に、Python の PyYAML における安全でないデシリアライゼーションについて解説します。 また、この記事を書くための調査の中で、新たな脆弱性を発見し、CVE-2021-43811(Amazon Translat
Amazon Translateでも利用されている機械翻訳フレームワークSockeyeとPythonのマイクロサービスフレームワークnamekoの任意のコード実行に繋がる脆弱性を発見し、報告を行い、CVEを2件(CVE-2021-43811, CVE-2021-41078)取得しました。 オープンソースソフトウェア(OSS)の脆弱性を発見、報告、CVEを取得までどのような過程を経たのか、OSSの脆弱性を見つける場合にはどのようにすると良いのか、報告方法はどうすればいいのか、今回の経験をもとにポイントを紹介します。 脆弱性報告の経緯 そもそもOSSの脆弱性を発見した経緯としては、前回の「TensorFlowだけじゃない!安全でないデシリアライゼーション in Python」の記事を書く中で、GitHubでyaml.unsafe_loadやyaml.UnsafeLoaderで検索すると脆弱な実
yamory AWS 連携 〜 AWS 上の IT システムの脆弱性管理を yamory で実現 〜脆弱性管理クラウド yamory が、AWS ファンデーショナル テクニカルレビュー(FTR)を通過
OWASP Top 10 2021が2021年9月24日に公開されました。 OWASP Top 10 2017年版から3つの新しいカテゴリーも追加され、4番目には安全でない設計(Insecure Design)といった設計・アーキテクチャに関するカテゴリーも追加されています。 今回は、OWASP Top 10 2021の概要と2017年版との変更点を解説します。 (正式な日本語翻訳版が公開されていないため、カテゴリー名が正式な日本語訳版とは異なる場合があります。) OWASP Top 10 2021 概要以下のカテゴリーがOWASP Top 10 2021となりました。 OWASP Top 10 2021 A01:2021 - アクセス制御の不備URL、内部アプリケーションの状態、HTMLの変更やCORSの設定ミスによるアクセス制御のバイパス、アクセス制御の不備のあるAPIへのアクセスとい
node-tar で発見された任意のファイルの書き込み・上書きの脆弱性(CVE-2021-32804)について調査を行いました。 node-tar 3.2.2, 4.4.14, 5.0.6, 6.1.1以前のバージョンを利用している場合、この脆弱性の影響を受けることがあります。 加えて、node-tarを間接的に利用している場合にも影響を受けることがあります。具体的には、npmもtarファイルを扱う処理にnode-tarを使っているため、脆弱なバージョンのnpmを使って、信頼できないtarファイルを処理することで影響を受ける場合があります。 今回は、CVE-2021-32804の修正コミットを確認してどのような脆弱性だったのか確認し、実際に脆弱性が再現できるのかDockerで環境を用意して検証を行いました。 また、npmにも影響があるかの検証も行い、こちらもDockerの環境にて確認を行い
次のページ
このページを最初にブックマークしてみませんか?
『yamory | 脆弱性管理クラウド | SBOM対応』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く