半径300メートルのIT:
脆弱性診断=アタックサーフェスマネジメント? 新興キーワードを深く学ぼう
話題のキーワード「アタックサーフェスマネジメント」への理解を深める有用なドキュメントが公開されました。「アタックサーフェスマネジメントってよく聞くけど脆弱性診断と何が違うの?」という方は必見です。本稿ではその触りを解説します。(2024/11/12)
株式会社エーアイセキュリティラボ提供Webキャスト
スキルと知識を要する脆弱性診断、AIを取り入れることで得られるメリットとは?
(2024/9/3)
株式会社エーアイセキュリティラボ提供Webキャスト
脆弱性診断のコスト削減と効率化を実現、“内製化”を短期間で進める方法とは?
(2024/9/3)
株式会社エーアイセキュリティラボ提供Webキャスト
Webサイトの脆弱性診断を内製化、高精度かつ手間をかけずに実現する秘訣とは?
(2024/9/3)
株式会社ビットフォレスト提供Webキャスト
脆弱性診断の内製化を阻む3つの壁を解消、失敗/成功事例に学ぶ実践のポイント
サイバー攻撃のリスクが高まる昨今、WebサイトやWebアプリケーションに対する脆弱性診断の重要性が高まっている。しかし、脆弱性診断を外注するとなると費用も期間もかかり過ぎてしまう。そこで注目されているのが、脆弱性診断の内製化だ。(2024/5/20)
“典型的やられサイト”で学ぶセキュリティのワナ:
キャッシュからダメな情報が見えちゃうよ! 見逃しがちなWebアプリの落とし穴
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2024/3/6)
“典型的やられサイト”で学ぶセキュリティのワナ:
対策できてる? Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2024/2/13)
こうしす! こちら京姫鉄道 広報部システム課 @IT支線(43):
私のこと、勝手に診断しないでください
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第43列車は「無料セキュリティ診断」です。※このマンガはフィクションです。(2023/12/27)
“典型的やられサイト”で学ぶセキュリティのワナ:
え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2023/12/22)
“典型的やられサイト”で学ぶセキュリティのワナ:
非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2023/11/9)
診断に要するコストや事前調整の手間も削減
年1回の脆弱性診断では不十分、アジャイル開発に適した脆弱性対策とは?
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。(2023/10/18)
セキュリティ、エンジニアは後回しにすることが多いが、CIOは最優先:
コンテナ、Kubernetesの脆弱性スキャン、3つの重点ポイント
コンテナ化とKubernetesの初心者向けに、コンテナイメージのスキャン、コンテナファイルのスキャン、Kubernetesマニフェストのスキャンについて開発チームが知っておくべきことを説明する。(2023/10/2)
“典型的やられサイト”で学ぶセキュリティのワナ:
え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2023/8/25)
株式会社ビットフォレスト提供Webキャスト:
脆弱性診断の障壁、セキュリティ人材やスキルの不足を乗り越えるには?
Webアプリケーション脆弱性診断の重要性は理解しているものの、セキュリティ人材やスキルの不足を理由に導入を諦めてしまう企業は多い。この課題を解決するのが、スキル不要で誰でも簡単に使えるクラウド型Web脆弱性診断ツールだ。(2023/8/10)
株式会社ビットフォレスト提供Webキャスト:
セキュリティ技術者が不在、スキル不足でも使える脆弱性診断ツール
脆弱性診断サービスは、重要性は認識されつつもコストや期限の問題から、規模の小さいプロジェクトでは利用が難しかった。しかし今日では、開発現場での利用を想定した低コストかつ高速で診断できる脆弱性診断サービスが登場している。(2023/7/13)
特選プレミアムコンテンツガイド
脆弱性診断ツール「Nessus」「OpenVAS」「Burp Suite」「Snyk」「Intruder」を比較する
システムに潜む脆弱性を検出するために役立つのが「脆弱性診断」ツールだ。数ある脆弱性診断ツールの中から、“使えるツール”を5つ紹介する。(2023/6/23)
株式会社ビットフォレスト提供Webキャスト:
Webアプリ脆弱性診断を手軽に、予算とスケジュールに合わせて始める方法
Webアプリケーション脆弱性診断の必要性を理解しつつも、費用の高さを理由に諦めてしまう組織は多い。そんな組織に注目してほしいのが、予算とスケジュールに合わせて短期利用もできる国産の脆弱性診断ツールだ。(2023/6/13)
富士通、セキュリティとシステム品質改善に向けた体制強化・改編を発表 新役職CQOを設置
富士通はここ数年で発生したセキュリティインシデントへの対処として、組織改革を含めた新たな取り組みを発表した。CQOの設置やリスク・コンプライアンス委員会の強化、脆弱性スキャンの導入などを実施する。(2023/5/23)
株式会社ビットフォレスト提供Webキャスト:
4分で分かる、Webアプリケーションの脆弱性診断を簡単に始める方法とは?
Webアプリケーションの脆弱性対策の重要性は理解していても、人員や予算が不足していることが原因で、実施を諦めてしまうか、先延ばしにしてしまうケースは多い。この問題を解消する、クラウド型のWeb脆弱性診断ツールとは?(2023/5/18)
株式会社ビットフォレスト提供Webキャスト:
今日からできる脆弱性診断とは? 30万件以上の検査実績がある診断ツールの効果
Webアプリケーションの開発において、脆弱性診断は非常に重要といえる。しかし人員や予算などの制約で実施を諦めてしまうケースも多い。その課題を解決する、脆弱性診断の未経験者でも使えるクラウド型脆弱性診断ツールに注目したい。(2023/3/23)
使える脆弱性診断ツール5選【第4回】
「脆弱性診断ツールは複数導入すべし」が正しくもあり、間違いでもある理由
さまざまなベンダーが、さまざまな機能を持つ脆弱性診断ツールを提供している。脆弱性診断ツールを生かすためには、どのように導入し、活用すればよいのか。選定時には何に気を付けるべきなのか。(2023/2/8)
使える脆弱性診断ツール5選【第3回】
クラウドもチェックする脆弱性診断ツール「Snyk」「Intruder」は何ができるのか
「脆弱性診断」ツールは、システムの脆弱性調査に役立つ。主要な脆弱性診断ツールのうち「Snyk」シリーズと「Intruder」には、どのようなメリットがあるのか。(2023/1/31)
使える脆弱性診断ツール5選【第2回】
脆弱性診断ツールを比較 無料の「OpenVAS」とWeb特化の「Burp Suite」とは?
システムに存在する脆弱性は「脆弱性診断」ツールを使うことで見つけやすくなる可能性がある。主要な脆弱性診断ツール「Open VAS」「Burp Suite」の特徴とは。(2023/1/25)
使える脆弱性診断ツール5選【第1回】
無料版もある脆弱性診断ツール「Nessus」とは? その歴史と機能
「脆弱性診断」ツールは、システムに潜む脆弱性のあぶり出しに効力を発揮する。主な脆弱性ツールのうち、「Nessus」を取り上げる。(2023/1/19)
Googleのオープンソース脆弱性スキーマ「OSV」対応:
Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは?
Googleは、オープンソース開発者がプロジェクトに関連する脆弱性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。(2022/12/19)
ITシステムをまるっと診断 脆弱性管理ツール「yamory」に新機能 WebアプリやIaaSの設定ミスなどを検知
アシュアードが、脆弱性診断サービス「yamory」に、WebアプリケーションとIaaSの脆弱性を調査する機能を追加した。これまでのソフトウェア脆弱性診断に追加することでITシステム全般の分析に対応した。(2022/8/24)
Japan Drone2022:
“ドローン新時代の空の安全を確保”するGMOホワイトハッカーによるセキュリティ診断、通信暗号化と機体認証も
ドローンが社会実装となれば、いかにして空域の安全性を確保するかが新たな課題となってくる。数々のインターネット事業を手掛けるGMOインターネットグループは、ホワイトハッカー集団によるIoTセキュリティ診断と、通信暗号化、認証技術で空の「セキュリティ」を担保するという。(2022/8/22)
シフトレフト実現に役立つ:
シフトレフト実現を左右する「静的アプリケーション診断ツール」、3つの誤解とは
Mendは静的アプリケーションセキュリティ診断ツール(SAST)に関するよくある3つの誤解を解説した。シフトレフトを実現しようとする開発者を邪魔しないツールが望ましいという結論だ。(2022/7/29)
「うちのゼロトラスト化は何点?」測るセキュリティ診断 三菱グループのSIerが公開
三菱グループでSI事業などを手掛ける三菱総研DCSが、企業のゼロトラストセキュリティに向けた取り組みを評価する診断サービスを公開。質問に答えると、回答を基にゼロトラストセキュリティの実現状況を点数制で評価する。(2022/4/18)
株式会社ビットフォレスト提供Webキャスト:
スキル不要で誰でも使える、クラウドベースのWebアプリケーション脆弱性診断
Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、システム開発者にとって脆弱性診断は喫緊の課題となっている。そんな中、従来製品とは違い、スキル不要で誰でも使用できるツールが登場し、注目されているという。(2022/4/13)
IPA、専門家による脆弱性診断を無料提供 中小運営のECサイト向け
IPAが、ECサイトを運営する中小企業向けに、専門家による脆弱性診断を無料で提供する。通常は100万円程度の費用が掛かるサービスだが、脆弱性を巡る現状把握に向け、経済産業省の補助を受け無料で実施するという。(2022/3/10)
株式会社ビットフォレスト提供Webキャスト:
手動かツールかどちらが最適? Webアプリケーション脆弱性診断の正しい選び方
Webアプリケーションの品質を高める手段として脆弱性診断が注目される一方、手動で行うか、ツールを利用するか迷う企業は少なくない。自社に最適な方法を選択するため、それぞれの違いやメリット/デメリットを正しく理解しておきたい。(2022/2/9)
株式会社ビットフォレスト提供Webキャスト:
脆弱性診断の新たな選択肢、“非セキュリティ部門”でもできる内製化の実現方法
アプリケーションの脆弱性診断を行うことの重要性は理解しつつも、これまでは費用や時間、人材といった問題がハードルとなり、実施できない企業も多かった。これらを一挙に解決する、“非セキュリティ部門による内製化”の実現方法とは?(2022/2/9)
「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。(2022/2/8)
サイバーセキュリティ:
建物OS「DX-Core」の情報セキュリティ対策を強化、年1回の診断で安全な建物運用環境を維持
清水建設は、建物OS「DX-Core」のサイバーセキュリティ強化を目的に、ベンチャー企業とともにセキュリティ診断システムを開発した。(2022/2/2)
URL入力で「Log4j」脆弱性診断 ツール試用版を無償提供 セキュアブレイン
昨年末から話題の「Log4j」の脆弱性が自社サイトにあるか調べられる診断サービスの試用版を、セキュアブレインが無償提供。(2022/1/21)
開発プロセスにセキュリティチェックを
迅速かつ「セキュア」なアプリ開発を実現するためには何が必要?
Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。(2022/1/18)
製造ITニュース:
独自技術でIoT製品の脆弱性診断を高速化、台湾セキュリティ企業のツール提供
シーイーシーは2021年12月16日、IoT製品のセキュリティ品質向上を支援する、Onward Securityの「HERCULES SecDevice」を提供開始すると発表した。IoT製品のセキュリティチェックを簡易化、省力化することでセキュリティ品質確保を支援する。(2021/12/22)
Linuxセキュリティ専門家に聞く【前編】
「99%のランサムウェア攻撃を防げる手段」を書いた専門家が本当に伝えたいこと
IT管理者はセキュリティ確保のためにバックアップやパッチ管理、定期的な脆弱性スキャンが欠かせない。Linuxセキュリティの専門家にシステムを守るこつを聞いた。(2021/11/26)
PR:脆弱性診断はするかしないかで悩むものではない ハードルを下げて「何もやっていない」からの脱却を
(2021/9/27)
ちょっとした設定ミスが不正アクセスのターゲットに:
PR:クラウドのセキュリティ診断で本番環境、開発環境の脆弱性を洗い出し、安全な活用を支援
テレワークの広がりとともに、場所を問わずに利用できるクラウドサービスの活用が一段と加速した。ただその際、ちょっとしたミスや油断で、本来公開すべきではない情報が公開され、不正アクセスを受けてしまう事件が増えている。これを防ぐには、専門的な知見やツールを生かした脆弱性診断が有効だ。(2021/9/9)
IPA、企業のセキュリティ診断ツール無料公開 Webブラウザでセルフチェック
情報セキュリティ対策の実施状況を企業がセルフチェックできる「サイバーセキュリティ経営可視化ツール」をIPAが公開。(2021/8/18)
クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。(2021/5/31)
PR:脆弱性診断の新常識――顧客から急に「セキュリティチェック、やっていますか?」と聞かれても対応できる方法とは?
(2020/11/26)
PR:あなたのWebサービスは本当に安全? 手軽に使える脆弱性診断ツール「VAddy」でWebの健康診断
(2020/9/23)
脆弱性対策・管理入門(終):
脆弱性管理とセキュリティ診断サービスの未来とは
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。(2020/7/21)
PR:「侵入されている前提」で考えるセキュリティ診断のあり方──脅威が既にそこにあるとしたら
(2020/6/24)
「自社で脆弱性診断」をかなえられる
「脆弱性診断をしたくてもできない」予算や専門家不足はどうすれば解消できる?
Webアプリケーションのセキュリティ対策はますます需要が高まっており、最近では提供側が「脆弱性診断実施の有無」を問われることも少なくない。客観的基準に即した説明体制を、限られた予算と人材の中で実現する方法とは。(2020/4/13)
ビルシステムのセキュリティ:
経産省ガイドラインに準じ、内外部からのサイバー攻撃に対応した三菱電機の「OTGUARD」
三菱電機は、ビルシステム向けのサイバーセキュリティソリューションの提供を開始した。経産省が2019年6月に策定したビルシステムに関するサイバーセキュリティのガイドラインにも準じ、外部からだけでなく、過失や故意による内部脅威も含めたサイバー攻撃の防御策として有効で、システムの脆弱性診断から改善提案までをワンストップでサポートする。(2019/10/4)
なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。(2019/9/27)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。