- ホーム
- ニュース
ニュース一覧
-
2023.7.31
セキュリティ
脆弱性の対策優先度を評価するSSVCの紹介
2023年7月4日に内閣サイバーセキュリティセンターより『政府機関等の対策基準策定のためのガイドライン(令和5年度版)』が発行されました。その中で脆弱性の対策優先度の評価方法として、米国CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)により公表されたSSVCのガイドラインが紹介されています。
自組織のシステムに脆弱性が見つかった場合、緊急で対応するべきか否かの判断は難しいものがあります。しかし、SSVCを用いて評価すると、緊急で対応するべきか、定例のメンテナンス時に対応するべきかを導出することができます。
そこで本ニュースでは、脆弱性の対策優先度を評価するSSVCの活用方法をご紹介します。 -
2023.6.30
セキュリティ
ASM (Attack Surface Management)と脆弱性診断を組み合わせたセキュリティ対策について
1.概要2023年5月、経済産業省よりASM(AttackSurfaceManagement)導入ガイダンスが公開されました。同ガイダンスでは、ASMとは「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義されていま........
-
2023.6.14
セキュリティ
【号外】注意喚起:FortiOSの脆弱性情報(CVE-2023-27997)について
Fortinet社製品に搭載されている「FortiOS」で、深刻な脆弱性(CVE-2023-27997)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、6月13日に情報処理推進機構(IPA)にて注意喚起が行われています。本脆弱性のCVSSv3スコアは9.8(Critical)と極めて危険度が高く、対策済みのバージョンへのアップデートを至急実施する必要があります。
-
2023.5.29
セキュリティ
急増するメールを起点とした攻撃 ~さらに高まるセキュリティリスク~
2023年5月、新型コロナウイルス感染症の基本的感染対策は、個人や事業主が自主的に判断して実施するよう変更されました。社会や経済活動が徐々に元の環境に戻りつつある中でも、サイバー攻撃の手法は元の環境から大きく変化しつづけています。特にメールを起点とした攻撃は、年初に比べて急激に増加している傾向にあり、個人や企業にとって深刻なセキュリティリスクとなっています。今回は急増するメールを起点とした攻撃について、最新の傾向や対策について紹介いたします。
-
2023.4.27
セキュリティ
APIセキュリティについて
1.概要今日のWebアプリケーションにおいてAPIは欠かせないものとなっていますが、その実装の不備により生じる脆弱性は弊社の脆弱性診断サービスでも頻繁に検出されており、実際に不正アクセスを可能にするような危険度の高い脆弱性も検出されています。本記事では、APIについて、セキュリティリスクと対策方法を主に解説しま........
-
2023.4.7
会社
2023年内定者(96名)研修会・配属式を実施(サービス&セキュリティ株式会社・ 株式会社セキュアソフト合同)
2023年3月29日・30日の2日間にわたりサービス&セキュリティ株式会社及びグループ会社である株式会社セキュアソフトの新卒内定者96名の研修会・配属式がおこなわれました。今年の内定者に対して、社長から活躍を期待する激励の言葉が贈られました。研修会では、弊社のビジネスモデルであるIT人材サービス、総合セキュリティサ........
-
2023.3.28
セキュリティ
Cisco IP Phone Web UIの脆弱性について
2023年3月上旬にシスコ社製IPPhone6800、7800、および8800シリーズのWebUIの脆弱性(CVE-2023-20078、CVE-2023-20079)が公開されました。 本脆弱性は特定のCiscoIPPhoneのWebベース管理インターフェイスに複数の脆弱性が存在するため、認証されていないリモートの攻撃者が任意のコードを実行したり、サービス妨害(DoS)状態を引き起こしたりする可能性があります。 3月1日時点では本脆弱性を悪用した攻撃は確認されていませんが、ユーザは速やかにソフトウェアアップデートを行う必要があります。今回は本脆弱性の詳細とその対策について紹介いたします。
-
2023.2.28
セキュリティ
Webアプリケーションファイアウォールは鉄壁か?~脆弱性診断の必要性~
SSK総合セキュリティサービスではWebアプリケーションの脆弱性診断サービスをご提供しています。この脆弱性診断を実施していく中で、近年は機密情報を扱うWebサイトではWebアプリケーションファイアウォール(以下、「WAF」)の導入が急増していることを実感しています。実際に、市場規模は毎年18.9%で増加しているというレポートもあります※1。AmazonWebServiceなどのクラウド上でWebサイトを構築する際にはWAFをシームレスに導入できることも急増している要因と思われます。 そのためか、脆弱性診断を行った後にお客さまから「本番リリース時はWAFがあるので大丈夫だと考えています」というお話や、専門学校で脆弱性診断に関して講義した際に学生から、「WAFを導入した場合でも脆弱性診断が必要なのか?」という質問をもらうことがあります。 そこで今回は、WAFの有効性について考察とWAF導入システムでも注意点しなければならない点をご説明します。 (※1「Webアプリケーションファイアウォールの世界市場」グローバルインフォメーション社、2022年)