タグ 脆弱性対策
人気順 10 users 50 users 100 users 500 users 1000 usersDependabotを導入してライブラリの脆弱性対策を自動化する - VISASQ Dev Blog
こんにちは!クライアント開発チームの安野です。 クライアント開発チームでは、クライアントポータルという to B 向けのサービス開発を担当しており、私はそこでフロントエンド・バックエンドの開発に携わっています。 クライアントポータルの内容はこちらからも確認できるので、ご興味があれば是非ご一読いただけます... 続きを読む
オンラインストレージの脆弱性対策について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
概要 IPA発信のネットワーク貫通型攻撃に関する注意喚起 脚注1 の中でも触れている通り、インターネットに接続されたオンラインストレージの脆弱性を悪用した攻撃が継続しております。特に、国家を背景としたAPT攻撃などに関わる事案も確認されており、組織間のデータ授受をメール以外で行うことも多い昨今では、特に注... 続きを読む
Linuxを再起動することなくカーネルにパッチを当てる「ライブパッチ」の技術的な仕組みと、その種類とは[PR]
Linuxを再起動することなくカーネルにパッチを当てる「ライブパッチ」の技術的な仕組みと、その種類とは[PR] Linuxのアップデートパッチは脆弱性の大小にかかわらず、ほぼ毎月のように登場しているのが現状です。 パッチの適用を放置することは脆弱性を放置することにつながるため、脆弱性対策のパッチが公開されたな... 続きを読む
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 | 日本ネット経済新聞|新聞×ウェブでEC&流通のデジタル化をリード
2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込ん... 続きを読む
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 | 日本ネット経済新聞|新聞×ウェブでEC&流通のデジタル化をリード
2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込ん... 続きを読む
フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 | 翔泳社
Webアプリケーションの堅牢化に欠かせない知識を凝縮! セキュリティ学習のスタートに最適の一冊!本書は、安全なWebアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。 これまでWebアプリケーションの開発で、セキュリティは「バックエンドの仕事」という... 続きを読む
“脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 2022年10月末、多くのシステムで利用されるオープンソースソフトウ... 続きを読む
OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786):IPA 独立行政法人 情報処理推進機構
OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。 この OpenSSL において、X.509 証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性が確認されています。 本脆弱性が悪用されると、攻撃者が用意した悪意のある証明書によりオーバーフローが引き起こされ、結果としてサー... 続きを読む
脆弱性対策の切り札になるかもしれない「SBOM」
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示す... 続きを読む
「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言
関連キーワード Apple | セキュリティ | 脆弱性対策 | パッチ MalwarebytesでAppleのクライアントデバイス「Mac」およびモバイルデバイス分野の担当ディレクターを務めるトーマス・リード氏の説明によれば、AppleがクライアントOS「macOS Big Sur」における脆弱(ぜいじゃく)性「CVE-2021-30869」を修正してから約7カ月... 続きを読む
「危ない『API』」はこうして生まれる
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 アプリケーションやモノのインターネット(IoT)デバイスの裏側で、API(アプリケーションプログラミングインタフェース)がクラウドサービスとデータをやりとりすることは一般的になった。それに伴って、企業がAPI... 続きを読む
「Apache Log4j 2.15.0」の脆弱性対策は不完全、v2.16.0への更新を ~Java 7ユーザーにはv2.12.2を提供/特定のデフォルト設定以外ではサービス拒否攻撃(DoS)をうける恐れ
米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
米連邦政府のサイバーセキュリティ諮問機関CISAが、連邦政府機関に対し、「Log4j」の脆弱性対策を12月24日のクリスマスイブまでに完了するよう指示した。CISAはこの脆弱性に関する専用Webページも立ち上げた。 米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチ... 続きを読む
Apache Log4j の脆弱性対策について(CVE-2021-44228):IPA 独立行政法人 情報処理推進機構
Apache Log4j 2.15.0 より前の 2 系のバージョン なお、すでに End of Life を迎えている Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認しています。 開発者が提供する情報をもとに、最新版へアップデー... 続きを読む
Cloud Armor の WAF ルールで Apache Log4j の脆弱性対策をする
Google Cloud Japan Advent Calendar 2021 の 12 日目…ではありません。(12 日目の記事はこちらです。お、たまたま脆弱性関連ですね。) 年の瀬も差し迫った 2021 年 12 月 10 日(金)、Apache Log4j の脆弱性に対するゼロデイ攻撃が可能であることが明らかになりました。 Google Cloud の WAF サービスである Cloud A... 続きを読む
Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO
先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました ... 続きを読む
Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO
AWS WAFのマネージドルールとして新たに追加された「Log4JRCE」、Log4j の脆弱性(CVE-2021-44228)の緩和に有効であるか試してみました。 AWSチームのすずきです。 2021年12月11日、 AWS の Managed Ruleとして提供されている AWSManagedRulesKnownBadInputsRuleSetに新しい保護ルール「Log4JRCE」が追加されました。 Log... 続きを読む
VPN狙うサイバー攻撃で露見、「SIer任せ」で既知の穴ふさがぬ日本企業 | 日経クロステック(xTECH)
セキュリティー対策機器大手の米Fortinet(フォーティネット)の製品を巡り、脆弱性を突くサイバー攻撃が相次ぎ問題となっている。ただし、攻撃に使われたのは1年以上前に既知の脆弱性で、修正プログラムも提供済み。脆弱性対策のバージョンアップにさえも消極的な日本のユーザー企業が、被害拡大の一因となる構図が浮き... 続きを読む
AWS Amplify で Custom headers を活用したパフォーマンスと脆弱性対策 | by Toshiaki Takahashi | Finatext | Apr, 2021 | Medium
はじめにこんにちは、Finatext で保険事業にてプロダクト開発をしている @toshipon です。今回は我々のプロダクトでも活用している AWS Amplify コンソールにおける Custom headers の運用についてお話いたします。 概要Amplify 上で Custom headers を設定する手順についてご紹介いたします。Custom headers は、HTTP ... 続きを読む
至急、Windows Updateの適用を - IPA | マイナビニュース
情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は1月13日、「Microsoft 製品の脆弱性対策について(2021年1月):IPA 独立行政法人 情報処理推進機構」において、Microsoftから提供された2021年1月の修正プログラムを至急適用するように呼びかけた。修正対象となっている脆弱性「CVE-2021-1647」... 続きを読む
Java を使った Web アプリにおける脆弱性対策 | yamory Blog
Java は業務システムをはじめ、Web アプリケーション、Android アプリの開発等で世界中で幅広く使われている言語です。 プラットフォームに依存しない環境と堅牢さ、ライブラリの多さ、需要の多さから、大規模システム、エンタープライズ向けアプリケーションの開発でも多く採用されています。 実際に業務において Java ... 続きを読む
Zoom の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
Zoom は、ビデオ会議アプリです。 Zoom の Windows クライアントのチャット機能に、UNC(Universal Naming Convention)パスの処理に関する脆弱性が確認されています。 悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性があります... 続きを読む
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 - エンジニアHub|若手Webエンジニアのキャリアを考える!
こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語... 続きを読む
サイバー攻撃の防御に欠かせない脆弱性対策を阻むものは何か?パッチ管理のあるべき姿を考える (1/3):EnterpriseZine(エンタープライズジン)
サイバー攻撃は脆弱性の隙を狙われる。修正版となるパッチが公開されたら、すぐにでも適応したいところだが、運用管理者は日々の業務に追われパッチ対応にあまり手間をかけられないのが実状だ。脆弱性対策の壁を打破するには? 悪用された脆弱性の99.9%が公開から1年以上 いかに現場が追いついていないか 「ITシステム... 続きを読む
コンテナ・セキュリティ入門 脆弱性 - Qiita
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用され... 続きを読む