記事一覧
最近のCSRF対策で気づいた事
CSRF(CWE-352)は非常に有名な脆弱性の一つの名称です。対策と言えばCSRFトークンという事で、フレームワークやライブラリに任せて、流れるように対応を進めているパターンが多いのではないでしょうか。
そんなある意味枯れてきている脆弱性について、最近とあるブログを見て改めて考えさせられた部分があるため、少し記載してみたいと思います。
CSRFとはCross-Site Request Forg
『XZ Utils』の事例から見えるOSSとセキュリティ
2024年3月29日、多くのLinuxディストリビューションで採用されているOSS(オープンソースソフトウェア)の『XZ Utils』に深刻な脆弱性(CVE-2024-3094)が確認されました。
脆弱性の中身はバックドアとして動作する、意図的にソフトウェアサプライチェーン攻撃を行う仕組みでした。
一般的にIT系のエンジニアはOSSに非常によくお世話になっているため、非常に大きなニュースとなった『
IT資産の管理とセキュリティ強化 ~ASM~
昨今、組織の様々なIT資産(IoT機器、Webアプリ、クラウドストレージなど)が組織の外部に公開されています。
その結果、それらのIT資産はインターネット経由で常に攻撃者からの脅威にさらされている状況となります。
そのため、そういった資産を発見し管理する事は非常に重要なリスク対策となります。
ASM(Attack Surface Management)ASM(アタック・サーフェス・マネジメント)
最新のセキュリティ対策 ~XDR~
かつてはトレンドマイクロ社のウイルスバスターのようなAV(アンチウイルス)ソフトウェアが各自の端末にインストールされて、マルウェア(ウイルス)からPCを守っていました。
一方、ネットワークはFW(ファイアウォール)で境界防御をすることで外部からの攻撃からネットワークを守っていました。
昨今では様々な攻撃手法の登場により、より高度な仕組みを持ったソフトウェアを活用して対応するようになってきましたので
脆弱性情報の指標 -CVE, CWE, CVSS-
脆弱性についての情報を確認すると、沢山の指標に基づいて情報を判断する必要が出てきます。それらの指標の中でも有名なCVE, CWE, CVSSがどういったものなのかを簡単に紹介したいと思います。
CVE(共通脆弱性識別子)世界的に一意な脆弱性情報の指標で、Common Vulnerabilities and Exposuresの略称です。
識別子であるCVE-IDはCVE-YYYY-NNNNといっ
2024年2月1日から適用されるGmailへのメール送信条件追加について
2024年2月1日から、Googleは個人向けGmail(Google Workspaceは対象外)へのメール送信について、迷惑メール削減(及びセキュアなメールのみ配送する)観点から送信要件を追加しています。
そのため、B2Cビジネスなどを展開しているサービスでは、この要件に注意しないとGmail側で受信拒否されるか迷惑メール扱いになる可能性があります。
以下の要件をベースに提供しているサービスで
暗号の基本(その2)
多くのITエンジニアは開発でハッシュ値を利用したことがあると思います。そんな中、お作法的な理解の元にGitのコミットハッシュを取得して利用した経験はありませんか?
今回もそんな、身近で利用される暗号の基本的な内容を簡単にまとめてみました。
暗号の必要性暗号は情報セキュリティにおける重要な要素である機密性と完全性を守るために存在します。(前回の投稿参照)
その中でも完全性を担保するための技術として
DMARCを使ったなりすましメール対策
日々沢山の迷惑メールがネットーワークを飛び交っている昨今、全メールの40%はスパムだとも言われている。サイバーセキュリティの観点でもフィッシングメールは非常に多くの犯罪で利用されており、従業員の教育含め色々な観点から対策が進められている。 そんな中、なりすましメール対策の切り札とも言われているDMARCが日本国内ではあまり普及していないのが実情だ。(2022年末で3割程度→増えてきてはいる)
D