脆弱性検査

VAddyの管理画面では、脆弱性診断を実行する際に検査項目が指定できます。これと同じことがWebAPIからも可能になりました。同時に、go-VAddyツールVer. 1.1.0からもこの機能が利用できるようになっています。 背景 VAddyで脆弱性診断を自動化されているお客様の中には、CI(継続的インテグレーション)ではリリースを早くするため検査時間を短くして最低限の検査項目に絞り、夜間や定期的に全ての検査項目を実行するような運用のご要望がでてきました。 そこで、VAddyのWebAPIからも脆弱性診断の検査項目を絞って実行する機能をリリースしました。 VAddyではサービス開始当初からWeb…

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含めたくないケースなど。 今回リリースした「検査除外設定」は、検査対象のサーバ(FQDN)の特定のURLに対して検査を実行しない機能です。 検査除外設定 検査結果一覧・詳細画面のタイトルの下に「検査除外設定」リンクがありますのでそちらから登録するか、発見した脆弱性の一覧から除外設定ができます。詳細はドキュメントをご覧ください。 特定のURLへ検査…

「Trivy」を使用して、AWS CDKレイヤーでコンテナイメージのスキャンを行うConstructライブラリをConstruct Hubに公開しました。

暑い暑い8月が終わりましたね。東京都では今年の8月すべて真夏日だったということで、異常気象というよりは気候が変わってしまったような感じですね。一方で、エアコンの風も気になったりと体温調整が難しいですね。 さて、DevOps関連の動向ですが、今月も様々な発表がありました。その中で、話題に上がったのがHashiCorpのライセンス変更の話題ですね。HashiCorpは製品のコードをオープンソースとして公開してきましたが、そのソースを使ってHashiCorpの競合ビジネスが行われていることに対する対応策としてのライセンス変更でした。HashiCorpはユーザーからのフィードバックを受けながら細かい調…

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【…

「Dockle」を使用して、AWS CDKレイヤーでコンテナイメージのスキャン(セキュリティ診断)を行うConstructライブラリをConstruct Hubに公開しました。

インストールした BitDefender の機能についていろいろと調べてます。 その機能の一つに、『脆弱性』というのがあり、 PC や OS の弱いところをチェックしてくれます。この機能は大きく二つあり、 自動的に脆弱性をチェックする 手動で脆弱性をスキャンする ということができます。 で、これらの脆弱性スキャンで見つかった不具合は、基本的に『通知』領域にメッセージが表示されるので、必要に応じて修正を行う、というスタイルです。 ちなみに、この時のスキャン項目について『設定』タブの項目を使って、設定できます。 一見すると、この設定内容について、ユーザーガイドには記載されていないように思えるのです…

今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。 勉強に使ったのはこちら 章の終わりにあるCheck問題に私なりの答えで解答していきます。 今回は2.9章：マルウェアによる攻撃のCheck問題です。 【Q1】マルウェア、PUAにはどのような種類があるか。 マルウェアの種類①コンピュータウイルス②ワーム③トロイの木馬④悪意のあるモバイルコード⑤スパイウェア⑥ボット⑦ランサムウェア⑧ドロッパPUAの種類①アドウェア②リモート管理ツール③脆弱性検査ツール 【Q2】通信経路上で行うマルウェア対策とエンドポイントで行うマルウェア対策を挙げよ。 通信経路上で行うマルウェア対策①メ…

APTの説明はどれか。 攻撃者がDoS攻撃及びDDoS攻撃を繰り返し，長期間にわたり特定組織の業務を妨害すること 攻撃者が興味本位で場当たり的に，公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返すこと 攻撃者が特定の目的をもち，標的となる組織の防御策に応じて複数の攻撃手法を組み合わせ，気付かれないよう執拗（よう）に攻撃を繰り返すこと 攻撃者が不特定多数への感染を目的として，複数の攻撃手法を組み合わせたマルウェアを継続的にばらまくこと 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ウ 解説 作成中 攻撃者が…

ルートキットの特徴はどれか。 OSなどに不正に組み込んだツールを隠蔽する。 OSの中核であるカーネル部分の脆弱性を分析する。 コンピュータがウイルスやワームに感染していないことをチェックする。 コンピュータやルータのアクセス可能な通信ポートを外部から調査する。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ア 解説 OSなどに不正に組み込んだツールを隠蔽する。正しいです。ルートキットの特徴です。 OSの中核であるカーネル部分の脆弱性を分析する。脆弱性検査ツールの特徴です。 コンピュータがウイルスやワームに感染していないこ…

(イメージ画像) <セキュリティエンジニアとは> <セキュリティエンジニアの仕事内容> ITエンジニアの中でも、セキュリティエンジニアという職種はよく聞く職業となってきましたが、 実際どのような仕事をしているのでしょうか？ セキュリティエンジニアはインフラエンジニアの括りの中でも重要なエンジニアです。 今回、セキュリティエンジニアの仕事内容についてまとめて行こうと思います。 <セキュリティエンジニアとは> セキュリティエンジニアとは、企業における各種の業務システムやネットワーク、グループウェアなどのITのセキュリティ確保を主業務とするエンジニアのことです。情報セキュリティマネジメントの仕組みづ…

情報セキュリティ｜SC管理｜SC技術評価｜SC対策｜SC実装技術 情報セキュリティ オープンリゾルバを悪用した攻撃はどれか。 ICMPパケットの送信元を偽装し，多数の宛先に送ることによって，攻撃対象のコンピュータに大量の偽のICMPパケットの応答を送る。 PC内のhostsファイルにあるドメインとIPアドレスとの対応付けを大量に書き換え，偽のWebサイトに誘導し，大量のコンテンツをダウンロードさせる。 送信元IPアドレスを偽装したDNS問合せを多数のDNSサーバに送ることによって，攻撃対象のコンピュータに大量の応答を送る。 誰でも電子メールの送信ができるメールサーバを踏み台にして，電子メールの…

DNSのセキュリティ対策に関する次の記述を読んで，設問1〜3に答えよ。 R社は，Webサイト向けソフトウェアの開発を主業務とする，従業員約50名の企業である。R社の会社概要や事業内容などをR社のWebサイト（以下，R社サイトという）に掲示している。 R社内からインターネットへのアクセスは，R社が使用するデータセンタを経由して行われている。データセンタのDMZには，R社のWebサーバ，権威DNSサーバ，キャッシュDNSサーバなどが設置されている。DMZは，ファイアウォール（以下，FWという）を介して，インターネットとR社社内LANの両方に接続している。データセンタ内のR社のネットワーク構成の一部…

ヘルスケア機器とクラウドとの連携のためのシステム方式設計に関する次の記述を読んで，設問1〜3に答えよ。 C社は，ヘルスケア機器の製造販売を手掛ける中堅企業である。このたび，従来の製品である，歩数や心拍数などを測定する活動量計を改良して，クラウドを利用した新しいサービス（以下，新サービスという）を開発することになった。 〔従来の活動量計の概要〕 従来の活動量計の概要を次に示す。 ・リストバンド型で生活防水に対応する。 ・24時間装着して，歩数や心拍数，睡眠時間を記録する。 ・横10文字，縦2文字のモノクロ液晶画面に，現在時刻や測定中のデータ，記録されたデータを表示できる。 ・四つのボタンを備えて…