ソフトウェア・インテグリティ

セキュリティ上のバグと欠陥：異なるが、悪いという点では同じ

セキュリティの欠陥はバグとは異なりますが、アプリケーションとシステムのセキュリティを危険にさらす点では同じです。設計上の欠陥を見つけて修正する方法について説明します。

続きを読む

アプリケーション・セキュリティ・プログラムの7つの基本

私は最近、中規模の通信ソフトウェア会社で働いている私の友人に、アプリケーション・セキュリティ・プログラムの最初に取り組むべきことを説明しました。しかし、高度なスキルを持つ技術スタッフがいる中小企業の場合、セキュアなソフトウェア開発ライフサイクル（SSDLC）を実装することの価値を理解してすぐに把握するのは難しい場合があります。

続きを読む

ISA/IEC 62443-4-1、ソフトウェア・テストが要件

セキュアな産業用制御製品開発ライフサイクルに対応する新しい標準が認可されていますが、その要件として、静的コード解析、ソフトウェア・コンポジション解析、不正形式の入力を用いたテストが定義されています。

続きを読む

ISA 62443 SDLC要件とISASecure認証の更新

2016年にISA 62443-4-1の草案が承認され、最終確認のためIECに提出されました。そして、2020年5月時点ではIEC 62443準拠のISASecure認証はひとつの節目を迎えています。

続きを読む

リモートワークへの移行により、”レッドチーム”はこれまで以上に重要になっています

オフィスを閉鎖すると、一部の攻撃ベクトルは遮断されますが、リモートワークによって膨大な攻撃ベクトルが新たに生じます。レッドチームによる評価が今こそ欠かせない理由はここにあります。

続きを読む

ソフトウェアBOM（ソフトウェア部品表）とは何か？

ソフトウェア部品表（ソフトウェアBOM）を使用すると、オープンソースの使用に伴うセキュリティ、ライセンス、および運用上のリスクにすばやく対応できます。

続きを読む

SASTとSCA：両方が必用な理由

SCAツールを使用する場合、SASTツールも使用する必要がある理由はどこにあるのでしょうか。以下では、それぞれのツールでできることとできないこと、および両ツールがどのように補完し合うかについて説明します。

続きを読む

オープンソースコミュニティから学ぶ；リモートで働かなければならなくなった人たちへ

生産的なリモートチームワークは可能なのです。オープンソースコミュニティでは長い間リモートチームワークを実践しています。ということで、この記事ではリモートで作業する人たちのためのヒントをいくつか紹介します。

続きを読む

[ウェビナー]次世代Webアプリケーション・セキュリティ・テスト「IAST」についてのご質問

これまでのDAST(動的解析)や脆弱性診断に代わる次世代のWebアプリケーション・セキュリティ・テスト手法としてIAST(インタラクティブ・アプリケーション・セキュリティ・テスティング)という手法がありますが、ここではSeekerというIASTツールの使い方についてみなさんの疑問にお答えします。

続きを読む

[CyRC解析レポート] CVE-2020-7958 Android端末の生体認証データ抽出の脆弱性

この記事ではtrustletの内部を掘り下げ、TEE(Trusted Execution Environment)の実装において、異なるコンポーネントがお互いにどのように協働するのか、そして、どうのように攻撃することができるかについて解説します。

続きを読む

5G: 巨大な可能性と、必要なセキュリティ向上

5Gのセキュリティは、5Gが高リスクになることを認識している人にとっては最重要課題です。ファジングは、5Gのセキュリティを確保するための主要なテスト手法の1つです。

続きを読む