ソフトウェア・インテグリティ

データ漏洩を防ぐには、シフトレフト(アプリケーション・セキュリティ・テストをSDLCの早期段階で頻繁に実行すること)と常時パッチを適用する、という2つの基本を実践する必要があります。

続きを読む

AMCAの データ漏洩 はサプライチェーンのセキュリティの必要性を銘記させる出来事でした。以下では、QuestやLabCorpの二の舞にならないようにベンダーを精査する方法を説明します。

続きを読む

「AppSec Hype or Reality? Demystifying IAST」Webセミナーをご視聴いただいた皆様にKimm共々お礼申し上げます。熱心にご参加いただき、優れた質問もありました。時間が足りず、すべての質問に回答できなかったので、このブログの投稿で回答を公開しています。

続きを読む

オープンソースの管理 をどのようにしたらよいでしょうか? コードベースの中にはほぼ確実にオープンソースが存在します。問題はそれを管理するかどうかですが、もし管理しなかった場合にはどのような事態が起こり得るでしょうか。管理に失敗すると、大惨事につながる問題を招きかねません。

続きを読む

セキュアな自動運転車の将来は今日から始まります。自動車業界はシフトレフトや組み込みセキュリティなどの課題を克服しなければなりません。自動運転車(AV)が主流になるまでにはしばらく時間がかかりそうです。近い将来、アプリで無人カーを呼び、数分後にやって来た車に乗り込んで読書したり、映画を見たり、うたた寝しているうちに隣町、周辺の都市、あるいはいくつかの州をまたいだ場所など、どこでも行きたいところに連れて行ってもらえるなどと期待するのは早計です。

続きを読む

自動車産業ではセキュリティは安全性そのものです。そして車載ソフトウェア・セキュリティ・テストも、他のセキュリティ・テストの例にもれず、シフトレフトが重要です。

続きを読む

自動車業界のセキュリティ課題に関する調査

自動車サイバー・セキュリティは、コネクテッドカーのソフトウェア脆弱性は人命にかかわる可能性があるため、失敗した時の危険が非常に大きい問題です。新しいレポートが業界の関心事を明らかにします。

続きを読む

2019年ソフトウェア 脆弱性リストTop 10

2019年ソフトウェア 脆弱性リストTop 10に掲載された一般的なソフトウェアの脆弱性は正しいAppSecツールとガイダンスがあれば見つけるのも修正するのも簡単です。理想を言えば、すべてのソフトウェアに欠点や弱点がないに越したことはありません。また少なくともソフトウェア脆弱性が、その頻度、簡単さ、可能性、利用された場合のビジネス上および技術上のインパクト、および検出と修正に必要なツールとリソースによってきちんとランク付けされていることが望ましいでしょう。このようにすれば、開発者はどこにリソースを集中させたらよいか、およびいつをもってその作業が完了したと考えてよいかを正確に知ることができます。

続きを読む

OWASP Top 10 Webアプリケーション・セキュリティ・リスク

OWASP Top 10 2017は、最も重大なWebアプリケーション・セキュリティ・リスクのリストです。Webアプリケーションに関するこれらの10大脆弱性にどのように対応したらよいでしょうか?数年に一度OWASPは、Webアプリケーション・セキュリティ・リスクに関する最も重大な10件についてのレポートを発表しています。最新版であるOWASP Top 10 2017は、2017年11月に発表されました(当社のAndrew van der Stockが制作に協力)。

続きを読む

2018年以降のクラウド・セキュリティの10大脅威

全組織のおよそ70%がクラウドを利用している状況にあって、クラウド・セキュリティの脅威はすべての企業にとっての課題といえます。CGIとOxford Economicsによる2017年の調査の結果、データ侵害による過去5年間の被害額は500億ドル以上に上ると試算されている、と『Fortune』誌の記事が報じています。

続きを読む