ソフトウェア・インテグリティ

[インフォグラフィック]2020 OSSRAレポートから得られた主な事柄

このインフォグラフィックは、オープンソース・セキュリティ&リスク分析(OSSRA)レポートの調査結果から得られた主な事柄とオープンソースのトレンドを表しています。

続きを読む

安全と同様にセキュリティを扱う:FDAによる UL 2900-2-1:2018 の認定は、開発者にとってどのような意味があるのか

ネットワーク接続型の医療機器におけるサイバーセキュリティは、グローバルにおける規制組織のセキュリティに対する姿勢の改善によってようやく改善の兆しが見えてきました。

続きを読む

医療機器のUL(およびFDA)規格への適合を支援する方法

FDAが医療機器の市販前申請で参照可能な「Recognized Consensus Standards」としてUL 2900-2-1を採用したことは、世界がより良い方向に変わろうとしていることを意味しています。

続きを読む

複雑性と有用性:FDA ガイダンスを理解し、サイバーセキュリティ・プログラムを構築

FDAのサイバーセキュリティ・ガイダンスは、多くの規格や勧告で構成されていることで知られています。では、製造業者はどのようにしてこうした規格や勧告を実践に移すことができるのでしょうか?

続きを読む

Ghostcat脆弱性(CVE-2020-1938)とは何か

Ghostcatは、Apache Tomcatバージョン6.x、7.x、8.x、および9.xで見つかり、状況によって遠隔コード実行を招く脆弱性です。Apache Tomcatには、デフォルトで有効にされ、ポート8009のすべてのアドレスをリッスンするAJPコネクタが含まれています。この接続は、HTTPといった接続よりも高い信頼性で処理されます。攻撃者がこれを悪用して、意図しないアクションを、信頼されていないユーザーに対して実行します。

続きを読む

Defensicsのファジング・テストで SweynTooth脆弱性を見つけ出す

SweynToothは、Bluetooth Low Energyの脆弱性群で、 シンガポール工科デザイン大学(Singapore University of Technology and Design)の研究者によって発見されました。これらの脆弱性は、7社のSoCベンダーが提供する Bluetooth LE のSDKに見つかり、研究者によれば、脆弱なSDKは、480以上の最終製品に用いられているとのこと。大量の SweynTooth脆弱性が発見されたことと、そのリスクと医療機器への影響により、FDA(米国食品医薬品局)は、Safety Communicationを発行し、 潜在的な SweynToothを悪用した攻撃を監視しています。

続きを読む

レガシー脆弱性への対処法

「壊れていないものを直すな」というアメリカの古いことわざにも知恵が隠されています。だからこそ、格言にもなったのです。
そして、このことわざは使い古しの芝刈り機に当てはまるのかもしれません。しかし、デジタル世界となると、これは時代遅れの「知恵」であり危険です。見かけは何の問題もなく機能しているような多くのシステムやアプリケーションも、数年前に発見された危険な脆弱性をはらんでいるかもしれないからです。多くの組織はこのようなレガシー脆弱性に気付いていません。忘れてしまったか、単に無視している場合もあるでしょう。しかし、攻撃者は忘れていません。

続きを読む

2019年8月、SynopsysのCybersecurity Research Center(CyRC)は、Apacheソフトウェア財団と連携してApache Strutsセキュリティ勧告S2-058を発表しました。この勧告は、Strutsの115バージョンの64件の脆弱性に照準を合わせてベルファストで実施されたリサーチを反映したもので、脆弱性別に影響を受けた約50のバージョンが特定されています。このブログ・シリーズでは、これまでの経験を読者の皆さんにシェアいたします。

続きを読む

残念ながら、ソフトウェアはハッキングされるものです。攻撃者がソフトウェアをハッキングするために利用する欠陥や脆弱性は、組織内部をはじめ、ベンダーやパートナーによってもたらされる可能性があります。しかし、幸い、これらの欠陥や脆弱性を解決するためのよく知られている修正方法があります。ソフトウェア・セキュリティ対策(SSI)が成熟している組織は、基本的な「ペネトレーション・テストとパッチ」のアプローチ以上のプロセスとガイダンスを用意しています。これらのプロセスは欠陥が生じることをある程度阻止し、リリースの直前または後になってからではなく、開発中に欠陥を修正する予防的アプローチに役立ちます。

続きを読む

最近のファジングテストに関するWebセミナーでは、Defensics製品マネージャーのRikke KuipersとシニアソリューションアーキテクトのDennis Kengo Okaが、エージェントのインストルメンテーションを利用してインフォテインメント・システムとテレメータ装置のファジングを向上させる方法について説明しました。視聴者からはファジングテスト、Agent Instrumentation Framework、Defensics、シノプシスのファジングテスト・ツールに関する質問が寄せられました。そこで、これらの質問にここでお答えしたいと思います。

続きを読む