サイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | NTTデータ先端技術株式会社
2024年2月26日にNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークがV1.1からV2.0へバージョンアップしました。この文書は、本来は米国連邦政府向けの文書だったのですが、その内容の分かりやすさや、時流に即した内容により、米国の民間企業にも、そして日本を含む他国のセキュリティの取組みに大きな影響を与えています。 本コラムでは、NISTサイバーセキュリティフレームワーク(以下、CSF)V2.0の変更点を読み解くことによって、今後のサイバーセキュリティ対策に必要な要素や留意点について明らかにします。 なぜサイバーセキュリティフレームワーク(CSF)が注目されるのか? CSFは、元々は米国連邦政府の重要インフラ向けに2014年に策定されたものです。そのため、本来無関係な民間企業や、日本の組織で利用・遵守する義務はありません。 しかし、サイバー攻撃によって侵入された前提で
EPSS(Exploit Prediction Scoring System)を活用した脆弱性管理
はじめに EPSS(Exploit Prediction Scoring System)は、脆弱性対応の優先度を判断するための指標としてFIRST(Forum of Incident Response and Security Teams)によって開発されている仕組みで、今後30日以内に脆弱性が悪用される蓋然性を一定の計算式によって算出するものです。脆弱性管理においてしばしば用いられるCVSS(Common Vulnerability Scoring System)が脆弱性そのものの深刻度を評価するのに対して、EPSSはあくまでも蓋然性のみを算出する全く別の仕組みです。EPSSは2019年8月に開発が開始され、2022年2月に現在のメジャーバージョンであるEPSS v2が公開されています。その後も日々スコアリングのロジック改善が行われています。 本稿ではEPSS v2について、その仕組みや
第3回 wgetの脆弱性 ~競合状態~ | gihyo.jp
では、「再帰的にダウンロードする」といったシンプルな機能にいったいどのような問題があったのでしょうか。実はこの機能を利用する際、すべてのファイルを一律にダウンロードするほかに、「ユーザーが指定した拡張子やパターンを持つファイルのみを取得する」といったことも可能です。具体的には、-Aオプションを付与することでその機能を利用できます。そしてここに脆弱性がありました。具体的には脆弱性により、-Aオプションを使ったとしても、任意のファイルを取得できる“隙”が生じていました。その様子を以降で見せたいと思います。 wgetの-Aオプションの挙動 最初に、先ほど説明したwgetコマンドの通常の実行例を見せます(図2)。この例では、技術評論社のWebサイトのロゴ画像(gh_logo.png)をwget -rでダウンロードしようとしていますが、-Aオプションを付けて拡張子がjpgのファイルのみ取
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第1回 産業サイバーセキュリティ研究会 サイバー攻撃による被害に関する情報共有の促進に向けた検討会(METI/経済産業省)
