OWASP API Security Top 10 2023〜OWASP Top 10との違い〜
API セキュリティのベストプラクティスの紹介とOWASP Top 10との違いについて紹介します。
記事を見る
知らないうちにマルウェアをインストール マリシャスパッケージとは?
マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことで、情報漏えいなどの深刻な影響が出る恐れがあります。本記事では、概要と具体的な攻撃手法、その対策方法について紹介します。
記事を見る
脆弱性診断と脆弱性管理の違い メリット・デメリット
本記事では、脆弱性診断と脆弱性管理サービスの脆弱性の検出方法の違いと対象となるレイヤーの違いからどのようなメリット・デメリットがあるのかについて紹介します。
記事を見る
SBOM(ソフトウェア部品表)の重要性と効率的な対応方法~オンラインセミナー開催レポート~
SBOM の必要性が増している背景や国内外の状況、具体的な SBOM の仕様、SBOM 対応の方法についてお伝えしました。
記事を見る
ゼロデイ攻撃とは?対策と増加している理由
ゼロデイ攻撃とは修正プログラムが提供される前に公開された脆弱性(ゼロデイ脆弱性)を悪用した攻撃のことです。本記事では、近年増加している理由とゼロデイ攻撃への対策方法について解説します。
記事を見る
【DevSecOps】アジャイル開発におけるセキュリティ | パターン・ランゲージ 解説
DevSecOpsを成功させるためのポイントと共に「アジャイル開発におけるセキュリティ | パターン・ランゲージ」を解説します。
記事を見る
ゼロデイ脆弱性など緊急度の高い脆弱性を即座に通知 緊急脆弱性速報機能の紹介
緊急脆弱性速報機能を新たにリリースすることに決まった背景や、近年なぜゼロデイ脆弱性が話題となっているのかについて紹介します。
記事を見る
OSSの脆弱性を発見して、CVEを2件取得するまで 脆弱性の発見・報告のポイント紹介
OSSの脆弱性を発見して、CVEを2件取得するまでの経緯とそこで感じた脆弱性発見・報告のポイントについて解説します。
記事を見る
TensorFlowだけじゃない!安全でないデシリアライゼーション in Python
TensorFlowで発見された脆弱性を例にPythonにおける安全でないデシリアライゼーションを解説します。
記事を見る
OS、ミドルウェア・開発言語への対応と、ライセンス違反検知を開始
本記事では、新機能を追加し生まれ変わったyamoryに関して、プロダクトオーナーの鈴木から、新機能の紹介と、開発背景についてご紹介させていただきます。
記事を見る
npmにも影響があるnode-tarのパストラバーサルの脆弱性 CVE-2021-32804
npmにも影響を与える node-tarの脆弱性(CVE-2021-32804)について解説します。
記事を見る
ライセンス導入 まずはここから Apache License 2.0
Apache ライセンスは OSS を開発・配布する際に用いられる代表的なライセンスのひとつです。本記事では Apache License 2.0 の内容、適用方法、掲載例について解説していきます。
記事を見る
2021 年 2 月下旬 〜 3 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2021 年 2 月下旬 〜 3 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
OWASP Top 10 Proactive Controls 2018 の概要と 2016 との比較
セキュリティのベストプラクティスをまとめた OWASP Top 10 Proactive Controls 2018 の概要ついて解説します。
記事を見る
yamory を使って脆弱性管理をしてみよう! -導入編-
本記事では、脆弱性管理ツール「yamory」の基本的な機能である脆弱性の検出から、脆弱性情報の確認、ダッシュボードや通知機能の紹介をします。
記事を見る
2021 年 1 月下旬 〜 2 月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2021 年 1 月下旬 〜 2 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
実践!安全ではないデシリアライゼーションの攻撃手法
本記事では、実際のコードを交えて Java における安全ではないデシリアライゼーションの解説を行い、この脆弱性を見つけた場合にどのように扱えばよいのか、どのような対策を行えばよいのかを解説します。
記事を見る
正しく知れば怖くない GPL ライセンスの特徴
GPL ライセンスは OSS を開発・配布する際に用いられる代表的なライセンスのひとつで、利用許諾のための条件などを定めているものです。本記事では GPL ライセンスの概要から掲載例について解説していきます。
記事を見る
Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)PoC 検証
2020 年 12 月 8 日に公開された Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)について、PoC コードの検証を行いました。
記事を見る
2020 年 12 月下旬〜 2021 年 1 月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020 年 12 月下旬〜 2021 年 1 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
自由度の高い MIT ライセンスの概要と他ライセンスとの比較
MIT ライセンスは代表的なオープンソースライセンスのひとつで、利用許諾のための条件などを定めているものです。MIT ライセンスの概要から各種ライセンスの比較について解説します。
記事を見る
さまざまなサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング
HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。
記事を見る
2020 年 11 月下旬 〜 12 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 11 月下旬 〜 12 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
脆弱性レジリエンスを高めるための Clean Architecture
ビジネススピードを確保しつつ、脆弱性のリスクを抑えるにすれば良いのでしょうか。本記事では、Clean Architecture を用いて脆弱性への対応力「レジリエンス」を高めるアプローチを解説します。
記事を見る
2020 年 10 月下旬 〜 11 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 10 月下旬 〜 11 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
組織としてセキュリティに取り組む ISMS とはなにか
ISMSは、多面的な脅威から組織の情報資産を保護することを目的とした仕組みのことを指します。本記事では、ISMS の概要を解説していきます。
記事を見る
Webアプリ開発者も他人事じゃない バッファオーバーフロー攻撃の概要と対策
バッファオーバーフローはメモリ上のバッファを超えて書き込みが行われる攻撃手法です。アプリ開発者の視点から解説しました。
記事を見る
2020 年 9 月下旬 〜 10 月中旬に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 9 月下旬 〜 10 月中旬にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
リバースブルートフォース攻撃の概要と Web アプリにおける対策
リバースブルートフォース攻撃はパスワードを固定して ID 部分を変えながら認証を繰り返していく不正アクセスを目的とした攻撃です。
記事を見る
悪意あるサイトにこっそり誘導 クリックジャッキング
クリックジャッキングは、ユーザーを視覚的に騙して悪質なサイトへ誘導する攻撃手法です。本記事ではクリックジャッキングの概要から、攻撃の仕組み、対策方法について解説していきます。
記事を見る
yamory がサービスリリースから 1 周年を迎えました
yamory は、2020 年 8 月 27 日をもちましてリリースから 1 周年を迎えました。今回は yamory の 1 周年を記念して、この 1 年間の取り組みを時系列で振り返ります。
記事を見る
2020 年 8 月下旬〜 9 月中旬に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020 年 8 月下旬〜 9 月中旬にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
記事を見る
改行コードに要注意! HTTP ヘッダインジェクションの概要と対策
HTTP ヘッダインジェクションは、データを適切にチェックせずに HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。本記事では HTTP ヘッダインジェクションの概要・対策方法について解説します。
記事を見る
脆弱性診断はなぜ必要なのか? 診断の特徴と選択のポイント
脆弱性診断は、システム上に潜む脆弱性やサイバー攻撃に対する問題点や耐久度を診断するサービスです。本記事では脆弱性診断の概要から、診断の特徴、脆弱性診断ツールやサービスの種類について解説していきます。
記事を見る
URLの取り扱いには要注意!SSRFの攻撃と対策
SSRF は外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法・脆弱性です。本記事では SSRF が起きる原因と、脆弱性の影響について攻撃シナリオをベースに説明していきます。
記事を見る
その正規表現の書き方で大丈夫? ReDoS 攻撃の怖さと対策方法
ReDoS は、脆弱な正規表現を利用することで起こる DoS のひとつです。正規表現の記述は難しく、誤った記述をしてしまうと ReDoS の影響を受ける恐れがあります。本記事では ReDoS の概要から対策方法まで解説していきます。
記事を見る
ライブラリの導入、それが脆弱性の始まり
ライブラリの導入によってライブラリが依存する他のライブラリと脆弱性までも引き込んでしまうことがあります。本記事ではライブラリと依存関係における脆弱性について Gradle を使って例をあげながら解説します。
記事を見る
パッチ管理入門 プロセスとメリット / デメリット
パッチ管理とは、脆弱性の穴を塞ぐための修正用ファイル「パッチ」の適用状況を管理するプロセスのことを指します。本記事ではパッチ管理の概要とプロセス、メリット / デメリットについて解説します。
記事を見る
OS コマンドインジェクション その危険性と対策
OS コマンドインジェクションは、オペレーティングシステムのコマンドを不正に実行できてしまう脆弱性および攻撃手法です。本記事では OS コマンドインジェクションの概要と攻撃による影響、対策について解説します。
記事を見る
脆弱性の深刻度をセルフチェック CVSS
CVSS とは、ソフトウェアやシステム上で発見された脆弱性の深刻度を評価する指標のひとつです。日本語では共通脆弱性評価システムとも呼ばれます。本記事では、CVSS の概要と活用方法について解説します。
記事を見る
Java を使った Web アプリにおける脆弱性対策
Java は業務システム、Web アプリケーション、Android アプリの開発等で幅広く使われている言語です。本記事では Java ベースの Web アプリケーション開発に焦点を当て、脆弱性とその対策方法について解説します。
記事を見る
YouTube Live でオンライン勉強会を開催してみました
4 月 22 日に開催した「DevSecOps 勉強会」での取り組みを振り返り、オンライン勉強会開催にあたっての準備や配信方法、学びについてまとめました。
記事を見る
DevSecOps とはなにか
DevSecOps とは、DevOps エコシステムをソフトウェアセキュリティにまで拡げるという概念です。本記事では、DevSecOps の概念と、DevSecOps が登場した背景について解説します。
記事を見る
セキュリティ対策として取り入れたい ペネトレーションテスト
ペネトレーションテストは、システムにセキュリティ上の脆弱性がないかどうかのテストを指します。本記事ではペネトレーションテストの概要と、メリット・デメリットについて解説します。
記事を見る
身近な脆弱性攻撃Proof of Concept code
Proof of Concept codeは、システムの脆弱性を証明するために作成された検証用プログラムコードの総称です。本記事では PoC の概要から PoC を悪用した攻撃の概要、対策方法を解説します。
記事を見る
セキュアな Web アプリケーションを作るには? Vol.02 ASVS 活用編
セキュアな開発に有用なドキュメント「OWASP ASVS」を開発現場で活用していくポイントについて解説します。
記事を見る
NVD の脆弱性情報を活用する上で気をつけたいこと
NVD はアメリカ国立標準技術研究所が管理する脆弱性の情報を集めたデータベースのことです。本記事では NVD の情報だけでの脆弱性調査の課題や、より楽に正しい脆弱性情報を収集するための方法について解説します。
記事を見る
アプリケーション外でも発生する脆弱性 パストラバーサル
パストラバーサルは、本来アクセスできないディレクトリに存在するファイルに対して、脆弱性を悪用してアクセスする攻撃手法です。本記事では、パストラバーサルの脆弱性について概要説明・対策方法・実例までをご紹介します。
記事を見る
ある日突然やってくるDDoS攻撃の概要と対策
DDoS 攻撃は、システムやネットワークへ意図的に過剰な負荷をかけることによりサーバーを応答不能状態にする攻撃を指します。本記事では、DDoS 攻撃の攻撃手法と対策について解説していきます。
記事を見る
パワフルな攻撃防御システムWAFとは?
Web アプリケーションファイアウォールとは、Web アプリケーションに対する攻撃を防ぐことに特化したシステムのことです。本記事では、WAF の機能・仕組みから活用シーンまでを解説します。
記事を見る
油断ならない脆弱性 XXEへの対策
XXE(XML 外部エンティティ参照)は、アプリケーションが XML を解析した際に XML の特殊構文を悪用されて発生する脆弱性です。本記事では XXE の仕組みから対策方法までを解説していきます。
記事を見る
セキュアな Web アプリケーションを作るには? Vol.01 OWASP ASVS 4.0.1 編
セキュアな開発推進の助けになる「ASVS」の概要と yamory の見解についてご紹介します。
記事を見る
ゼロデイ攻撃のゼロってどういう意味?攻撃手法と対策について
ゼロデイ攻撃とはアプリケーションやソフトウェアの脆弱性や不具合を利用して行われるサイバー攻撃です。本記事では、このゼロデイ攻撃の攻撃手法と対策について解説していきます。
記事を見る
NIST CSF とは 実践のための7ステップ
NIST CSF は、重要インフラシステム向けに作成されたフレームワークです。本記事では、この NIST CSF についての概要と実践のための7ステップについて解説していきます。
記事を見る
CORS & Same Origin Policy 入門
Web セキュリティの観点において、CORS(オリジン間リソース共有)は Web 開発・Web 制作に関わる方すべてが理解しておくべき仕組みです。本記事では、CORS についての概要と一般的な設定方法について解説していきます。
記事を見る
ブルートフォース攻撃の危険性とその対策5種
ブルートフォース攻擊はユーザのアカウント・パスワードを解読するため、考えられる全てのパターンや組み合わせを試す攻擊手法のことです。今回はブルートフォース攻擊の仕組みと対策方法 5 種をご紹介します。
記事を見る
知っておきたいクロスサイトリクエストフォージェリの仕組み
クロスサイトリクエストフォージェリは Web アプリが偽装されたリクエストを正規のものとして受信してしまう脆弱性・攻撃手法です。今回はクロスサイトリクエストフォージェリの仕組み、対策方法をご紹介します。
記事を見る
はじめての方向け CVE 入門 CVEID や MITRE などもまとめて紹介
CVE は脆弱性という言葉とともに出てくることが多い単語です。今回は CVE の概要から活用方法までをご紹介します。
記事を見る
油断できないSQLインジェクション。その種類とWebアプリにおける対策
SQL インジェクションは広範囲に悪影響を与える危険な脆弱性です。今回は SQL インジェクションの種類と対策についてご紹介します。
記事を見る
クロスサイトスクリプティング(XSS)とは? Webアプリにおける対策方法について
クロスサイトスクリプティングは、システムの表示処理の不備から引き起こる脆弱性です。XSS の被害と攻撃の種類について解説します。
記事を見る
システムにおける脆弱性とは?その対策と管理方法について
サイバーセキュリティ/サイバー攻撃における「脆弱性」という言葉の意味と代表的な攻撃方法、そして脆弱性対策/管理の方法についてご紹介いたします。
記事を見る
yamoryの今までを振り返り、2020年に目指すこと
2019年も終わりに差し掛かり、2020年が始まろうとしているので、このタイミングで「yamory」のこれまでを振り返りながら、今後目指していきたい世界や2020年の抱負について、言葉にしていきたいと思います。
記事を見る
Web アプリケーションのセキュリティとは
Web アプリケーションによるサービスが広がりを見せる一方で、Web アプリの脆弱性を狙ったサイバー攻撃も増加の傾向にあります。本記事では Web アプリケーションにおけるセキュリティの基礎知識について解説します。
記事を見る
CONTACT
お問い合わせはこちら
サービスの詳細を
知りたい方
実際の操作を見ながら
運用をイメージしたい方
課題のヒアリングや
相談をご希望の方
