導入事例薬機法に即したSBOM対応と脆弱性管理体制 - 株式会社Vitaars
株式会社Vitaars様に、yamory導入の背景や決め手についてお伺いしました。
導入事例脆弱性管理とEOL等のリスク管理を一元化 - 株式会社ラクス
株式会社ラクス様に、yamory導入の背景や決め手についてお伺いしました。
導入事例金融機関における効率的・網羅的な脆弱性管理 - 株式会社四国銀行
株式会社四国銀行様に、yamory導入の背景や決め手についてお伺いしました。
導入事例薬機法に即したSBOM対応を実現 - 大研医器株式会社
大研医器株式会社様に、yamory導入の背景や決め手についてお伺いしました。
お知らせ「クラウドアセットスキャン機能」をリリース
AWSアカウントの連携のみで、EC2やECR内のソフトウェア情報をまとめて取得することができる新機能をリリースしました。脆弱性管理の導入負荷の低減・AWSアカウントにおける網羅的な脆弱性管理を実現します。
セキュリティ運用CVSS v4.0 主な変更点とよくある質問
2023年11月に公開されたCVSS v4.0の変更点とよくある質問について紹介します。
脆弱性2023年 脆弱性セキュリティレポート ネットワーク機器悪用の脆弱性は倍増
2023年の脆弱性の傾向を分析したセキュリティレポートを公開しました。本記事ではレポートの概要を紹介します。
お知らせ関東地方発明表彰にて「発明奨励賞」を受賞
公益社団法人発明協会が主催する「令和5年度 関東地方発明表彰」において、オートトリアージ機能の特許発明が評価され、「発明奨励賞」を受賞したしました。
お知らせASPICクラウドアワード2023にて「ベンチャーグランプリ」を受賞
日本クラウド産業協会(ASPIC)が主催する「第17回ASPICクラウドアワード2023」において、ベンチャー企業として先進性・発展性に優れたサービスであると評価され、「ベンチャーグランプリ」を受賞いたしました。
お知らせEOL管理機能をリリース
スキャンしたソフトウェアに対して、yamoryが持つEOLデータベース(製品のライフサイクルの終了やサポートの終了期日)と照合できる管理機能を提供します。EOLの自動通知により、運用負荷およびセキュリティリスクを低減できます。
イベント出展および登壇のお知らせ
2023年10月17日(火)〜20日(金)KITTE 4Fにて開催される、情報セキュリティ専門イベント「Security Days Fall 2023」に、yamoryから2名が登壇します。
導入事例薬機法に即したSBOM対応を実現 - アイリス株式会社
アイリス株式会社様に、yamory導入の背景や決め手についてお伺いしました。
お知らせyamoryのPOがSoftware ISACのOSS委員会 副委員長に就任し登壇
8月25日、yamoryのプロダクトオーナー鈴木が上記副委員長として、イベント「日本におけるソフトウェアサプライチェーンとSBOMのこれから」に登壇し、SBOMを活用したリスク管理手法について解説しました。
お知らせ「リンクベアメタルクラウド」のオプションサービスとして提供開始
株式会社リンクとパートナー契約を締結し、「リンクベアメタルクラウド」のオプションサービスとして「脆弱性管理サービスpowered by yamory」を提供開始しました。
お知らせ医療機関向け導入支援コンサルティングサービスの提供を開始
大阪急性期・総合医療センター様におけるPoCを経て正規サービス化いたしました。医療機関特有の環境において、医療機器のSBOM対応など、サプライチェーン全体のセキュリティ対策を支援できる体制が整いました。
イベントイベント登壇のお知らせ
2023年9月6〜7日、ホテル椿山荘東京にて開催される、理事長・院長など全国の病院経営者の方々が一堂に会するビジネスサミット「Hospital Management Japan Summit 2023」に登壇します。
お知らせSBOMインポート機能をリリース
従来のエクスポート機能に加えインポート機能が完備されることで、ソフトウェアコンポーネントの資産管理、および脆弱性の一元管理を実現。
導入事例効率的なSBOM対応によりソフトウェアサプライチェーン管理を推進 - SOMPOホールディングス株式会社
SOMPOホールディングス株式会社様に、yamory導入の背景や決め手についてお伺いしました。
お知らせ経済産業省「ソフトウェア管理に向けたSBOMの導入に関する手引」掲載
SBOMの作成や運用・管理に資するツールとして国産サービスで唯一掲載されたことをお知らせします。
セキュリティ運用既知の悪用された脆弱性一覧 CISA KEVカタログ
CISA KEVカタログの概要と公開された背景、SSVCと呼ばれる優先順位付けのフレームワークの概要と実運用時の課題について紹介します。
お知らせyamoryソフトウェアサービス利用規約改定のお知らせ
ソフトウェアサービス利用規約を改定します
お知らせMSPプランの提供開始および販売パートナー締結
新プランを含めた販売パートナーとして、トランスコスモス・デジタル・テクノロジーとのパートナー契約を締結し、脆弱性管理分野のサービス開発を支援いたします。
導入事例クラウド設定管理を含めたITシステム全体のリスク管理を実現 - 株式会社Hajimari
株式会社Hajimari様に、yamory導入の背景や決め手についてお伺いしました。
イベント出展およびカンファレンス登壇のお知らせ
IT総合イベント「Interop Tokyo 2023」(2023年6月14日~16日)に出展およびカンファレンスに登壇し、ソフトウェアのサプライチェーン管理についてお話します。
イベント医療機器メーカー、医療機関の方向けに、IMDRFガイダンス対応セミナーおよび個別相談会を開催
2023年5月23日(火)13:00より、IMDRFガイダンス概要と、SBOMや製品ライフサイクル全体の脆弱性管理手法について解説いたします。
セキュリティ運用OWASP API Security Top 10 2023〜OWASP Top 10との違い〜
API セキュリティのベストプラクティスの紹介とOWASP Top 10との違いについて紹介します。
お知らせIT資産登録機能をリリース
ネットワーク機器等のIT資産やコンポーネント情報を取り込み、資産管理および脆弱性の一元管理が可能になります。
導入事例プラットフォームに依存しない様々な環境に対応した脆弱性管理 - 株式会社アットウェア
株式会社アットウェア様に、yamory導入の背景や決め手についてお伺いしました。
お知らせSBOM標準フォーマットSPDX/CycloneDXの出力に対応
SBOMの標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。
お知らせ脆弱性管理クラウド「yamory」を運営する株式会社アシュアードが金融ISACに加盟
一般社団法人金融ISACに4月1日よりアフィリエイト会員として加盟いたしました。
イベントAWS Summit Tokyo 2023出展のお知らせ
2023年4月20〜21日、幕張メッセにて開催される「AWS Summit Tokyo」に出展いたします。yamoryはAWSパートナーとしてAWSサービスにおける脆弱性対策をお客様に提供しています。
お知らせ国内唯一となるAmazon Linux 2023ローンチパートナーとAmazon Linux Readyの認定を取得
yamoryでAmazon Linux 2023の脆弱性検知が可能になります。
お知らせオンライン相談窓口を開設~SBOMやクラウドセキュリティの課題解決を支援~
セキュリティエンジニアが、SBOMやクラウドセキュリティ等に関するお悩みや課題について、解決に向けたサポートをいたします。
お知らせクラウド設定管理(CSPM)正式販売を開始〜AWS/Azure/Google Cloud 3大クラウド対応へ〜
クラウド設定管理(CSPM)の正式販売を2月15日より開始します。
導入事例網羅的な脆弱性対策でDXの要となるデータ活用を促進 - 株式会社インサイトテクノロジー
株式会社インサイトテクノロジー様に、yamory導入の背景や決め手についてお伺いしました。
導入事例グループ横断の脆弱性対策をオールインワンで実現 - 株式会社ユーザベース
株式会社ユーザベース様に、yamory導入の背景や決め手についてお伺いしました。
導入事例SCA活用でDevSecOps強化を実現 - BIPROGY株式会社
BIPROGY株式会社様に、yamory導入の背景や決め手についてお伺いしました。
脆弱性2022年 脆弱性セキュリティレポート 増加する脆弱性とソフトウェア管理の重要性
2022年の脆弱性の傾向を分析したセキュリティレポートを公開しました。本記事ではレポートの概要を紹介します。
導入事例1,000人の大規模開発組織に脆弱性とライセンスの管理フローを構築 - 株式会社TKC
株式会社TKC様に、yamory導入の背景や決め手についてお伺いしました。
脆弱性知らないうちにマルウェアをインストール マリシャスパッケージとは?
マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことで、情報漏えいなどの深刻な影響が出る恐れがあります。本記事では、概要と具体的な攻撃手法、その対策方法について紹介します。
お知らせ国内初の AWS Graviton Service Ready Partner に認定
AWS Graviton ベースのインスタンスにおいて脆弱性検知が可能に。AWS Graviton ならではの高いコストパフォーマンスと開発スピードを活かしながら、脆弱性対策をスムーズに実施することが可能になります。
お知らせEOL 管理機能を順次リリース
EOL 管理機能により、漏れなく効率的な EOL 対応が可能となり、サイバー攻撃やシステム障害のリスクを防ぎます。
お知らせ中小企業向けセキュリティ対策サービスを国内セキュリティベンダー5社が共同で提供開始
yamoryは、中小企業向けのセキュリティ対策サービスを5社共同で提供を開始したことをお知らせします。
お知らせマリシャスパッケージへの対応開始
危険度が高く、即時対応が必要なマリシャスパッケージを yamory で自動検知し、管理・対策が可能となります
お知らせクラウド設定管理機能(CSPM)の提供を開始
クラウド設定不備による情報漏えいを防止。2023年1月より正式販売開始。
導入事例国内大手法人の3社に1社が利用する製品の脆弱性対策に活用 - 株式会社Works Human Intelligence
株式会社Works Human Intelligence様に、yamory導入の背景や決め手についてお伺いしました。
導入事例EdTech事業における組織横断の統合的な脆弱性管理を実現 - 株式会社グロービス
株式会社グロービス様に、yamory導入の背景や決め手についてお伺いしました。
お知らせ第13回 Japan IT Week 秋および CODE BLUE 2022出展のお知らせ
日本最大のIT展示会「第13回 Japan IT Week 秋」および世界トップクラスの専門家によるセキュリティ国際会議「CODE BLUE 2022」に出展することをお知らせします。
コラムyamory AWS 連携 〜 AWS 上の IT システムの脆弱性管理を yamory で実現 〜
脆弱性管理クラウド yamory が、AWS ファンデーショナル テクニカルレビュー(FTR)を通過
セキュリティ運用脆弱性診断と脆弱性管理の違い メリット・デメリット
本記事では、脆弱性診断と脆弱性管理サービスの脆弱性の検出方法の違いと対象となるレイヤーの違いからどのようなメリット・デメリットがあるのかについて紹介します。
コラムSBOM(ソフトウェア部品表)の重要性と効率的な対応方法~オンラインセミナー開催レポート~
SBOM の必要性が増している背景や国内外の状況、具体的な SBOM の仕様、SBOM 対応の方法についてお伝えしました。
導入事例yamoryがない状態には戻りたくない。OSSの脆弱性管理工数を月35人日削減 - サイボウズ株式会社
セキュリティを守る3つの脆弱性対策手法と、大きな工数削減を実現したyamoryの導入についてお伺いしました。
コラム背景と具体例から学ぶ SBOM
ソフトウェア資産管理の標準手法である SBOM について、その背景や国内外の動向、実際の例を交えて解説します。
導入事例「yamoryなら信頼できる」品質と開発スピードを両立した脆弱性管理 - 株式会社アルファドライブ
「私自身がyamoryが好きでファン」と破顔一笑した、執行役員CTO/ニューズピックス技術フェローの赤澤様にお伺いしました。
セキュリティ運用ゼロデイ攻撃とは?対策と増加している理由
ゼロデイ攻撃とは修正プログラムが提供される前に公開された脆弱性(ゼロデイ脆弱性)を悪用した攻撃のことです。本記事では、近年増加している理由とゼロデイ攻撃への対策方法について解説します。
導入事例グループ会社横断のソフトウェア脆弱性管理を完全自動化、工数をゼロに - Visionalグループ
会社の成長と事業の多角化が進む中、全社横断での脆弱性管理とその自動化についてお伺いしました。
セキュリティ運用【DevSecOps】アジャイル開発におけるセキュリティ | パターン・ランゲージ 解説
DevSecOpsを成功させるためのポイントと共に「アジャイル開発におけるセキュリティ | パターン・ランゲージ」を解説します。
コラムゼロデイ脆弱性など緊急度の高い脆弱性を即座に通知 緊急脆弱性速報機能の紹介
緊急脆弱性速報機能を新たにリリースすることに決まった背景や、近年なぜゼロデイ脆弱性が話題となっているのかについて紹介します。
導入事例脆弱性対策で開発スピードが向上、バージョンアップの習慣化がポイント - KDDI株式会社
KDDI株式会社様に、アジャイル開発とセキュリティ対策としての脆弱性管理についてお伺いしました。
導入事例属人的だった脆弱性管理を標準化、Log4Shellも横断検索で影響調査 - Chatwork株式会社
Chatwork株式会社様に、yamory導入の経緯、活用状況についてお伺いしました。
脆弱性OSSの脆弱性を発見して、CVEを2件取得するまで 脆弱性の発見・報告のポイント紹介
OSSの脆弱性を発見して、CVEを2件取得するまでの経緯とそこで感じた脆弱性発見・報告のポイントについて解説します。
コラム2021年セキュリティニュース振り返り
2021年のセキュリティニュースを月毎にピックアップして紹介し、振り返りをしたいと思います。
コラムApache Log4j の脆弱性対策なら yamory(Log4Shell、CVE-2021-44228の対策)
Log4Shell対策のための便利な機能をご紹介させていただきます。
脆弱性TensorFlowだけじゃない!安全でないデシリアライゼーション in Python
TensorFlowで発見された脆弱性を例にPythonにおける安全でないデシリアライゼーションを解説します。
脆弱性HoneyPoC 確認せずに攻撃コード(PoC)を実行してはいけない!
HoneyPoCと呼ばれる盲目的にPoCが実行されていることを示した調査プロジェクトについて解説します。
コラムOS、ミドルウェア・開発言語への対応と、ライセンス違反検知を開始
本記事では、新機能を追加し生まれ変わったyamoryに関して、プロダクトオーナーの鈴木から、新機能の紹介と、開発背景についてご紹介させていただきます。
セキュリティ運用2021年版 OWASP Top 10 概要と2017との比較
2021年版 OWASP Top 10 概要と2017との比較について解説します。
脆弱性npmにも影響があるnode-tarのパストラバーサルの脆弱性 CVE-2021-32804
npmにも影響を与える node-tarの脆弱性(CVE-2021-32804)について解説します。
お知らせログミーTech に DevSecOps 勉強会 #1 の登壇レポートをご掲載いただきました
書き起こしメディア「ログミーTech」に、yamory 主催 DevSecOps 勉強会 #1 の登壇レポートを掲載いただきました。
コラムライセンス導入 まずはここから Apache License 2.0
Apache ライセンスは OSS を開発・配布する際に用いられる代表的なライセンスのひとつです。本記事では Apache License 2.0 の内容、適用方法、掲載例について解説していきます。
導入事例工数の削減と属人性を排除した脆弱性管理を実現 - 株式会社システムインテグレータ
yamory を導入いただいている株式会社システムインテグレータ様に、導入の経緯や活用状況について、お話を伺いました。
イベント3 / 11(木)開催 デジタルエンタープライズで必要なセキュリティ対策 〜OSS で DX を安全に加速する〜
yamory 主催のオンラインイベントのご案内です。
イベント3 / 4(木)開催 「yamory」を体験するハンズオンセミナー
yamory 主催のオンラインイベントのご案内です。
コラム2021 年 2 月下旬 〜 3 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2021 年 2 月下旬 〜 3 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
セキュリティ運用OWASP Top 10 Proactive Controls 2018 の概要と 2016 との比較
セキュリティのベストプラクティスをまとめた OWASP Top 10 Proactive Controls 2018 の概要ついて解説します。
イベント2/18(木)開催 Struts の脆弱性への攻撃デモでみるリスクと効率の良い脆弱性管理の方法
yamory 主催のオンラインイベントのご案内です。
コラムyamory を使って脆弱性管理をしてみよう! -導入編-
本記事では、脆弱性管理ツール「yamory」の基本的な機能である脆弱性の検出から、脆弱性情報の確認、ダッシュボードや通知機能の紹介をします。
コラム2021 年 1 月下旬 〜 2 月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2021 年 1 月下旬 〜 2 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
イベント1/28(木)開催 脆弱性への攻撃デモでみるリスクと yamory を使った効率の良い脆弱性管理
yamory 主催のオンラインイベントのご案内です。
脆弱性実践!安全ではないデシリアライゼーションの攻撃手法
本記事では、実際のコードを交えて Java における安全ではないデシリアライゼーションの解説を行い、この脆弱性を見つけた場合にどのように扱えばよいのか、どのような対策を行えばよいのかを解説します。
コラム正しく知れば怖くない GPL ライセンスの特徴
GPL ライセンスは OSS を開発・配布する際に用いられる代表的なライセンスのひとつで、利用許諾のための条件などを定めているものです。本記事では GPL ライセンスの概要から掲載例について解説していきます。
脆弱性Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)PoC 検証
2020 年 12 月 8 日に公開された Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)について、PoC コードの検証を行いました。
コラム2020 年 12 月下旬〜 2021 年 1 月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020 年 12 月下旬〜 2021 年 1 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
コラム自由度の高い MIT ライセンスの概要と他ライセンスとの比較
MIT ライセンスは代表的なオープンソースライセンスのひとつで、利用許諾のための条件などを定めているものです。MIT ライセンスの概要から各種ライセンスの比較について解説します。
イベント12/24(木)開催 エンタープライズアジャイル開発における品質管理とセキュリティ対策を yamory で考える
yamory 主催のオンラインイベントのご案内です。
脆弱性さまざまなサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング
HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。
コラム2020 年 11 月下旬 〜 12 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 11 月下旬 〜 12 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
お知らせログミーTech に DevSecOps 勉強会 #1 の登壇レポートをご掲載いただきました
書き起こしメディア「ログミーTech」に、yamory 主催 DevSecOps 勉強会 #1 の登壇レポートを掲載いただきました。
脆弱性フィッシングや情報漏洩に繋がる攻撃 オープンリダイレクトの概要と対策
オープンリダイレクトの原因と対策方法や、開発者としてこのオープンリダイレクトを見つける方法についてご紹介します。
セキュリティ運用脆弱性レジリエンスを高めるための Clean Architecture
ビジネススピードを確保しつつ、脆弱性のリスクを抑えるにすれば良いのでしょうか。本記事では、Clean Architecture を用いて脆弱性への対応力「レジリエンス」を高めるアプローチを解説します。
イベント11/19(木)開催オンラインセミナー Web アプリの脆弱性と向き合うには -脆弱性管理とセキュアな開発フロー-
yamory 主催のセミナーのご案内です。
コラム2020 年 10 月下旬 〜 11 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 10 月下旬 〜 11 月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
セキュリティ運用組織としてセキュリティに取り組む ISMS とはなにか
ISMSは、多面的な脅威から組織の情報資産を保護することを目的とした仕組みのことを指します。本記事では、ISMS の概要を解説していきます。
脆弱性Web アプリ開発者も他人事じゃない バッファオーバーフロー攻撃の概要と対策
バッファオーバーフローはメモリ上のバッファを超えて書き込みが行われる攻撃手法です。アプリ開発者の視点から解説しました。
コラム2020 年 9 月下旬 〜 10 月中旬に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 9 月下旬 〜 10 月中旬にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
脆弱性リバースブルートフォース攻撃の概要と Web アプリにおける対策
リバースブルートフォース攻撃はパスワードを固定して ID 部分を変えながら認証を繰り返していく不正アクセスを目的とした攻撃です。
脆弱性悪意あるサイトにこっそり誘導 クリックジャッキング
クリックジャッキングは、ユーザーを視覚的に騙して悪質なサイトへ誘導する攻撃手法です。本記事ではクリックジャッキングの概要から、攻撃の仕組み、対策方法について解説していきます。
コラムyamory がサービスリリースから 1 周年を迎えました
yamory は、2020 年 8 月 27 日をもちましてリリースから 1 周年を迎えました。今回は yamory の 1 周年を記念して、この 1 年間の取り組みを時系列で振り返ります。
お知らせログミーTech に DevSecOps 勉強会 #1 の登壇レポートをご掲載いただきました
書き起こしメディア「ログミーTech」に、yamory 主催 DevSecOps 勉強会 #1 の登壇レポートを掲載いただきました。
コラム2020 年 8 月下旬〜 9 月中旬に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020 年 8 月下旬〜 9 月中旬にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
脆弱性2020 年 脆弱性管理レポート
最近の脆弱性管理の動向や取り組み方を「脆弱性管理レポート」としてまとめました。yamory 利用者様からのアンケート結果も交えながらご紹介します。
お知らせyamory とイエラエセキュリティの「WaaS」が共同ソリューション提供に向けた業務提携を開始
yamory と、株式会社イエラエセキュリティが提供する「WaaS」は、業務提携を開始します。
コラム2020年8月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020年7月最終週〜8月にかけて開催予定の「セキュリティに関するセミナー・勉強会イベント」についてまとめました。
脆弱性改行コードに要注意! HTTP ヘッダインジェクションの概要と対策
HTTP ヘッダインジェクションは、データを適切にチェックせずに HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。本記事では HTTP ヘッダインジェクションの概要・対策方法について解説します。
セキュリティ運用脆弱性診断はなぜ必要なのか? 診断の特徴と選択のポイント
脆弱性診断は、システム上に潜む脆弱性やサイバー攻撃に対する問題点や耐久度を診断するサービスです。本記事では脆弱性診断の概要から、診断の特徴、脆弱性診断ツールやサービスの種類について解説していきます。
脆弱性URL の取り扱いには要注意! SSRF の攻撃と対策
SSRF は外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法・脆弱性です。本記事では SSRF が起きる原因と、脆弱性の影響について攻撃シナリオをベースに説明していきます。
コラム2020年7月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020年7月に開催予定の「セキュリティに関するセミナー・勉強会イベント情報」についてまとめました。
脆弱性その正規表現の書き方で大丈夫? ReDoS 攻撃の怖さと対策方法
ReDoS は、脆弱な正規表現を利用することで起こる DoS のひとつです。正規表現の記述は難しく、誤った記述をしてしまうと ReDoS の影響を受ける恐れがあります。本記事では ReDoS の概要から対策方法まで解説していきます。
セキュリティ運用パッチ管理入門 プロセスとメリット / デメリット
パッチ管理とは、脆弱性の穴を塞ぐための修正用ファイル「パッチ」の適用状況を管理するプロセスのことを指します。本記事ではパッチ管理の概要とプロセス、メリット / デメリットについて解説します。
脆弱性ライブラリの導入、それが脆弱性の始まり
ライブラリの導入によってライブラリが依存する他のライブラリと脆弱性までも引き込んでしまうことがあります。本記事ではライブラリと依存関係における脆弱性について Gradle を使って例をあげながら解説します。
脆弱性OS コマンドインジェクション その危険性と対策
OS コマンドインジェクションは、オペレーティングシステムのコマンドを不正に実行できてしまう脆弱性および攻撃手法です。本記事では OS コマンドインジェクションの概要と攻撃による影響、対策について解説します。
セキュリティ運用脆弱性の深刻度をセルフチェック CVSS
CVSS とは、ソフトウェアやシステム上で発見された脆弱性の深刻度を評価する指標のひとつです。日本語では共通脆弱性評価システムとも呼ばれます。本記事では、CVSS の概要と活用方法について解説します。
コラム2020 年 6 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 6 月に開催される予定の「セキュリティに関するセミナーや勉強会イベントの情報」をまとめました。
脆弱性Java を使った Web アプリにおける脆弱性対策
Java は業務システム、Web アプリケーション、Android アプリの開発等で幅広く使われている言語です。本記事では Java ベースの Web アプリケーション開発に焦点を当て、脆弱性とその対策方法について解説します。
コラムYouTube Live でオンライン勉強会を開催してみました
4 月 22 日に開催した「DevSecOps 勉強会」での取り組みを振り返り、オンライン勉強会開催にあたっての準備や配信方法、学びについてまとめました。
お知らせyamory のオートトリアージ機能が特許を取得しました!
「yamory」に搭載されているオートトリアージ機能を日本国特許庁に出願し、審査の結果特許権を取得いたしました。本記事では取得した特許の概要についてご説明します。
セキュリティ運用DevSecOps とはなにか
DevSecOps とは、DevOps エコシステムをソフトウェアセキュリティにまで拡げるという概念です。本記事では、DevSecOps の概念と、DevSecOps が登場した背景について解説します。
セキュリティ運用セキュリティ対策として取り入れたい ペネトレーションテスト
ペネトレーションテストは、システムにセキュリティ上の脆弱性がないかどうかのテストを指します。本記事ではペネトレーションテストの概要と、メリット・デメリットについて解説します。
セキュリティ運用身近な脆弱性攻撃 Proof of Concept code
Proof of Concept codeは、システムの脆弱性を証明するために作成された検証用プログラムコードの総称です。本記事では PoC の概要から PoC を悪用した攻撃の概要、対策方法を解説します。
セキュリティ運用セキュアな Web アプリケーションを作るには? Vol.02 ASVS 活用編
セキュアな開発に有用なドキュメント「OWASP ASVS」を開発現場で活用していくポイントについて解説します。
セキュリティ運用NVD の脆弱性情報を活用する上で気をつけたいこと
NVD はアメリカ国立標準技術研究所が管理する脆弱性の情報を集めたデータベースのことです。本記事では NVD の情報だけでの脆弱性調査の課題や、より楽に正しい脆弱性情報を収集するための方法について解説します。
脆弱性アプリケーション外でも発生する脆弱性 パストラバーサル
パストラバーサルは、本来アクセスできないディレクトリに存在するファイルに対して、脆弱性を悪用してアクセスする攻撃手法です。本記事では、パストラバーサルの脆弱性について概要説明・対策方法・実例までをご紹介します。
脆弱性ある日突然やってくる DDoS 攻撃の概要と対策
DDoS 攻撃は、システムやネットワークへ意図的に過剰な負荷をかけることによりサーバーを応答不能状態にする攻撃を指します。本記事では、DDoS 攻撃の攻撃手法と対策について解説していきます。
お知らせ「yamory」が IPA のセキュリティ製品の有効性検証の試行対象として選定
yamory が独立行政法人情報処理推進機構(IPA)の「セキュリティ製品の有効性検証の試行」において対象製品に選ばれました。
セキュリティ運用パワフルな攻撃防御システム WAF とは?
Web アプリケーションファイアウォールとは、Web アプリケーションに対する攻撃を防ぐことに特化したシステムのことです。本記事では、WAF の機能・仕組みから活用シーンまでを解説します。
脆弱性油断ならない脆弱性 XXE への対策
XXE(XML 外部エンティティ参照)は、アプリケーションが XML を解析した際に XML の特殊構文を悪用されて発生する脆弱性です。本記事では XXE の仕組みから対策方法までを解説していきます。
コラム2020 年 4 月に開催されるセキュリティ系セミナー / 勉強会情報まとめ
2020 年 4 月に開催される予定の「セキュリティに関するセミナーや勉強会イベントの情報」をまとめました。
セキュリティ運用セキュアな Web アプリケーションを作るには? Vol.01 OWASP ASVS 4.0.1 編
セキュアな開発推進の助けになる「ASVS」の概要と yamory の見解についてご紹介します。
セキュリティ運用ゼロデイ攻撃のゼロってどういう意味?攻撃手法と対策について
ゼロデイ攻撃とはアプリケーションやソフトウェアの脆弱性や不具合を利用して行われるサイバー攻撃です。本記事では、このゼロデイ攻撃の攻撃手法と対策について解説していきます。
セキュリティ運用NIST CSF とは 実践のための7ステップ
NIST CSF は、重要インフラシステム向けに作成されたフレームワークです。本記事では、この NIST CSF についての概要と実践のための7ステップについて解説していきます。
セキュリティ運用CORS & Same Origin Policy 入門
Web セキュリティの観点において、CORS(オリジン間リソース共有)は Web 開発・Web 制作に関わる方すべてが理解しておくべき仕組みです。本記事では、CORS についての概要と一般的な設定方法について解説していきます。
脆弱性ブルートフォース攻撃の危険性とその対策5種
ブルートフォース攻擊はユーザのアカウント・パスワードを解読するため、考えられる全てのパターンや組み合わせを試す攻擊手法のことです。今回はブルートフォース攻擊の仕組みと対策方法 5 種をご紹介します。
脆弱性知っておきたいクロスサイトリクエストフォージェリの仕組み
クロスサイトリクエストフォージェリは Web アプリが偽装されたリクエストを正規のものとして受信してしまう脆弱性・攻撃手法です。今回はクロスサイトリクエストフォージェリの仕組み、対策方法をご紹介します。
セキュリティ運用はじめての方向け CVE 入門 CVEID や MITRE などもまとめて紹介
CVE は脆弱性という言葉とともに出てくることが多い単語です。今回は CVE の概要から活用方法までをご紹介します。
脆弱性油断できない SQL インジェクション。その種類と Web アプリにおける対策
SQL インジェクションは広範囲に悪影響を与える危険な脆弱性です。今回は SQL インジェクションの種類と対策についてご紹介します。
お知らせGo 言語のサポートを始めました!
yamory で Go 言語のサポートを開始いたしました。Go 言語対応にかける想いと、yamory での Go 言語スキャンの方法についてご説明します。
セキュリティ運用IPS とは?その機能と活用シーンについて
「IPS」そのものと、IPS がセキュリティのどのような部分で利用されるのかについてご紹介いたします。
セキュリティ運用あなたの組織に CISO はいますか?
CISO は企業や組織における情報セキュリティを統括する責任者のことです。この記事では「CISO」の役割や企業における設置状況などをご紹介します。
脆弱性クロスサイトスクリプティング(XSS)とは? Web アプリにおける対策方法について
クロスサイトスクリプティングは、システムの表示処理の不備から引き起こる脆弱性です。XSS の被害と攻撃の種類について解説します。
セキュリティ運用Webセキュリティはどこから手をつければよいのか?
「Webセキュリティはどこから手をつければよいのか?」というご質問にお答えいたします。
セキュリティ運用IDSとは?その機能と活用シーンについて
「IDS」そのものと、IDSがセキュリティのどのような部分で利用されるのかについてご紹介いたします。
セキュリティ運用不正アクセスとその事例、対策について
「不正アクセス」そのものと、不正アクセスの事例や手口、対策についてご紹介いたします。
脆弱性なぜオープンソースの脆弱性管理と対策が重要なのか
「OSS の脆弱性対策や管理がなぜ重要なのか」をリスクや事例、対策方法も交えながらお伝えします。
コラム2020年2月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020年2月に開催される予定の「セキュリティに関するセミナーや勉強会イベントの情報」をまとめました。
脆弱性PHP における脆弱性との向き合い方とその対策方法
PHP 環境下で動作するWebアプリケーション / CMS に焦点を当て、日々新しく発見される脆弱性との向き合い方についてまとめました。
セキュリティ運用OWASPとは?Top 10, ZAPについてもまとめて紹介
「OWASP」をご存知ですか?「OWASP Top 10」や「OWASP ZAP」についても解説します。
脆弱性システムにおける脆弱性とは?その対策と管理方法について
サイバーセキュリティ/サイバー攻撃における「脆弱性」という言葉の意味と代表的な攻撃方法、そして脆弱性対策/管理の方法についてご紹介いたします。
コラム2020年1月に開催されるセキュリティ系セミナー/勉強会情報まとめ
2020年1月に開催される予定の「セキュリティに関するセミナーや勉強会イベントの情報」をまとめました。
脆弱性Web アプリケーションのセキュリティとは
Web アプリケーションによるサービスが広がりを見せる一方で、Web アプリの脆弱性を狙ったサイバー攻撃も増加の傾向にあります。本記事では Web アプリケーションにおけるセキュリティの基礎知識について解説します。
コラムyamoryの今までを振り返り、2020年に目指すこと
2019年も終わりに差し掛かり、2020年が始まろうとしているので、このタイミングで「yamory」のこれまでを振り返りながら、今後目指していきたい世界や2020年の抱負について、言葉にしていきたいと思います。