2022.04.26THU

2022年4月26日 Vol.10 メルマガ配信しました。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■                  
           EGセキュアソリューションズからのお知らせ

               2022年4月配信
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

 TOPIX
 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

  1. 高度化・頻発化するサイバー攻撃に対応する「SOCサービス」提供開始

  2. 【セミナー】「開発手法の変化と最近の作り込みやすい脆弱性傾向の関係を紐解く」のご案内

  3. 「SiteGuardシリーズ」の新しいサービスを提供開始いたします

  4. ウェブ・セキュリティ実務知識試験(通称:徳丸実務試験)のご案内

  5. 【コラム】ウェブ・セキュリティ実務知識試験について(徳丸 浩)

  6. 【動画】フリーWi-Fiにウイルス感染の脅威? 実験環境で試してみた。

  7. 【クイズ】あなたのセキュリティの理解度は?

 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

 +───────────────────────────────────────────────────────────+
  1. 高度化・頻発化するサイバー攻撃に対応する「SOCサービス」提供開始
 +───────────────────────────────────────────────────────────+

  2022年3月15日より、企業のIT基盤を24時間365日体制で監視・脅威分析する「SOCサービス」を提供開始いたしました。

  猛威を振るっているemotetですが、感染した人もしなかった人もまだ記憶に新しいかと思います。
  記憶から薄れるまでは、多くの方が気を付けてメールや添付ファイルを開いているはずです。

  しかし、どうでしょうか?記憶は移ろい消えゆくものです。
  このように気をはった開封行為をいつまでも同じ温度感で継続するのは難しいと思います。
  類似のパンデミックが発生したときに同じように慌てふためく事態に見舞わないとも限りません。

  「気づかされる」のではなく、「気づくこと」は冷静な判断に非常に重要な因子と考えます。
  また、初動対応が決まっていると尚良いでしょう。

  こう考えると割とシンプルに見張っておけば第一歩としては良さそうですね。
  あとはどうやって?の話ですが続きはSOCで。ではでは。

 ■SOC(Security Operation Center)
  https://www.eg-secure.co.jp/service/soc/

 ■お問い合わせ
  https://www.eg-secure.co.jp/contact/

 +───────────────────────────────────────────────────────────+
  2. 【セミナー】「開発手法の変化と最近の作り込みやすい脆弱性傾向の関係を紐解く」のご案内
 +───────────────────────────────────────────────────────────+

  5月25日にオンラインセミナー「開発手法の変化と最近の作り込みやすい脆弱性傾向の関係を紐解く」を開催いたします。
   *2月16日に開催したセミナーと同じ内容となります。

  ウェブアプリケーションの開発手法としてSPA(シングルページアプリケーション)がすっかり定着してきました。
  業務で初めて作るウェブアプリがSPAというケースも珍しくないようですが、それに伴い脆弱性の出方も変化しています。

  脆弱性診断の現場では、一時撲滅したかに見えたSQLインジェクションのような初歩的な脆弱性の検出が「また」増える傾向にあり、それは開発手法の変化に対するセキュアコーディングの最適解が確立されていないことに起因します。

  本セミナーでは、弊社の脆弱性診断で指摘された脆弱性の中から、初歩的ではあるが作り込みやすい最近の脆弱性傾向について紹介するとともに、SPAをはじめとした開発手法の変化に合わせた脆弱性対策のポイントをお伝えします。

 ■講師
  代表取締役CTO 徳丸 浩

 ■開催概要
  日 時 2022年5月25日(水) 16:00ー17:00
  受講料 無料

 詳しくはこちらから
  https://www.eg-secure.co.jp/seminar/20220316/

 お申し込みはこちらから
  https://us06web.zoom.us/webinar/register/1716431785062/WN_QkiJtzHQSgeMQD1TLpPXYg

 +───────────────────────────────────────────────────────────+
  3. 「SiteGuardシリーズ」の新しいサービスを提供開始いたします
 +───────────────────────────────────────────────────────────+

  お客様からご要望にお応えし、「SiteGuardシリーズ」の活用をトータルサポートする導入サービスを提供開始いたします。

  当社セキュリティエンジニアが「SiteGuardシリーズ」の導入作業やチューニング作業を代行しますので、はじめてWAFを導入するお客様でも安心です。

  導入サービスは、以下のようなニーズをお持ちのお客様に最適です。
   ◆専門の部門や専任の担当者がいないため、導入や設定作業に不安がある
   ◆簡単にできそうだけど、確実な設定を専門家にお願いしたい
   ◆他の業務と兼務だと、時間を取れなくて運用管理が大変

 ■詳しくはこちら
  https://siteguard.jp-secure.com/blog/introduction-service
 ■導入サービス
  https://siteguard.jp-secure.com/introduction-service
 ■お問い合わせ
  https://www.eg-secure.co.jp/contact/

 +───────────────────────────────────────────────────────────+
  4. ウェブ・セキュリティ実務知識試験(通称:徳丸実務試験)のご案内
 +───────────────────────────────────────────────────────────+

  弊社取締役CTOの 徳丸 浩が監修したセキュリティ運用の実務知識を問う「ウェブ・セキュリティ実務知識試験」が、一般社団法人BOSS-CON JAPANにより2022年4月1日から実施されました。

  現在、ビジネスの主体をオンラインへとシフトする企業が増加する一方で、個人情報の漏洩やシステム障害など、セキュリティの脆弱性を狙ったインシデントが多発しており、以前にも増して強固なウェブ・セキュリティ対策が求められています。ウェブ業界全体では、開発者自体は増加している一方、脆弱性を生まないためのウェブ・セキュリティ対策においては、セキュアプログラミングができる層とできない層に分かれる、いわゆる開発における“格差”の広がりが課題と言われております。

  そこで、ユーザー・開発者を対象に、“格差”解消や情報セキュリティ人材の育成を目的に、実務におけるセキュリティ運用能力を推しはかる「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務知識試験)を実施することになりました。

  弊社では、本試験や認定スクールの提供を通して、企業におけるセキュリティ体制の強化や、ウェブ・セキュリティ業界全体のレベルアップに寄与し、安全なウェブの世界の実現を目指してまいります。

 ■詳しくはこちら:PHP技術者認定機構
  https://www.phpexam.jp/2022/03/25/tokumaru/

 ■試験の詳細はこちらから
  https://cbt.odyssey-com.co.jp/tokumaru.html

 +───────────────────────────────────────────────────────────+
  5. 【コラム】ウェブ・セキュリティ実務知識試験について(徳丸 浩)
 +───────────────────────────────────────────────────────────+
  
  ウェブ・セキュリティ実務知識試験(以下、実務試験と略記)が今年の4月1日から実施されています。
  これに先だち、2020年7月よりウェブ・セキュリティ基礎試験(以下、基礎試験と略記)が提供されています。基礎試験が「ウェブのセキュリティに関する原理を理解していること」を問う試験であるのに対して、実務試験の方は、「安全なウェブアプリケーションを開発・試験するために実務的な知識を持っていること」を判定する試験になります。このため、実務試験では、PHPやJavaScriptで書かれたプログラムも問題の対象に含まれます。

  最近セキュリティに関する情報が非常に多く流通しているため、「SQLインジェクションやクロスサイトスクリプティングのことなら既にわかっている」と思っておられる方が多いと思いますが、ネットの情報には誤りが多く、意外に正しい知識が身についていない方が多いようにお見受けします。
  このため、セキュリティ的に問題のないサイトの構築やテストに携わる方すべてに、このウェブ・セキュリティ実務知識試験の受験をお勧めいたします。

 ■試験の詳細はこちらから
  https://cbt.odyssey-com.co.jp/tokumaru.html

 +───────────────────────────────────────────────────────────+
  6. 【動画】フリーWi-Fiにウイルス感染の脅威? 実験環境で試してみた。
 +───────────────────────────────────────────────────────────+

  公衆無線LANは盗聴の危険に加えてウイルス感染やパソコンのファイル盗難の危険性があると言われていますが、どのような状況でこれらの脅威が生じるでしょうか。
  この動画では偽のアクセスポイントを使ってしまった利用者を想定して、利用者のパソコンがウイルス感染するシナリオについて解説します。

  具体的には、有名なランサムウェアWannaCryが悪用するWindowsの脆弱性 MS17-010 の攻撃が偽アクセスポイント利用者に対して可能であることを示し、パーソナルファイアウォールの設定によりこの攻撃が防げることをデモで示します。また、このような攻撃にあわないための利用者側の対策についてまとめています。

 ■動画はこちらから
   https://youtu.be/qMbB9DUkz-k

 +───────────────────────────────────────────────────────────+
  7. 【クイズ】あなたのセキュリティの理解度は?
 +───────────────────────────────────────────────────────────+

  公衆無線LANに接続する際に行うべきウイルス感染対策としてふさわしくないものはどれでしょうか。

   ①Windowsを使用している場合、公衆無線LAN接続時にはネットワークプロファイルを『プライベート』に設定する。
   ②OSやアプリケーションを最新バージョンにしておく。
   ③ファイル共有を無効にする。
   ④パーソナルファイアウォールを有効にする。

  解答をご確認したい方はメールマガジンへの登録をお願いいたします。

Contact

お気軽にお問い合わせください。

Mail magazine

弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。