【ブログ】ISMSにおける脅威インテリジェンス(1/22)
情報セキュリティマネジメントシステムの世界的な基準であるISO/IEC 27001(ISO 27001)が2022年に改訂され、そのセキュリティ管理策の1つとして脅威インテリジェンスが新たに追加されました。サイバー空間をめぐる脅威が日々変化する中、組織・企業がサイバーセキュリティリスクを管理する上で脅威インテリジェンスは不可欠な要素となっています。 本記事では、ISMSに記載された「脅威インテリジ...
SOMPO CYBER SECURITY
JWTは、正式にはJSON Web Tokenといいます。
JWTは、JSONオブジェクト(JavaScript Notation)を利用し、データを安全にリモート送信するオープンスタンダードです。
JWTの企画はRFC 7519に規定されており、主にWebアプリケーションにおけるアクセス認証・認可や、情報の送受信に用いられます。
JWTに格納された情報は、HMACあるいは公開鍵暗号(RSAまたはECDSA)による署名を通じて完全性を確保されています。
JWTは軽量であるため、発信の際にURLや、HTTPヘッダやPOSTパラメータを利用することができます。
JWTは Auth0が運営するオープンソースプロジェクトであり、npmなど様々なパッケージマネージャーから利用が可能です。
2023年1月、悪性リクエストを送信することによるリモートコード実行の脆弱性(CVE-2022-23529)がPalo Alto Networksによって発見されました。当該脆弱性は バージョン9.0.0において修正されています。
JWTの取り扱いを誤った場合、不正アクセスや情報漏洩につながるおそれがあります。
事例として、国内大手メーカーの利用するサプライチェーン向けWebアプリケーションにおいて、従業員メールアドレス情報のみで認証用JWTが生成可能な状態にあったため、正規の手順を踏まずログインできてしまうという脆弱性が研究者によって発見されています。
情報セキュリティマネジメントシステムの世界的な基準であるISO/IEC 27001(ISO 27001)が2022年に改訂され、そのセキュリティ管理策の1つとして脅威インテリジェンスが新たに追加されました。サイバー空間をめぐる脅威が日々変化する中、組織・企業がサイバーセキュリティリスクを管理する上で脅威インテリジェンスは不可欠な要素となっています。 本記事では、ISMSに記載された「脅威インテリジ...
前編からお読みください→:CISA Deciderとは?(前編) MITRE ATT&CKの紹介 米国のサイバーセキュリティ当局であるCISAが2023年3月、Deciderツールを公開しました。Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。 本記事では、Deciderの概要と仕組みについて紹介します。※ 本編は...
米国のサイバーセキュリティ当局であるCISAが、Deciderツールを公開しました。Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。 前編となる本記事では、まずDeciderツールがターゲットとするMITRE ATT&CKフレームワークについて紹介します。 後編では、Deciderの概要と仕組みについて説明し、実際...
・ アイランドホッピング攻撃(Island Hopping Attack)は、軍事における飛び石作戦に由来する攻撃手法です。現在普及しているアイランドホッピング攻撃の一般的な定義は、脆弱な関連会社やパートナーを侵害し、本来のターゲットに移行するサプライチェーン攻撃に似た意味で用いられています。 .scope_blog .cover { margin: 80px auto 18px!importan...