脆弱性診断とは | 必要性・種類・やり方・ツール
脆弱性診断(Vulnerability Assessment)あるいはセキュリティ診断は広く普及した対策であり、多くの組織・企業がサイバーセキュリティ強化のために取り入れています。ソフトウェアやシステム、クラウドサービス等の脆弱性は、攻撃を招くアタックサーフェスの1つです。クラウドが利用されDXが推進される今日、脆弱性を特定し対応する施策の1つである脆弱性診断の重要性は日々高まっています。 本記事...
SOMPO CYBER SECURITY
npm(Node Package Manager)は、GitHubが運営するNode.jsのためのパッケージマネージャです。
クロスプラットフォームのJavaScriptランタイム実行環境であるNode.jsを利用する開発者が、ソースコードモジュールパッケージを効率よく取り扱えるようにする目的で開始されたオープンソースプロジェクトです。
npmはコマンドラインクライアントあるいはオンラインデータベースを通じて利用可能します。Webアプリケーションやモバイルアプリケーション等に関するソースコードパッケージを集めたnpmレジストリにアクセスし、様々なプロジェクトをインストール可能です。
npmのような公開レポジトリは、近年サイバー攻撃に悪用される例が増加しています。
npm上に、悪意ある動作を持つパッケージや、マルウェアを挿入したパッケージ、正規のパッケージに似せた名前(タイポスクワッティング)の悪性パッケージが混在しており、ソフトウェア・サプライチェーンに対する脅威となっています。
こうした攻撃は組織的、計画的に行われており、2022年には、特定アカウントが700件超の悪性パッケージを短期間で公開する事象が確認されました。
オープンソースの脆弱性や依存関係に起因するリスクは、米国を含む各国政府が重点的に取り組んでいる課題です。
Googleは、オープンソースプロジェクトの脆弱性データベースであるOSVを公開し、npmパッケージの脆弱性情報を提供しています。
脆弱性診断(Vulnerability Assessment)あるいはセキュリティ診断は広く普及した対策であり、多くの組織・企業がサイバーセキュリティ強化のために取り入れています。ソフトウェアやシステム、クラウドサービス等の脆弱性は、攻撃を招くアタックサーフェスの1つです。クラウドが利用されDXが推進される今日、脆弱性を特定し対応する施策の1つである脆弱性診断の重要性は日々高まっています。 本記事...
2023年11月8日~9日にかけて、情報セキュリティに関する国際会議であるCODE BLUE 2023が開催されました。会議には駐日ウクライナ大使セルギー・コルスンスキー氏やセキュリティ専門家ミッコ・ヒッポネン氏を始めとする様々なスピーカーが登壇した他、コンテストやワークショップも行われました。 SOMPO CYBER SECURITYではインシデントサポートやサプライチェーンリスク評価、脅威イン...
2022年11月にChatGPTがリリースされ、連日様々な話題が報じられています。公開から2か月で月間アクティブユーザーが1億人に達したと報道されました。 過去にはTikTokが約9か月かけて、Instagramが2年半かけて達成した1億ユーザーを、ChatGPTは史上最速で達成したといえます。多くの人々がChatGPTの能力を試し、様々なアイデアを実行する一方、サイバーセキュリティの視点からの研...
原文:Dov Goldman@Panorays| 2023年1月12日 翻訳・編集:Makiko Fukumuro@SOMPO CYBER SECURITY| 2023年2月1日 組織の強固なサイバーセキュリティをより簡単にかわして、攻撃をしかける手段として、サードパーティを標的とする攻撃が増加しています。IPAの「情報セキュリティ10大脅威」にも毎年登場するいわゆる「サプライチェーンの弱点を悪用...