並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 104件

新着順 人気順

cisaの検索結果1 - 40 件 / 104件

タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。

cisaに関するエントリは104件あります。 securityセキュリティアメリカ などが関連タグです。 人気エントリには 『米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表』などがあります。
  • 米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表

    米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2024年6月18日(米国時間)、ネットワークセキュリティにおけるガイダンスを公開した。CISAは以下のように説明している。 ガイダンスは、CISAの他、連邦捜査局、ニュージーランドおよびカナダのセキュリティ責任者が共同執筆した。あらゆる規模の企業の経営者に対し、ネットワークアクティビティーの可視性を高めるゼロトラスト、SSE(Security Service Edge)、SASE(Secure Access Service Edge)などのより堅牢(けんろう)なセキュリティソリューションへの移行を推奨している。加えて、このガイダンスは、従来のリモートアクセスとVPNの導入に関連する脆弱(ぜいじゃく)性、脅威、慣行およびリモートアクセスの誤った構成によって組織のネットワークにもたらされる固有のビジネスリスクを組織がよ

      米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
    • 米国CISAが注意を呼びかけたRDP構成ファイルを添付したフィッシングについてまとめてみた - piyolog

      2024年10月31日(現地時間)、米国サイバーセキュリティ・社会基盤安全保障庁(以下米国CISAと表記)は、国外の脅威アクターがRDP構成ファイルを添付した大規模なスピアフィッシングキャンペーンを行っているとして注意を呼びかけました。同キャンペーンの分析を行ったMicrosoftによれば、対象国の1つには日本も含まれています。ここでは関連する情報をまとめます。 RDP構成ファイルで攻撃者のサーバーに接続させる手口 米国CISAが注意を呼びかけたのはRDP構成ファイル(拡張子.rdp)が添付されたフィッシングメール。CERT-UA、Microsoft、Amazonなどが対処・分析報告や注意喚起を行っている。*1 *2 *3 各報告によれば、一連のフィッシングは諜報活動を目的に行われたもの分析されており、さらにMicrosoftはこの活動が継続中であると分析している。 今回悪用されたRDP構

        米国CISAが注意を呼びかけたRDP構成ファイルを添付したフィッシングについてまとめてみた - piyolog
      • 米CISAの「選挙管理者のためのセキュリティ運用ガイド」は一般的な機密情報管理にも参考になる内容【海の向こうの“セキュリティ”】

          米CISAの「選挙管理者のためのセキュリティ運用ガイド」は一般的な機密情報管理にも参考になる内容【海の向こうの“セキュリティ”】
        • 攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース

          一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度

            攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
          • Free Cybersecurity Services & Tools | CISA

            Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.

              Free Cybersecurity Services & Tools | CISA
            • やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表

              米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)および米国家安全保障局(NSA)は2023年10月5日(現地時間)、大規模組織でやりがちなセキュリティの誤設定について、その詳細と対策をまとめたサイバーセキュリティアドバイザリを共同で公開した。 このアドバイザリは、組織における10のセキュリティ誤設定に焦点を当て、それぞれの誤設定がどのように悪用されるか、またそれにどう対処すべきかについて詳細に解説している。 デフォルト設定の誤り: ソフトウェアやアプリケーションのデフォルト設定は必ずしも安全とは限らず、しばしばセキュリティリスクを抱えている。それにはデフォルト認証情報やサービス権限、設定などが含まれる ユーザーおよび管理者権限の不適切な分離: 1つのアカウントに複数の役割が割り当てられている。その結果、権限が過剰になっている 内部ネットワーク監視の不足:

                やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表
              • サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される? CISAとNSAが公開したアドバイザリをチェック【海の向こうの“セキュリティ”】

                  サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される? CISAとNSAが公開したアドバイザリをチェック【海の向こうの“セキュリティ”】
                • CISA、不正投票の偽情報を暴いてホワイトハウスと対立か--長官は解任も覚悟

                  米サイバーセキュリティ・インフラセキュリティ庁(CISA)のChristopher Krebs長官は、ホワイトハウスに解任されることも覚悟しているという。Reutersが米国時間11月11日に報じた。Krebs長官がセキュリティを任されている米国の選挙システムは、米国の送電網や金融システムと同様の重要インフラに分類されている。 米国土安全保障省の1部門であるCISAは、2020年の選挙期間中、選挙でハッキングや不正があったという主張が虚偽であることを示すため、Rumor Controlというウェブサイトを運営してきた。 Reutersによれば、民主党が大掛かりな不正投票を仕掛けたという主張が虚偽であることを示した情報を、編集するかウェブサイトから削除するよう求められて、CISAはホワイトハウスと対立したという。CISAは12日、全米州務長官協会(NASS)、全米州選挙管理者協会(NASED

                    CISA、不正投票の偽情報を暴いてホワイトハウスと対立か--長官は解任も覚悟
                  • VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示

                    米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は5月18日(現地時間)、米VMware製品に認証回避や権限昇格の脆弱(ぜいじゃく)性があるとして、政府・行政機関に対策を指示した。 脆弱性が見つかったのは「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」といった、クラウドや情報セキュリティに関連する製品。 認証回避の脆弱性(CVE-2022-22972)は、影響度を示すCVSS v3のベーススコアが10点中9.8点で深刻度は「Critical」という。これは2021年12月に見つかっ

                      VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
                    • CISAが新ガイドラインを発表 IT部門が知るべき「イベントログと脅威検出のベストプラクティス」とは?

                      米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は2024年8月21日(現地時間、以下同)、イベントログと脅威検出のベストプラクティスに関する新しいガイドラインをリリースした。 同ガイドラインは現在のサイバー脅威環境における企業の回復力を向上させる推奨事項を伝える。イベントロギングに関する基礎的な知識を読者が持っていることを前提としており、中堅~大企業のサイバーセキュリティ実務者やIT管理者、運用・制御技術(OT)オペレーター、ネットワーク管理者、ネットワークオペレーターを主な対象にしている。 IT部門が知るべき「イベントログと脅威検出のベストプラクティス」とは? では、今回のガイドラインが紹介する具体的な内容とは何か。 クラウドサービスやエンタープライズネットワーク、企業モビリティ、OTネットワークにおけるイベントロギングと脅威検知のベストプラクティ

                        CISAが新ガイドラインを発表 IT部門が知るべき「イベントログと脅威検出のベストプラクティス」とは?
                      • CISA、不正投票の偽情報を暴いてホワイトハウスと対立か--長官は解任も覚悟(CNET Japan) - Yahoo!ニュース

                        米サイバーセキュリティ・インフラセキュリティ庁(CISA)のChristopher Krebs長官は、ホワイトハウスに解任されることも覚悟しているという。Reutersが米国時間11月11日に報じた。Krebs長官がセキュリティを任されている米国の選挙システムは、米国の送電網や金融システムと同様の重要インフラに分類されている。 米国土安全保障省の1部門であるCISAは、2020年の選挙期間中、選挙でハッキングや不正があったという主張が虚偽であることを示すため、Rumor Controlというウェブサイトを運営してきた。 Reutersによれば、民主党が大掛かりな不正投票を仕掛けたという主張が虚偽であることを示した情報を、編集するかウェブサイトから削除するよう求められて、CISAはホワイトハウスと対立したという。CISAは12日、全米州務長官協会(NASS)、全米州選挙管理者協会(NASED

                          CISA、不正投票の偽情報を暴いてホワイトハウスと対立か--長官は解任も覚悟(CNET Japan) - Yahoo!ニュース
                        • piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ

                          piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ:特集:1P情シスのための脆弱性管理/対策の現実解(2) いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。 脆弱(ぜいじゃく)性が企業組織に与える影響は、想像よりも大きく、想像よりも“面倒くさい”状況にある。そもそも「脆弱性」という言葉の認識も、もしかしたら人によって大きく異なり、対処を想定していない脆弱性が存在する可能性もある。 インシデント情報をまとめ記

                            piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ
                          • リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開【海外セキュリティ】

                              リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開【海外セキュリティ】
                            • 「Microsoft Exchange Server」の脆弱性、CISAが緊急指令--米政府機関などに対応促す

                              米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「Microsoft Exchange」のゼロデイ脆弱性の修正版が米国時間3月2日に公開されたことを受け、緊急指令(21-02)を発令した。 この緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」(Microsoft Exchangeのオンプレミス製品の脆弱性を緩和)は、3日に発令された。 Microsoftは、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」で見つかった4件のゼロデイ脆弱性が、国家関与が疑われる中国のAPT(高度サイバー攻撃)グループのHafniumに悪用されていると警告した。 「Exchange Online」は脆弱性の影響を受けないという

                                「Microsoft Exchange Server」の脆弱性、CISAが緊急指令--米政府機関などに対応促す
                              • SSVC方法論とは? 脆弱性管理手法の新潮流をCISAが解説

                                米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年11月10日(現地時間)、脆弱(ぜいじゃく)性管理手法「SSVC方法論」(Stakeholder-Specific Vulnerability Categorization:利害関係者固有の脆弱性分類)に関するガイドラインを公開した。 SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。 近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。

                                  SSVC方法論とは? 脆弱性管理手法の新潮流をCISAが解説
                                • CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita

                                  CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting)MicrosoftAzureSecurity, 最近、対応すべき脆弱性の洗い出しに、米国の国土安全保障省 (DHS) のサイバーセキュリティ インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、通称 CISA)が公開している、悪用された脆弱性のリスト (Known Exploited Vulenraiblites catalog, 通称 KEV) を活用するのをよく目にするようになってきました。 今回は Microsoft セキュリティソリューションのアドベントカレンダーの記事という事で、KEV が話題になってる昨今、Microsoft のソリューション

                                    CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita
                                  • Known Exploited Vulnerabilities Catalog | CISA

                                    Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.

                                    • Kubernetes Hardening Guide | NSA/CISA

                                      • 君は今、ゼロトラストの旅路のどこにいる?――米国政府機関が参照する地図、CISA「ゼロトラスト成熟度モデル」とは

                                        君は今、ゼロトラストの旅路のどこにいる?――米国政府機関が参照する地図、CISA「ゼロトラスト成熟度モデル」とは:働き方改革時代の「ゼロトラスト」セキュリティ(17) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、米国CISAが発表した「ゼロトラスト成熟度モデル」について解説する。 本連載では「働き方改革時代の『ゼロトラスト』セキュリティ」と題して、働き方改革がもたらすデジタルの変化に対応したセキュリティコンセプトとして、ゼロトラストの考え方を紹介してきました。 2020年4月以降はコロナ禍による不要不急の外出抑制やソーシャルディスタンスの確保など、社会生活が一変し、今もなおさまざまな場面で対応が求められています。中でも常態化したテレワークやクラウドサービス利用の促進は、私たちの働き方に大きな変化をもたらしました。自宅のリビングや書斎でPCを

                                          君は今、ゼロトラストの旅路のどこにいる?――米国政府機関が参照する地図、CISA「ゼロトラスト成熟度モデル」とは
                                        • CISAが事業者に要求する「セキュリティ・バイ・デザイン」、多要素認証の必須化やメモリセーフなプログラミング言語への切り替えなどを推奨【海外セキュリティ】

                                            CISAが事業者に要求する「セキュリティ・バイ・デザイン」、多要素認証の必須化やメモリセーフなプログラミング言語への切り替えなどを推奨【海外セキュリティ】
                                          • 米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示

                                            米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は12月14日(現地時間)、連邦政府機関に対し、世界的に問題になっている「Log4j」の脆弱性の影響を受けるシステムに12月24日のクリスマスイブまでにパッチを適用するよう指示した。 CISAは13日、Log4jの脆弱性「CVE-2021-44228」を積極的に悪用された脆弱性のカタログに追加している。 CISAはまた、Log4j専用Webページを立ち上げた。このページには脆弱性の影響を受けている可能性のあるソフトウェアベンダーの一覧などの情報がまとめられており、随時アップデートされている。 Log4jの脆弱性は、9日に明らかになった。Log4jは多数の企業向けシステムに採用されていることもあり、システムのリモートからのハッキングに悪用されやすい。 既に少なくとも

                                              米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
                                            • 米CISAが公開、悪用された脆弱性をまとめた「カタログ」から見えた対策の実態【海外セキュリティ】

                                                米CISAが公開、悪用された脆弱性をまとめた「カタログ」から見えた対策の実態【海外セキュリティ】
                                              • CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開

                                                印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間8月11日、「Zeppelin」というランサムウェアに関するアドバイザリーを公開し、その中で同犯罪者グループが用いている戦術の詳細を明らかにした。このグループは、米国や欧州の大規模な組織を標的にして、多額の身代金を要求してきている。 Zeppelinは2019年後半に発見された「サービスとしてのランサムウェア」(RaaS)であり、そのキャンペーンでは二重脅迫型の手法が用いられている。かつて「VegaLocker」と呼ばれていたこのランサムウェアは、欧州や北米におけるヘルスケア分野の組織を標的にすることで知られていた。同アドバイザリーによると、防衛

                                                  CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開
                                                • 「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき--CISAとFBIが警告

                                                  印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間11月16日、「Apache Log4j」に存在する脆弱性「Log4Shell」に関する共同アドバイザリーを発表した。「VMware Horizon」のサーバーインスタンスにパッチを適用していない組織や、緩和策を講じていない組織は、ネットワークが侵害されていると想定し、それに応じた行動をとるよう注意喚起している。 この警告は、両者が「連邦一般行政部」(FCEB)と言及する組織で、サイバー攻撃が発生したことに起因している。調査から、攻撃者はパッチが適用されていないVMware HorizonのLog4Shellを悪用して、ネットワークに侵入したこと

                                                    「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき--CISAとFBIが警告
                                                  • 最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身【海の向こうの“セキュリティ”】

                                                      最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身【海の向こうの“セキュリティ”】
                                                    • kokumօtօ on Twitter: "米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、無料サイバーセキュリティツールのリストを公開。CISA長官のJen Easterly氏は、公私問わず多くの組織が標的を豊富に持つ一方リソースは不足している… https://t.co/MRQqO0NzuZ"

                                                      米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、無料サイバーセキュリティツールのリストを公開。CISA長官のJen Easterly氏は、公私問わず多くの組織が標的を豊富に持つ一方リソースは不足している… https://t.co/MRQqO0NzuZ

                                                        kokumօtօ on Twitter: "米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、無料サイバーセキュリティツールのリストを公開。CISA長官のJen Easterly氏は、公私問わず多くの組織が標的を豊富に持つ一方リソースは不足している… https://t.co/MRQqO0NzuZ"
                                                      • NSA, CISA release Kubernetes Hardening Guidance > National Security Agency Central Security Service > Article View

                                                        FORT MEADE, Md.  – The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) released a Cybersecurity Technical Report, “Kubernetes Hardening Guidance,” today. This report details threats to Kubernetes environments and provides configuration guidance to minimize risk. Kubernetes is an open source system that automates the deployment, scaling, and management

                                                          NSA, CISA release Kubernetes Hardening Guidance > National Security Agency Central Security Service > Article View
                                                        • Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA

                                                          Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.

                                                          • Microsoft Azure/ 365向け異常検出ツールを無償で公開、CISA

                                                            United States Computer Emergency Readiness Team (US-CERT)は12月24日(米国時間)、「CISA Releases Free Detection Tool for Azure/M365 Environment |CISA」において、Cybersecurity and Infrastructure Security Agency (CISA)が、Microsoft AzureおよびMicrosoft 365環境においてユーザーおよびアプリケーションにとって脅威となる異常で潜在的に悪意のあるアクティビティを検出するための無料のツールを公開したと伝えた。昨今、複数のセクタにおいてIDおよび認証ベースの攻撃が見られるが、開発されたツールはこうしたアクティビティを検出することに焦点を当てたものとされている。 開発されたツールは次のページにおいて

                                                              Microsoft Azure/ 365向け異常検出ツールを無償で公開、CISA
                                                            • Emotet Malware | CISA

                                                              Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.

                                                              • 2020年の米大統領選は「史上最も安全」だった--CISAなどが声明

                                                                米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間11月12日、選挙インフラのセキュリティを監視する他の各専門機関と共同で声明を発表し、2020年の米大統領選挙の開票作業にハッカーらが干渉したとする主張を否定した。この声明には全米州務長官協会(NASS)、全米州選挙管理者協会(NASED)および選挙の専門家らが名を連ねている。11日には、CISAのChristopher Krebs長官がホワイトハウスに解任されることも覚悟していると、Reutersが報じていた。 Christopher Krebs氏は米サイバーセキュリティ・インフラセキュリティ庁の長官で、アメリカの選挙システムの管理を担当している。 提供:Getty Images この声明でCISAらは2020年の米大統領選について、「米国史上最も安全」だったとし、さらに「投票システムによって票が削除または紛失されたり、

                                                                  2020年の米大統領選は「史上最も安全」だった--CISAなどが声明
                                                                • ISACA東京支部/公認情報システム監査人 (CISA: Certified Information Systems Auditor)

                                                                  ISACA東京支部は、情報システム監査、情報セキュリティ、リスク管理、ITガバナンスの国際的専門団体です。 ■CISA (Certified Information Systems Auditor)とは?CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。 ■資格の権威、特徴は?情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では広く認知されています。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実

                                                                  • Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表

                                                                    Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表 Exchange ServerやFortiOSの脆弱性を利用したサイバー攻撃に注意が必要だ。CISAとFBI、ACSC、NCSCは共同でセキュリティアラートを発表した。迅速に緩和策を実施してほしい。

                                                                      Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表
                                                                    • 【攻略法】情報処理安全確保支援士とCISAとCISSPに並列で挑戦して合格したので、勉強法と判断力のチューニングを中心にレポしてみる - Qiita

                                                                      【攻略法】情報処理安全確保支援士とCISAとCISSPに並列で挑戦して合格したので、勉強法と判断力のチューニングを中心にレポしてみるセキュリティスペシャリストCISSP情報処理安全確保支援士CISA資格勉強 はじめに 7月はAWS漬けで、その時に得られた知見はQiitaにも書きましたが(「【最速】既婚子持ち社会人のクラウド初心者でも、1ヶ月半でAWS資格11冠制覇できる方法」の記事です)、10月からまたプライベート時間を資格につぎこんでいます。人気のAWSは全部取ったので、次はベンダー資格でなくて一般性のあるものを受けようと思いました。で、セキュリティ縛りで割と人気のある3資格。支援士とCISAとCISSPです。ステータスとしては、支援士が12月17日に合格発表があって、無事合格。CISAは試験合格して審査書類提出して審査がほぼ終わってステータスが「Approved」に変わったところ。CI

                                                                        【攻略法】情報処理安全確保支援士とCISAとCISSPに並列で挑戦して合格したので、勉強法と判断力のチューニングを中心にレポしてみる - Qiita
                                                                      • サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表

                                                                        米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2023年10月5日(米国時間)、共同サイバーセキュリティアドバイザリー(CSA)を発表した。 この共同CSA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」では、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、攻撃者がこれらを悪用するために用いる戦術、技術、手順(TTP)を解説するとともに、こうした悪用リスクを軽減するための推奨事項を紹介している。 NSAとCISAは、国防総省、連邦政府、州、地方政府、民間部門にわたる多数のネットワークのセキュリティ体制を評価してきた。共同CSAで挙げられた10のネットワーク構成ミスは、これらの評価の過程で特定された。

                                                                          サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表
                                                                        • 米CISAが「初の国際戦略計画」発表。3つの最終目標と、それに向けた短期・中期目標を簡単に紹介【海の向こうの“セキュリティ”】

                                                                            米CISAが「初の国際戦略計画」発表。3つの最終目標と、それに向けた短期・中期目標を簡単に紹介【海の向こうの“セキュリティ”】
                                                                          • 「Log4j」の脆弱性に関連する「深刻な侵入」見られずも要警戒--CISA長官ら

                                                                            印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間1月10日、現時点で「Log4Shell」脆弱性を悪用した深刻な侵入は米国で報告されていないとの見解を示した。「Apache Log4j」に存在するこの脆弱性は、2021年12月に明らかにされた。 CISAのJen Easterly長官と、サイバーセキュリティ担当エグゼクティブアシスタントディレクターEric Goldstein氏は記者会見で、ベルギー国防省が標的となった攻撃以外、Log4jの脆弱性悪用が直接の原因となった深刻なインシデントは確認されていないと述べた。 「現時点で、重大な侵入につながるLog4Shellの悪用は確認されていない。これは、巧妙な攻撃者がすで

                                                                              「Log4j」の脆弱性に関連する「深刻な侵入」見られずも要警戒--CISA長官ら
                                                                            • VPN利用に伴うセキュリティリスクに対処するために--NSAとCISAが公開したガイダンス

                                                                              Jonathan Greig (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2021-10-06 06:30 米国の国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、国民や組織が仮想プライベートネットワーク(VPN)をどう選ぶべきかを説明した詳細なガイドを共同で発表している。これは、世界的にリモートワークや遠隔教育への移行が進む中、他国やサイバー犯罪グループによるVPNの悪用が増えているためだ。 この9ページの文書には、VPNを安全に導入するための方法に関する詳しい説明が含まれている。NSAは声明の中で、このガイドは、国防総省や、国家安全保障システム、防衛産業基盤のリーダーにとっても、「VPNに関連するリスクに対する理解を深める」ために役に立つだろうと述べている。 NSAによれば、国家の支援を受けている複数のAPT攻撃グループが、

                                                                                VPN利用に伴うセキュリティリスクに対処するために--NSAとCISAが公開したガイダンス
                                                                              • 量子コンピューティングで「公開鍵暗号」が破られる? CISAが警鐘を鳴らす

                                                                                CISA(米国土安全保障省サイバーセキュリティインフラセキュリティ庁)は2022年8月24日(米国時間)、新しいCISA Insight「Preparing Critical Infrastructure for Post-Quantum Cryptography」(重要インフラにおけるポスト量子暗号への移行準備)を発表した。 CISA Insightは、CISAが公開している一連のガイダンス文書だ。米国のインテリジェンスと実際の事象に基づき、国家の重要インフラに対する特定のサイバー脅威や物理的脅威を取り上げ、背景と緩和対策について随時解説している。それによると「今後10年間で量子コンピューティングが進歩し、極めて高い演算能力や速度が実現されると、顧客データ保護や商取引、通信の安全確保などに現在使用されている“公開鍵暗号”が破られる恐れがある」という。 量子コンピューティングに起因する暗号

                                                                                  量子コンピューティングで「公開鍵暗号」が破られる? CISAが警鐘を鳴らす
                                                                                • Sambaに8件の脆弱性が見つかる CISAが迅速なアップデートの適用を呼び掛け

                                                                                  Sambaチームは2021年11月9日(現地時間)、「UNIX」系のOSと「Windows」の相互運用に使われるオープンソースソフトウェア(OSS)「Samba」の脆弱(ぜいじゃく)性を修正したバージョンを公開したと報じた。 これらの脆弱性を悪用されると、システムの制御権が乗っ取られる危険性があるとされており注意が必要だ。

                                                                                    Sambaに8件の脆弱性が見つかる CISAが迅速なアップデートの適用を呼び掛け

                                                                                  新着記事