AppSecブログ

サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年4月26日

ポイント #1..

サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年4月19日

ポイント #1..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年4月12日

ポイント #1..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年4月5日

ポイント#1..

「許せない」脆弱性であるSQLインジェクションの根絶をCISAが求める

3月27日(水)、CISAとFBIが支援を求めて叫び声をあげた：SQLインジェクションの脆弱性を根絶する必要があり、大至急対応する必要があると。この欠陥がある製品を開発し続けている全てソフトウェアメーカーを対象に共同のSbD(Secure..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年3月29日

ポイント#1 Googleによると、昨年実際に悪用されたゼロデイは50%も増加したという。これらの未知の脆弱性を検出・防止するためにランタイムセキュリティなのような対策に目を向けないという、思考回路は理解できない。

バスケットボールとアプリケーションセキュリティのインストゥルメンテーションに何の関係があるのか？

ただのバスケットボールではなく、センサー満載のバスケットボールの話だ。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年3月22日

ポイント#1 ハッカーコミュニティは順調に物事を進めており、現在米国の重要な水道システムを攻撃中だ。だけど正直に言うと、攻撃のひとつは一部の操作設備のデフォルトの管理者パスワードによるものだった。 どうすればもっとうまくやれるのだろうか?..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年3月15日

ポイント#1..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年3月8日

ポイント #1 会社をサイバーセキュリティの脆弱性から確実に保護するために、定期的に机上演習を行っていないのであれば、行うべきだ。..

サイバーセキュリティに関するDavid Linder(Contrast CISO)の視点 | 2024年3月1日

ポイント #1..

ランタイムセキュリティでAPIと古いCOTSを保護するには

かつては、企業のIT セキュリティチェーンで最も弱い部分はユーザであると考えられていたが、時代は変わった。

サイバーセキュリティに関するDavid Linder(Contrast CISO)の視点 | 2024年2月23日

ポイント#1 ポスト量子暗号の時代が到来している。AppleはiMessageプラットフォームのセキュリティを強化し、..

最新のv5 NodeエージェントでNode.jsのセキュリティを強化

Node.jsは非常に人気のあるプログラミング..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年2月16日

ポイント#1 WebアプリケーションやAPIアプリケーションをどうやって攻撃から守っているか？ 2023年、Contrast..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年2月9日

ポイント#1..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年2月2日

ポイント#1..

ContrastのランタイムセキュリティがConfluenceの重大なゼロデイ脆弱性をブロック

古いバージョンの「Atlassian Confluence Server 」を使用していて、最近発見された重大なリモートコード実行(RCE)のゼロデイである CVE-2023-22527の影響を受ける場合は、次のいずれかであるはずだ：

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年1月26日

ポイント#1 Spray and..

機密データを守るサイバーセキュリティの6つのベストプラクティス

「Take Control of Your Data(自分のデータを管理しよう)」をテーマにした2024年のデータプライバシー週間にちなんで、サイバーセキュリティのベストプラクティスをまとめた。

データプライバシー週間 : データプライバシー対応の準備はできているか？

全米サイバーセキュリティアライアンス(NCA)のおかげで、今年もデータプライバシー週間2024が開催される。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年1月19日

ポイント#1..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年1月12日

ポイント#1 X(Twitter)アカウントで二要素認証(2FA)..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年1月5日

ポイント#1 23andMe社が情報漏洩は被害者の責任であると語っていることを踏まえて、 2 つのことをお願いしたい。ユーザの皆様、パスワードの再利用はやめてほしい。プロバイダーの皆様は、多要素認証(MFA)を要求するよう始めてもらいたい。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 12月15日

ポイント#1..

使い物にならないAppSecツールを捨てて「ランタイムセキュリティ」を使おう

サンタさん、正直に教えてください：昔ながらのAppSecツール(アプリケーションセキュリティツール)はどこから来たのでしょうか？セキュリティ専門のエルフたちに、毒キノコのカケラやクモの巣をかき集めて作ってもらったのですか？

サイバーセキュリティに関するTom Kellermann(Contrastサイバー戦略SVP)の視点| 12月8日

ポイント#1 アイランドホッピングには注意。60の信用組合を狙った最近のランサムウェア攻撃は、マネージドサービスプロバイダ(MSP)にプロアクティブなサイバーセキュリティ対策がされていなかったことが原因だった。..

Contrast SecurityがGartner® AppSecテストのお客様の声レポート(2023年版)で高評価

2023年版 Gartner Peer Insights™の「Voice of the Customer(お客様の声)」： アプリケーションセキュリティテストのレポートにおいて、Contrast..

機械語モデルを汚染するMLflowのゼロデイ脆弱性をContrastが発見

ほとんどの機械語(ML)ツールは、機械学習のライフサイクル管理に使用される開発フレームワークを含め、比較的新しいものであるため、セキュリティ上の脆弱性が存在する可能性がある。

サイバーセキュリティに関するTom Kellermann(Contrastサイバー戦略SVP)の視点| 12月1日

ポイント#1..

無駄なAppSecにお金をつぎ込んではいけない

..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 11月24日

ポイント#1..

統計についての話：AppSecが誤った計算に基づいて行われている理由

例えば、セキュリティ問題への対応/修復の平均時間(MTTR)が60日だとしよう。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 11月17日

ポイント#1 企業はサイバーセキュリティの優秀な人材に高い報酬を払い続けているし、証券取引所(SEC)によるSolarWindsとその元CISO(最高情報セキュリティ責任者)に対する最近の訴訟により、その数字は上昇する一方だ。

過検知+検知漏れ=実際のコスト

アラート：Webサービスが誰かに偵察されています！ アラーム：マルウェアに感染しています！

アプリケーションの攻撃経路マッピング

Contrast Securityの2023..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 11月10日

ポイント#1 米国はシールズレディ(Shields..

スケープゴートされないためにCISOが今すぐやるべき4つのこと

米証券取引委員会(SEC)は10月30日、ソーラーウィンズ社と同社の元最高情報セキュリティ責任者Timothy G...

ContrastはSASTの対象を新たに30言語に拡大

Contrast Security は、30の言語とフレームワークの静的アプリケーションセキュリティテスト(SAST)に対応するようになりました。業界トップレベルのスピードと精度で現代の開発パイプラインのコードスキャンが可能です。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 11月3日

ポイント#1..

セキュリティオブザーバビリティ：インテリジェントなセキュリティ評価

「セキュリティオブザーバビリティ」とはいったい何だろうか?

サイバーセキュリティ意識向上月間：Contrastと脅威の状況はどのように進化したか？

今年はサイバーセキュリティ意識向上月間(CSAM)の20 年目であり、全米サイバーセキュリティ..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 10月27日

ポイント#1 バーチャルCISO(vCISO)や CISOオンデマンドと呼ばれるサービスは、別名「 「セキュリティ対策を 短期的に..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 10月20日

ポイント #1..

アイランドホッピング攻撃の進化

サイバー銀行犯罪レポートによりアイランドホッピング攻撃の進化が明らかに Contrast..

Contrastでデジタルレジリエンスを構築する3つの方法

サイバー攻撃、サプライチェーンの問題、洪水、津波、山火事、機器の故障そして戦争。金融セクターでは、とりわけこのようなあらゆる種類の混乱、課題、事件の中で業務を継続するしかない。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 10月13日

ポイント#1 Googleは現在、認証に パスキーを使用するようデフォルト設定している。これは、ユーザがすぐに使用できる認証メカニズムの強度を高める大きな一歩であり、同時に使いやすくもなる。

GitHubに潜む6つの重大なセキュリティ脅威

GitHubはソースコードホストの巨大ザメ「メグロドン」であり、ソフトウェアサプライチェーンを攻撃しようとするハッカーの注意を引く巨大な標的の中心となっているようだ。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 10月6日

ポイント#1 AIによる音声複製は問題であり、特に高齢者を狙った 詐欺のトレンドでトップになったと報じられている。 「 私の声は私のパスポート(" My voice is my passport")」は、もはやありえない。

AWSルートユーザアカウントのベストプラクティス Top8

AWS(アマゾンウェブサービス)は、企業のITインフラとアプリケーションの管理に革命をもたらした。これはまた、ビジネスに弱点を作り出し、槍で突かれれば壊滅的な結果を招く可能性がある。

Contrast Securityはサイバーセキュリティ意識向上月間を支持：#SecureOurWorld

..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 9月29日

ポイント#1..

従来のAppSecツールの危険性とランタイムセキュリティの優位性：PodCast記事

従来のAppSecツールはソフトウェアの進歩に追いついているだろうか？ アプリケーションセキュリティPodcastのホスト、Chris Romeoが最近、Contrast Securityの共同設立者で最高技術責任者（CTO）のJeff..

WAFでは守り切れないWebアプリケーションとAPI

WAFによってサイバーセキュリティの危険が潜む海に漂流してしまう理由..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 9月22日

ポイント#1 ユーザにどのようなセキュリティ対策を施すにしても、心理的に受け入れらるかどうかのバランスは常に存在するだろう。これは、企業にとってデータ損失防止(DLP)戦略を策定する際に特に重要だ。

Contrast SecurityがAWS Security Hubと統合

インシデントレスポンスの世界では、正確な情報が適切なタイミングで必要であり、その情報は自分が利用したい場所で必要だ。誰が管理しているかによってサイロ化されている可能性のあるツールの内部に閉じ込めておきたくはない。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 9月15日

ポイント#1 ソフトウェア部品表(SBOM)は、リスクを判断するためのデータ ポイントにすぎない。絶対的な真実として扱われるべきではない。

CVSS基本スコアを絶対的なものとして扱ってはならない理由

Ciscoは2023年9月6日、同社の「BroadWorks Application Delivery Platform」および「BroadWorks Xtended Services..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 9月8日

ポイント#1 現在の AI 技術を使用している人々にとって、プロンプトインジェクションが深刻な懸念となっている。 AI を使用する場合は、インジェクションをブロック出来なくても、少なからず検出できる方法があることを確認すること。

信頼性の高いアプリケーションセキュリティのための「ゼロトラスト」

ペリメータ(境界)サイバーセキュリティは、古代都市を囲む城壁のようなものだ。何千年もの間、これらの城壁は馬や徒歩でやってくる侵略者に対して堅固に防御してきた。..

国がサイバーセキュリティ人材を育成してもスキル格差が解消されない3つの理由

ホワイトハウスは最近、新たな国家サイバー人材・教育戦略(NCWES)を発表した。これは、「サイバーセキュリティの技術格差をすぐに解決しよう！」というような意味になる。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 9月1日

ポイント#1 完全に100％安全な環境は存在しない。 ---..

Contrast AssessによりSpring-Kafkaのデシリアライゼーションのゼロデイが明らかに

2023年8月初めにContrast Securityのユーザから、過検知と思われるSpring-Kafkaでのデシリアライゼーションの脆弱性が報告されました。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 8月25日

ポイント #1 新しいセキュリティ製品の導入を検討する場合、目標を明確に説明しなければならず、その目標には常にTCOを含める必要がある。

安全でないソフトウェアに対する法的規制は有効かもしれないが危険

ソフトウェア市場のセキュリティ対応が重要であることは間違いありませんが、過剰な政府による規制や、賠償責任制度など政府が義務付ける法的責任が伴う負担を回避しバランスを取ることが重要です。..

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 8月18日

ポイント #1 セキュリティ業界がリスクを評価する手法としてCVSSを活用することは実用的では無いため利用を止めなければならないと考えます。

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 8月11日

ポイント #1 バイデン政権がSBOMを要件にしたことで、より多くの企業(76%)がSBOMを予定している。これは透明性に向けた正しい方向への大きな一歩だ。

OWASPのCycloneDXがSBOMに最適である理由

Triple-DESが脆弱な暗号化アルゴリズムであることは十分に周知されています。

安全なDevOpsを実現する3つの重要なステップ

ガートナー社の新しいレポート「安全なDevOpsを実現する3つの重要なステップ」によると2022年に30％だったDevSecOpsが、2027年には85％の製品開発チームに組み込まれると発表されました。

AWS Summit Tokyoに出展

Contrast Securityは、4月20・21日に千葉幕張メッセにて開催されるAWS Summit Tokyo 2023に出展します。

Security Days Spring 2023 に登壇決定！

Security Days Spring 2023に登壇決定！ WAFにお困りの方、WAF運用に課題をお持ちの方必見！ Contrast Security セールスエンジニアの梶原が最新のRASPについて講演します。

セキュリティセミナー：日本総研の蝶採氏が講演　

セキュリティウェビナー開催のお知らせ 日本総研 DXシステム本部 本部長/チーフ デジタル ストラテジストの蝶採トックディル氏による講演が、ナノオプトメディアオンラインにて1月18日より配信開始！

日経クロステックEXPO2022に出展が決定

Contrast..

Contrast Security、OWASP Global AppSec APAC 2022に登壇

Contrast Securityは、アプリケーションセキュリティの推進で広く知られているOWASPが主催する「OWASP Global AppSec APAC Conference 2022」に登壇します。..

Contrast Security、Enterprise Security TechのCyber Top20に選出

Contrastのセキュリティプラットフォームが、業界振興・支援、顧客評価、人材育成、多様性の取り組みにおいて高く評価

Contrast Securityがエンタープライズクラスのコードセキュリティテストツールを 全ての開発者に無償で提供

Contrast Securityが提供する「Contrast CodeSec」で、迅速なスキャン、業界最高レベルの検出精度、実用的な検出結果、シームレスなインテグレーションなどにより、ソースコードやサーバレスのセキュリティを簡易・効率化

数字で見るLog4Shell

我々は、Contrast Assess(IAST)、Contrast SCA、Contrast..

LOG4JのCVEへの対処に関するガイダンスの更新 [2.17へのアップグレード]

Apache Software..

新しいオープンソースツールにより、LOG4J脆弱性からサーバーを保護

WAFおよびRASPにおけるLog4Shell

弊社のContrast Protect(RASP)を利用されているお客様は、今回の様な脆弱性やリモートコードの実行（RCE）が発見される何年も前から、安全性を確保しており、今回のLog4Shellの問題でRASP（Runtime..

Log4jのCVE対応ガイダンス更新

以下の情報は、進化するセキュリティ状況に対して最新ではありません。この問題について最新情報は[更新されたガイダンス](2.17へのアップグレード)をご参照ください。