セキュリティ診断はどこの会社に依頼するのが良い?

自分の会社でもセキュリティ診断を実施している。 (社内リソースでやるのはスキル的に無理があるので、ベンダー選定をして、選定した某ベンダーにいつもお願いしている) んでせっかく標準化したので、おとなしくそこを使ってくれればいいのに、 「開発ベンダーさんでやってくれると言っているので...

ショーダンって何?

Shodan(shodan.io)というのは、ネットワーク接続機器の検知・検索のための、いわゆるIoT検索エンジン。 インターネットで検索するときによく使う有名な検索エンジンはGoogleだったりしますが、それのIoT版のような感じ。 うっかりインターネットに公開しちゃっているよ...

ITシステムのセキュリティ診断におけるベストな頻度

売上高に占めるIT予算比率が2%以上の企業であれば、部分的ではあるにせよ、システムリリース前にセキュリティ診断を実施していることと思う。 ※経験上、売上高に占めるIT予算比率が0.5%程度の企業はIT部門が半分崩壊しているか、そもそもIT統括組織が存在せず、セキュリティ診断はやっ...

WebAuthnって何?パスワードを覚えなくてよい時代がやってくる?

認証にパスワードを用いる手法は10年以上前から続いている(厳密にはIDとパスワードの二要素認証だが) これまでに代替となるような様々な認証方法も考案されているが、当然デメリットもある。 ・生体認証:一見よさげに見えるが、万一認証情報が漏洩すると替えが利かない       (パスワ...

[インシデント]アサヒ軽金属工業株式会社

■アサヒ軽金属工業株式会社 [企業情報] 業種:金属製品(家庭の健康を守る調理器の開発販売) 資本金:1000万円 従業員数:130人 企業URL http://www.asahikei.co.jp/ [インシデント発覚日] 2018年6月6日 [インシデント概要] 2017年1...

脅威情報検索時の便利ツール:Mitaka

脅威情報、特にIPアドレスやURLなどを扱う際、誤爆しないように内部で共有する際はデファング(defang)を行います。 例えば、怪しいサイト.comって、あった場合、 そのままメールに張り付けたり、情報共有ツールに張り付けると、 リンクになってしまい、誤ってクリックしてしまうこ...

事業会社における適切なセキュリティ投資額は?

「セキュリティってどこまでやればいいの?」 これ、永遠の課題です。 やろうと思えば、青天井にお金を使うことができます。 しかし、セキュリティは利益貢献にはつながりません。 (CSR的な貢献までです。。。) そんなものに対してどうやって最適解を求めるのか? 一つに切り口は会社規模で...

FIMって何だ?

とある海外企業からセキュリティに関するヒアリングシートが届いた。 ・アンチウイルスソフト入れていますか? ・EDR入れていますか? ・F/W入れていますか? ・Proxy入れていますか? ・メールフィルタリング入れていますか? ・Webフィルタリング入れていますか? ・IPS入れ...