【解説】ソフトウェア・サプライチェーンリスク管理と調達におけるセキュリティフレームワーク ASF の紹介 ──実務に役立つポイントを整理

【解説】ソフトウェア・サプライチェーンリスク管理と調達におけるセキュリティフレームワーク ASF の紹介 ──実務に役立つポイントを整理

米国DoDの調達事例をベースにしたサプライチェーンセキュリティの重要性を、日本国内の企業システムや製造業に置き換えて解説。SBOMの現状や脆弱性管理の実情、具体的な事例(F-35やOSSコミュニティなど)を掘り下げます。なお、日本固有の事情は筆者による補足であり、動画内で言及されていない部分も含みます。
EPSS (Exploit Prediction Scoring System) 徹底解説 ~相互運用からデータソース、機械学習モデルまで~

EPSS (Exploit Prediction Scoring System) 徹底解説 ~相互運用からデータソース、機械学習モデルまで~

脆弱性管理において「本当に攻撃されるリスクを可視化したい」——そんなニーズから生まれたのがEPSS (Exploit Prediction Scoring System) です。「CVSS のスコアは高いけれど、実際にどのくらい攻撃されやすいのか分からない」「優先度を付けたいけれど修正すべき脆弱性が多すぎる」——企業のセキュリティ担当者が日々抱えるこうした課題を解決する鍵として、近年注目を集めています。本記事では、EPSS の基本的な概要から、従来の CVSS との違い、データパートナーの役割、機械学習モデルの仕組み、さらに具体的な導入上の注意点まで、これまでにないほど詳しく解説します。攻撃の「深刻度」だけでなく「実際に攻撃される確率」を加味することで、限られたセキュリティリソースを最大限に活かす新しい脆弱性管理のアプローチを一緒に見ていきましょう。
SSVCを使いこなそう 〜CISA × CERT/CCが提案する効率的な優先度付けフレームワーク〜

SSVCを使いこなそう 〜CISA × CERT/CCが提案する効率的な優先度付けフレームワーク〜

「CVSSスコアはHigh。でも本当に自社にとって“最優先”なのでしょうか?」 日々発表される膨大な脆弱性のなかで、企業が限られたリソースを最大限に活用し、的確に対処するためには、“誰がどんな視点で”評価するかが重要になります。そこで注目されているのが **SSVC (Stakeholder-Specific Vulnerability Categorization)**。アメリカの政府機関 CISA と CERT/CC が共同で開発し、すでに2020年から運用実績を蓄積しているフレームワークです。 本記事では、継続的な脆弱性管理SaaS「[FutureVuls](https://vuls.biz)」の視点を交えつつ、YouTubeの公式トレーニング動画を参考にSSVCを詳しく解説します。組織内の役割やリスク許容度に合わせた優先度付けを知りたい方は、ぜひ最後までご覧ください!
“ゼロデイ”だけじゃない!ランサムウェア・キャンペーンで狙われる既知の脆弱性と実践対策 | CODEBLUE 2024

“ゼロデイ”だけじゃない!ランサムウェア・キャンペーンで狙われる既知の脆弱性と実践対策 | CODEBLUE 2024

近年、ランサムウェアによる被害が後を絶ちません。しかも攻撃に使われるのは、最新の「ゼロデイ」だけではありません。古くから知られていながら放置されている脆弱性が、攻撃者にとっては“格好の獲物”になっています。本記事では、ランサムウェア・キャンペーンが狙う既知の脆弱性と、すぐに取り組める実践的対策について、具体例を交えながら解説します。企業や組織のセキュリティ対策を一歩先へ進めるヒントに、ぜひお役立てください。
脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは | CODEBLUE 2024

脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは | CODEBLUE 2024

大規模インシデントの最前線では、何が起きているのか――。年々巧妙化するサイバー攻撃やランサムウェアの実態を、【前編】では実際の事例とともに解説します。CODEBLUE 2024のセッションで注目を集めた、攻撃者の侵入手口や初動対応の“リアルな現場”を知ることで、企業や組織が取るべき効果的な対策が見えてきます。後編とあわせて、最新の脆弱性管理や防御策を学ぶきっかけにぜひお役立てください。
エンドユーザーが直面するSBOMの現状:現在のSBOMを取り巻く現実世界の課題と解決策

エンドユーザーが直面するSBOMの現状:現在のSBOMを取り巻く現実世界の課題と解決策

SBOM(Software Bill of Materials)はソフトウェアのセキュリティやコンプライアンス管理において重要な役割を果たしますが、エンドユーザー視点ではまだ多くの課題が存在します。本記事では、SBOMの最新動向と課題解決に向けたアプローチ、そしてFutureVulsが提供する実用的なソリューションについて解説します。
【解説】あなたのCI/CDパイプラインは脆弱?GitHub Actionsのコマンドインジェクションのデモとベストプラクティス

【解説】あなたのCI/CDパイプラインは脆弱?GitHub Actionsのコマンドインジェクションのデモとベストプラクティス

ソフトウェア開発を効率化するうえで欠かせない CI/CD パイプラインですが、実は コマンドインジェクション や カスタムアクションを介したサプライチェーン攻撃 など、見過ごされがちなセキュリティリスクをはらんでいることをご存じでしょうか。特に GitHub Actions のように世界中で広く利用されているプラットフォームは攻撃者の標的になりやすく、万が一侵害されれば GitHub Token を通じてリポジトリ全体を乗っ取られる危険性もあります。本記事では、CI/CD に潜む脆弱性と対策のポイントをやさしく解説します。
SSVC v2.1徹底解説:脆弱性対応フレームワークの変更点と進化

SSVC v2.1徹底解説:脆弱性対応フレームワークの変更点と進化

脆弱性対応の優先度を決定するフレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)」の最新版であるv2.1が2023年7月にリリースされました。このバージョンでは、判断基準がシンプル化されるとともに、リスク評価の精度が向上しています。FutureVulsもv2.1に対応し、設定の簡便化と運用効率の向上を実現しました。本記事では、v2.1の主な変更点と、それが組織のリスク評価やFutureVulsの運用にどのような影響を与えるかを詳しく解説します。
内部と外部をつなぐ脆弱性管理|FutureVulsでASM・Nmap・Nessusなどの診断結果を活用する方法

内部と外部をつなぐ脆弱性管理|FutureVulsでASM・Nmap・Nessusなどの診断結果を活用する方法

FutureVulsが提供する新機能で、Qualys、Nessus、Nmapなどの外部スキャン結果を簡単に取り込むことが可能になりました。APIを活用してインポート作業を自動化することで、脆弱性管理の効率を大幅に向上させる方法を紹介します。
OSS脆弱性管理の課題と解決策|スライド・全文ログ付き解説 | SSVC,KEV,EPSS,VEXを用いた最新のリスク評価法(CSS2024招待講演)

OSS脆弱性管理の課題と解決策|スライド・全文ログ付き解説 | SSVC,KEV,EPSS,VEXを用いた最新のリスク評価法(CSS2024招待講演)

CSS2024(コンピュータセキュリティシンポジウム2024)にてFutureVulsが招待講演を行いました。本セッションでは、OSS脆弱性スキャナVulsを通じて見えてきた脆弱性管理の課題と解決策、VEXやReachabilityを用いたノイズ削除手法、SSVCやKEV,EPSSなどを活用した最新のリスク評価手法について解説しました。スライドと全文ログも公開していますので、ぜひご覧ください。
情報セキュリティワークショップin越後湯沢2024 | FutureVulsの最新機能とPSIRT向けソリューションを紹介

情報セキュリティワークショップin越後湯沢2024 | FutureVulsの最新機能とPSIRT向けソリューションを紹介

FutureVulsは、2024年10月10・11日に開催された情報セキュリティワークショップin越後湯沢にシルバースポンサーとして参加しました。スポンサー講演では、外部スキャン結果のインポート機能や製造業向けの新しいPSIRT機能を紹介し、来場者に最新の脆弱性管理ソリューションを提案しました。セキュリティ強化に向けた当社の取り組みが、皆様の業務効率化にお役立ていただけることを願っています。
Security Days Fall 2024東京 | ランサムウェア対策と脆弱性管理の最新ソリューションを紹介

Security Days Fall 2024東京 | ランサムウェア対策と脆弱性管理の最新ソリューションを紹介

FutureVulsは、2024年10月22日から25日まで開催されたSecurity Days Fall 2024東京にプラチナスポンサーとして参加し、ブース出展と講演を行いました。講演では、最新のランサムウェア対策と脆弱性管理手法について具体的な解決策を紹介し、展示ブースではSSVCを用いたトリアージやSBOM対応など、現場での課題解決に向けた多彩なソリューションを提案しました。
Vuls祭り#10 | 脆弱性管理の最前線 〜リスク評価からSSVC、VEX、AIまで〜を開催しました

Vuls祭り#10 | 脆弱性管理の最前線 〜リスク評価からSSVC、VEX、AIまで〜を開催しました

Vuls祭りの運営を務めました、平井です! 2024年8月20日(火)に第10回目となるVuls祭りを開催いたしました。 今回は「脆弱性管理の最前線 〜リスク評価からSSVC、VEX、AIまで〜」をテーマに、実に140名以上の方にお申込みいただき、オフラインイベントならではの熱い交流と知見の共有が行われました! 本記事ではVuls祭り#10の内容をまとめていこうと思います!
Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

Vulsまつり#10では、脆弱性管理の最新技術をテーマに、多くの参加者が集まりました。その中でも注目を集めたのが、SSVC(Stakeholder-Specific Vulnerability Categorization)を使ったデモです。この記事では、そのデモをもとに、金曜日の午後にも効率的に脆弱性対応判断を行うための方法をご紹介します。
regreSSHion (CVE-2024-6387) の脆弱性で見る FutureVuls での脆弱性管理

regreSSHion (CVE-2024-6387) の脆弱性で見る FutureVuls での脆弱性管理

本ブログでは、最新のOpenSSHの脆弱性(CVE-2024-6387)に対する効果的な対応方法について解説します。特に、脆弱性管理ツールFutureVulsを使用することで、どのように迅速かつ効率的に脆弱性を検知し対応できるかを詳しく説明します。
ジョーシストーーク「脆弱性祭り〜脆弱性の全体像と付き合い方〜」に参加しました

ジョーシストーーク「脆弱性祭り〜脆弱性の全体像と付き合い方〜」に参加しました

皆様、初めまして。FutureVulsの平井です。 今回はジョーシス株式会社様、株式会社クラウドネイティブ様が共催するセキュリティイベント「ジョーシストーーク」に参加してきました。 個々のセッションやQAセッションの概要、そこから得た学びをまとめたのでぜひご一読ください。
SSVC DeepDive | 「ジョーシストーーク 脆弱性祭り~脆弱性の全体像と付き合い方~」

SSVC DeepDive | 「ジョーシストーーク 脆弱性祭り~脆弱性の全体像と付き合い方~」

2024年7月8日に開催された「ジョーシストーーク 脆弱性祭り~脆弱性の全体像と付き合い方~」のセッション「SSVC DeepDive」の内容です。https://cloudnative.co.jp/event/josystalk202406パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。
SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法

SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法

米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC(Stakeholder-Specific Vulnerability Categorization)の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各Decision Pointを分解し、最近CISAから公開されたNVDを補完する脆弱性情報「Vulnrichment」などのデータソースとロジックを共有し、自動化のための現実的な実装方法を模索します。
インターネット露出サーバの自動特定とSSVC Exposure設定ガイド

インターネット露出サーバの自動特定とSSVC Exposure設定ガイド

脆弱性管理は企業のセキュリティ対策において重要な課題です。本記事では、効果的な脆弱性管理を実現するためのSSVC(Stakeholder-Specific Vulnerability Categorization)のExposure設定方法について解説します。FutureVulsを用いた実践的なアプローチやAmazon Inspectorを活用した自動調査手法も紹介します。
FutureVuls に登録する製品の CPE 名を、ちょっとだけ便利に検索する

FutureVuls に登録する製品の CPE 名を、ちょっとだけ便利に検索する

みなさんは、製品の「CPE 名」をどのように検索されていますか? 本ブログでは、go-cpe-dictionary と peco を用いてインタラクティブに CPE 名を検索する方法を紹介します。
Amazon Inspector と FutureVuls で実現する EC2 のエージェントレス脆弱性スキャン:ハンズオンガイド

Amazon Inspector と FutureVuls で実現する EC2 のエージェントレス脆弱性スキャン:ハンズオンガイド

AWS の EC2 インスタンスを Inspector のエージェントレススキャンで脆弱性スキャンし、結果を FutureVuls に取り込む方法をまとめました。EC2 上に SSM エージェントや Vuls スキャナをインストールすることなく脆弱性を検知できます。
SSVCにおける Human Impact 決定方法例

SSVCにおける Human Impact 決定方法例

SSVC の DeployerTree における Human Impact について、SSVC ではどのように考えているのか、実際の運用ではどうするのが良いのか、をまとめました。
FutureVulsが「JAWS DAYS 2024」にGold企業サポーターとして協賛しました

FutureVulsが「JAWS DAYS 2024」にGold企業サポーターとして協賛しました

FutureVulsは、2024年3月2日に池袋で開催された「JAWS DAYS 2024」にGold企業サポーターとして協賛しました。展示ブースではFutureVulsとAWS Inspectorの連携について説明し脆弱性の一元管理とリスク判断と運用者への対応指示まで自動化する方法を説明しました
サイバーセキュリティシンポジウム道後2024(SEC道後2024)にてFutureVulsのスポンサー出展と講演をおこないました

サイバーセキュリティシンポジウム道後2024(SEC道後2024)にてFutureVulsのスポンサー出展と講演をおこないました

FutureVulsは、2024/3/8, 9に開催されたサイバーセキュリティシンポジウム道後のスポンサーとして、最先端の脆弱性管理ソリューションと革新的なSSVCトリアージ機能を紹介。企業プレゼン、展示ブースの体験、およびセキュリティ業界への貢献を詳述します。
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC

CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC

KEV CatalogやEPSSはどう活用するのが良いかという点で、うまく活用しているプロジェクトがあったのでご紹介します。SSVCとの違いも考察します。
Prev
1 2 3 4
Next

カテゴリー