FutureVuls Blog

FutureVulsは、2024年10月10・11日に開催された情報セキュリティワークショップin越後湯沢にシルバースポンサーとして参加しました。スポンサー講演では、外部スキャン結果のインポート機能や製造業向けの新しいPSIRT機能を紹介し、来場者に最新の脆弱性管理ソリューションを提案しました。セキュリティ強化に向けた当社の取り組みが、皆様の業務効率化にお役立ていただけることを願っています。

FutureVulsは、2024年10月22日から25日まで開催されたSecurity Days Fall 2024東京にプラチナスポンサーとして参加し、ブース出展と講演を行いました。講演では、最新のランサムウェア対策と脆弱性管理手法について具体的な解決策を紹介し、展示ブースではSSVCを用いたトリアージやSBOM対応など、現場での課題解決に向けた多彩なソリューションを提案しました。

Vuls祭りの運営を務めました、平井です！ 2024年8月20日(火)に第10回目となるVuls祭りを開催いたしました。 今回は「脆弱性管理の最前線 〜リスク評価からSSVC、VEX、AIまで〜」をテーマに、実に140名以上の方にお申込みいただき、オフラインイベントならではの熱い交流と知見の共有が行われました！ 本記事ではVuls祭り#10の内容をまとめていこうと思います！

Vulsまつり#10では、脆弱性管理の最新技術をテーマに、多くの参加者が集まりました。その中でも注目を集めたのが、SSVC（Stakeholder-Specific Vulnerability Categorization）を使ったデモです。この記事では、そのデモをもとに、金曜日の午後にも効率的に脆弱性対応判断を行うための方法をご紹介します。

本ブログでは、最新のOpenSSHの脆弱性（CVE-2024-6387）に対する効果的な対応方法について解説します。特に、脆弱性管理ツールFutureVulsを使用することで、どのように迅速かつ効率的に脆弱性を検知し対応できるかを詳しく説明します。

皆様、初めまして。FutureVulsの平井です。 今回はジョーシス株式会社様、株式会社クラウドネイティブ様が共催するセキュリティイベント「ジョーシストーーク」に参加してきました。 個々のセッションやQAセッションの概要、そこから得た学びをまとめたのでぜひご一読ください。

2024年7月8日に開催された「ジョーシストーーク 脆弱性祭り～脆弱性の全体像と付き合い方～」のセッション「SSVC DeepDive」の内容です。https://cloudnative.co.jp/event/josystalk202406パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。

米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC（Stakeholder-Specific Vulnerability Categorization）の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各Decision Pointを分解し、最近CISAから公開されたNVDを補完する脆弱性情報「Vulnrichment」などのデータソースとロジックを共有し、自動化のための現実的な実装方法を模索します。

脆弱性管理は企業のセキュリティ対策において重要な課題です。本記事では、効果的な脆弱性管理を実現するためのSSVC（Stakeholder-Specific Vulnerability Categorization）のExposure設定方法について解説します。FutureVulsを用いた実践的なアプローチやAmazon Inspectorを活用した自動調査手法も紹介します。

みなさんは、製品の「CPE 名」をどのように検索されていますか？ 本ブログでは、go-cpe-dictionary と peco を用いてインタラクティブに CPE 名を検索する方法を紹介します。

AWS の EC2 インスタンスを Inspector のエージェントレススキャンで脆弱性スキャンし、結果を FutureVuls に取り込む方法をまとめました。EC2 上に SSM エージェントや Vuls スキャナをインストールすることなく脆弱性を検知できます。

SSVC の DeployerTree における Human Impact について、SSVC ではどのように考えているのか、実際の運用ではどうするのが良いのか、をまとめました。

FutureVulsは、2024年3月2日に池袋で開催された「JAWS DAYS 2024」にGold企業サポーターとして協賛しました。展示ブースではFutureVulsとAWS Inspectorの連携について説明し脆弱性の一元管理とリスク判断と運用者への対応指示まで自動化する方法を説明しました

FutureVulsは、2024/3/8, 9に開催されたサイバーセキュリティシンポジウム道後のスポンサーとして、最先端の脆弱性管理ソリューションと革新的なSSVCトリアージ機能を紹介。企業プレゼン、展示ブースの体験、およびセキュリティ業界への貢献を詳述します。

KEV CatalogやEPSSはどう活用するのが良いかという点で、うまく活用しているプロジェクトがあったのでご紹介します。SSVCとの違いも考察します。

2024-02-03に行われた「サイバーセキュリティ勉強会2024冬in塩尻」でお話しした内容の要約です。脆弱性管理は、組織のセキュリティ対応の中の1部分にすぎません。組織上どのような位置づけで、他の活動とどのような関連があるのかを、X.1060を使ってみていきます。

最新のセキュリティ管理手法を導入して、閉域網内のWindowsサーバの脆弱性を効率的に把握しませんか？この記事では、SSHを用いたリモートCabスキャンの設定方法を詳しく解説します。Cabファイルをファイルサーバ上の一箇所に集約し、複数のWindowsサーバに対してSSHで脆弱性スキャンを実行できます。閉域網におけるWindowsサーバの脆弱性管理の新しいアプローチをご紹介します。

FutureVuls の Windows スキャンでは、既に解決されている脆弱性が検知される場合があります。それはどのような条件で起こりうる現象か、その原因は何か、対応要否の判断方法および FutureVuls 上でどう管理するかについて紹介します。

EC2 上で稼働する Windows Server に向けて、公開鍵認証により SSH で接続するまでの設定内容をブログ化しました。

DevOpsの進化として、コンテナとCI/CDの融合、セキュリティ統合のDevSecOpsへの移行、FutureVulsとTrivyの連携を掘り下げました。

EPSSとは、機械学習によるデータ駆動型のアプローチによる脆弱性の危険度を示す指標です。本記事では近年注目を集めているEPSSについて、その特長について解説します。

先日開催されたNCA Annual Conference 2023で「サイバーセキュリティの新たな世界」として発表したものについて、概説します。

FutureVulsは、2023年12月に開催された「NCA Annual Conference 2023」にスポンサーとして参加しました。弊社が提供する国産の脆弱性管理サービス「FutureVuls」が日本のセキュリティレベル向上に貢献していることを知っていただければ幸いです。

Zoom社から公開された、VISS(Vulnerability Impact Scoring System)について確認しました。

こんにちは, 普段はOSSのVulsへContributeしている[MaineK00n](https://github.com/MaineK00n)です. 12月4日に開催されたOpenSSF Day Japanに参加・発表してきました.