kevin-horvat-Pyjp2zmxuLk-unsplash

BigQuery provides tighter controls over data access | Google Cloud Blog

BigQuery provides tighter controls over data access | Google Cloud Blog

BigQuery provides tighter controls over data access | Google Cloud Blog

Try GCPStart building on Google Cloud with $300 in free credits and 20+ always free products. Free Trial Data security is an ongoing concern for anyone managing a data warehouse. Organizations need to control access to data, down to the granular level, for secure access to data both internally an...

はてなブックマーク - BigQuery provides tighter controls over data access | Google Cloud Blog はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

Android版「Googleアプリ」にセキュリティバグ、検索履歴などほぼすべての個人情報が危険に晒されていた | TechCrunch Japan

Android版「Googleアプリ」にセキュリティバグ、検索履歴などほぼすべての個人情報が危険に晒されていた | TechCrunch Japan

Android版「Googleアプリ」にセキュリティバグ、検索履歴などほぼすべての個人情報が危険に晒されていた | TechCrunch Japan

50億以上のインストール数を誇るGoogle(グーグル)の名を冠したAndroidアプリに、最近まで攻撃者が被害者のデバイスから個人情報をこっそり盗み出すことができる脆弱性があったことが明らかになった。 モバイルセキュリティを専門とするスタートアップOversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏...

はてなブックマーク - Android版「Googleアプリ」にセキュリティバグ、検索履歴などほぼすべての個人情報が危険に晒されていた | TechCrunch Japan はてなブックマークに追加

imgix-klWUhr-wPJ8-unsplash

ALPACA Attack

ALPACA Attack

ALPACA Attack

Paper Q&A How to ALPN/SNI News ALPACA will be presented at Black Hat USA 2021 and at USENIX Security Symposium 2021. Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an internet standard to secure the communication between servers and clients on the ...

はてなブックマーク - ALPACA Attack はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

PuzzleMaker attacks with Chrome zero-day exploit chain | Securelist

PuzzleMaker attacks with Chrome zero-day exploit chain | Securelist

PuzzleMaker attacks with Chrome zero-day exploit chain | Securelist

On April 14-15, 2021, Kaspersky technologies detected a wave of highly targeted attacks against multiple companies. Closer analysis revealed that all these attacks exploited a chain of Google Chrome and Microsoft Windows zero-day exploits. While we were not able to retrieve the exploit used for r...

はてなブックマーク - PuzzleMaker attacks with Chrome zero-day exploit chain | Securelist はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

The SaaS CTO Security Checklist Redux – Gold Fig — Peace of mind for infrastructure teams

The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams

The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams

Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature...

はてなブックマーク - The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

働き者の従業員はなぜセキュリティツールをオフにするか 「全て暗号化する」漏えい対策の意義 – ITmedia エンタープライズ

働き者の従業員はなぜセキュリティツールをオフにするか 「全て暗号化する」漏えい対策の意義 - ITmedia エンタープライズ

働き者の従業員はなぜセキュリティツールをオフにするか 「全て暗号化する」漏えい対策の意義 - ITmedia エンタープライズ

HTTPの暗号化は当たり前になったが、業務アプリケーションはどうか。事前に想定して設計したセキュリティ対策がハマらなかった場合の「想定外のリスク」を前提にするセキュリティ対策の話を聞いた。 シンガポールを本拠にするSecureAge Technology(以下・セキュアエイジ)は、シンガポール政府下にあったKent Ridge Dig...

はてなブックマーク - 働き者の従業員はなぜセキュリティツールをオフにするか 「全て暗号化する」漏えい対策の意義 - ITmedia エンタープライズ はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

Password policy recommendations – Microsoft 365 admin | Microsoft Docs

Password policy recommendations - Microsoft 365 admin | Microsoft Docs

Password policy recommendations - Microsoft 365 admin | Microsoft Docs

As the admin of an organization, you're responsible for setting password policy for users in your organization. Setting password policy can be complicated and confusing, and this article provides recommendations to make your organization more secure against password attacks. To determine how ofte...

はてなブックマーク - Password policy recommendations - Microsoft 365 admin | Microsoft Docs はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

Normal WorldとSecure Worldにリソースを分離する 知っておくべきArmにおけるTrustZoneの概念 – ログミーTech

Normal WorldとSecure Worldにリソースを分離する 知っておくべきArmにおけるTrustZoneの概念 - ログミーTech

Normal WorldとSecure Worldにリソースを分離する 知っておくべきArmにおけるTrustZoneの概念 - ログミーTech

例外1 SMC まずSMCコールです。SMCコールによってSecure Monitorにハンドリングを移すことができます。 例外に関しては非同期例外と同期例外に分かれていて、非同期例外は命令実行により発生しない例外になります。例えばNormal Priority InterruptとかFast Interruptが非同期例外に当たります。 一方、同期例外は命令実...

はてなブックマーク - Normal WorldとSecure Worldにリソースを分離する 知っておくべきArmにおけるTrustZoneの概念 - ログミーTech はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

「CIAによって開発されたマルウェアを発見した」とサイバーセキュリティのカスペルスキーが発表 – GIGAZINE

「CIAによって開発されたマルウェアを発見した」とサイバーセキュリティのカスペルスキーが発表 - GIGAZINE

「CIAによって開発されたマルウェアを発見した」とサイバーセキュリティのカスペルスキーが発表 - GIGAZINE

ロシアを拠点とするサイバーセキュリティ企業のカスペルスキーが、「アメリカの中央情報局(CIA)によって開発されたマルウェアを発見した」と発表しました。 APT trends report Q1 2021 | Securelist https://securelist.com/apt-trends-report-q1-2021/101967/ Security firm Kaspersky believes it found new CIA malwa...

はてなブックマーク - 「CIAによって開発されたマルウェアを発見した」とサイバーセキュリティのカスペルスキーが発表 - GIGAZINE はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

先週のサイバー事件簿 – VPN「Pulse Connect Secure」に脆弱性 | マイナビニュース

先週のサイバー事件簿 - VPN「Pulse Connect Secure」に脆弱性 | マイナビニュース

先週のサイバー事件簿 - VPN「Pulse Connect Secure」に脆弱性 | マイナビニュース

4月19日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。 Pulse Connect Secureに脆弱性-すでに悪用の事例も VPN製品「Pulse Connect Secure」の脆弱性が発覚。対象バージョンは「Pulse Connect Secure version 9.0R3 およびそれ以降」で、第三者が認証を回避して任意のコード実...

はてなブックマーク - 先週のサイバー事件簿 - VPN「Pulse Connect Secure」に脆弱性 | マイナビニュース はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に – ITmedia エンタープライズ

VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に - ITmedia エンタープライズ

VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に - ITmedia エンタープライズ

VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に CISAがPulse Connect Secureの脆弱性を利用した攻撃に関する注意喚起を発表した。侵入を許した場合、Webシェルを仕込まれている可能性がある。場合によってはかなりの数のアカウントのパスワードリセットと、システム全体のチェックと...

はてなブックマーク - VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に - ITmedia エンタープライズ はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

パルスセキュア、VPN製品の脆弱性情報を公開 – ZDNet Japan

パルスセキュア、VPN製品の脆弱性情報を公開 - ZDNet Japan

パルスセキュア、VPN製品の脆弱性情報を公開 - ZDNet Japan

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Pulse Secureは米国時間4月20日、VPN製品のPulse Connect Secure 9.0R3およびそれ以降のバージョンに存在する認証を迂回されてしまう脆弱性(CVE-2021-22893)の情報を公開した...

はてなブックマーク - パルスセキュア、VPN製品の脆弱性情報を公開 - ZDNet Japan はてなブックマークに追加

kevin-horvat-Pyjp2zmxuLk-unsplash

Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc

Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc

Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc

Executive Summary Mandiant recently responded to multiple security incidents involving compromises of Pulse Secure VPN appliances. This blog post examines multiple, related techniques for bypassing single and multifactor authentication on Pulse Secure VPN devices, persisting across upgrades, and ...

はてなブックマーク - Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc はてなブックマークに追加

Internet_of_Things

ロボットOSSコミュニティ『ROS-I』への参画:より安全な未来を築くために

トレンドマイクロは「ROS-Iコンソーシアム」に参加し、産業用ロボットによるインダストリー4.0アプリケーションにおける安全な開発促進を支援します。

トレンドマイクロが長年にわたって成功を収めている秘訣の1つとして、新たなセキュリティ脅威がどこからやって来るのかを常に注視している点が挙げられます。こうした点からトレンドマイクロでは、現在、ITおよびOT(Operation Technology)の融合に向けた研究開発に注力しています。急成長を続けているこの分野は、IoTデバイスとしてインターネットに接続される中、特に製造業での進歩が著しく、大きな成果を上げています。しかしこのような飛躍の反面、技術的な各種システムが適切に保護されていないなど、セキュリティ上のリスクも懸念されています。

こうした中、トレンドマイクロでは、「ROS-Industrial(ROS-I)コンソーシアム」への参加を実現し、インダストリー4.0における産業用ロボットアプリケーションの安全な開発促進に協力できることを嬉しく思っています。これは、トレンドマイクロのミッションである「Securing Your Connected World」に向けたもう1つの重要なステップと言えます。

■ なぜIIoTが重要なのか

産業用IoT(IIoT)システムは、すでに製造プロセスの合理化、コスト効率の向上、メーカーのアジリティやイノベーションの推進に貢献しています。このようなソリューションを展開する世界市場が、今後6年間で17%近い年平均成長率を維持し、2027年には2,630億ドル(約29兆852億円相当)を超えると予測されているのも偶然ではありません。一方、新しい技術には常に新しいサイバーリスクがつきものです。産業用コンピューティングデバイスにインターネットと接続されると、遠隔地の攻撃者からの脅威を管理することが課題となります。攻撃者は、システムやソフトウェアの脆弱性を探り、デバイスを乗っ取り、生産プロセスを妨害し、知的財産を盗むことが可能になるからです。

産業用ロボットは、現代の製造業の多くが依存しているだけでなく、それらの多くが数十年前のレガシー技術に依存していることから、特に高いリスクをはらんでいると言えます。産業用ロボットは、独自のプログラミング言語やエコシステムを保持していることから、セキュリティを複雑にし、技術に長けた攻撃者による未修正の脆弱性悪用につながり、深刻な結果を招く危険性があります。

■ ロードマップの策定

ROS-Iは、Robot Operating Systems(ROS)の機能を産業用ハードウェアやアプリケーションに拡張することを目的としたオープンソースのプロジェクトです。そしてROS-Iコンソーシアムの役割は、これらの機能に優先順位をつけ、コードの品質基準を提供し、技術サポートやトレーニングを提供することです。

トレンドマイクロは、当コンソーシアムのアソシエイトメンバーとなることで、技術的・戦略的なプロジェクトに参加し、ROS-Iのロードマップ策定に貢献できるようになります。実際、2020年に当社が実施した調査では、一部の製品で使用されているレガシープログラミング言語に設計上の欠陥や脆弱性があることを発見するなど、貢献できる価値をすでに実証しています。こうした貢献を受け、ROSを使用する産業用ロボットのための安全なネットワークガイドラインを共同で作成することになりました。

日本語版リサーチペーパーのダウンロードはこちら

ローグオートメーション表紙
未来を守るために

トレンドマイクロでは、最近、DDS(Data Distribution Service)のセキュリティについても検討を開始しました。このプロトコルは、ROS2で多用されているため、今後、ROS-Iやエンドユーザに大きな価値を提供できる分野になると考えています。

トレンドマイクロは、コンソーシアムのメンバーの中でもユニークな立ち位置を占めています。ほとんどのメンバーは、産業用ロボットメーカーなど、自社製品にROS/ROS2を使用しているか、もしくは関連ソフトウェアの開発に協力したいと考えているかです。一方、トレンドマイクロは、そのいずれでもなく、コンソーシアムと協働してROS-Iソフトウェアの「セキュリティ・バイ・デザイン」を強化する役割を担っています。そしてトレンドマイクロは、サイバーセキュリティの専門企業としては2社目の参加となります。

現状、IIoTシステムのセキュリティを確保することは簡単ではありません。クラウド、ネットワーク、デバイスなどのさまざまな機能のセキュリティを把握する必要があるからです。サイバーセキュリティの分野で30年以上の実績を持ち、世界中のお客様に積極的に導入されている当社は、ゲートウェイからエンドポイントまでのすべての領域でのセキュリティを提供しています。こうした点こそが、インダストリー4.0を成功に導く上で必要なエンドツーエンドのセキュリティの鍵となります。

詳しくは、スマートファクトリーソリューションをご覧ください。

参考記事:

翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)

The post ロボットOSSコミュニティ『ROS-I』への参画:より安全な未来を築くために first appeared on トレンドマイクロ セキュリティブログ.