10月30日にバイデン大統領の126個目の大統領令EO14110が出ました。 タイトルは「Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 AI時代に米国がどう向き合おうとしているのか、読んでみました。

NISTからフィッシング訓練に関するドキュメントが出たので読んでみました。

クラウドやコンテナが一般化した中、直接的に管理する機会が減りつつあるハイパーバイザーの存在ですが、そもそもどんなセキュリティの論点があるのか調べてみました。

IPA 10大脅威において近年不動の1位のランサムウェア。 私のブログでも半田病院や大阪急性期・総合医療センターのインシデント報告書をまとめたように、重要インフラを含む様々な企業が被害を受けています。 そんなランサムウェアに対抗するためのガイド「#S…

23年11月にESFからSBOMに関するガイダンス「 Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption」が出ました。 今回はSBOMを受け取るカスタマー側の目線からお勉強します。

セキュリティ対応組織作りに深く関わる立場にいながら、何故か「セキュリティ対応組織の教科書」は未読だったので読んでみました。 日本語だし、元々平易な表現でまとまっているのですが、自分の勉強メモとして要点抽出しておきます。

CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます)

ログ取得。 その必要性は分かるものの、何をどこまで取ればいいのか？に悩んだことはないでしょうか。 今回はそれをOMB M-21-31とCISA「Guidance for Implementing M-21-31」から学びます。

NIST CSF 2.0のドラフト版を読みました。

今回は2023年3月に出た米国 国家サイバーセキュリティ戦略を読みます。 「ソフトウェア開発のセキュリティの責任を開発者に押し付けようとしてる！」とか騒がれていた印象だけが残っていたのですが、一通り読んでみました。

前回、EO 14028の第4条を受けて作られたSecure Software Development Framework（SSDF）のnoteを書きました。 今回は、SSDFを適用するための手引きとなるガイダンス「Securing the Software Supply Chain」を読みます。