CyberFix Note
ペンテスト・CTF
ペネトレーションテストの進め方と報告書の書き方。スコープ・許可・手順・報告を実務目線で整理する
ペネトレーションテストを安全かつ価値あるものにするための進め方を、スコープ定義・許可取得・実施手順・報告書作成の順に実務目線で解説します。PTESやNIST SP 800-115を参照し、許可された対象でのみ行う前提と関連法令への注意も具体的に整理します。
#脆弱性管理 の記事
脆弱性・CVE解説
CVE・JVNの読み方と脆弱性情報の追い方。採番の仕組みからNVD・ベンダー情報までを整理する
CVEはどう採番され、JVN・JVN iPedia・NVD・ベンダーアドバイザリはそれぞれ何を担うのか。脆弱性情報の流れと読み方、自社製品に関係する情報を取りこぼさず追うための実務的な手順を入門者向けに整理します。
脆弱性・CVE解説
Log4Shellに学ぶ、依存ライブラリ脆弱性の怖さとSBOM・SCAによる対策
Apache Log4jのCVE-2021-44228(Log4Shell)を題材に、依存ライブラリの脆弱性がなぜ広範な被害を生むのかを原理から解説し、SBOMとSCAを軸にしたサプライチェーンの脆弱性管理を実務目線で整理します。
脆弱性・CVE解説
ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
修正プログラムが存在しない状態で悪用されるゼロデイ脆弱性について、なぜ防ぎにくいのかを原理から解説し、多層防御・仮想パッチ・迅速なパッチ運用という実務的な備え方を具体的な判断基準まで掘り下げます。
脆弱性・CVE解説
CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
CVSS v3.1とv4.0の構成を整理し、基本値(Base)だけで優先順位を決める落とし穴と、KEVやEPSSなど実際の悪用情報を組み合わせた実務的な脆弱性対応の判断軸を、運用担当者目線で解説します。