組み込みソフトウェアの脆弱性管理で難しいのは、単に「CVE を検出すること」ではありません。難しいのは、その CVE がどのレイヤーに存在し、製品として本当に影響するのかを判断することです。 コンテナを使っている製品であればコンテナイメージ。Linux ベースであれば OS パッケージ。カーネルモジュールやデバイスドライバ。C/C++ で書かれたアプリケーション。さらに、Yocto や Buildroot で取り込まれる OSS、静的リンクされたライブラリ、設定ファイル、起動スクリプト、証明書、秘密情報。 これらを一つのスキャナでまとめて見ようとすると、どうしても粗くなります。逆に、レイヤーごとに「狙うべきもの」と「適した手段」を分けると、検出結果の解釈がかなり楽になります。 SBOM はこの考え方の土台になります。CISA は SBOM を、ソフトウェアコンポーネントとその関係を把握するための情報として位置づけており、脆弱性把握やサプライチェーンリスク管理に利用できます。NIST SP 800-161 Rev.1 も、製品・サービスのサプライチ

Hi, there. 今回のトピックは脅威モデリングです。 はじめに 「スマート家電や産業用ロボット、どうやってセキュリティを守ればいいの？」 そんな疑問を持ったことはありませんか？ ITシステムのセキュリティ対策（MITRE ATT&CKなど）は有名ですが、実は「組み込みシステム（Embedded Systems）」には、ハードウェア特有の守り方があります。 そこで登場したのが、2024年に公開された新しいフレームワーク『MITRE EMB3D』です。この記事では、初学者の方向けに、この便利なツールの使い方をわかりやすく解説します。 MITRE EMB3Dとは？ 簡単に言うと、「組み込みデバイスに特化した、攻撃者の狙い目と対策のリスト」です。 セキュリティエンジニアが攻撃者によるサイバー攻撃を想像する際、いわゆる脅威モデリングを実施するというのセオリーですが、STRIDEやアタックツリーなどの様々な分析手法が存在しどれを使えばいいのか選択に悩まされていました。 そんな中、単一の基板で完結するようなシステムにおける脅威モデリングの救世主となりうる

Hi, there. 本日は、以前投稿したOpenSCAPの記事について深堀し、具体的な手順をお伝えします。 OpenSCAPで“まず安全側のベースラインを一気に作る”手順 Linux のハードニングで最初に消耗しやすいのは、設定の難しさそのものより、項目数の多さです。SSH、パスワード、ファイル権限、不要サービス、監査設定、カーネルパラメータを一つずつ手で詰めるやり方は、どうしても時間がかかり、設定漏れや設定ゆれも起きやすい。そこで発想を変えて、最初から ベンチマーク準拠のベースラインへまとめて寄せる ために使いたいのが OpenSCAP です。Red Hat は OpenSCAP を、設定コンプライアンススキャン、脆弱性評価、レポート生成、remediation に使う仕組みとして案内しています。 この記事の主題は「監査して学ぶこと」ではありません。最短で、安全寄りの標準形を作ることです。手順としては、WSL の Ubuntu を整える → OpenSCAP を入れる → 利用可能なプロファイルを確認する → ベースラインとの差分を評価する

Hi, there. 本日は、Wixでサイトを作成している際に私が実際に直面した現象と、その解決方法について紹介します。同じような症状で困っている方の参考になれば幸いです。 発生していた現象 発生していたのは、サイトのヘッダー上部に謎の空白が表示されるという現象です。 しかもこの空白は、モバイル版の公開サイトでのみ発生しており、Wixのエディタ上やプレビュー画面では確認できませんでした。そのため、最初は原因がまったく分からず、かなり悩まされました。 原因 結論から言うと、原因はGoogle AdSense の自動広告設定にありました。 具体的には、自動広告の「ヘッダー上部に表示される既存のAdSense広告」が影響していました。 Google AdSente上で自動広告を設定すると、この表示がデフォルトで有効になっているため、Wix上でGoogle AdSenseを設定した結果今回の現象が発生するようになったということです。やっかいなのは、この広告枠がデスクトップ表示やエディタ、プレビューでは見えない点です。実際にAdSenseの審査が完了し、公

Hi, there. 日々のデスクワーク、少しでも快適にしたいですよね。 今回は、エンジニアの私が「これなしでは仕事にならない」と痛感している2つの愛用デバイスをご紹介します。 LG 27.6インチ 16:18 DualUpモニター 縦長大画面がもたらす圧倒的解放感 まず一つ目は、LGのDualUpモニターです。これを導入してから、資料作成やレビューの効率が劇的に上がりました。 ここが最高 「巨大なExcel」も一画面で攻略 開発に関わるPMやコンサルは、なぜか巨大なExcelが大好きですよね。「そもそもそんなExcel作るなよ」という本音はさておき、業務上避けては通れません。このモニターなら、そんな広大なシートもかなりの範囲を一度に表示できるので、スクロールのストレスが激減しました。 マルチタスクの最適解 画面を上下に分割して「デュアルモニター」として使えるのが非常に便利です。 Web会議をしながら手元で資料を作成したり、レビュー時に2つの資料を並べて見比べたりすることができ、画面を切り替える手間をなくすことができます。 気になる点 価格設定