私がISO審査員資格を取得した頃に、建設ISOという言葉が流行りました。
公共工事の入札条件にISO取得が入っており、中小建設業者がこぞってISO認証に臨みました。
もともと公共工事では、施工計画書から始まり立会検査を受けて納品する迄に品質記録は残るのですが、マネジメント自体のPDCAを回す事がなかなか上手く行きませんでした。
現在では、入札条件には含まれないようになりましたが、入札業者の評価加点になる自治体もあり、久し振りに新規で中小建設業者の審査をしてきました。
当時との違いを感じたのは、現場事務所もない土木工事現場にもパソコンと通信機器を持ち込み、品質記録の殆どが電子データで閲覧出来ました。
これらの情報機器は工事車両に機材と一緒に積み込まれていましたが、、、
環境と品質のISOだったのですが、情報セキュリティの必要性を痛感した審査でした。
この春、スーツケースを手にした人達を良く目にする様になりました。
春なので異動のシーズンでもありますが、旅行に出かけるグループも多く見かけます。
コロナ疲れの影響もあるのかと思われますが、明らかに自粛ムードではなくなりつつあります。
ゼロコロナの是非もありますが、早く終息の兆しを見たいものですね。。。
最近、弊社のクライアントからも、「Emotet(エモテット)」と呼ばれるマルウェア(悪意のあるソフトウェア)への感染を狙う不審メールが届いていると連絡が増えています。
「Emotet」とは、次のようなメールを送り付けて、添付ファイルを開いたり、URLをクリックすることで、マルウェアへ感染させる悪意のあるソフトウェアです。
《Emotetに感染させるメールの特徴》
・Excel・Wordファイルが添付されている
・メール本文にファイルをダウンロードするリンクが記載されている
・添付されたPDFファイル内にExcel・Wordファイルをダウンロードするリンクが記載されている
・過去にやりとりしたメールへの返信を装い、添付ファイルの開封を促す
身に覚えのないメールや不審なメールについては、開封せず、削除して下さい。
誤って開封した場合、添付ファイルの開封ならびに本文中に記載されているURLのクリックはせず、メールを削除して下さい。
もし感染の可能性がある場合は、広島県警察本部サイバー犯罪対策課が、概要や手口等を公開しておりますので、 同サイトをご参照ください。
この季節になると新入社員の若々しい人達を見かけますね♪
今日は4月1日で入社式の丁度タイミングでしょうか?
オンラインでなければいいですけど・・・
弊社では新入社員の技術者研修に携わらせて頂いており、
毎年清々しい気持ちでこの時期を迎えております。
将来は一緒にIT業界を盛り上げてゆきましょう!
Ⅰ. 概要
VMware社の「VMware Carbon Black App Control」に、OS コマンド インジェクション、およびファイル アップロードの脆弱性が公表されました。
悪用された場合、リモートで不正にOSコマンドを実行されたり、
影響:VMware App Control管理インターフェイスに対して特権を持つ攻撃者に
■対象製品とバージョン
・VMware Carbon Black App Control (AppC) Windows版
バージョン 8.8系 8.8.2未満
8.7系 8.7.4未満
8.6系 8.6.6未満
8.5系 8.5.14未満
■CVE番号(CVSS v3.0 基本値)
・CVE-2022-22951 (9.1) OSコマンドインジェクションの脆弱性
・CVE-2022-22952 (9.1) ファイルアップロードの脆弱性
Ⅱ. 対策・回避策
本脆弱性に対する回避策はありません。「Ⅲ.参考情報」をご確認
Ⅲ. 参考情報
・VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951,CVE-2022-22952)
https://www.vmware.com/securit
「Siemens社の複数の産業用製品に複数のセキュリティ上の問題」が公開されましたので、以下のとおり情報共有させていただきます。
外部から製品の機能を停止されたり、情報が漏洩したりする等の恐れのあるセキュリティ上の問題。
ベンダ情報を確認のうえ、対策または回避策の検討を推奨。
1.概要
工場等の産業分野で利用されるSiemens社のイーサネットスイッチやプラント管理ソフトウェア
等、複数の製品にセキュリティ上の問題が公表されました。
悪用された場合、製品が機能停止したり、情報漏洩の被害に繋がる等の恐れがあります。
■対象製品
・Mendix Forgot Password Appstore module
・SINEC INS
・RUGGEDCOM ROXシリーズ
2.対策・回避策
影響を受ける製品を利用している場合には、下記の関連トピックの内容をシステムを運用されてい
る担当者や委託先事業者の窓口の方に共有していただき、対策等のご検討をお願いします。
東日本大震災から11年の歳月が経過しようとしています。
この頃からBCP(事業継続計画)が盛んに叫ばれるようになり、最近ではパンデミックにおけるBCPに変わってきました。
それが、先日の自動車サプライヤーへのサイバー攻撃から、サイバーセキュリティに対するBCPへのニーズへと変わるのではないかと思われます。サイバー攻撃を受けると、サプライチェーンが機能しなくなるのですから。
震災、感染病、セキュリティ・・・等々、これらの脅威から組織をまもらないといけないのです!!!
世界情勢が不安定な中、北京パラリンピックが開催されます。
国際世論の影響を受けて、ロシア、ベラルーシの選手は参加できないみたいです。
国の問題であって選手には責任はないとの声もありますが、ロシア人の中には戦争反対を掲げてデモに参加している人達もたくさん見受けられます。(毒殺されないように気をつけて・・・)
オリンピック・パラリンピックは政治を持ち込まないそうですが、平和を掲げることは問題ないと思いますので、ロシア、ベラルーシの選手もウクライナ侵略への姿勢を明確にして、参加を認めてもいいのではないかと思います。
それも一つの侵略停止へのアピールになるかと・・・
ロシアが隣国ウクライナに軍事侵攻し、国際的な批判が高まる中、国際ハッカー集団「アノニマス」を名乗るグループが2月25日、ロシアに対するサイバー攻撃を行うとする声明をTwitter上で発表し、話題となっている。米国などの欧米諸国を中心とした軍事同盟「NATO」(北大西洋条約機構)がロシアとの武力衝突を恐れ、ウクライナへの軍事介入を表明しない中、同集団は「世界平和だけを望んでいる」としており、サイバー空間を使った、ロシアへの事実上の報復とみられる。
なるほど、、、心情的にはウクライナを応援したい!
冬季オリンピックの花形であるフィギュアスケートが終了しました。
なんとも後味の悪い大会なのは、ドーピング問題が解決しないまま、競技を続けたせいでしょうか?
そもそも禁止薬物が検出されたのが事実であれば、競技への参加を認めるべきではないでしょう!
本来メダルを授与されるはずの選手がかわいそうです・・・
15歳のワリエア選手はまだまだこれから将来のあるアスリートです。
こんな大会で潰してしまうのはもったいない気がします。