セキュリティ」カテゴリーアーカイブ

ISMS認証の取得

ISMS認証(ISO27001)ならびにISMSクラウドセキュリティ認証(ISO/IEC 27017)を取得しました

株式会社オープングルーヴ(以下、当社)は、ISMSが適正かつ健全に機能しているとの評価を受け、2024年4月16日にISMS(Information Security Management System)の国際規格であるISO/IEC27001及びクラウドセキュリティISO/IEC 27017の認証を取得いたしました。
今後も当社はお客様に安心してご利用いただくため、継続的なセキュリティマネジメントシステムを構築・運営してまいります。

■JIS Q 27001:2023 (ISO/IEC27001:2022) 認証概要

認証規格JIS Q 27001:2023 (ISO/IEC27001:2022)
組織名株式会社オープングルーヴ
住所東京都千代田区岩本町 2-11-3 第八東誠ビル
認証範囲Web システム開発
・受託開発
・ tracpath (トラックパス) の開発、運営 上記業務に関わる情報セキュリティマネジメント
認証機関国際マネジメントシステム認証機構
認定日2024年4月16日

■JIP-ISMS517-1.0 認証概要

認証規格JIP-ISMS517-1.0
認証の対象クラウドサービスプロバイダ クラウドサービスカスタマ
組織名株式会社オープングルーヴ
住所東京都千代田区岩本町 2-11-3 第八東誠ビル
認証範囲 ・ クラウドサービスプロバイダとして、tracpath (トラックパス) の提供
・ クラウドサービスカスタマとして、tracpath の提供に関わる Amazon Web Services の利用
上記業務に関わるクラウドセキュリティマネジメント
認証機関国際マネジメントシステム認証機構
認定日2024年4月16日

関連記事

Gitの脆弱性CVE-2023-23946およびCVE-2023-22490対応

tracpath は Git の脆弱性(CVE-2023-23946)および(CVE-2023-22490)への対応のための更新を実施済みです。(2023/02/16)

アナウンスGit

関連記事

Gitの脆弱性CVE-2022-41903およびCVE-2022-23521対応

分散型バージョン管理システムであるGitには重大な脆弱性が見つかりました。

Gitの脆弱性CVE-2022-41903およびCVE-2022-23521対応について報告します。

tracpath は Git の脆弱性 (CVE-2022-41903)および(CVE-2022-23521) への対応のための更新を実施済みです。(2022-01-25)

アナウンスGit 2.39.1 and others:https://groups.google.com/g/git-packagers/c/UFcv48uFXBU/m/h1hy4r_DAQAJ

https://raw.githubusercontent.com/git/git/master/Documentation/RelNotes/2.30.7.txt

関連記事

セキュリティ強化のため「TLS 1.0/1.1」による通信を停止

平素よりオープングルーヴの tracpath サービスをご利用頂き、誠にありがとうございます。
この度、tracpath において、下記日程で通信暗号化方式「TLS 1.0/1.1」を無効化し、今後、より安全な方式である「TLS 1.2 以降」の接続のみ接続可能となります。

これにより、無効化の実施以降、「TLS 1.0/1.1」で通信する OS やブラウザからは tracpath を利用いただけなくなります。ご確認のほど、よろしくお願い申し上げます。

実施日時

2020年2月29日(土)18:00(JST)予定

対象サービス

  • tracpath(https://*.tracpath.com、https://*.ciklone.com)

停止の背景

「TLS 1.0/1.1」は HTTPS による暗号化通信を行うために通信方式です。「TLS 1.0/1.1」は暗号化技術としては旧方式であり、すでにいくつかの脆弱性が見つかっております。より安全なTLS 1.2への移行が推奨されています。

お客様に安心して tracpath をご利用いただくためにセキュリティ対策を最重要課題のひとつと考えております。そのため、一部のお客様のご利用に影響はございますが、「TLS 1.0/1.1」の無効化を行うことといたしました。
何卒ご理解くださいますよう、お願い申し上げます。

必要な対応

1. パソコン端末

以下のブラウザは TLS 1.2 をサポートしているため対応は不要です。
サポートブラウザ以外で tracpath のサービスをご利用の方は、ブラウザの変更をお願い致します。

  • Internet Explorer 11
  • 最新の Microsoft Edge
  • 最新の Apple Safari
  • 最新の Mozilla Firefox
  • 最新の Google Chrome
  • TLS 1.2の設定が無効の場合、TLS 1.2を有効にしてください。

また、Internet Explorer 11 をご利用中で、インターネットオプションのセキュリティ設定を変更して「TLS 1.2 以上」をすべて無効にされている場合、有効化が必要となります。ブラウザの設定をご確認いただき、必要な設定変更を実施してください。

2. モバイル端末

お客様の各端末の環境の OS をご確認ください。
Android OS 5 以上にアップデートして下さい。

3. リポジトリ

ご利用の Subversion または Git / Mercurial のバージョンをご確認いただき、TLS 1.2 の通信に対応するバージョンへのアップデートを実施してください。
以下のリポジトリツールは TLS 1.2 をサポートしていません。

  • Subversion 1.8.x 以前 (TortoiseSVN 含む)
  • Git for Windows 1.x 以前
  • Python 2.6 以前を使用している Mercurial
  • Java 7 以前を利用する各リポジトリクライアント
  • WebDAV への Windows 7, Windows Server 2008 R2 から Web フォルダ利用

TLS 1.2 が利用できないブラウザや端末をお使いの皆様には、ご迷惑やお手間をとらせてしまい誠に恐れ入ります。
今回の対策はサービス全体のセキュリティを高め、より安全にご利用いただくため、ご理解とご協力のほどお願い致します。

お問い合わせ

何かご不明な点がございましたらこちらのお問い合わせまでお気軽にご連絡くださいませ。

関連記事

glibc ライブラリの脆弱性対応 (CVE-2015-7547)

コメントを残す

glibc ライブラリにはバッファオーバーフローの脆弱性が見つかりました。

glib 脆弱性対応 (CVE-2015-7547) の対応状況についてご報告します。tracpath は glibc の脆弱性 (CVE-2015-7547) への対応のため glibc ライブラリの更新を実施済みです。(2016-02-17)

JVNVU#97236594:

影響を受けるシステム
glibc 2.9 から 2.22 まで
詳細情報
glibc には、send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフローの脆弱性が存在します。

関連記事

glibc GHOST 脆弱性対応 (CVE-2015-0235)

コメントを残す

glibc GHOST 脆弱性対応についてご報告します。tracpath は glibc GHOST 脆弱性 (CVE-2015-0235) への対応のため glibc ライブラリの更新を実施済みです。(2015-01-29 04:00)

glibc ライブラリにはバッファオーバーフローの脆弱性 (CWE-788) があります。細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。

関連記事

NTP daemon 脆弱性対応 (VU#852879)

コメントを残す

NTP daemon 脆弱性対策についてご報告します。tracpath は NTP daemon 脆弱性 (VU#852879) の対策を実施済みです。(2014-12-20)

4.2.7 以前のバージョンにバッファオーバーフローを引き起こすおそれがある脆弱性が発見されました。この脆弱性を用いて、第三者がリモートから ntpd プロセスの権限でコードを実行できてしまうおそれがあります。

[US-CERT] VU#852879 http://www.kb.cert.org/vuls/id/852879

関連記事

SSLv3 POODLE 脆弱性対応 (CVE­-2014­-3566)

コメントを残す

 こんにちは。SSLv3 POODLE 脆弱性対策についてご報告します。tracpathはPOODLE: SSLv3.0 脆弱性 (CVE-2014-3566)の対策を実施済みです。(2014-10-17)

SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。
ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。

[IPA] SSL 3.0 の脆弱性対策について(CVE-2014-3566)
https://www.ipa.go.jp/security/announce/20141017-ssl.html

[Redhat] POODLE: SSLv3.0 脆弱性 (CVE-2014-3566)
https://access.redhat.com/ja/articles/1232403

関連記事

bash 脆弱性対応について (CVE-2014-6271, CVE-2014-7169)

コメントを残す

 こんにちは。シェルプログラム bash の脆弱性 (shellshock) についてご報告します。

tracpath において、リモートからこの脆弱性を利用した攻撃の可能性はありません。しかし、非常にリスクが高いものであるため 2014/09/25 と 2014/09/26 とで bash の更新を実施しております。

[JPCERT/CC] GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html

[IPA] 更新:bash の脆弱性対策について(CVE-2014-6271 等):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

関連記事

OpenSSL の脆弱性に関する注意喚起(HeartBleed[CVE-2014-0160]

コメントを残す

 
 

tracpath のサービスは影響ありません

こんにちは、オープンソースの暗号化ライブラリである OpenSSL の脆弱性が発表された2014年4月7日以降大きな騒ぎになっており、多くのニュースに取り上げられました。

お客様よりセキュリティに対するお問い合せがあったため、ブログ記事として公開させて頂きます。
tracpath は OpenSSL を利用していますが、脆弱性の影響はありません。脆弱性発表があった以降、すべてのサービスについて調査を実施し、影響がないことを確認しております。

[JPCERT/CC]OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html

[IPA]OpenSSL の脆弱性対策について(CVE-2014-0160)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
[IPA]OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html

もし、脆弱性のある OpenSSL を利用していたら…

証明書の秘密鍵とユーザのパスワード・セッションクッキーの漏えいが主なリスクです。
つまり、証明書は再発行する必要があり、利用者のパスワードは再設定が必要になります。

 
 
 
 

関連記事