IPA 独立行政法人 情報処理推進機構:国家資格「情報処理安全確保支援士」
サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が急務となっています。この人材の確保のために2016年10月に「情報処理の促進に関する法律」が改正され、新たな国家資格が誕生しました。これが「情報処理安全確保支援士(略称:登録セキスペ)」です。 本ページでは、「情報処理安全確保支援士(登録セキスペ)」制度に関する情報を掲載しています。ぜひご覧ください。 情報処理安全確保支援士 新規登録・更新のご案内 2024年7月~8月に「国家資格『情報処理安全確保支援士』がわかる!説明会」を実施しました。 国家資格「情報処理安全確保支援士」がわかる!説明会(2024年7月4日~8月15日オンデマンド配信
情報セキュリティスペシャリスト合格者は「情報処理安全確保支援士」試験免除へ
経済産業省産業構造審議会の下部組織である「試験ワーキンググループ」は2016年4月27日、2017年度から新たに実施されるサイバーセキュリティ人材の国家資格「情報処理安全確保支援士」の具体的な制度設計について、「中間取りまとめ」を発表した(図)。 支援士について、根拠法はすでに成立している(関連記事:改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設)。「中間取りまとめ」によって、制度の全体像も事実上固まった。制度を所管する経済産業省と、制度の実施主体となる情報処理推進機構(IPA)は今後、細部の規程策定や実施体制の整備を進める。 セスペ試験は廃止 「中間取りまとめ」によれば、「情報処理安全確保支援士試験」は、現行の情報処理技術者試験の区分である「情報セキュリティスペシャリスト試験(SC)」を引き継ぐ形で実施する。試験の内容は、現行のSCのものをベースとする。2017年春以降、
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
2. アジェンダ • 例えば、PHPを避ける • htmlspecialchars 文字エンコーディングチェックの改善 • register_globalsが非推奨に • マジッククォートが非推奨に • 暗号学的に安全な擬似乱数生成器のサポート • セッションID生成の安全性強化 • ヌルバイト攻撃の防御機能の追加 • PDOのDB接続時の文字エンコーディング指定が可能に • header関数のバグ修正 • 安全なパスワード保存が簡単にできるようになった Copyright © 2016 Hiroshi Tokumaru 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計
VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ
2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯を記しておきます。 きっかけ アカウント削除ページの作り アカウント削除ページの問題点 VALUE-DOMAIN への報告 CSRF 攻撃によるアカウント乗っ取りの問題 IPA への届出 余談:IPA への届出の仕方について IPA へ届出した後の状況 VALUE-DOMAIN ユーザの方へ きっかけ 数年前に VALUE-DOMAIN を利用していましたが最近は使っていないのでアカウントを削除しようとしたところ、アカウント削除操作を行うページの作りが「不自然である」ことに気付きました。更に調べたところ CSRF 攻撃によってアカウント乗っ取りが可能な状況であることが分かりました。 アカウント乗っ取りが可能な CSRF 脆弱性は2015年12月22日にIPAに報告し、2
パスワードの定期的変更がセキュリティ対策として危険であること | まるおかディジタル株式会社
【これは約 16 分の記事です】 (2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます) 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理 :警視庁(リング切れ) この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー[日本版] ht
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
MJ縮退マップVer.0.1(検証版)の公開 | 文字情報基盤整備事業
2014年4月に策定された「電子行政分野におけるオープンな利用環境整備に向けたアクションプラン」では、「文字情報基盤の文字(約6万文字)を、市販コンピュータで特別な設定無しで活用できるJIS範囲の文字への変換を行う際に参照する縮退マップの提供を実施する」とのプランが示されました。これを受けて、IPAではMJ文字情報一覧表の文字集合とJIS範囲の文字との関連を調査し、MJ縮退マップとして公開いたしました。本縮退マップに関するプレスリリースは、こちらをご覧ください。 なお、今回公開したMJ縮退マップVer.0.1(検証版)について、本日より意見募集を行い、得られた意見を踏まえた改良を行い、2015年夏ごろに正式版となるMJ縮退マップVer.1.0を公開する予定です。縮退候補の追加やバグ等のなどのご意見もお待ちしております。 MJ縮退マップとは MJ文字情報一覧表で整備されている戸籍統一文字と住
パスワード-もっと強くキミを守りたい- : IPA情報処理推進機構
出展期間・場所 MAP (1) 2015年4月3日(金)~ 4月9日(木)【終了しました】 JR原宿駅 線路側ボード(ホームからご覧いただけます) (2) 2015年4月10日(金)~ 現在 JR原宿駅 道路側ボード(駅を降りて竹下口に面した道路よりご覧いただけます) 共催:独立行政法人情報処理推進機構(IPA)/公益財団法人 日本交通文化協会 後援:サイバーセキュリティ戦略本部/経済産業省/国立研究開発法人情報通信研究機構(NICT) 陽だまり家族とパスワード ~自分を守る3つのポイント~ 仲良し5人家族をある日突然襲ったなりすましや不正送金の被害…。脅威が高まるパスワード漏えいへの対策についてホームドラマを通してわかりやすく解説します。(時間:約10分)
安全なウェブサイトの作り方改訂第7版の変更点と変わらない点
IPAの安全なウェブサイトの作り方 改訂第7版が公開されました。 このエントリでは、安全なウェブサイトの作り方の元々もつ特徴(変わらない点)と、第7版の変更のポイントについて説明します。 なお、私は安全なウェブサイトの作り方の執筆者の一人ではありますが、以下の記述は私個人の意見であり、IPAを代表するものではありませんので、あらかじめご承知おきください。 安全なウェブサイトの作り方の変わらぬ特徴 安全なウェブサイトの作り方の特徴は、「まえがき」の中で述べられています。 本書は、IPAが届出を受けたソフトウェア製品およびウェブアプリケーションの脆弱性関連情報に基づいて、特にウェブサイトやウェブアプリケーションについて、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、その根本的な解決策と、保険的な対策を示しています。 すなわち、以下の2点がポイントと考えます。 脆弱性の選定
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり - THE ZERO/ONE
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。 この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップ
来月(2015年4月)でJava SE 7の公式サポートが終了。IPAが注意喚起
独立行政法人情報処理推進機構(IPA)は、2015年4月30日に公式サポートが終了するJava SE 7の利用者に対し、注意喚起を発しました。 プレス発表 公式サポートが終了する Java Platform, Standard Edition 7(Java SE 7)の利用者に向けた注意喚起:IPA 独立行政法人 情報処理推進機構 Java SE 7は公式サポートが終了すると新たな脆弱性が発見されてもアップデートが提供されなくなり、脆弱性を悪用した攻撃によるウイルス感染などの危険性が高くなるため、利用者には速やかなバージョンアップの実施が求められるとしています。 ただし日本オラクルでは公式サポート期間終了後もJava SEのセキュリティアップデートを提供する「Oracle Java SE Advanced」を有償で提供しています。 2014年にもJava SE 7の脆弱性情報の43%が「危
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 本稿では、当時のPHPの状況を振り返る手段として、この後PHPのセキュリティ機能がどのように変化
OSS Message Pedia
さあ、始めよう オープンソースプロダクトのメッセージを検索できます。あなたが使用しているソフトウェアのエラーメッセージの対処方法が分かります。 調査して欲しいメッセージ 153(ja) [4] Debug: sleeping function called from invalid context at : [1 month ago] 84(ja) [3] request_module: runaway loop modprobe [21 days ago] 5356(ja) [3] : VFS is out of sync with lock manager! [1 month ago] 22473(ja) [3] : dma_timer_expiry: dma status == 0x [3 months ago] 13057(ja) [3] tty_check_change: tty
IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える | スラド セキュリティ
IPA(情報処理推進機構)が、て「ID・パスワードのセキュリティ対策」をテーマとした広告企画コンペを行うようなのだが、「ID・パスワードのセキュリティ対策」の内容が話題になっている(公募要領PDF)。公募の内容は以下の様なもので、セキュリティを啓蒙する広告自体に異論は無いのだが、突っ込まれているのは「ID・パスワードは定期的に変更する」というところだ。 以下の対策事例いずれかを用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画・実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可) ・「ID・パスワードは定期的に変更する」 ・「サービスごとに異なるパスワードを設定する」 ・「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」 Twitter上ではこの「パスワードの定期的な変更」について議論になっていたが(twitterセキュリティネタま
IT人材白書2014を読んだ - Qiita
となり、圧倒的に Web ビジネスがホットな転職先であることが分かります。Web ビジネスでの中途採用は、「IT企業から」と同じ「Webビジネス企業から」の両方。IT企業から流れ込んでいるのかと思ったら、「Webビジネスを渡り歩く」人も増えてきているのでしょう。 逆に、IT企業では、同じIT企業からの転職が圧倒的。(Webビジネス企業からの逆流は少ない)もしくは、ここに数字は出てこないが社内配置転換、が多いと推察されています。 アジャイル開発 p.106 から始まる節では、アジャイル開発における人材像について記述されています。欧米ですでに主流になっている手法だが、日本でも採用が増加傾向にあり、IPAのセミナーでのアンケートでは、2013年にはじめて「すべてのプロジェクトで適用している」もしくは「ほとんどのプロジェクトで適用している」の参加者割合が半数を超えた回があったそうです。 ただし、別
管理できていないウェブサイトは閉鎖の検討を:IPA 独立行政法人 情報処理推進機構
~ IPA に今まで届出のあった “安全でない CMS を利用しているウェブサイト” 241 件のうち、脆弱性解消の目処が立っていないのは 50 件(約 2 割) ~ 対象 古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを管理するシステム)の脆弱性を狙ったウェブ改ざんが横行しています。改ざんによりウェブサイトにウイルスを仕掛けることも可能なため、問題のあるウェブサイトを放置しておくことは、ウイルス拡散に悪用されかねません。 ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図 特に、Web Diary Professional(以後、WDP)と Movable Type という CMS については、以下の注意喚起の通り、攻撃が活発化しています。 大阪府警察 偽サイトへ誘導するページを蔵置するための不正アクセスの手口について http://www.police.
プレス発表 システムメンテナンスに伴うITパスポート試験の中止について:IPA 独立行政法人 情報処理推進機構
2014年4月29日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江一正)では、CBT方式(*1)で実施している国家試験「ITパスポート試験」システムにおいて、セキュリティ上の欠陥(脆弱性)が見つかりました。 つきましては、同システムの緊急システムメンテナンスを行うため、2014年4月29日(火)及び4月30日(水)開催予定の試験は中止とさせていただきたく、両日受験を予定されている方々には大変ご迷惑をお掛けすることとなり謹んでお詫び申し上げます。 なお、両日受験を予定されている方々に対しては、応募時に登録された電子メールアドレスに個別に連絡をいたしました。 また、当該システムのメンテナンスは、4月30日(水)16時の終了を予定しており、5月1日(木)からは、試験を通常どおり再開する予定です。 脚注 (*1)CBT方式(Computer Based Test
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」:IPA 独立行政法人 情報処理推進機構
技術者を襲う3年後の悲劇
