アイデンティティ管理技術解説:IPA 独立行政法人 情報処理推進機構
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
twitterセキュリティネタまとめ 12月13日のtwitterセキュリティクラスタ
IPA の『新しいタイプの攻撃』に関するレポートの評判があまりよろしくないようです。 moton :IPAの新しい攻撃のアレ、いまごろ読んでるが、disりどころ満載すぎw ucq :@moton ですよねーw moton :@ucq どれからdisればいいかまず整理しないといけないレベルw kitagawa_takuji :@moton @ucq 中身を大して読まずにアレを推奨する人が多いのでホント困りますね。 tomoki0sanaki :これは「IPA の『新しいタイプの攻撃』に関するレポート」が「アレ」という通称で通じてしまうようになるのか・・・・:-p RT @moton IPAの新しい攻撃のアレ、いまごろ読んでるが、disりどころ満載すぎw moton :@kitagawa_takuji いいパーツはあるんですけどね。。。 よくパスワードなしのphpMyAdminはネットで見かけ
プレス発表 中小企業におけるクラウドサービスの安全利用に向けた文書の公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、中小企業によるクラウドサービス(*1)の安全利用と、そのために必要なクラウド事業者からの情報開示に参考となる文書を作成し、2011年4月25日(月)から、IPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/cloud/tebiki_guide.html サービスの多様化と普及が急速に進んでいるクラウドコンピューティング(*2)は、コンピューティング資源の大規模な集約と複数利用者による同時共同利用を通じて、資源の効率利用を可能とすると同時に、利用者にとっては設備の所有や開発・運用負担からの解放をもたらします。またグリーンITにつながるという面でも注目されています。 この「設備の所有や開発・運用負担からの解放」は、特に中小企業等にとって、ITの積極的活用に道を開くものであり、これ
IPA、クラウドに関する中小企業向け「安全利用の手引き」を公開 | 経営 | マイコミジャーナル
独立行政法人 情報処理推進機構(IPA)は4月25日、クラウドサービスの利用に関する安全利用を目的とした中小企業向けの文書「クラウドサービス安全利用の手引き」「情報開示の参照ガイド」の無償公開を開始した。 IPAが公表した「安全利用の手引き」と「参照ガイド」の対応関係、想定利用イメージ 「中小企業のためのクラウドサービス安全利用の手引き」は、クラウドサービスそのものの解説やメリット、注意点を網羅したチェックシートなどが盛り込まれており、中小企業がクラウドサービスを自社導入する際の判断材料を提供するもの。 一方、「情報開示の参照ガイド」はクラウドサービスの提供事業者を対象とした文書とされており、「中小企業によるクラウドサービスの安全利用の視点から期待される姿」が明示されている。 同機構では、クラウドのメリットである「設備の所有や開発・運用からの解放」は、とりわけ中小企業にとってITの積極活用
IPA、アジャイル開発向け契約書の草案を公開
情報処理推進機構(IPA)のソフトウェア・エンジニアリング・センター(SEC)は2011年4月7日、アジャイル型開発プロジェクトをITベンダーに発注する際の契約書のひな型を公開した。「アジャイル開発に注目が集まるものの採用が進まない障壁の一つが、適した契約書のひな型がなかったこと。日本の大手ベンダーでも策定していなかった」(IPA/SECの山下博之 エンタプライズ系プロジェクトプロジェクトリーダー)。アジャイル開発は1週間から1カ月といった期間での開発(イテレーション)を繰り返しシステムを完成させる手法。 契約書は2種類ある。一つは「基本/個別契約モデル」と呼ぶもの。プロジェクト全体で開発を委託する基本契約を締結した後、イテレーションごとに個別の契約を結ぶモデルである。基本契約は法的拘束力はなく、個別契約に共通する事項を定める。個別契約はイテレーションで開発する機能が定まっていない場合は準
IPA/SEC、国内のアジャイル開発の調査結果を公表
情報処理推進機構(IPA)のソフトウェア・エンジニアリング・センター(SEC)は2010年3月30日、アジャイル開発に適したシステムの分野や規模などを整理した「非ウォーターフォール型開発に関する調査報告書」を公開した。SECがアジャイル開発に関する調査報告をまとめるのは初めて。 アジャイル開発は要求仕様の変化を柔軟に取り込みやすい開発手法だ。設計からテストまでを短い期間(イテレーション)で実施して、実際に動作確認できるシステムを構築する。このイテレーションを繰り返すことでシステム全体を開発する。 調査報告書は153ページに渡り、これまでにない角度で国内のアジャイル開発を分析している。例えば、アジャイル開発を適用しやすいかどうかを評価する軸として、「不確実性」「複雑性」「高速適応性」の三つを提示した。併せてアジャイル開発手法が提示する原則や進め方を洗い出し、ISOが規定する六つの品質特性やP
IPAが「Ruby研修用コンテンツ」を無償公開、活用法やプログラミング技術を遠隔から実習
情報処理推進機構(IPA)は2011年1月31日、プログラミング言語RubyおよびWebアプリケーションフレームワーク「Ruby on Rails」の利用方法やプログラミング技法、最新動向などを遠隔からグループ学習するための教材と実習環境「Ruby研修用コンテンツ」を無償公開した。 実習環境は、IPAが提供しているインターネットを通じたオープンソースソフトウエア(OSS)実証評価環境「OSSオープン・ラボ」のサービスメニューの一つとして提供される。利用するには、OSSオープン・ラボの利用予約が必要となる。研修実施担当者が、同ラボのWebページ下部に記載されたメールアドレスあてに、予定人数や研修会場の場所と回線種別、実施予定日などを記入して申し込むことで利用できる。研修当日は、受講者ごとにラボ側で仮想OSが用意され、受講者はWebブラウザでアクセスしてコンテンツを利用する(図)。 Rubyを
IPAのコンテンツ - 極楽せきゅあブログ
セミナーでは言ってるしスライドにも書いてることだけど、IPAのネタもけっこうたまってきてるんだよなぁ。 知っていますか?脆弱性(アニメで見るウェブサイトの脅威と仕組み) 知っていますか?脆弱性 (ぜいじゃくせい):IPA 独立行政法人 情報処理推進機構 安全なウェブサイトの作り方(第4版) 安全なウェブサイトの作り方(第4版) 安全なSQLの呼び出し方 安全なSQLの呼び出し方 新版「セキュア・プログラミング講座」 IPA セキュア・プログラミング講座 TCP/IPに係る既知の脆弱性検証ツール V4.0 TCP/IPに係る既知の脆弱性検証ツール:IPA 独立行政法人 情報処理推進機構 ウェブサイトの脆弱性検出ツール iLogScanner ウェブサイトの攻撃兆候検出ツール iLogScanner:IPA 独立行政法人 情報処理推進機構 ウェブサイト運営者のための脆弱性対応ガイド ウェブサイ
情報処理推進機構:ソフトウェアエンジニアリング:非ウォーターフォール型開発に関する調査結果公開
SECは、短サイクルで設計からシステム稼動までを"機敏"に繰り返し、ニーズへ迅速へ対応するといわれる非ウォーターフォール型開発について、事例を含む適用分野や規模などの調査を行いました。あわせて、有識者に参画していただいて研究会を実施し、現状・動向の把握と課題の整理を行いました。その資料を公開します。 ・非ウォーターフォール型開発に関する調査 調査報告書 ・非ウォーターフォール型開発に関する調査 研究会報告書 ・非ウォーターフォール型開発に関する調査 エグゼクティブサマリー
IPAが大学などでOSS教育を実施、報告書とRubyなどの教科書を無償公開
独立行政法人 情報処理推進機構(IPA)は2010年5月31日、「OSSモデルカリキュラム導入実証事業」の報告書と、作成した教科書やスライド、テストなどの教材を公開した。実証事業ではオープンソースソフトウエア(OSS)に基づくソフトウエア開発やコンピュータの基礎知識、RubyやMySQLでのプログラミングなどについて大学や専門学校で実際に実習や講義を行った。 「OSSモデルカリキュラム導入実証事業」はIPAオープンソフトウェア・センター 人材育成ワーキンググループが作成したOSS教育のためのシラバスと学習ガイダンスである「OSSモデルカリキュラム」に基づき教材を作成し、実際に講義などを行う事業。 津田塾大学で「オープンソフトウェア入門」および「ソフトウェア開発法」、リナックスアカデミーで「MySQL入門」や「Rubyプログラミング入門」など、島根大学、宮崎大学、東京農工大学で「開発フレーム
IPAが書いたアジャイル開発の研究会報告書 - プログラマの思索
IPAが200頁にものぼるアジャイル開発の研究報告を公開していた。 IPAが公開している研究報告は、RubyやRailsやアジャイル開発などの昨今の話題を日本のIT業界のエスタブリッシュメントがどんな観点で見ているのか、を知る上で非常に参考になる。 運営委員に平鍋さんや羽生田さんがいて議論に加わっているのが興味深い。 気になる文言をメモ。 【元ネタ】 情報処理推進機構:ソフトウェアエンジニアリング 調査報告書[1.68MB] 研究会報告書[924KB] 成果概要資料[702KB] ・共通フレームについても、改めて見直してみたが、ウォーターフォールを標榜していると誤解されても仕方が無いなと感じた。ウォーターフォールを定義できる辞書を整備して、最後に、段階的や進化的プロセスも説明できるよという書き方になっている。要求定義が不十分であることが、リスクとして扱われている。アジャイルプロセスでは、こ
IT技術者の4割は月200時間以上労働――IPAが調査 − @IT
情報処理推進機構(IPA)は5月22日、エンタープライズ系ソフトウェア技術者個人の実態調査の結果を発表した。IPAがエンタープライズ分野でこのような調査を行うのは初めて。 同調査は、ソフトウェア技術者の職場実態を調査することで、ソフトウェア産業が抱える課題を構造的に捕捉することを目的としているという。IPA ソフトウェア・エンジニアリング・センター(SEC)のダイレクトメール送信先と、Web調査会社の一般モニターを対象とした。有効回答数は2168。 IPA SEC エンタプライズ系プロジェクト プロジェクトサブリーダ 高橋茂氏は、調査結果からエンタープライズ系ソフトウェア技術者の実態は「産業界全体では、世間でいわれているほど悪い状況ではない」と説明した。仕事に対するモチベーションについて過半数が肯定的な回答をしており、「仕事のやりがい、やる気、仕事の達成感が、正のスパイラルを描いている」(
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
TCP/IPに係る既知の脆弱性に関する調査報告書:IPA 独立行政法人 情報処理推進機構
コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれています。 近年では、情報家電や携帯端末などの電子機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。 TCP/IPを実装したソフトウェアは、これまで多くの脆弱性が発見、公表され、機器ごとに対策が実装されてきました。しかし、こうした脆弱性の詳細な情報をとりまとめた資料がなかったことから、新たに開発されるソフトウェアで既に公表されている脆弱性の対策が実装されておらず、脆弱性が「再発」するケースが見受けられます。 このような課題に対応するため、IPAでは、TCP/IPに関する既知の脆弱性を取り上げ、TCP/IP実装時の情報セキュリティ対策の向上を目指して調査を実施しました。 本報告書は、一般に公表されているTCP/IPに関する既知の脆弱性情報を収集分析し、詳細な解説書とし
未踏の次にすべきこと - 雑種路線でいこう
なんか一昨日のエントリが/.edされてアクセスが急増している。書き込みをみていると未踏批判を噴出させてしまったようで、なかのひとによるとIPAの方も読んでいらっしゃるようだし、ミスリードのないように補足しておきたい。未踏は大事な問題に取り組み、一定の成果を上げた。問題は引き継いだ政策担当者が未踏の結果を通じて浮かび上がった業界の矛盾から目を背け、次の仕事に取り組まなかったことだ。 mkusunok氏のブログに天才機関説と未踏の次というエントリがある。 Matzにっきを受けての書き込みなのだが、それは置いといて、 「日本のソフトウェア産業が飛躍できないのは米国とは違い、天才を大切にしないからだ」というよくある論調を興味深くdisっている。 まず断わっておくと、僕も友達のプロジェクトが未踏に採択されたのを手伝って謝金を受け取ったことがある。そのプロジェクトは晴れてスーパークリエイター認定を受け
IPAなど、情報セキュリティ早期警戒パートナーシップガイドラインを改訂
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構(IPA)は6月11日、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂、2007年版をウェブサイトで公開した(PDF形式)。 情報セキュリティ早期警戒パートナーシップは、「ソフトウエア等脆弱性関連情報取扱基準」の告示を踏まえ、国内におけるソフトウェアなどの脆弱性関連情報を適切に流通させるために作られた枠組み。ウイルスや不正アクセスなどによる被害発生を抑制するために策定、運用されている。 これにより、官民における情報セキュリティ対策に関する情報共有・連絡体制の強化が推進されてきたが、その一方で攻撃の兆候や被害の影響が見えにくく、利用者や管理者が気付きにくい脅威がさらに増加する傾向が強まったとの指
ネットワークセキュリティ関連用語集:IPA 独立行政法人 情報処理推進機構
A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z あ | か | さ | た | な | は | ま | や | ら | わ -A- access control (アクセス制御) account(アカウント) Administrator anomaly detection(アノマリ検出法) anonymous FTP(匿名 FTP) APOP application gateway(アプリケーションゲートウェイ) attack(攻撃), attacker(攻撃者) auditing tool(監査ツール) authentication(認証/本人認証) author
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、「5分でできる!情報セキュリティポイント学習」ツールを公開 
知っていますか?脆弱性 (ぜいじゃくせい) - 情報処理推進機構(IPA)
A. WEBプログラマコース