政府情報システムにおける セキュリティ・バイ・デザインガイドライン
政府情報システムにおける セキュリティ・バイ・デザインガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-200 〔キーワード〕 セキュリティ・バイ・デザイン、DevSecOps、システムライフサイクル保 護 〔概要〕 情報システムに対して効率的にセキュリティを確保するため、企画から運 用まで一貫したセキュリティ対策を実施する「セキュリティ・バイ・デザイ ン」の必要性が高まっている。本文書ではシステムライフサイクルにおける セキュリティ対策を俯瞰的に捉えるため、各工程でのセキュリティ・バイ・ デザインの実施内容を記載する。 併せてセキュリティ・バイ・デザインの実用性を確保するための関係者の 役割を定義する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 i 目次 1 はじめに ................
ホワイトハウスが開発者に対しC++やC言語からRustやJavaなどのメモリ安全性に優れたプログラミング言語への移行を勧める
アメリカ・ホワイトハウスの国家サイバー局長室(ONCD)が、開発者に対し、C++やC言語といったプログラミング言語からRustやC#などのメモリ安全性が確保されたプログラミング言語への移行を勧めています。 BACK TO THE BUILDING BLOCKS:A PATH TOWARD SECURE AND MEASURABLE SOFTWARE (PDFファイル)https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf White House urges developers to dump C and C++ | InfoWorld https://www.infoworld.com/article/3713203/white-house-urges-developers
GitHubの悪用が増加、サイバー犯罪者に大人気の理由は
Recorded Futureは1月11日(米国時間)、「Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future」において、GitHubを悪用するサイバー攻撃者が増加していると伝えた。攻撃者によるGitHubの悪用に関する分析結果は「(PDF) Flying Under the Radar: Abusing GitHub for Malicious Infrastructure」で確認できる。 Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future GitHubがサイバー攻撃者に人気の理由 Recorded Futureによると、GitHub悪用の主な目的にはペイロード
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
MacやLinuxで使う「ncurses」に重要な脆弱性、Microsoftが報告
Microsoftは9月14日(米国時間)、「Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog」において、テキストユーザインタフェース(TUI: Text User Interface)をサポートする「ncurses」と呼ばれるライブラリにメモリ破損の脆弱性を発見したと伝えた。この脆弱性は2023年4月8日(米国時間)までに修正されている。 Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog ncursesは1993年にリリースされた歴史のあるソフトウェアで、現在でもLinux、macOS、FreeBSD
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www8.cao.go.jp/cstp/ai/ai_senryaku/7kai/13gaidorain.pdf
生成AIサービスの利用に関する注意喚起等 -個人情報保護委員会-
Data Act
デジタルガバメント推進標準ガイドライン実践ガイドブック2023年デジタル庁.pdf
セキュア・プログラミング講座 / IPA
中小企業のための クラウドサービス 安全利用の手引き
ソフトウェア管理に向けた SBOM(Software Bill of Materials)の導入に関する 手引 Ver. 1.0 / 経済産業省 商務情報政策局 サイバーセキュリティ課 令和5年7月28 日
令和3年10月29日 経済産業省 商務情報政策局 サイバーセキュリティ課 資料3 サイバー・フィジカル・セキュリティ確保に向けた ソフトウェア管理手法等検討タスクフォース の検討の方向性
外部委託等における情報セキュリティ上の サプライチェーン・リスク対応のための 仕様書策定手引書 2015 年 5 月 21 日 / 内閣サイバーセキュリティセンター
政府機関等のサイバーセキュリティ対策のための統一基準 (令和5年度版) 令和5年7月4日 / サイバーセキュリティ戦略本部
デジタル社会推進実践ガイドブック DS-110 デジタル・ガバメント推進標準ガイドライン 解説書 (第3編第1章 ITマネジメントの全体像) 2023 年(令和5年)3 月 31 日 / デジタル庁
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に/0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに
富士ソフト不正アクセス最終報「攻撃手法詳細はセキュリティ団体等を通じ共有図る」 | ScanNetSecurity
東大、これまでに解かれたことのない次元の暗号解読を実現
WebPのゼロデイ脆弱性は「Teams」や「Skype」にも ~Microsoftが影響製品を公表【10月10日追記】/すでに修正版が公開中
