政府情報システムにおける セキュリティ・バイ・デザインガイドライン
政府情報システムにおける セキュリティ・バイ・デザインガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-200 〔キーワード〕 セキュリティ・バイ・デザイン、DevSecOps、システムライフサイクル保 護 〔概要〕 情報システムに対して効率的にセキュリティを確保するため、企画から運 用まで一貫したセキュリティ対策を実施する「セキュリティ・バイ・デザイ ン」の必要性が高まっている。本文書ではシステムライフサイクルにおける セキュリティ対策を俯瞰的に捉えるため、各工程でのセキュリティ・バイ・ デザインの実施内容を記載する。 併せてセキュリティ・バイ・デザインの実用性を確保するための関係者の 役割を定義する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 i 目次 1 はじめに ................
ホワイトハウスが開発者に対しC++やC言語からRustやJavaなどのメモリ安全性に優れたプログラミング言語への移行を勧める
アメリカ・ホワイトハウスの国家サイバー局長室(ONCD)が、開発者に対し、C++やC言語といったプログラミング言語からRustやC#などのメモリ安全性が確保されたプログラミング言語への移行を勧めています。 BACK TO THE BUILDING BLOCKS:A PATH TOWARD SECURE AND MEASURABLE SOFTWARE (PDFファイル)https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf White House urges developers to dump C and C++ | InfoWorld https://www.infoworld.com/article/3713203/white-house-urges-developers
GitHubの悪用が増加、サイバー犯罪者に大人気の理由は
Recorded Futureは1月11日(米国時間)、「Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future」において、GitHubを悪用するサイバー攻撃者が増加していると伝えた。攻撃者によるGitHubの悪用に関する分析結果は「(PDF) Flying Under the Radar: Abusing GitHub for Malicious Infrastructure」で確認できる。 Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future GitHubがサイバー攻撃者に人気の理由 Recorded Futureによると、GitHub悪用の主な目的にはペイロード
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
MacやLinuxで使う「ncurses」に重要な脆弱性、Microsoftが報告
Microsoftは9月14日(米国時間)、「Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog」において、テキストユーザインタフェース(TUI: Text User Interface)をサポートする「ncurses」と呼ばれるライブラリにメモリ破損の脆弱性を発見したと伝えた。この脆弱性は2023年4月8日(米国時間)までに修正されている。 Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog ncursesは1993年にリリースされた歴史のあるソフトウェアで、現在でもLinux、macOS、FreeBSD
“古いCOBOL”が動き続けるのは「単に動くから」である可能性
情報化時代を経て、企業はさまざまな技術を導入してきた。その中でITは飛躍的な進化を遂げ、絶え間ないイノベーションを起こした結果、旧世代の技術は急速に廃れた。一方で企業はいまだに、こうしたレガシー技術に依存している。1959年誕生のプログラミング言語「COBOL」で開発した古いシステムを、メインフレームで稼働させ続けている企業は珍しくない。 なぜ企業はレガシーシステムを使い続けるのか。主な理由は6つある。 理由1.まだ動く 併せて読みたいお薦め記事 連載:レガシーシステムがなくならない6つの理由 第1回:世の中には「2種類のシステム」しかない――レガシーか、レガシー以外か レガシーシステムにどう向き合うか 「定年退職したレガシーエンジニア」を高給で奪い合う企業の本懐 COBOLをやめても消えない“亡霊”「JOBOL」とは何なのか 企業によっては「レガシーシステムが思い通りに動作している」とい
KDDIや富士通・NECなど5社、通信分野へのSBOM導入に向けた実証事業を開始
KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所は2023年8月1日、5G(第5世代移動通信システム)やLTEネットワーク機器などを対象例とした通信分野におけるSBOM(Software Bill of Materials)導入に向けた実証事業を開始すると発表した。SBOMは特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存を一覧化したもので「ソフトウエア部品表」とも呼ばれる。 KDDIが総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受けて取り組むもので、通信分野におけるサイバーセキュリティー強化を目的とする。実証ではSBOMを使ってソフトウエア・サプライチェーンを把握し、脆弱性などへの迅速な対応を実現するとしている。各社の役割分担としては、三菱総合研究所が国内外の動向調査や通信分野へのSBOM導入に向けたガイドライン案を検
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Data Act
デジタルガバメント推進標準ガイドライン実践ガイドブック2023年デジタル庁.pdf
セキュア・プログラミング講座 / IPA
中小企業のための クラウドサービス 安全利用の手引き
ソフトウェア管理に向けた SBOM(Software Bill of Materials)の導入に関する 手引 Ver. 1.0 / 経済産業省 商務情報政策局 サイバーセキュリティ課 令和5年7月28 日
令和3年10月29日 経済産業省 商務情報政策局 サイバーセキュリティ課 資料3 サイバー・フィジカル・セキュリティ確保に向けた ソフトウェア管理手法等検討タスクフォース の検討の方向性
外部委託等における情報セキュリティ上の サプライチェーン・リスク対応のための 仕様書策定手引書 2015 年 5 月 21 日 / 内閣サイバーセキュリティセンター
政府機関等のサイバーセキュリティ対策のための統一基準 (令和5年度版) 令和5年7月4日 / サイバーセキュリティ戦略本部
デジタル社会推進実践ガイドブック DS-110 デジタル・ガバメント推進標準ガイドライン 解説書 (第3編第1章 ITマネジメントの全体像) 2023 年(令和5年)3 月 31 日 / デジタル庁
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に/0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに
富士ソフト不正アクセス最終報「攻撃手法詳細はセキュリティ団体等を通じ共有図る」 | ScanNetSecurity
東大、これまでに解かれたことのない次元の暗号解読を実現
WebPのゼロデイ脆弱性は「Teams」や「Skype」にも ~Microsoftが影響製品を公表【10月10日追記】/すでに修正版が公開中
