ここで目指すのは，電子ホワイトボードを，従来から先生や児童・生徒が慣れ親しんでいる「黒板」を利用した授業に導入し，「黒板」とコンピュータによる情報化の利点を融合するため，電子ホワイトボードの一斉授業への導入と活用を目標においた実用的な教育用アプリケーションを作成することである．これは，電子ホワイトボードの利点を生かし，「黒板」にマルチメディア教材を表示したり，インタラクティブに操作したりすることを可能にし，かつ，慣れ親しんだ「黒板」の利点を決して損なうことなく，一斉授業に導入可能なアプリケーションである． 具体的には，今まで，1つの黒板とその周辺にあっても，別々のメディアとして扱われていた，OHP，書画カメラ，ビデオカメラやコンピュータ上のデータ (画像・Webページなど) と，黒板を同一アプリケーション上で扱って授業を行なうことができ，かつ，利用者にかかる操作の負担を最小限としたアプリケ

■1-B　AVRマイコンで作るBadUSB自作入門 講師：竹迫　良範（サイボウズ・ラボ株式会社） 概要：USBの5V電圧で動作するAVRマイコンを使用して、PS/2キーボードから発生する電気信号をエミュレートするプログラムを作成し、合計300円以下の材料だけで実現可能なBadUSBを自作します。USB入力装置のセキュリティ対策を考察します。受講者の希望に応じてRaspberry Pi 2(ARMプロセッサ)を使う可能性もあります。 キーワード：AVR、USBプロトコル、PS/2シリアル通信 ■2・3-B　ツール自作で知るパケットとネットワークの仕組み 講師：坂井　弘亮（富士通株式会社） 概要： ネットワーク上を流れるパケットを直接読み書きして動作するツールを自作します。作成するのは簡易アナライザ、簡易ブリッジ、簡易ルーターなどです。ツールの自作を通して、EthernetやIPルーティングの

2015年2月21日（土）、22日（日）にて、第21回（2014年度）未踏IT人材育成発掘・育成事業　採択プロジェクト14件の成果報告会（2014MITOU Final Reports）を行いますのでご案内申し上げます。多くの皆様のご参加をお待ちしております。 ■「ニコニコ生放送」でのLIVE配信 「ニコニコ生放送」でのLIVE配信を行います。当日、会場に来られない方は、是非、LIVE配信でご覧ください。 ■ニコニコ生放送 IPAチャンネル http://ch.nicovideo.jp/ipa 開催日時および会場 （1日目）2015年2月21日（土） 時間：10:20-16:45　【9:45 受付開始】 会場：富士ソフト アキバプラザ 5階 アキバホール http://www.fsi.co.jp/akibaplaza/cont/info/access.html （2日目）2015年2月22

開催日時：2012年7月7日（土）13時～19時 開催場所：富士ソフトアキバプラザ6階セミナールーム2 所在地：東京都千代田区神田練塀町3 富士ソフト秋葉原ビル 交通案内：http://www.fsi.co.jp/akibaplaza/cont/info/access.html 入場無料(事前申込み制） 13:00～19:00：Egisonワークショップ（定員：20名） Egisonは強力なパターンマッチをユーザーが記述できる関数型言語です。 本ワークショップでは、実際にEgisonでプログラミングをしながら、Egisonについて深く学んでいきます。 対象: 関数型言語を知っている方 注意事項 ノートパソコンを持参ください。 事前にEgisonをインストールしておいてください。（できない場合は、30分くらい前に来場していただければお手伝いいたします） Egisonのインストールについてはこ

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開しました。 近年、Android端末の利用者の増加に伴い、多くのAndroidアプリが提供されるようになりました。そのような状況の中、2011年後半からIPAに届け出られるAndroidアプリの脆弱性関連情報も増加しており、2012年5月末までの累計で42件の届出がありました。届出を分析した結果、その7割超が「アクセス制限の不備」の脆弱性であることがわかりました。 「アクセス制限の不備」の脆弱性は、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題です。 An

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、現状の自動車の情報セキュリティに関する事例や脅威について、これまでのIPAによる分析結果をまとめた技術レポート（IPAテクニカルウォッチ第8回）を公開しました。 自動車には様々なソフトウェアが導入されており、自動車一台に搭載される車載コンピュータ（ECU：Electronic Control Unit）は100個以上、ソフトウェアの量は約1,000万行と言われています。また近年、スマートフォンが急速に普及してきていることにより、カーナビやテレマティクス端末(*1)といった車載機器とインターネットを、スマートフォンを介して連携したサービスが検討・実用化されています。さらに、車載システムや車載ネットワーク等においても、一般的なPCと同様の汎用的なソフトウェアやプロトコル(*2)（Ethernet、TCP/IP等）が利用されるようなっ

本報告書は、情報セキュリティ対策を実行する「個人のふるまい」に着目し、対策を実施するための要因を探求するために実施した「リスク認知と実行に関する調査」の事業報告をまとめたものである。情報セキュリティ対策は、ふたつのアプローチ、すなわち技術的アプローチとセキュリティマネジメントなどの組織的アプローチから推進されてきたが、一方で個人による対策実行がそれほど進んでいないと思われる状況もある。そこで、社会心理学分野の知見を援用し、情報セキュリティ対策を迫られた個人が、対策実行へと態度を変えるための要因を、アンケート調査と実験室実験によって明らかにする試みを実施した。調査、実験の結果について、統計分析を実施し、科学的に根拠ある事実を探究している。報告書は、概要文書と詳細な結果を含む報告書からなる。 本事業は、以下の有識者各位との議論のうえ進めた。

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、ソフトウェア製品における脆弱（ぜいじゃく）性の減少を目指す「脆弱性検出の普及活動」を、2011年8月から開始します。 近年ソフトウェア製品において開発者が認知していない脆弱性（未知の脆弱性）を悪用する攻撃や事件が後を絶ちません。これらの攻撃や事件では、世界中で広く使用されているソフトウェア製品だけでなく、主に日本国内のみで広く使用されているソフトウェア（*1）や、産業用制御システム（*2）なども標的とされています。 IPAとJPCERT/CC（*3）は2004年7月から、経済産業省の告示の下で「情報セキュリティ早期警戒パートナーシップ（*4）」を運営しており、ソフトウェア製品の脆弱性関連情報の受付と、製品開発者に対するその修正の依頼を実施しています。このパートナーシップ運営開始から7年が経過した2011年6月末時点で、累計1,2

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、スマートフォンのうち「Android（アンドロイド） OS」を搭載したスマートフォン（アンドロイド端末）に対して、IPA独自でセキュリティ上の弱点（脆弱性）への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート（IPAテクニカルウォッチ 第3回）として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google（グーグル）社が提供するOS（基本ソフト）「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー

IPA　独立行政法人 情報処理推進機構 セキュリティセンターによるセキュア・プログラミング講座：C / C++言語編

SQLを用いてデータベースを扱うWebアプリケーションは、SQL注入を許さないようにする必要がある。SQL注入攻撃対策のうち、まずは実装における対策について述べる。 文脈に応じた特殊記号対策はコマンド注入攻撃対策と同様である。加えて、プリペアードステートメントの使用や言語の選択による対策を説明する。 「SQL注入（SQL injection）」は、パラメータを埋め込んでSQL文を組み立てる場合、そのパラメータに特殊記号（記号）を含ませたSQLコマンドを与えることによって、データベースの不正操作が可能となってしまう問題である。 参考： CWE-89: Improper Neutralization of Special Elements used in an SQL Command（日本語訳） SQL注入攻撃のメカニズム ここに、次のようなSQL文を使用したログイン判定プログラムがあるとする

IT セキュリティインシデントは、[9] によれば、コンピュータ、もしくはコンピュータネットワークのセキュリティに関連する、いかなる現実の、または逆に疑惑のイベントとして定義されます。IT 分野における典型的なセキュリティインシデントには、以下のものがあります。：コンピュータ侵入、DoS（サービス妨害）攻撃、情報窃盗もしくはデータの不正操作等。 2.2.8. インパクト（ Impact ） English インパクトは、ユーザコミュニティの文脈で表現される攻撃の結果を記述します。例えば、金銭的文脈におけるコスト、または他の破壊です。 2.2.9. 標的（ Target ） English コンピュータ、もしくはネットワークの、論理的主体 (アカウント、プロセス、データ）、または物理的主体（コンポーネント、コンピュータ、ネットワーク、インターネット）です。 2.2.10. 被害者（ Vict

第10-34-195号 掲載日：2010年 9月 3日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長：藤江 一正)は、2010年8月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) マイクロソフト社は、2010年6月と7月に1件ずつ、Windows の脆弱性に関する情報と攻撃からの回避策を緊急に公開しました。これは、それらの脆弱性を悪用して感染を拡げるウイルスの攻撃、いわゆる「ゼロデイ攻撃」が確認され、危険な状態が続いていたためです。IPA においても、これら2件の脆弱性に関する緊急対策情報※を発表しています。 特に、7月に公開された「Windows シェルの脆弱性により、リモートで処理が実行される（2286198）」脆弱性（MS10-046）を悪用するウイルスは、

独フラウンホーファーSIT研究所 Fraunhofer Institute for Secure Information Technology (1) 欧州主要国政府における情報セキュリティ製品調達と国際標準及びWTO-TBT協定との関連に関する調査 Survey on International Standards Used in European Governments on Procuring IT Security Products and Relation with WTO-TBT Agreements OECDの暗号政策ガイドラインでは、「Standards for Cryptographic Methods（暗号手法に関する諸標準）」という原則（第4原則）を勧告している。この原則は、WTO-TBT協定とも整合しているが、その一方で、政府機関の扱う情報は、国家セキュリティに関わ

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日（木）からIPAのウェブサイトで公開しました。 URL：http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ

最終更新日 2010年3月4日 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構（IPA）は、最近急速に進展しつつあるクラウド・コンピューティング（以下、「クラウド」という。）が招来する社会における課題などを検討するために「クラウド・コンピューティング社会の基盤に関する研究会（座長：加藤和彦 筑波大学大学院システム情報工学研究科教授）を発足させ、１年間にわたって検討を重ねてきました。 この度、同研究会における議論、関連する調査結果を踏まえて「クラウド・コンピューティング社会の基盤に関する研究会報告書（案）｣がまとまりました。つきましては、広く、各方面の皆様からの意見を頂きたく、意見（パブリック・コメント）の募集を行います。意見のある方は、以下の｢意見募集要領｣に沿ってご提出ください。 １．背景と目的 近年、SaaS、PaaS、IaaSに代表されるクラウドの利用が拡大しており

最新のコンピュータウイルス関連の被害実態及び対策の実施状況を把握し、コンピュータウイルス対策を推進するために、1. 「企業における情報セキュリティ事象被害額調査」及び 2.「国内におけるコンピュータウイルス被害状況調査」を実施しました。 ウイルスや不正アクセス、情報漏えいといった情報セキュリティ事象が発生した場合、企業に与えるインパクトのひとつとして、どの程度の被害額が発生するのかを調査しました。本調査では、被害額算出モデルを用い、ウイルスによる感染被害が発生した際の、復旧費用・逸失売上を推計し算出しました。また、不正アクセスにより Web サービスを停止せざるを得なくなった事象や Winny を介した情報漏えい事象については、事象の発生した企業に対してヒアリング等を実施し（計10社）、その状況を取り纏めて推計しました。 1989年度から毎年行っている調査の17回目になり、全国の5,500

ネットワーク WG Request for Comments： 4086 BCP： 106 廃止： 1750 分類： ベストカレントプラクティス D. Eastlake 3世 Motorola Laboratories J. Schiller MIT S. Crocker 2005年 6月 English セキュリティのための乱雑性についての要件 (Randomness Requirements for Security) このメモの位置づけ この文書は、インターネットの「現時点における最善の実践（ベストカレントプラクティス）」を示すものであり、改善するために議論と示唆を求めるものです。このメモの配布に制限はありません。 著作権表記 Copyright (C) The Internet Society (2005). 要旨 セキュリティシステムは、強い暗号アルゴリズムに基づくようになってお