【解説】政府機関等のサイバーセキュリティ対策のための統一基準群|令和5年度版の改定ポイント
サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和5年7月4日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」)」の令和5年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された複数の文書の総称である。 機関等は、統一基準群に準拠しつつ、自組織の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」)を定めなければならず、今回の統一基準群の改定により、令和3年度版の統一基準群に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく
葛飾区で小中学生の個人情報が漏えい データが混入したシステムを別案件で流用
クラウド環境構築などを手掛けるネットワンシステムズ(東京都千代田区)は7月24日、東京都葛飾区立小中学校で個人情報の漏えいがあったとして謝罪した。葛飾区で使っていたID連携システムに個人情報が混入したことと、そのID連携システムを別の教育委員会などに流用したことが原因としている。 漏えいした情報は学校名、生徒管理コード、学籍、氏名、性別、生年月日、国籍、転入編入に関する情報など2万3508件。データは削除済みで、不正利用などの事実は確認されていないとしている。 ネットワンシステムズは葛飾区から学校教育総合システムを受託したベンダー。同システムの中のID連携システムは教育支援業のチエル(品川区)が担当していた。 チエルは2021年1月にID連携システムのメンテナンスを実施。その際に個人情報を含むファイルが修正プログラムの中に混入したが、同社は気付かずに修正プログラムを持ち帰ったという。 修正
Microsoft SQL Server経由で侵入するランサムウェアが増加、要注意
Palo Alto Networksは7月20日(米国時間)、「Threat Group Assessment: Mallox Ransomware」においてMicrosoft Windowsを標的とするMalloxランサムウェアの活動が増加しているとして、注意を呼び掛けた。 Threat Group Assessment: Mallox Ransomware Palo Alto Networks Unit42の研究者は、Mallox(別名TargetCompany、FARGO、Tohnichi)ランサムウェアの活動が前年と比較してほぼ174%増加したことを確認したと報じた。 Malloxは2021年6月に活動が確認されており、攻撃対象への侵入経路として脆弱なMicrosoft SQL Serverを悪用することが知られている。Malloxは2021年の出現以来、同じ攻撃手法が取られており
重要情報を扱うシステムの要求策定ガイド | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(IPA)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。 概要 通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。 本ガイドは管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対
「一時停止を決断しやすいシステム」が被害拡大を防ぐ ガートナーが企業のインシデント対応について提言
「一時停止を決断しやすいシステム」が被害拡大を防ぐ ガートナーが企業のインシデント対応について提言:企業が押さえておくべき3つの重要事項とは ガートナージャパンは、インシデントレスポンスの強化に向けて企業が押さえておくべき3つの重要事項を発表した。脅威が複雑化する中、個別の問題に対処するだけでは問題の本質が見えないため、「全体を俯瞰する視点が重要だ」としている。
生成AIについてCISOが知っておくべきこと | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
ランサムウエア被害から素早く復旧、NISTも推奨する「サイバーレジリエンス」
資料の紹介 ますます高度化・巧妙化するサイバー攻撃。特にランサムウエアの被害は深刻で、バックアップシステムまでランサムウエア攻撃に遭い、完全復旧まで長期間を要する事件も発生している。そこで注目されているのが「サイバーレジリエンス」だ。これは、サイバー攻撃を受けることを前提に抵抗力や回復力を高め、早期に事業を復旧させるというセキュリティ強化のフレームワークのことである。 サイバーレジリエンスは、米国立標準技術研究所(NIST)によって定義されているセキュリティフレームワークだ。ただし、ある調査によると「知らない」「言葉だけ知っている」人が合わせて39%と、認知度は必ずしも高くない。その一方で、同調査ではサイバーレジリエンスを「検討している」とする回答が65%もあり、関心の高さがうかがえる。 本資料では、サイバーレジリエンスとは何かを詳しく解説したうえで、NISTによって示されているサイバーレ
実践!ゼロトラスト・セキュリティ~よくある誤解と正しい理解~ | NTTデータ先端技術株式会社
1. はじめに 2019年に新型コロナウイルス感染症(COVID-19)が流行してから、「ゼロトラスト」という言葉を非常によく耳にするようになりました。ただ、当時は同じゼロトラストという言葉を使っていても、その意味は専門家やベンダーにより異なっており、バズワードとしての側面が強かったように思います。 2020年に米国国立標準技術研究所(NIST)がSP 800-207「ゼロトラスト・アーキテクチャ」を発行した頃から、少しずつゼロトラストという言葉を同じ意味で(共通言語として)使えるようになってきました。 2023年現在、ゼロトラストはバズワードや一過性のトレンドとしてだけでその役割を終えることなく、サイバーセキュリティにおける新たな原則として、着実に浸透してきています。 しかしながら、ゼロトラストは概念であり特定の技術や製品を意味するものではないことから、他の用語と比べると正確な理解が難し
新戸籍システム導入で「職員が操作方法を誤って認識」岡山市中区役所で発行した証明書に電子公印漏れ14件 | TBS NEWS DIG
岡山市は、きょう(24日)、7月11日から18日までの間に、中区役所で発行した戸籍全部事項証明書など14件に必要な電子公印が漏れていたと発表しました。岡山市によりますと、今月18日、証明書の発行審査をしていた…
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
項目を明文化しベンダーと共有 ~ IPAが重要情報システム管理者向け「要求策定ガイド」公開 | ScanNetSecurity