情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
「初級シスアド」消える――情報処理技術者試験が大改革へ ― @IT
2007/09/07 情報処理推進機構(IPA)は9月7日、情報処理技術者試験を改革する中間報告を発表した。同日からパブリックコメントを受け付けて、最終報告を11月にまとめる予定。人気の「初級システムアドミニストレータ試験」が別試験に吸収されるなど、大変革といえそうだ。 改革の柱は2つだ。現行試験は情報システムの開発側と利用側にカテゴリが分かれているが、この区別を取り払い、開発側と利用側で試験を共通化する。IPAの情報処理技術者試験センター長の澁谷隆氏は「ベンダ側と利用側が同じレベルになってきちんと会話できないと、有効なシステムは作れない」と改革の狙いを説明する。もう1つはこれまでになかったレベル分けの導入だ。ITスキル標準や組み込みスキル標準、情報システムユーザースキル標準との整合化を図り、これらのフレームワークで導入されているレベル分けを情報処理技術者試験にも適用した。 新試験では、新
落としどころはどこに?見えてきた「情報処理技術者試験」改革のゆくえ
ITスキル標準(ITSS)のレベル1に対応した「新エントリ試験」を創設、レベル2には「基本情報技術者試験」を充てる――。 11月27日付の記事でお伝えした、ITSSと情報処理技術者試験制度の関連付けを目指す議論の最新状況を要約すると、こうなる。 この考え方が示されたのは、12月8日に開催された、経済産業省による人材育成ワーキンググループ(WG)の第3回会合。経産省がこれまで慎重だった情報処理技術者試験制度の改革について、大幅に踏み込んだ「たたき台」を提案したのだ。ただし、このたたき台のまま、すんなり決まるかどうかは、まだ議論の余地が残っている。 同省はたたき台の中で、「新ITスキル標準(新ITSS)」という表現を使い、まずレベル1をエントリ、レベル2を基礎共通、レベル3を高度共通、レベル4を高度分野別、というように再区分する案を提示した。具体的には レベル1:初級IT技術者・・・教育機関を
情報処理技術者試験は,存在価値がなくなったのか?
この記事が掲載される12月11日は,ちょうど情報処理技術者試験(平成18年度秋期試験)の合格発表日だ。合否の知らせに,一喜一憂している読者も多いことだろう。 ところで,この情報処理技術者試験が,今,大きな転換期を迎えている。受験応募者数が激減しているのだ。2002年には80万人を超えていた応募者数も,今期の試験シーズンが完了した2006年は60万人と,ピーク時の4分の3以下にまで落ち込んでしまった。 情報処理技術者試験を取り仕切る情報処理推進機構(IPA)は,応募者数の激減について「年1回または2回と,試験実施機会の少なさが原因ではないのか」,「若い世代のIT業界離れが起こっているからではないのか」などと分析している。しかし,IPAが考えるような環境的な要因よりはむしろ,「受験意欲の低下」という個人の心情的な要因の方が大きく影響しているのではないだろうか。 「国家試験は,一生モノの価値を持
情報処理技術者試験の改革論議が本格化――業務独占の是非や新試験の創設,更新制など:ITpro
単なる試験制度の見直しではない。IT技術者の社会的地位,ひいてはIT産業の競争力に関わる話だ--。こんな問題意識のもと,情報処理技術者試験の抜本的改革を巡る議論が本格化しつつある。舞台は,経済産業省が10月末に設置した人材育成ワーキンググループ(WG)。情報サービス産業やユーザー企業,大学から有識者を集め,(1)技術認定手段にとどまっている同試験を資格試験にする,(2)情報処理技術者試験とITスキル標準(ITSS)を整合させ,特にITSSのレベル1から3を認定できるようにする,(3)新たにIT産業に就職する人を対象に,基本情報技術者試験の下位に当たるエントリ試験を新設する,(4)試験の更新制度またはそれに類する制度を導入する,などを議論する。 すでに2度の会議が開かれており,2007年3月末をメドに結論を出す方針。仮に(1)が実現すれば,情報サービス企業はもとよりIT技術者個人に大きな影響
情報処理技術者試験が資格試験になるかも?、更新制になるかも? | スラド Linux
ITproの記事になっているが、経済産業省に設置の産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会とやらの人材育成ワーキンググループの第一回会合において情報処理技術者試験の抜本的改革を巡る議論が本格化したらしい。仰々しいWGの紹介はこれで置いといて、記事によればここで情報処理技術者試験においては、(1)同試験の資格試験化、(2)ITスキル標準(ITSS)と整合性を取る、(3)基本情報技術者試験の下位に当たるエントリ試験新設、(4)試験の更新制度導入、という4項目も議論の対象に含まれていると報道している。 この中で影響が大きいのは、1と4であるが、資格試験となれば資格を取得しないと該当する業務に携われなくなるというもの。更新制はそのまんまだが一度合格すれば更新の必要がない現状の問題点を解消するものである。2007年3月末までにWGとしての結論を出すとのことだが、ここの結論次第で
IPAが「安全なWebサイトの作り方」改訂版を公開,CSRFの解説などを追加
情報処理推進機構(IPA)は11月1日,安全なWebサイトを構築・運用するためのポイントをまとめたドキュメント「安全なウェブサイトの作り方」の改訂版(改訂第2版)を公開した。改訂版ではクロスサイト・リクエスト・フォージェリ(CSRF)の解説などを追加した。 同ドキュメントの第1版は2006年1月末に公開された。ドキュメントでは,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。 改訂版では,第1版で取り上げた「SQLインジェクション」「OSコマンド・インジェクション」「ディレクトリ・トラバーサル」「セッション管理の不備」「クロスサイト・スクリプティング」「メールの第三者中継」に加えて,「CSRF(Cross-Site Request Forgeries)」と「HTTPヘッダー
「パソコンでぬいぐるみ作り」「紙のキーボード」――IPAが12人の「スーパークリエータ」を認定
「紙のキーボード」。上半分が、カタカナや英数字などが並ぶ「キーボード領域」。下半分が、漢字などを書くための「手書き領域」だ 情報処理推進機構(IPA)は2006年10月24日、2005年度下期「未踏ソフトウェア創造事業」における「天才プログラマー/スーパークリエータ」の認定式を行った。未踏ソフトウェア創造事業とは、ソフトウエア関連分野で優れた才能を持つ人材を発掘することを目的に、IPAが2000年から取り組んでいる事業。天才プログラマー/スーパークリエータはこの事業を通して優れた成果を上げた人を認定するもので、2005年度下期に実施したプロジェクトでは12人が選ばれた(認定者の一覧)。認定式と同時にデモも実施。パソコンでぬいぐるみの型紙を自由に作れるソフトウエアや、キーボードの代わりに紙とペンを使うシステムなど、独創的な作品を紹介した。 未踏ソフトウェア創造事業は、公募によって採択された開
“あのとき見ていたあのサイト”を検索できる「俺デスク」
独立行政法人情報処理推進機構(IPA)が主催する「IPAX 2006」の「未踏ソフトウェア」の開発者コーナーでは、ユーザーの操作履歴に基づいて、PC上で閲覧した文書やWebサイトを検索するツール「俺デスク」を展示していた。 俺デスクは、指定したファイルに対して、独自のアルゴリズムでユーザーが閲覧したWebサイトやローカルに保存した文書、画像、音声、動画との関連度を算出し、適合度の高い順番に一覧表示する。関連度は、ユーザーが参照していた時間やコピー&ペーストなどの操作履歴により増減するという。 開発者の慶應義塾大学大学院政策・メディア研究科修士2年の大澤亮氏は、「例えば、過去にWordの企画書を作っていたときに参照していたWebページを見つけたい場合、Word文書の作成日時やWebサイトの閲覧日時などに基づいて、探したいデータを検索できる」と説明する。 また、ユーザーが参照したデータを時系列
IPA、「ソフトウェア・オブ・ザ・イヤー 2005」を発表 | スラド
Concerto 曰く、 "IT Proの記事によると、独立行政法人 情報処理推進機構(IPA)は10月12日「Lunascape2」、「T-Time 5.5」、「秘文AEシリーズ」の3製品を「ソフトウェア・プロダクト・オブ・ザ・イヤー2005」に選定したと発表しました。(プレスリリース) Lunascape2は、IEのHTMLレンダリング・エンジンとMozilla Geckoエンジンを切り替えて使用できるタブブラウザ。RSSリーダー機能も備えています。T-Time 5.5は、電子ブックをJPEG画像に変換することにより、パソコン以外の機器でも閲覧できるようにする機能を持つ電子ブック・ビューワ。 秘文AEシリーズは、文書が作成された際に自動的に暗号化して保存する暗号化ソフトウエアです。 本年度は、「家庭・個人分野」及び「安心・安全 分野」から3製品が選ばれましたが、「産業・行政分野」及び「
【レポート】新しいソフトウェアの創造を - IPA「未踏ソフトウェア創業事業」成果報告会 (1) CLIで実装する次世代OS「CooS」 | エンタープライズ | マイコミジャーナル
「これまでにない新しいソフトの開発促進」を謳い文句に情報処理推進機構(IPA)が行っている「未踏ソフトウェア創業事業」の平成16年度下期採択分について、採択から約8カ月を経て続々とその開発成果が公開されている。8月中旬、その中の4人のプロジェクトマネージャ(PM)の担当分について成果報告会が行われ、ここまでの開発成果が披露された。既にオープンソースソフトとして公開済みのものや公開準備中のもの、事情によりソフトの公開が困難なため論文発表で代えているもの、結局未完成のものなど開発者により事情は様々だが、それぞれの開発成果は確実に上がっている。本稿では誌面と取材の都合上、8月19日に発表を行ったものの中からいくつかをピックアップしてご紹介したい。 なんとC#でOSが書ける? まずご紹介するのは「CLIを実装する次世代オペレーティングシステムの開発」を発表した武蔵工業大学の高橋明生氏。同氏が開発し
「学校にオープンソースを導入しよう!」、IPAが小冊子を発刊
情報処理推進機構(IPA)は8月26日、Linuxなどオープンソースソフトウェアを搭載したPCを学校、教育現場に導入する際のガイドとなる小冊子「学校にオープンソースコンピュータを導入しよう! ―オープンソースソフトウェア導入の意義と方法―」を10月11日に発刊すると発表した。価格500円で全国の書店で販売する。発行はアスキー。 IPAは2004年10月から2005年6月まで全国の小中高、大学の17校にLinux搭載PCを導入して、実際の授業で利用する実証実験を行った(IPAのWebサイト)。Linux搭載PCを利用した児童、生徒、学生は約3800人。 10月に発刊する小冊子は実証実験の結果を基に、Linux搭載PCを導入するうえでの検討ポイントや導入手順、実証実験を行った学校の事例などを記載している。Linuxディストリビューション「KNOPPIX」の学校オリジナル版を作成した高校のケース
IPA,「ワンクリック料金請求」について注意喚起
情報処理推進機構セキュリティセンター(IPA/ISEC)は8月16日,Webサイトの画像などをクリックしただけで料金を請求する「ワンクリック料金請求(ワンクリック詐欺,ワンクリック架空請求)」について改めて注意を呼びかけた。IPA/ISECでは,「料金を請求されても基本的には無視する」「心配な場合には消費生活センターなどに相談する」ことを勧めている。 2004年以降,パソコンや携帯電話などで出会い系サイトやアダルト・サイトなどを訪れた際,画像をクリックしただけで「入会ありがとうございます」などと画面表示し,料金の支払いを求めるワンクリック料金請求が増えている。国民生活センターなどでは昨年夏以降,注意を呼びかけている。今回IPA/ISECでも,改めて注意を呼びかけるとともに,その対策方法などを紹介した。 それによると,サービスの利用契約が成立するには,料金を明示した上で,利用の意思を確認する
「7月28日以降,一部のソフトウエア製品が正常に動作しなくなる」――IPAなどが警告
情報処理推進機構(IPA)などは7月8日,米Sun Microsystemsの提供するJavaのライブラリ「JCE(Java Cryptography Extension)1.2.1」の一部機能が7月28日以降,正常に動作しなくなることを警告した。これが原因で,JCE 1.2.1を使っているソフトウエア製品が正常に動作しなくなる可能性がある。 IPAなどの情報には,具体的な製品名は挙げられていないが(7月8日20時現在),編集部の調べでは,米APCのUPS(無停電電源装置)用制御ソフト「PowerChute Business Edition v6.x.x」やインフォテリアの「ASTERIA R2」などが影響を受ける模様。ベンダーの情報やIPAなどの更新情報をチェックして,必要に応じてパッチ適用などの対策を施す必要がある。 今回の警告情報は,IPAおよびJPCERTコーディネーションセンター
IPAが注目するITSSレベル5以上ってどんな人?
IPAのITスキル標準センターが、2006年3月に公表が予定されているITスキル標準(ITSS)ver.2での改訂内容を報告した。 情報処理推進機構(IPA)ITスキル標準センターは7月4日、2006年3月に公表が決まっているITスキル標準(ITSS)ver.2のポイントと、改訂作業に大きな役割を果たすプロフェッショナルコミュニティの活動について報告した。 プロフェッショナルコミュニティは、ITSSで定めるITアーキテクトやプロジェクトマネジメントなどの6職種について、ITSSレベル5以上のハイレベルな人材が自立したプロフェッショナルとして活動する際の業種横断的な母体として設置されている。 IPA プロフェッショナルコミュニティ代表 鈴木俊男氏によると、プロフェッショナルコミュニティの活動は大きく3つ。ハイレベル・プロフェッショナルの現場の体験に基づいた知識をフィードバックしてITSSの充
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、Webセキュリティ対策をまとめた「安全なウェブサイトの作り方」
http://japan.internet.com/public/news/20050829/4.html
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050826/166919/
OSS推進フォーラムとIPAが「日本OSS貢献者賞」を創設,候補者を募集
http://japan.internet.com/public/news/20050627/5.html