サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
デスク環境を整える
www.jnsa.org
生成AIを利用する上でのセキュリティ成熟度モデルについて 現在、様々な分野でテキスト、画像、動画等をAIを利用し自動生成する技術、生成AIの利用が進んでおり、今後さらに普及が予想されます。本ドキュメントは生成AIをセキュアに利用していくうえで必要な項目を生成AIの利用ケースごとにマッピングを行い、生成AIを利用していく組織の一助になることを目的としています。対象となる組織は、利用形態別に下記4つになります。 - 外部サービスの利用 ChatGPTやGemini等の外部サービスを提供元が提供するWebインタフェースやスマートフォンアプリケーション等から利用する組織。 - APIを利用した独自環境 OpenAI APIやGemini API等のAPIを自社のサービスや社内環境と連動させて利用する組織。 - 自組織データの利用 ファインチューニングやRAG(Retrieval-Augmented
サイバー攻撃を受けるとお金がかかる ~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~ 調査研究部会インシデント被害調査ワーキンググループ 本報告書について サイバー攻撃の脅威およびその対策の必要性については、マスコミ報道、公的機関・団体や、セキュリティベンダーによる啓発・営業活動等により、経営者が経営課題の一つとして認識している状況にあると思われます。 しかしながら、サイバー攻撃を中心とするインシデントが発生した場合に、企業・団体等においてどのような被害、不利益が発生するのか、金銭的なインパクトを適切に認識しないまま、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくありません。 こうした状況に対し、調査研究部会インシデント被害調査ワーキンググループでは、インシデント発生時の具体的な対応、アウトソーシング先、実際に生じるコスト(損害額・損失額)を各事業
年表について NPO日本ネットワークセキュリティ協会(JNSA)が設立された2000年から2024年まで、社会で起きた出来事と共にサイバーセキュリティに関連した話題を年表にしました。JNSAの活動も併せてご覧いただけます。 当年表は、JNSAメンバーが調査に基づき作成したものです。 リンクでの参照や内容に不適切な点がある場合は、こちらの引用問合せをご利用下さい。なお、ご連絡いただいた内容への個別のご返信は行っておりません。 (ご注意とお願い)当コンテンツは、JNSAが独自の見解で編集しております。掲載している時事の話題やリンク先については、当時を振り返ることができるテーマとできるだけわかりやすい解説があるURLを選定しており、政治的、社会的な意図があるわけではございません。また掲載内容については、ご自身の責任の下で閲覧、利用下さいます様お願いいたします。
目的 この「インシデント損害額調査レポート」は調査研究部会インシデント被害調査ワーキンググループとして2021年夏に初版を公表、今回のレポートはその第2版として位置づけられます。 サイバー攻撃の脅威およびその対策の必要性については、マスコミ報道、公的機関・団体や、セキュリティベンダーによる啓発・営業活動等により、経営者が経営課題の一つとして認識している状況にあると思われます。 しかしながら、サイバー攻撃を中心とするインシデントが発生した場合に、企業・団体等においてどのような被害、不利益が発生するのか、金銭的なインパクトを適切に認識しないまま、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくありません。 実際のインシデント発生時には、各種対応ほか、被害者からの損害賠償請求、事業中断による利益喪失などを想定するに、中小企業においても数千万円単位、場合によって億単位のお金
【法務省 公安調査庁の概要】 ■ 職員数:約1,800名 ■ 国内拠点:本庁、公安調査局(8局)、公安調査事務所(14事務所)、公安調査庁研修所 ■ 所管する法律: ・公安調査庁設置法 ・破壊活動防止法 ・無差別大量殺人行為を行った団体の規制に関する法律(団体規制法) ●はじめに 日本が舞台のスパイ映画「007は二度死ぬ」では、主役の英国スパイが「日本側の組織」の助けを借りながら活躍する。今回は、この日本側組織のモデルとなった政府機関、「公安調査庁」(Public Security Intelligence Agency、PSIA)に、お邪魔してお話をうかがった。 法務省の外局として設置された公安調査庁は、「公共の安全の確保」を図ることを任務とする政府機関であり、「情報の力で国民を守る」ことをミッションとしている。人々(Public)のセキュリティ(Security)のための情報(Inte
本公表資料について インシデント被害調査ワーキンググループ(以下「本WG」)は、2021年に「インシデント損害額調査レポート」を公開しています。 このレポートは、インシデント発生時の各種対応等によって実際に生じるコスト(損害額・損失額)について各種対応のアウトソーシング先である各事業者への調査により明らかにしてきました。 この度、本WGでは、国内のサイバー攻撃の被害組織において実際に生じたコストを調査するため、2017年1月から2022年6月までの5年半に新聞やインターネットメディアなどの報道等がなされた、国内で発生したサイバー攻撃情報を収集し、被害組織の情報を調査・リストアップ、さらにその被害組織にアンケート調査を行いました。 エモテット感染、ランサムウェア感染等、サイバー攻撃の種別ごとの損害額などの一次分析が終了したことから、今般これを速報版として公表いたします。 なお、本公表資料は、
今年のトップニュースはロシアのウクライナ侵攻。昨年の十大ニュースで「きな臭さが漂う不気味さを秘めている」としたが、その不気味さが表面に現れてきた。ロシアのウクライナ侵攻に際してのサイバー攻撃に、米国もサイバー攻撃の作戦を実行していた。 ウクライナの領土のみが主戦場と化す異様な光景の背後には、NATOと戦術核をちらつかせるプーチンロシアとの直接対決の構図を避けたい意図があり、サイバー戦が核戦争にもつながりかねない不気味さがある。世界にはこのような侵攻が懸念される状況がほかにもあり、サイバー攻撃はますますエスカレートすると考えておかなければならない。日本でも「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)、の論議が始まり、その「司令塔」の新設や、自衛隊・警察庁への民間ハッカーの登用も検討されている。 第2位以降には、トヨタ自動車や医療機関などが取引先へのランサム攻撃で被害が拡大し、
行動規範 サイバーセキュリティ事業に携わる者は、情報社会、セキュリティ製品やサービスを利用するお客様、そして事業者自身を守るために、以下の行動規範に則って事業を遂行します。 情報社会の安全を向上させ、安心の醸成に努めます。 法令等の正しい理解に努め、これを遵守します。 高度化する脅威に備え技術の向上に努めます。 自らの製品およびサービスの安全確保に努めます。 倫理観を持ち、正当な目的のために業務を遂行します。 以上 事業遂行の基本指針 1. はじめに サイバーセキュリティ事業には、扱い方を誤るとそれ自体が脅威となりうるマルウェアや脆弱性診断ツールなどのソフトウエアや専門技術を事業として取り扱うことから、事業固有のリスクがある。そこで、業界全体として共通的に取り組むべき事業遂行におけるリスク管理の基本指針を定める。サイバーセキュリティ事業者(以下、事業者)がこの基本指針に則り適切な事業運営体
オンライン身元確認(eKYC)金融事例調査報告書 (日本トラストテクノロジー協議会(JT2A) 真正性保証タスクフォース) オンライン身元確認(eKYC)金融事例調査報告書について: オンライン化の進展とともに、これまでは対面の確認が基本であった身元確認(KYC:Know Your Customer)もオンラインで行う方法が模索されている。 JT2A真正性保証TFでは、金融機関の口座開設事例として、欧州では欧州委員会(European Commission)が2019年に公開した各国事例をまとめた報告書を調査、国内では金融庁が犯罪収益移転防止法(犯収法)に関してオンライン身元確認方法を示しており、Webベースで金融機関のオンライン身元確認事例を調査した。 本書は、調査結果から、身元確認の方法や身元確認で利用するオンラインでの本人確認書類(身元を確認するための書類)等を比較・考察した内容を示
「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書 (事業コンプライアンス部会調査ワーキンググループ) 概要 事業コンプライアンス部会調査WGが協力した、「現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査報告書」を公開します。 本報告は、経済産業省委託調査「令和2年度サイバー・フィジカル・セキュリティ対策促進事業(サプライチェーン・セキュリティ対策に関する調査)」(委託先 株式会社三菱総合研究所)において作成した「現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査報告書」(株式会社ITリサーチ・アート)を元に作成されております。 本報告書は、以下の3点の情報セキュリティに関するアメリカ、イギリス、ドイツの法制度や動向を調査したものです。 1.ランサムウェアによる被害の実情及び支払いの可否に対する議論の動向、その他の対応
電子メールでパスワード付きZipファイルを添付する、いわゆるPPAPが話題になっています。PPAPは情報を保護する手法として有効性が低いだけではなく、マルウエアの検出回避に利用され、しかも受信者に不便を強いることから、PPAPの利用を拒否する「くたばれPPAP!」も提唱されています。 PPAPとは 【P】asswordつきzip暗号化ファイルを送ります 【P】asswordをおくります 【A】ん号化 【P】rotocol 出典:情報処理 2020年7月号 「さよなら,意味のない暗号化ZIP添付メール」 一方で、PPAPに問題があることは確かですが、PPAPを全く使わないメール運用も難しそうです。問題点を理解するためにメールを使ったコミュニケーションの課題を整理し、代表的な対策手法の有効性を検討しました。その結果、それぞれの手法で解決できる課題が異なり、用途によって使い分ける必要があることが
インシデント発生時の被害額について インシデント被害調査WG 2021 調査レポート インシデント損害額 Version 1.00 1 目次 目次 ................................................................................................................................. 1 Ⅰ はじめに................................................................................................................... 2 Ⅱ インシデントの概要 ..........................................................
目的 サイバー攻撃の脅威およびその対策の必要性については、理解の程度に差はあるものの、マスコミによる報道ほか、経済産業省、総務省、警察、IPA(アイピーエー。独立行政法人情報処理推進機構)などの公的機関・団体や、JNSA(ジェーエヌエスエー。NPO法人日本ネットワークセキュリティ協会)、セキュリティベンダー(セキュリティ関連のサービスを開発・販売・提供する事業者)による啓発・営業活動等により、経営者が経営課題の一つとして認識している状況にあると思われます。 しかしながら、サイバー攻撃を中心としたインシデントが発生した場合に、企業・団体等においてどのような被害が発生するのか、金銭的なインパクトを示した資料は少なく、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくありません。 また、実際のインシデント発生時には各種対応ほか、被害者からの損害賠償請求、事業中断による利益喪
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版 (教育部会|情報セキュリティ知識項目(SecBoK)改訂委員会) 背景 情報セキュリティ知識項目(SecBoK)は、2016年4月の大規模改定以降、ITベンダー・セキュリティベンダーのみならず、多くの企業においてセキュリティ人材育成の際の参考資料として活用されてきました。また教育界との連携も深めてきました。しかし、逆に多くの場面でSecBoKを利用いただきたいとの思いから、SecBoK側が様々な分野への適用を意識する傾向もありました。そこでSecBoK2021では、BoK(Body of Knowledge)であるとの原点に立ち返り、ディクショナリー的位置付けとして、より多くの方が参照できることを目標に、有識者である委員の皆様のご意見を反映して改定をおこないました。 情報セキュリティ知識項目(SecBoK)2021の特長につ
皆様こんにちは。株式会社Armorisの鎌田と申します。今回はJNSAさんのサイトで以下の拙筆記事のエッセンスをご紹介させていただく機会を頂戴しまして、ありがとうございます。 【拙筆記事】 米国 世界最古のCSIRTで学んだこと 情報共有はゴールではない、共有すべきは……(前編):サイバーセキュリティマネジメント海外放浪記(1/2 ページ) - ITmedia エグゼクティブ https://mag.executive.itmedia.co.jp/executive/articles/2103/08/news015.html いざというときに意思決定できるのが経営者(後編):サイバーセキュリティマネジメント海外放浪記(1/2 ページ) - ITmedia エグゼクティブ https://mag.executive.itmedia.co.jp/executive/articles/2103/
- i - デジタル署名検証ガイドライン 第 1.0 版 2021 年 3 月 31 日 NPO 法人 日本ネットワークセキュリティ協会 電子署名ワーキンググループ - ii - 本書に記載されている会社名、製品名はそれぞれ各社の商標及び登録商標です。 なお、本文中では™及び®マークは省略させていただく場合があります。 - iii - 目次 1 はじめに............................................................................................................................ - 1 - 1.1 背景と目的..................................................................................
2024/6/3 報告書 「CISO-PRACTSIEワークショップ用マテリアル Ver2」を公開しました。2023年1月出版の「CISOのための情報セキュリティ戦略」机上演習CISO-PRACTSIEを行うためのマテリアルを再編し、ワークショップ進行用の資料を追加しています。 2023/7/14 報告書 2023年1月に出版した「CISOのための情報セキュリティ戦略」で掲載した、机上演習を行うためのマテリアルを見直し、ワークショップ進行用の資料を追加した「CISO-PRACTSIEワークショップ用マテリアル」を公開しました。 2024年6月1日にVer2を公開しました。最新はこちら>> 2023/1/12 書籍発売「CISOのための情報セキュリティ戦略」技術評論社より出版されました。
中小企業において目指すSecurity By Design (西日本支部/中小企業のためのSecurity by Design WG) 目的 本書はJNSA西日本支部の「中小企業のためのSecurity by Design WG」の活動をまとめたものです。 リスクマネジメントは、事業継続を目的とする経営者にとって、必須の事案です。 これまでの西日本支部の活動の成果物を基に、経営者からITシステム投資の承認を得た後、中小企業の情報システム部門が考えるべきITシステムの導入、運用、廃止までのライフサイクルを考慮した情報セキュリティのあるべき姿を検討します。 Security By Design ITシステムの開発・導入においては、機能要件の定義が主になり、セキュリティ機能は非機能要 件として、 重要視されず、後回しにされることが多々あります。しかし、一般的にITシステムの 開発・導入においては
2024/5/31 報告書 「【改定新版】特権ID管理ガイドライン 実践編」を公開しました。 2023年公開の「解説編」もこちらからダウンロード下さい。 2023/5/8 報告書 ニュージーランド政府による"Identification Management Standards"に関する考察 ==NIST SP800-63 "Digital Identity Guidelines"との比較結果等== 2023/3/31 報告書 【改定新版】特権ID管理ガイドライン 解説編 ※2024年5月31日公開の「【改定新版】特権ID管理ガイドライン 実践編」をご覧ください。 2023/3/6 関連書籍発売「Software Design 今さら聞けない認証・認可」が再編集されて別冊シリーズで発売されました。 技術評論社さんのページにリンクします。 セミナー 2023/5/25開催 YouTube J
新型コロナウイルスの感染拡大及び緊急事態宣言の発令に伴い、多くの企業・組織でテレワークを実施していると思います。そのため、端末や外部記憶媒体を家に持って帰ったり、それまで許可していなかった私物端末の業務利用を一時的に許可したりして対応しているのでないでしょうか。 しかし、一般家庭におけるネットワーク環境は、企業・組織などのオフィス内のネットワーク環境と比較すると、外部からの攻撃に対してセキュリティ対策レベルが低いと考えられます。政府の緊急事態宣言の解除に伴い、順次、テレワークから通常のオフィス勤務に戻っていく際に、仮に自宅でマルウェア等に感染してしまった端末や外部記憶媒体を無防備に企業内ネットワークに接続してしまうと、企業内でマルウェア感染が拡大してしまう事態が懸念されます。また、今回の強引なテレワークの実現により、企業・組織におけるオフィス勤務の必然性を見直す好機となったことから、これか
リモート署名ガイドラインについて 新型コロナウイルスの影響でテレワーク、在宅勤務が多くなり、遠隔(リモート)による電子申請や電子契約の利用が急務となっている。 日本政府の施策では、2016年からマイナンバーカードの利活用が進み、2017年にマイナポータルにおいて各種の申請や手続きの電子化が促進され、また、2019年1月に電子委任状の普及の促進に関する法律が施行され、国民にとっても電子証明書及び電子署名がより身近に利用できる環境が整った。 これらの環境を利用したサービスの中でも、特に電子的な契約では、署名者のIT環境の変化や電子的に契約を行う上での署名鍵の管理の負担軽減のために、リモート署名サービス(*1)を活用した電子契約サービスも存在している。 現在では民間事業者が提供する多くの電子契約サービスの中でリモート署名が採用されているが、その方法は様々である。電子契約では、利便性が高く、かつ安
元年7月1日から始まったQRコードを利用しての決済サービスであるセブンペイに、不正アクセスが相次いで、結局、運営もとであるセブンアンドアイ・ホールディングス(以下、会社といいます)は、新規登録を停止し、その後、外部IDとの接続を遮断するなどの対応を行いました。結局、サービス自体を停止することにしました。ところで、最初に不正アクセスが相次いだ際に、記者会見した経営陣が、記者との受け答えに窮する場面もあり、世間では非常に注目を浴びました(以下、便宜上、一連の事件をセブンペイ事件といいます)[1]。ここでは、この過程で起きた脆弱性に関する報道を見ていきたいと思います。 この事件の一般的な経緯はさておいて、ここで注目したい脆弱性の報道というのは、新聞社が7月11日午後4時に、脆弱性が修正される前だったにもかかわらず、「(セブンペイが)外部IDからのログインを遮断へ、不正利用巡り」という記事を明らか
掲載日:2024年9月3日 ■「学生アンケートから読み解くセキュリティの仕事、業界、キャリアの未来」セミナー 2024年7月25日に公開した「学生のキャリア意識調査レポート2023年」について2022年に行った学生アンケートとの比較を行いながら、分析過程での考察の振り返りを行ったセミナーです。 企業・学校側から見て、学生にセキュリティ関連の仕事で活躍してもらうためのヒントとなります。 「学生のキャリア意識調査座談会」 YouTube JNSAChannelへリンクします。動画はセミナー主催者の 一般財団法人日本サイバーセキュリティ人材キャリア支援協会(JTAG)様より提供を受けて公開しております。 (前編)https://youtu.be/s2RcL-CHfQw (後編)https://youtu.be/ouwR2iuIq70 ※前編の終了画面からもリンクします。 掲載日:2024年7月2
本報告書はこちらの2018年版が最新となります。 なお、調査・執筆をおこなっていた「セキュリティ被害調査ワーキンググループ」は2020年を以て活動を終了しております。 そのため、本報告書に関するお問合せには回答できません。 【速報版】2018年情報セキュリティインシデントに関する調査報告書 ◆速報版[2019.6.10] [1.07MB] ◆別紙(想定損害賠償額の解説)【Ver1.0】[626KB] ※「漏えい原因の定義」は、別紙に記載されています。 1.速報版について JNSAセキュリティ被害調査ワーキンググループでは、2018年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計し、分析を行ってまいりました。 2018年の調査データについて、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル(JNSA Damage Op
浅草橋ヒューリックホール&カンファレンス ROOM 1 ※外部にリンクします。 (〒111-0053 :東京都台東区浅草橋1丁目22-16 ヒューリック浅草橋ビル3F) JR浅草橋駅[西口]より徒歩1分 都営浅草線 浅草橋[A3出口]より徒歩2分
違法著作物のダウンロード規制を拡大する著作権法改正案が波紋を広げています。漫画などを無断掲載する海賊版サイトの被害が深刻化する中で、その対策の一つとして浮上したものでしたが、対象を悪質サイトなどに限定せず、著作物全般に拡大することから、漫画家や著作権法の研究者、産業界など各方面から懸念の声が上がっているのです。今国会に改正法案が提出される予定ですが、3月1日の段階で、自民党の総務会が「関係者の理解が十分に得られていない」などとして改正案の了承を先送りする事態となっています。すべてのインターネットユーザーの日常的な利用に関わる問題ですので、みなさんにも考えてもらうきっかけになれば、と思っています。 問題となっているのは、著作権を侵害するコンテンツだと知りながらダウンロードする行為を違法化し、そのうち有償著作物の違法ダウンロードには刑事罰を科すという内容の著作権法改正です。罰則は2年以下の懲役
次のページ
このページを最初にブックマークしてみませんか?
『特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
