サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
買ってよかったもの
www.ipa.go.jp
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。 そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され
概要 DX動向2024の「1.DX取組と成果の状況」では、DX取組状況や取組による成果の状況の他、DXの成果を把握するための評価やDX推進の体制について述べています。「2.DXを実現するための技術利活用の状況」では、DXを推進するために必要な技術について、データの利活用、AI・生成AIの導入・利活用、ITシステムの内製化やレガシーシステム刷新の状況をそれぞれの課題も含め説明しています。「3.DXを推進する人材」では、人材の過不足状況、人材育成方法と課題に加え、企業文化・風土について述べています。 目次 1.DX取組と成果の状況 2.DX実現に向けた技術利活用の状況 3.DXを推進する人材 4.DX関連施策の認知・活用状況 5.「企業等におけるDX推進状況等調査分析」概要 ダウンロード DX動向2024(本文)(PDF:3.4 MB) DX動向2024(データ集)(PDF:6.3 MB) 関
DOI IPAでは、IPAで持つデジタル資産の蓄積と今後の永続的管理という観点から、htmlやPDFなどのコンテンツのファイルに対して、DOI(Digital Object Identifier)を割り当てて紐づけることで、コンテンツを一意に識別できるようにし、リンク切れの心配なく永続的なアクセスが可能となる取り組みを開始しました。 今後、新規及び既存コンテンツのファイルについてもDOIを割り当てていく予定です。 詳細はDOI公開情報一覧をダウンロードしてください。 DOI公開情報一覧(Excel:29 KB) なお、DOIはDigital Object Identifierの頭文字であり、ISOにより国際的に標準化された規格(ISO26324)でデジタルオブジェクトの活用と知的資産化を図る仕組みです。 報告書や教材、Webページ等のデジタルオブジェクトに一意の識別子を付与し管理することで
IPAでは、これまで企業経営上の重要な課題である秘密情報の管理と保護に関する実態調査を通じ、「守るべき情報資産の認識不足や内部不正防止対策の取組の遅れ」などの問題点や課題を示しました。特に中小企業等においては以下の課題が顕著であると示唆されてきたところです。 内部不正防止が「重要な経営課題」として認識されていない 営業秘密は各社の業務に依存するため定義が難しく、守るべき情報資産を特定できていない サイバーセキュリティ対策を講じているものの、内部不正対策は後手に回りがち そこで、今次調査ではそれらの課題に沿った改善策に関する中小企業の状況を把握し示唆を抽出するため、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの調査を実施し、報告書としてまとめました。 中小企業の内部不正対策推進のヒント 内部不正防止の課題が顕在化してしまう要因には、中小企業のリソー
サポート詐欺の偽セキュリティ警告はどんなときに出るのか? - 事例を学び落ち着いて対処できるようにしましょう - パソコンでウェブサイトを閲覧中に、図1のようなセキュリティ警告が突然表示され、「電話をかけてパソコンを遠隔操作され、金銭を請求された。」という被害の相談が数多く寄せられています。 これは、偽のセキュリティ警告を表示させて、慌てた被害者に偽のサポート窓口に電話をかけさせ、その上でサポート料金と称した金銭をだまし取る「サポート詐欺」と呼ばれる手口です(詳細は参考資料1を参照)。 このセキュリティ警告の内容は全て根拠のないうそであり、お使いのパソコンがウイルスなどに感染したために表示されたものではありません。
本ページに掲載する事例、リンクについて IPAは、デジタルスキル標準(DSS)を活用している企業にヒアリングを行い、本ページでご紹介しています。 また、経済産業省やIPAからのDSSに関する発信、各メディアに掲載されたDSSに関する記事をリンク集に掲載しています。 本ページに追加したい事例、記事などありましたらお問い合わせ先までご連絡お願いいたします。
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。 これらのような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、のそれぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。 長期休暇における情報セキュリティ対策 日常における情報セキュリティ対策 上記リンク先において、対象者毎に参照すべき範囲
令和6年度春期試験の「問題冊子・解答例・採点講評」の掲載スケジュール及び合格発表スケジュールは、次のページをご参照ください。 令和6年度春期試験 合格発表スケジュール
トップページ 情報セキュリティ 重要なセキュリティ情報 2024年度 アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。昨年 8 月に IPA が公開した、「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Palo Alto Networks 社より、PAN-OS の GlobalProtect 機能に関する脆弱性が公表されました。 この PAN-OS の GlobalProtect 機能において、リモートからのコード実行の脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって、ファイアウォール上の root 権限で任意のコードを実行される可能性があります。 --- 2024年 4 月 19 日更新 --- 製品開発者から本脆弱性の影響を受けるすべてのバージョン向けにホットフィックスが提供されています。 製品開発者は、本脆弱性を悪用する攻撃を確認していると公表しています。 今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、ホットフィックスを適用してくださ
プロダクトマネージャーは、グローバル標準において一般的な職種として設定されており、また、日本においても特にデジタルサービスを提供する企業における職種として浸透してきている。
日本においては日本語のOSS情報が十分でないこともあり、無償によるコストメリットのみが注目されることが多くありました。しかし、欧米並みに最新技術を迅速に導入し、安定した技術の導入をするために、OSSがITの共通言語となるよう、国内外の有益な情報を発信していきます。 国内外のOSS関連ニュース 2024年 3月19日 IPAがOSS推進のためのWebページを公開(IPA) 3月4日 EUのAI包括規制によりオープンソースAIの規制が複雑化(Center for Data Innovation) 2月1日 Linuxの独習教材「Linuxサーバー構築標準教科書 Ver.4.0.0」が公開, 学習ベースをCentOSからAlmaLinux 9に変更(LPI-Japan) 2月1日 オープンソース推進団体OSI、OSS の採用要因や需要の高い技術を調査した2024年版OSS現状報告を発表(Open
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Fortinet 社より、FortiOS の SSL VPN 機能に関する脆弱性が公表されました。 この FortiOS SSL VPN において、リモートからのコード実行の脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性があります。 今後被害が拡大する可能性があるため、早急に対策を実施してください。 影響を受けるシステム --- 2024年 2 月 26 日更新 --- FortiOS バージョン 7.4.0 から 7.4.2 FortiOS バージョン 7.2.0 から 7.2.6 FortiOS バージョン 7.0.0 から 7.0.13 FortiOS バージョン 6.4.0 から 6.
「個人」向け脅威は、家庭等でパソコンやスマホを利用する人を対象としています。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものですが、危険度を示すものではなく、各脅威の危険度は人によって異なります。しかし個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意が疎かになることが懸念されます。そのためIPAでは本年、「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。 「個人」向け脅威の種類は10個とも前年と変化がありませんでした。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではありません。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されています。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けます。例えば、フィッ
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
背景 経済産業省が推進するデジタルトランスフォーメーション(DX)の時代においては、ますます激しくなるビジネス環境の変化への俊敏な対応が求められます。そのDX推進の核となる情報システムの開発では、技術的実現性やビジネス成否が不確実な状況でも迅速に開発を行い、運用時の技術評価結果や顧客の反応に基づいて素早く改善を繰り返すという、仮説検証型のアジャイル開発が有効となります。このような観点から、同省が2018年9月に公開した DXレポート では、DXの進展によるユーザ企業とベンダ企業の役割変化などを踏まえたモデル契約見直しの必要性が指摘されました。 そこで、IPAは、2019年5月に モデル取引・契約書見直し検討部会 及び DX対応モデル契約見直し検討WG を設置して、アジャイル開発を外部委託する際のモデル契約について検討を行い、この度、アジャイル開発版 情報システム・モデル取引・契約書 (本版
トップページ 情報セキュリティ 重要なセキュリティ情報 2023年度 Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways は VPN 製品です。 これらの製品において、任意のコマンド実行
デジタルスキル標準(DSS)の公表後、多くの方から反響をいただく中で、「デジタル人材育成が進まない」「デジタル人材育成の事例を紹介してほしい」「デジタルスキル標準(DSS)をどう活用すればよいのか」といった声も多く寄せられています。 こうした声に応え、積極的かつ先進的にデジタル人材育成に取り組んでいる企業から、デジタルスキル標準(DSS)を活用したデジタル人材育成施策の事例をご紹介いただくことになりました。また、参加者が登壇者に質問を行ったり、自社の取り組み状況を共有したり、参加者同士で情報交換する場も設けています。組織、自身が抱える悩みを解決するためのヒントを得る機会として、是非ご活用ください。 開催情報
トップページ 試験情報 試験要綱・シラバス 出題範囲・シラバス等の改訂関連情報 2023年度掲載情報 情報処理技術者試験及び情報処理安全確保支援士試験における出題範囲・シラバスの一部改訂について(近年の技術動向・環境変化などを踏まえた改訂) 企業を取り巻く経済社会環境が大きく変化する中、市場において企業が必要とされ続けるためには、業務改革やビジネス改革による本格的なデジタルトランスフォーメーション(DX)をより一層加速させ、価値創造を継続していくことが重要です。一方で、DXに取り組むタイミングが見極められなかったり、取組をためらったりする組織は未だに多く、その一要因としてDXを推進するための素養や専門的なスキルをもった人材が不足していることが挙げられます。 このような状況を踏まえ、各企業におけるDXの推進を担う人材育成・確保に、情報処理技術者試験・情報処理安全確保支援士試験が効果的に活用さ
トップページ 情報セキュリティ 重要なセキュリティ情報 2023年度 Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)(CVE-2023-7101) Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)(CVE-2023-7101) 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 バラクーダネットワークスが提供する「Email Security Gateway Appliance (ESG)」は、セキュリティ対策製品です。 この製品において、任意のコード実行の脆弱性が確認されています。 本脆弱性が悪用された場合、遠隔の認証されていない第三者により、任意のコードを実
略号 FE 英語名称 Fundamental Information Technology Engineer Examination 実施方式・実施時期 CBT方式により随時実施 (令和元年度まで春期・秋期実施、令和4年度まで上期・下期実施) ITエンジニアとしてキャリアをスタートするには、まず基本情報技術者試験から受験することをお勧めします。しっかりとした基礎を身に付けることにより、その後の応用力の幅が格段に広がります。 1.対象者像 ITを活用したサービス、製品、システム及びソフトウェアを作る人材に必要な基本的知識・技能をもち、実践的な活用能力を身に付けた者 2.業務と役割 上位者の指導の下に、次のいずれかの役割を果たす。 組織及び社会の課題に対する、ITを活用した戦略の立案、システムの企画・要件定義に参加する。 システムの設計・開発、汎用製品の最適組合せ(インテグレーション)によって
サポート詐欺の「偽セキュリティ警告画面の閉じ方体験サイト」を公開 ー 月間相談件数が過去最高、偽のサポートに絶対電話をかけないで! ー IPA情報セキュリティ安心相談窓口における、パソコンのブラウザ画面に表示される「偽セキュリティ警告(別名:サポート詐欺)」の手口に関する月間相談件数が、2023年10月は過去最高の519件となりました(図1)。 本手口の相談は2015年から当相談窓口に継続して寄せられており、これまでも「安心相談窓口だより」(関連リンク参照)で注意喚起を繰り返してまいりました。 最近では表示する警告画面に変化がみられ、010から始まる国際電話に電話をするよう誘導したり(図2)、「ファイルやデータが持ち出されていると思わせるようなアニメーション」や「チャット画面」を表示するなど、本物の警告やサポートであると信じさせるための細工がされています(図3)。 また、これまでのプリペイ
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
略号 SC 英語名称 Registered Information Security Specialist Examination 実施方式・実施時期 筆記により春期(4月)、秋期(10月)の年2回実施予定 サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。 情報処理安全確保支援士試験合格者は、情報セキュリティに関する知識・技能を有するものとして、経済産業大臣から合格証書が交付されます。 情報処理安全確保支援士試験合格者は、所定の登録手続きを行うことで、国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。 1.対象者像 サイバーセキュリティに関する専門的な知識・技能を活用して企業や
「アジャイル開発」は、第四次産業革命を実現するために必要なアプローチです。しかし、正しく理解しないまま実践して失敗するケースも多いという問題意識から、IPAでは2017年度より「アジャイルWG」を設置し、アジャイル開発を正しく理解して実践するための指針作りに取り組んできました。今回のウェビナーでは、「アジャイルWG」での成果物を、実際に執筆いただいた委員から紹介します。
「データサイエンス領域」は、企業等の業務において大量データを分析し、その分析結果を活用するための一連のタスクとそのために習得しておくべきスキルを取りまとめています。 タスクは、IPAと「一般社団法人データサイエンティスト協会 スキル定義委員会」の協業で「タスクリスト」を策定、見直しを行っています。 スキルは同協会が公開している「スキルチェックリスト」を活用します。 タスクリストは2017年4月に初版を公開し、現在の最新版は2023改訂版(2023年10月30日公開)です。 2023年のタスクリスト改訂のポイント 生成AIの登場によって大きく変化するデータサイエンティストの業務に対応し、生成AIをビジネスや実務に活用するためにデータサイエンティストが発揮できるスキルを把握できるよう「AI利活用タスクリスト」を新規追加 「AI利活用タスクリスト」において、タスク中分類は以下の通り設定 Phas
概要 IPA発信のネットワーク貫通型攻撃に関する注意喚起 脚注1 の中でも触れている通り、インターネットに接続されたオンラインストレージの脆弱性を悪用した攻撃が継続しております。特に、国家を背景としたAPT攻撃などに関わる事案も確認されており、組織間のデータ授受をメール以外で行うことも多い昨今では、特に注意が必要です。 重要な脆弱性情報についてはIPAでも継続的に注意喚起を行っておりますが、オンラインストレージが広く利活用されるなか、未だ適切な対応がなされていない運用組織が多く存在していることを懸念しています。 最近の動向 「Proself」については管理者権限での認証バイパス(CVE-2023-39415)およびOSコマンドインジェクション(CVE-2023-39416)の脆弱性が確認されていますが 脚注2 、これら脆弱性を悪用する攻撃も既に確認されています。また、XML外部実体参照(X
IPAでは国内におけるデータスペースの普及と推進を目的とし、支援に取り組んでいます。 データスペースとは データスペースとは、国境や分野の壁を越えた新しい経済空間、社会活動の空間のことで、近年主に欧州で注目されている概念です。 国、組織を超えてデータを連携できるルールや仕組みを整備し、これまで以上に「多種多様」で「信頼性のある」大量のデータを利用できるようにすることで、新しいサービスの創出や、既存サービスの高度化を目指すことを目的としています。 データスペースの特徴は、データ提供元がデータの権利を保持し続ける「データ主権」、共通のデジタル基盤を利用することで誰もがデータを活用することが可能な「公平性」、データ提供元と相互に信頼性を確保した上でのデータ転送/アクセス可能な「相互運用性」などが挙げられます。 データ共有が必要な理由には、「攻めの観点」と「守りの観点」があります。 「攻めの観点」
次のページ
このページを最初にブックマークしてみませんか?
『IPA 独立行政法人 情報処理推進機構』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く