バッファローの有線LANルーター「BBR-4HG」「BBR-4MG」に脆弱性、2003年発売の製品 
2万円は高いか安いか?セキュリティ国家資格の講習を受けてみた
国内初の情報セキュリティの国家資格である「情報処理安全確保支援士」。2017年4月に実施された第1回試験に合格して同資格を取得した筆者は先日、資格の取得者に義務付けられているオンライン講習を受講した。お値段は2万円。その感想を述べたい。 情報処理安全確保支援士(以下、支援士)は、情報セキュリティの専門的な知識や技能を有することを認定する国家資格制度。 情報セキュリティに関する国家試験としては、情報処理推進機構(IPA)が実施する情報処理技術者試験制度の枠組みで、「情報セキュリティスペシャリスト試験(セスペ試験)」が実施されてきた。 このセスペをベースに作られた、情報セキュリティに関する士業が支援士である。セスペ試験は2016年秋期(10月)を最後に廃止され、2017年春期から支援士試験になった。同試験は、情報処理安全確保支援士制度という、従来とは別の枠組みで実施される。 支援士試験の内容は
IPA、セキュリティとデータサイエンスのタスクとスキルを「ITSS+」で定義
情報処理推進機構(IPA)は2017年4月7日、「セキュリティ領域」と「データサイエンス領域」の具体的な専門分野や業務活動(タスク)、必要なスキルを体系化した「ITSS+(プラス)」を公開した。政府が推進する第4次産業革命に向けたIT人材の育成を推進するため、新たなスキル標準を策定する一環との位置付け。 従来のITスキル標準(ITSS)が対象とする、情報サービスの提供やユーザー企業の情報システム部門に関わる既存の人材が、「セキュリティ領域」や「データサイエンス領域」のスキルを強化するための“学び直し”の指針として活用することを想定する。 「セキュリティ領域」は企業などでセキュリティ強化が求められている状況を踏まえ、経営課題への対応から設計開発、運用保守、セキュリティ監査の領域で13の専門分野を具体化。各専門分野は新設された国家資格「情報処理安全確保支援士(登録セキスペ)」が想定する業務を包
IoT機器を初期設定で使うのは危険 - IPAが注意喚起
IPA(独立行政法人情報処理推進機構 セキュリティセンター)は25日、IoT機器へのサイバー攻撃に注意を喚起した。 2016年10月に、米企業が大規模なDDoS攻撃を受ける被害が発生。これはマルウェア「Mirai」により、ネットワークカメラや家庭用ルータなどのIoT機器で構築されたボットネットによる攻撃だとみられている。 IPAは、IoT機器では初期のユーザー名とパスワードが、"root"や"password"といった汎用的な単語になっていると注意喚起。Miraiは初期設定に利用されるログイン情報でIoT機器への侵入を図るマルウェアであり、利用しているIoT機器のログイン情報が初期設定のままではマルウェアに感染する可能性がある。 IPAでは、ネットワークカメラやルータといったIoT機器では初期設定を変更すること、変更時には安易なパスワードを避け使いまわさないことなどを呼びかけている。
IPA 独立行政法人 情報処理推進機構:国家資格「情報処理安全確保支援士」
サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が急務となっています。この人材の確保のために2016年10月に「情報処理の促進に関する法律」が改正され、新たな国家資格が誕生しました。これが「情報処理安全確保支援士(略称:登録セキスペ)」です。 本ページでは、「情報処理安全確保支援士(登録セキスペ)」制度に関する情報を掲載しています。ぜひご覧ください。 情報処理安全確保支援士 新規登録・更新のご案内 2024年7月~8月に「国家資格『情報処理安全確保支援士』がわかる!説明会」を実施しました。 国家資格「情報処理安全確保支援士」がわかる!説明会(2024年7月4日~8月15日オンデマンド配信
クルマとスマホを接続してもいいのか--IPAのIoTセキュリティ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「人の命にかかわる信頼性が要件の自動車と、エンターテインメント用途であるスマホを接続してもいいのか」 独立行政法人情報処理推進機構(IPA)の技術本部ソフトウェア高信頼化センター(SEC)の中尾昌善氏は指摘する。 自動運転車をスマホで制御する際に、スマホのハングアップにより制御、操作できなくなって重大事故が発生し得る。また脆弱性がある側の機器への不正アクセスにより、相手側の機器に保存されている情報が漏えいするなど、さまざまなリスクが想定されてくるという。 もともと、人の命にかかわることを前提にしている自動車と、通話やエンターテインメントに利用するスマートフォンでは、担保する信頼性が設計時点で異なる。相互接続する際には、特にスマートフォン
共通プラットフォーム一覧CPE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CPE(Common Platform Enumeration) ~製品を識別するための共通のプラットフォーム名の一覧~ >> ENGLISH 共通プラットフォーム一覧CPE(Common Platform Enumeration)(*1)は、情報システムを構成する、ハードウェア、ソフトウェアなどを識別するための共通の名称基準を目指しています。 CPEは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めており、2007年1月30日に最初の原案であるCPEバージョン1.0が公開されました。 その後、米国の脆弱性対策データベースであるNIST(*4)のNVD(
情報処理推進機構:情報セキュリティ:ハードウェアセキュリティセミナー (導入コース)(2016年5月24日開催)
募集人数を越えたため、受付を終了させていただきました。多数のご応募ありがとうございました。 なお、次回の開催時期につきましては夏頃を予定しております。日程が確定次第、改めてご連絡させていただきます。 ハードウェアセキュリティについて紹介するセミナーを開催いたします。 以下の通り、参加者を募集します。 セミナー概要 1. 日時: 2016年5月24日(火) 15:00~17:00 (※開場 14:30~) 2. 場所: 独立行政法人情報処理推進機構 13階 会議室A,B,C 3. 内容: ハードウェアセキュリティについて、基礎から説明します。 ハードウェア (ICチップ) の仕組み 情報機器におけるICチップの役割 ICチップの構造 ハードウェア (ICチップ) に対する攻撃・脅威 攻撃者に狙われるハードウェア (ICチップ) の特性 (弱点) 特性を突いた具体的な攻撃方法 攻撃が成功した場
IPA、サイバーセキュリティ注意喚起サービス「icat for JSON」公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは2月22日、セキュリティ上の問題についての一層の周知と対策促進を目的に、「重要なセキュリティ情報」をリアルタイムに配信するサイバーセキュリティ注意喚起サービス「icat(IPA Cyber security Alert Service:アイキャット)」について、Adobe Flash Playerに依存しない環境でも利用できる「icat for JSON」を公開した。 icatは、IPAが収集したセキュリティ情報のうち「重要なセキュリティ情報」をリアルタイムに配信するサービスで、2011年11月から提供しているが、これまではicatの利用にAdobe Flash Pl
「性能が低下しています」「スパイウェアを探知しました」「クラッシュ寸前です」「エラー 直ちに削除」警告表示広告に要注意・国民生活センターが注意喚起 - ガベージニュース(PN)
今回の発表資料によればパソコンを操作中に、そのパソコンの危険などを知らせる警告表示が画面上に現れて不安を覚え、そのメッセージに従ってセキュリティーソフトやパソコンの性能を改善するソフトなどをインターネット経由でダウンロード購入したが、購入後も同じ警告が出たり、勝手に自動更新購入手続きがなされていたり、単なる広告で表示されていたリスクは無かったことに気が付いたなどを理由に、解約したいという相談が増加している。 具体事例としては「パソコンの画面に出た「危険」という文字に惑わされてソフトをクレジットカードで購入したが、同様の詐称事象を見聞きして不安になった」「ソフトを購入後も、パソコンに同じ警告表示が出て、クリックすると再び購入を求められた。不審だ」「無料ソフトをダウンロードすると、有料の表示が出た。パソコンを起動するたびに同じ有料警告メッセージが出る」「解約の電話をして初めて、海外から購入した
【セキュリティ ニュース】IPA、ウェブサイトのソースコード検査など脆弱性検査ツールの操作を解説(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、オープンソースの脆弱性検査ツールの操作手順や特徴などをまとめた資料「ウェブサイトにおける脆弱性検査の紹介(ソースコード検査編)」を公開した。 脆弱性の作り込みを避けるため、初心者でも扱いやすく、主要な脆弱性を検出できるツール「LAPSE+」および「RIPS」の検査手順や特徴、操作性などを資料にまとめたもの。同機構サイトよりダウンロードできる。 「LAPSE+」は、開発環境に組み込んで利用するソフトウェアで、Javaの脆弱性を検知することが可能。一方「RIPS」では、ソースコードを入力することで、PHPの脆弱性を検査できる。 同機構では、これまでもウェブアプリケーションの検査方法を解説した「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を公開しており、ソースコード検査との併用を呼びかけている。 サイト改ざんや情報流出などを防ぐためには、脆弱性
プレス発表 脆弱性の問題を意図的に発生させるテスト方法等を解説した資料を公開:IPA 独立行政法人 情報処理推進機構
情報家電等組込み製品の開発事業社向けに、最適なツールや検出テストのノウハウ等を紹介 2013年11月7日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、情報家電等の製品の脆弱性を検出するテスト(以後、ファジング)の方法を実例と共に解説した「ファジング実践資料(テストデータ編)」を2013年11月7日からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/fuzzing.html サイバー攻撃の多くはソフトウェアの脆弱性を狙ったもので、ソフトウェアによって様々な機能を備えた家電製品、およびソフトウェア制御が進む自動車などにも脆弱性は存在します。これらはネットワーク接続などによる外部データの活用でさらに高付加価値が進められている反面、脆弱性を狙った攻撃の危険性が高まっています。 こうし
【最終回】ソースコード・セキュリティー検査ツール「iCodeChecker」を使ってみる
今回はソースコード・セキュリティー検査の具体的な活用例として、情報処理推進機構(IPA)が無償で公開しているソースコード・セキュリティー検査ツール「iCodeChecker」を使った利用例を紹介する。 iCodeChecker は、C言語で作成されたソースコードに含まれる脆弱性を確認するツールである。検査対象のソースコードのファイルを読み込み、脆弱性の原因となるコードの個所と、その修正方法を解説するレポートを出力する機能を持つ。検査を容易に実施できる簡易Webと、別のプログラムと連携させられるようにコマンドラインの2種類のインタフェースを備えている。iCodeChecker の利用を通して、開発者が脆弱性に関する理解を深められると同時に、ソースコード・セキュリティー検査手法を用いた安全なソフトウエア開発について体験できる。 図1にiCodeChecker の利用イメージを示す。(1)~(5
IPA、JPEG画像悪用の脆弱性を検出する組み込み向けツールを無償公開
JPEG画像を閲覧しただけでウイルスに感染したり外部から遠隔操作されたりする恐れのある脆弱性を検出するiFuzzMaker」を公開した。 情報処理推進機構は7月30日、情報家電やスマートフォンなどの組み込み機器の脆弱性を検出するツール「iFuzzMaker」をオープンソースソフトウェアとして公開した。IPAのWebサイトから入手できる。 iFuzzMakerは、組み込み機器に搭載されたJPEG画像の閲覧機能に関する脆弱性を検出するためのツール。脆弱性を悪用された場合、ウイルスに感染したり外部から遠隔操作されたりする可能性がある。IPAが21製品を対象に実施したファジングによるセキュリティテストで、この脆弱性を確認したという。 ファジングは商用製品やほかのオープンソースソフトウェアなどでも可能だが、IPAによれば、JPEG画像の閲覧機能に対しては十分なテストが難しく、既存ツールを補完する目的
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱性届出制度に関する説明会のつぶやきまとめ
「ファジング活用の手引き」資料を更新、「Taof」「Peach Fuzzer」など最新のツールを紹介(IPA) | ScanNetSecurity
「セマネとか意味ない」という誤解はなぜ生まれたか
新たな国家資格「情報処理安全確保支援士」の試験を2017年4月より実施 サイバーセキュリティ基本法と情報処理促進法の改正受け
IoT社会を見据えた業界横断的なソフトウェア開発指針、IPAが策定に着手 
「“ただ乗り”を するなさせるな 無線LAN」IPAがセキュリティ設定を呼び掛け 