ソフトウェア開発者でなくとも、セキュリティ・バイ・デザインという言葉は聞いたことがあると思います。しかし、セキュリティ・バイ・デザインが十分に実施できていると言える組織は多くないのではないでしょうか。 いざセキュリティ・バイ・デザインを実施しようとしても「何をすればよいのだろう?」「どうやれば良いのだろう?」となかなか手が動かない。そんな状況の一助となるよう、我々がセキュリティ・バイ・デザインを学び、実践した内容を文書化し公開する運びとしました。 セキュリティ初心者でも読みやすいように、以下の特徴を念頭において本書を執筆しました。 軽快な文章 図表を多用したグラフィカルな見た目 キャラクターのセリフに共感しながら理解ができる 1章 セキュリティ・バイ・デザイン -セキュリティ・バイ・デザインの概要や必要性の説明 2章 脅威分析 -組織やシステムに対する脅威分析の実施方法 3章 セキュリティ
ゼロトラストの概念は近年のテレワークやクラウド利用の普及により注目を集めていますが、いざ自組織に実装しようとしたときにはさまざまな課題に直面することが予想されます。また、ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠になっています。 そこで本書ではゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントについてまとめました。これからゼロトラスト移行を検討している組織の担当者に参考にしていただけると幸いです。
i ゼロトラスト移⾏のすゝめ 2022 年 6 ⽉ 独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト ICSCoE TLP:WHITE i まえがき ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できな い領域である」という考え⽅ではなく、 「たとえ境界内部であっても無条件に信⽤せず 全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守 る概念である。この概念は 2010 年ごろから提唱されていたが、近年の新型コロナウ ィルス感染症(COVID-19)の蔓延によるテレワークの普及や、DX 推進に伴うクラウド サービス利⽤の急増などにより、社内の情報資産が境界の内側に留まらず、境界の外 側の資産も守らなければならない現状から更に注⽬が⾼まっている。 ゼロトラストの概念につい
情報を安全に取り扱うためには、通信情報や保管情報の暗号化や署名などに使う暗号技術のみに注意を払うだけでは不十分であり、その暗号技術に用いられる暗号鍵に対して適切に鍵長を設定し、さらに適切に鍵管理を行って安全に運用していくことが必要です。 本書では、安全な暗号技術の導入の観点から、暗号技術を利用する際の鍵長の選択方法に関する一般的な考え方を解説します。実際の利用用途や利用期間、環境、コスト、その他様々な制約条件を踏まえて、必要なセキュリティ強度を満たすように鍵長を設定する上で参考となるガイドラインとして取り纏めています。 「暗号鍵設定ガイダンス」の内容 本書で示すセキュリティ強度は暗号技術のセキュリティ(暗号学的安全性) を判断する上での目安となるものであり、利用する鍵長によってセキュリティ強度と処理効率などが変わることに留意する必要があります。 アルゴリズムの中には(特にRSAなどの公開鍵
背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……
大人の学びのパターン・ランゲージ(略称まなパタ) A Pattern Language for Lifelong Learning 1 2 制作の背景 変化の激しい不確実の時代には、自分を常にアップデートしていかなけれ ばいけない状況になってきています。しかし、独立行政法人情報処理推進 機構(IPA)が 2018 年度から継続的に行っているスキル変革等に関する 調査の中で、多くの人材が学んでいないという結果が出ました。その対応策 の 1 つのアプローチとして、学び続ける実践者の方々にインタビューして、大 人が学び続けるためのヒントとなるパターン・ランゲージを制作しました。 <ご参考 URL> ・大人の学びのパターン・ランゲージ(略称まなパタ) 本書の IPA 掲載ページです。 https://www.ipa.go.jp/jinzai/skill-transformation/henkaku
アジャイルのカギは 経営にあり ITSS+ アジャイル領域 Ver1.0 Ⅰ. イントロダクション Ⅱ. ある銀行でのアジャイル実践例 Ⅳ. 実践例で読み解くPMBOK🄬🄬第7版の12の原則 アジャイルWGメンバー一覧 目次 4 8 26 30 38 41 40 V. IPAから読者へのメッセージ 37 1. 経営の立場からのメッセージ 2. 現場の立場からのメッセージ Ⅲ. 老舗旅館でのアジャイル実践例 8 14 22 Ⅰ. イントロダクション なぜ変革をせねばならないのか 市場競争が激しくなり、競争相手は日本だけでなく世界にまで広がり、これまでのやり 方では先々通用しなくなると、多くの経営者が感じています。そして、あなたも、大切 な現場の仲間たちも、そんな厳しい状況の中で、日々苦闘しています。現場の仲間とは、 社員はもちろんですが、一緒に業界や地域を盛り上げようとしているビジネスパ
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。 最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。 これらのような事態とならないよう、(1)企業や組織の管理者、(2)企業や組織の利用者、(3)個人の利用者、のそれぞれの対象者に対して取るべき対策をまとめています。 ■長期休暇における情報セキ
組織内部者の不正による顧客情報や製品情報などの漏えいは事業の根幹を揺るがすインシデントであり、内部不正が発生するリスクの把握や効果的な対策の検討は、組織にとって喫緊の課題です。IPAでは、このような背景から、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的として2013年に「組織における内部不正防止ガイドライン」を作成し、2022年4月に改訂版第5版を公開しました。 本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。 各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不
IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は本日、内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」を改訂し、第5版を公開しました。5年ぶりの改訂となる本版では、個人情報保護法や不正競争防止法等の法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加しました。 URL:https://www.ipa.go.jp/security/fy24/reports/insider/ 近年、組織内部者の不正行為による情報セキュリティ事故がたびたび報道されています。IPAは組織における内部不正防止を推進するため、2013年3月に「組織における内部不正防止ガイドライン」を公開し、2014年、2015年、2017年に改訂してきました。このたび、近年の事業環境の変化や情報漏えい対策技術の進歩などを踏まえ、5年ぶりとなる改訂版を公開しました。 事業環境
クラウドサービスのサプライチェーンリスクマネジメント調査の結果を公開 働き方改革や新型コロナウイルス感染防止対策の一つとしてテレワークが定着したことで、クラウドサービスの利用が増加し、クラウドサービスの導入時にセキュリティリスクの検討やセキュリティ対策を考慮せずに導入してしまうケースも多く、ITサービスの提供や利用におけるITサプライチェーンのセキュリティリスクが高まってきました。さらに、クラウドサービスの活用に係る多くのインシデントが報告されており、クラウドサービスに係るセキュリティリスクが注目されています。 そこで、今年度は今般のICTの環境の変化に伴い利用が不可欠となったクラウドサービスの中でも利用者の急増に伴い市場が拡大しているSaaSに着眼してSaaSのサプライチェーンのセキュリティ対策について調査し、SaaSのサプライチェーンのインシデント情報の収集と分析および脅威、リスク、今
セキュリティに関する窓口設置推奨資料 ウェブサイトの脆弱性対策の一つとして、運営しているウェブサイトについてのセキュリティ上の問題に関する情報を受け付けるための連絡先となる窓口の設置が挙げられます。しかしながら、窓口の設置の必要性が理解されにくい状況にあり、また、窓口の設置・運営にあたっての課題やその対処方法もあまり知られていないと推察されます。こうした状況を踏まえ、ウェブサイト運営者による窓口設置・運営体制の強化を実現するため、ウェブサイト運営者に窓口設置に関する課題等にヒアリング調査を実施しました。その結果を踏まえウェブサイト運営者による窓口設置を推奨する資料として「ウェブサイト運営者向けセキュリティ問い合わせ窓口設置の手引き」を取りまとめました。 資料の構成(目次) ウェブサイトの運営には日頃からセキュリティ対策を行うことが重要です セキュリティ上の問題について外部から受付ける窓口が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く