DX白書2023 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
編集・発行元 独立行政法人情報処理推進機構 発行日 2023年3月16日 サイズ A4 ページ数 397ページ ISBN 978-4-905318-78-1 定価 3,300円(本体価格3,000 円+税10%) DX白書2023 進み始めた「デジタル」、進まない「トランスフォーメーション」 企業を取り巻く環境は目まぐるしく変化しており、将来の予測が困難となっています。そのため、企業にとって新たな事業環境にあわせた事業変革は優先度の高い取組事項となっています。このような中、企業は環境変化への迅速な対応や、システムのみならず企業文化をも変革していくDX(デジタルトランスフォーメーション)への取組が必要となっています。 IPAは2009年から「IT人材白書」、2017年から「AI白書」を発行し、IT人材や新技術の動向について情報を発信してきました。2021年には、デジタルトランスフォーメーショ
ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
脆弱性関連情報の届出受付 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
脆弱性関連情報の届出受付 脆弱性関連情報の届出受付とは 脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004年7月8日から経済産業省の告示に基づき策定された情報セキュリティ早期警戒パートナーシップガイドライン(PDF:1.2MB)に則り運用しています。 経済産業省の告示にて、下記のとおり指定されています。 脆弱性関連情報の届出の受付機関 独立行政法人情報処理推進機構(IPA) 脆弱性関連情報に関して製品開発者への連絡および公表に係る調整機関 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 留意事項 脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。 発見者
ファジング:FAQ:IPA 独立行政法人 情報処理推進機構
ファジングとは Q1ファジングとは何ですか。 A1ファジングとは、組込み機器やソフトウェア製品のバグや未知の脆弱性を検出する、セキュリティテストです。 Q2ファジングはどのようなテストですか。 A2検査対象に問題が起きそうな様々な細工をしたデータを送り、検査対象に異常な動作が起きないかどうかを検査します。 Q3ファジングで扱う問題が起きそうなデータにはどんなものがありますか。また、どのように作れば良いですか。 A3問題が起きそうなデータの一例として、極端に長い文字列や記号の組み合わせなどがあります。このような問題を起こしそうなデータは、ファジングツール(以降、ツールと表記)を使うと自動的に作成することができます。 ファジングツールについて Q4ファジングツールでは、どんなことができますか。 A4ツールは、問題が起きそうなデータを大量に自動で作成できます。また、作成データの検査対象への自動送
fuzzing.html#003
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第7章 エコーバック対策:スクリプト注入: #1 対策
第7章 エコーバック対策 スクリプト注入: #1 ふたつの攻撃 スクリプト注入を許してしまうWebサーバの挙動 スクリプト注入(Script injection)は、被害者のブラウザに悪意のスクリプト(大部分はJavaScriptのコード)が入り込み、ブラウザの内側からセキュリティ侵害が起こる問題である。 代表的な攻撃として、いわゆる「クロスサイトスクリプティング(XSS)」が挙げられることが多い。これは Webサーバのエコーバック(鸚鵡返し(おうむがえし))のロジックを悪用する攻撃である。もうひとつ、いわゆる「第二攻撃(Second-order XSS)」も挙げられる。 いずれの攻撃においても、スクリプト注入を許してしまう Webサーバは、HTML生成時のスクリプト除染が不備なものである。 参考: CWE-79: Improper Neutralization of Input Duri
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
