IPA、情報セキュリティ教科書の最新版を刊行
「情報セキュリティ読本 三訂版 IT時代の危機管理入門」(編著:情報処理推進機構)、A5判/144ページ、ISBN:ISBN978-4-407-31800-5、定価500円、実教出版 情報処理推進機構(IPA)は、コンピュータユーザー向けの情報セキュリティ教本「情報セキュリティ読本 三訂版」(実教出版)を刊行した。8月10日ごろから全国の書店で販売されている。 同書は、2006年11月に刊行した前回の内容を最新のセキュリティ環境の変化に合わせて改訂したもの。ボットを使用した攻撃や標的型攻撃、フィッシング詐欺など、近年の攻撃手法と被害事例を解説するとともに、企業などの組織に求められるリテラシーや倫理などの項が加わった。 特に攻撃手法の解説では、脆弱性を悪用する攻撃としてDNSキャッシュポイズニングやSQLインジェクション攻撃を追加。用語集では新しい用語を追加し、解説ページの番号を付記するなど
USBメモリの自動実行を無効にして――IPAが注意喚起
IPAはリムーバブルメディアの自動実行機能を悪用するマルウェア被害が続いているとして、MSが公開している無効化機能などの導入を呼び掛けている。 情報処理推進機構(IPA)セキュリティセンターは5月7日、4月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。リムーバブルメディアの自動実行機能を悪用するマルウェア被害が続いているとして、対策の導入を呼び掛けた。 2008年後半から猛威を振るっている「Conficker(別名Downad)」ワームのように、近年はUSBメモリなどのリムーバブルメディアで感染を広げるマルウェアが増加している。これらのマルウェアは、OSの自動実行機能を悪用してユーザーがマルウェアに気付く前に感染してしまうケースが多い。リムーバブルメディアは、容易にデータを持ち運べる利便性から急速に普及し、攻撃者が感染を効率的に広げる手段として注目しているとみられる。 国内
SIPの脆弱性に関する検証ツールを公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための標準的な通信開始手順であるSIP(Session Initiation Protocol)に関して、「SIPに係る既知の脆弱性検証ツール」の開発を行い、2009年4月23日よりSIP実装製品の開発者向けに、CD-ROMでの貸し出しを開始しました。 併せて、「SIPに係る既知の脆弱性に関する調査報告書」の改訂を行い、改訂第2版をIPAのウェブサイトで公開しました。 SIP(*1)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっています。 SIPを実装したソフトウェアには、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきました。しかし、こ
情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む | アーカイブ | IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2008年にIPAに届けられた情報や一般に公開された情報を基に、「10大脅威 攻撃手法の『多様化』が進む」を編纂し、2009年3月24日(火)よりIPAのウェブサイトで公開しました。また、2009年6月25日(木)より英語版を公開しました。 本資料は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など111名から構成される「情報セキュリティ検討会(本資料のP.25参照)」でまとめたものです。2005年より毎年公開しており、今年で5回目となります。 安全なインターネットの利用における脅威を、2008年に「印象が強かったもの」「社会的影響が大きいもの」などの
IPA、「情報漏えいしたらどうすれば?」をまとめたマニュアルを公開
情報処理推進機構(IPA)は8月30日、情報漏えい事件(インシデント)が発生した際の対応策のベストプラクティスをまとめた対応ポイント集を公開した。セキュリティの専門家がいない中小企業などを対象に、インシデント発生時の迅速な対応をするための「参考書」として提供する。 IPAが公開した「情報漏えい発生時の対応ポイント集」は、過去5年間に報じられた情報漏えい事件を基に調査/分析を行い、専門家が情報漏えいのタイプ別の対応マニュアルを小冊子として分かりやすくまとめたもの。内容は、インシデント対応における作業ステップや発表などに関するノウハウや、紛失・盗難、内部犯行、Winnyへの漏えい、ウイルス感染、風評・ブログ掲載といった情報漏えいタイプ別の対応作業や留意点が記されている。 IPAでは「インシデントが発生した場合に、対応チームが短時間に理解し、適切で速やかな対応ができるように参考書として役立ててほ
情報セキュリティ教本 改訂版 -組織の情報セキュリティ対策実践の手引き:IPA 独立行政法人 情報処理推進機構
情報セキュリティ責任者・担当者のための教科書「情報セキュリティ教本 改訂版」を刊行いたしました。改訂版は、2007年4月に刊行された「情報セキュリティ教本」の内容を、セキュリティ環境の変化にあわせて見直し、書き直したものです。改訂版の主な変更点はこちらからご覧ください。 本書は、企業・学校・政府機関・団体等の情報セキュリティ担当者、責任者、部門長、経営者などを対象に、組織として情報セキュリティ対策をどのように行えばよいかを、さまざまな事例を交え解説しています。その際、情報セキュリティ担当者、責任者として知っておくべき基本的事項は網羅するように工夫しています。 本書の説明は、PDCAサイクルに沿って進んでいきます。情報セキュリティの組織と体制づくりにはじまり、セキュリティポリシーのつくり方、情報の管理、リスクマネジメント、技術的対策の基本、導入と運用のポイント、脆弱性検査、セキュリティ評価な
古いソフトウェア製品を利用しているウェブサイトへの注意喚起:IPA 独立行政法人 情報処理推進機構
-ウェブサイト運営者は脆弱性対策情報を収集し、 修正プログラム(パッチ)の迅速な適用を!- 最終更新日 2009年3月17日 掲載日 2009年3月17日 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「ソフトウェア製品に脆弱性が発見され、その開発者から修正プログラム(パッチ)が公表されているが、実際に運用しているウェブサイトがパッチを適用していないのではないか?」という旨の届出が増加している状況をふまえ、ウェブサイト運営者に対し脆弱性対策情報の収集とパッチの迅速な適用を呼びかけます。 ソフトウェアの脆弱性を狙った攻撃に対処するためには、攻撃が行われる前に、ソフトウェアに修正プログラム(パッチ)を適用する必要があります。近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっており、ウェブサイト運営者は迅速な対応が求められます。 2008年第3四半期頃か
DNSキャッシュポイズニング対策:IPA 独立行政法人 情報処理推進機構
本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。
君はサイトを守り抜けるか?--IPA、ゲーム感覚で学べる「安全なウェブサイト運営入門」を公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構(IPA)は6月18日、ウェブサイト運営で発生するさまざまな問題とその対処法について体験的な学習が行えるWindows用ソフトウェア「安全なウェブサイト運営入門−7つの事件を体験し、ウェブサイトを守り抜け!−」をIPAのウェブサイト上で公開した。無償で利用できる。 同ソフトには、ウェブサイトの脆弱性によるビジネスへの被害を中心とした7つのシナリオが用意されており、ユーザーは物語を読み進めながら、サイト運営に際して発生しうる問題と、その問題に対する適切な対応に関して理解を深めることができる。 主人公は、企業のコマースサイトを担当することになったプロジェクトリーダーという設定。サイト運営の中でさまざまな事件に直面
コンピュータウイルス・不正アクセスの届出状況[2008年4月分]について:IPA 独立行政法人 情報処理推進機構
第08-08-123号 2008年 5月 2日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 独立行政法人 情報処理推進機構(略称 IPA、理事長:西垣 浩司)は、2008年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 1. 今月の呼びかけ 最近、官邸や警察機関などから発信されたと見せ掛けたメールが出回っていることが報告されています。また、2008年4月に、IPAの名を騙(かた)って、特定の組織にメールの添付ファイルとしてウイルスを送りつける事例が表面化しました。 これらは、いずれもメールを送りつけた相手に何とか添付ファイルを開かせようとするために、公的機関を装ったものです。たとえ、送信元メールアドレスに「.go.jp」があったとしても注意が必要です。 今回確認された事例は、特定の組織を狙ってメールを送
IPAがWebサイトのSQLインジェクションの脆弱性検出ツールを無償公開 ― TechTargetジャパン
情報処理推進機構(IPA)は4月18日、WebサイトのSQLインジェクションの脆弱性を検出する無償のツール「iLogScanner」を公開した。 iLogScannerは、ユーザーが用意したWebサーバのアクセスログの中から、WebサイトへのSQLインジェクション攻撃によく用いられる文字列を検出し、Webサイトが日ごろどれだけの攻撃を受けているか、また、Webサイトの脆弱性により攻撃が成功した可能性があるかを検出し、解析結果をリポート出力するツール。ただし、簡易的なツールであり、攻撃を100%検出できるわけではない。IPAのWebサイトからダウンロードし、利用者のWebブラウザ上で実行するJavaアプレット形式のプログラムとなっている。 iLogScannerの稼働環境は、OSがWindows XP Professional SP2、WebブラウザがInternet Explorer 7、
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
