情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2024年7月30日 サイズ ソフトカバーA4判 ページ数 264ページ ISBN ISBN 978-4-905318-80-4 定価 定価:2,200円(本体価格2,000 円+税10%) 書籍概要 概要 情報セキュリティ白書2024 変革の波にひそむ脅威:リスクを見直し対策を IPAでは、「情報セキュリティ白書」を2008年から毎年発行しています。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げています。 国内外の官民の各種データ、資料を数多く引用し、トピックを解説しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 「情報セキュリティ白書2024」における2023年度の情報セキュリ
segunabe.com - このウェブサイトは販売用です! - segunabe リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
PTA講習会で情報モラル・情報セキュリティの講師をどう探す? - EducationTomorrow
学校や地域、PTAなど子供にかかわる大人が関心を持つ話題の「情報モラル」や「情報セキュリティ」について講習会を開催しよう思った場合、どこに依頼すればよいのでしょうか。 筆者が代表を務める子供とネットを考える会では、定期的な勉強会だけでなく依頼を受けて講習会や研修会を行っています。 その際に、「毎年同じ講師に依頼を行うことができないので、どこか紹介いただけますか?」と聞かれることがあります。 もちろん、継続した啓発活動に関わることができればという思いはありますが、多くの学校・PTA行事がある中で、年に1度だけでも最新の話題を聞いて心を引き締めたいという気持ちもよくわかります。 しかし、人権講習会担当のPTA委員の中には「毎年、違う講師を探す」ことを苦痛に感じたり、頭を抱えたりしているといった方も多いようです。 PTA総会の際に近隣の学校が声をかけた講師を紹介しあったり、学校の先生に紹介しても
第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング | gihyo.jp
前回は、Webアプリケーションにおける受動的攻撃の代表例の1つであるXSSについて、原理や対策を振り返りました。今回は、同じく受動的攻撃の代表例であるCSRF、オープンリダイレクト、クリックジャッキングについて掘り下げて解説していきます。 CSRF(クロスサイトリクエストフォージェリ) CSRFはどのように引き起こされるのか CSRFとは、たとえば掲示板の書き込みや設定情報の変更などの機能に対して、攻撃者のサイト上に設置されたフォームなどから強制的にリクエストを発行することで、ユーザーの意図していない操作と同様の結果をもたらす攻撃手法です。Webアプリケーションに永続的な副作用がある機能が攻撃の対象となります。 たとえば、http://example.jp/上に設置された掲示板で以下のようなHTMLがあったとします。 <form method="POST" action="/board">
Web セキュリティに関するインターンで伝えようとしたこと - co3k.org
これは VOYAGE GROUP エンジニアブログ:Advent Calendar 2014 の 17 日目のエントリです。 VOYAGE GROUP では もの創り実践プログラム Treasure というエンジニア向けインターンシップを開催しています [1] [2] 。 Treasure 全体の様子は既に VOYAGE GROUP エンジニアブログにて 前編 と 後編 に分けて紹介されていますが、このエントリでは、前半パートにおいて僕が担当した Web セキュリティに関する講義についてお話ししていきます [3] 。 講義は休憩や実際に手を動かしてもらいつつで 3 時間半という長丁場でしたが、なぜか随所で笑いが巻き起こる状態で非常に評判がよく、同じ内容を 独立した 1 day インターンシップとして京都でも開催 させていただけました [4] 。これもひとえに必死に内容に食らいついてくれたイ
学校では教えてくれない、脆弱性発見時の対応のこと
生業として脆弱性検査をやっていない限り、Web サイトの脆弱性にぶち当たったりすることは、稀なことだとは思うんですよね。 自分も、ずいぶんと長いことコンピュータの仕事に関わってきましたけど、一ユーザとして脆弱性を見つけてしまったことは、後にも先にも以前書いた図書館システムの件だけだったりしますが…。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたので、新システム切り替わりと同時にパスワードを変更して使っていたわけですが、新システムに切り替わって 1 ヶ月になろうかという頃、利用者メニューにログインしているときに、ふといや~な予感が…。 [From セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末 - Soukaku's HENA-CHOKO Blog] でもって、数日前に見かけた見かけた、こんな話。 学
2014年8月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第14-13-318号 掲載日:2014年 8月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) 前月の呼びかけ※1でも紹介しているように、インターネットバンキングにおける不正送金被害は増加傾向にあります。 また、全国銀行協会が発表したアンケート結果※2に基づく過去2年間の法人口座の不正送金被害の推移を見ると、平成26年に急増していることがわかります(図1参照)。 図1:法人口座の不正送金被害の推移(過去2年間) 被害額急増の理由の1つに電子証明書※3を窃取するウイルスによる新しい手口※4の出現があります。 今月の呼びかけでは、法人口座を狙う不正送金の新しい手口と、その対策方法について解説します。
XSS再入門
4. 典型的なXSSサンプルに対する「素朴な疑問」 • クッキーの値がアラートで表示されても、特に危険性はないよ うな気がする • クッキーの値はブラウザのアドオンなどでも表示できるよね • 任意のJavaScriptが実行されると言っても、ホームページ作 れば任意のJavaScriptが書けるし、見た人のブラウザで実行 されるよね… Copyright © 2013 HASH Consulting Corp. 4 5. そもそもの疑問:JavaScriptは危険か? • 実は、JavaScriptの実行自体は危険ではない • Webは、未知の(ひょっとすると悪意のある?)サイトを訪問し ても「悪いこと」が起きないように設計されている • JavaScriptの「サンドボックス」による保護 – JavaScriptからローカルファイルにアクセスできない – JavaScriptからクリップ
2013年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第13-25-293号 掲載日:2013年6月4日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) IPAセキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け付けています。特に不正アクセスの中の「ウェブ改ざん」に着目すると、4月1日から5月31日までの間に既に10件ものウェブ改ざんに関する届出が寄せられています。過去には、いわゆる「ガンブラー」の手口が流行した2010年第1四半期と、去年9月に近隣諸国からと思われる攻撃が多発した2012年第3四半期に、それぞれ16件のウェブ改ざんが届け出られていますが(図1参照)、それに匹敵する件数です。 図1:IPAに届け出られたウェブ改ざんの件数推移(直近4年間) 「ウェブ改ざん」というとサーバーの弱点を悪用されるものと思われがちですが、それ以外にも、ウェブページの
実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー・ジャパン
ライフハッカー編集部様 私の会社やいくつかのウェブサイトが、パスワードを定期的(たとえば3カ月おき)に変えるように強制してきます。基本的にパスワードはどれくらいの頻度で変えるべきなのでしょうか? 使い古しのパスワード(Stale Passwords)より 使い古しのパスワードさん、こんにちは。 多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。■なぜ企業はパスワードに有効期限を設けているのか? パスワードを定期的に変える利点は、パスワードが盗まれた場合に、犯人がシステムに侵入できる期間を制限できることです。もし、パスワードに有効期限がなく、またパスワードが盗まれたことにも気づかな
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
パスワードの新常識:ITpro
最も利用されているユーザー認証方式の「パスワード」。その常識が変わってきている。以前は、とにかく複雑にすることが重要だった。推測やツールによるパスワード破りを防ぐためだ。ところが最近では、それだけでは不十分になっている。大手企業のWebサービスなどからのパスワード流出が相次いでいるためだ。「新常識」に基づいたパスワード作成術&管理術で身を守ろう。 目次
エフセキュアブログ : いや、パスワードをしっかりSaltingしても十分ではない、CUDA Accelerated PBKDF2を使用すべし
いや、パスワードをしっかりSaltingしても十分ではない、CUDA Accelerated PBKDF2を使用すべし 2012年06月12日19:52 ツイート fsecure_corporation ヘルシンキ発 by:ジャルノ・ネメラ 私は最近のパスワードのリーク(LinkedIn、eHarmony、Last.fm)に関するオンラインの議論を追ってきたが、salt値がパスワードを安全にするという強固な信念を持つ開発者が、まだ大勢いるようだ。 攻撃者がsaltを有していたとしても、攻撃は実質上可能ではない。何故なら14文字の鍵空間をチェックするには非常に時間が掛かるためで、よってsaltにより安全が保たれる、というのが一般的な推論のようだ。小さい子供がテディベアを抱きしめるように、デベロッパはsaltを握りしめていれば、すべての悪しきクラッカーを寄せ付けずにいられると考えている、と言
若い人の方が恐ろしく簡単なパスワードを使う傾向がある
By binaryCoco 若い人の方がITリテラシーが高くてパスワード管理もしっかりしていそうなイメージがありますが、実際は年長者の方が難しいパスワードを設定しており、若い人は驚くほど簡単なパスワードを使っているという傾向があることが、Yahoo!で使用されている7000万件のパスワード調査からわかりました。 Young people pick terrible passwords compared to their elders - Neowin ネット上に置いている重要情報を攻撃者から守ってくれるほぼ唯一のものが「パスワード」です。しかし、Eメールや銀行口座のパスワードであっても、多くの人が単純なパスワードを使用しています。よく使われるパスワードトップ500によると1位が「123456」、2位が「password」、3位が「12345678」、4位が「1234」で、そのほかにもほとん
TechCrunch | Startup and Technology News
Welcome to Startups Weekly. Sign up here to get it in your inbox every Friday afternoon. The event horizon for when we can expect to end up in (literal) hot water when it comes to climate has come a l NASA has announced Space Act agreements with seven private space companies in the hopes of spurring tech developments the government may invest in down the line, from space stations to human transpor
「パスワードはメールで別途送ります」の存在意義とは - カイ士伝
お仕事のやり取りでたまに遭遇しつつ気になっていたのが、メールでファイルをやり取りする際にパスワードを設定し、そのパスワードを「メールで別途送ります」というやりとり。ファイル開くのに手間がかかるばかりで、セキュリティ的にもさほど高いとはとても思えず、でもこのやり方がビジネス上時折発生するのを不思議に思っておりました。 そんなことをわーわー騒いでいたら周囲の人がいろいろ意見をいただいたのでこのエントリーで簡単にまとめ。とはいえ、今のところ「パスワードはメールで別途送ります」のメリットが全然見えてなかったりもするのですが……。 1.誤送信防止のため 「パスワードは別途送ります」の理由として最初に教えられたのがこれ。1通だと間違えて送ってしまった場合にやり直しが効かないけれど、2通に分けて送ることで誤送信を対処できるとの理由だったんですがこれがどうにも腑に落ちない。 そもそも「宛先を間違う」ことを
「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem's blog
昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました 現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パ
パスワードは全て異なるものにするしかない : akiyan.com
パスワードは全て異なるものにするしかない 2012-05-14 目次 共通パスワードは恐ろしい 1年くらい前から、全てのウェブサービスのパスワードをユニークな(=全て異なる)パスワードにしました。100以上の利用サービスがあるので、達成するまでは手間でしたが、達成後はかなりの安心感を得ることができました。 どうやったのかは後で説明しますが、なぜそうしたかというと、あるとき、同じパスワードを使い回すのが恐ろしくなったんですよね。 どういうことかというと、「サービスA」「サービスB」があるとします。パスワードが同じだと、サービスAのパスワードが流出したときに、サービスBにまで被害が広がる恐れがあります。流出しなくても、サービスAの管理者が悪意を持っていれば、サービスBにアクセスできてしまします。 これを現実世界の鍵に例えると、「家の鍵と、貸しロッカーの鍵が同じ」みたいなものです。こう思うとヤバ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
So-net セキュリティ通信
TechCrunch | Startup and Technology News