画像：情報処理推進機構（IPA）より引用 情報処理推進機構（IPA）は2020年7月8日、ネットワーク暗号化通信技術であるTLSの暗号設定ガイドラインを更新し、2020年3月時点における安全性と相互接続性に適合させた「第三版　TLS暗号設定ガイドライン」にとりまとめ発表しました。TLSとは、ネットワーク上のデータ通信を、悪意のある第三者などに読み取られないようにするための暗号化技術です。暗号化通信技術と不正アクセスはいたちごっこの関係にあり、TLSはその前身でもあるSSL時代を含め、ダウングレード攻撃やロールバック攻撃、POODLE攻撃などの脅威に対して、新技術を導入し対処してきました。 今回のIPAによる改訂は、ウェブサービスが安全性を確保するために求められる、新たな暗号化通信技術の基準を定めたものです。ガイドラインは暗号技術評価プロジェクト「CRYPTREC」に基づき決定され、利便性と

画像：サービス一時停止の調査報告とパスワード変更のお願い/Classi株式会社より ベネッセホールディングスとソフトバンクグループの合弁会社であるClassi株式会社は2020年4月13日、同社が提供する教育機関向けのSaaS「Classi」について、外部からの不正アクセスが確認されたと明らかにしました。 同社によると2020年4月5日の夕刻、「Classi」に関係するシステムについて予期しないトラブルが発生したため、サービスの一時停止措置を決定。原因を調査する過程で不審な痕跡が確認されたため、第三者調査機関を通じて調査を実施したところ、2020年4月5日14時5分～16時19分にかけて、外部からの不正アクセスが確認されたと発表しました。 なお、同社は2020年4月6日時点で必要なセキュリティ対策を完了しており、発表以降において不正アクセスは確認されていないとしています。

会計検査院はこのほど、18億円をかけて開発された国による情報管理システム「セキュアゾーン」が、運用から２年間一度も使われずに廃止となったと調査記録で明らかにしました。 情報によりますと、国は2015年4月に起きた日本年金機構からの大量情報流出事案を受けて、同システムの開発に着手。ところが、セキュアゾーンは現場で「使いにくい」とあまり好ましい反応が得られておらず、また維持費もかかり続けるため、今回の廃止が決まりました。 「使いにくい」と不満の声 セキュアゾーンは、政府の各省庁が共有するネットワーク内にて、強固な安全領域を構築するシステムです。 具体的には、セキュアゾーンにより保護されたデータは、外部インターネット環境からは遮断され、各府省庁の専用回線でのみ閲覧できるという仕組み。外部からの漏えいを強く意識したものと考えられます。 しかし、現場の反応は芳しくありませんでした。というのも、セキュ

システムに脆弱性が存在すると、機密情報の漏洩や金銭的な損失だけでなく、企業の信用にもかかわる重要な問題に発展することがあります。しかしながら、存在する脆弱性を自社内で効率良く検査するには、時間やコストがいくらあっても不十分です。そこで取り入れたいのがペネトレーションテストです。 ペネトレーションテストは、ハッカーの視点で疑似的なサイバー攻撃を実施する手法のことで、セキュリティの専門家により脆弱性の箇所・必要な対策・想定されるサイバー攻撃被害まで確認できます。セキュリティの検査には脆弱性診断もありますが、それとは少し異なります。今回はペネトレーションテストの概要を紹介し、脆弱性診断との違いについて詳しく解説していきます。 相談無料WEBサイト脆弱性診断 +改善アドバイス ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、実際に起こりうるサイバー攻撃