セキュリティ関連費用の可視化 :IPA 独立行政法人 情報処理推進機構
近年、サイバー攻撃が複雑高度化しており、サイバー攻撃が事業継続に及ぼすリスクはどんな企業であっても見逃すことはできません。また、企業が新たな価値創出をし、競争優位性を高めるためにはDX(デジタルトランスフォーメーション)の推進が欠かせません。 これらの課題に取り組む上で、企業のセキュリティ対策は不可欠ですが、実際に自社にセキュリティ製品やサービスを導入するためには、社内予算を確保する必要があります。 しかし、予算権限を有する経営者は必ずしも情報システム(IT)、制御システム(OT)のセキュリティ分野に関する知見があるわけではありません。 そのため、企業のセキュリティ担当者にはセキュリティ対策を経営者が理解できるような言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多いと考えております。 セキュリティ対策を遂行するための予算を上手く確保できない原因とし
「経営層への情報セキュリティの説明大変ですよね?」 IPA、予算確保の説得材料を出してくれるツール公開
情報処理推進機構(IPA)は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか?」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心! IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス
Hyper-V virtual machine doesn't start with error 0x80070005 - Windows Server
This article helps fix the error 0x80070005 that occurs when a Hyper-V virtual machine fails to start. Applies to: Windows Server 2012 R2 Original KB number: 2249906 Symptoms A Hyper-V virtual machine may fail to start, and you receive an error message that resembles the following: An error occurred while attempting to start the selected virtual machine(s). 'VMName' failed to start. Microsoft
Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト
2022年12月4日よりDocker版実習環境を提供します。オリジナルの実習環境はVirtualBox上の仮想マシンとして提供していますが、M1/M2 MacではVirtualBoxが動作しないことから、Docker版として提供するものです。 元々はM1/M2 Macを想定してARM64アーキテクチャ用に作りましたが、AMD64のWindowsやMacでも動作するように作っています。 Dockerコンテナの起動方法 ダウンロードページから実習用仮想マシン (Docker版)をダウンロードして適当なディレクトリに設置してください。 以下のコマンドによるコンテナーのビルド及び実行をします。 $ cd <wasbook-docker.zip を設置したディレクトリ> $ unzip wasbook-docker.zip # あるいは適当な方法でのzip解凍 $ cd wasbook-docker
パスワードの代替「パスキー」が続々登場、Microsoft・Apple・Googleが対応
Ars Technicaは10月25日(米国時間)、「Passkeys—Microsoft, Apple, and Google’s password killer—are finally here|Ars Technica」において、安全で使いやすいパスワードの代用品がついに登場したと伝えた。Microsoft、Apple、Googleの「パスキー(Passkeys)」の登場によって、パスワードの代替手段を手に入れることが可能になったという。 パスワードに変わる新たな選択肢として、パスキーが具現化した。もともと認証情報をハードウェアに保存するためのさまざまなスキームのことをパスキーと呼び、コンセプトは10年以上前から存在していた。パスキーは、パスワードよりも使いやすく、クレデンシャルフィッシングやクレデンシャルスタッフィング、アカウント乗っ取り攻撃にも完全な耐性があるといわれている。 F
会社が許可していない“シャドーIT” 大企業でも2割が利用
ではなぜシャドーITを利用するのか。理由のトップは「利用することで生産性の向上が見込めるから」(41.7%)だった。2位に「特に問題はないと思った」、3位に「会社で利用しているサービスが非効率だから」と続いた。 具体的にどんなサービスをシャドーITとして利用しているかを尋ねたところ、コミュニケーションツールやクラウドストレージ、翻訳ツールなどが挙がった。 仕事を進める上で重視するのは「生産性」か「安全性」か シャドーITを生産性のために利用するビジネスパーソンがいる一方で、7割以上が「生産性よりも安全性を重視する」としている。その理由は「安全が侵されると、結果的に生産性が落ちるから」「万一のことを考えた場合責任が取れない」といったものだった。 一方で、「安全性よりも生産性を重視する」と答えた3割に理由を聞くと、「安全性を求めすぎると生産性が失われる」「生産性が弊社では評価基準」「生産性を上
WindowsのファイアウォールをPowerShellから制御する
Windows 10/11のファイアウォールは、コントロールパネルの「Windows Defender ファイアウォール」からGUIで設定が可能だ。ただ、これが意外に面倒。もっとも通常は、アプリがインターネットと接続するときにルールが自動で設定され、ユーザーは確認するだけなので、わざわざなにかをする必要は基本的にない。 しかし、一部のアプリケーションでは、ファイアウォールを手動で設定する必要があり、また、ネットワーク関連のちょっとした実験などで、LAN側からアクセスする場合にも、ファイアウォールにルールを追加して特定のパケットを通すことが求められるケースがある。こうしたファイアウォールへのルールの追加を俗にファイアウォールを「開ける」などという。 今回は、PowerShellを使って、ファイアウォールを「開ける」作業を簡単にする方法を解説する。 そもそもWindows Defenderファ
SPAセキュリティ超入門 | ドクセル
スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs
情シス部門のゼロトラスト導入に向けて#1 ゼロトラストを考えてみよう | LAC WATCH
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。 こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについて紐解いて行きたいと思います。 情報セキュリティとは 皆さんご存知のように、情報セキュリティとは、アクセスを認可された者だけが、情報にアクセスできることを確実にする「機密性」、情報および処理方法が正確であることおよび完全であることを保護する「完全性」、認可された利用者が必要な時に情報および関連する資産にアクセスできることを確実にする「可用性」の3つの概念によって構成されています。その目的は「情報」を守る
「まだTelnetを使い、インターネットに公開している企業がある」 ExtraHopが警告
同社は「意図的であれ、偶発的であれ、こうしたプロトコルを通じてサイバー攻撃者によるネットワークへの侵入が容易になり、企業に対する攻撃リスクが増大する」と警告している。 非推奨のTelnetだが、12%の企業が利用 このレポートは、ExtraHop Networksが世界の企業のIT環境を分析して、開いているTCP/IPポートと、インターネットに公開されている通信プロトコルを観点に、企業のサイバーセキュリティ体制を調べたもの。それによると、企業が公開しているプロトコルとセキュリティには幾つかの特徴があるという。 関連記事 「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解
警察庁の情報流出が新たに判明、富士通「ProjectWEB」不正アクセス問題
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、警察庁のシステム情報も漏洩していたことが日経クロステックの取材で2021年9月6日までに分かった。 警察庁は日経クロステックの取材に対し、流出した情報は「過去に運用していたシステムの設計情報など」と書面で回答。「当該システム撤去後においても富士通が(データを)廃棄しておらず、同社に対する不正アクセスにより情報が流出したと、2021年5月末以降に報告を受けた」(警察庁)と説明した。富士通に対して被害の実態を調査するよう求めているという。 警察庁は「情報が流出したシステムは不正アクセスがあったとされる時点で既に運用を終了し撤去済みであり、特段の問題は生じていない」と説明。富士通に開発や設計、保守などを委託している現在運用中のシステムについては「追加の対策を講じるなどセキュリティーの
夏休みにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
多くの人がお盆休みや夏休みなどの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。 最近では外出自粛の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。 これらのような事態とならないよう、(1)組織のシステム管理者、(2)組織の利用者、(3)家庭の利用者、のそれぞれの対象者に対して取るべき対策をまとめています。 ■長期休暇における情報セキュリ
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書など | アーカイブ | IPA 独立行政法人 情報処理推進機構
IPAは、「情報システム等の脆弱性情報の取扱いに関する研究会」における2020年度の活動成果として、小規模ウェブサイト運営者の脆弱性対策状況を調査した報告書や、ウェブサイト運営者が取るべき脆弱性対応をとりまとめた「企業ウェブサイトのための脆弱性対応ガイド」改訂版などを公開しました。 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)において、今年度は、小規模ウェブサイト運営者の脆弱性対策状況や課題を踏まえた方策を検討するため、2012年度と同様に小規模ウェブサイト運営者の現状把握のアンケート調査を実施し、2012年度の調査結果との比較考察等を行いました。さらに、調査結果を踏まえて、脆弱性対策の取り組みを促すための資料である、「企業ウェブサイトのための脆弱性対応ガイド」を改訂しました。 また、情報セキュリティ早期警戒パート
あなたのサイトは大丈夫? PHPでやるべきセッションハイジャック対策! | 株式会社AMG Solution
前回、Cookieとセッションについての基本的な部分をご説明させていただきました。 今回はもう一歩踏み込んで、PHPでセキュリティを高める為にすべき事をご説明したいと思います。 動くだけでなくセキュリティも意識したシステムとなるよう、しっかりと対策していきましょう。 セッションIDをURLに含めない 前回のブログで、PHPではCookieを利用してセッションIDを管理していると言いましたが、 設定によってはURLにセッションIDを付加して管理することも可能です。 デフォルト設定ではCookieで管理する設定になっていますので変更する必要はありませんが、 この設定を変更するとセッションIDが画面上に表示されている状態となります。 画面を見られただけでセッションIDが盗まれてしまい、 ユーザーのなりすましなどをされてしまう可能性があるので、 PHPでセッションIDをURLに含めないよう、php
だから言わんこっちゃない、LINE情報漏洩の深すぎる闇(山本 一郎) @gendai_biz
7年前から指摘してきたのに 今回、朝日新聞・峯村健司さんらの報道で明らかになった、⽇本国内で最も利⽤されているSNS「LINE」の個⼈情報が、⽇本国外である韓国のサーバーに暗号化されていない無防備状態格納されており、しかも再委託先の中国企業などがアクセス可能な状態だったという事件は、第一級の情報漏洩事案である可能性があり、安全保障上、極めて重大な損失を日本の国家・社会に与えかねないものだと認識しています。 筆者は、LINEが設立に関与した一般財団法人情報法制研究所の事務局次長と上席研究員を兼任し、また、日本の個人情報保護の枠組みについて研究を行ってきました。 本件LINEの事件についても知り得る立場にあり、2014年ごろからこの問題について警鐘を鳴らしてきたつもりではありましたが、今回の一連の報道でようやく広く国民の知るところとなり問題視された件については、安堵と同時に忸怩たる気持ちを抱き
LINEの個人情報問題に政府が敏感に反応した理由--「行政のデジタル化」遅れの懸念も
LINEユーザーの個人情報が、同社の委託先の中国企業でアクセスできる状態にあったことが判明した。それを受けて、総務省がLINEを活用した行政サービスを停止すると公表するなど大きな影響が出ているようだ。この一連の動きは、LINEの利用者と日本の行政サービス、そしてLINEを含む新Zホールディングスの戦略にどのような影響をもたらすだろうか。 個人情報へのアクセス権が中国のグループ企業にも 3月1日に旧Zホールディングスとの経営統合を発表したメッセンジャーアプリ大手のLINEだが、同社を巡って大きな問題が起きている。発端となったのは3月17日、複数のメディアでLINEの国内利用者の個人情報管理に不備があると報じられたことだ。 それを受ける形で、LINEも同日にプレスリリースを公表。LINEへの外部からの不正アクセスや情報漏えいなどは起きていないものの、国内ユーザーの個人情報の一部に関して、業務上
「GitHub禁止は解決にならない」「過度にリスク面だけ注目しないで」 IT連が声明
日本のIT関連団体を束ねる日本IT団体連盟(以下、IT連)は2月10日、開発者向けクラウドサービス「GitHub」を通じて企業のソースコードが一部公開された事件について、「GitHubなどの外部クラウドサービスを禁止することは解決策にならない」とする声明を発表した。日本企業の外部クラウドサービスの利用萎縮を避けたい考え。 企業から業務委託を受けたとみられる人物が、委託元のソースコードをGitHubに公開した事件。三井住友銀行やNTTデータ子会社、NECといった複数の企業が対応に追われたことから、TwitterなどのSNSでは「GitHubなどの外部クラウドサービスの利用が制限されるのではないか」と危惧する声が上がっていた。 IT連はこれに対し「問題はGitHubなどの外部クラウドサービスを(問題を起こした人物が)利用したことではなく、ソースコードという『情報資産』を不用意に外部に持ち出した
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本発の情報セキュリティ国際会議、CODE BLUE創設者が語る「タブーの多い日本で定番イベントにできた訳」 ~ 【武田一城の“ITけものみち”:第10回:篠田佳奈氏(株式会社BLUE代表取締役)】
How do I get around window.opener cross-domain security
IPAが「情報セキュリティ10大脅威」を発表 急上昇したトレンドを押さえよう
