「TCP/IPに係る既知の脆弱性検証ツール」の公開
4/9をもちまして、本ツールの新規の貸出しを終了しました。 本件についてのご質問、お問合せは、本ページ下部の問合せ先までお願いします。 コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれています。近年では、情報家電や携帯端末などの組込み機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。 IPAは、TCP/IP実装製品開発者向けに、TCP/IPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性“再発”防止のためのツール、「TCP/IPに係る既知の脆弱性検証ツール」を開発し、2008年2月6日より公開しています。 本ツールは、「TCP/IPに係る既知の脆弱性に関する調査報告書 改訂第5版」に記載している30項目の脆弱性のうち、IPv4(Internet Protocol Ver
「修正されたソフトとWebサイトが1000件突破」、脆弱性届け出の成果
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年1月18日、2007年第4四半期(2007年10月1日から12月31日まで)における、ソフトウエアとWebサイトの脆弱(ぜいじゃく)性に関する届け出状況を公表した。それによると、ソフトウエアに関する届け出は66件、Webサイトに関する届け出は80件だった。また、届け出に基づいて修正された脆弱性の累計(2004年7月から2007年12月)は、12月末までに1002件に達したという。 IPAとJPCERT/CCは2004年7月以降、経済産業省告示に基づいて、ソフトウエアやWebサイトに関する脆弱性情報をユーザーから受け付け、ソフトウエアの開発者やWebサイトの運営者などに報告し、修正のために必要な調整を行っている。加えて四半期ごとには、届け出状況や取り扱い状況を集計して公表している。 今回公表し
SIPに係る既知の脆弱性に関する調査報告書 改訂第3版:IPA 独立行政法人 情報処理推進機構
SIP(*1)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっています。 SIPを実装したソフトウェアは、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきました。しかし、こうした脆弱性の詳細な情報をとりまとめた資料がなかったことから、新たに開発されるソフトウェアで既に公表されている脆弱性の対策が実装されておらず、脆弱性が「再発」するケースが見受けられます。 このような課題に対応するため、SIPに関する既知の脆弱性を取り上げ、SIP実装時の情報セキュリティ対策の向上を目指して調査を実施しました。 本調査報告書は、一般に公表されているSIPに関する既知の脆弱性情報を収集分析し、詳細な解説書としてまとめました。具体的には、次のような脆弱性の詳細と、開発者向けの実装
IPA、ユーザー視点でまとめたバイオメトリクス製品DBを公開
情報処理推進機構(IPA)は2007年12月27日、バイオメトリクス(生体認証)製品の情報を収集した「バイオメトリクス製品データベース」の公開を開始した。無料で利用できる。 バイオメトリクス製品は、現金自動預け払い機(ATM)や入退室管理などの高い安全性が必要な分野で利用されており、製品のセキュリティレベルや認証精度を十分に検討してから製品選択することが重要である。しかし、現状では、「利用者が製品情報を読んでも、セキュリティや認証精度を理解し、比較検討することが難しい状況」(IPA)だという。 このためIPAでは、国内の生体情報を利用して認証を行うソフトウエアと、そのソフトウエアを組み込んだ装置を対象にアンケート調査を行い、照合アルゴリズムや認証精度など94項目からなるデータベースを構築。一般に公開した。 バイオメトリクス製品データベース
生体認証を選ぶ時の参考に――IPAが製品データベースを公開
情報処理推進機構(IPA)は12月27日、指紋や静脈などを利用するバイオメトリクス(生体認証)の製品データベースをWebサイトで公開した。利用用途や機能などから製品を検索できる。
情報処理推進機構:プレス発表
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、バイオメトリクス(生体認証)の利用による情報セキュリティ対策を推進するため、日本国内で一般利用者が入手可能なバイオメトリクス製品の情報を収集し、「バイオメトリクス製品データベース」として2007年12月27日より、IPAのウェブサイトで公開しました。 (URL:https://isec.ipa.go.jp/biodb/) 銀行のATM(現金自動預け払い機)や建物への入退室システムなど、生体情報を利用し個人認証を行うバイオメトリクス製品が普及しています。高いセキュリティが要求される分野だけに、その導入にあたっては、セキュリティレベルや認証精度に関して十分に検討された製品を選択することが大切です。しかし、現状ではバイオメトリクス製品情報はベンダごとに開発・販売側の視点で書かれているため、利用者が製品情報を読んでも、セキ
自社のセキュリティ対策は大丈夫? Webサイトでぜひチェックを
情報処理推進機構(IPA)は、Webサイトで公開している「情報セキュリティ対策ベンチマーク」を大幅に改訂し、ISMS認証の新基準に対応し、ユーザーからの要望も取り入れたバージョン3.0を公開した。 情報セキュリティ対策ベンチマークは、組織における情報セキュリティ対策への取り組み状況(25項目)と企業プロフィール(15項目)を選択肢から回答することで、自社のセキュリティ対策が他社と比較してどのレベルに位置しているかを自動的に確認できる自己診断システム。25項目は、ISMS認証基準(JIS Q 27001:2006)付属書Aの管理策をベースに作成されており、ISMS適合性評価制度よりも簡便に自己評価することが可能。 バージョン3.0では、ISMS認証基準が新基準になったことへの対応と、質問の一覧をあらかじめダウンロードできるといった、ユーザーからの要望に基づいた機能追加が行われた。また、公的機
「脆弱性情報はこう公表しよう」、IPAがマニュアルを公開
情報処理推進機構は、脆弱性に関して公表すべき項目などをまとめた「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公開した。 情報処理推進機構(IPA)は5月30日、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公開した。ソフトウェア製品やWebサイトに存在する脆弱性情報の取り扱い方法をまとめることで、セキュリティ対策の推進を図ることが狙いだ。 IPAでは2004年7月より、経済産業省の告示に基づき、「情報セキュリティ早期警戒パートナーシップ」を運用してきた。脆弱性の発見から対応、情報公開までのプロセスを、ベンダーと複数のセキュリティ機関が協力して進めるもので、2007年3月までにソフトウェア製品とWebアプリケーション合わせて1299件の脆弱性が届出られている。 IPAではこうした経験を踏まえ、ソフトウェア開発者が過去にリリースした製品に脆弱性が存在すること
情報漏えい発生時の対応ポイント集:IPA 独立行政法人 情報処理推進機構
情報漏えい事故が発生した時に参考となる小冊子「情報漏えい発生時の対応ポイント集」をウェブで公開いたしました。 本小冊子は、情報漏えいインシデント対応マニュアルを整備していない中小企業などにおいて、情報漏えい事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを経営者をはじめとする対応チームの方々が短時間に理解し、速やかに適切な対応ができるように参考書として活用できるようまとめてあります。 本小冊子は、情報漏えいインシデント対応における基本作業ステップや情報共有、発表などの共通的な事項に関するノウハウと、情報漏えいタイプ別の対応作業内容や留意点のノウハウをわかりやすく解説しています。 なお、より詳しい内容につきましては、「情報漏えいインシデント対応方策に関する調査報告書」を公開していますので、併せてご利用ください。
「生体認証導入・運用のためのガイドライン」「生体認証利用のしおり」を公開 - 独立行政法人 情報処理推進機構 セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、生体認証の情報セキュリティ対策を推進するため、生体認証を導入しようとしている担当者及び意思決定者、または既に生体認証を導入済みの担当者を対象とした「生体認証導入・運用のためのガイドライン」として2007年7月18日(水)より、生体認証の利用者を対象とした「生体認証利用のしおり」を2007年12月19日(水)よりIPAのウェブサイトで公開しました。 本ガイドラインは、「バイオメトリクス・セキュリティ評価に関する研究会」(座長:小松 尚久 早稲田大学教授)において、昨年12月から行われた検討の成果です。 「生体認証導入・運用のためのガイドライン」及び「生体認証利用のしおり」は、近年急速に普及している生体の特徴(指紋、静脈、虹彩等)を利用した生体認証システムのセキュリティに関わる状況について、正しい理解を深め、適切な利用の
情報セキュリティ白書 2007年版 - 10大脅威 「脅威の“見えない化”が加速する!」 -:IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、2006年にIPAに届けられた情報や一般に公開された情報を基に、「情報セキュリティ白書 2007年版」を編纂し、2007年3月9日(金)よりIPAセキュリティセンターのウェブサイトで公開しました。 「情報セキュリティ白書 2007年版」は、2006年にIPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者等から構成される「情報セキュリティ検討会」で、社会的影響の大きさからセキュリティ上の10大脅威を選び、利用者・管理者・開発者のそれぞれからみた脅威を分析し、今後の対策をまとめたものです。 2006年の10大脅威 「脅威の“見えない化”が加速する!」
「年末年始はセキュリティに注意」---IPAが注意喚起
コンピュータ・ウイルスなどの届け出先機関である情報処理推進機構(IPA)は12月20日,年末年始はメールのやり取りやWebの利用が増えるため,いつも以上にセキュリティに注意するよう呼びかけた。 IPAでは,「メール編」「Web編」「システム管理者向け」――の3種類のコンテンツを用意し,それぞれにおける注意点をまとめている。 「メール編」では,年末年始はファイルを添付したクリスマス・カードや年賀状のメールが増えるため,ウイルス添付メールが紛れ込んでいても気がつきにくいとして注意を呼びかけている。 見知らぬ相手からのメールはもちろん,知っている相手からのメールであっても,添付ファイルは疑うよう警告している。送信者名を詐称したウイルス・メールである可能性があるからだ。また,自分からメールを送る場合も,「安易にファイルを添付しない」「添付する場合には,メールの本文中で添付したことを一言触れる」――
コンピュータウイルス・不正アクセスの届出状況[2006年11月分]について:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2006年11月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 最近、バナー(*1)広告をクリックして、広告主のホームページにアクセスし、怪しいセキュリティ対策ソフトをインストールしてしまったとか、オンライン詐欺に遭ってしまったという被害の相談が多数寄せられています。 具体的には、以下のようなバナー広告がホームページに掲載されていて、その内容を安易に信じてしまい、被害にあっているものです。 図2は、「あなたは999,999人目の訪問者です。おめでとう!」といった内容を表示するもので、クリックすると、住所や名前、メールアドレスを入力する画面になります。ここで入力してしまうと、登録したメールアドレスに当選通知などが届きますが、賞品などが送られてくることはありません。反対
[ThinkIT] 第1回:Hinemosができること (1/3)
Hinemosとは筆者らNTTデータが開発を進める統合運用管理ツールです。現在はOSSとしてSourceForgeに公開されています。ライセンスはGPL(General Public License)となっており、Webサイトよりダウンロードして利用することができます。 Hinemosの構想が生まれたのは2004年でした。その頃、大規模システムにおいても多数のIA(Intel Architecture)サーバを使った3層システムが一般的になり、そのOSにLinuxが採用されるなどと、OSSが活用される機会が増えていました。 多数のIAサーバとLinuxを組み合わせたシステム構築では、ハードウェア、ソフトウェア共に構築時の初期コストの低減というメリットがありましたが、一方でサーバ台数の増加による運用管理のコスト増は避けられません。 そこで様々な運用管理ツールが利用されました。しかしシステム運
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA 脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~ - まるちゃんの情報セキュリティ気まぐれ日記
情報セキュリティに関する脅威に対する意識調査(2007年度第1回):IPA 独立行政法人 情報処理推進機構
PC
IPA、セミナー受付フォームにXSSの脆弱性が見つかる
IPA、暗号化製品の認証制度を4月に開始
年末年始のネット利用に注意、IPAが被害対策を紹介