独立行政法人産業技術総合研究所から発行されたテクニカルレポート(AIST03-J00017)において、セッション管理のためにクッキー(cookie)を使用し、かつ、SSL/TLS のような経路のセキュリティ保護を行っている Web アプリケーションにおいて、クッキーを secure モードで発行することの重要性が指摘されています。 このテクニカルレポートに関連して、経路のセキュリティと同時にセキュアなセッション管理を行う必要性について解説します。
第11-29-227号 最終更新日:2011年8月3日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) 2011年6月下旬以降、日本国内のインターネットバンキングにおいて、不正アクセスの被害件数が増加しています。現在、地方銀行を中心に20件以上の注意喚起が行われています。それらによると、不正アクセスに使われている手口は不審メールやスパイウェアによるものであり、これによりパスワードなどの顧客情報を不正に窃取され、実際に振込被害が発生しているという状況です。 インターネットを利用する際は、「セキュリティパッチを定期的に適用する」、「極力新しいバージョンのソフトウェアを使用する」、「不審なサイトや心あたりのないメールは開封しない」などの利用上の注意事項を常に心がける必要があります。さらに、インターネットサービスを利用する上で大事な鍵となるパスワードをいかに保護し
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、主催する「脅威と対策研究会」において「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」をまとめ、2011年8月1日(月)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/newattack.html ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や公的機関をねらい、対応が難しく執拗なサイバー攻撃を、IPAでは「新しいタイプの攻撃」と呼んでいます。「新しいタイプの攻撃」の実例としては、IPA テクニカルウォッチ「『新しいタイプの攻撃』に関するレポート(*1)」(2010年12月17日公開)で例示したStuxnet(スタックスネット)(*2)が挙げられます。またそれ以降も、複数の石油関連企業、米国のインターネ
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェア製品における脆弱(ぜいじゃく)性の減少を目指す「脆弱性検出の普及活動」を、2011年8月から開始します。 近年ソフトウェア製品において開発者が認知していない脆弱性(未知の脆弱性)を悪用する攻撃や事件が後を絶ちません。これらの攻撃や事件では、世界中で広く使用されているソフトウェア製品だけでなく、主に日本国内のみで広く使用されているソフトウェア(*1)や、産業用制御システム(*2)なども標的とされています。 IPAとJPCERT/CC(*3)は2004年7月から、経済産業省の告示の下で「情報セキュリティ早期警戒パートナーシップ(*4)」を運営しており、ソフトウェア製品の脆弱性関連情報の受付と、製品開発者に対するその修正の依頼を実施しています。このパートナーシップ運営開始から7年が経過した2011年6月末時点で、累計1,2
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
クラウドコンピューティングは、IT利活用に十分に取組めていない、またITの負担が重いと感じる中小企業が、ITの利活用・効率化を促進することに、大きく貢献できる可能性があります。 しかし、中小企業にとっては、クラウドとはどういうものか理解し難い、どう使えば良いか判らない、正しく使えないためにデメリットが勝るといったことも起こり得ます。 そこでこの「中小企業のためのクラウドサービス安全利用の手引き」(以下、「安全利用の手引」という。)では、中小企業が自社でクラウドの利用についての判断やその条件の確認、注意点の点検等が比較的容易にできるように、以下のような構成で、クラウドに関する説明や利用イメージを提供し、利用に際してチェックすべき項目を整理し、解説を加えました。 クラウドコンピューティングとは クラウドコンピューティング、クラウドサービスとは何か、中小企業にとってのクラウドサービス活用の利点、
情報セキュリティ対策ベンチマークをご利用いただきまして、ありがとうございます。 ベンチマーク診断サイトは、「情報セキュリティ対策支援サイト」の1サービスとして、2020年5月28日に刷新版を公開いたしました。以下のWebサイトよりお進み下さい。 ●「情報セキュリティ診断サイト」 なお刷新版では、ご利用のログインIDで最初にログインを行った際、 新しいログインIDとパスワード再発行の操作を行う画面が表示されますので、お手数をお掛けいたしますが、 再発行の手続きをお願いいたします。詳細は以下の利用マニュアルの24ページをご確認下さい。 ●「情報セキュリティ対策支援サイト利用マニュアル」(PDF 6.43MB) 最新版(Ver.5.1)「診断データ統計情報」は「情報セキュリティ診断サイト」で公開しております。 (2022年3月22日)
本解説書は、2010年にIPAへ届け出のあったセキュリティ情報や一般報道を基にして、情報セキュリティ分野の研究者や実務担当者127人で構成する「10大脅威執筆者会」で纏めたものです。 本解説書は3章構成となっており、第1章では2010年に実際に発生したセキュリティの被害事例を基に組織へのビジネスインパクトを考察しています。第2章では、2010年に「社会的影響が大きいもの」「特徴的であったもの」「印象が強かったもの」などの観点から「10大脅威執筆者会」の構成メンバーによる投票で選定した10の脅威について、脅威の概要と影響を解説しています。第3章では、10の脅威に対するセキュリティ対策の考え方や方向性について解説しています。 近年の情報セキュリティを取り巻く状況の理解や、今後の対策の参考になることを期待します。次のPDF資料をダウンロードの上、参照下さい。 資料のダウンロード 2010年の特徴
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、自組織に必要な脆弱性対策を推進するための「セキュリティ担当者のための脆弱性対応ガイド」や報告書など、「情報システム等の脆弱性情報の取扱いに関する研究会」の成果をとりまとめ、2011年2月28日から、IPAのウェブサイトで公開しました。 IPAでは、昨年5月から開催してきた「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)の成果である「セキュリティ担当者のための脆弱性対応ガイド」や「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」、および研究会の2010年度報告書を公開しました。 ■「セキュリティ担当者のための脆弱性対応ガイド」 これまでIPAでは、ウェブサイト運営者やウェブサイト構築事業者向けに脆弱性対応ガイド (*1)を公開してきましたが、企業等の組織におけるセキュリティ担当者
脆弱性体験学習ツール AppGoat AppGoatに関する不審メール確認のお知らせ(2023/08/04 公開) AppGoatの設定確認の連絡を装った不審メールを確認しています。 AppGoatの利用者に対してAppGoatの窓口からAppGoatの設定確認や変更を依頼することはございません。 不審メールを受け取った際にはメールの内容に従わず(URL内のリンクをクリックしない等)メールの削除をお願いします。 不審メールの見分け方や事例については以下もご参考ください。 ○安心相談窓口だより:メールの見かけ上の送信元情報を安易に信じないで ○安心相談窓口だより:URLリンクへのアクセスに注意 脆弱性体験学習ツール AppGoatとは 脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用
第10-46-204号 掲載日:2010年12月22日 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 年末年始の相談対応について IPAセキュリティセンターでは、以下の年末年始の期間中、相談員による相談対応業務をお休みさせていただきます。 休止期間 2010年12月28日(火)12:00 ~ 2011年1月4日(火)13:30 ※1月5日(水)からは、平常(平日10:00~12:00、13:30~17:00)の受付となります。 多くの方からご相談をいただく内容については、次のページの「よくある相談と回答(FAQ)」に情報を掲載していますので、まずはそれをご覧ください。 情報セキュリティ 安心相談窓口 http://www.ipa.go.jp/security/anshin/ なお、電子メール・ファクシミリでのご相談は上記期間中も受け付けますが、回答は2011年1
近年、電子商取引や検索サービス、インターネットバンキング等、各種 Web サービスの提供が、さまざまな企業や公的機関等で広く行われています。このようなサービスは、普段から適切な対策を実施していなければ、悪意ある者によるサービス妨害攻撃(Denial of Service Attack、DoS 攻撃)により、サービスの継続を妨害される可能性があります。 2009年7月には、韓国や米国で大規模な分散型のサービス妨害攻撃が発生し、政府機関のみならず民間の Web サイトも攻撃対象となりました。最近では、米国の内部告発サイトに関するものと見られるカード会社等への攻撃も発生しています。一方、国内では、公共施設の Web サービスを利用する目的でのアクセスが、サービス妨害攻撃と判断された事例も発生しています。 集中したアクセスがサービス妨害攻撃か否かを判断し、攻撃に対処するため、Webサービスの提供者
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、インターネットを利用した各種のサービス(以下、Webサービス)に対するサービス妨害攻撃に関して適切な対策実施を促すため、「サービス妨害攻撃の対策等調査」を実施し、その報告書を2010年12月16日(木)から、IPAのウェブサイトで公開しました。 http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html 近年、電子商取引や検索サービス、インターネットバンキング等、各種 Web サービスの提供が、さまざまな企業や公的機関等で広く行われています。このようなサービスは、普段から適切な対策を実施していなければ、悪意ある者によるサービス妨害攻撃(Denial of Service Attack、DoS 攻撃)により、サービスの継続を妨害される可能性があります。 2009年7
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、任意のDLL(*1) /実行ファイル読み込みに関する弱点(脆弱性)に関して、2010年9月から11月にかけて届出およびJVNによる脆弱性公表が増加している状況を鑑みて、ソフトウェア開発者に対して脆弱性を作りこまない実装を呼びかけるため、「注意喚起」を発することとしました。 2010年9月から11月にかけて、複数のソフトウェアにおいて、任意のDLL/実行ファイル読み込みに関する脆弱性(*2)がIPAに届けられ、ソフトウェア開発者が脆弱性を修正後、JVN(*3) で脆弱性対策情報を公表したものが13件あります。 IPAでは、同種の脆弱性に関する届出・公表が続いているため、この脆弱性が存在するソフトウェアが他にも数多く存在する可能性があると考え、ソフトウェア開発者向けに、脆弱性を作りこまないように注意喚起を発信することとしました。ソフ
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)オープンソフトウェア・センター(以下、OSC)は、社内クラウド構築に使用できるオープンソースソフトウェア(OSS)1について、30種のソフトを5項目(基本情報、サポート、開発の安定性、成熟度、機能)、5段階で評価し、その結果を「社内向けクラウド構築のために活用できるソフトウェアカタログ」として公開しました。 あわせて、クラウドシステムの安定運用のために特に重要な運用管理ツール等を取り上げ、詳しい評価を行った結果をまとめた、「クラウド運用管理ツールの基本機能、性能、信頼性評価」 を公開しました。 近年、クラウドシステムの基盤部分等、システムが停止した場合に大きな影響を及ぼしてしまうような高い信頼性の求められる領域へのOSSの活用が 進んでいます。このようなシステムの安定運用のためには、利用するOSSの機能だけでなく、開発体制やサポート
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)は、ENISA (*1)(European Network and Information Security Agency:欧州 ネットワーク情報セキュリティ庁)が2009年11月に発行したクラウドコンピューティングのセキュリティに関するガイドライン「クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク」と「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」の2件の文書を翻訳し、2010年10月25日からIPAのウェブサイトにて公開いたしました。 IPAでは、2010年3月に「クラウド・コンピューティング社会の基盤に関0する研究会 報告書」の公開(*2)、2010年6月に、クラウドセキュリティアライアンスと相互協力協定を締結(*3)するなど、クラウドコンピューティングの可
H. Krawczyk IBM M. Bellare UCSD R. Canetti IBM 1997年 2月 HMAC: メッセージ認証のための鍵付ハッシング (HMAC: Keyed-Hashing for Message Authentication) このメモの位置付け このメモは、インターネット・コミュニティに対して情報を提供するものである。このメモは、何らインターネットの標準を規定するものではない。このメモの配布に制限はない。 要旨 この文書では、暗号ハッシュ関数を使用してメッセージ認証を行なう仕組みである HMAC について記述する。HMAC は、MD5 や SHA-1 などの反復暗号ハッシュ関数を秘密の共有鍵と組み合わせて使用する。HMAC の暗号としての強度は、使用しているハッシュ関数のプロパティに依存する。 1.はじめに 信頼できないメディア上を伝送し、蓄積される情報の
独立行政法人 情報処理推進機構(以下IPA)は、「情報処理の促進に関する法律」に基づき、情報処理の振興を図るための施策を講ずることを目的として、1970年10月1日に特別認可法人として設立され、主にプログラムの開発及び利用の促進並びに情報処理サービスを営む者に対する助成に関することを業務として行っております。 1990年4月には通商産業省(※)の「コンピュータウイルス対策基準」(通商産業省告示 第139号)により、コンピュータウイルスを発見した者が被害の拡大と再発を防ぐために必要な情報を届け出る唯一の公的機関として、IPAが指定(通商産業省告示第176号)されました。 これを受けて、IPAは1991年10月にコンピュータウイルス対策室を設置し、コンピュータウイルスに関する届出受理、調査、届出情報の公表等を行っております。 また、1995年7月には、ネットワーク化をはじめとする情報化の進展に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く