公開日:2016年5月12日 最終更新日:2024年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
GNU General Public License version 3(GPL v3)に対する逐条解説書 (第1版)のダウンロードサイトです。 本解説書は、IPA オープンソフトウェア・センターのリーガル・タスクグループ(Legal TG)と、米国SFLC (Software Freedom Law Center) との共同作業により作成したもので、GPL v3の各条文、パラグラフごとに、旧バージョンであるGPL v2からの異同を含め、具体的かつ平易に解説したものです。 オープンソースソフトウェアの応用や開発に携わる技術者、法務部門の担当者等に、現場の参考資料として活用されることを期待します。 ダウンロード GNU GPL v3 逐条解説書(第1版)[2236KB] ご利用にあたって 本解説書は、広く活用できるよう「クリエイティブ・コモンズ・ライセンス表示-非営利-改変禁止2.1」(Cr
第8章 マッシュアップ セキュリティトークンとOAuth 2.0 OAuth 2.0は、アクセス認可の判断結果(誰々は、どこそこのリソースにアクセスしてよいということ)をネットワーク越しに安全に伝達することを目的としたプロトコル仕様である。このプロトコル仕様を公式に規定した RFC 6749,“The OAuth 2.0 Authorization Framework” が2012年10月に発行された。 マッシュアップに使われる素材サーバ中のリソースを、資格あるユーザに対してのみ開示するように保護して制御する案件において、OAuth 2.0は有用な手段となる。 セキュリティトークンと引き換えにリソースを得る構図 マッシュアップに組み入れるゲストリソースには、有償のものや守秘性の高いものもあり得る。このようなリソースを提供する素材サーバは、通常、アクセス制限を設け、これらを保護するようにする
情報家電等組込み製品の開発事業社向けに、最適なツールや検出テストのノウハウ等を紹介 2013年11月7日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、情報家電等の製品の脆弱性を検出するテスト(以後、ファジング)の方法を実例と共に解説した「ファジング実践資料(テストデータ編)」を2013年11月7日からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/fuzzing.html サイバー攻撃の多くはソフトウェアの脆弱性を狙ったもので、ソフトウェアによって様々な機能を備えた家電製品、およびソフトウェア制御が進む自動車などにも脆弱性は存在します。これらはネットワーク接続などによる外部データの活用でさらに高付加価値が進められている反面、脆弱性を狙った攻撃の危険性が高まっています。 こうし
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開しました。 近年、Android端末の利用者の増加に伴い、多くのAndroidアプリが提供されるようになりました。そのような状況の中、2011年後半からIPAに届け出られるAndroidアプリの脆弱性関連情報も増加しており、2012年5月末までの累計で42件の届出がありました。届出を分析した結果、その7割超が「アクセス制限の不備」の脆弱性であることがわかりました。 「アクセス制限の不備」の脆弱性は、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題です。 An
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、現状の自動車の情報セキュリティに関する事例や脅威について、これまでのIPAによる分析結果をまとめた技術レポート(IPAテクニカルウォッチ第8回)を公開しました。 自動車には様々なソフトウェアが導入されており、自動車一台に搭載される車載コンピュータ(ECU:Electronic Control Unit)は100個以上、ソフトウェアの量は約1,000万行と言われています。また近年、スマートフォンが急速に普及してきていることにより、カーナビやテレマティクス端末(*1)といった車載機器とインターネットを、スマートフォンを介して連携したサービスが検討・実用化されています。さらに、車載システムや車載ネットワーク等においても、一般的なPCと同様の汎用的なソフトウェアやプロトコル(*2)(Ethernet、TCP/IP等)が利用されるようなっ
サイバーセキュリティ注意喚起サービス「icat for JSON(アイキャット・フォー・ジェイソン)(注釈1)」は、IPAが公開した「重要なセキュリティ情報」をリアルタイムに配信するサービスです。 本サービスをウェブサイト上で活用することにより、IPAが公開した最新の「重要なセキュリティ情報」の一覧を自動的に取得・表示することができるようになります。組織のポータルサイトや会員向けウェブサイト上などに設置をすることで、ウェブサイト利用者に向けてセキュリティ対策をリアルタイムに周知することが可能になります。利用方法は下記の機能概要を参照ください。 コンセプト icat for JSON 機能概要 ウェブページにHTMLタグを埋込むことで、IPAから発信する「重要なセキュリティ情報」とリアルタイムに同期できます。 本ツールの特長は以下の通りです。 表示方法は「縦表示」または「横表示」の指定が可能
算術演算をベースとする ハッシュ関数安全性評価手法に関する調査 調査報告書 2008 年 5 月 独立行政法人 情報処理推進機構 本書の目的 本報告書は、 SHA-1 等の算術演算ベースのハッシュ関数に対する安全性評価の手法を調査 し、算術演算をベースとするハッシュ関数の評価ツールの作成を目的とした基礎検討を行 うことを目指す。 本書が対象とする読者 本報告書が対象とする読者としては、情報セキュリティに関する一般的知識を持ち、ハ ッシュ関数の安全性に関して興味がある技術者を想定している。そのため一般的と思われ る情報セキュリティ用語(ハッシュ関数、暗号解読等)については本書内において、用語 の説明を省略する場合がある。 本書の構成 本書における各章の関係は図 i の通りである。 第1章 第2章 第3章 第4章 第5章 第6章 図 i.本書の構成 i 1. はじめに
Web Application Firewall 読本 Web Application Firewall を理解するための手引き 2010 年 2 月 本書は、以下の URL からダウンロードできます。 「Web Application Firewall 読本」 http://www.ipa.go.jp/security/vuln/waf.html 目次 目次 ................................................................................................................................................ 1 はじめに ............................................................
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く