【解説】デジタルアイデンティティガイドライン「NIST SP 800-63B-3」にパスキーが登場
米国時間2024年4月22日に、米国立標準技術研究所(NIST)が、米国の連邦政府機関のシステム向けとしての電子的な本人確認に係るデジタルアイデンティティガイドラインであるNIST SP 800-63の現行版である第3版での、当人認証とその保証レベルについてのパートB(NIST SP 800-63B-3)用の補足文書(原文では「サプリメント」)を公表した[1]。 この補足文書は、複数の端末に同期して安全かつ便利な認証に使える(同期)パスキーといった「同期可能な認証器」(“syncable authenticator”)を、現在有効なNIST SP 800-63B-3に取り込むためとされている。 ちなみにNIST SP 800-63については、2022年12月に次版である第4版のドラフトが公開されている。次版のドラフトについてもNRIセキュアブログにて解説している。 【解説】デジタルアイデン
【セキュリティ ニュース】「クレジットカード・セキュリティガイドライン5.0版」が公開(1ページ目 / 全1ページ):Security NEXT
クレジット取引セキュリティ対策協議会は3月15日、約1年ぶりの改訂版となる「クレジットカード・セキュリティガイドライン5.0版」を公開した。EC加盟店では2025年3月末までにチェックリストに示されたセキュリティ対策を講じる必要がある。 同ガイドラインは、クレジットカード会社、加盟店、決済サービス事業者(Payment Service Provider)などクレジットカード取引に関わる事業者が実施すべきセキュリティ対策について定めたもの。 2020年に初版が公開され、以降は毎年改定を重ねており、今回で「5.0版」となった。割賦販売法にあるセキュリティ対策義務の「実務上の指針」にあたる。 今回の改定では、「クレジットカード情報保護対策」として2025年4月以降、すべてのEC加盟店が「セキュリティ・チェックリスト」にあるセキュリティ対策を実施することを定めた。アクワイアラーやPSPからも準拠す
内部不正による情報漏えいを防ぐには IPAが“内部不正防止ガイドライン”無料公開中
NTT西日本グループのNTTマーケティングアクトProCX(大阪市)で発生した情報の不正持ち出しが話題だ。Xは「情報持ち出しに対する危機感が高まりそう」「どうにかして防げなかったのか」など、内部不正対策に関する議論が盛り上がっている。この動向を受けた情報処理推進機構(IPA)は、公式Xアカウントで、委託先や従業員などによる内部不正の対策をまとめた「組織における内部不正防止ガイドライン」を紹介している。 ガイドラインはPDFで、無料公開中。全136ページで、内部不正防止の重要性や対策の体制、関連する法律などについて説明している。主に「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」などの10の観点から、合計33項目の具体的な対策を示している他、内部不正の具体的な事例も紹介。付録として、内部不正防止できているか確認するためのチェックシート(Excel)も無料配布している。 「内部不
プレス発表 「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を公開 | プレスリリース | IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:齊藤裕)は、実在する先進的なスマート工場の事例を調査してセキュリティ対策項目を整理した「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を本日公開しました。 スマート工場化でのシステムセキュリティ対策事例 調査報告書 デジタルトランスフォーメーション(DX)の進展に伴い、IoTやAIなどの先端技術やクラウドサービスを活用するスマート工場化への取り組みが進んでいます。スマート工場化は、生産の最適化・効率化などの事業効果がある一方で、工場のネットワークをインターネットに接続する機会が増加するため、既存の工場設備も含めた工場システム全体のセキュリティ対策を検討する必要があります。こうした課題を踏まえ、IPAは2022年6月に「スマート工場のセキュリティリスク分析調査 調査報告書」、経済産業省は2022年11月に「工場システムにおけるサイバ
総務省セキュリティガイドライン 23年3月改定の3つのポイント
地方公共団体における情報セキュリティポリシーに関するガイドラインが2023年3月に改定された。今般の改定のポイントは、クラウドへの対応、業務委託先の管理、サイバー攻撃対策の3つ。これらをもとに、いかにして自治体や市民の情報を守っていくべきか、総務省の奥田氏が解説した。 情報セキュリティポリシーの 策定を後押し 総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」を初めて提示したのは2001年のこと。情報セキュリティポリシーは、組織内の情報セキュリティを確保するための方針、体制、対策などを包括的に定めたものだ。ガイドラインは「基本方針」と「対策基準」で構成され、情報セキュリティポリシー策定の参考となる例文と、例文の解説が示されている。地方公共団体はこのガイドラインを参考にしながら情報セキュリティポリシーを策定し、対策を実施することになっている。 ガイドラインはその後、
ドローンセキュリティガイド第4版リリースをラックが支援、有人地域で目視外飛行できるレベル4へ | LAC WATCH
ドローン飛行に関する国内法整備が進み、有人地域での目視外飛行を可能とする「ドローンレベル4」時代が到来します。一般社団法人セキュアドローン協議会は、6月20日付けでリリースしたガイドライン「ドローンセキュリティガイド第4版」で詳細を説明しています。 出典 一般社団法人セキュアドローン協議会 「ドローンレベル4」時代の到来とセキュリティ 従来のドローン飛行は、手動操作による有視界飛行が主流でした。操縦者が現場で直接ドローンを操作する利用場面を見たことがあるかもしれません。その場合、ドローン機体を操作する通信はインターネットにつながらない「オフネット通信環境」であったことから、公衆インターネット経由で起こるサイバー攻撃を受けるリスクは低く、結果的にサイバーセキュリティ対策を後回しにしていたのが実態です。その分、ドローンに期待できる機能も限定的でした。 今回、ドローン飛行がレベル4時代に突入しま
IPA、OTシステム向け侵入検知製品の導入ガイドを公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は6月19日、制御システム(OTシステム)への侵入検知製品(IDS)の導入を検討する際の資料となる「産業用制御システム向け侵入検知製品等の導入手引書」(PDF)を公開した。 同資料は、「1章:手引き作成の背景と目的」「2章:侵入検知製品等の基本事項」「3章:侵入検知製品等の導入の進め方」「4章:侵入検知製品等の導入後の留意点」の全74ページで構成されている。 IPAは、OTシステムのネットワークや機器のOSでオープン化が進み、ITシステムで使われるネットワークとOSがOTシステムでも利用されたり、経営最適化や制御システムの運転効率向上などの目的でOTシステムの情報をITシステムで分析するために、OTシステムを外
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】総務省、「スマートシティセキュリティガイドライン第3.0版」を策定(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】「ローコード開発ツール」のセキュリティガイドライン策定支援サービス(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】フィッシング対策協議会、「フィッシング対策ガイドライン」を改訂(1ページ目 / 全1ページ):Security NEXT
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: 利用者向けフィッシング詐欺対策ガイドラインの改定について
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: フィッシング対策ガイドラインの改定について
【セキュリティ ニュース】「ドローンセキュリティガイド第5版」を公開 - セキュアドローン協議会(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】AIシステムの安全な実装運用に向けたガイダンスを公開 - 米政府ら(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】中小規模製造業の工場におけるリスク対策を解説したハンドブック - JNSA(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】工場スマート化のリスクや対策を解説したガイドライン別冊資料(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】最新Androidセキュアコーディングガイドに英語版 - JSSEC(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】Android 14の変更点をカバー - セキュアコーディングガイド新版(1ページ目 / 全1ページ):Security NEXT
生成AIの社内導入、参考にすべきガイドラインはどれ? 3ステップで進め方を確認
リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開【海外セキュリティ】
