Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
IPA(独立行政法人情報処理推進機構)は、2015年12月に経済産業省と共同で策定した「サイバーセキュリティ経営ガイドライン」 (*1) の普及と実践に向けて、ガイドラインの内容を補足し、実施方法を具体的に解説する「サイバーセキュリティ経営ガイドライン解説書」を公開しました。 近年、組織を狙うサイバー攻撃が増加し、組織の重要な情報の漏えいや不正利用により、経営や事業に対して大きなダメージを与える事故や事件が発生しています。 このような状況において、サイバーセキュリティの確保は、企業がITを利活用し、ビジネスを発展させていく上で、経営者が果たすべき責任のひとつであり、経営者自らがリーダーシップをとってサイバーセキュリティ対策を講じる必要があります。 このため2015年12月に経済産業省とIPAは、サイバーセキュリティ経営ガイドラインを公表しました。ただし、本ガイドラインは基本的な考え方を中心
本ページの情報は2019年4月時点のものです。 2015年5月、独立行政法人情報処理推進機構(以下、「IPA」という。)では、暗号技術評価プロジェクトCRYPTREC の活動を通じ、オンラインショッピング、インターネットバンキング、ネットトレードなどのサービスで使用するSSL (Secure Socket Layer) /TLS (Transport Layer Security) プロトコルの適正な利用促進を目的として、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするため、SSL/TLS暗号設定ガイドライン (以下「設定ガイドライン」という。)を公開しました。 その後、一般に販売されているSSL/TLSを利用するアプライアンス製品(以下、SSL/TLSアプライアンス製品という)の設定方法等への要望が多数寄せられたため、SSL/TLSに関してどの
AppGoatは、2011年1月から公開されている、Webサイトにおける脆弱性の発見方法、およびその対策のための個人用学習を想定した演習形式の体験学習ツール。 今回公開された「AppGoat V3.0」では、2015年3月にIPAが公開した「安全なウェブサイトの作り方改訂第7版」に準拠し、学習対象の脆弱性をこれまでの9種から12種に増やすとともに、円滑な集合学習のための管理者(教育担当者)機能を新たに追加した。 学習のための機能としては、悪用の可能性が高い脆弱性を「基礎編」、それ以外を「応用編」としたほか、演習問題を難易度に応じて「Level 1」(脆弱性の発見手法の学習)から「Level 3」(脆弱性コードの発見・修正方法)に分類し、脆弱性の種類ごとに各5問の習熟度テストを追加している。 新たに追加した管理者機能では、ブラウザ経由でのAppGoatの利用を可能にする「集合学習モード」、管
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。 下記より「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」についてのレポートPDF版をダウンロードしてご利用いただけます。 1.CMSとは 2.CMSで構築されたウェブサイトを狙う攻撃と対策 3.CMSを使ったウェブサイト構築・運用のポイント 4. チェックリスト 【別冊付録】ウェブサイト構築・運用のポイント 1. ウェブサイトを構築する上での注意点 2. ウェブサイトの運用開
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。 本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。 下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。 1.被害事例および脆弱性検査ツールの活用 2.ウェブアプリケーション脆弱性検査ツールの概要 3.脆弱性検査ツールのタイプの定義とツールの紹介 4.脆弱性検査ツールの使用例 5.評価・まとめ 6.おわりに 7.参考
経済産業省は、独立行政法人情報処理推進機構とともに、「サイバーセキュリティ経営ガイドライン」を策定しました。これに基づき、経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待しています。 1.策定の背景 様々なビジネスの現場において、ITの利活用は企業の収益性向上に不可欠なものとなっている一方で、企業が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。 そこで、企業戦略として、ITに対する投資やセキュリティに対する投資等をどの程度行うかなど、経営者による判断が必要となっています。 2.サイバーセキュリティ経営ガイドラインの概要 経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、大企業及び中小企業(小規模事業者除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、無償で利用できる検索エンジン”Censys”(センシス)が2015年10月に新たに登場したことを受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、その使い方、機能などを追加し、2016年5月31日より改訂版として公表しました。 下記より改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」についてのレポートPDF版をダウンロードしてご利用いただけます。 本テクカルウォッチで紹介しているSHODANおよびCensysによる日本国内で接続されているIoT機器数を、こちらで公開しています。 1.オフィス機器とサーバー機能 2.インターネット接続機器検索サービスSHODAN 3.SHODANを使用した自組織の検査 4. インターネット接続機器検索サービスCe
公開日:2016年5月12日 最終更新日:2024年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
情報漏えい事故が発生した時に参考となる小冊子「情報漏えい発生時の対応ポイント集」をウェブで公開いたしました。 本小冊子は、情報漏えいインシデント対応マニュアルを整備していない中小企業などにおいて、情報漏えい事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを経営者をはじめとする対応チームの方々が短時間に理解し、速やかに適切な対応ができるように参考書として活用できるようまとめてあります。 本小冊子は、情報漏えいインシデント対応における基本作業ステップや情報共有、発表などの共通的な事項に関するノウハウと、情報漏えいタイプ別の対応作業内容や留意点のノウハウをわかりやすく解説しています。 なお、より詳しい内容につきましては、「情報漏えいインシデント対応方策に関する調査報告書」を公開していますので、併せてご利用ください。
米国国立標準技術研究所(NIST)のComputer Security Division (CSD)が提供する、セキュリティ対策を実施する際の評価指標(メトリクス)、セキュリティインシデントへの対応手順、ガイドラインなどのドキュメントの翻訳版です。 NIST SP 800シリーズの資料、各種文書を閲覧いただくにはユーザー名・パスワードが必要です(無料)。 以下の「閲覧申込み」よりお申込みください。 閲覧お申込みはこちら【無料】 ※個人情報の取り扱いについては、プライバシーポリシーにご同意の上、入力をお願いいたします。 ※閲覧用ID、パスワードは予告なしに変更する場合がございます。 すでにID、パスワードをお持ちの方でログインできなかった場合には、恐れ入りますが再度お申し込みをお願いいたします。 新しく取得したID、パスワードにても閲覧できなかった場合には、恐れ入りますが、 download
セキュリティに関しては、とかく「コスト」の話がついて回ります。私はエンタープライズ系のセキュリティネタを追いかける仕事もしているのですが、ベンダーは「手の届きやすい価格帯の製品を用意しました」というものの、企業のトップにインタビューすると「多くの企業はセキュリティにコストをかけられないので……」という話が出ることも多く、両者の間には温度差があるような印象を受けています。 セキュリティは売上や利益に直結しないため、経営者としては、なかなか投資に踏み込めないのでしょう。しかし、あの手この手のサイバー攻撃が後を絶たない昨今、セキュリティを無視するわけにはいきません。 そこで今回は、ちょっと変わったアプローチでセキュリティについて考えることができる、面白い書籍を紹介したいと思います。 サイバーセキュリティの秘密を探る良書が登場 今回、紹介するのは、“サイバーセキュリティの秘密”と題されたコンテンツ
この背景には、システム障害の原因分析や発生防止対策などの情報が業界内で共有されておらず、類似の障害が繰り返し発生してしまう実状があります。障害が発生しても被害状況等の外から見える情報以外の詳しい情報が公開されず、関係企業のみによって内々に対処されることが多く、一部の大規模障害についてはシステム内部の情報が公開されることがあるものの、その情報が特定の事例に限られた対応策となっている場合が多いため、参考として他社のシステムに活かされにくいことなどが考えられます。 この問題に対してIPA/SECでは、ITサービスの障害情報の収集・分析と対策の検討を行い、その結果を普遍化した「教訓」として取りまとめ、「情報処理システム高信頼化教訓集(ITサービス編)」として公開しています。 本教訓集の特徴 本教訓集は以下の観点で取りまとめたもので、幅広い分野において利用できることを目指した内容になっています。 複
Pythonの画像作成モジュール、PILで日本語を使う必要が出て来て、ServersMan@VPS(CentOS)に日本語フリーTrueTypeフォント、IPAフォントver.3(003.03) 4書体パックとIPAexフォント2書体パック(Ver.002.01)を入れてみました。 IPAexフォント・IPAフォントのダウンロード || OSS iPedia IPAexフォント2書体パック(Ver.002.01)に含まれているフォントは以下の通り IPAex明朝/IPAex Mincho (ipaexm.ttf) IPAexゴシック/IPAex Gothic (ipaexg.ttf) IPAフォント4書体パック(Ver.003.03)に含まれているフォントは以下の通り。 IPA明朝/IPA Mincho (ipam.ttf) IPA P明朝/IPA P Mincho (ipamp.ttf)
IPA/ISEC(独立行政法人 情報処理推進機構 セキュリティセンター)は、インターネットセキュリティに関する重要な RFC(Request for Comments)を日本語に翻訳して提供しています。 RFC は、IETF (Internet Engineering Task Force) におけるインターネットコミュニティの標準等の検討が公表される一連の文書であり、1969年に発行され始めました。それらの内容としては、インターネット標準の仕様のみならず、現時点における最善の実践(BCP)、FYI(For Your Information)を含む情報提供、実験的なもの、および、歴史的なものがあり、広範にわたります。原文は、英語で記述されています。 この目的は、 「ベンダーによるインターネットセキュリティ機能の実装を促進すること」および「ユーザのインターネットセキュリティについての認識を向
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
近年、組織内部から漏えいした情報により引き起こされるインシデントに関する報道が相次いでいます。例えば内部不正(*1)はその被害額が外部からの攻撃によるものよりも高額な傾向があり(*2)、組織は内部不正を未然に防ぐ必要に迫られています。しかしながら、内部不正は、職務上与えられた権限を使い行われるため、その対策は容易ではありません。 IPAでは、2012年に内部不正についてその動機や抑止・防止策を明らかにするために意識調査を実施(*3)しました。2回目となる今回は、民間企業の従業員と内部不正を行った経験を有する者(以下、内部不正経験者)にアンケートを実施し、より実態を掘り下げる調査を目指しました。調査結果のポイントおよび調査概要は以下のとおりです。 図表データはプレスリリースの別紙もしくは調査報告書をご参照ください。 (1)内部不正の理由の約6割は故意が認められない“うっかり”(別紙②) 内部
サイバーセキュリティ注意喚起サービス「icat for JSON(アイキャット・フォー・ジェイソン)(注釈1)」は、IPAが公開した「重要なセキュリティ情報」をリアルタイムに配信するサービスです。 本サービスをウェブサイト上で活用することにより、IPAが公開した最新の「重要なセキュリティ情報」の一覧を自動的に取得・表示することができるようになります。組織のポータルサイトや会員向けウェブサイト上などに設置をすることで、ウェブサイト利用者に向けてセキュリティ対策をリアルタイムに周知することが可能になります。利用方法は下記の機能概要を参照ください。 コンセプト icat for JSON 機能概要 ウェブページにHTMLタグを埋込むことで、IPAから発信する「重要なセキュリティ情報」とリアルタイムに同期できます。 本ツールの特長は以下の通りです。 表示方法は「縦表示」または「横表示」の指定が可能
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く