[IPA] デスマらないために「超上流から攻める IT 化の原理原則17ヶ条」が思った以上に使える件 [要件定義] | oshiire*BLOG
「超上流」という言葉自体はとても気に入らないけれども、IPA 独立行政法人 情報処理推進機構 が作って公開している「超上流から攻める IT 化の原理原則17ヶ条」が、当たり前のことを当たり前に並べてあってとても役に立つ。 原理原則 17箇条 ユーザとベンダの想いは相反する 取り決めは合意と承認によって成り立つ プロジェクトの成否を左右する要件確定の先送りは厳禁である ステークホルダ間の合意を得ないまま、次工程に入らない 多段階の見積りは双方のリスクを低減する システム化実現の費用はソフトウェア開発だけではない ライフサイクルコストを重視する システム化方針・狙いの周知徹底が成功の鍵となる 要件定義は発注者の責任である 要件定義書はバイブルであり、事あらばここへ立ち返るもの 優れた要件定義書とはシステム開発を精緻にあらわしたもの 表現されない要件はシステムとして実現されない 数値化されない要
![[IPA] デスマらないために「超上流から攻める IT 化の原理原則17ヶ条」が思った以上に使える件 [要件定義] | oshiire*BLOG](https://cdn-ak-scissors.b.st-hatena.com/image/square/bfb41ba2bfefb166491d5d3e83380136f2017ab2/height=288;version=1;width=512/http%3A%2F%2Foshiire.to%2Fwp-content%2Fuploads%2F2015%2F01%2F17principles-300x212.png)
意外と知られていない、セキュリティマネジメント試験でよく取り上げられる公開文書
「情報セキュリティマネジメント試験」(セスペ)の出題内容を解説するIPAのWebサイトには、「『組織における内部不正防止ガイドライン』が求めている管理策・対策などを積極的に取り上げます」と書いてあります。なので、試験対策として「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/)を一通り読んでおくとよいでしょう。 ただ、このガイドラインは全体で約90ページと長く、全部を覚えるのは大変です。ですからまず、ガイドラインの「内部不正防止の基本原則」を把握しておきます。 そして、このガイドラインの4章「内部不正を防ぐための管理のあり方」には、10の観点のもと30項目の内部不正対策を示しています。これを理解しましょう。これで、ガイドライン全体を大まかに把握できます。ガイドラインの内容に関連する過去問題もいく
未踏の「スーパークリエータ」発表--人工知能の活用などIoT時代を象徴する10人を認定
独立行政法人情報処理推進機構(IPA)は6月2日、「突出したIT人材」の発掘・育成を支援する一環として、2015年度の未踏IT人材発掘・育成事業にて選ばれたクリエータ23人の中から、スーパークリエータ10人を認定した。 実施プロジェクトは、全部で8つ。UIの改良や画像認識といった機械学習を利用したプロジェクトが多く見られたほか、PC上の電子楽器をハードウェアに変換する研究、小・中学生向けのプログラミングツール、研究者のための研究ツールなど、個性的な顔ぶれだ。 東京大学名誉教授の竹内郁雄氏は、「未踏は、今まで見たことのないものを作るのが本来の趣旨。今は人材、発掘育成に重点を移している。人材育成は、どんなインフラ投資よりも重要だと思っている」と、今回の取り組みを説明。また、「今年のスーパークリエータは、未踏性、創造性、恐ろしい将来性を感じさせる」と評価した。 筑波大学大学院システム情報工学研究
脅威情報構造化記述形式STIX概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
STIX(Structured Threat Information eXpression) ~サイバー攻撃活動を記述するための仕様~ サイバー攻撃活動を鳥瞰するには、攻撃者(サイバー攻撃に関与している人/組織)、攻撃者の行動や手口、狙っているシステムの脆弱性など、攻撃者側の側面から状況をまとめたり、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、サイバー攻撃に対処するために取るべき措置などを防護側の側面から状況をまとめたりする必要があります。STIX(Structured Threat Information eXpression)(*1)は、これら関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。 サイバー攻撃
ミクシィに企業売却した女性起業家、2度目の挑戦--シナモン・平野未来さん - CNET Japan
この連載では、シンガポール在住の筆者が、日本から東南アジアに拠点を移し、テクノロジ企業で働く女性を紹介していきます。赴任、転職、起業などさまざまなきっかけで新たなキャリアの一歩を踏み出した彼女たちに、仕事の奮闘や自身の将来、海外で暮らすことなどについて聞きます。 今回紹介するのは、写真チャットアプリ「Koala(コアラ)」を提供するシナモン代表の平野未来さん。自身が創業したネイキッドテクノロジーを2011年にミクシィに売却した経験を持つ連続起業家で、東京大学在籍時には自身の研究がIPAの育成事業「未踏ソフトウェア創造事業」に採択されたエンジニアでもあります。 現在は、主にアジアをターゲットに展開するKoalaの事業を推進すべく、スパイシーシナモンのグローバル本社であり地域統括拠点のあるシンガポール、開発拠点のあるベトナム、そしてこの6月に設置したマーケティング拠点のあるタイなどを飛び回って
403 Forbidden
\閉鎖予定のサイトも売れるかも?/ アクセスがないサイトもコンテンツ価値で売れる場合も… ドメインの有効期限を更新してサイト売却にトライしてみましょう
ショートカットに気をつけろ!進化する標的型攻撃の脅威
特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」が後を絶たない。しかも、巧妙化の一途をたどっている。その一例が、ショートカットファイル(LNKファイル)にスクリプトウイルスを仕込む手段。テキストファイルに偽装されたショートカットファイルをダブルクリックすると、インターネットからウイルスが次々とダウンロードされ、パソコンのみならず、企業の社内ネットワークが乗っ取られる。恐ろしいまでに巧妙な、その手口を紹介しよう。 現在、企業や組織にとって大きな脅威となっているのが標的型攻撃だ。多くの場合、攻撃者はウイルス(マルウエア)を添付したメールを従業員宛てに送付する。従業員がウイルスファイルを開くと、パソコンがウイルスに感染し、攻撃者に乗っ取られる。攻撃者はその感染パソコンを踏み台にして、社内ネットワークに侵入。その企業が保有する機密情報や知的財産、顧客情報などを狙う。 不特定多数をターゲット
情報セキュリティ分野の人材不足が鮮明に、「スキル不十分」も14万人
国内企業で情報セキュリティの仕事に就く人材は約23万人。2万人強の不足があり、十分なスキルを満たしているとみられる人材は約9万人だった。 情報処理推進機構(IPA)は4月27日、「情報セキュリティ人材の育成に関する基礎調査」の報告書を公開した。企業を中心に人材数やスキルが不足していることが明らかになった。 それによると、従業員数100人以上の企業で情報セキュリティ業務に従事する技術者は約23万人に上る。内訳は100人から300人未満が約8万5000人、300人から1000人未満が約6万3000人、1000人以上が約8万1000人。それぞれの規模で6200人から8500人ほどの人材が不足しているとされ、合計で2万2000人に人材が必要とされている実態が分かった。 また業務に従事する23万について、必要なスキルと満たしていると考えられる人材は9万人強だった。約14万人に対しては何らかの教育やト
fuzzing.html#003
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開:IPA 独立行政法人 情報処理推進機構
近年、標的型攻撃はやり取り型や水飲み場型の出現、使われるマルウェアの高機能化などますます多様化しており、被害が後を絶ちません。原因の1つには、ウイルス対策ソフト等の入口対策を突破して侵入を果たした攻撃が情報システム内部で密かに活動しているのを検知できず、情報流出等の実害が発覚するまで攻撃に気付かないことが多いことが挙げられます。 IPAでは2010年12月に「脅威と対策研究会」を設置し、標的型攻撃から組織の情報システムを守るためのシステム設計ガイドを公開してきており、本書はその最新改訂版となります。本版では、システム内部に深く侵入してくる高度な標的型攻撃を対象に、システム内部での攻撃プロセスの分析と内部対策をまとめています。 また、前版に対するヒアリング結果や意見を基に、よりシステム設計・運用現場が利用しやすいよう、改訂ポイントの1つとして、対策を以下のように整理しました。 <統制目標の明
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
中小企業に「お金を掛けずにできる具体的な対策」提示、IPA - @IT
2009/03/18 情報処理推進機構(IPA)は3月18日、情報セキュリティに詳しい人材が不足している中小企業向けに、最低限実施すべきセキュリティ対策を具体的にまとめた「中小企業の情報セキュリティ対策ガイドライン」を公表した。 このガイドラインは、「情報セキュリティ対策が必要なことは分かっていても、何をすべきかが分からないという疑問に対して解決策を提示するもの」(IPAセキュリティセンタ 普及グループ グループリーダーの石井茂氏)。人的リソースが少なく、また不況も相まって対策に必要な予算を十分に持たない中小企業向けに、「お金を掛けずに実行できる具体的な対策」を示す。 ISMSなどの標準に沿うならば、情報セキュリティ対策に取り組むにはまず社内の資産を洗い出し、リスクと考えられる脅威を分析して……というプロセスを取ることになる。しかしこうした手順は、中小企業にとっては敷居が高かったとIPAで
IT企業、ユーザー企業ともにIT人材は「量」より「質」を求める傾向
独立行政法人 情報処理推進機構(IPA)は2月26日、2008年度に実施した調査の報告書「IT人材市場動向調査 調査報告概要版 No.1」を公開した。この調査は8種類の対象別に実施されており、4回に分けて公開される。第1弾となる今回はIT企業とユーザー企業のIT人材動向調査結果がまとめられている。 調査の結果、ITスキル標準の利用が着実に浸透していることがわかったという。また、IT人材の質と量に対する過不足感では、IT企業では人材の量が「大幅に不足している」と回答したところが2007年度の28.3%から16.2%へと10ポイント以上減少した。逆に人材の質に対する不足感は前年度よりも高まっており、人材の質が「大幅に不足している」と回答した企業は前年度の23.5%から32.4%へと増えた。 ユーザー企業では量、質ともに「(大幅に/やや)不足している」と答えた企業が8割を超えた。特に量よりも質に
IPA、暗号アルゴリズムの確認制度を導入
情報処理推進機構(IPA)は1月16日、暗号機能を搭載する製品に対する暗号アルゴリズムの実装確認を行う「暗号アルゴリズム確認制度」を導入した。確認書発行までの対応を強化する。 同制度では、製品ベンダーなどの依頼に基づいて試験機関が実施した暗号アルゴリズムの実装確認の結果をIPAが審査し、確認書を発行する。試験機関では専用ツールを用いて1週間程度で正確性を確認できる。 IPAでは、2007年4月から暗号モジュールおよび暗号アルゴリズムの試験と認証を行う「JCMVP」制度を導入しているが、実装試験から認証までには数カ月を要していた。このうち、確認制度を独立させることで迅速な対応が可能になるという。 暗号アルゴリズム確認書発行手数料は、2万1000円となっている。 過去のセキュリティニュース一覧はこちら 関連記事 IPA、暗号化製品のテストを民間企業に移管 IPAは、暗号モジュール製品の試験機関
Security RSSポータル
ディスクリプションFutronic released FS25, a USB Fingerprint Mifare Card Reader and Writer. Together with its previously launched FS82 USB Fingerprint ISO7816 Smart Card Reader and Writer, Futronic is now supporting bo ITシステムの情報漏えい対策では、パスワードによるセキュリティ保護が不可欠。だがパスワードの運用方法を間違うと、大きなセキュリティホールにもなりかねない。USBキーなどと併用する方法もあるが、他人のなりすましまで防ぐことはできない。そこで利用したいのが生体認証だ。中でも最も機能性に優れた指紋認証を紹介する。
最優秀ソフトウェアにハイパーテックの「Crack Proof」が選出--IPA
独立行政法人 情報処理推進機構(IPA)は「ソフトウェア・プロダクト・オブ・ザ・イヤー 2008(SPOTY 2008)」の受賞ソフトウェアプロダクトを発表した。 今年度は54製品の応募があり、審査の結果7つの製品を表彰することとした。グランプリとして選ばれたのは、Windowsアプリケーションを違法コピーや改ざん行為などから保護するためのソフトウェアであるハイパーテックの「Crack Proof」。 このほか、カスタマイズ不要な導入をコンセプトとした大企業向けの経理、会計パッケージである、ワークスアプリケーションズの「COMPANY Financial Management」、中小企業会計業務向けのASP、SaaS型会計ソフトであるビジネスオンラインの「ネットde会計」、携帯電話向けの音声認識技術であるアドバンスト・メディアの「音声入力メール」などが選出されている。
IPA、ネット上に仮想環境を構築しOSSの実証評価ができる「OSSオープン・ラボ」を開始
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構(IPA)は6月30日、オープンソースソフトウェアの実証評価環境「OSSオープン・ラボ」の運用を開始した。 OSSオープン・ラボは、OSSの開発や試用のための環境をインターネットを介して提供するもの。IPAのサーバに用意される仮想環境の画面イメージを、ウェブブラウザで動作するJavaプラグイン上に転送し、操作できる仕組みになっている。 利用者は利用者登録を行った上で、事前に利用期間や利用OSの予約申請を行う。IPAサーバ上の仮想環境で、希望のOSとオープン・ラボのソフトウェアライブラリに用意されたアプリケーション、ツールを組み合わせて実験環境を構築することができるほか、OSSオープン・ラボへ利用者が自身で開発
情報処理推進機構:セキュリティセンター:セキュリティ関連NIST文書
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の発行するSP800シリーズ(SP: Special Publications)とFIPS(Federal Information Processing Standards)の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うよ
脆弱性対策:情報セキュリティ白書2008 第2部 10大脅威 ますます進む「見えない化」:IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、5月23日(金)に発刊を公表した情報セキュリティ白書2008から、第2部「10大脅威 ますます進む『見えない化』」を抜粋し、2008年5月27日(火)よりIPAのウェブサイトで公開しました。 情報セキュリティ白書2008 第2部 「10大脅威 ますます進む『見えない化』」は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめたものです。「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択、分析し、今後の対策をまとめました。 近年、利用者が攻撃
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
