近年、企業経営においては、ITを積極活用した「攻めの経営」と、情報資産やシステムを保護する「守りの経営」とを高いレベルで両立することが求められています。このためには、経営方針に基づき、セキュリティに関して企業内の調整や実務者層をリードできる人材（CISO等(*1)）及び同方針に基づいたセキュリティ対策の実践が必要であると考えられます。 経済産業省と独立行政法人情報処理推進機構（IPA）は、2017年11月にサイバーセキュリティ経営ガイドライン Ver 2.0を発行しました。これを受け、IPAは、サイバー攻撃への対策強化に向けて、国内での実践事例を基にしたプラクティス集を作成しました。 そこでIPAは、これらの取組みの充実を図るべく、経営層を支えるCISO等の対策実践力を強化支援し、組織のセキュリティ対策レベルの向上に資することを目的とする調査を行いました。本調査では、国内のサイバーセキュリ

サイバーセキュリティ経営可視化ツールとは 目的 本ツールは、「サイバーセキュリティ経営ガイドラインVer3.0」で定める重要10項目の実施状況を5段階の成熟モデルで可視化（レーダーチャート表示）できます。企業は自社のサイバーセキュリティ対策状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行等が可能となります。 対象利用者 原則として、従業員300名以上の企業・組織を対象としています。 但し、従業員300名未満の企業・組織を対象としないものではなく、グループ企業との比較等にも活用可能です。 回答にあたって 回答はサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISO(注1)等）が回答を記入し、最終的には経営者(注2)が回答内容を確認・承認してください。 自社の予算・技術力に関わらず、セキュリティのあるべき姿に対してどこまでできて

IPAは、J-CRAT活動を通して実際に入手した相互に関連する標的型攻撃メール群を対象に、攻撃手口や攻撃者の標的（狙い）の分析を行ったレポートを公開しました。 J-CRATでは、2015年11月の1件の標的型攻撃メールをスタート点に、標的型サイバー攻撃の連鎖（送信元や送付および同報先とそこを足掛かりとした更なる攻撃など）を追跡してレスキュー活動を実施する中で、2016年3月まで継続した攻撃において、44の組織から137件の標的型攻撃メールを入手しました。 本レポートでは、この攻撃の集合をキャンペーンと呼び、このキャンペーンの分析を行っています。攻撃者の挙動を分析するため、「キャンペーン」のサブセットをオペレーションとして、以下の定義を導入しています： 【一連の攻撃（オペレーション）の定義】 ・標的型攻撃メールの差出人、件名、本文、添付ファイルのすべてが同一 ・メールの送信間隔に1時間以上の

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、情報処理安全確保支援士制度が創設されることを踏まえ、情報処理安全確保支援士と現行の情報処理技術者試験「情報セキュリティスペシャリスト試験」の位置付け、試験実施予定などについて公表しました。 経済産業省は2016年4月27日に、国家資格となる「情報処理安全確保支援士」制度を2016年度内に新たに創設するとともに、「情報処理安全確保支援士試験（以下、支援士試験）」を2017年度から実施することを公表しました(*1)。 同制度は情報セキュリティの専門的な知識・技能を有する専門人材を登録・公表するもので、支援士試験は、現在実施している国家試験「情報処理技術者試験」の「情報セキュリティスペシャリスト試験（以下、SC試験）」の内容をベースに実施されます。 試験制度における両試験の位置付けは下図のとおりで、これまで情報処理技術者試験制度の枠組

標的型攻撃などのサイバー攻撃や、内部不正による情報漏えい等の情報セキュリティインシデントが発生した時の事実調査では、情報システムのログからその痕跡・証拠を得ることが重要であり、さらには早期発見や抑止の観点からも情報システムのログ管理は必要不可欠です。一方で、その管理手法は中小企業(*)を含め広く知られているとは言い難い状況です。本調査では、企業における情報システムのログ管理の実態をログ管理製品／サービス提供事業者20社、ユーザ企業11社、有識者3名について調査し、セキュリティ対策を強化するためのログ管理の課題を明らかにすると共に中小企業に適用可能な最低限実施すべきログ管理の指針を提示することを目指しました。 (1) 調査期間 ： 2015年12月～2016年2月 (2) 実施項目 ： ・ログ管理に関する公開情報調査（公開文献、ガイドライン、ログ管理製品／サービス仕様） ・インタビューによる

IPA（独立行政法人情報処理推進機構）セキュリティセンターは、無償で利用できる検索エンジン”Censys”（センシス）が2015年10月に新たに登場したことを受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、その使い方、機能などを追加し、2016年5月31日より改訂版として公表しました。 下記より改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」についてのレポートPDF版をダウンロードしてご利用いただけます。 本テクカルウォッチで紹介しているSHODANおよびCensysによる日本国内で接続されているIoT機器数を、こちらで公開しています。 1．オフィス機器とサーバー機能 2．インターネット接続機器検索サービスSHODAN 3．SHODANを使用した自組織の検査 4. インターネット接続機器検索サービスCe

公開日：2016年5月12日 最終更新日：2024年3月29日 独立行政法人情報処理推進機構 技術本部　セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT（Internet of Things）が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ

2016 年 4 月 15 日、動画再生ソフトウェア「QuickTime for Windows」に、2 件の未解決の脆弱性が JVN に掲載されました。「QuickTime for Windows」がインストールされたパソコンで、細工されたウェブサイトに意図せずアクセスしたり、細工されたファイルを再生することにより、プログラムが異常終了したり、場合によっては攻撃者によってパソコンを制御されるなどの可能性があります。 本脆弱性を悪用した攻撃情報は確認されていませんが、製品開発者による当該製品のサポートは既に終了しており、修正パッチは提供されていません。そのため、当該製品の利用者は速やかにアンインストールを行い、代替製品の使用を検討してください。 図：脆弱性を悪用した攻撃のイメージ これと併せて、長期休暇明けの基本的な情報セキュリティ対策として、使用中のソフトウェア全般について、修正プログラ