「サイバーレスキュー隊(J-CRAT)分析レポート2015」を公開:IPA 独立行政法人 情報処理推進機構
IPAは、J-CRAT活動を通して実際に入手した相互に関連する標的型攻撃メール群を対象に、攻撃手口や攻撃者の標的(狙い)の分析を行ったレポートを公開しました。 J-CRATでは、2015年11月の1件の標的型攻撃メールをスタート点に、標的型サイバー攻撃の連鎖(送信元や送付および同報先とそこを足掛かりとした更なる攻撃など)を追跡してレスキュー活動を実施する中で、2016年3月まで継続した攻撃において、44の組織から137件の標的型攻撃メールを入手しました。 本レポートでは、この攻撃の集合をキャンペーンと呼び、このキャンペーンの分析を行っています。攻撃者の挙動を分析するため、「キャンペーン」のサブセットをオペレーションとして、以下の定義を導入しています: 【一連の攻撃(オペレーション)の定義】 ・標的型攻撃メールの差出人、件名、本文、添付ファイルのすべてが同一 ・メールの送信間隔に1時間以上の
CSIRT構築および運用における実態調査
近年のサイバー攻撃は、個別の組織や業界を標的とした攻撃、個人の情報や金銭の搾取を目的とした攻撃、政治的な主張や技術力を誇示するための攻撃など、目的や対象、手法が多岐にわたり、事業の根幹を揺るがすような影響を及ぼすものもあります。そのため、組織では、サイバー攻撃への備えが課題となっています。備えの一つとして、発生したセキュリティインシデントに効果的に対処するための組織体制の要となる「Computer Security Incident Response Team(CSIRT)」の構築や運用が進められています。 CSIRTは、母体となる組織文化や要員の技術的背景などによってさまざまな形態が考えられます。また、高度化するサイバー攻撃手法など、取り巻く環境は日々変化しており、CSIRT構築および運用の実態を定期的に把握し、柔軟に対応することが重要となります。 こうした状況を踏まえ、JPCERT/C
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 | JPCERTコーディネーションセンター(JPCERT/CC)
近年のサイバー攻撃では、マルウエアに感染したマシンを侵入の起点として、他のマシンへの感染拡大や、内部サーバへの侵入など、組織内の至るところを侵害する事例が多く確認されています。こうした事案においては調査対象ポイントが多数になるので、それらを重大な事象を見落とすことなく迅速に調査して、できる限り正確に被害の全体像を掌握し、善後策の立案に必要な事実を収集するための手立てが求められています。 一方、攻撃対象であるネットワークの構成は組織によって様々ですが、攻撃の手口にはよく見られる共通したパターンが存在し、同じツールが使用されることが多く見受けられます。 攻撃者によって使われることが多い代表的なツールがどのようなものか、さらに、それらが使用されると、どこにどのような痕跡が残るのかを把握していれば、多数の調査対象ポイントを体系的かつ迅速に調査できるようになると考えられます。本報告書は、実際の攻撃に
OWASPアプリケーションセキュリティ検証標準
本資料は、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) 3.0.1 を翻訳したものです。 ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指して活動しています。ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。 また、これらのセキュリティ要件は、必ずしもすべて満たすべきというわけではありません。例えば「入力値検証はサーバ側で実装されている(5.5)」のように、すべてのアプリケーションが満たすべきセキュリティ要件がある一方で、「セキュリティログに完全性を保証する機構が備わっており許
2014年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~|特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
2014年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ (セキュリティ被害調査ワーキンググループ) 1.はじめに JNSA セキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故(以降「インシデント」という)の調査分析は、情報セキュリティ大学院大学原田研究室、廣松研究室の協力をいただいて実施している。本調査もこれまでの調査方法を踏襲し、2014年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント(以下、インシデントという)の情報を集計し、分析を行った。 この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル(JNSA Damage Operation Model for Individual Information Leak)を用いた想定損害賠償額などを分析した結果を報告
「企業における情報システムのログ管理に関する実態調査」報告書について:IPA 独立行政法人 情報処理推進機構
標的型攻撃などのサイバー攻撃や、内部不正による情報漏えい等の情報セキュリティインシデントが発生した時の事実調査では、情報システムのログからその痕跡・証拠を得ることが重要であり、さらには早期発見や抑止の観点からも情報システムのログ管理は必要不可欠です。一方で、その管理手法は中小企業(*)を含め広く知られているとは言い難い状況です。本調査では、企業における情報システムのログ管理の実態をログ管理製品/サービス提供事業者20社、ユーザ企業11社、有識者3名について調査し、セキュリティ対策を強化するためのログ管理の課題を明らかにすると共に中小企業に適用可能な最低限実施すべきログ管理の指針を提示することを目指しました。 (1) 調査期間 : 2015年12月~2016年2月 (2) 実施項目 : ・ログ管理に関する公開情報調査(公開文献、ガイドライン、ログ管理製品/サービス仕様) ・インタビューによる
エンタープライズロール管理解説書(第3版)|特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)報告書
はじめに:「エンタープライズロール管理解説書」より抜粋 全社的なアクセス権の制御を適切かつ効率的に行うことを目的として、ロール管理の考えを取り入れ実践している企業は多い。しかし、実際にはこの目的を実現できていないケースも多く、ロール管理を適切かつ効率的に行うことは難しいのが現状である。 ロールを利用したアクセス制御の仕組み自体は難しいものではないため、各種のアクセス管理製品に仕組みとして実装はされているが、それらを利用して、ロール管理を適切かつ効率的に実現するためには、管理対象となっているロール自体がどのようなものであるか?どのような種類があるのか?を理解し、また、どのように設計し、どのように運用すべきかを理解し、かつ、実践する必要がある。 本ガイドラインは、実際の組織におけるロール管理のあるべき姿を追求し、そもそもロールとは何か、ロールの種類、ロールの構造はどうあるべきか、ロールの設計お
NPO日本ネットワークセキュリティ協会:エンタープライズにおける特権ID管理解説書(第1版)(アイデンティティ管理WG)
はじめに:「エンタープライズにおける特権ID管理解説書」より抜粋 本書は「エンタープライズにおける特権ID管理」について、その基礎となる考え方や実施の意義、特権ID管理システムを導入するにあたって検討すべき事項について、実用的な導入指針(ガイドライン)を示している。特権IDはITシステムの性質上必要かつ重要なIDであり、かつ非常に高い権限を保持することから管理を厳格にする必要があるIDである。 本書は特権ID管理とは何か?から始まり、特権ID管理の重要性を解説し、実際の特権ID管理の課題と管理策について解説をおこなっている。また、特権ID管理は新しいシステムが導入された時が重要になるため、その実行のガイドラインとなるものを解説した。 これから、特権ID管理を導入検討する人には、プロジェクトの推進の準備として、また、現在特権ID管理システムを導入中の人にとっては、現在のプロジェクトをよりよく
協議会・研究会公開資料 CCDS
ページの先頭へ↑ 2024.6.1 スマートホーム分野 サービス向けセキュリティガイドライン2023年版のリリース スマートホーム分野 セキュリティガイドラインの改訂について 一般社団法人 重要生活機器連携セキュリティ協議会(代表理事:荻野 司 情報セキュリティ大学院大学客員教授、以下CCDS)は、スマートホーム分野のセキュリティガイドラインを改訂し、2023年版としてリリースを行いました。 詳細は下記の公開文書をご参照ください。 □■製品分野別セキュリティガイドライン_スマートホーム編_ver1.0■□ CCDS製品分野別セキュリティガイドライン_スマートホーム編_2023年版_Ver.1.0 CCDS製品分野別セキュリティガイドライン_スマートホーム編_2023年版_別紙セキュリティ要_Ver.1.0 ページの先頭へ↑ 2024.4.15 経済産業省のIoTセキュリティ適合性評価制度に
IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、無償で利用できる検索エンジン”Censys”(センシス)が2015年10月に新たに登場したことを受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、その使い方、機能などを追加し、2016年5月31日より改訂版として公表しました。 下記より改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」についてのレポートPDF版をダウンロードしてご利用いただけます。 本テクカルウォッチで紹介しているSHODANおよびCensysによる日本国内で接続されているIoT機器数を、こちらで公開しています。 1.オフィス機器とサーバー機能 2.インターネット接続機器検索サービスSHODAN 3.SHODANを使用した自組織の検査 4. インターネット接続機器検索サービスCe
マイクロソフトのパスワードに関するガイダンス
こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおり
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | フィッシングレポート 2016 の掲載 ~ 世界に広がるフィッシング対策の輪 ~
2015 年度のフィッシング対策協議会のガイドライン策定ワーキンググループにおいて、フィッシングの被害状況、フィッシングの攻撃サイドの技術・手法などをとりまとめたフィッシングレポートを公開しました。 本レポートの主な内容は以下のとおりです。 ・フィッシングの動向 - 国内の状況 - 海外の状況 ・フィッシングこの一年 - フィッシングの拡大 - 金融機関を狙った攻撃の激化 - ソーシャルログインサービスの普及 - STC 普及啓発 WG 活動報告 ・新しい攻撃手法・対策の動向 - ショートメッセージを利用したフィッシング - オンラインバンキング詐欺における中間者攻撃における新しい方法 - 金融庁監督指針 / 検査マニュアル、FISC ガイドライン改訂に伴う対応 - パスワードが抱えている問題点と複数要素認証 - ワンタイムパスワード ・まとめ フィッシングレポート 2016 (PDF:3
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: フィッシング対策ガイドラインの改訂について
2015 年に公表したフィッシング対策ガイドラインについて、各要件に対する内容の見直し、読みやすさの向上、脅威の現状や新しい対策技術の反映を目的に、フィッシング対策ガイドラインを改訂いたしました。 1.サービス事業者におけるフィッシング詐欺対策 ・サービス事業者におけるフィッシング詐欺の被害とは ・利用者を守るためのフィッシング詐欺対策とは ・フィッシング詐欺被害の発生を抑制するための対策 ・フィッシング詐欺被害の発生を迅速に検知するための対策 ・フィッシング詐欺被害が発生してしまった際の対策 2.利用者におけるフィッシング詐欺対策 ・フィッシング詐欺への備え ・フィッシング詐欺に遭ってしまった時 ■変更内容 改訂した 2016 年度版は、以下の要件と利用者におけるフィッシング詐欺対策に対して、記載事項の追記と変更を行いました。 ◇サービス事業者におけるフィッシング詐欺対策 サービス事業者
「IoT開発におけるセキュリティ設計の手引き」を公開 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
公開日:2016年5月12日 最終更新日:2024年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
「企業のCISOやCSIRTに関する実態調査2016」報告書について:IPA 独立行政法人 情報処理推進機構
(2)CSIRT(*5)は設置したが、人材の能力・スキル不足を実感しており、現状に満足していない日本 ①CSIRTが“期待したレベルを満たしている”と回答した割合は米国45.3%、欧州48.8%に対し日本は14%となり、 欧米の3分の1と大きく差が開く結果となった(別紙2.)。 ②CSIRT等の有効性を左右する最大の要素として“能力・スキルのある人員の確保”と回答した割合は日本が73.3%と最多で、 米国56.8%や欧州54.2%と比べ2割程度多い(別紙3.)。 ③情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%や欧州61.9%の半分以下(別紙4.)。 ※なお、CSIRTおよび同等組織の設置状況に日・米・欧の差は余り見られない(別紙5.)。 考察:日本はCSIRT等への満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低い。日本
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NPO日本ネットワークセキュリティ協会 調査研究部会・IoTセキュリティWG