超上流から攻めるIT化の事例集:システム化の方向性と計画 | アーカイブ | IPA 独立行政法人 情報処理推進機構
・方向性と計画 成果物は「経営者が参画する要求品質の確保」に記述されている 表4.2「役割分担と成果物例」にならい分類・表示している。 要件定義についてはこちら
Microsoft 社 Internet Explorer のサポート終了について:IPA 独立行政法人 情報処理推進機構
2022 年 6 月 16 日(日本時間)までに、Internet Explorer のサポートが終了しました。 サポート終了後はセキュリティ更新プログラムの提供がなくなり、セキュリティリスクが高まります。 同ソフトウェア製品の利用者においては、サポートが継続している他の一般的なブラウザへの移行、およびコンテンツの改修等の対応が望まれます。 概要 2022 年 6 月 16 日(日本時間)に Microsoft 社の Internet Explorer(以下、IE)のサポートが終了します。 サポート終了後、Microsoft 社が定める時点より、IE を起動しようとすると Microsoft Edge が起動するよう変更されます(※1)。 そのため、IE のみで動作するよう作成されたコンテンツ(以下、IE コンテンツ)を IE で閲覧できなくなります(※2)。 IE コンテンツの利用者や提
更新:WPA2 における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
WPA2 (Wi-Fi Protected Access II) は、無線 LAN (Wi-Fi) の通信規格です。 10月16日(米国時間)に、WPA2 における暗号鍵を特定される等の複数の脆弱性が公開されました。 本脆弱性が悪用された場合、無線LANの通信範囲に存在する第三者により、WPA2 通信の盗聴が行われる可能性があります。 現時点で、攻撃コードおよび攻撃被害は確認されていませんが、今後本脆弱性を悪用する攻撃が発生する可能性があります。 各製品開発者からの情報に基づき、ソフトウェアのアップデートの適用を行うなどの対策を検討してください。 なお、本脆弱性によりHTTPSの通信が復号されることはありません 図:脆弱性を悪用した攻撃のイメージ アップデートする 現時点で、本脆弱性を修正するための修正プログラムが公開されている場合は、アップデートを実施してください。 ---2017/10
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第5章 暴露対策:プロキシキャッシュ対策
第5章 暴露対策 プロキシキャッシュ対策 プロキシキャッシュへのコンテンツ残留 ブラウザとWebサーバの間には、いくつかのキャッシュメカニズムが働いていることが多い。 プロキシサーバのキャッシュ──企業等LANを運用している多くの組織体ではLANからインターネットアクセスを行う際プロキシサーバを経由して行うことが多い キャッシュサーバ─インターネットプロバイダの中には、会員のWebアクセスを円滑にする目的でキャッシュサーバを運用しているところがある これらのキャッシュメカニズムは、ブラウザからのリクエストによって得られたコンテンツをキャッシュに保持しておき、同じURLのリクエストが生じたとき、本来のWebサーバにコンテンツを取りに行かず、キャッシュの内容をブラウザに渡すものである。 このようにキャッシュは、円滑なインターネットの利用に寄与してくれる。 しかし、コンテンツによっては、ただひと
更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表されました。 この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。 ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。 今回観測されているランサムウェアは Wanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。 ※ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求
IPA 独立行政法人 情報処理推進機構:国家資格「情報処理安全確保支援士」
サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が急務となっています。この人材の確保のために2016年10月に「情報処理の促進に関する法律」が改正され、新たな国家資格が誕生しました。これが「情報処理安全確保支援士(略称:登録セキスペ)」です。 本ページでは、「情報処理安全確保支援士(登録セキスペ)」制度に関する情報を掲載しています。ぜひご覧ください。 情報処理安全確保支援士 新規登録・更新のご案内 2024年7月~8月に「国家資格『情報処理安全確保支援士』がわかる!説明会」を実施しました。 国家資格「情報処理安全確保支援士」がわかる!説明会(2024年7月4日~8月15日オンデマンド配信
プレス発表 文字情報基盤の約6万種の漢字を、JIS第4水準(JIS X 0213)範囲の約1万種の漢字に置き換えを行う際の参照情報「縮退マップ(検証版)」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、人名等の正確な表記が求められる行政の実務に必要な約6万種の漢字(*1)を、市販コンピュータに通常搭載されている約1万種の漢字(*2)に置き換えて表記する場合に参照するための「縮退マップ(検証版)」を、2015年3月31日に公開しました。 URL:http://mojikiban.ipa.go.jp/4141.html IPAでは、内閣官房 IT総合戦略室、経済産業省とともに、人名等の正確な表記が求められる行政の実務に必要な約6万種の漢字を、情報システムで利用可能にするため、文字フォントの整備や文字コードの国際標準化を行う「文字情報基盤整備事業」を推進しています(*3)。 閣議決定「世界最先端IT国家創造宣言(*4)」では、利便性の高い電子行政サービスの提供を実現するために、「文字の標準化・共通化に関しては、今後整備する情報システ
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を:IPA 独立行政法人 情報処理推進機構
~米国CERT/CC (*1)が脆弱性のある617のAndroidアプリを指摘 (*2)。今後さらに指摘される見込み~ IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、米国のCERT/CCが2014年9月3日、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受け、Androidアプリ開発者に対して注意喚起を発することとしました。 HTTPS(HTTP over SSL/TLS)でサーバーと通信するAndroidアプリは、HTTPS通信の開始時に通信先から送信されたSSLサーバー証明書が適切か検証する必要があります。本来、HTTPS通信では、利用者とウェブサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができます。しかし、開発者が提供するAndroidアプリが「S
Inappropriate TCP Resets Considered Harmful
ネットワーク WG Request for Comments: 3360 BCP: 60 分類: Best Current Practice English 不適切な TCP Reset は有害である (Inappropriate TCP Resets Considered Harmful) このメモの位置づけ この文書は、インターネットの「現時点における最善の実践(ベストカレントプラクティス)」を示すものであり、改善するために議論と示唆を求めるものです。このメモの配布に制限はありません。 著作権表記 Copyright (C) The Internet Society (2002). All Rights Reserved. 要旨 本書は、一定の TCP SYN パケット(特に、TCP ヘッダーの Reserved フィールド中にフラグが設定されたパケット)を受信したとき、TCP コネ
更新:Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構
Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。 この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。 Microsoft 社は「脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラム(MS14-021)を適用して下さい。 Microsoft 社は、5 月 2 日より、Windows Update で本脆弱性に対する修正プログラムの配信を開始しました。 以下の Microsoft 製品が対象です。 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8
IPAテクニカルウォッチ 『スマートフォンへの脅威と対策』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、スマートフォンのうち「Android(アンドロイド) OS」を搭載したスマートフォン(アンドロイド端末)に対して、IPA独自でセキュリティ上の弱点(脆弱性)への対策状況を検査し、その結果に基づきアンドロイド端末の脆弱性対策の実情と課題の考察をまとめて、技術レポート(IPAテクニカルウォッチ 第3回)として公開しました。 スマートフォンは、従来の携帯電話と異なり、アプリケーションソフトをインストールすることにより、機能の追加や拡張を行える点がパソコンと類似しており、 “電話機能付きのパソコン” と表現しても過言ではありません。 米国Google(グーグル)社が提供するOS(基本ソフト)「アンドロイド」は、オープンソースソフトウェア(*1)の「Linux(*2)」などを基に開発され、世界各国で多数のメーカーに採用されています。スマー
PKI関連技術に関するコンテンツ_7.1 TLS (SSL)
前のページ 目次 次のページ 最終更新日: 2002年10月25日 7 PKI アプリケーション 本章では、PKI を利用する様々な PKI アプリケーション(PKI-Enable Application)について概要、機能、構造等を解説します。PKI アプリケーションとしては、Webの暗号化と認証を行う「TLS/SSL)」、電子メールの暗号化とデジタル署名を行う「S/MIME」、ネットワークの暗号化を行う「VPN」、XML文書へのデジタル署名を行う「XML 署名」 および Web で公開されるプログラム(アプレット)の認証を行う「コードサイニング」を取り上げます。 7.1 TLS (SSL) 7.1.1 概要 TLS (Transport Layer Security) は、クライアント/サーバー間における安全な通信環境を提供するプロトコルです。TLS は、証明書を利用することによって、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DX実践手引書ITシステム構築編-IPA.pdf
米国における暗号技術をめぐる動向
[PDF]米国における人工知能に関する取り組みの現状 - IPA
プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ:IPA 独立行政法人 情報処理推進機構