IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、組織の内部者の不正を原因とする情報セキュリティインシデントが依然として発生していることを受け、国内外で実施されている内部不正防止に関する取り組み状況やIPAの今後の取り組みについて紹介する技術レポート(IPA テクニカルウォッチ 第6回)を公開しました。 組織の内部者の不正を原因とする情報セキュリティインシデントは依然として発生しており、看過することができない状況です。日本ネットワークセキュリティ協会(JNSA)が実施した2010年の情報セキュリティインシデントに関する調査(*1)によると、個人情報漏えいに関するインシデントのうち、内部者の不正によるものは、発生した件数は少ないですが、1件あたりの個人情報流出数が、第1位の不正アクセス(138,492人)に次いで多く(78,457人)、発生時の影響が多大となる傾向となっています。
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、情報セキュリティに関する対策情報の発信、普及啓発等の活動に役立てることを目的として、インターネット利用者を対象とした「2011年度 情報セキュリティの脅威に対する意識調査」を実施し、その報告書を2011年12月20日(火)から、IPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/fy23/reports/ishiki/ 現在、インターネットの利用は企業に限らず、家庭においても広く普及しています。また、その際利用する機器は、パソコンだけでなく、スマートフォンやタブレット端末など多岐にわたり、インターネットを活用したさまざまなサービスが提供されています。一方で、インターネットバンキングの利用者を狙った不正送金事件や特定の相手を狙った標的型攻撃等の被害も発生しており、インターネッ
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、組織における知財や個人情報を狙ったサイバー攻撃事件が目立っており、昨今も攻撃を受けていた事件が報道されたことを受け、組織のシステム管理者に対し、広く対策の徹底を呼びかけるため、注意喚起を発することとしました。 近年、組織の知財情報や個人情報等の窃取を目的とした攻撃が増加しています。サイバー攻撃は、公開されているサーバーへの攻撃だけではなく、特定企業や公的機関を狙い、ソフトウェアの脆弱(ぜいじゃく)性を悪用し、複数の攻撃を組合せ、人間の心理・行動の隙を突く手法を用い、対応が難しいサイバー攻撃(IPAではこのような攻撃を「新しいタイプの攻撃(*1)」 と呼びます)が問題になっています。 「新しいタイプの攻撃」は、端末がウイルスに感染してしまうと、組織内に拡散するだけでなく、攻撃者との通信によるウイルスの機能増強や、組織内の情報探査を
第11-31-229号 掲載日:2011年 9月 5日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年8月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 2011年6月から7月にかけて、インターネットバンキングでの不正利用事件が発生しています。警察に約10の金融機関から被害相談や届出が出されていると報道されるなど、事態の深刻さを受け、IPAでも8月に緊急対策情報※1として注意喚起を行いました。 この不正利用事件は、「SpyEye(スパイアイ)」というウイルスの感染被害で起こった可能性が考えられます。それは、SpyEyeウイルスに、日本の銀行を不正利用する機能が含まれていたためです。 IPAでは、SpyEyeの一種(v1.3.45)を入手し
第11-29-227号 最終更新日:2011年8月3日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) 2011年6月下旬以降、日本国内のインターネットバンキングにおいて、不正アクセスの被害件数が増加しています。現在、地方銀行を中心に20件以上の注意喚起が行われています。それらによると、不正アクセスに使われている手口は不審メールやスパイウェアによるものであり、これによりパスワードなどの顧客情報を不正に窃取され、実際に振込被害が発生しているという状況です。 インターネットを利用する際は、「セキュリティパッチを定期的に適用する」、「極力新しいバージョンのソフトウェアを使用する」、「不審なサイトや心あたりのないメールは開封しない」などの利用上の注意事項を常に心がける必要があります。さらに、インターネットサービスを利用する上で大事な鍵となるパスワードをいかに保護し
SCAP(Security Content Automation Protocol) ~情報セキュリティ対策の自動化と標準化を実現する技術仕様~ 米国では「脆弱性発生件数の増加(*1)」など、社会におけるセキュリティへの関心が高まるなか、政府省庁の情報セキュリティ対策への要求として、情報システムのセキュリティを強化することを義務付けた法律FISMA(Federal Information Security Management Act:連邦情報セキュリティマネジメント法)が2002年に施行されました。 これに伴い政府省庁では、様々な法律(FISMA、SOX法など)や連邦政府情報処理規格(Federal Information Processing Standards:FIPS)、ガイドライン(NIST SP800シリーズ)などからセキュリティ要求事項を洗い出し、あらゆる情報システム(モバイ
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/waf.html Web Application Firewall(WAF)は、ウェブアプリケーション(*1)の脆弱性(*2)を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の発行するSP800シリーズ(SP: Special Publications)とFIPS(Federal Information Processing Standards)の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うよ
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「脆弱性を利用した新たなる脅威の監視・分析による調査」を実施し、その最終報告書を、2009年7月21日(火)から公開しました。本報告書では、近年のマルウェア(*1) の動向についての調査・分析、今後の標的型攻撃などの新たな脅威に向けた対策方法を検討しています。 「脆弱性を利用した攻撃手法の調査結果」の詳細は次のPDFファイルをご参照ください。 同じ攻撃手法で異なる攻撃内容 攻撃者はマルウェア作成にツールを利用 -「不審メール110番」に届けられた標的型攻撃の分析・対策について(概要版:8ページ:607KB) 脆弱性を利用した新たなる脅威の監視・分析による調査報告書(20ページ:663KB) (参考) プレスリリース全文(590KB) 概要 近年、ソーシャル・エンジニアリング(*2)やマルウェアなどの、情報セキュリティ上の新たなる
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、組込みシステムの情報セキュリティを推進するため、組込みシステムの開発関係者を対象とした、「組込みシステムのセキュリティへの取組みガイド」を作成し、2009年6月24日(水)から、IPAのウェブサイトで公開しました。組込みシステムの開発に携わる組織が自組織の「セキュリティへの取組み」がどのレベルにあるのかを把握し、さらに上位のレベルを目指すことで、よりセキュアな組込みシステムの実装を行うための具体的な施策についての指針を得ることが可能となります。 近年、産業機器や家電製品等は、これらの機器を制御するために機器の内部に組み込まれたコンピュータシステム、「組込みシステム」によって、高機能化や、ネットワークへの接続がなされています。このため、これらの機器に利用される組込みシステムもパソコンと同様、不正な利用を試みる第三者の攻撃ターゲット
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2008年にIPAに届けられた情報や一般に公開された情報を基に、「10大脅威 攻撃手法の『多様化』が進む」を編纂し、2009年3月24日(火)よりIPAのウェブサイトで公開しました。また、2009年6月25日(木)より英語版を公開しました。 本資料は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など111名から構成される「情報セキュリティ検討会(本資料のP.25参照)」でまとめたものです。2005年より毎年公開しており、今年で5回目となります。 安全なインターネットの利用における脅威を、2008年に「印象が強かったもの」「社会的影響が大きいもの」などの
前のページ 目次 次のページ 最終更新日: 2002年10月25日 7 PKI アプリケーション 本章では、PKI を利用する様々な PKI アプリケーション(PKI-Enable Application)について概要、機能、構造等を解説します。PKI アプリケーションとしては、Webの暗号化と認証を行う「TLS/SSL)」、電子メールの暗号化とデジタル署名を行う「S/MIME」、ネットワークの暗号化を行う「VPN」、XML文書へのデジタル署名を行う「XML 署名」 および Web で公開されるプログラム(アプレット)の認証を行う「コードサイニング」を取り上げます。 7.1 TLS (SSL) 7.1.1 概要 TLS (Transport Layer Security) は、クライアント/サーバー間における安全な通信環境を提供するプロトコルです。TLS は、証明書を利用することによって、
なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く