セキュリティ対策情報 | セキュリティ対策のラック情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ 最高峰のセキュリティサービスと、ITトータルソリューションを提供します。 もっと知る
共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ(2015年6月 9日)| 株式会社ラック
「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ 2015年6月 9日 | お知らせ 2015年6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を、当社が知り得た範囲で整理し、対処方針など他山の石として学ぶべきことを提言するものです。 日本年金機構は、何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けました。攻撃は執拗かつ巧妙であると見られ、その手法は標的型サイバー攻撃という、狙いをさだめた攻撃対象に対して特化された電子メールやウイルスを仕込んで行われたものでした。 本来は情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためでした。 情報を守るために切り離された2つの
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
セキュリティレポート|第1回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析「パスワード解析と解析マシン」
第1回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析 パスワード解析と解析マシン 2014.09.01 今回は、GPGPU(General-purpose computing on graphics processing units)によるオフラインパスワード解析に関する話を数回に分けてご説明いたします。 なお、今回使用している解析マシンでは、法人向けパーツ等は一切使用しておりません。一般に購入できるパーツのみで構成されており、どなたでも入手することが可能なマシンです。使用したソフトウェアについては、悪用防止のため公表致しません。 ここ数年、パスワード解析にグラフィックカードのGPU(Graphics Processing Unit)を利用することで、パスワード解析速度を格段に向上させる技術が注目を集めています。GPUを画像処理以外に利用するという技術は、一般的にGPG
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
Ruby on Rails 3.2.17, 4.0.3がリリースされました!重要なDoS脆弱性が修正されています|TechRacho by BPS株式会社
2014.02.19 Ruby on Rails 3.2.17, 4.0.3がリリースされました!重要なDoS脆弱性が修正されています 日本時間で2/19の朝、Ruby on Rails 3.2.17, 4.0.3, 4.1.0beta2がリリースされました。 今回は、重要なセキュリティFixを含む一斉アップデートです。 なお、4.1についてはすでに4.1.0rc1がリリースされているので、そちらにアップデートしましょう。 今回は3件の修正(3系でのみ発生するものが1件、4系でのみ発生するものが1件、両方で発生するものが1件)が含まれています。 特に最後のDoS脆弱性(CVE-2014-0082)については、Rails 3.2を使用している幅広いサービスに影響があるため、確実に確認・アップデートしておきましょう。 CVE-2014-0080 影響を受けるRailsバージョン: 4.0, 4
パーソナルデータに関する検討会 決定等
パーソナルデータに関する検討会 決定等 □ パーソナルデータの利活用に関する制度見直し方針(本体)(概要) 平成25年12月20日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定 □ パーソナルデータ関連制度担当室の設置について(平成26年3月1日) □ パーソナルデータの利活用に関する制度改正大綱(本体)(概要「基本的な考え方」 ) 平成26年6月24日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定 □ 「パーソナルデータの利活用に関する制度改正大綱」に対するパブリックコメントの募集(平成26年6月25日~平成26年7月24日) □ 「パーソナルデータの利活用に関する制度改正大綱」に対するパブリックコメントの募集結果について(平成26年10月7日) □ 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律
総務省|行政機関・独立行政法人等における個人情報の保護|<3 個人情報の該当性>
Q3-1 保護法で規定している「個人情報」とはどのようなものですか。例えば、次のような情報は、「個人情報」に当たりますか。 1) 死者に関する情報 2) 外国人の情報 3) 法人の代表者の情報 4) 防犯カメラの映像 5) 行政機関に持ち込まれた相談事案の処理票に記載された相談の内容や処理の経過 6) 採用試験の結果 A 保護法上、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名等により特定の個人を識別することができるものをいいます(第2条第2項)。 1)については、生存する個人に関する情報でないことから、一般的には、個人情報に当たりません。しかし、死者に関する情報であっても、当該情報が遺族等の生存する個人に関する情報でもある場合には、生存する個人を本人とする情報として、個人情報に当たることになります。例えば、死者に関する情報である相続財産等に関する情報の中に遺族
情報セキュリティ技術動向調査(2009 年下期):IPA 独立行政法人 情報処理推進機構
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい
Nmap リファレンスガイド (Man Page)
このドキュメントでは、Nmapバージョン4.50について説明しています。最新のドキュメントは、英語でhttps://nmap.org/book/man.htmlから入手できます。 Nmap (「Network Mapper」)は、ネットワーク調査およびセキュリティ監査を行うためのオープンソースのツールである。大規模ネットワークを高速でスキャンするように設計されているが、単一のホストに対してもまったく問題なく機能する。Nmapは生の(raw)IPパケットを用いて、ネットワーク上でどのようなホストか利用可能になっているか、これらのホストが提供しているサービス(アプリケーション名とバージョン)は何か、ホストが実行しているOS(OS名とバージョン)は何か、どのような種類のパケットフィルタ/ファイアウォールが使用されているかなど、その他数多くの特徴を斬新な方法で判別する。Nmapは、セキュリティ監査
ASP・SaaSの情報セキュリティ対策に関する研究会
ASP・SaaSの情報セキュリティ対策に関する研究会 開催についての報道資料 第1回会合(平成19年6月21日) 配付資料 議事要旨(PDF) 第2回会合(平成19年8月8日) 開催案内 配付資料 議事要旨(PDF) 第3回会合(平成19年10月17日) 開催案内 配付資料 議事要旨(PDF) 第4回会合(平成19年12月18日) 開催案内 配付資料 議事要旨(PDF) 第5回会合(平成20年1月29日) 開催案内 配付資料 議事要旨(PDF) ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集(平成19年12月19日) ASP・SaaSの情報セキュリティ対策に関する研究会報告書等の公表及び意見募集の結果(平成20年1月30日)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュリティセンター 調査・研究報告書
地獄のJavaScriptセキュリティ
Secure Programming for Linux and Unix HOWTO
[PDF] Transparent Proxies: Threat or Menace?
Security Guidance for Critical Areas of Focus in Cloud Computing(pdf)
PC