リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」の4つがあります。 (1) リスクの低減 「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。 (2) リスクの保有 「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状におい
オランダの DigiNotar 社をはじめとする複数の認証局(電子証明書(*1)を発行する組織)に対し攻撃が行われ、攻撃者が不正に電子証明書を入手したという問題が発生しています。 この問題により、悪意のある者が不正な電子証明書を使用して構築した不正な(罠の)ウェブサイトにアクセスした際に、利用者のブラウザ等で正当な電子証明書であると判定してしまいます。 結果として、利用者がウェブブラウザの表示を信用して不正なウェブサイトで個人情報等を入力してしまうことにより、入力した情報等が悪意のある者に盗まれてしまうという被害に繋がる可能性があります。 対策として、各ベンダが提供している修正プログラムの適用および最新版へのアップデートを行ってください。 *1 ウェブサイトの信ぴょう性を証明する「サーバ証明書」など、データやサーバ、通信の安全性を担保するもの。 ・Windows XP ・Windows V
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
スキル標準の在り方に関する研究会(2014年1月~2014年5月) ITスキル標準(ITSS)プロフェッショナルコミュニティ情報(2003年11月~2011年8月) IT融合人材についての取り組み(2013年7月~2015年8月) 「欧州訪問調査に関する報告(スキル標準およびIT人材育成について)」の公開(2014年7月) 中小ITベンダー人材育成優秀賞(2010年~2012年) ITスキル標準の旧版 ITスキル標準(ITSS)のダウンロード(Ver1.1~1.2、V2、V2 2006、V3、V3 2008、V2~V3英語版) ITスキル標準の具体的な活用モデル・活用指針などの提示(2004年~2006年) ITスキル標準は、IT業界における人材育成のガイドラインとなるものです。ITベンダーやユーザー企業が自社の人事評価制度や教育研修制度に活用することで、ITスキル標準は大きな効果を発揮し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く