Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
2011 情財第 0266 号 暗号鍵の適切な運用・管理に係る課題調査 調査報告書 平成 25 年 2 月 i 目 次 1. はじめに .............................................................................................................................1 2. 米国の暗号政策 ...................................................................................................................3 2.1 CLIPPER 政策以前.............................................................
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2020年9月3日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-74-3 定価 定価:2,200円(税抜価格2,000 円、消費税率10%) 書籍概要 概要 IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。 各トピックでは国内外の官民の各種データ、資料を数多く紹介しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(昨年版の読者アンケートから抜粋)。 顧客向け資料への参考や引用 社内資料に使用 業界動向把握
1.はじめに 新型コロナウイルス感染症(COVID-19)の影響により、ICTを用いて自宅でも業務が行えるような環境を整えて、社員等を出社させずに事業継続を図る動きが急速に進んでいます。このような環境で働くテレワーク勤務者に向けたセキュリティ上の注意事項をご案内します。 テレワークには様々な利用環境があります。代表的なのは、自宅のパソコン等を用いてリモートデスクトップや仮想デスクトップで社内での業務用端末と同じ利用環境(テレワーク環境)を実現する方法です。 一方でそのような本格的な環境が提供されていない状況で自宅勤務を実施されている場合もあると思います。このページでは、そのような場合における注意事項も説明します。 2.テレワークを行う際のセキュリティ上の注意事項 (1)所属する組織や企業からテレワーク環境が提供されている場合
新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大しています。Web会議サービスの活用は大変有益である一方、盗聴、情報漏えい、サイバー攻撃等のセキュリティリスクに十分注意する必要があります。IPAではWeb会議サービスを使用する場合に注意すべきセキュリティ上のポイントを「Web会議サービスを使用する際のセキュリティ上の注意事項」としてまとめました。資料をダウンロード頂き、ご活用いただければ幸いです。 対象読者:法人組織のWeb会議主催者、および、情報システム管理部門 「会議データの所在」、「暗号化」、「会議参加者の確認・認証方式」等をWeb会議サービス選定時に考慮すべきポイントとしてあげてます。 Web会議サービスを安全に使用する際の注意事項として、会議準備、会議実施のタイミングでの注意すべきポイントをまとめています。 資料は以下からダウンロード
Emotet(エモテット)関連情報 Emotet(エモテット)の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール(攻撃メール)に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま
デジタル技術を活用して企業のビジネスを変革し、自社の競争力を高めていく「デジタル・トランスフォーメーション(DX)」が注目を集めるなか、従来のようなITベンダやシステム部門が中心になって要件定義をすすめるスタイルから、業務部門のユーザが主体的に関与するスタイルへの変革の必要性が増しています。 システムの要件を定義する責任は、構築されたシステムを利用してビジネスに貢献する役目を負うユーザにあると言われています。しかしながら、システム開発の遅延の過半は要件定義の失敗にあると言われるように、要件定義においては、その過程で様々な問題に直面します。 そこでIPAでは、要件定義の過程で直面する問題への対応をガイドすることが、ユーザへのよりいっそうの支援策となると考え、「ユーザのための要件定義ガイド(初版)」の内容を一新し、「ユーザのための要件定義ガイド 第2版 要件定義を成功に導く128の勘どころ」と
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)国家資格・試験部は、国家試験である「基本情報技術者試験」について、AI人材育成のニーズ等を踏まえ(*1)、出題の見直しを実施しました。具体的には、プログラム言語の見直し(COBOLの廃止、Pythonの追加)、プログラミング能力、理数能力等に関する出題の強化です。これらの詳細をIPAのウェブサイトで公開しました。 URL:https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html 基本情報技術者試験は、ITに関する基本的な知識・技能を評価するための国家試験です。これまでの応募者総数は約882万人、合格者総数は約106万人(*2)であり、情報処理技術者試験の中で、最も応募者数が多い試験区分です。また、ITエンジニアの登竜門という位置付けの試験であり、応募者数
本ページは、サイバーセキュリティ注意喚起サービス「icat」に掲載している重要なセキュリティ情報および、以下に記載のソフトウェア製品を対象とし、インターネット上で公開されている情報を元にして、主に製品情報とセキュリティに関する情報を掲載しています。 対象ソフトウェア製品: ・インターネット等からアクセス可能なウェブサーバ上で動作をしているサーバ用ソフトウェアのうち、日本で広く利用されているオープンソースソフトウェアを対象としています。 活用の対象者: ・ウェブサイト運営者 ・ウェブサイトを構築するシステム構築事業者(SIer) ・組織内のシステム管理者 活用例: 本ページは、掲載対象となっているソフトウェア製品に関して、製品開発者が公開しているソフトウェア製品に関する情報や、 セキュリティに関する情報を定期的に取集、および更新(週1回程度)をします。定期的に本ページを参照していただき、利用
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
STIX(Structured Threat Information eXpression) ~サイバー攻撃活動を記述するための仕様~ サイバー攻撃活動を鳥瞰するには、攻撃者(サイバー攻撃に関与している人/組織)、攻撃者の行動や手口、狙っているシステムの脆弱性など、攻撃者側の側面から状況をまとめたり、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、サイバー攻撃に対処するために取るべき措置などを防護側の側面から状況をまとめたりする必要があります。STIX(Structured Threat Information eXpression)(*1)は、これら関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。 サイバー攻撃
概要 自動車や家電などのあらゆる製品がインターネットに接続し、製品同士が相互に接続する「IoT(*1)社会」の到来により、利便性が高まることが期待される一方、想定外のつながりにより、IoT製品の利用者や製品の安全性・セキュリティを脅かすリスクの発生が懸念されています。 このような背景を踏まえIPAでは、産業界や学界の有識者で構成される「ワーキンググループ(WG)(*2)」を2015年8月に発足し、IoT製品の開発者が開発時に考慮すべきリスクや対策に関する検討結果を取りまとめ、今回、「つながる世界の開発指針」として策定し、IPAのウェブサイト上に公開しました。 今回策定した本開発指針は、IoT製品があらゆるモノとつながることを想定し、IoT製品の開発者が開発時に考慮すべきリスクや対策を指針として明確化したものです。 また、本開発指針は特定の製品分野・業界に依存しないことを念頭に策定しており、
公開日:2016年5月12日 最終更新日:2024年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
レッドハット株式会社提供のOS(基本ソフト)「Red Hat Enterprise Linux 4」の延長サポート、および「Red Hat Enterprise Linux 5」(以後、RHEL)の通常サポートが2017年3月31日、同時に終了する(*1)ことを踏まえ、システム管理者に速やかな移行を求められます。 Linuxはオープンソースソフトウェア(OSS)の基本ソフトとして、無償で利用可能なことから広く普及しています。またRHELの場合、その使途は外部からインターネットでアクセスされるサーバーにも活用されています。そのため、サポート終了により修正パッチが提供されなくなると、インターネットを介して攻撃に晒される可能性が高くなり、速やかな移行が求められます。 また、RHELのソースコードをベースに開発された無償の「CentOS(*2)」のように、派生ソフトウェアが複数存在しているのもOS
2016 年 1 月 12 日(米国時間)を過ぎると Microsoft 社が提供するウェブブラウザ「Internet Explorer」(以後、IE)のサポート対象が“各 Windows OS で利用可能な最新版のみ”にポリシーが変更されます(*1)。サポート対象外となる IE は、セキュリティ更新プログラムが提供されなくなるため、新たな脆弱性が発見されても解消することができません。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほか「情報が漏えいする」などの被害に遭うおそれがあり(図1)、早急なバージョンアップが求められます(*2)。 図1:IE のバージョンごとの影響(イメージ) 1. IE の脆弱性 IPA が運営する脆弱性対策情報データベース JVN iPedia(*3)に登録されている IE 7 から IE 10 までの脆弱性対策
攻撃は年々巧妙になっており、情報漏えいや金銭窃取の被害が後を絶ちません。その被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が原因であり、特定のセキュリティ対策製品を導入しただけでは被害を防ぐことができない場合があります。 個人情報や機密情報を扱う業務やその他重要な業務においては、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う必要があります(多層防御)。 「多層防御」を考慮したセキュリティ対策と運用管理を継続的に実施してください。 ウイルス感染や内部不正が発生しても、被害を回避・低減にできるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要です。 1. ウイルス感染リスクの低減 ウイルス感染の防止が
~ IPA に今まで届出のあった “安全でない CMS を利用しているウェブサイト” 241 件のうち、脆弱性解消の目処が立っていないのは 50 件(約 2 割) ~ 対象 古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを管理するシステム)の脆弱性を狙ったウェブ改ざんが横行しています。改ざんによりウェブサイトにウイルスを仕掛けることも可能なため、問題のあるウェブサイトを放置しておくことは、ウイルス拡散に悪用されかねません。 ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図 特に、Web Diary Professional(以後、WDP)と Movable Type という CMS については、以下の注意喚起の通り、攻撃が活発化しています。 大阪府警察 偽サイトへ誘導するページを蔵置するための不正アクセスの手口について http://www.police.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く