セキュリティ知識分野（SecBoK）人材スキルマップ2016年版 （教育部会｜情報セキュリティ知識項目（SecBoK）改訂委員会） セキュリティ知識分野（SecBoK）人材スキルマップについて JNSA教育部会では、情報セキュリティに関する業務に携わる人材が身につけ るべき知識とスキルを体系的に整理した「情報セキュリティスキルマップ」の作成に2003年度から取り組んでいます 。2007年からは名称をSecBoK（Security Body of Knowledge）と改め、内容を更新したものが経済産業省委託事業の成果物 として公開されています。 一方で、SecBoKを構成する知識項目は2009年以来更新されておらず、その後の情報セキュリティ分野における脅威や技術の変化に対応していないこと から、JNSAでは情報セキュリティ分野の専門家をメンバーとする「情報セキュリティ知識項目（SecBoK

総務省は、平成26年度に引き続き、平成27年度においても、スマートフォンの利用者情報の取扱いに係る安心・安全な利用環境の整備を目指して、アプリケーション（以下「アプリ」という。）におけるプライバシーポリシーの作成・掲載に係る実態調査と、当該アプリがプライバシーポリシーの記載通りに利用者情報を取り扱っているかを検証するための実証実験を実施しました。 今般、スマートフォン アプリケーション プライバシーポリシー普及・検証推進タスクフォース（以下「タスクフォース」という。）（主査：新保史生・慶應義塾大学教授）において、当該実態調査及び実証実験の結果を「スマートフォン プライバシー アウトルックIII」として取りまとめましたので公表します。 近年より、スマートフォンに蓄積された利用者情報が、不正なアプリによって外部送信される事例が発生しており、スマートフォンの安心・安全な利用環境を整備する必要性が

関連キーワード 情報漏えい | IPA（情報処理推進機構） | UTM | セキュリティ | セキュリティ対策 IPAの情報セキュリティ対策普及活動支援のWebサイト「iSupport」《クリックで拡大》 情報処理推進機構（IPA）は、2016年3月8日に「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を発表した。この調査を見ると、規模の小さな企業ほど対策が不十分という結果となっている。小規模な企業ほど対策を軽視する実態が伺える。 企業の情報セキュリティに詳しいIPAの山北 治氏は、企業規模を問わず情報セキュリティ対策は必須であると訴える。「マイナンバー（社会保障・税番号）や取引先の図面データなどのように、流出したら経営責任を問われる情報を保有していることを経営者は軽視すべきではない。また大企業を狙う攻撃の糸口として、情報セキュリティ対策が不十分な中堅・中小企業を狙う

標的型攻撃の猛威が続く中、いよいよマイナンバー制度が始まった。行政のお墨付きを重視する日本ならではの企業文化もあり、情報セキュリティマネジメントシステム（ISMS）やプライバシーマークなどの認証を取得する企業も多いが、「それで本当に安心なのか」と聞かれると、YESと即答できる企業は少ないだろう。 外部からの攻撃がITシステムの脆弱（ぜいじゃく）性を狙ってくる以上、とるべき対策（防御策）は単純かつ明快だ。脆弱な箇所を迅速に排除し、常に“スキがない”状態を維持すること。こう言うと「ウチは毎年のセキュリティ監査の前に脆弱性診断をやっているから大丈夫」と答える方がいるが、その考えが既に間違っている。 この記事では、「脆弱性対策」でありがちな“落とし穴”を紹介しつつ、あるべき「脆弱性対策」について考察する。

「パスワード変更」はタイミングが命？ セキュリティ専門家が時事ネタを解説する「セキュリティのアレ」。第23回のテーマは「パスワードの定期変更」です。今回は読者の皆さまのご要望にお応えし、テキストによるダイジェストからお届けします！ 解説するのは、前回に引き続き、根岸征史氏と辻伸弘氏。また、本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」にて受け付けております。ぜひ皆さまの声をお聞かせください。 宮田　さて、今回のテーマは「パスワードの定期変更」です。パスワードを定期的に変更することにどんな効果があるのか、もう一度整理しましょう。ただし、「社内システム」の場合は既にポリシーで定期変更が定められている場合などもありますので、今回は、皆さんが普段利用するWebサービスを想定しましょう。 根岸氏　「メールサービス」や「オンラインショッピングサイト」のようなものですね

ある日、個人携帯にかかってきた電話。カード会社を名乗り、本人確認のために生年月日を教えてほしいとのことです。そこで私が取った行動は。 つい先日、個人の携帯電話に知らない番号からの着信がありました。出てみると、私が何枚か持っているクレジットカードのうち、とある一枚の会社の信用管理部と名乗ります。 一瞬身構えてしまいましたが、電話口の先方は「外資系大手ホテルチェーンからのカード情報流出に関し、至急マエダノリヒコ様に確認をしたいことがあります」と、流暢な日本語です。 カード会社「つきましては、ご本人様の確認を行う必要があります。よろしいでしょうか。」「お電話に出られたのは、前田さま本人で間違いないでしょうか。」 私「…はい。」 カード会社「では、生年月日を西暦でお願いします。」 私「…え？」 頼んでもいないのにかかってきた電話、そのうえ、生年月日を言えとのこと。このまま先に進むか、一瞬考えたあと

熊本県や大分県で断続的に起こっている地震は、震源が熊本市周辺から大分県方面に北東に「進行」するという異例の経過をたどっている。熊本県西部の日奈久（ひなぐ）断層帯に続いて、同断層よりも北方にある布田川（ふたがわ）断層帯も動き、同時多発的に地震が発生しているのが今回の地震の特徴だ。 政府の地震調査研究推進本部では、活断層が起こす地震の確率を活断層ごとではなく地域別に評価する取り組みを始めている。2013年に第1弾として発表された九州地区の評価では、布田川断層を含む「九州中部」で30年以内にマグニチュード6.8以上の地震が起きる確率を18～27％だと見積もっていた。九州の他の地域よりも高く、今になって振り返ると、かなりの高確率だったことを踏まえた対策が必要だったとも言えそうだ。では、次に「危ない」のはどこか。 「糸魚川―静岡構造線断層帯」を含むエリア（地図中の「区域6」）では、30年以内にM6.

「マイナンバーが漏洩すると、あらゆる個人情報が漏れてしまう」と考えるのは誤解であり都市伝説の一つだ。マイナンバー制度で本当に怖いのは、既に頻発している特殊詐欺に限らない。制度の外で、あらゆる個人情報が集積されてしまう「名寄せ」にある。 一部の企業で従業員のマイナンバーを記載した書類が盗難に遭ったと伝えられている。また、社内電子掲示板に従業員名簿と一緒に掲示しそうになったといった事例が個人情報保護委員会のサイトで紹介されている。しかし実は、マイナンバー制度で企業が本当に恐れるべきは、漏洩そのものではない。 一方で、マイナンバー制度に便乗した特殊詐欺が頻発している。こうした特殊詐欺の手口は時事ネタに便乗したり、事情に疎い相手に付け込んだりするのが常套手段である。制度の複雑さや政府の広報不足に問題があるとしても、マイナンバー制度だけの問題ではない。 マイナンバー制度にかけられた“3重ロック” マ

巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。 前回の記事：手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか（2） 攻撃者は、痕跡を偽装、消去する 攻撃者は、目的を達成すると自身の活動の痕跡を偽装したり、消去したりします。痕跡消去の代表的な手法はWindowsのイベントログなど、各種ログの削除があります。実際には、サーバーのイベントログなどのローテイトサイクルを悪用して削除タイミングにシステムの時刻をずらし、自身の認証情報を隠ぺいし時刻を戻すといった事例を確認しています。 他の痕跡消去のケースでは、目的達成後に不要になったバックドアをCMDなどの正規ファイルで