タグ

2016年4月28日のブックマーク (11件)

  • JNSA セキュリティ知識分野(SecBoK)人材スキルマップ2016年版

    セキュリティ知識分野(SecBoK)人材スキルマップ2016年版 (教育部会|情報セキュリティ知識項目(SecBoK)改訂委員会) セキュリティ知識分野(SecBoK)人材スキルマップについて JNSA教育部会では、情報セキュリティに関する業務に携わる人材が身につけ るべき知識とスキルを体系的に整理した「情報セキュリティスキルマップ」の作成に2003年度から取り組んでいます 。2007年からは名称をSecBoK(Security Body of Knowledge)と改め、内容を更新したものが経済産業省委託事業の成果物 として公開されています。 一方で、SecBoKを構成する知識項目は2009年以来更新されておらず、その後の情報セキュリティ分野における脅威や技術の変化に対応していないこと から、JNSAでは情報セキュリティ分野の専門家をメンバーとする「情報セキュリティ知識項目(SecBoK

    JNSA セキュリティ知識分野(SecBoK)人材スキルマップ2016年版
  • 総務省|報道資料|「スマートフォン プライバシー アウトルックIII」の公表

    総務省は、平成26年度に引き続き、平成27年度においても、スマートフォンの利用者情報の取扱いに係る安心・安全な利用環境の整備を目指して、アプリケーション(以下「アプリ」という。)におけるプライバシーポリシーの作成・掲載に係る実態調査と、当該アプリがプライバシーポリシーの記載通りに利用者情報を取り扱っているかを検証するための実証実験を実施しました。 今般、スマートフォン アプリケーション プライバシーポリシー普及・検証推進タスクフォース(以下「タスクフォース」という。)(主査:新保史生・慶應義塾大学教授)において、当該実態調査及び実証実験の結果を「スマートフォン プライバシー アウトルックIII」として取りまとめましたので公表します。 近年より、スマートフォンに蓄積された利用者情報が、不正なアプリによって外部送信される事例が発生しており、スマートフォンの安心・安全な利用環境を整備する必要性が

    総務省|報道資料|「スマートフォン プライバシー アウトルックIII」の公表
  • 欧州委員会司法総局と個人情報保護委員会事務局との協力対話 |個人情報保護委員会

    平成28年4月22日、来日中の欧州委員会司法総局ジェンカレッリデータ保護課長と意見交換等を行いました。 まず、山参事官から、当委員会の設置や改正個人情報保護法の全面施行に向けた検討状況について説明を行い、これに対しジェンカレッリデータ保護課長から、当委員会の設置を歓迎し、当委員会の果たす役割に期待する旨の表明がありました。また、EU一般データ保護規則の調整状況についても説明がありました。 対話では、日・EUがそれぞれの個人データの保護制度についての理解を更に深め、より一層の協力を進めていくことで一致しました。

  • なぜ中小企業の経営者は、情報セキュリティ対策を後回しにしてしまうのか? (1/2)

    関連キーワード 情報漏えい | IPA(情報処理推進機構) | UTM | セキュリティ | セキュリティ対策 IPAの情報セキュリティ対策普及活動支援のWebサイト「iSupport」《クリックで拡大》 情報処理推進機構(IPA)は、2016年3月8日に「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を発表した。この調査を見ると、規模の小さな企業ほど対策が不十分という結果となっている。小規模な企業ほど対策を軽視する実態が伺える。 企業の情報セキュリティに詳しいIPAの山北 治氏は、企業規模を問わず情報セキュリティ対策は必須であると訴える。「マイナンバー(社会保障・税番号)や取引先の図面データなどのように、流出したら経営責任を問われる情報を保有していることを経営者は軽視すべきではない。また大企業を狙う攻撃の糸口として、情報セキュリティ対策が不十分な中堅・中小企業を狙う

    なぜ中小企業の経営者は、情報セキュリティ対策を後回しにしてしまうのか? (1/2)
  • 「3つの落とし穴」から見直す脆弱性対策のポイント、何を優先したらいい?

    標的型攻撃の猛威が続く中、いよいよマイナンバー制度が始まった。行政のお墨付きを重視する日ならではの企業文化もあり、情報セキュリティマネジメントシステム(ISMS)やプライバシーマークなどの認証を取得する企業も多いが、「それで当に安心なのか」と聞かれると、YESと即答できる企業は少ないだろう。 外部からの攻撃がITシステムの脆弱(ぜいじゃく)性を狙ってくる以上、とるべき対策(防御策)は単純かつ明快だ。脆弱な箇所を迅速に排除し、常に“スキがない”状態を維持すること。こう言うと「ウチは毎年のセキュリティ監査の前に脆弱性診断をやっているから大丈夫」と答える方がいるが、その考えが既に間違っている。 この記事では、「脆弱性対策」でありがちな“落とし穴”を紹介しつつ、あるべき「脆弱性対策」について考察する。

    「3つの落とし穴」から見直す脆弱性対策のポイント、何を優先したらいい?
  • 「パスワードの定期変更」を考え直そう

    「パスワード変更」はタイミングが命? セキュリティ専門家が時事ネタを解説する「セキュリティのアレ」。第23回のテーマは「パスワードの定期変更」です。今回は読者の皆さまのご要望にお応えし、テキストによるダイジェストからお届けします! 解説するのは、前回に引き続き、根岸征史氏と辻伸弘氏。また、連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」にて受け付けております。ぜひ皆さまの声をお聞かせください。 宮田 さて、今回のテーマは「パスワードの定期変更」です。パスワードを定期的に変更することにどんな効果があるのか、もう一度整理しましょう。ただし、「社内システム」の場合は既にポリシーで定期変更が定められている場合などもありますので、今回は、皆さんが普段利用するWebサービスを想定しましょう。 根岸氏 「メールサービス」や「オンラインショッピングサイト」のようなものですね

    「パスワードの定期変更」を考え直そう
  • 電話で本人確認、すぐに答えるべき?

    ある日、個人携帯にかかってきた電話。カード会社を名乗り、人確認のために生年月日を教えてほしいとのことです。そこで私が取った行動は。 つい先日、個人の携帯電話に知らない番号からの着信がありました。出てみると、私が何枚か持っているクレジットカードのうち、とある一枚の会社の信用管理部と名乗ります。 一瞬身構えてしまいましたが、電話口の先方は「外資系大手ホテルチェーンからのカード情報流出に関し、至急マエダノリヒコ様に確認をしたいことがあります」と、流暢な日語です。 カード会社「つきましては、ご人様の確認を行う必要があります。よろしいでしょうか。」「お電話に出られたのは、前田さま人で間違いないでしょうか。」 私「…はい。」 カード会社「では、生年月日を西暦でお願いします。」 私「…え?」 頼んでもいないのにかかってきた電話、そのうえ、生年月日を言えとのこと。このまま先に進むか、一瞬考えたあと

    電話で本人確認、すぐに答えるべき?
  • 「九州中部」活断層地震の高確率、3年前に公表されていた 関東の「危ない」断層帯はどこか

    県や大分県で断続的に起こっている地震は、震源が熊市周辺から大分県方面に北東に「進行」するという異例の経過をたどっている。熊県西部の日奈久(ひなぐ)断層帯に続いて、同断層よりも北方にある布田川(ふたがわ)断層帯も動き、同時多発的に地震が発生しているのが今回の地震の特徴だ。 政府の地震調査研究推進部では、活断層が起こす地震の確率を活断層ごとではなく地域別に評価する取り組みを始めている。2013年に第1弾として発表された九州地区の評価では、布田川断層を含む「九州中部」で30年以内にマグニチュード6.8以上の地震が起きる確率を18~27%だと見積もっていた。九州の他の地域よりも高く、今になって振り返ると、かなりの高確率だったことを踏まえた対策が必要だったとも言えそうだ。では、次に「危ない」のはどこか。 「糸魚川―静岡構造線断層帯」を含むエリア(地図中の「区域6」)では、30年以内にM6.

    「九州中部」活断層地震の高確率、3年前に公表されていた 関東の「危ない」断層帯はどこか
    prisec
    prisec 2016/04/28
  • JLIS カード管理システムの障害に対するお詫びとご説明

    住民の皆様 地方公共団体の皆様 年1月中旬以降に発生したカード管理システムの障害等により、市区町村のマイナンバーカード交付事務等に影響を与える事象が発生いたしました。 マイナンバー制度に対する国民の皆様の関心や期待が高まる中で、このようなカード管理システムの障害の発生により、マイナンバーカードの交付を心待ちにしていただきながら交付を受けることができなかった住民の皆様及び地方公共団体の皆様に、多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。 カード管理システム内の、中継サーバの障害については、3月11日までに発生事象を抑える改修等の対応策を講じてまいりました。 さらに、中継サーバの障害の発生原因を特定するため、再現テストを繰り返すなど、解析を進めてまいりました。この度、根的な発生原因が判明したため、4月15日及び22日に、この根的な発生原因を取り除くための対応策

  • マイナンバーの本当の怖さをご存じ? 「詐欺」より「名寄せ」 

    マイナンバーが漏洩すると、あらゆる個人情報が漏れてしまう」と考えるのは誤解であり都市伝説の一つだ。マイナンバー制度で当に怖いのは、既に頻発している特殊詐欺に限らない。制度の外で、あらゆる個人情報が集積されてしまう「名寄せ」にある。 一部の企業で従業員のマイナンバーを記載した書類が盗難に遭ったと伝えられている。また、社内電子掲示板に従業員名簿と一緒に掲示しそうになったといった事例が個人情報保護委員会のサイトで紹介されている。しかし実は、マイナンバー制度で企業が当に恐れるべきは、漏洩そのものではない。 一方で、マイナンバー制度に便乗した特殊詐欺が頻発している。こうした特殊詐欺の手口は時事ネタに便乗したり、事情に疎い相手に付け込んだりするのが常套手段である。制度の複雑さや政府の広報不足に問題があるとしても、マイナンバー制度だけの問題ではない。 マイナンバー制度にかけられた“3重ロック” マ

    マイナンバーの本当の怖さをご存じ? 「詐欺」より「名寄せ」 
  • 手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(3)

    巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。 前回の記事:手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(2) 攻撃者は、痕跡を偽装、消去する 攻撃者は、目的を達成すると自身の活動の痕跡を偽装したり、消去したりします。痕跡消去の代表的な手法はWindowsのイベントログなど、各種ログの削除があります。実際には、サーバーのイベントログなどのローテイトサイクルを悪用して削除タイミングにシステムの時刻をずらし、自身の認証情報を隠ぺいし時刻を戻すといった事例を確認しています。 他の痕跡消去のケースでは、目的達成後に不要になったバックドアをCMDなどの正規ファイルで

    手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(3)