NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威
sumirenです。 技術顧問やSREをしています。 背景 2024年現在、OpenTelemetryが盛り上がっており、ベンダへの依存度を下げてテレメトリを収集・送信することがトレンドになってきているように思います。多くの企業様で、OpenTelemetry対応のオブザーバビリティバックエンドを選定されているのではないでしょうか。 一方で、E2E自動テストツールなどもそうですが、デベロッパーツールは画面やUXの情報がパブリックな情報として出回ることが少ないように思います。オブザーバビリティバックエンドの場合、シグナル3種に関してOpenTelemetryベースでもフルに機能が活用できるのかという疑問もあります。 そうしたこともあり、オブザーバビリティバックエンドは実際にトライアルしてみないと選定しづらいです。監視など狭義のオブザーバビリティ外の機能や、OpenTelemetryの範囲外の
伊藤忠サイバー&インテリジェンスは7月31日、社内で利用していたツールを基にしたリスクアセスメント(リスクの特定、分析、評価)シートを無償で公開した。「各組織において自組織のリスクアセスメントを実施する際や、グループ会社を多く有する組織におけるガバナンスとしてのリスクアセスメントにぜひご活用ください」(同社) シートでは、標的型攻撃、ランサム攻撃、メール詐欺の3つを具体的な脅威に想定。それぞれにさらされるリスクを侵入・攻略・復元という3つの観点に分解し、対応策が実施できているか質問する形になっている。質問に答えると、結果を示すシートにどれだけリスクを軽減できているかの評価が表示される仕組みだ。 シートは3つの脅威を全てカバーするバージョンだけでなく、それぞれを抜き出したものも配布。今後は「事務所への物理的な侵入」「無線LANへの侵入」「SaaSやクラウドサービスへの侵入」など、ツールでカバ
クラウドロックインされないアーキテクチャ「Cloud Agnostic Architecture」のすすめ | フューチャー技術ブログ
この記事はQiitaのアドベントカレンダー記事のリバイバル公開です。 ※ 当時の記事から、一部表現を見直し加筆しています。 はじめに先日ガートナーのレポートで「多くの企業において、特定のクラウドベンダーにシステムを集中させるリスクの重要度が上昇している」との発表がありました。 https://www.gartner.com/en/newsroom/press-releases/2023-10-30-gartner-says-cloud-concentration-now-a-significant-emerging-risk-for-many-organizations 日本においてクラウドの活用はますます進んでいる一方で、特定の Cloud Service Provider(CSP)にロックインされるリスクについては、常に議論の余地があると考えています。 本記事では、特定のクラウドに強く
ICI リスクアセスメントツール公開の背景 - ITOCHU Cyber & Intelligence Inc.
リスクアセスメントツールの公開 2024 年 7 月 31 日、ICI リスクアセスメントツールを公開しました。 このツールは、「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/ Business E-mail Compromise(BEC:読み方はビーイーシー)」の脅威に直面している組織が、自組織のリスク軽減率を可視化したり、多数の関連会社で構成される企業集団において、企業集団全体と個別のリスクを可視化したりするために有用なツールだと考えています。 図1. ICI リスクアセスメントツール 本ブログでは、このツールをどのような考えや価値観で作成したのか、背景について記載します。 サイバーセキュリティー分野のリスクアセスメントに関する資料 情報セキュリティーのマネジメントにおいて、リスクアセスメントはその推進のコアとして組織が行うべき作業に位置づけられています。そのため、過去から様々
伊藤忠サイバー&インテリジェンス
サイバーセキュリティー対策において組織がリスクアセスメントを実施することの重要性が語られており、サイバーセキュリティーのマネジメントは、リスクコントロールそのものであると言っても過言ではありません。 しかしながら、関連する資料を参考にしても、曖昧な内容に終始して判断に迷ったり、実施者の知識と経験が求められる部分が多かったり、その効果的な実施に各担当者が苦労している現実があります。 実効性のあるリスクアセスメントを実施するにはどうしたらよいか、伊藤忠商事・ITCCERT・伊藤忠サイバー&インテリジェンスでは長年その課題に取り組んできました。 それらの取り組みの中で、特に我々が三大脅威として定義している「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)」に特化して、組織間での共通のリスク可視化を目的としたツー
「キモい」でなく「怖い」んだよ
粛聖!!ロリ神レクイエム☆について id:mukudori69 のコメント 「バズってからでなく曲が出た時点で批判しろ」と「わざわざ探してまで叩くな」が同時発生してる/この曲をなんの不安もなくただ楽しめる人は、それだけで特権的地位だなと思う/追記「キモい」でなく「怖い」んだよ https://b.hatena.ne.jp/entry/4743070342288801839/comment/mukudori69 トランス差別をするTERF問題にせよ、実態の治安と乖離する体感治安の問題にせよ、実際のリスクアセスメントを無視したトンデモ思考が一部の(だが少なくもない)フェミニストのエコチェンで構成されているんですよね。 私は高所恐怖症で、色々と生活に支障しているわけですけど、だからといって敵を設定して叩くみたいなことはしないんですよ。だって、それって私の問題ですし、建築等で現実的に妥当な安全性が
欧州連合(EU)はTikTokに対し、動画視聴で報酬を得る新アプリ(TikTok Lite)に関する詳細情報を求め、子どもにとって中毒になりかねない機能の停止を命じる可能性があると警告しました。 米国国営国際放送の美國之音の記事より。 TikTok liteは安全か? 動画を見るだけでポイントが貯まる EUの執行委員会は、TikTok Liteアプリがフランスとスペインで開始された際にEUの新しいデジタル規則に違反したかどうかを判断するための正式なプロセスを開始すると述べました。 TikTokは先週、ソーシャルメディア・プラットフォームを一掃するために昨年施行されたデジタルサービス法に新しいアプリが準拠しているかどうかについての情報提供要請に応じませんでした。 TikTok Liteは、TikTokのメインアプリを縮小したもので、ユーザーは報酬を得ることができます。動画を見たり、コンテンツ
AWS x セキュリティに入門するならまずこの一冊 /「AWS ではじめるクラウドセキュリティ」を読んだ - kakakakakku blog
「AWS ではじめるクラウドセキュリティ」を読んだ❗️とても良かった \( 'ω')/ 本書ではもちろん AWS のセキュリティサービスの機能など「サービスカットな観点」も学べるけど,それ以上に「セキュリティポリシーとは何か」や「どんなリスク分析フレームワークがあるのか」や「どういうセキュリティ管理策を検討するべきか」など,セキュリティ全般の知識を「ソリューションカットな観点」で底上げできる素晴らしい一冊だった📕 まさに本書の はじめに に載っている通りの内容だった💡 本書は、AWS のセキュリティを学ぶということ以上に、AWS を通じてセキュリティを学ぶということを主眼に執筆されました。 ちょうど最近仕事で AWS でのセキュリティ対策全般の設計と構築にゼロベースで取り組んでいて,僕自身の知識アップデートをするだけではなく,開発メンバーにも読んでもらえる本を探していて,まさにこれだ❗
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント(1/4 ページ) ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。 個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。 こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SP
アメリカで2人目の乳牛からのヒト感染例 高病原性鳥インフルエンザウイルスA(H5N1)の現在の状況(忽那賢志) - エキスパート - Yahoo!ニュース
アメリカ合衆国において、高病原性鳥インフルエンザウイルスA(H5N1)が拡大しており、ヒトでの感染例は3例発生しています。 このうち2例は乳牛からヒトに感染したと考えられる事例です。 高病原性鳥インフルエンザウイルスA(H5N1)についての基本的な知識と現在のアメリカの状況についてまとめました。 インフルエンザの種類と宿主の関係堀本泰介.インフルエンザ 2019; 20: 88より筆者作成 インフルエンザウイルスには、A、B、C、Dの4つの型があります。この中でB型とC型のインフルエンザウイルスは、一部に例外はあるものの基本的にヒトにのみ感染を起こします(D型についてはまだ分かっていないことが多いです)。 A型はウイルス表面上のヘマグルチニン(赤血球凝集素 HA:haemagglutinin)とノイラミニダーゼ(NA:neuraminidase)の違い、その組み合わせによってH7N9, H
OT/ICSセキュリティカンファレンス「S4x24」参加報告 - NTT Communications Engineers' Blog
はじめに こんにちは、イノベーションセンターの鍔木(GitHub: takuma0121)です。 OT/ICSセキュリティリスク可視化サービス、OsecTの開発・運用を担当しています。 2024年3月4日から7日までの間、米国マイアミで開催されたS4x24に聴講参加しました。 このカンファレンスは日本では知名度が高いとは言えませんので、S4の全容とOT/ICSセキュリティのトレンドについてお伝えできればと思います。 目次 はじめに 目次 S4とは プレゼンテーション Vulnerability Management Pavilion Welcome Party / Cabana Sessions Swag Bag 最新のOT/ICSセキュリティトレンド Keynote CFP経由での発表 スポンサーセッション ネットワーキング 会場の雰囲気 エピソード 所感 イベント全体 最新動向/発表
麻しん(はしか)の報告が各地で相次いでいます。人の往来が増えた2023年は例年より感染者数が多い状況でした。「麻しん」と聞くと、子どもの感染症と思われがちですが、ワクチンが定期接種化されてから、大人の感染例が主体となっています。自身のワクチン接種歴や、麻しんの典型的な経過を確認しておきましょう。 麻しんの現在麻しんが全数届出になった2008年の年間届出数は約1万例で、そのあとは激減の一途をたどっています。海外からの旅行者やワクチン未接種者における集団発生によって2019年に一度リバウンドしたものの、2021年・2022年はともに6例と極めて少なくなりました。 しかしながら、2023年は合計28例が報告されています。去年は、新型コロナの5類感染症移行によって、人の往来が増え、やはりリバウンドしている印象です。 2024年は、大阪府の航空機搭乗者が麻しんを発症し、その後、岐阜県、愛知県、兵庫県
リスクアセスメント
これまでに、上場準備やISMS、Pマークとかで、どこかの第三者機関にリスクアセスメントをされる機会が幾度となくあったんですが、あまりしっくりこなかったので、たぶんこんな感じでやるのが良いんやで!ってのを簡単にに書こうかなと思います。普段リスクアセスメントをやってる(やらされている)けど、これでいいのかわからないという方の参考になれば良いなと思います。大事なのは “解像度”今日のアジェンダ リスクアセスメントの流れ 情報資産の棚卸し システム構成図の作成 脅威の分析 脆弱性とセキュリティ対策の分析 リスクの評価 という感じで進めていきます。 先に書いておきますが、今回書くのはリスクマネジメントではなく、下図でリスクアセスメントと書かれている所です。(下の図を全て含んでいるのがリスクマネジメントかな)
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルの弱い箇所が存在します。一方で、企業がサイバーセキュリティ対策を進める上では、人材予算の不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、一般社団法人日本ハッカー協会 代表理事の杉浦隆幸氏が、ChatGPTなどの生成AIを使った「情報セキュリティマネジメント」について解説しました。(録画講演のため2023/9/28時点の内容です) 米国のハッキング大会で今年優勝した杉浦隆幸氏が登壇 杉浦隆幸氏:本日は「生成AIを使った情報セキュリティマネジメント」ということで、私、日本ハッカー協会の杉浦がお話
こんにちは。かなり久々に更新しますので、書き方はあまり覚えておらず、読みづらかったら申し訳ありません。今年は色々アウトプットしていこうと思い、まずはこの記事を書くことにしました。 ※この記事は私が独断と独自の知識で書いたものであり、どの企業とも一切関係ありません また、久々に書くということでちょっと前に流行っていたObsidianを活用してみました。様々なプラグインがあり、Git Hubへの自動バックアップもできて便利ですね。 目次 自己紹介 この記事ではなすこと こんな人向け 前職は何をしていたか セキュリティ体制構築支援とは セキュリティリスクアセスメント実施とは なぜ転職することにしたのか どうするべきだったのか? 4年間の振り返り 自動車セキュリティ業界のいま(2024.01) 規格と法規認証 今後の法規認証の流れ 今後のキャリアについて 最後に 自己紹介 以前大昔に書いた私に関す
手動分液装置の配管設計で気を付ける高さの概念
記事内に広告が含まれています。This article contains advertisements. 手動分液の配管設計は考えれば考えるほど、いろいろな問題に直面します。 突き詰めるとプラント建設思想そのものにたどり着きます。 問題となるのは高さの制約。 本質的にどういう影響を及ぼすのか解説していきます。 手動分液装置の配管構成例手動分液装置の配管例を見てみましょう。 反応器の底面から配管を出して、ポンプに接続します。 ポンプを使って別の反応器やタンクに液を送ります。 反応器は地面から浮かせた状態で配置するので、2階の位置に配置されます。 反応器には液が入るための配管を並べないといけません。 これらの要素が、配管設計上の制約となってきます。 個別に確認しましょう。 手動分液装置の配管設計上の制約手動分液装置の配管設計では制約となるのは、主に以下の3つです。 分液部分液部は高さ制約がとて
詳解: IT統制とIT監査|NFSQ
本記事の位置づけIT統制やIT監査に係る本のうち、業務処理統制側との繋がりにフォーカスしたものが少ないような気がするというお気持ちツイート(ポスト)をしたところ、想定外に反応が多かったので、僭越ながら自分で書いてみることにしました。 IT統制の本、ITACの類型やITGCの具体的な中身を説明してるものは数多あるんですが、肝心のITACの識別〜ITGC評価範囲の特定のところが充実してるものは見かけない気がします 実務上、会計士とIT監査人の双方がお互いに任せてしまいがちな部分ですし、需要はありそうな気がするんですが… — NFSQ (@NF_SQ_08) November 5, 2023 IT統制に係る説明では、例えば「ITGCはプログラム開発・変更、運用管理、アクセス管理、委託先管理を見るべし」のような、コントロールベースチックなものが多いように感じているので、そもそもの考え方や理念に遡及
デジタルスキル標準 ver.1.1 2023年8月
All Rights Reserved Copyright© IPA 2023 デジタルスキル標準 ver.1.1 2023年8月 All Rights Reserved Copyright© IPA 2023 1 目次 I. デジタルスキル標準の概要 ⚫ デジタルスキル標準策定の背景、ねらい ⚫ デジタルスキル標準 改訂の考え方 ⚫ デジタルスキル標準の構成 ⚫ デジタルスキル標準で対象とする人材 ⚫ デジタルスキル標準の汎用性 ⚫ デジタルスキル標準の活用イメージ II. DXリテラシー標準 1. DXリテラシー標準策定のねらい、策定方針 2. DXリテラシー標準の構成 3. スキル・学習項目 a. 概要 b. 詳細 4. DXリテラシー標準の活用イメージ III. DX推進スキル標準 1. DX推進スキル標準策定のねらい、策定方針 2. DX推進スキル標準の構成 3. 人材類型・ロー
セキュリティ対応組織の教科書 第3版
© 2023 ISOG-J セキュリティ対応組織(SOC/CSIRT) の教科書 ~ X.1060 フレームワークの活用 ~ 第 3.1 版 2023 年 10 月 17 日 NPO 日本ネットワークセキュリティ協会 (JNSA) 日本セキュリティオペレーション事業者協議会 (ISOG-J) © 2023 ISOG-J 改版履歴 2016/11/25 初版作成 2017/10/03 第2.0版作成 ・7章、8章の追加 ・別紙に「セキュリティ対応組織成熟度セルフチェックシート」を追加 ・これらに伴う、1章の修正 ・その他、軽微な修正 2018/03/30 第2.1版作成 ・ 「8.3. 各役割の実行レベル」における、成熟度指標(アウトソース)の 改善 ・これに伴う、別紙「セキュリティ対応組織成熟度セルフチェックシー ト」の修正 2023/2/13 第3.0版作成 ・ITU-T 勧告 X.10
略号 SC 英語名称 Registered Information Security Specialist Examination 実施方式・実施時期 筆記により春期(4月)、秋期(10月)の年2回実施予定 サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。 情報処理安全確保支援士試験合格者は、情報セキュリティに関する知識・技能を有するものとして、経済産業大臣から合格証書が交付されます。 情報処理安全確保支援士試験合格者は、所定の登録手続きを行うことで、国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。 1.対象者像 サイバーセキュリティに関する専門的な知識・技能を活用して企業や
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、昨今のランサムウェア攻撃の傾向と、事業を継続できなくなるような甚大な被害の回避策について、2人の識者が解説しました。 日本企業の4つの経営課題に合わせたサービスを提供 大元隆志氏(以下、大元):それでは「正しく考えるランサムウェア データから考えるリスクと対策」といったことで、Netskope Japan株式会社・大元からご説明いたします。 まず簡単に自
もう既に日本でも報道されていますが、昨日EUの閣僚理事会がAI規則案を正式に採択しました。 Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI これについては、規則案提案の際に労働関係に重点を置いてごく簡単に紹介したことがあります。 JILPTリサーチアイ 第60回 EUの新AI規則案と雇用労働問題 去る4月21日、EUの行政府たる欧州委員会は新たな立法提案として「人工知能に関する規則案」(COM(2021)206)[注1]を提案した。同提案は早速世界中で大反響を巻き起こしているが、本稿では必ずしも日本のマスコミ報道で焦点が当てられていない雇用労働関係の問題について紹介し、政労使の関係者に注意を促したい。・・・・ ヨーロッパで検討進むAI規制
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
「デジタル空間における情報流通の健全性確保の在り方に関する検討会」とりまとめ案について - Mt.Rainierのブログ
昨年11月に設置され、偽・誤情報対策を中心とする「デジタル空間における情報流通の健全性確保の在り方に関する検討会」での検討について、とりまとめ案が出ていましたので、それについて書いていきます。 DSAー背景1 今回の検討の背景となっているのは、EUのデジタルサービス法(DSA)である(テキスト、概要ページ)。 同法は、「安全で予測可能かつ信頼できるオンライン環境を確保し、違法なコンテンツのオンラインでの流布や、偽情報やその他のコンテンツの流布がもたらす可能性のある社会的リスクに対処し、憲章に謳われている基本的権利が効果的に保護され、イノベーションが促進されること」を目的としている(Recital 9)。 同法は、関係役務提供者を、仲介サービス、ホスティングサービス、オンラインプラットフォーム、超大規模オンラインプラットフォーム(Very large online platform, VLO
経済産業省では、「産業サイバーセキュリティ研究会ワーキンググループ1(WG1)(制度・技術・標準化)」において、「Society5.0」、「Connected Industries」における新たなサプライチェーン全体のセキュリティ確保を目的としたサイバー・フィジカル・セキュリティ対策について議論を進め、サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました。 CPSFは対策の枠組み(チェックポイント)を示すものであり、セキュリティ水準(対策の強度)を示すものではありません。守るべきものやリスクは産業分野によっても違いがあり、各産業分野の特性に応じたセキュリティ対策の検討が必要です。そこで、産業分野別SWGを設置してIndustry by Industryで検討を進めています。 また、「Society5.0」では、産業分野を横断した企業間のつながりやデータの流通、サー
No Brake GamesのSitara Shefta氏が,チームをサポートし,チームからサポートされる最善の方法についてアドバイスをくれた 大いなる力には,大いなる責任が伴う。これはスパイダーマンのベンおじさんの哲学であるだけではなく,今年初めにNo Brakes Gamesのスタジオ責任者Sitara Shefta氏が,Develop Brightonで行った講演のテーマでもあった。 「ヒューマン フォール フラット」の開発リーダーである彼女は,26人のチームとリトアニアの姉妹スタジオを率いた5年間の経験をもとに,有能な管理職になるための重要な優先事項と,最善の方法について語った。 「私が思うに,最悪なことのひとつは,ひらめきを楽しむことができない,あるいはイノベーションが制限されている場所で働くことです」とShefta氏は言う。「そのような職場は,人々が活躍する機会を与えてくれない
企業向け支出管理SaaSを提供するスタートアップ・LayerXが、新たに海外投資家から20億円を調達した。これで、2023年2月から継続してきたシリーズAの資金調達を102億円で完了する。 同時に立ち上げるのが「AI・LLM事業部」だ。アメリカOpenAI社がChatGPTをリリースしてから約1年。「本格的に収益が立つ見込みができた」からだという。 ブロックチェーン時代の失敗もいかされているという新規事業部設立の過程や、開発中の「金融などプロフェッショナル職の難解な文書読解」をLLMで手助けするサービスについて聞いた。 今回の調達は香港の投資ファンドKeyrock Capital Managementを引受先とする第三者割当増資だ。調達した資金は、インボイス制度などを追い風に「T2D3※超えの成長」(LayerX広報)を続けているという支出管理SaaS「バクラク」の成長に主に投資する。 同
今回は認証系の知見が詰まったNIST SP800-63を読んでいきます。 https://csrc.nist.gov/pubs/sp/800/63/4/ipd はじめに本noteでは、OpenIDファウンデーションジャパンによる翻訳版を読んでいます。ただ、翻訳版ではあえて正確に伝えるために単語を英語のまま表記しているのに対し、本noteでは読みやすさのために私なりの便宜的な日本語をあてはめています。 そうした箇所は、「身元確認(Identity Proofing)」といった形で、便宜的な日本語+括弧書きで元の英語 という形で記しています。 何の本?SP800-53と同様、NISTのSP800シリーズの一つで、Digital Identity Guidelinesというタイトルがついています。 第4版にあたるSP800-63-4のドラフト版が22年12月に出ています。 その翻訳版を、「⺠間事
医療情報システムの安全管理に関するガイドライン6.0版遵守項目 - ITをめぐる法律問題について考える
3省2ガイドラインのうち「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」について、 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 参考用に、見出しと遵守項目のみ、ブログに貼り付けます。 本当は重要記載もこのブログに貼り付けたいのですが、全部貼り付けるのは時間がかかると思うので、企画管理編までとりあえず貼り付けました。追ってシステム運用編とあと総務・経産のもやります。ブログに書くよりExcelに表形式でまとめた方がわかりやすいかなあ。 6版になって、構成も読みやすさも良くなっていて良いと思います。ただ、内容はやはりかなり厳しめですね。 〇概説編 1.はじめに 2.本ガイドラインの対象 2.1 医療機関等の範囲 2.2 医療情報・文書の範囲 2.3 医療情報システムの範囲 3.本ガイドラインの構成、
最近、偶然知り合った他社の情報セキュリティ担当の方から「SmartHRさんの情報セキュリティ基本方針はちょっと変わってますね。うちも改定するときには参考にしたいです!」といううれしいお言葉をいただきました。 情報セキュリティ基本方針は、世の中ではスルーされがちなものではありますが、昨年の夏から秋にかけて試行錯誤してSmartHRの情報セキュリティ基本方針を作り直したときのことを振り返って書いてみました。 1.きっかけ 基本方針を作り直そうと思い立ったのは、些細なことがきっかけでした。 既存の基本方針の中に誤字なのか微妙な表現(公文書等にも使用例はあるが、一般的にはあまり使われないもの)が見つかり、その文言を修正すべきか検討した結果、「条文自体を改定するか」、「いや、それならいっそ全体を作り直したほうがいい」という話になり、最終的には「SmartHR単体ではなく、SmartHRグループ全体の
はじめに Flatt Security 取締役CTOの米内です。今回、弊社 Flatt Security は GMO インターネットグループから 10 億円の増資を受けるとともに、既存株主からグループへの株式譲渡(合計 66.6% 分)が行われることにより、GMO インターネットグループに参画する運びになりました。これは日本中・世界中のエンジニアが、前を向いてエンジニアリングに集中できる社会を最速で作るための意思決定です。 本資金調達・グループ参画に際して公開した CEO 井手の記事では、Flatt Security の歩みを振り返りながら、グローバル 1 兆円企業を目指し続けるための「再・スタートアップ宣言」をしています。 対して本稿では、私(CTO 米内)の目線から改めて Flatt Security のこれまでを整理した後、Flatt Security が今後どんな役割をこのシーンで
セキュリティの専門家だろうと間違ってしまう
https://mond.how/ja/topics/5s9xqdf7eovclq8/byezpj5430x730l > 最大時の危険性は、広告ブロッカーの方が高い セキュリティリスクマネジメントのリスクアセスメントでは、被害と発生確率を切り離して考えてはいけない。 詐欺広告の遭遇頻度と、広告ブロッカーのマルウェア化の率は、比べることも無く前者が高い。 そこを無視して、被害の大きさだけで、評価するのはあかん。 > サポート詐欺は私にとっては「来た、来たー」という感じなので、受入可能なもの これもいけない。セキュリティリスクマネジメント以前に、リスクマネジメントにおいて、Human Errorを軽視ししてる時点であかん。 セキュリティリスクマネジメントの視点で言えば、攻撃は高度化する可能性が高いため、個人の注意や意識だけでは全くもって不十分である。 個々への注意喚起や意識改善は、あくまでも補
ep.160『HTMLの品質チェックをもっと身近に!Nu HTML Checker セルフホスティングへの道』 | UIT INSIDE
@potato4d が @hiroya_UGA, @Pittan, @vivil に、Nu HTMLチェッカーのセルフホスティングについて話を聞きました。 ゲスト @hiroya_UGA 出前館に出向してコンシューマ向けのウェブアプリケーションの開発に携わり、兼務でウェブアクセシビリティチームに在籍。 @Pittan LINEギフトのフロントエンド開発を担当し、兼務でwebアクセシビリティチームに所属。 @vivil 社外アンケートプラットフォームチームのリーダーで、兼務でフロントの組織向けのDevOpsチームのインフラチームに所属。 Nu HTMLチェッカーについて Nu HTMLチェッカーは、W3Cがメンテナンスしていた公式のHTML文法チェックツールで、現在はWHATWGが管理している。 HTMLだけでなく、CSSの文法チェックも可能。 オンラインで利用可能で、ソースコードやURLを
クラウドロックインされないアーキテクチャ「Cloud Agnostic Architecture」のすすめ - Qiita
この記事はフューチャー Advent Calendar 2023の20日目の記事です。 はじめに 先日ガートナーのレポートで「特定のクラウドベンダにシステムを集中させるリスクの重要度が多くの企業で上昇している」との発表がありました。 日本においてクラウドの活用はますます進んでいますが、特定の Cloud Service Provider(CSP)にロックインされるリスクについては、まだまだ議論の余地があると考えています。 本記事では、特定のクラウドに依存しないアーキテクチャについて「Cloud Agnostic Architecture」という言葉を用いて整理していきます。 Cloud Agnostic Architecture とは Cloud Agnostic1 Architectureとは「特定のクラウドに依存しないアーキテクチャ」を意味します。これはクラウドプラットフォーム自体を利
こんにちは、DP部のor2です。 ギャルにあこがれて(嘘)CISSPを受験しました。1回落ちましたが2回目で無事合格できました。 勉強方法は独学?です。(「CISSP CBKトレーニング」未受講) 勉強方法をまとめていきます。(「CISSPってなんだ」とかの話はギャルの方を見ていただければと思います。) 勉強期間前半はギャルの試験勉強方法を参考に、後半は先生(ChatGPT)と一緒に勉強していました。 ChatGPTを使った学習は対話的だったので非常に楽しかったです。 (ChatGPT有料版を利用) ・あくまでChatGPTの利用は私的なものです。このBlogを読んで試してみる場合は注意してください。 ・日本の著作権法では、「AIによる著作物の学習利用に権利者の許諾は原則不要」とされていますが、「ChatGTPのモデルの再学習に使われない」ようにオプトアウトを設定することを推奨します。 ・
昨今、ニュースでPFASの話題をよく目にするようになりました。 PFASの一種であるPFOSやPFOAなどは製造業に勤める私も10年以上前からよく見聞きしていた物質です。というよりも法規制への対応で苦労させられた物質ですので、若干の恨みがある程度には熟知しています。 工業製品の材料を変えるのは、意外と大変なのです。 PFAS狂騒曲 ニュースで流れてくるPFASの話題を見ていると、どうにも反応が過剰ではないかと心配になります。 たしかにPFASの一種であるPFOS・PFOA・PFHxSなどは人体への悪影響が懸念されています。確定的な知見は未だ無く実際の健康被害も報告されてはいませんが、様々なリスクを上昇させる可能性があることから規制が進められてきました。現在はそれら特定のPFASに限定せず全てのPFASを規制しようとする動きが進められています。 このような動き、人の健康や環境に対する深刻で不
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【OpenTelemetry】オブザーバビリティバックエンド8種食べ比べ
伊藤忠セキュリティ子会社、ランサム攻撃などのリスク可視化シートを無料公開 「現状把握にぜひ」
欧州、子供のリスクでTikTokの新報酬アプリを停止する可能性 - 黄大仙の blog
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント
麻しん(はしか)ワクチン「空白世代」の大人は、感染に警戒を(倉原優) - エキスパート - Yahoo!ニュース
情報セキュリティマネジメントの文書はChatGPTで作れる ホワイトハッカーが教える、AIが生成した文章の「弱点」の補い方
コンサルファーム4年目で転職しました - いろんな技術に触れたい
情報処理安全確保支援士試験 | 試験情報 | IPA 独立行政法人 情報処理推進機構
サイバー攻撃者も“コスパ重視” 狙われやすい「低コストで侵入可能な企業」がとるべき防衛策
EUがAI規則を採択 - hamachanブログ(EU労働法政策雑記帳)
「自分で決めたこと」能登を離れるか残るか 中学生避難で必要なのは:朝日新聞デジタル
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)とその展開(METI/経済産業省)
【ACADEMY】ゲーム会社で偉大なリーダーになる方法―バナナにならずに
102億円調達のLayerXが「AI・LLM」事業部を新設。ブロックチェーンの失敗いかす
【要点抽出】NIST SP800-63-4|ニキヌス
セキュリティポリシーの作り方 - SmartHR Tech Blog
Flatt Securityの事業のこれから - Flatt Security Blog
CISSP受験記 ChatGPTと共に - ラック・セキュリティごった煮ブログ
予防原則から見る、人の認知バイアス - 忘れん坊の外部記憶域