https://jp.techcrunch.com/2014/03/18/20140317here-are-all-the-sites-you-should-enable-two-factor-authentication-on-and-the-ones-you-should-yell-at/
総務省|報道資料|インターネットエコノミーに関する日米政策協力対話(第5回局長級会合)の結果
3月12日及び13日の2日間、総務省と国務省は、東京三田共用会議所にて、「インターネットエコノミーに関する日米政策協力対話」(第5回局長級会合)を開催しました。 この対話には、日本側からは総務省の他、外務省、経済産業省、内閣官房情報セキュリティセンター、IT総合戦略室、消費者庁等が、米国側からは国務省の他、連邦通信委員会等が参加し、インターネットエコノミーに関する幅広い議題について対話が行われました。 具体的には、(1)ICTによる経済成長・地球的課題の解決、(2)開発のためのICT、(3)マルチステークホルダーシステムによるインターネットガバナンスへの支持の協調、(4)研究開発等その他の分野において、日米で継続的な連携をすることで一致しました。 また、会合冒頭に、日米の産業界からインターネットエコノミーの発展に向けた提言をまとめた「日米インターネットエコノミー民間作業部会 共同声明」が提
「不足するセキュリティ人材は社内で育成」、NRIセキュア調査
NRIセキュアテクノロジーズは2014年1月27日、アンケート調査「企業における情報セキュリティ実態調査2013」の結果を公開した。 この調査は2002年から毎年実施しており、今回で12回目。2013年度の調査結果からは、「情報セキュリティ関連の投資意欲がリーマンショック以前の水準まで回復しつつあること、セキュリティ人材の育成や社内CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の立ち上げに注力する企業が増えていること」(NRIセキュアテクノロジーズでセキュリティコンサルタントを務める赤坂雄大氏)などが明らかになった(写真1)。調査は8月29日から10月4日にかけて郵送で実施し、685社(回収率22.8%)の回答を得た。 調査結果から同社は、大きく5つの傾向を説明した。 1.情報セキュリティに関する投資が増加傾向 2.社外人材の調達よりも社内人材のスキル向上で、増
「日本のIT、完敗の恐れも」 ヤフー、「パーソナルデータ」活用規制に危機感
「日本のITが完敗してしまう恐れもある」――ヤフーは1月21日、政府の「パーソナルデータに関する検討会」事務局が示している、パーソナルデータ(個人に関する情報)に関する制度の見直し方針について、異議を唱える記者説明会を開いた。データ利活用の過剰な規制はビッグデータ関連ビジネスの足かせとなり、日本のIT産業を衰退させる恐れがあると警戒している。 パーソナルデータに関する検討会(座長・堀部政男一橋大学名誉教授)は、政府のIT総合戦略本部傘下に昨年9月に設置された。ビッグデータを活用した新ビジネス・サービスが勃興する中、プライバシーの保護などに配慮したパーソナルデータ利活用のルールのあり方を検討したり、監督・紛争処理機能を備えた第三者機関の設置を含む制度の見直し、関連の法改正などについて議論。議事録はWebサイトで公開され、制度の見直し案(事務局案)の概要もPDFで公開されている。 この見直し案
セキュリティのトビラ(7) 読解力のトビラ(1) 報道から不正ログインを見抜く
ここのところほぼ毎日と言っていいほど、どこかで何かしらのセキュリティインシデント(以下セキュリティ事故)が発生し、様々なメディアで報じられています。筆者は職業柄そのような情報を収集、整理、分析しているのですが、能動的に収集していない方もニュースサイトやテレビなど色々なところで見聞きしていることでしょう。筆者も母親からメールでセキュリティ事故についてのコメントや質問をされるほどです。 ところで、メディアで報じられるニュースには、時間的な制限や可能な限り伝わりやすくということを優先しているためか、内容的に専門性を欠き、ときには誤解を生むものもあるように思います。 そこで今回から数回に分けて、セキュリティ事故のニュースを正しく読み解く一助となるような分類や用語について解説したいと思います。 なお、紙幅の都合上、セキュリティ事故全体に言及するのは難しいので、本連載では、この記事をお読みいただいてい
日本セキュリティ・マネジメント学会第26回学術講演会の御案内 - Harumichi Yuasa's Blog
11月26日(火)の日本セキュリティ・マネジメント学会第26回学術講演会で、「SNSをめぐる法律問題」と題して講演いたします。 詳細は下記をご覧下さい。 (1) 開 催 日 時: 2013年11月26日(火)13:30~17:40(受付開始13:00) 場 所: 東京電機大学 千住キャンパス1号館2階1205-1206教室 〒120-8551 東京都足立区千住旭町5番 (http://www.nyushi-net.dendai.ac.jp/newcampus/access.html) テーマ:「安全・安心なスマートフォンの業務活用」 (2) プログラム: 13:30~13:40 開会のご挨拶 JSSM会長 佐々木 良一 13:40~14:30 「SNSをめぐる法律問題」 情報セキュリティ大学院大学 学長補佐・情報セキュリティ研究科教授 湯淺 墾道 氏 14:30~15:20 「ソーシ
世界に狙われる日本の重要機密!~現場から考えるセキュリティ対策とは?~|株式会社日立ソリューションズ
まだ3ヶ月以上を残していますが2013年は、セキュリティ事件の当たり年となる事は確定的となってしまいました。つい先日の8月にも新聞他のメディア各社で報道された中国のネット検索大手の情報共有サイトに、日本を代表する大企業の「社外秘」と記載されている1000件を超える内部文書がある事が報道され、さらにその少し前には、国家機密に近い内部文書の海外流出も発生しています。もはや、「機密情報の漏洩事件」は、たとえ大企業や国家機関級の組織が対策していても「自社は大丈夫だろう・・・。」「対策は済んでいるはず・・・。」と言って済まされる状況ではなくなっています。 本セミナーでは、NPO法人情報セキュリティ研究所の研究員で立命館大学教授の上原哲太郎氏にご登壇いただき、セキュリティの最新動向を踏まえながら、止まらない機密情報の海外流出をどのように対策すべきかや、日本国内における機密情報に対するセキュリティ対策の
プレス発表 制御機器認証プログラム「EDSA」国内認証制度の確立および規格書対訳版の公開について
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、産業用制御システムのセキュリティ強化の一環として、制御機器の認証制度「EDSA」について、米国ISCIとの合意に基づき、本制度の日本国内での確立・拡大に向けた今後の計画等をIPAのウェブサイトで、同計画およびEDSA規格の英日対訳版をISCIのウェブサイトで、2013年4月15日(月)から公表します。 IPAサイトURL:http://www.ipa.go.jp/security/fy25/reports/edsa/index.html ISCIサイトURL:http://www.isasecure.org/ (日本時間4月16日公開予定) 近年、制御システムにおいてもコスト低減や利便性向上を目的に、WindowsやUNIXといった汎用プラットフォームの活用やネットワーク、外部メディアの利用が進んでいます。しかしその反面、汎用性
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。 - piyolog
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。 (8/20更新) @games(ジークレスト)へのパスワードリスト攻撃を追加しました。 まずは読んでおきたいBlog、記事 このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。 辻さんによるリスト型攻撃に関する考察 セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ - @IT セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 - @IT セキュリティのトビラ パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する ブルートフォース攻撃について考えて
総務省|報道資料|日ASEAN情報セキュリティワークショップの開催
総務省は、我が国及びASEAN諸国の情報セキュリティ水準の向上、及びネットワーク事業者間の連携体制の構築・強化のため、日ASEAN情報セキュリティワークショップを平成25年8月14日から15日に開催いたします。 総務省では、「情報セキュリティ分野における日・ASEANの連携枠組み※」にもとづいてネットワーク事業者間の連携体制を構築・強化するため、平成22年度から我が国とASEAN諸国のネットワーク事業者間で情報セキュリティ分野のワークショップを開催・後援してきました。 本年度も、引き続き連携強化に向けて、我が国及びASEAN諸国のネットワーク事業者を対象として「日ASEAN情報セキュリティワークショップ」を開催致します。
IPAから「クリックジャッキング」に関するレポート出ました - 葉っぱ日記
Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては4年前にすでにJPCERT/CCが詳しい解説を出していたのですが、この3月26日にIPAからも「クリックジャッキング」に関するレポートが公開されました。 X-FRAME-OPTIONSについて、このレポートには記載されていない点についていくつか補足
Google Chromeに保存したパスワードが丸見えに、開発者が問題指摘
例えば職場でユーザーが席を外している間に他人が操作するなど、PCに物理的にアクセスできれば誰でもChromeに保存されたパスワードをのぞき見ることができてしまう。 米GoogleのWebブラウザ「Chrome」に保存されたパスワードは、設定ページを通じて誰でも簡単に平文で見ることができてしまう――。ソフトウェア開発者が自身のブログでそんな実態を報告し、Googleのパスワードセキュリティ対策の甘さを指摘している。 ソフトウェア開発者のエリオット・ケンバー氏は8月6日、「Chromeのあり得ないパスワードセキュリティ戦略」というタイトルのブログでこの実態を紹介した。 同氏はWebブラウザをAppleのSafariからChromeに切り替えて使っている過程で、Chromeの設定ページから保存したパスワードの一覧を表示すると、この画面にパスワードの「表示」ボタンが現れることを発見した。このボタン
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
Twitter歴診断というTwitter連携サービスが「危険」だと騒がれている「その理由」について納得出来ないという話。
2013/11/15追記: Twitterアカウントで認証することで Twitterアカウント作成日 アカウント作成日からの経過日数 片思い人数 片思われ人数 ブロック済みアカウント数 お気に入りに登録しているツイート数 などを表示するウェブサービス「まいあかうんったー」を公開しました。 ぱ、ぱくりとかいわないで! Twitter歴診断というTwitter連携サービスが「危険」だと話題になっているようです。 Twitter歴診断というサービスの安全性云々という話についてはあまり興味が無い事、安全性について言及するにはまだ情報が不足しているのでそれについては触れません。 そもそも、それは各々が判断するべき事だと思うので…。 ですが、それを「危険」だと騒いでいらっしゃる方々が、それを「危険」だと主張するその「理由」についてどうにも納得する事が出来ないのでそれについて書いてみます。 そもそも何故
ツイッター歴を教えてくれるアプリ騒ぎの論点が違う件について - モロ屋
自分のタイムラインでもURLが流れてたんだけど、これちょっと違うんじゃないのと思ったからちょっと書く。 【注意】「あなたのツイッター歴は○○日でした」アプリを認証すると必要以上の動作権限を渡してしまう - NAVER まとめ 必要以上の権限を求めているのか? 「診断くん」は、TwitterでOAuth認証すると自分のTwitter歴を pic.twitter.com に画像付きでアップするWebサービスみたいですが、ここで行われている動作は 自分のTwitterアカウントの作成日を取得 現在日時と計算して経過時間を取得 アイコンとTwitter歴を画像にして pic.twitter.com にアップロード&ツイート という処理になります。 TwitterのAPIを扱ったことがある人なら知っているとおもいますが、TwitterのOAuthには権限が3種類あります。 Read only 読み取
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
重要インフラ専門委員会
https://www.ipa.go.jp/security/fy24/reports/ics_sec/ics_committee.pdf
制御システムのセキュリティ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/files/000014121.pdf
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
