もよもよ。 @yoppu1eg 情報セキュリティの敗北史が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は。まだ3章だぞ?これだこのことが私が生まれる少し前から起きてたのか??なんで、3ヶ月くらい寝かしてたの?この本?? pic.twitter.com/3vHXxg2W1h 2024-02-26 01:11:06
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。 ガイドラインの内容 ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。 本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施する
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳
情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................
「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表 総務省では、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)について、令和3年7月17日(土)から同年8月15日(日)までの間、広く意見を募集しました。 意見募集の結果、12件の意見の提出がありましたので、提出された意見及び当該意見に対する総務省の考え方をとりまとめ、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」と併せて公表します。 総務省では、安全・安心なクラウドサービスの利活用推進のため、平成26年4月に「クラウドサービス提供における情報セキュリティ対策ガイドライン」を公表し、その後IoTサービスを提供するクラウドサービスにおけるリスクへの対
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022年10月12日)をご恵投いただいたので読んでみた。実は原題は「A Vulnerable System: The History of Information Security in the Computer Age」でだいぶ印象が違う。 内容はサイバーセキュリティの歴史そのものだった。考えてみると、意外とサイバーセキュリティの歴史についてまとめられた本、特に包括的なものは思いあたらない。特定のテーマや地域に限定したものなら、すぐに思いつく。たとえば、アメリカがサイバー空間でぼこぼこにやられた歴史をまとめた『Dark Territory: The Secret History of Cyber War』(Fred Kaplan、Simon & Schuster、2017年3月28日)や、サイ
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2020年9月3日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-74-3 定価 定価:2,200円(税抜価格2,000 円、消費税率10%) 書籍概要 概要 IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。 各トピックでは国内外の官民の各種データ、資料を数多く紹介しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(昨年版の読者アンケートから抜粋)。 顧客向け資料への参考や引用 社内資料に使用 業界動向把握
はじめに 国内の情報セキュリティに関連する組織・情報源をまとめてみました。 組織内でセキュリティ情報を展開するときは、権威があって日本のサイトだと伝わりやすい気がします。 国民のための情報セキュリティサイト 総務省が運営しています。ITの基礎知識から一般利用者・組織向けのセキュリティ情報が掲載されています。 まさに国民のためという感じがします。 NISC 内閣サイバーセキュリティーセンター 内閣官房が運営しています。様々なセキュリティ情報があります。 SNS関連アカウントもあり情報にアクセスしやすそうです。 サイバー警察局 警察庁が運営しています。セキュリティ事案への注意喚起などが行われています。 国家公安委員会 「重大サイバー事案に係る警察活動への苦情申出」などを受け付けているようです。 防衛省 サイバーセキュリティ 注意喚起や活動内容が掲載されています。 外務省 サイバーセキュリティ
情報処理推進機構(IPA)は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか?」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心! IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス
情報処理推進機構(IPA)は7月15日、情報セキュリティに関する書籍「情報セキュリティ白書2022」を公開した。国内外の官民の各種データや資料を引用し、情報セキュリティ分野のトピックを240ページ以上に渡り解説している。IPA会員ならばアンケートに回答することで、PDFファイルを閲覧可能。印刷書籍版もあり、2200円で購入できる。 情報セキュリティ白書はIPAが2008年から毎年発行している書籍。情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などをまとめている。22年版では「内部不正防止対策の動向」「個人情報保護法改正」「クラウドの情報セキュリティ」「中小企業に向けた情報セキュリティ支援策」「米国や欧州の政策」などのトピックも取り上げた。 読書アンケートによると情報セキュリティ白書は、「学習・自己研さん」「対策強化・予算策定などの上位者への説明資料」「新
サイバー攻撃の脅威はなぜ増え続けるのか? 相次ぐ個人情報の大規模漏洩、米・中・露による国家主導のハッキング、企業・病院を標的にして猛威を振るうランサムウェア… IT社会が急速な発展を続ける一方で、私たちの「情報」を取り巻く状況は日に日に悪化している。 数々のセキュリティ対策が打ち出されているにもかかわらず、サイバー攻撃による被害は増え続けている。 今日の情報セキュリティが抱える致命的な〈脆弱性〉は、どこから来たのか? コンピュータの誕生前夜から現代のハッキング戦争まで、半世紀以上にわたるサイバー空間の攻防を描いた、情報セキュリティ史の決定版。 【Cybersecurity Canon Hall of Fame 2022 (サイバーセキュリティ書の殿堂) 受賞】 「私たちが今日直面するセキュリティ問題の多くは、何十年も前に下された愚かな決定によってもたらされた。本書は、ITの黎明期から現代の
Y. Kawahara @mahimahi えっ、zoomのend-to-end暗号化レベルを気にするほどの情報セキュリティ意識の高さなのに、暗号化zipファイルのパスワードは別メールで送られてくるんですか? 2020-04-23 11:38:22 SaaKun@ギタリストHR/キャリアコンサルタント @SaaKun @mahimahi これ、そもそもZipのパスワードなんて簡単にクラックできるの分かってる?という皮肉なのか、パスワード別送を揶揄しているのか、どっちか分からなかった。 2020-04-24 00:05:46 Y. Kawahara @mahimahi @SaaKun End-to-Endのセキュリティが脆弱であることを理由にzoomを使わない選択をしているのに、メールというEnd-to-endのセキュリティ概念がないに等しいシステムでパスワードをやり取りすることは受け入れて
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
English お知らせ 2023年5月19日 富士通株式会社 情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて 当社および当社グループ会社の度重なる情報セキュリティインシデントやシステム品質に関する問題により、お客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。 情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V/ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連
Emotet(エモテット)関連情報 Emotet(エモテット)の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール(攻撃メール)に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま
情報セキュリティ10大脅威 2022 64ページ(PDF:5.2 MB) 本資料は、2月28日に公開した「情報セキュリティ10大脅威 2022」解説書 [個人編] に組織編とコラムを追加し、再編集したものです。 情報セキュリティ10大脅威 2022 知っておきたい用語や仕組み 24ページ(PDF:2.1 MB) 情報セキュリティ10大脅威の活用法 18ページ(PDF:2.9 MB) 本資料は、2020年に公開した「情報セキュリティ10大脅威 2020」解説書の「3章. 情報セキュリティ10 大脅威の活用法」を、「情報セキュリティ10大脅威 2022」向けに再編集したものです。 「情報セキュリティ10大脅威 2022」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2022 [組織編] 78ページ(PDF:3.1 MB) 情報セキュリティ10大脅威 2022 [個人編] 79ページ
「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2023 [組織編] 85ページ(PDF:2.6 MB) 情報セキュリティ10大脅威 2023 [個人編] 84ページ(PDF:2.8 MB) 情報セキュリティ10大脅威 2023 [組織編](英語版)85ページ(PDF:2.5 MB) 情報セキュリティ10大脅威 2023 [個人編](一般利用者向け)68ページ(PDF:2.9 MB) 「情報セキュリティ10大脅威 2023」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2023 [組織編](脅威個別版)(ZIP:3.0 MB) 情報セキュリティ10大脅威 2023 [個人編](脅威個別版)(ZIP:3.1 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただ
いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。 こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。 基準、ガイドライン 営業管理秘密指針 https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf サイバーセキュリティ経営ガイドライン サイバーセキュリティ経営ガイドライン(METI/経済産業省) クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版) https://www.soumu.go.jp/main_content/000566969.pdf Ref: 総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表 テレワークセキュリティガイドライン第5版(令和3
情報を安全に取り扱うためには、通信情報や保管情報の暗号化や署名などに使う暗号技術のみに注意を払うだけでは不十分であり、その暗号技術に用いられる暗号鍵に対して適切に鍵長を設定し、さらに適切に鍵管理を行って安全に運用していくことが必要です。 本書では、安全な暗号技術の導入の観点から、暗号技術を利用する際の鍵長の選択方法に関する一般的な考え方を解説します。実際の利用用途や利用期間、環境、コスト、その他様々な制約条件を踏まえて、必要なセキュリティ強度を満たすように鍵長を設定する上で参考となるガイドラインとして取り纏めています。 「暗号鍵設定ガイダンス」の内容 本書で示すセキュリティ強度は暗号技術のセキュリティ(暗号学的安全性) を判断する上での目安となるものであり、利用する鍵長によってセキュリティ強度と処理効率などが変わることに留意する必要があります。 アルゴリズムの中には(特にRSAなどの公開鍵
情報処理推進機構(IPA)は5月17日、4月に開催した「基本情報技術者試験」(FE)と「情報セキュリティマネジメント試験」(SG)の両方で8歳の小学3年生が合格したと発表した。いずれの試験も最年少記録を更新したという。 FEはITに関する基本的な知識・技能を評価する国家試験で、IPAは「ITエンジニアの登竜門」と位置付けている。今回の試験では応募者1万1294人、受験者1万513人、合格者5928人、合格者の平均年齢は25.1歳だった。 FEではこれまでの最年少記録は9歳だったが、今回4年振りに最年少記録を更新。また、同じ試験では87歳の人物も合格し、これまでの最年長記録82歳も4年ぶりに更新したという。 SGは、組織の情報セキュリティを守るための基本的な知識・技能を評価する国家試験で、各部門の情報セキュリティリーダー向けの試験という。今回の応募者は2941人、受験者2770人、合格者21
安全なウェブサイトの作り方 - 1.9 クリックジャッキング 概要 ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。このような問題を「クリックジャッキングの脆弱性」と呼び、問題を悪用した攻撃を、「クリックジャッキング攻撃」と呼びます。 発生しうる脅威 クリックジャッキング攻撃により、発生しうる脅威は次のとおりです。マウス操作のみで実行可能な処理に限定される点以外は、CSRF攻撃による脅威と同様です。 ログイン後の利用者のみが利用可能なサービスの悪用 利用者が意図しない情報発信、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な設定の変更 利用者情報の公
企業向けのセキュリティソリューション事業を手がけるラック(東京都千代田区)は2月21日、情報セキュリティ講座「ラックセキュリティアカデミー」のオンライン受講システムで個人情報の漏えいがあったと発表した。 コースを申し込んだ1人の情報閲覧の権限設定に作業ミスがあった。このため、1月10日から15日までの間、該当するユーザーは過去に他のコースを受講した19人の名前やメールアドレス、受講履歴などの個人情報を閲覧できる状態になっていた。 通報を受けてラックは設定を修正。20人のユーザーに連絡して謝罪した上、システム上の全ての登録データを調査し、関係機関へ報告したという。 ラックは関係者に改めて謝罪すると共に、「今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります」としている。 関連記事 トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセス
情報セキュリティ企業のラックは1月14日、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はないという。 ラックは2021年10月31日、匿名の個人から「フリーマーケットで購入したHDDにラックのビジネス文書が入っていた」とする通報を受けた。通報者とのやりとりの中で情報流出があったと判断し、12月17日にはHDDを回収。通報者以外への情報の流出がないことを確認した。 HDDに含まれていた情報は、03年から17年に作成されたビジネス文書が2069件、同社社員や取引先社員の会社名、部署名、氏名、連絡先などの情報が最大1000件。 HDDを流出させた元社員はラック在職中、業務用PCの入れ替え時にルールに反して業務情報を個人PCにバックアップ。データ消去が不完全なままフリマに出品していた。 ラックは、流出データを
情報処理推進機構(IPA)は、セキュリティの動向を広く紹介する年次白書の最新版「情報セキュリティ白書2021」を7月30日に発刊する。書籍として販売するほか、無料のPDF版も提供する予定。 同白書は、セキュリティ分野の概況を幅広く紹介する資料。2008年より毎年発行している。組織における注意喚起や教育、講演資料、試験対策などに活用されている。 国内外の政策や人材の状況、インシデント被害、脆弱性の動向など、毎年収録しているトピックにくわえて、今回は制御システムやIoTに関するセキュリティの話題や、米国標準技術研究所(NIST)のセキュリティ関連活動を個別テーマとして取り上げた。 またテレワークについても取り上げ、インシデントの事例、テレワーク環境の脅威や課題、対策について解説している。 書籍はA4判で272ページ。価格は2200円(税込)。ISBNは「978-4-905318-75-0」。無
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く