脆弱性関連情報の取扱い:Winny(ウィニー)の安全上の問題箇所(脆弱性)の公表について:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ファイル交換ソフトWinny(ウィニー)の安全上の問題箇所(脆弱性)を本日公表しました。具体的には、Winnyには通信処理に脆弱性があるというものです。悪用されると、ソフトウェアが異常終了する可能性があるのみならず、一般的に、この脆弱性は、当該プログラムが動作しているコンピュータ(パソコン)を外部から乗っ取られる可能性があるものです。開発者による修正方法は公表されていませんので、回避方法は「Winny利用の中止」です。 Winnyは、インターネットを利用して不特定多数のユーザ間でファイルを交換できるソフトウェアです。 Winnyには、通信処理に安全上の問題箇所(バッファオーバーフローの脆弱性)があります。悪用されると、遠隔の第三者によるソフトウェアの異常な動作停止の可能性があるのみならず、一般的に、バッファオーバーフロ
情報処理推進機構:セキュリティセンター:セキュリティ関連NIST文書
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の発行するSP800シリーズ(SP: Special Publications)とFIPS(Federal Information Processing Standards)の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うよ
情報処理推進機構:プレス発表
独立行政法人 情報処理推進機構(IPA、理事長:藤原 武平太)は、2005年8月よりIPAのWebサイトにて公開している 「情報セキュリティ対策ベンチマークシステム」の機能を大幅に改善し、バージョン2として新たにサービスを開始いたしました。 情報セキュリティ対策ベンチマークシステム 情報セキュリティ対策ベンチマークシステムとは、自社のセキュリティ対策の取組状況(25項目)と企業プロフィール(15項目)を回答することにより、 他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できるセルフチェックシステムです。 本システムでは、推奨される取組事例も提示しますので、今後のセキュリティ対策を実施する上で役立ちます。 設問には、ウイルスやスパイウェア等の不正ソフトウェアへの対策が十分であるか、従業員との契約においてセキュリティに関する条項 (個人情報の持ち出
<ITスキル標準V2>
「ITスキル標準V2」は、IPA ITスキル標準センターと産学の有識者から構成される「ITスキル標準改訂委員会」(委員長:有賀 貞一 社団法人情報サービス産業協会 副会長)が、わかりやすさと使いやすさを追求するという方針に基づき改訂したもので、2002年12月に公表されたITスキル標準のバージョンアップは、今回が初となります。新たに公表するのは、「1部:概要編」、「2部:キャリア編」、「3部:スキル編」というITスキル標準本体と、活用のための資料をまとめた「附属書」です。従来の基本構造や複数の職種で専門分野を見直すなど、前バージョン(Ver1.1)を大幅に改善した内容になっています。 【主な改善点】
情報セキュリティ白書 2006 年版 - 10 大脅威「加速する経済事件化」と今後の対策 -
独立行政法人情報処理推進機構(IPA、理事長:藤原 武平太)は、2005年にIPAに届けられた情報や一般に公開された情報を基に、「情報セキュリティ検討会」で、社会的影響の大きさからセキュリティ上の10大脅威を選び今後の対策を検討して「情報セキュリティ白書2006年版」を編集し、2006年3月22日(水)よりIPAセキュリティセンターのウェブサイト上で公開いたしました。 本資料は、2005年にIPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者等の御参画を得て構成した「情報セキュリティ検討会」(メンバーは公表資料の文末に記載)で、社会的影響の大きさからセキュリティ上の10大脅威を選び、利用者・管理者・開発者のそれぞれからみた脅威を
ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
独立行政法人 情報処理推進機構(IPA)におきましては、安全なインターネットの利用をめざして、最近、IPAが届出を受付けたウェブアプリケーションの脆弱性関連情報などを基に、影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画いたしました。 ウェブアプリケーションの開発者・技術者および研究者を対象としていますが、ウェブサイトへの新たな脅威に関する内容も含まれるため、ウェブサイト運営者の方々にもご聴講をお勧めします。 記 1.日時 第1回:平成18年2月28日(火) 13:00 ~16:15 受付は終了しました。 第2回:平成18年4月 4日(火) 13:00 ~16:15 受付は終了しました。
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
信頼できるOpenPGP公開鍵を提供する公開鍵サーバOpenPKSD Trusted Keyserver:IPA 独立行政法人 情報処理推進機構
インターネット上で最も利用されている暗号技術の一つにOpenPGP (RFC2440)がある。 OpenPKSDに代表されるOpenPGP公開鍵サーバは、インターネット上で公開されているOpenPGPフォーマット(RFC2440)の公開鍵を交換するためのサーバである。 誰でも公開鍵の登録が可能であり、また、Web of Trust方式を取り入れているため誰でもその公開鍵に署名を付加した上で登録することが可能である。しかし公開鍵所有者が自分の公開鍵をコントロールできない不満があった。 そこで、OpenPGP公開鍵所有者がOpenPGP公開鍵サーバ上に保持されている自分の公開鍵に対して公開・非公開などのアクセスを自ら設定できる「信頼できるOpenPGP公開鍵を提供する公開鍵サーバTrusted Keyserver(正式名称: OpenPKSD Trusted Keyserver 略称: Ope
情報処理推進機構:セキュリティセンター:対策のしおり - ボット対策、スパイウェア対策 -
本資料はウイルス感染や情報漏えいやシステム停止などのインシデントが起きた場合に被害や影響範囲を最小限に抑えるための対応ポイントをまとめたものです。 本資料は「情報漏えい発生時の対応ポイント集」の後継資料になります。 中小企業のためのセキュリティインシデント対応手引き 本書は「中小企業の情報セキュリティ対策ガイドライン」の付録になります。 同ガイドラインと合わせてご活用ください。 関連資料:中小企業の情報セキュリティ対策ガイドライン これまで公開していた「情報漏えい発生時の対応ポイント集」はこちらです。 情報漏えい発生時の対応ポイント集(PDF:775 KB) お知らせ (1)「IPAセキュリティマネジメントのしおりシリーズ」を廃止しました。 今後は”中小企業の情報セキュリティガイドライン”などをご参照ください。 (2) 「クラウドサービス安全利用のすすめ」を廃止しました。 今後は中小企業の
JCE 1.2.1 の証明書期限切れに関する注意喚起
最終更新日 2005年 7月21日 独立行政法人 情報処理推進機構 セキュリティセンター 有限責任中間法人 JPCERT コーディネーションセンター NPO 日本ネットワークセキュリティ協会 サン・マイクロシステムズ社の JCE(Java Cryptography Extension) 1.2.1 を利用したアプリケーションは、JCE の証明書の期限切れのため、2005年7月28日6時43分(日本標準時)以降正常に動作しなくなる可能性があります。 サン・マイクロシステムズ社の JCE は、暗号化/電子署名/ハッシュ関数などのフレームワークおよび実装を提供する Java 用の暗号拡張機能パッケージです。Java2 SDK 1.2.x 1.3.x用のJCE は、オプション機能として別パッケージで提供されています。JDK 1.4以降ではJ2SEの標準パッケージに含まれ、この文書で注意喚起する問題
ドメイン名の登録とDNS サーバの設定に関する注意喚起:IPA 独立行政法人 情報処理推進機構
インターネット上で運用されているDNSサーバの中には、管理されていない状態のものがあります。ドメイン情報に偽の情報を記述させることで、第三者がそのドメイン名の持ち主であるかのようにふるまえてしまう(ドメインの乗っ取り)というものです。 ドメイン名のDNSサーバとして外部のドメイン名を持つホストを登録している場合、状況によってはドメインが乗っ取られてしまいます。このような状態は、セカンダリDNS サーバの廃止や委託業者の変更などの理由によるドメイン情報の管理不手際により、発生します。 ドメインの乗っ取りが行われた場合、以下の危険性があります。 外部に向けて運用されているDNSサーバの中には、セカンダリDNSサーバの廃止や委託業者の変更などの理由により、ドメインの乗っ取りが(*1)可能な、危険な状態で放置されているものがあります。 DNS サーバに登録し公開している情報において、外部のドメイン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPAX 2006 開催概要
IPAX 2006
セキュアなWEBサーバーの構築と運用に関するコンテンツ
小規模サイト管理者向けセキュリティ対策マニュアル