PDCAサイクルの、P：Plan(計画)は、情報セキュリティマネジメントを確立するための計画段階にあたり、その代表が情報セキュリティポリシーの策定です。（1）組織・体制を確立し、（2）基本方針を策定し、（3）守るべき情報資産を把握、分類し、（4）その情報資産のリスクアセスメントを行い、それにより自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、（5）それに応じた導入対策（管理策）を取捨選択し、（6）対策基準を策定し、（7）対策基準の周知徹底を行なうとともに、（8）実施手順を策定します。 情報セキュリティポリシーの策定の流れ 情報セキュリティポリシーの文書構成 情報セキュリティポリシーの文書構成は、特に決まりはありませんが、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3 階層の文書構成をとるのが一般的です。 基本方針で定められた内容が、対策

IPA（独立行政法人情報処理推進機構）は、オープンソースソフトウェアの“Vuls”（バルス）を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方（ツール活用編）」を公開しました。 下記より「脆弱性対策の効果的な進め方（ツール活用編）」についてのレポートPDF版をダウンロードしてご利用いただけます。 テクニカルウォッチ補助資料「ソフトウェア脆弱性関連情報管理シート」を公開【2020年9月30日】 「脆弱性対策の効果的な進め方（ツール活用編）」では、組織の脆弱性対策の進め方の一例として、利用しているソフトウェアを把握し、そのソフトウェアに関連する脆弱性情報を収集後、脆弱性対策の適用の判断を行う方法を解説しています（第2章参照）。それらを円滑に進めるためには、収集した情報等を適切に管理しておく必要があります。一方で、組織によっては管理する方法がわからず適切に行えていないところ

IPA（独立行政法人情報処理推進機構）では、経済産業省が策定した「情報セキュリティサービス基準」に適合する情報セキュリティサービスの提供状況について調査を行い、情報セキュリティサービスを利用しようとする者が参照することができるように、調査の結果を以下のとおり情報セキュリティサービス基準適合サービスリストとして公開しております。 情報セキュリティサービス基準適合サービスリスト 情報セキュリティサービス基準適合サービスリストは、経済産業省が策定した「情報セキュリティサービス基準」への適合性を各審査登録機関（脚注1）により審査され、同基準に適合（脚注2）すると認められ、各機関の登録台帳に登録され、併せて、「誓約書」をIPAに提出頂いた事業者の各情報セキュリティサービスを掲載するものです。本リストの掲載期間は、審査登録機関の定める登録有効期間又は2年間のうち短い方の期間となります。本リストの内容は

IPA（独立行政法人情報処理推進機構）は、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しました。 概要 「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業（以下「中小企業等」）の利用を想定しています。 第3.1版は第3版（2019年3月）を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行いました。例えば実践編において、テレワークを安全に実施す

Copyright © 2024 Information-technology Promotion Agency, Japan（IPA）　法人番号 5010005007126

倫理事例集 はこちら 前文 我々情報処理学会会員は、情報処理技術が国境を越えて社会に対して強くかつ広い影響力を持つことを認識し、情報処理技術が社会に貢献し公益に寄与することを願い、情報処理技術の研究、開発および利用にあたっては、適用される法令とともに、次の行動規範を遵守する。 1．社会の一員として 1.1　他者の生命、健康、安全、財産を侵害しない。 1.2　他者の人格とプライバシーを尊重する。 1.3　他者の知的財産権と知的成果を尊重する。 1.4　情報システムや通信ネットワークおよびデータの運用規則や利用規則を遵守する。 1.5　倫理的かつ持続可能な慣行の遵守に努める。 1.6　社会における文化の多様性に配慮し、すべての人を公平かつ敬意を持って扱い、性別、性的指向・性自認、障がい、年齢、出身国、人種、信仰・信条などの特性に基づく差別を行わない。 1.7　いかなる種類のハラスメントも行わず

はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん

2020-11-18 Serverless Meetup Japan Virtual #11 #severlessjp https://serverless.connpass.com/event/195084/Read less

1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、この脆弱性の報告者がNSA(米国家安全保障局)だったことです。NSAはMicrosoftのアナウンスとは別により詳しい内容でこの脆弱性を警告するアナウンスを出しています。 「Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers」 これまで数々の諜報活動をインターネット上で行ってきたNSAが、この脆弱性を