セキュリティラベリング制度(JC-STAR)についての詳細情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
セキュリティ要件適合評価及びラベリング制度(JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)とは、ETSI EN 303 645やNISTIR 8425などの国内外の規格とも調和しつつ、独自に定める適合基準(セキュリティ技術要件)に基づき、IoT製品に対する適合基準への適合性を確認・可視化する、我が国の制度です。本制度は2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、IPAが運営しています。 セキュリティ製品認証制度としては、国際標準ISO/IEC 15408(Common Criteria)に基づいてIT製品・システムのセキュリティ機能の適切性・正確性を客観的に評価・認証する「ITセキュリテ
セキュリティ要件適合評価及びラベリング制度(JC-STAR) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
セキュリティ要件適合評価及びラベリング制度(JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)とは、ETSI EN 303 645やNISTIR 8425等の国内外の規格とも調和しつつ、独自に定める適合基準(セキュリティ技術要件)に基づき、IoT製品に対する適合基準への適合性を確認・可視化する、我が国の制度です。 本制度の概要 本制度は、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。 従来、IoT製品におけるセキュリティ対策の取組については、
IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します | プレスリリース | IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(IPA、理事長:齊藤裕)は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を2025年3月から開始します。IoT製品に求められるセキュリティ要件を満たした製品について、IoTベンダーや販売事業者がIPAに申請することで適合ラベルを取得することができます。これにより、政府機関や企業だけでなく、一般消費者も含めて、調達・購入・利用時にセキュリティ要件を満たした安全なIoT製品を選びやすくなります。 セキュリティ要件適合評価及びラベリング制度(JC-STAR) 背景 近年、デジタル化の進展に伴い、IoT製品の数が急速に増加するとともに、IoT製品の脆弱性を狙ったサイバー脅威が高まってきており、諸外国ではIoT製品のセキュリティ対策に関する評価制度の検討が進んでいます。 経済産業省においても、2
脅威インテリジェンス導入・運用ガイドライン | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 昨今のサイバーセキュリティの取り組みの一環として、「脅威インテリジェンス」が注目されていますが、その取り組みが指し示す内容や、事業会社が具体的に実施すべき事項があまり明確にされていないなどの課題があると感じました。 そこで当プロジェクトでは、様々な文献やツール、サービスを利用し、脅威インテリジェンスの概要・概念からその効果、ライフサイクルを整理し、またプロジェクトメンバーで実際に脅威インテリジェンスの取り組みを実践することで、事業会社が取り組む内容の一部をケーススタディとしてガイドラインにて紹介しています。 ガイドラインを活用することで、経営層に脅威インテリジェンスの必要性と導入を提案でき、また運用箇所に目的と運用事項を説明できる内容で構成しています。 また、従来組織が取り組んできたフレームワークやガイドライン、チェックリストをベースとした「コンプライアンス型アプローチ」では、昨今の
セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 近年、サイバー攻撃の件数は増えており、また手法も多様化・巧妙化しています。自社をサイバー攻撃から守るセキュリティはもちろん重要ですが、自社がシステムベンダなら、顧客に提供するシステムのセキュリティも重要です。顧客に提供するシステムが保有する脆弱性は、攻撃者に利用され、顧客の事業被害(ビジネス中断や情報漏洩など)に繋がるリスクをもたらします。ゆえに、システムベンダは顧客に提供するシステムに責任を負う事になります。 このような背景から、開発チームでのセキュリティ対応が喫緊の課題となっていますが、その一方で、開発チームは、新規システム開発や既存システムの新機能追加、バグ修正等で多忙な日々を送っているかと思います。例えば、目下の納期を守るため、すぐには問題にならないセキュリティ対策を後回しにして、結局対応できないという場合もあるかもしれません。 しかし、開発チームが「多忙なので、開発時にセキ
センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
トップページ 情報セキュリティ 重要なセキュリティ情報 2024年度 センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 センチュリー・システムズ株式会社が提供するFutureNet NXRシリーズ・WXRシリーズはセンター向け・拠点向けVPNルータ、VXRシリーズは仮想ソフトウェアルータです。 FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズには脆弱性が確認されており、脆弱性が悪用された場合、Telnetに無制限でアクセス
PHPの脆弱性(CVE-2024-4577)を狙う攻撃について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。 そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され
ビジネスメール詐欺の事例集を見る | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ビジネスメール詐欺 事例集 ここでは、IPAで確認しているビジネスメール詐欺の事例を紹介しています。同様被害の早期発見や、未然防止、啓発活動における事例紹介の一助として、セキュリティ上の取り組みの促進に繋げることに役立ててください。 事例1:偽口座送金後、一部資金を回復できた事例 本事例は、国内企業と海外取引先企業のやりとりにおいて、国内企業側が攻撃者に騙され、偽の口座へ送金してしまったが、一部資金を回復することができたという事例です。 事例レポート1(PDF:2.5 MB) 事例2:銀行口座証明書類を偽造し振込先口座変更を依頼してきた事例 本事例は、国内企業と海外取引先企業のやりとりにおいて、取引先の担当者になりすました攻撃者が、銀行口座証明書類を偽造し、振込先口座変更を依頼してきた事例です。偽造された証明書類は、印影の名義が正規の証明書類と異なっていたものの、その違いに気づけず、国内企
Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Palo Alto Networks 社より、PAN-OS の GlobalProtect 機能に関する脆弱性が公表されました。 この PAN-OS の GlobalProtect 機能において、リモートからのコード実行の脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって、ファイアウォール上の root 権限で任意のコードを実行される可能性があります。 --- 2024年 4 月 19 日更新 --- 製品開発者から本脆弱性の影響を受けるすべてのバージョン向けにホットフィックスが提供されています。 製品開発者は、本脆弱性を悪用する攻撃を確認していると公表しています。 今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、ホットフィックスを適用してくださ
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編] 104ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編] 94ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け) 72ページ(PDF:3.9 MB) 情報セキュリティ10大脅威 2024 [組織編](英語版) 104ページ(PDF:4.2 MB) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(ZIP:6.8 MB) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(ZIP:6.4 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利
偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
スマート工場化でのシステムセキュリティ対策事例 調査報告書 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
IPA(情報処理推進機構)は、先進的なスマート工場の事例を調査してセキュリティ対策項目を整理した「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を公開しました。 報告書公開の背景 デジタルトランスフォーメーション(DX)の進展に伴い、IoTやAIなどの先端技術やクラウドサービスを活用するスマート工場化への取り組みが進んでいます。スマート工場化は、生産の最適化・効率化などの事業効果がある一方で、工場のネットワークをインターネットや情報システム等に接続する機会が増加するため、既存の工場設備も含めた工場システム全体のセキュリティ対策を検討する必要があります。 こうした課題を踏まえ、IPAは2022年6月に「スマート工場のセキュリティリスク分析調査 調査報告書」、経済産業省は2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公開してきました
インターネット境界に設置された装置に対するサイバー攻撃について~ネットワーク貫通型攻撃に注意しましょう~ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 昨今、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われ、ネットワーク貫通型攻撃としてAPT攻撃に利用されています。 ネットワーク内部へ不正にアクセスされた場合、保有情報の漏えいや改ざんの可能性がある他、他組織への攻撃の踏み台(中継)になるなど大きな被害が予想されるため、日々の確認および、平時の備えが大切になってきます。 一般的な対策 1.日々の確認 各種ログ監視による不審なアクセス等がないかの確認 製品ベンダやセキュリティベンダ等より発信される情報の収集 自組織で利用するネットワーク機器の外部公開状態の確認 2.平時の備え 製品ベンダから発信された情報を基に対応するための体制整備 ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備 整備した体制、対応手順が運
重要情報を扱うシステムの要求策定ガイド | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(IPA)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。 概要 通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。 本ガイドは管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対
営業秘密官民フォーラムメールマガジン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
営業秘密官民フォーラムメールマガジン 営業秘密官民フォーラムメールマガジンとは 営業秘密官民フォーラムとは、2015年1月に開催した「技術情報等の流出防止に向けた官民戦略会議」において、官民の実務者間で、営業秘密の漏えいに関する最新手口やその対策に係る情報交換を行う場として創設されたフォーラムです。 詳細については、ウェブサイトをご参照ください。 営業秘密官民フォーラム(経済産業省 経済産業政策局 知的財産政策室) 営業秘密官民フォーラム参加団体及び関係者で、営業秘密官民フォーラムメールマガジンの受信を希望された方へお送りしています。官民フォーラムの目的である、継続的な官民連携、高度化する漏えい手口情報の共有・対応策の共有をより強化していくため、営業秘密に関する記事および各種セミナーなどのイベント案内を定期的に配信しています。 配信希望/解除など配信に関することについては、各団体様の連絡担
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サポート詐欺レポート | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/j-csip/ug65p9000000nkvm-att/fy23-q3-report.pdf
警察庁サイバー警察局とサイバー事案の対処に関する連携協定を締結 | 新着情報 | IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブJ-CSIP運用状況[2023年4月~6月].pdf
IPA暗号鍵管理ガイダンス第1版.pdf