脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS(Exploit Prediction Scoring System)などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ
重要情報を扱うシステムの要求策定ガイド | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(IPA)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。 概要 通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。 本ガイドは管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対
ゼロトラスト移⾏のすゝめ
i ゼロトラスト移⾏のすゝめ 2022 年 6 ⽉ 独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト ICSCoE TLP:WHITE i まえがき ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できな い領域である」という考え⽅ではなく、 「たとえ境界内部であっても無条件に信⽤せず 全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守 る概念である。この概念は 2010 年ごろから提唱されていたが、近年の新型コロナウ ィルス感染症(COVID-19)の蔓延によるテレワークの普及や、DX 推進に伴うクラウド サービス利⽤の急増などにより、社内の情報資産が境界の内側に留まらず、境界の外 側の資産も守らなければならない現状から更に注⽬が⾼まっている。 ゼロトラストの概念につい
ゼロトラスト移行のすゝめ:IPA 独立行政法人 情報処理推進機構
ゼロトラストの概念は近年のテレワークやクラウド利用の普及により注目を集めていますが、いざ自組織に実装しようとしたときにはさまざまな課題に直面することが予想されます。また、ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠になっています。 そこで本書ではゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントについてまとめました。これからゼロトラスト移行を検討している組織の担当者に参考にしていただけると幸いです。
セキュリティエンジニアのための English Reading | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案):IPA 独立行政法人 情報処理推進機構
意見募集のお知らせ 《募集期間は終了しました》 最終更新日:2020年5月18日 2020年3月24日公開 独立行政法人情報処理推進機構 社会基盤センター 2019年12月に民法改正を踏まえた「情報システム・モデル取引・契約書」の見直し整理反映版を公開しました。その後引き続き、10年前の「情報システム・モデル取引・契約書」<第一版>作成以降の情勢変化に応じて見直した方がよいと考えられる論点についての検討を進めています。 そのうちの一つ、セキュリティに関しては、ウェブアプリケーションの開発委託契約において、ユーザ企業とITベンダがセキュリティ仕様の十分な合意なく開発を行った結果、サイバー攻撃を受けて情報が漏えいした事案など、セキュリティ対策の不備に起因する紛争も発生しています。 このような状況から、IPA内に設置した「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチー
改正民法に対応した「情報システム・モデル取引・契約書」 | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
背景 デジタル技術を活用して企業のビジネスを変革し、自社の競争力を高めていく「デジタルトランスフォーメーション(DX)」が注目を集めています。経済産業省が2018年9月に公開した「DXレポート」は、DXを円滑に進めるには、ユーザ企業、ITベンダが双方の間で新たな関係を構築していく必要があると提言しています。そのために、DXの進展によるユーザ企業とITベンダのそれぞれの役割の変化等を踏まえたモデル契約の見直しの必要性が指摘されました。 こうした状況を踏まえ、IPAでは、経済産業省が2007年に公開した「情報システム・モデル取引・契約書」、およびIPAが2011年に公開した「非ウォーターフォール型開発用モデル契約書」についての見直しの検討を2019年5月から行っています。まず、この検討全体を取りまとめる「モデル取引・契約書見直し検討部会」を設置し、民法改正に対応した「情報システム・モデル取引・
産業サイバーセキュリティセンター | IPA 独立行政法人 情報処理推進機構
OTとITの知見を結集させた世界最高レベルのサイバーセキュリティ対策の中核拠点 産業サイバーセキュリティセンター(Industrial Cyber Security Center of Excellence, ICSCoE)では、模擬プラントを用いた演習や、攻撃防御の実践経験、最新のサイバー攻撃情報の調査・分析等を通じて、社会インフラ・産業基盤へのサイバーセキュリティリスクに対応する人材・組織・システム・技術を生み出していきます。 事業内容 中核人材育成プログラム 短期プログラム 広報誌 ICSCoE REPORT 国際連携 サイバー技術研究室 産業サイバーセキュリティセンターロゴマークの使用 「事例調査業務」報告書について サイバーインシデント調査室
ITセキュリティ評価・認証に関するe-Learning教材:IPA 独立行政法人 情報処理推進機構
本教材は2012年4月をもってサポートを終了しました。 報告書等を除き本教材のダウンロードも中止しました。 IPA セキュリティセンターでは、ITセキュリティ評価・認証の普及・啓発を目的に、情報セキュリティシステムにおける役割やその仕組みの基本を習得するための入門的なe-Learning用コンテンツを開発しました。 今回開発したe-Learning用コンテンツに関しては、「開発者(管理者)」、「開発者(実担当者)」、「調達仕様作成者(管理者)」、「調達仕様作成者(実担当者)」、および「大学教員」の5つのタイプの学習対象者を想定し、学習モジュールを組み合わせて対象者毎の教材を作成しました。 学習対象者毎の習得目標は、「開発者」、「調達仕様作成者」、「大学教員」のそれぞれに対し、次のように設定しています。 開発者 セキュリティ設計・開発に必要な知識が習得できること。 調達仕様のセキュリティ要件
日本OSS推進フォーラム
1.開発基盤WGの目的 開発基盤WGの活動目的は「サーバLinux、OSSの更なる普及・拡大のためのベンダサイドの課題解決」です。 企業内にあるOSSに関するノウハウをオープン化し、安心してOSSを使えるような環境作りを目指しています。 2.設立の背景 OSSの実システムへの適用が、Linuxだけでなく、ミドルウェアにまで拡大していることで、OSSを適用したシステムが複雑化しています。 それにもかかわらず、OSSでビジネスを展開するベンダサイドでは、 性能・信頼性などのシステム設計・構築に必要なデータが不足しており、結果として、各社が同じような評価を実施している 障害解析ツールが不足しており、原因究明に時間がかかる といった問題が発生しています。 そこで、開発基盤WGでは、次のような考え方で活動を展開しています。 (1)ベンダ共同のOSSの性能・信頼性評価により、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
提案依頼書に含まれる 無理難題の分類