「IoT開発におけるセキュリティ設計の手引き」を公開 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
公開日:2016年5月12日 最終更新日:2023年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
Verizon社のデータ漏洩/侵害調査報告書が重要である理由
組織のセキュリティ対策 2016.5.12 Verizon社は、毎年、データ漏洩/侵害調査報告書(DBIR)を発表し、1年間に発生したインシデントに関する豊富な情報を提供しています。同社は70の組織(Intel Securityも含まれます)から収集した情報をまとめ、61か国で確認された2,000件以上のデータ漏洩/侵害事例、8万件近い個別のインシデントを分析しています。セキュリティ業界の専門家にとって、この情報は非常に有益です。世界中で何が起こっているかを俯瞰できるからです。私はいつも、DBIRの発表を待ちかねています。実は、今朝、最初にしたことが、報告書をiPadに読み込むことでした。そして、リラックスした体勢で中身を丹念に読みました。さて、ここで読者が抱く疑問はきっと、この報告書がセキュリティ業界以外の人間にとってどのような意味を持つのかということでしょう。または、たとえば、「なぜ私
第22回 ランサムウェアの意外な歴史といま猛威を振るう理由
2015年あたりから猛威を振るっているランサムウェア。今回はランサムウェアの仕組みや一般にはあまり知られていない意外な歴史をひも解いてみたい。 実は昔からあったランサムウェア ランサムウェアとは、身代金を意味する「Ransom」と「Software」を組み合わせた造語であり、非常に迷惑な不正プログラムだ。いまはPCに保存されているファイルを勝手に暗号化して読み取れなくしてしまうタイプが流行っている。しかも、暗号化したファイルやロックされたPCに金銭を要求する文面と金額を表示し、ユーザーがその金額を支払わない(多くはビットコイン)と、データを復元できない。まさにランサムウェアの名前の通り、データを人質に身代金を要求する誘拐事件のような手口だ。 直近では暗号化したファイルの拡張子を全て「.vvv」にしてしまう「vvvウイルス」が非常に有名だが、それ以外にも「CryptLocker」「KeyRa
SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害
SAPは2010年に脆弱性を修正しているが、ユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けているという。 SAPのビジネスアプリケーションで5年前に修正された脆弱性が悪用されている形跡があることが分かり、米セキュリティ機関US-CERTが5月11日、セキュリティ情報を出して注意を呼び掛けた。日本を含む各国のグローバル企業がこの問題を突く攻撃の被害に遭っていたことも判明したという。 US-CERTやこの問題を発見したセキュリティ企業Onapsisによると、脆弱性はSAPのJavaプラットフォームに組み込まれた「Invoker Servlet」という機能に存在し、SAPが2010年に修正していた。ところがユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けていることが判明した。 この問題はSAPのEnterprise Resource
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
通信の安全を守るためにエンジニアができること