本ページに掲載する事例、リンクについて IPAは、デジタルスキル標準(DSS)を活用している企業にヒアリングを行い、本ページでご紹介しています。 また、経済産業省やIPAからのDSSに関する発信、各メディアに掲載されたDSSに関する記事をリンク集に掲載しています。 本ページに追加したい事例、記事などありましたらお問い合わせ先までご連絡お願いいたします。
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。 これらのような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、のそれぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。 長期休暇における情報セキュリティ対策 日常における情報セキュリティ対策 上記リンク先において、対象者毎に参照すべき範囲
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Palo Alto Networks 社より、PAN-OS の GlobalProtect 機能に関する脆弱性が公表されました。 この PAN-OS の GlobalProtect 機能において、リモートからのコード実行の脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって、ファイアウォール上の root 権限で任意のコードを実行される可能性があります。 --- 2024年 4 月 19 日更新 --- 製品開発者から本脆弱性の影響を受けるすべてのバージョン向けにホットフィックスが提供されています。 製品開発者は、本脆弱性を悪用する攻撃を確認していると公表しています。 今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、ホットフィックスを適用してくださ
「個人」向け脅威は、家庭等でパソコンやスマホを利用する人を対象としています。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものですが、危険度を示すものではなく、各脅威の危険度は人によって異なります。しかし個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意が疎かになることが懸念されます。そのためIPAでは本年、「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。 「個人」向け脅威の種類は10個とも前年と変化がありませんでした。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではありません。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されています。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けます。例えば、フィッ
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
デジタルスキル標準(DSS)の公表後、多くの方から反響をいただく中で、「デジタル人材育成が進まない」「デジタル人材育成の事例を紹介してほしい」「デジタルスキル標準(DSS)をどう活用すればよいのか」といった声も多く寄せられています。 こうした声に応え、積極的かつ先進的にデジタル人材育成に取り組んでいる企業から、デジタルスキル標準(DSS)を活用したデジタル人材育成施策の事例をご紹介いただくことになりました。また、参加者が登壇者に質問を行ったり、自社の取り組み状況を共有したり、参加者同士で情報交換する場も設けています。組織、自身が抱える悩みを解決するためのヒントを得る機会として、是非ご活用ください。 開催情報
サイバー危機対応机上演習(CyberCREST)は、制御システム(OT:Operational Technology)を有する企業等のサイバーセキュリティ対策の統括責任者を対象とした短期プログラムです。 本演習は、制御システムに影響を与える攻撃手法や攻撃パターンについて学び、サイバーセキュリティリスクの軽減し、自社をどのように守っていくべきかを学ぶことができます。 詳細はPDFファイル「演習内容の詳細・申込み方法」をご覧ください。 開催情報 対象者 国内外にサプライチェーンを展開する企業や制御システムを有する企業・団体のサイバーセキュリティ対策を統括されている責任者(CISO)やサイバーセキュリティ対策部門の管理者層 CISO候補者 将来CISOを目指す方 本演習で得られること グローバル視野の最新サイバー攻撃の動向及び攻撃手口に対する対応力の向上 意思決定者として攻撃に対してプロアクティ
IPAは、サイバー攻撃による被害拡大防止のため、2011年10月25日、経済産業省の協力のもと、重工、重電等、重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として、サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )を発足させました。その後、全体で13のSIG(Special Interest Group、類似の産業分野同士が集まったグループ)、279の参加組織による情報共有体制と、IPAが特定業界内の情報共有活動を支援する2つの「情報連携体制」をそれぞれ確立し、現在、サイバー攻撃に関する情報共有の実運用を行っています。 概要と目的 J-CSIP(ジェイシップ)は、公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で
MyJVNバージョンチェッカで最新バージョンのソフトウェアをチェックする 概要 Oracle 社から Java SE に関する脆弱性が公表されています。 同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。 対象 サポートされている以下の Oracle 製品が対象です。 Oracle Java SE 20.0.2 Oracle Java SE 17.0.8 Oracle Java SE 11.0.20 Oracle Java SE 8 Update 381-perf Oracle Java SE 8 Update 381 対策 脆弱性の解消 - 修正プログラムの適用 - Oracle 社から提供されている最新版に更新してください。 Java のアップデート方法 次のウェブサイトにアクセスし、Java の最新バー
概要 IPA発信のネットワーク貫通型攻撃に関する注意喚起 脚注1 の中でも触れている通り、インターネットに接続されたオンラインストレージの脆弱性を悪用した攻撃が継続しております。特に、国家を背景としたAPT攻撃などに関わる事案も確認されており、組織間のデータ授受をメール以外で行うことも多い昨今では、特に注意が必要です。 重要な脆弱性情報についてはIPAでも継続的に注意喚起を行っておりますが、オンラインストレージが広く利活用されるなか、未だ適切な対応がなされていない運用組織が多く存在していることを懸念しています。 最近の動向 「Proself」については管理者権限での認証バイパス(CVE-2023-39415)およびOSコマンドインジェクション(CVE-2023-39416)の脆弱性が確認されていますが 脚注2 、これら脆弱性を悪用する攻撃も既に確認されています。また、XML外部実体参照(X
1990年4月に通商産業省(現経済産業省)が告示した「コンピュータウイルス対策基準」、および1996年8月に同省が告示した「コンピュータ不正アクセス対策基準」(両基準の最終改定は2000年12月28日)に基づき、IPAでは国内のコンピュータウイルス(以下、ウイルス)の感染被害やコンピュータ不正アクセス(以下、不正アクセス)被害の届出を受け付けています。 ウイルス感染被害の拡大や再発の防止、不正アクセス被害の実態把握や同様の被害発生の防止に役立てるため、届出にご協力をお願いします。 このページの「届出に関する公開資料」では、届出いただいた情報を基にした、事例紹介等の資料がダウンロード可能です。ウイルス・不正アクセス事案の状況把握や対策検討にお役立てください。 目次 届出・相談について ウイルス発見・感染の届出 ランサムウェア被害の届出 不正アクセスの届出 届出いただいた情報の取り扱い 届出に
経済産業省では、デジタル時代の人材政策に関する検討会での議論を踏まえ、「生成AI時代のDX推進に必要な人材・スキルの考え方」を取りまとめました。 1.背景 生成AIの技術は、生産性や付加価値の向上等を通じて大きなビジネス機会を引き出すとともに、様々な社会課題の解決に資することが期待されています。生成AIの利用を通じた更なるDXの進展に向けて、本年6月から有識者で構成する「デジタル時代の人材政策に関する検討会」において、生成AIを適切かつ積極的に利用する人材・スキルの在り方について集中的に議論し、「生成AI時代のDX推進に必要な人材・スキルの考え方」として、現時点で採るべき対応を「アジャイル」に取りまとめました。 なお、生成AI及びその利用技術は絶え間なく進展しているため、人材・スキルに与える影響について、今後とも議論を続けてまいります。 2.「生成AI時代のDX推進に必要な人材・スキルの考
クラウドサービス(SaaS)の情報開示とその情報の収集や利用に関する実態調査の結果を公開 コロナ禍以降クラウドサービス(SaaS)の利用が増加しています。しかし、SaaSの選定時にセキュリティリスクの検討やセキュリティが対策を十分考慮されずに導入されたり、運用時の確認や設定変更がされずに脆弱性が放置されたりすることでサプライチェーンのセキュリティリスクが高まっています。さらに、SaaSの活用に係る多くのインシデントが報告されており、利用者が多いことから影響の拡大が深刻になっています。 このような状況に対して、ガイドラインの発行、見直しや認証制度等様々な政策・取組が行われています。IPAでは2021年度にまつわるSaaSのサプライチェーンのインシデントや脆弱性情報の収集と分析および有識者インタビューにより脅威、リスク、今後の課題などを明らかにしました。その結果「SaaS事業者は、個人情報の保
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Fortinet 社より、FortiOS 及び FortiProxy に関する脆弱性が公表されました。 これらの製品において、ヒープベースのバッファオーバーフローの脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性があります。 今後被害が拡大する可能性があるため、早急に対策を実施してください。 影響を受けるシステム --- 2023年 6 月 14 日更新 --- FortiOS バージョン 7.2.0 から 7.2.4 FortiOS バージョン 7.0.0 から 7.0.11 FortiOS バージョン 6.4.0 から 6.4.12 FortiOS バージョン 6.2.0 から 6.2.13
情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................
STIX(Structured Threat Information eXpression) ~サイバー攻撃活動を記述するための仕様~ サイバー攻撃活動を鳥瞰するには、攻撃者(サイバー攻撃に関与している人/組織)、攻撃者の行動や手口、狙っているシステムの脆弱性など、攻撃者側の側面から状況をまとめたり、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、サイバー攻撃に対処するために取るべき措置などを防護側の側面から状況をまとめたりする必要があります。STIX(Structured Threat Information eXpression)(*1)は、これら関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。 サイバー攻撃
映像で知る情報セキュリティ 情報セキュリティ上の様々な脅威と対策をドラマなどを通じて学べる映像シリーズです。 社内研修などでご活用下さい。 IPA Channel動画の二次利用について YouTubeの「IPA Channel」に公開している本シリーズの動画は、そのままブラウザ上で再生して社内研修用コンテンツなどにお使いいただけます。ご利用にあたっての事前申請は不要です。 YouTube動画のダウンロード、コンテンツの二次利用等につきましては、YouTubeの利用規約を遵守していただきますようお願いします。 主な情報セキュリティ対策動画は動画ファイルでの提供も行っております。 動画ファイルのお申込み
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く