サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
猫
www.ipa.go.jp
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。 これらのような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、のそれぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。 長期休暇における情報セキュリティ対策 日常における情報セキュリティ対策 上記リンク先において、対象者毎に参照すべき範囲
トップページ 情報セキュリティ 重要なセキュリティ情報 2024年度 アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。昨年 8 月に IPA が公開した、「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Palo Alto Networks 社より、PAN-OS の GlobalProtect 機能に関する脆弱性が公表されました。 この PAN-OS の GlobalProtect 機能において、リモートからのコード実行の脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって、ファイアウォール上の root 権限で任意のコードを実行される可能性があります。 --- 2024年 4 月 19 日更新 --- 製品開発者から本脆弱性の影響を受けるすべてのバージョン向けにホットフィックスが提供されています。 製品開発者は、本脆弱性を悪用する攻撃を確認していると公表しています。 今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、ホットフィックスを適用してくださ
プロダクトマネージャーは、グローバル標準において一般的な職種として設定されており、また、日本においても特にデジタルサービスを提供する企業における職種として浸透してきている。
日本においては日本語のOSS情報が十分でないこともあり、無償によるコストメリットのみが注目されることが多くありました。しかし、欧米並みに最新技術を迅速に導入し、安定した技術の導入をするために、OSSがITの共通言語となるよう、国内外の有益な情報を発信していきます。 国内外のOSS関連ニュース 2024年 3月19日 IPAがOSS推進のためのWebページを公開(IPA) 3月4日 EUのAI包括規制によりオープンソースAIの規制が複雑化(Center for Data Innovation) 2月1日 Linuxの独習教材「Linuxサーバー構築標準教科書 Ver.4.0.0」が公開, 学習ベースをCentOSからAlmaLinux 9に変更(LPI-Japan) 2月1日 オープンソース推進団体OSI、OSS の採用要因や需要の高い技術を調査した2024年版OSS現状報告を発表(Open
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Fortinet 社より、FortiOS の SSL VPN 機能に関する脆弱性が公表されました。 この FortiOS SSL VPN において、リモートからのコード実行の脆弱性が確認されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性があります。 今後被害が拡大する可能性があるため、早急に対策を実施してください。 影響を受けるシステム --- 2024年 2 月 26 日更新 --- FortiOS バージョン 7.4.0 から 7.4.2 FortiOS バージョン 7.2.0 から 7.2.6 FortiOS バージョン 7.0.0 から 7.0.13 FortiOS バージョン 6.4.0 から 6.
「個人」向け脅威は、家庭等でパソコンやスマホを利用する人を対象としています。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものですが、危険度を示すものではなく、各脅威の危険度は人によって異なります。しかし個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意が疎かになることが懸念されます。そのためIPAでは本年、「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。 「個人」向け脅威の種類は10個とも前年と変化がありませんでした。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではありません。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されています。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けます。例えば、フィッ
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
背景 経済産業省が推進するデジタルトランスフォーメーション(DX)の時代においては、ますます激しくなるビジネス環境の変化への俊敏な対応が求められます。そのDX推進の核となる情報システムの開発では、技術的実現性やビジネス成否が不確実な状況でも迅速に開発を行い、運用時の技術評価結果や顧客の反応に基づいて素早く改善を繰り返すという、仮説検証型のアジャイル開発が有効となります。このような観点から、同省が2018年9月に公開した DXレポート では、DXの進展によるユーザ企業とベンダ企業の役割変化などを踏まえたモデル契約見直しの必要性が指摘されました。 そこで、IPAは、2019年5月に モデル取引・契約書見直し検討部会 及び DX対応モデル契約見直し検討WG を設置して、アジャイル開発を外部委託する際のモデル契約について検討を行い、この度、アジャイル開発版 情報システム・モデル取引・契約書 (本版
トップページ 情報セキュリティ 重要なセキュリティ情報 2023年度 Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways は VPN 製品です。 これらの製品において、任意のコマンド実行
デジタルスキル標準(DSS)の公表後、多くの方から反響をいただく中で、「デジタル人材育成が進まない」「デジタル人材育成の事例を紹介してほしい」「デジタルスキル標準(DSS)をどう活用すればよいのか」といった声も多く寄せられています。 こうした声に応え、積極的かつ先進的にデジタル人材育成に取り組んでいる企業から、デジタルスキル標準(DSS)を活用したデジタル人材育成施策の事例をご紹介いただくことになりました。また、参加者が登壇者に質問を行ったり、自社の取り組み状況を共有したり、参加者同士で情報交換する場も設けています。組織、自身が抱える悩みを解決するためのヒントを得る機会として、是非ご活用ください。 開催情報
トップページ 試験情報 試験要綱・シラバス 出題範囲・シラバス等の改訂関連情報 2023年度掲載情報 情報処理技術者試験及び情報処理安全確保支援士試験における出題範囲・シラバスの一部改訂について(近年の技術動向・環境変化などを踏まえた改訂) 企業を取り巻く経済社会環境が大きく変化する中、市場において企業が必要とされ続けるためには、業務改革やビジネス改革による本格的なデジタルトランスフォーメーション(DX)をより一層加速させ、価値創造を継続していくことが重要です。一方で、DXに取り組むタイミングが見極められなかったり、取組をためらったりする組織は未だに多く、その一要因としてDXを推進するための素養や専門的なスキルをもった人材が不足していることが挙げられます。 このような状況を踏まえ、各企業におけるDXの推進を担う人材育成・確保に、情報処理技術者試験・情報処理安全確保支援士試験が効果的に活用さ
トップページ 情報セキュリティ 重要なセキュリティ情報 2023年度 Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)(CVE-2023-7101) Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)(CVE-2023-7101) 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 バラクーダネットワークスが提供する「Email Security Gateway Appliance (ESG)」は、セキュリティ対策製品です。 この製品において、任意のコード実行の脆弱性が確認されています。 本脆弱性が悪用された場合、遠隔の認証されていない第三者により、任意のコードを実
略号 FE 英語名称 Fundamental Information Technology Engineer Examination 実施方式・実施時期 CBT方式により随時実施 (令和元年度まで春期・秋期実施、令和4年度まで上期・下期実施) ITエンジニアとしてキャリアをスタートするには、まず基本情報技術者試験から受験することをお勧めします。しっかりとした基礎を身に付けることにより、その後の応用力の幅が格段に広がります。 1.対象者像 ITを活用したサービス、製品、システム及びソフトウェアを作る人材に必要な基本的知識・技能をもち、実践的な活用能力を身に付けた者 2.業務と役割 上位者の指導の下に、次のいずれかの役割を果たす。 組織及び社会の課題に対する、ITを活用した戦略の立案、システムの企画・要件定義に参加する。 システムの設計・開発、汎用製品の最適組合せ(インテグレーション)によって
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
略号 SC 英語名称 Registered Information Security Specialist Examination 実施方式・実施時期 筆記により春期(4月)、秋期(10月)の年2回実施予定 サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。 情報処理安全確保支援士試験合格者は、情報セキュリティに関する知識・技能を有するものとして、経済産業大臣から合格証書が交付されます。 情報処理安全確保支援士試験合格者は、所定の登録手続きを行うことで、国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。 1.対象者像 サイバーセキュリティに関する専門的な知識・技能を活用して企業や
「アジャイル開発」は、第四次産業革命を実現するために必要なアプローチです。しかし、正しく理解しないまま実践して失敗するケースも多いという問題意識から、IPAでは2017年度より「アジャイルWG」を設置し、アジャイル開発を正しく理解して実践するための指針作りに取り組んできました。今回のウェビナーでは、「アジャイルWG」での成果物を、実際に執筆いただいた委員から紹介します。
「データサイエンス領域」は、企業等の業務において大量データを分析し、その分析結果を活用するための一連のタスクとそのために習得しておくべきスキルを取りまとめています。 タスクは、IPAと「一般社団法人データサイエンティスト協会 スキル定義委員会」の協業で「タスクリスト」を策定、見直しを行っています。 スキルは同協会が公開している「スキルチェックリスト」を活用します。 タスクリストは2017年4月に初版を公開し、現在の最新版は2023改訂版(2023年10月30日公開)です。 2023年のタスクリスト改訂のポイント 生成AIの登場によって大きく変化するデータサイエンティストの業務に対応し、生成AIをビジネスや実務に活用するためにデータサイエンティストが発揮できるスキルを把握できるよう「AI利活用タスクリスト」を新規追加 「AI利活用タスクリスト」において、タスク中分類は以下の通り設定 Phas
概要 IPA発信のネットワーク貫通型攻撃に関する注意喚起 脚注1 の中でも触れている通り、インターネットに接続されたオンラインストレージの脆弱性を悪用した攻撃が継続しております。特に、国家を背景としたAPT攻撃などに関わる事案も確認されており、組織間のデータ授受をメール以外で行うことも多い昨今では、特に注意が必要です。 重要な脆弱性情報についてはIPAでも継続的に注意喚起を行っておりますが、オンラインストレージが広く利活用されるなか、未だ適切な対応がなされていない運用組織が多く存在していることを懸念しています。 最近の動向 「Proself」については管理者権限での認証バイパス(CVE-2023-39415)およびOSコマンドインジェクション(CVE-2023-39416)の脆弱性が確認されていますが 脚注2 、これら脆弱性を悪用する攻撃も既に確認されています。また、XML外部実体参照(X
IPAでは国内におけるデータスペースの普及と推進を目的とし、支援に取り組んでいます。 データスペースとは データスペースとは、国境や分野の壁を越えた新しい経済空間、社会活動の空間のことで、近年主に欧州で注目されている概念です。 国、組織を超えてデータを連携できるルールや仕組みを整備し、これまで以上に「多種多様」で「信頼性のある」大量のデータを利用できるようにすることで、新しいサービスの創出や、既存サービスの高度化を目指すことを目的としています。 データスペースの特徴は、データ提供元がデータの権利を保持し続ける「データ主権」、共通のデジタル基盤を利用することで誰もがデータを活用することが可能な「公平性」、データ提供元と相互に信頼性を確保した上でのデータ転送/アクセス可能な「相互運用性」などが挙げられます。 データ共有が必要な理由には、「攻めの観点」と「守りの観点」があります。 「攻めの観点」
MyJVNバージョンチェッカで最新バージョンのソフトウェアをチェックする 概要 Oracle 社から Java SE に関する脆弱性が公表されています。 同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。 対象 サポートされている以下の Oracle 製品が対象です。 Oracle Java SE 20.0.2 Oracle Java SE 17.0.8 Oracle Java SE 11.0.20 Oracle Java SE 8 Update 381-perf Oracle Java SE 8 Update 381 対策 脆弱性の解消 - 修正プログラムの適用 - Oracle 社から提供されている最新版に更新してください。 Java のアップデート方法 次のウェブサイトにアクセスし、Java の最新バー
IPA調査分析ディスカッション・ペーパー2023-01 公開日:2023年9月14日 独立行政法人情報処理推進機構 調査分析室 鷲見 拓哉 当機構が日米のソフトウェアスタートアップを対象に実施したアンケート調査により、アンケートに回答した日本のソフトウェアスタートアップの多くは、創業後10年間でほとんど成長していないことが明らかとなった。 本ディスカッション・ペーパーでは、成長するビジネスモデルを見いだす「ビジネスモデル探索活動」に特に着目して、日本のソフトウェアスタートアップが抱える課題とその解決策について考察する。 1.はじめに 昨今、ディスラプターの出現により企業の競争環境は急激に変化している。経営においても、業務効率化、コスト削減等の従来から言われる観点に加えて、外部環境変化に如何に迅速に対応し事業を展開するかという「アジリティ」の観点が求められるようになった。顧客に対して如何に早
概要 セキュリティを題材にしたボードゲームは各団体などで作成されている中で、攻撃を題材にしたボードゲームを作成しました。 防御を学ぶには攻撃を知ることも重要です。また、教育性だけでなく、ゲーム性にも注力して作成しましたので是非一度プレイしていただければ幸いです。 プロジェクトメンバー 一同 Cyber Attacker Placement プレイ人数:3人~4人 プレイ時間:45分~1時間 学習効果:攻撃者を疑似体験することでセキュリティ対策の重要性を学ぶ。 また、初学者に対してセキュリティへの興味を持ってもらう。 ゲームの目的 サイバー攻撃は対岸の火事ではないという事を学ぶ サイバー攻撃の種類、多様性について学ぶ セキュリティの重要性を学ぶ 脆弱性の放置の危険性を学ぶ ゲームの導入(ストーリー) あなたはハッカーグループに所属する凄腕ハッカーの一人です。 与えられたミッションはそつなくこ
マンガでわかる ソフトウェア開発 データ分析 データ分析事始め データ分析FAQ (参考)アジャイルメトリクスFAQ 1 独立行政法人情報処理推進機構 超合本版38編 データ分析事始め 目次 データ分析基礎編 01 データ分析ってなんなの? データ分析 02 信頼幅の線、気になる 信頼幅 03 箱ひげ図のひげ、かわゆくない 箱ひげ図 04 散布図はぜんぜんばらばら 散布図と箱ひげ図 05 どれが本命なの? 中央値と平均値 分析データ観察編 01 生産性は性癖が出る? 生産性 02 バグを愛したソース 信頼性(不具合密度) 03 改修・保守が好き過ぎる 開発プロダクトの種別 04 規模はアンバランスでアンビバレント ソフトウェア規模 05 開発期間は短くて長くて短い 開発期間(工期) 06 ウォーターフォールってつおい? ウォーターフォール型開発 07 ここはツールでしょ 開発ツール 08
トップページ 情報セキュリティ 重要なセキュリティ情報 2023年度 セイコーソリューションズ製 SkyBridge MB-A100/A110/A200/A130 および SkySpider MB-R210 における脆弱性対策について(CVE-2023-22441 等) セイコーソリューションズ製 SkyBridge MB-A100/A110/A200/A130 および SkySpider MB-R210 における脆弱性対策について(CVE-2023-22441 等) 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 セイコーソリューションズ株式会社が提供する「SkyBridge」は LTE 対応 IoT ルーター、「SkySpider」は PoE 対応 Wi-Fi アクセスポイントです。 「SkyBridge」および「SkySpider」には脆弱性が確認さ
ICSCoE TLP: WHITE ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜 2021 年 6 月 独立行政法人 情報処理推進機構 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト 1 はじめに 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド 活用の増加により,社外から社内システムに接続する機会が増えてきている。 現状のセキュリティ対策は,境界型防御が主流であり,社内を信用できる領域,社外を信用できない 領域として外部からの接続を遮断している。しかし,上記の社会変化から,社内のシステム環境へ社外 から接続するということが行われていることから,境界型防御で考えていたセキュリティモデルではサイ バー攻撃の脅威を防ぎきれない状況になってきている。 また,標的型メールによる
パスワードに、「1234」や「1111」、「abcd」などの単純な羅列を使っている。
テーマ1:改訂内容を踏まえ、(自身の見地から)特に発信・浸透させるべきと考える要素はあるか? 佐伯: まず、経産省やIPAが生成AIに関する取り組みを力強く推進していること、デジタルスキル標準を改訂し、発信しようとしていること、その姿勢がものすごく素晴らしいと思っている。ずっと遅れを取ってきた日本に対し、”みんなでスピードアップして取り組んでいこう”といった、大きなメッセージになれば良い。 生成AIによって最も変化したことは、生成AIへのインプットが”言葉”になったこと。誰でも使える”言葉”でAIを活用できることは、ものすごく大きな意味を持っている。”みんなでやっていこう”ではあるが、企業は生成AIがもたらすリスクを注意深く見極めながら進めていくべきと考える。 当然、うまく使えば業務効率化になる。一方で、実用化を検討した際に用途によってはリスクが大きいと考え、躊躇することも多いと思う。利用
次のページ
このページを最初にブックマークしてみませんか?
『IPA 独立行政法人 情報処理推進機構』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く