サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
Appleイベント
www.ipa.go.jp
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
編集・発行元 独立行政法人情報処理推進機構 発行日 2021年12月1日 サイズ A4 ページ数 386ページ ISBN 978-4-905318-76-7 定価 3,300円(本体価格3,000 円+税10%) DX白書2021 日米比較調査にみるDXの戦略、人材、技術 企業を取り巻く環境は目まぐるしく変化しており、将来の予測が困難となっています。そのため、企業にとって新たな事業環境にあわせた事業変革は優先度の高い取組事項となっています。このような中、企業は環境変化への迅速な対応や、システムのみならず企業文化をも変革していくDX(デジタルトランスフォーメーション)への取組が必要となっています。 IPAはIT社会の動向を調査・分析し、情報発信するため、2009年から「IT人材白書」、2017年から「AI白書」を発行してきました。昨今、DXの進展に伴い、ITとビジネスの関係がさらに密接となっ
背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
ゼロトラストの概念は近年のテレワークやクラウド利用の普及により注目を集めていますが、いざ自組織に実装しようとしたときにはさまざまな課題に直面することが予想されます。また、ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠になっています。 そこで本書ではゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントについてまとめました。これからゼロトラスト移行を検討している組織の担当者に参考にしていただけると幸いです。
2018年度から継続的に実施しているスキル変革等に関する調査から、大人になってから学んでいない方が多いという結果が浮き彫りになりました。そこで、大人が学ぶためにはどのように取り組めばよいか「考えるヒント」をパターン・ランゲージ(注釈1)として、30のパターンで整理しました。 「大人の学びのパターン・ランゲージ(略称まなパタ)」は、学び続けている実践者の方々にインタビューでお話を伺い、その考え方や工夫、課題を整理し、抽象化することによって制作しています。
・方向性と計画 成果物は「経営者が参画する要求品質の確保」に記述されている 表4.2「役割分担と成果物例」にならい分類・表示している。 要件定義についてはこちら
編集・発行元 独立行政法人情報処理推進機構(IPA) 社会基盤センター 発行日 2019年12月20日 サイズ B5変形判 ページ数 498ページ ISBN 978-4-905318-72-9 定価 2,500円(税込) 書籍概要 概要 デジタル技術を活用して企業のビジネスを変革し、自社の競争力を高めていく「デジタル・トランスフォーメーション(DX)」が注目を集めるなか、従来のようなITベンダやシステム部門が中心になって要件定義をすすめるスタイルから、業務部門のユーザが主体的に関与するスタイルへの変革の必要性が増しています。 システムの要件を定義する責任は、構築されたシステムを利用してビジネスに貢献する役目を負うユーザにあると言われています。しかしながら、システム開発の遅延の過半は要件定義の失敗にあると言われるように、要件定義においては、その過程で様々な問題に直面します。 そこでIPAでは
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
編集・発行元 独立行政法人情報処理推進機構 発行日 2023年3月16日 サイズ A4 ページ数 397ページ ISBN 978-4-905318-78-1 定価 3,300円(本体価格3,000 円+税10%) 書籍概要 概要 DX白書2023 進み始めた「デジタル」、進まない「トランスフォーメーション」 企業を取り巻く環境は目まぐるしく変化しており、将来の予測が困難となっています。そのため、企業にとって新たな事業環境にあわせた事業変革は優先度の高い取組事項となっています。このような中、企業は環境変化への迅速な対応や、システムのみならず企業文化をも変革していくDX(デジタルトランスフォーメーション)への取組が必要となっています。 IPAは2009年から「IT人材白書」、2017年から「AI白書」を発行し、IT人材や新技術の動向について情報を発信してきました。2021年には、デジタルトラン
学び続けている実践者の方からお話を伺いました。 ご自身の組織や個人としての学びのご参考になれば幸いです。 岩手県釜石市出身。株式会社翔泳社 取締役。日本最大級のITエンジニアイベント「Developers Summit (通称:デブサミ)」を、2003年の第一回より10年以上コーディネートし、異種の技術領域に携わるエンジニアが一堂に会することのできる、中立かつオープンで多様なイベントの開催を支えたことにより、楽天テクノロジーアワード2012 ルビー賞を、自宅の倉庫に置いた箱庭ライブラリの運営に対し、本を通じた人と人とのつながりを生み出し、地域にも貢献する活動として、大阪府立大からマイクロ・ライブラリーアワード2018を受賞。コンピュータ出版販売研究機構会長を2016年4月~2020年9月まで務め、コンピュータ書の棚分類コードの整備やこどもプログラミング書籍の棚作り、小学校への推進を行った。
IPAの“今”がわかる広報誌IPA NEWSは、IPAの活動状況や注力事業などをわかりやすくご紹介する広報誌。セキュリティ対策情報やDX推進に役立つ情報などをまとめてお届けしています。最新号の公開をメールでお届けするサービスをご利用いただけます。 サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。 マナビDX「マナビDX」は、デジタルスキルを身につける講座を紹介するポータルサイトです。 はじめての方でもデジタルスキルを学ぶことのできる学習コンテンツを紹介します。 また、掲載している講座の中には、受講費用等の補助が受けられる講座もあります。
IPA 独立行政法人 情報処理推進機構 セキュリティセンターによるセキュア・プログラミング講座:Webアプリケーション編 & C / C++言語編
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。 ガイドラインの内容 ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。 本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施する
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
IPAウェブサイトリニューアルによるリンク切れや不具合について、ご不便をおかけしまして大変申し訳ありません。 IPAは本年3月31日、ユーザーの皆様にIPAウェブサイトについて、より快適にご利用いただけるようリニューアルを行い、スマートフォンやタブレットから閲覧する場合でも適切に表示されるようにマルチデバイス対応を行うとともに、ユーザーが目的のコンテンツを探しやすくするため、掲載内容やサイト構造の見直し等を行い、多くのページのURLも変更することとなりました。 URL変更の対応にあたっては、安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツの選定を行いました。しかし、今回の対応は、多くのユーザーがIPAウェブサイトに掲載されたコンテンツへのリンクを自組織のサイトや資料等で活用していることの影響に関して、認識が不十分でした。頂いた多くのご指摘を重く受け止め、ユーザーの皆様のコ
WPA2 (Wi-Fi Protected Access II) は、無線 LAN (Wi-Fi) の通信規格です。 10月16日(米国時間)に、WPA2 における暗号鍵を特定される等の複数の脆弱性が公開されました。 本脆弱性が悪用された場合、無線LANの通信範囲に存在する第三者により、WPA2 通信の盗聴が行われる可能性があります。 現時点で、攻撃コードおよび攻撃被害は確認されていませんが、今後本脆弱性を悪用する攻撃が発生する可能性があります。 各製品開発者からの情報に基づき、ソフトウェアのアップデートの適用を行うなどの対策を検討してください。 なお、本脆弱性によりHTTPSの通信が復号されることはありません 図:脆弱性を悪用した攻撃のイメージ アップデートする 現時点で、本脆弱性を修正するための修正プログラムが公開されている場合は、アップデートを実施してください。 ---2017/10
ITパスポート試験の団体申込者が利用するシステムに不具合があり、二つの団体申込者が申込情報のダウンロードを同時に行った結果、自らの情報のほかにもう片方の団体申込者に係る申込情報が記載されたファイルがダウンロードされ、個人情報等が漏えいしたという事案が発生しました。すでに漏えいした情報は破棄されたことを確認し、再発防止措置も講じましたので、ご報告いたします。 このような事態が発生したことは誠に遺憾であり、関係者の皆様に多大なご迷惑をおかけしたことを深くお詫び申し上げます。 1.経緯 2018年2月26日に二つの団体申込者が、ウェブサイトから申込情報をCSVファイルでダウンロードできる機能を同時に利用したところ、双方の申込情報が合わさって記載されたCSVファイルが双方でダウンロードされました。当該CSVファイルには、ITパスポート試験の受験申込者の受験番号、氏名、受験日、受験料金の支払いに用い
ソフトウェア開発者でなくとも、セキュリティ・バイ・デザインという言葉は聞いたことがあると思います。しかし、セキュリティ・バイ・デザインが十分に実施できていると言える組織は多くないのではないでしょうか。 いざセキュリティ・バイ・デザインを実施しようとしても「何をすればよいのだろう?」「どうやれば良いのだろう?」となかなか手が動かない。そんな状況の一助となるよう、我々がセキュリティ・バイ・デザインを学び、実践した内容を文書化し公開する運びとしました。 セキュリティ初心者でも読みやすいように、以下の特徴を念頭において本書を執筆しました。 軽快な文章 図表を多用したグラフィカルな見た目 キャラクターのセリフに共感しながら理解ができる 1章 セキュリティ・バイ・デザイン -セキュリティ・バイ・デザインの概要や必要性の説明 2章 脅威分析 -組織やシステムに対する脅威分析の実施方法 3章 セキュリティ
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
公開日:2016年5月12日 最終更新日:2023年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
次のページ
このページを最初にブックマークしてみませんか?
『IPA 独立行政法人 情報処理推進機構』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く