今年のトップニュースはロシアのウクライナ侵攻。昨年の十大ニュースで「きな臭さが漂う不気味さを秘めている」としたが、その不気味さが表面に現れてきた。ロシアのウクライナ侵攻に際してのサイバー攻撃に、米国もサイバー攻撃の作戦を実行していた。 ウクライナの領土のみが主戦場と化す異様な光景の背後には、NATOと戦術核をちらつかせるプーチンロシアとの直接対決の構図を避けたい意図があり、サイバー戦が核戦争にもつながりかねない不気味さがある。世界にはこのような侵攻が懸念される状況がほかにもあり、サイバー攻撃はますますエスカレートすると考えておかなければならない。日本でも「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)、の論議が始まり、その「司令塔」の新設や、自衛隊・警察庁への民間ハッカーの登用も検討されている。 第2位以降には、トヨタ自動車や医療機関などが取引先へのランサム攻撃で被害が拡大し、
今すぐ実践できる工場セキュリティハンドブック・リスクアセスメント編 (西日本支部/今すぐ実践できる工場セキュリティ対策のポイント検討ワーキンググループ) 目的 中小企業の製造業を中心に工場セキュリティ対策を進めるための参考書として活用されることを目的としています。 第一弾のリスクアセスメント編では、情報セキュリティに詳しくなくても、自社工場において何が脅威となり、どのようなリスクがあるのかを把握するするための具体的な手法を紹介しています。 JNSAメールマガジンで、本参考書の解説が配信されます。 配信日:2022年6月3日 配信後にJNSAメールマガジンのページでもご覧いただけます。 >> 報告書「はじめに」より抜粋 IT工場における情報セキュリティリスクアセスメントは、情報セキュリティに関連する脅威による危険性や有害性を特定し、この対策をするための第一歩として非常に重要ですが、一方で情報
今年のトップニュースはマイナンバーの紐付けに相次ぐトラブルで、政府が総点検本部を組織して取り組むことになったが、単に人的ミスとは片付けられない問題をはらんでいる。第4位のAIのセキュリティリスクや第10位のパスキーの採用など、新たな切り口のニュースも出てきてはいるが、全体としては相変わらずのニュースで既視感が強いのは、際立つような重大事件等がなかった証であろう。プラス思考で考えれば、これは日本のサイバーセキュリティへの取り組みはそこそこうまくいっている証左とみることもできる。サイバー空間が社会に浸透して一体化してきた結果、それなりに事件事故は起こるものの、安定してきていることを示していると安心してもいいのかもしれない。 しかし、本当だろうかと疑いの目を向けてみると、今年のニュースには、「だんご三兄弟」とも揶揄されそうな事件・事故が並んでいる。これらのニュースの背後を深掘りしてみると、サイバ
オンライン身元確認(eKYC)金融事例調査報告書 (日本トラストテクノロジー協議会(JT2A) 真正性保証タスクフォース) オンライン身元確認(eKYC)金融事例調査報告書について: オンライン化の進展とともに、これまでは対面の確認が基本であった身元確認(KYC:Know Your Customer)もオンラインで行う方法が模索されている。 JT2A真正性保証TFでは、金融機関の口座開設事例として、欧州では欧州委員会(European Commission)が2019年に公開した各国事例をまとめた報告書を調査、国内では金融庁が犯罪収益移転防止法(犯収法)に関してオンライン身元確認方法を示しており、Webベースで金融機関のオンライン身元確認事例を調査した。 本書は、調査結果から、身元確認の方法や身元確認で利用するオンラインでの本人確認書類(身元を確認するための書類)等を比較・考察した内容を示
「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書 (事業コンプライアンス部会調査ワーキンググループ) 概要 事業コンプライアンス部会調査WGが協力した、「現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査報告書」を公開します。 本報告は、経済産業省委託調査「令和2年度サイバー・フィジカル・セキュリティ対策促進事業(サプライチェーン・セキュリティ対策に関する調査)」(委託先 株式会社三菱総合研究所)において作成した「現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査報告書」(株式会社ITリサーチ・アート)を元に作成されております。 本報告書は、以下の3点の情報セキュリティに関するアメリカ、イギリス、ドイツの法制度や動向を調査したものです。 1.ランサムウェアによる被害の実情及び支払いの可否に対する議論の動向、その他の対応
目的 サイバー攻撃の脅威およびその対策の必要性については、理解の程度に差はあるものの、マスコミによる報道ほか、経済産業省、総務省、警察、IPA(アイピーエー。独立行政法人情報処理推進機構)などの公的機関・団体や、JNSA(ジェーエヌエスエー。NPO法人日本ネットワークセキュリティ協会)、セキュリティベンダー(セキュリティ関連のサービスを開発・販売・提供する事業者)による啓発・営業活動等により、経営者が経営課題の一つとして認識している状況にあると思われます。 しかしながら、サイバー攻撃を中心としたインシデントが発生した場合に、企業・団体等においてどのような被害が発生するのか、金銭的なインパクトを示した資料は少なく、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくありません。 また、実際のインシデント発生時には各種対応ほか、被害者からの損害賠償請求、事業中断による利益喪
目的 デジタル化とネットワーク化の進展に伴い、デジタルデータの保証と取り扱う人やサービスの信頼性が、これまで以上に必要とされるようになっている。中でもデータの作成責任とその真正性は、アナログ時代においては「署名」や「押印」によって担保されてきた。デジタル時代においては、それに相当する技術として「電子署名」がある。 署名は文書等にそれが付与され、受領者が署名を確認することで文書等の真偽や価値の判断材料となる。しかし、可視データであるアナログの「署名」や「押印」と違い、「電子署名」は機械処理としての「署名検証」が必要であり、検証ツール(ソフトウェア)に依存することになる。さらに、電子署名は様々な要素から構成されており、その判定は注意を要する。その判定基準が検証ツールによって異なると、同じデータに対する判定が異なる結果となり、デジタル化の阻害要因となりかねない。それを防ぐため、本書では、電子署名
・2023/5/8 報告書 ニュージーランド政府による"Identification Management Standards"に関する考察 ==NIST SP800-63 "Digital Identity Guidelines"との比較結果等== ・2023/3/31 報告書 【改定新版】特権ID管理ガイドライン 解説編 ・2023/3/6 関連書籍発売「Software Design 今さら聞けない認証・認可」が再編集されて別冊シリーズで発売されました。 技術評論社さんのページにリンクします。 ・セミナー 2023/5/25開催 YouTube JNSAChannelで公開中!セミナーページからどうぞ セミナー|デジタルアイデンティティWGミニウェビナー 「???とアイデンティティ」 2021/11/26 セミナー資料 2021年11月26日(金)開催 「Enterprise Ide
新型コロナウイルスの感染拡大及び緊急事態宣言の発令に伴い、多くの企業・組織でテレワークを実施していると思います。そのため、端末や外部記憶媒体を家に持って帰ったり、それまで許可していなかった私物端末の業務利用を一時的に許可したりして対応しているのでないでしょうか。 しかし、一般家庭におけるネットワーク環境は、企業・組織などのオフィス内のネットワーク環境と比較すると、外部からの攻撃に対してセキュリティ対策レベルが低いと考えられます。政府の緊急事態宣言の解除に伴い、順次、テレワークから通常のオフィス勤務に戻っていく際に、仮に自宅でマルウェア等に感染してしまった端末や外部記憶媒体を無防備に企業内ネットワークに接続してしまうと、企業内でマルウェア感染が拡大してしまう事態が懸念されます。また、今回の強引なテレワークの実現により、企業・組織におけるオフィス勤務の必然性を見直す好機となったことから、これか
MY CISOハンドブック テンプレートについて 多くの中小企業では、業務の執行体制が不明瞭で、担当の兼任が多く、明確な責任者が決められておらず、IT やセキュリティに対する執行体制が出来ている企業は、現状では稀な存在だと考えられます。一方で、今日においては、IT システムなしで企業経営や業務執行を行うことは現実的ではありません。そして、セキュリティ事案(事件・事故)が起きた場合には、情報システム部門だけの問題ではなく、企業全体に大きな影響をもたらします。 このような状況において、企業におけるセキュリティを取りまとめる CISO というポジションが注目されています。JNSA CISO 支援ワーキンググループでは、CISO の業務執行をサポートする目的で、2018 年5月に「CISO ハンドブック1」を公表しました。CISO ハンドブックでは、主に明確な経営体制を持つ企業を想定していることか
本報告書はこちらの2018年版が最新となります。 なお、調査・執筆をおこなっていた「セキュリティ被害調査ワーキンググループ」は2020年を以て活動を終了しております。 そのため、本報告書に関するお問合せには回答できません。 【速報版】2018年情報セキュリティインシデントに関する調査報告書 ◆速報版[2019.6.10] [1.07MB] ◆別紙(想定損害賠償額の解説)【Ver1.0】[626KB] ※「漏えい原因の定義」は、別紙に記載されています。 1.速報版について JNSAセキュリティ被害調査ワーキンググループでは、2018年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計し、分析を行ってまいりました。 2018年の調査データについて、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル(JNSA Damage Op
経営者のための情報セキュリティ対策 ―ISO31000から組織状況の確定の事例― (西日本支部/経営者のための情報セキュリティ対策実践手引きWG) 目 的 情報経営者向け情報セキュリティ対策実践手引きWG(以下、Risk WG)では、経営者に情報セキュリティ対策の必要性を訴求し、対策に投資をしてもらうために、必要性の見える化施策を検討することを活動目的としました。背景で記述したような、情報セキュリティに起因する影響をできる限り最小限にし、情報セキュリティ対策が、事業継続への投資として必要不可欠であることを経営者に理解して戴く方法として、ISO31000(リスクマネジメント)のリスクマネジメントを例にして、自社の組織そのものを評価するための一手段として提示いたします。 リスクマネジメントは、事業継続を目的とする経営者にとって、必須の事案です。 国際標準規格ISO31000ではリスクマネジメン
CISO ハンドブックについて 情報セキュリティ事故が数多く報道され、またGDPR(EU 一般データ保護規則)などの国際的な規制の対応が求められるなど、セキュリティへの関心が高まり、組織のセキュリティ対策を所轄するCISO(Chief Information Security Officer)が注目されています。一方で、情報セキュリティ対策は、危険性や損失といったマイナス面が主要なテーマとなり、ビジネスに対してどのように貢献するのか、という視点で議論される事は殆どありません。しかし、CISOが経営陣の一員として、セキュリティに取り組むためには、想定される危険性や損失に取り組むだけではなく、ビジネスの視点を持って業務を執行することが求められます。 セキュリティを経営に取り込むための試みとして、経済産業省が発行した「サイバーセキュリティ経営ガイドライン(2)」が注目されています。重要な取り組み
このたび、当協会事務局において、JNSAカードゲーム注文者様の個人情報(住所、お名前、電話番号)10名分を、カードゲーム注文者17名の方に誤送信してしまうというメール誤送信の事故が発生しました。 17名の方に受信者本人を含めて10名分の情報を送信しましたので、全体の流出規模は以下となります。 9名×17通=153名 みなさまには多大なご迷惑とご心配をお掛け致しましたことを深くお詫び申し上げます。 本件に関する経緯及び対応について、以下のとおりご報告申し上げます。 1. 流出の対象となる方 JNSAカードゲームを注文された方153名。 17名の方々に、受信された方の情報以外の9名様分の情報を誤送信しました。 2. 流出規模 17名の方に受信者本人を含めて10名分の情報を送信しましたので、全体の流出規模は以下となります。 9名×17通=153名 ※受信者本人の情報を除いたため1通当たり9名とし
はじめに 2011年に入り、SNS (Social Networking Service) という言葉が急激に広まり、注目を集めるようになった。一方で、SNSの概念はとても広く、Wikipediaの「ソーシャル・ネットワーキング・サービスの一覧 」では、360を超える実に多様なSNSが紹介されている(2012/6/18現在)。加えて、ソーシャル・ネットワークという概念は、インターネットの黎明期から存在し、Netnewsやメールもソーシャル・ネットワークと考えることもでき、なぜ、SNSという言葉が急速に広がっているのか理解しにくい面がある。 また、SNSの利用が急速に広がる一方で、SNSのセキュリティやプライバシーにかかわる問題も表面化している。これまで、ネットワークセキュリティは、技術的なセキュリティやセキュリティマネジメントが中心となっていたが、SNSにおいては、プライバシーにかかわる問
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く