「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
出展中の「マンガポスター」をスライドでご覧いただけます。 左右の「<>」マークをクリックしてご覧ください。
2013年8月1日 独立行政法人情報処理推進機構(IPA) 経緯 当機構技術本部に所属する非常勤研究員が、2009年11月ごろ東急田園都市線あざみ野駅構内において、当機構の業務関連資料及び当該研究員が当機構以外で関係する外部団体関係資料等が格納された私物USBメモリを紛失していた事実があったことが確認されましたので、ご報告いたします。 本件については、2013年7月29日に、外部(個人)から当該USBメモリを入手した旨の連絡があり、事実関係の調査を進めたものです。 格納されていた可能性のある情報 調査は継続中ですが、現在把握できている情報は以下のとおりです。 (1)当機構関連の情報 ・業務関連勉強会候補者メモ(約30名分) ・プレゼンテーション・講演資料(公開情報) ・研究会・勉強会関連資料(公開情報) (2)当該研究員の当機構以外の活動に関わる情報 ・外部団体による市場調査関連ヒアリング
2008年8月5日に届け出た脆弱性というか仕様というか問題ある挙動について、いつまで経っても修正されず、むしろ問題を公にしてユーザーが自衛するほうが社会的公益性が高いと思い、2012年10月21日に脆弱性関連情報の非開示依頼の取下げ申請をIPAに送ってみたら以下のような返事が返ってきた。 ドキュメント検査だけでは不十分なので、とりあえず、自分の名前や所属、使用しているコンピュータ名等が公に知られたくないという人は、Microsoft Officeで作成されたファイル(PDFに変換したのを含む)を他人に配布するのを避けるとよいと思います。 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 - ----------------------------------------------------------------- このメールは、取扱い番号 I
「Androidアプリを作っている(作ってもらっている)けど、脆弱性が心配」という声はtwitterでも目にすることがあります。そして、「『安全なウェブサイトの作り方のAndroidアプリ版』があったらいいのに」という希望を目にしたこともあります。 6月13日にIPAから公表された「IPA テクニカルウォッチ『Androidアプリの脆弱性』に関するレポート」は、この『安全なウェブサイトの作り方のAndroidアプリ版』に相当する位置づけのドキュメントです。なぜそう思うかというと、以下の性格が『安全なウェブサイトの作り方』と共通するからです。 Androidアプリの基本的な問題に絞っている 届出の多い脆弱性にフォーカスしている 以下、もう少し詳しく紹介します。 Androidアプリの脆弱性とは何か 同レポートでは、Androidアプリの脆弱性を以下のように定義しています(同書P3)。 ■ 「
2012/03/27 情報処理推進機構(IPA)は3月27日、「ファジング活用の手引き」と題する文書をWebサイトで公開した。 ファジングとは、ソフトウェアに存在している脆弱性を見つけ出す手法の1つだ。ソースコードを直接解析する代わりに、極端に長い文字列などの予測不可能なデータを送り込んでソフトウェアの挙動を観察し、脆弱性を発見する。ツールによる自動化が容易なことが特徴の1つだ。 IPAによると、マイクロソフトなど国外の大手IT企業では、ソフトウェア品質の向上や製品出荷前の脆弱性検出を目的に、ファジングを開発ライフサイクルに組み込んでいる。一方で国内ではまだ、ファジング自体の認知、普及が進んでいない。 今回公表された文書は、こうした状況を踏まえて作成された。ファジングの概要に始まり、ソフトウェア開発ライフサイクルにおける活用方法、ファジングの実践方法までを紹介している。さらに、「Taof」
情報処理推進機構(IPA)は6月22日、IPAテクニカルウォッチ第3回として「『スマートフォンへの脅威と対策』に関するレポート」(PDF)を公開した。Androidを搭載したスマートフォンに対して、IPA独自で脆弱性への対策状況を検査し、その結果に基づきAndroid端末の脆弱性対策の実情と課題の考察をまとめている。 IPAではAndroidの脆弱性の存在が指摘されていることから、独自に検査を実施した。検査時期は3月で、対象機種は3月の時点で市販されていたAndroid端末14機種。検査では「ドロイド・ドリーム」というウイルスを構成するプログラムの一部を用いた。ドロイド・ドリームは、2010年8月に発覚した脆弱性などを悪用するもので、検査ではこのウイルスが悪用の対象とする2件の脆弱性への対応状況を確認している。 3月の検査時点でAndroid自体は対策済みとなっていたが、3月の実験ではこれ
情報処理推進機構(IPA)は1月27日、安全なアプリケーション開発技法を幅広く学習できる対話型ツール「AppGoat」を開発したと発表した。日本初という。同日からベクターのウェブサイト、1月28日からIPAのウェブサイトで公開される。 AppGoatは、IPAが運営している脆弱性届出制度や各種研究会などの知見を集約し、学習教材と演習環境をセットにし、脆弱性の検証手法から原理、影響、対策までを演習しながら学習できるという。脆弱性の種別や対策目的ごとに分類した28の学習テーマを用意し、脆弱性や対策方法について幅広く学習できるとしている。 演習問題として、ウェブアプリケーションのほかサーバアプリケーションやデスクトップアプリケーションなど7種類を用意、さまざまな分野の開発者や学生にとって有効に活用できるとしている。初心者でも理解しやすい内容になっており、実際の開発現場ですぐに活用できるようなソー
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、このたび、優れたオープンソースソフトウェア(OSS)の開発及び普及に貢献した個人等を表彰する「2009年度日本OSS貢献者賞」および今年度から新設した「2009年度日本OSS奨励賞」の受賞者を選定しました。 「日本OSS貢献者賞」は、日本におけるOSS開発の振興を図ることを目的に、影響力のある開発プロジェクトを創造・運営した開発者や、グローバルプロジェクトにおいて活躍する卓越した開発者、OSS普及への貢献者を表彰するものです。本賞は2005年度に創設し、今年度が第5回目となります。 今年度は昨年度までの「日本OSS貢献者賞」に加え、過去一年間にOSSの開発や普及に顕著な活躍をした個人ないしグループを表彰する「日本OSS奨励賞」を新設しました。
独立行政法人 情報処理推進機構(IPA)は2009年4月中旬にも,同機構が配布しているIPAフォントを,改変と再配布が自由な新ライセンスで新たに配布する。現在は改変を認めていないライセンスのもとで配布しており,IPAフォントを改良したフォントの配布が困難,Linuxディストリビューションによっては同梱が困難という問題があった。 以前,Linuxには高品位でフリーなフォントがないという問題があった。IPAはこの問題に対し,Linuxのデスクトップでの利用を促進するため,商用フォントを買い取り,2003年末にIPAフォントとして無償公開した。当初,IPAが支援したソフトウエアと同梱する形でのみ再配布を認めていたが,2007年に現行ライセンスとなり,IPAフォント単体での再配布ができるようにした。 IPAフォントの新ライセンスは,Open Source Initiative(OSI)により,20
■ はじめに 「△△製のソフトウェア××に脆弱性が発見された」というニュースが連日のようにネットの上を行き交っています。 このブログの読者にはプログラム開発者の方も多いと思いますが、 自分の携わるソフトウェアの脆弱性を第三者から指摘された経験のある方はどのくらいおられるでしょう? 先日、筆者は「HttpLogger」というフリーソフトウェアのセキュリティホールを修正しました。 そのきっかけとなったのはJPCERT/CC(有限責任中間法人 JPCERT コーディネーションセンター)様から届いた 一通のメールでした。 それから私は同センターと連携し、10日余りの準備期間を経て修正ずみのモジュールの公開と 旧バージョンにおける脆弱性情報の開示を行いました。 この「脆弱性情報ハンドリング」と呼ばれるプロセスに関わったことは、一般的な知名度とは裏腹に 普段あまり身近な存在ではない「JPCERT/CC
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
