はじめに ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。 感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。 IPA情報セキュリティ安心相談窓口でも2015 年以降、パソコンに保存されているファイルを暗号化し、元の状態に戻すことと引き換えに金銭を要求するランサムウェアに関する相談が多く寄せらるようになりましたが、2017年5月以降にはネットワークを介して攻撃パケットを送出することで感染拡大を図る新たなタイプが猛威を振るいました。 今後も更なるランサムウェアの脅威が考えられることから、本ページにランサムウェア対策に必要となる情報を集約し、ランサムウェア特設ページとして開設することとしました。 ランサムウェア対策 関連情報 ランサムウェアの感
情報システムの開発時に発注者(ユーザー企業)、受注者(ベンダー企業)はそれぞれの目的があり、協調することは一般的に難しいといえます。 しかしそれができないとどちらかが不幸になり、かつ完成した情報システムも満足できないものに終わる可能性があります。 そこでIPA/SECでは、プロジェクト管理や品質保証などの実務経験が豊富なエキスパートを、ユーザー企業とベンダー企業の双方から集めて委員会を結成し、ITプロジェクトの現場で実際に生じている問題とその予防策について議論を重ねてきました。議論では、ユーザー企業とベンダー企業の双方の「言い分」を共有し、問題が発生するメカニズムを検討した上で、それぞれの企業で実践され成果を上げている予防策等について検討しました。 この度、これらの議論から得られた予防策や知見などを取りまとめた、「ITプロジェクトのリスク予防への実践的アプローチ」(以下、本ガイド)を作成し
HOME社会基盤センター報告書・書籍・ツール・教材報告書等8年ぶりの改訂、「非機能要求グレード2018」を公開 ~新たなセキュリティ脅威の増大などを踏まえ、ツール群を改訂~ 概要 独立行政法人情報処理推進機構 技術本部 ソフトウェア高信頼化センター(以下、IPA/SEC)は4月25日、2017年9月に発足した「非機能要求グレード改訂ワーキング・グループ」における成果をまとめ、「非機能要求グレード2018」を公開しました。 背景 非機能要求とは、ハードウェア、OS、ミドルウェア、データベースといった「システム基盤」の強度や品質に関する要求、ユーザインタフェースの操作性やソフトウェアの品質など「アプリケーション」に対する要求などをいいます。「非機能要求グレード」とは、前述した「システム基盤」の可用性や拡張性などの要求を明確化し、システムを発注する側(ユーザ企業)とシステムを開発する側(開発企業
システム構築の上流工程強化(非機能要求グレード)紹介ページ 本ページの情報は、2023年8月時点のものです。本事業は終了しているため、お問い合わせには対応できません。 国民生活や社会経済活動における基盤となった情報システムは、「大規模化・複雑化」、「利用の広がり」の点からますます高度化しています。このような高度化に伴い、情報システムの安定的なサービスが求められるようになっており、複雑なシステムを構成する多様なコンポーネントがきちんと連携してそのようなサービスを提供する「システム基盤」の実現が重要になっています。そのためには、提供したいサービスに対応する要求を適切に定義する必要があります。 機能/非機能要求の相違点と課題 システム構築における要求には機能要求と非機能要求があります。このうち、非機能要求については、以下のような要件定義上の課題があります。 非機能要求グレードとは 「非機能要求グ
STIX(Structured Threat Information eXpression) ~サイバー攻撃活動を記述するための仕様~ サイバー攻撃活動を鳥瞰するには、攻撃者(サイバー攻撃に関与している人/組織)、攻撃者の行動や手口、狙っているシステムの脆弱性など、攻撃者側の側面から状況をまとめたり、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、サイバー攻撃に対処するために取るべき措置などを防護側の側面から状況をまとめたりする必要があります。STIX(Structured Threat Information eXpression)(*1)は、これら関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。 サイバー攻撃
IPAセキュリティセンターは、重要インフラや産業システムの基盤となっている制御システムのセキュリティを抜本的に向上させるのに重要な位置付けとなるセキュリティリスク分析を、事業者が実施できるようにするためのガイドを作成し、公開しました。 公開の背景 従来、制御システムは固有のシステムで構成され、外部ネットワークや情報系システムとは接続されていなかったことから、セキュリティの脅威は殆ど意識されてきませんでした。しかし近年、WindowsやUNIXといった汎用のプラットフォームや通信プロトコルの活用、ネットワークや外部メディアの利用といった環境の変化の下で、セキュリティ脅威の増大と実際のサイバー攻撃事案の発生が増加してきており、一方で制御システムは社会や産業における重要なインフラとしての位置付けも大きくなっており、そのセキュリティへの対応の重要性が非常に高まっています。 この様な状況を受け、IP
TRUECRYPT F R E E O P E N - S O U R C E O N - T H E - F L Y E N C R Y P T I O N USER’S GUIDE バージョン情報 TrueCrypt User’s Guide, version 4.2a. 2006年7月3日発行 ライセンスと特許情報 TrueCrypt をインストールする、または動作させる前に、あなたはバイナリとソースコードの配布パッケー ジに含まれている Licence.txt に書かれているライセンスに同意することが必要です。 CAST5暗号化アルゴリズムはアメリカ合衆国特許番号5,511,123[1]に記載されています。しかしながら、世 界中で商用、非商用にかかわらずロイヤリティ不要でCAST5を入手することができます。 [6] 著作権情報 このソフトウェアの大部分: Copyright © 2
IPA/SECでは、ソフトウェアの品質説明力を強化する枠組みであるソフトウェア品質監査制度 (仮称)の制度化に向けた部会を設置し、2010年度から2012年度にかけて検討を進めています。 ソフトウェア品質監査制度(仮称)は、専門知識を有する中立的な立場である第三者が、ソフトウェアを中心とした機能を持つ製品やサービスの品質について妥当性の確認を行い、それらの利用者にその確認結果をわかりやすく提供する制度です。この制度により、利用者が安心して製品やサービスを使うことができるようになります。 上記部会における2011年度下期活動内容と、2011年度に実施した以下の調査の報告書及び作成文書を公開します。 ソフトウェア品質監査制度(仮称)における監査業務に係る調査及び文書作成ソフトウェア品質監査制度(仮称)における審査基準策定業務に係る調査及び文書作成ソフトウェア品質監査制度(仮称)の認定業務に係る
CVSS(Common Vulnerability Scoring System) ~脆弱性の深刻度を評価するための指標~ 共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで2004年10月に原案が作成されました。 その後、CVSSの管理母体としてFIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)(*1)で適用推進や仕様改善が行われており、2005年6月にCVSS v
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
ウェブサイトの脆弱性や運用管理の不備を悪用された情報漏えいやウェブページの改ざんなどの被害が多数発生しています。情報漏えいやウェブページの改ざんなどの被害が発生すると、ビジネスやサービスの中断、停止、またそれによって生じた損失への補償など、事業に直接的な影響が生じる恐れがあります。 安全にウェブサイトを運用管理するためには、下記図が示す対象ごとに適切な対策を実施することが必要です。どれが欠けても、ウェブサイトの安全性は確保できません。 ウェブサイト運営者、システムおよびネットワーク管理者は、下記の「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」を確認し、対策がとられていない項目があった場合には早急に対策をしてください。 ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 ここに記載されている対策は、定期的に確認する必要があります。 1.ウェブアプリケーションのセキュリティ
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
ダウンロード このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。 講座テキスト「はじめに - 脆弱性の分類と開発工程」 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」 講座テキスト「第2回 設計工程における考慮が重要である対策」 講座テキスト「第3回 主に実装工程で実施する対策」 Webアプリケーション脆弱性対策チェックリスト 用語解説 品質保証部門向けコンテンツ この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
