ISEPA活動のご紹介:広報WG | 情報セキュリティ教育事業者連絡会(Information Security Education Providers Association、略称 ISEPA)広報WG WG概要 広報WGは、ISEPAの活動を広く皆様にお伝えするために活動しています。 イベントの企画・開催だけでなく、ISEPAホームページなど様々な媒体でISEPAの活動成果等様々なお知らせを発信してまいります。 ISEPA会員企業が提供する教育コースの紹介 サイバーセキュリティに関わる人材の育成を行うための、ISEPA 会員企業が提供するトレーニングコースの一覧です。 各コースそれぞれの説明をお読みいただき、適切な人材育成にお役立てください。
総務省|報道資料|「クラウドの設定ミス対策ガイドブック」の公表
総務省は、今般、令和4年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の内容を、わかりやすく解説するために「クラウドの設定ミス対策ガイドブック」を策定いたしました。 総務省では、クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスについてとりまとめた「クラウドサービス利用・提供における適切な設定のためのガイドライン」を、令和4年10月に策定・公表しました。 今般、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が引き続き発生している中で、本ガイドラインの活用促進を図るため、ガイドラインの内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を策定しま
INFORMATION 6-4 App.03 情報セキュリティ関連規程に記載すべき項目
概要 企業を取り巻くリスクは、事業内容や取り扱う情報、職場環境、ITの利用状況などによっても異なることがあり、汎用的な規程をそのまま使っても、自社に適さないことが考えられます。そこでここでは、効率的に自社に適した規程を作成する方法を解説します。 引用:「中小企業の情報セキュリティ対策ガイドライン第3版」(IPA )よりポイントを抜粋 具体的に情報セキュリティに関する対策基準及び実施手順を作成する場合は、「情報セキュリティ関連規程(サンプル)」をひな形して、自社に合った内容として加筆・訂正してください。 また、より詳細で体系的・網羅的な対策を規程化する際には、下記の資料等を参考にしてください。 NIST Special Publication 800-172(管理対象非機密情報を保護するための拡張セキュリティ要件NIST SP 800-171の補足)【IPA翻訳】 ゼロトラスト導入指南書〜情
Space BD株式会社 様
ゼロトラストを先取りし、セキュリティと利便性を両立|世界を目指すスタートアップのスピーディな成長に「ちょうどいい」セキュリティを実現 Space BD株式会社 衛星打ち上げサービスをはじめ、さまざまな宇宙関連サービスを「宇宙商社」として展開しているSpace BDでは、事業成長にともなうセキュリティ対策のあり方に悩んでいました。従業員の多様で柔軟な働き方と、宇宙関連ビジネスで扱われる機密情報の適切な保護をいかに両立させるか——NRIセキュアの「ちょうどいい」提案は、図らずも、ゼロトラストセキュリティを体現したものとなりました。 ここが ポイント 専任のIT管理者を持たないスタートアップの身の丈に合った「ちょうどいい」セキュリティをフェーズに合わせて提案 クラウドベースのソリューションを組み合わせたゼロトラストセキュリティで利便性とセキュリティを両立 IPOを目指す企業に必須のIT統制や説明
デジタル社会推進標準ガイドライン|デジタル庁
デジタル社会を実現するためには、「共通ルール」の下で関係者が協働し、価値を生み出すことが重要です。 デジタル社会推進標準ガイドライン群は、サービス・業務改革並びにこれらに伴う政府情報システムの整備及び管理についての手続・手順や、各種技術標準等に関する共通ルールや参考ドキュメントをまとめたものです。 各ドキュメントの位置づけには、次の2種類が存在します。 標準ガイドライン(Normative):政府情報システムの整備及び管理に関するルールとして順守する内容を定めたドキュメント実践ガイドブック(Informative):参考とするドキュメントこれまでは、「デジタル・ガバメント推進標準ガイドライン群」という名称で各種ガイドラインを策定しておりましたが、デジタル庁として政府内部だけでなく社会全体のデジタル化を推進するという観点から、これらのドキュメント体系の名称について「デジタル社会推進標準ガイド
NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト
ABOUT NOTICE NOTICEについて NOTICEは、総務省、国立研究開発法人情報通信研究機構(NICT)及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組です。 (平成31年2月20日(水)より実施) Emotet(エモテット)注意喚起については「Emotetへの対応」ページをご覧ください。 IoT device, Cyber Security IoT機器とサイバーセキュリティ IoT機器とは 近年、技術の進展により、あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来し、IoT機器の普及が進んでいます。センサーやウェブカメラなどのIoT機器は、機器の性能が限定されている、管理が行き届きにくい、ライフサイクルが長いなど、サイバー攻撃に狙われやすい特
S4 | S4 クラウド
面倒なことを簡単に 複雑なことをシンプルに誰でも、すぐに、簡単に、 セキュリティ対策が始められる セキュリティ・マネジメント・システムS4 S4がセキュリティ管理の役に立つ 3つの理由「人がいない」を解決世界中からセキュリティ情報を集約慢性的な人材不足の企業にとって、無数に存在するセキュリティ情報の把握は困難です。S4は、世界中のセキュリティ情報を自動調査し、組織の情報資産に関連する情報のみを集約するため、情報収集の工数を削減できます。「技術がない」を解決セキュリティのリスク分析を自動化収集したセキュリティ情報に対して優先順位をつける技術的知見が必要です。S4は、世界中の脆弱性情報を集約し、深刻度や脅威との相関を自動で可視化するため、複雑だったリスク分析をシンプルにします。「使いづらい」を解決誰でも使える「UI/UX」を追求面倒な資産登録や複雑な脆弱性管理をストレスなく実施できるように、使
CIS Controlsとは?5分で分かる全体像とv8の改訂ポイント
2021年5月18日、米国の非営利団体であるCIS(Center for Internet Security)は、「CIS Controls」の最新版となる「CIS Controls v8」を公開しました。 CIS Controlsとは、組織で「最低限行うべきこと」に着目し、技術的な対策153項目を整理したガイドラインです。 自社のセキュリティに漠然とした不安がある方や、何から取り組んでよいのかわからない、といった方々がCIS Controlsを参照することで、セキュリティ対策のポイントを押さえられるようになっています。 その一方、153項目といったボリュームやユニークな概念(IG※1、Controls※2、Safeguards※3)の使用によって、一読しただけでは内容や重要性の理解が難しい可能性もあります。 本記事では、「CIS Controlsとはそもそも何が書かれているのか?」「自社
アイカ工業、定量的評価手法で資産のセキュリティ状態を把握
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 化学メーカーのアイカ工業(名古屋市)は、サイバーセキュリティ脅威に対する資産のリスクなどを把握するために、米Security Ratingsの「Security Ratings」サービスやマクニカの「Attack Surface Managementサービス」による定量的な評価手法を活用した。マクニカが発表した。 アイカ工業は、建築材料や接着剤などで世界的なシェアを持ち、海外売り上げの比率が高い。同社のセキュリティ対策は、これまで多層防御への転換を図りつつ、次世代マルウェア対策がエンドポイント型の脅威検知および対応(EDR)の導入、さらには標的型メール攻撃訓練やセキュリティのeラーニング、全グループの担当者による情報共有など広範な取り組
GitHub - nmantani/archiver-MOTW-support-comparison
On 3 March 2022, Microsoft announced that the default behavior of Office applications on Windows will be changed to block macros in files from the internet (such as email attachment). An excerpt from the announcement: VBA macros are a common way for malicious actors to gain access to deploy malware and ransomware. Therefore, to help improve security in Office, we’re changing the default behavior o
【要点抽出】CVSS v4.0 - 2LoD.sec
CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます) なお、本ブログでは、実際のセキュリティ運用におけるCVSSの有用性や他の情報(KEV、SSVC、EPSSなど)との組み合わせみたいな話には踏み込みません。あくまでCVSS v4.0の理解に集中します。 今回はFIRSTのspecification documentとFAQから学びます。 CVSSとは?(割愛) CVSSの構成 v3.1から何が変わったのか? 各メトリクスの定義 基本メトリックグループ(Base Metric Group) 悪用可能性メトリクス(Exploitability Metrics) 影響メトリクス(Impact Metrics) 脅威メトリックグループ(Threat
【雑記】セキュリティガイドライン類 約300時間 読み漁ってみた - 2LoD.sec
23年3月末から勉強時間をガイドライン類の読み込み&ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。 なんで読み始めたの? どれだけ何を読んだの? 色々読んでどうだった? 1. 自分の発言に根拠と自信を持てる 2. 未経験の技術テーマでも取り扱いやすくなる 3.トレンドやビッグテーマが分かる おすすめのガイドライン類は? なんで読み始めたの? 今更の自己紹介ですが、私は所属組織の中で3 Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。 プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)調査研究部会|インシデント被害調査ワーキンググループ
2024/2/9 「インシデント損害額調査レポート第2版」を公開しました。 2023/10/23 「サイバー攻撃被害組織アンケート調査(速報版)」を公開 「ランサムウェアおよびエモテットによる全国の被害組織マップ」を公開中 こちら>> 2021/8/18 「インシデント損害額調査レポート」を公開しました。
過去に導入した複数のセキュリティーツールで機能が重複、排除すればコストダウンに
セキュリティー対策では、導入した複数のツールで機能が重複していることが少なくない。見直せばコスト削減の余地が生まれる。本特集ではコストの見直し方法を3回に分けて紹介する。第1回は、過去に導入したセキュリティー製品同士で機能が重複しているケースなどを解説する。 セキュリティー対策では多くのツールが使われている。製品の種別としては「ネットワーク/クラウド」や「エンドポイント」を守るもの、「運用」「ID管理」を実現するものなどがある。これに加え「ルール・体制」での対策も不可欠だ。 これらのツールがどのような脅威に対応するかを以下の表に示した。異なるツールで同じような機能があることが分かるだろう。ツールによって得意分野があるものの、うまく重複を排除して効率的なシステム構成に変えればセキュリティーコストを削減できる。 合計7個のコスト削減ノウハウを紹介する。 (1)エンドポイント対策で機能が重複 実
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Additional Guidance on the Democratic People's Republic of Korea Information Technology Workers
https://www.iso-mi.com/_p/acre/26359/documents/ISMSkanrisaku_2022_sample.pdf
LANウォッチャー | Gate 02
利用シーン | 漏洩チェッカー | クラウド型IT資産管理・ログ管理ツール
総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊 | ScanNetSecurity
