家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

AlexaでSwitchbotを操作する

概要 Switchbotは普通の(アナログの)スイッチを「押す」という動作を行ってくれるデバイスです。スマートフォンのアプリや、専用のコントローラからBluetooth経由で操作ができるのですが、今回はすでに自宅にあるAlexaに呼びかけることで、Switchbotを操作…

コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)の概要

コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)を読んでみました。ガイドラインの概要をまとめます。 コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)https://www.ipa.go.jp/files/000025341.pdf // 概要 このガイドライン…

2020年3月のIT・セキュリティトピック

2020年3月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/03/01 不正アクセスし人事評価を閲覧 磐田市主任を減給 /静岡 2020/03/02 カードショップBIG-WEB、平文パスワード含む会員情報流出(ホビーズファクトリー) 2020/03/02 ロリポップ…

CISベンチマークについて

自分の勉強のために、CISが公開している資料を読んでみました。 www.cisecurity.org // CISとは CIS(Center for Internet Security)は、セキュリティ推進のためのアメリカの非営利団体で、セキュリティの基準等を公開しています。 www.jiten.com CISベンチマ…

ゼロトラストについて調べてみた(NIST SP800-207)

ゼロトラストについてNISTのガイドライン(ドラフト)が公開されていました。 Draft NIST Special Publication 800-207(Zero Trust Architecture) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft.pdf 従来のセキュリティモデ…

NIST SP800-40の概要

概要 NIST SP800-40は、脆弱性とパッチの管理についてのガイドラインです。日本語版について、IPAでは「NIST SP 800-40 Version 2.0(パッチおよび脆弱性管理プログラムの策定)」を公開しており、ゾーホージャパン株式会社では「Revision 3(エンタープライ…

BYODにおけるセキュリティ対策の考え方

私物端末の業務利用におけるセキュリティ要件の考え方 https://www.kantei.go.jp/jp/singi/it2/cio/hosakan/wg_report/byod.pdf // 概要 この資料では、BYOD(Bring Your Own Device=私物端末を業務に利用すること)におけるセキュリティの考え方を解説してい…

コンサルタントの仕事

社内でコンサルタントの在り方等を考える機会があったので、自分なりにコンサルタントの業務について調べてみました。 // コンサルタントの種類 各社ごとに呼び方や定義が異なりますが、一般的にコンサルタントはデリバリー型とセールス型に分けられています…

XamarinでAndroidアプリを作成(実践編)

はじめに XamarinでAndroidアプリを作りながらプログラミングを勉強します。この記事では、実際のプログラミングに関する内容をまとめます。※用語の説明等、周辺知識はXamarinでAndroidアプリを作成(実践編)にまとめます。 // 実際のコード等 画像を表示す…

XamarinでAndroidアプリを作成(知識編)

はじめに XamarinでAndroidアプリを作りながらプログラミングを勉強します。この記事では、用語の説明等の知識に関する内容を順次更新していきます。※実際のプログラミングに関する内容はXamarinでAndroidアプリを作成(実践編)にまとめます。 // Xamarinと…

2020年2月のIT・セキュリティトピック

2020年2月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/02/03 メールアカウントへの不正アクセス、パスワードスプレー攻撃で特定された可能性(東京企画) 2020/02/03 理事が所属する大学のPCがウイルス感染、不審メールの送信を確認(日…

脅威インテリジェンスとは

脅威インテリジェンスとは 脅威インテリジェンスという言葉について整理してみました。 // 脅威インテリジェンスとはCERT-UKによると、サイバー脅威インテリジェンスは「掴みどころのない」概念である。サイバーセキュリティは、ITセキュリティ専門家を採用…

2020年の情報セキュリティ10大脅威

はじめに IPA(情報処理推進機構)では、毎年、社会的に影響が大きかった情報セキュリティにおける事案から、その年のセキュリティ脅威予測を公開しています。 www.ipa.go.jp 2020年のセキュリティ脅威 2020年のセキュリティ脅威 // 企業のランキングには6位…

プライバシーマーク制度(Pマーク)について

Pマークとは プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報の保護措置(PMS)を整備している事業者を認定する制度です。 一般的な傾向として、消費者の個人情報を適切に管理してい…

Windows 10 ProでRAID設定

過去記事でExpress5800にWindows 10をインストールしたときの作業をまとめました。 www.iestudy.work これまではオンボードのRAIDコントローラを使用した、ハードウェアRAIDを使用していましたが、Windows 10Proでは、ソフトウェアRAIDを組むことができます…

ステータスバーとは

Webサイトのセキュリティに関する話の中で「ステータスバー」というキーワードが出てきた際に、その言葉が示す対象がずれていたことがあったので少し調べてみました。その会話では以下のものを「ステータスバー」として呼んでいました。 ステータスバーとは …

サーバ機にWindows 10をインストールしてみた

私は個人用のPCとして、Express5800/GT110bを使っています。 ExpressはNECが販売しているサーバ機器で、Express5800GT110bは、SOHO/小規模オフィス向け(省エネ、省スペースを実現)として販売された機器です。 Express 5800/GT110bの外観 ascii.jp これまで…

機能要件と非機能要件

システムに対する要件 情報システムは現代社会において必要不可欠な様々な機能を提供しています。また、情報システムは社会的に重要なインフラとなっており、上記の機能以外に安定してサービスを提供することが求められます。 機能要件と非機能要件 機能要件…

2020年のセキュリティトレンド

JASA(Japan Information Security Audit Association、日本セキュリティ監査協会)が、2020年のセキュリティ10大トレンドを発表しました。 www.jasa.jp // これは、情報セキュリティ監査人が監査計画を考える上で、参考となるように公開されています。この1…

2020年1月のIT・セキュリティトピック

2020年1月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/01/02 金融領域でのブロックチェーンの活用について主要な領域5つ紹介 2020/01/02 イスラエル当局、仮想通貨分野の「危険信号」リストを公開 AML巡りブロックチェーン大国が警戒 202…

改正個人情報保護法について

個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経…

ISO27000ファミリーについて

ISO27000シリーズについて ISO27000ファミリーは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。…

CISSPの受験記録

個人的な今年の目標として、CISSPの取得を目指していました。 そして年末ギリギリになりましたが、念願かなって試験に合格することができました。 受験の記録として、CISSP受験前から試験が終わった後の流れをまとめていきます。 // 試験勉強 2019年4月にな…

TCPについて調べてみました

TCPとは TCP(Transmission Control Protocol)は、トランスポート層で動作するプロトコルです。TCPは、信頼性の高い通信を実現するために使用されるプロトコルです。トランスポート層のプロトコルにはUDPもあり、UDPは信頼性が高くない代わりに、高速性やリア…

WAN技術の整理

電話回線の種類 電話回線は大きく分けると、アナログ回線、デジタル回線、光回線の3種類があります。 アナログ回線アナログ回線はアナログ信号で音声及びデータの送受信を行う電話回線です。黒電話の時代から使われているもので、回線には銅線を使っているの…

ファジングについて

ファジング実践資料(テストデータ編) 発行機関:IPA 発行年月日:2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPA…

クラウドに対するセキュリティの考え方

CSAとは クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティ…

テストの種類とテスト技法

ソフトウェアテストに関する言葉を整理しました。 // Vモデル V字モデル V字の左半分は、ウォーターフォールに沿った開発工程を上流工程から順番に右下がりに並べています。V字の右半分は、左の開発工程に対応したテスト工程が並んでおり、それぞれの工程で…

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介発行機関:IPA発行年月日:2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストを…

パスワードクラッキングの手法

パスワードに対する攻撃はパスワードクラッキングといいます。パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。 // パスワードクラッキング手法一覧 名称 …