家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

ガイドライン

EaseUS Todo Backupによるデータのバックアップ

バックアップとは バックアップという言葉はよく使いますが、バックアップにはいろいろな種類があります。以下にバックアップの種類をまとめます。 システムバックアップ システムバックアップとは、OSやアプリケーションなどを含むシステム全体をバックアッ…

インシデント発生時の初動調査の手引き

概要 「サイバーレスキュー隊(J-CRAT)技術レポート2017 インシデント発生時の初動調査の手引き~WindowsOS標準ツールで感染を見つける~」で学んだことをまとめます。 www.ipa.go.jp // J-CRATとは IPAは標的型サイバー攻撃の被害拡大防止のため、2014年7月1…

「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要

「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)について 発行機関 :クレジット取引セキュリティ対策協議会(日本クレジット協会) 発行年月日:2020年3月 www.j-credit.or.jp クレジット取引セキュリティ対策協議会とは クレジット…

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の概要

クラウドサービス利用のための情報セキュリティマネジメントガイドライン 発行機関:経済産業省発行年:2013年 参考 www.meti.go.jp https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf // 概要 「クラウドサービス利用のための情…

各国の個人情報保護の取り組みと情報流通に関する動向(2020年11月調べ)

概要 クラウドの普及と利用の促進により、国内、海外問わず、様々なサービスを利用する機会が増えています。しかし、サービスを利用する場合、特に組織においては預託するデータの保護に関する取り組みについて考える必要があります。今回は個人情報に関する…

Webアプリの脆弱性の概要 ~「安全なウェブサイトの作り方」を読んで~

概要 「安全なウェブサイトの作り方」をよみ、Webアプリの脆弱性について調べたことをまとめました。 SQLインジェクション 概要 ウェブアプリケーションの多くはデータベースと連携しており、ユーザの入力情報からSQL文作成します。SQL文の組み立てに問題が…

クラウドのセキュリティ評価制度「ISMAP」

ランキング参加中セキュリティ 概要 ISMAPとはInformation system Security Management and Assessment Programの略で、 日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。 ISMAPは、クラウド・バイ・デフォルトの方針が打ち出され…

MITRE ATT&CKの概要

MITERとは MITREは、米国の連邦政府が資金を提供する非営利組織であり、国の安全性に関する事項に取り組んでいます。サイバーセキュリティの分野では、NISTの連邦研究開発センター(Federally funded research and development center:FFRDC)の運営を行い…

SDP(Software Defined Perimeter)とは

SDPの概要 Software Defined Perimeterは、ネットワークを経由した様々な脅威からインフラや情報を守るための機能です。 最近ではクラウドサービス(社外のサービス)等の活用が増え、従来のファイアウォール等を使った境界型セキュリティでは守り切れないも…

Web会議のセキュリティ注意事項について

概要 コロナの影響もあり最近はリモートワークがに関する話題が多くなっています。それに伴い、Web会議のツールの利用も増えています。Web会議ツールは業務以外にもリモート飲みなどにも使われています。そういった中で、独立行政法人情報処理推進機構は7月1…

フィッシング対策ガイドラインの比較(2020年版と2019年版)

概要 フィッシング対策協議会では、フィッシング詐欺の被害を防ぐためにWebサービス事業者に向けた対策をまとめたガイドラインを公開しています。 www.antiphishing.jp 2020年度版では、最近の脅威動向を踏まえ対策要件を見直し、また、優先度の設定が見直さ…

個人情報保護法の2020年改正について

背景 色々なIT技術を使ったサービスが次々に登場し、個人情報を含む、様々な情報が活用されています。個人情報保護法ではそういった社会情勢を踏まえ、平成27年(2015年)より「いわゆる3年ごとの見直し」(附則第12条3項)を設けました。 個人情報保護法は…

「Guidelines for Securing Wireless Local Area Networks(WLANs)」の概要 NIST SP800-153

Guidelines for Securing Wireless Local Area Networks(WLANs) NIST Special Publication 800-153 発行年月日:2012年2月 https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-153.pdf // 概要 このガイドラインは、NISTが企業の無線LA…

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の概要

政府情報システムにおけるクラウドサービスの利用に係る基本方針 発行年月日:2018年6月7日 https://cio.go.jp/sites/default/files/uploads/documents/cloud_%20policy.pdf // 概要 内閣官房IT総合戦略室は、標準ガイドライン付属文書に「政府情報システム…

ネットワークセキュリティ製品のテスト基準を策定する「NetSecOpen」

先日、Sonicwallの製品評価に関する記事を読みました。 blog.sonicwall.com 上記の記事に出てきた「NetSecOpen」について調べてみました。 // NetSecOpenとは NetSecOPENは、ネットワークセキュリティベンダー等が参加している、会員制の非営利団体で、ネッ…

「働き方改革のためのテレワーク導入モデル」の概要

働き方改革のためのテレワーク導入モデル 発行年月日:2019年6月発行者:総務省 https://www.soumu.go.jp/main_content/000616262.pdf // 概要と目的 「働き方改革のためのテレワーク導入モデル」は、テレワーク導入のためのノウハウやプラクティスをまとめ…

セキュリティ業務を担う人材のスキル可視化施策について調べてみた

セキュリティ業務を担う人材のスキル可視化ガイドライン 発行者:JNSA 発行年月日:2019年1月18日 https://www.jnsa.org/isepa/images/outputs/JTAG_guideline-%CE%B2_190118.pdf https://www.jnsa.org/isepa/images/outputs/JTAGreport2019.pdf // 目的 JNS…

セキュリティに関連する法律一覧

セキュリティで関連してくる法律についてまとめてみました。 // 不正アクセス禁止法 「不正アクセス禁止法」は、正式名称「不正アクセス行為の禁止等に関する法律」であり、2000年に施行されたインターネット上での不正なアクセスに関する法律のことです。 …

コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)の概要

コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)を読んでみました。ガイドラインの概要をまとめます。 コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)https://www.ipa.go.jp/files/000025341.pdf // 概要 このガイドライン…

CISベンチマークについて

自分の勉強のために、CISが公開している資料を読んでみました。 www.cisecurity.org // CISとは CIS(Center for Internet Security)は、セキュリティ推進のためのアメリカの非営利団体で、セキュリティの基準等を公開しています。 www.jiten.com CISにはCIS …

ゼロトラストについて調べてみた(NIST SP800-207)

ゼロトラストについてNISTのガイドライン(ドラフト)が公開されていました。 Draft NIST Special Publication 800-207(Zero Trust Architecture) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft.pdf 従来のセキュリティモデ…

NIST SP800-40の概要

概要 NIST SP800-40は、脆弱性とパッチの管理についてのガイドラインです。日本語版について、IPAでは「NIST SP 800-40 Version 2.0(パッチおよび脆弱性管理プログラムの策定)」を公開しており、ゾーホージャパン株式会社では「Revision 3(エンタープライ…

BYODにおけるセキュリティ対策の考え方

私物端末の業務利用におけるセキュリティ要件の考え方 https://www.kantei.go.jp/jp/singi/it2/cio/hosakan/wg_report/byod.pdf // 概要 この資料では、BYOD(Bring Your Own Device=私物端末を業務に利用すること)におけるセキュリティの考え方を解説してい…

プライバシーマーク制度(Pマーク)について

Pマークとは プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報の保護措置(PMS)を整備している事業者を認定する制度です。 一般的な傾向として、消費者の個人情報を適切に管理してい…

機能要件と非機能要件

システムに対する要件 情報システムは現代社会において必要不可欠な様々な機能を提供しています。また、情報システムは社会的に重要なインフラとなっており、上記の機能以外に安定してサービスを提供することが求められます。 機能要件と非機能要件 機能要件…

改正個人情報保護法について

個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経…

ISO27000ファミリーについて

ISO27000シリーズについて ISO27000ファミリーは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。…

ファジングについて

ファジング実践資料(テストデータ編) 発行機関:IPA 発行年月日:2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPA…

クラウドに対するセキュリティの考え方

CSAとは クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティ…

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介発行機関:IPA発行年月日:2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストを…