家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

セキュリティ

コンサルタントの仕事

社内でコンサルタントの在り方等を考える機会があったので、自分なりにコンサルタントの業務について調べてみました。 // コンサルタントの種類 各社ごとに呼び方や定義が異なりますが、一般的にコンサルタントはデリバリー型とセールス型に分けられています…

2020年2月のIT・セキュリティトピック

2020年2月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/02/03 メールアカウントへの不正アクセス、パスワードスプレー攻撃で特定された可能性(東京企画) 2020/02/03 理事が所属する大学のPCがウイルス感染、不審メールの送信を確認(日…

脅威インテリジェンスとは

脅威インテリジェンスとは 脅威インテリジェンスという言葉について整理してみました。 // 脅威インテリジェンスとはCERT-UKによると、サイバー脅威インテリジェンスは「掴みどころのない」概念である。サイバーセキュリティは、ITセキュリティ専門家を採用…

2020年の情報セキュリティ10大脅威

はじめに IPA(情報処理推進機構)では、毎年、社会的に影響が大きかった情報セキュリティにおける事案から、その年のセキュリティ脅威予測を公開しています。 www.ipa.go.jp 2020年のセキュリティ脅威 2020年のセキュリティ脅威 // 企業のランキングには6位…

プライバシーマーク制度(Pマーク)について

Pマークとは プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報の保護措置(PMS)を整備している事業者を認定する制度です。 一般的な傾向として、消費者の個人情報を適切に管理してい…

ステータスバーとは

Webサイトのセキュリティに関する話の中で「ステータスバー」というキーワードが出てきた際に、その言葉が示す対象がずれていたことがあったので少し調べてみました。その会話では以下のものを「ステータスバー」として呼んでいました。 ステータスバーとは …

機能要件と非機能要件

システムに対する要件 情報システムは現代社会において必要不可欠な様々な機能を提供しています。また、情報システムは社会的に重要なインフラとなっており、上記の機能以外に安定してサービスを提供することが求められます。 機能要件と非機能要件 機能要件…

2020年のセキュリティトレンド

JASA(Japan Information Security Audit Association、日本セキュリティ監査協会)が、2020年のセキュリティ10大トレンドを発表しました。 www.jasa.jp // これは、情報セキュリティ監査人が監査計画を考える上で、参考となるように公開されています。この1…

2020年1月のIT・セキュリティトピック

2020年1月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/01/02 金融領域でのブロックチェーンの活用について主要な領域5つ紹介 2020/01/02 イスラエル当局、仮想通貨分野の「危険信号」リストを公開 AML巡りブロックチェーン大国が警戒 202…

改正個人情報保護法について

個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経…

ISO27000ファミリーについて

ISO27000シリーズについて ISO27000ファミリーは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。…

ファジングについて

ファジング実践資料(テストデータ編) 発行機関:IPA 発行年月日:2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPA…

クラウドに対するセキュリティの考え方

CSAとは クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティ…

テストの種類とテスト技法

ソフトウェアテストに関する言葉を整理しました。 // Vモデル V字モデル V字の左半分は、ウォーターフォールに沿った開発工程を上流工程から順番に右下がりに並べています。V字の右半分は、左の開発工程に対応したテスト工程が並んでおり、それぞれの工程で…

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介発行機関:IPA発行年月日:2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストを…

パスワードクラッキングの手法

パスワードに対する攻撃はパスワードクラッキングといいます。パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。 // パスワードクラッキング手法一覧 名称 …

2019年12月のIT・セキュリティトピック

2019年12月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/12/02 国へのサイバー攻撃、ハッキングのビジネス化など、2020年のサイバー脅威(サイファーマ) 2019/12/02 「PHP-FPM」の脆弱性を狙うアクセスが増加(警察庁) 2019/12/02 職員…

MTTRとMTBF

前提として コンピュータシステムの信頼性を総合的に評価する基準として、RASISという概念があります。 Reliability(信頼性) Availability(可用性) Serviceability(保守性) Integrity(保全性) Security(機密性) // 信頼性(Reliability)は、シス…

COSOとフレームワーク

COSOとフレームワーク COSO(Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会)の略称です。COSOでは内部統制のフレームワーク(COSOフレームワーク)公開しており、当該フレームワークは様々な規定に組…

「セキュア・プログラミング講座」の概要

セキュア・プログラミング講座 発行機関:情報処理推進機構 発行年月日:2016年10月 www.ipa.go.jp // 概要 「セキュア・プログラミング講座」では、製品プログラミングや、Webプログラミングを対象にした、ガイドラインを公開しています。このガイドラインで…

PKIについて整理しました

PKIとは PKI(Public Key Infrastructure)は「公開鍵基盤」ともいい、「公開鍵暗号方式」という技術を利用し、暗号化、デジタル署名、認証等のセキュリティ対策が実現する基盤です。 // PKIの全体イメージ PKIの構成要素 認証局 (CA: Certification Author…

Underlying Technical Models for Information Technology Security(NIST SP800-33)

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関:NIST 発行年月日:2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF(NIST SP800-37)や、CSFに…

「証拠保全ガイドライン」の概要

証拠保全ガイドライン(第7版) 発行機関:デジタル・フォレンジック研究会 発行年月日:2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行…

ISCMとは(NIST SP800-137)

ISCMの定義された背景として セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。 // 「ISO/IEC 27005」は、国際標準化機構(ISO)と国際…

SCAPとは

SCAPとは SCAPはSecurity Content Automation Protocol(セキュリティ設定共通化手順)の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。なお…

2019年11月のIT・セキュリティトピック

2019年11月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/10/31 公衆電話からSMS 機能の背景 2019/10/31 DDoS攻撃を示唆し仮想通貨を要求する脅迫メールに注意喚起=JPCERT/CC 2019/10/31 北朝鮮のハッカー集団が作成したマルウェアが原子…

コモンクライテリアとは

コモンクライテリア(Common Criteria、ISO/IEC 15408) とは コモンクライテリアとは、セキュリティの観点から情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。 // 欧米諸国では1…

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64)

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64) 発行機関:NIST 発行年月日:2008年10月 https://www.ipa.go.jp/files/000025343.pdf // 概要NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項…

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60)

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60) 発行機関:NIST 発行年月日:2004年6月 https://www.ipa.go.jp/files/000025339.pdf // リスクマネジメントでの位置づけNIST SP800-60は、以下のセキュリティ文書と合わ…

消火器の区分

火災には等級があり、それぞれ適した消火器を使用する必要があります。 // 火災の等級 等級 説明 等級A 木材、紙、布、ゴム、多くのプラスチック製品など、通常の可燃性物質による火災で、水または水を大量に含む溶液の消火・冷却効果を活用することが最も重…