家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

セキュリティ

SOC(Service Organization Control)について

SOC(Security Operation CenterではなくService Organization Controlのほう)についてまとめてみました。本記事で対象とするSOCとは、監査法人がクラウドベンダーなどにだすお墨付きのようなものです。 SOCはもともと財務諸表監査の延長として取り入れられ…

「SSL/TLS暗号設定ガイドライン」の概要

SSL/TLS 暗号設定ガイドライン 発行機関:情報処理推進機構発行年月日:2019年5月 https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-2.0.pdf 概要このガイドラインは全部で9章で構成されています。 1. はじめに1.1 本書の内容及び位置付…

2019年9月のIT・セキュリティトピック

2019年9月に気になったニュースをまとめます。 記事の投稿日 概要 2019/08/31 スマホ決済サービスの不正アクセスの被害を補償する保険の取り扱いを三井住友海上火災保険とあいおいニッセイ同和損害保険がそれぞれ始める。 2019/08/31 マネーロンダリング対策…

「コード決済における不正利用に関する責任分担・補償等についての規定事例集」の概要

コード決済における不正利用に関する責任分担・補償等についての規定事例集(利用者向け利用規約) 発行機関:一般社団法人キャッシュレス推進協議会発行年月日:2019年8月30日 概要「コード決済における不正利用に関する責任分担・補償等についての規定事例…

金融分野の組織における個人情報の保護の考え方

金融分野の組織における個人情報保護の考え方を調べてみました。 金融分野における個人情報保護に関するガイドライン https://www.fsa.go.jp/common/law/kj-hogo-2/01.pdf 金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務…

「媒体のサニタイズに関するガイドライン」の概要

媒体のサニタイズに関するガイドライン 発行機関:NIST(IPA訳)発行年月日:2006年9月 本文 SP 800-88, Guidelines for Media Sanitization | CSRC 和訳 https://www.ipa.go.jp/files/000025355.pdf 概要情報システムは各種の媒体を使って情報を処理し、保…

セキュリティポリシーモデルについて(Bell-LaPadula、Biba Integrity、Chinese Wall等)

セキュリティモデルとして挙げられる「Bell-LaPadula」や「Biba Integrity」について調べたことをまとめます。 「オペレーティングシステムのアクセスコントロール機能におけるセキュリティポリシーモデル」発行機関:情報処理推進機構発行年月日:2012年9月…

GDPRの概要

General Data Protection Regulation制定機関:欧州議会および欧州理事会制定年月日:2016年4月27日(2018年5月25日より施行) 参考https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN日本語訳 https://www.jipdec.or.jp/ar…

ビジネスメール詐欺の定義(Business Email Compromise:BEC)

ビジネスメール詐欺「BEC」に関する事例と注意喚起(続報)発行機関:情報処理推進機構発行年月日:2018年8月27日 www.ipa.go.jp J-CSIPについて J-CSIPは、公的機関であるIPAを情報の中継点として、参加組織間でサイバー攻撃に関する情報共有を行い、対策に…

DXとは何か ‐「DXレポート」の概要-

DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~発行機関:経済産業省発行年月日:2018年9月7日 www.meti.go.jp DXとは何かDX(Digital Transformation)はガイドラインでは以下のように定義されています。 企業が外部エコシステム(顧客、…

日本と海外の企業におけるセキュリティマネジメント状況の差

企業における情報セキュリティ実態調査2019発行機関:NRIセキュアテクノロジー株式会社発行年月日:2019年7月18日 www.nri.com 概要 日本および海外企業の情報セキュリティに関する取り組みの実態を把握することを目的とし、NRIセキュアテクノロジーズでは各…

2019年1~3月のEメールによる脅威動向

Eメール脅威レポート発行機関:ファイア・アイ株式会社発行年月日:2019年7月23日 https://www.fireeye.jp/company/press-releases/2019/new-fireeye-email-threat-report-reveals-increase-in-social-engin.html概要ファイア・アイでは2019年1月から3月に検…

インシデントの対応期間はどのくらいか?

7つの気になる真実発行機関:SOPHOS発行年月日:2019年4月 https://www.sophos.com/ja-jp/medialibrary/Gated-Assets/white-papers/sophos-seven-uncomfortable-truths-about-endpoint-security-wpna.pdf 概要SOPHOSではエンドポイントのセキュリティ対策状…

悪意のあるソフトウェア(マルウェア)の言葉の定義

言葉の定義があいまいになるときがあるので、マルウェアで使われる言葉の定義をまとめてみました。 マルウェアマルウェアとは、「Malicious Software」(悪意のあるソフトウェア)を略したもので、脆弱性や重要情報を窃取するなどの攻撃をするソフトウェアの…

「暗号利用環境に関する動向調査」の概要

暗号利用環境に関する動向調査発行機関:情報処理推進機構(IPA)発行年月日:2015年6月 www.ipa.go.jp 概要情報処理推進機構では、総務省、経済産業省、情報通信研究機構(NICT)とともに、CRYPTREC を運営しています。CRYPTREC活動では、「電子政府における…

「MDM導入・運用検討ガイド」の概要

MDM導入・運用検討ガイド発行機関:一般社団法人日本スマートフォンセキュリティ協会(JSSEC)発行年月日:2013年1月24日 https://www.jssec.org/dl/MDMGuideV1.pdf 概要 「MDM導入・運用検討ガイド」はスマートフォンを管理するMDMを企業で利用するに…

「サイバーセキュリティ経営ガイドライン」の概要

サイバーセキュリティ経営ガイドライン Ver 2.0発行機関:経済産業省/情報処理推進機構(IPA)発行年月日:2017年11月16日(Ver.2.0) https://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf 概要 「サイバーセキュリティ経営ガイドライン」…

「情報信託機能の認定に係る指針」の概要(情報銀行とは)

情報信託機能の認定に係る指針発行機関:総務省/経済産業省発行年月日:2018年6月26日 www.meti.go.jp 参考にした資料http://www.soumu.go.jp/main_content/000564925.pdf 概要現在はIoTやスマホの普及により、大量の個人情報がインターネット上に集まるよう…

「新入社員等研修向け情報セキュリティマニュアル」の概要

新入社員等研修向け情報セキュリティマニュアル発行機関:JPCERT/CC発行年月日:2014年3月26日(Rev.3) https://www.jpcert.or.jp/magazine/security/newcomer-rev3_20140326.pdf 概要 「新入社員等研修向け情報セキュリティマニュアル」は、組織の教育担当…

「フィッシング対策ガイドライン」の概要

フィッシング対策ガイドライン 2019年度版発行機関:フィッシング対策協議会発行年月日:2019年5月 https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf 概要 フィッシング対策協議会では、Webサイトの運営者及び利用者に対して、それぞれの観点…

「電子的認証に関するガイドライン(SP800-63)」の概要

電子的認証に関するガイドライン(SP800-63)発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)発行年月日:2006年4月 原文:https://pages.nist.gov/800-63-3/和訳(IPA):https://www.ipa.go.jp/files/0000…

「脆弱性対策の効果的な進め方(ツール活用編)」の概要

IPAでは技術的な内容をまとめた「IPAテクニカルウォッチ」を公開しています。 www.ipa.go.jp 2019年2月に、IPAテクニカルウォッチで「脆弱性対策の効果的な進め方(ツール活用編)」が公開されました。本記事では、上記で紹介されている脆弱性検知ツール「Vu…

Eposカード会員サイトを装ったフィッシングサイトの動作

Eposカードを装ったフィッシングメールが流通しています。 www.eposcard.co.jp フィッシングサイトの動作を見てみました。サイト上部に表示されている、スマホ向けアプリのインストールメッセージが文字化けしている時点で、いつもと様子が違うことがわかり…

身代金を支払ったランサムウェア感染事例

Accentureが2018年の企業におけるサイバー攻撃に対する対応コストについて、調査結果を公開しました。この調査では、対応コストが前年から130万ドル増加したことが公開されています。コスト増加の要因の一つについて、ランサムウェアの攻撃数の増加を挙げて…

「金融分野のサイバーセキュリティレポート」の概要

金融分野のサイバーセキュリティレポート 発行機関:金融庁 発行年月日:2019年6月 「金融分野のサイバーセキュリティレポート」の公表について:金融庁 概要金融庁では、2015年7月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を公開し…

「連邦政府外のシステムと組織における管理された非格付け情報の保護」の概要

連邦政府外のシステムと組織における管理された非格付け情報の保護 発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)発行年月日:2016年12月 原文:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/N…

大学で発生した不正アクセス(2018年)

2019年6月10日に日本ネットワークセキュリティ協会(JNSA)より、2018年に発生した個人情報が漏洩したインシデントについての集計結果が出ました。 www.jnsa.org 公開された調査結果の中に、情報漏洩の件数が増えている業界として教育・文教系の増加が示され…

「医療情報システムの安全管理に関するガイドライン」の概要

医療情報システムの安全管理に関するガイドライン 発行者:厚生労働省 発行年月日:平成29年5月(第 5 版) (ガイドラインを読んだ)背景 IoMT(Internet of Medical Things)という言葉の登場や、本ガイドラインでも触れられていますが、e-Japan戦略(…

「無線LANを安心して利用するための手引書」の概要

無線LANを安心して利用するための手引書発行者:総務省発行年月日一般利用者が安心して無線LANを利用するために:2012年11月2日 http://www.soumu.go.jp/main_content/000199322.pdf 企業等が安心して無線LANを導入・運用するために:2013年1月30日 http://w…

ハニーポットの構築メモ(その3)

その3では、その他追加した機能について、順次記載していきます。 4.サーバの監視 Mackerelというサービスを使ってハニーポットを監視します。無料アカウントでもホスト5台までなら死活監視はできます。 mackerel.io 4-1.Mackerelエージェントのイン…