セキュリティ
背景など 最近ではクラウドの利用が進んでおり、様々な企業がクラウド上にシステムを構築し、データを格納しています。 ascii.jp クラウドは常に新しい機能が開発されており、クラウドに対する理解が浅いままシステムを構築するとセキュリティの観点からは脆…
政府情報システムにおけるクラウドサービスの利用に係る基本方針 発行年月日:2018年6月7日 https://cio.go.jp/sites/default/files/uploads/documents/cloud_%20policy.pdf // 概要 内閣官房IT総合戦略室は、標準ガイドライン付属文書に「政府情報システム…
先日、Sonicwallの製品評価に関する記事を読みました。 blog.sonicwall.com 上記の記事に出てきた「NetSecOpen」について調べてみました。 // NetSecOpenとは NetSecOPENは、ネットワークセキュリティベンダー等が参加している、会員制の非営利団体で、ネッ…
働き方改革のためのテレワーク導入モデル 発行年月日:2019年6月発行者:総務省 https://www.soumu.go.jp/main_content/000616262.pdf // 概要と目的 「働き方改革のためのテレワーク導入モデル」は、テレワーク導入のためのノウハウやプラクティスをまとめ…
2020年5月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/05/01 盗まれたZoomのログイン情報を売買する闇市場が活況 2020/05/01 重要インフラ分野の企業に侵害リスク調査を無償提供、マクニカネットワークス 2020/05/01 三井住友銀 7万件の…
概要 Hyper-v上にKali Linuxをインストールしました。今回記事にしたのは、Hyper-vの通常の仮想マシン作成手順でインストールした際に、Kali Linuxのインストールの途中「パッケージの選択とインストール」でエラーが発生しました。そこから試行錯誤しながら…
概要 Google Cloud Platfom上でWowhoneypotを構築し、取得したログをStackdriverで閲覧できるようにします。また、ログをCloudStorageにエクスポートします。 // 構築 VMインスタンス作成 「Compute Engine」-「VMインスタンス」より、インスタンスを作成し…
SASEとは SASE(Secure Access Service Edge)はガートナー社が提唱しているセキュリティアーキテクチャで、昨今登場しているネットワークセキュリティソリューション(CASBやSWG等複数)をまとめて一つのソリューションとして提供するものを指しています。 …
セキュリティで関連してくる法律についてまとめてみました。 // 不正アクセス禁止法 「不正アクセス禁止法」は、正式名称「不正アクセス行為の禁止等に関する法律」であり、2000年に施行されたインターネット上での不正なアクセスに関する法律のことです。 …
2020年4月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/04/01 Marriott系列ホテル、520万人の顧客情報が流出の可能性 2020/04/02 ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘 2020/04/02 日本国内のサイバ…
コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)を読んでみました。ガイドラインの概要をまとめます。 コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)https://www.ipa.go.jp/files/000025341.pdf // 概要 このガイドライン…
2020年3月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/03/01 不正アクセスし人事評価を閲覧 磐田市主任を減給 /静岡 2020/03/02 カードショップBIG-WEB、平文パスワード含む会員情報流出(ホビーズファクトリー) 2020/03/02 ロリポップ…
自分の勉強のために、CISが公開している資料を読んでみました。 www.cisecurity.org // CISとは CIS(Center for Internet Security)は、セキュリティ推進のためのアメリカの非営利団体で、セキュリティの基準等を公開しています。 www.jiten.com CISベンチマ…
ゼロトラストについてNISTのガイドライン(ドラフト)が公開されていました。 Draft NIST Special Publication 800-207(Zero Trust Architecture) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft.pdf 従来のセキュリティモデ…
概要 NIST SP800-40は、脆弱性とパッチの管理についてのガイドラインです。日本語版について、IPAでは「NIST SP 800-40 Version 2.0(パッチおよび脆弱性管理プログラムの策定)」を公開しており、ゾーホージャパン株式会社では「Revision 3(エンタープライ…
私物端末の業務利用におけるセキュリティ要件の考え方 https://www.kantei.go.jp/jp/singi/it2/cio/hosakan/wg_report/byod.pdf // 概要 この資料では、BYOD(Bring Your Own Device=私物端末を業務に利用すること)におけるセキュリティの考え方を解説してい…
社内でコンサルタントの在り方等を考える機会があったので、自分なりにコンサルタントの業務について調べてみました。 // コンサルタントの種類 各社ごとに呼び方や定義が異なりますが、一般的にコンサルタントはデリバリー型とセールス型に分けられています…
2020年2月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/02/03 メールアカウントへの不正アクセス、パスワードスプレー攻撃で特定された可能性(東京企画) 2020/02/03 理事が所属する大学のPCがウイルス感染、不審メールの送信を確認(日…
脅威インテリジェンスとは 脅威インテリジェンスという言葉について整理してみました。 // 脅威インテリジェンスとはCERT-UKによると、サイバー脅威インテリジェンスは「掴みどころのない」概念である。サイバーセキュリティは、ITセキュリティ専門家を採用…
はじめに IPA(情報処理推進機構)では、毎年、社会的に影響が大きかった情報セキュリティにおける事案から、その年のセキュリティ脅威予測を公開しています。 www.ipa.go.jp 2020年のセキュリティ脅威 2020年のセキュリティ脅威 // 企業のランキングには6位…
Pマークとは プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報の保護措置(PMS)を整備している事業者を認定する制度です。 一般的な傾向として、消費者の個人情報を適切に管理してい…
Webサイトのセキュリティに関する話の中で「ステータスバー」というキーワードが出てきた際に、その言葉が示す対象がずれていたことがあったので少し調べてみました。その会話では以下のものを「ステータスバー」として呼んでいました。 ステータスバーとは …
システムに対する要件 情報システムは現代社会において必要不可欠な様々な機能を提供しています。また、情報システムは社会的に重要なインフラとなっており、上記の機能以外に安定してサービスを提供することが求められます。 機能要件と非機能要件 機能要件…
JASA(Japan Information Security Audit Association、日本セキュリティ監査協会)が、2020年のセキュリティ10大トレンドを発表しました。 www.jasa.jp // これは、情報セキュリティ監査人が監査計画を考える上で、参考となるように公開されています。この1…
2020年1月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/01/02 金融領域でのブロックチェーンの活用について主要な領域5つ紹介 2020/01/02 イスラエル当局、仮想通貨分野の「危険信号」リストを公開 AML巡りブロックチェーン大国が警戒 202…
個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経…
ISO27000シリーズについて ISO27000ファミリーは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。…
ファジング実践資料(テストデータ編) 発行機関:IPA 発行年月日:2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPA…
CSAとは クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティ…
ソフトウェアテストに関する言葉を整理しました。 // Vモデル V字モデル V字の左半分は、ウォーターフォールに沿った開発工程を上流工程から順番に右下がりに並べています。V字の右半分は、左の開発工程に対応したテスト工程が並んでおり、それぞれの工程で…