サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
IPA(独立行政法人情報処理推進機構)は、オープンソースソフトウェアの“Vuls”(バルス)を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開しました。 下記より「脆弱性対策の効果的な進め方(ツール活用編)」についてのレポートPDF版をダウンロードしてご利用いただけます。 テクニカルウォッチ補助資料「ソフトウェア脆弱性関連情報管理シート」を公開【2020年9月30日】 「脆弱性対策の効果的な進め方(ツール活用編)」では、組織の脆弱性対策の進め方の一例として、利用しているソフトウェアを把握し、そのソフトウェアに関連する脆弱性情報を収集後、脆弱性対策の適用の判断を行う方法を解説しています(第2章参照)。それらを円滑に進めるためには、収集した情報等を適切に管理しておく必要があります。一方で、組織によっては管理する方法がわからず適切に行えていないところ
編集・発行元 独立行政法人情報処理推進機構(IPA) 社会基盤センター 発行日 2019年2月28日 サイズ B5変形判 ページ数 298ページ ISBN 978-4-905318-68-2 定価 2,648円(税込) 書籍概要 概要本書は、主にソフトウェアに起因するシステム障害関連情報を収集し、それらの分析や対策手法の整理・体系化を通して得られる教訓として取りまとめたものです。「問題」、「原因」、「対策」、「効果」、「教訓」と整理し、ガバナンス/マネジメント領域の教訓21件、技術領域の教訓33件、計54件の教訓を収録しています。また、これらの個々の教訓に加えて、教訓や報道事例から見える傾向について「ヒューマンエラー」や「システムの高負荷/過負荷」などの観点から分析し、原因や対策について考察した結果を掲載しています。 また、教訓をさらに有効活用するための、以下の別冊(PDF版)を公開して
I PA 脆弱性対策 コンテンツ リファレンス 2025年3月 Contents. 概要 1. 脆弱性(ぜいじゃくせい)とは 脆弱性という言葉の意味などを説明しています。 2.IPAにおける脆弱性対策に関する取組みについてIPAで取組んでいる脆弱性対策を、コンテンツの性質をもとに大きく4種に分け、 それぞれを説明しています。 推奨コンテンツのご紹介 3. 開発工程別 - 情報システムの脆弱性に対するIPAの取組み - システム開発工程ごとに、活用可能なIPAの取組みや、取組みの中で作成された資料等 を提示します。システム開発等に携わる方は開発工程ごとに参照できる資料やツール等 を確認できます。 4. 利用対象別 - 情報システムの脆弱性に対するIPAの取組み - 「経営者」「開発者」「運用・保守担当」など、対象者ごとに活用をお奨めするツール や資料などを紹介します。併せて、各業務にて実
重要情報を扱うシステムの 要求策定ガイド2023年7月 独立行政法人情報処理推進機構 Ver. 1.0 Copyright ©2023IPA 目次 1.重要情報を扱うシステムの要求策定ガイドについて 1.1 重要情報を扱うシステムに求められること 1.2本ガイドの目的と位置づけ 1.3本ガイドの利用シーンとステークホルダー 1.4 要求項目の整理の考え方 1.5本ガイドのスコープと将来に向けたロードマップ 2.本ガイドの利用方法 2.1 要求項目策定の考え方 2.1.1 要求項目の策定ステップ 2.1.2 システムの特性評価方法 2.1.3 問題・リスクの選定方法 2.1.4 必要な対策の選定方法 2.2 自律性確保のための要求項目一覧 2.3 利便性確保のための要求項目一覧 3.データ連携における留意点 3.1 データ連携における留意点 4.補足資料 4.1 対象システムの例
IPAでは国内におけるデータスペースの普及と推進を目的とし、支援に取り組んでいます。 データスペースとは データスペースとは、国境や分野の壁を越えた新しい経済空間、社会活動の空間のことで、近年主に欧州で注目されている概念です。 国、組織を超えてデータを連携できるルールや仕組みを整備し、これまで以上に「多種多様」で「信頼性のある」大量のデータを利用できるようにすることで、新しいサービスの創出や、既存サービスの高度化を目指すことを目的としています。 データスペースの特徴は、データ提供元がデータの権利を保持し続ける「データ主権」、共通のデジタル基盤を利用することで誰もがデータを活用することが可能な「公平性」、データ提供元と相互に信頼性を確保した上でのデータ転送/アクセス可能な「相互運用性」などが挙げられます。 データ共有が必要な理由には、「攻めの観点」と「守りの観点」があります。 「攻めの観点」
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
日本のIT化を推進する情報処理推進機構(IPA)が2023年3月、Webサイトを刷新した。しかし直後から「必要な情報が見られない」といった批判がSNSなどで殺到。WebサイトのURLを変更した上にリダイレクトも設定していなかったことが原因だ。利用者がどうサイトを使っているかを理解せず、プロジェクト中に複数の判断ミスを重ねた。半月後には使い勝手を改善させたものの、IPAのずさんな刷新計画は、IT関係者に衝撃を与えた。 以前からブックマークしていた情報処理推進機構(IPA)のWebサイトにアクセスすると、「404 Not Found」が表示される――。IPAがWebサイトを刷新した2023年3月31日以降、TwitterなどのSNS(ソーシャル・ネットワーキング・サービス)で、このような投稿が相次いだ。「404 Not Found」とは、Webサイトが既に存在しないことを示すステータスメッセ
「企業でDX(デジタルトランスフォーメーション)人材が不足していて、どんな人材を育成したり採用したりすればよいかが見いだせないとき、DXを推進するために必要な専門スキルや人材を見極める参考にしてほしい」。経済産業省情報技術利用促進課の平山利幸デジタル人材政策企画調整官は、IPA(情報処理推進機構)と連携して2022年12月に公開した「デジタルスキル標準(DSS)」についてこう話す。 デジタルスキル標準は、ビジネスパーソン個人にとっての学習指針、DXを進める企業にとっての人材を育成・確保する際の指針である。経産省とIPAは、DXを推進する人材が担う役割や習得すべきスキルを定義した「DX推進スキル標準(DSS-P)」を新たに策定。経産省が2022年3月に公開済みの「DXリテラシー標準(DSS-L)」とセットにしたものをデジタルスキル標準として公開した。
経済産業省と独立行政法人情報処理推進機構(IPA)は、企業・組織のDX推進を人材のスキル面から支援するため、DXを推進する人材の役割や習得すべきスキルを定義した「DX推進スキル標準(DSS-P)」を今回新たに策定し、今年3月に公開した「DXリテラシー標準(DSS-L)」と合せて、個人の学習や企業の人材育成・採用の指針である「デジタルスキル標準(DSS)」ver.1.0として、取りまとめました。 1.背景・目的 データ活用やデジタル技術の進化により、我が国や諸外国において、データ・デジタル技術を活用した産業構造の変化が起きつつあります。このような変化の中で企業が競争上の優位性を確立するためには、常に変化する社会や顧客の課題を捉え、デジタルトランスフォーメーション(DX)を実現することが重要です。 一方で、多くの日本企業は、DXの取組みに遅れをとっていると考えられます。その大きな要因のひとつと
IPA(情報処理推進機構)は10月26日、日本企業のDX推進をめざして2021年11月に公開した「DX実践手引書 ITシステム構築編」に、DX実践の課題を克服した事例やAPI活用事例、API全体管理やアジャイル開発といった技術要素の解説を追記し、完成版を公開した。IPAは2021年11月、DX未着手・途上企業の担当者を技術的側面から支援するため「DX実践手引書 ITシステム構築編」を公開し、DXを実現するためのITシステムとそれを構成する技術要素群の全体像を「スサノオ・フレームワーク」として提示した。その後も同フレームワークとクラウド、IoT、APIといった技術要素の関連を追記するなど改訂を続けてきた。今回、DXに先行して取り組んだ企業がぶつかった課題を克服した事例や、技術要素としてのAPI活用事例とAPI全体管理、アジャイル開発の解説を追記し、完成版を公開した。今回追記した主なポイント
MyJVNAPI とは MyJVNAPI は、JVN iPedia の情報を、Web を通じて利用するためのソフトウェアインタフェースです。誰でも、MyJVN が提供するAPI を利用して様々な脆弱性対策情報を取得し、脆弱性対策情報を利用したサイトやアプリケーションを開発することが可能となります。 現在、MyJVNで提供中のAPIは次のとおりです。詳細については各ページを参照のうえ、利用上の規約を踏まえてご利用ください。 また、本サービスを利用して開発したアプリケーションによって表示される情報には、MyJVNAPI により提供されたものである旨を表示していただくご協力をお願い致します。 ■MyJVNAPI に関するお問い合わせ 宛先: (問合せ様式) MyJVNAPI (HND/ITM) バージョン
情報処理推進機構(IPA)は7月15日、情報セキュリティに関する書籍「情報セキュリティ白書2022」を公開した。国内外の官民の各種データや資料を引用し、情報セキュリティ分野のトピックを240ページ以上に渡り解説している。IPA会員ならばアンケートに回答することで、PDFファイルを閲覧可能。印刷書籍版もあり、2200円で購入できる。 情報セキュリティ白書はIPAが2008年から毎年発行している書籍。情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などをまとめている。22年版では「内部不正防止対策の動向」「個人情報保護法改正」「クラウドの情報セキュリティ」「中小企業に向けた情報セキュリティ支援策」「米国や欧州の政策」などのトピックも取り上げた。読書アンケートによると情報セキュリティ白書は、「学習・自己研さん」「対策強化・予算策定などの上位者への説明資料」「新
内容は初歩の「ゼロトラストとは」から始まり、移行検討時に必要なマインド、投資判断、環境構築といった作業工程別の解説など。IPAは「ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠」としている。 関連記事 今更聞けない「ゼロトラストセキュリティ」の基本 具体的にはどう守る? 新型コロナの感染拡大に伴う外出自粛などの影響でテレワークの導入が進む中、「ゼロトラストセキュリティ」に注目が集まり始めている。ゼロトラストセキュリティのメリットや具体的な内容についてアカマイ・テクノロジーズに聞いた。 気付いたらゼロトラストだった――セキュリティ強化のためのネットワーク構築、重要なのは何がやりたいかセキュリティ業界で近年注目を集めている「ゼロトラスト」だが、導入実績はまだ少ない。そんな中、同志社大学は2019年にゼロトラストネットワークを構築した。構築のポイント
読者の皆さんは「ITストラテジスト試験」をご存じだろうか。情報処理推進機構(IPA)が実施する情報処理技術者試験のうち「高度試験」区分に該当し、IT業界では「IT関連の国家試験において最難関」と評する人もいる試験だ。例年、合格率は15パーセント前後となる。 記者は2022年4月に本試験を受験し、6月下旬に合否の確認を済ませた。以下では受験にあたり準備したことや、試験制度について感じた課題をまとめる。DX推進者向けの試験ITストラテジスト試験はざっくり言えば、企業のIT戦略を策定・推進する立場にある人向けに、その能力を測る試験だ。職種としてはコンサルタントや企業の経営企画、IT企画担当者などをイメージすればよいだろう。合格にはマークシート形式で知識を問う午前IとII、論述試験の午後IとII、計4つの試験で一定以上の成績を収める必要がある。特にIT戦略について3000字前後で書く午後II試
情報処理推進機構(IPA)は2021年10月6日、アジャイル開発版「情報システム・モデル取引・契約書」を改訂した。厚生労働省が同年9月21日に公表した「『労働者派遣事業と請負により行われる事業との区分に関する基準』(37号告示)に関する疑義応答集(第3集)」に関する情報を追加した。これに伴い、「アジャイル開発外部委託モデル契約(解説付き)」も更新した。アジャイル開発版情報システム・モデル取引・契約書は、IPAが設置した「モデル取引・契約書見直し検討部会」と「DX対応モデル契約見直し検討WG」で検討された、アジャイル開発を外部委託する際のモデル契約についてまとめたもの。アジャイル開発を外部委託する際の契約条項とその解説、補足資料で構成されている。 発注者の意見が反映されるアジャイル開発は偽装請負になる? 改訂の基になった「労働者派遣事業と請負により行われる事業との区分に関する基準」(37号
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
