インターネット・セキュリティ技術一般

「サイバーセキュリティ経営ガイドライン」の概要

サイバーセキュリティ経営ガイドライン Ver 2.0発行機関：経済産業省/情報処理推進機構（IPA）発行年月日：2017年11月16日（Ver.2.0） https://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf 概要 「サイバーセキュリティ経営ガイドライン」は経済産業省とIPAが共同で策定した企業向けのセキュリティガイドラインです。企業の経営者が、CISO（Chief Information Security Officer 最高情報セキュリティ責任者）に対して指示すべきセキュリティ対策実施の指針を10個にまとめたもの…

「ＭＤＭ導入・運用検討ガイド」の概要

ＭＤＭ導入・運用検討ガイド発行機関：一般社団法人日本スマートフォンセキュリティ協会（JSSEC）発行年月日：2013年1月24日 https://www.jssec.org/dl/MDMGuideV1.pdf 概要 「ＭＤＭ導入・運用検討ガイド」はスマートフォンを管理するMDMを企業で利用するにあたって、導入から運用に至るまでの工程についてのガイドラインです。章立ては以下の通りです。 ガイドラインの章構成1 はじめに 1.1 本ガイドの目的について 1.2 本ガイドの対象読者について 1.3 本ガイドの構成について 1.4 用語集2 スマートフォンとＭＤＭ 2.1 スマートフォンの特徴について…

「Intel Rapid Strage Technology」でWindows Update(1903)ができない場合の対処法

Windows 10で最新のWindows Update（1903）を適用させようと思ったら、「次の作業が必要です」というようなエラーメッセージが表示されてアップデートできませんでした。「詳細についてはここをクリックして […]

【詐欺】冷静に考えたらインターネットエクスプローラとグーグルは関係ないよね【注意】

PCにGoogleを名乗るエラーメッセージが表示され大阪の固定電話に電話するように促されました。同時にPCはフリーズ！！詐欺ですよ注意喚起

「金融分野のサイバーセキュリティレポート」の概要

金融分野のサイバーセキュリティレポート 発行機関：金融庁 発行年月日：2019年6月 「金融分野のサイバーセキュリティレポート」の公表について：金融庁 概要金融庁では、2015年7月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を公開して、金融分野のサイバーセキュリティ強化に取り組んできました。 当サイトでの紹介記事 www.iestudy.work 「金融分野のサイバーセキュリティレポート」は、金融業界の企業が「金融分野におけるサイバーセキュリティ強化に向けた取組方針」をもとにして取り組んだセキュリティの取り組みの中で把握した課題や、セキュリティの対策状況の実体等をとりまとめ…

身代金を支払ったランサムウェア感染事例

Accentureが2018年の企業におけるサイバー攻撃に対する対応コストについて、調査結果を公開しました。この調査では、対応コストが前年から130万ドル増加したことが公開されています。コスト増加の要因の一つについて、ランサムウェアの攻撃数の増加を挙げています。 japan.zdnet.com 今回はランサムウェア感染事例のうち、実際に身代金を支払ったケースについて調べてみました。 身代金を支払った事例 発生時期 対象となる企業 支払金額 参考 2015年 メイン州リンカーン郡の保安官事務所（アメリカ） 300ドル 政府機関がサイバー攻撃をうけた６つの事例 | STC's Ownd 2016年…

Eposカード会員サイトを装ったフィッシングサイトの動作

Eposカードを装ったフィッシングメールが流通しています。 www.eposcard.co.jp フィッシングサイトの動作を見てみました。サイト上部に表示されている、スマホ向けアプリのインストールメッセージが文字化けしている時点で、いつもと様子が違うことがわかります。 youtu.be

「脆弱性対策の効果的な進め方（ツール活用編）」の概要

IPAでは技術的な内容をまとめた「IPAテクニカルウォッチ」を公開しています。 www.ipa.go.jp 2019年2月に、IPAテクニカルウォッチで「脆弱性対策の効果的な進め方（ツール活用編）」が公開されました。本記事では、上記で紹介されている脆弱性検知ツール「Vuls」をUbuntuにインストールする手順を記載します。 脆弱性対策の効果的な進め方（ツール活用編） 発行機関：情報処理推進機構（IPA）発行年月日：2019年2月21日 https://www.ipa.go.jp/security/technicalwatch/20190221.html 脆弱性への対応とVuls脆弱性への対応…

「電子的認証に関するガイドライン（SP800-63）」の概要

電子的認証に関するガイドライン（SP800-63）発行機関：アメリカ国立標準技術研究所（National Institute of Standards and Technology, NIST）発行年月日：2006年4月 原文：https://pages.nist.gov/800-63-3/和訳（IPA）：https://www.ipa.go.jp/files/000025342.pdf 概要 NIST SP800 63は認証に関するガイドラインです。SP800 63は以下の3つが含まれています。 SP800-63の要素 SP800-63 デジタル認証のガイドライン SP800-63A 登録プ…

「フィッシング対策ガイドライン」の概要

フィッシング対策ガイドライン 2019年度版発行機関：フィッシング対策協議会発行年月日：2019年5月 https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf 概要 フィッシング対策協議会では、Webサイトの運営者及び利用者に対して、それぞれの観点でフィッシング被害にあわないための対策をまとめ、「フィッシング対策ガイドライン」として公開しています。 フィッシングのイメージと対策するポイント フィッシングの攻撃概要 Webサイト運営者が考慮すべき要件一覧 利用者が正規メールとフィッシングメールを判別可能とする対策 要件 実施の必…

「新入社員等研修向け情報セキュリティマニュアル」の概要

新入社員等研修向け情報セキュリティマニュアル発行機関：JPCERT/CC発行年月日：2014年3月26日（Rev.3） https://www.jpcert.or.jp/magazine/security/newcomer-rev3_20140326.pdf 概要 「新入社員等研修向け情報セキュリティマニュアル」は、組織の教育担当者や情報セキュリティ担当者に向けたもので、新入社員にむけた情報セキュリティに関する教育のトピックをまとめたものです。 章立ては以下のようになっています。 1 企業等における PC 端末利用者のための基本的な情報セキュリティ対策 1.1 発生し得る問題事象 1.1.1 …

CTFについて勉強してみた

CTFとはcapture the flagの略、DEFCONやSECCONをはじめとする、コンピューターのハッキング技術を競うコンテストなどで採用される競技。コンピューターセキュリティーに関する攻撃・防御の両方の立場から、暗号、ネットワーク技術、プログラミングなど、さまざまな問題を解くことで技量や知識を競う。kotobank.jp 具体的には、問題を解くことでFlagと呼ばれる文字列を見つけ出し、解答すると点がもらえます。そして参加者同士で点数を競い合うゲームです。CTFでは、以下の2種類の形式があります。 King of hills形式問題サーバの脆弱性等からフラグを探し出す形式です。 Ki…

パスワードに代わるもの（FIDO）

最近、パスワードに代わる認証、パスワード不要という言葉をよく聞きます。 it.impressbm.co.jp FIDOとは上の記事にも出てくる「FIDO」とは、Fast IDentity Online（以下FIDO、ファイドと呼んでいます）の略で、パスワードに代わる認証方式となります。 パスワードの問題パスワードには、 短いと総当たり的に試すことで突破されてしまう 長くすると覚えられない 単語や自分の誕生日だと、SNSや辞書から推測されて突破されてしまう といった問題があります。そういったパスワードの問題を解決するために、パスワードによる認証以外の方法を使った認証がFIDOとなります。 FID…

Webサイトに掲載されるトラストシールについて調べてみた

トラストシールについて 企業のWebサイトでは第3者である認証局が発行したSSLサーバ証明書を導入するこで、SSLにより通信安全性の確保され、証明書を発行した認証局が妥当性を証明します。SSLサーバ証明書によってはセキュリティ保護対応の証として、シールが発行されます。シール発行のSSLサーバ証明書を取得することで、公開しているサイトに信頼の証としてのシールを掲載することができます。 トラストシールを掲載しているサイトの事例 シマンテック www.symantec.com ページ下部にトラストシールがあります。クリックするとポップアップが表示され、詳細な情報が確認できます。 クロストラスト xt…

Googleサーチコンソールを使ってみる

GoogleサーチコンソールとはGoogleサーチコンソール(旧：ウェブマスターツール)はGoogle検索結果でサイトのパフォーマンスを監視、管理ができる無料ツールです。主にSEOの対策として利用されます。サイトへのアクセスに関して以下のような情報が確認できます。 クリック数 クリック率や検索順位 検索に使われるクエリ 等 support.google.com Googleサーチコンソールを使ってみる 本ブログでGoogleサーチコンソールを使ってみました。 １．サーチコンソールにアクセスし、準備したGoogleアカウントでログインします。 www.google.com ２．以下の画面で「UR…

Crypt(CTF)

Crypt（暗号）の概要 CTFでは主に暗号解読する問題が含まれます。暗号化された情報を解読することで、どのような処理をしているか理解することができます。「暗号」で出題される問題の大まかな分類は以下のようなものがあります。 エンコード（符号化） 暗号 ハッシュ関数 エンコードの種類 エンコード方式 使用する文字 備考 Base16 0123456789ABCDEF 16進数表記 Base26 ABCDEFGHIJKLMNOPQRSTUVWXYZ Base32 234567ABCDEFGHIJKLMNOPQRSTUVWXYZ Base36 0123456789ABCDEFGHIJKLMNOPQR…

Windows 10端末のドメイン参加手順

ドメイン参加とは 端末をWindowsドメインに参加させることで、ドメイン参加した端末はドメインコントローラに格納されているユーザオブジェクトへのアクセスが可能になります。また、GPOによるセキュリティ設定が利用できます。 ドメイン参加の手順概要 大まかな作業の流れは以下のようになります。１．ADのデータベースにユーザオブジェクトを作成２．端末をドメインに参加 ※端末上で操作します。１．で作成したユーザでログインします。 ドメイン参加実践 １－１．ユーザアカウントの作成（ドメインコントローラ側の作業） 今回はドメインに参加する端末用のアカウントを作成します。 ユーザアカウントの作成 ２－１．ク…

「セキュリティ対応組織（SOC, CSIRT）の 教科書」の概要

セキュリティ対応組織（SOC, CSIRT）の 教科書 発行者：日本セキュリティオペレーション事業者協議会(ISOG-J)発行年月日：2017年10月 https://isog-j.org/output/2017/Textbook_soc-csirt_v2.0.pdf 概要 このガイドラインでは、組織の中でインシデントに対応する「セキュリティ対応組織」の活動目的を「事業におけるセキュリティリスクの低減」とし、その実現のためにセキュリティ対応組織が実行すべきことを以下の２つに定義し、 インシデント発生の抑制 インシデント発生時の被害最小化 その実行のための以下の機能を解説しています。 A. セキ…

「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」の概要

サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 発行者：情報処理推進機構（IPA） 発行年月日：2019年3月25日 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html ※資料のダウンロードには簡単なアンケートへの回答が必要になります。 概要 サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集は、経済産業省と独立行政法人情報処理推進機構(IPA)は、2017年11月に発行したサイバーセキュリティ経営ガイドラインVer 2.0に対して、ガイドラインの重要10項目を実践す…

「金融分野におけるサイバーセキュリティ強化 に向けた取組方針」の概要

金融分野におけるサイバーセキュリティ強化 に向けた取組方針 発行者：金融庁 発行年月日：2018年10月 https://www.fsa.go.jp/news/30/20181019/cyber-policy.pdf 概要 金融庁は金融分野のセキュリティの確保は喫緊の課題とし、2015年7月から「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を策定・公表し、官民が一体となって金融分野のサイバーセキュリティ強化に取り組んできました。 現在の取り組み状況 サイバーセキュリティに係る金融機関との建設的な対話と一斉把握金融庁が金融機関と対話してサイバーセキュリティ対策の実態を把握します。 …

「中小企業の情報セキュリティ対策ガイドライン」の概要

中小企業の情報セキュリティ対策ガイドライン 発行者：情報処理推進機構（IPA） 発行年月日：2019年4月（第3版） https://www.ipa.go.jp/files/000055520.pdf 概要「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際に、 経営者が認識し実施すべき指針 社内において対策を実践する際の手順や手法 についてまとめたものです。このガイドラインは、業種を問わず中小企業および小規模事業者の経営者を想定したものです。セキュリティ対策として、製品を導入するだけでなく、その前提となるポリシーなどの策定に関しての検討事項を説明しています。 情…

標準ガイドライン群について

標準ガイドライン群とは 正式名称は「デジタル・ガバメント推進標準ガイドライン」（2014年12月の初版では 「政府情報システムの整備及び管理に関する標準ガイドライン」）で、政府各府省庁が情報システムを作る際のルールを示したものです。 cio.go.jp 標準ガイドライン（本編）：順守すべきルールを記載しています。 https://cio.go.jp/guides#guideline 標準ガイドライン解説書：本編の参考資料です。 https://cio.go.jp/guides#kaisetusyo 標準ガイドライン実践ガイドブック：実際のプロジェクトで活用する際に参考となるノウハウ等をまとめて…

「Web サイト等の整備及び廃止に係るドメイン管理ガイドライン」の概要

Web サイト等の整備及び廃止に係るドメイン管理ガイドライン 発行年月日：2018年3月30日 https://cio.go.jp/sites/default/files/uploads/documents/domain_guideline.pdf 概要 このガイドラインは標準ガイドライン群の付属文書（標準ガイドライン群について - 家studyをつづって）の一つで、各府省等が保有・管理するWebサイト等、全てのドメインを対象として、Webサイト等のドメインに関する管理体系の見直し等の取組により、ドメイン管理のガバナンスを強化する目的で作成されました。上記の取り組みにより、国民等Webサイトの…

「政府機関等の対策基準策定のためのガイドライン（平成30年度版）」の概要

政府機関等の対策基準策定のためのガイドライン（平成30年度版） 発行年月日：2018年7月25日発行者：内閣サイバーセキュリティセンター https://www.nisc.go.jp/active/general/pdf/guide30.pdf 概要 「政府機関等の対策基準策定のためのガイドライン」は、国の行政機関、独立行政法人及び指定法人が「政府機関等の情報セキュリティ対策のための統一基準」を遵守するための対策事項を策定する際に参照するものであり、統一基準の遵守事項を満たすためにとるべき基本的な対策事項を例示し、考え方を解説したものです。 統一基準とガイドラインの関係 内容 第 1 部 総則…

「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画－２０１９－」の概要

クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画－２０１９－ 発行者：クレジット取引セキュリティ対策協議会発行年月日：2019年3月1日 www.meti.go.jp 概要クレジット取引セキュリティ対策協議会では、国際水準のクレジットカード取引のセキュリティ環境の実現を目的とし、カード会社、加盟店等関係各主体にむけたセキュリティ対策やその取組事項を取りまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を公開しています。 この実行計画は毎年度、進捗や達成度を踏まえたうえで改訂されています。 2019年版では、2018年6月1日に施行された「割賦販売法…

「重要インフラのサイバーセキュリティを改善するためのフレームワーク」の概要

重要インフラのサイバーセキュリティを改善するためのフレームワーク発行年月日：2018年4月発行者：アメリカ国立標準技術研究所（National Institute of Standards and Technology, NIST） 原文：https://doi.org/10.6028/NIST.CSWP.04162018 和訳（IPA）：https://www.ipa.go.jp/files/000071204.pdf 概要 2013年2月にアメリカのオバマ大統領は、重要インフラのサイバーセキュリティの強化に向けた大統領令（Exective Order）を発令しました。その指令により、NIS…

「テレワークセキュリティガイドライン」の概要

テレワークセキュリティガイドライン発行者：総務省発行年月日：2018年4月（第4版） http://www.soumu.go.jp/main_content/000545372.pdf 最近よく聞く言葉として「働き方改革」というものがあります。「働き方改革」の説明は以下のようなものになります。 「働き方改革は、一億総活躍社会実現に向けた最大のチャレンジ。多様な働き方を可能とするとともに、中間層の厚みを増しつつ、格差の固定化を回避し、成長と分配の好循環を実現するため、働く人の立場・視点で取り組んでいきます。」 引用元：働き方改革の実現 | 首相官邸ホームページ 上記にある「多様な働き方」の実現の…

「コード決済に関する統一技術仕様ガイドライン」の概要

コード決済に関する統一技術仕様ガイドライン発行者：一般社団法人キャッシュレス推進協議会発行年月日：2019年3月29日 利用者提示型版 https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/03/CPM_Guideline_1.1.pdf 店舗提示型版 https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/03/MPM_Guideline_1.0.pdf 概要 経済産業省が公開している「キャッシュレス・ビジョン」にもあるように、日本では、2…

「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」の概要

コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン 発行者：一般社団法人キャッシュレス推進協議会 発行年月日：2019年4月16日 https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/04/Fraud_Prevention_Guideline.pdf 概要 このガイドラインでの定義として、「コード決済」とは「バーコード又はQRコードを用いたキャッシュレス決済」の事をさしています。 このガイドラインではコード決済サービスに関して想定される不正について幅広く洗い出し、その上で特に…

サイバー・キルチェーンの原文の概要

サイバー・キルチェーンの原文発行者：Lockheed Martin https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf 概要 昨今のセキュリティ対策ではサイバー・キルチェーンという言葉がよく登場します。これは、アメリカの航空宇宙開発・軍用機器製造会社であるロッキードマーチン社が、もともと軍事用語にあった「キルチェーン」という言葉をサイバー攻撃に適用したものとなります。サイバー・キルチェーンでは、標的型攻撃におけ…

自動化ツール「Zapier」

自動化ツールの「Zapier」を使うことがあり、調べたことなどをまとめます。 ZapierとはWebサービス同士をAPI連携して、ルーチン作業を自動化する事ができるツールです。同じようなツールとしては「IFTTT」というツールがあります。 zapier.com Zapとは1つのまとまった処理の単位になります。Zapの中には「Trigger」と「Action」があります。 Trigger「Gmailに新しいメールが来たら」や「Slackで特定条件のメッセージが来たら」等、処理を開始するイベントです。 Actionトリガーを受けて次に起こす行動で「Slackの#generalにポストする」や、「G…

「無線LANを安心して利用するための手引書」の概要

無線LANを安心して利用するための手引書発行者：総務省発行年月日一般利用者が安心して無線LANを利用するために：2012年11月2日 http://www.soumu.go.jp/main_content/000199322.pdf 企業等が安心して無線LANを導入・運用するために：2013年1月30日 http://www.soumu.go.jp/main_content/000199323.pdf 一般利用者が安心して無線LANを利用するために 概要一般利用者が無線LANの情報セキュリティについて理解を深め、より安全に無線LANが利用できるような指針を示しています。無線LANの利用として、…

「医療情報システムの安全管理に関するガイドライン」の概要

医療情報システムの安全管理に関するガイドライン 発行者：厚生労働省 発行年月日：平成２９年５月（第 5 版） （ガイドラインを読んだ）背景 IoMT（Internet of Medical Things）という言葉の登場や、本ガイドラインでも触れられていますが、e-Japan戦略（ひいてはe-文書法）等の情勢もあり医療業界ではITの活用が促進しています。 IoMTについて iomt.or.jp e-Japan戦略 http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html以下は抜粋です。 「我が国は、すべての国民が情報通信技術（I…

FIDO（U2F）セキュリティキーの付け替え手順

はじめに 本記事ではFIDO（U2F）のセキュリティキー交換の至った経緯と実際の交換手順をまとめています。セキュリティキー交換手順から読まれる場合は交換手順へお進みください。 なお、FIDOについては本ブログでも紹介しています。 パスワードに代わるもの（FIDO） - 家studyをつづって セキュリティキー交換までの経緯 2019年5月某日、一通の見慣れないメールが届きました。 5月に届いたメール メールを見てもすぐには状況が呑み込めませんでしたが、検索してみると以下のような記事が出てきました。 セキュリティキーの脆弱性に関する記事 www.security-next.com 冒頭のメールは…

大学で発生した不正アクセス（2018年）

2019年6月10日に日本ネットワークセキュリティ協会（JNSA）より、2018年に発生した個人情報が漏洩したインシデントについての集計結果が出ました。 www.jnsa.org 公開された調査結果の中に、情報漏洩の件数が増えている業界として教育・文教系の増加が示されていました。 JNSAの資料より抜粋 実際に2018年は、特に大学でメールシステムへ不正アクセスが行われ、外部にメールが転送され情報が漏洩した、というようなインシデントを多く見かけたと思います。 インターネット上で見つけられた大学における情報漏洩について以下にまとめます。 大学で発生した情報漏洩（2018年～2019年） 大学名 …

「連邦政府外のシステムと組織における管理された非格付け情報の保護」の概要

連邦政府外のシステムと組織における管理された非格付け情報の保護 発行機関：アメリカ国立標準技術研究所（National Institute of Standards and Technology, NIST）発行年月日：2016年12月 原文：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r1.pdf和訳（IPA）：https://www.ipa.go.jp/files/000057365.pdf 概要このガイドラインを読むうえで理解する必要がある事として、アメリカにおける重要情報の区分考え方があります…