情報セキュリティインシデントへの対応
情報セキュリティインシデントに関する調査報告書 別紙 第 1.0 版 NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ Copyright 2018 NPO Japan Network Security Association (JNSA)
... 実際の訴訟では、これらの項目以外にも、事前の保護対策状況、漏えいした情報 の量、漏えい後の実被害の有無、事後対応の具体的な内容なども評価されると考え られる。しかし、当該算定式の策定において参考にする情報は公開情報であり、そ ...
16
目次 1. はじめに 背景 目的 調査概要 文献調査 内部不正による情報セキュリティインシデントに関する概況 環境犯罪学に関連する理論の整理 本調査における定義と分類 アンケート
... ・CSIRT は外部攻撃と内部不正の両方に対応すべきであるが、常時内部不正に備えて監視する事はやり すぎである。 ・CSIRT が内部不正対策を担当することには賛成しない。内部不正専門のセキュリティ管理者が必要であ る。CSIRT はインシデントに対して内部調整を行う機能もあるが、被害の最小化など技術的な内容も重要で ...
85
情報セキュリティ白書 2018 深刻化する事業への影響 : つながる社会で立ち向かえ 2017 年度に情報セキュリティの分野で起きた注目すべき出来事を分かりやすく解説 2018 年 7 月 17 日発行 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や政府等に
... 仮想通貨「NEM」 の不正流 出(不正移転)が発生し、仮想通貨交換業のセキュリティ上の問題点等が浮き彫りと なった(仮想通貨不正移転問題)。様々な問題やインシデントが発生した原因としては、 ブロックチェーン技術等の仮想通貨固有の課題(ファイナリティ問題等)もあるが、 ...
19
大学における情報セキュリティ対策と情報セキュリティポリシーの浸透 岡部寿男京都大学学術情報メディアセンター長 概要 : 大学におけるキャンパスネットワーク運用の歴史はセキュリティインシデントへの対応の歴史でもあった インターネットの導入が早期行われた大学ほど キャンパスネットワークはオープンで かつ
... 2 http://www.miako.net/index.html 8. 京都大学 KUINS が提供する VPN サービス MIAKO ネット、eduroam、ならびに学外 からの接続に利用している VPN で、一番メ インに使っているのが MS PPTP である。こ れは、Windows だけでなく、MacOS、iOS、 Android な ど も 標 準 で 対 応 し て い る。 KUINS- ...
7
デジタル署名付 JPCERT コーディネーションセンター インシデント報告対応レポート
... (注 1) 「コンピュータセキュリティインシデント」とは、本稿では、情報システムの運用におけるセキュ リティ上の問題として捉えられる事象、コンピュータのセキュリティに関わる事件、できごとの 全般をいいます。 JPCERT/CC ...
18
agenda 最近のセキュリティリスクの傾向 標的型攻撃にみる攻撃の構造例 サプライチェーン攻撃で鉄壁の守りも突破 ビジネスメール詐欺の被害拡大 サイバーセキュリティ経営ガイドライン 攻撃の組織化とCSIRT CSIRTによるインシデント対応 1
... NEWS⑥ CSIRTで重要なのは 発生時だけじゃない! インシデント対応の考え方は多数存在するが、本セミナーではNISTのコンピュータセキュリ ティ部門がまとめたコンピュータセキュリティ関係のレポートSP800-61(r1)を解説している。 ...
32
近年のセキュリティインシデント インターネットにおける事件が多様化 ウェブサイトにおけるセキュリティ事件も多発 時期 報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ 米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20
... セキュアなウェブサイト構築基準 PCI DSS (Payment Card Industry Data Security Standard) クレジット業界におけるグローバルセキュリティ国際基準 カード会員データを保護するために、基本設計概念・設計・手続き・管理・ 運用などの基準を12の「要件」として規定している ...
24
1 目次 1. 全体の仮説 2 2. 国際標準と情報セキュリティ早期警戒パートナーシップ 9 3. ソフトウェア製品開発者における国際的な脆弱性情報の取扱い グローバルなウェブサイトにおける脆弱性対応 情報セキュリティ早期警戒パートナーシップのグローバル化対応に向けて 73
... 能にする脆弱性は、攻撃者が機密情報を閲覧したり変更するのにその悪意 のあるソフトウェアを使うことができるため、機密性や完全性に深刻な影響を 与え可能性がある。ネットワーク製品の脆弱性で製品をクラッシュされるよう な脆弱性は、可用性に影響を及ぼす。脆弱性の実際の影響度は、どのように ...
76
2013 年情報セキュリティインシデントに関する調査報告書 ~ 個人情報漏えい編 ~ 第 1.2 版 2014 年 12 月 25 日 2015 年 2 月 23 日改訂 NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ 情報セキュリティ大学院大学原田研究室廣松研究室
... Suica のデータは個人情報に該当しないことの詳細な説明 やオプトアウトの仕組み 3 を追加したが、データの販売は見合わせたままである。 個人情報保護法の施行以来、個人情報の利活用が難しくなった。しかし、個人情報 保護法の施行から 10 ...
61
クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応
... “Check” のフェーズに相当)においては、リスク 軽減策の各実施主体が自分の情報セキュリティ管理に関して行うとともに、当該金 融サービスの運営主体であるクラウド利用機関がそれらの評価結果をベースに「同 サービスに関する情報セキュリティ管理が適切に行われているか否か」を評価する ...
26
2014 年情報セキュリティインシデントに関する調査報告書 ~ 個人情報漏えい編 ~ 第 1.0 版 2016 年 6 月 16 日 2016 年 7 月 11 日改定 NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ 情報セキュリティ大学院大学原田研究室廣松研究室 C
... 1 の個人情報が漏えいしたインシデント件数が多い業界は「公 務」 、 「金融業,保険業」 「教育,学習支援業」である。精神的苦痛レベル 2 の個人 情報が漏えいしたインシデント件数が多い業界は、 「金融業,保険業」 「公務」「教 育,学習支援業」である。 「金融・保険業」については経済的損失の場合と同様に ...
62
セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」
... た、共有された情報の信頼度をどのように可視化するかも真剣に考えなければならない。 情報は絶えず変化するものであり、時間経過により無効化するものもある。さらに、悪意 に満ちた偽の情報が混入する可能性もあるなど、正確性、信頼性を担保するのは難しい。 その解決の糸口の一つとして受信者による「フィードバック」が考えられるが、そのフィ ...
21
クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応
... ミック(自律型) ・コンピューティング」が挙げられる(岩野[2010] ) 。本コン セプトは、事前に設定されたポリシーに基づき、当該情報システムが問題発生 に対して自律的に判断・対応するというものであり、クラウドの情報システム 等への活用方法について検討が進められている。今後、オートノミック・コン ...
32
情報セキュリティ月間 キックオフ シンポジウムパネルディスカッション 2 情報セキュリティにおける脅威の動向とその対策の展望について ~IPA~ 独立行政法人情報処理推進機構 (IPA) セキュリティセンターセキュリティセンター長矢島秀浩情報セキュリティ技術ラボラトリー長小林偉昭
... IPAとは ( Information-Technology Promotion Agency,Japan) ◇経済産業省所管の独立行政法人 ◇IT産業の健全な発展を推進し、国民すべてにITのメリットが行き渡る社会の実現に向けた取組み ◇次の4つの柱がIPAの重点施策 ...
34
目次 1. サイバー攻撃のデモ概要 2. 最近のサイバー攻撃 3. 制御システムの課題 問題提起 3.1 脆弱性対策と標準 評価 認証 3.2 サイバー攻撃によるインシデントへの対応 3.3 官民連携 PPP による情報共有 4. パネルディスカッションへ 安全な社会インフラの持続に向けて 2
... 個人情報流出 ⇒ 企業の社会的責任 知的財産情報の窃取 ⇒ 企業の競争力低下、国家の危機管理問題へ 制御機器やシステム停止 ⇒ 企業競争力低下、サプライチェーンの崩壊、 社会インフラの混乱、国家の危機管理問題へ ...
27
情報セキュリティ監査の実施 基本施策3 情報化社会に対応した行政体制づくり(市民生活・行政・情報公開・個人情報保護) | 結城市公式ホームページ
... 01 ・所属部門ごとに情報セキュリティ監査(内部監査)を実施し,情報 セキュリティ対策が適切に実行されていることを確認する。 ・職員が自らセキュリティ対策を実践できるよう情報セキュリティポ リシー研修を実施し,セキュリティポリシーの理解と知識を深める。 ...
2
目次 はじめに IoT 関連のセキュリティ事例セキュリティに関する対応を行う上での課題 IoTセキュリティ評価のためのチェックリストについてまとめ 2
... — Aggregator:センサからのデータを集約して処理をする機器 — Communication channel:データの送受信を行うための通信路 — eUtility(external utility):サービスを提供する/受ける機器 — Decision trigger:データの加工や計算をするための機器 ...
41
IT製品の調達におけるセキュリティ要件リスト 情報処理推進機構:情報セキュリティ:ITセキュリティ評価及び認証制度(JISEC)
... 19 CCRA(Common Criteria Recognition Arrangement)とは、各国の政策実施機関が IT 製品等の安全性を客観的に評価した結果を 国際的に相互承認するための枠組。 20 CCRA ポータルサイトからダウンロード可能 https://www.commoncriteriaportal.org/files/ppfiles/pp0069b_pdf.pdf 21 ...
37
(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把
... 国内外の関係者との連絡調整等のコーディネーション機能を担う事業である。 主な内容としては、国内企業等における情報システムや制御システムに対す るインシデント対応支援や被害拡散の抑止、インシデントの発生原因となるソ ...
5
イノベーションに向けた体制整備 1. イノベーション促進に向けた体制整備 2. プライバシー サイバーセキュリティへの対応
... ITS・自動走行に係る関心の高まりの中、各業界内では、検討会などが設置。 今後、分野横断的な業界等が、課題解決に向けて具体的な意見交換が行われる場を作っていくことが必要ではないか。 更に、それが、ITS・自動走行の導入に向けたニーズ・関心を有する地域における具体的取組につながるようにすべきではないか。 <ITS Japan> ...
13