認証のためそれとも、企業内の情報セキュリティの推進
情報技術セキュリティ評価のためのコモンクライテリア パート 1: 概説と一般モデル 2017 年 4 月 バージョン 3.1 改訂第 5 版 CCMB 平成 29 年 7 月翻訳第 1.0 版 独立行政法人情報処理推進機構 技術本部セキュリティセンター情報セキュリティ認証室
... 570 CC では、部分的な適合は認められない。もし、PP が主張するならば、PP または ST は、 ひとつ、あるいは複数の参照 PP に完全に適合しなければならない。しかし、2 種類の適合 (「正確適合」と「論証適合」)があり、許可される適合の種別は、PP によって決定される。 つまり、PP は、次のように(PP 適合ステートメントで)ST ...
97
(3) 個人情報保護管理者の有無 位置づけ CPO は取締役である (4) 認証取得の有無 ( 時期 ) 認証の種類 その認証を取得した理由 効果 プライバシーマーク ISO9001 ISO14001 ISO27001 の認証を取得 情報セキュリティ格付 A AAis( トリプルA) IT-BCP
... ・プライバシーマーク、ISO9001、ISO14001、ISO27001 の認証を取得、情報セキュリティ格付「A AAis(トリプルA)」、IT-BCP第三者証明書を取得している。 ・情報システムインテグレーション及び情報システムアウトソーシング等の事業を通じ、多くの顧 ...
6
2019/6/12 ISMS団体認証のご提案 日本情報セキュリティ推進協会 JISSA 株式会社日本マネジメントシステム 横浜市中区海岸通3-9 横浜ビル6F TEL FAX アジェンダ 1.ご提案の概要 2.日本情報セキュリティ
... ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、リスクアセス メントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システム を運用することです。 ISMSが、達成すべきことは、リスクマネジメントプロセスを適用することによって情報の 機密性、完全性及び可用性をバランス良く維持・改善し、 ...
21
IT製品の調達におけるセキュリティ要件リスト 情報処理推進機構:情報セキュリティ:ITセキュリティ評価及び認証制度(JISEC)
... 19 CCRA(Common Criteria Recognition Arrangement)とは、各国の政策実施機関が IT 製品等の安全性を客観的に評価した結果を 国際的に相互承認するための枠組。 20 CCRA ポータルサイトからダウンロード可能 ...
37
中小企業の情報セキュリティ対策 ガイドライン第 3 版 独立行政法人情報処理推進機構 (IPA) セキュリティセンター 1
... 3 情報資産管理 情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。 4 アクセス制御及び認証 情報資産に対するアクセス制御方針や認証のルールを定めます。 5 物理的対策 ...
54
会員企業ご紹介 44 NRI セキュアテクノロジーズ株式会社 情報セキュリティのプロフェッショナル集団 NRIセキュアテクノロジーズ NRIセキュアテクノロジーズは 野村総合研究所グループの情報セキュリティ専門企業です 国内外の関連資格を取得し
... スレットインテリジェンスとは「脅威に対する意思 決定を支援する、適切に分析・評価された情報」 です。 PwC サイバーサービスが提供するサイバーセキュリティサー ビスは、意思決定に必要な分析・評価した情報であるスレッ トインテリジェンスをベースとして組み込んでいます。 さらに、PwC グローバルネットワークと連携することで、国 内外を問わず、収集・分析を行い蓄積された情報を活用し ています。 ...
5
IT 製品のセキュリティ認証の新たな枠組みの動向と展望
... 昨今話題となる情報システムの脆弱性は、そ のシステムの構成要素であるソフトウェアや ハードウェアなどのIT製品に残存する脆弱性 が起点となり、攻撃者の不正アクセスや情報漏 洩のよりどころを与えるケースが多い。安全性 の高いIT製品は、システムの安全性の確保に ...
6
我が国の情報セキュリティ最新事情 2017 年 8 月 9 日独立行政法人情報処理推進機構セキュリティセンター江口純一 Copyright 2017 独立行政法人情報処理推進機構 1
... 2. 自社は勿論のこと、 系列企業 やサプライチェーンの ビジネスパート ナー 、ITシステム管理の 委託先 を含めたセキュリティ対策が必要 3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスク や対策、対応に係る情報の開示など、関係者との 適切なコミュニ ...
60
外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1
... • ファジングにより、世界的に利用されているオープンソース 暗号ライブラリ「 OpenSSL」の脆弱性(Heartbleed)を検出 – https://www.synopsys.com/software-integrity/security-testing/fuzz-testing.html • Google が オープンソースソフトウェア向けファジングツール ...
19
目次 1. はじめに 調査背景 目的 調査の実施概要 文献調査 企業経営者の情報セキュリティに対する認識 姿勢... 2 企業経営者の情報セキュリティに対する認識 姿勢の実態... 2 CISO の設置状況... 4 情報セ
... Team) の機能は開発部門側に持たせており、CSIRT は外 部から入手した脆弱性等の情報を社内の PSIRT に迅速に共有するという形で連携している。 D 社の CSIRT はリスク管理部門、情報システム部門、品質保証部門、開発部門などの約 20 名 の部門横断的なメンバから構成されるバーチャルな組織である。D 社では ...
94
情報技術セキュリティ評価のためのコモンクライテリア パート 2: セキュリティ機能コンポーネント 2017 年 4 月 バージョン 3.1 改訂第 5 版 CCMB 平成 29 年 7 月翻訳第 1.0 版 独立行政法人情報処理推進機構 技術本部セキュリティセンター情報セキュ
... SFP の機能性を定義する規則は、アクセス制御 機能(FDP_ACF)及び TOE からのエクスポート(FDP_ETC)のような他のファミリによって定 義する。アクセス制御方針(FDP_ACC)で識別したアクセス制御 SFP の名前は、「アクセス 制御 SFP」の割付または選択を必要とする操作を持つ、他の機能コンポーネント全体にお ...
291
企業における情報セキュリティ実態調査2017
... ※5 Structured Threat Information eXpression。サイバー攻撃を特徴付ける事象などを 取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様 ※6 Trusted Automated eXchange of Indicator Information。サイバー攻撃に関連する 脅威情報を交換するための技術仕様 ...
33
カウンシルの創設について 重要インフラの情報セキュリティ対策の向上を図るため 重要インフラの情報セキュリティ対策の向上を図るため のにより のにより 2 月 日に創設 日に創設 政府機関から独立した会議体として 分野横断的な情報共有等の連携を推進 政府機関から独立した会議体と
... セプターカウンシルを構成するセプターと総会の構成員(セプターの代表者)は以下のとおり (注) 。 総会議長には伊藤氏(T-CEPTOAR代表者)、副議長には大久保氏(証券CEPTOAR代表者)を選出。 セプターカウンシルを構成するセプターと総会の構成員(セプターの代表者)は以下のとおり (注) 。 ...
6
標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 05 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー Copyright 2015 独立行政法人情報処理推進機構
... 2008 標的型攻撃メールに関する組織内注意喚起メールを加工 2009 新型インフルエンザ関連情報に偽装、添付ファイルのないメール 2010 [海外]Stuxnetによるイランの核施設攻撃 2011 東日本大震災・原発事故関連情報に偽装、やりとり型、Mac OS X 2012 [海外]水飲み場攻撃 ...
63
セキュリティこぼれ話:初めての情報セキュリティ対策
... うなことが、インターネットを介したネットワーク上のバーチャルな世界でも発生して いるわけです。 ボット ボットとは、パソコンに感染し、そのパソコンをネットワーク (インターネット)を通じて外部から操ることを目的として作成さ れたプログラムです。感染すると、外部からの指示を待ち(指 令サーバとの通信を一定間隔で実施する)、与えられた指示 に従って内蔵された処理を実行します。この動作が、ロボット ...
16
社員一人一人が気付き!考える!セキュリティ〜企業情報監理(セキュリティ)法〜
... 「脆弱性」 このようなウィニーの脅威に対して、企業として有効な管理策(コントロール)が取ら れていないこと。 具体的には、①ウィニーについての認識が不十分、②ウィニーについてのリスク分析 が不十分、③ウィニーについての防止・抑制・検出・回復・管理というコントロール策 ...
41
参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )
... (Policy on the use of cryptographic controls) • 電子政府推奨暗号リストに記載された公開鍵暗号による署名方式を用いることが求められ、安全な署 名結果を得るために重要である( レベル3 相当)。 • さらに安全性を求める場合( レベル4 )は、電子署名用証明書の用途を電子署名のみに限定すること が求められる。 ...
13
JAIST Repository: デジタル・トランスフォーメーション推進のための企業マインドセットに関する探索的研究:顧客、情報、革新、価値の領域を中心として
... DX の進捗度(成熟度)をデジタル能力 Digital Intensity(デジタル能 力)と Transformation Management Intensity(リーダシップ能力)の 2 軸を用いて 4 つのタイプに 分類し、整理したうえで、タイプごとの業績を比較した実証研究を行っている。 笠原ら (2018) は日本の BtoB ...
5
支部のこれまで活動の関係 気付き 出社してから退社するまで中小企業の情報セキュリティ対策実践手引き 略称 :9to5 URL: 運用 中小企業向け情報セキュリティポリシー サンプル 略称 : ポ
... 情報システム部門 ・主業務はアプリ開発、それに伴うサーバ、DB構築も行うが、主に委託者が実施 ・ネットワーク技術者はいない(知識が少ない) リソース 人員 ・明確な情報セキュリティ担当者はいない ・情報システム部門の人材のみではECサイトの構築、運用人員が不足するため、 外部委託している ...
36
ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平
... – 全てのルータで リモートアクセスが可能 – ほぼ全てのルータが 初期パスワード を変更していない – LAN内の他の機器にアクセスされる可能性もある http://japan.zdnet.com/article/35064561/ ...
21