目的
設計、プログラミング、顧客説明等、様々なタイミングでセキュリティに関する調査を行います。
その都度、探さずに済むようリンクをまとめます。
セキュリティ設計
IPA 情報セキュリティ対策
https://www.ipa.go.jp/security/measures/index.html
ISMS(情報セキュリティマネジメントシステム)
https://isms.jp/
NIST CSF(IPA 翻訳版)
https://www.ipa.go.jp/files/000071204.pdf
脆弱性対策
IPA 脆弱性対策(脆弱性対応ガイドライン等)
https://www.ipa.go.jp/security/vuln/index.html#section1
日本ネットワークセキュリティ教会
http://www.jnsa.org/
プログラミング
JPCERT/CC セキュアコーディング
https://www.jpcert.or.jp/securecoding/
IPA セキュアプログラミング講座(掲載が少し古い)
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
IPA 普及啓発資料(安全なウェブサイトの作り方、安全なSQLの呼び出し方、等々)
https://www.ipa.go.jp/security/vuln/index.html#section20
ペネトレーションテスト
PCI DSS Penetration Testing Guidance(ペネトレーションテストと脆弱性診断の違い、必要資格、等)
https://www.pcisecuritystandards.org/document_library
脆弱性情報の収集
JVN
https://jvn.jp/
IPA 脆弱性対策(脆弱性の新着情報)
https://www.ipa.go.jp/security/vuln/index.html#section2
@police(警察庁)(インターネット定点観測情報がある)
https://www.npa.go.jp/cyberpolice/
OWASP TOP 10
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
LAC(注意喚起)
https://www.lac.co.jp/lacwatch/alert/
文書体系
NISTのSPシリーズ(SPシリーズ以外もあり気になる)
https://csrc.nist.gov/publications/sp
IPAの日本語翻訳済みNIST文書
https://www.ipa.go.jp/security/publications/nist/index.html
PCIDSS(Payment Card Industry Data Security Standard)※日本語版あり
https://www.pcisecuritystandards.org/document_library
日本カード情報セキュリティ協議会
http://www.jcdsc.org/index.php
セキュリティーブログ
Microsoft 日本セキュリティチームのブログ
https://blogs.technet.microsoft.com/jpsecurity/
https://www.secure-sketch.com/blog/nist-cybersecurity-framework
イギリス NCSC https://www.ncsc.gov.uk/
オーストラリア ACSC https://www.cyber.gov.au/publications/strategies-to-mitigate-cyber-security-incidents-mitigation-details
警察庁 https://www.npa.go.jp/cyber/
総務省 http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html
経産省 https://www.meti.go.jp/policy/netsecurity/mng_guide.html
有名なOSS界隈だと
OWASP https://www.owasp.org/index.php/Guidelines_of_OWASP
後で見るメモ
https://www.jnsa.org/result/incident/2018.html
https://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-858-computer-systems-security-fall-2014/index.htm
https://www.ipa.go.jp/security/publications/hakusyo/2019.html
■GDPR完全遵守企業は28%、対応しきれないのは30%超
Capgeminiによる1000人以上の担当者に調査。前回(2018/5)調査で78%が対応できると回答したが、今回完全対応したのは28%、36%はGDPRの条件が複雑すぎて導入に多段の努力が必要とし、3分の1は準拠の経済的コストが高く対応しきれないと回答。一方、対応している企業の90%の役員がブランド力や信頼向上につながったと回答している。
News Release
https://www.capgemini.com/jp-jp/news/championing-data-protection-and-privacy-report/
■CCPA対応に企業は最大6兆円負担
カリフォルニア消費者プライバシー法(CCPA: California Consumer Privacy Act) への対応に、企業は最大6兆円の負担が発生するとの報告。
https://jp.cointelegraph.com/news/ccpa-costs-california-companies-55-billion-dollar
元記事https://www.cnbc.com/2019/10/05/california-consumer-privacy-act-ccpa-could-cost-companies-55-billion.html
レポートhttp://www.dof.ca.gov/Forecasting/Economics/Major_Regulations/Major_Regulations_Table/documents/CCPA_Regulations-SRIA-DOF.pdf
■ サイバー危機対応机上演習(CyberCREST):11/15(金)、16(土)開催
・日程:2019年11月15日(金)~11月16日(土) 2日間
・場所:独立行政法人 情報処理推進機構
東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス 13階
・受講料:30万円(税込)
本演習は、米国IronNet Cybersecurity社(※)のナレッジ・ノウハウをベースに、IronNet Cybersecurity社とIPAが我が国の社会インフラ・産業基盤防護をテーマにオーダーメイド開発したもので他にないプログラムです。米国CISO経験者やサイバーセキュリティ専門家が来日して実施致します。
※IronNet Cybersecurity社:米国国家安全保障局(NSA)元長官、米国サイバー
軍初代司令官のキース・B・アレクサンダー氏が共同最高経営責任者を務める会社です。
Industrial Internet Consortiumから、掲題のレポート(英語)が公開されていました。
データ保護の事例が体系的にまとめられています。
Data Protection Best Practice (IIC)
https://www.iiconsortium.org/pdf/Data_Protection_Best_Practices_Whitepaper_2019-07-22.pdf
立情報学研究所「高信頼な機械学習応用システムによる価値創造」プロジェクトで、FRAMワークショップとSTAMPワークショップの合同開催となっています。
https://ai-iot-system-safsec.connpass.com/event/150933/
プログラムの詳細は、こちらです。
https://qaml.jp/2019/10/15/ai-iot-participate/
FRAMとSTAMPについては、いかが参考になるかもです。
https://www.ipa.go.jp/files/000057123.pdf
東京電機大学(東京:北千住駅)にて「CySec国際化サイバーセキュリティ学特別コース」の2020年度コースの募集が開始されます。(1年間:半年講座*7科目)
この講座は国際的な情報セキュリティ・プロフェッショナル認定資格であるCISSPの共通知識体系を基本としたカリキュラムを準備し、CISSP資格の取得に活用できます。
また、法律・倫理など制度的枠組み、攻撃者の意図や行動に関する洞察、企業ガバナンスなど、幅広くかつ高度な能力を育成するための7科目にて構成されます。
受講費も比較的安価な為、興味がありましたら、以下御参照下さい。
●Web
https://cysec.dendai.ac.jp/admission/
●募集受付期間 2019年 11月18日(月)~ 2019年 12月18日(水)12:00
●受講手続き時に必要となる費用(登録料・受講費・施設利用費・電子教材費)
【登録料】 10,000円
【受講費】 32,000円/科目 (7科目で 224,000円)
1科目 32,000円 2科目 64,000円 3科目 96,000円 4科目 128,000円
5科目 160,000円 6科目 192,000円 7科目 224,000円
IPAは2018年に社会的影響が大きかった情報セキュリティ上の脅威を「情報セキュリティ10大脅威2019」として発表(1/30)、「個人」と「組織」にわけて上位10項目を選出している。2月下旬には10大脅威の詳細な解説をウェブサイトで公開予定。
・プレス発表 「情報セキュリティ10大脅威 2019」を決定
内閣サイバーセキュリティセンター(NISC)の「インターネットの安心安全ハンドブックV4.03」
マカフィーは、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2018年のセキュリティ事件に関する意識調査」を実施し、その結果を基にした2018年の10大セキュリティ事件を発表。
マカフィー、2018年の10大セキュリティ事件ランキングを発表