HOME >> 情報セキュリティ >> 今月の呼びかけ

今月の呼びかけ

第13-08-276号
掲載日:2013年 2月 1日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

(PDFはこちら)

2013年2月の呼びかけ

「 毎年2月は情報セキュリティ月間です! 」
〜 セキュリティ向上のために今できること 〜

 スマートフォンの不正アプリや遠隔操作ウイルス感染など、国民生活に影響を及ぼす情報セキュリティに関する事案について多数報じられています。誰もが安心してITの恩恵を享受するためには、国民一人ひとりがこれまで以上に情報セキュリティについて関心を持ち、これらの問題に対応していく必要があります。このため政府では2010年から毎年2月を、情報セキュリティに関する普及啓発強化のための「情報セキュリティ月間」としています。
(ご参考)
・内閣官房情報セキュリティセンター(NISC)−「情報セキュリティ月間」
 http://www.nisc.go.jp/ism/index.html

 今月の呼びかけでは「情報セキュリティ月間」にちなんで、IPAセキュリティセンターが公表しているセキュリティ向上のためのコンテンツを目的別に分けて紹介します。個人の方々や、団体・企業の方のセキュリティ向上のために活用してください。
 IPAでは、個人の方をはじめ、企業のシステム担当者や開発者、社員教育担当者向けに様々なツール、普及啓発資料を公表しています。これらの資料・ツールを活用し、一人ひとりが今できることを実践することで、社会の情報セキュリティ向上につながることを期待します。

 なお、IPAではIT利用者からの相談を受け付けています。実際にパソコンのウイルス感染や不正アクセスの被害がある場合は、「(7)こんなときは…」に記載の連絡先までご相談ください。

(1)個人向けコンテンツ

     IPAが実施した情報セキュリティ対策の実施状況についての調査結果※1によると、情報セキュリティに関する脅威について、ワンクリック請求、フィッシング詐欺などの金銭被害に直結するものの認知度は高いものの、ボット、標的型攻撃、マルウェア(ウイルス、不正アプリ)の脅威はまだまだ充分な認知度に至っていないという傾向が見られました(図1参照)。

図1:情報セキュリティに関する攻撃・脅威の認知
図1:情報セキュリティに関する攻撃・脅威の認知

     さらに、問題意識があっても対策に反映されていない傾向※2も見られました。対策の必要性は感じつつも、「重要性を感じない」「対策の方法が分からない」など様々な理由で対策を取っていないケースがあると推測されます。
     以下に、個人利用者が対策を取る支援をするコンテンツを紹介します。是非ご活用ください。

    ※1 「2012年度 情報セキュリティの脅威に対する意識調査」報告書について
       http://www.ipa.go.jp/security/fy24/reports/ishiki/
    ※2 「セキュリティパッチを適用しないで使い続けること」を問題であると認識している利用者
       は約8割で、その一方「セキュリティパッチの更新」を実施しているのは約6割に留まって
       います。

    (a)今の状態をチェックしよう!
     「自分のパソコンをチェックしたいが、何をどうチェックしたらいいか分からない」という方には、下記のチェックツールをお奨めします。

    ・MyJVNバージョンチェッカ

    MyJVN

     http://jvndb.jvn.jp/apis/myjvn/
    ・MyJVNセキュリティ設定チェッカ
     http://jvndb.jvn.jp/apis/myjvn/sccheck.html


    MyJVNバージョンチェッカの使い方については、次のページをご参考ください。
    http://www.ipa.go.jp/security/txt/2012/04outline.html
     


    (b)セキュリティのイロハを学ぼう! ―脅威を知り、対策を考える―

    ・IPA対策のしおりシリーズ
     http://www.ipa.go.jp/security/antivirus/shiori.html


     ウイルス対策や不正アクセス対策から、インターネット利用時の危険対策、スマートフォンの
     セキュリティ対策まで、テーマごとに詳細に優しく解説。一読しましょう。
     

    対策のしおりシリーズ

(2) 企業向けコンテンツ(社員教育、社員啓発)

     企業向けコンテンツを、「社員教育、社員啓発」「情報セキュリティマネジメント」「システム担当者、開発者向け」に分けて紹介します。本項では社員の教育や啓発に活用できるコンテンツを紹介します。

    ・初めての情報セキュリティ対策のしおり
     http://www.ipa.go.jp/security/antivirus/documents/09_hazimete.pdf

    初めての情報セキュリティ対策のしおり


     新入社員向けの、基本的なセキュリティ対策を紹介しています。
     技術的対策のみならず、守秘義務、物理的セキュリティなど、企業の一員として業務を遂行
     するにあたって身に着ける必要がある事柄を挙げ、紹介しています。
     

    ・5分でできる!情報セキュリティポイント学習
    −事例で学ぶ中小企業のためのセキュリティ対策−
     http://www.ipa.go.jp/security/vuln/5mins_point/

    5分でできる!情報セキュリティポイント学習


     主に中小企業で働く方を対象とした、1テーマ5分で情報セキュリティについて勉強できる学習
     ツールです。
     あなたの職場の日常の1コマを取り入れた親しみやすい学習テーマで、セキュリティに関する
     様々な事例を疑似体験しながら正しい対処法を学ぶことができます。日頃のセキュリティ対策
     の確認にご活用ください。
     

(3) 企業向けコンテンツ(情報セキュリティマネジメント)

     本項では企業における情報セキュリティマネジメントの実践と促進に活用できるコンテンツを紹介します。

    ・中小企業のためのセキュリティツールライブラリ
     −Yes, Noチャートで最適なツールをご案内!−
     http://www.ipa.go.jp/security/manager/know/tool/

    中小企業のためのセキュリティツールライブラリ


     セキュリティ対策が必要なのは分かっているが、たくさんのツールの中からどうやって自分の
     会社にふさわしいものを見つけるか・・・と悩んでいる方にぜひ利用していただきたいのが
     このツール。設問に沿って進むだけで、現状の御社のセキュリティ状況を診断し、最適なツー
     ルをご案内します。
     

    ・企業や組織の情報セキュリティ対策自己診断テスト
     −情報セキュリティ対策ベンチマーク−
     http://www.ipa.go.jp/security/benchmark/

    情報セキュリティ対策ベンチマーク


     組織の情報セキュリティマネジメントシステムの実施状況を、自らが評価する自己診断ツール
     です。ウェブページ上の質問に回答することで、組織の情報セキュリティへの取組状況を簡便
     に自己評価することが可能です。
     

(4) 企業向けコンテンツ(システム担当者、開発者向け)

     本項では企業のシステム担当者と開発者向けのコンテンツを紹介します。

    (a)教材資料

    ・安全なウェブサイト運営入門
     −7つの事件を体験し、ウェブサイトを守り抜け!−
     http://www.ipa.go.jp/security/vuln/7incidents/

    安全なウェブサイト運営入門


     ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイン
     グ形式で体験的に学習できるソフトウェアです。事件や事故が発生した場合の被害を理解し、
     事前対策の必要性を学ぶことができます。
     

    ・脆弱性体験学習ツール AppGoat
     −突いてみますか?脆弱性−
     http://www.ipa.go.jp/security/vuln/appgoat/

    脆弱性体験学習ツール AppGoat


     開発経験の浅い初心者から上級者までが利用できる、脆弱性の発見方法、対策について
     実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に
     対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習
     を対話的に実施できます。
     

    (b)開発段階
     主にウェブサイト開発者が活用できるコンテンツを紹介します。
    (製品開発者が活用できるコンテンツは巻末で紹介しています。)

    ・安全なウェブサイトの作り方
    ・別冊「安全なSQLの呼び出し方」
     http://www.ipa.go.jp/security/vuln/websecurity.html

    安全なウェブサイトの作り方/別冊「安全なSQLの呼び出し方」


     ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するため
     の資料です。
     

    (c)運用段階
     脆弱性情報や、セキュリティ関連の注意喚起関する情報の収集には、以下のサービスがお奨めです。

      (c)−1 情報収集ツール

      ・サイバーセキュリティ注意喚起サービス「icat」
       http://www.ipa.go.jp/security/vuln/icat.html



       IPAが公開した注意喚起情報をリアルタイムに配信します。
       

      ・JVN iPedia 脆弱性対策情報データベース
       http://jvndb.jvn.jp/

      JVN iPedia 脆弱性対策情報データベース


       国内で利用されるソフトウェア製品の脆弱性に関する対策情報を収集・蓄積したデータベ
       ースです。国内で利用されているソフトウェアの脆弱性対策の情報を、ブラウザを通じて
       検索することができます。
       

      (c)−2 問題発生時、および問題発生に備えた対策

      ・情報漏えい発生時の対応ポイント集
       http://www.ipa.go.jp/security/awareness/johorouei/

      情報漏えい発生時の対応ポイント集


       情報漏えいインシデント対応における基本作業ステップや情報共有、発表などの共通的な
       事項に関するノウハウと、情報漏えいタイプ別の対応作業内容や留意点のノウハウをわか
       りやすく解説しています。
       

      ・Web Application Firewall 読本
       http://www.ipa.go.jp/security/vuln/waf.html

      Web Application Firewall 読本


       ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料
       です。
       WAFの概要、機能の紹介、導入におけるポイントを解説しています。
       

    (d)チェック・自己診断
     組織の活動において、現状を確認するために活用できるコンテンツを紹介します。

    ・ウェブ健康診断仕様
     −基本的な脆弱性対策ができているか現状を知るために−
     http://www.ipa.go.jp/security/vuln/websecurity.html

    ウェブ健康診断仕様


     ウェブサイトで基本的な脆弱性対策ができているかを確認する方法を解説しています。現在
     運用しているウェブサイトを診断することにより、対策が行われているかどうか現状を知るこ
     とができます※3
     診断後、現状に基づいて対策を検討・実施するには、前述の「安全なウェブサイトの作り方」
     を参考にしてください。
     

    ※3 「ウェブ健康診断仕様」の診断は、検査パターンを絞り込んだ診断ですので、脆弱性が検出されなかった場合
       でも、安全宣言には繋がりません。
    ・iLogScanner
     http://www.ipa.go.jp/security/vuln/iLogScanner/

    iLogScanner


     今までは専門的なスキルが必要だったウェブサーバのアクセスログ解析が、iLogScanner
     を使えば誰でも簡単に行うことができ、危険な攻撃と思われる痕跡を確認することが出来ま
     す。
     iLogScannerは、ブラウザ上で実行するJavaアプレット形式のツールとなっているので、
     ホームページを見ることができる環境ならば、どこでも簡単に使用することができます。
     

(5) 「ここからセキュリティ!」
  ―情報セキュリティを「始める」「学ぶ・教える」「強化」するポータルサイト―

     警察庁を始め、総務省、経済産業省などの関係省庁と、国内のセキュリティや通信に関連した団体、民間企業のコンテンツを集約し、情報セキュリティポータルサイト「ここからセキュリティ!」として公開しました。セキュリティ情報を利用するシーンや脅威ごとに分類していますので、欲しい情報に簡単にたどり着くことができます。

    ここからセキュリティ!

(6) 動画コンテンツの紹介(IPA Channel)

     Youtube内にてIPAの公式チャンネル「IPA Channel」を開設しており、IPA主催の講演・セミナーの模様のほか、さまざまな動画を配信しています。

    ・「IPA Channel」再生リスト
     http://www.youtube.com/user/ipajp/videos?view=1

     その中でも特にお奨めの動画を紹介します。

     ・情報セキュリティ普及啓発映像コンテンツ

    情報セキュリティ普及啓発映像コンテンツ


     ・電車内動画

    電車内動画


     ・情報セキュリティ通信

    情報セキュリティ通信

(7) こんなときは…

     パソコンのウイルス感染や、不正アクセスの被害に遭って困っている、などといったご心配やご相談がありましたら、IPA安心相談窓口までご連絡ください。

    相談について

(8) その他




お問い合わせ先:

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴:

2013年 2月 1日 掲載