HOME >> 情報セキュリティ >> 脆弱性対策

脆弱性対策

>> ENGLISH

脆弱性対策 Contents:

[定期レポート] 脆弱性届出状況、JVN iPediaの登録状況、10大脅威 他
[脆弱性対応ガイドライン] 早期警戒ガイドライン、届出システム、製品の対応状況 他
[調査報告書&概説資料] 脅威の分析と対策、脆弱性評価関連、セキュリティ対策(組込み、重要インフラ、自動車他)、バイオメトリクス、情報家電 他
[普及啓発資料] 安全なウェブサイトの作り方、安全なSQLの呼び出し方、WAF読本他
[見える化ツール] iLogScanner、AppGoat、JVN iPedia、MyJVN(バージョンチェッカ、セキュリティ設定チェッカ、API、セキュリティ対策情報発信サービス for Twitter)、脆弱性検証ツール(TCP/IP、SIP)、icat、iCodeChecker 他
[各種セミナー講演資料] SEMICOM Japan2009、PacSecカンファレンス2009 他

What's New

対策情報(掲載日、深刻度、タイトル) >>一覧

5月13日 (注意) 「OpenPNE」におけるクロスサイト・スクリプティングの脆弱性
5月8日 (警告) 「Online Service Gate」におけるパスワード管理不備の問題
4月26日 (警告) 「Yahoo!ブラウザー」におけるアドレスバー偽装の脆弱性
4月26日 (警告) Android 版「jigbrowser+」におけるアドレスバー偽装の脆弱性

脆弱性対策情報データベースJVN iPedia >>一覧、 >>ENGLISH

コンテンツ新着情報  >>新着一覧、  >>ENGLISH

4月23日 ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第1四半期(1月〜3月)]を公開
4月18日 脆弱性対策情報データベースJVN iPediaの登録状況[2013年第1四半期(1月〜3月)]を公開
3月18日 「スマートテレビの脆弱性検出に関するレポート」を公開
ページトップへ

定期レポート

脆弱性に関する届出状況 >>一覧

4月23日 2013年第1四半期(1月〜3月)
脆弱性の届出件数の累計が8,444件になりました。

JVN iPediaの登録状況 >>一覧

4月18日 2013年第1四半期(1月〜3月)

脆弱性対策情報の登録件数が累計39,000件を超過しました。

情報セキュリティ白書

ページトップへ

脆弱性対応ガイドライン

情報セキュリティ早期警戒パートナーシップガイドライン >>一覧

 関係者(発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者)に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。

2010年版 公開

脆弱性関連情報の「届出システム」

 ガイドラインに基づき、ソフトウェア製品およびウェブアプリケーション(ウェブサイト)の脆弱性に関する情報の届出を受け付けています。

ページトップへ

製品の対応状況

 日本国内の製品開発者の脆弱性対応状況、および国内で利用されているソフトウェア等の製品に関する脆弱性対策情報を、Japan Vulnerability Notes (JVN)で公開しています。JVNは、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)とIPAが共同で運営しています。

JVN (日本語版)Japan Vulnerability Notes (JVN)

(ENGLISH)Japan Vulnerability Notes (JVN)

ページトップへ

調査報告書&概説資料

ファジングの利活用

2013年3月 総合ページ更新

脆弱性を狙った脅威の分析と対策についての報告

2011年9月 東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析
2011年3月 止められない!マルウェアが行う攻撃サーバとの通信
2010年7月 「文書閲覧ソフトウェアの古い脆弱性を狙った標的型攻撃」について
2010年6月 実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」
2009年7月 ツールを利用した標的型攻撃の広がりについて
2009年2月 ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策

組込みシステム・制御システムのセキュリティ対策関連

バイオメトリクス関連

脆弱性の評価システム・取扱いフレームワーク関連

オープンソースソフトウェア関連

ページトップへ

普及啓発資料

  • 安全なウェブサイトの作り方
     IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料です。
  • 安全なSQLの呼び出し方
     「安全なウェブサイトの作り方」の別冊として、SQLインジェクション対策が安全なものであるための要件を掘り下げて検討し、どの製品をどのように使えば安全なSQL呼び出しを実現できるのか、いくつかの具体的ケースについて示しています。
  • Web Application Firewall 読本
     ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。WAFの概要、機能の詳細、導入におけるポイント等をまとめました。
  • DNSキャッシュポイズニング対策
     「DNSキャッシュポイズニングの脆弱性」の対策を促進することを目的としており、検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。
ページトップへ

「見える化」ツール&データベース

脆弱性の理解・対策情報の入手

  • 知っていますか?脆弱性(ぜいじゃくせい)
     ウェブサイトの運営者や一般利用者向けに、ウェブサイトにおける代表的な10種類の脆弱性について、わかりやすくアニメーションで解説したものです。脆弱性についての理解を深める第一歩としてご活用ください。
  • 脆弱性対策情報データベース JVN iPedia
           国内の製品開発者から公開された対策情報、および海外の脆弱性対策情報データベースに登録された情報に基づき、国内で利用されている製品を対象にした脆弱性対策情報を網羅、蓄積しています。
  • MyJVN バージョンチェッカ
     PCにインストールされているソフトウェア製品が最新のバージョンであるかを確認することができるツールです。最新のバージョンでない場合は、ソフトウェア製品ベンダのバージョンアップページへ容易にアクセスが可能です。
  • MyJVN セキュリティ設定チェッカ
     PCで使われているWindowsのセキュリティ設定項目を簡単な操作で確認することができるツールです。設定を変更するための説明ページへ容易にアクセスすることが可能です。
  • セキュリティ対策情報発信サービス for Twitter
     一般利用者がセキュリティ対策情報を迅速に入手できるように「緊急対策情報」、「脆弱性対策情報データベース JVN iPedia」、「MyJVNバージョンチェッカ」の更新情報を、Twitter(ツイッター)上で発信するサービスを提供しています。
    下記のIPAのTwitterアカウントをフォローすることで、新着の脆弱性対策情報を取得することが可能です。
    • @ICATalerts
      IPAから発信している緊急対策情報を投稿しています。
    • @JVNiPedia
      「脆弱性対策情報データベース JVN iPedia」に新規に公開した脆弱性対策情報を投稿しています。
    • @MyJVN
      「MyJVN バージョンチェッカ」で対象としているソフトウェアのバージョン更新情報を投稿しています。
  • MyJVN API
     JVN iPediaの情報を、Webを通じて利用するためのソフトウェアインタフェースです。誰でも、MyJVNが提供する APIを利用して様々な脆弱性対策情報を取得し、脆弱性対策情報を利用したサイトやアプリケーションを開発することが可能となります。
  • 脆弱性対策情報収集ツール MyJVN
     JVN iPediaに登録された脆弱性対策情報の中から、利用者が必要とする情報のみを効率的に収集できます。情報収集にかかる時間の節約だけではなく、適切な対策を素早く実施できるようになります。
  • サイバーセキュリティ注意喚起サービス「icat」
    •        本ツールをウェブサイトに設置することで、IPAが公開した最新の「緊急対策情報」の一覧を自動的に取得・表示することができます。

情報セキュリティ対策の学習

  • 5分でできる!情報セキュリティポイント学習
     物を作ることを主体とする企業(建設業・製造業等)と、物を売ることを主体とする企業(小売業・卸売業等)の2種類の分野別、経営者・管理者・一般社員の職位別に、合計105の学習テーマから、情報セキュリティ対策について理解を深めることができます。
  • 安全なウェブサイト運営入門
     ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイング形式で体験的に学習できるソフトウェアです。事件や事故が発生した場合の被害を理解し、事前対策の必要性を学ぶことができます。
  • 脆弱性体験学習ツール AppGoat
           脆弱性体験学習ツール「AppGoat」は、開発経験の浅い初心者から上級者までが利用できる、脆弱性の発見方法、対策について実習形式で体系的に学べるツールです。
  • ソースコードセキュリティ検査ツール「iCodeChecker」
    •        ソースコードセキュリティ検査ツール「iCodeChecker」は、C 言語で作成されたソースコードに脆弱性が存在しないかどうかを検査するツールです。

脆弱性を狙った攻撃の状況把握

  • ウェブサイト攻撃の検出ツール iLogScanner
     ウェブサイト運営者向けのツールです。ウェブサイトのログを解析することで、そのサイトへの攻撃痕跡を確認できます。また、一部の痕跡に関しては攻撃が成功した可能性を確認できます。

脆弱性を作らないために

  • セキュアプログラミング講座
     ソフトウェア開発の現場で働いている設計者およびプログラマ向けに、各種の脆弱性を紹介するとともに、これらを含まないようにプログラミングするテクニックを紹介しています。
ページトップへ

各種セミナー講演資料

脆弱性をテーマとした各種セミナーの講演資料を掲載。

財団法人 防衛調達基盤整備協会様
  • 2012年2月23日開催 「情報セキュリティ技術セミナー」
    講義資料_
計測展2011 Tokyo テクニカルセミナー
  • 2011年11月18日開催 制御システムセキュリティ 国際標準の現状と日本の取組み
    講義資料_
Embedded Technology2011 IPAセミナー
  • 2011年11月17日開催 組込み系システムにおけるセキュリティ対策の取組み
    講義資料_
IPA セキュリティセンター主催セミナー 3
IPA情報セキュリティ月間記念シンポジウム2011
社団法人 情報処理学会
一般社団法人 情報通信ネットワーク産業協会
IPA セキュリティセンター主催セミナー 2
社団法人 組込みシステム技術協会
情報セキュリティ・ワークショップ
IPA セキュリティセンター主催セミナー
SEMIジャパン
dragostech.com inc.
CRITIS'09 Committees
社団法人私立大学情報教育協会
SEMIジャパン
社団法人日本通信販売協会
特定非営利活動法人 日本PostgreSQLユーザ会
一般社団法人 日本オンラインゲーム協会
(JOGA:Japan Online Game Association)
日本 PHP ユーザ会 (Japan PHP Users Group)
社団法人 日本印刷技術協会
(JAGAT:Japan Association of Graphic Arts Technology)
ページトップへ