脆弱性対策

• [定期レポート]
  脆弱性届出状況、JVN iPediaの登録状況、10大脅威　他
• [脆弱性対応ガイドライン]
  早期警戒ガイドライン、届出システム、製品の対応状況　他
• [調査報告書&概説資料]
  脅威の分析と対策、脆弱性評価関連、セキュリティ対策（組込み、重要インフラ、自動車他）、バイオメトリクス、情報家電　他
• [普及啓発資料]
  安全なウェブサイトの作り方、安全なSQLの呼び出し方、WAF読本
• [見える化ツール]
  iLogScanner、AppGoat、JVN iPedia、MyJVN（バージョンチェッカ、API、セキュリティ対策情報発信サービス for Twitter）、脆弱性検証ツール（TCP/IP、SIP）、icat　他
• [各種セミナー講演資料]
  SEMICOM Japan2009、PacSecカンファレンス2009　他

• 9月15日（警告）
  「EC-CUBE」における複数の脆弱性
  
• 9月15日（警告）
  EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
  
• 9月13日（警告）
  「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性
  
• 9月9日（警告）
  Movable Type 用プラグイン「A-Form」におけるクロスサイト・スクリプティングの脆弱性
  
• 9月5日（注意）
  シンクグラフィカ製「メールフォームプロ CGI」における情報漏えいの脆弱性
  
• 9月2日（危険）
  「PowerCMS」の XMLRPC API におけるコマンド・インジェクションの脆弱性
  

関係者（発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者）に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。

ガイドラインに基づき、ソフトウェア製品およびウェブアプリケーション（ウェブサイト）の脆弱性に関する情報の届出を受け付けています。

• 生体認証利用のしおり
• 生体認証システムの導入・運用事例集、生体認証導入・運用のためのガイドライン
• バイオメトリクス製品データベース（サービス停止中）
• 2010年度 バイオメトリクス・セキュリティに関する研究会 報告書

• セキュリティ設定共通化手順SCAP概説

• 共通脆弱性識別子CVE概説
• 共通脆弱性タイプ一覧CWE概説
• 共通プラットフォーム一覧CPE概説
• 共通脆弱性評価システムCVSS概説
• 脆弱性の深刻度評価の新バージョンCVSS v2について
• 共通脆弱性評価システムCVSS v3概説
• CVSS計算ツール(v2)
• CVSS計算ツール(v3)

• セキュリティ設定チェックリスト記述形式XCCDF概説
• 共通セキュリティ設定一覧CCE概説
• セキュリティ検査言語OVAL概説

• サイバー攻撃観測記述形式CybOX概説
• 検知指標情報自動交換手順TAXII概説
• 脅威情報構造化記述形式STIX概説

• 脆弱性情報共有フレームワークに関する調査報告書
• JVNRSSを用いた脆弱性対策情報の発信ガイド

	安全なウェブサイトの作り方 IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料です。
	安全なSQLの呼び出し方 「安全なウェブサイトの作り方」の別冊として、SQLインジェクション対策が安全なものであるための要件を掘り下げて検討し、どの製品をどのように使えば安全なSQL呼び出しを実現できるのか、いくつかの具体的ケースについて示しています。
	Web Application Firewall 読本 ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。WAFの概要、機能の詳細、導入におけるポイント等をまとめました。
	TLS暗号設定ガイドライン TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。TLSサーバが実現すべき安全性と必要となる相互接続性とのトレードオフを踏まえたうえで、実際に設定すべき「要求設定項目」を取りまとめました。本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。
	DNSキャッシュポイズニング対策 「DNSキャッシュポイズニングの脆弱性」の対策を促進することを目的としており、検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。
	『高度標的型攻撃』対策に向けたシステム設計ガイド 「『標的型メール攻撃』対策に向けたシステム設計ガイド」の改訂・拡充版として、情報システム内部に深くに侵入してくる高度な標的型攻撃を主対象とした、システム上の設計策を紹介しています。

• 安全なウェブサイトの運用管理に向けての20ヶ条
• ウェブサイトのセキュリティ対策の再確認を
• 情報セキュリティに関する啓発資料改訂
  個人や企業等の利用者がネットワークを利用する際に配慮すべき情報セキュリティ対策に役立つコンテンツを提供しています。
• 近年の標的型攻撃に関する調査研究－調査報告書－
• セキュリティエンジニアリング（ソフトウェア開発者向けのページ）

「見える化」ツール&データベース

脆弱性の理解・対策情報の入手

• 知っていますか？脆弱性（ぜいじゃくせい）
  ウェブサイトの運営者や一般利用者向けに、ウェブサイトにおける代表的な10種類の脆弱性について、わかりやすくアニメーションで解説したものです。脆弱性についての理解を深める第一歩としてご活用ください。
• 脆弱性対策情報データベース JVN iPedia
  
  国内の製品開発者から公開された対策情報、および海外の脆弱性対策情報データベースに登録された情報に基づき、国内で利用されている製品を対象にした脆弱性対策情報を網羅、蓄積しています。
• MyJVN バージョンチェッカ
  PCにインストールされているソフトウェア製品が最新のバージョンであるかを確認することができるツールです。最新のバージョンでない場合は、ソフトウェア製品ベンダのバージョンアップページへ容易にアクセスが可能です。
• セキュリティ対策情報発信サービス for Twitter
  一般利用者がセキュリティ対策情報を迅速に入手できるように「緊急対策情報」、「脆弱性対策情報データベース JVN iPedia」、「MyJVNバージョンチェッカ」の更新情報を、Twitter（ツイッター）上で発信するサービスを提供しています。
  下記のIPAのTwitterアカウントをフォローすることで、新着の脆弱性対策情報を取得することが可能です。
  • @ICATalerts
    IPAから発信している緊急対策情報を投稿しています。
  • @JVNiPedia
    「脆弱性対策情報データベース JVN iPedia」に新規に公開した脆弱性対策情報を投稿しています。
  • @MyJVN
    「MyJVN バージョンチェッカ」で対象としているソフトウェアのバージョン更新情報を投稿しています。
• MyJVN API
  JVN iPediaの情報を、Webを通じて利用するためのソフトウェアインタフェースです。誰でも、MyJVNが提供する APIを利用して様々な脆弱性対策情報を取得し、脆弱性対策情報を利用したサイトやアプリケーションを開発することが可能となります。
• 脆弱性対策情報収集ツール MyJVN
  JVN iPediaに登録された脆弱性対策情報の中から、利用者が必要とする情報のみを効率的に収集できます。情報収集にかかる時間の節約だけではなく、適切な対策を素早く実施できるようになります。
• サイバーセキュリティ注意喚起サービス「icat」
  
  本ツールをウェブサイトに設置することで、IPAが公開した最新の「緊急対策情報」の一覧を自動的に取得・表示することができます。

情報セキュリティ対策の学習

• 5分でできる！情報セキュリティポイント学習
  物を作ることを主体とする企業（建設業・製造業等）と、物を売ることを主体とする企業（小売業・卸売業等）の2種類の分野別、経営者・管理者・一般社員の職位別に、合計105の学習テーマから、情報セキュリティ対策について理解を深めることができます。
• 脆弱性体験学習ツール AppGoat
  
  脆弱性体験学習ツール「AppGoat」は、開発経験の浅い初心者から上級者までが利用できる、脆弱性の発見方法、対策について実習形式で体系的に学べるツールです。

脆弱性を狙った攻撃の状況把握

• ウェブサイトの攻撃兆候検出ツール iLogScanner
  iLogScannerは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。ウェブサイトのログを解析することで攻撃の痕跡を確認でき、一部の痕跡については攻撃が成功した可能性を確認できます。また、SSHやFTPサーバのログに対しても、攻撃と思われる痕跡を検出することができます。

脆弱性を作らないために

	「ファジング」総合ページ ファジング活用の手引き 別冊：ファジング実践資料 別冊：ファジング実践資料（UPnP編） 別冊：ファジング実践資料（テストデータ編） スマートテレビの脆弱性検出に関するレポート
	JPEGテスト支援ツール「iFuzzMaker」 「JPEG 画像を読み込む機能」を持つ製品に対するファジングを支援するオープンソースのツールです。 この「iFuzzMaker」では、それらの製品に対するファジングで使うテストデータを作ることができます。
	TCP/IPに係る既知の脆弱性に関する調査報告書 TCP/IPに係る既知の脆弱性検証ツール TCP/IP（Transmission Control Protocol / Internet Protocol）を実装する製品開発者向けに、TCP/IPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の 脆弱性“再発”防止のためのツールです。
	SIPに係る既知の脆弱性に関する調査報告書 SIPに係る既知の脆弱性検証ツール SIP（Session Initiation Protocol）を実装する製品開発者向けに、SIPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性“再発”防止のためのツールです。

• セキュアプログラミング講座
  ソフトウェア開発の現場で働いている設計者およびプログラマ向けに、各種の脆弱性を紹介するとともに、これらを含まないようにプログラミングするテクニックを紹介しています。

各種セミナー講演資料

脆弱性をテーマとした各種セミナーの講演資料を掲載。

IPA セキュリティセンター主催セミナー 7

• 2019年3月28日開催　 「脆弱性対策の動向と効果的な収集に向けて」セミナー
  講義資料
  

IPA セキュリティセンター主催セミナー 6

• 2018年3月5日開催　 「脆弱性対策の動向と脆弱性情報の効果的な収集に向けて」セミナー
  講義資料
  

IPA セキュリティセンター主催セミナー 5

• 2015年7月27日開催　 「情報セキュリティ対策の自動化を実現する技術仕様CVSSv3、STIX、TAXIIの概説」セミナー
  講義資料
  

INTEROP 2014

• 2014年6月13日開催　 Interop併催セミナー
  脅威の全貌をふまえた対策の考え方 ～侵入される前提の予防策、やってますか？～
  

IPA セキュリティセンター主催セミナー 4

• 2017年2月20日開催　 「脆弱性対策の効果的な進め方」セミナー(CVSS v3による評価)
  講義資料
  
• 2013年11月22日開催　 「脆弱性対策の効果的な進め方」セミナー(CVSS v2による評価)
  講義資料
  

財団法人 防衛調達基盤整備協会様

• 2012年2月23日開催 「情報セキュリティ技術セミナー」
  講義資料

計測展2011 Tokyo テクニカルセミナー

• 2011年11月18日開催 制御システムセキュリティ 国際標準の現状と日本の取組み
  講義資料

Embedded Technology2011 IPAセミナー

• 2011年11月17日開催 組込み系システムにおけるセキュリティ対策の取組み
  講義資料

IPA セキュリティセンター主催セミナー 3

• 2012年2月28日開催　 脆弱性対策の標準仕様SCAPの仕組み
  ～MyJVNバージョンチェッカのカスタマイズ入門～
  講義資料
  演習用 テンプレート
• 2011年10月14日開催　 脆弱性対策の標準仕様SCAPの仕組み
  講義資料
• 2011年9月14日開催　 脆弱性体験学習ツールAppGoatハンズオンセミナー
  講義資 料
• 2011年7月25日開催　 脆弱性体験学習ツールAppGoatハンズオンセミナー
  講義資料
  演習解説資料

IPA情報セキュリティ月間記念シンポジウム2011

• 2011年2月24日開催　 IPA情報家電セキュリティシンポジウム2011
  コネクテッドテレビの最新動向（CES2011報告）
  今、情報家電のセキュリティ対策の課題は何か
  IPAの提案するデジタルテレビにおけるセキュリティ対策検討ガイドの紹介

• 2011年2月24日開催　 IPA自動車のセキュリティシンポジウム2011
  自動車のセキュリティ脅威と対策の動向

• 2011年2月25日開催　 IPA重要インフラとスマートグリッドのセキュリティシンポジウム2011
  需要家サイドから見たスマートグリッドのセキュリティ動向（2010年度制御システムの情報セキュリティ動向に関する調査事業の中間報告）」

社団法人 情報処理学会

• 2011年2月3日 ソフトウエアジャパン 2011
  セキュリティを作り込む ～セキュリティ機能を体系的に設計・実装する～

一般社団法人 情報通信ネットワーク産業協会

• 2010年12月21日 えくすぱーと・ のれっじ・セミナー
  通信を行う組込み機器における セキュリティ
  通信技術の発展に伴う組込みセキュリティへの取組み

IPA セキュリティセンター主催セミナー 2

• 2010年11月1日、11月22日開催　 ウェブサイト運営者向けセキュリティ対策セミナー
  01.「はじめに：本セミナーの概要」と「1.脆弱性により引き起こされる被害」
  02.IPAの取り組みから分かるウェブサイトの脆弱性対策の実情
  03.安全なウェブサイト開発のための企画・発注・要件・検収
  04.安全なウェブサイト運営のための Web Application Firewall（WAF）
  05.オープンソース WAF「ModSecurity」 の導入事例

• 2010年11月2日、11月17日開催　 SCAPセミナー ～CVSSハンズオン編～
  01.脆弱性対策の最新動向とセキュリティ設定共通化手順SCAP
  02.「CVSS」を使いこなすための勘所 ~ウェブサイト運営者になって~
  講演資料
  解答用紙
  補足資料
  03.知っていますか？「JVN iPedia」

• 2010年11月2日、11月22日開催　 組込みシステムセキュリティ セミナー
  01.組込みシステムセキュリティと最近の動向
  02.「組込みシステムのセキュリティへの取組みガイド」のご紹介

社団法人 組込みシステム技術協会

• 2010年10月15日 第24回JASA/ETセミナー 自動車等組込みシステムのセキュリティ技術
  組込みシステムのセキュリティ調査報告 ～自動車・情報家電・制御システム～
  組込みシステムにおける最近のセキュリティ脅威等の紹介
  組込みシステムのセキュリティへの取組みガイド

情報セキュリティ・ワークショップ

• 2010年10月7日 in 越後湯沢
  情報セキュリティの脅威とBCP/BCM

IPA セキュリティセンター主催セミナー

• 2010年6月23日、7月14日開催　 ウェブサイト運営者向けセキュリティ対策セミナー
  01.IPAの取り組みから分かるウェブサイトの脆弱性対策の実情
  02.脆弱性により引き起こされた被害
  03.安全なウェブサイト開発のための企画・発注・要件・検収
  04.安全なウェブサイト運営のためのWAF

• 2010年6月28日、7月20日開催　 SCAP セミナー
  01.脆弱性対策の最新動向とセキュリティ設定共通化手順「SCAP」
  02.脆弱性の種類を分類するための「CWE」
  03.効率的な脆弱性対策のための「CVSS」
  04.脆弱性やセキュリティ設定をチェックする「OVAL」

• 2010年6月30日、7月22日開催　 組込み・制御システムに情報セキュリティ セミナー
  01.組込みシステムセキュリティの概要
  02.情報家電と自動車の情報セキュリティの脅威と対策
  03.欧米との比較から見た制御システムセキュリティ_背景更新版
  04.組込みシステムセキュリティへの取組み

SEMIジャパン

• 2009年12月2日 SEMICOM Japan2009
  自動車における組込みセキュリティについて

dragostech.com inc.

• 2009年11月4日～6日 PacSec カンファレンス 2009
  セキュリティ10大脅威と現状 ～アップデートしていますか？～

CRITIS'09 Committees

• 2009年9月30日～10月2日 4TH INTERNATIONAL WORKSHOP ON CRITICAL INFORMATION INFRASTRUCTURES SECURITY （CRITIS'09）
  Development of Information Security-Focused Incident Prevention Measures for Critical Information Infrastructure in Japan
  論 文

社団法人私立大学情報教育協会

• 2009年8月4日 平成21年度　大学情報セキュリティ研究講習会
  大学における最新の情報セキュリティ脅威事例

SEMIジャパン

• 2009年6月30日 「半導体デバイス品質向上と模造品対策の決め手」ワークショップ
  セキュリティーの必要性

社団法人日本通信販売協会

• 2009年4月15日（東京） 4月17日（大阪） 6月2日（名古屋） 6月11日（福岡）
  ネット通販セキュリティ対策セミナー
  ネット通販サイトにおける脅威と対策方針
  ネット通販サイト開発者向け具体的対策

特定非営利活動法人 日本PostgreSQLユーザ会

• 2009年4月28日 PostgreSQLセミナー2009春
  技術コース専門編 SQLインジェクション～セキュリティ事故のケーススタディ～

一般社団法人 日本オンラインゲーム協会
（JOGA:Japan Online Game Association）

• 2008年11月20日 プリカ法とSQLインジェクション対策セミナー
  SQLインジェクション対策について

日本 PHP ユーザ会 （Japan PHP Users Group）

• 2008年7月21日 PHPカンファレンス2008
  情報セキュリティの向上に役立つ IPA コンテンツ

社団法人 日本印刷技術協会
（JAGAT:Japan Association of Graphic Arts Technology）

• 2008年7月17日 Webセキュリティの現状と対策 --5年後10年後まで安心なサイト設計とは--
  Web サイトを巡るセキュリティ動向
  安全な Web サイト構築のためには（技術的対策）