脅威分析法組み込みの安全性とセキュリティを保証するために 2015/6/11 情報セキュリティ大学院大学 大久保隆夫
|
|
|
- ゆたか いなおか
- 5 years ago
- Views:
Transcription
1 脅威分析法組み込みの安全性とセキュリティを保証するために 2015/6/11 情報セキュリティ大学院大学 大久保隆夫
2 概要 講義以下について理解することを目標 セキュリティ要求分析 脅威分析 安全性とセキュリティ 2
3 機能要求と非機能要求 ( 要件 ) 機能要求 : ある機能を実現するもの 情報を登録 参照する データを計算する メッセージを送受信する 非機能要求 : 機能以外のもの 性能 ( スピード 処理能力 ) 品質 セキュリティ 3
4 セキュリティ要求 ( 要件 ) 他の要求との違い ( 難しさ ) 要求策定者 利害関係者 ( ステークホルダー ) ではない他者 ( 悪意を持つ者 ) の要求に基づく 特定の攻撃に対する対策を考慮した要求が必要 ( になる場合あり ) 脅威 ( 攻撃 ) に対する対策仕様 セキュリティ要求仕様 4
5 セキュリティ要求分析 セキュリティ要求分析 = セキュリティ要求仕様の策定 整理する要素 資産 何を守るべきか 個人情報データ パスワード 重要な機能 etc セキュリティゴール 資産をどう守るかの目標 機密性, 完全性, 可用性などのセキュリティ特性の観点で規定 セキュリティ上のリスク 対策しない場合のリスクを明確化 セキュリティ要求 リスクとその脅威にどのような対策を行い, セキュリティゴールを達成すべきかをセキュリティ要求として明確に セキュリティ機能要求 認証や, 暗号化などのセキュリティの機能を明確に 5
6 脅威分析 対策を明らかにするために必要な作業 守るべきもの ( 資産 ) は何か 資産に対してどのような脅威があるか 脅威によりどのようなリスクが発生するか リスクに対してどのような対策をすれば目標を達成できるか 6
7 セキュリティ要求分析技 術 フォールトツリー分析 ゴール指向 (KAOS) の応用 エージェント指向の応用 UML の応用 ミスユースケース SQUARE (Security Quality Requirements Engineering) 7
8 ゴール指向分析 ゴール ( 目標 ) を詳細化することで要求を 的確に獲得 KAOS まずトップレベルのゴールを决め 順に詳細化する ( サブゴール ) サブゴールどうしと上位ゴールは AND/OR 関係で連結 8
9 KAOS 要求工学的手法の中では わりと使われている方 後述のエージェント指向的手法にも関連 応用としては 形式検証など 9
10 KAOS 学生にもっと来てほしい! 来てくれる学生の傾向を分析したい 学生候補にコンタクトしたい 説明会の効果を知りたい 学生候補の属性を知りたい 説明会の参加履歴を知りたい 10
11 ミスユースケース 2000 年 Sindre,Opdahl が提案 UML ユースケース図の拡張 ミスユーザ : 意図しないことをするアクタ ミスユースケース : 意図しない挙動 ( 脅威 ) 必ずしも 悪意があるとは限らない セキュリティを含む 安全 も対象にできる 対策 : ユースケースで表記 脅威とその関係者 対策の関係が明確 11
12 脅威分析 12
13 脅威モデリング 設計したシステムにおける脅威分析 ( 脅威の抽出 評価 ) を行う手法 Data Flow Diagram(DFD) を用いた脅威抽出 STRIDE による脅威分類 脅威ツリー DREAD による脅威評価 アーキテクチャが明確なとき 脅威抽出の手法としては有効 対策抽出は行わない 13
14 STRIDE Spoofing( なりすまし ) Tampering( 改竄 ) Repudiation( 否認 ) Information disclosure( 情報の漏洩 ) Denial of service (DoS 攻撃 ) Elevation of privilege( 権限昇格 ) 14
15 DREAD Damage potential( 潜在的な損害 ) Reproductivity( 再現可能性 ) Exploitability( 攻撃利用可能性 ) Affected users( 影響ユーザ ) Discoverability( 発見可能性 ) 15
16 脅威分析の手順 1. 資産の識別 2. セキュリティ目標の設定 3. 脅威の識別 4. 脅威の評価 5. 対策設計 16
17 例 : オンラインバンク インターネット経由で口座所有者が自身の口座にアクセス 何が脅威? 17
18 脅威の識別 (1) データフロー ( データの流れ ) を書いてみる 残高情報 ブラウザ 送金 オンラインバンク 18
19 脅威の識別 (2) 信頼境界を設定する 残高情報 ブラウザ 送金 オンラインバンク 19
20 脅威の識別 (3) 攻撃ポイント ( アタックサーフェス ) を識別する 残高情報 ブラウザ 送金 オンラインバンク 20
21 脅威の識別 (4) アタックサーフェスで起きる脅威を考える 漏洩? 残高情報 ブラウザ 送金 オンラインバンク 改ざん? 21
22 脅威分類 脅威を識別するための参考 STRIDE(Microfost SDL) Spoofing( なりすまし ) Tampering( 改竄 ) Repudiation( 否認 ) Information disclosure( 情報の漏洩 ) Denial of service (DoS 攻撃 ) Elevation of privilege( 権限昇格 ) 22
23 脅威評価 (1) 脅威の細分化 : 具体的条件 攻撃手段の検証 脅威木 / アタックツリー / 故障木 23
24 脅威木 なりすましされる ID パスワードが盗まれる AND ~ 省略 ~ ID が盗まれる パスワードが盗まれる パスワードを推測される パスワード盗聴 総当たり 24
25 脅威評価 (3) 脅威の影響を評価 DREAD(Microsoft SDL) Damage potential( 潜在的な損害 ) Reproductivity( 再現可能性 ) Exploitability( 攻撃利用可能性 ) Affected users( 影響ユーザ ) Discoverability( 発見可能性 ) 25
26 安全性とセキュリティ (2) セキュリティで安全性をカバーできるか セキュリティ分析の能力 データフロー CAN の解析には不向き 安全性重視の解析ではない IT 系との相違 セキュアブート? 車載には off の瞬間がない スペック上の制約 ( 帯域 メモリ コスト ) 26
27 インターネット ( 将来接続 ) カーナビ エンジン ECU CAN ECU CAN: Control er Area Network ECU: Electric Control Unit ECU ECU ECU ECU パワーウィンドウ トランスミッション ブレーキ イグニッション 27
28 クルマが 安全 とは? 衝突安全 位置情報を盗まれない 自動ブレーキ ナビ情報を改竄されない ブレーキ踏んでないと発進しない 28
29 衝突安全 自動ブレーキ 位置情報を盗まれない セーフティ セキュリティ ブレーキ踏んでないと発進しない ナビ情報を改竄されない 29
30 情報セキュリティ に足りないもの 物理的安全 ( 特に人命 ) を資産として考える 人命に対する脅威を最優先 コンプライアンス : 製造物責任法 (PL 法 ) 30
31 セーフティ に足りない もの 悪意 故意 という観点 多重故障 フェールセーフでは守れない? 情報資産に対する脅威がもたらすもの 安全性優先の結果 それ以外の脅威が軽視される可能性最終的にエンジン停止すれば安全確保できる でも 攻撃により頻繁に停止してしまったら? 安全性の基盤であるソフトウェアの置きかえ 前提が崩れないか? 来るべき信号が来ないことへの対応 〇偽の信号が来たら? 安全性の最後の責任を人に帰着する異常があったら警告灯表示 では 改ざんにより警告灯が出ないようにされたら? 31
32 安全性 本質安全 (Inherent Safety) 根源からリスクをなくして達成される安全 機能安全 (Functional Safety) 機能による安全機能を導入し 許容できるレベルの安全を確保する 機能の安全機能が故障しない あるいは壊れても安全を確保できる 32
33 情報セキュリティ 情報資産 が中心 個人情報 機密情報 情報セキュリティの CIA 機密性 完全性 可用性 CIA に対する脅威 盗聴 改竄 DoS 攻撃 33
34 まとめ 脅威の詳細化や手段は共通化可能なものも 情報セキュリティと制御系では重要視する資産が異なる 安全性とセキュリティは共通する部分もあるが それぞれのゴールが一致しない場合もあるため 双方の観点での分析が必要 従来の DFD 分析だけでは 情報不足の場合がある またソフトウェアの書換えによりフローが変わる可能性も 34
35 36
セキュリティ バイ デザインとは ソフトウェアやシステム開発の過程程で開発の早期段階 ( 分析 設計 ) からセキュリティを作りこむ 対義語? セキュアプログラミングプログラミング工程での脆弱性排除 2
セキュリティ バイ デザインと IoT 時代の脅威分析の意義 情報セキュリティ大学院大学大久保隆夫 セキュリティ バイ デザインとは ソフトウェアやシステム開発の過程程で開発の早期段階 ( 分析 設計 ) からセキュリティを作りこむ 対義語? セキュアプログラミングプログラミング工程での脆弱性排除 2 Security by Design Principles(OWASP) https://www.owasp.org/index.php/security_by_design_p
IOT を安全にするには 2 2
IoT 時代の脅威分析とリスク評価 2017/11/17 情報セキュリティ大学院大学 大久保隆夫 IOT を安全にするには 2 2 設計から安全にする IoT システムでは個別の機器よりも全体を俯瞰した対策が重要 場当たり的なパッチでは限界 設計から安全にする = セキュリティ バイ デザイン セキュリティ セーフティ双方の品質を確保 手法として統一できるかは道半ば 3 3 機密性 機器の安全 セーフティ
第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx
ここでは ネットワーク社会を支えるネットワーク環境の役割について解説します 1. 情報の価値 学生が利用している情報について問いかけます ( 朝起きてこの場に来るまでの間で など ) スライドにて情報の種類( 文字 画像 映像 音声 ) について説明します 情報サービスが生み出している価値( 利便性 ) について説明します ( 例 ) 昔 : 銀行に行かないと振り込みができなかった今 : 銀行に行かなくても振り込みができる
<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >
身近な情報利活用による生活環境の事例をベースに ネットワークがなかった時代の生活環境と比較させながら IT により生活が豊かに変化したことについて解説します 1. 身近な情報利活用の事例 スライド上部の事例を紹介します 学生が利用している情報サービスについて問いかけます IT によって実現していることについて説明します 2. ネットワークがなかった時代 スライド上部の事例を活用し 過去の事例を紹介します
15288解説_D.pptx
ISO/IEC 15288:2015 テクニカルプロセス解説 2015/8/26 システムビューロ システムライフサイクル 2 テクニカルプロセス a) Business or mission analysis process b) Stakeholder needs and requirements definieon process c) System requirements definieon
ログを活用したActive Directoryに対する攻撃の検知と対策
電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team
IPsec徹底入門
本資料について 本資料は下記書籍を基にして作成されたものです 文章の内容の正確さは保障できないため 正確な知識を求める方は原文を参照してください 書籍名 :IPsec 徹底入門著者 : 小早川知明発行日 :2002 年 8 月 6 日発売元 : 翔泳社 1 IPsec 徹底入門 名城大学理工学部渡邊研究室村橋孝謙 2 目次 第 1 章 IPsec アーキテクチャ 第 2 章 IPsec Security
IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用 東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1
IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用 東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1 目次 IoTの現状 ツリー分析とSTPAの課題 提案手法 試適用 今後の展望 Information Security Lab. 2 IoT( モノのインターネット ) の普及 IoT の普及により様々な モノ がインターネットと接続
組織内CSIRT構築の実作業
組織内 CSIRT 構築の実作業 一般社団法人 JPCERT コーディネーションセンター 概要 1. キックオフ スケジューリング 2. ゴールの設定とタスクの細分化 3. CSIRT 関連知識 ノウハウ等の勉強会 4. 組織内の現状把握 5. 組織内 CSIRT の設計 6. 組織内 CSIRT 設置に必要な準備 7. 組織内 CSIRT の設置 8. 組織内 CSIRT 運用の訓練 ( 参考 )
日経ビジネス Center 2
Software Engineering Center Information-technology Promotion Agency, Japan ソフトウェアの品質向上のために 仕様を厳密に 独立行政法人情報処理推進機構 ソフトウェア エンジニアリング センター 調査役新谷勝利 Center 1 日経ビジネス 2012.4.16 Center 2 SW 開発ライフサイクルの調査統計データ ソフトウェア産業の実態把握に関する調査
正誤表(FPT0417)
正誤表 よくわかるマスター CompTIA Security+ 問題集試験番号 :SY0-101 対応 FPT0417 改版時期 奥付日付 2004 年 11 月 23 日 2007 年 09 月 03 日 2008 年 08 月 11 日 版数第 1 版 修正箇所 P 30 問題 89 c. 信頼性 c. 冗長性 P 64 問題 89 c 5 行目 ユーザの信頼性を確保することができます そのため
IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル
セキュリティ要件リストと CC の動向 2014 年 9 月 29 日 情報処理推進機構 技術本部セキュリティセンター IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC
RaQuest MindManager
How to use MindManager Add-in with RaQuest by SparxSystems Japan 1. はじめに このドキュメントでは 要求管理ツール RaQuest と 連携するマインドマップツールで ある MindManager の 2 つのソフトウェアを活用し ソフトウェアシステムの設計開発に おける要求分析および管理を効率化する方法についてご紹介します 2.
PowerPoint プレゼンテーション
GSN を応用したナレッジマネジメントシステムの提案 2017 年 10 月 27 日 D-Case 研究会 国立研究開発法人宇宙航空研究開発機構 研究開発部門第三研究ユニット 梅田浩貴 2017/3/27 C Copyright 2017 JAXA All rights reserved 1 目次 1 課題説明 SECI モデル 2 GSN を応用したナレッジマネジメントシステム概要 3 ツリー型チェックリスト分析
Microsoft PowerPoint - HNWG8_03_HN-WG.A_アーキテクチャおよび技術課題(9.18版).ppt
HNWG8_03 ホームネットワーク参照点モデル 2007.9.18 HN-WG.A 1 ホームネットワーク参照点モデル の目的 ホームネットワークの共通言語として利用できる (1) ホームネットワーク参照点モデル (2) 共通機能要素の定義 を策定し サービス 技術検討に資する 今後 ITU-T へのアップストリーム対象として精査する 2 ホームネットワーク参照点モデル (1) を中心に据えた参照点モデルとする
平成 28 年度卒業論文 アタックツリー分析を用いたウェブサーバの設計及び実装 Design and Implementation of Web Server Using Attack Tree Analysis 指導松野裕准教授 3025 笠井要輔 日本大学理工学部応用情報工学科
平成 28 年度卒業論文 アタックツリー分析を用いたウェブサーバの設計及び実装 Design and Implementation of Web Server Using Attack Tree Analysis 指導松野裕准教授 3025 笠井要輔 日本大学理工学部応用情報工学科 i 目次 第 1 章序論 1.1 背景...................................1 1.2
HULFT-WebConnectサービス仕様書
HULFT-WebConnect サービス仕様書 第二版 2015 年 7 月 3 日 株式会社セゾン情報システムズ 1/13 改訂履歴 版数 改訂日付 改訂内容及び理由 1 2015 年 4 月 制定 2 2015 年 7 月 V1.1 差分更新 2/13 目次 1. はじめに... 4 1.1. 本書の位置づけ... 4 1.2. 用語説明... 4 2. サービスの概要... 5 2.1. HULFT-WEBCONNECT
どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化
ISO 9001:2015 におけるプロセスアプローチ この文書の目的 : この文書の目的は ISO 9001:2015 におけるプロセスアプローチについて説明することである プロセスアプローチは 業種 形態 規模又は複雑さに関わらず あらゆる組織及びマネジメントシステムに適用することができる プロセスアプローチとは何か? 全ての組織が目標達成のためにプロセスを用いている プロセスとは : インプットを使用して意図した結果を生み出す
目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期
造血幹細胞移植登録一元管理プログラム概要説明書 平成 29 年 6 月 1 日改訂第 1.3 版平成 26 年 10 月 15 日改訂第 1.2 版平成 26 年 8 月 6 日改訂第 1.1 版平成 26 年 7 月 4 日第 1 版 一般社団法人日本造血細胞移植データセンター 1 目次 1. はじめに... 3 1) 目的... 3 2) TRUMP1 での課題... 3 1 登録施設におけるデータ管理の負担...
南関東大会特別賞評価
ミス ユースケースの利活用 非機能要件から得られたリスク対応のモデル化 2010 年 12 月 2 日 南関東地区大会審査委員長アンリツエンジニアリング株式会社林啓弘 ET ロボコン 2010 CS 大会ワークショップ資料 /ET ロボコン実行委員会 1 概要 ET ロボコンのモデルにみる要求分析で 非機能要件や外乱等について列挙されていますが 列挙された当該課題の対策を行うにあたって どこでどのように対応しているかを文字列で表明されています
目次 1: 安全性とソフトウェア 2: 宇宙機ソフトウェアにおける 安全 とは 3:CBCS 安全要求とは 4: 宇宙機ソフトウェアの実装例 5: 安全設計から得た新たな知見 6: 今後 2
宇宙機ソフトウェアにおける 安全要求と設計事例 宇宙航空研究開発機構 (JAXA) 情報 計算工学センター (JEDI) 梅田浩貴 (Hiroki Umeda) 目次 1: 安全性とソフトウェア 2: 宇宙機ソフトウェアにおける 安全 とは 3:CBCS 安全要求とは 4: 宇宙機ソフトウェアの実装例 5: 安全設計から得た新たな知見 6: 今後 2 1.1 安全性とは 安全性と信頼性の違いの例開かない踏切りは
ご購入時の注意 OBDⅡ アダプターのご購入前に下記内容を必ずご確認ください 適合表に記載のない車種には取付けできません 国産車に OBD Ⅱアダプターを取付ける場合は OBD2-R3/OBD2-R2/OBD2-R1 をご使用ください 輸入車用 OBD Ⅱアダプター OBD2-IM は使用しないでく
2018 年 5 月版 本紙の内容は 2018 年 5 月 7 日現在のものです OBDⅡ アダプター 車種別適合表 最新情報はこちらを確認 http://www.e-comtec.co.jp ご購入時の注意 OBDⅡ アダプターのご購入前に下記内容を必ずご確認ください 適合表に記載のない車種には取付けできません 国産車に OBD Ⅱアダプターを取付ける場合は OBD2-R3/OBD2-R2/OBD2-R1
Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート
Microsoft IIS の WebDAV 認証回避の脆弱性に関する検証レポート 2009/5/18 2009/5/22( 更新 ) 2009/6/10( 更新 ) 診断ビジネス部辻伸弘松田和之 概要 Microsoft の Internet Information Server 以下 IIS) において WebDAV の Unicode 処理に脆弱性が発見されました 本脆弱性により Microsoft
6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構
6-2- 応ネットワークセキュリティに関する知識 1 6-2. ネットワークセキュリティに関する知識 OSS 動作環境におけるセキュリティリスク それに対応するセキュリ ティ要件とその機能 構成に関して 実際の開発 運用の際に必要な Ⅰ. 概要 管理知識 手法の種類と特徴 内容を理解する 特に Linux サーバ による実務の手順に即して ネットワークセキュリティを確保するため の手順を学ぶ Ⅱ.
スライド 1
Man in the Browser in Androidの可能性 Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社フォティーンフォティ技術研究所 http://www.fourteenforty.jp Ver 2.00.01 1 Android の普及と Man in the Browser
Microsoft Word - Release_IDS_ConnectOne_ _Ver0.4-1.doc
( 注 ) 本リリースは 株式会社アイディーエス 株式会社コネクトワンの共同リリースです 重複して配信されることがありますがご了承ください 2007 年 5 月 10 日株式会社アイディーエス株式会社コネクトワン アイディーエス コネクトワンコネクトワン 社内グループウェアグループウェアに自在自在にアクセスアクセス可能可能な二要素認証機能付き携帯携帯ソリューションソリューション販売開始 ~ 高い操作性で
プレゼンテーション
統合ログ管理ソリューションでマルウェアを発見し 情報漏洩を防ぐためには? McAfee SIEM と CAPLogger SFChecker マルウェアの発見概要 従来型アンチマルウェアによる発見 新型アンチマルウェアによる発見 振る舞い検知 レピュテーション サンドボックス SIEM による不審動作発見 マルウェア感染が疑われる PC の特定 発見後の課題 Copyright 2014 dit Co.,
PowerPoint プレゼンテーション
SPI Japan 2012 車載ソフトウェア搭載製品の 機能安全監査と審査 2012 年 10 月 11 日 パナソニック株式会社デバイス社 菅沼由美子 パナソニックのデバイス製品 SPI Japan 2012 2 パナソニック デバイス社のソフト搭載製品 車載スピーカーアクティブ消音アクティブ創音歩行者用警告音 スマートエントリー グローバルに顧客対応 ソフトウェア搭載製品 車載 複合スイッチパネル
Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ
Oracle Un お問合せ : 0120- Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよびSOA 対応データ サービスへ ) を網羅する総合的なデータ統合プラットフォームです Oracle
ISMS情報セキュリティマネジメントシステム文書化の秘訣
目 次 ISO27001 版発刊にあたって 3 まえがき 6 第 1 章企業を取り囲む脅威と情報セキュリティの必要性 11 第 2 章情報セキュリティマネジメントシステム要求事項及び対応文書一覧表 31 第 3 章情報セキュリティマネジメントシステムの基礎知識 43 第 4 章情報セキュリティマネジメントシステムの構築 51 1 認証取得までの流れ 51 2 推進体制の構築 52 3 適用範囲の決定
(Microsoft PowerPoint - \221\346\216O\225\224.ppt)
BREW と au 携帯電話で実現するセキュリティについて 2004 年 10 月 12 日 KDDI 株式会社モバイルソリューション商品開発本部モバイルソリューション 1 部 BREW アプリケーションで実現可能なセキュリティ対策 BREW はアプリの開発 配信から取扱データの管理までセキュリティが保護されます < 利用者認証 > < データ保護 > < 利用者認証 > 3プログラム起動 < プログラム認証
<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>
公共調達検索ポータルサイト要件定義書 ( 抄 ) 平成 19 年 4 月 国土交通省 目次 1 はじめに...1 2 ポータルサイトの目的...2 2-1 入札参加希望者の検索効率向上...2 2-2 公共調達手続の透明化...2 2-3 競争性の向上...2 3 システム化の範囲...2 3-1 入札情報の作成...2 3-2 掲載情報の承認...2 3-3 入札情報の掲載...2 4 システム要件...3
個人依存開発から組織的開発への移行事例 ~ 要求モデル定義と開発プロセスの形式化 による高生産性 / 高信頼性化 ~ 三菱電機メカトロニクスソフトウエア ( 株 ) 和歌山支所岩橋正実 1
個人依存開発から組織的開発への移行事例 ~ 要求モデル定義と開発プロセスの形式化 による高生産性 / 高信頼性化 ~ 三菱電機メカトロニクスソフトウエア ( 株 ) 和歌山支所岩橋正実 iwahashi@est.hi-ho.ne.jp Iwahashi.Masami@wak.msw.co.jp 1 改善効果 品質 : フロントローディングが進み流出不具合 0 継続生産性 : 平均 130% 改善 工数割合分析
Microsoft Word - sp224_2d.doc
技術的 物理的物理的セキュリティ 技術的セキュリティ ( 安全管理措置 ) 技術的対策としては ネットワークインフラセキュリティ アプリケーションセキュリティ 不正アクセス対策などが含まれます ここでは 学校の業務の中でも 特に身近な問題として感じられる項目を挙げています 1 コンピューターウィルス対策 ネットワークに接続された環境下では たった 1 台のコンピューターのウィルス対策を怠 るだけで
組織内CSIRTの役割とその範囲
組織内 CSIRT の役割とその範囲 一般社団法人 JPCERT コーディネーションセンター 目次 組織内 CSIRT の基本的な役割 組織内 CSIRT の役割範囲には違いがある インシデント対応の重要ポイントから見る役割 ユーザからのインシデント報告 外部のインシデント対応チームとの連携 インシデント関連情報の伝達経路の保全 他組織の CSIRT との情報共有 組織内 CSIRT の役割の定義
Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC
インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 office@jpcert.or.jp インシデントレスポンスとは Computer Security Incident ( 以降 インシデントと略 ) コンピュータセキュリティに関係する人為的事象で 意図的および偶発的なもの 弱点探索 リソースの不正使用 サービス運用妨害行為など 不正アクセス ( 行為 ) は狭義に規定された
延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC
延命セキュリティ二つの対策方法 対策 1 ホワイトリスト型 概要 : 動作させてもよいアプリケーションのみ許可し それ以外の全ての動作をブロックすることで 不正な動作を防止します 特長 : 特定用途やスタンドアロンの PC の延命に効果的です リストに登録されたアプリケーションのみ許可 アプリケーション起動制御 不許可アプリケーションは防止 対策 2 仮想パッチ型 概要 : OS アプリケーションの脆弱性を狙った通信をブロックし
PowerPoint プレゼンテーション
つながる世界のセキュリティ設計入門 ~ セキュリティ要件の見える化 ~ 2016.7.9 情報セキュリティ大学院大学客員研究員金子朋子 1 自己紹介 金子朋子博士 ( 情報学 ) 公認情報セキュリティ監査人 (CAIS) 情報セキュリティ大学院大学客員研究員 2013 年情報セキュリティ大学院大学博士後期課程修了. 文部科学省認定プログラム サーティフィケート取得者 ( 情報セキュリティスペシャリスト,
Microsoft Word - ModelAnalys操作マニュアル_
モデル分析アドイン操作マニュアル Ver.0.5.0 205/0/05 株式会社グローバルアシスト 目次 概要... 3. ツール概要... 3.2 対象... 3 2 インストールと設定... 4 2. モデル分析アドインのインストール... 4 2.2 モデル分析アドイン画面の起動... 6 3 モデル分析機能... 7 3. 要求分析機能... 7 3.. ID について... 0 3.2 要求ツリー抽出機能...
i コンピテンシ ディクショナリ を 活用した品質エンジニアの育成 その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター 奥村有紀子
i コンピテンシ ディクショナリ を 活用した品質エンジニアの育成 その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター 奥村有紀子 i コンピテンシ ディクショナリ における品質関連情報の扱い SQuBOK V1.0 をスキルディクショナリにて参照 520 の項目を 知識項目として参照 ( その 1 P.20) 参照 BOK 系の中ではダントツの数 3 スキル標準や CCSF に比べ
これだけは知ってほしいVoIPセキュリティの基礎
IPTPC セミナ 2015 資料 これだけは知ってほしい VoIP セキュリティの基礎 2015 年 12 月 9 日 IPTPC/OKI 千村保文 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 1 本日の目次 1. 身の回りにあるセキュリティの脅威 2. VoIP セキュリティ問題事例 3. VoIP セキュリティ対策 (
第1回 ソフトウェア工学とは
ソフトウェア工学 1 第 3 回要求分析 (2) 2017 年 5 月 1 日 中島 1 授業内容 おさらい 要求とは 要求仕様書 要求の種別 仕様化 分析 機能要求 品質要求 ( 非機能要求 ) 2 ソフトウェア開発における要求分析 ( おさらい ) システム要求定義 設計 システム開発 システムテスト ソフトウェア要求分析 ソフトウェアテスト ソフトウェア外部設計 ソフトウェア結合テスト ソフトウェア内部設計
CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と
資料 36-5 IoT 機器のセキュリティ対策について 2018 年 3 月 6 日 一般社団法人情報通信ネットワーク産業協会 Copyright (C) 2018 CIAJ All Rights Reserved CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって
セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1
セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1 アジェンダ ネットワークに繋がる機器たち ファジングとは ファジングによる効果 まとめ IPAのファジングに関する取組み 2 ネットワークに繋がる機器たち
Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx
ビジネスを加速化するクラウドセキュリティ McAfee MVISION Cloud のご紹介 クラウド IoT カンパニーエンべデッドソリューション部 https://esg.teldevice.co.jp/iot/mcafee/ esg@teldevice.co.jp 2019 年 5 月 Copyright Tokyo Electron Device LTD. All Rights Reserved.
つながる世界のセーフティ & セキュリティ設計入門 で伝えたいこと ~ 実態調査から見えたこと そして開発指針へ ~ ET/IoT2016 ブースプレゼン 2016 年 11 月 18 日 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 西尾桂子 2016
つながる世界のセーフティ & セキュリティ設計入門 で伝えたいこと ~ 実態調査から見えたこと そして開発指針へ ~ ET/IoT2016 ブースプレゼン 2016 年 11 月 18 日 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 西尾桂子 2 目次 つながる世界のリスク セーフティ設計 セキュリティ設計のアンケート調査結果より つながる世界のセーフティ&
Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート
統合ログ管理システム Logstorage 標的型メール攻撃分析 監視例 インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889 標的型メール攻撃とその対策 標的型メール攻撃の本質はメールや添付マルウェアにあるのではなく
Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座
Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座 1. はじめに Active Directory 以下 AD は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい JPCERT/CC によると AD 環境が侵害される事例を多数確認しており [1] 被害組織の多くで AD の管理者権限が悪用されたこ
Oracle Business Rules
Oracle Business Rules Manoj Das(manoj.das@oracle.com) Product Management, Oracle Integration 3 Oracle Business Rules について Oracle Business Rules とはビジネスの重要な決定と方針 ビジネスの方針 実行方針 承認基盤など 制約 有効な設定 規制要件など 計算 割引
株式会社 御中 Sample_SHIFT_Service 脆弱性診断報告書 報告書提出日 :20XX 年 月 日 サンプル 本報告書について本報告書は以下の脆弱性診断について その結果を報告します 診断期間 20XX 年 月 日 ~ 20XX 年 月 日 診断実施場所 - SHIFT SECURITY ( 東京都神谷町 ) IP: xxx.yyy.zzz.www 診断種別 Web アプリケーション診断
2
2 紹介 u 名やぶのりゆき藪記 u 経歴 2000: 社 2000 2009: 基幹系 MWの開発を担当 2009 2016: 基幹系 MWの品証を担当 2016 現在:AI 商品の品証を担当 開発現場で品質コンサル / アジャイルコーチング u 趣味 転 スキー u どんな 間? 意識 くない系 QA エンジニア効率厨 : ツールを作って 作業削減 プロセス改善 u 今は Redmine や
ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務
ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 1.2015 年版改定の概要 2.2015 年版の6 大重点ポイントと対策 3.2015 年版と2008 年版の相違 4.2015 年版への移行の実務 TBC Solutions Co.Ltd. 2 1.1 改定の背景 ISO 9001(QMS) ISO
<4D F736F F F696E74202D20288DB791D B836792B28DB88C8B89CA288CF68A4A94C529288A5497AA94C E93785F72312E >
電波の有効利用促進のための安全な無線 LAN の利用に関する普及啓発事業 ( 平成 28 年度 ) 公衆無線 LAN 利用に係る調査結果 総務省情報セキュリティ対策室 調査の概要 項目調査目的 背景調査の視点調査方法調査時期 内容 総務省では 2020 年オリンピック パラリンピックの東京開催を見据えて 観光立国を推進する観点から 関係省庁 関係団体とも協力しつつ 公衆無線 LAN の整備促進に取り組んでいる
ESET Mobile Security V4.1 リリースノート (Build )
========================================================= ESET Mobile Security V4.1 リリースノート (Build 4.1.35.0) キヤノン IT ソリューションズ株式会社 ========================================================= はじめにキヤノンITソリューションズ製品をご愛顧いただき誠にありがとうございます
UCSセキュリティ資料_Ver3.5
RICOH Unified Communication System セキュリティホワイトペーパー (Ver3.5) - UCS 専用端末 P3500, P1000, P3000, S7000 - Apps (for Windows) (for ipad/iphone) (for Mac) (for Android) 株式会社リコー 2017 年 1 月 本ホワイトペーパーは RICOH Unified
JPNICプライマリルート認証局の電子証明書の入手と確認の手順
1. JPNIC プライマリルート認証局の電子証明書の入手と確認の手順 概 要 一般社団法人日本ネットワークインフォメーションセンター ( 以下 当センター ) では インターネットのアドレス資源管理やネットワーク運用の安全性向上のため 認証局が運用しています 認証局とは SSL/TLS などで通信相手の認証などに使われる 電子証明書を発行する仕組みです 電子証明書は 偽造することや改変することが技術的に難しいものですが
スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー
スマートデバイス利用規程 1.0 版 1 スマートデバイス利用規程 1 趣旨... 3 2 対象者... 3 3 対象システム... 3 4 遵守事項... 3 4.1 スマートデバイスのセキュリティ対策... 3 4.1.1 スマートデバイスの使用... 3 4.1.2 スマートデバイスに導入するソフトウェア... 3 4.1.3 スマートデバイスの他者への利用の制限... 3 4.1.4 スマートデバイスでの情報の取り扱い...
(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )
情報セキュリティ基本規程 特定非営利活動法人せたがや子育てネット 第 1 章総則 ( 目的 ) 第 1 条この規程は 当法人の情報セキュリティ管理に関する基本的な事項を定めたものです ( 定義 ) 第 2 条この規程に用いる用語の定義は 次のとおりです (1) 情報資産 とは 情報処理により収集 加工 蓄積される情報 データ類 情報処理に必要な情報システム資源 ( ハードウェア ソフトウェア等 )
Microsoft PowerPoint - 04_01_text_UML_03-Sequence-Com.ppt
システム設計 (1) シーケンス図 コミュニケーション図等 1 今日の演習のねらい 2 今日の演習のねらい 情報システムを構成するオブジェクトの考え方を理解す る 業務プロセスでのオブジェクトの相互作用を考える シーケンス図 コミュニケーション図を作成する 前回までの講義システム開発の上流工程として 要求仕様を確定パソコンを注文するまでのユースケースユースケースから画面の検討イベントフロー アクティビティ図
JIS Q 27001:2014への移行に関する説明会 資料1
JIS Q 27001:2014 への 対応について 一般財団法人日本情報経済社会推進協会情報マネジメント推進センターセンター長高取敏夫 2014 年 10 月 3 日 http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2014 1 アジェンダ ISMS 認証の移行 JIS Q 27001:2014 改正の概要 Copyright JIPDEC
講義の進め方 第 1 回イントロダクション ( 第 1 章 ) 第 2 ~ 7 回第 2 章 ~ 第 5 章 第 8 回中間ミニテスト (11 月 15 日 ) 第 9 回第 6 章 ~ 第 回ローム記念館 2Fの実習室で UML によるロボット制御実習 定期試験 2
ソフトウェア工学 第 7 回 木曜 5 限 F205 神原弘之 京都高度技術研究所 (ASTEM RI) http://www.metsa.astem.or.jp/se/ 1 講義の進め方 第 1 回イントロダクション ( 第 1 章 ) 第 2 ~ 7 回第 2 章 ~ 第 5 章 第 8 回中間ミニテスト (11 月 15 日 ) 第 9 回第 6 章 ~ 第 12 14 回ローム記念館 2Fの実習室で
_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで
Office365 セキュリティ対策 Enterprise Mobility + Security 1 場所にとらわれることなく いつでも どこでも仕事を進めたい 状況に合わせて モバイルデバイスをもっと業務で活用したい クラウドサービスの利用 / ID パスワードの管理をシンプルに 必要なアプリを必要な時にタイムリーに利用したい ID の煩雑化による管理負荷の増大と不正アクセスへの対策 モバイルデバイスとアプリケーションの管理負荷の低減
ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機
デスクトップ シングルサインオンディレクトリ連携5.13. 統合アカウント管理 認証 認可 ( アクセス制御 ) 5.13.1. 統合アカウント管理 認証 認可 ( アクセス制御 ) の定義 統合アカウント管理 認証 認可 ( アクセス制御 ) は 情報システムの利用者を統合的 一元的に管理する仕 組みを提供する 利用者がその ID をもっている本人であることを確認し 利用者の権限に基づきリソースへ
<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >
IoT セキュリティガイドライン ( 案 ) 概要 平成 28 年 IoT の新たなセキュリティ上の脅威 1 IoT では これまで接続されていなかった 動 やカメラなどの機器が WiFi や携帯電話網などを介してインターネットに接続されることにより 新たな脅威が発 し それに対するセキュリティ対策が必要となった 動 へのハッキングよる遠隔操作 携帯電話網経由で遠隔地からハッキング 監視カメラの映像がインターネット上に公開
Adobe Reader 署名検証設定手順書
三菱電子署名モジュール MistyGuard シリーズ電子署名付与済み PDF 文書 Adobe Acrobat Reader DC 署名検証設定手順書 Ver1.0.0 三菱電機インフォメーションシステムズ株式会社 改定履歴 版数日付内容 1.0.0 2015/06/01 初版 2 目 次 1 はじめに... 4 2 Adobe Acrobat Reader DC で署名検証を行うための設定手順...
Microsoft PowerPoint - ISMS詳細管理策講座
ISO27001 ISMSの基礎知識 合同会社 Double Face 1 詳細管理策とは ISMSの要求事項の中でも唯一実現の要否について実現しないことが許される管理策のことです 詳細管理策は次の章立てで構成されています A5 情報セキュリティ基本方針 A6 情報セキュリティのための組織 A7 資産の管理 A8 人的資源のセキュリティ A9 物理的および環境的セキュリティ A10 通信および運用管理
Windows Server 2016 Active Directory環境へのドメイン移行の考え方
Active Directory 環境への ドメイン移行の考え方 第 1.1 版 2018 年 2 月富士通株式会社 改版履歴 改版日時版数改版内容.11 1.0 新規作成 2018.02 1.1 ADMT の開発終了に伴い 記載を変更 目次 はじめに 1 章 ドメインへの移行のポイント 1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット デメリット 4. 既存ドメインからの移行パス
label.battery.byd.pdf
6 6 をご利用になる前に について 本機では イー モバイル携帯電話専用のネット接続サービス EMnet とパソコン用のインターネット情報画面を閲覧することができます EMnet では 天気やニュースなどの情報の他 音楽 / 動画などを提供しています 本書では EMnet とインターネットの情報画面を総称して ウェブページ と呼びます インターネットに接続したときに最初に表示するウェブページを ホームページ
不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用
不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用いただけますので 安全対策としてインストールしてご利用ください PhishWall プレミアム は Internet
Oracle Business Intelligence Suite
Oracle Business Intelligence Suite TEL URL 0120-155-096 http://www.oracle.co.jp/contact/ オラクルのビジネス インテリジェンス ソリューション オラクル社は世界ではじめて商用のリレーショナル データベースを開発し それ以来データを格納し情報として活かしていくということを常に提案してきました 現在は The Information
2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事
2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事 豊山 祐一 Hitachi ULSI Systems Co., Ltd. 2015. All rights
PowerPoint プレゼンテーション
より安全なシステム構築のために ~CC-Case_i によるセキュリティ要件の見える化 2016.4.22 金子朋子 ( 株式会社 NTT データ ) Copyright 2012 NTT DATA Corporation Copyright 2012NTT DATA Corporation 2 自己紹介 金子朋子博士 ( 情報学 ) NTT データ品質保証部所属. 入社以来航空機データ通信システム
PowerPoint プレゼンテーション
dnsops.jp Summer Day 2016 2016.6.24 マルウェア不正通信ブロックサービス の提供開始に伴う マルウェア不正通信の ブロック状況について NTT コムエンジニアリング株式会社 サービス NW 部サービス NW 部門 佐藤正春 OCN DNS サーバの運用 保守 OCN DDoS 対策装置の運用 保守 NTTCom Cloud 用 DDoS 対策装置 ( 一部 ) の運用
不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は
不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は無料 ) 下のボタンをクリックすると 株式会社セキュアブレイン のサイトに移動しますので ソフトをダウンロードのうえ
COPYRIGHT (C) 2016 SQIP ソフトウェア品質保証部長の会 ALL RIGHTS RESERVED 謝辞 以下の方々にご協力をいただきました この場を借りてお礼申し上げます アンケートに協力頂いた 部長の会の皆様 セキュリティ品質の確保 についてご講演いただいた 株式会社神戸デジタ
セキュリティ開発ライフサイクル (SDL) における QA の役割 セキュリティ対策をソフトウェア開発プロセスに組み込む方法と QA の役割について考察しました 実際の適用は未だですが OWASP ASVS/Testing Guide/ MS Threat Modeling Tool 2016 を使用 SWセキュリティ対策グループ元キヤノン 永田哲 ( リーダー ) リンクレア早崎伸二キヤノン 日下宏
金融工学ガイダンス
情報セキュリティ脅威の種類 セキュリティ脅威 1( 不正アクセス ) 2014 年 10 月 15 日 後保範 破壊 ( データの破壊 消去 ) 漏洩 ( 機密情報漏洩 個人情報漏洩 ) 改ざん (HP やデータベースの不正な書き換え ) 盗難 ( ノートパソコンや書類 USB メモリ等の盗難 ) 不正利用 ( 通信回線 サーバー等の不正利用 ) サービス停止 ( 大量アクセス等で利用不能に ) 踏み台
— intra-martで運用する場合のセキュリティの考え方
1 Top 目次 2 はじめに 本書の目的 本書では弊社製品で構築したシステムに関するセキュリティ対策について説明します 一般的にセキュリティ ( 脆弱性 ) 対策は次に分類されます 各製品部分に潜むセキュリティ対策 各製品を以下のように分類します ミドルウェア製品ミドルウェア製品のセキュリティ ( 脆弱性 ) 対策リリースノート システム要件 内に記載のミドルウェア例 )JDK8の脆弱性 WindowsServer2012R2の脆弱性
Microsoft PowerPoint - Android+TPMによるセキュアブート_KDDI研_後日配布用
Android(ARM)+TPM による セキュアブート KDDI 研究所竹森敬祐 (Ph.D) Android OS は 通常利用においてシステム領域の完全性が維持されている 組み込み OS としても利用される Android OS のセキュアブートの意義を考察する 1 背景 : root 権限奪取とシステム改造の流れ 攻撃のシナリオ Step1: root 権限奪取アプリをユーザ領域にインストールし
金融工学ガイダンス
情報セキュリティ脅威の種類 セキュリティ脅威 1( 不正アクセス ) 2013 年 10 月 8 日 後保範 破壊 ( データの破壊 消去 ) 漏洩 ( 機密情報漏洩 個人情報漏洩 ) 改ざん (HP やデータベースの不正な書き換え ) 盗難 ( ノートパソコンや書類 USB メモリ等の盗難 ) 不正利用 ( 通信回線 サーバー等の不正利用 ) サービス停止 ( 大量アクセス等で利用不能に ) 踏み台
コンテンツセントリックネットワーク技術を用いた ストリームデータ配信システムの設計と実装
コンテンツセントリックネットワークにおけるストリームデータ配信機構の実装 川崎賢弥, 阿多信吾, 村田正幸 大阪大学大学院情報科学研究科 大阪市立大学大学院工学研究科 2 発表内容 研究背景 研究目的 ストリームデータ配信機構の設計 ストリームデータのモデル化 コンテンツの名前構造 ストリームデータの要求とフロー制御 ストリームデータ配信機構の実装 動作デモンストレーション 3 コンテンツセントリックネットワーク
金融工学ガイダンス
盗聴 盗聴と不正利用 2013 年 10 月 15 日 後保範 ネットワークに接続されているデータは簡単に盗聴される ネットワークを流れるパケットは, 暗号化されていなければ, そのままの状態で流れている ネットワークの盗聴は, スニッファ (Sniffer) と呼ばれるネットワーク管理ツールを利用して行われる スニッファをクラッカーが悪用し, ネットワークを流れるパケットを盗聴する 1 2 Sniffer
教科書の指導要領.indb
目 次 第 1 章情報セキュリティ技術基礎 1-1 情報セキュリティ概論... 2 1-2 TCP/IP モデルとそのセキュリティ... 3 1-3 ネットワークセキュリティ (1)... 4 1-4 ネットワークセキュリティ (2)... 5 1-5 ネットワークセキュリティ ( 3 )... 6 第 2 章情報セキュリティ上のリスク 2-1 ネットワークへの攻撃 (1)... 8 2-2 ネットワークへの攻撃
Microsoft Word - 06.doc
ダム施設維持管理のためのアセットマネジメントシステム の開発 長崎大学工学部社会開発工学科 岡林 隆敏 ダム施設維持管理のためのアセットマネジメントシステムの開発 1 はじめに 岡林隆敏 国内には これまでに数多くのダムが建設され 治水 利水に大いに貢献してきている 一方で 社会基盤施設への公共予算の投資が制約される中 既存の施設が有する機能を将来にわたって持続させ続けるための管理方策の構築が必要とされる
マイナンバー対策マニュアル(技術的安全管理措置)
技術的安全管理措置 目的 技術的安全管理措置は 以下の点を目的として対処をするものです システムへの不正アクセスによる情報漏えいの防止 インターネット利用における情報漏えいの防止 通信時における情報漏えいの防止 本項では 目的ごとに 概要 求められる要件と手法をご紹介します 1 システムへの不正アクセスによる情報漏えいの防止 家族みんなが使うPC を仕事でも使用していて アカウントが 1つしか存在しないとします
2008年度 設計手法標準化アンケート 集計結果
2011 年度 設計手法普及調査アンケート 集計経過報告 2012 年 2 月社団法人組込みシステム技術協会状態遷移設計研究会 目次 1. アンケート実施の目的 3 2. アンケートの実施対象 4 3. アンケート回答数 5 4. 実施したアンケートの内容 6 5. アンケート回答者の構成 8 6. アンケート集計結果 9 6.1 回答者の担当製品分野について 10 6.2 回答者の部門について 11
Microsoft PowerPoint - se06-UML(UseCase)_2.ppt [互換モード]
![Microsoft PowerPoint - se06-UML(UseCase)_2.ppt [互換モード]](/thumbs/102/156229717.jpg "Microsoft PowerPoint - se06-UML(UseCase)_2.ppt [互換モード]")
ソフトウェア工学 06: UML モデリング (Ⅰ) ユースケースモデリングとユースケース駆動型開発 理工学部経営システム工学科庄司裕子 前回の復習 : 考えてみよう! 個人表に 番号 氏名 クラス名という個人情報と 番号 科目名 ( ) という情報が記載されているとする これをERモデリングして ER 図を書いてみようヒント : クラス という独立エンティティ ( もの を表す) と 所属 という依存エンティティ
クラス図とシーケンス図の整合性確保 マニュアル
Consistency between Class and Sequence by SparxSystems Japan Enterprise Architect 日本語版 クラス図とシーケンス図の整合性確保マニュアル (2011/12/6 最終更新 ) 1 1. はじめに UML を利用したモデリングにおいて クラス図は最も利用される図の 1 つです クラス図は対象のシステムなどの構造をモデリングするために利用されます
マルウェアレポート 2017年12月度版
バンキングマルウェアの感染を狙った攻撃が日本に集中 ショートレポート 1. 12 月の概況について 2. バンキングマルウェアの感染を狙った攻撃が日本に集中 3. ランサムウェアのダウンローダーを数多く確認 1. 12 月の概況について 2017 年 12 月 1 日から 12 月 31 日までの間 ESET 製品が国内で検出したマルウェアの比率は 以下のと おりです 国内マルウェア検出数の比率
スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構
スキル領域と (8) ソフトウェアデベロップメント スキル領域と SWD-1 2012 経済産業省, 独立行政法人情報処理推進機構 スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD-2 2012 経済産業省, 独立行政法人情報処理推進機構 専門分野 ソフトウェアデベロップメントのスキル領域 スキル項目 職種共通スキル 項目 全専門分野 ソフトウェアエンジニアリング Web アプリケーション技術
Microsoft Word _RMT3セッテイ_0809.doc
設置する前に必ずお読みください 無線 LAN 送受信機 RMT3 設定マニュアル 設置する前に, このマニュアルにしたがい, 必ず送受信機の設定を行なってください 設定が正しく行われたかどうか, 送受信機を設置する前に, 必ず作動確認をしてください 1 目次 ページ はじめに 3 パソコンの IP アドレスの設定 4 送受信機の設定 ( 親局側 ) 1.IPアドレスとサブネットマスクの設定 2. ユニットタイプの設定
安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構
安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Android アプリの脆弱性体験学習ツール AnCoLe( アンコール ) の紹介 ~ AnCoLe で攻撃 対策の体験を ~ Android アプリに関する届出状況 毎年 Android アプリの脆弱性の届出が報告 件数 300 250 200
<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707
資料 3 政府機関における情報セキュリティ対策の現状について 平成 20 年 9 月 4 日内閣官房情報セキュリティセンター (NISC) Copyright 2008 内閣官房情報セキュリティセンター (http://www.nisc.go.jp/) 政府機関の情報セキュリティ対策の枠組み 政府機関全体としての情報セキュリティ水準の向上を図るため 各省庁が守るべき最低限の対策基準として 政府機関の情報セキュリティ対策のための統一基準
改版履歴 版数 改訂日 該当頁 / 該当項目 改訂の要点 /03/31 6 対応 OSの変更に伴う修正 動作環境 の OS に以下を追加 Windows 8.1 Update (64Bit) Windows 8.1 Update Pro (64Bit) 動作環境 の OS から以
平成 28 年 4 月 国民健康保険中央会 改版履歴 版数 改訂日 該当頁 / 該当項目 改訂の要点 4.0.0 2015/03/31 6 対応 OSの変更に伴う修正 動作環境 の OS に以下を追加 Windows 8.1 Update (64Bit) Windows 8.1 Update Pro (64Bit) 動作環境 の OS から以下を削除 Windows 8.1 (64Bit) Windows
desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1
desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1 目次 1. はじめに... 3 2. desknet s NEO SAML 連携前の初期設定... 4 3. desknet s NEO SAML 設定... 5 4. SeciossLink SAML サービスプロバイダ設定... 7 5. 動作確認... 9 6. 制限事項... 10 2 1. はじめに
研究コース 6(GOØWY チーム ) 要求獲得のためのヒアリングにおけるゴール指向要求分析の活用 ~ ゴール指向 Lite の提案 ~ Effective Use of Goal-Oriented Requirements Analysis Method at Interview Process
研究コース 6(GOØWY チーム ) 要求獲得のためのヒアリングにおけるゴール指向要求分析の活用 ~ ゴール指向 Lite の提案 ~ Effective Use of Goal-Oriented Requirements Analysis Method at Interview Process for Requirements Elicitation - Proposal of Goal-Orientation
2008年度 設計手法標準化アンケート 集計結果
2010 年度 設計手法普及調査アンケート 集計経過報告 2011 年 8 月社団法人組込みシステム技術協会状態遷移設計研究会 目次 1. アンケート実施の目的 3 2. アンケートの実施対象 4 3. アンケート回答数 5 4. 実施したアンケートの内容 6 5. アンケート回答者の構成 8 5.1 アンケート回答者の構成 : 製品分野 9 5.2 アンケート回答者の構成 : 部門 10 6. アンケート集計結果
CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx
クラウド型セキュリティ対策サービス Cloud Edge あんしんプラス 月次レポート解説書 第 1.0 版 日本事務器株式会社 改版履歴 版数日付変更内容 1.0 2016/03/07 新規作成 2 目次 1. サービス概要............ 4 1.1. CLOUD EDGE あんしんプラスとは... 4 2. 月次レポート解説............ 5 2.1. VBBSS がインストールされているクライアントの概要...
最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig
出社してから退社するまで中小企業の情報セキュリティ対策実践手引き 活用方法 元持哲郎アイネット システムズ株式会社 JNSA 西日本支部 2014 年 2 月 21 日 最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで