★☆★JNSAメールマガジン 第300号 2024.11.15☆★☆
2024/11/15 (Fri) 15:30
★☆★JNSAメールマガジン 第300号 2024.11.15☆★☆
こんにちは
JNSAメールマガジン 第300号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
株式会社NTTデータグループ セキュリティマスター
宮本 久仁男様にご寄稿いただきました。
【連載リレーコラム】
いまさら聞けないパスワードにまつわる問題とその対応
株式会社NTTデータグループ Cloud&Infrastructure技術部
情報セキュリティ推進室 NTTDATA-CERT
セキュリティマスター 宮本 久仁男
現在、システムでのユーザー認証は、安全なものが開発・利用されるように
なってきている一方で、パスワードも多く使われています。
ここでは、いまさら聞きづらいパスワードにまつわる「利用者側の問題」に
焦点を当てて、対策について考えていくことにしましょう。
●いきなり結論から
書いていたら長くなってしまったので、この記事の主な主張を以下にまとめます。
・パスワードは複雑なものよりも長めのものを
・パスワードを忘れそうなら、コンピュータやスマートフォンなどに覚えさせよう
・システムのパスワードを忘れても再設定可能なことが多い。
できれば一度再設定しよう
・一番守らなきゃいけないのは「メールアカウント」
●いまだに残るパスワードにまつわる利用者側の問題
パスワードは、ユーザー識別子(ID)と組み合わせて、古くからシステムでの
ユーザー認証に用いられているしくみですが、長く使われる中で多くの問題が
出てきています。
出てきた問題は、先人が解決するためのアプローチや技術開発を行っています
が、それでもここ最近発生した被害を見ると、利用者側の対応にまつわる以下
のような問題が根強く残っているように見えます。
(1) パスワードを使いまわすことによる、漏洩パスワードを用いたシステム不正侵入
(2) 短いパスワードを用いることによる、総当たり攻撃への耐性低下
●問題の本質
パスワードにまつわる利用者側の問題ですが、本質は意外にシンプルです。
(1) いくつも複雑なパスワードを覚えられない
(2) 長いパスワードを設定できなかった時代の名残
物覚えの良し悪しも含め、個々の利用者ができることはまちまちですが、
その部分を勘案せず、多くの一般の利用者の方々にも知識を要する対策を
強制することは、必ずしも良い結果にはつながりません。
しかし、コンピューターでもスマートフォンでも、使える道具は似たような
ものです。少なくとも専門家でない人たちが使うものは、似たような環境に
なってきます。
以下、同じような環境を使う「一般の利用者」の方々向けのアプローチを
述べていきます。
●問題への「一般の利用者」向けアプローチ
利用者側で出来る対処
筆者もおぼえることが苦手なのですが、一方でコンピューターやスマートフォンは、
覚えることが得意です。だったら得意なものに得意なことをやらせればよい、
というのが基本的なアプローチとなります。
(1) 自分で覚えない。コンピューターなりスマートフォンに覚えてもらう
(2) 長いパスワードを設定しなおし、コンピューターなりスマートフォンに
覚えてもらう。なんならパスワードもスマートフォンなりに生成してもらう
短いパスワードでもよいのではないか?という話はありますが、短いパスワード
の場合はいわゆる「悪いパスワード」(*1)と同じもしくは類似になりかねない
こともありますし、忘れてもリカバリのための手段があるシステムに対しては、
臆せず長めのパスワード(*2)を設定しましょう。
●コンピューターやスマートフォン側でパスワードを覚えてもらうためのツール
・Webブラウザ
よくあるアプローチの1つは、コンピューターやスマートフォンの機能を活用
することであり、筆者が使ってみて強力だと感じたのは「Webブラウザにおぼえ
させる」ことです。
単体のWebブラウザも同様の機能を持っていることが多いので、それを使うのも
よいでしょう。
Webブラウザにおぼえさせることで、ユーザーがコンピューターやスマートフォ
ンを使えれば、その延長にある簡単な操作で「おぼえさせたパスワードを呼び
出す」ことが可能です。一般の利用者向けには、何よりも追加費用がかからな
いのがよいと言えます。
・パスワード管理ツールを導入する
ツールを使うという点では、前述の「ブラウザにおぼえさせる」ことと同じ
ですが、専用に設計されたツールを使うという点で、より強力なパスワードの
保護手段となりえます。
ただし、追加で費用が必要だったり、導入の手間がかかったりとあるので、
誰に対しても進められるというものではありません。
●長いパスワード vs 複雑なパスワード
システムで「複雑なパスワード」を強制されることもあり、「複雑なパスワード
のほうがいいのか?」と思われる方もいらっしゃるかと思いますが、ここは、
最新のNIST SP800-63「Digital Identity Guidelines」第4版(*3)にて、
「長いパスワードのほうがよい」と明記されています(*4)。
確かに英字大文字小文字、数字、記号と組み合わせれば、短いパスワードでも
高い強度になりえますが、そもそも長いパスワードを設定できれば、そのような
面倒な(覚えにくい)パスワードを設定しなくてもよくなります。例えば、
「記号も含めた文字で構成された8文字のパスワード」と「記号を含めない
英大文字小文字+数字+空白で構成された9文字のパスワード」を比較すると、
組合せ数だけで言うと後者が2.5倍多くなります。
筆者は「そもそも自分で覚えないで、コンピューターやスマートフォンに覚え
させる」のを勧める人ですが、何らかの理由で「ブラウザに覚えさせたくない」
「パスワード管理ツールを使いたくない」場合には、このような考え方もある
と知っておいていただければ幸いです。
なお、過去に漏えいしたパスワードや、推測しやすい英単語・文字列の類を
使わないのは大前提です。SP800-63には、さらに「パスワードは定期的に変更
するのではなく、漏えいした(漏えいが確認された)場合に速やかに変更する」
という内容も含まれています。
●パスワードを忘れたらどうする?
パスワードを忘れても、再設定の手段が準備されていることが多く、再設定の
ために必要なものは、自分が知っている情報(氏名や生年月日、電話番号)
だったり、使えるメールアカウントだったりすることが大半です。
メールアカウントが適切に保護されている(他者からの不正アクセスをさせ
ないようにしている)のであれば、忘れても再設定のための情報を当該メール
アカウントに送ってもらい、再設定が可能です。
なお、再設定したら「使いまわしされているパスワードだった」などという
ことはないようにしてください。
あと重要な点は、「自分で再設定を行えるか」です。自前でパスワードの再設定
が可能なサービスを利用する場合には、再設定の手順を確認するとともに、
可能であれば、一度自分でパスワードの再設定を行ってみてください。
たまに「パスワードを忘れた」時に、自分が設定したパスワードが送られて
きたり手続き画面に表示されたりするサービスがまだありますが、正直不安し
かありません。そのような対処をしているサービス提供者には、早期の対応を
お願いしたいです。
●その他:最も守るべきもの~メールアカウント
ここはいろいろと議論が分かれるところですが、経験上筆者が「これは死守
すべき」と考えるものは、「システムの認証に係るメールアカウント」です。
これが「あなたがあなたであることを証明する」情報であることが多いので、
死守しましょう。
具体的には、このメールアカウントは、パスワード以外の情報も認証に用いる
多要素認証やパスキーなどの手段で守られているものを使ってください。
ビジネスチャットなども高機能かつセキュアなものが出てきていますが、
それらを利用するためにはやっぱりメールアカウントが必要なことが多いです。
幸い、Gmailなどのサービスは、パスキー認証や多要素認証をサポートしています
ので、もしまだ利用していない方がいらしたら、そのようなサービスの利用を
ご検討されることをお勧めします。
*1 ID&パスワード危険な悪習慣 第16回 危険なパスワードのランキングから
分かる弱さの共通点、強固でも使い回しは避けよう(日経クロステック)
https://xtech.nikkei.com/atcl/nxt/column/18/02676/120500016/
*2 どの程度ならば「長いパスワード」なのか?というのはありますが、
諸説確認したところ、おおよそ10文字以上がよいように見えます。
*3 NIST SP 800-63 Digital Identity Guidelines
https://pages.nist.gov/800-63-4/
*4 パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けては
ならない(日経クロステック)
https://xtech.nikkei.com/atcl/nxt/column/18/00676/100300178/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/49nb2y3x
※googleアンケートフォームを利用しています。
【JNSAイベントのお知らせ】
★情報セキュリティ教育事業者連絡会(ISEPA)主催
「人材戦略から考えるセキュリティ人材の確保と育成」参加登録を開始しました。
https://www.jnsa.org/seminar/2024/isepa/index.html
★JNSAインターンシップ「サイバーセキュリティ企業合同会社説明」
参加登録を開始しました。
https://www.jnsa.org/internship/index.html
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J)の
セキュリティオペレーションガイドラインWG(WG1)が
「ASM導入検討を進めるためのガイダンス」を公開しました。
https://isog-j.org/output/2024/asmguidance.html
★会員交流部会ソリューションガイド活用ワーキンググループの紹介動画を
Youtube JNSAChannelで公開しました。
https://www.youtube.com/@JNSAseminar
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
★★11月21日開催!継続的・長期的な脆弱性診断★★
ーー 生成AIで実現、DX時代の最新事例を徹底解説 ーー
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
デジタルサービス化が進んだことにより、
継続的かつ高頻度な脆弱性診断のニーズが高まっています。
生成AIを活用したクラウド型Web診断ツール「AeyeScan」で
専門知識がなくても誰でもスムーズに診断内製化を実現する
方法を詳しくご紹介します。
▼開催日程・詳細
日程:2024年11月21日(木)
詳細:https://www.aeyescan.jp/event-seminar/detail-webinar_20241121/
【株式会社エーアイセキュリティラボ】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
CCSP公式トレーニングセミナーを12月にオンラインで開催
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
12月11日、12日、13日、19日、20日の5日間、
CCSP公式トレーニングセミナーをオンラインで開催します。
CCSPはクラウドサービスを安全に利用・運用するために必要な
知識やスキルを世界で初めて体系化し、人材認定を行うものです。
CCSPの知識体系には、最新かつ包括的で最適な運用を実施でき
るセキュリティ技術と、クラウドコンピューティング環境の総合的
な知識が含まれており、クラウド戦略、DX戦略を支える人材の育
成に活かせる内容となっています。
▼セキュリティ人材の不足や育成でお悩み方はお急ぎください!▼
(締切迫る!)11月19日(火)申込締切
https://www.ntt-at.co.jp/product/ccsp/
【NTTアドバンステクノロジ株式会社】
==============================================================
--------------------------------------------------------------
【ブログ記事】元エンジニア&ウェブ担当者がAppGoatを体験!
クロスサイト・スクリプティング編
JBサービス株式会社
--------------------------------------------------------------
本ブログ記事では、IPAが提供する脆弱性体験学習ツールAppGoatを
元セキュリティエンジニアの社員とウェブ担当者が触ってみた感想
をご紹介します。
ブログ記事はこちら>>
https://www.jbsvc.co.jp/useful/security/appgoat-xss.html
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
\ プロユースの要求品質でも手軽に /
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「Vex」は、国内の各診断ベンダー様にご愛用頂いている、
プロ品質のWebアプリケーション脆弱性検査ツールです。
脆弱性診断をより高度かつ手軽に実現します。
プロユースな要求品質にもかかわらず、分かりやすいUIや豊富な
サポートメニューなど初心者にも使いやすい特徴を備えています。
さらに、自社のウェブサイトの特性や求める品質に合わせて
柔軟に運用できる、幅広い機能を提供しています。
■製品詳細
⇒ https://hubs.ly/Q02rWY7c0
《株式会社ユービーセキュア》
==============================================================
==セミナーのご案内(無料)==
◆SANSを知る「SANS大全」セミナー◆
SANS Instituteより講師をお招きし、世界中のプロフェッショナル
に選ばれるSANSの魅力や有用性を深堀りしてご紹介します!
日時:2024年11月21日(木) 12:00~13:00
詳細:https://www.nri-secure.co.jp/seminar/2024/1121sans
◆DX推進に必要なセキュリティと人材育成戦略◆
~ISC2認定講師と本音で語るDXの現場と
実践的セキュリティ人材育成トレーニング~
日時:2024年11月28日(木) 12:00~13:00
詳細:https://www.nri-secure.co.jp/seminar/2024/1128cissp
みなさまのご参加お待ち申し上げております。
【NRIセキュアテクノロジーズ株式会社】
==============================================================
【無料】対策必須!サイバーセキュリティウェビナーのご案内
株式会社アクトではセキュリティ強化にご関心をお持ちの皆様へ、
ウェビナーアーカイブを無料視聴いただける機会を提供しています。
ウェビナーでは最新のサイバー攻撃対策や実践的な多層防御を
解説しています。下記リンクからアクセスしてご視聴ください。
https://x.gd/Qocou
アクトのセミナーアーカイブは24時間視聴可能です。
ご多忙な方でもお時間のある際にご活用いただけます。
皆様のセキュリティ運用強化に役立つ情報を今後も提供してまいります。
ぜひこの機会にご視聴ください。
■株式会社アクト■
https://x.gd/AH6in
==============================================================
<DXを支えるアイマトリックスのメール無害化&脱PPAP>
DXが進むにつれ、重要な情報を電子メールやファイル転送サービス
でやりとりする機会が増えています。
暗号化ZIPファイルやクラウドストレージでは情報漏洩のリスクを
抱えるだけでなく、現場の社員に不要な手間が生じます。
アイマトリックスのマトリックスエージェントはメールにファイル
を添付する手順は変えず、中継センターが安全かつ簡単に重要ファ
イルを送り届けます。
さらに送信の脱PPAPだけでなく、メール無害化オプションの追加で
受信の脱PPAPも実現できます。
ウイルスチェックができない暗号化ファイルをゲートウェイ上で開
封&検査し、必要に応じてマクロの除去や画像化を実行し、悪意の
あるプログラムを実行させません。
ランサムウェア、情報漏洩対策にお悩みならぜひご相談下さい。
[アイマトリックス株式会社]
==============================================================
(一財)日本情報経済社会推進協会(JIPDEC)
「ダークパターン」規制動向とリスクに関するレポート&動画公開
JIPDECが10月8日に開催したセミナー「ダークパターンとは
何か? 今後の規制動向と企業リスク」の講演レポートを公開して
います。
ダークパターンの種類や適正取引、欧米の規制や今後の国内企業活
動に対する法規制の詳細や規制動向について、有識者の皆様の解説
と、今月22日17時までの期間限定で、各講演の動画も配信していま
す。企業の信頼維持のため、ダークパターン対応や規制内容に関心
がある方はぜひこの機会にご参照ください。
▼講演レポート(セミナー開催案内サイト)
https://www.jipdec.or.jp/eventseminar/event/20241008seminar.html?j
▼動画(11/22 17:00までの限定公開)
https://www.youtube.com/@jipdec_pmarkchannel/videos
==============================================================
*************************************
JNSAメールマガジン 第300号
発信日:2024年11月15日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第300号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
株式会社NTTデータグループ セキュリティマスター
宮本 久仁男様にご寄稿いただきました。
【連載リレーコラム】
いまさら聞けないパスワードにまつわる問題とその対応
株式会社NTTデータグループ Cloud&Infrastructure技術部
情報セキュリティ推進室 NTTDATA-CERT
セキュリティマスター 宮本 久仁男
現在、システムでのユーザー認証は、安全なものが開発・利用されるように
なってきている一方で、パスワードも多く使われています。
ここでは、いまさら聞きづらいパスワードにまつわる「利用者側の問題」に
焦点を当てて、対策について考えていくことにしましょう。
●いきなり結論から
書いていたら長くなってしまったので、この記事の主な主張を以下にまとめます。
・パスワードは複雑なものよりも長めのものを
・パスワードを忘れそうなら、コンピュータやスマートフォンなどに覚えさせよう
・システムのパスワードを忘れても再設定可能なことが多い。
できれば一度再設定しよう
・一番守らなきゃいけないのは「メールアカウント」
●いまだに残るパスワードにまつわる利用者側の問題
パスワードは、ユーザー識別子(ID)と組み合わせて、古くからシステムでの
ユーザー認証に用いられているしくみですが、長く使われる中で多くの問題が
出てきています。
出てきた問題は、先人が解決するためのアプローチや技術開発を行っています
が、それでもここ最近発生した被害を見ると、利用者側の対応にまつわる以下
のような問題が根強く残っているように見えます。
(1) パスワードを使いまわすことによる、漏洩パスワードを用いたシステム不正侵入
(2) 短いパスワードを用いることによる、総当たり攻撃への耐性低下
●問題の本質
パスワードにまつわる利用者側の問題ですが、本質は意外にシンプルです。
(1) いくつも複雑なパスワードを覚えられない
(2) 長いパスワードを設定できなかった時代の名残
物覚えの良し悪しも含め、個々の利用者ができることはまちまちですが、
その部分を勘案せず、多くの一般の利用者の方々にも知識を要する対策を
強制することは、必ずしも良い結果にはつながりません。
しかし、コンピューターでもスマートフォンでも、使える道具は似たような
ものです。少なくとも専門家でない人たちが使うものは、似たような環境に
なってきます。
以下、同じような環境を使う「一般の利用者」の方々向けのアプローチを
述べていきます。
●問題への「一般の利用者」向けアプローチ
利用者側で出来る対処
筆者もおぼえることが苦手なのですが、一方でコンピューターやスマートフォンは、
覚えることが得意です。だったら得意なものに得意なことをやらせればよい、
というのが基本的なアプローチとなります。
(1) 自分で覚えない。コンピューターなりスマートフォンに覚えてもらう
(2) 長いパスワードを設定しなおし、コンピューターなりスマートフォンに
覚えてもらう。なんならパスワードもスマートフォンなりに生成してもらう
短いパスワードでもよいのではないか?という話はありますが、短いパスワード
の場合はいわゆる「悪いパスワード」(*1)と同じもしくは類似になりかねない
こともありますし、忘れてもリカバリのための手段があるシステムに対しては、
臆せず長めのパスワード(*2)を設定しましょう。
●コンピューターやスマートフォン側でパスワードを覚えてもらうためのツール
・Webブラウザ
よくあるアプローチの1つは、コンピューターやスマートフォンの機能を活用
することであり、筆者が使ってみて強力だと感じたのは「Webブラウザにおぼえ
させる」ことです。
単体のWebブラウザも同様の機能を持っていることが多いので、それを使うのも
よいでしょう。
Webブラウザにおぼえさせることで、ユーザーがコンピューターやスマートフォ
ンを使えれば、その延長にある簡単な操作で「おぼえさせたパスワードを呼び
出す」ことが可能です。一般の利用者向けには、何よりも追加費用がかからな
いのがよいと言えます。
・パスワード管理ツールを導入する
ツールを使うという点では、前述の「ブラウザにおぼえさせる」ことと同じ
ですが、専用に設計されたツールを使うという点で、より強力なパスワードの
保護手段となりえます。
ただし、追加で費用が必要だったり、導入の手間がかかったりとあるので、
誰に対しても進められるというものではありません。
●長いパスワード vs 複雑なパスワード
システムで「複雑なパスワード」を強制されることもあり、「複雑なパスワード
のほうがいいのか?」と思われる方もいらっしゃるかと思いますが、ここは、
最新のNIST SP800-63「Digital Identity Guidelines」第4版(*3)にて、
「長いパスワードのほうがよい」と明記されています(*4)。
確かに英字大文字小文字、数字、記号と組み合わせれば、短いパスワードでも
高い強度になりえますが、そもそも長いパスワードを設定できれば、そのような
面倒な(覚えにくい)パスワードを設定しなくてもよくなります。例えば、
「記号も含めた文字で構成された8文字のパスワード」と「記号を含めない
英大文字小文字+数字+空白で構成された9文字のパスワード」を比較すると、
組合せ数だけで言うと後者が2.5倍多くなります。
筆者は「そもそも自分で覚えないで、コンピューターやスマートフォンに覚え
させる」のを勧める人ですが、何らかの理由で「ブラウザに覚えさせたくない」
「パスワード管理ツールを使いたくない」場合には、このような考え方もある
と知っておいていただければ幸いです。
なお、過去に漏えいしたパスワードや、推測しやすい英単語・文字列の類を
使わないのは大前提です。SP800-63には、さらに「パスワードは定期的に変更
するのではなく、漏えいした(漏えいが確認された)場合に速やかに変更する」
という内容も含まれています。
●パスワードを忘れたらどうする?
パスワードを忘れても、再設定の手段が準備されていることが多く、再設定の
ために必要なものは、自分が知っている情報(氏名や生年月日、電話番号)
だったり、使えるメールアカウントだったりすることが大半です。
メールアカウントが適切に保護されている(他者からの不正アクセスをさせ
ないようにしている)のであれば、忘れても再設定のための情報を当該メール
アカウントに送ってもらい、再設定が可能です。
なお、再設定したら「使いまわしされているパスワードだった」などという
ことはないようにしてください。
あと重要な点は、「自分で再設定を行えるか」です。自前でパスワードの再設定
が可能なサービスを利用する場合には、再設定の手順を確認するとともに、
可能であれば、一度自分でパスワードの再設定を行ってみてください。
たまに「パスワードを忘れた」時に、自分が設定したパスワードが送られて
きたり手続き画面に表示されたりするサービスがまだありますが、正直不安し
かありません。そのような対処をしているサービス提供者には、早期の対応を
お願いしたいです。
●その他:最も守るべきもの~メールアカウント
ここはいろいろと議論が分かれるところですが、経験上筆者が「これは死守
すべき」と考えるものは、「システムの認証に係るメールアカウント」です。
これが「あなたがあなたであることを証明する」情報であることが多いので、
死守しましょう。
具体的には、このメールアカウントは、パスワード以外の情報も認証に用いる
多要素認証やパスキーなどの手段で守られているものを使ってください。
ビジネスチャットなども高機能かつセキュアなものが出てきていますが、
それらを利用するためにはやっぱりメールアカウントが必要なことが多いです。
幸い、Gmailなどのサービスは、パスキー認証や多要素認証をサポートしています
ので、もしまだ利用していない方がいらしたら、そのようなサービスの利用を
ご検討されることをお勧めします。
*1 ID&パスワード危険な悪習慣 第16回 危険なパスワードのランキングから
分かる弱さの共通点、強固でも使い回しは避けよう(日経クロステック)
https://xtech.nikkei.com/atcl/nxt/column/18/02676/120500016/
*2 どの程度ならば「長いパスワード」なのか?というのはありますが、
諸説確認したところ、おおよそ10文字以上がよいように見えます。
*3 NIST SP 800-63 Digital Identity Guidelines
https://pages.nist.gov/800-63-4/
*4 パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けては
ならない(日経クロステック)
https://xtech.nikkei.com/atcl/nxt/column/18/00676/100300178/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/49nb2y3x
※googleアンケートフォームを利用しています。
【JNSAイベントのお知らせ】
★情報セキュリティ教育事業者連絡会(ISEPA)主催
「人材戦略から考えるセキュリティ人材の確保と育成」参加登録を開始しました。
https://www.jnsa.org/seminar/2024/isepa/index.html
★JNSAインターンシップ「サイバーセキュリティ企業合同会社説明」
参加登録を開始しました。
https://www.jnsa.org/internship/index.html
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J)の
セキュリティオペレーションガイドラインWG(WG1)が
「ASM導入検討を進めるためのガイダンス」を公開しました。
https://isog-j.org/output/2024/asmguidance.html
★会員交流部会ソリューションガイド活用ワーキンググループの紹介動画を
Youtube JNSAChannelで公開しました。
https://www.youtube.com/@JNSAseminar
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
★★11月21日開催!継続的・長期的な脆弱性診断★★
ーー 生成AIで実現、DX時代の最新事例を徹底解説 ーー
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
デジタルサービス化が進んだことにより、
継続的かつ高頻度な脆弱性診断のニーズが高まっています。
生成AIを活用したクラウド型Web診断ツール「AeyeScan」で
専門知識がなくても誰でもスムーズに診断内製化を実現する
方法を詳しくご紹介します。
▼開催日程・詳細
日程:2024年11月21日(木)
詳細:https://www.aeyescan.jp/event-seminar/detail-webinar_20241121/
【株式会社エーアイセキュリティラボ】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
CCSP公式トレーニングセミナーを12月にオンラインで開催
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
12月11日、12日、13日、19日、20日の5日間、
CCSP公式トレーニングセミナーをオンラインで開催します。
CCSPはクラウドサービスを安全に利用・運用するために必要な
知識やスキルを世界で初めて体系化し、人材認定を行うものです。
CCSPの知識体系には、最新かつ包括的で最適な運用を実施でき
るセキュリティ技術と、クラウドコンピューティング環境の総合的
な知識が含まれており、クラウド戦略、DX戦略を支える人材の育
成に活かせる内容となっています。
▼セキュリティ人材の不足や育成でお悩み方はお急ぎください!▼
(締切迫る!)11月19日(火)申込締切
https://www.ntt-at.co.jp/product/ccsp/
【NTTアドバンステクノロジ株式会社】
==============================================================
--------------------------------------------------------------
【ブログ記事】元エンジニア&ウェブ担当者がAppGoatを体験!
クロスサイト・スクリプティング編
JBサービス株式会社
--------------------------------------------------------------
本ブログ記事では、IPAが提供する脆弱性体験学習ツールAppGoatを
元セキュリティエンジニアの社員とウェブ担当者が触ってみた感想
をご紹介します。
ブログ記事はこちら>>
https://www.jbsvc.co.jp/useful/security/appgoat-xss.html
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
\ プロユースの要求品質でも手軽に /
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「Vex」は、国内の各診断ベンダー様にご愛用頂いている、
プロ品質のWebアプリケーション脆弱性検査ツールです。
脆弱性診断をより高度かつ手軽に実現します。
プロユースな要求品質にもかかわらず、分かりやすいUIや豊富な
サポートメニューなど初心者にも使いやすい特徴を備えています。
さらに、自社のウェブサイトの特性や求める品質に合わせて
柔軟に運用できる、幅広い機能を提供しています。
■製品詳細
⇒ https://hubs.ly/Q02rWY7c0
《株式会社ユービーセキュア》
==============================================================
==セミナーのご案内(無料)==
◆SANSを知る「SANS大全」セミナー◆
SANS Instituteより講師をお招きし、世界中のプロフェッショナル
に選ばれるSANSの魅力や有用性を深堀りしてご紹介します!
日時:2024年11月21日(木) 12:00~13:00
詳細:https://www.nri-secure.co.jp/seminar/2024/1121sans
◆DX推進に必要なセキュリティと人材育成戦略◆
~ISC2認定講師と本音で語るDXの現場と
実践的セキュリティ人材育成トレーニング~
日時:2024年11月28日(木) 12:00~13:00
詳細:https://www.nri-secure.co.jp/seminar/2024/1128cissp
みなさまのご参加お待ち申し上げております。
【NRIセキュアテクノロジーズ株式会社】
==============================================================
【無料】対策必須!サイバーセキュリティウェビナーのご案内
株式会社アクトではセキュリティ強化にご関心をお持ちの皆様へ、
ウェビナーアーカイブを無料視聴いただける機会を提供しています。
ウェビナーでは最新のサイバー攻撃対策や実践的な多層防御を
解説しています。下記リンクからアクセスしてご視聴ください。
https://x.gd/Qocou
アクトのセミナーアーカイブは24時間視聴可能です。
ご多忙な方でもお時間のある際にご活用いただけます。
皆様のセキュリティ運用強化に役立つ情報を今後も提供してまいります。
ぜひこの機会にご視聴ください。
■株式会社アクト■
https://x.gd/AH6in
==============================================================
<DXを支えるアイマトリックスのメール無害化&脱PPAP>
DXが進むにつれ、重要な情報を電子メールやファイル転送サービス
でやりとりする機会が増えています。
暗号化ZIPファイルやクラウドストレージでは情報漏洩のリスクを
抱えるだけでなく、現場の社員に不要な手間が生じます。
アイマトリックスのマトリックスエージェントはメールにファイル
を添付する手順は変えず、中継センターが安全かつ簡単に重要ファ
イルを送り届けます。
さらに送信の脱PPAPだけでなく、メール無害化オプションの追加で
受信の脱PPAPも実現できます。
ウイルスチェックができない暗号化ファイルをゲートウェイ上で開
封&検査し、必要に応じてマクロの除去や画像化を実行し、悪意の
あるプログラムを実行させません。
ランサムウェア、情報漏洩対策にお悩みならぜひご相談下さい。
[アイマトリックス株式会社]
==============================================================
(一財)日本情報経済社会推進協会(JIPDEC)
「ダークパターン」規制動向とリスクに関するレポート&動画公開
JIPDECが10月8日に開催したセミナー「ダークパターンとは
何か? 今後の規制動向と企業リスク」の講演レポートを公開して
います。
ダークパターンの種類や適正取引、欧米の規制や今後の国内企業活
動に対する法規制の詳細や規制動向について、有識者の皆様の解説
と、今月22日17時までの期間限定で、各講演の動画も配信していま
す。企業の信頼維持のため、ダークパターン対応や規制内容に関心
がある方はぜひこの機会にご参照ください。
▼講演レポート(セミナー開催案内サイト)
https://www.jipdec.or.jp/eventseminar/event/20241008seminar.html?j
▼動画(11/22 17:00までの限定公開)
https://www.youtube.com/@jipdec_pmarkchannel/videos
==============================================================
*************************************
JNSAメールマガジン 第300号
発信日:2024年11月15日
発 行:JNSA事務局 sec@jnsa.org
*************************************