![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
本資料は、2月28日に公開した「情報セキュリティ10大脅威 2022」解説書 [個人編] に組織編とコラムを追加し、再編集したものです。
ランサムウェアや標的型攻撃、フィッシング詐欺といった脅威の特徴や手口を、約60ページに渡って解説している。
最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。 - 米国の政策(トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など) - テレワークの情報セキュリティ(インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など) - NISTのセキュリティ関連活動(組織の沿革と体制、SP800,1800シリーズなど)
NISTが策定する「NIST SP 800-53」(組織と情報システムのためのセキュリティおよびプライバシー管理策)や「NIST SP 800-171」(非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護)といったセキュリティー文書を基にセキュリティーガイドラインを作成するといった企業も多い。白書ではNISTの組織や体制を説明し、2020~2021年にNISTが発行した主なセキュリティー関連文書を一覧表としてまとめている。
最新刊の「情報セキュリティ白書2020」では以下の新たなトピックを取り上げています。 - クラウドの情報セキュリティ(インシデント、被害の実態、課題とその対応など) - 次代を担う青少年を取り巻くネット環境(SNSを介した犯罪、不確かな情報、eスポーツとオンラインゲームなど)
「情報セキュリティ白書2019」では、情報セキュリティインシデントの具体的事例や攻撃の手口、政策や法整備の状況等を網羅的に取り上げています
「情報セキュリティ白書2018」では、情報セキュリティインシデントの具体的事例や攻撃の手口、政策や法整備の状況等を網羅的に取り上げています。また、2017年度に注目されたテーマとして、“IoT”、“仮想通貨”、“スマートフォン”、“制御システム”、“中小企業”に関する情報セキュリティを掲載しています。
総務省は、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を公表した。クラウドサービスを取り巻く環境の変化を考慮したことに加え、国際規格などに記載されているセキュリティ対策との整合性を取ったという。
改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです
脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
経済産業省は、平成31年4月18日にCPSF Version1.0を策定しました。CPSFを活用することで、我が国産業におけるサプライチェーン全体のサイバーセキュリティの確保へ向けた取組が進められることを期待しています。
本記事では、「CPSFとはそもそも何なのか?」「自社のセキュリティ対策にどのように役に立つのか?」という疑問を持つ方に向けて、CPSFに記載されている中でも特に重要な概念である「バリュークリエイション」「三層構造アプローチ」について説明した上で、策定の背景や基本的な構成、自社のセキュリティマネジメントへの具体的な使用例についても解説します。
これまで内部不正対策について「考えてこなかった」「何をすればよいかわからなかった」という企業であっても、内部不正対策の整備を可能とすることを目指したほか、内部不正防止だけではなく、発生してしまった際の早期発見・拡大防止をも視野に入れた
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。
本制度は、「ISO/IEC 15408(JIS X 5070:情報技術セキュリティの評価基準)」に基づくものです。
2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
