TOUCH THE SECURITY Powered by Security Service G

コラム

2017.10.24

セキュリティサイトにはどのようなものがあるの?

昨今、「○○が不正アクセスを受け、顧客情報が漏洩しました」、「○○をかたるフィッシング詐欺が発生」などニュースを見たり聞いたりしているとセキュリティに関する話題を耳にする機会が多くなっています。

今回はセキュリティ関連の公式サイトではどんなものがあるのかそれぞれ簡単に見ていきたいと思います。

1.IPA(情報処理推進機構)

IT社会を守り、育てることを目的とした独立行政法人です。国家資格である情報処理技術者試験を行っていることでIT関連の技術者にもよく知られています。情報セキュリティの啓発、情報セキュリティ対策といったものから、国民向けに一般的な情報セキュリティの相談窓口の開設など幅広い業務を行っています。
セキュリティとしては後で紹介するNISC(内閣サイバーセキュリティセンター)やJPCERTCCと連携し、セキュリティ対策やセキュリティ教育、脆弱性情報の提供などを行っています。

また毎年7月ごろには「セキュリティ白書」を発行していて、前年度1年間に発生したセキュリティの事例やセキュリティの動向をはじめ、2017年版ではIoT関連、スマートデバイスや金融の情報セキュリティ、オリンピック関連に向けた情報セキュリティ対策など最近話題のセキュリティの情報についても掲載されています。読みやすくまとめられています。

一般向けには「ここからセキュリティ! 情報セキュリティ・ポータルサイト」もおすすめです。

2.NISC(内閣サイバーセキュリティセンター)

内閣官房に設置されたセキュリティの組織です。2014年11月に成立した「サイバーセキュリティ基本法」に基づき2015年1月に内閣に設置された「サイバーセキュリティ戦略本部」とともに設置されました。サイバーセキュリティ戦略に基づいて官民一体となる活動を実施しています。

サイバーセキュリティ月間(2月1日~3月18日)にはサイバーセキュリティに関連する様々な普及活動も行っています。その中で「サイバー攻撃を目撃せよ!」というイベントを毎年行っており、身近にサイバーセキュリティについて確認できる内容となっています。

また、セキュリティのビギナー向けに子供でも読みやすい冊子「情報セキュリティハンドブック」の作成・配布を行っています。

3.JNSA(日本ネットワークセキュリティ協会)

ネットワークセキュリティに関する活動を行う特定非営利活動法人です。業種や規模を問わず数多くの民間企業が会員となっています。
会員企業の代表者が集まってセキュリティに関する様々な部会やワーキンググループ活動が行われています。

「セキュリティコンテスト(SECCON)」と呼ばれる日本国内最大のセキュリティンコンテストを毎年開催しています。不足しているといわれている情報セキュリティ人材の拡大やレベルアップを目的として実施されています。

また、セキュリティ教育の一環として制作された「セキュリティ専門家 人狼」カードゲームがあります。ゲームの参加者がCSIRT(シーサート)陣営とサイバー犯罪者陣営にそれぞれ分かれて陣営の勝利を目指します。ゲームを通してセキュリティについて学ぶことができる内容となっています。

4.JPCERTCC(JPCERTコーディネーションセンター)

日本国内で発生するセキュリティインシデントについて報告の受付、対策の支援、分析や助言などを行う政府機関や企業から独立した中立の組織です。国内だけでなく、海外の各国のCERT、CSIRTとも連携して情報の共有等を行っています。

IPAと共同でJVNという脆弱性対策情報ポータルサイトを運営しています。JVN内にあるJVN iPedia 脆弱性対策情報データベースではアプリケーション名などのキーワードをもとにどのバージョンに何の脆弱性が存在し、対策するためにはどうしたらよいのかを調べることができます。

また、一般の方も利用可能なMyJVNがあります。MyJVNでは利用者のPC上にインストール済みのアプリケーションが最新状態になっているかどうかをチェックすることができます。

5.フィッシング対策協議会

フィッシングに関する情報提供や注意喚起を行う組織です。フィッシングに関するニュースでは実際にどういった内容のフィッシングメールが出回っているのか、画面本文や画面キャプチャ情報とともに確認することができます。フィッシングサイトの報告も受け付けています。

また、フィッシングについて詳しくない方向けに「マンガでわかる フィッシング詐欺対策5か条」が公開されており、フィッシング詐欺にかからないためのチェックポイントなどがわかりやすくまとめられています。

6.JSSEC(日本スマートフォンセキュリティ協会)

最近利用者が急増しているスマートフォンやタブレット型端末向けを対象にしたセキュリティの組織です。セキュリティベンダや大手通信事業者などを含む30弱の幹事会員企業とおよそ80社の正会員企業で構成されています。
スマートフォンやタブレット型端末のセキュリティガイドラインの策定、アプリケーション開発者向けのセキュアコーディングガイドなどの提供、スマートフォンに関する脆弱性情報の収集と提供などを行っています。

7.警察庁 ”サイバーポリスエージェンシー

警察庁がサイバー犯罪・サイバー攻撃の被害防止を図るために開設したサイトです。サイバー犯罪対策情報、情報セキュリティ対策ビデオの公開、相談窓口、@policeなどがあります。
インターネット安全・安心相談」サイトでは相談事例をキーワードや分類別に検索して確認することができます。

また@policeではインターネットの定点観測やインターネット治安情勢に関する資料の公開、デジタルフォレンジックについて簡単な説明で学ぶことやクイズで知識の確認ができるほか、技術者向けに不正プログラムの解析事例がまとめられて公開されています。

 

8.CSIRT(日本シーサート協議会)

各事業者が設立したコンピュータセキュリティのインシデントに対処する組織(CSIRT)が事業者を超えて情報の共有等を行っていくために設立されました。
数多くの民間企業の各CSIRTに加え、大学のCSIRTやCERTや国立研究開発法人であるNICTのCSIRTも参加しています。

9.OWASP

アメリカ政府認定のNPOで世界各国に拠点があります。セキュリティのガイドラインの作成、セキュリティに関する積極的なコミュニティ活動などがあります。

「OWASP Top 10」はOWASPが脆弱性のうち特に重要と判断した上位10個の脆弱性を指します。脆弱性の重要度の基準として利用されています。

「OWASP Night」はOWASP Japanが開催するカジュアルなミーティングで、毎回テーマをもとにセキュリティについて語り合う場となっています。

OWASP ZAP」はOWASPが提供するツールです。プロキシとして使用しブラウザのリクエストやレスポンスを確認することや、セキュリティ診断のスキャナーとして診断対象に対して様々な疑似攻撃文字列を送信し、その結果診断対象に脆弱性が存在するかどうか確認するという利用方法もできるツールです。

以上、全部で9つについて、簡単に見てきました。皆さん興味を持たれたものはありましたか?少しでも興味を持ったものがあれば、実際にアクセスして確認してみることをお勧めします。最後までお読み頂きありがとうございました!

おまけ

本編のあとのおまけとして、私自身が撮影した数多くの写真の中から3点をお届けします。今回は10月に撮影した写真から選んでみました。

10月の満月

2016年10月の満月の写真です。肉眼で見ると月明かりが明るい満月ですが、高倍率の光学ズームが可能なコンパクトデジカメで撮影すると左のように綺麗に見ることができます

秋のバラ

10月は秋のバラのシーズンです。真っ赤なバラと真っ青な秋の空のコントラストが美しい一枚となっています。

横浜の山手西洋館

10月といえば、ハロウィンの季節です。横浜の山手西洋館では毎年各館で様々なハロウィンの飾りが行われています。

皆さんもそれぞれ素敵な秋を発見してみてくださいね!

記事一覧に戻る