広島県情報産業協会での活動
2024/05/24この度、16年間務めさせて頂きました、広島県情報産業協会常務理事を退任する事となりました。
情産協では、人材開発委員会及びHiBiS特別委員会を担当させて頂きましたが、特にHiBiSでは色々な経験をさせて頂きました。
これまでお世話になりました皆様方に御礼を申し上げると共に、広島でのIT業界の更なる発展を願っています。
TISAX審査員へ登録!!!
2024/05/17ドイツ自動車工業会(VDA)が、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求した上で、達成すべき基準となるVDA情報セキュリティ評価基準(以下「VDA ISA」)を策定しました。2017年にはENX(European Network Exchange)と協力し、TISAX(Trusted Information Security Assessment Exchange)を確立しました。
TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この流れを受けて、欧州の自動車業界でも同様のTISAX認証の要求が広まっており、中国及び米国までの同調の動きを見せています。
これまでISO27001の審査活動を中心にセキュリティ監査を進めてきましたが、この度TISAX審査員への登録の手続きを行い、今後は国内の自動車サプライヤーに対してもセキュリティ監査を展開してゆきたいと考えています。OEMからTISAXのお話しを聞くようになりましたら、お気軽にご相談下さい!!!
IPAからの脆弱性情報の上位5件は・・・
2024/05/10IPA セキュリティセンターでは、脆弱性対策情報データベースJVN iPedia(https://jvndb.jvn.jp/ )を2007年4月25日から運用し、日々公開される国内外の脆弱性対策情報を公開しています。
2024年第1四半期(2024年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件(累計280件)、JVNから収集したもの684件(累計15,239件)、NVDから収集したもの12,010件(累計191,052件)、合計12,699件(累計206,571件)となりました。
また、2024年第1四半期(1月〜3月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計した結果、脆弱性の種類別件数の上位5件は以下となりました。
・CWE-79(クロスサイトスクリプティング):2,198件
・CWE-787(境界外書き込み):891件
・CWE-89(SQLインジェクション):876件
・CWE-352(クロスサイト・リクエスト・フォージェリ):611件
・CWE-862(認証の欠如):328件
最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
IPAでは、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料やツールを公開しています。これらを活用し、適切に対策を実施してください。
◆詳細は下記のURLをご覧ください。
https://www.ipa.go.jp/security/reports/vuln/jvn/ipedia2024q1.html
ISO27001:2022移行審査
2024/05/03ネットスクエアのISO27001:2022移行審査が無事終了しました。
2022年版では11個の追加の管理策が含まれており、技術的セキュリティに関連する内容が多いことから、弊社にとってもとても参考になったみたいです。
2022年版への移行は2025年10月迄に完了しなければならないので、これから移行に関する引き合いが増えてきそうです。
ISO27001:2013を取得されている組織は、急いでお問い合わせ下さい!
札幌のクライアント
2024/04/26遠く離れた北の大地で、ISO9001認証取得組織の2回目の更新審査を無事終えました。
お陰で毎年札幌へ足を運ぶことになっているのですが、センター長から認証取得のメリットよりも業務の標準化、及び改善活動につながっていることに感謝されました。
そもそもISOの目的のひとつなのですが、それをメリットとして感じて頂いていることに感激しています。
勿論、北の大地の育みに毎年恩恵を受けていることにも感謝しています。
情報セキュリティ10大脅威 2024[組織]
2024/04/19情報セキュリティ10大脅威 2024 [組織]が発表されていますが、2016年以降内容はあまり変わっていないのですね・・・
1:ランサムウェアによる被害(2016年9年連続9回目)
2:サプライチェーンの弱点を悪用した攻撃(2019年6年連続6回目)
3:内部不正による情報漏えい等の被害(2016年9年連続9回目)
4:標的型攻撃による機密情報の窃取(2016年9年連続9回目)
5:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(2022年3年連続3回目)
6:不注意による情報漏えい等の被害(2016年6年連続7回目)
7:脆弱性対策情報の公開に伴う悪用増加(2016年4年連続7回目)
8:ビジネスメール詐欺による金銭被害(2018年7年連続7回目)
9:テレワーク等のニューノーマルな働き方を狙った攻撃(2021年4年連続4回目)
10:犯罪のビジネス化(アンダーグラウンドサービス)(2017年2年連続4回目)
情報セキュリティ10大脅威 2024[個人]
2024/04/12情報セキュリティ10大脅威 2024 [個人]が発表されていますが、2016年以降内容はあまり変わっていないのですね・・・
インターネット上のサービスからの個人情報の窃取(2016年5年連続8回目)
インターネット上のサービスへの不正ログイン(2016年9年連続9回目)
クレジットカード情報の不正利用(2016年9年連続9回目)
スマホ決済の不正利用(2020年5年連続5回目)
偽警告によるインターネット詐欺(2020年5年連続5回目)
ネット上の誹謗・中傷・デマ(2016年9年連続9回目)
フィッシングによる個人情報等の詐取(2019年6年連続6回目)
不正アプリによるスマートフォン利用者への被害(2016年9年連続9回目)
メールやSMS等を使った脅迫・詐欺の手口による金銭要求(2019年6年連続6回目)
ワンクリック請求等の不当請求による金銭被害2016年2年連続4回目)
「気候変動」への考慮
2024/04/052021年9月にロンドンで開催されたISO(国際標準化機構)の総会にて、「ロンドン宣言」が採択されました。この宣言は、規格作成などを通じて気候変動対策へのアプローチを変革し、ネットゼロを達成するための国際的な取組みを推進するものです。これを受け、ISOは附属書SL(Annex SL)の条項4.1項及び4.2項に「気候変動」への考慮に関する記述の追加を決議し、2024年2月23日に各規格への追補が発行されました。
4.1 組織及びその状況の理解
組織は、組織の目的に関連し、かつ、当該マネジメントシステムの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない。組織は、気候変動が関連する課題であるかどうかを決定しなければならない。
4.2 利害関係者のニーズ及び期待の理解
組織は、次の事項を決定しなければならない:
– 当該マネジメントシステムに関連する利害関係者;
– それらの利害関係者の、関連する要求事項;
– これらの要求事項のどれに当該マネジメントシステムを通じて対応するか。
注記:関連する利害関係者は、気候変動に関連する要求事項を持つことがある。
上述の追補により、対象となるお客様にはマネジメントシステムにおける「リスク及び機会への取組み」において、気候変動について考慮していることを示すことが求められます。
これは、必ずしも文書化の要求を伴うものではなく、特定の環境活動を強制するものでもありません。しかし、マネジメントシステムに関連する課題及び要求事項と判断された場合、必要に応じ、お客様の目標や計画及び運用に反映されることが期待されます。
プロ野球開幕🎵
2024/03/292024年のプロ野球が開幕します!
海の向こうの話題ばかりがニュースになりますが、今年もやっとはじまったかなぁと言った感じです!
今年は、マツダスタジアムだけでなく、福岡ドームへのお誘いを頂いており楽しみです🎵
今日はテレビの前で・・・・
MacBook Air M3を導入♫
2024/03/22私はMacBook Airの初代からの愛用者で、この度M3チップ搭載の最新機種にリプレースしました。
これで、M1、M2、M3と3世代のMacBook Airが揃いました。
残念ながらWindows環境でしか動作しないアプリがまだ残るので、Paralleles(有償)という仮想環境を導入して、Windows11のARM版をインストールして利用しています。
という訳で、これまで通りでさらにパワーアップした環境が実現できました♪