ドイツ自動車工業会（VDA）が、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求した上で、達成すべき基準となるVDA情報セキュリティ評価基準（以下「VDA ISA」）を策定しました。2017年にはENX（European Network Exchange）と協力し、TISAX（Trusted Information Security Assessment Exchange）を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この流れを受けて、欧州の自動車業界でも同様のTISAX認証の要求が広まっており、中国及び米国までの同調の動きを見せています。

これまでISO27001の審査活動を中心にセキュリティ監査を進めてきましたが、この度TISAX審査員への登録の手続きを行い、今後は国内の自動車サプライヤーに対してもセキュリティ監査を展開してゆきたいと考えています。OEMからTISAXのお話しを聞くようになりましたら、お気軽にご相談下さい！！！

IPA セキュリティセンターでは、脆弱性対策情報データベースJVN iPedia（https://jvndb.jvn.jp/ )を2007年4月25日から運用し、日々公開される国内外の脆弱性対策情報を公開しています。
2024年第1四半期（2024年1月1日から3月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件（累計280件）、JVNから収集したもの684件（累計15,239件）、NVDから収集したもの12,010件（累計191,052件）、合計12,699件（累計206,571件）となりました。
また、2024年第1四半期（1月〜3月）にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計した結果、脆弱性の種類別件数の上位5件は以下となりました。

・CWE-79（クロスサイトスクリプティング）：2,198件
・CWE-787（境界外書き込み）：891件
・CWE-89（SQLインジェクション）：876件
・CWE-352（クロスサイト・リクエスト・フォージェリ）：611件
・CWE-862（認証の欠如）：328件

最も件数の多かったCWE-79（クロスサイトスクリプティング）は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
IPAでは、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料やツールを公開しています。これらを活用し、適切に対策を実施してください。

◆詳細は下記のURLをご覧ください。
https://www.ipa.go.jp/security/reports/vuln/jvn/ipedia2024q1.html

ネットスクエアのISO27001:2022移行審査が無事終了しました。

2022年版では11個の追加の管理策が含まれており、技術的セキュリティに関連する内容が多いことから、弊社にとってもとても参考になったみたいです。

2022年版への移行は2025年10月迄に完了しなければならないので、これから移行に関する引き合いが増えてきそうです。

ISO27001:2013を取得されている組織は、急いでお問い合わせ下さい！

遠く離れた北の大地で、ISO9001認証取得組織の2回目の更新審査を無事終えました。

お陰で毎年札幌へ足を運ぶことになっているのですが、センター長から認証取得のメリットよりも業務の標準化、及び改善活動につながっていることに感謝されました。

そもそもISOの目的のひとつなのですが、それをメリットとして感じて頂いていることに感激しています。

勿論、北の大地の育みに毎年恩恵を受けていることにも感謝しています。

情報セキュリティ10大脅威 2024 [組織]が発表されていますが、2016年以降内容はあまり変わっていないのですね・・・

情報セキュリティ10大脅威 2024 [個人]が発表されていますが、2016年以降内容はあまり変わっていないのですね・・・

2021年9月にロンドンで開催されたISO（国際標準化機構）の総会にて、「ロンドン宣言」が採択されました。この宣言は、規格作成などを通じて気候変動対策へのアプローチを変革し、ネットゼロを達成するための国際的な取組みを推進するものです。これを受け、ISOは附属書SL（Annex SL）の条項4.1項及び4.2項に「気候変動」への考慮に関する記述の追加を決議し、2024年2月23日に各規格への追補が発行されました。

4.1 組織及びその状況の理解

組織は、組織の目的に関連し、かつ、当該マネジメントシステムの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない。組織は、気候変動が関連する課題であるかどうかを決定しなければならない。

4.2 利害関係者のニーズ及び期待の理解

組織は、次の事項を決定しなければならない：
– 当該マネジメントシステムに関連する利害関係者；
– それらの利害関係者の、関連する要求事項；
– これらの要求事項のどれに当該マネジメントシステムを通じて対応するか。

注記：関連する利害関係者は、気候変動に関連する要求事項を持つことがある。

上述の追補により、対象となるお客様にはマネジメントシステムにおける「リスク及び機会への取組み」において、気候変動について考慮していることを示すことが求められます。

これは、必ずしも文書化の要求を伴うものではなく、特定の環境活動を強制するものでもありません。しかし、マネジメントシステムに関連する課題及び要求事項と判断された場合、必要に応じ、お客様の目標や計画及び運用に反映されることが期待されます。

２０２４年のプロ野球が開幕します！

海の向こうの話題ばかりがニュースになりますが、今年もやっとはじまったかなぁと言った感じです！

今年は、マツダスタジアムだけでなく、福岡ドームへのお誘いを頂いており楽しみです🎵

今日はテレビの前で・・・・

私はMacBook Airの初代からの愛用者で、この度M3チップ搭載の最新機種にリプレースしました。

これで、M1、M2、M3と3世代のMacBook Airが揃いました。

残念ながらWindows環境でしか動作しないアプリがまだ残るので、Paralleles（有償）という仮想環境を導入して、Windows11のARM版をインストールして利用しています。

という訳で、これまで通りでさらにパワーアップした環境が実現できました♪

2024 年 3 月 13 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2023/0313-ms.html