情報セキュリティ10大脅威 2024の関連資料として、「簡易説明資料[個人編]（一般利用者向け）」と「知っておきたい用語や仕組み」を公開しました。

◆簡易説明資料[個人編]（一般利用者向け）

10大脅威（個人向け）に選出された脅威の概要や手口・対策を、画像やイラスト付きでわかりやすく解説した資料です。専門用語の解説もありますので、初心者でも理解を深めていただけます。

◆知っておきたい用語や仕組み

インターネットを安全に利用するうえで知っておきたいIT用語などについて解説する資料です。「理解は必須！」「できれば理解しましょう」「改めて確認しましょう」の３つのカテゴリで各用語を解説しています。「ダークパターン」や「パスキー」といった最近の新しい技術についても学ぶことができます。

いずれもパソコンやスマートフォンに慣れていない方にもおすすめの資料です。

シニア層の被害が多く確認されている #サポート詐欺 （偽警告）の手口なども解説していますので、対策の参考としてお役立てください。

▼資料のダウンロード

簡易説明資料[個人編]（一般利用者向け）

https://www.ipa.go.jp/security/10threats/m42obm000000jlbr-att/setsumei_2024_kojin_general.pdf

知っておきたい用語や仕組み

https://www.ipa.go.jp/security/10threats/m42obm000000jlc5-att/yougoyashikumi_2024.pdf

情報セキュリティ10大脅威 2024

https://www.ipa.go.jp/security/10threats/10threats2024.html

80年代にベストテンをはじめとしてヒット曲を披露していたアルフィーというバンドがあります。

50周年記念のコンサートに行ってきたのですが、ビジュアル的にも昔のままで、声もしっかり出ているし、ステージ一杯動き回っていて、そのままでした♪

それがなんと古希を迎えると言うのです！

あんな70歳のおじいちゃんになりたいものです・・・

■IPAセキュリティセンターは、本日、標記の注意喚起情報を発表しました。
◇ Microsoft 製品の脆弱性対策について(2024年6月)

■概要
2024 年 6 月 12 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用してください。

◆詳細については、下記サイトをご覧ください。
https://www.ipa.go.jp/security/security-alert/2024/0612-ms.html

生成ＡＩの普及をはじめとして技術が急激に変化する中で、昨年５月に開催されたＡ
Ｉ戦略会議において既存のガイドラインに関して必要な改定などを検討する必要性が
示されたことを踏まえ、経済産業省および総務省では既存のガイドラインを統合・
アップデートし、広範なＡＩ事業者向けの統一的でわかりやすいガイドラインの検討
を進めてまいりました。
両省において、それぞれ「AI事業者ガイドライン検討会」と「AIネットワーク社会推
進会議」を開催し、両会議での検討を踏まえて「AI事業者ガイドライン案」を取りま
とめ、令和6年1月20日（土曜日）から同年2月19日（月曜日）までの間、意見募集を
行いました。
その後、意見募集の窓口に寄せられたご意見と、令和6年3月14日(木曜日)に合同で開
催した「AI事業者ガイドライン検討会」と「AIネットワーク社会推進会議」における
議論を踏まえた第1.0版（案）を、AI戦略会議にて報告し、令和6年4月19日に、「AI
事業者ガイドライン（第1.0版）」を取りまとめました。
当ガイドラインは、ＡＩ開発者、ＡＩ提供者、ＡＩ利用者というＡＩに携わる幅広い
事業者の方々のＡＩ活用を後押しすべく、㈰事業者の自主的な取り組みの支援、㈪国
際的な議論との協調、㈫読み手にとっての分かりやすさを基本的な考えとして作成さ
れております。また作成にあたっては、政府だけではなく、教育・研究機関、一般消
費者を含む市民社会、民間企業等の参加を得て、マルチステークホルダーの考え方を
重視いたしました。今後は必要な更新を継続して行っていく予定です。
貴団体におかれましては、会員企業の皆様に本ガイドラインについて周知いただくよ
うお願いいたします。

■広報発表
・経済産業省
https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html

■「AI事業者ガイドライン（第1.0版）」掲載場所
・経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_
report.html

◇WordPress 用プラグイン「WP Booking」におけるクロスサイト・スクリプティングの脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 24 日に「WordPress 用プラグイン『WP Booking』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・aviplugins.com が提供する WordPress 用プラグイン「WP Booking」は、予定を視覚的に表示するほか、登録や参加状況を管理することができる機能です。
・「WP Booking」には、クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているサイトにアクセスしたユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

◇「Splunk Config Explorer」におけるクロスサイト・スクリプティングの脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 24 日に「『Splunk Config Explorer』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・「Splunk Config Explorer」は、Splunk 用のファイルに関する設定ビューアです。
・「Splunk Config Explorer」には、反射型クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

この度、16年間務めさせて頂きました、広島県情報産業協会常務理事を退任する事となりました。

情産協では、人材開発委員会及びHiBiS特別委員会を担当させて頂きましたが、特にHiBiSでは色々な経験をさせて頂きました。

これまでお世話になりました皆様方に御礼を申し上げると共に、広島でのIT業界の更なる発展を願っています。

ドイツ自動車工業会（VDA）が、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求した上で、達成すべき基準となるVDA情報セキュリティ評価基準（以下「VDA ISA」）を策定しました。2017年にはENX（European Network Exchange）と協力し、TISAX（Trusted Information Security Assessment Exchange）を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この流れを受けて、欧州の自動車業界でも同様のTISAX認証の要求が広まっており、中国及び米国までの同調の動きを見せています。

これまでISO27001の審査活動を中心にセキュリティ監査を進めてきましたが、この度TISAX審査員への登録の手続きを行い、今後は国内の自動車サプライヤーに対してもセキュリティ監査を展開してゆきたいと考えています。OEMからTISAXのお話しを聞くようになりましたら、お気軽にご相談下さい！！！

IPA セキュリティセンターでは、脆弱性対策情報データベースJVN iPedia（https://jvndb.jvn.jp/ )を2007年4月25日から運用し、日々公開される国内外の脆弱性対策情報を公開しています。
2024年第1四半期（2024年1月1日から3月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件（累計280件）、JVNから収集したもの684件（累計15,239件）、NVDから収集したもの12,010件（累計191,052件）、合計12,699件（累計206,571件）となりました。
また、2024年第1四半期（1月〜3月）にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計した結果、脆弱性の種類別件数の上位5件は以下となりました。

・CWE-79（クロスサイトスクリプティング）：2,198件
・CWE-787（境界外書き込み）：891件
・CWE-89（SQLインジェクション）：876件
・CWE-352（クロスサイト・リクエスト・フォージェリ）：611件
・CWE-862（認証の欠如）：328件

最も件数の多かったCWE-79（クロスサイトスクリプティング）は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
IPAでは、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料やツールを公開しています。これらを活用し、適切に対策を実施してください。

◆詳細は下記のURLをご覧ください。
https://www.ipa.go.jp/security/reports/vuln/jvn/ipedia2024q1.html

ネットスクエアのISO27001:2022移行審査が無事終了しました。

2022年版では11個の追加の管理策が含まれており、技術的セキュリティに関連する内容が多いことから、弊社にとってもとても参考になったみたいです。

2022年版への移行は2025年10月迄に完了しなければならないので、これから移行に関する引き合いが増えてきそうです。

ISO27001:2013を取得されている組織は、急いでお問い合わせ下さい！

遠く離れた北の大地で、ISO9001認証取得組織の2回目の更新審査を無事終えました。

お陰で毎年札幌へ足を運ぶことになっているのですが、センター長から認証取得のメリットよりも業務の標準化、及び改善活動につながっていることに感謝されました。

そもそもISOの目的のひとつなのですが、それをメリットとして感じて頂いていることに感激しています。

勿論、北の大地の育みに毎年恩恵を受けていることにも感謝しています。