2024/06/07
生成AIの普及をはじめとして技術が急激に変化する中で、昨年5月に開催されたA
I戦略会議において既存のガイドラインに関して必要な改定などを検討する必要性が
示されたことを踏まえ、経済産業省および総務省では既存のガイドラインを統合・
アップデートし、広範なAI事業者向けの統一的でわかりやすいガイドラインの検討
を進めてまいりました。
両省において、それぞれ「AI事業者ガイドライン検討会」と「AIネットワーク社会推
進会議」を開催し、両会議での検討を踏まえて「AI事業者ガイドライン案」を取りま
とめ、令和6年1月20日(土曜日)から同年2月19日(月曜日)までの間、意見募集を
行いました。
その後、意見募集の窓口に寄せられたご意見と、令和6年3月14日(木曜日)に合同で開
催した「AI事業者ガイドライン検討会」と「AIネットワーク社会推進会議」における
議論を踏まえた第1.0版(案)を、AI戦略会議にて報告し、令和6年4月19日に、「AI
事業者ガイドライン(第1.0版)」を取りまとめました。
当ガイドラインは、AI開発者、AI提供者、AI利用者というAIに携わる幅広い
事業者の方々のAI活用を後押しすべく、㈰事業者の自主的な取り組みの支援、㈪国
際的な議論との協調、㈫読み手にとっての分かりやすさを基本的な考えとして作成さ
れております。また作成にあたっては、政府だけではなく、教育・研究機関、一般消
費者を含む市民社会、民間企業等の参加を得て、マルチステークホルダーの考え方を
重視いたしました。今後は必要な更新を継続して行っていく予定です。
貴団体におかれましては、会員企業の皆様に本ガイドラインについて周知いただくよ
うお願いいたします。
■広報発表
・経済産業省
https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html
■「AI事業者ガイドライン(第1.0版)」掲載場所
・経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_
report.html
カテゴリー: 一般 | 「AI事業者ガイドライン(第1.0版)」の公表 はコメントを受け付けていません
2024/05/31
◇WordPress 用プラグイン「WP Booking」におけるクロスサイト・スクリプティングの脆弱性
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 24 日に「WordPress 用プラグイン『WP Booking』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・aviplugins.com が提供する WordPress 用プラグイン「WP Booking」は、予定を視覚的に表示するほか、登録や参加状況を管理することができる機能です。
・「WP Booking」には、クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているサイトにアクセスしたユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◇「Splunk Config Explorer」におけるクロスサイト・スクリプティングの脆弱性
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 24 日に「『Splunk Config Explorer』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・「Splunk Config Explorer」は、Splunk 用のファイルに関する設定ビューアです。
・「Splunk Config Explorer」には、反射型クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。
カテゴリー: 一般 | クロスサイト・スクリプティングの脆弱性 はコメントを受け付けていません
2024/05/24
この度、16年間務めさせて頂きました、広島県情報産業協会常務理事を退任する事となりました。
情産協では、人材開発委員会及びHiBiS特別委員会を担当させて頂きましたが、特にHiBiSでは色々な経験をさせて頂きました。
これまでお世話になりました皆様方に御礼を申し上げると共に、広島でのIT業界の更なる発展を願っています。
カテゴリー: 一般 | 広島県情報産業協会での活動 はコメントを受け付けていません
2024/05/17
ドイツ自動車工業会(VDA)が、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求した上で、達成すべき基準となるVDA情報セキュリティ評価基準(以下「VDA ISA」)を策定しました。2017年にはENX(European Network Exchange)と協力し、TISAX(Trusted Information Security Assessment Exchange)を確立しました。
TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この流れを受けて、欧州の自動車業界でも同様のTISAX認証の要求が広まっており、中国及び米国までの同調の動きを見せています。
これまでISO27001の審査活動を中心にセキュリティ監査を進めてきましたが、この度TISAX審査員への登録の手続きを行い、今後は国内の自動車サプライヤーに対してもセキュリティ監査を展開してゆきたいと考えています。OEMからTISAXのお話しを聞くようになりましたら、お気軽にご相談下さい!!!
カテゴリー: 一般 | TISAX審査員へ登録!!! はコメントを受け付けていません
2024/05/10
IPA セキュリティセンターでは、脆弱性対策情報データベースJVN iPedia(https://jvndb.jvn.jp/ )を2007年4月25日から運用し、日々公開される国内外の脆弱性対策情報を公開しています。
2024年第1四半期(2024年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件(累計280件)、JVNから収集したもの684件(累計15,239件)、NVDから収集したもの12,010件(累計191,052件)、合計12,699件(累計206,571件)となりました。
また、2024年第1四半期(1月〜3月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計した結果、脆弱性の種類別件数の上位5件は以下となりました。
・CWE-79(クロスサイトスクリプティング):2,198件
・CWE-787(境界外書き込み):891件
・CWE-89(SQLインジェクション):876件
・CWE-352(クロスサイト・リクエスト・フォージェリ):611件
・CWE-862(認証の欠如):328件
最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
IPAでは、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料やツールを公開しています。これらを活用し、適切に対策を実施してください。
◆詳細は下記のURLをご覧ください。
https://www.ipa.go.jp/security/reports/vuln/jvn/ipedia2024q1.html
カテゴリー: 一般 | IPAからの脆弱性情報の上位5件は・・・ はコメントを受け付けていません
2024/05/03
ネットスクエアのISO27001:2022移行審査が無事終了しました。
2022年版では11個の追加の管理策が含まれており、技術的セキュリティに関連する内容が多いことから、弊社にとってもとても参考になったみたいです。
2022年版への移行は2025年10月迄に完了しなければならないので、これから移行に関する引き合いが増えてきそうです。
ISO27001:2013を取得されている組織は、急いでお問い合わせ下さい!
カテゴリー: 一般 | ISO27001:2022移行審査 はコメントを受け付けていません
2024/04/26
遠く離れた北の大地で、ISO9001認証取得組織の2回目の更新審査を無事終えました。
お陰で毎年札幌へ足を運ぶことになっているのですが、センター長から認証取得のメリットよりも業務の標準化、及び改善活動につながっていることに感謝されました。
そもそもISOの目的のひとつなのですが、それをメリットとして感じて頂いていることに感激しています。
勿論、北の大地の育みに毎年恩恵を受けていることにも感謝しています。
カテゴリー: 一般 | 札幌のクライアント はコメントを受け付けていません
2024/04/19
情報セキュリティ10大脅威 2024 [組織]が発表されていますが、2016年以降内容はあまり変わっていないのですね・・・
1:ランサムウェアによる被害(2016年9年連続9回目)
2:サプライチェーンの弱点を悪用した攻撃(2019年6年連続6回目)
3:内部不正による情報漏えい等の被害(2016年9年連続9回目)
4:標的型攻撃による機密情報の窃取(2016年9年連続9回目)
5:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(2022年3年連続3回目)
6:不注意による情報漏えい等の被害(2016年6年連続7回目)
7:脆弱性対策情報の公開に伴う悪用増加(2016年4年連続7回目)
8:ビジネスメール詐欺による金銭被害(2018年7年連続7回目)
9:テレワーク等のニューノーマルな働き方を狙った攻撃(2021年4年連続4回目)
10:犯罪のビジネス化(アンダーグラウンドサービス)(2017年2年連続4回目)
カテゴリー: 一般 | 情報セキュリティ10大脅威 2024[組織] はコメントを受け付けていません
2024/04/12
情報セキュリティ10大脅威 2024 [個人]が発表されていますが、2016年以降内容はあまり変わっていないのですね・・・
インターネット上のサービスからの個人情報の窃取(2016年5年連続8回目)
インターネット上のサービスへの不正ログイン(2016年9年連続9回目)
クレジットカード情報の不正利用(2016年9年連続9回目)
スマホ決済の不正利用(2020年5年連続5回目)
偽警告によるインターネット詐欺(2020年5年連続5回目)
ネット上の誹謗・中傷・デマ(2016年9年連続9回目)
フィッシングによる個人情報等の詐取(2019年6年連続6回目)
不正アプリによるスマートフォン利用者への被害(2016年9年連続9回目)
メールやSMS等を使った脅迫・詐欺の手口による金銭要求(2019年6年連続6回目)
ワンクリック請求等の不当請求による金銭被害2016年2年連続4回目)
カテゴリー: 一般 | 情報セキュリティ10大脅威 2024[個人] はコメントを受け付けていません
2024/04/05
2021年9月にロンドンで開催されたISO(国際標準化機構)の総会にて、「ロンドン宣言」が採択されました。この宣言は、規格作成などを通じて気候変動対策へのアプローチを変革し、ネットゼロを達成するための国際的な取組みを推進するものです。これを受け、ISOは附属書SL(Annex SL)の条項4.1項及び4.2項に「気候変動」への考慮に関する記述の追加を決議し、2024年2月23日に各規格への追補が発行されました。
4.1 組織及びその状況の理解
組織は、組織の目的に関連し、かつ、当該マネジメントシステムの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない。組織は、気候変動が関連する課題であるかどうかを決定しなければならない。
4.2 利害関係者のニーズ及び期待の理解
組織は、次の事項を決定しなければならない:
– 当該マネジメントシステムに関連する利害関係者;
– それらの利害関係者の、関連する要求事項;
– これらの要求事項のどれに当該マネジメントシステムを通じて対応するか。
注記:関連する利害関係者は、気候変動に関連する要求事項を持つことがある。
上述の追補により、対象となるお客様にはマネジメントシステムにおける「リスク及び機会への取組み」において、気候変動について考慮していることを示すことが求められます。
これは、必ずしも文書化の要求を伴うものではなく、特定の環境活動を強制するものでもありません。しかし、マネジメントシステムに関連する課題及び要求事項と判断された場合、必要に応じ、お客様の目標や計画及び運用に反映されることが期待されます。
カテゴリー: 一般 | 「気候変動」への考慮 はコメントを受け付けていません