セキュリティ情報トピック(2018年11月)

2018年10月下旬から11月にリリースされた、セキュリティに関する政府機関や団体からの注意喚起や公開情報のトピックを記載します。

◆IPAが「情報セキュリティ対策ベンチマーク」最新版を公開

IPAは、「情報セキュリティ対策ベンチマーク」の診断の基礎データを環境変化や対策レベルの変化を勘案し、最新データ(バージョン4.7)に入れ替えを行いました。

このIPAのWebサイトで提供しているサービスは、セキュリティ対策の取組状況（27項目）と企業プロフィール（19項目）を回答し、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できます。

診断時の回答項目は、ISMSベースに作成しており、Web上の質問に答えると、散布図、レーダーチャート、スコア（点数）などの診断結果が自動的に表示され、簡単に自己評価することが可能。

2018年9月30日現在、利用件数は4万件を超え、診断の基礎データとして提供されたデータの件数は13,000件弱。バージョン4.7では、2018/9/30以前の8年6ヶ月間に提供された診断データの重複等を整理し、6,300件あまりを診断の基礎データとして用います。なお基礎データは、参考資料として別紙にまとめています。

自社のセキュリティ対策の取組状況の確認に活用ください。

・ 「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開 [IPA] -2018年10月26日

・ 組織の情報セキュリティ対策自己診断テスト　情報セキュリティ対策ベンチマーク [IPA] -2018年10月26日

◆JIPDECが、企業のSSL/TLSサーバ証明書の利用状況を踏まえた常時SSL/TLS化の調査結果を発表

JIPDEC(一般財団法人 日本情報経済社会推進協会)は、協力パートナーとの共同調査により、全国の企業等のWebサイトにおける常時SSL化の状況を調査し結果を発表しています。常時SSL化は、企業での採用は大きな流れになっているものの、小規模の企業などではまだまだ普及が進んでいない状況のようです。

インターネットの企業サイトと違い、Web-EDI等の調達システムをインターネットで提供するには、Webサイトの全てのページをSSL/TLSで暗号化し、HTTPS通信を行うようにすることも、セキュリティ対策には、重要な施策になりますので、内容の確認をお願いします。

・ 企業のSSL/TLSサーバ証明書の利用状況を踏まえた常時SSL/TLS化の調査結果 　 [JIPDEC] -2018年10月23日

◆脆弱性情報・注意喚起

JPCERTCCは、Web-EDIの開発に利用されることが多い、Webアプリケーションの開発フレームワークである Apache Struts2 に、遠隔から任意のコードが実行可能となる脆弱性が、報告されています。

攻撃者に脆弱性を悪用されてしまった場合、任意のコードを実行され重大な情報セキュリティ事故が
発生してしまう可能性があります。

内容をご確認の上、該当する場合は速やかに最新版にアップデートしてください

・ Apache Struts2 に任意のコードが実行可能な脆弱性(JVNVU#93295516) [JPCERTCC] -2018年11月6日