Malwarebytesはこのほど、「Your passwords don't need so many fiddly characters, NIST says|Malwarebytes」において、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)がクレデンシャルサービスプロバイダー(CSP: Credential Service Providers)要件のガイドライン「NIST Special Publication 800-63B」を改定したと伝えた。 同ガイドラインではパスワードの扱いを定めており、重大な変更が行われたという。 Your passwords don't need so many fiddly characters, NIST says|Malwarebytes 新ガイドラインが定めるパス
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト
はじめに 飲み物じゃないIPAをご存じでしょうか? 漢字でいうと、独立行政法人 情報処理推進機構ですね。情報処理技術者試験を実施いる謎の組織という認識の方も多いと思います。 実はIPAはいろんなドキュメントを公開していてQiitaやZenn以上にお役立ちなサイトなのです。 まあ、AWSをどうこうとか、FireabaseやNext.jsのようなキラキラした奴は基本載ってないので特に代替えするものではないですが、ブログとかはまた種類の違った情報があるので個人的には結構使うことあります。しかも 「日本語」! こういう感じの事をTwitterでつぶやいたところ意外にイイねをされたので、せっかくだしどんなドキュメントがあるかちょっと紹介したいと思います。 セキュリティ関連NIST文書 まずはNISTドキュメントの翻訳版! これは良いですよね。NISTはアメリカの米国国立標準技術研究所で、セキュリティ
パスキーによる認証を開発したとき、パスキーの安全性をどう評価するのが妥当なのか検討していた。もちろんフィッシング耐性が高いというような特性については把握していて、サービス利用者にとって便益の多い認証であることはわかっている。ただそれが、例えばパスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。これを一言に表すのはあまり簡単ではない。 パスキーは多要素認証なのか 多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証を言う語だ。 多要素認証は単一種類の要素による認証と較べて飛躍的に安全である。例えば、物理的な鍵は something you have であるが、それが盗まれてしまえば安全ではない。鍵が複数あっても、一度に盗まれてしまうかもし
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。 米国国立標準技術研究所(NIST)は、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B」(以下、SP800-63B-4)を更新した。SP800-63B-4では認証方式やパスワード管理の在り方を実質的に改訂しており、ただ新しい要素を追加したのではなく、これまで「推奨(should)」とされていた事項を「必須(shall)」へと格上げし、旧来の慣行の一部を明確に禁止した。 従来のパスワードの常識は“崩壊”している NISTが定める新要件とは? SP800-63B-4は主に政府機関や認証サービス提供者(Credential Service Provide
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威
暗号アルゴリズム「SHA-1」の廃止を発表、NIST
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm|NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:
訂正のお知らせ 本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。 「パスワード
「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識
パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準技術研究所(NIST)のガイドラインでは非推奨とされています。 インターネットの安全・安心ハンドブック Ver5.00 第6章 (PDFファイル)https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-06.pdf NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review | NIST https://www.ni
3cmから1.7kmまですべてにピントが合った写真を撮れるレンズを開発。三葉虫の眼から着想【Gadget Gate】 - PHILE WEB
一般的な三葉虫は、単一の眼が無数に集まってできた複眼と呼ばれる構造により、いわゆるレンズ部分と視覚細胞が1対1でつながっていたと考えられている。これは、現在の昆虫にも見られるしくみだ。 しかし、Dalmanitina socialisと呼ばれる種の三葉虫は、視覚系全体に二重レンズ構造を持ち、表面側のレンズは中央部の膨らみにより第二の焦点を得られていたことがわかった。つまり、この種は近くにいる獲物を見ると同時に、遠くで動く天敵もはっきりと視界にとらえることができたようなのだ。 NISTの研究チームは、この構造を「ライトフィールドカメラ」と呼ばれる特殊なカメラに応用できないかと考えた。ライトフィールドカメラは通常のデジタルカメラとは異なり、複眼のように多数のマイクロレンズを使用して、1度の撮影で色と輝度だけでなく、センサーに入る光の方向もまとめて記録し、ソフトウェアによって後から遠近のフォーカ
stuartschechter.org 米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST SP 800-63」が改訂され、「パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けてはならない」というのがようやく周知された。 しかし、「複雑なパスワード」と「定期的なパスワードの変更」が長年推奨されてきたのか。この文章は、その原因を偉大な科学者たちが過ちを犯したことに理由を求めている。 その科学者とはロバート・モリスとケン・トンプソンの二人である。ケン・トンプソンについては説明は不要だろうが Unix の開発者ですね。ロバート・モリスは暗号学者で、Y Combinator の共同創業者であり「モリスワーム」の作者として知られるロバート・タッパン・モリスの父親である。 この二人が1979年に実際のユーザパスワードを調査して発表した Password Security:
デジタル時代において、パスワードは依然として最も広く使用される認証手段の一つです。しかし、従来のパスワードポリシーの多くが、実は逆効果だったことをご存知でしょうか? NIST(米国国立標準技術研究所)が発行するSP 800-63B-4は、パスワードセキュリティに関する最新の指針を提供しており、これまでの「常識」を覆す内容が含まれています。(専門家の間では長らく常識だったものなんですが…。)本記事では、企業内でパスワードを使ったユーザー認証システムを担当される方、およびこうしたポリシーを決める担当者や経営者に向けて、この重要な文書の核心をわかりやすく解説します。 パスワードの2つの分類 NIST SP 800-63B-4では、パスワードを以下の2種類に分類しています。 1. パスワード(Passwords) サーバー側で検証される秘密情報。ログイン時にサーバーに送信され、集中的に検証されます
情報セキュリティに関係する基準、ガイドラインなど - rokujyouhitoma's blog
いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。 こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。 基準、ガイドライン 営業管理秘密指針 https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf サイバーセキュリティ経営ガイドライン サイバーセキュリティ経営ガイドライン(METI/経済産業省) クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版) https://www.soumu.go.jp/main_content/000566969.pdf Ref: 総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表 テレワークセキュリティガイドライン第5版(令和3
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。 大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか? CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。 同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナ
『Cybersecurity Dive』の取材により、米国立標準技術研究所(NIST)でサイバーセキュリティを担当する重要な役職にある従業員が同機関を去ることが分かった。これらの従業員の離職により、量子コンピューティングやAIといった新興技術分野におけるNISTの取り組みに対する懸念が高まっている。 「既に人手は足りていないのに……」 NISTの人員削減が進む 事情に詳しい2人の関係者によると、今回の離職者には次の人物が含まれている。NISTの情報技術研究所にあるコンピュータセキュリティ部門(CSD)の責任者であるマシュー・ショール氏(注1)(注2)、CSDのセキュリティテスト・検証・測定グループを率いていたティム・ホール氏(注3)、CSDのセキュアシステム・アプリケーショングループの責任者であるデビッド・フェライオーロ氏だ(注4)。加えて、CSDの約10人の従業員もNISTを去った。 今
Action1は2025年5月15日(現地時間)、2025年版「Software Vulnerability Ratings Report」を発表し、2024年におけるソフトウェア脆弱(ぜいじゃく)性の発見数が前年比で61%増加し、既知の悪用された脆弱性も96%増加したことを明らかにした。 この報告書は、米国国立標準技術研究所(NIST)が管理している脆弱性情報データベース(NVD)およびCVEdetails.comのデータに基づいており、ソフトウェアカテゴリーごとの脆弱性傾向とリスクの高い分野を分析している。 「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加 報告書によれば、「Linux」に関連する脆弱性は前年比で967%増加し、「macOS」に関する脆弱性も95%増加した。これらの増加は、UNIXベースのシステムが攻撃者の主要な標的となっていることを示してい
【セキュリティ ニュース】IPA、「情報セキュリティ白書2021」を発行 - 無料PDF版も提供予定(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、セキュリティの動向を広く紹介する年次白書の最新版「情報セキュリティ白書2021」を7月30日に発刊する。書籍として販売するほか、無料のPDF版も提供する予定。 同白書は、セキュリティ分野の概況を幅広く紹介する資料。2008年より毎年発行している。組織における注意喚起や教育、講演資料、試験対策などに活用されている。 国内外の政策や人材の状況、インシデント被害、脆弱性の動向など、毎年収録しているトピックにくわえて、今回は制御システムやIoTに関するセキュリティの話題や、米国標準技術研究所(NIST)のセキュリティ関連活動を個別テーマとして取り上げた。 またテレワークについても取り上げ、インシデントの事例、テレワーク環境の脅威や課題、対策について解説している。 書籍はA4判で272ページ。価格は2200円(税込)。ISBNは「978-4-905318-75-0」。無
政府は2023年度中に業務委託先の企業に米政府基準のサイバーセキュリティー対策を義務付ける。サイバー攻撃から政府情報を守るため通信機器の管理やアクセス制限などを求める。シンクタンクや通信事業者など年間1千社以上が対象になる見通しだ。政府のサイバーセキュリティ戦略本部が中央省庁や独立行政法人など政府に関係する機関の情報保全に関する統一基準を改める方向で調整する。外部の業務委託先に求めるサイバー攻
「最新の脅威に対処するサイバーセキュリティー対策の指針を、防衛省が遅ればせながら取り入れた。情報を守りながらビジネスの展開速度を高めたい企業は注目すべきだ」――。自衛隊出身で日本のサイバーセキュリティーの第一人者であるサイバーディフェンス研究所の名和利男専務理事はこう強調する。 その新たな指針が、防衛装備品などに関連する重要情報をサイバー攻撃から守るための「防衛産業サイバーセキュリティ基準」である。従来の基準を大幅に改定し、攻撃の早期発見や攻撃を受けた後の対策などを拡充した。2023年度から適用するとして、関連する企業に対応を求めた。 防衛省は新基準の作成に当たり、米政府が自国の防衛産業に求める基準と同レベルのものを目指した。具体的には、米国が採用するセキュリティーのガイドライン「NIST SP800-171」を参考にしたという。NISTの名の通り、米国立標準技術研究所(NIST)が策定し
米国国立標準技術研究所(NIST)は2025年5月19日(現地時間)、悪用される可能性のある脆弱(ぜいじゃく)性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」(LEV)を提案するホワイトペーパー(CSWP 41)を公開した。 LEVはソフトウェア/ハードウェアにおける数多くの脆弱性の中から、実際に悪用される可能性が高いものを特定し、修正対応の優先順位を決定するための補助指標となる。NISTおよび米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の研究者が共同で執筆したこの文書では、既存の「Exploit Prediction Scoring System」(EPSS)および「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)の限
企業がデジタル化を進めるにあたり、セキュリティリスクへの対策は向き合わざるを得ない課題となっている。しかし、高度化するテクノロジーを背景に、さまざまなセキュリティリスクが存在する時代へと移り変わる中で、網羅的にリスクを把握することは難しくなっている。そうした状況下において、先進的な企業で活用が進む、米国NISTが運営するサイバーセキュリティフレームワークについてこの記事では解説していく。 NISTによるサイバーセキュリティフレームワーク策定の背景 企業におけるセキュリティ対策は、その企業の所在する国内のセキュリティ事情にも大きな影響を及ぼすことになりかねない。そのため、国が主導し、遵守すべきセキュリティ対策のフレームワークやポリシーを作成しているケースがある。日本国内においても、経済産業省およびIPAが「サイバーセキュリティ経営ガイドライン」を公開している。このガイドラインでは、サイバー攻
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
CSF 2.0では、組織がサイバーセキュリティ戦略に関して、情報に基づく意思決定をどのように行い、実行に移すかを包含するガバナンスに、新たに焦点が当てられている。 CSF 2.0のフレームワークのコアは、「Identify(識別)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」と、CSF 2.0で新たに追加された「Govern(ガバナンス)」の6機能を中心に構成されている。これらの機能を組み合わせることで、サイバーセキュリティリスク管理のライフサイクルを包括的に捉えることができると、NISTは述べている。 CSF 2.0の関連リソース NISTは、ニーズがさまざまに異なり、サイバーセキュリティツールの導入経験もさまざまに異なる組織がCSF 2.0を使用することを想定し、多様な組織におけるCSF 2.0の活用に役立つ以下のようなリソース
防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは?~日本企業が取り組むべき対策を解説~ | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
NISTサイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | 株式会社NTTデータ先端技術
2024年2月26日にNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークがV1.1からV2.0へバージョンアップしました。この文書は、本来は米国連邦政府向けの文書だったのですが、その内容の分かりやすさや、時流に即した内容により、米国の民間企業にも、そして日本を含む他国のセキュリティの取組みに大きな影響を与えています。 本コラムでは、NISTサイバーセキュリティフレームワーク(以下、CSF)V2.0の変更点を読み解くことによって、今後のサイバーセキュリティ対策に必要な要素や留意点について明らかにします。 なぜNISTサイバーセキュリティフレームワーク(CSF)が注目されるのか? CSFは、元々は米国連邦政府の重要インフラ向けに2014年に策定されたものです。そのため、本来無関係な民間企業や、日本の組織で利用・遵守する義務はありません。 しかし、サイバー攻撃によって侵入され
Tue, 26 Aug 2025 08:51:12 -0500 ABSTRACT This guideline focuses on the authentication of subjects who interact with government information systems over networks to establish that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or asserted elsewhere in a federated identit
NISCに聞くサイバーセキュリティの現在地 企業規模別に考える、“机上の空論”にならない対策とは:サイバーセキュリティ月間 フィッシング詐欺やランサムウェアなどのサイバー攻撃が、日常生活や企業活動に深刻な影響を及ぼしている。今や「サイバーセキュリティ」はあらゆる人や組織が真剣に向き合うべき課題だ。 政府も本腰を入れており、「サイバーセキュリティは全員参加」というテーマを掲げて毎年2月1日から3月18日までの「サイバーセキュリティ月間」に啓発活動を展開している。 「ひとごと」ではなく「自分ごと」としてサイバーセキュリティに向き合うにはどうすればいいのか。サイバーセキュリティ月間を主導する内閣サイバーセキュリティセンター(NISC)の村田健太郎氏と企業の対策に詳しくソフトバンクでセキュリティエバンジェリストとしても活動する澤入俊和氏に、全員参加で対策を推進するポイントを教えてもらう。 村田 個
NIST Scraps Passwords Complexity and Mandatory Changes
NIST Scraps Passwords Complexity and Mandatory Changes in New Guidelines Using a mixture of character types in your passwords and regularly changing passwords are officially no longer best password management practices according to new guidelines published by the US National Institute of Standards and Technology (NIST). In NIST’s latest version of its Password Guidelines, the leading security stan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます EY Japanは7月10日、政府のサイバー対策に関するメディア勉強会を開催した。防衛装備庁は2023年度の契約から、米国立標準技術研究所(NIST)が定めた「NIST SP800-171」に準ずる防衛産業サイバーセキュリティ基準の適用を求めている。EYストラテジー・アンド・コンサルティング ストラテジックインパクトパートナーの西尾素己氏は、「日本も情報クライテリア(条件)を持たなければならない。さらに『EO(Executive Order)14028』のソフトウェアサプライチェーン攻撃対策に目を向けることも必要だ」と提言した。 SP800-171は、NISTが定めたサイバーセキュリティフレームワークの一つである。2009年に米軍戦闘機
NIST Releases Version 2.0 of Landmark Cybersecurity Framework
NIST’s cybersecurity framework (CSF) now explicitly aims to help all organizations — not just those in critical infrastructure, its original target audience — to manage and reduce risks. NIST has updated the CSF’s core guidance and created a suite of resources to help all organizations achieve their cybersecurity goals, with added emphasis on governance as well as supply chains. This update is the
KPMG Japan Insight Plusは、KPMGジャパンの会員制ウェブサイトです。 記事、動画、セミナー、メールマガジン等を通じ、ビジネスのプラスとなるインサイト(洞察・考察)を会員の皆様にお届けします。 KPMGコンサルティング、「サイバーセキュリティサーベイ2022」を発表 日本企業におけるセキュリティの実態を、「サイバー」「リモートワーク」「制御システム」のテーマで調査しました。 日本企業におけるセキュリティの実態を、「サイバー」「リモートワーク」「制御システム」のテーマで調査しました。
防衛産業におけるサイバーセキュリティ体制の強化のための施策を一層促進するため、先行する米国の取組を参考に、現行より厳格な管理策を盛り込んだ情報セキュリティ基準の改定等による「防衛産業サイバーセキュリティ基準」を整備いたしました。 ※CUI(Controlled Unclassified Information):管理された非格付け(非秘密)情報 ※NIST SP800-171(National Institute of Standards and Technology Special Publication):連邦政府外のシステムと組織における管理された非格付け情報の保護(発行:2016年) ※ISO27001(International Organization for Standardization):情報セキュリティマネジメントの国際標準規格(発行:2006年)
NISTのリスクマネジメントフレームワーク(RMF)とは ~第1回 SP800-37 Rev2とリスクマネジメントフレームワーク(RMF)~ | 株式会社NTTデータ先端技術
NISTのリスクマネジメントフレームワーク(RMF)とは ~第1回 SP800-37 Rev2とリスクマネジメントフレームワーク(RMF)~ Tweet はじめに 2018年12月にNIST(米国国立標準技術研究所)からリスクマネジメントのフレームワークを定めた文書SP800-37 Revision 2が公開されました。 当文書は、2014年に公開されたSP800-37 Revision1の修正版であり、4年ぶりの改訂となります。 本コラムでは、リスクマネジメントフレームワークとは何か、 Revision 2への改訂で何が変わったのかを見ていきたいと思います。 1.SP800-37 Rev2のリスクマネジメントフレームワーク(RMF)とは リスクマネジメントフレームワーク(RMF:Risk Management Framework)とは、組織や情報システムにおける情報セキュリティリスク(プ
The National Institute of Standards and Technology Braces for Mass Firings
The National Institute of Standards and Technology Braces for Mass Firings Approximately 500 NIST staffers, including at least three lab directors, are expected to lose their jobs at the standards agency as part of the ongoing DOGE purge, sources tell WIRED. Sweeping layoffs architected by the Trump administration and the so-called Department of Government Efficiency may be coming as soon as this
米国国立標準技術研究所(以下、NIST)は2025年6月11日(現地時間)、ゼロトラストアーキテクチャの構築を支援するための新たなガイダンス「NIST Special Publication(SP)1800-35:Implementing a Zero Trust Architecture」を正式に公開した。 このガイダンスは、商用で入手できる技術を使った19の具体的なゼロトラスト実装例を紹介し、組織が自らの環境に合わせたアーキテクチャを設計する際の出発点となる情報を提供している。 NISTがゼロトラ構築支援用の新ガイダンスを公開 19の実装例を収録 このガイドは、NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が4年間にわたり実施した共同プロジェクトの成果としてまとめられている。24の業界企業が参加し、実際に環境を構築して得られたベストプラクティスや統合の教
OpenID BizDay #16 - NIST SP800-63-4 (Draft) (2023/03/16 19:00〜)
お知らせ connpassプライバシーポリシーの改定及び外部送信規律ページを追加いたしました。詳細につきましてはこちらをご覧ください。 新機能 技術カンファレンスをより見つけやすく、参加しやすくするための新機能「カンファレンス特集ページ」をリリースしました。「技術」や「テーマ」などのトピック別に探せるほか、直近開催予定のカンファレンスが一覧で確認できますのでご活用ください。詳しい機能説明や掲載方法についてはこちらをご確認ください。
NIST SP 800-63B-4 第2次公開草案のパスワード要件の変更点をまとめてみた | DevelopersIO
危機管理室の吉本です。 デジタルIDの認証に関するガイドラインであるNIST SP800-63-4のSecond Public Draft(第2次公開草案)が更新されていたので、変更箇所をまとめてみました。全体で467ページと相当なボリュームがあるので今回調べたのは、主に話題になっているSP800-63B-4のパスワード要件についてです。初期公開草案からなにが変更されているか知りたかったので調べたことをまとめます。 NIST SP800-63-4とは NIST SP 800-63-4は、アメリカ国立標準技術研究所(NIST)が提供する、認証やID管理に関する「デジタルアイデンティティガイドライン」の第4版を指します。 全体概要の文書と3つの関連文書に分かれており、下記のタイトル毎に策定されています。 SP 800-63-4:Digital Identity Guidelines(デジタルア
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<当人認証編>
NIST SP 800-63-4のドラフトの主要な変更事項を読み解く全4回の連載、第3回目はSP 800-63B「デジタルアイデンティティの当人認証とその保証レベル」を取り上げます。NIST SP 800-63の概要については第1回全体編をご覧ください。 本連載の関連記事はこちら 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<全体編> 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<身元確認編> 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<フェデレーション編> ▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする NIST SP 800-63B 「デジタルアイデンティティの当人認証とそ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NIST、新しいパスワードガイドライン公開 - これまでの常識を覆す新ルール
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
QiitaやZennよりも便利? IPAの資料を読もう!
パスキーの安全性について - cockscomblog?
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
パスワードはとにかく長ければ良い 「新常識」をNISTガイドラインで確認する
長年の誤ったパスワードポリシーが推奨された原因はあの偉人の論文だった? - YAMDAS現更新履歴
NIST SP 800-63B-4:パスワードセキュリティの新基準を読み解く(11月7日大幅追記あり)
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
人手不足に悩むNIST 従業員の大規模離職でさらなる追い打ち
「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加
パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 〜NISTがガイドライン更新【やじうまWatch】
政府、サイバー対策で米基準義務付け 委託先1000社超に - 日本経済新聞
防衛省の新セキュリティー基準、「一般企業こそ注目すべきだ」と専門家が勧めるわけ
NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?
NISTのサイバーセキュリティーレームワークって? 構成要素や機能を解説
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
NIST、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を発表
NIST Special Publication 800-63B
NISCに聞くサイバーセキュリティの現在地 企業規模別に考える、“机上の空論”にならない対策とは
米国のセキュリティ基準「NIST SP800-171」とは--EY Japanが解説
KPMGコンサルティング、「サイバーセキュリティサーベイ2022」を発表
防衛装備庁 : 防衛産業サイバーセキュリティ基準の整備について
NISTがゼロトラスト構築支援に向けた新ガイダンスを公開 19の実装例を収録
dc.watch.impress.co.jp
chiilop.com
note.com/quantumuniverse
b.hatena.ne.jp
note.com/r000g000b104
natgeo.nikkeibp.co.jp