• グローバルナビゲーションへジャンプ
  • コンテンツへジャンプ
  • フッターへジャンプ

独立行政法人情報処理推進機構

English
  • ページの
    先頭に戻る
  • IPAについて
  • お問い合わせ
  • English
  • 公式SNS

  • 注目のキーワード

    • #DX白書2023
    • #Emotet(エモテット)
    • #ITパスポート
  • 目的別に探す

  • 情報セキュリティ

    情報セキュリティトップページ
    • 情報セキュリティトップページ
    • 重要なセキュリティ情報
    • 脆弱性対策情報
    • 情報セキュリティ10大脅威
    • 情報セキュリティ安心相談窓口
    • ビジネスメール詐欺(BEC)対策
    • Emotet(エモテット)関連情報
    • 協定・地域との連携
    • サイバーレスキュー隊 J-CRAT(ジェイ・クラート)
    • サイバー情報共有イニシアティブJ-CSIP(ジェイシップ)
    • 攻撃情報の調査・分析事業
    • 中小企業の情報セキュリティ
    • セキュリティエコノミクス
    • 制御システムのセキュリティ
    • IoTのセキュリティ
    • 暗号技術
    • ITセキュリティ評価及び認証制度(JISEC)
    • セキュリティ要件適合評価及びラベリング制度(JC-STAR)
    • IT製品の調達におけるセキュリティ要件リスト
    • 中小企業投資促進税制における認証製品リスト
    • 暗号モジュール試験及び認証制度(JCMVP)
    • 情報セキュリティサービス基準適合サービスリスト
    • 情報セキュリティ教材・ツール
    • 映像で知る情報セキュリティ
    • 情報セキュリティ関連ガイド
    • 調査・研究報告書
    • 届出・相談・情報提供
    • ひろげよう情報セキュリティコンクール
    • 情報セキュリティに関するセミナー・イベント
    SECURITY ACTION自己宣言者サイト DOI(Digital Object Identifier)公開情報

  • 試験情報

    試験情報トップページ
    • 試験情報トップページ
    • 試験の概要
    • 試験区分
    • 試験要綱・シラバス
    • 過去問題
    • 統計情報
    • 令和7年度試験情報
    • 令和6年度試験情報
    • 受験申込み
    • 合格発表・合格証明書等
    • 試験に関するよくある質問
    • お問い合わせ
    • 障害をお持ちの方へ(お問い合わせ先)
    • 情報処理技術者試験のアジアにおける国際協調
    DOI(Digital Object Identifier)公開情報

  • デジタル人材の育成

    デジタル人材の育成トップページ
    • デジタル人材の育成トップページ
    • 情報処理安全確保支援士(登録セキスぺ)
    • 産業サイバーセキュリティ
    • セキュリティ・キャンプ
    • 未踏事業
    • スキル標準
    • デジタル人材育成・スキル変革の推進
    • デジタル人材の動向調査
    DOI(Digital Object Identifier)公開情報

  • 社会・産業のデジタル変革

    社会・産業のデジタル変革トップページ
    • 社会・産業のデジタル変革トップページ
    • アーキテクチャ設計
    • IT動向の調査・分析
    • デジタルトランスフォーメーション(DX)
    • DX推進指標
    • DX認定制度
    • 情報システム・モデル取引・契約書
    • 地域における取組みの支援
    • データ利活用の推進
    • AIの推進
    • システム/ソフトウェア開発の革新
    • ソフトウェア開発関連調査
    • 複雑化したシステムの安全性確保(STAMP)
    書籍・刊行物 DOI(Digital Object Identifier)公開情報

  • IPAについて

    IPAについてトップページ
    • IPAについてトップページ
    • 理事長挨拶
    • 理事長経歴
    • 機構概要
    • 経営理念
    • 情報公開
    • 財務情報
    • 所在地・地図
    • 情報セキュリティ基本方針 
    • IPA NEWS
  • Facebook
  • Twitter
  • YouTube
  • メールニュース

情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 脆弱性対策情報
  4. 安全なウェブサイトの作り方
  5. 安全なウェブサイトの作り方 - 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル

安全なウェブサイトの作り方 - 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル

概要

ウェブアプリケーションの中には、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。このようなウェブアプリケーションでは、ファイル名指定の実装に問題がある場合、攻撃者に任意のファイルを指定され、ウェブアプリケーションが意図しない処理を行ってしまう可能性があります。このような問題の一種を「ディレクトリ・トラバーサルの脆弱性」と呼び、この問題を悪用した攻撃手法の一つに、「ディレクトリ・トラバーサル攻撃」があります。

  • ディレクトリトラバーサル

発生しうる脅威

本脆弱性を悪用した攻撃により、発生しうる脅威は次のとおりです。

サーバ内ファイルの閲覧、改ざん、削除
  • 重要情報の漏えい
  • 設定ファイル、データファイル、プログラムのソースコード等の改ざん、削除

注意が必要なウェブサイトの特徴

運営主体やウェブサイトの性質を問わず、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているウェブアプリケーションに起こりうる問題です。個人情報等の重要情報をウェブサーバ内にファイルとして保存しているサイトは、特に注意が必要です。

サーバ内ファイルを利用するウェブアプリケーションの例
  • ウェブページのデザインテンプレートをファイルから読み込む
  • 利用者からの入力内容を指定のファイルへ書き込む 等

届出状況

パス名パラメータに関する脆弱性の届出がウェブサイトの届出全体に占める割合は、数パーセントと多くはありません。しかしながら、これらの脆弱性については受付開始当初から継続して届出を受けています。下記は、IPAが届出を受け、同脆弱性の対策が施されたソフトウェア製品の例です。

  • シンクグラフィカ製「ダウンロードログCGI」におけるディレクトリ・トラバーサルの脆弱性
  • 「Spring Framework」におけるディレクトリ・トラバーサルの脆弱性
  • 「VMware ESX および ESXi」におけるディレクトリ・トラバーサルの脆弱性

根本的解決

3-(i)-a 外部からのパラメータでウェブサーバ内のファイル名を直接指定する実装を避ける。

外部からのパラメータでウェブサーバ内のファイル名を直接指定する実装では、そのパラメータが改変され、任意のファイル名を指定されることにより公開を想定しないファイルが外部から閲覧される可能性があります。たとえば、HTML中のhiddenパラメータでウェブサーバ内のファイル名を指定し、そのファイルをウェブページのテンプレートとして使用する実装では、そのパラメータが改変されることで、任意のファイルをウェブページとして出力してしまう等の可能性があげられます。

外部からのパラメータでウェブサーバ内のファイル名を直接指定する実装が本当に必要か、他の処理方法で代替できないか等、仕様や設計から見直すことをお勧めします。

3-(i)-b ファイルを開く際は、固定のディレクトリを指定し、かつファイル名にディレクトリ名が含まれないようにする。

たとえば、カレントディレクトリ上のファイル「filename」を開くつもりで、open(filename) の形式でコーディングしている場合、open(filename) のfilenameに絶対パス名が渡されることにより、任意ディレクトリのファイルが開いてしまう可能性があります。この絶対パス名による指定を回避する方法として、あらかじめ固定のディレクトリ「dirname」を指定し、open(dirname+filename) のような形でコーディングする方法があります。しかし、これだけでは、「../」等を使用したディレクトリ・トラバーサル攻撃を回避できません。これを回避するために、basename() 等の、パス名からファイル名のみを取り出すAPIを利用して、open(dirname+basename(filename)) のような形でコーディングして、filenameに与えられたパス名からディレクトリ名を取り除くようにします(脚注1)。

保険的対策

3-(ii) ウェブサーバ内のファイルへのアクセス権限の設定を正しく管理する。

ウェブサーバ内に保管しているファイルへのアクセス権限が正しく管理されていれば、ウェブアプリケーションが任意ディレクトリのファイルを開く処理を実行しようとしても、ウェブサーバ側の機能でそのアクセスを拒否できる場合があります。

3-(iii) ファイル名のチェックを行う。

ファイル名を指定した入力パラメータの値から、「/」、「../」、「..\」等、OSのパス名解釈でディレクトリを指定できる文字列を検出した場合は、処理を中止します。ただし、URLのデコード処理を行っている場合は、URLエンコードした「%2F」、「..%2F」、「..%5C」、さらに二重エンコードした「%252F」、「..%252F」、「..%255C」がファイル指定の入力値として有効な文字列となる場合があります。チェックを行うタイミングに注意してください。

以上の対策により、パス名パラメータを悪用した攻撃に対する安全性の向上が期待できます。本脆弱性に関する情報については、次の資料も参考にしてください。

脚注

  1. (脚注1)
    3.3の修正例を参照。(PDF:2.2 MB)

CWE

  • CWE-22: パス・トラバーサル
  • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

関連リンク

  • IPA: 知っていますか?脆弱性 (ぜいじゃくせい) 「4. パス名パラメータの未チェック/ディレクトリ・トラバーサル」
  • IPA:ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第4四半期(10月~12月)1-4.節
情報セキュリティ
  • 重要なセキュリティ情報
    • 重要なセキュリティ情報とは
    • 2024年度
      • Microsoft 製品の脆弱性対策について(2024年12月)
      • Adobe Acrobat および Reader の脆弱性対策について(2024年12月)
      • 「UD-LT1」および「UD-LT1/EX」における複数の脆弱性について(JVN#46615026)
      • Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-0012等)
      • Microsoft 製品の脆弱性対策について(2024年11月)
      • Oracle Java の脆弱性対策について(2024年10月)
      • Windows 10 のサポート終了に伴う注意喚起
      • Microsoft 製品の脆弱性対策について(2024年10月)
      • VMware 製品の脆弱性対策について(CVE-2024-38812 等)
      • Microsoft 製品の脆弱性対策について(2024年9月)
      • Adobe Acrobat および Reader の脆弱性対策について(2024年9月)
      • Adobe ColdFusion の脆弱性対策について(CVE-2024-41874)
      • Microsoft 製品の脆弱性対策について(2024年8月)
      • Adobe Acrobat および Reader の脆弱性対策について(2024年8月)
      • センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について
      • Oracle Java の脆弱性対策について(2024年7月)
      • Microsoft 製品の脆弱性対策について(2024年7月)
      • PHPの脆弱性(CVE-2024-4577)を狙う攻撃について
      • VMware 製品の脆弱性対策について(CVE-2024-37079 等)
      • Microsoft 製品の脆弱性対策について(2024年6月)
      • Microsoft 製品の脆弱性対策について(2024年5月)
      • Adobe Acrobat および Reader の脆弱性対策について(2024年5月)
      • アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~
      • Oracle Java の脆弱性対策について(CVE-2023-41993等)
      • Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400)
      • Microsoft 製品の脆弱性対策について(2024年4月)
    • 2023年度
      • Microsoft 製品の脆弱性対策について(2024年3月)
      • 更新:Microsoft 製品の脆弱性対策について(2024年2月)
      • Microsoft 製品の脆弱性対策について(2024年2月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB24-07)(CVE-2024-20731等)
      • Fortinet 製 FortiOS SSL VPN の脆弱性対策について(CVE-2024-21762)
      • Oracle Java の脆弱性対策について(CVE-2024-20932等)
      • Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等)
      • Microsoft 製品の脆弱性対策について(2024年1月)
      • Barracuda 製 Email Security Gateway Appliance (ESG) の脆弱性について(CVE-2023-7102)(CVE-2023-7101)
      • Microsoft 製品の脆弱性対策について(2023年12月)
      • Microsoft 製品の脆弱性対策について(2023年11月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB23-54)(CVE-2023-44336等)
      • Citrix ADC および Citrix Gateway の脆弱性について (CVE-2023-4966 等)
      • Cisco 製 Cisco IOS XE の Web UI の脆弱性について(CVE-2023-20198 等)
      • オンラインストレージの脆弱性対策について
      • 「Proself」における XML 外部実体参照 (XXE) に関する脆弱性について(JVN#95981460)
      • Oracle Java の脆弱性対策について(CVE-2023-30589等)
      • Microsoft 製品の脆弱性対策について(2023年10月)
      • Microsoft 製品の脆弱性対策について(2023年9月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB23-34)(CVE-2023-26369)
      • セイコーソリューションズ製 SkyBridge MB-A100/A110/A200/A130 および SkySpider MB-R210 における脆弱性対策について(CVE-2023-22441 等)
      • Microsoft 製品の脆弱性対策について(2023年8月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB23-30)(CVE-2023-29320等)
      • Proself の脆弱性対策について
      • インターネット境界に設置された装置に対するサイバー攻撃について~ネットワーク貫通型攻撃に注意しましょう~
      • Oracle Java の脆弱性対策について(CVE-2023-22043等)
      • Citrix ADC および Citrix Gateway の脆弱性対策について(CVE-2023-3519 等)
      • Microsoft 製品の脆弱性対策について(2023年7月)
      • Windows Server 2012 および 2012 R2 のサポート終了に伴う注意喚起
      • 更新:Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)
      • Microsoft 製品の脆弱性対策について(2023年6月)
      • Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)
      • Microsoft 製品の脆弱性対策について(2023年5月)
      • Oracle Java の脆弱性対策について(CVE-2023-21930等)
      • Microsoft 製品の脆弱性対策について(2023年4月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB23-24)(CVE-2023-26405等)
      • 更新:Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)
    • 2022年度
      • 更新:Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)
      • Microsoft 製品の脆弱性対策について(2023年3月)
      • Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-25610)
      • Microsoft 製品の脆弱性対策について(2023年2月)
      • DNS サーバ BIND の脆弱性対策について(CVE-2022-3924等)
      • Oracle Java の脆弱性対策について(CVE-2023-21835等)
      • 再告知:Windows 8.1 のサポート終了に伴う注意喚起
      • Microsoft 製品の脆弱性対策について(2023年1月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB23-01)(CVE-2023-21579等)
      • 更新:FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)
      • Microsoft 製品の脆弱性対策について(2022年12月)
      • Citrix ADC および Citrix Gateway の脆弱性について(CVE-2022-27518)
      • FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)
      • Microsoft 製品の脆弱性対策について(2022年11月)
      • OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786)
      • Oracle Java の脆弱性対策について(CVE-2022-21628等)
      • Microsoft 製品の脆弱性対策について(2022年10月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB22-46)(CVE-2022-38450等)
      • 「bingo!CMS」における認証回避の脆弱性について(JVN#74592196)
      • Fortinet 製 FortiOS、FortiProxy および FortiSwitchManager の脆弱性対策について(CVE-2022-40684)
      • Microsoft 製品の脆弱性対策について(2022年9月)
      • 「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における複数の脆弱性について(JVN#36454862)
      • 更新:「Movable Type」の XMLRPC API におけるコマンド・インジェクションの脆弱性について(JVN#57728859)
      • 「Movable Type」の XMLRPC API におけるコマンド・インジェクションの脆弱性について(JVN#57728859)
      • Microsoft 製品の脆弱性対策について(2022年8月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB22-39)(CVE-2022-35665等)
      • Oracle Java の脆弱性対策について(CVE-2022-34169等)
      • Microsoft 製品の脆弱性対策について(2022年7月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB22-32)(CVE-2022-34230等)
      • Windows 8.1 のサポート終了に伴う注意喚起
      • 再告知:Microsoft 社 Internet Explorer のサポート終了について
      • Microsoft 製品の脆弱性対策について(2022年6月)
      • Microsoft 製品の脆弱性対策について(2022年5月)
      • Oracle Java の脆弱性対策について(CVE-2022-21449等)
      • Microsoft 製品の脆弱性対策について(2022年4月)
      • Adobe Acrobat および Reader の脆弱性対策について(APSB22-16)(CVE-2022-24103等)
  • 脆弱性対策情報
    • 安全なウェブサイトの作り方
      • 安全なウェブサイトの作り方
      • 安全なウェブサイトの作り方 - 1.1 SQLインジェクション
      • 安全なウェブサイトの作り方 - 1.2 OSコマンド・インジェクション
      • 安全なウェブサイトの作り方 - 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
      • 安全なウェブサイトの作り方 - 1.4 セッション管理の不備
      • 安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング
      • 安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ)
      • 安全なウェブサイトの作り方 - 1.7 HTTPヘッダ・インジェクション
      • 安全なウェブサイトの作り方 - 1.8 メールヘッダ・インジェクション
      • 安全なウェブサイトの作り方 - 1.9 クリックジャッキング
      • 安全なウェブサイトの作り方 - 1.10 バッファオーバーフロー
      • 安全なウェブサイトの作り方 - 1.11 アクセス制御や認可制御の欠落
      • 安全なウェブサイトの運用管理に向けての20ヶ条 〜セキュリティ対策のチェックポイント〜
    • ファジング
      • 脆弱性対策:ファジング
      • ファジング:FAQ
    • 脆弱性体験学習ツール AppGoat
      • 脆弱性体験学習ツール AppGoatについて
      • 脆弱性体験学習ツール AppGoat (個人学習向け):ツール概要
      • 脆弱性体験学習ツール AppGoat (集合学習向け):ツール概要
      • 脆弱性体験学習ツール AppGoat:FAQ
    • ウェブサイトの攻撃兆候検出ツール iLogScanner
      • ウェブサイトの攻撃兆候検出ツール iLogScanner 概要
      • ウェブサイトの攻撃兆候検出ツール iLogScanner 機能説明
      • ウェブサイトの攻撃兆候検出ツール iLogScanner 解析対象ログ
      • ウェブサイトの攻撃兆候検出ツール iLogScanner FAQ
    • 脆弱性対策関連情報
      • 共通セキュリティ設定一覧CCE概説
      • 共通プラットフォーム一覧CPE概説
      • 共通脆弱性識別子CVE概説
      • 共通脆弱性評価システムCVSS概説
      • 共通脆弱性評価システムCVSS v3概説
      • 共通脆弱性タイプ一覧CWE概説
      • サイバー攻撃観測記述形式CybOX概説
      • セキュリティ検査言語OVAL概説
      • セキュリティ設定共通化手順SCAP概説
      • 脅威情報構造化記述形式STIX概説
      • 検知指標情報自動交換手順TAXII概説
      • セキュリティ設定チェックリスト記述形式XCCDF概説
    • サイバーセキュリティ注意喚起サービス「icat for JSON」
    • サーバオープンソースソフトウェア関連情報
      • サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報
      • Apache Struts2 の脆弱性対策情報一覧
  • 情報セキュリティ10大脅威
    • 情報セキュリティ10大脅威 2024
    • 情報セキュリティ10大脅威 2023
    • 情報セキュリティ10大脅威 2022
    • 情報セキュリティ10大脅威 2021年版
      • 情報セキュリティ10大脅威 2021
      • 情報セキュリティ10大脅威 2021の概要
    • 情報セキュリティ10大脅威 2020年版
      • 情報セキュリティ10大脅威 2020
      • 情報セキュリティ10大脅威 2020の概要
    • 情報セキュリティ10大脅威 2019年版
      • 情報セキュリティ10大脅威 2019
      • 情報セキュリティ10大脅威 2019の概要
    • 情報セキュリティ10大脅威 2018年版
      • 情報セキュリティ10大脅威 2018
      • 情報セキュリティ10大脅威 2018の概要
    • 情報セキュリティ10大脅威 2017年版
      • 情報セキュリティ10大脅威 2017
      • 情報セキュリティ10大脅威 2017の概要
    • 情報セキュリティ10大脅威 2016年版
      • 情報セキュリティ10大脅威 2016
      • 情報セキュリティ10大脅威 2016の概要
    • 情報セキュリティ10大脅威 2015年版
      • 情報セキュリティ10大脅威 2015
      • 情報セキュリティ10大脅威 2015の概要
    • 情報セキュリティ10大脅威 2014年版
      • 情報セキュリティ10大脅威 2014
      • 情報セキュリティ10大脅威 2014の概要
  • 情報セキュリティ安心相談窓口
    • 情報セキュリティ安心相談窓口(企業・組織からのご相談について)
    • 情報セキュリティに関する技術的なご相談
    • 安心相談窓口だより
      • 安心相談窓口だより全リスト
      • 安心相談窓口だより 2024年度
      • 安心相談窓口だより 2023年度
      • 安心相談窓口だより 2022年度
      • 安心相談窓口だより 2021年度
      • 安心相談窓口だより 2020年度
      • 安心相談窓口だより 2019年度
      • 安心相談窓口だより 2018年度
      • 安心相談窓口だより 2017年度
      • 安心相談窓口だより 2016年度
    • 情報セキュリティ対策
      • 日常における情報セキュリティ対策
      • 長期休暇における情報セキュリティ対策
      • 【ほぼ15秒アニメ】子ブタと学ぼう!情報セキュリティ対策のキホン
      • 手口検証動画シリーズ
      • 偽セキュリティ警告(サポート詐欺)対策特集ページ
      • サポート詐欺レポート
      • 不正ログイン対策特集ページ
      • ランサムウェア対策特設ページ
      • テレワークを行う際のセキュリティ上の注意事項
    • 情報セキュリティ安心相談窓口からの注意喚起
      • 2024年度 夏休みにおける情報セキュリティに関する注意喚起
      • 2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起
      • 2023年度 年末年始における情報セキュリティに関する注意喚起
      • 2023年度 夏休みにおける情報セキュリティに関する注意喚起
      • 2023年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起
      • 2022年度 年末年始における情報セキュリティに関する注意喚起
    • 情報セキュリティ安心相談窓口公開レポート
      • 情報セキュリティ安心相談窓口の相談状況[2024年第3四半期(7月~9月)]
      • 情報セキュリティ安心相談窓口の相談状況[2024年第2四半期(4月~6月)]
      • 情報セキュリティ安心相談窓口の相談状況[2024年第1四半期(1月~3月)]
      • 情報セキュリティ安心相談窓口の相談状況[2023年第4四半期(10月~12月)]
      • 情報セキュリティ安心相談窓口の相談状況[2023年第3四半期(7月~9月)]
      • 情報セキュリティ安心相談窓口の相談状況[2023年第2四半期(4月~6月)]
      • 情報セキュリティ安心相談窓口の相談状況[2023年第1四半期(1月~3月)]
      • 情報セキュリティ安心相談窓口の相談状況[2022年第4四半期(10月~12月)]
      • 情報セキュリティ安心相談窓口の相談状況[2022年第3四半期(7月~9月)]
      • 情報セキュリティ安心相談窓口の相談状況[2022年第2四半期(4月~6月)]
      • 情報セキュリティ安心相談窓口の相談状況[2022年第1四半期(1月~3月)]
      • 情報セキュリティ安心相談窓口の相談状況[2021年第4四半期(10月~12月)]
      • 情報セキュリティ安心相談窓口の相談状況[2021年第3四半期(7月~9月)]
      • 情報セキュリティ安心相談窓口の相談状況[2021年第2四半期(4月~6月)]
      • 情報セキュリティ安心相談窓口の相談状況[2021年第1四半期(1月~3月)]
      • 情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
      • 情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
      • 情報セキュリティ安心相談窓口の相談状況[2020年第2四半期(4月~6月)]
      • 情報セキュリティ安心相談窓口の相談状況[2020年第1四半期(1月~3月)]
      • 情報セキュリティ安心相談窓口の相談状況[2019年第4四半期(10月~12月)]
      • 情報セキュリティ安心相談窓口の相談状況[2019年第3四半期(7月~9月)]
      • 情報セキュリティ安心相談窓口の相談状況[2019年第2四半期(4月~6月)]
      • 情報セキュリティ安心相談窓口の相談状況[2019年第1四半期(1月~3月)]
      • 情報セキュリティ安心相談窓口の相談状況[2018年第4四半期(10月~12月)]
    • 情報漏えい対策ツール
      • 情報漏えい対策ツールについて
      • 情報漏えい対策ツール 機能説明
      • 情報漏えい対策ツール インストール方法
      • 情報漏えい対策ツール FAQ
    • 他の機関が開設している相談窓口等
    • チャットボット相談について
  • ビジネスメール詐欺(BEC)対策
    • ビジネスメール詐欺(BEC)対策特設ページ
    • ビジネスメール詐欺の事例集を見る
    • ビジネスメール詐欺 FAQ
    • ビジネスメール詐欺の対策について知る
    • ビジネスメール詐欺のパターンとは
    • ビジネスメール詐欺外部参考サイト
    • もし詐欺被害に遭ってしまったら
  • サイバーレスキュー隊 J-CRAT(ジェイ・クラート)
    • サイバーレスキュー隊 J-CRAT(ジェイ・クラート)について
  • サイバー情報共有イニシアティブ J-CSIP(ジェイシップ)
    • サイバー情報共有イニシアティブ J-CSIP(ジェイシップ)について
  • 攻撃情報の調査・分析事業
    • 攻撃情報の調査・分析事業
    • IPAとNTT東日本による「シン・テレワークシステム」のHTML5版の開発と提供について
    • 「サイバーセキュリティに関する総務大臣奨励賞」受賞について
    • IPAとJ-LISによる「シン・テレワークシステム」に関わる実証実験の覚書の締結について
    • IPAとNTT東日本による「シン・テレワークシステム」無償開放の期間延長について
  • 中小企業の情報セキュリティ
    • 中小企業向け情報セキュリティ対策
    • 情報セキュリティ対策支援サイト
    • サイバーセキュリティお助け隊サービス制度
      • 登録申請について(ITベンダー・サービス提供事業者向け)
      • 新規申請事業者様向け説明会の開催について
      • 再販協力会社登録について(ITベンダー・IT導入支援事業者向け)
      • 「サイバーセキュリティお助け隊サービス」登録一覧
      • 「サイバーセキュリティお助け隊サービス2類」について
      • 「サイバーセキュリティお助け隊サービス」制度に関するFAQ
    • セキュリティプレゼンター制度
      • セキュリティプレゼンター登録
      • セキュリティの専門家をお探しの方へ
      • セキュリティプレゼンター向け資料ダウンロード
      • セキュリティプレゼンター制度に関するFAQ
      • セキュリティプレゼンターカンファレンス
      • セキュリティプレゼンター勉強会
    • 地域団体等との連携による中小企業のサイバーセキュリティ対策普及促進のためのセミナー開催支援
    • 中小企業向け情報セキュリティ対策バナー画像のご案内
  • セキュリティエコノミクス
    • サイバーセキュリティ経営プラクティス検討会
    • 2020年度 セキュリティ製品の有効性検証の試行について
    • 営業秘密官民フォーラムメールマガジン
      • 営業秘密のツボ 2024年11月20日 第101号
      • 営業秘密のツボ 2024年10月16日 第100号
      • 営業秘密のツボ 2024年09月18日 第99号
      • 営業秘密のツボ 2024年08月21日 第98号
      • 営業秘密のツボ 2024年07月17日 第97号
      • 営業秘密のツボ 2024年06月19日 第96号
      • 営業秘密のツボ 2024年05月15日 第95号
      • 営業秘密のツボ 2024年04月17日 第94号
      • 営業秘密のツボ 2024年03月21日 第93号
      • 営業秘密のツボ 2024年02月21日 第92号
      • 営業秘密のツボ 2024年01月17日 第91号
      • 営業秘密のツボ 2023年12月20日 第90号
      • 営業秘密のツボ 2023年11月15日 第89号
      • 営業秘密のツボ 2023年10月18日 第88号
      • 営業秘密のツボ 2023年9月20日 第87号
      • 営業秘密のツボ 2023年8月16日 第86号
      • 営業秘密のツボ 2023年7月19日 第85号
      • 営業秘密のツボ 2023年6月21日 第84号
      • 営業秘密のツボ 2023年5月17日 第83号
      • 営業秘密のツボ 2023年4月19日 第82号
      • 営業秘密のツボ 2023年3月15日 第81号
      • 営業秘密のツボ 2023年2月15日 第80号
      • 営業秘密のツボ 2023年1月18日 第79号
      • 営業秘密のツボ 2022年12月21日 第78号
    • 2021年度 セキュリティ製品の有効性検証の試行について
    • 2021年度 セキュリティ製品の有効性検証における試行対象製品の募集
    • サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集
    • サイバーセキュリティ経営可視化ツール
  • 制御システムのセキュリティ
    • 米CISA発行 Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)の翻訳
    • スマート工場化でのシステムセキュリティ対策事例 調査報告書
    • 産業用制御システム向け侵入検知製品等の導入手引書
    • 制御システムのセキュリティ
    • 制御システムのセキュリティ(一覧情報)
    • 制御システムのセキュリティリスク分析ガイド 第2版
    • 制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ
    • [ドイツBSI] 産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2022-
    • 米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシート
    • CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
    • 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳
    • 「スマート工場のセキュリティリスク分析調査」調査報告書 第2版
    • 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書
  • IoTのセキュリティ
    • IoTのセキュリティ
    • 「IoT開発におけるセキュリティ設計の手引き」を公開
  • 暗号技術
    • お知らせ
    • 暗号利用に関するガイドライン ・ガイダンス
      • TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)
      • 暗号鍵設定ガイダンス〜暗号鍵の鍵長選択方法と運用方法〜
      • 暗号鍵管理ガイドライン
      • 情報漏えいを防ぐためのモバイルデバイス等設定マニュアル
    • 暗号に関する調査・研究報告書
    • 暗号技術に関する海外資料・翻訳
  • ITセキュリティ評価及び認証制度(JISEC)
    • 評価認証制度(JISEC/ジェイアイセック)について
      • 評価認証制度(JISEC/ジェイアイセック)概要
      • 国際承認アレンジメント(CCRA)概要
      • CC(ISO/IEC 15408)概説
      • セキュリティ評価基準(CC/CEM)
      • 評価基準(旧規格)
      • セキュアな製品調達のために
      • 認証製品のプロモーション
      • ITセキュリティ評価・認証(ISO/IEC 15408)に関するFAQ
      • ITセキュリティ評価・認証の動向
    • 認証製品(ソフトウェア)
      • 認証製品リスト(ソフトウェア)
      • 評価・認証中リスト(ソフトウェア)
    • 認証製品(ハードウェア)
      • 認証製品リスト(ハードウェア)
      • 評価・認証中リスト(ハードウェア)
      • ハードウェア評価機関リスト
      • CCサポート文書スマートカード及びそれに関連するICや端末等の情報
    • 評価・認証プロテクションプロファイル
      • 評価・認証プロテクションプロファイルリスト
      • 評価中プロテクションプロファイル(PP)
    • 申請手続き
      • はじめての認証
      • 認証申請手続
      • 認証手続き様式集
      • 評価・認証の流れ 概要
      • 評価・認証の流れ 詳細1/3
      • 評価・認証の流れ 詳細2/3
      • 評価・認証の流れ 詳細 3/3
      • 認証有効期限
      • 保証継続(認証維持・再評定)
      • 評価機関承認申請手続
      • 評価機関承認申請様式集
      • 評価機関リスト
      • 規程集
      • 旧規程集
      • デジタル複合機分野の認証申請・評価について
    • ST確認制度
      • ST確認リスト
      • ST確認申請中リスト
      • ST確認申請手続
    • コモンクライテリア登録制度
      • コモンクライテリアプロフェッショナル
      • コモンクライテリア アセッサ
      • コモンクライテリア アセッサ登録に係るQ&A
    • 委員会リスト
    • 問い合わせ先
    • セミナー・イベント
      • CC関連セミナー・イベントのお知らせ
      • セミナー資料
  • セキュリティ要件適合評価及びラベリング制度(JC-STAR)
    • セキュリティラベリング制度(JC-STAR)についての詳細情報
    • JC-STAR活用に向けた取り組み
    • JC-STAR制度説明資料集
    • 申請手続き
      • ★1と★2の新規申請手続き
      • ★1と★2の延長申請手続き
      • ★3と★4の新規申請手続き
      • ★3と★4の延長申請手続き
      • その他の申請手続き
    • 適合基準・評価手順(評価手法・評価ガイド)について
      • ★1(レベル1)適合基準・評価ガイド
      • ★2(レベル2)適合基準・評価ガイド
      • ★3(レベル3)適合基準・評価ガイド
      • ★4(レベル4)適合基準・評価ガイド
    • 適合ラベルの利用ガイダンス
    • 適合ラベル取得製品リスト
    • セミナー・イベント情報
    • 規程集
    • 委員会リスト
    • 問い合わせ先
  • IT製品の調達におけるセキュリティ要件リスト
    • IT製品の調達におけるセキュリティ要件リスト活用ガイドブック
    • IT製品の政府調達
      • 「ハードコピーデバイス(ディジタル複合機)プロテクションプロファイルv1.0」の公開
      • VPN
      • データベース管理システム(DBMS)
      • ドライブ全体暗号化システム
      • ファイアウォール
      • 不正侵入検知/防止システム(IDS/IPS)
      • デジタル複合機(MFP)
      • モバイル端末管理システム
      • ルーター/レイヤ3スイッチ
      • OS(サーバOSに限る)
      • 暗号化USBメモリ
  • 中小企業投資促進税制における認証製品リスト
  • 暗号モジュール試験及び認証制度 (JCMVP)
    • 暗号モジュール試験及び認証制度(JCMVP)規程集
    • 暗号アルゴリズム実装試験に関する情報
    • 暗号モジュール試験及び認証制度(JCMVP)に関連するISO/IEC規格
    • 暗号モジュール試験機関リスト
    • 委員名簿
    • 承認されたセキュリティ機能
    • 暗号アルゴリズム確認対象非承認セキュリティ機能
    • 暗号モジュール認証製品リスト
    • 暗号アルゴリズム確認登録簿
      • [公開鍵]DSA 確認リスト
      • [公開鍵]ECDSA 確認リスト
      • [公開鍵]RSA 確認リスト
      • [共通鍵]AES 確認リスト
      • [共通鍵]Camellia 確認リスト
      • [ハッシュ関数]SHS 確認リスト
      • [メッセージ認証]HMAC 確認リスト
      • [乱数生成器]DRBG 確認リスト
      • [鍵共有]DH 確認リスト
      • [鍵共有]ECDH 確認リスト
      • [鍵共有]KDF 確認リスト
      • [共通鍵]CIPHERUNICORN-E 確認リスト
      • [共通鍵]Hierocrypt-L1 確認リスト
      • [共通鍵]MISTY1 確認リスト
      • [共通鍵]CIPHERUNICORN-A 確認リスト
      • [共通鍵]Hierocrypt-3 確認リスト
      • [共通鍵]SC2000 確認リスト
      • [共通鍵]MUGI 確認リスト
      • [共通鍵]3key Triple-DES 確認リスト
      • [乱数生成器]RNG 確認リスト
    • セミナー資料
  • 情報セキュリティサービス基準適合サービスリスト
  • 情報セキュリティ教材・ツール
    • 5分でできる!情報セキュリティポイント学習
    • 一般初心者向け情報セキュリティ教材
    • 情報セキュリティ対策ベンチマーク
  • 映像で知る情報セキュリティ
    • 映像コンテンツ一覧
    • 映像で知る情報セキュリティ 動画ファイル申込
    • 関連情報
      • IPA制作の情報セキュリティ啓発映像を皆様にご紹介ください
  • 情報セキュリティ関連ガイド
    • 脆弱性対策関連ガイド
      • ECサイト構築・運用セキュリティガイドライン
      • ネット接続製品の安全な選定・利用ガイド -詳細版-
      • 脆弱性対処に向けた製品開発者向けガイド
      • 情報セキュリティ早期警戒パートナーシップガイドライン
      • 制御システムのセキュリティリスク分析ガイド :ページのご案内
    • 中小企業向け情報セキュリティ対策
      • 中小企業の情報セキュリティ対策ガイドライン
      • 5分でできる!情報セキュリティ自社診断
    • 組織における内部不正防止ガイドライン
    • 対策のしおり
    • 情報セキュリティ関連サイト
  • Emotet(エモテット)関連情報
    • Emotet(エモテット)攻撃の手口
    • Emotet(エモテット)対策
    • これまでの攻撃活動状況
      • Microsoft OneNote形式のファイルを悪用した攻撃(2023年3月17日)
      • Emotetの攻撃活動再開について(2023年3月9日)
      • Excelファイル内に書かれている偽の指示の変更について(2022年11月4日)
      • Emotetの攻撃活動再開について(2022年11月4日)
      • ショートカットファイルを悪用した攻撃(2022年4月26日)
      • 感染被害の大幅拡大/日本語で書かれた新たな攻撃メール(2022年3月9日)
      • Emotetの攻撃活動の急増 (2022年2月9日)
      • 攻撃活動再開後の状況/被害相談の例 (2021年12月9日)
      • Emotetの攻撃活動再開について(2021年11月16日)
      • Emotetのテイクダウン(停止措置)について(2021年5月27日)
      • 年末時期に合わせた攻撃の再開(2020年12月22日)
      • 相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日)
      • 攻撃再開の観測状況(2020年7月28日)
      • 新型コロナウイルスを題材とした攻撃メールの例(2020年1月30日)
      • URLリンクを悪用した攻撃メールの例 (2019年12月11日)
  • 調査・研究報告書
    • 海外のクラウドサービス評価制度の実施状況調査
    • テクニカルウォッチ
      • IPAテクニカルウォッチ「AI利用時のセキュリティ脅威・リスク調査報告書」
      • IPAテクニカルウォッチ「米国におけるAIのセキュリティ脅威・リスクの認知調査レポート」
      • IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」
      • IPAテクニカルウォッチ「ランサムウェアの脅威と対策」
      • IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(実践編)」
      • IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」
      • 過去に公開されたテクニカルウォッチのアーカイブ先のご案内
    • 海外セキュリティ関連文書
      • セキュリティ関連NIST文書
      • 海外のプロテクションプロファイルの翻訳
    • 中小企業向け報告書
      • 「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」 報告書について
      • 「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書について
      • 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
      • 「地域金融機関における中小企業向けセキュリティ対策普及等の取組に関する調査」報告書
      • 「中小企業を含むサプライチェーンにおける情報セキュリティ対策状況等の調査」報告書について
      • 「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書について
      • サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)の報告書について
      • 「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた試行環境調査」報告書について
    • セキュリティエコノミクス
      • 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書
      • サプライチェーンリスクマネジメント
      • 「2021年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書
      • 「2022年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書
      • 営業秘密管理
    • 脆弱性対策情報に関する報告書
      • 情報システム等の脆弱性情報の取扱いに関する調査の報告書などを公開
      • 2023年度情報システム等の脆弱性情報の取扱いに関する研究会
      • 中小企業が運営するECサイト向け無償脆弱性診断の募集
      • セキュリティに関する窓口設置推奨資料や研究会報告書などを公開
      • 2021年度情報システム等の脆弱性情報の取扱いに関する研究会
      • 2022年度EC加盟店サイトセキュリティガイドライン検討委員会
      • ソフトウェア等の脆弱性関連情報に関する届出状況
      • 脆弱性対策情報データベースJVN iPediaの登録状況
    • 米国ISAO関連文書の翻訳
    • 暗号技術・CRYPTREC
      • 暗号アルゴリズムの利用実績に関する調査報告書(2022年度)
      • 「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書(2021年度)
      • 「暗号利用環境に関する動向調査」報告書(2015年度)
      • 暗号アルゴリズムの利用実績に関する調査報告書(2012年度)
      • 電子政府推奨暗号の実装評価(2011年度)
      • その他の調査・研究資料
  • 届出・相談・情報提供
    • 企業・組織からのインシデント等に関する相談/届出/情報提供窓口のご案内
    • コンピュータウイルス・不正アクセスに関する届出
      • コンピュータウイルス・不正アクセスに関する届出について
    • 脆弱性関連情報についての届出
      • 脆弱性関連情報の届出関連 FAQ
      • 脆弱性関連情報として取り扱えない場合の考え方の解説
      • 脆弱性関連情報等取扱い方針
      • 脆弱性関連情報の届出受付業務における取扱いプロセス
      • 脆弱性関連情報の届出受付
      • 調整不能案件の公表判定業務における取扱いプロセス
    • J-CRAT 標的型サイバー攻撃特別相談窓口
    • 情報提供受付
  • 情報セキュリティに関するセミナー・イベント
    • コラボレーション・プラットフォームについて
    • 脆弱性対策に関するセミナー・イベント
      • 「脆弱性対策情報の動向と効果的な収集に向けて」セミナー開催のお知らせ
      • 「脆弱性対策の効果的な進め方(初級者向け)」セミナー開催のお知らせ
      • ウェブサイトの安全な運用について(運営・管理者向け)セミナー開催のお知らせ
    • 中小企業向けセミナー・イベント
      • 中小企業支援セミナー
      • サイバーセキュリティ相談会・マネジメント指導
      • 講習能力養成セミナー
      • 経営者向けインシデント対応机上演習
      • IT・セキュリティ担当者向けリスク分析ワークショップ
    • 制御システムのセキュリティに関するセミナー・イベント
      • 制御システムのセキュリティリスク分析ガイド オンラインセミナー2023年度上期
      • 制御システムのセキュリティリスク分析ガイド オンラインセミナー2023年度下期
      • 制御システムのセキュリティリスク分析ガイド オンラインセミナー2024年度上期
      • 制御システムのセキュリティリスク分析ガイド オンラインセミナー2024年度下期
      • 制御システムのセキュリティリスク分析ガイドセミナー
    • CC関連セミナー・イベント
    • 講師派遣
      • 中小企業支援組織向け講演者派遣
      • IPA情報セキュリティセミナー 講師派遣について
  • ひろげよう情報セキュリティコンクール
    • 2024年度募集要項
      • 作品テーマについて
      • 標語部門
      • ポスター部門
      • 2024年度事業よくある質問
    • 2023年度受賞作品
      • 最優秀賞
      • IPA優秀賞
      • 優秀賞(都道府県)
      • 優秀賞(活動事例)
    • 2023年度募集要項
      • 応募作品のテーマ例
      • 標語部門の規格
      • ポスター部門の規格
      • 4コマ漫画部門の規格
      • 活動事例の規格
      • 2023年度事業よくある質問
    • 応募統計データ
    • 作品を活用しよう
      • 作品パネルの貸出
      • 展示レポート
      • 作品の活用に関するよくある質問
    • コンクール関連コンテンツ
  • 協定・地域との連携
    • 2024年5月21日 宮崎県サイバーセキュリティ協議会、宮崎県警察と宮崎県サイバーセキュリティに関する連携協定を締結
    • 2023年12月22日 警察庁サイバー警察局とサイバー事案の対処に関する連携協定を締結
    • 2023年11月28日 サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会へ加入
    • 2023年11月10日 長崎県警等とサイバーセキュリティに関する相互協力協定を締結
    • 2023年9月7日 徳島県、徳島県警察、徳島県内商工3団体とサイバーセキュリティの確保に関する連携協定を締結
ページの
先頭に戻る
書籍・刊行物
採用情報
調達情報
書籍・刊行物
採用情報
調達情報
独立行政法人情報処理推進機構

〒113-6591
東京都文京区本駒込二丁目28番8号
文京グリーンコートセンターオフィス(総合受付13階)

  • セキュリティセンター
  • 産業サイバーセキュリティセンター
  • デジタルアーキテクチャ・デザインセンター
  • デジタル基盤センター
  • デジタル人材センター
  • 情報セキュリティ
  • 試験情報
  • デジタル人材の育成
  • 社会・産業のデジタル変革
  • IPAについて
  • Facebook
  • Twitter
  • YouTube
  • メールニュース
  • ウェブサイトのご利用について
  • 個人情報保護
  • ウェブアクセシビリティ方針
  • 情報セキュリティ基本方針
  • 情報公開
  • サイトマップ
  • アーカイブ

Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126