はてなブックマーク

公開日：2025年6月26日 最終更新日：2025年7月4日 独立行政法人情報処理推進機構 経営企画センター 国際・産業調査部 産業調査室 DX動向2025 概要 「DX動向2025」では、これまでの日本国内企業の動向分析に加え、日本・米国・ドイツの3か国比較分析を実施し、日本企業のDXの現在地と課題を多角的に明らかにしています。 「1.DX取組と成果の状況」では、企業のDXに対する取組状況、取組成果、成果把握のための評価について述べています。 「2.DXを実現するための技術利活用の状況」では、DXを推進するために必要なアジャイル、データの利活用やそれを実現するためのレガシーシステムの刷新状況、AI・生成AIの利活用、システム開発の内製化をそれぞれの課題も含め述べています。 「3.DXを推進する人材」では、DXを推進する人材の「量」「質」の充足状況、人材獲得や育成にあたっての課題、企業文化

情報セキュリティ 10 大脅威 2025 個人編 ～どこから攻撃されても防御ができる十分なセキュリティ対策を～ 2025 年 6 月 本書は、以下の URL からダウンロードできます。 「情報セキュリティ 10 大脅威 2025 個人編」 https://www.ipa.go.jp/security/10threats/10threats2025.html 目次 はじめに......................................................................................................................................................... 4 情報セキュリティ 10 大脅威 2025.....................................

事業概要 情報セキュリティ対策が強固とはいえない中小企業を対象としたサイバー攻撃や、それに起因する取引先の大企業等の被害も顕在化しており、サプライチェーン単位での攻撃が増加する中、必要十分なセキュリティ対策を実施できない企業が狙われることで大きな経済的損失をもたらすおそれがあります。そのため、予算や人材が不足している中小企業において効果的なセキュリティ対策を実践できるよう、規模等に応じたセキュリティ対策を提示するとともに、対策の実践に当たって必要となるセキュリティ人材の確保やサービス支援策の強化が求められています。 このような背景のもと、IPAは専門家のさらなる活用促進を図るため、中小企業とセキュリティ人材とのマッチングを促す場を構築する実証を実施しました。具体的には、業界団体や商工会議所等の経済団体等（以下、支援機関）と連携して、情報処理安全確保支援士(注釈1)でかつIPAセキュリティプ

独立行政法人情報処理推進機構（IPA、理事長：齊藤裕）は、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書を公開しました。今回公表する資料では、「2024年度中小企業等実態調査」全体の報告書を取りまとめるとともに、中小企業が実際に行っている対策や効果が見られた対策のポイントを報告します。 「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について 背景・目的 近年、サプライチェーン上の弱点を狙って、攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化しています。サプライチェーンを構成する中小企業等がサイバー攻撃に対する対策が不十分である場合、当該企業等の事業活動に支障が生じ得ることに加えて、重要情報の流出や、製品/サービスの供給停止など、取引先事業への影響や、当該企業を踏み台にして取引先が攻撃されるおそれ等があります。 このような状況を踏

注意事項 個々の問題及び採点結果についてお問合せには応じられません。 解答例： 多肢選択式問題の正解 記述式問題の解答例・出題趣旨 論述式問題の出題趣旨 採点講評の対象： 応用情報技術者の午後問題 その他の試験区分の午後I・午後II問題 試験区分ごとの問題別配点割合は、試験要綱の「4．採点方式・配点・合格基準」をご覧ください。 試験要綱(PDF:987 KB) 更新履歴 2025年7月1日

トップページ 情報セキュリティ 重要なセキュリティ情報 2025年度 「Active! mail」におけるスタックベースのバッファオーバーフローの脆弱性について（JVN#22348866） 注釈：最新情報は、JVN(JVN#22348866)をご覧ください。 概要 株式会社クオリティアが提供する「Active! mail」は、ウェブメールシステムです。 「Active! mail」には、スタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）が存在します。 本脆弱性を悪用された場合、遠隔の第三者によって細工されたリクエストを送信され、任意のコードを実行されたり、サービス運用妨害（DoS）状態を引き起こされたりする可能性があります。 同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、最新版にアップデートしてください。

概要 近年、大企業のみならず中小企業においてもサイバー攻撃の脅威にさらされている状況です。組織においてセキュリティインシデントが発生した場合には、被害とその影響範囲を最小限に抑えて事業継続を確保する必要があります。その為には、予めの対応体制と手順を整備したうえで、実際にセキュリティインシデントが発生した場合を想定して演習しておくことが重要です。 こうした背景を踏まえ、IPAは中小企業を対象としたセキュリティインシデント対応机上演習を開催していますが、より多くの組織に机上演習を実施いただけるようにするため、演習教材と演習実施のためのマニュアルを公開することとしました。セキュリティ意識向上と対策強化にご活用ください。 教材について 本教材は、ランサムウェア感染のインシデントシナリオを使用して、インシデント対応の一連の流れを机上で演習する教材（パワーポイント）とその実施マニュアルです。 教材は一

AIシステムに対するレッドチーミング手順を詳細に解説 AIセーフティ・インスティテュート（AISI、所長：村上明子）は、2024年９月に公開した「AIセーフティに関するレッドチーミング手法ガイド」について、具体的な実施例を通してより詳細に理解できるよう改訂しました。RAG（Retrieval-Augmented Generation）の仕組みを実装したAIシステムに対して実際にレッドチーミングを行い、その手順を詳細に解説するとともに、レッドチーミング実施の成果物を文書としてとりまとめています。 AIセーフティに関するレッドチーミング手法ガイド 概要 AIシステムの悪用や誤用、不正確な出力による懸念などが生じ、AIセーフティ（注釈1）についての関心が国内外で高まりつつある中、AISIでは2024年9月に「AIセーフティに関するレッドチーミング手法ガイド」を公開しました。このガイドは、AIシス

IPAでは企業組織向けに、セキュリティインシデントに関する相談や、ウイルス・不正アクセス・脆弱性情報に関する届出を受け付ける窓口を設けております。セキュリティインシデント等が発生した際などにご活用いただくことができます。 連絡先に迷った場合は、以下の＜1. 企業組織向けサイバーセキュリティ相談窓口>にご連絡ください。 1. 企業組織向けサイバーセキュリティ相談窓口 1-1. 受付可能な相談内容 各種インシデント発生時の初動対応に関する相談 起きている事象をヒアリングして、被害が発生しているか否かを判断します。 被害が発生している場合、有効な応急処置についてご案内します。 インシデント対応を行う専門業者一覧の紹介をします。 他に必要な相談・報告先等の紹介をします。 ご相談いただく事案の調査や解析の実施は対応しておりません。 標的型サイバー攻撃に関するインシデント相談 国家支援型と推定される標

独立行政法人情報処理推進機構デジタルアーキテクチャ・デザインセンターは、経済産業省と共同でウラノス・エコシステムの取組における技術的な参照文書である「Whitepaper: ウラノス・エコシステム・データスペーシズ リファレンスアーキテクチャモデル」を公開しました。 本ホワイトペーパーは、ウラノス・エコシステムにおいて、企業・業界・国境を横断した産業分野でのデータ連携及び利活用に関するリファレンスアーキテクチャを公開するものであり、データスペースの階層構造モデルをはじめとした技術的なパラダイム及び今後の展望を示す参照文書です。本書により、データスペースの構築に向けたオープンな機会が提供され、ウラノス・エコシステムが産業界に広く浸透することを企図しています。 1. 目的 本書は、ウラノス・エコシステムにおけるサービス主導のデータスペースの構築に向けたオープンな機会を提供し、様々な主体の参画を

情報セキュリティ 10 大脅威 2025 組織編 ～どこから攻撃されても防御ができる十分なセキュリティ対策を～ 2025 年 2 月 本書は、以下の URL からダウンロードできます。 「情報セキュリティ 10 大脅威 2025 組織編」 https://www.ipa.go.jp/security/10threats/10threats2025.html 目次 はじめに......................................................................................................................................................... 4 情報セキュリティ 10 大脅威 2025.....................................

独立行政法人情報処理推進機構（IPA、理事長：齊藤裕）は、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版(本プレスリリース)を公開しました。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになりました。詳細な報告書は４月頃にIPAのウェブサイトで公開予定です。 背景 近年、サプライチェーン上の弱点を狙って、攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化しています。サプライチェーンを構成する中小企業等がサイバー攻撃に対する対策が不十分である場合、当該企業等の事業活動に支障が生じ得ることに加えて、重要情報の流出や、製品/サービスの供給停止など、取引先事業への影響や、当該企業を踏み台にして取引先が攻撃されるおそれ等があります。IPAでは、2016年度と2021年度に「中小企業における情報セキュリティ対策に関する

独立行政法人情報処理推進機構（IPA、理事長：齊藤裕）は、一般的なデータ利活用だけでなく、異なる組織・異業種間でデータを共有する「データスペース」の利用手順やその内容を解説した「データ利活用・データスペースガイドブック」を改訂し、第2.0版として公開しました。 データスペースの推進 背景 本書は、2024年11月に公開した「データ利活用・データスペースガイドブック第1.0版」（脚注）の改訂版です。第1.0版は、「データ利用者編」として、事業にデータを利活用したい者を「データ利用者」と定義し、組織における活用までの具体的な手順、経営層や担当者が「すべきこと」を8つのフェーズに分けて解説しました。 本日公開した第2.0版では、データを提供したい者を「データ提供者」と定義し、データを提供するために経営層や事業部門やIT部門が「すべきこと」を第1.0版と同様に８つのフェーズに分けて解説しています。

「情報セキュリティ10大脅威 2025」簡易説明資料（スライド形式） 簡易説明資料 [組織編] 108ページ(PDF:2.2 MB) 簡易説明資料 [組織編] 108ページ(PowerPoint)(1.6 MB) 簡易説明資料 [個人編]（一般利用者向け）（7月末公開予定） 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしております 出典を明記すること（当機構名、資料名、URL） 可能な限り原文のまま掲載すること（グラフの形式を変える、文体を変える等は可） 一部改変して使用する場合は文意を変えず、原文のままでないことがわかるよう明記すること（「～を基に作成」等） 転載部分と作成部分が混在する場合、転載部分か、作成部分かが明確にわかるようにすること イラストを単

独立行政法人情報処理推進機構（IPA、理事長：齊藤裕）は、情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公表しました。詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定です。 情報セキュリティ10大脅威 2025 IPAでは、情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等を「情報セキュリティ10大脅威」として公表しています。本日公表した内容はIPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「組織」の立場と「個人」の立場での「10大脅威」はそれぞれ以下のとおりです。

想定読者 本書ではSBOMの導入・運用を主導する部門を主な対象読者として想定しています。また、SBOMを知らない組織をはじめ、導入に課題を抱えている組織、導入後に活用できていない組織など、幅広い組織層を対象としています。 本書の構成 第1章 背景と目的 第2章 SBOMの概要 第3章 SBOM導入・運用に関する基本指針 第4章 環境構築・体制整備フェーズにおける実施事項 第5章 SBOM作成・共有フェーズにおける実施事項 第6章 SBOM運用・管理フェーズにおける実施事項 第7章 まとめ Appendix ダウンロード SBOM導入・運用の手引き(PDF:3.0 MB) 更新履歴 2024年12月20日

多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後の業務継続に影響が及ぶ可能性があります。 このような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、それぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。 長期休暇における情報セキュリティ対策 日常における情報セキュリティ対策 注釈：上記リンク先において、対象者毎に参照すべき範囲は以下のとおり

パソコンに偽のウイルス感染警告を表示させるサポート詐欺に注意 - 「今すぐ〇〇に電話してください」は偽物、絶対に電話をしないで！ - IPAではサポート詐欺に関する注意喚起をこれまでも継続的に実施してきました。 （参考：2021年 安心相談窓口だより） 手口や対処・対策について、これまでと大きな変化はありませんが、相談件数や画像などを現時点での内容に更新して公開いたします。 1. 概要と相談受付状況 パソコンでウェブサイトを閲覧中に、突然パソコンがトロイの木馬などのウイルスに感染しているという警告が出ることがあります。画面一杯に広がった警告には「今すぐ〇〇のサポートに電話してください」と書いてあります。加えて、警告音が鳴りやまず不安をあおることがあります。この場合、表示された警告は「偽のセキュリティ警告」の可能性が非常に高いです。パソコンのウイルス感染はおきていません（図1）。 電話をかけ

データスペースアカデミーでは、データ活用に関わる全ての方、例えばデータを活用したビジネス戦略を検討される経営者の方、データを活用するシステムの設計や運用を行う技術者で設計方針を知りたい方など様々な方へ幅広い資料をご提供しています。 経営者・CDOの方向け読本

独立行政法人情報処理推進機構（IPA、理事長：齊藤裕）は、一般的なデータ利活用だけでなく、異なる組織・異業種間でデータを共有する「データスペース」の利用手順やその内容を解説した「データ利活用・データスペースガイドブック第1.0版」を公開しました。データをサービス展開などの事業に活用したい企業の経営層・CDO（Chief Data Officer: 最高データ責任者）や事業部門、IT部門の担当者が参照することで、経営戦略策定からIT戦略・企画策定、データスペースの運用、評価までの8フェーズを包括的に理解し、実施することができます。 データスペースの推進 背景 社会や経済のデジタル化が進む中、蓄積された「データ」は「資産」として製品やサービスの質を高め、新しいビジネスモデルや価値を創出するための鍵となっています。また、異なる組織間のデータ共有の促進、データ主権の保護、信頼性の高いエコシステムの

2025年10月14日（米国時間）に、Windows 10のサポートが終了します。 サポート終了後はセキュリティ更新プログラムの提供がなくなり、セキュリティリスクが高まります。 同ソフトウェア製品の利用者においては、サポートが継続している後継製品、または代替製品への移行などの対応が望まれます。また、OSだけでなく、対象OS上で稼働するアプリケーションもサポートが順次終了していくため、あわせて対策が必要です。 概要 2025年にMicrosoft社が提供しているOSであるWindows 10のサポートが終了します。一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止などの被害を受ける可能性が高くなります。対象OSを使用している利用者は、速やかな最新版への移行等の実施が求められます。 対象O

セキュリティ要件適合評価及びラベリング制度（JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）とは、ETSI EN 303 645やNISTIR 8425等の国内外の規格とも調和しつつ、独自に定める適合基準（セキュリティ技術要件）に基づき、IoT製品に対する適合基準への適合性を確認・可視化する、我が国の制度です。 本制度の概要 本制度は、2024年8月に経済産業省が公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度で、インターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的としています。 従来、IoT製品におけるセキュリティ対策の取組については、

活動内容 DXレポートが警鐘を鳴らした「2025年の崖」が目前に迫る中で、産業界のDX/レガシーシステム脱却の進捗は依然としてスピード感に欠ける状況となっている。また、デジタル技術の進化スピードは加速度的に増大しているが、各企業の既存のレガシーシステムが足枷となり、足元では例えば生成AI 等の活用をしたくとも連携や組み込みがスムーズに進められない問題が発生している。 このままではデジタル技術の進化への追従ができず、日本の産業競争力は低下の一途を辿ってしまう。このような事態を打破するためには、レガシーシステムを取り巻く最新の現状や課題を可視化し、今一度方向性を示す必要がある。本委員会は、業種ごとのレガシーシステムの現状と課題および横断的な課題を明らかにし、対応策を検討する。 委員会メンバー 委員長 浦川 伸一 株式会社スカイエージ 委員 石井 尚行 東京海上日動火災保険株式会社 大山 宏 株

公開日：2024年9月25日 最終更新日：2024年10月1日 AIセーフティ・インスティテュート 独立行政法人情報処理推進機構 AIセーフティ・インスティテュート（AISI、所長：村上明子）は、AIセーフティ評価手法の一つであるレッドチーミング手法を解説する「AIセーフティに関するレッドチーミング手法ガイド」を公開しました。AIシステムの開発・提供管理者が本書を参照することで、AIシステムにおける弱点や対策の不備を攻撃者の視点から評価するためのレッドチーミング手法の基本的な考慮事項を理解することができ、それらの堅牢化につなげることができます。 AIセーフティに関するレッドチーミング手法ガイド（第1.00版）本編(PDF:3.1 MB) AIセーフティに関するレッドチーミング手法ガイド（第1.00版）概要説明資料(PDF:1.1 MB) AIシステムの開発・提供・利用が進み、イノベーション

パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中 - 意図せずダウンロードされたファイルを実行しないで！ - 2024年6月から、パソコンを使用中に突然、画面全体に偽のメッセージが表示されて、キーボードやマウスの操作を一切受け付けなくなり、電源を入れなおして再起動しても状況が変わらないという相談が寄せられています（本資料ではこの手口を「操作不能の偽メッセージ」と呼称します）。 メッセージには、マイクロソフトサポートへ電話をするように嘘のメッセージがあることから、これまでの「サポート詐欺（別名：偽のセキュリティ警告）」と同様に相談が寄せられていますが、ウェブブラウザに偽の警告を表示していたものとは手口が異なり、これまでのサポート詐欺の手口でご案内した対処が通用しないことが確認されています。 手口の詳細や原因および目的などは不明な部分が多いですが、継続して相談が寄せられて