2021.05.08

NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・今回は、昨年11月に公表されたドラフトのアップデート版となる第2ドラフトです。。。

 

NIST - ITL - Computer Security Resource Center

・2021.05.06 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem (2nd Draft)

 

パブコメの対象は、

Publication: 
・[PDF] Second Draft SP 1800-30

20210508-65408

その他情報は、

Supplemental Material:
・[web]  Project homepage

 

Announcement 発表
Increasingly, healthcare delivery organizations (HDOs) incorporate telehealth and remote patient monitoring (RPM) as part of a patient’s care regimen. RPM systems may offer convenience and may be cost effective for patients and HDOs, which promotes increased adoption rates. Without adequate privacy and cybersecurity measures, however, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、患者治療の一環として、テレヘルスや遠隔患者モニタリング(RPM)を導入するケースが増えています。RPMシステムは、利便性が高く、患者やHDOにとって費用対効果が高いことから、導入率が高まっています。しかし、適切なプライバシー保護とサイバーセキュリティ対策がなければ、権限のない者が機密データを漏洩させたり、患者モニタリングサービスを妨害したりする可能性があります。
The NCCoE developed a reference architecture that demonstrates how HDOs may use standards-based approaches and commercially available cybersecurity technologies to implement privacy and cybersecurity controls, thereby enhancing the resiliency of the telehealth RPM ecosystem. NCCoEは、HDOが標準ベースのアプローチと市販のサイバーセキュリティ技術を用いてプライバシーとサイバーセキュリティ対策を実施する方法を示すリファレンスアーキテクチャを開発し、それによって遠隔医療RPMエコシステムの回復力を高めました。
After adjudicating all the comments from the first draft, notable adjustments were made to the RPM Practice Guide, including: 第一次ドラフトに寄せられたすべてのコメントを精査した結果、「RPM実践ガイド」には以下のような注目すべき調整が加えられました。
・Adjusted the security and privacy control mapping in accordance with NIST SP 800-53 Revision 5. ・NIST SP 800-53 Revision 5 に準拠した、セキュリティおよびプライバシー管理のマッピングの調整。
・Enhanced cybersecurity capabilities in the Identity Management and Data Security sections. ・アイデンティティ管理」と「データセキュリティ」のセクションでの、サイバーセキュリティ機能の強化。
・Updated the final architecture to include secure broadband communication between the patient's home and the telehealth platform provider. ・患者の自宅と遠隔医療プラットフォーム提供者との間の安全なブロードバンド通信を含むように最終的アーキテクチャの更新。
・Included guidance from NIST’s Cybersecurity for the Internet of Things program on device cybersecurity capabilities and nontechnical supporting capabilities that telehealth platform providers should be aware of in their biometric device acquisition processes. ・NISTの「Cybersecurity for the Internet of Things」プログラムによる、生体認証機器の取得プロセスにおいて遠隔医療プラットフォーム提供者が留意すべき機器のサイバーセキュリティ機能および非技術的なサポート機能に関するガイダンスを掲載。
Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed risk factors regarding an RPM ecosystem by using risk assessment based on the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに基づくリスクアセスメントを用いて、RPMエコシステムに関するリスク要因を分析しました。また、NIST Cybersecurity Framework、NIST Privacy Framework、およびその他の関連規格を活用して、エコシステムを保護するための手段を特定しました。NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境で RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました.
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s capabilities include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy, and limiting HDO risk when implementing an RPM solution. この実践ガイドは、組織がRPMソリューションを導入する際に、RPMソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、HDOリスクを制限することを支援します。

 

目次はこちら

 


 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

» Continue reading

| | Comments (0)

5月6日は「世界パスワードの日」でした。。。FBI「強力なパスフレーズとアカウント保護」

こんにちは、丸山満彦です。

5月の第一木曜日は「世界パスワードの日 (World Password Day) 」として、色々な行事が...

この世界パスワードの日は2013年から始まっていて米国ではFBIも祝っていますね。。。

● FBI 

・2021.05.04 (news) FBI Tech Tuesday: Strong Passphrases and Account Protection

NISTのガイドを引用して、使う文字数の複雑さよりも、長さが重要と強調していますね。。。

なので、意味がない単なる特殊文字を含む文字の8桁の羅列よりも、意味があっても長いパスフレーズを使うことを推奨していますね。。。

Recent guidance from the National Institute of Standards and Technology (NIST) advises that password length is much more important than password complexity. Instead of using short complex passwords, use passphrases that combine multiple words and are longer than 15 characters. For example TechTuesday2021Strengthen! 米国国立標準技術研究所(NIST)の最近のガイダンスでは、パスワードの長さはパスワードの複雑さよりもはるかに重要であると勧告されています。短い複雑なパスワードを使用する代わりに、複数の単語を組み合わせた15文字以上のパスフレーズを使用してください。例えば、TechTuesday2021Strengthen!

 

以下は、FBIのアドバイスです...

Make sure, at the very least, that your email, financial, and health accounts all have different unique passwords and/or passphrases. 少なくとも、電子メール、金融機関、医療機関のアカウントには、それぞれ固有のパスワードやパスフレーズが設定されていることを確認してください。
Make sure your password is as long as the system will allow. パスワードは、システムが許容する範囲内の長さで設定してください。
Set up multi-factor authentication for your accounts. 自分のアカウントに多要素認証を設定してください。
Don’t allow password “hints” パスワードの "ヒント "を許可しない

 

Fbi_20210425171201


■  参考

● NIST - ITL

・ Digital Identity Guidelines

・ [PDF] SP 800-63-3 Digital Identity Guidelines

OpenID Fondation Japanの翻訳

● JIPDEC

OIDF-J・JIPDEC共催OpenID BizDay#11「NIST SP 800-63-3を読む」

・[PDF] SP 800-63-3「Digital Authentication Guideline」(Final翻訳)

 


盛り上がり感を...

■ NEWS

● US Security Magazine

・2021.05.06 Best practices during World Password Day

● Ca IT world Canada

・2021.05.06 Will this be the last World Password Day?

● It Network Digital 360

・2021.05.06 World Password Day, la maledizione della banalità: perché credenziali deboli sono un rischio per le aziende

● US Tech Republic

・2021.05.06 (Vedeo) The need for cybersecurity "never goes away," expert says: World Password Day

● US Facility Exective

・2021.05.05 Just In Time For World Password Day: Worst Password Awards!

May 6 is World Password Day. What better time to hand out awards for the worst passwords?

 US KTEM News

・2021.05.06 It’s World Password Day – How Strong Is Your Password?

● US Mac World

・2021.05.06 Celebrate World Password Day by locking down your Apple devices

● UK VERDICT

・2021.05.06 It’s World Password Day – time for a reset!

● US CBS

・2021.05.06 'World Password Day' prompts safety tips from Florida AG

● US Analytics Insight

・2021.05.06 THIS WORLD PASSWORD DAY, GODADDY OFFERS SECURITY PROTECTIONS FOR SMALL BUSINESS WEBSITES

Security Boulevard

・2021.05.06 Password Reuse: Rampant and Risky

・2021.05.05 On World Password Day eat your greens, exercise more, and ditch the password!

● US Government Technology

・2021.05.02 (blog) Email Security, Working from Home and World Password Day

What is the future of passwords? More urgently, how are you doing with using (or reusing) passwords now? Here are some helpful tips ahead of World Password Day on May 6.

● US Information Security Buzz News

・2021.04.28 Experts Advise on World Password Day

● Ir Tech Central

・2021.05.06 Thou shalt not pass… word

Strong passwords? Forget about them, says Billy MacInnes

● US Syracuse University

・2021.05.01 (blog) World P@$$w0rd Day: Tips To Protect Your Digital Identity

● US CX Todays.com

・2021.05.06 Comment on World Password Day from Kartik Shahani, Country Manager, Tenable

● UAE Khaleej Times

・2021.05.06 These are the most common passwords; is yours on the list?

● SG Tech Wire Asia

・2021.05.06 SEA businesses exposed to highest rate of data breaches globally

● US The Daily Swig - Cybersecurity news and views

・2021.05.06 Troy Hunt at Black Hat Asia: ‘We’re making it very difficult for people to make good security decisions’

Have I Been Pwned founder’s keynote offered a sobering counterpoint to the well-meaning ‘World Password Day’

● Br Olhar digital

・2021.05.06 World Password Day: saiba como criar e manter uma senha segura

● Ca Global News

・2021.05.06 Consumer Matters: Why your current password might not be enough to protect you from cyber criminals

May 6 marks World Password Day. Security experts warn given the number of passwords required on various accounts and website, consumers need to do more than just make passwords strong and unique. Consumer Matters reporter Anne Drewa has the details.


 

| | Comments (0)

2021.05.07

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」という白書を公表していますね。。。

欧米人は、自然環境の違い(温帯から寒帯にかけた比較的シンプルな自然環境)で文化を作ってきたからでしょうか、養老孟司のいうところの「ああすれば、こうなる」がわからないと気持ちが悪いのかもしれませんね。。。だから宗教や科学が発達してきたのでしょう...一方、熱帯から温帯にかけた環境で生まれ育った文化は、複雑な自然をそのまま受けれいれるしかなく、全体で丸ごと感じるようになったのかもしれません。。。

機械学習というある意味、綺麗な実験環境から、複雑な環境、例えば自然環境での実験と言えるかもしれません。自然環境で育てたパラメータがたくさんある(よってその組み合わせがたくさんある)システムは「ああすればこうなる」と100%説明することはできないと思います。

皆さんには一卵性の双子の知り合いがいるかもしれませんが、彼ら、彼女らは全く同じ遺伝子です。でも全く同じ顔、身長、体重、性格でしょうか?

彼ら、彼女らは、最初のアルゴリズム(遺伝子)は同じです。その後の学習(母親の体内にいる時からの育つ環境)の違いで全く同じ全く同じ顔、身長、体重、性格にはなりませんね、特に、複雑な脳の神経のつながり方は同じ遺伝子でも、その後の育ってきた環境によって大きく変わるでしょう。

機械学習もそう考えると、同じアルゴリズム(遺伝子)であっても、与えるデータ等のインプットを変えると違うシステムになりますよね。。。しかもそのパターンは膨大すぎて全てを理解しようとすれば、さらにそれ以上に複雑な機械学習マシーンが必要となり、終わりがありませんね。。。

ということで、私的には、Auditable AI Systemというのは、どのような学習をさせたかを説明することにより、複雑なケースであれば70%くらい予想がつけば良いのではないかと思っています。(人間だってそんなもんでしょう。。。)

一つ一つのステップで99.99%予想がつけば、直列的な思考で1000ステップ踏んでも90%は予測がつくことにはなりますね。。。

と前置きが長くなりましたが、、、

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.05.06 BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen

BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen BSI、AIシステムの監査可能性の現状に関する白書を発行
Künstlich Intelligente (KI) Systeme spielen eine immer größer werdende Rolle als automatisierte Entscheidungs- und Kontrollsysteme in verschiedenen, zum Teil sicherheitskritischen Anwendungsbereichen. Hierzu gehören u. a. autonome Fahrzeuge und biometrische Zugangskontrollsysteme. Neben den immensen Chancen, die sich durch den Einsatz von KI-Technologie eröffnen, ergeben sich gleichzeitig zahlreiche, qualitativ neue Probleme hinsichtlich u. a. der Sicherheit, der Robustheit und der Vertrauenswürdigkeit. Um diesen Problemen angemessen zu begegnen, wird eine Rahmenstruktur für die Prüfung von KI-Systemen benötigt, die neben Prüfstrategien und -werkzeugen auch entsprechende Standards umfasst. Diese Strategien, Werkzeuge und Standards sind aktuell noch nicht hinreichend für den praktischen Einsatz verfügbar. 人工知能(AI)システムは、様々なアプリケーション分野において、自動化された意思決定や制御システムとしての役割がますます高まっており、その中には安全性が求められるものもあります。これらには、自律走行車や生体認証アクセス制御システムなどが含まれます。AI技術の活用によってもたらされる大きな可能性がある一方、セキュリティ、堅牢性、信頼性などについて、質的に新しい問題が同時に数多く発生します。これらの問題に適切に対処するためには、テスト戦略、ツール、標準を含む、AIシステムのテストのフレームワークが必要です。これらの戦略、ツール、基準は、現状ではまだ十分に実用化されていません。
Basierend auf einem gemeinsam vom BSI, vom Verband der TÜVs (VdTÜV) und vom Fraunhofer HHI ausgetragenen internationalen Expertenworkshop im Oktober 2020 wurde nun, zusammen mit zahlreichen nationalen und internationalen Experten, ein Whitepaper zum aktuellen Stand, offenen Fragen und zukünftig wichtigen Aktivitäten bezüglich der Prüfbarkeit von KI-Systemen verfasst. Das Whitepaper beleuchtet verschiedene Aspekte der Sicherheit von KI-Systemen, u.a. deren Lebenszyklus, Online-Lernverfahren, qualitativ neue Angriffe, mögliche Verteidigungsmaßnahmen, Verifikation, Prüfung, Interpretation und Standardisierung. Bei all diesen Betrachtungen wird deutlich, dass es zahlreiche Zielkonflikte zwischen den gewünschten Eigenschaften eines operativen KI-Systems einerseits und den Eigenschaften des KI-Modells, der ML-Algorithmen, der Daten und weiteren Randbedingungen gibt, die letztlich die Skalierbarkeit und Generalisierbarkeit von sicher prüfbaren KI-Systemen beschränken. Basierend auf zwei grundlegenden Strategien zur Verbesserung der Prüfbarkeit, Sicherheit und Robustheit von KI-Systemen, d.h. einerseits der Schaffung verbesserter Rahmenbedingungen und andererseits der erhöhten Investition in Forschung und Entwicklung, werden Lösungsvorschläge und -ideen zur Mitigation der bekannten Probleme benannt, bewertet und Folgeschritte vorgeschlagen. このたび、2020年10月にBSI、ドイツ技術検査機関協会(VdTÜV)、フラウンホーファーHHIが共同で開催した国際専門家ワークショップをもとに、国内外の多数の専門家とともに、AIシステムのテスト可能性に関する現状、未解決の問題、今後の重要な活動についてホワイトペーパーを作成しました。この白書では、AIシステムのライフサイクル、オンライン学習方法、質的に新しい攻撃、考えられる防御策、検証、テスト、解釈、標準化など、AIシステムのセキュリティに関するさまざまな側面を紹介しています。これらの考察から、運用可能なAIシステムに求められる特性と、AIモデルの特性、MLアルゴリズム、データ、その他の制約との間には、数多くのトレードオフがあり、最終的には安全にテスト可能なAIシステムのスケーラビリティとジェネラビリティを制限していることが明らかになりました。AIシステムのテスト可能性、セキュリティ、堅牢性を向上させるための2つの基本的な戦略、すなわち、一方では改善されたフレームワーク条件の作成、他方では研究開発への投資の増加に基づいて、既知の問題を軽減するための提案されたソリューションとアイデアが挙げられ、評価され、フォローアップのステップが提案されています。

 

白書は英語です(^^)

・[PDF] Towards Auditable AI Systems - Current status and future directions

20210507-64522

目次です。。。

1 AI systems: opportunities and challenges 1 AIシステム:機会と課題
2 Auditability of AI systems: state of the art 2 AIシステムの監査可能性:技術の現状
2.1 Life Cycle 2.1 ライフサイクル
2.2 Online learning and model maintenance in the presence of non-stationary environments. 2.2 非定常環境下でのオンライン学習とモデルメンテナンス
2.3 Attack & Defense 2.3 攻撃と防御
2.3.1 Adversarial Machine Learning 2.3.1 敵対的機械学習(Adversarial Machine Learning
2.3.2 Backdoor Attacks on DNNs 2.3.2 DNNに対するバックドア攻撃
2.3.3 Detection of and Defenses against attacks on DNNs 2.3.3 DNNへの攻撃の検知と防御方法
2.4 Verification of AI systems 2.4 AIシステムの検証
2.5 Auditing safety-critical AI systems 2.5 安全性が求められるAIシステムの監査
2.6 Explaining Black Box AI Models 2.6 ブラックボックスAIモデルの説明
2.7 Overview of AI standardization activities worldwide 2.7 世界のAI標準化活動の概要
3 Open Issues and Promising Approaches 3 未解決の課題と有望なアプローチ
4 Setting Priorities for Work Towards Auditable AI Systems 4 監査可能なAIシステムに向けた作業の優先順位設定
5 References 5 参考文献

 

仮訳です。。[DOCX]

 


■ 参考

養老さんの本は読みやすいです...

● 書籍 - Kindle版

AIの壁 人間の知性を問いなおす 養老 孟司  (PHP新書) 

 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

 

 

| | Comments (0)

2021.05.06

ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法

こんにちは、丸山満彦です。

ENISAがコネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法についての報告書を公開していますね。。。CAMが直面するサイバーセキュリティ上の課題の分析と、課題を軽減するための実行可能な提言が書かれています。。。

自動車産業は急速にEVシフト、自動運転シフトが進んでいくと思いますので、技術動向に合わせて規制がどうあるべきかも含めて検討を進めていくことが重要ですよね。。。人類共通の人命に関わる問題なので、仲良く決められると良いですね。。。

● ENISA

・2021.05.05 (news) How to Secure the Connected & Automated Mobility (CAM) Ecosystem

The European Union Agency for Cybersecurity discloses an in-depth analysis of the cybersecurity challenges faced by the CAM sector and provides actionable recommendations to mitigate them.

報告書の概要は...

Which challenges does the report identify? 報告書ではどのような課題が指摘されていますか?
The report published today provides recommendations for each challenge identified, such as: 本日発表された報告書では、特定された課題ごとに以下の提言を示しています。
Governance and cybersecurity integration into corporate activity 企業活動におけるガバナンスとサイバーセキュリティの統合
Cybersecurity governance in the CAM ecosystem represents an organisational and technical challenge for all stakeholders concerned. Recommendations given include: CAMエコシステムにおけるサイバーセキュリティのガバナンスは、すべての関係者にとって組織的・技術的な課題です。提言は以下の通りです。
・promote the integration of cybersecurity along with digital transformation at the board level in the organisation; ・組織内の役員レベルで、デジタルトランスフォーメーションとともに、サイバーセキュリティの統合を推進する。
・promote procurement processes to integrate cybersecurity risk-oriented requirements. ・サイバーセキュリティのリスク指向の要件を統合するための調達プロセスを促進する。
Technical complexity in the CAM ecosystem CAMエコシステムにおける技術的な複雑さ
Dependencies, interactions and supply chain management in this sector are a well-known challenge acknowledged by the majority of the actors involved. Recommendations given include: この分野における依存関係、相互作用、サプライチェーンマネジメントは、関係者の大半が認める周知の課題です。提言は以下の通りです。
・promote the use of suitable certification schemes; ・適切な認証スキームの使用を促進する。
・promote security assessment for both on-board and off-board solutions and standardise the discovery and remediation of vulnerabilities during the lifetime of the product. ・オンボードおよびオフボードソリューションのセキュリティ評価を促進し、製品のライフタイムにおける脆弱性の発見と修正を標準化する。
Lack of expertise and skilled resources for CAM cybersecurity CAMのサイバーセキュリティに関する専門知識と熟練した人材の不足
The lack of human resources with expertise in cybersecurity on the market is a major obstacle that hinders the adoption of security measures specific to CAM products and solutions. サイバーセキュリティの専門知識を持つ人材が市場に不足していることが、CAM製品やソリューションに特化したセキュリティ対策の採用を妨げる大きな障害となっています。
・encourage cross-functional security and safety knowledge exchange between IT/OT and mobility experts respectively; ・IT/OTとモビリティの専門家の間で、機能横断的なセキュリティと安全の知識交換を促進する。
・introduce programmes at schools and universities to address the lack of security and safety knowledge across the industry. ・業界全体におけるセキュリティと安全に関する知識の不足を解消するため、学校や大学でプログラムを導入する。
Such challenges are only an example of the important challenges addressed in the ENISA Report – Recommendations for the Security of Connected and Automated Mobility (CAM). このような課題は、ENISAレポート「Connected and Automated Mobility (CAM)のセキュリティに関する提言」で取り上げられている重要な課題の一例に過ぎません。

報告書は...

・2021.05.05 (publish) Recommendations for the security of CAM

・[PDF] Recommendations for the security of CAM

20210506-50611

1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査の目的と範囲
1.2 TARGET AUDIENCE 1.2 対象者
1.3 DOCUMENT STRUCTURE 1.3 ドキュメントの構成
2. CYBERSECURITY CHALLENGES AND RECOMMENDATIONS IN THE CAM AREA 2. CAM領域におけるサイバーセキュリティの課題と提言
2.1 GOVERNANCE AND CYBERSECURITY INTEGRATION INTO CORPORAT ACTIVITIES 2.1 企業活動におけるガバナンスとサイバーセキュリティの統合
2.2 LACK OF TOP MANAGEMENT SUPPORT AND CYBERSECURITY PRIORITISATION 2.2 トップマネジメントの支援とサイバーセキュリティの優先順位付けの欠如
2.3 TECHNICAL COMPLEXITY IN THE CAM ECOSYSTEM 2.3 CAMエコシステムにおける技術的複雑さ
2.4 TECHNICAL CONSTRAINTS FOR IMPLEMENTATION OF SECURITY INTO CAM 2.4 CAMにセキュリティを実装する際の技術的制約
2.5 FRAGMENTED REGULATORY ENVIRONMENT 2.5 断片化された規制環境
2.6 LACK OF EXPERTISE AND SKILLED RESOURCES FOR CAM CYBERSECURITY 2.6 CAMのサイバーセキュリティに関する専門知識と熟練したリソースの不足
2.7 LACK OF INFORMATION SHARING AND COORDINATION ON SECURITY ISSUES AMONG THE CAM ACTORS  2.7 CAM関係者の間でのセキュリティ問題に関する情報共有と調整の欠如 

 


参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.20 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

・2021.04.10 欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました

・2020.04.30 NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

・2020.03.31 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

少し古くなりますが・・・

・2016.10.26 U.S. DOT issues Federal guidance to the automotive industry for improving motor vehicle cybersecurity

・2012.06.21 IPA 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開 ~ネットワーク化・オープン化の進む自動車にセキュリティを~

・2012.04.25 自動車のオープンソース化は危険ではないか、という意見

 

 

| | Comments (0)

2021.05.05

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

運用における標準約款契約を含む国際的多層委託モデルが複数存在し、かつオンプレ環境もある状況が当たり前になってくる中で、インシデント対応はより複雑になってきますよね。。。これ、日本語化してくれるといいかもですね。。。

● Cloud Security Alliance

・2021.05.04 (press) Cloud Security Alliance’s New Cloud Incident Response Framework Serves as Transparent, Common Blueprint Through Which to Share Best Practices

・2021.05.04 (published) Cloud Incident Response Framewor

Key Takeaways: Key Takeaways
How to effectively manage cloud incidents through the entire lifecycle of a disruptive event, including: 破壊的イベントのライフサイクル全体を通して、クラウド・インシデントをいかに効果的に管理するかについての
・Preparation ・準備
・Detection and analysis ・検知と分析
・Containment, eradication, and recovery ・封じ込め、根絶、回復
・Post-mortem ・事後処理
How to coordinate and share information with stakeholders and other organizations ステークホルダーや他の組織といかに調整や情報共有をするか
Who It’s For: 想定読者
All cloud customers すべてのクラウド利用者
Cloud service providers who need a clear framework for sharing incident response practices with customers インシデント対応方法を利用者と共有するための明確なフレームワークを必要とするクラウドサービスプロバイダー

 

20210505-53437

Table of Contents 目次
1. Introduction  1. 序文
Purpose  目的
Target Audience 想定読者
2. Normative References 2. 規範となる文献
3. Definitions 3. 定義
4. CIR Overview 4. CIRの概要
5. CIR Framework 5. CIRの枠組み
5.1 Phase 1: Preparation and Follow-on Review 5.1 フェーズ1:準備とフォローオンレビュー
5.1.1 Documentation 5.1.1 文書化
5.2 Phase 2: Detection and Analysis 5.2 フェーズ2:検知と分析
5.2.1 Inducement 5.2.1 誘引
5.2.1.1 Cause of Cloud Incident 5.2.1.1 クラウドインシデントの原因
5.2.1.2 Signs of an Incident 5.2.1.2 インシデントの兆候
5.2.1.3 Common Sources of Precursors and Indicators 5.2.1.3 前兆と指標の一般的な情報源
5.2.2 Incident Analysis to Determine Impacts 5.2.2 影響を決めるためのインシデント分析
5.2.2.1 Incident Analysis 5.2.2.1 インシデントの分析
5.2.2.2 Incident Notification 5.2.2.2 インシデントの通知
5.2.2.2.1 Incident Notification Timing 5.2.2.2.1 インシデントの通知タイミング
5.2.2.3 Incident Impacts 5.2.2.3 インシデントの影響
5.2.3 Evidence Gathering and Handling 5.2.3 証拠の収集と処理
5.3 Phase 3: Containment, Eradication, and Recovery 5.3 フェーズ3:封じ込め、根絶、回復
5.3.1 Choosing a Containment Strategy 5.3.1 封じ込め戦略の選択
5.3.2 Eradication and Recovery 5.3.2 封じ込めと回復
5.4 Phase 4: Post-Mortem 5.4 フェーズ4:事後処理
5.4.1 Incident Evaluation 5.4.1 インシデントの評価
5.4.1.1 Incident Evaluation Metrics 5.4.1.1 インシデントの評価指標
5.4.1.2 Incident Classification 5.4.1.2 インシデントの分類
5.4.2 Incident Closing Report 5.4.2 インシデントの終結報告
5.4.2.1 Lessons Learned 5.4.2.1 学んだ教訓
5.4.3 Incident Evidence Retention 5.4.3 インシデントの証拠の保持
6. Coordination and Information Sharing 6. 連携と情報共有
6.1 Coordination 6.1 コーディネーション
6.1.1 Coordination Relationships 6.1.1 協調関係
6.1.2 Sharing Agreements and Reporting Requirements 6.1.2 共有契約及び報告要件
6.2 Information-Sharing Techniques 6.2 情報共有の手法
6.3 Granular Information Sharing 6.3 概要レベルの情報共有
6.3.1 Business Impact Information 6.3.1 ビジネスインパクト情報
6.3.2 Technical Information 6.3.2 技術情報
6.4 Table-Top Exercises and Incident Simulations 6.4 テーブルトップ演習とインシデントシミュレーション
7. Summary 7. まとめ

 

 

| | Comments (0)

カナダ サイバーセキュリティセンター がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター (Canadian Centre for Cyber Security) がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

多少の専門的な知識があることが前提となるとは思いますが、比較的平易に説明されていると思います。が、Bluetoothのガイダンスで記載されている内容は、利用者にとっては厳し目に感じるかもしれませんが、個人使用ではなく、組織の重要な情報を扱う端末での利用を考えると思いますので、、、

 

● Canadian Centre for Cyber Security

・2021.05.03 Using Encryption to Keep Your Sensitive Data Secure (ITSAP.40.016)

The cccs recommends CCCSの推奨事項
Evaluate the sensitivity of your information (e.g. personal and proprietary data) to determine where it may be at risk and implement encryption accordingly. 情報の機密性(個人情報や非公開専有情報など)を評価し、どこにリスクがあるかを判断し、それに応じて暗号化を導入する。
Choose a vendor that uses standardized encryption algorithms (e.g. CC and CMVP supported modules). 標準化された暗号化アルゴリズムを使用しているベンダーを選択する(例:CCおよびCMVP対応モジュール)。
Review your IT lifecycle management plan and budget to include software and hardware updates for your encryption products. ITライフサイクル管理計画と予算を見直し、暗号化製品のソフトウェアおよびハードウェアの更新を含める。
Update and patch your systems frequently. システムを適時に更新し、パッチを当てる。

20210505-51102

 

・2021.05.03 Using Bluetooth Technology (ITSAP.00.011)

Summary of security tips セキュリティに関する注意事項のまとめ
Keep all Bluetooth devices up to date (e.g. phones, headphones, keyboards, gaming equipment) すべてのBluetooth機器を最新の状態に保つ(例:携帯電話、ヘッドホン、キーボード、ゲーム機など)
Turn off Bluetooth when you’re not using itFootnote* Bluetoothを使用しないときは、Bluetoothをオフにする。
Turn off discovery mode when you’re not connecting devices デバイスを接続していないときはディスカバリーモードをオフにする
Avoid pairing devices in public spaces 公共の場でのデバイスのペアリングを避ける
Pair only with devices that you know and trust 知っていて信頼できるデバイスとのみペアリングする
Never transfer sensitive information over Bluetooth 機密情報をBluetoothで転送しない
Avoid using Bluetooth-enabled keyboards to enter sensitive information or passwords Bluetooth対応のキーボードを使って機密情報やパスワードを入力しない
Remove lost or stolen devices from your list of paired devices 紛失または盗難にあったデバイスをペアリング済みデバイスのリストから削除する
Delete all stored data and devices from Bluetooth enabled cars Bluetooth対応車から保存されたデータやデバイスをすべて削除する
Avoid pairing devices with rental cars レンタカーとデバイスのペアリングを避ける

 

20210505-51225

| | Comments (0)

2021.05.04

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

こんにちは、丸山満彦です。

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

● ISACA

・2021.04.29 (white paper) Blockchain Risk - Considerations for Professionals

・[PDF] [downloaded

20210504-91154

 

RD # Risk Domain リスクドメイン RSD # Risk Subdomain リスクサブドメイン
R-1 Governance ガバナンス R-1.01 Design デザイン
      R-1.02 Policies and Procedures 方針と手続き
R-2 Infrastructure インフラ R-2.01 Software Vulnerabilities ソフトウェアの脆弱性
      R-2.02 Protocol Management プロトコルの管理
      R-2.03 Consensus Mechanism 合意形成メカニズム
      R-2.04 Data Management データ管理
      R-2.05 Interoperability 相互運用性
      R-2.06 Integration 統合
R-3 Data データ R-3.01 Data Integrity データインテグリティ
      R-3.02 Access Rights アクセス権
      R-3.03 Blockchain Bloat ブロックチェーンの肥大化
      R-3.04 Nonstandard Transactions 標準外の取引
      R-3.05 Data Output データ出力
      R-3.06 Out-of-Range Data 範囲外のデータ
      R-3.07 Orphan Address 孤立したアドレス
R-4 Key Management 鍵管理 R-4.01 Insufficient Entropy 不完全なエントロピー
      R-4.02 Key Creation Methodology Validation 鍵の作成方法の検証
      R-4.03 Key Ceremony 鍵の儀式
      R-4.04 Third-party Created Keys 第三者が作成した鍵
      R-4.05 In-use Key Security 使用中の鍵のセキュリティ
      R-4.06 Key Encryption When Not In Use 未使用時の鍵の暗号化
      R-4.07 Key Backup Existence 鍵のバックアップの有無
      R-4.08 Geographic Key Backups 地理的な鍵のバックアップ
      R-4.09 Key Backup Access Controls 鍵のバックアップ アクセス制御
      R-4.10 Key Backup Environmental Protection 鍵のバックアップの環境保護
      R-4.11 Key Compromise Protocol キーコンプロマイズプロトコル
      R-4.12 Keyholder Grant/Revoke Policies 鍵の所有者への許可/取り消しポリシー
      R-4.13 Usage of Known Identifiers 既知の識別子の使用
      R-4.14 SMS Used as 2FA 2FAとしてSMSの使用
      R-4.15 Multisig Implementation マルチシグの実装
      R-4.16 Strong Encryption 強力な暗号化
      R-4.17 HSM Settings HSMの設定
      R-4.18 Recovery Process 回復プロセス
      R-4.19 Hardware Wallet Used for Cold Storage ハードウェアウォレットを使ったコールドストレージ
R-5  Smart Contracts スマート契約 R-5.01 Governance Risk ガバナンスリスク
      R-5.02 Design Risk 設計リスク
      R-5.03 External Interaction Risk 外部とのやりとりのリスク
      R-5.04 Manipulation/Denial of Service Risk 操作/サービス拒否リスク

 

エクセルにしたものです・・・

[xlsx]

| | Comments (0)

2021.05.03

U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

こんにちは、丸山満彦です。

米国の「サイバーセキュリティ・インフラセキュリティ庁」 (Cybersecurity & Infrastracture Security Agency: CISA) が偽情報・誤情報の脅威とその対応方法についての漫画を2つ公開しています。

漫画はいかにもアメリカンな感じですが、参考になると思います。。。

CISA - RESILIENCE SERIES GRAPHIC NOVELS

2020年10月に公表された1作目です。

GRAPHIC NOVEL: REAL FAKE 

Real Fake, the first graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with dis- and misinformation through fictional stories that are inspired by real-world events. CISAのResilienceシリーズの最初のグラフィックノベル「Real Fake」は、現実の出来事から着想を得た架空の話を通して、偽情報や誤情報にまつわる危険性やリスクを伝えています。
Readers follow protagonists Rachel and Andre as they discover that a command center in Russia is using a network of troll farms to spread false narratives about elections to American voters. With the elections coming up, Rachel and Andre follow the trail of synthetic media and stop the cyber assailants from causing chaos, confusion, and division. 主人公のレイチェルとアンドレは、ロシアの司令部がトロールファーム [wikipedia] のネットワークを使って、アメリカの有権者に選挙に関する誤った情報を流していることを見つけます。選挙を間近に控えたレイチェルとアンドレは、合成メディア [wikipedia] の痕跡を追い、カオス、混乱、分裂を引き起こすサイバー攻撃者たちを阻止します。

・[PDF] Graphic Novel: 11.6 MB

20210503-64005

・[PDF] Script


2021.04.28に公表された2作目です。

GRAPHIC NOVEL: BUG BYTES

Bug Bytes, the second graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with threat actors using social media and other communication platforms to spread mis-, dis-, and malinformation (MDM) for the sole purpose of planting doubt in the minds of targeted audiences to steer their opinion. CISAの「Resilience Series」の2作目となるグラフィックノベル「Bug Bytes」は、ソーシャルメディアやその他のコミュニケーションプラットフォームを利用して、標的となる人々の心に疑念を植え付け、意見を誘導することを唯一の目的として、誤情報、偽情報、悪意のある情報(MDM)を広める脅威にまつわる危険性とリスクを伝える作品です。
Readers follow protagonist Ava who uses her wits and journalism skills to uncover a disinformation campaign set to damage 5G critical communications infrastructure in the United States. 主人公のエヴァは、知恵とジャーナリズムスキルを駆使して、米国の5G重要通信インフラにダメージを与えるための偽情報キャンペーンを明らかにしていきます。

・[PDF] Graphic Novel: 15.2 MB

20210503-64219

・[PDF] Script

 

| | Comments (0)

中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260が、顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) 情報セキュリティ標準化技術委員会

2021.04.28 国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件 DOCX
2021.04.28 国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件 PDF
2021.04.23 国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件 DOCX

 

国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件
前言  序文
1 范围  1 範囲
2 规范性引用文件  2 規範となる引用文書
3 术语和定义  3 用語と定義 
4 概述  4 概要 
4.1 声纹识别数据活动典型场景  4.1 音声認識データ活動の典型的なシナリオ 
4.2 声纹识别应用场景  4.2 声紋認証の利用シーン 
4.3 科学实验场景  4.3 科学実験のシナリオ 
4.4 非声纹识别的语音应用场景  4.4 非音声認識音声アプリケーションのシナリオ 
5 基本安全要求  5 基本的なセキュリティ要件 
6 安全处理要求  6 安全な処理の要件 
6.1 通用安全处理要求  6.1 一般的なセキュリティ処理の要件 
6.2 声纹识别应用场景安全处理要求  6.2 音声認識アプリケーションシナリオのセキュリティ処理要件 
6.3 科学实验场景安全处理要求  6.3 科学実験シナリオにおけるセキュリティ処理の要件 
6.4 非声纹识别的语音应用场景安全处理要求  6.4 音声認識以外の音声アプリケーションシナリオのセキュリティ処理要件 
7 安全管理要求 7 セキュリティ管理の要件
附录A (资料性) 声纹识别数据活动的典型场景 附属書A(参考)音声認識データ活動の典型的なシナリオ
A.1 声纹识别应用场景 A.1 音声認識アプリケーションのシナリオ
A.2 科学实验场景 A.2 科学実験のシナリオ
A.3 非声纹识别的语音应用场景 A.3 非音声認識音声アプリケーションのシナリオ
附录B (资料性) 声纹识别数据安全风险分析  附属書B (参考) 音声認識データのセキュリティリスク分析 
B.1 共性风险  B.1 一般的なリスク 
B.2 特性风险  B.2 特徴的なリスク 
附录C (资料性) 科学实验场景知情同意书示例  附属書C(参考) 科学実験シナリオのためのインフォームド・コンセント・フォームの例 
参考文献  参考文献 
   
国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件
前言  序文
1 范围 1 範囲
2 规范性引用文件 2 規範となる引用文書
3 术语和定义 3 用語と定義
4 概述 4 概要
4.1 步态识别数据活动典型场景 4.1 歩行認識データ活動の典型的なシナリオ
4.2 场景分类  4.2 シナリオ分類 
4.3 数据控制者  4.3 データコントローラ 
5 基本安全要求  5 基本的なセキュリティ要件 
6 步态识别数据安全处理要求  6 歩行認識データの安全な処理条件 
6.1 通用安全处理要求  6.1 一般的なセキュリティ処理の要件 
6.2 身份识别应用场景  6.2 識別アプリケーションのシナリオ 
6.3 非身份识别场景  6.3 非識別化シナリオ 
6.4 科研场景  6.4 科学研究のシナリオ 
7 步态识别数据安全管理要求  7 歩行認識データのセキュリティ管理要件 
附录 A (资料性) 步态识别数据活动的典型场景  附属書A(参考) 歩行認識データの活動に関する典型的なシナリオ 
A.1 身份识别应用场景  A.1 識別アプリケーションのシナリオ 
A.2 非身份识别应用场景  A.2 非識別アプリケーションのシナリオ 
A.3 科研场景  A.3 科学研究のシナリオ 
附录 B (资料性) 步态识别数据常见安全风险  附属書B(参考) 歩行認識データに共通するセキュリティリスク 
B.1 常见安全风险  B.1 一般的なセキュリティリスク 
B.2 常见安全风险与条款对照表  B.2 一般的なセキュリティリスクと用語の比較表 
附录 C (资料性) 科学实验场景知情同意书示例  附属書C(参考) 科学実験シナリオのためのインフォームド・コンセント・フォームの例
参考文献  参考文献
   
国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件
前言 序文
1 范围 1 スコープ
2 规范性引用文件 2 基準となる文献
3 术语和定义 3 用語と定義
4 概述 4 概要
5 基本安全要求 5 基本的な安全要件
6 安全处理要求 6 安全な取り扱いの要件
7 安全管理要求 7 安全管理の要件
参考文献 参考文献

20210502-234126


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

| | Comments (0)

2021.05.02

デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

こんにちは、丸山満彦です。

AIによる画像認識については、欧米を中心に大変関心が高まっていますが、中国の中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)がデジタルチャイナの情報セキュリティ・プライバシーに対する記事(原典:经济日报)を紹介していますね。。。(2021.04.14)

基本はプライバシーをちゃんと確保しましょうということです。。。

中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

・2021.04.14 经济日报:信息安全保护任重道远——建设数字中国系列述评之三

 

興味深いです。。。

1_20210502070401

| | Comments (0)

100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

こんにちは、丸山満彦です。

100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)となるようですね。。。そして、最も強化するポイン2つのうちの一つはサイバーセキュリティ監査能力。おそらく、政府のデジタル化というかIT利用(AI等も含む)がより進んでいっている結果、それに伴うリスクを低減するための活動にも寄与できるようにするということなんでしょうね。。。

● U.S. GAO

・2021.04.28 Fiscal Year 2022 Budget Request:U.S. Government Accountability Office

20210502-63237

Fast Facts ポイント
In FY 2020, our work yielded $77.6 billion in financial benefits, a return of about $114 for every $1 invested in us. We also identified 1,332 other benefits for the American people. 2020年度、私たちの活動は776億ドル(8.5兆円)の経済的利益をもたらしました。これは、私たちに投資された1ドルにつき約114ドルの利益をもたらしたことになります。また、それ以外にも1,332の米国民にとっての利益を確認しました。
In this testimony before the Senate Subcommittee on the Legislative Branch, Committee on Appropriations, U.S. Comptroller General Gene Dodaro discusses GAO's FY 2022 budget request. In our centennial year, we seek to lay the foundation for our next 100 years. For example, with our requested funding, we will: この証言は、上院の歳出委員会の法制部門小委員会で行われたもので、米国監査院長のジーン・ドダロ氏がGAOの2022年度予算要求について述べています。100周年の今年、私たちは次の100年のための基礎を築こうとしています。例えば、今回要求された予算で、我々は以下のことを行います。
・Expand our work on rapidly evolving science and technology ・急速に発展する科学技術に関する業務を拡大する
・Boost our capacity to review complex cyber security developments ・複雑なサイバーセキュリティ開発を検証する能力を高める
Highlights ハイライト
In fiscal year (FY) 2020, GAO's work yielded $77.6 billion in financial benefits, a return of about $114 for every dollar invested in GAO. We also identified 1,332 other benefits that led to improved services to the American people, strengthened public safety, and spurred program and operational improvements across the government. In March 2021, GAO reported on 36 areas designated as high risk due to their vulnerabilities to fraud, waste, abuse, and mismanagement or because they face economy, efficiency, or effectiveness challenges. In FY 2020 GAO's High Risk Series products resulted in 168 reports, 26 testimonies, $54.2 billion in financial benefits, and 606 other benefits. 2020会計年度(FY)において、GAOの活動は776億ドルの経済的利益をもたらし、GAOへの投資1ドルに対して約114ドルのリターンがあった。また、米国民へのサービス向上、公共安全の強化、政府全体のプログラムや業務改善に拍車をかけた1,332件のその他の利益を確認しました。2021年3月、GAOは、詐欺、無駄、乱用、不正管理に対する脆弱性、または経済性、効率性、有効性の課題に直面していることから高リスクと指定された36分野について報告しました。2020年度のGAOのハイリスクシリーズの成果は、168の報告書、26の証言、542億ドルの財政的利益、606のその他の利益をもたらしました。
In this year of GAO's centennial, GAO's FY 2022 budget request seeks to lay the foundation for the next 100 years to help Congress improve the performance of government, ensure transparency, and save taxpayer dollars. GAO's fiscal year (FY) 2022 budget requests $744.3 million in appropriated funds and uses $50.0 million in offsets and supplemental appropriations. These resources will support 3,400 full-time equivalents (FTEs). We will continue our hiring focus on boosting our Science and Technology and appropriations law capacity. GAO will also maintain entry-level and intern positions to address succession planning and to fill other skill gaps. These efforts will help ensure that GAO recruits and retains a talented and diverse workforce to meet the priority needs of the Congress. GAO創立100周年の今年、GAOの2022年度予算要求は、議会が政府のパフォーマンスを改善し、透明性を確保し、納税者のドルを節約するのを助けるために、次の100年のための基礎を築くことを目指しています。GAOの2022年度予算は、7億4,430万ドル(約820億円)の予算を要求し、5,000万ドルのオフセットと追加予算を使用しています。これらのリソースは、3,400人相当(FTE)をサポートします。GAOは、科学技術と予算法の能力を高めることに重点を置いた採用を継続します。またGAOは、後継者育成やその他のスキルギャップを埋めるために、エントリーレベルやインターンのポジションを維持します。これらの取り組みにより、GAOは議会の優先的なニーズを満たすために、有能で多様な人材を採用し、維持することができます。

 

予算等の推移

20210502-63444

GAO’ requested FY 2022 funding level would enable GAO to continue to increase our capabilities to review the opportunities and challenges associated with evolving science and technology issues; complex and growing cyber security developments; and rising health care costs. GAOが要求した2022年度の予算レベルは、進化する科学技術の問題、複雑で拡大するサイバーセキュリティの発展、医療費の増加に関連する機会と課題を検討するためにGAOの能力を継続的に向上させることができます。
Specifically 特に
Science and Technology. These resources will allow us to expand our science and technology capabilities in accordance with the 2019 plan provided to Congress to bolster our technology assessments and other science and technology (S&T) assistance to Congress, and help ensure that GAO has the bandwidth and expertise to support audits where this expertise is critical in addressing congressional priorities. 科学技術。これらのリソースにより、議会に提供された2019年の計画に従って科学技術能力を拡大し、技術評価やその他の議会への科学技術(S&T)支援を強化することができ、議会の優先事項に対処する上で重要な監査をサポートするための幅と専門知識をGAOが確保するのに役立ちます。
CyberSecurity. GAO will continue to expand our expertise and ability to assess the cybersecurity challenges facing the Nation, including assessments of the implementation of the National Cyber Strategy, government global cyberspace strategies, and government and private sector efforts to address the impact of the SolarWinds intrusion. サイバーセキュリティ。GAOは、国家サイバー戦略の実施、政府のグローバルサイバースペース戦略、SolarWinds侵入の影響に対処するための政府と民間企業の取り組みの評価など、国家が直面するサイバーセキュリティの課題を評価するための専門知識と能力を引き続き拡大していきます。
Health Care Spending. GAO will continue to examine the sustainability and integrity of the Medicare and Medicaid programs and to oversee VA, DOD, and Indian Health Service health care services. Health care spending now accounts for over 25 percent of the federal budget and is one of the fastest growing federal expenditures. 医療費の支出。GAOは、メディケアとメディケイドプログラムの持続可能性と完全性の調査、およびVA、DOD、インディアンヘルスサービスのヘルスケアサービスの監督を継続します。医療費は現在、連邦予算の25%以上を占めており、最も急速に増加している連邦支出の一つです。

 

 

一定げずられるでしょうが、増えていますね。。。

 

 

 

日本の会計検査院(令和3年)と比較してみましょう、、、

  GAO 会計検査院
Gene Dodaro 森田祐司
設置 1921年 1880年
人数 約3400名(FTE) 約1250名(2020.12)
予算 2022年度 要求 744 M US$ (約820億円) 概算決定 約168億円
予算 2019年度 637 M US$ (約700億円) 約177億円

GDP比的に見ても米国は厚い陣容です。。。

ちなみに、現在の会計検査院長の森田さんは、私がトーマツに入った時の上司で最初の結婚式の仲人的な方です。システム監査をしておられて、ISACAに入るきっかけになった方でもあります(^^)。

あれっ、日本は2019年度から比較して減少していますね。。。GDP比的に見ても米国は厚い陣容です。。。

 


■ 参考

● 会計検査院 - 会計検査院の予算・決算 -令和3年度予算 

 

 

 

| | Comments (0)

2021.05.01

Cloud Security Alliance APIを提供・利用するためのセキュリティガイドライン

こんにちは、丸山満彦です。

Cloud Security Allianceが、「APIを提供・利用するためのセキュリティガイドライン」を公表していますね。。。

そういえば、本日のお昼ごろは暗号資産関係の方と少し話をしておりました。。。

Cloud Security Alliance: CSA

・2021.04.30 Security Guidelines for Providing and Consuming APIs

・[PDF]は簡単な質問に答えると入手できます。

20210501-90842

Introduction はじめに
Purpose of This Document この文書の目的
 Document Terminology  用語
 Document Scope  文書の範囲
 Target Audience  想定読者
 Overview  概要
Part 1: Risk Evaluation Part 1: リスク評価
Part 2: Security Checklist Part 2: セキュリティチェックリスト
 API Security Guidelines  APIセキュリティガイドライン
 Section 1: Design for Ingress API Connectivity   セクション1:Ingress API接続の設計 
 Section 2: Design for Egress API Connectivity  セクション2:Egress API接続の設計
Final Thoughts 最終的な考え
Appendix A: Mapping OWASP API Top Ten to Section 1 Controls 附属書A:OWASP API Top Tenとセクション1のコントロールのマッピング
Appendix B: Third-Party Integration – Non-API Access Security Guidelines 附属書B:サードパーティとの統合 - 非 API アクセスセキュリティガイドライン
Appendix C: SaaS Marketplace Integration 附属書C:SaaS マーケットプレイスの統合
Appendix D: Mapping to Other CSA Resources 附属書D:CSA の他のリソースへのマッピング
Further Reading 参考文献

| | Comments (0)

U.K. 王立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

こんにちは、丸山満彦です。

英国の王立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。前のバージョンは2019年に4月でしたから2年ぶりの更新です。記述が増えましたね(^^)

U.K. National Audit Office: NAO

・2021.04.30 Guidance for audit committees on cloud services


このガイダンスでは、クラウドサービスの概要と、その利用に関する政府の方針を説明しています。その上で、監査委員会が経営陣と関わる際に、3つの段階で質問することを検討するための具体的な質問を示しています。

  • クラウドサービスの評価:組織戦略やデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環としてクラウドサービスを検討する。
  • クラウドサービスの導入:システム構成、データ移行、サービスのリスクとセキュリティを考慮する。
  • クラウドサービスの管理と最適化:運用上の考慮点、第三者による保証の必要性、本番稼動を管理するために必要な能力を説明する。

本ガイダンスは、他で配布されている詳細なクラウド・ガイダンスを参照・補完するものです。


ということのようです。。。

・[PDF] Guidance for audit committees on cloud services

20210430-235829

目次

Foreword 序文
Introduction はじめに
 Why this requires attention  なぜこれが必要なのか
 What is government policy on cloud services?  クラウドサービスに関する政府の政策とは?
 Other guidance available  その他のガイダンス
An overview of cloud services クラウドサービスの概要
 Pricing of cloud services  クラウドサービスの価格
 Legacy systems  従来のシステム
 Lock-in and exit strategy  ロックインと出口戦略
Part One: Assessment of cloud services 第1部:クラウドサービスの評価
 Digital strategy  デジタル戦略
 Business case  ビジネスケース
 Due diligence  デューディリジェンス
Part Two: Implementation of cloud services 第2部:クラウドサービスの導入
 System configuration  システム構成
 Risk and security  リスクとセキュリティ
 Implementation  実装
Part Three: Management and optimisation of cloud services  第3部:クラウドサービスの管理と最適化 
 Operations  運用
 Assurance  保証
 Capability  キャパシティ
Appendix One: National Cyber Security Centre guidance 附属書1:王立サイバーセキュリティセンターのガイダンス
Appendix Two: Assurance arrangements: Service Organisation Controls(SOC) reports, Cyber Essentials and ISO 27001 附属書2:保証体制:Service Organisation Controls(SOC)レポート、Cyber Essentials、ISO 27001

 

2019年4月に初版が公表された時のページです。

・2019.04.24 Guidance for audit committees on cloud services

20210501-00430

 

2018年5月に監査委員会向けの啓発をした時のページです。

・2018.05.24 Transformation guidance for audit committees


このガイダンスは、監査委員会が、経営陣が変革によって何を意図しているのか、サービスはどのように変化するのか、そして目的を達成するための戦略を明確にすることを促すためのものです。本ガイダンスでは、3つの段階での質問と、注目すべき証拠や指標を示しています。

  • セットアップ:ビジョン、戦略、ガバナンス、アーキテクチャ、および変革の進化する性質を含みます。
  • 提供:変更と実装、およびサービスとパフォーマンスの管理をカバーします。
  • 実運用と便益の実現:人、プロセス、技術を対象とします。

変革においてデータが中心的な役割を果たすことを踏まえ、本ガイダンスでは、監査委員会がデータの役割と管理について質問できる項目も用意されています。


20210501-60920

 

2017年に監査委員会向けにサイバーセキュリティについて発表した資料

・2017.09.13 Cyber security and information risk guidance for Audit Committees


以下をカバーする質問と問題のチェックリストを提供します。

  • サイバーセキュリティとリスク管理についての全体的なアプローチ
  • サイバーセキュリティを管理するために必要な機能
  • 情報リスク管理、ネットワークセキュリティ、ユーザー教育、インシデント管理、マルウェア保護、監視、在宅およびモバイル作業などの特定の側面
  • クラウドサービスの利用や新しいサービス・テクノロジーの開発などの関連分野

20210501-61608

 

| | Comments (0)

NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

こんにちは、丸山満彦です。

NISTがSP 800-161 Rev. 1 (ドラフト) 「システムと組織のためのサイバー・サプライチェーン・リスク管理の実践」を公表し、意見募集をしておりますね。。。

6月14日に締め切った後、9月に第2次ドラフトを公開する予定ですね。。。ボストンコンサルティングの方がメンバーですね。。。

NIST - ITL - Computer Security Resource Center

・2021.04.29 SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations

 

パブコメの対象は、

Publication: 

・[PDF]  SP 800-161 Rev. 1 (Draft)

20210430-211045

その他参考情報は

Workshop (web)

NIST’s Cyber Supply Chain Risk Management Program (other)

現在の文書

SP 800-161 (web) 

 

Announcement 発表
More than ever, organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks can decrease an enterprise’s visibility into and understanding of how the technology that they acquire is developed, integrated, and deployed. They can also affect and be affected by the processes, procedures, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of products and services. 企業はこれまで以上に、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバーサプライチェーン内での不適切な製造・開発行為による脆弱性に関連するリスクを懸念しています。これらのリスクは、企業が取得したテクノロジーがどのように開発、統合、展開されているかについて、企業の可視性や理解を低下させる可能性があります。また、製品やサービスのセキュリティ、耐障害性、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、実践にも影響を与え、影響を受ける可能性があります。
That is why NIST is inviting comments on a major revision to Cyber Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161). The updates are designed to better help organizations identify, assess, and respond to cyber supply chain risks while still aligning with other fundamental NIST cybersecurity risk management guidance. そのため、NISTは、「システムと組織のためのサイバーサプライチェーンリスクマネジメントの実践」(SP 800-161)の大幅な改訂についてコメントを募集しています。今回の改訂は、NISTの他の基本的なサイバーセキュリティ・リスク管理ガイダンスとの整合性を保ちつつ、組織がサイバー・サプライチェーン・リスクを特定し、評価し、対応するのに役立つように設計されています。
The revision to this foundational NIST publication represents a 1-year effort to incorporate next generation cyber supply chain risk management (C-SCRM) controls, strategies, policies, plans, and risk assessments into broader enterprise risk management activities by applying a multi-level approach. The changes focus on making implementation guidance more modular and consumable for acquirers, suppliers, developers, system integrators, external system service providers, and other information and communications technology (ICT)/operational technology (OT)-related service providers. Additionally, the references have been updated and expanded. このNISTの基本的な出版物の改訂は、次世代のサイバーサプライチェーンリスク管理(C-SCRM)の統制、戦略、方針、計画、リスク評価を、マルチレベルのアプローチを適用することで、より広範な企業のリスク管理活動に組み込むための1年間の取り組みを表しています。今回の変更点は、買収者、供給者、開発者、システムインテグレーター、外部システムサービスプロバイダー、その他の情報通信技術(ICT)/運用技術(OT)関連のサービスプロバイダー向けに、実施ガイダンスをよりモジュール化し、消費可能にすることに重点を置いています。さらに、参考文献も更新・拡充されています。
..... .....
Abstract 概要
Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、サイバー・サプライチェーンにおいて、悪意のある機能が含まれていたり、偽造品であったり、製造や開発の不備により脆弱であったりする製品やサービスに関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。

 

目次 ↓

» Continue reading

| | Comments (0)

2021.04.30

総務省 パブコメ 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集

こんにちは、丸山満彦です。

総務省が、「組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)」に対する意見募集をしていますね。。。

eシールについて、レベルを3段階に分けていますね。。。

 

総務省

・2021.04.30 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集

・[PDF] 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)

20210430-155251

 

・[PDF] eシールに係る指針(案)

20210430-155225



目 次

本指針の目的

第1章 e シールとは
1.1 我が国における e シールの定義
1.2 e シールと電子署名の異同
1.3 e シールのユースケース
1.4 e シールの仕組み
1.5 e シールの方式(ローカル/リモート)
 1.5.1 ローカル e シール
 1.5.2 リモート e シール

第2章 我が国における e シールの在り方
2.1 e シールの分類
2.2 e シール用電子証明書の発行対象となる組織等の範囲
2.3 組織等の実在性・申請意思の確認の方法
2.4 e シール用電子証明書のフォーマット及び記載事項
2.5 認証局/利用者の秘密鍵の管理に係る基準
 2.5.1 認証局の秘密鍵の管理
 2.5.2 利用者の秘密鍵の管理

2.6 e シールを大量に行う際の処理
2.7 リモート e シールにおける認証
 2.7.1 リモート e シールを行う際の認証
 2.7.2 鍵認可で使用する要素の管理

2.8 利用者における e シール用電子証明書の失効要求

おわりに


■ 関連

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.07 備忘録:内閣府 押印手続の見直し・電子署名の活用促進について

・2021.03.12 ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

・2021.02.17 ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

・2021.02.10 内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

・2020.12.25 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.13 JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

・2020.04.21 会社認印電子版?=>総務省 組織が発行するデータの信頼性を確保する制度に関する検討会

・2020.04.16 ENISA eIDと信託サービスにおけるENISAの役割

・2020.03.24 総務省 「タイムスタンプ認定制度に関する検討会」の開催

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

| | Comments (0)

NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

こんにちは、丸山満彦です。

NISCの重要インフラチームがが連休を前に、「ランサムウエアによるサイバー攻撃に関する注意喚起について」を発表していますね。。。


万が一被害に遭った場合は、被害拡大防止の観点から、一人で解決しようとせず、警察など関係機関に御相談ください。


 

NISC

・2021.04.30 [PDF] ランサムウエアによるサイバー攻撃に関する注意喚起について

20210430-154438

 

端末やサーバ等のデータを暗号化し身代金を要求し、身代金を払わない場合は搾取した個人情報や機密情報を公表するぞと脅す、いわゆる二重脅迫が行われるケースも増えてきているので、厄介な問題ですよね。。。

チェックポイント等も記載してくれているので、参考になりますかね。。。

 

会社名 脆弱性 CVE(NIST) 参考URL
Fortinet 製  Virtual Private Network(VPN)装置 CVE-2018-13379 https://www.nisc.go.jp/active/infra/pdf/fortinet20201203.pdf
Ivanti 製  VPN 装置 Pulse Connect Secure CVE-2021-22893
CVE-2020-8260
CVE-2020-8243
CVE-2019-11510
https://blog.pulsesecure.net/pulse-connect-secure-security-update/
Citrix 製 Citrix Application Delivery Controller
Citrix Gateway
Citrix SD-WAN WANOP
CVE-2019-19781 https://support.citrix.com/article/CTX267027
Microsoft  Exchange Server  CVE-2021-26855 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
SonicWall  Secure Mobile Access (SMA) 100 シリーズ CVE-2021-20016 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
QNAP Systems 製  NAS(Network Attached Storage)製品 QNAP CVE-2021-28799
CVE-2020-36195
CVE-2020-2509
https://www.qnap.com/en/security-news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
Microsoft Windows のドメインコントローラー CVE-2020-1472 https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-1472

| | Comments (0)

MITRE ATT&CKのVer 9.0がリリースされましたね。。。

こんにちは、丸山満彦です。

MITRE ATT&CKのVer 9.0がリリースされましたね。。。

主な変更点はブログを見ればわかりやすいと思います。。。、まだ追いきれていませんが...(^^;;

MITRE ATT&CK

概要はBlogがわかりやすいです。

・2021.04.29 Data Sources, Containers, Cloud, and More: What’s New in ATT&CK v9? by Jamie Williams

Updated: A revamp of data sources (Episode 1 of 2) 更新:データソースの刷新(第1話/第2話)
Updated: Some refreshes to macOS techniques 更新:macOSの操作方法を一部変更しました。
New: Consolidation of IaaS platforms 新規: IaaSプラットフォームの統合
New: The Google Workspace platform 新規:Google Workspaceプラットフォーム
New: ATT&CK for Containers (and not the kind on boats) 新規:コンテナ(船の上にあるものではありません)のためののATT&CK

 

詳細はこちら。。。

Updates - April 2021

 

Twitter (MITRE ATT&CK) でも告知されています...

2021.04.29 

 


 

■ 関連

● まるちゃんの情報セキュリティきまぐれ日記

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

NISC 政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)

こんにちは、丸山満彦です。

NISCから、政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)等の発表がありましたね。。。

● NISC

・2021.04.30 [PDF] 政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)【概要資料】 

20210430-145041

・2021.04.30 [PDF] 政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン) 

20210430-144941

 

・2021.04.30 [PDF] 政府機関等における業務でのLINE利用状況調査のまとめについて 

20210430-144948

 

| | Comments (0)

NISC 「政府機関等における情報システム運用継続計画ガイドライン」の改定について

こんにちは、丸山満彦です。

NISCから「政府機関等における情報システム運用継続計画ガイドライン(第3版)」と「同 付録(第2版)」が公表されていますね。。。8年ぶりの改訂ですね。。。


平成24年5月に内閣官房情報セキュリティセンターが改定した「中央省庁における情報システム運用継続計画ガイドライン(以下「本ガイドライン」という。)」について、感染症の流行及び技術動向の変化を踏まえて改定しましたので、お知らせいたします。

...

改訂履歴

  • 2021年4月
      感染症の流行及び技術動向の変化に係る内容を追加し、利便性向上を目的に構成を見直しました。また、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」との整合性を図り、対象組織に独立行政法人及びサイバーセキュリティ戦略本部が指定する法人を加えました。

ということのようです...

 

● NISC

・2021.04.28 政府機関等における情報システム運用継続計画ガイドライン」の改定について

 ・[PDF] 政府機関等における情報システム運用継続計画ガイドライン(第3版)

20210430-143148

 ・[PDF] 同 付録(第2版)

20210430-143201

どこが変わったか見比べないとよくわからない..(^^;;

| | Comments (0)

G7:デジタルと技術 閣僚宣言

こんにちは、丸山満彦です。

G7のデジタル関係大臣によって、6月に開催されるサミットに向けて閣僚宣言が出されていますね。。。議長国が英国だったので、英国政府のウェブページに掲載されていますね。。。

● 2021.04.28 (press) G7 tech leaders agree bold new proposals to boost online safety worldwide

An ambitious vision to put technology at the heart of global efforts to build back better from the pandemic has been signed by the world’s leading democracies.


世界の主要な民主主義国家が、パンデミックからの復興に向けたグローバルな取り組みの中心にテクノロジーを据えるという野心的なビジョンに署名しました。

ということで、日本も入っていますが、日本が取り残されなければ良いですけどね。。。

これから、子供がインターネットに関わっていくことを前提に、子供の保護や、若者の参加なども強調されていますね。。。(附属書3のインターネット安全原則)

 

さらに、海外取引を意識して貿易に関わる証券・手形(金融手形は除く)などの電子化も目指すようですね。(現在はコンテナ船による取引だけで250億の文書が1年間で取り交わされているようです...)

・2021.04.28 (notice) G7 Digital and Technology - Ministerial Declaration



・[PDF] Ministerial Declaration G7 Digital and Technology Ministers’ meeting - 28 April 2021

・G7デジタル・テクノロジー担当大臣会合 閣僚宣言

20210430-81334

・[PDF] Annex 1 - Framework for G7 collaboration on Digital Technical Standards

附属書1:デジタル技術標準に関するG7コラボレーションの枠組み

20210430-81345

・[PDF] Annex 2 - Roadmap for cooperation on Data Free Flow with Trust

附属書2:信頼性のあるデータ自由流通に関するG7コラボレーションのためのロードマップ

20210430-81356

・[PDF] Annex 3 - Internet Safety Principles

附属書3G7インターネット安全原則

20210430-81410

・[PDF] Annex 4 - Framework for G7 collaboration on Electronic Transferable Records

附属書4:電子記録に関するG7コラボレーションの枠組み

20210430-81420





■ 2021.05.01 追記

総務省から発表がありましたね(^^)

仮訳(本文のみ)もあります!

 

・2021.04.30 G7デジタル・技術大臣会合(テレビ会議)の開催結果

仮訳(本文のみ)

 

| | Comments (0)

サイバーセキュリティに関する第3回ARF会期間会合の開催(結果)

こんにちは、丸山満彦です。

ASEAN地域フォーラム (ARF) のサイバーセキュリティに関する第3回会合 (The 3rd ARF Inter-Sessional Meeting on ICTs Security) が開催されたようですね。日本からは赤堀さん(赤堀毅外務省総合外交政策局審議官(国連・サイバー政策担当大使))が参加したようですね。。。

今回の議論は、


地域的・国際的なサイバーセキュリティ環境に対する見方や各国・地域の取組について意見交換を行った上で、国連等の国際社会における成果を踏まえ、今後取り組むべき信頼醸成措置等について議論し、その成果を会期間支援グループ会合(ISG)で報告することを確認しました。


ということのようです。。。「今後取り組むべき信頼醸成措置」について議論をしたとありますね。。。

● 外務省

・2021.04.29 (press) サイバーセキュリティに関する第3回ARF会期間会合の開催(結果)

・関連リンク


 


ASEAN Regional Forum

ASEAN

Asean

 


| | Comments (0)

U.S. FTC(連邦取引委員会) のブログ 取締役会に向けて「セキュリティにちゃんと注意を払いなさい」と記事を書いていますね。。。

こんにちは、丸山満彦です。

米国連邦政府の取引委員会(U.S. Federal Trade Commission: FTC)[wikipedia]のブログで色々と啓発活動をしています(前回はAIの話を紹介しましたね。。。)が、今回紹介するのは、「セキュリティは取締役会から始まる。君たちがちゃんとしなければ、会社のセキュリティは保てない、君たちの重要な仕事だよ」という内容で、正直言って、当たり前のことを堂々と書かれているので、反論する余地が無いような内容です(^^)

ということで、とても参考になりますね。。。

U.S. Federal Trade Commission: FTCTips & Advice  - Business Center - Business Blog 

・2021.04.28 Corporate boards: Don’t underestimate your role in data security oversight

FTCの調査によると調査対象の60%の企業の取締役会が来年度はセキュリティ予算を増やすと答えているようですね。。。技術的詳しいことがわからなくても、セキュリティ対策が経営課題であるということについての腹落ちがしているのでしょうね。。。

さて、FTCは、取締役会に向けて5つの推奨事項を紹介しています。

MAKE DATA SECURITY A PRIORITY. データセキュリティを優先する
UNDERSTAND THE CYBERSECURITY RISKS AND CHALLENGES YOUR COMPANY FACES. 自社が直面しているサイバーセキュリティのリスクと課題を理解する。
DON’T CONFUSE LEGAL COMPLIANCE WITH SECURITY. 法令遵守とセキュリティを混同しない。
IT’S MORE THAN JUST PREVENTION. セキュリティは単なる予防ではない。
LEARN FROM MISTAKES. 失敗から学ぶ。

 

Security begins with the Board of Directors

セキュリティは取締役会から始まる。

 

良い言葉です(^^)

 

Fec-seal


■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

| | Comments (0)

2021.04.29

NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

こんにちは、丸山満彦です。

NISTがポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査という白書を公表していますね。昨年に案が出てきたものが確定したものです。。。

● NIST - ITL - CSRC - publication

・2021.04.28 White Paper Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms

Abstract 概要
Cryptographic technologies are used throughout government and industry to authenticate the source and protect the confidentiality and integrity of information that we communicate and store. The paper describes the impact of quantum computing technology on classical cryptography, particularly on public-key cryptographic systems. This paper also introduces adoption challenges associated with post-quantum cryptography after the standardization process is completed. Planning requirements for migration to post-quantum cryptography are discussed. The paper concludes with NIST’s next steps for helping with the migration to post-quantum cryptography. 暗号技術は、通信や保存する情報の発信元を認証し、機密性や完全性を保護するために、政府や産業界で利用されています。本白書では、量子コンピュータ技術が古典暗号、特に公開鍵暗号システムに与える影響について説明します。また、標準化プロセスが完了した後のポスト量子暗号に関連する採用課題についても紹介します。また、ポスト量子暗号への移行に必要な計画についても述べています。最後に、ポスト量子暗号への移行を支援するためのNISTの次のステップを紹介しています。

・[PDF] White Paper

20210429-92630

関連

 

| | Comments (0)

コンピュータソフトウェア協会・Software ISAC 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開

こんにちは、丸山満彦です。

一般社団法人コンピュータソフトウェア協会・Software ISAC が「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開していますね。これは、


ソフトウェア開発を行う組織の管理者や責任者に向けて、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめた


ものですね。。。

ソフトウェアをゆりかごから墓場まで」考えていくためのガイドラインとしていきたいという思いですね。。。


今後、ガイドの詳細版を作成していく予定です。


ということです。

私も作成に関わっています。みなさん、どんどんご意見をくださいませ。多くの人に使っていただけるように良いものを、みんなで作っていければと思っています。

 

一般社団法人コンピュータソフトウェア協会・Software ISAC 

・2021.04.28 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開

・[PDF] ソフトウェアの安全性を意識した管理体制(ver.1.0)

20210428-191255

1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
(1)契約状況の把握
(2)プロジェクトの把握
(3)開発環境や開発に使うソフトウェア情報の把握
(4)関係者のスキルやリテラシーの把握
(5)管理体制のメンバーの決定と把握
(6)ステークホルダー(利害関係者)全体の把握
(7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
(1)脆弱性の発見
(2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
(3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に


 

・頑丈なハードと変化前提のソフト

・オープンソフトを使う前提

・多重下請け構造

という状況を意識して作っています。。。

 

| | Comments (0)

2021.04.28

NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

こんにちは、丸山満彦です。

NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準案について意見募集をしていますね。

SP 800-171Aと同じく、

  • 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
  • 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
  • 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階

が定義されていて、監査論的にも興味深いですね。。。

 

● NIST - ITL - Computer Security Resource Center - Publication

・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information

・[PDF]  SP 800-172A (Draft)

20210428-65230

Announcement 発表
The protection of controlled unclassified information (CUI) in nonfederal systems and organizations—especially CUI associated with a critical program or high value asset—is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. To determine if the enhanced security requirements in NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171, have been satisfied, organizations develop assessment plans and conduct assessments. 連邦政府以外のシステムや組織における管理下の未分類情報(CUI)、特に重要なプログラムや高価値の資産に関連するCUIの保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を正常に遂行する能力に直接影響を与える可能性があります。”NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information:”A Supplement to NIST Special Publication 800-171”の強化されたセキュリティ要件が満たされているかどうかを判断するために、組織は評価計画を策定し、評価を実施します。
Draft NIST SP 800-172A, Assessing Enhanced Security Requirements for Controlled Unclassified Information, provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST SP 800-172. The generalized assessment procedures are flexible, provide a framework and starting point to assess the enhanced security requirements, and can be tailored to the needs of organizations and assessors. Organizations tailor the assessment procedures by selecting specific assessment methods and objects to achieve the assessment objectives and by determining the scope of the assessment and the degree of rigor applied during the assessment process. The assessment procedures can be employed in self-assessments, independent third-party assessments, or assessments conducted by sponsoring organizations (e.g., government agencies). Such approaches may be specified in contracts or in agreements by participating parties. The findings and evidence produced during assessments can be used by organizations to facilitate risk-based decisions related to the CUI enhanced security requirements. In addition to developing determination statements for each enhanced security requirement, Draft NIST SP 800-172A introduces an updated structure to incorporate organization-defined parameters into the determination statements. ドラフトNIST SP 800-172A「管理対象非機密情報に対する強化版セキュリティ要件の評価」は、NIST SP 800-172の要件の評価を実施するために使用できる評価手順を連邦機関および非連邦組織に提供しています。一般化された評価手順は柔軟性があり、強化版セキュリティ要件を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。組織は、評価目的を達成するために特定の評価方法と評価対象を選択し、評価の範囲と評価プロセスに適用する厳密さの度合いを決定することによって、評価手順を調整します。評価手順は、自己評価、独立した第三者評価、またはスポンサー組織(政府機関など)が実施する評価に利用できます。このようなアプローチは、契約書または参加者による合意書に明記することができます。評価中に得られた所見と証拠は、組織が CUI 強化版セキュリティ要件に関連するリスクベースの 判断を促すために使用することができます。NIST SP 800-172A(ドラフト)では、セキュリティ強化要件ごとに判定書を作成することに加えて、組織が定義したパラメータを判定書に組み込むための最新の構造を導入しています。
NIST is seeking feedback on the assessment procedures, including the assessment objectives, determination statements, and the usefulness of the assessment objects and methods provided for each procedure. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives. NISTは、評価目的、判定文、各手順に用意された評価対象と評価方法の有用性など、評価手順に関するフィードバックを求めている。また、評価目的の決定文に組織で定義されたパラメータを組み込むために取られたアプローチにも関心があります。
Abstract 概要
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements. 連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1)自己評価、2)独立した第三者評価、3)政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。

 

 

 

 


■ 関連文書

● NIST - ITL

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

 ・[PDF] SP 800-172

・2021.01.28 SP 800-171 Rev. 2  Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF]  SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
 SP 800-171A

 SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。

SP 800-172 はEva Aviationが第3章までの機械翻訳(対訳)を出しています。


Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護

・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件(第3章まで機械翻訳(対訳))

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

| | Comments (0)

«中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定