こんにちは、丸山満彦です。
米国GAOが「財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある」と報告していますね。
リスクを軽減し、サイバーセキュリティを向上させるためのセクターの取り組みを強化するための措置を財務省が講じているのは良いのだけど、他の連邦政府機関やセクターのパートナーと協力して、進捗状況をよりよく測定し、セクターのサイバーセキュリティ目標に沿った取り組みに優先順位をつけるように、財務省に推奨したようですね。
● U.S. GAO
こんにちは、丸山満彦です。
NISTが中小企業/家庭用IoTデバイスのセキュリティ保護に関して製造業者使用説明書(MUD) (RFC 8520) を利用したネットワークベースの攻撃の軽減についてのガイダンスの意見募集が行われていますね。。。
ファイルは34MB, 968ページです。そして、過去に2回(2019.04.24と2019.11.21)暫定のドラフトを出していますね。。。
● NIST - ITL
・2020.09.16 SP 1800-15 (Draft) Securing Small Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD)
・[PDF] Draft SP 1800-15
Supplemental Material:
Announcement
The National Cybersecurity Center of Excellence (NCCoE) has released the final public draft of the NIST Cybersecurity Practice Guide, SP 1800-15, “Securing Small-Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD),” and is seeking the public's comments on the contents. This practice guide is intended to show IoT device developers and manufacturers, network equipment developers and manufacturers, and service providers who employ MUD-capable components how to integrate and use MUD and other tools to satisfy IoT users’ security requirements.
Abstract
The goal of the Internet Engineering Task Force’s Manufacturer Usage Description (MUD) specification is for Internet of Things (IoT) devices to behave as intended by the manufacturers of the devices. MUD provides a standard way for manufacturers to indicate the network communications that a device requires to perform its intended function. When MUD is used, the network will automatically permit the IoT device to send and receive only the traffic it requires to perform as intended, and the network will prohibit all other communication with the device, thereby increasing the device’s resilience to network based attacks. In this project, the NCCoE demonstrated the ability to ensure that when an IoT device connects to a home or small-business network, MUD can automatically permit the device to send and receive only the traffic it requires to perform its intended function. This NIST Cybersecurity Practice Guide explains how MUD protocols and tools can reduce the vulnerability of IoT devices to botnets and other network-based threats as well as reduce the potential for harm from exploited IoT devices. It also shows IoT device developers and manufacturers, network equipment developers and manufacturers, and service providers who employ MUD-capable components how to integrate and use MUD to satisfy IoT users’ security requirements.
こんにちは、丸山満彦です。
政府調達におけるクラウドサービスの認定制度として日本でもISMAP(IPAによる説明)が始まりますが、米国ではFederal Risk and Authorization Management Program(FedRAMP) として2011年12月に立ち上がった制度ですね。このブログでも2012年2月に取り上げてましたね。。。
そのFedRAMP認定クラウドサービスオファリング(CSO)が200件を超えたようです。
● FedRAMP
・2020.09.13 FedRAMP Reaches 200 Authorizations
どのようなサービスがよく利用されているかもわかりますね。。。
■ 参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保
・2020.08.16 FedRAMPパブコメコンテナの展開と使用のための脆弱性スキャン要件
・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました
・2012.02.26 FedRAMP(クラウドサービスのセキュリティ評価の標準アプローチ)
こんにちは、丸山満彦です。
欧州議会が、暗号資産のリスクに関する報告書を公表していますね。。。
● EU Parliament
Table of contents
1. Introduction
2. Description of digital finance services and market organisation
2.1. Understanding the role of DLT in the crypto-assets market
2.2. Types of crypto-assets, market organisation and actors
2.3. Size, importance and prospects for the crypto-asset market
3. Analysis of the main current policy issues in the crypto-assets market
3.1. Classification of crypto-assets
3.2. Cyber-resilience
3.3. Data sharing and related rights
4. Scope and policy context of this assessment
4.1. Crypto-assets under consideration in this assessment
4.2. Progress made in the current EU legislative context
4.3. Importance of cooperation at international level
5. Identification of gaps in the existing EU regulatory and legal framework
5.1. A framework for crypto-assets
5.2. Operational cyber-resilience
5.3. Data strategy
6. Policy options to address the existing gaps
6.1. Policy options under consideration on a framework for markets in crypto-assets
6.2. Policy options under consideration on cyber resilience
6.3. Policy options under consideration on data strategy
7. Comparative economic analysis of the EAV of policy options identified
7.1. Conceptual framework and scenarios
7.2. Description of the accounting model and of the main assumptions
7.3. Economic assessment of the EAV for the European financial sector
7 .4. Complementary qualitative EAV assessment of the impact on benefits and risks of policy option scenarios
8. Conclusion
REFERENCES
こんにちは、丸山満彦です。
米国NSAがUnified Extensible Firmware Interface (UEFI) Secure Boot Customizationを公開していますね・・・
・2020.09.15 NSA Releases Cybersecurity Technical Report on UEFI Secure Boot Customization
・[PDF] UEFI Secure Boot Customization
Executive summary
Secure Boot is a boot integrity feature that is part of the Unified Extensible Firmware Interface (UEFI) industry standard. Most modern computer systems are delivered to customers with a standard Secure Boot policy installed. This document provides a comprehensive guide for customizing a Secure Boot policy to meet several use cases.
UEFI is a replacement for the legacy Basic Input Output System (BIOS) boot mechanism. UEFI provides an environment common to different computing architectures and platforms. UEFI also provides more configuration options, improved performance, enhanced interfaces, security measures to combat persistent firmware threats, and support for a wider variety of devices and form factors.
Malicious actors target firmware to persist on an endpoint. Firmware is stored and executes from memory that is separate from the operating system and storage media. Antivirus software, which runs after the operating system has loaded, is ineffective at detecting and remediating malware in the early-boot firmware environment that executes before the operating system.
Secure Boot provides a validation mechanism that reduces the risk of successful firmware exploitation and mitigates many published early-boot vulnerabilities.
Secure Boot is frequently not enabled due to issues with incompatible hardware and software.
Custom certificates, signatures, and hashes should be utilized for incompatible software and hardware. Secure Boot can be customized to meet the needs of different environments.
Customization enables administrators to realize the benefits of boot malware defenses, insider threat mitigations, and data-at-rest protections. Administrators should opt to customize Secure Boot rather than disable it for compatibility reasons. Customization may – depending on implementation – require infrastructures to sign their own boot binaries and drivers.
Recommendations for system administrators and infrastructure owners: Machines running legacy BIOS or Compatibility Support Module (CSM) should be migrated to UEFI native mode.
こんにちは、丸山満彦です。
米国法務省が世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名を起訴したと公表していますね。
● U.S. Department of Justice (DOJ)
・2020.09.16 (Release) Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally
こんにちは、丸山満彦です。
会社所有のモバイルデバイスの個人利用に関するガイダンス、NIST SP 1800-21 Mobile Device Security: Corporate-Owned Personally-Enabled (COPE)が確定しましたね。。。
日本ではあまり取り入れられていないかもしれませんね。。。
● NIST - ITL
・2020.09.15 Mobile Device Security: Corporate-Owned Personally-Enabled
「概要」によると
Corporate-Owned Personally-Enabled(COPE)プロジェクトの目標は、
組織所有のモバイルデバイスのセキュリティとプライバシーを強化する方法を示すサンプルソリューションを提供すること
と記されていますね。
ソリューションの例では、
のツールについて説明して入りうとなっていますね。
また、
ソリューションの例では、
に関する情報も提供していますね。。。
● 参考
・2019.07.22 Draft Cybersecurity Practice Guide--Mobile Device Security: Corporate-Owned Personally-Enabled (COPE)
Executive Summary
Mobile devices provide access to vital workplace resources while giving employees the flexibility to perform their daily activities. There are several options for deploying mobile devices. One deployment model is Corporate-Owned Personally-Enabled (COPE). COPE devices are owned by the enterprise and issued to the employee. COPE architectures provide the flexibility of allowing both enterprises and employees to install applications onto the enterprise-owned mobile device.
Securing mobile devices is essential to continuity of business operations. While mobile devices can increase efficiency and productivity, they can also leave sensitive data vulnerable. Mobile device security tools can address such vulnerabilities by helping secure access to networks and resources.
The National Cybersecurity Center of Excellence (NCCoE) at the National Institute of Standards and Technology (NIST) built a laboratory environment to explore the challenges of securing mobile devices while managing risks and how various technologies could be integrated to help organizations secure their COPE devices.
This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their COPE mobile device security and privacy needs.
こんにちは、丸山満彦です。
Partnership on AIから「AIと統合された職場における労働者の福祉を促進するためのフレームワーク」に関する報告書が公表されていますね。。。
・2020.09.15 Framework for Promoting Workforce Well-being in the AI-Integrated Workplace
・[PDF] Full Report
Table Of Contents
Executive Summary
Acknowledgements
About The Partnership on AI
Introduction
PART 1
Six Pillars of Workforce Well-being and AI Impact
Summary Chart: AI Impact and the Six Pillars of Workforce Well-being
PART 2
Framework for Promoting Workforce Well-being in the AI Integrated Workplace
Conclusion and Future Work
Appendix 1 - Definitions
Appendix 2 - Literature Review
こんにちは、丸山満彦です。
NISTがホテル向けのセキュリティガイド案を作って10月18日まで意見募集をしていますね。
ホテルは、機密データを盗み出したり、マルウェアを配布したり、検出されなかった不正行為から利益を得ようとする悪意のある行為者の標的となっていて、ホテルの運営の中心であるプロパティ管理システムは、攻撃者にとって魅力的な攻撃対象となっているという認識のようです。
確かにそうですね。。。
● NIST - ITL
・2020.09.14 (publcations) SP 1800-27 (Draft) Securing Property Management Systems
・Draft SP 1800-27 volumes and Project Homepage
「概要」には、
主な機能には、機密データの保護、役割ベースのアクセス制御の実施、異常の監視などがあります。
主な推奨事項には、ゼロトラスト、ムービングターゲット防御、クレジットカードデータのトークン化、ロールベース認証などのサイバーセキュリティ概念の実装が含まれます。
と記載されていますね。。。
Executive Summary
In recent years criminals and other attackers have compromised the networks of several major hotel chains, exposing the information of hundreds of millions of guests. Breaches like these can result in huge financial loss, operational disruption, and reputational harm, along with lengthy regulatory investigations and litigation. Hospitality organizations can reduce the likelihood of a hotel data breach by strengthening the cybersecurity of their property management system (PMS). The PMS is an attractive target for attackers because it serves as the information technology (IT) operations and data management hub of a hotel. This cybersecurity practice guide shows an approach to securing a PMS and the ecosystem of guest services it supports. It offers how-to guidance for building an example solution using commercially available products, standards, and best practices for role-based access control, privileged access management, network segmentation, moving target defense, and data protection.
こんにちは、丸山満彦です。
このブログで昨日取り上げた、サイバーパワー世界ランキング1位と2位の国の話です。。。
米国CISAが中国国家安全保障省(MSS)[wikipedia]に関連するサイバー攻撃者の活動についての警告を出していますね。。。MITRE ATT&CKとPre-ATT&CKを使って、中国国務省が使用する戦術、技術、手順(TTP) を解説していますね。FBIの協力を得てCISAが作成したとのことです。。。
MITRE ATT&CKとPre-ATT&CKの活用の仕方を理解する上でも有益そうですね。。。MITRE Shieldも公開されたので、これも使って解説してくれるとよいかもですね。。。
● CISA
・2020.09.14 Alert (AA20-258A) Chinese Ministry of State Security-Affiliated Cyber Threat Actor Activity
Key takeawaysを適当に日本語訳してみました。。。
| Key Takeaways | 重要なポイント |
| Chinese MSS-affiliated cyber threat actors use open-source information to plan and conduct cyber operations. | 中国の国家安全保障省に関係するサイバー攻撃者は、オープンソースの情報を利用してサイバー作戦を計画し、実施している。 |
| Chinese MSS-affiliated cyber threat actors use readily available exploits and exploit toolkits to quickly engage target networks. | 中国の国家安全保障省に関係するサイバー攻撃者は、すぐに入手可能なエクスプロイトとエクスプロイトツールキットを利用して、ターゲットネットワークを迅速に攻略している。 |
| Maintaining a rigorous patching cycle continues to be the best defense against the most frequently used attacks. | 最も頻繁に使用される攻撃に対する最善の防御策は、厳格なパッチ適用サイクルを維持することである。 |
| If critical vulnerabilities remain unpatched, cyber threat actors can carry out attacks without the need to develop custom malware and exploits or use previously unknown vulnerabilities to target a network. | 重要な脆弱性にパッチが適用されていない場合、サイバー攻撃者は、特別にマルウェアやエクスプロイトを開発したり、これまで知られていなかった脆弱性を利用してネットワークを標的にしたりすることなく、攻撃を実行することができる。 |
| This Advisory identifies some of the more common—yet most effective—TTPs employed by cyber threat actors, including Chinese MSS-affiliated cyber threat actors. | このアドバイザリーでは、中国の国家安全保障省に関係するサイバー攻撃者を含むサイバー攻撃者によって採用されている一般的でありながら最も効果的な戦術、技術、手順(TTP) のいくつかを特定している。 |
SUMMARY
KEY TAKEAWAYS
TECHNICAL DETAILS
MITRE PRE-ATT&CK Framework for Analysis
Target Selection and Technical Information Gathering
Technical Weakness Identification
Build Capabilities
MITRE ATT&CK Framework for Analysis
Initial Access
Execution
Credential Access
Discovery
Collection
Command and Control
MITIGATIONS
詳細というか丁寧で参考になります。。。
・2020.08.27 MITRE Shield vs MITRE ATT&CK
・2020.07.09 MITRE ATT&CKのVer7.0がリリースされましたね。。。
こんにちは、丸山満彦です。
ハーバードケネディスクールのベルファーセンターが、サイバーパワーの国別ランキングを含む「National Cyber Power Index 2020:Methodology and Analytical Considerations」を公開しましたね。。。
30か国を対象としています。7つの国家目標の文脈で、32のインテントインジケーターと27の能力インジケーターを使用して、公的に入手可能なデータから収集した証拠を使用しサイバー能力を測定しているようです。
サイバー攻撃力というよりも、サイバー環境への対応をうまくしているという感じですかね。。。
● Harvard Kennedy School BELFER CENTER
・2020.09.07 National Cyber Power Index 2020
・[PDF] National Cyber Power Index 2020 Methodology and Analytical Considerations
・[xlsx]
目次
Executive Summary
1. Introduction
1.1 Objective of Belfer’s NCPI 2020
1.2 Contrasting the NCPI with Existing Cyber Indices
2. National Cyber Power Index 2020
2.1 Interpreting the National Cyber Power Index 2020
2.2 Limitations
2.2.1 Lack of Publicly Available Data on Cyber Capabilities
2.2.2 Lack of Data Surrounding Proxies in Cyberspace
2.2.3 Simplifications
2.2.4 Capturing the Duality of Cyber Capabilities
3. Conceptual Framework
3.1 National Objectives
4. Methodology and Discussion
4.1 Scoring Intent and Sources
4.2 Scoring Capabilities and Sources
4.3 Construction of the Aggregated NCPI
5. Conclusion
Bibliography
Annex A. NCPI Plot Charts by Objective
Annex B. Detailed Explanation of Intent Indicators by Objective
Annex C. Detailed Explanation of Capability Indicators
Annex D. Radar Charts of All Capabilities by Country
7つの国家目標の文脈
評価結果
| # | Country | Total | Capability | Intent |
| 1 | United States | 50 | 66 | 0.77 |
| 2 | China | 41 | 52 | 0.80 |
| 3 | United Kingdom | 36 | 45 | 0.76 |
| 4 | Russia | 28 | 38 | 0.71 |
| 5 | Netherlands | 24 | 38 | 0.61 |
| 6 | France | 23 | 43 | 0.49 |
| 7 | Germany | 22 | 43 | 0.49 |
| 8 | Canada | 22 | 36 | 0.55 |
| 9 | Japan | 21 | 38 | 0.47 |
| 10 | Australia | 20 | 33 | 0.57 |
こんにちは、丸山満彦です。
英国のデータ保護委員会(Information Commissioner's Office : ICO)がアカウントビリティー フレームワークを公表していますね。大作です!
● UK-ICO
・2020.09.10 Blog: Accountability Framework: demonstrating your compliance
Ian Hulme, Director of Regulatory Assurance discusses the launch of our new Accountability Framework and how organisations can take part in the next stage of its development.
こんにちは、丸山満彦です。
米国が宇宙システムのためのサイバーセキュリティ原則を発表しています。発表から少し経っているので忘れないうちに、メモメモ・・・
・2020.09.04 Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems
軌道上のほとんどの宇宙船は予め設定された通信制御方法以外でのアクセスできないから、リモートでインシデントに対応する機能を含むサイバーセキュリティ対策が打ち上げ前に宇宙船の設計に統合されていることが重要となると指摘されていますが、その通りですね。。。
このため、開発のすべてのフェーズにサイバーセキュリティを統合し、ライフサイクル全体のサイバーセキュリティを確保することは、宇宙システムにとって重要と指摘していますね。。。
宇宙システムのためのサイバーセキュリティ原則
第一章 背景
第二章 定義
第三章 方針
地上システムに適用されるサイバーセキュリティの原則と実践は宇宙システムにも適用される。
第四章 原則
(a) 宇宙システムとそれを支えるインフラは、リスクベースのサイバーセキュリティ情報に基づくエンジニアリングを用いて開発・運用されなければならない。
(b) 宇宙システムの所有者及び運用者は、運用者又は自動制御センターシステムが宇宙機の積極的な制御を維持又は回復できるようにするための能力を組み込んだ宇宙システムのサイバーセキュリティ計画を策定し、 実施するべきである。
(i) 宇宙機の需要な機能への不正アクセスからの保護。
(ii) 宇宙機のコマンド、制御、及びテレメトリ受信システムの脆弱性を低減するように設計された物理的保護手段。
(iii) 信号強度監視プログラム、安全な送信機及び受信機、認証、又は効果的で有効性が検証され、試験された暗号化手段などの通信妨害及びなりすましに対する保護。
(iv) 計画的なサイバーセキュリティのベストプラクティスを採用することによる地上システム、運用技術、 情報処理システムの保護。 この採用には、内部者の脅威を含むシステムへのマルウェア感染や悪意のあるアクセスのリスクを低減するために、NISTのサイバースセキュリティフレームワークに沿った実践が含まれるべきである。
(v) 情報システム、アンテナ、端末、受信機、ルータ、関連するLAN及びWAN、電源などのシステム要素に対 して、適切なサイバーセキュリティの衛生習慣、自動化された情報システムの物理的セキュリティ、及び侵入検知方法を採用すること。
(vi) 製造された製品の追跡、信頼できる供給者からの調達の要求、偽造、詐欺、悪意のある機器の特定、その他の利用可能なリスク軽減手段の評価を通じて、宇宙システムのサイバーセキュリティに影響を与えるサプライチェーンのリスクを管理すること。
(c) 規則、規制、及びガイダンスを通じたこれらの原則の実施は、サイバーセキュリティのベストプラクティス及び行動規範の検討及び必要に応じての採用を含め、宇宙システムのサイバーセキュリティを強化すべきである。
(d) 宇宙システムの所有者及び運用者は、適用される法律で認められている範囲で、ベストプラクティスの開発を促進するために協力すべきである。 また、適用法に沿って、情報共有・分析センターのような場を利用して、可能な限り最大限に、宇宙産業内で脅威、警告、及びインシデント情報を共有すべきである。
こんにちは、丸山満彦です。
米国のエスパー国防長官が、9月9日と10日に開催されたDoDのAIシンポジウム(2020 Department of Defense Artificial Intelligence Symposium and Exposition)でエスパー国防長官が、「2024年までに戦闘機でAIパイロットをテストすることを含め、米国は人工知能の軍事利用で世界をリードする」と述べたようですね。
● DoDのAIブログ
・2020.09.10 Making AI Real: Department of Defense AI Symposium Day 1
では、そこまで具体的に書かれていませんが、
● Breaking Defense
・2020.09.09 AI To Fly In Dogfight Tests By 2024 by SYDNEY J. FREEDBERG JR.
After an AI beat humans 5-0 in AlphaDogfight simulations this summer, Mark Esper announced, a future version will be installed in actual airplanes for “a real-world competition.” But military AI will adhere to strict ethical limits, he said.
によると、
The US, he vowed, will lead the world on the military use of artificial intelligence – including testing an AI pilot in a fighter by 2024.
ということのようです。。。
■ 参考
● 2020 Department of Defense Artificial Intelligence Symposium and Exposition
● Breaking Defense
・2020.08.20 AI Slays Top F-16 Pilot In DARPA Dogfight Simulation by THERESA HITCHEN
"It's a giant leap," said DARPA's Justin (call sign "Glock") Mock.
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.08.24 AIがDARPAドッグファイトシミュレーションでトップレベルのF-16パイロットを倒す?
こんにちは、丸山満彦です。
総務省が中小企業等担当者向けのテレワークセキュリティに関する手引き(チェックリスト)を公表していますね。。。
● 総務省
・2020.09.11 テレワークセキュリティに関する手引き(チェックリスト)等の公表
新たに公表したのはチェックリストとオンラインミーティング用ソフトの設定解説資料ですね。
・[PDF] 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)
・設定解説資料
・[PDF] Cisco Webex Meetings
・[PDF] Microsoft Teams
・[PDF] Zoom
・ 参考
・[PDF]テレワークセキュリティガイドライン(第4版)
NISTがSP 800-46の改訂にむけて参考になるものを募集しているので、NISTに紹介した方が良いかもですよね(^^)
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.09.11 NISTがSP 800-46 企業向けテレワークセキュリティのガイドの改訂に向けたアイデア募集していますね。。。
こんにちは、丸山満彦です。
総務省がNOTICEの強化をするようですね。。。
● 総務省
・2020.09.11 サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の取組強化
NICTから総務大臣に対し、国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務(NOTICE)の変更申請があって承認されたということですね。。。
(1) 特定アクセス行為※において入力する識別符号(ID・パスワード)の追加
※特定アクセス行為:NICTが調査のために機器にID・パスワードを入力する行為
継続して新たなIoT機器向けのマルウェアが登場していることを踏まえ当該マルウェアで利用されている識別符号や、機器の初期設定の識別符号等を新たに調査対象とするため、特定アクセス行為において入力する識別符号を約600通り(変更前は約100通り)とするものです。
(2) 特定アクセス行為の送信元のIPアドレスの追加
(1)により入力する識別符号が増加することから、特定アクセス行為に係る通信量も増加し通信回線を増設するため、特定アクセス行為の送信元として使用するIPアドレスを54個(変更前は41個)とするものです※。
※新たに追加されるIPアドレスは、150.249.227.162~174です。
こんにちは、丸山満彦です。
COVID-19で在宅勤務デフォルトとなった企業も少なからずあると思います。それは日本だけでなく、海外でも同じですね。今まで例外的に認めていた事務所外からのインターネット越しのアクセスが、主流のアクセス方法になるわけですからセキュリティ的には色々と検討すべきこと、対策の強化、変更等が必要となってきますよね。。。
ということで、BYODブームの時(2016年)に改訂されたNIST SP 800-46 Revision 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Securityの改訂が考えられているようで、NISTのウェブページにコメント募集が行われています。
● NIST
・2020.09.10 (Publications) SP 800-46 Rev. 3 (Draft) PRE-DRAFT Call for Comments: Guide to Enterprise Telework Security
ちなみに現在は
・2016.07.29 (Publications) SP 800-46 Rev. 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security
・[PDF] NIST Special Publication 800-46 Revision 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security
で、ここで皆さんに注目していただきたい点は、コンテンツだけでなく、こういう規定文書の変更の仕方についてのフレームワークです。社内の規程の変更等の時にも参考になると思います。ある意味、規程変更プロセスの標準化的なことに繋がると思います。
例えば、変更の目的を、
Objective 1: Reflect changes in how telework is performed.
Objective 2: Reflect changes in the role of remote access technologies.
Objective 3: Update all references and mappings to references.
Objective 4: Shorten SP 800-46 to improve its readability.
としていますが、
という構造をとって、それぞれのポイントを整理すると抜け漏れなく、整合性の取れた形で、効率よく改訂作業ができるように思います。
こんにちは、丸山満彦です。
日系三世で米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏[wikipedia]による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事は、米国が直面している課題の発言もあり興味深いです。。。
● Foreign Affairs
・2020.08.25 How to Compete in Cyberspace - Cyber Command’s New Approach by Paul M. Nakasone and Michael Sulmeyer
プロアクティブ防御の話は、興味深いです。
2008年にハッキングされ、ネットワークの境界を保護するだけでは十分な防御になっていないことを学び、3つの変更を加えたとしています。
第1:ネットワークの壁だけでなく、自分のネットワーク内で起きていることへの関心を高めた。
攻撃的なマルウェアを積極的に探すようにし、
軍のネットワークから侵入者を検出、隔離、排除する速度と効果を向上させた。
第2:軍のネットワーク全体にゼロトラストを拡大した。
敵はシステムを知っていると想定」し、すべてのホスト、サーバー、および接続を潜在的に敵対的なものとして扱う。
第3:軍事指揮官がコンピュータネットワークの防御を本質的な要件として扱い、後付けではなく、説明責任の考え方がサイバーでも必要だることを育んでいる。
↑ を読むための伴奏として、 ↓
● Law Fare
・2020.09.08 How to Compete in Cyberspace: An Accompaniment by David Kris
こんにちは、丸山満彦です。
豊になればきっと民主的な政治が行われるだろうと信じて支援してきたものの、豊になっても民主的な政治が行われず、むしろ単なる脅威だけ残った、、、と思っているのかもしれませんが、利権を持っている人が豊になればますますその利権を離したくなくなるのかもしれません。結果、より独裁的な色が強くなるというのは、程度の差こそあれ、どの時代でも、どの国でも同じなのかもしれません。。。
豊になれば、知識もついて、利権を持たない一般民衆が結束して利権に立ち向かう運動を起こすことも、歴史上しばしばあったのですが、小さな芽のうちに摘んでしまうことと情報統制によって、うまく制御できているようにも見えます。。。
小学校でもガキ大将的な子供が転校して新たにクラスに加わると、今までのガキ大将は脅威に感じて、いじめや仲間はずれをすることがあると思いますが、そうなるといじめられた転校生は、仲間集めをするわけで、今までのガキ大将に渋々したがっていた子供を見つけては仲間に入れて、お誕生日会に呼んだり、学級委員になったりと色々と対策をしてくるわけですよね。こういうのって、動物的な本能のような部分なので、手法はともかく知識とは関係ないようにも思います。知らんけど。。。
さて、中国の11代外交部長(外務大臣)で国務委員の王毅(Wang Yi )さんが、「グローバル データ セキュリティ イニシアティブ」を提案していますね。
● 中国政府 外交部
・2020.09.08 Upholding Multilateralism, Fairness and Justice and Promoting Mutually Beneficial Cooperation
-Keynote Speech by State Councilor and Foreign Minister Wang Yi At the International Seminar on Global Digital Governance
- 相关新闻
・2020.09.08 坚守多边主义 倡导公平正义 携手合作共赢 - 在全球数字治理研讨会上的主旨讲话
(多国間主義を堅持し、公正と正義を主張し、双方に有利な状況のために協力する - グローバルデジタルガバナンスシンポジウムでの基調講演)
----
- 外交部长活动
・2020.09.09 东盟高度重视中方提出的《全球数据安全倡议》
(ASEANは中国が提唱するグローバル データ セキュリティ イニシアティブを重視)
・2020.09.08 全球数据安全倡议
(グローバル データ セキュリティ イニシアティブ)
・2020.09.08 王毅在全球数字治理研讨会上的主旨讲话
(グローバル デジタル ガバナンス シンポジウムでの王毅氏の基調講演)
・2020.09.08 中方提出《全球数据安全倡议》
(中国がグローバル データ セキュリティ イニシアティブを提案)
・2020.09.08王毅:中国愿发起《全球数据安全倡议》
(王毅:中国はグローバル データ セキュリティ イニシアティブの立ち上げに意欲的)
・2020.09.08 王毅:中国政府不会要求中方企业违反别国法律提供境外数据
(王毅:中国政府は国内企業に他国の法律に反する海外データの提供を求めない)
・2020.09.08 王毅谈应对数据安全风险应遵循的三项原则
(王毅氏が語るデータ セキュリティ リスクに対処するための3つの原則)
・2020.09.04 王毅:中方正积极考虑提出有关维护数据安全的倡议
(王毅:中国はデータセキュリティの維持に向けた取り組みを積極的に検討している)
王毅さん[wikipedia]、英語ではWang Yiさん[wikipedia]と言えば、大学で日本語を学んで駐日大使もされていたので、馴染みがありますよね。。。中国政府の正式ページは、、、
王毅さんが発表した「データ セキュリティ リスクに対処するための3つの原則」
| 第一,秉持多边主义。 共商、共建、共享是解决全球数字治理赤字的正确出路。应在各方普遍参与基础上,达成反映各国意愿、尊重各方利益的全球数据安全规则。个别国家大搞单边主义,以“清洁”为名向别国泼脏水,以安全为借口对其他国家领先企业进行全球围猎,这是赤裸裸的霸凌行径,应该予以反对和摒弃。 |
第一:多国間主義を堅持すべきである。 グローバルデジタルガバナンスの赤字に対処するための正しい方法は、協議、共同構築、共有です。 すべての当事者の普遍的な参加に基づき、すべての国の意思を反映し、すべての当事者の利益を尊重するグローバルなデータセキュリティ規則に合意するべきです。 各国の一方的な行為、「Clean」の名の下に他国に汚い水を投げつける行為、安全保障を口実に他国の有力企業を世界的に魔女狩りする行為は、あからさまないじめ行為であり、反対され、破棄されるべきです。 |
| 第二,兼顾安全发展。 保护数据安全对数字经济健康发展至关重要。各国都有权依法保护本国的数据安全。同时,也都应为所有企业提供开放、公正、非歧视的营商环境。数字保护主义违背经济发展的客观规律,不符合全球化的时代潮流,不但有损全球消费者公平获得数字服务的权利,最终也会阻碍自身的发展。 |
第二:安全保障と開発のバランスをとることが必要である。 デジタル経済の健全な発展には、データセキュリティの保護が不可欠です。 すべての国は、法律に基づいて自国のデータの安全を守る権利を持っています。 同時に、すべての企業には、オープンで公正かつ非差別的なビジネス環境が提供されるべきです。 デジタル保護主義は、経済発展の客観的法則とグローバル化時代の流れに逆行し、グローバルな消費者がデジタルサービスに公正にアクセスする権利を損なうだけでなく、最終的には消費者自身の発展を阻害するものです。 |
| 第三,坚守公平正义。 维护数字安全应以事实和法规为依据。把数据安全问题政治化,刻意搞双重标准,甚至不惜造谣抹黑,违背国际关系基本准则,也严重干扰和阻碍全球数字合作与发展。 |
第三:公平と正義を守るべきである。 デジタルセキュリティの維持は、事実と規制に基づいて行われるべきです。 データセキュリティの問題を政治化し、意図的に二重基準を使い、中傷キャンペーンにまで手を染めることは、国際関係の基本的な規範に反し、世界的なデジタル協力と発展を著しく阻害し、妨げています。 |
提案は全部で8つです。
■ 関連
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.08.07 米国政府 米国の資産を守るため Clean Network Programを強化
● U.S. Department of State
・2020.08.05 Announcing the Expansion of the Clean Network to Safeguard America’s Assets
■ 報道等
● Wall Street Journal
・2020.09.08 China Launches Initiative to Set Global Data-Security Rules - Move, unveiled Tuesday is meant to counter U.S. Clean Network effort by
The tech battle between the U.S. and China has battered TikTok and Huawei and startled American companies that produce and sell in China. WSJ explains how Beijing is pouring money into high-tech chips as it wants to become self-sufficient.
● Reuters
・2020.09.08 China unveils global data security initiative, says some countries bullying others
BEIJING/SHANGHAI (Reuters) - China announced an initiative on Tuesday to establish global standards on data security, saying it wanted to promote multilateralism in the area at a time when “individual countries” were “bullying” others and “hunting” companies.
● South China Morning Post
・2020.09.08 China slams US ‘bullying’ of tech firms, unveils data security initiative by
● China Global Television Network (CGTN)
・2020.09.08 Wang Yi: China proposes global data security initiative
China is proposing a global data security initiative that opposes undermining key infrastructure or data theft by using information technology and forcing firms to store data generated overseas in their home country, Chinese State Councilor and Foreign Minister Wang Yi said on Tuesday at an international symposium named "Seizing Digital Opportunities for Cooperation and Development."
こんにちは、丸山満彦です。
NISTがNISTが信頼性の高いIoTデバイスネットワーク層別オンボーディングとライフサイクル管理に関する白書のドラフトを公表していますね。。。
信頼できるネットワーク層のオンボーディング・メカニズムを使用するメリットとして次の2点を挙げていますね。。。
● NIST
・2020.09.08 (Publication) White Paper (Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management
・[PDF] White Paper
こんにちは、丸山満彦です。
„Bundesamt für Sicherheit in der Informationstechnik” [wikipedia(de)](連邦情報セキュリティ局)が、船舶に関連するサイバーセキュリティの強制力のあるガイドを出していますね。。。
貿易に船舶業務が重要という前提の上、最近の船舶や物流業務のオープン化が進んでいることがサイバーセキュリティリスクを増大させているということで、ガイドを出す必要があったということでうかね。
● BSI
・2020.09.08 MehrCyber-Sicherheit auf den Weltmeeren (More Cyber Security on the Oceans)
・2020.09.08 ISM Cyber Security
英語に訳してみました。
Increasing digitalization, enhanced interactivity, growing connectivity and the growing disappearance of network boundaries on board ships offer increasing opportunities for threats from internal and external cyber risks. It is necessary to support ship operations with individual measures and cyber risk management.
ファイルは
・2020.09.08 [PDF] ISMCyberSecurity
■ 参考となる過去の文書
● 運航(Schiffsbetrieb)
・2020.02.03 Neues IT-Grundschutz-Profil für den Schiffsbetrieb (New IT basic protection profile for ship operation)
・2020.01.31 IT-Grundschutz-Profil für Reedereien – Schiffsbetrieb
The IT-Grundschutz profile focuses on four business processes in the ship operation of a model shipping company and recommends security requirements that must be met in accordance with the approach of standard security according to IT-Grundschutz. These four business processes are technical operation, nautical operation, cargo operation and communication. The IT-Grundschutz profile helps with the entrance into information security and the determination of the most serious weak points in these processes and gives beyond that support for a resuming protection requirement determination and risk analysis.
・2020.01.24 [PDF] IT-Grundschutz-Profil für Reedereien Mindest-Absicherung für den Schiffsbetrieb
● 陸上業務 (Schiffsbetrieb)
・2018.12.18 IT-Grundschutzprofil für Reedereien veröffentlicht
・2018.12.18 IT-Grundschutz-Profil für Reedereien – Landbetrieb
The basic version of the IT-Grundschutz profile defines a minimum protection requirement in shipping company operations on land in the business processes Accounting and Technical Management. It is based on the IT-Grundschutz approach "Standard protection". The IT-Grundschutz profile offers an easy entry into information security and helps to identify the most serious weaknesses in the business processes under consideration. Furthermore, it also provides support for a further determination of protection requirements and risk analysis.
・2018.12.18 [PDF] IT-Grundschutz-Profil für Reedereien Mindest-Absicherung für den Landbetrieb
こんにちは、丸山満彦です。
先日、このブログで、
・2020.09.05 欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、
を書きましたが、「ソーシャルメディアユーザーのターゲティングに関するガイドライン」が公表されていますね。。。
● European Data Protection Board (EDPB)
・2020.09.07 Guidelines 08/2020 on the targeting of social media users
・[PDF] Guidelines 8/2020 on the targeting of social media users Version 1.0
意見募集は2020.10.19までです。
ソーシャルメディアが知らず知らずに個人(本人およびその家族、友人等)に関する情報を時間と共に徐々に蓄積していく場となってしまうので、事業者に対して何らかのガイドは必要なんでしょうね。。。
こんにちは、丸山満彦です。
先日、このブログで、
・2020.09.05 欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、
を書きましたが、「コントローラとプロセッサーに関するガイドラインが公表されていますね。。。
● European Data Protection Board (EDPB)
・2020.09.07 Guidelines 07/2020 on the concepts of controller and processor in the GDPR
・2020.09.02 [PDF] Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 1.0
意見募集は2020.10.19までです。
コントローラ、ジョイントコントローラ、プロセッサの概念は、一般データ保護規則2016/679(GDPR)の適用において重要ですよね。。。ということで、コントローラ、ジョイントコントローラ、プロセッサについての整理がされた文書です。日本においても参考になるかもですね。
コントローラは、処理の特定の重要な要素を決定する主体といことですかね。処理の目的と手段の両方、つまり処理の理由と方法を共に決定しないといけません。
ジョイントコントローラは、簡単にいうと共同コントローラということになりますかね。
プロセッサは、管理者に代わって個人データを処理する主体ということになりますかね。プロセッサは、コントローラの指示に従わない限りデータを処理できません。
という感じですかね。。。
こんにちは、丸山満彦です。
米国の Cybersecurity and Infrastructure Security Agency (CISA)がインターネットにアクセス可能なシステムの脆弱性情報の開示方針(vulnerability disclosure policy (VDP) )を発表しましたね。これは、法定された「国家安全保障システム」や国防総省や諜報機関が運営する特定のシステムには適用されないようですね(Section 3554(d)(e) of title 44, U.S. Code )。
テンプレートも公開していますね。。。日本の政府機関のみならず、民間企業でも参考になるかもですね。。。
● CISA
・2020.09.02 (Release) CISA ISSUES FINAL VULNERABILITY DISCLOSURE POLICY DIRECTIVE FOR FEDERAL AGENCIES
・2020.09.02 (Blog) IMPROVING VULNERABILITY DISCLOSURE TOGETHER (OFFICIALLY)
● Cyber dhs.gov
・2020.09.02 Binding Operational Directive 20-01
・ Vulnerability Disclosure Policy Template
こんにちは、丸山満彦です。
ETH Zurich - Center for Security Studies -による、日本のサイバーセキュリティ政策等のレポートが話題になっていますね。。。英語の発信も一定していますが、全体像についての発信は少なかったかもですね。それって、英語だけの問題ではないよね、、、ということで日本人の中でも話題になっています(^^)
● ETH Zurich - Center for Security Studies -
・2020.09.04
・CYBERDEFENSE REPORT Japan’s National Cybersecurity and Defense Posture Policy and Organization [PDF] [downloaded]
The aim of this study by Stefan Soesanto is to provide the reader with a better understanding of the evolution of Japan's cybersecurity and defense policy since the year 2000. In addition to the policy areas in which the Japanese government is active in protecting cyberspace, the report explains the security-related events that have triggered the need for government involvement.
この図です。不正確なところがあるのかもしれませんが、であれば正確な図を作るとか・・・
Table ofContents
1 Introduction
2 Policy Areas
2.1 Cybersecurity
2.2 Cybercrime
2.3 Cyber terror (サイバーテロ)
2.4 Cyber diplomacy
2.5 Cyber defense
3 Evolution (trigger events)
3.1 Cyber terror
3.2 Cyber-espionage
3.3 Cybercrime
4 Relevant policy documents
4.1 Key policy documents
4.1.1 2000 Basic Act
4.1.2 2000 Special Action Plan
4.1.3 1st National Strategy
4.1.4 2nd National Strategy
4.1.5 Information Security Strategy
4.2 National Cybersecurity Strategy
4.2.1 1st Cybersecurity Strategy
4.2.2 Basic Act on Cybersecurity
4.2.3 2nd Cybersecurity Strategy
4.2.4 3rd Cybersecurity Strategy
4.3 National Cyber Defense Strategy
4.3.1 Japan-US Defense Guidelines
4.3.2 Nat. Defense Program Guidelines
4.3.3 Mid-Term Defense Program
5 Organizational Structures
5.1 The Cabinet
5.2 The Cabinet Secretariat
5.3 Ministry of Defense
5.4 US-Japan Cyber Defense Cooperation
5.5 National Public Safety Commission
5.6 Ministry of Economy, Trade, and Industry
5.7 Ministry of Internal Affairs and Communications
5.8 Cyber Attack Analysis Council
5.9 Ministry of Justice
5.10 Ministry of Foreign Affairs
6 Conclusion
7 Abbreviations
8 Bibliography
Recent Comments