こんにちは、丸山満彦です。
個人情報が漏えいした場合には、漏えいした情報が悪用され、被害が拡大することをできるだけ防げるようにするために、本人に情報漏えいした(可能性がある)事実を伝えることは必要だと思います。
伝え方については、直接本人に連絡をするのが適切だと思いますが、人数が大人数になったり、特定できない場合には、漏えいした事実を公表し、身に覚えがある人が次の対応をとれるようにすることが必要となってきます。
企業情報でも同じだと思います。関係する人に伝えれば問題はないのだろうと思います。関係する人というのが、どの範囲か、国民全体に伝える必要があるのであれば、公表というのが必要だと思います。
でも、事実を知ったところで次のステップがないのであれば、公表する必要もないのだろうと思います。
こんにちは丸山満彦です。
総務省と経済産業省がクラウドサービスの安全性評価に関する検討会の検討結果を取りまとめて発表してますね。
●総務省
・2020.01.30 「クラウドサービスの安全性評価に関する検討会 とりまとめ」の公表
●経済産業省
・2020.01.30 クラウドサービスの安全性評価に関する検討会の検討結果を取りまとめました
こんにちは、丸山満彦です。
東京海上日動さんが、Tokio Cyber Portを開設していますね。
スペシャリストコラムでは、ブロードバンドセキュリティのl藤原さん、ホワイトモーションの蔵本さん、神戸大学の森井先生、金融ISACの鎌田さん、交通ISACの阿部さん、TMIの大井先生、EYの熊谷さん、経済産業省の奥家さんなど知った方が興味深い記事を書いていますね。
●東京海上日動
こんにちは、丸山満彦です。
NISCが、「サイバーセキュリティ戦略」に基づき、2020年度に実施すべき施策に関する意見の募集をしていますね。
● NISC
・2020.01.30「サイバーセキュリティ戦略」に基づき、2020年度に実施すべき施策に関する意見の募集について
こんにちは、丸山満彦です。
IPAが情報セキュリティ10大脅威2020を発表していますね。
●IPA
・2020.01.29 情報セキュリティ10大脅威 2020」を決定
=====
| 昨年順位 | 個人 | 順位 | 組織 | 昨年順位 |
|---|---|---|---|---|
| NEW | スマホ決済の不正利用 | 1位 | 標的型攻撃による機密情報の窃取 | 1位 |
| 2位 | フィッシングによる個人情報の詐取 | 2位 | 内部不正による情報漏えい | 5位 |
| 1位 | クレジットカード情報の不正利用 | 3位 | ビジネスメール詐欺による金銭被害 | 2位 |
| 7位 | インターネットバンキングの不正利用 | 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 5位 | ランサムウェアによる被害 | 3位 |
| 3位 | 不正アプリによるスマートフォン利用者への被害 | 6位 | 予期せぬIT基盤の障害に伴う業務停止 | 16位 |
| 5位 | ネット上の誹謗・中傷・デマ | 7位 | 不注意による情報漏えい(規則は遵守) | 10位 |
| 8位 | インターネット上のサービスへの不正ログイン | 8位 | インターネット上のサービスからの個人情報の窃取 | 7位 |
| 6位 | 偽警告によるインターネット詐欺 | 9位 | IoT機器の不正利用 | 8位 |
| 12位 | インターネット上のサービスからの個人情報の窃取 | 10位 | サービス妨害攻撃によるサービスの停止 | 6位 |
こんにちは、丸山満彦です。
NISTがSP 1800-26 (Draft) を公開していますね。
●NIST
・2020.01.27 SP 1800-26(Draft) Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events
・Data Integrity: Detecting and Responding to Ransomeware and Other Destructive Events
Keywords
attack vector;data integrity;malicious actor;malware;malware detection;malware response;ransomware
こんにちは、丸山満彦です。
NISTがSP 1800-25 (Draft) を公開していますね。
●NIST
・2020.01.27 SP 1800-25(Draft) Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events
・Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events
Keywords
attack vector; asset awareness; data integrity; data protection; malicious actor; malware; ransomware
こんにちは、丸山満彦です。
2020.01.29の山口先生のブログで「不正調査におけるデジタルフォレンジックスは「打出の小槌」ではない」が公開されているのですが、まったく同感です。そもそも、「不正調査における「X」は「打出の小槌」ではない」の構造において「X」に何をいれても成り立つと思います(^^)
X=デジタルフォレンジックス
X=AI(深層学習)
おそらくですが、
X=量子コンピュータ
でも成り立つでしょうね(^^)
X=敏腕弁護士
ではどうですかね(^^)
・2020.01.29 不正調査におけるデジタルフォレンジックスは「打出の小槌」ではない
そもそも、デジタルフォレンジックスというのは、不正調査にも使える道具(手法)であって、不正調査をすべて包含する手法でではないので当り前ですね。。。
米国NIST セキュリティガイドライン草案
=====
Abstract
=====
こんにちは、丸山満彦です。
いつの時代にも循環取引はあるんでしょうね。。。
●日経XTech
・2020.01.27 ネットワンシステムズ一時ストップ安、循環取引問題で時価総額1200億円減
東京国税局から「納品の事実が確認できない取引の疑義がある」との指摘を受けて特別調査委員会を立ち上げたのが2019年12月13日。それ以降の下落率は46%に達し、時価総額は半値近くになった。
・・・「いまだに十分な説明がないまま報道が相次いでいるのが要因」(外資系証券アナリスト)
参考
・2020.01.27 第三者委員会報告書公表後わずか2年で不正開始?(NOSの架空循環取引事例)
2010年にはニイウスコーの循環取引事案がありましたね。。。
・2010.02.15 ニイウスコー架空循環取引と監査法人による監査の限界
そしてネットワンシステムズの過去の会計不正
・2013.03.11 経理財務部門・内部監査部門必読!NOS第三者委員会報告書
こんにちは、丸山満彦です。
総務省から、「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」
が公表されましたね。
●総務省
・2020.01.28 「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
こんにちは、丸山満彦です。
原子力発電所で事故があったようですが、バックアップ電源が起動して、ことなきを得たようです。おそらく、さらに後二重はバックアップがあり、普段から訓練しているとは思いますが、油断せずに反省と改善は必要なんでしょうね。
●東京新聞
・2020.01.27 伊方原発 一時全電源喪失 停電トラブル、10秒後復旧
こんにちは、丸山満彦です。
AI(Deep Learning)を活用した動画作成が比較的容易にできるツールやデータが揃ってきたので、Deepfakeによる動画が増えているという話もありますね。
米国大統領選が2020年11月3日に予定されていることもあり、今後も増えていくことになると思います。としたときに、真贋を見分けるための芽を養うだけでなく、仕組みが必要と思います。。。
●共同通信
・2020.01.27 精巧な偽動画拡散、政治揺るがす AI駆使し半年で倍増
政治家の行動や発言をでっち上げた映像が拡散し、マレーシアでは偽物の可能性がある動画が内政を揺るがした。大統領選を控えた米国では、関係者が神経をとがらせている。
オランダの情報セキュリティー企業ディープトレイスが2019年9月に公表した報告書によると、ディープフェイク動画は加工に必要なツールの入手が容易になったことから、18年12月の約8千件から半年余りで約1万5千件にほぼ倍増。96%がポルノだった。
●総務省
・2019.11.29 プラットフォームサービスに関する研究会(第16回)配布資料
・2019.12.20 プラットフォームサービスに関する研究会(第17回)配布資料
Deepfakeの作り方について三井物産セキュアディレクションさんのウェブページでわかりやすく説明されていますね。
●三井物産セキュアディレクション
・2019.12.17 DeepFake -動画編-
こんにちは、丸山満彦です。
オリンピック・パラリンピックの開催の有無により、攻撃の程度や頻度が上がるとは思いますが、
オリンピック・パラリンピックの開催にかこつけずにすべきことはすべきで、
すべきでもないことを無理やりしていくのもどうかなと思ったりもしますがどうなんでしょうね。
(下記の内容が不要と言っているわけではありませんが、「かこつけ案件」が多いように思っているもので。。。)
●NHK
・2020.01.27 サイバー攻撃に備え IoT機器の対策状況を
国内の重要な交通インフラや公共施設などに設置されているインターネット家電などのいわゆるIoT機器の対策の状況について速やかに調査し、問題が見つかった場合は施設の管理者などに注意喚起や対策の実施を促すよう政府に求めています。
また利用者が年々増加している公衆無線LANについて、セキュリティー対策が不十分な場合、通信の内容が漏れるおそれがあるとして、利用する場合は個人情報を入力しないなど注意すべき点を広く知らせるべきだとしています。
●総務省
一方、新型コロナウイルスはゼロデイ攻撃のようなもので、まさにこちらの方が深刻になりつつあるのかも知れませんね。。。
こんにちは、丸山満彦です。
中国の新型肺炎ですが、拡大中ですね。
●NHK
・2020.01.26 「感染力 やや強くなったか」新型肺炎で中国当局
新型コロナウイルスの感染が拡大する中国では、患者の数はこれまでに1975人、死亡した人は56人に上っています。中国の保健当局は「ウイルスの感染力がやや強くなっているとみられる」などと危機感を示したうえで、感染の拡大を抑え込むためあらゆる対策をとる考えを示しました。
●日本医師会
こんにちは、丸山満彦です。
「通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か」というニュースがありました。
●NHK
・2020.01.25 通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か
-----
●ソフトバンク株式会社
・2020.01.25 当社元社員の逮捕について
こんにちは、丸山満彦です。
昨年末に、リース会社が委託した廃棄業者の従業員が転売していたことが原因となり、インターネットオークションで落札したハードディスクに行政文書とみられるデータが残されており、復元されるという事件がありました。
委託業者が物理的な廃棄をするところまで見届けるとか、いろいろとあると思いますが、
適切な対応については、2005年に佐藤慶浩さんが指摘していますね。。。
●深情報セキュリティ美学
・2005.04.21 ディスク修理・廃棄時の機密保護
=====
媒体のサニタイズについては、以下も参考に・・・
●NIST
・SP800-88 Rev.1 Guidelines for Media Sanitization (2014/12)
<PDF>
改訂前ですが、
IPAによる翻訳も参考に・・・
・媒体のサニタイズに関するガイドライン(SP 800-88)
こんにちは、丸山満彦です。
OpenID Foundation Japanが、サービス事業者のための本人確認手続き(KYC)に関する調査レポートを公開しましたね。。。
・2020.01.23 サービス事業者のための本人確認手続き(KYC)に関する調査レポートが公開されました
・サービス事業者のための、本人確認手続き(KYC)に関する調査レポート 2020年1月 第1.0版
はじめに
KYCワーキンググループ概要と活動目的
KYCの定義
1-1. 本人確認(KYC)とは
1-2. 本人確認(KYC)対象となる属性
1-3. 本人確認(KYC)の方法
国内事業者におけるKYCの現状
2-1. 国内事業者におけるKYCの現状調査
2.2. 国内事業者に適用される各種業法
2-2-1. 犯罪収益移転防止法における本人確認手法
2-2-2. 電子署名法における本人確認について
2-2-3. 公的個人認証について
2.3. KYC事業者が提供するソリューション
2-3-1. 株式会社NTTドコモ 本人確認アシストAPI
2-3-2. オープンソース・ソリューション・テクノロジ株式会社 LibJeID(リブジェイド)
2-3-3. KDDI株式会社 本人確認支援サービス
2-3-4. 日本電気株式会社 本人確認サービス「Digital KYC」
2-3-5. 株式会社TRUSTDOCK KYC as a Service
次世代の目指すべきKYCの姿に向けて
3-1. 海外のKYCサービスの動向
3-2. 理想の本人確認(KYC)とは
3-3. 本人確認(KYC)の共通化に向けた取り組み
3-4. 本人確認(KYC)の共通化とビジネスモデル
3-5. 目指す姿に向けての課題
KYCに関連する技術要素の調査
4-1. オンラインにおける本人確認(KYC)のための技術
4-2. OpenID ConnectとKYC
[コラム 1] 本人確認書類に使われる文字について
[コラム 2] Decentralized Identifier(DID)とは
用語一覧
執筆者一覧
こんにちは、丸山満彦です。
米国では、「Emotetの活動が活発になってきてますよ」ってアナウンスが出ていますね。。。
●Cybersecurity and Infrastructure Security Agency (CISA)
・2020.01.22 Increased Emotet Malware Activity
・2018.01.20 Alert (TA18-201A) Emotet Malware
対策のところを読んでいて思ったのですが、、、
・メールでZIPファイルとか送られれ来ると迷惑なんですよね。。。きっと。。。
Consider blocking file attachments that are commonly associated with malware, such as .dll and .exe, and attachments that cannot be scanned by antivirus software, such as .zip files.
・最小特権も重要なんでよね。
Adhere to the principal of least privilege, ensuring that users have the minimum level of access required to accomplish their duties. Limit administrative credentials to designated administrators.
こんにちは、丸山満彦です。
三菱電機がサイバー攻撃を受けたことがニュースになっていますが、
関連の情報を網羅性なく、論理性なく、時系列でもなく、
気まぐれにならべておきます。。。
■ニュースリリース等
●三菱電機
・2020.01.20 不正アクセスによる個人情報と企業機密の流出可能性について(PDF)
■報道
●朝日新聞
・2020.01.22 【独自】三菱電機、複数の中国系ハッカー集団から攻撃か
・2020.01.22 標的の分野・時期は多様 三菱電機、4集団がサイバー攻撃
・2020.01.22 (天声人語)三菱電機にサイバー攻撃
・2020.01.21 三菱電機、サイバー被害だんまり 取引先に半年説明せず
・2020.01.20 三菱電機、個人情報8122人分流出か 就活生や従業員
●NHK
・2020.01.21 三菱電機サイバー攻撃「速やかな公表検討すべきだった」経産相
・2020.01.20 三菱電機にサイバー攻撃 8000人分超の個人情報 流出の可能性
●日経新聞
・2020.01.20 三菱電機にサイバー攻撃 中国系か、防衛情報流出恐れ
●読売新聞
・2020.01.20 中国系ハッカー集団、大規模攻撃か…三菱電機の機密や情報流出?
●東京新聞
・2020.01.21 中国ハッカー集団暗躍 手口巧妙化、対策急務
●ANN NewsCH (Youtube)
・2020.01.20 三菱電機に大規模サイバー攻撃 機密情報流出か
●JIJI Com
・2020.01.20 三菱電機にサイバー攻撃 企業機密の流出懸念―個人情報8000人分も
・2020.01.20 高まる攻撃リスク 防衛・インフラ企業、対応急務―三菱電機サイバー攻撃
●大紀元時報
・2020.01.21 三菱電機を狙う中国ハッカー集団Tick、日本に特化した組織 10年前から活動か
■出版社等
●Yahoo! News 山本一郎
・2020.01.21 三菱電機へのサイバー攻撃にみる、正確な報道の困難さ
●日経ビジネス 吉野次郎
・2020.01.21 三菱電機も被害、国際サイバー諜報戦は敵だらけ
●ITmedia 谷井将人
・2020.01.21 三菱電機、約8000人の個人情報流出か ウイルス対策システムにゼロデイ攻撃
・2020.01.20 三菱電機にサイバー攻撃 個人情報や機密情報が流出の可能性
●CNET Japan
・2020.01.20 三菱電機、不正アクセスで個人情報や企業機密が流出--今後の詳細発表は予定せず
●Internet Watch
・2020.01.20 三菱電機にサイバー攻撃、個人情報や企業機密が流出した可能性
●GIGAZIN
・2020.01.20 三菱電機がサイバー攻撃集団TICKによるものとみられる攻撃を受けて機密情報など流出の恐れ
●日刊ゲンダイ
・2020.01.21 三菱電機サイバー攻撃 中国系ハッカー集団「Tick」関与か
●東スポ
・2020.01.22 三菱電機サイバー攻撃受け個人情報流出 疑われる中国系ハッカー集団の“国家的戦争”
●講談社 山田 敏弘 ジャーナリスト
・2020.01.21 三菱電機にサイバー攻撃「中国系ハッカー集団Tick」の恐るべき正体
●Resoponse
・2020.01.21 続・狙われた三菱電機、個人情報8000人以上流出の恐れ[新聞ウォッチ]
・2020.01.20 狙われた三菱電機、中国系ハッカー集団からサイバー攻撃の可能性[新聞ウォッチ]
■ブログ等
●Piyolog
・2020.01.20 ログ消去もされていた三菱電機の不正アクセスについてまとめてみた
●Togetter
・2020.01.20 三菱電機にサイバー攻撃 防衛などの情報流出か
丸山満彦です。
NISTがPrivacy Frameworkを公開していますね。
・2020.01.16 NIST Releases Version 1.0 of Privacy Framework
・NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management.
NISTサイバーセキュリティフレームワークと似ていますが、機能を
・Identify(特定)
・Govern(統治)
・Control(統制)
・Communicate(伝達)
・Protect(防御)
の5つに分けで、成熟度の評価ができるようにしていますね。。。
=====
Executive Summary
Acknowledgements
1.0 Privacy Framework Introduction
1.1 Overview of the Privacy Framework
1.2 Privacy Risk Management
1.2.1 Cybersecurity and Privacy Risk Management
1.2.2 Privacy Risk Assessment
1.3Document Overview
2.0 Privacy Framework Basics
2.1 Core
2.2 Profiles
2.3 Implementation Tiers
3.0 How to Use the Privacy Framework
3.1 Mapping to Informative References
3.2 Strengthening Accountability
3.3 Establishing or Improving a Privacy Program
3.4 Applying to the System Development Life Cycle
3.5 Using within the Data Processing Ecosystem
3.6 Informing Buying Decisions
References
Appendix A: Privacy Framework Core
Appendix B: Glossary
Appendix C: Acronyms
Appendix D: Privacy Risk Management Practices
Appendix E: Implementation Tiers Definitions
Recent Comments