公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」
こんにちは、丸山満彦です。
公安調査庁が公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」を公表していますね。。。
● 公安調査庁
・2020.06.29 サイバーパンフレット「サイバー攻撃の現状2020」を公表しました。
・[PDF] [Downloaded]
読んでいただくとわかりますが、わかりやすくまとめていますね。
【参考】
June 2020
2020.06.30
2020.06.29
アクセス管理はSVOで考えるとわかりやすいかもですね。。。(1)
こんにちは、丸山満彦です。
ちょっと思うところがあって、こんなことを今日は書いてしまいます。
サイバーセキュリティの勉強を始める人向けです。
セキュリティ管理の重要な一つにアクセス管理があります。ゼロトラストネットワークとか、最近流行の言葉でも注目されているかも知れません。セキュリティの基本ですから当然かも知れません。
さて、このアクセス管理ですが、英語の第三文型のSVOで考えるとわかりやすいかも知れません。この3つの組み合わせで考えれば良いのだと思います。
- S : Subject = 行為の主体ですね
- V : Verb = 行為の内容
- O : Object = 行為の対象
つまり、誰(S)が何(O)に何をする(V)かということになりますね。。。それぞれS, V, Oをどう管理するかということになります。
[1] Sの管理
行為をする主体ですから人のことが多いですが、必ずしも人とは限りません(ロボットでも良いです)。その行為者の管理ですが、正当な行為者が行為をすることが重要となりますので、正当な行為者であることをはっきりさせる必要があります。
名乗ってきた行為者が正当であることを確認して、それから行為を行えるようにします。コンピュータの世界では一般的には識別子つまり、IDで行為者は名乗ってきます。IDはコンピュータの世界の名前と思ってください。名前、つまりIDだけではそれが本人かどうかはわかりませんので、一般的には”真正確認 (Authentication) ”が必要です。本人と確認する方法はいくつかあるかも知れません。「あいつ俺知っているから」というような属人的な方法によるわけにはいきませんから、形式的に処理できる方法が必要です。一般的には、
- 本人しか知らないこと
- 本人しか持っていないもの
- 生きた本人の体の一部の情報
を使って確認することになります。事前にお互いに”合言葉”を決めておくということがありますよね。それは「本人しか知らないこと」です。コンピュータの世界ではパスワードとなります。しかし、パスワードをうっかり人に教えてしまって他人にメモをされたりする可能性もありますので注意をしてください。
次は、「本人しか持っていないもの」です。例えば、木片を二つに割ってお互いにそれを持っていて、合わせた時に一致していれば本人だということを確認する方法です。印鑑(実印)や銀行のキャッシュカードたそれに当たりますかね。ただ、「もの」なので盗んで持ってきている可能性もあるし、偽造される可能性もあるので、通常はそれだけで確認することは難しくて、他の手段と組み合わせて(Andで)確認することが多いです(例えば、4桁の秘密の数字、パスワード等との組み合わせ)。
次は、「生きた本人の体の一部の情報」です。例えば指紋、静脈、虹彩、歩き方といったものが現実には使われていますね。確実性は高いのですが、一度盗まれてしまうと交換が効かないのが難しいところかも知れません。ここで「生きた」と書いたのは、単に指紋を写しとった情報だけ認証であるならば、上の「本人しか持っていないもの」になるかも、、、と思ったからです。
さて、この真正確認の方法は確実性のレベルがありそうですね。パスワードによるものか、指紋によるものか?、パスワードも文字の長さや組み合わせなど。。。
それから寿命もあるかも知れません。盗まれる可能性が高いものであれば、一定の期間が過ぎたら盗まれたものとして新たに再発行するということも考えられます。紛失したことが確実であれば再発行は確実に必要ですよね。。。
さて、こうなってくると、最初に本人であることを登録する部分も重要だということに気付きますよね。。。最初になりすまされると、その後ずっと正当になりすまされ続ける(本当の本人がいっても偽者扱いされる)ことになりますから。。。ただ、単なるメールマガジンの登録の時と、原子力発電所の制御システムへのID登録ではその重要性が異なってきますね。この部分の厳密性も色々ありますね。単にメールアドレスだけで良いのか、複数の他の公的機関が発行したもの(住民票原本、運転免許証とか)で確認して登録するということがありますね。
登録者がシステムに入る必要がなくなった場合の対応の仕方も考えないといけませんね。本人の登録を外してしまうのが適切ですね。例えば、退職者のIDは登録から外してしまうとかです。登録の外し方も完全に削除する方法もありますが、フラグを立てて無効にする方法もあります。
また、真正確認のための情報自体が盗まれないようにすることも重要ですね。
こういったことは、ID管理と言われることが多いですね。システムが複数絡み合ってくると、いちいちシステム毎に真正確認をすると大変なので、同じレベルの真正確認で済むのであれば連携して一つのシステムとして真正確認をするということもあります。そのためのシステムもありますね。。。
疲れたので、VとOは次回に。。。
■ 参考
● 佐藤慶浩さんの記事
2020.06.28
Satoriの開発者に13ヶ月の刑?
こんにちは、丸山満彦です。
Miraiの亜種と言われるSatoriの開発に関わっていた人が13ヶ月の刑を宣告されたという報道がされていますね。。。
● Krebson Security
・2020.06.25 New Charges, Sentencing in Satori IoT Botnet Conspiracy
The U.S. Justice Department today charged a Canadian and a Northern Ireland man for allegedly conspiring to build botnets that enslaved hundreds of thousands of routers and other Internet of Things (IoT) devices for use in large-scale distributed denial-of-service (DDoS) attacks. In addition, a defendant in the United States was sentenced today to drug treatment and 18 months community confinement for his admitted role in the botnet conspiracy.
● [PDF] DOJ motion (起訴状)
● Bleeping Computer
・2020.06.25 Developer of Mirai, Qbot-based DDoS botnets jailed for 13 months by Sergiu Gatlan
A 22-year-old Washington man was sentenced to 13 months in prison for renting and developing Mirai and Qbot-based DDoS botnets used in DDoS attacks against targets from all over the world.
Schuchman, also known as Nexus Zeta, pleaded guilty to the charges of being involved in the creation and operation of the Satori [1, 2], Okiru, Masuta, and Tsunami/Fbot botnets and was released to the United States Probation and Pretrial Services on September 3, 2019.
● teiss
・2020.06.26 Cyber crime - Hacker behind malicious Satori botnet sentenced to 13 months in prison by Jay Jay
A 22-year-old hacker has been sentenced to thirteen months in prison in the U.S. for developing the malicious Satori or Okiru botnet to launch powerful DDoS attacks and for selling the botnet to other hackers to earn money.
● threat post
・2020.06.26 Satori Botnet Creator Sentenced to 13 Months in Prison by Lindsey O'Donnell
The creator of the Satori/Okiru, Masuta and Tsunami/Fbot botnets has been sentenced to prison for compromising hundreds of thousands of devices.
起訴時
● Krebson Security
・2019.09.19 ‘Satori’ IoT Botnet Operator Pleads Guilty
A 21-year-old man from Vancouver, Wash. has pleaded guilty to federal hacking charges tied to his role in operating the “Satori” botnet, a crime machine powered by hacked Internet of Things (IoT) devices that was built to conduct massive denial-of-service attacks targeting Internet service providers, online gaming platforms and Web hosting companies.
● Daily Beast
・2019.09.04 How a High-School Dropout Hacked a Million Devices by Kevin Poulsen
Teenager behind notorious Satori botnet was an Xbox player who joined an online community that got their kicks from exploiting vulnerabilities in the so-called Internet of Things.
再逮捕時
● Bank Infosecurity
・2018.10.30 Satori Botnet's Alleged Developer Rearrested by
Potential Coincidence: IoT Botnet Reawakened After Suspect's Release on Bail
The alleged author of a supercharged variant of Mirai malware called Satori has been rearrested for violating his bail conditions.
起訴時
● hresearch.checkpoint
・2017.12.21 Huawei Home Routers in Botnet Recruitment
- A Zero-Day vulnerability (CVE-2017-17215) in the Huawei home router HG532 has been discovered by Check Point Researchers, and hundreds of thousands of attempts to exploit it have already been found in the wild.
- The delivered payload has been identified as OKIRU/SATORI, an updated variant of Mirai.
- The suspected threat actor behind the attack has been identified by his nickname, ‘Nexus Zeta’.
● Naked Security (Sophos)
・2018.09.03 Possible Satori botnet hacker indicted by Feds
A 20 year-old man has been indicted for computer crimes by a federal court in Alaska. Evidence suggests that he could be linked to the Satori botnet that exploited a previously unknown bug in a Huawei router. If so, one of the most virulent botnets in recent times might have been engineered not by a sophisticated organized criminal or nation state actor, but by a relatively inexperienced dabbler who happened across
● silicon
・2017.12.06 Satori Botnet Wakes Up And Enlists 263,000 Bots by
Variant of the more infamous Mirai malware starting to propagate very quickly, researchers warn.
● Bleeping computer
・2017.12.05 Satori Botnet Has Sudden Awakening With Over 280,000 Active Bots by Catalin Cimpanu
-----
別件 - Mirai 判決
Defendants Responsible for Creating “Mirai” and Clickfraud Botnets, Infecting Hundreds of Thousands of IoT Devices with Malicious Software
NIST ITL Bulletin - NIST Privacy Framework: An Overviewが公表されていますね。。。
こんにちは、丸山満彦です。
NISTから、NIST Privacy Framework: An Overviewが公表されていますね。。。と言っても、2020.01.16に公表された、フレームワークの簡単な説明文のようなものですね。。。
・2020.06.24 ITL Bulletin - NIST Privacy Framework: An Overview
・[PDF] June 2020 ITL Bulletin
・Related NIST Publications:
Publication:
White Paper (DOI)
Supplemental Material:
Local Download (pdf)
Privacy Framework and Core (other)
----
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.01.21 NIST Releases Version 1.0 of Privacy Framework
2020.06.27
”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???
こんにちは、丸山満彦です。
東欧に拠点をおくと言われている"Cryptocore"が2年間で暗号通貨取引所から2億US$相当の仮想通貨を盗んだ可能性があると報告されていますね。
● ClearSky Cyber Security - Blog
・2020.06.24 CryptoCore Group
・[PDF] CryptoCore - A Threat Actor Targeting Cryptocurrency Exchanges
取引所の幹部の個人メールアドレスにフィッシングメールを投げて、そこから暗号通貨取引所のウォレットを狙いに行くという感じですかね。。。
■ 報道等
● ZDnet
・2020.06.24 CryptoCore hacker group has stolen more than $200m from cryptocurrency exchanges by Catalin Cimpanu
The hacker group is believed to operate out of Eastern Europe, based on current evidence.
An organized hacker group believed to be operating out of Eastern Europe has stolen around $200 million from online cryptocurrency exchanges, cyber-security firm ClearSky said in a report shared with ZDNet today.
● International Business Times
・2020.06.24 East European Hackers Steal Over $200M from Cryptocurrency Exchanges, Targeting US, Japan by Bhaswati Guha Majumder
CryptoCore, believed to operate out of Eastern Europe, is now the second group which repeatedly targeted cryptocurrency exchanges during the past few years.
● Bleeping Computing
・2020.06.24 CryptoCore hackers made over $200M breaching crypto exchanges by Lawrence Abrams
A hacking group known as CryptoCore has pulled off cryptocurrency heists worth $70 million, but research indicates that it may be an estimated value of over $200 million since 2018.
According to a new report by cybersecurity firm ClearSky, a hacking group called CryptoCore, aka Dangerous Password” or “Leery Turtle”, targets cryptocurrency exchanges by conducting spear-phishing campaigns against employees and executives.
● Nasdaq
・2020.06.24 Security Firm Claims One Group Stole $200M in Numerous Exchange Hacks by
One shadowy group of cyber criminals might be behind attacks on various crypto exchanges (including âdecentralizedâ exchanges) dating back to 2018, Israeli cybersecurity firm ClearSky claimed in a report released on Wednesday.
● The Paypers
・2020.06.25 Hacker group CryptoCore alleged culprit of USD 200 mln steal from crypto exchanges
Organised hacker group CryptoCore has been accused of stealing around USD 200 million from online cryptocurrency exchanges, according to ZDNet.
● CryptGlobe
・2020.06.25 CryptoCore Hacking Group Stole Over $200 Million from Crypto Exchanges by Francisco Memoria
● Infosecurity Magazin
・2020.06.26 $200m Spear Phished from Cryptocurrency Exchanges by Sarah Coble
A newly detected threat group has stolen an estimated minimum of $200m from cryptocurrency exchanges in just two years.
The dastardly deeds of cyber-criminal organization CryptoCore were discovered by security firm ClearSky Cyber Security. Recently published research by the company revealed that the threat group has been active since at least May 2018, primarily targeting victims in the United States and Japan.
● Coin Post
・2020.06.25 日本も標的に 200億円相当の仮想通貨を盗み出したハッカー集団CryptoCoreの手口
ドイツとイタリアのCOVID-19接触通知アプリのPIA
こんにちは、丸山満彦です。
ドイツとイタリアのCOVID-19接触通知アプリのPIAを備忘録としてリンクしておきます。。。
[ドイツ]
● Die Bundesregierung - Corona-Warn-App -
・
[イタリア]
● Garante Per La Protezioni Dei Dati Personal
2020.06.26
CybersecurityとAIと国家安全保障 ; CSET A National Security Research Agenda for Cybersecurity and Artificial Intelligence
こんにちは、丸山満彦です。
少し前(2020.05.18)になりますが、Center for Security and Emerging Technology (CSET)からCybersecurityとAIについての安全保障上の課題に関するレポートが公開されていますね。。。
● CSET
・2020.05.18 (MeriTalk) CSET Releases Research Agenda for Cybersecurity and AI
・[PDF] A National Security Research Agenda for Cybersecurity and Artificial Intelligence
・[html]に変換
この報告書はなかなか興味深いです。。。
人工知能の機械学習パラダイムに焦点を当てています。攻撃、防御、敵対的学習、包括的な質問のパーツからなります。
攻撃:ソフトウェアの脆弱性の発見からターゲットシステムへの侵入など、コンピューターシステムへの不正アクセスを実行するためにすでに使用されている手法を機械学習が変更する方法を考慮する。
防御:機械学習システムが侵入の検出と対応、および悪意のあるコードの修正にどのように役立つかを検討する。
敵対的学習:機械学習システム自体のサイバーセキュリティの弱点と、それらが依存するデータを検討する。
包括的な質問:機械学習システムの特性と能力が、影響キャンペーンから事故リスク、戦略的安定性など、サイバー運用の戦略と行動をどのように変えることができるかを検討する。
・攻撃
・脆弱性の発見
・スピアフィッシング
・プロパガンダ
・難読化とフォレンジック対策
・破壊力
・防御
・検出
・阻止
・アトリビューション(帰属)
・敵対的学習
・データの有毒化
・データパイプライン操作
・モデル反転
・包括的な質問
・サイバー事故
・キャンペーンに影響を与える
・速度
・攻撃と防御のバランス
・ねずみ算
・戦略的安定性
● MeriTalk
・2020.05.18 CSET Releases Research Agenda for Cybersecurity and AI by
国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました
こんにちは、丸山満彦です。
国土交通省が、自動運行装置(レベル3)に係る国際基準が成立したことを報道していますね。。。
● 国土交通省
・2020.06.25 自動運行装置(レベル3)に係る国際基準が初めて成立しました
-----
国連の自動車基準調和世界フォーラム(WP29*)第181回会合において、初めて、以下の国際基準が成立しました。
- 乗用車の自動運行装置(高速道路等における60km/h以下の渋滞時等において作動する車線維持機能に限定した自動運転システム)
- サイバーセキュリティ及びソフトウェアアップデート
...
2.自動運行装置の国際基準の主な要件(詳細は別紙)
- 少なくとも注意深く有能な運転者と同等以上のレベルの事故回避性能
- 運転操作引継ぎ警報を発した場合、運転者に引き継がれるまでの間は制御を継続。運転者に引き継がれない場合はリスク最小化制御を作動させ、車両を停止
- ドライバーモニタリングシステムの搭載。システムの作動状態記録装置の搭載
- サイバーセキュリティ対策
- シミュレーション試験、テストコース試験、公道試験及び書面審査を適切に組み合わせた適合性の確認
3.サイバーセキュリティ及びソフトウェアアップデートの国際基準の主な要件(詳細は別紙)
- サイバーセキュリティ及びソフトウェアアップデートに関する適切な組織体制の確保及び車両の対策
...
報道発表資料(PDF形式)
(別紙1)自動運行装置の国際基準の概要(PDF形式)
(別紙2)サイバーセキュリティ及びソフトウェアアップデートの国際基準の概要(PDF形式)
(別紙3)自動運転技術に係る国際基準検討体制の概要(PDF形式)
(別紙4)WP29及び各協定の概要(PDF形式)
-----
● UNECE
・World Forum for Harmonization of Vehicle Regulations (WP.29)
-----
ECE/TRANS/WP.29/1152/Rev.1 - (Secretariat) - Revision 1 to the annotated provisional agenda for the 181st session of the World Forum, to be held virtually on Wednesday 24 June 2020 only, starting at 2.00 p.m. and ending at 4.00 pm Geneva time, for the seventy-fifth session of the Administrative Committee of the 1958 Agreement, for the fifty-ninth session of the Executive Committee of the 1998 Agreement, for the fifteenth session of the Administrative Committee of the 1997 Agreement
[PDF]
ECE/TRANS/WP.29/1152/Add.1 - (Secretariat) - Addendum to the annotated provisional agenda for the 181st session of the World Forum, to be held at the Palais des Nations, Geneva, starting at 2.30 p.m. on Tuesday, 23 June 2020, for the seventy-fifth session of the Administrative Committee of the 1958 Agreement, for the fifty-ninth session of the Executive Committee of the 1998 Agreement, for the fifteenth session of the Administrative Committee of the 1997 Agreement
[PDF]
ECE/TRANS/WP.29/1152 - (Secretariat) - Annotated provisional agenda for the 181st session of the World Forum, to be held at the Palais des Nations, Geneva, starting at 2.30 p.m. on Tuesday, 23 June 2020, for the seventy-fifth session of the Administrative Committee of the 1958 Agreement, for the fifty-ninth session of the Executive Committee of the 1998 Agreement, for the fifteenth session of the Administrative Committee of the 1997 Agreement
[PDF]
[余談]
● 国土交通省
・2020.03.31 自動運転車に関する安全基準を策定しました!~自動運転車のステッカーのデザインも決定~
人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。
こんにちは、丸山満彦です。
平和博さんのブログ、「新聞紙学的」が2020.06.25に「「コンピューターが間違ったんだな」AIの顔認識で誤認逮捕される」というブログをあげていますね。。。
誤解を恐れずにざっくりいうと、「AIを活用した顔認識技術により犯人の可能性が高いとして逮捕したが実は犯人でなかった」ということですかね。。。
ミシガン州警察で使われているシステムは、”Statewide Network of Agency Photos (SNAP)"というもので、[PDF]ACCEPTABLE USE POLICYに利用方針が掲載されています([HTML]に変換)。
おそらくAIというのは画像データを機械学習させたものだとは思います(どういう学習のさせ方をしているのかまでは、把握できていませんが、、、)。
SNAPシステムが選んだ容疑者について、無関係の人の画像と合わせて、犯人を見たであろう(が、実は見ていなかった)警備員に確認を取ったところ、警備員もSNAPシステムが選んだ容疑者を選んだので、逮捕をしたということのようです。さらに、容疑者には、犯行時刻は移動中でその様子がSNSに挙げられていたという分りやすいアリバイもあったということです。
また、学習の仕方からもしれませんが、白色人種に比べて有色人種(黒人、アジア系)に対する誤認識率が高いようですね。。。(男性よりも女性の方が誤認識率が高いようですね。。。)
-----
● NIST
・ 2019.12.19 (News) NIST Study Evaluates Effects of Race, Age, Sex on Face Recognition Software - Demographics study on face recognition algorithms could help improve future tools.
おそらく、AIの能力を過信してしまって、バイアスがかかり他の証拠の確認等、慎重にすべき手続きを怠ったのが原因なのかもしれませんが、人間が間違うなら、人間を模倣したAIも間違うということを頭の片隅に置いて、バイアスがかからないように常に慎重な対応をしないといけないのでしょうね。。。
----
ここからは、余談ですが、20年ほど前にデトロイトに住んでいました。当然のごとく車上荒らしにあい、警察に被害届を出しに行ったわけですが、、、
1. 状況説明をした後、警察が開口一番「どこで被害にあったか当ててやろう(Guess where)」と言われ、「その通りです。」「あの駐車場は最近、車上荒らしが多いので、5時前には出た方が良いよ」「はい。(知ってんのかい・・・)」
2. 次に言われたのは、「デトロイト警察が抱えている未解決事件はどのくらいあるのか知っているか?(Do you know how many open crimes Detroit have?)」私が、「100件くらい?」と言ったら、「数1000件以上だ(More than thousands)。その中には殺人や強盗もたくさん含まれている」。要は、お前の事件が解決するとは思うな。。。ということを言いたかったのかも知れません。。。
3. 車のライセンスを持っていくのを忘れていたので、道をはさんだ警察の駐車場まで取りに行って戻ったところで、「お前、駐車場まで一人で行っただろう?」「はい」「6時を過ぎてこの辺りを一人で歩いては行けない。」「でも、警察のすぐそばですよ。」「死角があるから安全は保証されない」「次からは気をつけます」
という会話が繰り広げられましたとさ・・・
2020.06.25
ほんまかいな=>「中国、ネットでのロボットの購入が一般化」
こんにちは、丸山満彦です。
「中国ではネットでのロボットの購入が一般化している」という話がAFPニュースでありましたが、本当なんですかね。。。
まぁ、中国は都市部を中心に衛生状況も大幅に改善し、平均寿命を伸びているので、ひとりっ子政策の影響と相まって、高齢化社会が訪れる可能性が高いと思いますがそんな高齢化社会に向けて、介護ロボット等が家庭で買われているという話です。ロボットと言っても人型ロボットというわけではないのでしょうが・・・
・2020.06.24 中国、ネットでのロボットの購入が一般化
Xinhua Newsが原典のようですが、見つけられません(^^;;...
-----
京東プラットフォームの新松松康旗艦店で販売されているロボット製品には、歩行支援ロボット、4機能インテリジェント介護ベッド、6機能インテリジェント介護ベッドなどがある。商品の内容説明は全面的かつ詳細で、画像や動画もあり一目で分かるようになっている。
-----
日本の産業としても頑張って欲しい分野ではありますが、やはり中国なんですかね。。。これからは。。。
こういうロボットも電波、音波等でコンピュータシステムとコミュニケーションをとると思われるので、セキュリティ対策は重要ですね。。。
欧州委員会(EU)がGDPRの2年間のレビューを公開していますね。。。
こんにちは、丸山満彦です。
欧州委員会(EU)がGDPRの2年間のレビューを公開していますね。。。
● EU
・2020.06.24 (News) Commission report: EU data protection rules empower citizens and are fit for the digital age
・2020.06.24 Communication - two years of application of the General Data Protection Regulation
・[PDF]
表題を意訳すると、「EUデータ保護規則はデジタル時代に即したもので人びとに力を与えている」という感じでしょうかね。。。
欧州委員会がGDPRに関する評価報告書を発表しましたが、それによると、GDPRはその目的のほとんどを達成しているとしていますね。。。特に人びとに執行可能な権利を提供し、ガバナンスと執行のための新しい欧州のシステムを構築することができたとしています。また、GDPRは、Covid-19の危機のような不測の事態にもデジタルソリューションをサポートする柔軟性を持っていることが証明されたとしています。課題的な話としては、加盟国間での整合性を挙げていますね。整合性は高まっているが、継続的に監視しなければならない一定レベルの断片化があると指摘しています。また、企業はコンプライアンス文化を発展させ、競争上の優位性として強力なデータ保護をますます利用するようになってきていると指摘していますね。。。
主要な課題として挙げているのは、次の通りです。。。
- Enforcement of the GDPR and the functioning of the cooperation and consistency mechanisms
- Harmonised rules but still a degree of fragmentation and diverging approaches
- Empowering individuals to control their data
- Opportunities and challenges for organisations, in particular small and medium-sized enterprises
- The application of the GDPR to new technologies
- Developing a modern international data transfer toolbox
- Promoting convergence and international cooperation in the area of data protection
ISACA White Paper : Supply Chain Resilience and Continuity - Closing Gaps Exposed in a Global Pandemic
こんにちは、丸山満彦です。
ISACAという団体があります。Information Sysytems Audit and Control Associationの短縮形ですが、今はブランドとしてISACAとなっています。。。
私は1995年からの会員で、過去に大阪支部の会長や東京支部の副会長を務めたこともあります。当時は、国際も含めて和気藹々としたコミュニティーでしたが、人数も増えて今は、会社みたいな組織になってしまってちょっと寂しい面もあります(ただ、組織力がある分、良い成果が出ていると思います。)
ちなみに、私がISACAの会員になるきっかけを作ってくれたのは、当時の上司でISACAの会員でもあった森田祐司[wikipedia]さんで、現在は会計検査院長をしています。会計検査院長がISACAの会員というのは世界的にも珍しいかもしれません。
そんなISACAから”Supply Chain Resilience and Continuity - Closing Gaps Exposed in a Global Pandemic”というWhite Paperが出ていますね。
・2020.06.22 ISACA Outlines How to Strengthen Enterprise Supply Chain Resiliency During the Pandemic and Beyond
・White Paper : Supply Chain Resilience and Continuity - Closing Gaps Exposed in a Global Pandemic
-----
The paper outlines key steps that need to be addressed in the business continuity planning process, such as:
- Identify and assess risk associated with continued service from suppliers and third parties for providing services to customers.
- Establish communication to share information about preparedness and response plans with niche and tactical suppliers and service providers to improve transparency of responses.
- Limit geographical concentration and the single point of failure, following an accurate impact analysis.
- Extend simulation models to the various scenarios presented, including pandemic, to enhance the abilities of the business continuity plan.
-----
目次等
↓
2020.06.24
DoDのDevSecOps
こんにちは、丸山満彦です。
ビジネス現場であっても、軍が使っている手法は理論的にはすごく参考になることが多いと思っています(予算上の問題でできないことが実際には多いのでしょうが・・・)。
米国の国防省が空軍を中心に培ってきたDevSecOpsの手法を全体に展開するように計画していますが、参考になるだろうと思って、私も勉強してみることにします。。。
最も、全てのソフトウェア開発をAgileでできるとは考えていないと思いますが、例えば95%くらいはできると考えているのでしょうかね。。。
私のイメージでは、木が全体のシステムとすると、幹や太い枝の部分は従来のWaterfallできっちり作り、枝葉の部分は柔軟にAgileなのかなと思います。ただ、Waterfallと言っても基本はCloud上に作られるので、Cloudはいわば土壌ですかね。。。幹の部分もAgileで作るとなると、なんとなくイメージとしては蔓植物な感じになりますかね。。。
● Defense Systems
・2020.06.17 DOD wants to overhaul its software development by 2025 by LAUREN C. WILLIAMS
↓
● FCW
・2020.01.23 DOD plans for security-focused guidance for DevSecOps by Lauren C.
↓
● DoD
・2019.08.19 [PDF] Enterprise DevSecOps Reference Design
ここ(空軍)は、とても有益な文書があります。。。全部はとても見切れないです。。。
● Air Force - Software
・DSOP - Documents
主要な文書だけでも
DoD Enterprise DevSecOps Documents:
- DoD Enterprise DevSecOps Initiative – Introduction v5.0 (updated: 05/26/20)
- DoD Enterprise DevSecOps Initiative – Ref Design 1.0
- DoD Enterprise DevSecOps Initiative – Maturity Review v1.6
- DoD Enterprise DevSecOps Initiative – Hardening Container Document v2.3
- DoD Enterprise DevSecOps Initiative – Moving to Microservices Document v1.3
- DoD Enterprise DevSecOps Initiative – Pipeline Description Document v1.2
- DevStar Initiative
- Trying to pick a Kubernetes distro? Use our Kubernetes Matrix!
DoD Enterprise DevSecOps Container/Artifacts Repository:
- Repo One – DoD Centralized Source Code Repository (DCCSCR)
- Repo One – DoD Container On-boarding Guide
- Iron Bank – DoD Centralized Artifacts Repository (DCAR)
- DSAWG DevSecOps Working Group (living documents)
ーーーー
BlueLakes:米国の200を超える警察等の269GBのハッキングされたデータが公開されているようですね。。。
こんにちは、丸山満彦です。
米国の200を超える警察等の269GBのハッキングされたデータがBlueLakesで公開されているようですね。。。公開前に1週間をかけて犯罪被害者や子供に関する特に機密性の高いデータや、無関係の民間企業、医療、退役軍人会に関する情報を消したようです。。。
公開されている情報には、銀行口座番号、メールアドレス、電話番号、ビデオ等が含まれるようですね。。。
● Distributed Denial of Secrets - Data - North America
で北米に含まれる United States of America の中にBlueLakesがあるので、きっとそれが対象となるファイルなのでしょうね。。。
24 years of data from over 200 police departments, fusion centers and training/support resources hacked by Anonymous.
と説明されています。
● Twitter - DDoSecretsはBlueLeaks
・2020.06.20 RELEASE: #BlueLeaks (269 GB)
■ 報道等
● Security Affairs
・ 2020.06.22 BlueLeaks: 269GB of data from US law enforcement organizations leaked online by Pierluigi Paganini
A group of hacktivists and transparency advocates published a massive 269 GB of data, dubbed BlueLeaks, allegedly stolen from U.S. Police and Fusion Centers.
● WIRED
・ 2020.06.22 Hack Brief: Anonymous Stole and Leaked a Megatrove of Police Documents by Andy Greenberg
The so-called BlueLeaks collection includes internal memos, financial records, and more from over 200 state, local, and federal agencies.
● ZDNet
・ 2020.06.22 BlueLeaks: Data from 200 US police departments & fusion centers published online by Catalin Cimpanu
Activist group DDoSecrets published 296 GB of police data on Friday, June 19.
● SC Media
・2020.06.23 BlueLeaks files expose data from law enforcement, fusion centers by Teri Robinson
As protesters continue to take to the streets to demand racial justice and police reform in the wake of George Floyd’s death, the activist group DDoSecrets published data on a searchable portal that it says was nicked from more than 200 law enforcement agencies and fusion centers in the U.S.
● Bleeping Computer
・ 2020.06.22 BlueLeaks data dump exposes over 24 years of police records by Ax Sharma
In what is being referred to as 'BlueLeaks,' a group called Distributed Denial of Secrets (DDoSecrets) has released a 269 GB data dump containing 24 years worth of records from over 200 police departments.
● Forbes
・ 2020.06.22 BlueLeaks: Huge Leak Of Police Department Data Follows George Floyd Protests by Thomas Brewster
A massive leak of police department data is causing a stir, as a hacktivist group known as Distributed Denial of Secrets dropped what it claims is 269GB of files from a large number of agencies.
● Thret Post
・ 2020.06.22 Report: ‘BlueLeaks’ Exposes Sensitive Data From Police Departments by Lindsey O'Donnell
DDoSecrets has published data from over 200 police departments, law enforcement training and support resources and fusion centers.
● Krebs on Security
・ 2020.06.22 ‘BlueLeaks’ Exposes Files from Hundreds of Police Departments
Hundreds of thousands of potentially sensitive files from police departments across the United States were leaked online last week. The collection, dubbed “BlueLeaks” and made searchable online, stems from a security breach at a Texas web design and hosting company that maintains a number of state law enforcement data-sharing portals.
● Naked Security by Sophos
・ 2020.06.23 ‘BlueLeaks’ exposes sensitive files from hundreds of police departments
DDoSecret – a journalist collective known as a more transparent alternative to Wikileaks – published hundreds of thousands of potentially sensitive files from law enforcement, totaling nearly 270 gigabytes, on Juneteenth.
● Salon
・ 2020.06.22 Inside "Blue Leaks," a trove of hacked police documents released by Anonymous
More than one millions documents were just leaked from law enforcement fusion centers
● Business Insider
・ 2020.06.22 Hackers just leaked sensitive files from over 200 police departments that are searchable by badge number by Aaron Holmes
● ars technica
・ 2020.06.23 Millions of documents from >200 US police agencies published in “BlueLeaks” trove by DAN GOODIN
Document dump comes almost 4 weeks after murder by police of George Floyd.
● Mail Online
・ 2020.06.23 Data dump dubbed 'BlueLeaks' exposes hundreds of thousands of files from over 200 police departments and FBI groups that include specific clothing and tattoos of protesters deemed a threat by STACY LIBERATORE
● PCMag
・ 2020.06.22 'BlueLeaks' Data Dump Exposes 269GB of Files From Hundreds of Police Departments by Michael Kan
A WikiLeaks-like group dumped the information, which includes internal documents and reports from the FBI and police departments across the US.
● Fast Company
・ 2020.06.22 Report: ‘Highly sensitive’ police department data hacked for a WikiLeaks-style website
● VICE
・ 2020.06.22 ‘BlueLeaks’: Group Releases 270GB of Sensitive Police Documents by Lorenzo Franceschi-Bicchierai
A collective that hosts leaked data in the public interests published BlueLeaks, a collection of hundreds of thousands of internal documents from police departments across the country.
● Digital Trends
・ 2020.06.22 Massive ‘Blueleaks’ trove of law enforcement documents leaked by
2020.06.23
IPA 独BaSys 4.0と日本のORiNの連携環境でセキュリティ対策の有効性を実証
こんにちは、丸山満彦です。
IPAの社会基盤センターが「DX時代に求められる製造プラットフォーム間連携のPoC(概念実証)を実施~独BaSys 4.0と日本のORiNの連携環境でセキュリティ対策の有効性を実証~」の報告書を公開していますね。
複数IoTプラットフォーム(独BaSys 4.0と日本のORiN)間連携環境でのセキュリティ対策の概念実証(PoC)を実施した報告書です。
一方のプラットフォームシステムの脆弱性が攻撃され、他方のプラットフォームシステムに影響が及ぶケースを想定して、
- 攻撃の侵入を抑止する対策(プラットフォーム間の信頼性情報確認)
- 侵入を許した攻撃の効果を抑止する対策(プラットフォームを跨いだアクセス制御)
を実装して効果を確認したとのことです。。。
● IPA
・2020.06.23 DX時代に求められる製造プラットフォーム間連携のPoC(概念実証)を実施~独BaSys 4.0と日本のORiNの連携環境でセキュリティ対策の有効性を実証~
・[PDF]「マルチプラットフォームシステムでのセキュリティ対策のPoC(概念実証)報告書」
・[YouTube]マルチプラットフォームシステムでのセキュリティ対策のPoC
[参考]
・2018.11.12 [PDF] SEC BOOKS:つながる世界の開発指針 ~安全安心なIoTの実現に向けて開発者に認識してほしい重要ポイント~ 第2版
・2017.06.15 [PDF] SEC BOOKS:「つながる世界の開発指針」の実践に向けた手引き[IoT高信頼化機能編]
連邦取引委員会(FTC)がパンデミック中のプライバシーに関してブログを書いていますね。。。
こんにちは、丸山満彦です。
米国の連邦取引委員会(FTC)がパンデミック中のプライバシーに関してブログを書いていますね。。。
● The Federal Trade Commission (FTC)
・2020.06.19 Privacy during coronavirus by Elisa Jillson
参考になるかもです。。。
- Consider privacy and security as you’re developing your products and services, and not after launch.
- Use privacy protective technologies.
- Consider using anonymous, aggregate data.
- Delete data when the crisis is over.
つまり
- 製品を世の中に出す前にプライバシーを考えよう
- プライバシー保護技術を活用使用
- データを集計する場合は匿名データの活用を考えよう
- 危機が終わったらデータを廃棄しよう
ということですかね。。。
GAO GreenbookとOMB Circular No. A-123
こんにちは、丸山満彦です。
米連邦政府のERM・内部統制の制度とGAOの監査について情報だけ載せておきます。
● Office of Management and Budget : OMB [wikipedia]
OMBは大統領直属の組織で大統領の方針のもと連邦政府の予算全体を調整し作成する役割をになっています。各政府機関によって適切に執行されるようにすることも任務となりますので、内部統制(セキュリティやプリバシーも含む)も管轄することになっているものと思います。
・The Mission and Structure of the Office of Management and Budget
-----
- Budget development and execution, a significant government-wide process managed from the Executive Office of the President and a mechanism by which a President implements decisions, policies, priorities, and actions in all areas (from economic recovery to health care to energy policy to national security);
- Management — oversight of agency performance, Federal procurement, financial management, and information/IT (including paperwork reduction, privacy, and security);
- Coordination and review of all significant Federal regulations by executive agencies, to reflect Presidential priorities and to ensure that economic and other impacts are assessed as part of regulatory decision-making, along with review and assessment of information collection requests;
- Legislative clearance and coordination (review and clearance of all agency communications with Congress, including testimony and draft bills) to ensure consistency of agency legislative views and proposals with Presidential policy; and
- Executive Orders and Presidential Memoranda to agency heads and officials, the mechanisms by which the President directs specific government-wide actions by Executive Branch officials.
-----
内部統制については、OMB Circular No. A-123が存在します。最新版は、2016.07.15に公表されています。
・2016.07.15 A Conversation with OMB Controller David Mader on the Release of the Updated OMB Circular A-123
・[PDF] OMB Circular No. A-123
----
Purpose: This Circular defines management’s responsibilities for enterprise risk management (ERM) and internal control. The Circular provides updated implementation guidance to Federal managers to improve accountability and effectiveness of Federal programs as well as mission support operations through implementation of ERM practices and by establishing, maintaining, and assessing internal control effectiveness. The Circular emphasizes the need to integrate and coordinate risk management and strong and effective internal control into existing business activities and as an integral part of managing an Agency.
....
Requirements: Office of Management and Budget (OMB) Circular No. A-123 requires agencies to integrate risk management and internal control functions. The Circular also establishes an assessment process based on the Government Accountability Office’s (GAO) Standards for Internal Control in the Federal Government (known as the Green Book) that management must implement in order to properly assess and improve internal controls over operations, reporting, and compliance. The primary compliance indicators that management must consider when implementing OMB Circular No. A-123, include:
- Management is responsible for the establishment of a governance structure to effectively implement, direct and oversee implementation of the Circular and all the provisions of a robust process of risk management and internal control.
- Implementation of the Circular should leverage existing offices or functions within the organization that currently monitor risks and the effectiveness of the organization’s internal control.
- Agencies should develop a maturity model approach1 to the adoption of an ERM framework. For FY 2016, Agencies are encouraged to develop an approach to implement ERM. For FY 2017 and thereafter Agencies must continuously build risk identification capabilities into the framework to identify new or emerging risks, and/or changes in existing risks (See Section II.C. for additional details).
- Management must evaluate the effectiveness of internal controls annually using GAO’s Standards for Internal Control in the Federal Government. (The Green Book) Throughout the Circular, the terms “Must” and “Will” denote a requirement that management will comply with in all cases. “Should,” indicates a presumptively mandatory requirement except in circumstances where the requirement is not relevant for the Agency. “May” or “Could,” indicate best practices that may be adopted at the discretion of management.
...
TABLE OF CONTENTS
I. Introduction
II. Establishing Enterprise Risk ManagementInManagement Practices
A. Governance
B. Risk Profiles
B1. Identification of Objectives
B2. Identification of Risk
B3. Inherent Risk Assessment
B4. Current Risk Response
B5. Residual Risk Assessment
B6. Proposed Action
B7. Proposed Risk Response Category
C. Implementation
D. Role of Auditors in Enterprise Risk Management
III. Establishing And Operating An Effective System Of Internal Control
A. Governance
B. Establish Entity Level Control
B1. Service Organizations
B2. Managing Fraud Risks in Federal Programs
IV. Assessing Internal Control
A. Documentation Requirements
B. Sources of Information
C. Identification of Deficiencies
D. Internal Control Evaluation Approach
V. Correcting Internal Control Deficiencies
A. Importance of Correcting Internal Control Deficiencies
B. Corrective Action Plan Requirements
C. Audit Follow Up and Cooperative Audit Resolution and Oversight Initiatives
VI. Reporting on Internal Controls
A. Annual Assurance Statement
B. Reporting Pursuant to Integration of Enterprise Risk Management and Internal Control
C. Reporting Pursuant to OMB Circular No. A-123, Appendix A
D. Reporting Pursuant to OMB Circular No. A-130, Appendix I
E. Reporting Pursuant to Section 2—31 U.S.C. 3512(d) (2)
F. Reporting Pursuant to Section 4—31 U.S.C. 3512(d) (2) (B)
G. Government Corporations
H. Classified Matters
I. Agencies Obtaining Audit Opinions on Internal Control
VII. Additional Considerations
A. Managing Privacy Risks in Federal Programs
B. Conducting Acquisition Assessments under OMB Circular No. A-123
C. Managing Grants Risks in Federal Programs
D. Managing Antideficiency Act Risks
------
となっています。。。
一方、GAOのGreenbookですが、正式名称は、”Standards for Internal Control in the Federal Government”です。
● U.S. Government Accountability Office (GAO) [wikipedia]
Greenbookは、政府向けCOSO-内部統制基準と考えれば良いかもです。最新版は、2014.09.10に発行されています。
・2014.09.10 GAO-14-704G:Greenbook
・[PDF] Standards for Internal Control in the Federal Government
参考に、COSOの内部統制基準"Internal Control - Integrated Framework (Executive Summary)"と比べてみてくださいませ。
| Greenbook | COSO | |
| CONTROL ENVIRONMENT | CONTROL ENVIRONMENT | |
| 1 | The oversight body and management should demonstrate a commitment to integrity and ethical values. | The organization demonstrates a commitment to integrity and ethical values. |
| 2 | The oversight body should oversee the entity's internal control system. | The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal. |
| 3 | Management should establish an organizational structure, assign responsibility, and delegate authority to achieve the entity's objectives. | Management establishes, with board oversight, structure, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives. |
| 4 | Management should demonstrate a commitment to recruit, develop, and retain competent individuals. | The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. |
| 5 | Management should evaluate performance and hold individuals accountable for their internal control responsibilities. | The organization holds individuals accountable for their internal control responsibilities in pursuit of objectives. |
| RISK ASSESSMENT | RISK ASSESSMENT | |
| 6 | Management should define objectives clearly to enable the identification of risks and define risk tolerances. | The organization specifies objectives with sufficient clarity to enable the identification and assessment of risk relating to objectives. |
| 7 | Management should identify, analyze, and respond to risks related to achieving the defined objectives. | The organization identifies risk to achievement of its objectives across the entity and analyzes risks as a basis for determine how the risks should be managed. |
| 8 | Management should consider the potential for fraud when identifying, analyzing, and responding to risks. | The organization considers the potential for fraud in assessing risks to the achievement of objectives. |
| 9 | Management should identify, and respond to significant changes that could impact the internal control system. | The organization identifies and assesses changes that could significantly impact the system of internal control. |
| CONTROL ACTIVITIES | CONTROL ACTIVITIES | |
| 10 | Management should design control activities to achieve objectives and respond to risks. | The organization selects and develops control actives that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. |
| 11 | Management should design the entity's information system and related control activities to achieve objectives and respond to risks. | The organization selects and develops general control activities over technology to support the achievement of objectives. |
| 12 | Management should implement control activities through policies. | The organization deploys control activities through policies that establish what is expected and procedures that put policies into action. |
| INFORMATION & COMMUNICATION | INFORMATION & COMMUNICATION | |
| 13 | Management should use quality information to achieve the entity's objectives. | The organization obtains or generates and uses relevant, quality information to support the functioning of internal control. |
| 14 | Management should internally communicate the necessary quality information to achieve the entity's objectives. | The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control. |
| 15 | Management should externally communicate the necessary quality information to achieve the entity's objectives. | The organization communicates with external parties regarding matters affecting the functioning of internal control. |
| MONITORING | MONITORING | |
| 16 | Management should establish and operate monitoring activities to monitor the internal control system and evaluate the results. | The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning. |
| 17 | Management should remediate identified internal control deficiencies on a timely basis. | The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate. |
2020.06.22
US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる
こんにちは、丸山満彦です。
US-GAO (U.S. Government Accountability Office)は、空軍を監査し、強化されたエンタープライズリスクマネジメントと内部統制評価(Enhanced Enterprise Risk Management and Internal Control Assessments)を通じて、ミッションクリティカルな資産(約4,000億ドルの総資産の約半分≒約2,000億ドル)に対する説明責任を向上させることができると報告していますね。12の推奨事項を指摘しています。
ここで、OMB Circular No. A-123という用語が出てきますが、2016.07.15に公表された連邦政府のリスクマネジメントと内部統制に関する非常に重要な文書です。
「OMB Circular No. A-123, Management's Responsibility for Enterprise Risk Management and Internal Control」という表題です。
ちなみに、GAOが定めている内部統制の基準はGreen Bookと言われていて、今はウェブになっていますが、公開されています。
● U.S. Government Accountability Office (GAO) [wikipedia]
・2020.06.18 GAO-20-332 AIR FORCE : Enhanced Enterprise Risk Management and Internal Control Assessments Could Improve Accountability over Mission-Critical Assets
・[PDF] Highlights Page
・[PDF] Full Report
-----
Fast Facts
The Air Force identified more than half of its $398 billion in assets (i.e., aircraft, weapons, vehicles, buildings) as mission-critical in fiscal year 2019. But, for decades, the service has not been accurately tracking and reporting financial information about its mission-critical assets. Without reliable information on this, the Air Force can’t support informed decisions about the condition, cost, or reliability of its assets, or about the need to request more resources.
Our 12 recommendations could help the Air Force strengthen its policies and procedures for overseeing and reporting on its mission-critical assets.
-----
Recommendation:
- The Secretary of the Air Force should develop and implement procedures for an ERM governance structure that includes oversight responsibilities for identifying, assessing, responding to, and reporting on the risks associated with agency material weaknesses from all relevant sources. These procedures should clearly demonstrate that risks associated with material weaknesses are considered by Air Force governance, as a whole, and are mitigated appropriately to achieve goals and objectives.
- The Secretary of the Air Force should develop policies or procedures for assessing internal control to require
(1) clearly delineating who within the Air Force is responsible for evaluating the internal control components and principles, how often they are to perform the evaluation, the level (e.g., entity or transactional) of the evaluation, what objectives are covered in the assessment, to whom to communicate the results if they are relevant to others performing assessments of internal control, and what guidance to follow;
(2) documenting management’s determination of whether each component and principle is designed, implemented, and operating effectively; and
(3) documenting management’s determination of whether components are operating together in an integrated manner. - The Secretary of the Air Force should develop policies or procedures for assessing internal control to require the use of test plans that
(1) tie back to specific objectives to be achieved as included in the Business Operations Plan;
(2) specify the nature, scope, and timing of procedures to conduct under the OMB Circular No. A-123 assessment process; and
(3) reflect a consideration of prior year self-identified control deficiencies and results of internal and external audits. - The Secretary of the Air Force should develop policies or procedures for assessing internal control to require SAF/FM to validate
(1) the number of organizational units reporting for its overall internal control assessment;
(2) how control procedures were tested, what results were achieved, and how conclusions were derived from those results; and
(3) whether the results used to compile the current year report are based on current fiscal year’s assessments. - The Secretary of the Air Force should develop policies or procedures for assessing internal control to require SAF/FM to assess how waivers affect the current year assessment of internal control, the determination of systemic weaknesses, and the compilation of the Air Force’s overall Statement of Assurance.
- The Secretary of the Air Force should require that developers of the policy and related guidance associated with designing the procedures for conducting OMB Circular No. A-123 assessments receive recurring training and are appropriately skilled in conducting internal control assessments and are familiar with Standards for Internal Control in the Federal Government.
- Page 25 GAO-20-332 Air Force ERM and Internal Control The Secretary of the Air Force should analyze all definitions included in Air Force ERM and internal control assessment policy and related guidance to ensure that all definitions and concepts are defined correctly.
- The Secretary of the Air Force should require SAF/FM to design recurring training for those who will assess internal control that
(1) includes enhancing their skills in evaluating the internal control system and documenting results;
(2) reflects all OMB Circular No. A-123 requirements, such as those related to identifying objectives, evaluating deficiencies, and determining material weaknesses; and
(3) is provided to all who are responsible for performing internal control assessments. - The Secretary of the Air Force should develop policy or procedures consistent with OMB Circular No. A-123 to assess the system of internal control using a risk-based approach.
- The Secretary of the Air Force should develop procedures to assess internal control over processes related to mission-critical assets, including
(1) tests of design that evaluate whether controls are capable of achieving objectives,
(2) tests of effectiveness only after a favorable assessment of the design of the control, and
(3) a baseline that has accurate descriptions of business processes and identifies key internal controls as designed by management to respond to risks. - The Secretary of the Air Force should establish a process and reporting lines of all the sources of information, including reviews performed of internal control processes related to mission-critical assets, that will be considered in the Secretary’s Statement of Assurance.
- The Secretary of the Air Force should develop procedures to require coordination between business process leads and the Air Force’s unit managers to ensure that mission-critical asset–related internal control deficiencies are considered in the unit managers’ assessments of internal control and related supporting statements of assurance. These procedures should include how, when, and with what frequency the results from the business process internal control reviews should be provided to relevant organizational units for consideration in their respective assurance statements.
ーーーーー
要は、
1. 空軍長官はERMを構築しろ
2. 空軍長官は内部統制を評価しろ
3. 空軍長官は内部統制の評価の手順を作成し、計画的に検証しろ
4. 空軍長官は評価のための方針と手順について空軍財務管理・監査官に検証させろ
5. 空軍長官は、空軍財務管理・監査官が内部統制の評価、弱点の決定および組織の評価にどのように影響するか評価させろ
6. 空軍長官は、OMB No.A-123の評価ができるように教育をしろ
7. 空軍長官は、ERMに含まれる定義等を分析し、正しく定義されていることを確認しろ
8. 空軍長官は内部統制を評価する人をトレーニングしろ
9. 空軍長官は、リスクベースのアプローチを使用して内部統制を評価するために、OMB No.A-123に一致する方針・手順を開発しろ
10. 空軍長官は、ミッションクリティカルな資産に関連するプロセスの内部統制を評価するための手順を開発しろ
11. 空軍長官は、ミッションクリティカルな資産に関連性する内部統制の報告ラインを確立しろ
12. 空軍長官は、ミッションクリティカルな資産に関連する内部統制の欠陥が評価の過程で確実に考慮されるようにしろ
という感じですかね。。。
● [PDF] OMB Circular No. A-123
2020.06.21
EDPB COVID-19 Contact Tracing Applicationの相互運用性に関する声明を発表
こんにちは、丸山満彦です。
欧州データ保護委員会(Europian Data Protection Board : EDPB)がContact Tracing Applicationの相互運用に関する声明を発表していますね。。。
国を跨いで相互運用できた方が効果はあるが、今さら技術的には簡単ではないということは理解した上での声明ですね。。。
● Europian Data Protection Board : EDPB
・2020.06.16 Statement on the data protection impact of the interoperability of contact tracing apps
・[PDF] Statement on the data protection impact of the interoperability of contact tracing apps - Adopted on 16 June 2020
・[html]
■ 報道等
● The National Law Review
・2020.06.19 EDPB Releases Statement on Interoperability of Contact Tracing Apps
● HUNTON Andrews Kurth
・2020.06.19 EDPB Releases Statement on Interoperability of Contact Tracing Apps
On June 16, 2020, the European Data Protection Board (the “EDPB”) released a statement on the data protection impact of the interoperability of contact tracing apps within the EU (the “Statement”). The EDPB issued this Statement following the publication of “Interoperability guidelines for approved contact tracing mobile applications in the EU” by the eHealth Network on May 13, 2020. In its guidelines, the eHealth Network calls for an interoperable framework in the EU that would enable users to rely on a single contact tracing application regardless of the Member State or region in which they reside.
UK-ICO 警察による携帯電話からのデータ抽出に関する報告書
こんにちは、丸山満彦です。
英国の情報コミッショナー(Information Commisioner's Office : ICO)は、イングランドとウェールズで犯罪捜査を行う際の警察による携帯電話抽出(mobile phone extraction : MPE)の使用について報告書を公表していますね。。。
警察のデータ抽出では、必要以上の個人データが抽出され、既存のデータ保護法の適切な根拠なしに保存されることがよくあると指摘していますね。。。警察が過剰に携帯電話からデータを抽出することに市民が嫌気をさすと、市民の犯罪捜査への協力が得られにくくなり、かえって良くないと懸念を正直に示していますね。
公益とプライバシーの均衡をどうとるかは、これからさらに重要な論点となってくると思われますね。。。何か、包括的な枠組みが必要なのかもしれませんね。。。UKだけの課題ではないように思いました。。。
● ICO
・2020.06.18 ICO releases findings on the use of mobile phone extraction by police forces
・[PDF] Mobile phone data extraction by police forces in England and Wales - Investigation report June 2020 - Version 1.1
・[HTML] Forward
・[HTML] Exective Summary
目次
↓
2020.06.20
オーストラリア首相が「政府及び民間企業が国家によるサイバー攻撃のターゲットになっている」と警告していますね。。。
こんにちは、丸山満彦です。
オーストラリアのスコット・モリソン首相はオーストラリアの政府や民間企業が国家(中国?)が後援(国家そのもの?)している攻撃者による大規模なサイバー攻撃が行われていると声明を発表しましたね。。。
■ 報道等
● BBC
・2020.06.19 Australia cyber attacks: PM Morrison warns of 'sophisticated' state hack
Australia's government and institutions are being targeted by ongoing sophisticated state-based cyber hacks, Prime Minister Scott Morrison says.
● Mail online
・2020.06.19 Security expert reveals the most vulnerable target of China's huge hacking attack on Australia - as it's claimed assault was payback for Huawei being banned from nation's 5G network
- Cyber attack has been aimed at the Australian government and companies
- The Prime Minister said a 'sophisticated state-based' actor was behind attacks
- Officials say invasion is payback for banning Huawei from national 5G network
- The attacks have been happening for 'many months' but have been increasing
- Last year China was allegedly responsible for the attack on national parliament
● 2GB
・2020.06.19 Massive cyber attack against the Australian government and private sector
There has been a cyber intrusion of incredible scale aimed at Australian organisations by a sophisticated state-based cyber actor.
● abc
・2020.06.19 China believed to be behind major cyber attack on Australian governments and businesses
Federal Government agencies believe that China is the nation behind ongoing cyber attacks on Australian institutions, including hospitals and state-owned utilities, in recent months.
● 9News
・2020.06.19 'Sophisticated state-based' cyber attack hits Australian government, businesses in major breach
All levels of Australian government, critical infrastructure and the private sector are being targeted in a "sophisticated state-based" cyber attack, Prime Minister Scott Morrison has revealed.
-----
厚生労働省 新型コロナウイルス接触確認アプリ(COCOA) COVID-19 Contact-Confirming Application リリース
こんにちは、丸山満彦です。
厚生労働省からついに、、、COVID-19 Contact-Confirming Application 通称(COCOA)が出ましたね。。。
ダウンロード数は6月19日23:30現在で約85万件だそうです。日本の人口が約126百万人で60%の導入が最低必要とした場合、7,560万人がインストールする必要があるわけですが、これを目標とする(インストールした人が常に100%利用している想定...)と、現在では達成率 1.1%といったところです。どこまで伸ばせますでしょうか・・・
2020.05.17に放送されたNHKスペシャル「新型コロナウイルス ビッグデータで闘う」で「まずは使ってもらうというところを重視した設計思想を入れないと何も実現できない」という発言が放送で流れたこともあり、とりあえずInstallをし、使ってみることにしました。。。
ただし、このアプリが公開されたからといって直ちに何かが変わるわけではありません。予防効果も限定的です(例えば、ドアノブで感染するといった濃厚接触を伴わない接触感染については検知できません。また、距離が近かったがガラスで仕切られた空間にいた場合に検知してしまうなど)、そもそもスマホの保有率が70%程度ではないかと思われている件、など諸々あります。。。
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.06.16 厚生労働省 - 新型コロナウイルス接触確認アプリ COVID-19 Contact-Confirming Application
・2020.05.27 政府CIOポータル 接触確認アプリに関する仕様書等の公表
・2020.05.26 日本のコンタクト・トレーシング・システムは6月中旬稼働予定
・2020.05.22 政府CIOポータル第2回接触確認アプリに関する有識者検討会合開催
・2020.05.21 COVID-19に対する濃厚接触可能性検知アプリの現状 by 喜連川 優 国立情報学研究所 所長
・2020.05.20 世界のコンタクト・トレーシング・アプリケーション(by The Office of the Privacy Commissioner of New Zealand)
・2020.05.19 関係者は是非! => 接触確認アプリ「まもりあいJAPAN」の全体設計について
・2020.05.19 セキュリティ専門家の「まずは使ってもらうというところを重視した設計思想を入れないと何も実現できない」という「NHKスペシャル「新型コロナウイルス ビッグデータで闘う」」番組中のコメントの真意について
● 厚生労働省
・健康・医療新型コロナウイルス接触確認アプリ(COCOA) COVID-19 Contact-Confirming Application
SP 1800-16 Securing Web Transactions: TLS Server Certificate Management
こんにちは、丸山満彦です。
NISTからTLSサーバー証明書管理のガイドが発行されましたね。。。
ちなみに、PDFは432ページあります。。。
内容は、
- Volume A: Executive Summary;
- Volume B: Security Risks and Recommended Best Practices;
- Volume C: Approach, Architecture, and Security Characteristics;
- Volume D: How-To Guides – instructions for building the example solution.
となっております。。。
・2020.06.16 SP 1800-16 Securing Web Transactions: TLS Server Certificate Management
・[PDF]
Supplemental Material:
SP 1800-16 volumes and Project Homepage (other)
Related NIST Publications:
Document History:
11/29/18: SP 1800-16 (Draft)
07/17/19: SP 1800-16 (Draft)
06/16/20: SP 1800-16 (Final)
2020.06.19
ドイツ:BfDI発行2019年次報告書
こんにちは、丸山満彦です。
ドイツの「データ保護と情報の自由のための連邦委員会(Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) )」が発行している、[PDF]「2019:第28回データ保護についての活動レポート」は興味深いがドイツ語だ・・・
学生時代、ドイツ語が第二外国語でした。でしたけど・・・
● Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
・2020.06.17 28. Tätigkeitsbericht zum Datenschutz 2019
・[PDF]
CSA クラウドを利用した遠隔医療データのプライバシー、セキュリティ・プロトコルの遵守に関するガイダンス
こんにちは、丸山満彦です。
Cloud Security Alliance (CSA)がクラウドを利用した遠隔利用データのプライバシー、セキュリティ・プロトコルの遵守に関するガイドラインを公表していますね。割と短めの読みやすいものです。。。
考えてみれば、COVID-19の影響で、広い意味での遠隔医療というのがすすむでしょうね。もちろん、全部を遠隔に変えることはできませんが、患者とその患者に適した医者との時間的距離、診療内容等に応じて、遠隔医療が適しているところは遠隔医療を活用する方が、全体としての医療の質が上がるので、できるところは積極的に活用するのが良いのでしょうね。。。
● CSA
クラウド上で患者データの処理、保存、送信する際のプライバシー、セキュリティ上の懸念事項を取り上げています。
・Telehealth data in the cloud [PDF]
-----
Table of Contents
Abstract
Introduction
Privacy Concerns
Security Concerns
Governance
Compliance
Confidentiality
Integrity
Availability
Incident Response and Management
Maintaining a Continuous Monitoring Program
Conclusion
References
-----
2020.06.18
Ripple20 - CVE-2020-11896, CVE-2020-11897, CVE-2020-11898, CVE-2020-11901他
こんにちは、丸山満彦です。
JSOFというイスラエルのヘブライ大学のキャンパス内にある会社が、組み込み機器やIoT機器を中心に20年間にわたり広く使われているTCP/IPスタックの中に19の脆弱性があることを発見したようですね。脆弱性が与える影響が高く、影響を受ける可能性があるデバイスの数も多いようです。
White Paprによると、「20」には複数の意味が込められているようです。。。
- この脆弱性が2020年に報告された
- このスタックは20年以上も前から存在している
- 脆弱性は19個あり、誕生日ケーキのロウソクと同じように来年に向けて1個追加している(^^)
● CICA
・2020.06.16 (National Cyber Awareness System) Ripple20 Vulnerabilities Affecting Treck IP Stacks
・2020.06.16 (ICS-CERT Landing) ICS Advisory (ICSA-20-168-01) Treck TCP/IP Stack
● Carnegie Mellon University - Software Engineering Institute
・2020.06.16 Treck IP stacks contain multiple vulnerabilities - Vulnerability Note VU#257161
● Git Hub
・VU#257161 network mitigations
ーーーーー
脆弱性のリスト
| CVE ID | CVSSv3 | NIST | CVE |
| CVE-2020-11896 | 10.0 | * | * |
| CVE-2020-11897 | 10.0 | * | * |
| CVE-2020-11898 | 9.1 | * | * |
| CVE-2020-11899 | 5.4 | * | * |
| CVE-2020-11900 | 8.2 | * | * |
| CVE-2020-11901 | 9.0 | * | * |
| CVE-2020-11902 | 7.3 | * | * |
| CVE-2020-11903 | 5.3 | * | * |
| CVE-2020-11904 | 5.6 | * | * |
| CVE-2020-11905 | 5.3 | * | * |
| CVE-2020-11906 | 5.0 | * | * |
| CVE-2020-11907 | 5.0 | * | * |
| CVE-2020-11908 | 3.1 | * | * |
| CVE-2020-11909 | 3.7 | * | * |
| CVE-2020-11910 | 3.7 | * | * |
| CVE-2020-11911 | 3.7 | * | * |
| CVE-2020-11912 | 3.7 | * | * |
| CVE-2020-11913 | 3.7 | * | * |
| CVE-2020-11914 | 3.1 | * | * |
■ 報道等
● https://xakep.ru/
・2020.06.16 Сотни миллионов IoT-устройств в опасности из-за уязвимостей Ripple20by Мария Нефёдова
● Dark Reading
・2020.06.16 17:50 'Ripple20' Bugs Plague Enterprise, Industrial & Medical IoT Devices by Kelly Sheridan
Researchers discover 19 vulnerabilities in a TCP/IP software library manufacturers have used in connected devices for 20 years.
● GIGAZIN
・2020.06.17 11:32 数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される
セキュリティ企業JSOFが、IntelやHPの製品を含む多くのスマートデバイスやルーター、プリンターなどが影響を受ける脆弱性「Ripple20」を発見したと発表しました。Ripple20は、1997年にリリースされて以来多くのメーカーが採用してきたインターネット通信プロトコルのライブラリが原因となっていることから、この脆弱性の影響を受ける製品は全世界に数億台以上あると見られています。
● Threat Post
・2020.06.16 12:22 ‘Ripple20’ Bugs Impact Hundreds of Millions of Connected Devices by Tara Seals
The vulnerabilities affect everything from printers to insulin pumps to ICS gear.
● WIRED
・2020.06.16 09:00 A Legion of Bugs Puts Hundreds of Millions of IoT Devices at Risk by ANDY GREENBERG
The so-called Ripple20 vulnerabilities affect equipment found in data centers, power grids, and more.
● Bleeping Computing
・2020.06.17 03:10 Ripple20 vulnerabilities affect IoT devices across all industries by Ionut Ilascu
More than a dozen vulnerabilities, collectively named Ripple20, affecting the TCP/IP communication stack used in hundreds of millions of embedded devices paint a grim scenario for connected gadgets.
Some of the flaws are critical and can be exploited to gain remote control of all vulnerable devices on the network. They impact such a wide spectrum of products from so many vendors that it is easier to count those that are not affected.
● ZDNet
・2020.06.16 13:00 Ripple20 vulnerabilities will haunt the IoT landscape for years to come by Catalin Cimpanu
Security researchers disclose 19 vulnerabilities impacting a TCP/IP library found at the base of many IoT products.
● Health IT Security
・2020.06.17 Millions of IoT Medical Devices Impacted by Ripple20 Vulnerabilities by Jessica Davis
Researchers discovered 19 vulnerabilities called Ripple20 impacting the TCP/IP communication stack found in hundreds of millions of connected devices, including IoT medical tech.
● Silicon Angle
・2020.06.17 ‘Ripple20’ vulnerabilities expose hundreds of millions of IoT devices to hacking by
-----
令和2年個人情報保護法改正と施行準備等のポイント by 日置先生
こんにちは、丸山満彦です。
2020年6月5日の参議院の本会議で可決され、改正個人情報保護法が成立し、2020年6月12日に公布されましたね。ペナルティに係る規定は公布日から起算して6月を経過した日に施行、それ以外は公布の日から起算して2年を超えない範囲内の政令によって定める日から施行されることになるわけですが、改正において対応をしないといけない部分がいくつかありますよね。
三浦法律事務所の日置先生が、改正と施行準備等のポイントをウェブに掲載してくれています。個社毎に事情があるので、詳細は弁護士等に相談をする必要があるとは思いますが、概要を正確に把握するという意味では日置先生の記事は参考になりそうです!
日置先生とは、内閣官房の「サイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ」でご一緒させていただきました。先生はタスクフォースで精力的に調査分析、執筆をしておりました。。。
今から4回に分けての掲載となるようです。
● 三浦法律事務所 - 日置 巴美 法人パートナー
・2020.06.17「令和2年個人情報保護法改正と施行準備等のポイント(1)」
・2020.06.17 [Note]【随時更新】令和2年個人情報保護法改正と施行準備等のポイント
-----
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.06.16 個人情報保護委員会 個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)
・2020.06.14 個人情報保護委員会からのお知らせ:改正個人情報保護法の公布他
・2020.06.07 改正個人情報保護法が成立
・2020.06.05 内閣官房 個人情報保護制度の見直しに関するタスクフォース 個人情報保護制度の見直しに関する検討会委員 第2回(個人情報保護制度見直しの基本的な方向性(案)について)
・2020.03.10 個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について
・2020.03.10 第1回 個人情報保護制度の見直しに関する検討会
2020.06.17
IT メディア 「ドイツで公開された「コロナ警告アプリ」、現地でどう受け入れられているか」
こんにちは、丸山満彦です。
ドイツのCOVID-19 contact tracing applicationである「Corona-Warn-App」がリリースしたねって、今朝ブログに書いたばかりですが、ITメディアが現地のレポートを出していますね。。。
● ITmedia
・2020.06.17 ドイツで公開された「コロナ警告アプリ」、現地でどう受け入れられているか
なかなか興味深い・・・
ドイツはCOVID-19 contact tracing applicationである「Corona-Warn-App」をリリースしたようですね。。。
こんにちは、丸山満彦です。
ドイツ連邦政府(Bundesregierung)、データ保護と情報の自由のための連邦委員会(BfDI)がCOVID-19 contact tracing applicationである「Corona-Warn-App」をリリースしたと発表したようですね。。。
・
・Unterstützt uns im Kampf gegen Corona
コロナとの戦いに協力してください
Die Corona-Warn-App hilft uns festzustellen, ob wir in Kontakt mit einer infizierten Person geraten sind und daraus ein Ansteckungsrisiko entstehen kann. So können wir Infektionsketten schneller unterbrechen. Die App ist ein Angebot der Bundesregierung. Download und Nutzung der App sind vollkommen freiwillig. Sie ist kostenlos im App Store und bei Google Play zum Download erhältlich.
・Wie funktioniert und was kann die Corona-Warn-App
Die Corona-Warn-App hilft, Infektionsketten schnell zu durchbrechen. Sie macht das Smartphone zum Warnsystem. Die App informiert uns, wenn wir Kontakt mit nachweislich Corona-positiv getesteten Personen hatten. Sie schützt uns und unsere Mitmenschen und unsere Privatsphäre.
・Die wichtigsten Fragen und Antworten
最も
Die Corona-Warn-App ist ein wichtiger Helfer, um Infektionsketten nachzuverfolgen und zu unterbrechen. Alles was Sie über die Corona-Warn-App wissen müssen, finden Sie hier.
・ 質問はありますか?
Wir freuen uns über Ihr Interesse an der Corona-Warn-App. Haben Sie Fragen zu Gebrauch und Funktionsweise der App? Nehmen Sie Kontakt mit uns auf.
・Der Baukasten für Unterstützer
サポーターのためのサイト
Wenn Sie den Erfolg der Corona-Warn-App unterstützen möchten, finden Sie hier frei verfügbare Materialien - wie einen Logokoffer und Erklärtexte - für Ihre weitere Kommunikation.
● BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)
・2020.06.16 Datenschutz bei Corona-Warn-App ausreichend
今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われる。。。
こんにちは、丸山満彦です。
6月15日から26日まで今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われるようですね。
この数年間はバージニア州サフォークの統合幕僚監部施設で開催されてきていたが、今年のイベントはこれまでで最大規模で、オンラインで国防総省、政府間、国際的なパートナーが参加するようですね。
・2020.06.16 For the first time, Cyber Command’s major exercise will use new training platform by Mark Pomerleau
-----
PCTE is an online client that allows Cyber Command’s cyber warriors to log on from anywhere in the world to conduct individual or collective cyber training as well as mission rehearsal. In the physical world, military forces regularly go to a training facility such as the National Training Center at Fort Irwin to work on particular concepts or rehearse before deploying. But a robust environment has not existed for DoD’s cyber warriors, creating readiness gaps.
-----
PCTEは、Persistent Cyber Training Environmentのことです。
この記事と合わせて、
・2020.06.12 Army releases $1B cyber training request by Mark Pomerleau
も気になりますね。。。
・2020.03.10 Cyber TRIDENT
↓
2020.06.16
IPA 中小企業向けサイバーセキュリティ関係報告書3つ!
こんにちは、丸山満彦です。
IPAが中小企業向けのサイバーセキュリティ関係の報告書を3つ公開していますね。
・2020.06.15 中小企業向けサイバーセキュリティお助け隊報告書を公開しました。
・2020.06.15 「2019年度 中小企業情報セキュリティマネジメント指導業務」報告書についてを公開しました。
・2020.06.15 「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」報告書を公開
中小企業だからと言って、外部攻撃者が手加減をしてくれるわけではなく、取り扱っている情報やシステムによっては大企業と遜色のないセキュリティ対策が必要となりますよね。。。
一方、中小企業は、サイバーセキュリティ対策にかけられる予算も、運用に回せる人材も十分に揃えることができないので、サイバー攻撃から守るという観点からは、個別企業ごとに対応をするのは無理ですよね。。。なので、共助が必要だと思います。昔からある、共済的な考え方です。。。
ガイドラインや知識をどれだけ紹介しても、実際に運用するための予算と人材といったリソースが不十分でなければ機能しないので、みなさんも、このようなリソースをどのように確保するかということが真の課題だと思いますよね。。。
・2020.06.15 中小企業向けサイバーセキュリティお助け隊報告書を公開しました。
-----
事業概要
19府県8地域の中小企業を対象に、地域の団体・企業等と連携した中小企業のサイバーセキュリティ対策支援(サイバーセキュリティお助け隊)の取組みを通じ、サイバーセキュリティに関する課題や、対策のニーズ、サイバー攻撃被害の実態等を把握するとともに、サイバーインシデントが発生した際の支援体制の構築等に向けた実証を実施し、報告書にまとめました。
-----
・[PDF] 成果報告書(全体版)
・[PDF] 成果報告書(概要版)
・[PDF] 別紙_実証参加企業事例集
<各事業主体の成果報告書>
| 事業者名 | 地域名 | 成果報告書 |
| 株式会社デジタルハーツ | 岩手県・宮城県・福島県 | [PDF] |
| 東日本電信電話株式会社 | 新潟県 | [PDF] |
| 富士ゼロックス株式会社 | 長野県・群馬県・栃木県・茨城県・埼玉県 | [PDF] |
| SOMPOリスクマネジメント株式会社 | 神奈川県 | [PDF] |
| 株式会社PFU | 石川県・富山県・福井県 | [PDF] |
| MS&ADインターリスク総研株式会社 | 愛知県 | [PDF] |
| 大阪商工会議所 | 大阪府・京都府・兵庫県 | [PDF] |
| 株式会社日立製作所 | 広島県・山口県 | [PDF] |
・2020.06.15 「2019年度 中小企業情報セキュリティマネジメント指導業務」報告書についてを公開しました。
-----
報告書の概要
あらゆる産業活動においてサプライチェーンリスクの問題が顕在化しつつある昨今、サプライチェーンを構成する中小企業のサイバーセキュリティ対策を進めることは喫緊の課題です。
IPAでは、中小企業向けに情報セキュリティに関するマネジメント体制の構築に向けた支援体制を構築し、全国の中小企業を対象に専門家指導を実施しました。
専門家には、情報処理安全確保支援士(以下、RISS)(*1)等を起用し、1社あたり4回の派遣を通じて、中小企業の各現場に応じたリスクの洗い出しから、マネジメントに必要なセキュリティ基本方針や関連規定の策定に向けた支援を実施し、専門家および派遣先企業である中小企業を対象としたアンケートについて取り纏めました。
アンケート調査の結果、本事業の実施を通じ、多くの中小企業で情報セキュリティ対策への意欲、セキュリティレベル、継続改善の意識が向上するとともに、身近な専門家の有効性や役割の重要性が確認されました。
-----
・2020.06.15 「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」報告書を公開
-----
報告書の概要
中小企業におけるセキュリティ対策水準を向上するためには、自社に適したサイバーセキュリティ対策製品・サービスの導入による具体的対策の実践を促す必要がある一方で、多くの中小企業では、どのようなセキュリティ対策が必要であるか、その対策上どのような製品・サービスを導入することが効果的であるか等を自ら判断するのが難しい状況です。
本調査では、中小企業が扱いやすい製品・サービスを選ぶ際に参考となる評価項目を、導入・運用のし易さ、費用、得られる効果、課題等の観点で策定するとともに、中小企業における製品・サービス選びの一助となる情報を提供するための、有効なプラットフォームの構築に向けた実現可能性調査を実施し、報告書としてまとめました。
-----
個人情報保護委員会 個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)
こんにちは、丸山満彦です。
第144回個人情報保護委員会が2020年6月15日に開催されましたね。。。
今後の取り組みについて議論されていますね。。。
●個人情報保護委員会 -
・2020.06.15 第144回個人情報保護委員会
- [PDF] 資料1 個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について
- [PDF] 資料2 マーストリヒト大学DPOコースへの事務局職員の参加について
- [PDF] 資料3 法務省に対する報告徴収の実施について
- [PDF] 資料4 情報提供ネットワークシステムの監視状況について [PDF] 資料5 検査結果事例集の更新について(PDF : 210KB)
ーーーーー○
● 政令・規則・ガイドライン等の整備
- 消費者や事業者等多様な主体から広く丁寧に御意見を伺いながら、検討を進めることとする。
- 個人情報保護法相談ダイヤルや、各種ヒアリング等の場における意見聴取など。
- 個人情報保護法相談ダイヤルや、各種ヒアリング等の場における意見聴取など。
- 政令等においては、改正法により新設された義務等の対象となる要件や想定される事例等を、可能な限り明確に示すこととする。
- 特に、個人の権利の在り方に関する論点や、事業者の守るべき責務の在り方に関する論点についての政令等の内容は、消費者や事業者等にとって分かりやすいものとなるように努めることとする。
- 主として、漏えい等報告等や開示・利用停止等に関するもの。
- 主として、漏えい等報告等や開示・利用停止等に関するもの。
- データ利活用に関する施策の在り方に関する論点についての政令等の策定に当たっては、個人の権利利益の保護と個人情報の利活用の観点から十分に検討することとする。
- 主として、個人関連情報や仮名加工情報に関するもの。
ーーーーー
●このブログ
・
「米海兵隊はAIを理論から実践に移す」というブログ
こんにちは、丸山満彦です。
米国国防省のJoing Artificial Intelligence Center (JAIC)のblogの記事です。流石に命がかかっている職場だけに、考えさせられる記事です。。。
● Joint Artificial Intelligence Center
・2020.06.15 Professional Perspectives Moving AI Theory to Practice in the U.S. Marine Corps
-----
We must create capability, not PowerPoint presentations. We should experiment with that AI capability during exercises, not publish another concept document about “What AI could do for the USMC”. While most focus on the theory of ‘what AI could do’, we should instead heed the advice from industry: the up-front investment in data and people is always underestimated, and do not become enamored with the proverbial dashboard. We missed our opportunity to evolve incrementally, and must now make a revolutionary leap.
----
・2020.05.04 米国国防省と人工知能(戦略と倫理)
厚生労働省 - 新型コロナウイルス接触確認アプリ COVID-19 Contact-Confirming Application
こんにちは、丸山満彦です。
近々公開されるであろう、日本のCOVID-19 Confirming Applicationについての厚生労働省のページです。
●厚生労働省 - 新型コロナウイルス接触確認アプリ COVID-19 Contact-Confirming Application
重要なポイントは、濃厚接触者として通知がきた本人にどのような行動を促したいのかを明確にすることです。
逆に言えば、濃厚接触者として通知がきた本人に政府として何をするのか?を明確にする必要があるでしょうね。。。
でないと、まず、利用者が増えないと思います。。。
----
●総務省
・第3章 ICT分野の基本データ - [PDF] 第2節 ICTサービスの利用動向
によると2018年の個人のスマートフォンの推定普及率は64.7%ですね。この2年でどのくらいのびたかですが、70%くらいはいきましたかね。。。
もし、最低60%の人が利用しないと効果が見込めないとすると、スマートフォンを持っている人の9割が常にアプリをONにしている必要がありそうですね。。。
2020.06.15
カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点
こんにちは、丸山満彦です。
カーネギーメロン大学 ソフトウェア研究所が、「AIエンジニアリングのリスク管理の視点」に関する文書をあげていますね。。。
● Carnegie Mellon University - Software Engineering Institute
・2020.06.10 A Risk Management Perspective for AI Engineering by WHITE PAPER
・[PDF] 全文
・[html](変換)
-----
概要
OCTAVE FORTE は、組織がリスクを特定し、軽減するために利用できるプロセスモデルである。そのステップは、リスクガバナンス、リスク選好、方針の確立(リスク、脅威、および脆弱性の識別)および改善計画の形成と実施を含んでいる。
本稿では、AI 技術の採用という観点から、これらのステップのうちのいくつかに焦点を当てる。これらのステップは、AIの採用を調査し、関連するリスクを探る組織の出発点となる。
----
日本銀行金融研究所 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎
こんにちは、丸山満彦です。
日本銀行金融研究所のディスカッションペーパーに松尾先生が書かれた「暗号資産とブロックチェーンの安全性の現状と課題」が掲載されていますね。。。
● 日本銀行金融研究所
・2020.06.12 2020-J-8 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎
・[PDF] 全文
-----
2008年のビットコインの論文の中心的な技術としてブロックチェーン技術が広く注目を集めている。ブロックチェーン技術にはセキュリティの向上の観点で大きな期待が寄せられている一方で、この技術が提供できるセキュリティの範囲については、研究が始まってまだそれほど経過しておらず、十分には解明されていない。本稿では、ブロックチェーンやそれを応用した暗号資産にまつわる安全性の現状と課題を考察する。まず、現時点で指摘されている攻撃とインシデントの実例をサーベイした上で、ブロックチェーン技術が提供するセキュリティの目標を学術的観点から整理する。そして、ブロックチェーンとそれを応用したシステムのセキュリティ設計を考えるためのレイヤーについて述べ、各レイヤーにおける主な研究課題を説明する。
-----
セキュリティレイヤーについては、「図表2 ブロックチェーンを利用したシステムのセキュリティレイヤー」で
- 運用レイヤー
- 実装レイヤー
- アプリケーションロジック
- アプリケーションプロトコル
- バックボーンプロトコル
- 暗号技術レイヤー
と整理しています。分かり易いです。
目次は
↓
2020.06.14
IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない
こんにちは、丸山満彦です。
IBM、Amazon、Microsoftは米国の警察署には、顔認証システムを販売しないようですね。
● TC Japan
・2020.06.12 マイクロソフトは警察には顔認証技術を売らないと公言
・2020.06.12 Microsoft’s Brad Smith says company will not sell facial recognition tech to police by Anthony Ha
-----
マイクロソフト社長のBrad Smith(ブラッド・スミス)氏は、...
... 人権に基づいてこの技術を管理できる国法が制定されるまで、米国の警察署には顔認証技術を販売しないことを決断しました」。
-----
・2020.06.11 アマゾンが顔認識技術を地方警察には1年間提供しないと表明、FBIへの提供についてはノーコメント
・2020.06.11 Amazon’s facial recognition moratorium has major loopholes by Zack Whittaker
・2019.01.18 Amazonの株主たちが顔認識技術を法執行機関に売らないことを要請
・2019.01.18 Amazon shareholders want the company to stop selling facial recognition to law enforcement by Megan Rose Dickey
● BBC
・2020.06.09 IBM abandons 'biased' facial recognition tech
個人情報保護委員会からのお知らせ:改正個人情報保護法の公布他
こんにちは、丸山満彦です。
個人情報保護委員会が、以下の3つを公表していますね。。。
- 2020.06.12 オプトアウト届出書を新たに公表しました。
- 2020.06.12 「個人情報の保護に関する法律等の一部を改正する法律の公布について」を掲載しました。
- 2020.06.12 令和元年度個人情報保護委員会年次報告が閣議決定されました。
2020.06.13
佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」
こんにちは、丸山満彦です。
このブログでも、PマークとISO/IEC 27701の関係に関する記事を書きましたが、佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」が参考になりますね。
ISO/IEC 27701の規格が策定された背景等についても説明がありますね。。。
●深情報セキュリティ美学
・2020.06.10 ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説
●まるちゃんの情報セキュリティ気まぐれ日記
・2020.04.09 JIPDEC 「プライバシーマークとISMS認証について」という難しいお題に対する説明。。。
・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」
なお、ISO/IEC/JTC 1/SC 27/WG 1における ISO/IEC 27000シリーズの改定状況については、JIPDECが継続的に情報発信しておりますので、参考まで・・・
● JIPDEC - 国際動向 ISO/IEC 27000ファミリーについて
・2020.06.10 [PDF] ISO/IEC 27000ファミリーの概要
・
2020.06.12
ENISA 人工知能サイバーセキュリティに関するワーキンググループが始動
こんにちは、丸山満彦です。
EUは、社会と経済におけるAIの重要性を認識しているが、AIによるメリットを享受するためには、「AI自体が信頼でき、セキュリティ的に保護されているが必要がある」と考えているようですね。そしてENISAが、アドホックワーキンググループを立ち上げたという流れのようです。
このワーキンググループの目的は
- AIサイバーセキュリティに関連する課題についてENISAに助言する
- AI脅威ランドスケープの開発についてENISAを支援する
- AIのリスクに比例するサイバーセキュリティガイドラインを提供する
● ENISA
・2020.06.10 ENISA working group on Artificial Intelligence cybersecurity kick-off
Today, the European Union Agency for Cybersecurity, ENISA, is kicking off the Ad-Hoc Working Group on Cybersecurity for Artificial Intelligence, marking another milestone in the Agency’s work on emerging technologies.
■ 参考
● Europian Union
・2020.02.19 [PDF] WHITE PAPER - On Artificial Intelligence - A European approach to excellence and trust
EUは、
- AIの導入を促進する
- AIの利用によりもたらされるリスクに対処する
ことが重要であり、そのために
- 投資
- 規制
を巧く効かせることが重要と考えているようですね。
そして、この白書は、上記の考えを実現するための政策オプションを提示することにあるようです。
内容 ↓
ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...
こんにちは、丸山満彦です。
ENISAってとってもアクティブに活動していますよね。。。拾いもれがたくさんあります。。。2月4日にセキュリティ認証スキームになりうる領域についての分析報告書を公表していました。
紹介のウェブページでは、認証スキームになりうる領域として
- IoT
- クラウドサービス
- 金融セクターの脅威インテリジェンス
- 電子カルテ
- トラストサービス
の5つを挙げているのですが、報告書では金融インテリジェンスを除いた4つの分析が公表されています。。。
分析の方法は、
・標準化の状況を分析し、ギャップを特定することで、認証を受けられる可能性のある製品、サービス、プロセスを浮き彫りにした
わかったことは、
・セキュリティ認証スキームが成功するためには、保証のレベルが市場のニーズを反映したものでなければならないということ。
● ENISA
・2020.02.04 Standardisation in support of the Cybersecurity Certification
・2019.12 [PDF] STANDARDS SUPPORTING CERTIFICATION
上記のコメントはまさにその通りだと私も思います。
多くの人が認証を安易に考えるのですが、ビジネスと考えると実はかなり難しいですよね。
監査をちゃんとしようとする(保証レベルを上げる)とコストがかかり、社会的に受け入れられなくなる。一方、監査がいい加減(保証レベルが低い)だと、そもそも監査の意味が薄れる。。。どこが落とし所として適切かという合意形成が難しい・・・
セキュリティの監査で最もそれに近いのは、いわゆるAICPA/CPA CanadaのTrust Serviceでしょうね。。。
● AICPA - Assurance and Advisory - System and Organization Controls: SOC Suite of Services
Criteriaは以下の通りです。
・[PDF] trust services criteria
● CPA Canada - WebTrust seal program
ISMSはどうかというと、そもそもISMSがセキュリティの認証かどうかは微妙で、認証の対象はセキュリティそのものではなく、マネジメントシステムですからね。(ISO 9001の審査が品質の審査かどうかという話と同じです)
● ISO - CERTIFICATION & CONFORMITY - THE ISO SURVEY
・ISO Survey of certifications to management system standards 2018 - Full results /2019.12.31
これは推計値なのですが、ISO/IEC 27001の認証数は、世界で31,910サイトと推計されていますね。
・[PDF] 0. explanatory note on iso survey 2018
・[EXEL] 2. iso survey 2018 results number of sectors by country for each standard
・[EXEL] 3. iso survey 2018 comparison with 2017 using data from providers taking part both years
あとは、製品セキュリティのCommon Criteriaですかね。。。
● Common Criteria Portal - Certified Products
・Certified Products List - Statistics
認定された製品・サービスは1,481(@2020.06.11)ですね。。。
なお日本では、政府情報システムのためのセキュリティ評価制度(ISMAP)が始まりましたね。。。
・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました
ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開
こんにちは、丸山満彦です。
ENISAはテレコム事業者(2012年から2019年)とトラストサービス事業者(2016年から2019年)のインシデント関連情報を視覚的にわかりやすく見せるサイトを公開していますね。
● ENISA
・Cybersecurity Incident Report and Analysis System
・2020.06.09 (NEWS) Spotlight on incident reporting of telecom security and trust services
The European Agency for Cybersecurity releases today a new visual tool to increase transparency about cybersecurity incidents.
・Cybersecurity Incident Report and Analysis System – Visual Analysis
ざっと傾向とかを見るには良いのかもしれませんね。。。なかなか面白い取り組みですね。
レギュレーションに基づいてインシデント情報を収集した上で、このように活用することによりインシデントを減らせるためのインプットに使えるようにするというのは良いですね。。。
【参考】
・Details
・Articles
・Publications
2020.06.11
ENISA 安全なユーザ認証のヒント
こんにちは、丸山満彦です。
ENISAが安全なユーザ認証のヒントを公表しています。当たり前のようなことですが、それだけに参考になりますね。
● ENISA
・2020.06.04 (NEWS) Tips for secure user authentication
In an era of large-scale data breaches, The European Union Agency for Cybersecurity shares its recommendations for improving the security of passwords and authentication methods.
以下、抄訳です・・・
パスワードに関するリスク
- なりすました偽ページに認証情報を入力させるフィッシングようなソーシャル・エンジニアリング攻撃、ボイス・フィッシング(ビッシング)、ショルダー・サーフィン(ノートパソコンでパスワードを入力している人の後ろを覗き見るなど)、ポストイット・ノートから手書きのパスワードを盗むなど。
- ソフトウェアや物理的なキーロガーを使ったパスワード窃盗。
- 通信傍受、偽のアクセスポイントの利用、ネットワークレベルでの中間者攻撃の利用による窃盗。ホテル、カフェ、空港などの公衆WiFi利用時には注意。
- ブルートフォース攻撃、辞書攻撃、パスワード推測する攻撃。
- 窃盗したデータから直接パスワードを取得し、他のサービスを利用する。
推奨される対策
- 多要素認証機能の利用
- パスワードを再利用しない。
- シングルサインオン機能と多要素認証を組み合わせた使用(アカウント漏洩のリスクを減らすため)。
- パスワードマネージャーの利用。
- 個々のウェブサイトやサービスごとに、強力でユニークなパスワードやパスフレーズを生成します。(このような場合には、パスワードマネージャが便利)
- 既存のデータ侵害に該当するアカウントがないかどうかを確認し、特定されたサービスのパスワードを変更してすぐに対応する。
- パスワードのリマインダー機能を利用する場合、簡単に取得できる個人情報に頼ってパスワードをリセットしないようにする。
- 公共のWiFiからアクセスする際には、VPNを利用するか、モバイルアクセスポイントを利用する。
- 公共スペースでは、周囲に気を配り、パスワードを盗み見ようとする人がいないことを確認する。(画面フィルターの利用が便利)。
- 公共スペースでは、デバイスを放置したり、ロックを解除したりしない
NPO デジタル・フォレンジック研究会のコラム by 丸山満彦
こんにちは、丸山満彦です。
私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧のページにしようと思っています。
(なので、適宜追加していきたいと思います。。。)
このコラムは10年以上続き、600号を超える膨大のコラムになっていますので、フォレンジック技術の応用で、サーチできる仕組みがあれば良いかもですね。。。
| # | No | Date | Title |
| 22 | 600 | 2020.02.03 | デジタルフォレンジックスと多様性 |
| 21 | 578 | 2019.08.26 | 未来を考えようと思うとき、人は過去を振り返る |
| 20 | 551 | 2019.02.11 | とらわれずに物事をみつめる |
| 19 | 521 | 2018.07.09 | AIは科学捜査を騙せるか? |
| 18 | 493 | 2017.12.18 | セキュリティ・デバイド? |
| 17 | 474 | 2017.08.07 | 『デジタル・フォレンジック』という言葉を今更考える |
| 16 | 451 | 2017.02.20 | 相手を知ることが重要 |
| 15 | 425 | 2016.08.15 | 本質を理解する |
| 14 | 383 | 2015.10.12 | 名ばかりCSIRTで良いのか? |
| 13 | 357 | 2015.04.13 | IoT時代は明るいか暗いか |
| 12 | 335 | 2014.11.03 | 頭を下げるのは社長です |
| 11 | 308 | 2014.04.30 | 標的型攻撃には内部不正対応が重要? |
| 10 | 286 | 2013.11.14 | セキュリティガバナンスはできる範囲だけやればよいのか? |
| 09 | 261 | 2013.05.23 | セキュリティの基本はずっとかわっていない |
| 08 | 240 | 2012.12.25 | さらに組織化が進むサイバー攻撃集団 |
| 07 | 207 | 2012.05.10 | 外部から侵入されている想定で情報セキュリティを考える |
| 06 | 173 | 2011.09.08 | 想定外に対応するのが危機管理ではないか |
| 05 | 139 | 2011.01.13 | データ分析を使った不正発見手法 |
| 04 | 131 | 2010.11.11 | 発見的統制の重要性 |
| 03 | 084 | 2009.12.10 | クラウドコンピューティングがもたらす光と影 |
| 02 | 058 | 2009.06.11 | 不正をさせない |
| 01 | 021 | 2008.09.25 | ニーズとシーズ、目的と手段 |
NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines
こんにちは、丸山満彦です。
デジタルID に関しては、NIST SP800-63-3, 63A, 63B, 63Cで決められていますが、その改善についてのコメント募集をしていますね。。。
・2020.06.08 SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines
Summary
NIST requests review and comments on the four-volume set of documents: Special Publication (SP) 800-63-3 Digital Identity Guidelines, SP 800-63A Enrollment and Identity Proofing, SP 800-63B Authentication and Lifecycle Management, and SP 800-63C Federation and Assertions. This document set presents the controls and technical requirements to meet the digital identity management assurance levels specified in each volume.
特に興味がある分野としては、
----------
| 1 | Privacy enhancements and considerations for identity proofing, authentication, and federation, including new developments in techniques to limit linkability and observability for federation. | プライバシーの強化と、身元証明、認証、およびフェデレーションのための考慮事項。フェデレーションのためのリンカビリティとオブザーバビリティを制限する技術の新開発も含む。 |
| 2 | Continued use of short message service (SMS) and public switched telephone networks (PSTN) as restricted authentication channels for out-of-band authenticators. | 異なる経路による認証者の制限された認証チャネルとして、ショートメッセージサービス(SMS)および公衆交換電話網(PSTN)の継続的な使用。 |
| 3 | Security and performance capabilities (e.g., presentation attack detection/liveness testing) for biometric characteristic collection to support Identity Assurance Level 2 remote identity proofing in the areas of identity evidence verification (physical/biometric comparison) or binding of authenticators. | ID 証拠検証(物理的/生体情報の比較)または認証者のバインディングの分野で、ID 保証レベル2のリモート ID 証明を支援するための生体特性収集のセキュリティおよびパフォーマンス機能(例:プレゼンテーション攻撃の検出/活力テスト)。 |
| 4 | Capabilities and innovative approaches for remote identity proofing to achieve equivalent assurance as in-person identity proofing. | 対面での ID証明と同等の保証を達成するためのリモート ID 証明のための機能および革新的なアプロー チ。 |
| 5 | Security and privacy considerations and performance metrics for the use of behavioral characteristics as an authentication factor. | 認証要素として行動特性を使用するためのセキュリティとプライバシーの考慮事項や性能測定基準。 |
| 6 | Use of dynamic knowledge-based information for identity verification. | ID検証のための動的な知識ベースの情報の使用。 |
| 7 | Capabilities to meet Federation Assurance Level 3 (see SP 800-63C FAQ C03). | フェデレーション保証レベル3満たすための機能(SP 800-63C FAQ C03 を参照)。 |
| 8 | Capabilities and security considerations for verifier impersonation resistance (see SP 800-63B FAQ B04). | 検証者のなりすまし耐性のための機能とセキュリティ上の考慮事項(SP 800-63B FAQ B04 を参照)。 |
| 9 | Additional controls and mitigation to address the ongoing evolution of threats such as phishing and automated attacks. | フィッシングや自動化された攻撃など、進行中の脅威の進化に対処するための追加の管理と緩和。 |
----------
Related NIST Publications:
2020.06.10
改正公益通報者保護法が成立
こんにちは、丸山満彦です。
二日前になるのですが、2020.06.08に改正公益通報者保護法案が参議院で可決され、成立しましたね。参議院では附帯決議が付きました。。。
● 参議院
・議案情報 - 公益通報者保護法の一部を改正する法律案
・[PDF] 法律案
前職では内部通報のサービスにも関わっていましたので、感慨深いものがあります。
とはいえ、課題は山積みかもですね。。。
詳細は、古くからの知り合いの山口先生のビジネス法務の部屋で・・・
・2020.06.09 公益通報者保護法の改正法案が可決・成立-今後の課題について
・2020.06.05 公益通報者保護法改正法案に対する参議院附帯決議(案)
● 消費者委員会 - 公益通報者保護専門調査会
● 消費者庁 - 公益通報者保護制度
● 公益財団法人 商事法務研究会
ISO 37002
● ISO TC309
・ISO 37002 Whistleblowing management systems - Guidelines
・ISO/DIS 37002 Whistleblowing management systems — Guidelines
第三者認証の話はどうなっているんでしょうかね。。。
EKANS / Snake - 工場やプラントのセキュリティ
こんにちは、丸山満彦です。
EKANS / Snake(以下、EKANSで。。。)によると思われる被害が出ていますね。。。
被害の報道というよりも、EKANSについての情報を記載しておきます。。。
EKANSについての説明は2月3日のDragosのブログが丁寧ですかね。。。
・2020.02.03 EKANS Ransomware and ICS Operations
・GitHubGist - Script and the decoded strings from the EKANS/Snake ransomware
このレポートでは挙動等についても説明されていますので、参考になりますね。。。
EKANSは2019年12月中旬に明らかになっています(Dragosはインテリジェンスサービスの顧客に2020年1月に報告しているようですね)。
EKANSはファイルを暗号化し、身代金を要求するという点では、通常のランサムウェアと同様ですが、ICSの操作に関連するプロセスを強制的に停止させる機能も備えているようです。MEGACORTEXから発展した可能性が高いようです。
静的な「キルリスト」に挙げられたプロセスからみると、制御システム分野を特に標的としたランサムウェアのようです。したがって、ICS資産の管理者や運用者は、攻撃対象を見直して、ICS固有の特徴を持つランサムウェアへの対策を考慮した方が良いとアドバイスしています。
例えば、ICS資産の管理者や運用者は資産を可視化することは特に重要ですね。資産と環境内の接続を把握することで、攻撃者が特定の資産に対してICSに特化したランサムウェアを展開した場合の潜在的な影響、運用や関連プロセスへの影響を理解し、それらに対する対応策を講じることができますからね。。。
● Trendmicro - Threat Encyclopedia - Malware
・2020.01.10 Ransom.Win32.EKANS.A
(対応方法が記載されています)
● FireEye - blogs - Threat Research
● IBM - Security Intelligence
・2020.02.06 EKANS Ransomware Capable of Stopping ICS-Related Processes by David Bisson
・2019.10.15 The Day MegaCortex Ransomware Mayhem Was Averted by Matthew DeFir co-authored by Limor Kessem
・2020.02.04 EKANS: WINDOWS RANSOMWARE GETS ICS AND OT SHARPS by David Wolf
● SCADAfense - blogs
・2020.02.20 y Michael Yehoshua
・2020.02.10 Snake/EKANS Ransomware Attacks Industrial Control Systems: Acronis Stops It by Alexander Ivanyuk
----
■ ISAC
● US WaterISAC
・2020.02.24 EKANS Ransomware Has Direct Implications for ICS Operations, and It May Not Be the First
■報道等
● WIRED
・2020.02.03 Mysterious New Ransomware Targets Industrial Control Systems by Andy Greenberg
EKANS appears to be the work of cybercriminals, rather than nation-state hackers—a worrying development, if so.
● Dark Reading
・2020.02.03 EKANS Ransomware Raises Industrial-Control Worries by Robert Lemos
Although the ransomware is unsophisticated, the malware does show that some crypto-attackers are targeting certain industrial control products.
● SC Media
・2020.02.04 Report ties Ekans/Snake ransomware to Megacortex, emphasizes ICS threat by Bradley Barth
A new threat intelligence report has underscored the serious threat posed by the recently discovered Snake ransomware, which not only encrypts files, but can disrupt certain industrial controls systems processes.
・2020.01.08 Snake ransomware tries to slither its way into enterprise networks by Bradley Barth
● Bleeping Computer
・2020.01.08 SNAKE Ransomware Is the Next Threat Targeting Business Networks by Lawrence Abrams
Since network administrators didn't already have enough on their plate, they now have to worry about a new ransomware called SNAKE that is targeting their networks and aiming to encrypt all of the devices connected to it.
Enterprise targeting, or big-game hunting, ransomware are used by threat actors that infiltrate a business network, gather administrator credentials, and then use post-exploitation tools to encrypt the files on all of the computers on the network.
The list of enterprise targeting ransomware is slowly growing and include Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga, and now the Snake Ransomware.
● Help Net Security
・2020.02.04 New ransomware targets industrial control systems by Zeljka Zorz, Managing Editor,
-----
● VirsuTotal SNDBOX
・2020.06.09 d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1 nmon.exe
● Twitter - Vitali Kremez (VK_intel)
・2020.06.09 https://twitter.com/VK_Intel/status/1270102996295340032?s=20
-----
2020.06.09
米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。
こんにちは、丸山満彦です。
米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。
● Airforce Magazine
・2020.06.04 Air Force to Test Fighter Drone Against Human Pilot by Rachel S. Cohen
● 航空機万能論
・2020.06.06 勝つのは人間かAIか? 米軍、有人戦闘機と無人戦闘機とのドックファイトを実施予定
F22やF35といった新しい戦闘機ではなく、F16等でまずはAI操縦を試すようです。最初は大変かもしれませんが、最初は人間の操縦(遠隔操縦も含む)による判断情報を入力していくでしょうが、最終的にはAIとAIで対決させるようなところまでいくと、加速度的に運動性能が上がるかもしれませんね。。。
将来的に、どこまでドッグファイトが行われるようになるかは分かりませんが、興味深い実験ですね。。。(実際に使われて欲しくはないですが・・・)
オランダのサイバーセキュリティセンター(NCSC)が、CERTのネットワークがより効果的に機能するためのガイドを公開していますね。が、、、
こんにちは、丸山満彦です。
オランダのサイバーセキュリティセンター(NCSC)が、CERTのネットワークがより効果的に機能するためのガイドを公開していますね。が、、、オランダ語です。。。
● Nationaal Cyber Security Centrum
・2020.05.27 (Nieuwsbericht) NCSC publiceert handreiking: Effectief opereren in de CERT-gemeenschap
CERTが成長とともに直面するすジレンマや課題に対する教訓をまとめたもののようです。
例えば、CERT のガバナンス、資金調達モデル、対象グループの定義、協力、対象グループに合わせたサービスの調整、CERTの専門性、地域社会内での協力等を扱っているようです。
CERTは予防としての助言を行うだけでなく、セキュリティインシデントが発生した際の問題解決のために、支援もする。このような活動により潜在的なダメージを制限し、組織のサービスの復旧を迅速化することができる。
オランダのサイバー耐性を高めるために、CERTは非常に重要な役割を果たしているのでNCSCは、CERT等のサイバーセキュリティパートナーシップのさらなる専門化に貢献することが重要であると考えているようですね。。。
・2020.05.27 Effectief opereren in de CERT-gemeenschap
・[PDF]
| 1 | De (interne) organisatie: Commitment van deelnemers aan het CERT | (内部)組織:CERT参加者のコミットメント |
| 2 | De (interne) organisatie: Governance | (内部)組織:ガバナンス |
| 3 | De (interne) organisatie: Financieringsmodel | (内部)組織:融資モデル |
| 4 | Constituents: De!niëren en bereiken van de doelgroep | 構成要素:ターゲットグループの特定とリーチ |
| 5 | Constituents: Betrekken van de doelgroep | 構成要素:対象者を巻き込む |
| 6 | Constituents: Contact met de doelgroep | 構成要素:対象者との接触 |
| 7 | Dienstverlening: Afstemmen van behoe"e en aanbod | サービス提供:ニーズと供給のマッチング |
| 8 | Dienstverlening: Specialisatie | サービス提供:専門性 |
| 9 | Dienstverlening: Andere vormen van meerwaarde | サービス提供:その他の付加価値 |
| 10 | Samenwerken: De CERT-community | 共に働く:CERT コミュニティ |
-----
参考
・2018.11.19 Start een collectief CSIRT
・2018.11.19 Start een CSIRT: collectief samenwerken
・[PDF]
-----
● Data Guidance
・2020.06.08 Netherlands: NCSC publishes guide on operating effectively as CSIRTs
中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。
こんにちは、丸山満彦です。
2020.04.27に発行された「サイバーセキュリティー審査弁法」が 2020.06.01に施行されましたね。。。
このブログでも
・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。
で記載していますが、ちょっと追加で・・・
2017年6月施行の「サイバーセキュリティー法」では、重要情報インフラ運営者は、国家安全保障に影響を及ぼすネットワーク製品・サービスを調達する場合、国が実施するサイバーセキュリティー審査に合格しなければならないと規定したが、その審査の申請手続きを定めたのが、サイバーセキュリティ審査弁法。(第1条)
重要インフラ運営者はネットワーク製品・サービスを調達する場合に、導入後の国家安全へのリスクを事前判定しなければならない。(第5条)
国家安全に影響を及ぼすあるいは及ぼす可能性がある場合、サイバーセキュリティー審査弁公室に審査を申請しなければならない。(第5条)
審査を行うサイバーセキュリティー審査弁公室は国家インターネット情報局に設置される(第5条)
サイバーセキュリティ審査の申告には、以下の資料を提出しなければならない。(第7条)
(1) 宣言
(2) 国家安全保障に影響を与える、又は与える可能性のある分析に関する報告書
(3) 調達書類、契約書、締結する契約書等
(4) その他、サイバーセキュリティ試験に必要な資料
サイバーセキュリティ審査は、ネットワーク製品及びサービスの調達から生じる可能性のある国家安全保障上のリスクを評価することに重点を置き、以下の事項を考慮しなければならない。(第9条)
(1) 重要な情報インフラの不正な制御、妨害または妨害行為、および製品およびサービスの利用の結果としての重要なデータの盗難、開示または破壊のリスク。
(2) 製品・サービスの供給の途絶による重要情報基盤事業の継続性への危害
(3) 商品・サービスの安全性、開放性、透明性、供給元の多様性、供給経路の信頼性、政治的、外交的、貿易的、その他の要因による供給途絶のリスク。
(4) 製品・サービス提供者が中国の法律、行政法規、部局規則を遵守していること。
(5) その他、重要情報基盤の安全性及び国家安全保障を危うくするおそれのある要因
ネットワーク製品・サービスは、主に基幹ネットワーク機器、高性能計算機・サーバ、大容量記憶装置、大容量データベース・アプリケーションソフト、ネットワークセキュリティ機器、クラウドコンピューティングサービスなど、重要な情報インフラのセキュリティに重要な影響を与えるネットワーク製品・サービスを指す。(第20条)
ーーーーー
● JETRO
・2020.06.05 「サイバーセキュリティー審査弁法」、6月1日より施行 (中国)
2020.06.08
英国陸軍 軍システムの防御のための新たな連隊を発足
こんにちは、丸山満彦です
英国陸軍が第1信号旅団(1st Signal Brigade)[wikipedia]の下に、2020.06.01に第13信号連隊(13th Signal Regiment)[wikipedia]が発足したようですね。。。
● 英国 国防省(Ministry of Defence )
・2020.06.04 (News story) Armed Forces announce launch of Cyber Regiment in major modernisation
第13信号連隊は、
- 250名の専門兵士が配属されているようです。
- 全軍を支援する情報操作(information manoeuvre)と不正規戦争(unconventional warfare)を実施する責任を持つようですね。
- 陸軍サイバー情報セキュリティオペレーションセンターの基礎を提供し、すべての軍事通信に安全なネットワークを提供するために海軍および空軍と協力するとありますね。
- また、次世代の情報機能をテストおよび実装するためのハブに専門的な技術サポートも提供するようです。
- そして、サイバー保護チームと、軍事作戦に配備された軍隊のサイバー領域を確保する技術スタッフで構成されるとのことです。。。
- チーム編成としては、
- 224信号中隊(Squadron):サイバー保護チーム
- 233信号中隊(Squadron):情報通信システムの支援
- 259信号中隊(Squadron):全部隊の能力開発やグローバル通信情報サービスへの支援
- 224信号中隊(Squadron):サイバー保護チーム
"Soldier Magazine June 2020 Signal Regiment's new pulse page 44". Soldier Magazine. 4 June 2020. Retrieved 5 June 2020.
● Security Affairs
・2020.06.07 British Army launches a new Cyber Regiment by Pierluigi Paganini
British Army has created a new regiment that will be tasked to operate its in-house security operations centre … cybersecurity is a pillar of UK defence strategy!
● SC magazine UK
・2020.06.04 UK Armed Forces Cyber Regiment launched to protect frontline operations by SC Staff
A new Cyber Regiment - The 13th Signal Regiment - has been launched to protect frontline operations from digital attack Defence Secretary Ben Wallace today announced today.
● teiss
・2020.06.04 Cyber warfare MoD raises first Cyber Regiment to secure defence networks from cyber threats by Jay Jay
The Ministry of Defence has launched the first dedicated Cyber Regiment that is tasked to protect vital defence networks at home and on operations overseas from cyber threats.
● The Register
・2020.06.05 British Army pulls up its SOC: New regiment to do infosec work even civvies will recognise
That's Systems Operating Centre to you. Chuffed with that, says Royal Signals brigadier.
SOCの募集要項の一部がありますね。。。https://www.experis.co.uk/job/event-manager/
2020.06.07
総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集
こんにちは、丸山満彦です。
総務省が「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集をしていますね。。。
● 総務省
・2020.06.05 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集
-----
1 概要
2017年(平成29年)1月30日より開催しているサイバーセキュリティタスクフォースでは、IoT機器を踏み台としたサイバー攻撃等が深刻化している状況を踏まえ、2017年(平成29年)10月にIoT に関するセキュリティ対策の総合的な推進に向けて取り組むべき課題を整理した「IoTセキュリティ総合対策」を取りまとめた。また、2019年(令和元年)8月にはその改定版として「IoT・5Gセキュリティ総合対策」を取りまとめた。その後、様々な状況変化などを踏まえつつ、同タスクフォースにおいてIoT・5G時代にふさわしいサイバーセキュリティ対策の在り方について検討し、今般、検討結果を踏まえ「IoT・5Gセキュリティ総合対策2020(案)」として整理を行いました。ついては、令和2年6月6日(土)から同年6月25日(木)までの間、意見を募集することとします。
-----
目次
はじめに
Ⅰ 背景
(1)IoT・5G セキュリティ総合対策以降の状況変化と改定
(2)改定に当たっての主要な政策課題
① COVID-19 への対応を受けたセキュリティ対策の推進
② 5G の本格開始に伴うセキュリティ対策の強化
③ サイバー攻撃に対する電気通信事業者のアクティブな対策の実現
④ 我が国のサイバーセキュリティ自給率向上に向けた産学官連携の加速
Ⅱ 施策展開の枠組み
Ⅲ 情報通信サービス・ネットワークの個別分野に関する具体的施策
(1)IoT のセキュリティ対策
① IoT 機器の設計・製造・販売段階での対策
② 脆弱性等を有する IoT 機器の調査及び注意喚起
③ サイバー攻撃に関する電気通信事業者間の情報共有
(2)5G のセキュリティ対策
① 脆弱性の検証手法等の確立と体制整備
② 5G の脆弱性情報や脅威情報等の共有の枠組みの構築
③ 5G のセキュリティ対策の促進のための政策的措置
(3)クラウドサービスのセキュリティ対策
(4)スマートシティのセキュリティ対策
(5)トラストサービスの制度化と普及促進
(6)無線 LAN のセキュリティ対策
(7)重要インフラとしての情報通信分野等のセキュリティ対策
(8)地域の情報通信サービスのセキュリティの確保
(9)テレワークシステムのセキュリティ対策
(10)電気通信事業者による高度かつ機動的なサイバー攻撃対策の実現
Ⅳ 横断的施策
(1)研究開発の推進
① サイバーセキュリティ統合知的基盤の構築
② 基礎的・基盤的な研究開発等の推進
③ IoT 機器のセキュリティ対策技術の研究開発の推進
④ 脆弱性の検証手法等の確立と体制整備【再掲】
⑤ スマートシティのセキュリティ対策【再掲】
⑥ 衛星通信におけるセキュリティ技術の研究開発
⑦ 量子コンピュータ時代に向けた暗号の在り方の検討
⑧ IoT 社会に対応したサイバー・フィジカル・セキュリティ対策
(2)人材育成・普及啓発の推進
① 人材育成オープンプラットフォームの構築
② 実践的サイバー防御演習(CYDER)の実施
③ 東京大会に向けたサイバー演習の実施
④ 若手セキュリティ人材の育成の促進
⑤ 地域のセキュリティ人材育成
(3)国際連携の推進
① ASEAN 各国をはじめとするインド太平洋地域等との連携
② 国際的な ISAC 間連携
③ 国際標準化の推進
④ サイバー空間における国際ルールを巡る議論への積極的参画
(4)情報共有・情報開示の促進
① サイバー攻撃に関する電気通信事業者間の情報共有【再掲】
② 事業者間での情報共有を促進するための基盤の構築
③ サイバーセキュリティ対策に係る情報開示の促進
④ サイバーセキュリティ対策に係る投資の促進
⑤ 国際的な ISAC 間連携【再掲】
⑥ 5G の脆弱性情報や脅威情報等の共有の枠組みの構築【再掲】
Ⅴ 今後の進め方
米国国防省 人工知能が戦争をかえると予測
こんにちは、丸山満彦です。
米国国防省のニュースで
● US Department of Defense
・2020.06.05 (News) Experts Predict Artificial Intelligence Will Transform Warfare by
AIが今後20年間の間に国防総省の戦争の性格を変えることは私の信念と深い情熱です」by 陸軍少佐John N.T. ''Jack'' Shanahan, Joint Artificial Intelligence Center ディレクター
人工知能センターは約2年前に運用開始し、現在は13億ドル(約1,400億円)の年間予算、185人の従業員がいる組織になっているようですね。
現在AIは、人道支援やサイバー防御等の結果に対する重要性が低い業務を中心に導入されているようですが、1〜2年に戦闘機に導入したいということのようですね。
ーーーーー
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.05.04 米国国防省と人工知能(戦略と倫理)
改正個人情報保護法が成立
こんにちは、丸山満彦です。
改正個人情報保護法が成立しましたね。。。
「個人情報」、「個人データ」、「保有個人データ」に、「要配慮個人情報」、「匿名加工情報」が加わり、さらに今回の改正で、「仮名加⼯情報」、「個人関連情報」が加わりましたね。。。行政機関の個人情報保護法他、行政手続における特定の個人を識別するための番号の利用等に関する法律、医療分野の研究開発に資するための匿名加工医療情報に関する法律、条例も含めると色々な個人情報関連の定義が生まれている感じですかね。。。
● 参議院
・議案情報 - 個人情報の保護に関する法律等の一部を改正する法律案
・[PDF] 法律案
■ 報道等
● 日経XTECH
・2020.06.05 改正個人情報保護法が成立、クッキーと個人情報のひも付けに同意取得を義務化 by 大豆生田 崇志
-----
このブログ
・2020.03.10 「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について
イタリアを標的とした攻撃手順の解説
こんにちは、丸山満彦です。
イタリアを標的とした攻撃手順の詳細が解説されています。
興味深いです。。。
● Security Affairs
・2020.06.05 New Cyber Operation Targets Italy: Digging Into the Netwire Attack Chain by Pierluigi Paganin
ZLab malware researchers analyzed the attack chain used to infect Italian speaking victims with the Netwire malware.
2020.06.06
カリフォルニア州 CCPAは7月1日から施行?
こんにちは、丸山満彦です。
California Consumer Privacy Act(CCPA)が、2020.01.01に公布されましたが、2020.07.01に施行が開始されそうですね。。。
● State of California Department of Justice
・2020.06.02 (Press Release) Attorney General Becerra Submits Proposed Regulations for Approval Under the California Consumer Privacy Act
・CCPA - Proposed Regulations Package Submitted to OAL
● California Consumer Privacy Act(CCPA)
-----
● Retail Law BCLP
・2020.06.03 Final CCPA Regulations Submitted to California Office of Administrative Law by David Zetoon
最終的な規制のコピーはCCPA-Info.comにまとめられていますね。。。
● Foley
・2020.06.04 Final Proposed CCPA Regulations Submitted to California’s Office of Administrative Law, But the California Privacy Landscape Remains Clear as Mud by Steven M. Millendorf
イタリア COVID-19 Contact Tracing Applicationの利用が間も無く開始?
こんにちは、丸山満彦です。
Contact Tracingというよりも、濃厚接触の可能性通知アプリというべきかもしれませんが、イタリアで”Immuni”というアプリが公開されています。6月8日から特定の州で利用が開始され6月15日からは全国で使えるようになるようですね。。。
● Immuni
コードはGitHubに公開されています。
https://github.com/immuni-app/immuni-documentation
また、アプリ開発についての原則が記載されています。
-----
Principles
The main principles that guide the design and development of Immuni follow:
- Utility. The app needs to be useful in fulfilling the project's vision and goals, as outlined above. The key here is to be able to notify as high a percentage of the people who are substantially at risk as possible, and to do so as early as is practical. This is the most important principle.
- Accessibility. For fairness and to facilitate the widest adoption, Immuni should be accessible to the maximum possible number of people who may want to use it. This principle impacts decision-making across the board, including in user experience, design, localisation, and technology.
- Accuracy. Immuni aims to notify only those users who have a substantial risk of having contracted the virus. This is important because of the psychological toll that goes with being notified about a potential transmission of the disease, and because too high a rate of false positives would result in users losing trust in the app—and stopping their use of it. Also, the more accurate the app is, the more efficiently the National Healthcare Service (Servizio Sanitario Nazionale) will be able to take care of users, making sure to attend to higher-risk ones first.
- Privacy. Immuni must protect user privacy while remaining effective. Earning and maintaining user trust is critical—failing to do so reduces the likelihood of widespread adoption.
- Scalability. Immuni needs to be widely adopted throughout the country. This requires the system to scale well technologically and the operational burden it places on the National Healthcare Service to be manageable.
- Transparency. Everyone should be provided with access to documentation describing Immuni in all its parts and the rationale behind the most important design decisions. Also, the app will be open source. This allows the users to verify that the app works as documented and the expert community to help improve it.
-----
● The Local it
・2020.06.05 Italy to launch Immuni contact-tracing app: Here's what you need to know
2020.06.05
米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。
こんにちは、丸山満彦です。
米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。
● OMB
・ [PDF] Federal Information Security Modernizaion Act of 2014 - Annual Report to Congress Fiscal Year 2019
-----
Executive Summary: The State of Federal Cybersecurity
A. Federal Cybersecurity Roles and Responsibilities
Section I: Federal Cybersecurity Activities
A. Increasing Cybersecurity Threat Awareness
B. Standardizing Cybersecurity and IT Capabilities
C. Maturing Security Operations Centers (SOCs)
D. Driving Agency Accountability
Section II: Senior Agency Official for Privacy (SAOP) Performance Measures
A. Senior Agency Officials for Privacy (SAOPs) and Privacy Programs
B. Personally Identifiable Information and Social Security numbers
C. Privacy and the Risk Management Framework
D. Information Technology Systems and Investment
E. Privacy Impact Assessments
F. Workforce Management
G. Breach Response and Privacy
Section Ill: FY 2019 Agency Performance
A. Introduction to Cybersecurity Performance Summaries
B. FY 2019 Information Security Incidents
C. Agency Cybersecurity Performance Summaries
Appendix I: Commonly Used Acronyms
-----
■ 報道
● SC Media
・2020.06.03 OMB: Federal agencies reported 8 percent fewer cybersecurity incidents in FY 2019 by Bradley Barth
● Computing
・2020.06.02 US federal agencies report 28,581 security incidents across nine attack vector categories in 2019 by Dev Kundaliya
Improper usage was identified as the most common attack vector last year
● TechRador
・2020.06.02 Security incidents at US federal agencies declined last year by
● CISO MAG
・2020.06.03 Security Incidents at U.S. Federal Agencies Dropped in 2019: White House
● Fifth Domain
・2020.05.28 OMB Phishing incidents dropped at federal agencies last year by Andrew Eversden
● Federal News Network
・2020.05.28 Government cyber incidents continue downward trend by Eric White
■ このブログ
・2011.05.29 NIST 2010 Computer Security Division Annual Report
・2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB
・2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)
・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-
・2008.04.15 米国政府 セキュリティ評価関係 2007
・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分
・2007.04.15 米国政府 情報セキュリティ通知簿2006
・2007.04.01 米国政府 セキュリティ評価関係
・2006.03.18 米国政府 情報セキュリティ通知簿2005 2
・2006.03.18 米国政府 OMB Releases Annual FISMA Report
・2006.03.17 米国政府 情報セキュリティ通知簿2005
・2005.02.23 米国政府 情報セキュリティ通知簿2
・2005.02.23 米国政府 情報セキュリティ通知簿
・2004.12.08 国家セキュリティ体制 米国の状況・・・
-----
・報告書 [Downloded]
- [PDF] 2019_fisma_report
- [PDF] 2018_fisma_report
- [PDF] 2017_fisma_report
- [PDF] 2016_fisma_report
- [PDF] 2015_fisma_report
- [PDF] 2014_fisma_report
- [PDF] 2013_fisma_report
- [PDF] 2012_fisma_report
- [PDF] 2011_fisma_report
- [PDF] 2010_fisma_report
- [PDF] 2009_fisma_report
- [PDF] 2008_fisma_report
- [PDF] 2007_fisma_report
- [PDF] 2006_fisma_report
- [PDF] 2005_fisma_report
- [PDF] 2004_fisma_report
- [PDF] 2003_fisma_report
内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました
こんにちは、丸山満彦です。
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録する 「政府情報システムのためのセキュリティ評価制度(ISMAP)」が運用開始されましたね。。。
● 内閣官房 サイバーセキュリティセンター
・2020.06.03 政府情報システムのためのセキュリティ評価制度(ISMAP)について
● 総務省
・2020.06.03 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用開始
● 経済産業省
・2020.06.03「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました
-----
2.制度の概要
本制度は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、本制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録するものです。
また、本制度における監査を行うことができる監査機関についても、あらかじめ本制度で定める監査機関に対する要求事項を満たすことが確認され、本制度が公表する監査機関リストに登録とするものとしています。
本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達することが可能となることが期待されます。
-----
● IPA
・政府情報システムのためのセキュリティ評価制度(ISMAP)
-----
-----
ちなみに、米国のクラウド戦略は、、、
● OMB
・2019.06.24[PDF] FEDERAL CLOUD COMPUTING STRATEGY
From Cloud First to Cloud Smart
Key Actions
I. Cloud at a Glance
Redefining Cloud Computing
Modernization and Maturity
II. Security
Trusted Internet Connections
Continuous Data Protection and Awareness
FedRAMP
Ill. Procurement
Category Management
Service Level Agreements
Security Requirements for Contracts
IV. Workforce
Identifying Skill Gaps for Current and Future Work Roles
Reskilling ~nd Retaining Current Federal Employees
Recruiting and Hiring to Address Skill Gaps
Employee Communication, Engagement, and Transition Strategies
Removing Barriers to Hiring Talent Expeditiously
V. Conclusion
内閣官房 個人情報保護制度の見直しに関するタスクフォース 個人情報保護制度の見直しに関する検討会委員 第2回(個人情報保護制度見直しの基本的な方向性(案)について)
こんにちは、丸山満彦です。
内閣官房の個人情報保護制度の見直しに関するタスクフォース 個人情報保護制度の見直しに関する検討会委員 第2回が2020.05.27に開催され、個人情報保護制度見直しの基本的な方向性が議論されたようですね。。。
● 内閣官房 - 個人情報保護制度の見直しに関するタスクフォース - 個人情報保護制度の見直しに関する検討会委員
・2020.05.27 第二回
- 開催案内
- 議事次第・資料
- 資料1:[PDF] 個人情報保護制度見直しの基本的な方向性(案)
- 資料2:[PDF] 個人情報保護制度見直しの主な論点と考え方(案)
- [PDF] 意見の要旨
ーーーー
個人情報保護制度見直しの狙い
1.個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を統合し、民間事業者、国の行政機関、独立行政法人等の3者における個人情報の取扱いを、独立規制機関である個人情報保護委員会が一元的に所管する体制を構築する。
<一元的所管の具体的な意味>
・ 統合後の法律の執行(監視・監督)は、個人情報保護委員会が行う。
・ 統合後の法律の有権解釈権は、個人情報保護委員会に一元的に帰属する。
・ 統合後の法律に係る企画・立案(附則検討条項に基づく制度の見直し等)は、個人情報保護委員会が行う。
2.その際、来年の通常国会に改正法案を提出する前提で、現行法制の縦割りに起因する不均衡や不整合を可能な限り是正する。
<不均衡・不整合の例>
・ 民間部門と公的部門で「個人情報」の定義が異なる。
・ 国立病院、民間病院、自治体病院で、データ流通に関する法律上のルールが異なる。
・ 国立大学と私立大学で学術研究に係る例外規定のあり方が異なる。
[拡大]
ーーーー
個人情報保護制度見直しの主な論点と考え方【案】
Ⅰ.総論
Ⅰ-Ⅰ 法の形式及び法の所管(検討の前提)
Ⅰ-Ⅱ 医療分野・学術分野における規制の統一
Ⅰ-Ⅲ 学術研究に係る適用除外規定の見直し(精緻化)
Ⅱ.定義等の統一
Ⅱ-Ⅰ 個人情報の定義の相違(照合の容易性の扱い)
Ⅱ-Ⅱ 匿名加工情報と非識別加工情報の相違
Ⅱ-Ⅲ 行政機関等における匿名加工情報の取扱い
Ⅱ-Ⅳ 義務規定及びその例外規定の内容の相違
Ⅲ.監視監督・事務処理体制
Ⅲ-Ⅰ 行政機関等に対する監視監督のあり方
Ⅲ-Ⅱ 行政機関等の開示決定等への不服申立ての扱い(情報公開・個人情報保護審査会のあり方)
ーーーーー
2020.06.04
IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
こんにちは、丸山満彦です。
IPAが「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」を公表していますね。。。
● IPA
・2020.06.03 サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
-----
...IPAは、サイバー攻撃への備えをさらに強化していただくため、国内での実践事例を基にしたプラクティス集を作成しました。第2版ではセキュリティ実態調査や有識者・企業インタビューをもとに、2章ガイドラインの指示4(リスク把握)、指示6(PDCA)、指示10(情報共有)を全面刷新し、3章セキュリティ担当者の悩みと合わせて計8つのプラクティスを追加しています。プラクティスには、遠隔拠点とのコミュニケーション、経営者の意識向上、インシデント対応演習などに関するトピックを盛り込みました。
プラクティス集の構成と特徴
本プラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載しています。
経営者の方には第1章が、CISO等やセキュティ担当者の方には本書全体が参考となるよう構成しました。本プラクティス集の構成は以下の通りです。
はじめに
第1章 経営とサイバーセキュリティ
第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
第3章 セキュリティ担当者の悩みと取組みのプラクティス
付録 サイバーセキュリティに関する用語集
サイバーセキュリティ対策の参考情報
第2章では、サイバーセキュリティ強化のために実践していただきたいファーストステップを、重要10項目ごとにまとめています。第3章では、事例の妨げとなる課題やセキュリティ担当者の悩みに対し、実際に試みられた工夫の事例を紹介しております。
経営者の方には第1章が、CISO等やセキュティ担当者の方には本書全体が参考となるよう構成しました。本プラクティス集の構成は以下の通りです。
はじめに
第1章 経営とサイバーセキュリティ
第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
第3章 セキュリティ担当者の悩みと取組みのプラクティス
付録 サイバーセキュリティに関する用語集
サイバーセキュリティ対策の参考情報
第2章では、サイバーセキュリティ強化のために実践していただきたいファーストステップを、重要10項目ごとにまとめています。第3章では、事例の妨げとなる課題やセキュリティ担当者の悩みに対し、実際に試みられた工夫の事例を紹介しております。
-----
UK CAV PASS (Connected and Autonomous Vehicles)関係。。。
こんにちは、丸山満彦です。
2020.05にBSIがCAV関係でPAS 1880、PAS 1881を発行するなど動きがある感じなので、ちょっと整理。。。
● BSI
・CAV resources - Standards, guidelines, research and viewpoints
・PASS 1880 - Guidelines for Developing and Assessing Control Systems for Automated Vehicles
自動運転車の安全、安全、効果的な展開のための制御システム開発者のための初期ガイドラインである。
自動運転車、その組立事業者、部品製造者、開発事業者、自動運転車の試験や他の試験・検証活動に携わる組織を対象とする。
[PDF]
・PAS 1881 - Assuring Safety for Autonomous Vehicle Trials and Testing. A specification
CAV の安全な試験、実証実験を支援することを目的としている。
安全に活動できることを実証するために、英国における自動運転車の試験と開発試験のための安全なケースの最低要件を規定している。
試験機関、地方自治体、高速道路当局、道路事業者、土地所有者、借地人、保険者、試験場、ライセンス機関等の利害関係者に関係する。
[PDF]
■ 関連
● teiss
・2020.06.02 UK’s CAV PASS to incorporate new cyber safety tests for CAVs by Jay Jay
英国のコネクテッドカーや自律走行車は、英国の道路での走行を許可される前に品質基準に照らしてCAVをテストする「CAV PASS」として知られる新しい安全基準の一環として、サイバーセキュリティテストを受けることになることが新たな報告書で明らかになった。
-----
基本的なところは、、、
● UK Government
・2019.09.04 (News Story) New system to ensure safety of self-driving vehicles ahead of their sale
・2018.08.06 (Guidance) Principles of cyber security for connected and automated vehicles
[HTML]
| Principle 1 | organisational security is owned, governed and promoted at board level | 組織のセキュリティは、取締役会レベルで所有、管理、推進されています。 |
| Principle 2 | security risks are assessed and managed appropriately and proportionately, including those specific to the supply chain | サプライチェーンに特有のものも含め、セキュリティリスクが適切に評価され、適切に管理されている。 |
| Principle 3 | organisations need product aftercare and incident response to ensure systems are secure over their lifetime | 組織は製品のアフターケアとインシデント対応を必要としており、システムが生涯にわたって安全であることを保証する。 |
| Principle 4 | all organisations, including sub-contractors, suppliers and potential 3rd parties, work together to enhance the security of the system | 下請け業者、サプライヤー、潜在的な第三者を含むすべての組織が協力してシステムのセキュリティを強化する。 |
| Principle 5 | systems are designed using a defence-in-depth approach | システムは、防御のための綿密なアプローチを用いて設計される。 |
| Principle 6 | the security of all software is managed throughout its lifetime | すべてのソフトウェアのセキュリティは、その生涯を通じて管理されている。 |
| Principle 7 | the storage and transmission of data is secure and can be controlled | データの保存と伝送は安全であり、制御可能である。 |
| Principle 8 | the system is designed to be resilient to attacks and respond appropriately when its defences or sensors fail | システムは攻撃に対して回復力があり、防御やセンサーが故障した場合に適切に対応できるように設計されている。 |
2020.06.03
米国 共和党と民主党のCOVID-19プライバシー法案の成り行きは???
こんにちは、丸山満彦です。
米国の共和党(上院)は2020年5月7日にCOVID-19 Consumer Data Protection Act of 2020 (CCDPA) 、民主党(上院、下院)は5月14日に対抗法案 Public Health Emergency Privacy Act (PHEPA)
を提出していますが、どうなるんでしょうね。。。
両法案とも、2018年カリフォルニア州消費者保護法(CCPA)や欧州連合の一般データ保護規則(GDPR)によく似ていますが、CCPAやGDPRとは違って、COVID-19パンデミックの期間に限定されています。
分りやすい説明があったので、紹介です。
● JDSUPRA
・2020.06.02 Republicans and Democrats Introduce COVID-19 Privacy Bills
要求事項に関する
■ 主な類似点
- 取得には事前の明示的な同意を得る
- プライバシーポリシーを明示する
- データセキュリティ対策をする
- 取得した情報と利用目的を定期的に公開する
- 緊急事態宣言期間に限定
- などなど
■ 主な相違点
| CCDPA | PHEPA | |
| 対象データ | 位置データ、近接データ、永続的な識別子、個人の健康情報(COVID-19 関連の状態だけでなく、あらゆる身体的または精神的健康状態または障害を含むと定義されている)。薔薇集計データ、業務連絡先情報、非識別データ、従業員スクリーニングデータ、および公開情報は、すべてこの定義から除外される。 | COVID-19の緊急事態に関係する個人またはデバイスに既に紐づいているか、紐付け可能なデータを保護することを目的としている。 |
| 管轄 | FTCの管轄下にある事業者だけでなく、一般の通信事業者や非営利団体にも適用されます。 | COVID-19の電子情報を収集、使用、開示する組織、COVID-19国家緊急事態の追跡、スクリーニング、監視、接触追跡、緩和、または対応を目的としたウェブサイトまたはアプリの開発者または運営者に適用される。民間事業体に限定されない。 |
| 選挙権 | 言及していない | COVID-19に関連する情報を、個人の投票権を制限したり妨害したりする目的で使用することを明示的に禁止している。 |
米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表
こんにちは、丸山満彦です。
ココログが復活しましたので、こちらに掲載を続けます。
少し前になるのですが、米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表していました。
● NSA
・2020.05.28 Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors
・2020.05.28 NSA Releases Advisory on Sandworm Actors Exploiting an Exim Vulnerability
・[PDF] Cybersecurity Advisory "Sandworm Actors Exploiting Vulverability in Exim Mail Transfer Agent
SandwormがCVE-2019-10149を悪用した場合、被害者のマシンはその後、Sandwormが制御するドメインからシェルスクリプトをダウンロードして実行するようですね。
このシェルスクリプトは、
- 特権ユーザーを追加する
- ネットワークセキュリティ設定を無効にする
- SSH構成を更新して、追加のリモートアクセスを有効にする
- 追加のスクリプトを実行して、後続の悪用を有効にする
ということですね。。。
■ 報道等
・ 2020.05.29 NSA Publishes IOCs Associated With Russian Targeting of Exim Servers by Ionut Arghire
● ZDNet
・ 2020.05.29 NSA warns of new Sandworm attacks on email servers by Catalin Cimpanu
NSA says Russia's military hackers have been attacking Exim email servers to plant backdoors since August 2019.
・2020.05.29 NSA warns about Sandworm APT exploiting Exim flaw by Zeljka Zorz
・2020.05.29 NSA Warns Russian Hacking Group Targeting Vulnerable Email Systems by Jessica Davis
The Russian hacking group known as Sandworm has been actively exploiting a vulnerability found in the Exim MTA software for email to launch malicious attacks, according to an NSA alert.
・ 2020.05.29 露APTグループがメールサーバに脆弱性攻撃 - 米政府が注意喚起
● マイナビニュース
・ 2020.05.30 Eximの脆弱性がサイバー攻撃に使われている、アップデートを by 後藤大地
Recent Comments