« June 2020 | Main | August 2020 »

July 2020

2020.07.31

英国のデータコミッショナーがAIとデータ保護に関するガイダンスを公表していますね。

こんにちは、丸山満彦です。

英国のInformation Commissioner' Office (ICO) がAIとデータ保護に関するガイダンス「ICO launches guidance on AI and data protection」を公表しましたね。。。

データ保護遵守のベストプラクティスに焦点を当てたAIを監査するためのフレームワークという感じみたいです。。。

● UK-ICO

・2020.07.30 Blog: ICO launches guidance on AI and data protection by Simon McDougall

Simon McDougall, Deputy Commissioner - Regulatory Innovation and Technology, discusses the relationship between AI and data protection as the ICO publishes new AI guidance.

Guidance on AI and data protection

・[PDF] Full Document

 


| | Comments (0)

2020.07.30

US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

こんにちは、丸山満彦です。

US-GAOってこんなことまでするんですね。。。

US-GAO

・2020.07.28 SCIENCE & TECH SPOTLIGHT: Contact Tracing Apps

 ・[PDF] Full Report

  • 連絡先追跡アプリは、スマートフォンを利用するCOVID-19のような感染症の感染率を下げるのに役立つ比較的新しい技術である。
  • 感染者の近くにいて、暴露された可能性のある人々を迅速に識別して通知できる。
  • 連絡先追跡アプリは、従来の連絡先追跡の手段よりも多くの人に到達する可能性がある。
  • 政策立案者は、連絡先追跡アプリの使用を採用するかどうかを検討するとき、テクノロジーについての正確な理解、利用率、プライバシーの懸念など、潜在的な課題と利点を比較検討する必要がある。

 

CHALLENGES

  • Technology. Technological limitations may lead to missed contacts or false identification of contacts. For example, GPS-based apps may not identify precise locations, and Bluetooth apps may ignore barriers preventing exposure, such as walls or protective equipment. In addition, apps may overlook exposure if two people were not in close enough proximity long enough for it to count as a contact.

  • Adoption. Lower adoption rates make the apps less effective. In the U.S., some states may choose not to use proximity tracing apps. In addition, the public may hesitate to opt in because of concerns about privacy and uncertainty as to how the data may be used. Recent scams using fake contact tracing to steal information may also erode trust in the apps.

  • Interoperability. Divergent app designs may lead to the inability to exchange data between apps, states, and countries, which could be a problem as travel restrictions are relaxed.

  • Access. Proximity tracing apps require regular access to smartphones and knowledge about how to install and use apps. Some vulnerable populations, including seniors, are less likely to own smartphones and use apps, possibly affecting adoption.

 

| | Comments (0)

経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」

こんにちは、丸山満彦です。

経済産業省が、「DX企業のプライバシーガバナンスガイドブックver1.0(案)」のパブコメを求めていますね。。。

経済産業省

・2020.07.29 (press)DX企業のプライバシーガバナンスガイドブックver1.0(案)」の意見公募手続き(パブリックコメント)を開始しました

プライバシーやデータ利活用に深い見識を有する有識者に参画いただき、Society5.0の時代におけるDX企業の役割、プライバシーの考え方、企業のプライバシーガバナンスの重要性を前提に、「経営者が取り組むべき三要件」や「プライバシーガバナンスの重要事項」について議論を行い、「DX企業のプライバシーガバナンスガイドブックver1.0(案)」を取りまとめました。

 

経営者が取り組むべき3要件

要件1 プライバシーガバナンスに係る姿勢の明文化 経営戦略上の重要課題として、プライバシーに係る基本的考え方や姿勢を明文化し、組織内外へ知らしめる
要件2 プライバシー保護責任者の指名 組織全体のプライバシー問題への対応の責任者を指名し、権限と責任の 両方を与える
要件3 プライバシーへの取組に対するリソースの投入 必要十分な経営資源(ヒト・モノ・カネ)を漸次投入し、体制の構築、人材の配置・育成・確保等を行う

 

「DX企業の」って枕詞いりますかね、、、「DX企業」以外関係ないとか、、、まぁ、DXという言葉が日本では流行っているようですので良いですかね。。。(^^)

ガバナンスというからには、Second Lineの執行役員レベルで企業グループ全体のプライバシーに対する方針、実行等についての責任者(CPO等)と明確に書いてしまったら良いのでは(参考にされている情報セキュリティガバナンスの検討メンバーとしては)思ったり。。。

 

 

 

 

 

 

 

Continue reading "経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」"

| | Comments (0)

2020.07.29

ACSC オーストラリア政府がクラウドセキュリティのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

Australia Cyber Security Centreがクラウドセキュリティのガイダンスを公表していますね。。。

次のマニュアル等と合わせて利用する感じなんですね。。。

Australian Cyber Security Centre (ACSC) guidance is also available and supports the new guidance:

ーーーーー

Australia Cyber Security Centre

Cloud Security Guidance

2020.07.27に新たに発行したのは3つのガイダンスとFAQです。

Anatomy of a cloud assessment and authorisation

The Anatomy of a Cloud Assessment and Authorisation document assists and guides Information Security Registered Assessors Program (IRAP) assessors, cloud consumers, cyber security practitioners, cloud architects and business representatives on how to perform an assessment of a cloud service provider (CSP) and its cloud services. This allows a risk-informed decision to be made about its suitability to handle an organisation’s data.

The Cloud Security Assessment Report Template is used to assess a cloud service provider (CSP) and its cloud services, improving the consistency of the Cloud Security Assessment Reports. 

The Cloud Security Assessment Report Template is to be used to document the Phase 1 assessment of the CSP and its cloud services. It details the assessment findings that should be included and how it should be presented in the report. This improves the consistency of the Cloud Security Assessment Reports, allowing cloud consumers to more easily compare CSP's against one another, and determine which CSP is best suited to their security and business needs.

The Cloud Security Assessment Report Template can be customised as needed to best document the findings from the assessment of a CSP and its cloud services. Information Security Registered Assessors Program (IRAP) assessors should, however, limit the changes to the report to only what is necessary, maintaining its structure and headings to ensure reports are consistent.


 ・[PDF][DOCX]



The Cloud Security Controls Matrix (CSCM) provides additional context to the Australian Government Information Security Manual (ISM) security controls for cloud computing to assist assessments.

The Cloud Security Controls Matrix (CSCM) template is a tool intended to be used by Information Security Registered Assessors Program (IRAP) assessors to capture the implementation of security controls from the Australian Government's Information Security Manual (ISM) by cloud service providers (CSP's) for their systems and services.

The CSCM provides indicative guidance on the scoping of cloud assessments, and inheritance for systems under a shared responsibility model, though it should be noted that guidance is not definitive, and should be interpreted by the security assessor in the context of the assessed system. Further, these comments have generally been developed with reference to OFFICIAL: Sensitive and PROTECTED public clouds. This does not preclude their use for other types of cloud systems, though additional scrutiny should be applied to their reference in this case.

Importantly, the CSCM also captures the ability for cloud consumers to implement security controls for systems built on the CSP's services, identifying where they are responsible for configuring the service in accordance with the ISM.

 ・[XLSX]

 

Cloud assessment and authorisation - frequently asked questions

  • What happens to the Cloud Services Certification Program (CSCP) and the Certified Cloud Services List (CCSL)?
  • Who was involved in designing the new cloud security guidance?
  • What support will there be for the new cloud security guidance?
  • Will Government entities have the ability to undertake Cloud Security Assessments themselves?
  • When should I expect the new cloud security guidance to be used?
  • How should previous Cloud Security Assessment Reports be handled?
  • How frequently will a cloud service provider and its services be assessed under the new guidance?
  • What are addendums to the Cloud Security Assessment Report?
  • What are Supplementary, New and Updated Cloud Services Assessment Reports?
  • How will CSP Security Assessment Reports be shared?
  • What is the difference between a full cloud security assessment and supplementary, new and updated cloud serviceassessment?
  • How will controls inherited from other CSPs be validated in the assessment?
  • What is the applicability of international standards?
  • How can CSPs state nothing has changed since the previous assessment?
  • Will Cloud Security Assessment Reports be invalidated after 24 months?
  • Will the ACSC maintain a register of CSPs currently undergoing a Security Assessment?
  • Will there now be one ISM for CSPs and one ISM for Government?
  • Will the information and training sessions for CSPs, Government entities, and IRAP Assessors be conducted in each Stateand Territory?
  • Given the frequent ISM updates, who will be responsible for updating and maintaining the Cloud Security Control Matrix?
  • Where can I find the new cloud security guidance?
  • What is the ACSC’s role and responsibility in relation to the new process?
  • Can I provide feedback on the new cloud security guidance?

 

 

| | Comments (0)

台湾のQNAP社のNASに感染したQSnatchに関する警告 by CISA & NCSC

こんにちは、丸山満彦です。

昨年11月に報告された台湾のQNAP社のNASに感染するQSnatchに関するアラートがUS-CISAとUK-NCSCから出されていますね。

CISA
・2020.07.27 Alert (AA20-209A) Potential Legacy Risk from Malware Targeting QNAP NAS Devices

NCSC
・2020.07.27 Alert: Potential legacy risk from malware targeting QNAP NAS devices

悪意のあるサイバーアクターが使用するインフラは現在活動休止中だが、パッチが適用されていないデバイスに対する脅威は残っているので注意すること。

QSnatchを使用する悪意のあるサイバーアクターの身元と目的は現在不明だが、マルウェアは洗練されている。

と、いう感じですかね。。。

 




■ 報道等

● Security Affairs
・2020.07.28 QSnatch malware infected over 62,000 QNAP NAS Devices by Pierluigi Paganini

US and UK cybersecurity agencies issued a joint advisory about the spread of QSnatch Data-Stealing Malware that already infected over 62,000 QNAP NAS devices.

● ZDnet
・2020.07.28 Thousands of QNAP NAS devices have been infected with the QSnatch malware by

Over 7,000 infections reported in Germany alone. The malware is still spreading.

xakep 
・2020.07.28 Вредонос QSnatch заразил более 62 000 устройств QNAP by

 

IThome
・2020.07.27 美、英政府:感染6.2萬臺QNAP的惡意程式QSnatch會阻撓更新 by 林妍溱

雖然QNAP已經針對惡意程式QSnatch釋出更新版韌體,但是研究人員認為QSnatch有能力修改系統主機的檔案,將NAS更新使用的核心網域名改成過期版本的位置,讓用戶機器無法獲得更新

● heise online
・2020.07.28 QSnatch-Malware immer noch aktiv – 65.000 Qnap NAS infiziert

Seit sechs Jahren attackieren unbekannte Angreifer ungepatchte NAS-Geräte von Qnap.

 dobreprogramy
・2020.07.28 Qsnatch atakuje NAS-y QNAP. Ponad połowę infekcji wykryto w Europie by 

 

● Security info
・2020.07.28 Allarme QSnatch: il malware ha colpito più di 60.000 NAS by 

 


■ 参考 (2019.10-11の状況)

Finnish Transport and Communications Agency - National Cyber Security Centre
・2019.010.25 QSnatch - Malware designed for QNAP NAS devices

 

reddit
・2020.07.28 QSnatch Malware general post. Information and current status.

| | Comments (0)

2020.07.28

NSAとCISAが共同でOTと制御システムのリスクを低減するよう警告を出していましたね。。。

こんにちは、丸山満彦です。

USのNSAとCISAが共同で、OTと制御システムのリスクを低減するためにすぐに対策をとるように警告を出していますね。。。国際的な緊張がより高まった時にOTや制御システムへのサイバー攻撃が起こり、米国の生活や産業等にダメージが出ると大きな損失になるということで、早めに対応を促しているのですかね。。。

CISA
・2020.07.23 Alert (AA20-205A) NSA and CISA Recommend Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems

 

Recently Observed Tactics, Techniques, and Procedures

  • Spearphishing [T1192] to obtain initial access to the organization’s information technology (IT) network before pivoting to the OT network.
  • Deployment of commodity ransomware to Encrypt Data for Impact [T1486] on both networks.
  • Connecting to Internet Accessible PLCs [T883] requiring no authentication for initial access.
  • Utilizing Commonly Used Ports [T885] and Standard Application Layer Protocols [T869], to communicate with controllers and download modified control logic.
  • Use of vendor engineering software and Program Downloads [T843].
  • Modifying Control Logic [T833] and Parameters [T836] on PLCs.

Impacts

  • Impacting a Loss of Availability [T826] on the OT network.
  • Partial Loss of View [T829] for human operators.
  • Resulting in Loss of Productivity and Revenue [T828].
  • Adversary Manipulation of Control [T831] and disruption to physical processes.
     

Mitigations

  • Have a Resilience Plan for OT
  • Exercise your Incident Response Plan
  • Harden Your Network
  • Create an Accurate “As-operated” OT Network Map Immediately
  • Understand and Evaluate Cyber-risk on “As-operated” OT Assets
  • Implement a Continuous and Vigilant System Monitoring Program

 

| | Comments (0)

2020.07.27

FBIは中国で付加価値税の支払いのためにインストールが義務付けられているソフトウェアにバックドアがあるとアラートを出したみたいですね

こんにちは、丸山満彦です。

FBIは中国で付加価値税の支払いのためにインストールが義務付けられているソフトウェアにバックドアがあるとアラートを出したみたいですね。

アラート自体は企業に送付されているようです。[PDF]  AC-000129-TT

国が義務付けたファイルにマルウェアが仕掛けられるとかなり辛いですね。。。

 

■ 報道等

Bank Info Security
・2020.07.25 FBI Warns US Firms Over Malware in Chinese Tax Software  by 

Alert Follows Trustwave Reports on Backdoors Hidden in Tax Software

FBI warns US companies about backdoors in Chinese tax software by 

Following the GoldenHelper and GoldenSpy malware reports, the FBI is now warning US companies operating in China.

● REVYUH
 ・2020.07.25 GoldenHelper and GoldenSpy: taxes and backdoors Made in China by Kamal Saini

According to the US agency, the software made mandatory by China for the payment of taxes by US companies contains backdoors.

● Heis online
・2020.07.25 IT-Sicherheit: FBI warnt vor Hintertür in chinesischer Steuersoftware

Ausländische Unternehmen brauchen in China spezielle Programme für die Umsatzsteuererklärung. Diese installieren laut dem FBI Backdoors zu Firmennetzwerken.

Neuvo Periodico
・2020.07.25 El FBI advierte: el software obligatorio de IVA chino incluye una puerta trasera
・2020.07.25 impuestos y puertas traseras Made in China

Punto Information
・2020.07.25 Cina: una backdoor nel software per le tasse?


 

| | Comments (0)

2020.07.26

欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

こんにちは、丸山満彦です。

欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね。

Europa Data Protection Board (EDPB)
・2020.07.24 (news) European Data Protection Board publishes FAQ document on CJEU judgment C-311/18 (Schrems II)

・2020.07.24 Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

・[PDF] [HTML]に変換

 

質問は、

1) What did the Court rule in its judgment?

2) Does the Court’s judgment have implications on transfer tools other than the Privacy Shield?

3) Is there any grace period during which I can keep on transferring data to the U.S. without assessing my legal basis for the transfer?

4) I was transferring data to a U.S. data importer adherent to the Privacy Shield, what should I do now?

5) I am using SCCs with a data importer in the U.S., what should I do?

6) I am using Binding Corporate Rules (“BCRs”) with an entity in the U.S., what should I do?

7) What about other transfer tools under Article 46 GDPR?

8) Can I rely on one of the derogations of Article 49 GDPR to transfer data to the U.S.?

9) Can I continue to use SCCs or BCRs to transfer data to another third country than the U.S.?

10) What kind of supplementary measures can I introduce if I am using SCCs or BCRs to transfer data to third countries?

11) I am using a processor that processes data for which I am responsible as controller, how can I know if this processor transfers data to the U.S. or to another third country?

12) What can I do to keep using the services of my processor if the contract signed in accordance with Article 28.3 GDPR indicates that data may be transferred to the U.S. or to another third country?

 


■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.21 プライバシーシール無効判決後のアメリカとイギリス

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜すby EU裁判所

 

 

| | Comments (0)

HIDDEN COBRAがMATAフレームワークを利用して日本企業等を攻撃した? (Kaspersky)

こんにちは、丸山満彦です。

KasperskyがMATAフレームワークの背後にいる攻撃者は、顧客のデータベースを盗んでランサムウェアを配布するサイバー攻撃にこれを利用したと結論づけていますね。。。

Kaspersky - Secure List

・2020.07.22 MATA: Multi-platform targeted malware framework by 

 


 

報道等

xakep
・2020.07.24 Группа Lazarus использует для атак фреймворк MATA by  

 
Bank info Security
・2020.07.22 
Lazarus Group Deploying Fresh Malware Framework by
Kaspersky: MATA Framework Used to Spread Ransomware, Steal Databases

Dark Reading
・2020.07.22 North Korea's Lazarus Group Developing Cross-Platform Malware Framework by Robert Lemos
The APT group, known for its attack on Sony Pictures in 2014, has created an "advanced malware framework" that can launch and manage attacks against systems running Windows, MacOS, and Linux.
CTECH
Researchers at the cybersecurity company uncovered a new attack targeting Poland, Germany, Turkey, South Korea, Japan, and India
 Una al Dia

 

| | Comments (0)

2020.07.25

英国議会 諜報及び安全保証委員会報告書 ロシア

こんにちは、丸山満彦です。

英国議会の諜報及び安全保証委員会からロシアに関する報告書が公表されていますね。。。EUからの離脱に関する国民投票にロシアが干渉したかどうかの調査を怠っていた。。。

UK Parlament - Intelligence and Security Committee of Parliament
・2020.07.21 (Google Drive) [PDFRussia (HC632)

米国の大統領選が近いこともあるのでしょうか、ロシアが2014年以来、民主的な選挙(米国、フランス等)に対して影響力を行使してきた、犯罪組織とも密接に関わっていてロシアのサイバー能力は英国にとっては脅威であるという記載もありますね。。。

15. Russia’s cyber capability, when combined with its willingness to deploy it in a malicious capacity, is a matter of grave concern, and poses an immediate and urgent threat to our national security.

HTMLに変換したもの[HTML]20200721_hc632_ccs001_ccs1019402408001_isc_ru

 

EURO NEWS (Youtube)
・2020.07.21 Russia report: Findings of long-awaited probe into Russian inference in UK politics released | LIVE

Chair of the Intelligence and Security Committee (ISC) Rt Hon. Dr Julian Lewis MP and committee members Stewart Hosie MP and Kevan Jones MP host virtual event. A long-awaited report into alleged Russian interference in the 2017 general election and the 2016 Brexit vote is expected to be published by the ISC.

Read more: https://bit.ly/3eP6bBx

参考

まるちゃんの情報セキュリティ気まぐれ日記
・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

 

目次です。


INTRODUCTION

  • What does Russia want?
  • Why the UK?
  • The Report

The Threat

CYBER

  • A sophisticated player
  • Leading the response
  • Attribution: a new approach
  • HMG as a player: Offensive Cyber
  • International actions

DISINFORMATION AND INFLUENCE

  • A ‘hot potato’
  • The Defending Democracy programme
  • Political advertising on social media
  • Case study: the EU referendum

RUSSIAN EXPATRIATES

  • Welcoming oligarchs with open arms
  • Trying to shut the stable door
  • Russians at risk

The Response

ALLOCATION OF EFFORT

  • Coverage
  • Did HMG take its eye off the ball?
  • Future resourcing

STRATEGY, CO-ORDINATION AND TASKING

  • The cross-Whitehall Russia Strategy
  • Ministerial responsibility
  • The Fusion Doctrine and joint working
  • The intelligence contributions to the Russia Strategy
  • Less talk, more action?
  • Measuring performance

A HARD TARGET

  • A unique challenge
  • Rising to the challenge

LEGISLATION

  • Counter-espionage
  • Tackling crime
  • Protecting democracy

INTERNATIONAL PARTNERSHIPS

  • Working with others
  • Helping others to help us
  • The international response to Salisbury
  • Maintaining momentum
  • Is Russia seeking alliances?

ENGAGEMENT WITH RUSSIA

  • Russian disengagement
  • The purpose of communication
  • Sending the right message

WITNESSES

ANNEX

CLASSIFIED ORAL AND WRITTEN EVIDENCE


■ 報道等

 Teiss
・2020.07.21 Parliament committee report calls for coordinated action against Russian cyber ops

The Parliament's Intelligence and Security Committee (ISC) today released its much-anticipated report on Russian activities targeting the UK, stating that Russia has consistently been using disinformation as a means to influence elections, create an atmosphere of distrust, and to promote its foreign policy objectives.

 

 Lawfare
・2020.07.21 British Government Failed to Investigate Russian Interference, U.K. Report Finds By Elliot Setzer

The British government neglected to investigate whether Russia interfered in the 2016 Brexit referendum, according to a report released on July 21 by the U.K. parliament’s Intelligence and Security Committee.

委員会の発表から18ヶ月後に報告書が公開されたというコメントがありますね。

The release of the Russia report comes almost 18 months after the conclusion of the inquiry by the Intelligence and Security Committee.

 NPR
・2020.07.21 U.K. 'Actively Avoided' Investigating Russian Interference, Lawmakers Find by 

British lawmakers have reached a damning conclusion about the possibility of Russian electoral interference in the U.K.: The Parliament's Intelligence and Security Committee said it can't determine whether the Kremlin tried to influence the 2016 Brexit referendum, because the British government hasn't even tried to find out.

 AXIOS
・2020.07.21 U.K. government ignored Russian interference for years, report finds by Ursula PeranoDave Lawler

よく纏まっています。

この報告書は、

  • ロシアの影響キャンペーンが成功したかどうかを結論付けていないが、
  • 英国政府は、クレムリンが民主主義を攻撃しようとしている証拠を探すことに警戒を怠るか、回避することができなかった

 KnowWhere
・2020.07.22 UK inquiry finds British government never investigated potential Russian interference in Brexit vote  

The British Parliament’s Intelligence and Security Committee released on Tuesday its report on possible Russian interference in the nation’s Brexit referendum. The report said it could not determine if Moscow had attempted to sway voters because the British government has not even looked into it.

"The outrage isn't (whether) there was interference; the outrage is that no one has wanted to know if there was interference," the Labour Party’s Kevan Jones said at a press conference about the report. "That, I think, comes through very loud and clear in our report."

 

 

| | Comments (0)

米国連邦議会 2021年度の国防許可法が下院で可決しましたね。。。

こんにちは、丸山満彦です。

7月21日に2021年度の国防許可法(National Defense Authorization Act (NDAA))が下院で可決しましたね。。。

CISAの強化が含まれているようです。

John Katko (U.S. Congressman)

・2020.07.13 Rep. Katko Unveils Comprehensive National Cybersecurity Improvement Package

その1つに、CISA 官民人材交換法を作り、連邦政府と民間部門のサイバーセキュリティ専門家の間でアイデア、戦略、概念の交換を促進するための官民人材プログラムを創設することを CISA に要求するというのがあるようです。 具体的には、

政府と業界の専門家がお互いの分野で働くことを可能にする官民サイバー交流プログラムを設立する。
既存の民間のアウトリーチとパートナーシップの取り組みを拡大する。

ということのようです。

 


法案の状況は↓

Congress.gov - 116th Congress (2019-2020) 

H.R.6395 - William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021

  ・・Subtitle C—Cyberspace-Related Matters

S.4049 - National Defense Authorization Act for Fiscal Year 2021

 ・・Subtitle BCyberspace-Related Matters

 ・・Subtitle DCybersecurity


 

Us-contress

Continue reading "米国連邦議会 2021年度の国防許可法が下院で可決しましたね。。。"

| | Comments (0)

2020.07.24

Twitterアカウントが乗っ取られた件 (2)

こんにちは、丸山満彦です。

乗っ取られた130のアカウントのうち36のアカウントでプライベートメッセージが読まれたかも、、、という話が出てきていますね。。。

● Twitter support

・2020.07.23 https://twitter.com/TwitterSupport/status/1286123465276178433


To recap: 

  • 130 total accounts targeted by attackers
  • 45 accounts had Tweets sent by attackers
  • 36 accounts had the DM inbox accessed
  • 8 accounts had an archive of “Your Twitter Data” downloaded, none of these are Verified

午前11:18 · 2020年7月23日


 

■ 報道等

おなじみ
● Piyolog
・2020.07.22 Twitter社内管理ツールの不正アクセスについてまとめてみた

 

xakep
・2020.07.23 Хакеры похитили личные сообщения 36 аккаунтов Twitter by Мария Нефёдова

Представители Twitter продолжают публиковать новые данные, которые приносит расследование масштабной атаки, произошедшей на прошлой неделе. Напомню, что тогда были скомпрометированы аккаунты многих публичных людей и крупных компаний, включая Билла Гейтса, Илона Маска, Джеффа Безоса, Apple и Uber, биржи CoinDesk, Binance и Gemini, и так далее.

...

Теперь инженеры компании пишут, что злоумышленники отдельно просматривали личные сообщения владельцев 36 скомпрометированных учетных записей. Причем один из этих аккаунтов принадлежал неназванному политику из Голландии.

● CBS
・2020.07.23 Twitter hackers accessed direct messages of up to 36 people, including an elected official, company says by LI COHEN

During last week's massive Twitter hack, attackers were able to login and send tweets from 45 of the 130 accounts that were targeted and access the direct messages of up to 36 accounts, the company said Wednesday. One of the accounts that had its direct messages compromised belonged to an elected official from the Netherlands. 

● BBC
・2020.07.23 Twitter says hackers viewed 36 accounts' private messages b

Twitter has revealed that hackers viewed private direct messages (DMs) from 36 of the accounts involved in last week's hack.

It did not disclose who they belonged to beyond saying one was owned by an elected official in the Netherlands.
But the Dutch far-right politician Geert Wilders has told the BBC that this was a reference to his account.

● CNBC
・2020.07.23 Twitter says hackers accessed direct messages of 36 victims, including one elected official by Kif Leswing

KEY POINTS

  • The hackers who took over the accounts of around 130 people last week in an apparent bitcoin scam were able to access direct messages, Twitter said on Wednesday. 
  • The hackers accessed 36 direct messaging inboxes, including one for an elected official in the Netherlands, Twitter said. 
  • Twitter’s disclosure on Wednesday complicates an already murky picture about who the hackers were and what they were after after a high-profile hack in which accounts for several VIPs posted tweets within minutes asking for bitcoin.

● WZZM
・2020.07.23 Twitter says hackers accessed Dutch politician's inbox

Twitter says an elected Dutch official was among 36 account holders whose direct message inboxes were accessed in a recent high-profile hack.

The politician, anti-Islam lawmaker Geert Wilders, said Thursday that he was informed by Twitter that his account was compromised by a hacker, who posted tweets on his account and sent false direct messages, or DMs, in his name.

● Security Weekly 
・2020.07.23 Twitter Says Hackers Accessed DM Inboxes in Recent Attack by Ionut Arghire

Twitter on Wednesday revealed that attackers accessed the direct message (DM) inboxes of some of the accounts that were compromised in last week’s security incident.

● Bleeping Computer
・2020.07.23 Twitter hackers read private messages of 36 high-profile accounts by 

Twitter today admitted that the attackers behind last week's incident read the private messages of 36 out of a total of 130 high-profile accounts targeted in the attack.

Among these, the hackers also accessed the Twitter inbox of Geert Wilders, a Dutch elected official and the leader of the Party for Freedom (PVV).

Tech Xploer
・2020.07.23 Twitter gains users, but revenue hit by US unrest by Rob Lever

Twitter on Thursday reported soaring user growth in the past quarter even as ad revenues took a hit amid civil unrest in the United States.

...

evenue slumped 19 percent from a year ago to $683 million. Despite some modest rebound from the pandemic-induced economic slump, Twitter said that "many brands slowed or paused spend in reaction to US civil unrest" in May and June.

...

Twitter acknowledged late Wednesday that in 36 of the 130 accounts that were compromised, hackers were able to access direct messages intended to be private, adding to the severity of the incident.

● ZDNet
・2020.07.23 Twitter says hackers accessed DMs for 36 users in last week's hack by Catalin Cimpanu 

Hackers targeted 130 accounts, tweeted on behalf of 45, and downloaded data from eight.

...

  • The incident took place on Wednesday, July 15, 2020.
  • Twitter said hackers used social-engineering to gain access to Twitter employee accounts.
  • A New York Times report that has yet to be confirmed by Twitter said that hackers breached employee Slack accounts and found credentials for the Twitter backend pinned inside a Slack channel.
  • Twitter said hackers got "through" their two-factor protections but did not specify if it referred to the backend accounts or the Slack accounts.
  • Once hackers accessed the Twitter backend, they Twitter's own internal tech support tools to interact with accounts.
  • Hackers interacted with 130 accounts, according to Twitter.
  • For 45 accounts, hackers initiated a password reset, logged into the account, and sent new tweets to promote their cryptocurrency scam

● ITメディア
・2020.07.23 Twitterの大量アカウント乗っ取り続報 「攻撃者は36アカウントのDM受信箱にアクセス」by 佐藤由紀子

米Twitterは7月22日の午後5時ごろ(現地時間)、15日に発生した著名人のアカウント乗っ取り・詐欺ツイート事件の調査の経過を公式Twitterアカウントで報告した。

● ZDNet Deutsch
・ 202.07.23 Twitter-Hack: Auch Direktnachrichten von 36 Nutzern kompromittiert

Die Cyberkriminellen übernehmen zu dem Zweck die Kontrolle über die fraglichen Accounts. Davon betroffen ist auch ein gewählter Amtsträger in den Niederlanden. Da Twitter bei Direktnachrichten auf eine Ende-zu-Ende-Verschlüsselung verzichtet, liegen sie im Klartext auf Twitters Servern.

● LaVos
・2020.07.23 Twitter: hackers accedieron a mensajes privados de 36 de las 130 cuentas afectadas por el ataque a la plataforma

Twitter informó que en el hackeo a su plataforma del pasado 15 de julio los ciberatacantes accedieron a los mensajes privados de 36 de las 130 cuentas afectadas, entre las que se incluye la de un político neerlandés.

La investigación interna ha develado este jueves que en el caso de 36 de las 130 cuentas hackeadas, los ciberdelincuentes llegaron a acceder a la bandeja de entrada de los mensajes privados, como informa la página de soporte en su perfil oficial en la red social.

Aunque no especifica el nombre, la compañía incluye en esas 36 cuentas la de un político neerlandés, y matiza que "no hay indicios de que hayan accedido a los mensajes privados de ningún otro anterior o actual político".

Diario Libre USA
・2020.07.23 Twitter: Político holandés entre víctimas de hackeo

Un funcionario holandés fue uno de los 36 usuarios cuyas cuentas en Twitter fueron hackeadas recientemente, indicó la compañía.

El legislador anti islamista Geert Wilders dijo el jueves que la red social le informó que su cuenta fue intervenida por un hacker, quien publicó tuits desde su cuenta y envió mensajes directos falsos en su nombre.

El hacker “de hecho tuvo acceso total a mis mensajes directos, lo que por supuesto que es totalmente inaceptable en varios sentidos”, indicó Wilders.

20 Minutos
・2020.07.23 Twitter admite que con el ataque de los Bitcoin los 'hackers' accedieron a los mensajes de 36 cuentas 'de alto perfil'

 

| | Comments (0)

2020.07.23

COVID-19の研究を含む知的財産や営業秘密を標的とするコンピュータ侵入キャンペーンを担当した国務省と協力する中国人ハッカー二人を起訴

こんにちは、丸山満彦です。

Wanted by The FBIです。

中国の大学でコンピュータを学んだ34歳、33歳の二人が10年以上に渡って知財や営業秘密を盗んでいたということで起訴されているようです。

被害者は、米国企業のみならず、オーストラリア、ベルギー、ドイツ、リトアニア、オランダ、スペイン、韓国、スウェーデン、英国と日本の企業

起訴状を読むと、日本の企業は米国子会社でゲーム会社(2018年3月)と医療機器会社(2019年3月-4月)のようです。

US Department of Justice

・2020.07.21 Two Chinese Hackers Working with the Ministry of State Security Charged with Global Computer Intrusion Campaign Targeting Intellectual Property and Confidential Business Information, Including COVID-19 Research

Indictment Alleges Two Hackers Worked With the Guangdong State Security Department (GSSD) of the Ministry of State Security (MSS), While Also Targeting Victims Worldwide for Personal Profit

● [PDF] 起訴状

● [PDF] LI Xiaoyu(李​​啸宇)34歳, DONG Jiazhi(董家志)33歳

 



■ 報道等
npr

・2020.07.22 DOJ Charges 2 Suspected Chinese Hackers Who Allegedly Targeted COVID-19 Research by 

 

ABC news
・2020.07.22 DOJ charges alleged Chinese hackers for stealing trade secrets, targeting firms working on COVID-19 vaccine by Alexander Mallin

They allegedly stole hundreds of millions of dollars worth of information.

Politico
・2020.07.21 DOJ says Chinese hackers targeted coronavirus vaccine research by ERIC GELLER and BETSY WOODRUFF SWAN

A senior FBI official described the scale and scope of Chinese government-directed hacking as "unlike any other threat we’re facing today."

Bank info Securiy
・2020.07.21 DOJ: Chinese Hackers Targeted COVID-19 Vaccine Research by

2 Indicted for Theft of a Broad Range of Intellectual Property in US and Elsewhere

 

日経新聞 
・2020.07.22 米、中国人ハッカー起訴 新型コロナの研究成果も標的

 

JIJI.com
・2020.07.22 米、中国ハッカー2人起訴 日本も標的、ワクチン情報など狙う

標的となった業界はIT関連や医薬品に加え、防衛、太陽光エネルギー、ゲームソフトなど幅広い。
 被害は日米以外に英国、ドイツ、スペイン、韓国、オーストラリアなどに及ぶ。中国のキリスト教関係者や民主活動家のメールアドレスとパスワードのほか、チベット仏教最高指導者ダライ・ラマ14世の事務所と活動家の通信内容を中国公安当局に伝えるなどした。香港の抗議デモ参加者が利用したメッセージアプリも監視していた。
 中国当局もサイバー攻撃を支援。被告らがネットワーク侵入に難航した際、マルウエア(悪意あるソフト)を提供するなどしたという。

| | Comments (0)

トラステッドプラットフォームにおけるポリシーベースのガバナンス by NIST NCCoE

こんにちは、丸山満彦です。

高い信頼性が求められるクラウド環境の構築、運用に関する資料と考えたら良いのでしょうかね。。。物理層からちゃんと考えろということなんでしょうね。。。

次のようなことを考えているようです。

  • データセンターやエッジコンピューティングのセキュリティ戦略の基礎は、データやワークロードが実行されアクセスされるプラットフォームの安全性を確保することだと考えている。
  • 物理的なプラットフォームは、セキュリティの第一層であり、高次の層のセキュリティ管理が信頼できるようにするための基礎となる。
  • そこで、プラットフォームを保護するための技術と、その使用方法を紹介する。

NIST, IBM, RedHat, Intelの合同プロジェクトのようです。。。

次回は、Trusted Container Platformのアーキテクチャについて詳細な説明をするようです。。。

それにしても表題がカタカナばかりになってしまって、、、何か良い日本語はないのでしょうかね。これなら、英語のままの方がよかったかも・・・

NIST - NCCoE
・2020.07.21 Policy Based Governance in Trusted Container Platform

Elements of a Trusted Container Platform
 Hardware Root of Trust
 Workload placement/orchestration
 Workload encryption

Technologies
 Hardware Root of Trust Technologies
 Workload encryption

Architecture
 Overview
 Attestation of bare metal nodes
 Key Management
 Encryption/Decryption
 Orchestration / Multi Cloud Management and Policy Enforcement

Processes of a Trusted Container Platform
 Ensure nodes in Container Platform are trusted
 Ensure container workloads are encrypted and secure

Conclusion

 

References
IBM: Advancing container image security with encrypted container images

Intel® Security Libraries for Data Center (ISecL-DC)

RedHat OpenShift

NIST: [PDF] Hardware-Enabled Security for Server Platforms: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases

IBM Cloud Pak for Multicloud Management

RedHat Advanced Cluster Management

 

| | Comments (0)

2020.07.22

NIST SP 800-209 (Draft) Security Guidelines for Storage Infrastructure

こんにちは、丸山満彦です。

NISTがストレージ基盤のためのセキュリティガイドラインのドラフトを公表し、コメントを求めていますね。コメントは2020.08.31までです。

NISTは、情報技術(IT)の3つの基盤として、

  1. コンピューティング(OSとホストのハードウェア)
  2. ネットワーク
  3. ストレージ

と考えているようですね。

このうち、コンピューティングとネットワークについては十分に議論されているが、データ侵害等の問題が注目されているにもかかわらずストレージ基盤についてのセキュリティガイドラインがなかったので、このガイドラインを作ったようですね。

したがって、このガイドラインはストレージ基盤についての包括的なセキュリティ対策の推奨事項が含まれているようです。また、具体的には、

  • 物理的セキュリティ
  • 認証と認可
  • 変更管理
  • 構成管理
  • インシデン対応と復旧

など、IT基盤全体に共通するものだけでなく、ストレージ基盤に固有の領域である、

  • データ保護
  • 隔離
  • 復元保証
  • データ暗号化

などにも言及されているようですね。

 

NIST - ITL

・2020.07.21 SP 800-209 (Draft) Security Guidelines for Storage Infrastructure

・[PDF]  SP 800-209 (Draft)


Abstract

Storage technology, just like its computing and networking counterparts, has evolved from traditional storage service types, such as block, file, and object. Specifically, the evolution has taken two directions: one along the path of increasing storage media capacity (e.g., tape, HDD, SSD) and the other along the architectural front, starting from direct attached storage (DAS) to the placement of storage resources in dedicated networks accessed through various interfaces and protocols to cloud-based storage resource access, which provides a software-based abstraction over all forms of background storage technologies. Accompanying the evolution is the increase in management complexity, which subsequently increases the probability of configuration errors and associated security threats. This document provides an overview of the evolution of the storage technology landscape, current security threats, and the resultant risks. The main focus of this document is to provide a comprehensive set of security recommendations that will address the threats. The recommendations span not only security management areas that are common to an information technology (IT) infrastructure (e.g., physical security, authentication and authorization, change management, configuration control, and incident response and recovery) but also those specific to storage infrastructure (e.g., data protection, isolation, restoration assurance, and encryption).

 

 

Continue reading "NIST SP 800-209 (Draft) Security Guidelines for Storage Infrastructure"

| | Comments (0)

2020.07.21

プライバシーシール無効判決後のアメリカとイギリス

こんにちは、丸山満彦です。

プライバシーシールは欧州裁判所の判決で無効となりましたね。プライバシーシールは日本企業には直接関係ありませんが、当事国の企業にとってはそれなりの影響がありますよね。。。

米国では上院議員が新しいプライバシーシールの無効によって特に中小企業に影響が大きいとして新しい枠組みが必要という話をしているようですね。

● US Senate - Commerce, Science and Transportation
・2020.07.17 (Press)  Wicker, Moran Respond to Court Decision to Invalidate the EU-U.S. Privacy Shield

WASHINGTON – U.S. Sens. Roger Wicker, R-Miss., chairman of the Senate Committee on Commerce, Science, and Transportation, and Jerry Moran, R-Kan., chairman of the Subcommittee on Manufacturing, Trade, and Consumer Protection, today issued the following statement after the Court of Justice of the European Union invalidated the EU-U.S. Privacy Shield. The Privacy Shield provides a method for companies to transfer personal data to the United States from the European Union in compliance with EU data protection requirements and in support of transatlantic commerce.

“The economic effect of invalidating the EU-U.S. Privacy Shield, particularly on small and medium-sized businesses, is troubling,” said Wicker and Moran. “This would cause significant disruptions to data transfers and trade activity between the EU and the United States. We need to work quickly to establish a successor framework that supports economic development and adequately protects consumer data across borders.”

英国のデータ保護委員会は、「グローバルなデータ流通が継続し、かつ個人データが保護されることを確実にするために英国政府および国際機関と協力する」という声明を出していますね。

● UK-ICO
・2020.07.16 

“The ICO is considering the judgment from the European Court of Justice in the Schrems II case and its impact on international data transfers, which are vital for the global economy.

“We stand ready to support UK organisations and will be working with UK Government and international agencies to ensure that global data flows may continue and that people’s personal data is protected.”

-----

米国は新しい枠組みを望んでいるようですが、GDPRに適合するものでないと、結局同じことになりますよね。。。論理的には、プライバシーシールというのは、GDPRと同等という前提があって、同等だから個別に契約等を交わさなくても包括的に許可しますよ。。。という仕組みですからね。。。

 

| | Comments (0)

2020.07.20

欧州委員会が「自己評価用の信頼できる人工知能の評価リスト(ALTAI)」を公開していますね

こんにちは、丸山満彦です。

欧州委員会が、”Assessment List for Trustworthy Artificial Intelligence (ALTAI) for self-assessment” を公開していますね。

 

EU Commission
・2020.07.17 (News) Assessment List for Trustworthy Artificial Intelligence (ALTAI) for self-assessment

・[PDF] THE ASSESSMENT LIST FOR TRUSTWORTHY ARTIFICIAL INTELLIGENCE (ALTAI) for self assessment

HTMLにしてみました。[HTML]

目次です。


Introduction

How to use this Assessment List for Trustworthy AI (ALTAI)

REQUIREMENT #1 Human Agency and Oversight

  • Human Agency and Autonomy
  • Human Oversight

REQUIREMENT #2 Technical Robustness and Safety

  • Resilience to Attack and Security
  • General Safety
  • Accuracy
  • Reliability, Fall-back plans and Reproducibility

REQUIREMENT #3 Privacy and Data Governance

  • Privacy
  • Data Governance

REQUIREMENT #4 Transparency

  • Traceability
  • Explainability
  • Communication

REQUIREMENT #5 Diversity, Non-discrimination and Fairness

  • Avoidance of Unfair Bias
  • Accessibility and Universal Design
  • Stakeholder Participation

REQUIREMENT #6 Societal and Environmental Well-being

  • Environmental Well-being
  • Impact on Work and Skills
  • Impact on Society at large or Democracy

REQUIREMENT #7 Accountability

  • Auditability
  • Risk Management

Glossary


| | Comments (0)

US GAO 連邦政府のIT人材のニーズの優先順位付け

こんにちは、丸山満彦です。

US GAOが連邦政府のIT人材についてもっとしっかりしなあかんで、と言っております。。。

ーーーー

連邦政府機関は、法律やガイダンスでIT人材計画を優先事項としてきたにもかかわらず、それを優先事項としていないことがわかりました。

ーーーー

と書かれています。。。

US-GAO - (blog)WatchDog
・2020.07.14 Prioritizing the Needs of the Federal IT Workforce

 


 

| | Comments (0)

IT総合戦略本部「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」が閣議決定されました。

こんにちは、丸山満彦です。

高度情報通信ネットワーク社会推進戦略本部 の「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」が閣議決定されましたね。

高度情報通信ネットワーク社会推進戦略本部 (IT総合戦略本部)
・2020.07.17 [PDF] 「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」が閣議決定されました。

第1部 世界最先端デジタル国家創造宣言
I.
新型コロナウイルス感染拡大の阻止、デジタル強靱化社会の実現
1 情報通信技術を活用した新型コロナウイルス感染症対策に係る取組
 (
1) マクロ的な観点から感染症対策を支援するための技術
 (2) 感染症拡大を踏まえた新たな生活様式を支援するための技術
 (3) 医療機関や保健所等の支援
 (4) オープンデータによる情報発信の促進

2 デジタル強靱化を実現するための基本的な考え方
 (
1) 社会全体のデジタル化に向けた取組と新型コロナウイルスの感染拡大が突きつけた課題
 (2) ニュー・ノーマルに対応したデジタル強靱化社会の構築
 (3) 喫緊に取り組むべき事項

3 働き方改革(テレワーク)
4 学び改革(オンライン教育)

 (
1) 児童生徒1人1台端末の整備スケジュールの加速を含む GIGA スクール構想の実現
 (2) ICT を活用した教育サービスの充実
 (3) 児童生徒の学習データの継続的な活用に向けたデータ基盤の検討

5 くらし改革
 (
1) 健康・医療・介護・障害福祉
 (2) 子育て・介護等のワンストップ化
 (3) 経済活動・企業活動
 (4) 国の行政機関等における慣習の見直し等(「隗より始めよ」)

6 防災×テクノロジーによる災害対応
7 社会基盤の整備

 (
1) デジタル・ガバメント
 (2) 次世代インフラの整備
 (3) デジタル格差対策
 (4) データ流通環境の整備、セキュリティ/トラストの確保
 (5) モビリティシステムのデジタル化
 (6) サプライチェーン
 (7) 建設分野におけるデジタルトランスフォーメーション
 (8) 裁判関連手続のデジタル化

8 規制のリデザイン

II.
デジタル技術の社会実装
 (
1) 5G と交通信号機との連携によるトラステッドネットの全国展開
 (2) スマートフードチェーン構築及び農業データ連携基盤の利活用促進
 (3) 健康・医療・福祉分野のデータに基づくくらし改革と働き方改革
 (4) サイバーポートによる港湾の生産性革命
 (5) 運転免許業務及び警察情報管理システムの合理化・高度化による国民の利便性向上

III. データ利活用によるインクルーシブな社会の実現
1 安全・公正なデジタル市場のルール形成
 (
1) 国際的なデータ流通の推進及び枠組みの構築
 (2) デジタル市場における透明性・公正性の確保に向けた取組
 (3) 個人情報の安全性確保

2 官民連携による円滑なデータ流通に向けた環境整備
 (
1) 日本発のパーソナルデータ等利活用モデルの加速
 (2) 分野間データ連携の実現に向けたルール整備
 (3) 官民一体的なデータ利活用促進に向けた制度整備
 (4) 民間部門のデジタルトランスフォーメーションの促進等
 (5) モビリティ関連データの利活用拡大
 (6) シェアリングエコノミーの更なる推進

3 オープンデータの更なる深化
 (
1) 更なる官民連携によるオープンデータの取組強化
 (2) オープンデータの質の向上
 (3) 地域におけるオープンデータの利活用の推進

IV. 社会基盤の整備
1 5Gを軸とした協業促進によるインフラ再構築
 (
1) 協業により広がる産業利用
 (2) ローカル 5G の制度整備をはじめとした 5G の全国展開に向けた取組
 (3) 5G 環境等の普及、光ファイバ網の整備

2 基盤技術等
 (
1) AI-Ready な社会基盤づくり
 (2) クラウド活用とエッジ・コンピューティングの進化
 (3) デジタル時代のセキュリティ対策
 (4) ブロックチェーンなどの新技術の利用

3 スタートアップ
 (
1) 世界に伍するスタートアップ・エコシステム拠点形成の推進
 (2) 日本版 SBIR 制度の抜本的改正

4 人材の育成等
 (
1) AI 人材の育成
 (2) IoT・セキュリティ人材の育成

第2部 官民データ活用推進基本計画
I.
官民データ活用推進基本計画に基づく施策の推進
1 官民データ活用の推進に関する施策についての基本的な方針
 (
1) 基本計画の策定とその着実な実施
 (2) 重点分野の指定(分野横断的なデータ連携を見据えつつ)
 (3) 官民データ活用による EBPM の推進

2 推進体制
 (
1) 基本計画の PDCA
 (2) 関係本部等との連携
 (3) 地方公共団体との連携・協力
 (4) 事業者等との連携・協力

II. 施策集
II
-(1)行政手続等のオンライン化原則等【官民データ基本法第10条関係】
II
-(2)オープンデータの促進【官民データ基本法第11条第1項及び第2項関係】
II
-(3)データの円滑な流通の促進【官民データ基本法第11条第3項関係】
II
-(4)データ利活用のルール整備【官民データ基本法第12条関係】
II
-(5)マイナンバーカードの普及・活用【官民データ基本法第13条関係】
II
-(6)利用の機会等の格差の是正【官民データ基本法第14条関係】
II
-(7)情報システム改革・業務の見直し【官民データ基本法第15条第1項関係】
II
-(8)データ連携のためのプラットフォーム整備【官民データ基本法第15条第2項関係】
II
-(9)研究開発【官民データ基本法第16条関係】
II
-(10)人材育成、普及啓発【官民データ基本法第17条及び第18条関係】
II
-(11)国の施策と地方の施策との整合性の確保【官民データ基本法第19条関係】
II
-(12)国際貢献及び国際競争力の強化に向けた国際展開


| | Comments (0)

総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」の公表

こんにちは、丸山満彦です。

総務省が「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」を公表していますね。

KDDI、ラックといった日本資本の会社だけでなく、F5, アマゾン, Palo Alto, Sales Force等の外資系企業の日本法人、 在日米国商工会議所等も積極的にコメントをしていて、良い報告書になっているように思いました。。。

総務省
・2020.07.17 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」の公表

・[PDF] 提出された意見及びその意見に対する同タスクフォースの考え方

・[PDF] IoT・5Gセキュリティ総合対策2020

 

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.06.30 「Beyond 5G推進戦略 -6Gへのロードマップ-」の公表

・2020.06.07 総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集

 



| | Comments (0)

日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

こんにちは、丸山満彦です。

日本公認会計士協会が、経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表していますね。。。

興味深いです!!!

 

日本公認会計士協会 (JICPA)
・2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」の公表について

・[PDF] 本文

目次

-----

Ⅰ 総論
1.本研究資料の作成の背景
2.本研究資料の作成の前提事項

Ⅱ 会計不正の動向
1.会計不正の公表会社数
2.会計不正の類型と手口
3.会計不正の主要な業種内訳
4.会計不正の上場市場別の内訳
5.会計不正の発覚経路
6.会計不正の関与者
7.会計不正の発生場所
8.会計不正の不正調査体制の動向
9.会計不正と内部統制報告書の訂正の関係

【参考】会計不正の定義

-----

過去の報告書

・2019.06.19 経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」の公表について
・[PDF] 本文

・2018.05.16 経営研究調査会研究資料第5号「上場会社等における会計不正の動向」の公表について
・[PDF] 本文

 

| | Comments (0)

2020.07.19

ENISA : ”信頼されたサイバー・セキュアな欧州に向けた新戦略”を発表

こんにちは、丸山満彦です。

ENISAが”信頼されたサイバー・セキュアな欧州に向けた新戦略”を発表していますね。。。

● ENISA
・2020.07.17 (News) ENISA unveils its New Strategy towards a Trusted and Cyber Secure Europe

This publication by the European Union Agency for Cybersecurity outlines the Agency’s strategic objectives to boost cybersecurity, preparedness and trust across the EU under its new strengthened and permanent mandate.

・[PDF] A TRUSTED AND CYBER SECURE EUROPE

Strategic ObjectivesをHTMLでまとめてみました。。。

・[HTML] Strategic objectives

 

--------

What are the strategic objectives?

The strategy proposes concrete goals for the Agency in the form of seven strategic objectives that will set the priorities for European Union Agency for Cybersecurity in the coming years. These strategic objectives are as follows:

  1. Empowered and engaged communities across the cybersecurity ecosystem;
  2. Cybersecurity as an integral part of EU polices;
  3. Effective cooperation amongst operational actors within the Union in case of massive cyber incidents;
  4. Cutting-edge competences and capabilities in cybersecurity across the Union;
  5. A high level of trust in secure digital solutions;
  6. Foresight on emerging and future cybersecurity challenges;
  7. Efficient and effective cybersecurity information and knowledge management for Europe.

What we want to achieve?

  • An EU-wide, state-of-the-art body of knowledge on cybersecurity concepts and practices that builds cooperation amongst key actors in cybersecurity, promotes lessons learned, EU expertise and creates new synergies;
  • An empowered cyber ecosystem encompassing Member States’ authorities, EU institutions, agencies and bodies, associations, research centres and universities, industry, private actors and citizens, who all play their role in making Europe cyber secure;
  • Proactive advice and support to all relevant EU-level actors bringing in the cybersecurity dimension in the policy development lifecycle through viable and targeted technical guidelines;
  • Cybersecurity risk management frameworks that are in place across all sectors and followed throughout the cybersecurity policy lifecycle;
  • Continuous cross-border and cross-layer support to cooperation between Member States, as well as with EU institutions. In particular, in view of potential large scale incidents and crises, support the scaling up of technical operational, political and strategic cooperation amongst key operational actors to enable timely response, information sharing, situational awareness and crises communication across the Union;
  • Comprehensive and rapid technical handling upon request of the Member States to facilitate technical and operational needs in incident and crises management;
  • Aligned cybersecurity competencies, professional experience and education structures to meet the constantly increasing needs for cybersecurity knowledge and competences in the EU;
  • An elevated base-level of cybersecurity awareness and competences across the EU while mainstreaming cyber into new disciplines;
  • Well prepared and tested capabilities with the appropriate capacity to deal with the evolving threat environment across the EU;
  • Cyber secure digital environment across the EU, where citizens can trust ICT products, services and processes through the deployment of certification schemes in key technological areas;
  • Understanding emerging trends and patterns using foresight and future scenarios that contribute to mitigating the cyber challenges of the Agency’s stakeholders;
  • Early assessment of challenges and risks from the adoption of and adaptation to the emerging future options, while collaborating with stakeholders on appropriate mitigation strategies;
  • Shared information and knowledge management for the EU cybersecurity ecosystem in an accessible, customised, timely and applicable form, with appropriate methodology, infrastructures and tools, coupled and quality assurance methods to achieve continuous improvement of services.

 

Continue reading "ENISA : ”信頼されたサイバー・セキュアな欧州に向けた新戦略”を発表"

| | Comments (0)

NIST NCCoEが”NISTIR 8219 製造産業用制御システム:動作異常検出”を発表しましたね

こんにちは、丸山満彦です。

NIST NCCoEが”NISTIR 8219 製造産業用制御システム:動作異常検出”を発表しましたね。。。

NIST NCCoE
・2020.07.16 NCCoE Announces Final NISTIR 8219 for Manufacturers

・[PDF] Securing Manufacturing Industrial Control Systems : Behavioral Anomaly Detection

概要のつまみ食い

  • 異常な行動の検出と防止のメカニズムを実証し、ICSデバイスに対するサイバー攻撃に対抗する多面的なアプローチをサポートしている。
  • 目標は、独自の環境での異常の検出機能と防止機能を確立するための詳細な情報を業界に提供すること。

Executive Summary

National Institute of Standards and Technology’s (NIST’s) National Cybersecurity Center of Excellence (NCCoE), with NIST’s Engineering Laboratory and NCCoE collaborators, offers information regarding the use of behavioral anomaly detection capabilities to support cybersecurity in industrial control systems for manufacturing. This NIST Interagency Report (NISTIR) was developed in response to feedback from members of the manufacturing sector concerning the need for cybersecurity guidance.

Cybersecurity attacks directed at a manufacturing infrastructure can be detrimental to both human life and property. behavioral anomaly detection (BAD) mechanisms support a multifaceted approach to detecting cybersecurity attacks against Industrial Control Systems (ICS) devices on which manufacturing processes depend to permit mitigation of those attacks.

The NCCoE and EL deployed commercially available hardware and software provided by industry in response to a NIST notice in the Federal Register to demonstrate behavioral anomaly detection capabilities in an established laboratory infrastructure. We mapped the security characteristics of the demonstrated capabilities to the Framework for Improving Critical Infrastructure Cybersecurity [1] based on NISTIR 8183, the Cybersecurity Framework Manufacturing Profile [2]. The mapping can be used as a reference in applying specific security controls found in prominent industry standards and guidance.

Introducing anomalous data into a manufacturing process can disrupt operations, whether deliberately or inadvertently. The goal of this NISTIR is to provide practical approaches for manufacturers to use in their efforts to strengthen the cybersecurity of their manufacturing processes. This NISTIR demonstrates how BAD tools can be used as a key security component in sustaining business operations, particularly those based on an ICS. The examples provided in this NISTIR illustrate how detecting anomalous conditions can improve the reliability of an ICS in addition to providing specific cybersecurity benefits.

[1] National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. (National Institute of Standards and Technology, Gaithersburg, MD). https://doi.org/10.6028/NIST.CSWP.04162018

[2] Stouffer KA, Zimmerman TA, Tang C, Lubell J, Cichonski JA, McCarthy J (2019) Cybersecurity Framework Manufacturing Profile. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 818


目次 ↓

Continue reading "NIST NCCoEが”NISTIR 8219 製造産業用制御システム:動作異常検出”を発表しましたね"

| | Comments (0)

2020.07.18

Twitterアカウントが乗っ取られた件

こんにちは、丸山満彦です。

著名人のTwitterアカウントが乗っ取られたという話。トランプさんは乗っ取られなかった。。。

● Twitter support

・2020.07.18 https://twitter.com/TwitterSupport/status/1284331129416200192

As of now, we know that they accessed tools only available to our internal support teams to target 130 Twitter accounts. For 45 of those accounts, the attackers were able to initiate a password reset, login to the account, and send Tweets.

午後0:36 · 2020年7月18日


 

■ 報道等

● Time
・2020.07.17 12:08 EDT Twitter Says Hackers Targeted 130 Accounts in Cyber-Attack by KURT WAGNER / BLOOMBERG

Twitter Inc. revealed hackers targeted just 130 accounts during the cyber-attack this week that compromised some of the world’s most recognizable people, though no passwords were stolen.

The U.S. company said the still-unknown perpetrators had gained control of a subset of those accounts and were able to send tweets. Twitter has blocked data downloads from affected accounts as its investigation continues, it said on its online support page.

● Guardian

・2020.07.18 00.36 BST 130 high-profile Twitter accounts targeted in hacking attack by

Social network investigating whether users’ private data was compromised

More than a hundred high-profile Twitter accounts have been hacked, the social network confirmed, as fresh evidence emerged linking the attack to a small group of petty hackers.

● The New York Times

・2020.07.15 A Brazen Online Attack Targets V.I.P. Twitter Users in a Bitcoin Scam by Sheera Frenkel, Nathaniel Popper, Kate Conger and

In a major show of force, hackers breached some of the site’s most prominent accounts, a Who’s Who of Americans in politics, entertainment and tech.

It was about 4 in the afternoon on Wednesday on the East Coast when chaos struck online. Dozens of the biggest names in America — including Joseph R. Biden Jr., Barack Obama, Kanye West, Bill Gates and Elon Musk — posted similar messages on Twitter: Send Bitcoin and the famous people would send back double your money.

● BBC
・2020.07.17 Twitter hack: 130 accounts targeted in attack b

Twitter says 130 accounts were targeted in a major cyber-attack of celebrity accounts two days ago.

However, Twitter says only a "small subset" of those 130 accounts had control seized by the attacker.

・2020.07.18 Major US Twitter accounts hacked in Bitcoin scam

Billionaires Elon Musk, Jeff Bezos and Bill Gates are among many prominent US figures targeted by hackers on Twitter in an apparent Bitcoin scam.

The official accounts of Barack Obama, Joe Biden and Kanye West also requested donations in the cryptocurrency.

"Everyone is asking me to give back," a tweet from Mr Gates' account said. "You send $1,000, I send you back $2,000."

The US Senate Commerce committee has demanded Twitter brief it about the incident next week.


 ● CNN
・2020.07.16 Twitter blames 'coordinated' attack on its systems for hack of Joe Biden, Barack Obama, Bill Gates and others by Rishi Iyengar,

San Francisco (CNN Business)Twitter (TWTR) accounts belonging to Joe Biden, Bill Gates, Elon Musk and Apple, among other prominent handles, were compromised on Wednesday in what Twitter said it believes to be an attack on some of its employees with access to the company's internal tools.

"We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools," Twitter's support team said late Wednesday.
● The Verge
・2020.07.16 Twitter’s massive attack: What we know after Apple, Biden, Obama, Musk, and others tweeted a bitcoin scam by  
Update: Wednesday’s Twitter attack is now being investigated by numerous law enforcement agencies
The Twitter accounts of major companies and individuals were compromised on Wednesday in one of the most widespread and confounding breaches the platform has ever seen, all in service of promoting a bitcoin scam that earned its creators nearly $120,000.

CBS
・2020.07.16 11:11 Twitter says hacking of high-profile Twitter accounts was a "coordinated social engineering attack" by  LI COHEN
Some of the world's richest and most influential politicians, celebrities, tech moguls and companies were the subject of a massive Twitter hack on Wednesday. Elon Musk, Joe Biden, Jeff Bezos, Michael Bloomberg, Kim Kardashian West and Bill Gates were among the accounts pushing out tweets asking millions of followers to send money to a Bitcoin address.

● Tech Crunch
・2020.07.16 05:34 JST Apple, Biden, Musk and other high-profile Twitter accounts hacked in crypto scam by Zack Whittaker, Taylor Hatmaker, Sarah Perez

A number of high-profile Twitter accounts were simultaneously hacked on Wednesday by attackers who used the accounts — some with millions of followers — to spread a cryptocurrency scam.
Apple, Elon Musk and Joe Biden were among the accounts compromised in a broadly targeted hack that remained mysterious hours after taking place. Those accounts and many others posted a message promoting the address of a bitcoin wallet with the claim that the amount of any payments made to the address would be doubled and sent back — a known cryptocurrency scam technique.
・2020.07.16 11:46 JST A hacker used Twitter’s own ‘admin’ tool to spread cryptocurrency scam by Zack Whittaker
A hacker allegedly behind a spate of Twitter account hacks on Wednesday gained access to a Twitter “admin” tool on the company’s network that allowed them to hijack high-profile Twitter accounts to spread a cryptocurrency scam, according to a person with direct knowledge of the incident.
The account hijacks hit some of the most prominent users on the social media platform, including leading cryptocurrency sites, but also ensnared several celebrity accounts, notably Bill Gates, Jeff Bezos, Elon Musk and Democratic presidential hopeful Joe Biden.
Krebus on Security
・2020.07.16 Who’s Behind Wednesday’s Epic Twitter Hack?

Twitter was thrown into chaos on Wednesday after accounts for some of the world’s most recognizable public figures, executives and celebrities starting tweeting out links to bitcoin scams. Twitter says the attack happened because someone tricked or coerced an employee into providing access to internal Twitter administrative tools. This post is an attempt to lay out some of the timeline of the attack, and point to clues about who may have been behind it.

The first public signs of the intrusion came around 3 PM EDT, when the Twitter account for the cryptocurrency exchange Binance tweeted a message saying it had partnered with “CryptoForHealth” to give back 5000 bitcoin to the community, with a link where people could donate or send money.

Minutes after that, similar tweets went out from the accounts of other cryptocurrency exchanges, and from the Twitter accounts for democratic presidential candidate Joe Biden, Amazon CEO Jeff Bezos, President Barack Obama, Tesla CEO Elon Musk, former New York Mayor Michael Bloomberg and investment mogul Warren Buffett.

 

hxakep
・2020.07.17 Twitter: атака затронула около 130 учетных записей by  

| | Comments (0)

2020.07.17

英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

こんにちは、丸山満彦です。

英国の外務大臣であるDominic Raabが、ロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと上院と下院で証言していますね。。。

● 英国議会-下院
・2020.07.16 
Cyber Security: Update:Written statement - HCWS384

On the basis of extensive analysis, the Government has concluded that it is almost certain that Russian actors sought to interfere in the 2019 General Election through the online amplification of illicitly acquired and leaked Government documents.

Sensitive Government documents relating to the UK-US Free Trade Agreement were illicitly acquired before the 2019 General Election and disseminated online via the social media platform Reddit. When these gained no traction, further attempts were made to promote the illicitly acquired material online in the run up to the General Election.

Whilst there is no evidence of a broad spectrum Russian campaign against the General Election, any attempt to interfere in our democratic processes is completely unacceptable. It is, and will always be, an absolute priority to protect our democracy and elections.

● 英国議会-上院
・2020.07.16 
Cyber Security: Update:Written statement - HLWS376

 

 

■ 報道等

● BBC
・2020.07.16 'Almost certain' Russians sought to interfere in 2019 UK election - Raab

Russians almost certainly sought to interfere in the 2019 UK general election through illicitly acquired documents, the government has said.

Cyberscoop
・2020.07.16 UK 'almost certain' that 2019 election was target of Russian disinformation operation by 

British officials expressed confidence that Russian operatives tried to interfere in the U.K.’s most recent general election by using social media to promote documents that were stolen and leaked from the government.

● Evening Sstandard
・2020.07.16 Russian 'actors' sought to interfere in UK general election, says Dominic Raab

● The New Europians
・2020.07.16 Dominic Raab accused of ‘distracting’ from Russia report with claims about Brexit papers by Jonathon Read

Politico

・2020.07.16 Dominic Raab: Russians tried to interfere in UK general election by 

An ongoing criminal investigation is looking into how the documents were stolen.

| | Comments (0)

NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

こんにちは、丸山満彦です。

NISTがSP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)の改訂についてのパブリックコメントを2020.08.28まで求めていますね。。。

NIST - ITL
・2020.07.15 SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

・[PDF]  SP 800-181 Rev. 1 (Draft) (DOI)

・[ELSX] A Reference Spreadsheet for the original NICE Framework

主要な変更案は。。。

  • サイバーセキュリティ業務を行う多様な人材をより包括的にするための名称の変更、 
  • 重要な用語の定義と正規化
  • 俊敏性、柔軟性、相互運用性、モジュール性を促進する原則
  • コンピテンシーの導入

等ということのようですね。。。

Abstract

 

Continue reading "NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)"

| | Comments (0)

2020.07.16

EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

こんにちは、丸山満彦です。

欧州司法裁判所(Court of Justice of the European Union)がEU-USのプライバシーシールド(Decision 2016/1250)を無効にするという判決を出しましたね。。。

標準契約約款 (Decision 2010/87) は使えますって。。。

 

Court of Justice of the European Union (en)

・2020.07.16 No 91/2020 Judgment of the Court of Justice in Case C-311/18 Facebook Ireland and Schrems

The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield

C-311/18 概要 ECLI:EU:C:2020:559(en) [PDF

The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield



However, it considers that Commission Decision 2010/87 on standard contractual clauses for the
transfer of personal data to processors established in third countries is valid.

 [HTML]にしてみました。。。

・C-311/18 判決 ECLI:EU:C:2020:559 (en) [HTML]

(Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States)

In Case C‑311/18,

REQUEST for a preliminary ruling under Article 267 TFEU from the High Court (Ireland), made by decision of 4 May 2018, received at the Court on 9 May 2018, in the proceedings

 

 

■ 報道等

● 新華社通信
・2020.07.16 EU court rejects EU-U.S. data sharing deal

BRUSSELS, July 16 (Xinhua) -- The European Court of Justice on Thursday struck down a data sharing arrangement between the European Union (EU) and the United States, arguing that it has failed to offer enough privacy protection for Europeans against U.S. surveillance.

"The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-U.S. Data Protection Shield," the EU's top court said in a press release.

The court found that in the current arrangement of data transfer, "the requirements of U.S. national security, public interest and law enforcement have primacy, thus condoning interference with the fundamental rights of persons whose data are transferred to that third country."

The New York Times
・2020.07.16 EU Top Court Rejects EU-U.S. Data Transfer Tool, Backs Another Tool

● EU Law Live
・2020.07.16 EU-US Privacy Shield Decision is invalid, but standard contractual clauses can in essence be used for EU-US data transfers: Court of Justice’s ruling in Facebook Ireland and Schrems

The Grand Chamber of the Court of Justice has today ruled that EU-US Privacy Shield Decision 2016/1250 is invalid, so that companies transferring large amounts of data from the EU to the US must find a new agreement to do so. However, it has upheld the validity of Decision 2010/87 establishing standard contractual clauses for certain categories of transfers of personal data to processors established in third countries – not finding it in breach the Charter of Fundamental Rights, and therefore not taking issue with the use of contractual clauses for such data transfers out of the EU to occur (Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (C-311/18)).

● The Tech Cranch
・2020.07.16 Europe’s top court strikes down flagship EU-US data transfer mechanism by Natasha Lomas

A highly anticipated ruling by Europe’s top court has just landed — striking down a flagship EU-US data flows arrangement called Privacy Shield.

The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield,” it wrote in a press release.

● Telecoms
・2020.07.16 EU court invalidates EU-US Data Protection Shield due to US surveillance laws by Scott Bicheno

The European Court has overruled an EC decision for the second time in two days, this time concluding that US snooping means EU data isn’t safe if transferred over there.

● Arnold & Porter -BioSliceBlog
・2020.07.16 The CJEU confirms the validity of the Standard Contractual Clauses but invalidates the EU-US Privacy Shield


 

 

Continue reading "EU-USのプライバシーシールドを無効にしま〜す by EU裁判所"

| | Comments (0)

Cisco Catalyst 2960-Xシリーズスイッチ2種の偽造品が出回っていた?

こんにちは、丸山満彦です。

フィンランドのセキュリティ会社として有名なF-SecureがCisco Catalyst 2960-Xシリーズスイッチの2種の偽造品が出回っていたと発表していますね。。。ベンダーが本腰入れて対策をしないと怖い話ですね。。。

  • ソフトウェア更新の際に偽造品の機能が停止し、それによってユーザ企業が異変に気付いた。
  • 調査した結果、偽造品にはネットワークに対する攻撃を容易にするバックドアのような機能は見つからなかった。
  • 一方、セキュリティ制御を回避するために様々な手段が用いられていたことが明らかとなった(例えば、あるユニットでは、ゼロデイ脆弱性を悪用し、セキュアブートプロセスが弱体化させられていた)。
  • 偽造者の動機は偽造デバイスの販売によって利益を得ることだけに過ぎなかったように思える。
  • 偽造品は、物理的にも動作的にも本物のシスコシステムズ製スイッチに酷似していた。
  • 偽造者が正規品の元の設計を複製するために多額の投資を行ったか、偽造品を製造するために、シスコシステムズのエンジニアリングドキュメントにアクセスした可能性があると思われる。

 

● F-Secure

・2020.07.15 HUNTING FOR BACKDOORS IN COUNTERFEIT CISCDEVICES

F-Secure’s investigation highlights challenges facing organizations that discover counterfeit components in their IT infrastructure.

・2020.07.16 シスコ製スイッチの偽造品が市場に流通、エフセキュアが調査

システムコンポーネント認証プロセスを迂回するように設計された偽造品

 

 

| | Comments (0)

JIPDEC ”米国のプライバシー保護に関する動向”

こんにちは、丸山満彦です。

JIPDECが「米国のプライバシー保護に関する動向」という活動報告書を公開していますね。

-----

米国にはプライバシーの保護を国家(連邦)として規定した法律は存在せず、これまでは主に業種などのセクターごとに必要に応じて策定されてきた。ここに州ごとの規制や、州ごとのセクター規制が加わり、複雑化する様相を見せている。
 また、プライバシー侵害には、これまで消費者保護の観点から、主として連邦取引委員会(Federal Trade Commission:FTC)が、FTC法第5条を根拠に取締りを執行している。FTC法第5条は「商取引における又は商取引に影響を及ぼす不公正若しくは欺瞞的な行為又は慣行は、本法により違法と宣言する。」というもので、消費者を騙す実務は「欺瞞的」、データ漏えいの場合は「不公正」としている。つまりプライバシーを定義して保護するのではなく、消費者にとって欺瞞的、不公正なものとなる行為の中にプライバシー侵害が含まれているとする考え方である。今後、州ごとにプライバシーを定義した法律が成立することで、FTC以外の規制当局が増えることになり、取締りについても複雑化するおそれが高まっている。
 一方で、連邦レベルでの議論も活発化しており、Microsoft、Google、Apple、Facebook等の米国グローバル企業は、これまでの慎重意見から積極的に法制度化を求める姿勢に転じている。これは、ケンブリッジ・アナリティカ事件2をはじめとするプライバシー侵害の続発による消費者意識の変化に対応するという側面もあるが、セクターごと州ごとに分断された法制度を統一化することで、手間やコストの増大を回避したいという側面も強い。

-----

"OSCAL"の話も書いていますね。。。

一般財団法人 日本情報経済社会推進協会

・2020.07.16 米国のプライバシー保護に関する動向

・[PDF]

 

1. 概要

2. NISTにおけるプライバシー保護の体系

3. NIST Privacy Framework

4. NIST SP 800-53 Rev5

5. NIST OSCAL

6. グローバルにおける米国のポジションと将来展望

| | Comments (0)

JIPDEC ”プライバシーに関する国際標準化動向及びEDPBガイドライン”

こんにちは、丸山満彦です。

JIPDECが「プライバシーに関する国際標準動向及びEDPBガイドライン」という活動報告書を公開していますね。

色々な話が詰め込まれている感はありますが、ざっと昨今の動きに関してキーワードを拾うには有益かもですね。。。

一般財団法人 日本情報経済社会推進協会

・2020.07.16 プライバシーに関する国際標準化動向及びEDPBガイドライン


1.ISO/IEC JTC 1/SC 27 WG5におけるプライバシー関連の国際標準化動向

 1.1. アイデンティティ管理 ISO/IEC 29115について
 1.2. プライバシー ISO/IEC 27701について
 1.3. プライバシー ISO/IEC 29184について
 1.4. バイオメトリクス

2.2019年に出されたEDPBガイドラインの概要

2.1.Guidelines 1/2019 on Codes of Conduct and monitoring Bodies under Regulation 2016/679
2.2. Guidelines 2/2019 on the processing on personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects
2.3. Guidelines 3/2019 on processing of personal data through video devices – version adopted after public consultation
2.4. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default
2.5. Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1) – version for public consultation

3.ePrivacy規則案の概要

 


| | Comments (0)

IBMとMITの円卓会議:AIの大きな課題を解決するにはハイブリッドアプローチが必要

こんにちは、丸山満彦です。

IBMのリサーチラボとMITのAIに関するバーチャル円卓会議が公開されていますね。

IBM 

・2020.07.15 (blog) IBM & MIT Roundtable: Solving AI’s Big Challenges Requires a Hybrid Approach

・(news room) IBM Research & MIT Roundtable: Solving AI’s Big Challenges Requires a Hybrid Approach by Larry Greenemeier

-----

AI and automation are largely synonymous when you talk about industrial uses, said panelist David Cox, IBM Director of the MIT-IBM Watson AI Lab. “A lot of what people mean when they talk about AI today is automation,” he added. “But automation is incredibly labor-intensive today, in a way that really just doesn’t work for the problems we want to solve.”

To leverage tools like machine learning and deep learning, “you need to have huge amounts of carefully curated and bias-balanced data to be able to use them well,” Cox said. “And for the vast majority of the problems we face, actually, we don’t have those giant rivers of data. Most of the hard problems we have in the world that we’d love to solve with automation, with AI, we don’t really have the right tools for that.”

Machine learning is good at problems that require the interpretation of signals—such as image recognition—but the training process requires a lot of data and computing power, agreed panelist Leslie Kaelbling, an MIT Professor of Computer Science and Engineering.

“For years people tried to directly solve problems such as finding faces in images, and directly engineering those solutions didn’t work at all,” Kaelbling said. “Instead, it turns out we’re much better at engineering algorithms that can take that data, and from the data derive a solution. For some problems, however, we don’t have the formulations yet that would let us learn from the amount of data we have available. So we really have to focus on learning from smaller amounts of data.”

Neuro-Symbolic and Other Hybrid Approaches

One way to find value in smaller data sets is to leverage a combination of AI approaches, the panelists agreed. Neuro-symbolic AI is one such hybrid method. Symbols were the original approach to AI, where programmers would codify knowledge, said panelist Josh Tenenbaum, an MIT Professor of Computational Cognitive Science. But that approach did not scale, he said, nor are end-to-end neural networks the answer, given the amount of data and computing power that would involve.

....

-----

真の問題の解決には、労働集約的な仕事の解決ではない。。。

機械学習のためにはバイアスが無いような学習に適した大量のデータセットと計算量が必要。。。

でも実際にはそんなデータセットは無いから、少量のデータセットでも適切に学習できるような手段が必要。。。

より小さいデータセットで価値を見つける方法は、AIアプローチの組み合わせを活用する方法。。。

....

と興味深い議論が続きます。

最後は良いですね。

-----

The COVID-19 Factor

The panelists were asked how the ongoing COVID-19 pandemic has impacted AI research. In general, the pandemic introduced a lot of unforeseen challenges that have “broken a lot of models,” Cox said.

An AI system that, for example, might have been designed prior to the pandemic to better understand whether people who eat at fancy restaurants also shop at fancy grocery stores would have been upended. For a while, very few people were going to restaurants of any type. The same would be true of an algorithm designed last year to predict demand for N95 face masks in 2020. The pandemic’s unexpected and often unpredictable impact on society highlights the need for resilience in AI systems.

The pandemic shows a need for a more robust approach to understanding the world when it comes to creating AI, Tenenbaum said. That requires model building, not just large amounts of data that may or may not be available.

The pandemic has also taught the AI research community the value of virtual conferences, something that was rarely considered before the current travel restrictions. Even if conferences go back to being large physical gatherings, the researchers agreed that virtual conferences will not go away, having made it much easier for more people around the world to access and contribute to important discussions, which will have a lasting positive impact on the field moving forward.

-----

溜めていたデータがあったとしてもCOVID-19で環境がガラッと変わり使いづらくなったかもですね。。。

 

| | Comments (0)

カリフォルニア州政府によるカリフォルニア州消費者プライバシー法のFAQ(日本語訳的な...)

こんにちは、丸山満彦です。

カリフォルニア州の消費者プライバシー法 (California Consumer Privacy Act (CCPA)) は2020.01.01日に発効し、2020.0.01から予定通り州検事総長による執行措置が行える状況になりましたよね。。。

州政府のWebページにFAQが公開されていますね。しかもGoogleによる翻訳機能付き‼︎

せっかくなので、Google翻訳のままで下記に記しますね。。。

A. CCPAに関する一般情報

  1. CCPAに基づいてどのような権利がありますか?
  2. カリフォルニア在住でない場合はどうなりますか?
  3. CCPAで個人情報と見なされるものは何ですか?
  4. CCPAでは個人情報と見なされないものは何ですか?
  5. CCPAはどのビジネスに適用されますか?
  6. CCPAは非営利団体または政府機関に適用されますか?
  7. ビジネスがCCPAに違反していると思われる場合はどうすればよいですか?
  8. CCPAに基づいて、どのような種類のデータ侵害を訴訟を起こすことができますか?

B.個人情報を販売しないことの要求(販売のオプトアウトの権利)

  1. オプトアウトする権利は何ですか?
  2. 企業は子供の個人情報を販売できますか?
  3. オプトアウトリクエストを送信するにはどうすればよいですか?
  4. なぜ企業から詳細情報を求められるのですか?
  5. ビジネスがオプトアウトリクエストを拒否したのはなぜですか?
  6. ビジネスがサービスプロバイダーであり、要求に応じる必要がないという応答が返されたのはなぜですか?

C.個人情報を知るための要求(知る権利)

  1. 知る権利は何ですか?
  2. 知りたいというリクエストを送信するにはどうすればよいですか?
  3. 知りたいという要求に対して、企業はどれくらいの期間応答する必要がありますか?
  4. なぜ企業から詳細情報を求められるのですか?
  5. なぜ企業は私の知る要求を否定したのですか?
  6. ビジネスがサービスプロバイダーであり、要求に応じる必要がないという応答が返されたのはなぜですか?

D.必要な通知

  1. 回収時の注意事項とは?
  2. 収集時にビジネスの通知をどこで見つけることができますか?
  3. プライバシーポリシーとは何ですか?
  4. ビジネスのプライバシーポリシーはどこにありますか?

E.個人情報を削除するための要求(削除する権利)

  1. 個人情報を削除する私の権利は何ですか?
  2. 削除する権利を提出するにはどうすればよいですか?
  3. 削除のリクエストに企業はどのくらいの期間応答する必要がありますか?
  4. なぜ企業から詳細情報を求められるのですか?
  5. ビジネスが削除のリクエストを拒否したのはなぜですか?
  6. ビジネスがサービスプロバイダーであり、要求に応じる必要がないという応答が返されたのはなぜですか?
  7. 情報を削除するように頼んだのに、借金取り担当者が借金についてまだ私に電話しているのはなぜですか
  8. 情報を削除するように依頼したにもかかわらず、信用調査機関が私の信用情報をまだ提供しているのはなぜですか?

F.非差別の権利

G.データブローカーとCCPA

  1. データブローカーとは何ですか?
  2. 個人情報を収集して販売するデータブローカーを見つけるにはどうすればよいですか?
  3. データブローカーによる個人情報の販売を停止するにはどうすればよいですか?

-----

California-attorney-general

| | Comments (0)

2020.07.15

NISTのブログを読んで、改めて米国連邦サイバーセキュリティ研究開発戦略計画を読んでみる。。。

こんにちは、丸山満彦です。

NISTのブログを読んで、改めて米国連邦サイバーセキュリティ研究開発戦略計画を読んでみることにしました。。。
(朝になってしまい眠い。。。)

● NIST
・2020.07.09 Director's Corner Series with Ram D. Sriram by: Ram Sriram

 

 The Networking and Information Technology Research and Development (NITRD) 

・2019.12 FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT STRATEGIC PLAN 2019

HTMLにしてみました。。。[HTML]

ーーーーー

サイバーセキュリティ研究開発の目標

  1. サイバーセキュリティの人間的側面の理解
  2. 効果的かつ効率的なリスク管理の提供
  3. 悪意あるサイバー活動を抑止し、対抗するための効果的かつ効率的な方法の開発
  4. 安全・セキュリティ・プライバシーの統合されたフレームワークと方法論の開発
  5. 持続可能なセキュリティのためのシステム開発・運用の改善

優先分野

  1. 人工知能
  2. 量子情報科学
  3. 信頼できる分散デジタル基盤
  4. 個人情報の取り扱い
  5. セキュアなハードウェアとソフトウェア
  6. 教育と人材開発

 

目次

Executive Summary

Introduction

Strategic Framing

  • Cybersecurity Context
  • Challenges
  • Approach

The Defensive Elements

  • Deter
  • Protect
  • Detect
  • Respond

Priority Areas

  • Artificial Intelligence
  • Quantum Information Science
  • Trustworthy Distributed Digital Infrastructure
  • Privacy
  • Secure Hardware and Software
  • Education and Workforce Development

Critical Dependencies

  • Human Aspects
  • Research Infrastructure
  • Risk Management
  • Scientific Foundations
  • Transition to Practice

Implementing the Plan

Recommendations for Supporting Activities

Abbreviations

Nitrd_logo_sq_400x400

Continue reading "NISTのブログを読んで、改めて米国連邦サイバーセキュリティ研究開発戦略計画を読んでみる。。。"

| | Comments (0)

CSA ハイブリッドクラウドと関連するリスク

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA)がハイブリッドクラウドの一般的なリスクを理解するための報告書を公開していますね。。。

● CSA
・2020.07.13 Hybrid Cloud and Its Associated Risks
・[PDF Downloaded

・2020.07.14 (blog) Understanding Common Risks in Hybrid Clouds

目次

1. Introduction

2. Hybrid Cloud Overview
 2.1 Hybrid Cloud Concept
 2.2 Business Value of the Hybrid Cloud for Enterprises
 2.3 Hybrid Cloud Implementation
  2.3.1 Layer 3 Network Interworking
  2.3.2 Multi-Cloud Management Enabled by Cloud Broker
  2.3.3 Consistent Hybrid Cloud

3. Shared Responsibility in Hybrid Clouds

4. Risks, Threats and Vulnerabilities in Hybrid Clouds
 4.1 Risks
  4.1.1 Distributed Denial of Service Attack (DDoS)
  4.1.2 Data Leakage
  4.1.3 Perimeter Protection Risks
  4.1.4 Compliance Risks
  4.1.5 Misaligned Service Level Agreements (SLAs)
  4.1.6 Misalignment of Cloud Skill Sets
  4.1.7 Gap in Security Control Maturity
  4.1.8 Comprehensiveness of Security Risk Assessment
 4.2 Threats
  4.2.1 Malicious Insider
 4.3 Vulnerabilities
  4.3.1 Poor Encryption
  4.3.2 Impacted Operational Processes
  4.3.3 Network Connectivity Breaks
  4.3.4 Decentralized Identity & Credential Management
  4.3.5 Siloed Security Management

5. Hybrid Cloud Use Casesz
 5.1 Workload Expansion (Bursting)
 5.2 Backup
 5.3 Disaster Recovery (DR)
 5.4 Layered Deployment
 5.5 Application Container Technology
 5.6 Extend New IT Capabilities

Conclusion

ANNEX - Definitions of Types of Cloud and Deployment Models


 

 

Continue reading "CSA ハイブリッドクラウドと関連するリスク"

| | Comments (0)

2020.07.14

UK National Cyber Security Centre - ボックスツールキットに在宅勤務・遠隔勤務の演習を追加・・・

こんにちは、丸山満彦です。

UKのNational Cyber Security Centreの中小企業むえkボックスツールキットに在宅勤務・遠隔勤務の演習を追加したようです。。。

UK National Cyber Security Centre (NCSC)

・2020.07.13 (news) Businesses helped to keep home workers secure with NCSC cyber exercise

'Home and remote working' exercise has been added to the Exercise in a Box toolkit.

 

Exercise in a Box toolkit

-----
■ 報道等
An expansion to the successful Exercise in a Box toolkit will enable SMEs to probe the cyber security defences of remote workers

| | Comments (0)

英国議会 民主・デジタル技術特別委員会 - デジタル技術と信頼の復活

こんにちは、丸山満彦です。

2020.06.29に英国議会から民主・デジタル技術特別委員会 - デジタル技術と信頼の復活という報告書が公表されていました。。。153ページに及ぶ大作です。

プラットフォーマに対する英国議会の考えとかも入っているようですね。。。

UK Parliament Select Committee on Democracy and Digital Technologies

・2020.06.29 (News) Democracy under threat from ‘pandemic of misinformation’ online, say Lords Committee

・2020.06.29 summary of the report 

・2020.06.29  Digital Technology and the Resurrection of Trust [HTML] [PDF] [Downloaded]

 

Committee Chair

The Chair of the Committee, Lord Puttnam said:

"We are living through a time in which trust is collapsing. People no longer have faith that they can rely on the information they receive or believe what they are told. That is absolutely corrosive for democracy.

"Part of the reason for the decline in trust is the unchecked power of digital platforms.
These international behemoths exercise great power without any matching accountability, often denying responsibility for the harm some of the content they host can cause, while continuing to profit from it.

"We've seen clear evidence of this in recent months through a dangerous rise of misinformation about COVID-19. We have become aware of the ways in which misinformation can damage an individual’s health along with a growing number of instances where it is our collective democratic health that’s under threat.  That must stop – it is time for the Government to get a grip of this issue.
They should start by taking steps to immediately bring forward a Draft Online Harms Bill.
We heard that on the current schedule the legislation may not be in place until 2024.
That is clearly unacceptable.

"We have set out a programme for change that, taken as a whole, can allow our democratic institutions to wrestle power back from unaccountable corporations and begin the slow process of restoring trust. Technology is not a force of nature and can be harnessed for the public good.
The time to do so is now."

Recommendations

  • The report says the Government must take action 'without delay' to ensure tech giants are held responsible for the harm done to individuals, wider society and our democratic processes through misinformation widely spread on their platforms.
  • The Committee says online platforms are not 'inherently ungovernable' but power has been ceded to a "few unelected and unaccountable digital corporations" including Facebook and Google, and politicians must act now to hold those corporations to account when they are shown to negatively influence public debate and undermine democracy.
  • The Committee sets out a package of reforms which, if implemented, could help restore public trust and ensure democracy does not 'decline into irrelevance'.

 


Continue reading "英国議会 民主・デジタル技術特別委員会 - デジタル技術と信頼の復活"

| | Comments (0)

2020.07.13

米国のシークレットサービスが金融犯罪調査委員会(FCTF)と電子犯罪調査委員会(ECTF)を統合してサイバー不正調査委員会(CFTF)を設立したようですね。

こんにちは、丸山満彦です。

米国連邦政府にシークレットサービスと言う部門があるのは、映画でもおなじみですね。。。大統領とか要人保護をして大活躍、、、って感じですが、シークレットサービスは金融犯罪と闘うと言う面もあります。シークレットサービスのウェブページで調べてたら南北戦争後に偽造通貨が流通してそれを取締るのが当初の任務だったようですね。。。と言うことで国土安全保障省が2003年にできるまでは財務省の管轄だったわけです。。。

さて、そう言うわけで金融犯罪調査委員会(Financial Crimes Task Forces : FCTF)と電子犯罪調査委員会(Electronic Crimes Task Forces : ECTF)があったわけですが、紙幣の流通が減少し、BECやランサムウェアによる脅迫等が増え、金融犯罪=電子犯罪と言うことからでしょうか、両委員会を統一してサイバー不正調査委員会(Cyber Fraud Task Force : CFTF)としたようですね。。。

●  U.S. Secret Service

・2020.07.09 [PDF] SECRET SERVICE ANNOUNCES THE CREATION OF THE CYBER FRAUD TASK FORCE

 

報道等

ISRAEL Defence
・2020.07.12 Cyber Fraud Task Force Established by US Secret Service

The specialized group of agents and analysts will combat cyber-enabled financial crime using advanced analytical techniques and cutting-edge technologies.

Bank info Security
・2020.07.11 US Secret Service Forms Cyber Fraud Task Force by

Newly Formed Task Force Combines Electronic and Financial Crimes Units.

Bleeping Computer
・2020.07.10 US Secret Service creates new Cyber Fraud Task Force by

CFTF's main goal is to investigate and defend American individuals and businesses from a wide range of cyber-enabled financial crimes, from business email compromise (BEC) scams and ransomware attacks to data breaches and the illegal sale of stolen personal information and credit cards on the Internet and the dark web. 

Cyber Scoop
・2020.07.09 Secret Service merging electronic and financial crime task forces to combat cybercrime by 

The new merged network of task forces, to be known as Cyber Fraud Task Forces (CFTFs), will detect, prevent and root out cyber-enabled financial crimes, such as business email compromise and ransomware scams, “with the ultimate goal of arresting and convicting the most harmful perpetrators,” the Secret Service said in a press release.

The agency hopes the reorganization integrates the resources and know-how in the previous task forces.

“Through the creation of the CFTFs, the Secret Service aims to improve the coordination, sharing of expertise and resources, and dissemination of best practices for all its core investigations of financially-motivated cybercrime,” the Secret Service said.

Federal News Network
・2020.07.10 Senators question role the pandemic played in financial problems at USCIS by Eric White

The Secret Service is creating a new Cyber Fraud Task Force by merging its Electronic Crimes and its Financial Crimes task forces. The service said this two-year planning effort, which included multiple pilot programs, aims to bring together the skills and capabilities of the two disciplines. The Cyber Fraud Task Force currently operates in 42 locations nationwide and two international. The Secret Service plans to expand its cyber fraud task force network to 160 countries in the coming years.

| | Comments (0)

JOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)

こんにちは、丸山満彦です。

軍の戦略や戦術というのは、ビジネスにおいても参考になりますよね。。。というか、元々軍の考え方がビジネスに入っているだけだから当たり前のことかもしれません。

米軍では、JOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)が話題なんでしょうかね。。。ビジネスでも参考になりそうですね。。。

専門性に応じて作られた組織を統合して相手に対応するための考え方は総論賛成ですが、各論になると色々と調整が必要となってきますね。。。

AI等の技術を最適に活用することが求められますよね。

そして、トップダウンととボトムアップの適切なブレンドも必要。。。

Joint Chief of Staffs
・2016.01.14 [PDF] Cross-Domain Synergy in Joint Operations - Planner's Guide

持てる力をすべてのドメイン(空、陸、海上、宇宙、サイバースペース)で適切に組み合わせるための方法を開発することが不可欠という認識の素、ドメインをまたがって運用するためには共同軍司令官(JFC)の機能を強化するための共同計画を開発する必要があると言うことで開発された物で、この計画ガイドの目的は、JFCの使命を達成するために各ドメインの機能を効率的かつ効果的に統合するための情報とアプローチを提供することとのことです。

 

US Air Force
・2020.07.02 Goldfein describes the future of the Air Force

・2019.12.23 Air Force, Navy, Army conduct first ‘real world’ test of Advanced Battle Management System

US Army
・2020.04.23 JADC2 ‘Experiment 2’ provides looking glass into future experimentation

Federation of American Scientists (FAS)
・2020.04.06 [PDF] Defense Capabilities: Joint All Domain Command and Control

MITRE
・2019.12 [PDF] A NEW BATTLE COMMAND ARCHITECTURE FOR MULTI-DOMAIN OPERATIONS

Center for Strategic and International Studies (CSIS)
・2020.05.06 Making the Most of the Air Force’s Investment in Joint All Domain Command and Control by Morgan Dwyer

Missile Defense Advocacy Alliance  (MDAA)
・2020.06.30 Joint All-Domain Command and Control (JADC2)

-----

Air University Library - Joint All-Domain Command and Control (JADC2): Home

Fed ScoopJOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)

 

Continue reading "JOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)"

| | Comments (0)

2020.07.12

NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

こんにちは、丸山満彦です。

NISTがNISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)(2nd Draft)を公表して、2020.08.21きげんで意見募集をしていますね。

● NIST ITL
・2020.07.09 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

 ・2020.07.09 [PDF]NISTIR 8286 (2nd Draft) (DOI)

First Draftから目次レベルで若干の変更がありますね。。。

Executive Summary

1 Introduction

1.1 Purpose and Scope
1.2 Document Structure

2 Gaps in Managing Cybersecurity Risk as an ERM Input

2.1 Overview of ERM
2.2 Shortcomings of Typical Approaches to Cybersecurity Risk Management
2.3 The Gap Between Cybersecurity Risk Management Output and ERM Input

3 Cybersecurity Risk Considerations Throughout the ERM Process

3.1 Identify the Context
3.2 Identify the Risks
3.3 Analyze the Risks
3.4 Prioritize Risks
3.5 Plan and Execute Risk Response Strategies
3.6 Monitor, Evaluate, and Adjust
3.7 Considerations of Positive Risks as an Input to ERM
3.8 Creating and Maintaining an Enterprise-Level Risk Register
3.9 Cybersecurity Risk Data Conditioned for Enterprise Risk Rollup

4 Cybersecurity Risk Management as Part of a Portfolio View

4.1 Applying the Enterprise Risk Register and Developing the Enterprise Risk Profile
4.2 Translating the Risk Profile to Inform Boardroom Decisions
4.3 Information and Decision Flows in Support of ERM
4.4 Conclusion

 

-----

■ 参考

● NIST ITL
・2020.03.19 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
 ・[PDF]NISTIR 8286 (Draft) (DOI)

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

Continue reading "NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)"

| | Comments (0)

2020.07.11

US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

こんにちは、丸山満彦です。

US-GAOが環境、社会、ガバナンスの要素の開示とそれらを強化するためにとりうることについての報告書を出していまして、そこにサイバーセキュリティに関する内容も少し触れられていますね。

例えば、Full Reportの12ページには次のような記述があります。

Narrative disclosures.

Most investors noted gaps in narrative disclosures that limited their ability to understand companies’ strategies for considering ESG risks and opportunities. For example, some investors noted that some narrative disclosures contained generic language, were not specific to how the company addressed ESG issues, or were not focused on material information. For example, two private asset managers said that companies may provide boilerplate narratives or insufficient context for their quantitative disclosures, and representatives from one pension fund said that the fund would like additional disclosures on cybersecurity but has found that most disclosures on this topic are generic and not very helpful.

● GAO
・2020.07.06 PUBLIC COMPANIES:Disclosure of Environmental, Social, and Governance Factors and Options to Enhance Them

  • Highlights Page [PDF]
  • Full Report [PDF]
  • Accessible Version [PDF]

 

 

-----

サイバーリスクとインシデントに関する開示の話が触れられていますが、一般論的ですかね。。。

U.S. Securties and  Exchange Commission (SEC)


・2018.02.26 SECURITIES AND EXCHANGE COMMISSION 17 CFR Parts 229 and 249 [Release Nos. 33-10459; 34-82746] Commission Statement and Guidance on Public Company Cybersecurity Disclosures AGENCY

[html]を作ってみました。。。

サイバーインシデントに関する事項は、株主か知っておくべき事項としてForm 8-Kの開示対象となりうりますよね・・・

EDGERのCybersecurity+"8-K"の2015.07.11-2020.07.11の検索結果 (Cybersecurity担当の取締役等の変更等も開示対象となっているので、必ずしもインシデントのみではないですが・・・)

投資家等向けのCybersecurityページ

https://www.sec.gov/spotlight

Spotlight on Cybersecurity, the SEC and You

 

Continue reading "US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者"

| | Comments (0)

2020.07.10

CISAがセキュアな産業用制御システムに対する戦略を公表していますね。。。

こんにちは、丸山満彦です。

CISAがセキュアな産業用制御システムに対する戦略を公表していますね。。。

 

● CISA

・2020.07.07 (news) CISA Releases Securing Industrial Control Systems: A Unified Initiative

・2020.07.07 SECURING INDUSTRIAL CONTROL SYSTEMS

 ・[PDF] Securing Industrial Control Systems: A Unified Initiative FY 2019—2023

・2020.07.07 SECURING INDUSTRIAL CONTROL SYSTEMS FACT SHEET

 ・[PDF] Securing Industrial Control Systems Fact Sheet

 

CISAの戦略の柱的なものです。。

CISA is organizing its efforts around four guiding pillars:

  • PILLAR 1: Ask more of the ICS community, and deliver more to them.

  • PILLAR 2: Develop and utilize technology to mature collective ICS cyber defense.

  • PILLAR 3: Build “deep data” capabilities to analyze and deliver information that the ICS community can use to disrupt the ICS Cyber Kill Chain.

  • PILLAR 4: Enable informed and proactive security investments by understanding and anticipating ICS risk.

 

目次は、

  • SECTIONS 1 & 2: Introduction and CISA’s ICS Vision introduce the initiative, describe the end-state vision, and provide historical context.

  • SECTION 3: The ICS Challenge describes the ICS risk environment in which CISA and the ICS community must operate to secure ICS.

  • SECTION 4: The Diverse ICS Community emphasizes CISA’s operational and strategic partnerships across the ICS community.

  • SECTION 5: Defending ICS Today highlights portfolio of ICS capabilities CISA currently maintains and the products and services we deliver to the ICS community.

  • SECTION 6: Securing ICS for the Future defines the four guiding pillars that focus this initiative.

  • SECTION 7: Conclusion summarizes the initiative’s primary drivers and focus

 

-----

Fact Sheetから先に読めば概要がわかりますね。。。

Continue reading "CISAがセキュアな産業用制御システムに対する戦略を公表していますね。。。"

| | Comments (0)

FBIとCISAが共同でTorを介して難読化したサイバー攻撃への対応ガイダンスを公表していましたね。

こんにちは、丸山満彦です。

FBIとCISAが共同でTorを介して難読化したサイバー攻撃への対応ガイダンスを公表していましたね。

3つの対策アプローチを説明していますね。少なくとも既知のTorの出入り口は監視しろということになるのですが、Torを介した通信はブロックするで良い組織がほとんどのような気がするような。。。

CISA

・2020.07.01 Alert (AA20-183A) Defending Against Malicious Cyber Activity Originating from Tor

・2020.07.07 [PDF] CISA Releases Securing Industrial Control Systems: A Unified Initiative

The Cybersecurity and Infrastructure Security Agency (CISA) has released its five-year industrial control systems (ICS) strategy: Securing Industrial Control Systems: A Unified Initiative. The strategy—developed in collaboration with industry and government partners—lays out CISA's plan to improve, unify, and focus the effort to secure ICS and protect critical infrastructure.

CISA encourages users—including ICS and critical infrastructure partners—to review Securing Industrial Control Systems: A Unified Initiative for more information.

 

MITRE ATT&CK® を使って説明していますね。。。

Pre-ATT&CK

  • Target Selection [TA0014]
  • Technical Information Gathering [TA0015]
    • Conduct Active Scanning [T1254]
    • Conduct Passive Scanning [T1253]
    • Determine domain and IP address space [T1250]
    • Identify security defensive capabilities [T1263]
  • Technical Weakness Identification [TA0018]

ATT&CK

 

 

■ 報道等

Health IT Security
・ 2020.07.06 FBI, CISA Share Mitigation Guidance for Obfuscated Cyberattacks Via Tor by Jessica Davis

Hackers leverage Tor (The Onion Router) to anonymously conduct malicious cyberattacks against organizations, which conceals their identity as they perform reconnaissance, FBI and CISA warn.

security boulevard
・ 2020.07.03 CISA and FBI Issue Advisory on Dealing with Tor Malicious Internet Traffic by Silviu STAHIE

At the end of the day, companies and organizations have to determine how to best deal with the traffic from known Tor nodes. It the least they can do against less sophisticated attackers, who are still relying on the default channel of spreading malware.

● Homeland Security Today
・ 2020.07.01 Defending Against Malicious Cyber Activity Originating from Tor

 

| | Comments (0)

2020.07.09

MITRE ATT&CKのVer7.0がリリースされましたね。。。

こんにちは、丸山満彦です。

MITRE ATT&CKのVer7.0がリリースされましたね。。。

大作ですね。。。

● MITRE ATT&CK
・2020.07.08 Updates - July 2020

ATT&CK v7

・2020.07.09 “ATT&CK with Sub-Techniques” is Now Just ATT&CK by Adam Pennington

 

 

| | Comments (0)

オランダのDPA (Autoriteit Persoonsgegevens) が2019年度の報告書を公開していますね。。。

こんにちは、丸山満彦です。

オランダのDPA (Autoriteit Persoonsgegevens) が2019年度の報告書を公開していますね。。。

Autoriteit Persoonsgegevens
・2020.07.01 Jaarverslag AP 2019: meer focus op handhaving

2019年は前年の寛大キャンペーンは終了し、厳しく取り締まったとのことで、罰金は4倍の250万ユーロ(3億円超)となったとのことです。違反事例として、医療記録へのアクセス、会員データの販売、バイオメトリクス(指紋)等の不適切な取り扱いを挙げていますね。。。

報告書はオランダ語のみです。。。(ということで読めていません。。。オランダ人の友人に読んでもらおうかなぁ・・・)

[PDF] 2019年度報告書

 

■ 参考

● Hunton Andrew Kuruth
・2020.07.08 Dutch DPA Releases 2019 Annual Report

  • データ侵害の報告は26,956件受け取った。(2018年は20,881件)
  • 27,854件(うち国際的な苦情は959件)の苦情を受け取った。
  • データ侵害や苦情に関連する2,017件を含む2,082件に介入。これは2018年の2倍である。
  • 2019年は110件(2018年は20件)の調査を実施し、59件を完了しました。
  • 完了した59件の調査のうち24件で、データ侵害を発見した。
  • 罰金は4回、総額は250万ユーロを超えた。
  • オランダのDPAによって認可された侵害は、医療記録へのアクセス、個人データの違法な販売、生体認証データの違法な処理、および個人のアクセス権の違反に関係していた。
  • 罰金の支払い命令および懲戒を含む7つの是正措置を課した。
  • ...

| | Comments (0)

NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

こんにちは、丸山満彦です。

NISTがSP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)を公表し、意見募集をしていますね(8月21日締め切り)。

このSP 800-172(旧 NIST SP 800-171B)は、APTから、連邦政府機関以外のシステムや組織の重要なプログラムや高価値資産に関連するCUIの機密性、完全性、可用性を保護するための強化されたセキュリティ要件を提供するものです(SP 800-171はAPTを強く意識はしていなかった)。。。この強化されたセキュリティ要件は、

  1. 侵入に強いアーキテクチャ、
  2. ダメージを制限する運用、
  3. APT に対する回復力

を提供し、新たな多次元的な防衛深層防御戦略の基盤を提供するということのようです。。。

● NIST-ITL
・2020.07.06 SP 800-172 (Draft)  Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

Abstract

・[PDF]

Draftから強化対策について表にしてみました。

・[html] 強化対策の一

 

目次↓

Continue reading "NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)"

| | Comments (0)

NIST NISTIR 8214A「閾値暗号」開発の取り組みを開始

こんにちは、丸山満彦です

NISTが「閾値暗号」開発の取り組みを開始というニュースを出していますね。

 ‘Threshold Cryptography’ って「閾値暗号」でよいんですかね。。。

● NIST
・2020.07.07 (News) 
NIST Kick-Starts ‘Threshold Cryptography’ Development Effort

Establishing the emerging technique’s building blocks is a near-term focus.

・2020.07.07 NISTIR 8214A NIST Roadmap Toward Criteria for Threshold Schemes for Cryptographic Primitives

Abstract

This document constitutes a preparation toward devising criteria for the standardization of threshold schemes for cryptographic primitives by the National Institute of Standards and Technology (NIST). The large diversity of possible threshold schemes, as identified in the NIST Internal Report (NISTIR) 8214, is structured along two main tracks: single-device and multi-party. Each track covers cryptographic primitives in several possible threshold modes. The potential for real-world applications is taken as an important motivating factor for differentiating the pertinence of each possible threshold scheme. Also, the selection of items for standardization needs to consider diverse features, such as advanced security properties, configurability of parameters, testing and validation, modularity and composability (e.g., of gadgets vs. composites), and specification detail. Overall, the organization put forward serves as a preparation for an upcoming solicitation of feedback useful for considering a variety of threshold schemes, while differentiating standardization paths and timelines that may depend on the levels of technical and standardization challenges. This approach paves the way for an effective engagement with the community of stakeholders and constitutes a preparation for devising criteria for standardization and subsequent calls for contributions. While the terms standards and standardization are used throughout this report to refer to a set of possible final products, this does not imply a Federal Information Processing Standard (FIPS) as one or as the only intended format for NIST products of future threshold schemes for cryptographic primitives.

・[PDF] NISTIR 8214A NIST Roadmap Toward Criteria for Threshold Schemes for Cryptographic Primitives

閾値暗号自体については、NISTIR 8214で定めています。↓

■ 参考

2019.03 [PDF] NISTIR 8214 Threshold Schemes for Cryptographic Primitives - Challenges and Opportunities in Standardization and Validation of Threshold Cryptography

目次 ↓

Continue reading "NIST NISTIR 8214A「閾値暗号」開発の取り組みを開始"

| | Comments (0)

HIDDEN COBRA(北朝鮮?)が米国や欧州のオンラインストアに侵入しクレジットカード番号を取得している?

こんにちは、丸山満彦です。

オランダのセキュリティ会社Sansecが北朝鮮国家から支援を受けているHIDDEN COBRAが米国や欧州のオンラインストアに侵入しクレジットカード番号を取得していると報告していますね。

Sansec
 ・2020.07.06 North Korean hackers are skimming US and European shoppers

North Korean state sponsored hackers are implicated in the interception of online payments from American and European shoppers, Sansec research shows. Hackers associated with the APT Lazarus/HIDDEN COBRA1 group were found to be breaking into online stores of large US retailers and planting payment skimmers as early as May 2019.

 

■ 参考

● US-CERT
North Korean Malicious Cyber Activity

 

■ 報道等

xakep
・2020.07.07 (НОВОСТИ) Северокорейских хакеров связали с атаками MageCart by  

Специалисты голландской ИБ-компании SanSec ­обнаружили, что северокорейская хак-группа Lazarus (она же Hidden cobra) практикует веб-скимминг и взламывает интернет-магазины.­
A North Korea-sponsored hacking group has been found to have stolen credit card information of American and European shoppers from online stores of U.S. retailers for more than a year, a Dutch cyber security firm said.
Hackers associated with the "APT Lazarus/HIDDEN COBRA group" were implicated in breaking into the online stores through digital payment "skimming" from as early as May 2019, according to a report posted on the website of Sansec.

Hidden Cobra Stealing E-Commerce Payment Card Data, Security Firm Sansec Reports

HIDDEN COBRA attacks e-commerce sites.

The Magecart credit card skimmer found on the website of retailer Claire’s Accessories was likely put there by the Lazarus or Hidden Cobra North Korean APT group, reports Sansec
 
Since at least May 2019, the state-sponsored threat actor has stolen card data from dozens of retailers, including major US firms. 

 ZDNet
・2020.07.06 North Korean hackers linked to web skimming (Magecart) attacks, report says b

After hacking banks and cryptocurrency exchanges, orchestrating ATM cash-outs, and deploying ransomware, North Korean hackers have now set their sights on online stores.

SanSec says Lazarus group hijacked retail sites with a “higher level of preparation and planning than most”

| | Comments (0)

2020.07.08

CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

こんにちは、丸山満彦です。

CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。Collective Responsibilityに続いて2つ目のドキュメントとなりますね。。。

システムの設計から実装、テスト、リリースに至るまで、ソフトウェア開発・実装のライフサイクル全体を通して、セキュリティチェックを統合して監視することが必要なのですが、DevOpsが進むとセキュリティについても動的に対応する必要があり、自動化が不可欠となってくるということでしょうね。。。

6つの柱は

です。日本語にすると、

  1. 集団的責任 [Down Loaeded PDF](2020.02.20)
  2. トレーニングとプロセスの統合
  3. 実践的な実施
  4. コンプライアンスと開発の架け橋
  5. 自動化 [Down Loaded PDF](2020.07.06)
  6. 測定、監視、報告、行動

となりますね。。。

 

● Computer Security Alliance

・2020.07.07 (News) Cloud Security Alliance Publishes New Paper, The Six Pillars of DevSecOps: Automation

Document provides practical advice for integrating automated security into software development lifecyclez

・ 2020.07.06 The Six Pillars of DevSecOps: Automation


自動化は、DevSecOps の重要な要素である。なぜならば、プロセスの効率化を可能にし、開発者、インフラストラクチャ、情報セキュリティチームにとって、複雑な成果物で手動の作業やエラーを繰り返すのではなく、価値を提供することに集中できるようになるからである。この文書では、継続的なソフトウェア開発のデプロイサイクル全体を通して自動化されたセキュリティアクションを列挙する、リスクベースのセキュリティ自動化アプローチに焦点を当てている。

・[PDF]

-----

Table of Contents

Foreword
Introduction
 0.1 Background
 0.2 Purpose
 0.2 Audience

1. Scope

2. Normative References

3. Terms and Definitions

4. CSA DevSecOps Software Delivery Pipeline
 4.1 General
 4.2 Structure
  4.2.1 General
  4.2.2 Stages
  4.2.3 Triggers
  4.2.4.Activities
  4.3 Setting up and Maintenance of Pipeline

5. Risk-prioritized Pipelines
 5.1 General
 5.2 Risk Factors
  5.2.1 Application Risk
  5.2.2 Risk of Proposed Change
  5.2.3 Risk of Reliability History of Pipeline and its Deliverables
 5.3 Prioritization of Pipeline Configuration

6. Delivery Pipeline Activity Framework
 6.1 General
 6.2 Securing Design
 6.3 Securing Code
 6.4 Securing Software Components
 6.5 Securing Applications
 6.6 Securing Environment
 6.7 Managing Secrets

7. Automation Best Practices
 7.1 General
 7.2 Mitigating Vulnerabilities
 7.3 Asynchronous Testing (Out-of-band Testing)
 7.4 Continuous Feedback Loops
 7.5 Breaking Builds

8. Conclusion

References


| | Comments (0)

2020.07.07

香港特別行政区国家安全保障保護法施行後はFacebook、Google、Microsoft、Twitterは香港当局にユーザに関するデータをとりあえずは提供していないようですね。。。TikTokは撤退?

こんにちは、丸山満彦です。

2020.06.30の第13回全国人民代表大会常任委員会の第20回会議で、香港特別行政区国家安全保障保護法が可決され、即日施行されたようですね。これに伴い、Facebook、Google、Microsoft、Twitterは香港当局からのユーザに関するデータの問合せについて、提供をしていないようですね。。。

 

● The Verge
・2020.07.07 TikTok pulls out of Hong Kong due to new security law b

Pompeo says US ‘certainly looking at’ banning TikTok.

・2020.07.06 Google, Facebook, and Twitter halt government data requests after new Hong Kong security law

The companies are reviewing a new security law that gives China power to stifle dissent.

CNN Business
・2020.07.06 Facebook, Google and Twitter won't give Hong Kong authorities user data for now by Hadas Gold

Some of the world's major internet and social media platforms said Monday they will stop processing requests for user data made by Hong Kong law enforcement authorities while they carry out an assessment of a controversial security law imposed by China on the city.

● BBC
・2020.07.06 Hong Kong: Facebook, Google and Twitter among firms 'pausing' police help

Facebook, WhatsApp, Twitter, Google and Telegram have all said they are "pausing" co-operation with requests for user information from the Hong Kong police.

● New York Times
・2020.07.06 TikTok to Withdraw From Hong Kong as Tech Giants Halt Data Requests by 

Google, Facebook and Twitter said they were reviewing China’s punitive new national security law for the city, a rare public questioning of Chinese policy by major American tech companies.

● The Wall Street Journal
・2020.07.07 Google, Facebook and Twitter Suspend Review of Hong Kong Requests for User Data b


Actions follow China’s imposition of a national-security law on the city.

● Bloomberg
・2020.07.07 Google, Facebook, Microsoft Pause Hong Kong Data Requests (3) by Kurt Wagner

Google, Facebook Inc.Microsoft Corp. and Twitter Inc. won’t process user data requests from the Hong Kong government amid concerns that a new security law could criminalize protests.

 

| | Comments (0)

INTERPOLが「急成長しているアフリカのモバイルマネー業界に犯罪者が深く広く入り込んでいる」という報告書を出していますね。。。

こんにちは、丸山満彦です。

INTERPOLが「急成長しているアフリカのモバイルマネー業界に犯罪者が深く広く入り込んでいる」という報告書を出していますね。。。

● INTERPOL

・2020.07.06 (news) Report: Criminals infiltrating Africa’s booming mobile money industry

  • アフリカでは年間10億$のモバイルマネーが犯罪(詐欺、マネーロンダリング、強要、人身売買、密輸、違法な野生生物取引、テロなど )に使われている。
  • その数は今後増加していくだろう。
  • 全世界で登録されているモバイルマネー口座の半分はアフリカである。
  • モバイルマネーは経済発展には有効ではある。
  • ID登録の仕組みと法執行体制が不十分なため、犯罪者が利用しやすい環境ができている。
  • このままでは、経済的にも安全保障的にも問題である。

という感じですかね。。。

アフリカの組織犯罪に対応した活動↓

Project ENACT

 

興味深い報告書です。↓

・[PDF] Mobile money and organized crime in Africa

Exective Summaryと目次↓

 

Continue reading "INTERPOLが「急成長しているアフリカのモバイルマネー業界に犯罪者が深く広く入り込んでいる」という報告書を出していますね。。。"

| | Comments (0)

アクセス管理はSVOで考えるとわかりやすいかもですね。。。(2)

こんにちは、丸山満彦です。

サイバーセキュリティの勉強を始める人向けに、アクセス管理についての思うところを書こうと思っています。そして、アクセス管理は英語の第三文型のSVOで考えるとわかりやすいかも知れませんという話を以前しました・・・

まるちゃんの情報セキュリティ気まぐれ日記
・2020.06.29 アクセス管理はSVOで考えるとわかりやすいかもですね。。。(1)

-----

  • S : Subject = 行為の主体ですね
  • V : Verb = 行為の内容
  • O : Object = 行為の対象

つまり、誰(S)が何(O)に何をする(V)かということになりますね。。。それぞれS, V, Oをどう管理するかということになります。

-----

 

[2] Oの管理

ITシステムのオブジェクトはデータ、プログラム等が考えられます。物理的な環境まで含めると、ハードウェアや執務室まで含めることになります。IT資産管理と共通的な部分もあるので、二重管理を避けるためにもIT資産管理、構成管理の仕組みをうまく活用して管理することがよいでしょうね。

具体的な手法は色々とあるとは思いますが、

  • いきなり100点を目指すのではなく、まずはできるところから始め、継続的な改善を行う。
  • 継続的に実施できるためのオペレーションも含めて設計をする
  • オペレーションはできる限り自動化を目指す

と言ったところがポイントに上がってきますでしょうかね。

ITILなども参考になると思います。

 

| | Comments (0)

自民党サイバーセキュリティ対策推進議員連盟の提言

こんにちは、丸山満彦です。

野田聖子さんが会長、鈴木隼人さんが事務局長をしている自民党のサイバーセキュリティ対策議員連盟が6月29日に提言を取りまとめ、菅官房長官に申し入れしていましたね。。。

鈴木隼人さんのホームページ

・2020.06.29 官房長官にサイバーセキュリティ対策を申入れ

-----

提言の全文は以下の通りです。

サイバーセキュリティ対策推進議員連盟
提言

令和2年6月

新型コロナウイルス感染症は社会に大きな爪痕を残す一方で、新たな社会・生活様式をもたらした。リモートワークの普及、GIGAスクール構想の前倒し、遠隔医療・遠隔教育の拡大は我々の生活の質や生産性を向上させる一方、安易な導入はサイバー攻撃のリスクを高めることになる。社会全体でオンラインでの活動が増す中、来年には延期された東京オリンピック・パラリンピック競技大会をひかえており、サイバーセキュリティ対策の強化は急務である。このような社会情勢に適切に対応すべく、官民挙げて取り組むべき喫緊の課題について以下提言する。


1.サプライチェーンで捉えたサイバーセキュリティ対策

昨今、大企業から中小企業まで、サプライチェーンの弱点を狙ったサイバー攻撃が高度化しており、調達先からの情報漏洩事例の増加がみられる。欧米においては、防衛産業やインフラ産業において一定の基準への対応が求められており、我が国においても防衛省が調達基準の強化を進めているが、その他の産業分野においてもサイバーセキュリティ対策を強化する必要がある。特に、大企業と比較して中小企業においてはサイバーセキュリティ対策が不十分な状況であり、サプライチェーン全体に及ぼす影響が懸念されている。このため、我が国においても、事業者がサプライチェーン上の多様なリスク源を適切に捉え、中小企業を含むサプライチェーン全体でサイバーセキュリティ対策の強化を進めるとともに、政府調達においてもこのような対策の実施を要件化すべく検討を行うべきである。

また、サイバー攻撃に適切に対処し、被害を拡大させない観点からは、被害に遭った事業者が当局等に事案に応じた報告を行うことが欠かせないが、現状は報告に躊躇する事業者も多い。このため、サイバー攻撃被害の報告の在り方について、インセンティブも含めた検討を行うべきである。


2.医療機関におけるサイバーセキュリティ対策

また、医療機関が新型コロナウイルス感染症対策に追われる中、患者情報を暗号化して身代金を要求されたり、患者情報を書き換えられたりするなどのサイバー攻撃被害が報告されている。医療機関へのサイバー攻撃は患者の命にもかかわる問題であることから、早急に対策を強化すべきである。


3.サイバーセキュリティ・リテラシー

既に迎えつつある「常時接続」の時代において、個々人がサイバー攻撃被害から身を守るためには、サイバーセキュリティ・リテラシーの向上を図ることが欠かせない。このため、政府は日常生活において留意すべき事項をチェックリスト形式で整理し、あらゆるルートを通じて末端まで行き届くよう周知徹底を図るべきである。

また、GIGAスクール構想や高等教育における遠隔教育が進む中、教育現場におけるサイバーアタックへの備えの重要性はこれまで以上に高まっていく。このため、教育現場におけるサイバーセキュリティ対策を詳細に設計し、迅速に現場への落とし込みを図るべきである。


4.サイバー・リアルの統合的なセキュリティ

通信ケーブルや陸揚げ施設、通信設備などの通信基盤インフラのセキュリティは極めて脆弱な状況にある。また今後、カメラやセンサー等から監視セクションに送られる情報が外部から操作され、フェイクインフォメーションによりインシデント発覚が致命的に遅れるような事態の発生も懸念されている。これらの課題に対する効果的な対応策を検討し、速やかに実施すべきである。

以上

-----

 

| | Comments (0)

2020.07.06

中国のデータセキュリティ法案

こんにちは、丸山満彦です。

中国人民代表大会のウェブページは、このところ中华人民共和国香港特别行政区维护国家安全法香港特別行政区の国家安全保障保護法)が可決したことが大きく取り上げられているように思いますが、データセキュリティ法案(中华人民共和国数据安全法(草案))の行方も少し気になるところではあります。。。

パブリックコメントの受付は2020.08.16までです。。。

 

中国人民代表大会

202006.29 我国拟立法确立数据安全保护管理基本制度

法案 [PDF][Downloaded PDF] (htmlに変換してみました。。。)

 

中国語のニュースは基本的には人民代表大会の記事をほぼそのまま展開しているだけですので、英語の記事も・・・

外国企業がどのような影響を受けるか気になるところではありますよね。。。法案でざっくり書いて、細かいことはこれから基準を作っていくのでしょうが、基準も曖昧なところを残してあとは運用のさじ加減で、、、とかになるんでしょうかね。。。

 

● XINHUA-net
・2020.06.28 1st LD-Writethru: China mulls new law to strengthen data security

● CMS Low-Now
・2020.07.03 China publishes Draft Data Security Law byNick Beckett

----

  • Classified data protection: where data will be classified into different levels according to the data's economic and social importance, and the degree of damage to China's protected interests in the event that data is tampered with, destroyed, leaked, or illegally obtained or used. Different security requirements apply to data falling into different levels. Government authorities will also formulate catalogues of “important data” within their jurisdictions, and implement enhanced security measures to protect these important data.

  • Data security review: where data activities that may affect national security will be subject to security reviews organised by government authorities. The administrative decisions issued in such reviews will be final and not subject to appeal. The Draft, however, does not provide any specific standards on the exact data activities that will be viewed as having an impact on national security.

-----

● COVINGTON
2020.07.03 China Issued the Draft Data Security Law 

-----

On July 2, 2020, the Standing Committee of the National People’s Congress of China (“NPC”) released the draft Data Security Law (“Draft Law”) for public comment.  The release of the Draft Law marks a step forward in establishing a regulatory framework for the protection of broadly defined “data security” in China, with a particular focus on the governance of “important data,” defined as “data that, if leaked, may directly affect China’s national security, economic security, social stability, or public health and security.”  Many provisions of the Draft Law remain vague and lack guidance on how they might be implemented in practice.

-----

[追記 2020.07.08]

● Hunton Andrews Kurth
・2020.07.07 China Issues Draft Data Security Law

概要の理解にはよいかもです。。。

[追記終わり]

 

● Computer Weekly
・2020.07.03 Chinese law may require companies to disclose cyber-security preparations outside China by Bill Goodwin

Companies with Chinese operations may have to disclose information about the security of their networks in other countries under China’s draft data security law 

● South China Morning Post
・2020.07.03 China’s lawmakers review draft data security law as digital economy grows by

  • Legal experts say it aims to protect individual privacy but also to promote the use of government data through ‘controllable open platform’
  • Beijing is pushing sectors like artificial intelligence and big data, but industry experts say regulation is lagging behind

 

| | Comments (0)

2020.07.05

米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

こんにちは、丸山満彦です。

米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようですね。

Department of Defense Office of Inspector General

・2020.06.29 Audit of Governance and Protection of Department of Defense Artificial Intelligence Data and Technology (DODIG-2020-098)

・詳細な報告書 [PDF] (Downloaded)(一部黒塗り・・・)

この監査の目的は

  • 国防省におけるAIガバナンスの枠組みと基準の開発の進捗状況を確認すること
  • 国防省がAIデータと技術を内部および外部のサイバー脅威から保護するためのセキュリティ管理を実施しているかどうかを判断すること

ということのようです。

発見事項は、

AIガバナンスについては、

JAICはAIガバナンスの枠組みと基準を策定するために、JAICの採用等をつうじて組織を作り、ナショナルミッションの目標の策定、倫理原則の導入など、いくつかの進捗はあった。しかし、JAICがNDAA、DoD AI戦略、DoDガイダンスで概説されている責任を確実に果たすためには、JAICもまた、AIガバナンスの枠組みを構築する必要がある。<=なるほど。。。

ということで具体的に、

  • AI の標準的な定義を盛り込み、定期的(少なくとも年 1 回)は定義の改定を検討する。
  • AI データの一貫した保護を確保するためのセキュリティ分類ガイドを開発する。
  • AI プロジェクトを正確に会計処理するためのプロセスを開発する。
  • データを共有するための機能を開発する。
  • 法的およびプライバシーへの配慮を基準に組み込む。
  • 類似のAI プロジェクトについて、軍務部と国防省のコンポーネントが協力するための正式な戦略を策定する。

となっています。

サイバーセキュリティについては、

調査した国防省の 4 つのコンポーネントと 2 つの請負業者は、AI プロジェクトや技術をサポートするために使用されるデータを内部および外部のサイバー脅威から保護するためのセキュリティ管理を一貫して実施していなかったようですね。例えば、次のようなことが必要だということだと思います。。。

  • システム上で強力なパスワードの使用を強制するようする、システムアクティビティレポートを生成したり、一定期間使用されていない場合はアカウントをロックしたりする。
  • 悪意のある活動や異常な活動がないか、ネットワークやシステムを確認する。
  • ウイルスや脆弱性がないかネットワークをスキャンする。
  • AIデータなどの物理的なセキュリティ対策を実施する。

まぁ、本当はもっと具体的な課題があるのだろうと思います。。。詳細なPDFの方はまだ読んでいませんが・・・

----

 

■ 報道等

C4ISRNET
・2020.07.01 (Artificial IntelligenceWatchdog finds the Pentagon needs to improve artificial intelligence project management by

| | Comments (0)

興味深い=>The reverse cascade: Enforcing security on the global IoT supply chain - In-Depth Research & Reports by Nathaniel Kim, Trey Herr, and Bruce Schneier

こんにちは、丸山満彦です。

IoT機器等のセキュリティを確保することは社会における今後の重要な課題の一つだと思いますが、その実装をどのように行えば良いのかはよくよく考える必要があります。その回答への一つのヒントになると思うのが、サイバーセキュリティ分野で長く活動されているBruce Schneierさんも関わっているペーパ↓です。

Atlatic Council

・2020.06.15 The reverse cascade: Enforcing security on the global IoT supply chainIn-Depth Research & Reports by Nathaniel Kim, Trey Herr, and Bruce Schneier

IoTデバイスは価格競争が厳しく、その要素となる部品を作っている事業者が海外になることもあり、目に見えないセキュリティについては単に市場原理に任せていてもサプライチェーン全体でセキュリティの確保が難しいが、販売事業者に規制をかければ、上流に遡って規制が効くだろうという考え方だろうと思います。

他の分野でも似た考え方はあるとは思いますので、実装手法としてはありだろうと思います。

厳密には違いますが、紛争鉱物に関する規制や、輸入事業者が代位責任を負うことになっている製造物責任法に似た発想があるかもしれませんね。。。

このペーパでは家庭用 WiFiルータを例に取り上げていますが、推奨事項として次の4つを挙げています。

  1. 取締りを明確にする
  2. ベースラインを選択する
  3. 優れたセキュリティ製品についてラベルをつける
  4. 標準の作成と同盟国との協力する

セキュリティの社会への実装というのは、外部不経済を如何に内部化するかということだと思うのですが、たの分野の手法がやくに立つこともあると思います。ということもあり、このペーパは興味深いです。

 

 

 

Continue reading "興味深い=>The reverse cascade: Enforcing security on the global IoT supply chain - In-Depth Research & Reports by Nathaniel Kim, Trey Herr, and Bruce Schneier"

| | Comments (0)

2020.07.04

Encrochat騒動...

こんにちは、丸山満彦です。

暗号化された通信も解読できる場合もあるんですね。。。秘密が保証されていると安心し切って会話していたら実は筒抜けでした。。。というのは、破壊的なインパクトありますよね。。。国家が本気出すとすごいなぁと。。。思いました。

このすごい力をどのような目的で使うかが重要かと思います。

 

Europol

・2020.07.02 (News) DISMANTLING OF AN ENCRYPTED NETWORK SENDS SHOCKWAVES THROUGH ORGANISED CRIME GROUPS ACROSS EUROPE

At a joint press conference today, French and Dutch law enforcement and judicial authorities, Europol and Eurojust have presented the impressive results of a joint investigation team to dismantle EncroChat, an encrypted phone network widely used by criminal networks.

● Euro Just

・2020.07.02 Dismantling of an encrypted network sends shockwaves through organised crime groups across Europe

 

●  UK NCA

・2020.07.02 NCA and police smash thousands of criminal conspiracies after infiltration of encrypted communication platform in UK’s biggest ever law enforcement operation

 

-----

■ 報道

● VICE
・2020.06.19 Texts Claim Hack of Encrypted Phone Company Used by Hitmen by Joseph Cox

Messages allegedly sent to Encrochat users warned of a law enforcement takeover. Europol said it won’t comment on "ongoing operations." 

2020.06.22 Encrypted Phone Network Says It's Shutting Down After Police Hack bJoseph Cox

Encrochat's customers include hitmen and drug gangs across Europe.

・2020.07.03 How Police Secretly Took Over a Global Phone Network for Organized Crime by Joseph Cox

Police monitored a hundred million encrypted messages sent through Encrochat, a network used by career criminals to discuss drug deals, murders, and extortion plots.

● Irish News
・2020.06.20 Wave of arrests after breach of encrypted communication network by ALLISON MORRIS

Encrochat sent an urgent message last weekend to all users to destroy their handsets after a breach.

Within hours police on both sides of the border were engaged in search and arrest operations.

Encrochat cannot be used to make voice calls. It uses a wifi signal rather than mobile networks and users are limited to text or picture messages.

Last Saturday users received an urgent message saying security across Europe had been compromised for around 30 minutes.

The company said: "Due to the level of sophistication of the attack and the malware code, we can no longer guarantee the security of your device. We took immediate action on our network by disabling connectivity to combat the attack.

"You are advised to power off and physically dispose of your device immediately".

Subsequently a number of people have appeared in court charged with offences alleged to be based on encrypted phone evidence.

・2020.06.25 Leading Co Tyrone republican's home searched in encrypted calls probe by ALLISON MORRIS

 

● CNN 
・2020.07.02 Hundreds arrested after police infiltrate secret criminal phone network by Emma Reynolds, CNN

An encrypted messaging service used exclusively by criminals has been infiltrated by police in a major operation, leading to hundreds of arrests and the seizure of firearms, drugs and millions of dollars in cash.

● Sky News - UK
・2020.07.02 Encrochat: Moment police raid criminal networks

 

● Romefod Recorder
・2020.07.02 Hundreds arrested across Essex and London as criminal instant messaging platform is cracked

● TechCrunch
・2020.07.03 Police roll up crime networks in Europe after infiltrating popular encrypted chat app by Devin Coldewey

 

● xakep
・2020.07.03 (НОВОСТИПравоохранители ликвидировали сервис Encrochat и произвели почти 750 арестов by  

Евпропол, британское Национальное агентство по борьбе с преступностью (NCA), а также правоохранительные органы Франции, Швеции, Норвегии и Нидерландов официально сообщили о ликвидации платформы для зашифрованных коммуникаций Encrochat, которой пользовались более 60 000 преступников по всему миру.

telecoms com
・2020.07.03 EncroChat hack shows there’s no such thing as secure communications by Scott Bicheno

The company - which had severs in France - provided an encrypted phone network widely used by criminal, according to Europol.

● Mail online
・2020.07.03 The gangland figures murdered in hits ordered on EncroChat: How killings of Salford's 'Mr Big' Paul Massey and mob 'fixer' John Kinsella were called in using encrypted phone network

  • The secret mobile system was used by Iceman killer Mark Fellows in his hits
  • Paul Massey and John Kinsella were executed in the gun murders
  • Drug gangsters Andrew Venna and Matthew Cornwall also used EncroChat app
  • Once system was hacked one of UK's most wanted was tracked down in Spain
  • Police forces used data to carry out Britain's biggest crime bust yesterday 

● threat post
・2020.07.03 E.U. Authorities Crack Encryption of Massive Criminal and Murder Network

Four-year investigation shuts down EncroChat and busts 746 alleged criminals for planning murders, selling drugs and laundering money.

● Sky News
・2020.07.03 EncroChat: What it is, who was running it, and how did criminals get their encrypted phones?

● News Shopper
・2020.07.03 Encrochat: Raids take down top London and Kent crime gangs by Jamie Bennett-Ness

Further details have been released on a series of raids against 'untouchable' top-tier criminals after police took town crime communications network, Encrochat, including data on a series raids in Gravesend which saw five people arrested and 24.5kg of cocaine and £213,000 seized.

 

● NL Times
・2020.07.03 INFO FROM ENCRYPTED PHONE HACK LED TO MAJOR DRUG NETWORK BUST b

 

| | Comments (0)

UK-ICO 連絡先追跡のために個人データを収集する企業に対するICOガイダンスの公表に関する声明

こんにちは、丸山満彦です。

英国の情報コミッショナー(Information Commisioner's Office : ICO)は、「連絡先追跡のために個人データを収集する企業に対するICOガイダンスの公表に関する声明」を公表しています。

公衆衛生上の利益を実現するために、企業が自信を持って対応できるように対応をしていきますよ。。。という感じですかね。。。

● ICO 

2020.07.02 Statement on the publication of ICO guidance to businesses collecting personal data for contact tracing

Statement from Deputy Chief Executive Paul Arnold as the ICO publishes initial guidance for businesses asked to record and maintain personal data of customers, staff and visitors in support of the test and trace scheme.

Contact tracing - protecting customer and visitor details

 シンプルなメッセージです。

A : Ask for only what’s needed(必要な事だけ尋ねる)

B : Be transparent with customers(顧客に対して透明である)

C : Carefully store the data(データは注意して保存する)

D : Don’t use it for other purposes(目的外利用しない)

E : Erase it in line with government guidance(政府の指導にしたがって消去する

----

Data protection and coronavirus information hub

| | Comments (0)

2020.07.03

Oktaのプライバシーのコストについてのレポート (2020) をどう読むか???

こんにちは、丸山満彦です。

Oktaがプライバシーコストレポート2020を公表していますが、なかなか興味深いです。

オーストラリア、フランス、ドイツ、オランダ、イギリス、米国の6か国で12,000人を調査したようです。。。

● Okta

The Cost of Privacy 2020

・2020.06.24 (blog) The Cost of Privacy: Understanding the Global Ramifications of Data Collection by Frederic Kerrest

-----

1 消費者は自分のデータの追跡の程度について過小評価している

2 消費者は、COVID-19の感染拡大を追跡することを含め、プライバシーが優先すると思っている

3 政府への不信感が高い

4 消費者は多少の現金よりプライバシーを重視する

5 本人確認が民主主義に打撃を与えているが、郵送投票が助けになるかもしれない

-----

Teiss
・2020.07.01 Data privacy Most Brits willing to trade privacy for robust COVID-19 contact tracing efforts by Jay Jay

A new survey has found that a majority of Brits are willing to forego their privacy to help set up a robust COVID-19 contact tracing system that can prevent the spread of the virus.

 

UK Tech News
・2020.06.26 Privacy concerns as 84% of UK citizens believe their contact tracing data will be used for purposes unrelated to COVID-19

----

Most UK respondents are uncomfortable with the idea of companies collecting their data, particularly offline conversations overheard by devices (82%), passwords (79%) and biometric data (77%). 82% are also worried their data will be held insecurely, in addition to concerns about sacrificing too much privacy (76%) and impacting finances, such as insurance premiums (62%).

----

 

 

| | Comments (0)

梶山経産相「持続化給付金」委託先への中間検査に着手 (異例だそうです。。。)

こんにちは、丸山満彦です。

サイバーではないですが、内部統制ということで・・・

経済産業省 - 会見・談話

・2020.06.03 梶山経済産業大臣の定例記者会見の概要(6/30)

-----

キャッシュレス決済の普及、持続化給付金

Q:先ほどのキャッシュレスの件なんですが、本日で制度上終了するということで、全体の総括としてキャッシュレスの進捗状況、普及状況などを踏まえて大臣の御所見をお願いしたいのと、もう一点が持続化給付金について、中間検査を今月中に入りたいというふうに大臣おっしゃられていました。その進捗状況はいかがでしょうか。

A:ポイント還元事業は消費税率引上げに伴う需要の平準化、消費税率引上げの影響を受ける中小店舗への支援、キャッシュレスの推進を目的として昨年10月から実施をしてきたところであります。

本事業の参加店舗は、最終的には115万店舗、対象となり得る中小店舗約200万店の半数強にまで拡大をいたしました。

...

あと持続化給付金の件でありますけれども、昨日6月29日に中小企業庁の担当者がサービスデザイン推進協議会の事務所に赴き、中間検査に着手をいたしました。支出の妥当性の確認に必要な資料等を準備するように指示をしたところであります。今後、監査法人等の外部専門家の具体的な関与の在り方も含めて検査方針を決定をしてまいります。この方針に従って専門家の協力も得ながら資料等の検査を進めてまいります。

具体的なスケジュールや公表予定については検査方針とも密接に関連するために、専門家とも相談しつつ決定をしてまいりたいと思っております。結果については速やかに報告書として取りまとめて、委託先の関係事業者に了承を得た上で公表をしてまいりたいと思っておりますし、非常に重要な中間検査であるという認識を持っているということであります。

-----

● NHK

・2020.06.30 「持続化給付金」委託先の異例の中間検査に着手 梶山経産相

-----

事業の不透明さを指摘されている「持続化給付金」をめぐり、梶山経済産業大臣は、事業の委託先となっている社団法人の支出が妥当かどうか、外部の専門家を交えて調べる異例の中間検査を、29日から始めたことを明らかにしました。

-----

  • 以下の理由により国民からの不信が出ているため、事業費の支出が妥当か、監査法人等の外部の専門家を交えた中間検査を行う方針を示した。
    • 一般社団法人 サービスデザイン推進協議会が事業を委託された経緯
    • 電通に多くの業務が再委託されていること
  • 29日に中小企業庁の担当者がサービスデザイン協議会に赴き、支出の妥当sりの確認に必要な資料等の準備をするように指示した
  • 中間検査の結果は、委託先の関係事業者に了承をえた上で報告書として公表したい

 

● 会計ニュース・コレクター(小石川経理研究所)

・2020.07.03 「「持続化給付金」委託先の異例の中間検査に着手 梶山経産相(NHKより)」  不正経理

 


| | Comments (0)

2020.07.02

ディズニーがメガピクセルのディープフェイクで映画?

こんにちは、丸山満彦です。

ディズニーはディープフェイクを使った映画を作るのでしょうかね。。。

● The Verge

・2020.06.29 Disney’s deepfakes are getting closer to a big-screen debut - The first megapixel-resolution deepfakes b

| | Comments (0)

2020.07.01

オーストラリア連邦政府はサイバーセキュリティ対策に10年間で13.5 AU$(約1000億円)を投資するようですね。。。

こんにちは、丸山満彦です。

オーストラリア連邦政府はサイバーセキュリティ対策に10年間で13.5 AU$(約1000億円)を投資するようですね。。。

Prime Minister of Australia

・2020.06.30 Nation's largest ever investment in cyber security

-----

The Federal Government will make the nation’s largest ever investment in cyber security, with $1.35 billion over the next decade to enhance the cyber security capabilities and assistance provided to Australians through the Australian Signals Directorate (ASD) and the Australian Cyber Security Centre.

This significant investment, known as the Cyber Enhanced Situational Awareness and Response (CESAR) package, will mean that we can identify more cyber threats, disrupt more foreign cybercriminals, build more partnerships with industry and government and protect more Australians.

....

  • New capabilities to disrupt and defeat malicious cyber activity, providing greater capacity to take the fight to cybercriminals offshore and to neutralise and block emerging cyber threats to Australia, including:
    • Over $31 million to enhance the ability of ASD to disrupt cybercrime offshore, taking the fight to foreign criminals that seek to target Australians, and providing assistance to federal, state and territory law enforcement agencies.
    • Over $35 million to deliver a new cyber threat-sharing platform, enabling industry and government to share intelligence about malicious cyber activity, and block emerging threats in near real-time.
    • Over $12 million towards new strategic mitigations and active disruption options, enabling ASD and Australia’s major telecommunications providers to prevent malicious cyber activity from ever reaching millions of Australians across the country by blocking known malicious websites and computer viruses at speed. 

  • Enhancing our understanding of malicious cyber activity so that emerging cyber threats can be more rapidly identified and responded to, including:
    • Over $118 million for ASD to expand its data science and intelligence capabilities, ensuring Australia remains at the forefront of the technological advancements in cyber security, including the identification of emerging cyber threats to Australia.
    • Over $62 million to deliver a national situational awareness capability to better enable ASD to understand and respond to cyber threats on a national scale. This includes informing vulnerable sectors of the economy about threats most likely to impact them, coupled with tailored advice and assistance about how to mitigate cyber threats.
    • Over $20 million to establish cutting-edge research laboratories to better understand threats to emerging technology, ensuring that ASD continues to provide timely and authoritative advice about the most secure approaches for organisations to adopt new technology.

-----

■ 報道等

● Teiss
・2020.06.30 Australia to invest $1.35 billion to fight against emerging cyber threats by Jay Jay

The Australian government has pledged to invest $1.35 billion over the next decade the develop new capabilities to neutralise and block emerging cyber threats to the country.

The New York Times
・2020.06.30 Australia Spending Nearly $1 Billion on Cyberdefense as China Tensions Rise by 

Officials promised to recruit at least 500 cyberspies and build on the country’s offensive capabilities to take the online battle overseas.

● ComputerWeekly.com
・2020.06.30 Australia to invest a record A$1.35bn in cyber security

The Australian government is making its largest ever investment in cyber security over the next decade to identify cyber threats, disrupt foreign cyber criminals and build new capabilities.

 

| | Comments (0)

総務省 「Beyond 5G推進戦略 -6Gへのロードマップ-」の公表

こんにちは、丸山満彦です。

総務省が2020.06.30に「Beyond 5G推進戦略 -6Gへのロードマップ-」を公表していますね。。。

 

● 総務省

・2020.06.30 「Beyond 5G推進戦略 -6Gへのロードマップ-」の公表

-----

1. 経緯

  総務省は、5Gの次の世代である「Beyond 5G」(いわゆる6G)の導入時に見込まれるニーズや技術進歩等を踏まえた総合戦略の策定に向け、令和2年1月から「Beyond 5G推進戦略懇談会」(座長:五神真 東京大学総長)を開催し、Beyond 5Gの導入が見込まれる2030年代の社会において通信インフラに期待される事項やそれを実現するための政策の方向性等について検討を行ってきました。
  今般、同懇談会において取りまとめられました「Beyond 5G推進戦略懇談会 提言」(別紙1PDF)を受け、「Beyond 5G推進戦略 -6Gへのロードマップ-」(別紙2PDF)及びその概要(別紙3PDF)を公表します。
  また、取りまとめに先立ち、令和2年4月15日(水)から同年5月14日(木)までの間、「Beyond 5G推進戦略骨子」に対する意見募集を行ったところ、64件の意見の提出がありましたので、その結果についても公表します(別紙4PDF及び別添PDF)。

-----

なかなか興味深い内容ですね。。。

 

 

| | Comments (0)

NIST SP 800-77 Rev. 1 Guide to IPsec VPNs

こんにちは、丸山満彦です。

NISTがSP 800-77 Rev. 1 Guide to IPsec VPNsを公開していますね。

NIST - ITL

・2020.06.30 SP 800-77 Rev. 1 Guide to IPsec VPNs

 ・[PDF] SP 800-77 Rev. 1

-----
Abstract

| | Comments (0)

経済産業省 第5回 産業サイバーセキュリティ研究会

こんにちは、丸山満彦です。

2020.06.30に経済産業省で「第5回 産業サイバーセキュリティ研究会」が開催されましたね。私もこの政策の一部(例えば、経営ガイドライン、人材育成、中小企業お助け隊等)に関わっている部分もあるのですが、普通にテクノロジーの活用が行われれば、普通にサイバーという話も出てくるのでしょうが、DXといいながらテクノロジーの活用を推進しようとしたりしている段階で、日本の企業ダメかも・・・みたいな話を昨晩、友人たちとしていたような気がします。。。取り止めもなくてすみません。。。

経済産業省

・2020.06.30 第5回 産業サイバーセキュリティ研究会

 

NHK

・2020.06.30 サイバー攻撃に対応 企業や経済団体など連携し協議会設立へ

-----

この中で、松本経済産業副大臣は「単独の企業の努力だけではサイバー攻撃に適切に対応するのが難しくなっている」と述べ、対策に取り組む新たな協議会の設立を提案し、了承されました。

協議会には経済団体や業界団体などが入りサイバー攻撃に関する情報を共有するほか、大企業と比べて対策が遅れている中小企業の支援も行うとしています。

-----

Continue reading "経済産業省 第5回 産業サイバーセキュリティ研究会"

| | Comments (0)

ハッカーの78%が、今後10年間はAIを上回るパフォーマンスを発揮すると考えている...

こんにちは、丸山満彦です。

ハッカーに関する調査報告書です。。。興味深いです。。。

 

SC Magazine UK

・2020.06.26 Human hackers will continue to beat AI for a decade by Andrew McCorkell

The ‘Inside the mind of a hacker’ cyber report from Bugcrowd also says that 78 per cent of hackers believe they will outperform AI for the next decade.

-----

AI対人間:ハッカーの78%が、今後10年間はAIを上回るパフォーマンスを発揮すると考えている。

ニューロ・ダイバーシティ:ハッカーの13%はニューロ・ダイバーシティ(「社交性、学習、注意力、気分、その他の非病理学的な精神機能に関する多様性を指す」)である。

価値:Bugcrowdのハッカーコミュニティは、昨年1年間で89億US$(約1兆円)のサイバー犯罪を防ぐことができた。今後5年間でこの額は555億US$(約6兆円)に増加すると予想される。

人口統計:ハッカーの53%は24歳以下。45歳以上はわずか2%。ハッカーの48%は4人以上の世帯に住んでいる。女性の割合は6%にすぎない。ハッカーの数はインドで爆発的に増加しており、昨年は83%増加した。

動機と認識: ハッカーは、パーカーを着て夜更かしをしているだけで、何の役にも立たないと誤認されているように感じている。彼らは自分たちを普通の人だと思っていて、他の雇用を勝ち取るための手段として自分たちのスキルを磨いていることが多い。

-----

オリジナルの報告書は

● Bugcrowd

Inside the Mind of a Hacker 2020 [PDF] / 2019 [PDF]

| | Comments (0)

政府CIOポータル 政府情報システムにおけるクラウド設置場所等に関する考え方

こんにちは、丸山満彦です。

政府CIOポータルに「政府情報システムにおけるクラウド設置場所等に関する考え方」が掲載されていますね。

政府CIOポータル

・2020.06 政府情報システムにおけるクラウド設置場所等に関する考え方

 ・[PDF] Downloaded

 ・[DOCX] Downloaded

-----

クラウドサービスが「海外にあることが特に問題ないと認められる場合」の考え方を、「利用者データの可用性」、「業務サービスの継続性」、「データ保護」、「争訟リスク」の各々の観点から整理したものです。

みなさんから、広範なご意見を頂けますと幸いです。

.....

ディスカッションペーパーへのご意見については、リンク先のコメントフォームよりお寄せください。なお、ファイル等でのご意見を希望される場合は、ストレージサービス等にアップロードの上、リンクを当方まで通知願います。

-----

とのことです。。。

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日CIO連絡会議決定)[PDF][DOCX]で「海外にあることが特に問題ないと認められる場合」という話になっているんでしょうね。

なお、この基本方針では特定秘密、極秘文書はパブリッククラウドでは扱わないことになっているのでいわゆる安全保証上の問題はこの議論の対象外と考えても良さそうですね。その上で、日本にデータがあるのが望ましい理由は、

-----

クラウドサービスに保存される利用者データの可用性の観点から、我が国の法律及び締結された条約が適用される国内データセンタと我が国に裁判管轄権があるクラウドサービスを採用候補とするものとする。

-----

という文書を読めば、日本にクラウドサービスがあるのが望ましい理由は、

  • 可用性
  • 我が国の法律が適用される

ということになるのでしょうかね。。。

で、もう一歩踏み込んで考えてみると、

我が国の法律が適用される国内データセンタにデータが保存されていることは具体的にどういう場合にメリットがあるのでしょうかね。データが保管されているハードウェアを押収することができるからでしょうかね。。。

日本にクラウドサービスがあれば可用性が高いのでしょうかね。。。日本に繋がる多数の海底ケーブルが切られると(国外とのネットワークがすべて途絶した場合)可用性という観点ではまずいのでしょうね。。。

必要なセキュリティ要件を満たしているという前提の上で、議論の出発点を

  • 日本のみデータを保管しなければならない場合
  • 日本にもデータを保管しなければならない場合
  • データの保管場所には制限を設ける必要がない場合

という整理の仕方の方がしっくりくるかもですね。。。

とか、思いながら、そろそろ寝ようかと思います。。。

 

Logo

 

 

| | Comments (0)

« June 2020 | Main | August 2020 »