脳とコンピュータの結合（Brain Computer Interface）

こんにちは、丸山満彦です。

イーロン・マスク氏が2016年に創業した米Neuralink社が昨年披露したチップより大幅に改良された「LINK VO.9」（以下「LINK」）、LINKを脳に移植するための外科用ロボット、既にLINKを埋め込んだブタによるデモを披露し、話題になっていますね。。。

● IT Media
・2020.08.30 イーロン・マスクのNeuralink、脳埋め込みチップのブタでのデモで進捗報告

この記事によると、LINKは、7月に米食品医薬品局（FDA）のBreakthrough Devices Programの認定を受けていて、人間への移植準備はほぼできており、安全性のテストを重ねて許可を待っている状態のようですね。

さて、このような技術は、Brain Machine Interface (BMI)とか、Brain Computer Interface (BCI)とか言われていますが、こういう研究を一番進めているのは、米軍なんでしょうかね。。。

さて、米国ではこの発表の1日前の2020.08.27にRand研究所[wikipedia]からBCIに関する報告書が公表されています。どのような場面で活用ができそうかという話は当然として、潜在的なリスク（Potencial Risks）にも相当触れられていますね。。。

● Rand Corporation

・2020.08.27 (article) Brain-Computer Interfaces Are Coming. Will We Be Ready?

・2020.08.27 (report) Brain-Computer Interfaces - U.S. Military Applications and Implications, An Initial Assessment - by Anika Binnendijk, Timothy Marler, Elizabeth M. Bartels

・本文[Online] [PDF] [Downloaded]

目次は次の通り

 

---

Summary

Introduction
 Human-Machine Teaming
 Approach

Technology Summary
 Introduction
 Review
 Development Directions and Technical Challenges
  Development Directions
  Technical Challenges and Risks

OPERATIONAL CONSIDERATIONS
 Introduction
 BCI and the Future Warfighter
 Potential BCI Applications in Future Combat
 Existing Concepts for BCI Combat Applications

TESTING BCI CAPABILITIES THROUGH NATIONAL SECURITY GAMING
 A Projected BCI Toolbox
 Testing the Operational Relevance of BCI Capabilities
 Insights on the Use of BCI from Game Play
  Vignette 1: Clearing a Building
  Vignette 2: Ambush and Casualty Evacuation
  Additional Use Cases
  Summary of Game Findings

POTENTIAL RISKS
 Operational Vulnerabilities  
  New Potential Points of Failure
  Adversary Access to New Information
  New Areas of Exposure to Harm or Influence
 Institutional Vulnerabilities
  Trust
  Erosion of Unit Cohesion
  Erosion of Unit Leadership
 Ethical and Legal Risks
  Responsibility to the BCI Operator
  Responsibility of the BCI Operator

CONCLUSIONS AND RECOMMENDATIONS
 Summary and Primary Findings
 Recommendations
  Expand Analyses to Illuminate Operational Relevance and Vulnerabilities
  Address the Trust Deficit
  Collaborate and Anticipate
  Plan Ahead for BCI Institutional Implications

APPENDIX. GAME DESIGN AND EXECUTION
 Vignette Selection
 Game Process

NOTES
REFERENCES
ACKNOWLEDGMENTS

---

 

 

報道等

● Braking Defense
・2020.08.27 DoD Needs New Policies, Ethics For Brain-Computer Links (Jacked-In Troops?) By   THERESA HITCHENS

"BCI is not just science fiction; it has viable practical applications, but there is much more work that needs to be completed before it becomes mainstream and commercial," RAND's Tim Marler says.

Continue reading "脳とコンピュータの結合（Brain Computer Interface）"

世界の人々は自国政府がCOVID-19対策を適切に行っているかどうかをどう見ているか・・・という調査

こんにちは、丸山満彦です。

COVID-19はなかなか収束を見せようとしていませんね。。。しばらくは共存ということになるのでしょうね。。。

さて、興味深い記事がありましたので、紹介です。

各国がCOVID-19にうまく対応していると思っているか調査した結果です。。。

● AXIOS

・2020.08.28 Some countries see pandemic as unifying. Not America by Dave Lawler

↓　クリックして大きくしてください。。。

 

デンマーク、オーストラリア、カナダ、ドイツ、オランダ、韓国では比較的うまくいっていると捉えられているようです。

一方、フランス、日本、スペイン、米国、英国では、あまりうまくいっていないと捉えている人が多い感じです。特に、米国と英国はうまくいっていないと考えている人の方が多いという調査結果ですね。。。

 

なお、この記事の元記事はこちらです。

---

● Pew Reserch Center

・2020.08.27 Most Approve of National Response to COVID-19 in 14 Advanced Economies by KAT DEVLIN AND AIDAN CONNAUGHTON

But many also say their country is more divided due to the outbreak

---

 

実際の状況と比較してみてもなかなか興味深いです。。。

日頃の行いなんですかね。。。うまくいっているように見えても、そう感じてもらえない。逆に大丈夫っていう状況に外から見えるけど、うまくいっているように感じている。。。

　2020.08.30 04:28時点でのジョンホプキンス大学のダッシュボードです。

↓　クリックして大きくしてください。。。

 

最新はhttps://coronavirus.jhu.edu/map.html

で確認くださいませ。。。

 

総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表

こんにちは、丸山満彦です。

総務省と経済産業省が「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表しましたね。。。

佐藤先生、板倉先生、宍戸先生、高橋さん、日置先生、森先生、高橋さん、イエラエの林さん、Big4系ではPwCからは平岩さんが関与されていますね。。。

● 総務省

・2020.08.28「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の公表

2．公表資料

・別紙1 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」
・別紙2 「DX時代における企業のプライバシーガバナンスガイドブックver1.0概要」

 

● 経済産業省

・2020.08.28 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました

参考資料

• [PDF] DX時代における企業のプライバシーガバナンスガイドブックver1.0
• [PDF] DX時代における企業のプライバシーガバナンスガイドブックver1.0概要
• [PDF] 意見募集の結果と御意見に対する考え方

---

 

目次

1. 本ガイドブックの位置づけ

2. ガイドブックの前提
2.1. Society5.0 と企業の役割
2.2. プライバシーの考え方
2.3. 企業のプライバシーガバナンスの重要性

3. 経営者が取り組むべき三要件
3.1. プライバシーガバナンスに係る姿勢の明文化
3.2. プライバシー保護責任者の指名
3.3. プライバシーへの取組に対するリソースの投入

4. プライバシーガバナンスの重要項目
4.1. 体制の構築
 4.1.1. プライバシー保護責任者の役割
 4.1.2. プライバシー保護組織の役割
 4.1.3. 事業部門の役割
 4.1.4 内部監査部門やアドバイザリーボードなどの第三者的組織の役割
4.2. 運用ルールの策定と周知
4.3. 企業内のプライバシーに係る文化の醸成
4.4. 消費者とのコミュニケーション
 4.4.1. 組織の取組の公表、広報
 4.4.2. 消費者との継続的なコミュニケーション
 4.4.3. 問題発生時の消費者とのコミュニケーション
4.5. その他のステークホルダーとのコミュニケーション
 4.5.1. ステークホルダーへの対応
 4.5.2. プライバシー問題の情報収集
 4.5.3. その他の取組

5. （参考）プライバシーリスク対応の考え方
5.1. 関係者と取り扱うパーソナルデータの特定とライフサイクルの整理
5.2. プライバシーリスクの特定（プライバシー問題の洗い出し）
5.3. プライバシー影響評価（PIA）

6. （参考）プライバシー・バイ・デザイン

7. おわりに

参考文献

検討体制

---

■ 報道等

● DataGuidance
・2020.08.28 Japan: METI releases corporate privacy governance guidebook

 

Continue reading "総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表"

カナダのプライバシーコミッショナーがIoTに関するプライバシーガイドラインを公表してました。。。

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナーがIoTデバイス製造業者向けのプライバシーガイドラインを公表していました。。。

● Office of the Privacy Commissioner of Canada

・2020.08.20 (Announcement) New privacy guidance on the Internet of Things for manufacturers and Canadians

・・(2020.08) Privacy guidance for manufacturers of Internet of Things devices

• Introduction
• Does PIPEDA apply to you?
• PIPEDA’s privacy principles and how to apply them
• Further information about PIPEDA compliance
• A checklist of what you must do under the law and should do as a best practice
• Select References

あわせて、国民向けのガイダンスも更新されています。

・・（2020.08 改訂)  Smart devices and your privacy

• Introduction
• Get in the habit of reading privacy information
• Take control of your personal information
• Take care of security
• Security isn’t a one-time affair

---

 

米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

こんにちは、丸山満彦です。

米国司法省は、北朝鮮のサイバー攻撃者による2つの取引所のハッキングに関連した280の暗号通貨口座の没収を求める訴状を提出したと公表していますね。。。

● U.S. Department of Justice (DOJ)

・2020.08.27 (Release) United States Files Complaint to Forfeit 280 Cryptocurrency Accounts Tied to Hacks of Two Exchanges by North Korean Actors

---

WASHINGTON – The Justice Department today filed a civil forfeiture complaint detailing two hacks of virtual currency exchanges by North Korean actors.  These actors stole millions of dollars’ worth of cryptocurrency and ultimately laundered the funds through Chinese over-the-counter (OTC) cryptocurrency traders.  The complaint follows related criminal and civil actions announced in March 2020 pertaining to the theft of $250 million in cryptocurrency through other exchange hacks by North Korean actors.

          ....

            “Today’s action publicly exposes the ongoing connections between North Korea’s cyber-hacking program and a Chinese cryptocurrency money laundering network,” said Acting Assistant Attorney General Brian C. Rabbitt of the Justice Department’s Criminal Division.  “This case underscores the department’s ongoing commitment to counter the threat presented by North Korean cyber hackers by exposing their criminal networks and tracing and seizing their ill-gotten gains.”

---

司法省刑事部のブライアン・C・ラビット検事補代行は、

「今日の行動は、北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながりを公に対して明らかにするものです。」

と述べているようですね。。。

 

 

北朝鮮によるサイバー銀行強盗についての警告（BeagleBoyz Robbing Banks）

こんにちは、丸山満彦です。

米国のFBI、CISA、財務省、Cyber commandの協力により、北朝鮮によるサイバー銀行強盗についての警告（BeagleBoyz Robbing Banks）が発せられていますね。。。FAStCash2.0。

日本もターゲットになっている国の１つとして挙げられていますね。。。

いつもながら詳細です。。。

 

● Department of Homelanad Securitiy - CISA (Cybersecurity and Infrastructure Security Agency)

・2020.08.26 Alert (AA20-239A) FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks

参考

・2018.10.02 Alert (TA18-275A) HIDDEN COBRA – FASTCash Campaign

 

---

人工知能と感情知性に関する倫理（2020.07.30）

こんにちは、丸山満彦です。

「人工知能と感情知性に関する倫理」についてのペーパーがPartnership on AI [wikipedia]から出されていました。。。7月30日だから1ヶ月ほど前です。。。

関連する多くの論文等が引かれていて参考になりそうです。感情はプライバシーに深く関連してくるので、しっかりとした議論をしてコンセンサスをとっていく必要がありそうですね。。。

● Partnership on AI

・2020.07.30 (Paper) The Ethics of AI and Emotional Intelligence

・[pdf] Full paper [Downloaded]

-----

Contents

Executive Summary

Introduction

Affective Computing Definition and Language Problems

• Affective computing and AI
• Language problems in public discussions

Sensors, Inputs, Inferences and Applications

• Breadth of signals in use
• Examples of affective computing input data sources

Inferences and Applications

• Detecting, treating or assisting with disease or disability
• Agriculture
• Social robots
• Education and audience engagement
• Gaming, movies and entertainment
• Advertising and retail
• Hiring and employment
• Chatbots, call centers, and home/auto voice assistants
• Wearables and stress relief
• Automotive and industrial safety
• Threat detection/intervention and law enforcement
• Communities, politics, and social networks

Questions for Discussion

• Thinking big
• How does affective computing fit in existing frameworks?
• Human vs. machine
• Accuracy and inclusivity
• Privacy and other rights
• Autonomy and best interest
• Transparency and communications

Question Exploration as a Tool for Evaluating Ethics Risk

• Who has access to the inferences in depression detection and why does it matter?
• What are the biggest opportunities and benefits of affective computing for society?
• What are the greatest risks of affective computing for society?

COVID-19, Black Lives Matter Protests, and Affective Computing

• AI could alleviate COVID-19 mental health problems
• Social robots could help reduce human proximity and disease transmission
• The shift to remote work and education raises issues of privacy and control and may increase demand for affective computing technology
• Pandemic health monitoring and affective computing share the privacy risks of tracking biometric, health, and location data
• The Black Lives Matter protests and affective computing raise overlapping bias issues
• The Black Lives Matter protests are changing the law around law enforcement camera use and facial analysis

Conclusion

Acknowledgments

---

Continue reading "人工知能と感情知性に関する倫理（2020.07.30）"

MITRE Shield vs MITRE ATT&CK

こんにちは、丸山満彦です。

MITREも攻撃側の話としてATT＆CKが有名ですが、それに対する防御であるShieldが公表されていますね。。。ウェブの色もそれぞれATT＆CKが赤、Shieldが青ですね。。。

ATT＆CKに対するShieldとのマッピング（ATT&CK Mapping Overview ）があるのが良いですね。。。

● MITRE

・2020.08.24 (Project Story) SHIELDS UP: A GOOD CYBER DEFENSE IS AN ACTIVE DEFENSE

No one wants an adversary to penetrate their network. But when it happens, intrusion presents otherwise unavailable opportunities for cyber defenders. MITRE now offers a free resource for defenders who want to take the advantage with an active defense.

● MITRE Shield

・Active Defense Matrix

・Active Defense Tactics

ID	Name	名前	Description	概要
DTA0001	Channel	チャンネル	Guide an adversary down a specific path or in a specific direction.	敵を特定の経路または特定の方向に誘導する。
DTA0002	Collect	収集	Gather adversary tools, observe tactics, and collect other raw intelligence about the adversary's activity.	敵のツールを収集し、戦術を観察し、敵の活動に関するその他の生の情報を収集する。
DTA0003	Contain	封じ込め	Prevent an adversary from moving outside specific bounds or constraints.	敵が特定の境界や制約の外に移動するのを防ぐ。
DTA0004	Detect	検出	Establish or maintain awareness into what an adversary is doing.	敵が行っていることについての認識を確立し維持する。
DTA0005	Disrupt	混乱	Prevent an adversary from conducting part or all of their mission.	敵が任務の一部または全部を遂行することを防ぐ。
DTA0006	Facilitate	促進	Enable an adversary to conduct part or all of their mission.	敵が任務の一部または全部を遂行できるようにする。
DTA0007	Legitimize	正当化	Add authenticity to deceptive components to convince an adversary that something is real.	偽物に信頼性を追加し敵にそれが本物であると思わせる。
DTA0008	Test	テスト	Determine the interests, capabilities, or behaviors of an adversary.	敵の興味、能力、行動を見極める。

 

 

---

■ 報道等

● Dark Reading
・2020.08.24 MITRE Releases 'Shield' Active Defense Framework by Jai Vijayan

Free knowledge base offers techniques and tactics for engaging with and better defending against network intruders.

● securityweek
・2020.08.25 MITRE Introduces 'Shield' Defense Knowledge Base by Ionut Arghire 

The MITRE Corporation has taken the wraps off a knowledge base of common techniques and tactics that defenders can use to ensure their networks and assets are kept secure.

●  보안뉴스
・202008.25 마이터 코퍼레이션 새로운 방어 프레임워크, 쉴드 발표

어택과 비슷한 방어용 프레임워크...능동적 방어 전략과 기술을 모아
“공격자와의 조우는 공격자에 대해 더 잘 이해할 수 있는 기회”

● Security Lab
・2020.08.25 MITRE представила новое руководство по защите от кибератак

MITRE Shield содержит восемь разделов, посвященным различным тактикам обеспечения защиты.

 

---

・Active Defense Techniques

↓

 

Continue reading "MITRE Shield vs MITRE ATT&CK"

NISTがサイバーサプライチェーンリスクの影響分析ツールを公表していますね。。。

こんにちは、丸山満彦です。

NISTがサイバーサプライチェーンリスクの影響分析ツールを公表していますね。。。ボストンコンサルティンググループのメンバーが作成に関わっているようですね。。。

Windows版、Mac版、Linux版のインストーラーもついていますね。。。サンプルデータもあります。。。

ソースコードも公開していていますね。ライセンスについても説明がついています。。。

家のMacにはインストールしていません(^^)

● NIST - ITL

・2020.08.25 NISTIR 8272 Impact Analysis Tool for Interdependent Cyber Supply Chain Risks

・[PDF] NISTIR 8272 (DOI)

・Supplemental Material:
　・・CSRC - Source Code, Sample Data, and Installer Packages (other)
　・・GitHub - Source Code, Sample Data, and Installer Packages (pdf)

 

  

NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理

こんにちは、丸山満彦です。

NISTがクラウドコンピューティング環境でのフォレンジックの課題について整理をした文書を公開しています。2014年にドラフトが発行されてから、約6年かけて最終化されたという感じでしょうか？

色々と参考となる文献からの情報をまとめているという意味では助かりますね。。。まだ、よく読んでいませんが・・・

 

● NIST - ITL
・2020.08.25 NISTIR 8006 NIST Cloud Computing Forensic Science Challenges

・ [PDF] NISTIR 8006

---

Abstract

This document summarizes the research performed by the members of the NIST Cloud Computing Forensic Science Working Group, and aggregates, categorizes, and discusses the forensics challenges faced by experts when responding to incidents that have occurred in a cloud-computing ecosystem. The challenges are presented along with the associated literature that references them. The immediate goal of the document is to begin a dialogue on forensic science concerns in cloud computing ecosystems. The long-term goal of this effort is to gain a deeper understanding of those concerns (challenges) and to identify technologies and standards that can mitigate them.

---

 

  

Continue reading "NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理"

NIST/ITLのサイバーセキュリティプログラム年次報告書2019

こんにちは、丸山満彦です。

NIST SP.800-211はサイバーセキュリティプログラムの2019年度の年次報告書ですね。

● NIST - ITL
・2020.08.24 SP 800-211 2019 NIST / ITL Cyber​​security Program Annual Report

・[PDF] SP 800-211

米国連邦政府なので年度は10月1日から9月30日までですね。。。ということは、11ヶ月かけて公開ということで。。。

９つの重点領域について記載されていますね。1年間の活動をさっと振り返る意味ではコンパクトにまとまっていて良いですね(^^) ただし、ほぼ1年前の話......

1	Advancing Cybersecurity and Privacy Standards	サイバーセキュリティとプライバシーの標準化の進化
2	Enhancing Risk Management	リスク管理の強化
3	Strengthening Cryptographic Standards and Validation	暗号標準と検証の強化
4	Advanced Cybersecurity Research & Applications Development	先端サイバーセキュリティ研究・応用開発
5	Improving Cybersecurity Awareness, Training, and Education and Workforce Development	サイバーセキュリティについての意識向上、トレーニング、教育、人材育成
6	Enhancing Identity and Access Management	アイデンティティとアクセス管理の強化
7	Bolstering Communications and Infrastructure Protection	通信・インフラ保護の強化
8	Securing Emerging Technologies	新技術の確保
9	Advancing Security Test and Measurement Tools	セキュリティテストと測定ツールの進化

 

ちなみに、過去の年次報告書

・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

・[PDF] SP 800-206 

・2018.07.02 SP 800-203 2017 NIST/ITL Cybersecurity Program Annual Report

・[PDF] SP 800-203

1	ITL INVOLVEMENT WITH INTERNATIONAL IT SECURITY STANDARDS	国際ITセキュリティ標準へのITLの関与
2	RISK MANAGEMENT	リスク管理
3	BIOMETRIC STANDARDS AND ASSOCIATED CONFORMITY ASSESSMENT TESTING TOOLS	バイオメトリクス標準と関連する適合性評価試験ツール
4	CYBERSECURITY APPLICATIONS	サイバーセキュリティアプリケーション
5	SOFTWARE ASSURANCE & QUALITY	ソフトウェアの保証と品質
6	FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT (R&D)	連邦サイバーセキュリティ調査研究
7	COMPUTER FORENSICS	コンピュータ・フォレンジック
8	CYBERSECURITY AWARENESS, TRAINING, EDUCATION, AND OUTREACH	サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
9	CRYPTOGRAPHIC STANDARDS PROGRAM	暗号標準化プログラム
10	VALIDATION PROGRAMS	バリデーションプログラム
11	IDENTITY AND ACCESS MANAGEMENT	ID ・アクセス管理
12	RESEARCH IN EMERGING TECHNOLOGIES	新規技術の研究
13	NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCoE)	ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
14	INTERNET INFRASTRUCTURE PROTECTION	インターネットインフラ保護
15	ADVANCED SECURITY TESTING AND MEASUREMENTS	高度なセキュリティ試験と測定
16	TECHNICAL SECURITY METRICS	技術的な安全性の指標
17	USABILITY AND SECURITY	利便性とセキュリティ

 

  

 

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 

概要の比較
　↓

 

Continue reading "NIST/ITLのサイバーセキュリティプログラム年次報告書2019"

ドイツ連邦内務省に革新的なサイバーセキュリティ技術の開発を促進する「サイバーセキュリティ革新機構」ができてました。。。

こんにちは、丸山満彦です。

ドイツ連邦内務省（Bundesministerium des Innern [wikipedia(de)]）に革新的なサイバーセキュリティ技術の開発を促進する「サイバーセキュリティ革新機構（die Agentur für Innovation in der Cybersicherheit GmbH („Cyberagentur“））」ができてました。。。

ドイツには、BSIで知られる„Bundesamt für Sicherheit in der Informationstechnik” [wikipedia(de)]（連邦情報セキュリティ局）があるわけですが、こちらは標準の開発や認証が中心で、今回のCyberagenturは技術開発の促進という違いですかね。。。

2018年に発表された「ハイテク戦略2025（Hightech-Strategie 2025 ）」[PDF]に記載があるようですね。。。

 

● ドイツ連邦内務省 Bundesministerium des Innern (BMI)

・2020.08.11 (Press) Startschuss für die Cyberagentur

Wichtiger Schritt zu größerer Technologie-Souveränität

---

 

■ 報道等

● tagesschau.de
・2020.08.11 Neue BundesbehördeOffizieller Startschuss für Cyberagentur

Die Bundesregierung hat die offizielle Gründungsurkunde für eine neue Cyberagentur unterzeichnet. Sie soll Deutschland vor digitalen Angriffen schützen - muss nun aber erstmal geeignetes Personal dafür finden.

● MDR
・2020.08.11 Im Juni gegründet – jetzt offiziell: Cyberagentur startet in Halle

In Halle hat die neue Cyberagentur des Bundes ihre Arbeit aufgenommen. Das teilte jetzt das Bundesinnen- und das Verteidigungsministerium am Dienstag mit. Schon im Juni waren die Gründungsurkunde unterzeichnet und die beiden Geschäftsführer benannt worden. Insgesamt sollen etwa 100 Beschäftigte in der Agentur arbeiten.

● dw 
・2020.08.11 Bundesregierung bringt Cyberagentur auf den Weg

Eine neue Bundesagentur soll die Cybersicherheit in Deutschland stärken: Die Bundesregierung gab mit der Unterzeichnung der Gründungsurkunde den Startschuss für die neue Cyberagentur. Sie soll in Halle/Saale residieren.

 

 

AIがDARPAドッグファイトシミュレーションでトップレベルのF-16パイロットを倒す?

こんにちは、丸山満彦です。

AIがDARPAドッグファイトシミュレーションでトップレベルのF-16パイロットを倒したようですね。。。

戦闘機に要求される条件も変わってくるのかもしれませんね。。。

● YouTube - DARPA chanel

・2020.08.22 AlphaDogfight Trials Final Event

人間とAIの戦いは4時間40分ごろくらいからですね。。。。

 

● Braking Defense

・2020.08.20 AI Slays Top F-16 Pilot In DARPA Dogfight Simulation

"It's a giant leap," said DARPA's Justin (call sign "Glock") Mock.

 

 

● このブログ

・2020.08.10 AIと将来の軍事力についての中国の視点

・2020.06.16「米海兵隊はAIを理論から実践に移す」というブログ

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

・2020.05.04 米国国防省と人工知能（戦略と倫理）

・2020.02.13 無人兵器・・・人工知能はついているかも・・・

 

総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見募集の結果及び当該ガイドラインの公表

こんにちは、丸山満彦です。

えらい時間がかかりましたですね。。。

総務省の「[PDF] クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン（第1版）」と経済産業省の「[PDF] 医療情報を受託管理する情報処理事業者における安全管理ガイドライン（第2版） 」を見直してガッチャンこした「[PDF] 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」が確定しましたね。。。

● 総務省

・2020.08.21「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見募集の結果及び当該ガイドラインの公表

• 別紙1：[PDF] 医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会構成員
• 別紙2：[PDF] 提出された意見一覧
• 別紙3：[[PDF] 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
• 別添3-1：[PDF] ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書（SLA）参考例
• 別添3-2：[PDF] 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表
• 別紙4：[PDF] 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ
  
  
• 参考1：「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集
• 参考2：[PDF] 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要

 

● 経済産業省

・2020.08.21「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見募集の結果及び当該ガイドラインを取りまとめました

• [PDF] 別紙1：医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会構成員
• [PDF] 別紙2：提出された意見一覧
• [PDF] 別紙3：医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
• [PDF] －別添3-1：ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書（SLA）参考例
• [PDF] －別添3-2：旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表
• [PDF] 別紙4：医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ
  
  
• 参考1：「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集
• [PDF] 参考2：「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要

 

---

● まるちゃんの情報セキュリティきまぐれ日記

・2020.03.06　「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集

---

 

 

---

米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。

こんにちは、丸山満彦です。

米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。過去に４巻出していますが、これが最後のようです。。。

しかし、毎回膨大な報告書です・・・

● U.S. Senate - Select Committee on Intelligence

・2020.08.18 Rubio Statement on Senate Intel Release of Volume 5 of Bipartisan Russia Report

　・[YouTube] Sen. Rubio Discusses Vol. 5 of Senate Intel Committee's Bipartisan Russia Investigation

・2020.08.18 (Release) Senate Intel Releases Volume 5 of Bipartisan Russia Report

　・[PDF]  Volume 5: Counterintelligence Threats and Vulnerabilities

ちょっと意訳。。。

Key Findings:

• 委員会は、2016年の大統領選挙の結果にロシア政府が影響を与える、または与えようとする積極的かつ多面的な活動をしていたことを発見した。
  
  
• ウィキリークスは、ロシアの影響力キャンペーンに積極的に参画し、重要な役割を果たしていた。また、ウィキリークスはそれがロシアの諜報機関の影響力活動を支援していることを認識していた。
  
  
• FBIは、スティール氏の過去の報道記録を十分に理解しないままそれに基づいて、スティール文書を不当に信用した。FBIはFISA申請や更新の際にこの文書を使用し、スティール氏の信頼性についての過程を検証するために必要な手順を実行する前に、諜報機関のコミュニティ評価に含めるよう主張した。
  
  
• FBIには、民主党全国委員会の組織内でハッキングに関する警告をエスカレートさせるための正式なまたは検討されたプロセスがなかった。
  
  
• 委員会は、2016年6月9日に行われたトランプ陣営幹部との会談に参加した少なくとも2人の参加者、ナタリア・ベセルニツカヤ氏とリナト・アクメトシン氏が、ロシアの諜報機関を含むロシア政府との重要なつながりを持っていると評価している。 しかし、委員会は、キャンペーンに利益をもたらす情報がこの会合で伝達されたという信頼できる証拠や、当時のトランプ候補がこの会合を予知していたという証拠は何も見つけられなかった。
  
  
• 委員会は、2016年4月27日にメイフラワーホテルで行われたトランプ大統領の演説中に、トランプキャンペーンに関係する人物がロシア大使セルゲイ・キスリャック氏と実質的な私的な会話をしたという証拠を見つけられなかった。
  
  
• ポール・マナフォート氏のトランプ・キャンペーンでの存在と、当時のトランプ候補との接近は、ロシアの諜報機関がトランプ・キャンペーンに影響力を行使し、トランプ・キャンペーンの機密情報を入手する機会を作り出した。
  
  
• ジョージ・パパドプロス氏はロシアの諜報機関の諜報関連の協力者ではなかったが、それでもなお、ロシアの悪質な影響力の主要な諜報目標と潜在的なベクトルを提示した。
  
  
• ロシアは、移行チームの政府における比較的経験の浅いメンバー、オバマ政権の政策への反対、およびロシアとの関係を深めてロシアが外交を行うことができる非公式のチャネルを追求したいというトランプの願望を利用した。

 

過去のreportsです。

• “Volume I: Russian Efforts Against Election Infrastructure”
• “Volume II: Russia’s Use of Social Media”
• “Volume III: U.S. Government Response to Russian Activities”
• “Volume IV: Review of the Intelligence Community Assessment”
• Additional declassifications of “Volume IV: Review of Intelligence Community Assessment”

 

---

■ 報道

● govinfosec

・2020.08.18 Final Report: More 2016 Russian Election Hacking Details by Doug Olenick

Fifth Senate Report Describes DNC Intrusions, Investigative Mishaps

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた
　

 

Continue reading "米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。"

NISTはAIに自己説明を求める？（説明可能な人工知能の4原則）

こんにちは、丸山満彦です。

NISTが説明可能な人工知能の4原則のドラフトを公表し意見を募集していますね。。。

● NIST

・2020.08.18 (News) NIST Asks A.I. to Explain Itself

Technical agency proposes four fundamental principles for judging how well AI decisions can be explained.

・[PDF] Draft NISTIR 8312 Four Principles of Explainable Artificial Intelligence 

---

Abstract

We introduce four principles for explainable artificial intelligence (AI) that comprise the fundamental properties for explainable AI systems. They were developed to encompass he multidisciplinary nature of explainable AI, including the fields of computer science, engineering, and psychology. Because one size fits all explanations do not exist, different users will require different types of explanations. We present five categories of explanation and summarize theories of explainable AI. We give an overview of the algorithms in the field that cover the major classes of explainable algorithms. As a baseline comparison, we assess how well explanations provided by people follow our four principles. This assessment provides insights to the challenges of designing explainable AI systems.

---

 

４つの原則とは

1. Explanation: 
   AI systems should deliver accompanying evidence or reasons for all outputs.
   
   
2. Meaningful: 
   Systems should provide explanations that are understandable to individual users.
   
   
3. Explanation Accuracy: 
   The explanation should correctly reflect the system’s process for generating the output.
   
   
4. Knowledge Limits: 
   The system only operates under conditions for which it was designed or when the system reaches a sufficient level of confidence in its output.

ざっというと

1. 説明：
   AIシステムは、全ての出力に付随する証拠や理由を提供する必要がある。
2. 有意味：
   システムは、個々の利用者が利用できる説明を提供する必要がある。
   
   
3. 説明の正確性：
   説明は、出力を生成するためのシステムプロセスを正しく反映している。
   
   
4. 知識の限界：
   システムは、それが設計された条件下でのみ又は、システムがその出力が十分に信頼できる状況になった場合にのみ動作する。
   
   

という感じでしょうかね。。。

目次です。

---

Table of Contents

1 Introduction

2 Four Principles of Explainable AI
 2.1 Explanation
 2.2 Meaningful
 2.3 Explanation Accuracy
 2.4 Knowledge Limits

3 Types of Explanations

4 Overview of principles in the literature

5 Overview of Explainable AI Algorithms
 5.1 Self-Explainable Models
 5.2 Global Explainable AI Algorithms
 5.3 Per-Decision Explainable AI Algorithms
 5.4 Adversarial Attacks on Explainability

6 Humans as a Comparison Group for Explainable AI
 6.1 Explanation
 6.2 Meaningful
 6.3 Explanation Accuracy
 6.4 Knowledge Limits

7 Discussion and Conclusions

References

---

 

Continue reading "NISTはAIに自己説明を求める？（説明可能な人工知能の4原則）"

SaaSのセキュリティは重要となりますが、アプリが多いので大変ですよね。。。

こんにちは、丸山満彦です。

CSAのブログでSaaSのセキュリティ：Salesforce編が掲載されていますね。セキュリティといってもアクセス管理の話ですが、重要なパーツですよね。にしても、アプリが多いので、アプリ毎にアクセス管理機能と方法が違うので、対応が大変ですね。SaaSのセキュリティ機能の実装○×表のようなものが流通するのでしょうね。。。

日本にはASP・SaaS情報開示認定制度があります。。。

 

● CSA - blog

・2020.08.19 SaaS Security Series: Understanding Salesforce Administrative Permissions By the AppOmni Team

Working GroupにSaaS Governanceがありますね。。。

 

---

※　参考

 ASP・SaaS情報開示認定制度

・認定サービス一覧

 

FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加

こんにちは、丸山満彦です。

11月3日の一般投票に向けて、色々と気にかけないといけないんでしょうね。。。

選挙は民主主義の根源であるだけでなく、大統領の権限の大きさを考えると、そこに不適切な影響がおよぶと問題ということでしょうね。。。

● FBI

・2020.08.19 FBI Los Angeles Participates in National Messaging Campaign to Educate Citizens About Election Security and Foreign Malign Influence in Advance of the November Election

FBIの役割を記載していますね。。。

---

The FBI is the primary investigative agency responsible for engaging with election security counterparts to coordinate strategies and to safeguard election integrity. The FBI is also the lead federal agency for identifying and combating malign foreign influence operations targeting our democratic institutions and values through the FBI’s Foreign Influence Task Force (FITF). The FITF brings together all FBI authorities and capabilities from multiple divisions to include Counterintelligence; Cyber; Criminal; and Counterterrorism.

---

 

ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

こんにちは、丸山満彦です。

ロシア語なので機械翻訳をして読んでいるので本当のところはよくわからないのですが、、、ロシア連邦安全保障理事会のページでインターネットガバナンスについて議論がされたことが記載されていますね。国連の場でインターネットガバナンスを議論して、インターネットを米国支配から解放しろということなんですかね。。。かたやインターネットをロシアだけで完結するための実験（※）をしつつ・・・

● Совет Безопасности Российской Федерации
　(ロシア連邦安全保障理事会 )

・2020.08.12 Дмитрий Медведев провел совещание по вопросу участия Российской Федерации в разработке комплекса международных мер по созданию режима равных прав в управлении сети интернет
　（ドミトリー・メドベージェフは、インターネットガバナンスにおける平等な権利の体制を構築するための一連の国際的な措置の開発へのロシア連邦の参加についての会議を開催した）

メドベージェフさんの発言を複数の機械翻訳を使って意訳してみました（むしろ不正確になっているかも・・・）

---

Сейчас США полностью контролируют управление доменными именами и определение IP-адресов. Так сложилось, но так быть не должно. Последние решения администрации Д.Трампа в отношении владельцев социальных сервисов и видеоприложений из КНР показывают, что США намерены и дальше жестко проводить свою политику в интернете в своих интересах. Это доказывает, что ни пользователи Сети, ни бизнес, ни государства не могут быть уверены в том, что их права и интересы будут должным образом защищены.

米国は現在、ドメイン名の管理とIPアドレスの決定に関して完全に管理しています。今はそうであるが、そうあるべきではない。
中国のソーシャルサービスや動画アプリの所有者についてのトランプ政権の最近の決定は、米国が今後もインターネットに関する政策を自国の利益のために厳格に追求していこうとする意向を示している。
このことは、インターネットの利用者、ビジネス、国にとっても自らの権利と利益が正当に保護されること確認できないことを明らかにしている。

---

で、最後の部分

---

Учитывая остроту проблемы, Дмитрий Медведев обратил внимание коллег на то, что необходимо ускорить обсуждение общих подходов к системе управления интернетом на международных площадках, включая ООН.

メドベージェフ氏は、問題の重要性に鑑みて、国連を含む交際的な場で、インターネットガバンスシステムに関する共通のアプローチの議論を加速させる必要性を強調した。

---

 

 

※ ロシアのインターネットの分離についてのニュース

● Forbes Japan
・2019.12.27 ロシアが「インターネット遮断実験」に成功、情報統制を強化 by Emma Woollacott

● TechCrunch Japan
・2019.12 27 ロシアが独自の内部インターネットのテストを開始 by Devin Coldewey

 

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

● IDF - Column

・2020.08.17 第６２７号コラム：「若者のサイバー犯罪を無くしたい。。。」

 

若者がサイバー犯罪の被害者にならないようにすることはもちろん重要ですが、逆に加害者にならないようにすることも重要という思いです。。。

ーーーーー

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

＃	No	Date	Title
23	627	2020.08.17	若者のサイバー犯罪を無くしたい。。。
22	600	2020.02.03	デジタルフォレンジックスと多様性
21	578	2019.08.26	未来を考えようと思うとき、人は過去を振り返る
20	551	2019.02.11	とらわれずに物事をみつめる
19	521	2018.07.09	ＡＩは科学捜査を騙せるか？
18	493	2017.12.18	セキュリティ・デバイド？
17	474	2017.08.07	『デジタル・フォレンジック』という言葉を今更考える
16	451	2017.02.20	相手を知ることが重要
15	425	2016.08.15	本質を理解する
14	383	2015.10.12	名ばかりCSIRTで良いのか？
13	357	2015.04.13	ＩｏＴ時代は明るいか暗いか
12	335	2014.11.03	頭を下げるのは社長です
11	308	2014.04.30	標的型攻撃には内部不正対応が重要？
10	286	2013.11.14	セキュリティガバナンスはできる範囲だけやればよいのか？
09	261	2013.05.23	セキュリティの基本はずっとかわっていない
08	240	2012.12.25	さらに組織化が進むサイバー攻撃集団
07	207	2012.05.10	外部から侵入されている想定で情報セキュリティを考える
06	173	2011.09.08	想定外に対応するのが危機管理ではないか
05	139	2011.01.13	データ分析を使った不正発見手法
04	131	2010.11.11	発見的統制の重要性
03	084	2009.12.10	クラウドコンピューティングがもたらす光と影
02	058	2009.06.11	不正をさせない
01	021	2008.09.25	ニーズとシーズ、目的と手段

 

米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

こんにちは、丸山満彦です。

米国GAOが「国土安全保障省（DHS）と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある」と報告していますね。推奨事項は15項目あります。。。

● U.S. GAO
・2020.08.18 DHS and Selected Agencies Need to Address Shortcomings in Implementation of Network Monitoring Program

・[PDF] Highliths

・[PDF] Full Report

2013年にDHSは、政府のネットワークやシステムのサイバーセキュリティを強化するために、政府機関が政府のネットワークを継続的に監視するためのツールを提供し、運用する「継続的な診断・緩和プログラム（Continuous Diagnostics and Mitigation (CDM) program
）※1」を作ったのですが、運用コストも含めると2031年までに約109億ドル（約1兆2000億円）かかるようです※2。これは、各省庁が脆弱性を特定し、優先順位をつけて緩和するための機能を各省庁に提供するものです。ところが、15も推奨事項もあったということですね。。。

Continuous Diagnostics and Mitigation Program Data Flow from Agencies to the Federal Dashboard

 

※1 CDM Program

● DHS - CISA
・2013.08.12 CONTINUOUS DIAGNOSTICS AND MITIGATION (CDM)

● DHS - CISA - US-CERT
・Continuous Diagnostics and Mitigation (CDM)

● U.S. General Services Administration
・Continuous Diagnostics & Mitigation (CDM) Program

-----

---

 

※2

・[PDF] Full Report (6-7 /52 pages)

To establish the CDM program, in August 2013, DHS, in partnership with the General Services Administration (GSA), implemented a contracting vehicle intended to provide a government-wide set of continuous monitoring tools and services at a reduced cost to participating agencies. 

As of January 2020, DHS estimated that the total costs of the CDM program through 2031 would be $10.9 billion.

The $10.9 billion estimate includes costs for DHS to manage the CDM program and costs for agencies to operate and maintain tools.

CDMプログラムを確立するために、2013年8月、DHSは一般サービス庁（GSA）と協力して、政府全体の継続的な監視ツールとサービスのセットを参加機関に低コストで提供することを目的とした契約手段を導入しました。

2020年1月の時点で、DHSは、2031年までのCDMプログラムの総コストを109億ドルと見積もっています。

この109億ドルの見積もりには、DHSがCDMプログラムを管理するための費用とツールを運用・維持するための機関のコストが含まれる。

 

Continue reading "米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある"

ISACAとCSAがクラウドの監査に関する戦略的パートナーシップを締結したようですね。。。

こんにちは、丸山満彦です。

ISACAとCSAがクラウドの監査に関する戦略的パートナーシップを締結したようですね。。。

クラウド監査の知識に関する認定（Certificate of Cloud Auditing Knowledge : CCAK）で既に協力していたので、早晩こういう話はあると思っていました・・・

● ISACA
・2020.08.17 (Press) Cloud Security Alliance, ISACA Announce Strategic Partnership to Reinvent Cloud Auditing and Assurance

● Cloud Security Alliance
・2020.08.17 (Press) Cloud Security Alliance, ISACA Announce Strategic Partnership to Reinvent Cloud Auditing and Assurance

 

INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。

こんにちは、丸山満彦です。

INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。

● INTERPOL

・2020.08.14 Online crime in Africa a bigger threat than ever before, INTERPOL report warns

・[PDF] Online African Organized Crime from Surface to Darkweb

 

アフリカのネット環境はよくないがオンライン犯罪は増えているようですね。。。犯罪者はネットにより投資ができるということですかね。。。

オンラインの犯罪が増加しているのは、サイバー犯罪と戦うための包括的なポリシーと戦略を多くの国が持っていないからと主張しているようですね。

 

---

アフリカの組織犯罪に対応した活動↓

● Project ENACT

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.07 INTERPOLが「急成長しているアフリカのモバイルマネー業界に犯罪者が深く広く入り込んでいる」という報告書を出していますね。。。

Continue reading "INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。"

FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

こんにちは、丸山満彦です。

FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

Drovorub は、

• カーネル・モジュール・ルートキット
• ファイル転送およびポート転送ツール
• コマンド・アンド・コントロール (C2) サーバー

と結合したインプラントで構成される Linuxマルウェア・ツールセットとのことです。。。

被害者のマシンに配備されると、攻撃者が制御するC2基盤との直接通信機能が装備され、

• ファイルのダウンロードとアップロード
• 任意のコマンドの実行
• ネットワーク上の他のホストへのネットワークトラフィックのポート転送
• 検出を回避するための隠蔽技術

実装されるとのことです。。。

PDFが詳細です。。。（読んでいませんが・・・）

● FBI

・2020.08.13 (Publication) NSA and FBI Expose Russian Previously Undisclosed Malware Drovorub in Cybersecurity Advisory

The National Security Agency (NSA) and the Federal Bureau of Investigation (FBI) released a new cybersecurity advisory about previously undisclosed Russian malware.

・[PDF] Cybersecurity Advisory - Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware

TABLE OF CONTENTS

Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware

Notices and history
 Disclaimer of Warranties and Endorsement
 Sources and Methods

Publication Information
Purpose
Contact Information
Trademark Recognition

Executive Summary

List of Figures

List of Tables

Introduction
 What is Drovorub? 
 Drovorub-server
 Drovorub-client 
 Drovorub-kernel module
 Drovorub-agent

Attribution
 Why is the malware called “Drovorub”, and what does it mean?

Drovorub Technical Details
 Drovorub Components Configuration
  Drovorub-server Configuration
  Drovorub-client Configuration
  Drovorub-agent Configuration
 Drovorub Implant Operation
  Drovorub-client and Drovorub-kernel module Installation
  Linux Kernel Module Persistence
  Network Communications
  Host-based Communications
  Evasion
 Detection
  Detection Methodologies
  Memory Analysis with Volatility
  Drovorub-kernel Module Detection Method
  Snort Rules
  Yara Rules
 Preventative Mitigations
  Apply Linux Updates
  Prevent Untrusted Kernel Modules

Works Cited

 

---

 

■ 報道等

● xakep
・2020.08.14 НОВОСТИ ФБР и АНБ обнаружили Linux-малварь Drovorub, якобы созданную российскими спецслужбами by Мария Нефёдова 

●

FedRAMP パブコメ コンテナの展開と使用のための脆弱性スキャン要件

こんにちは、丸山満彦です。

FedRAMPが「コンテナの展開と使用のための脆弱性スキャン要件」についてパブコメを募集していますね。。。

コンテナ技術を使用するクラウドシステムの脆弱性スキャンに特有のプロセス、アーキテクチャ、およびセキュリティ上の考慮事項に関連するFedRAMPへの準拠について説明する文書のようですね。

参考とされているNIST SP 800-190はIPAによる日本語訳もありますね。。。

● FedRAMP

・2020.08.14 Requesting Public Comment on Vulnerability Scanning Requirements for the Deployment and Use of Containers

・[PDF] FEDRAMP VULNERABILITY SCANNING REQUIREMENTS FOR THE DEPLOYMENT AND USE OF CONTAINERS Draft Version 1.0

---

TABLE OF CONTENTS

1. Purpose
2. Background
3. Scanning Requirements for Systems Using Container Technology
4. Transition Plan

---

2. Background

The FedRAMP Vulnerability Scanning Requirements for the Deployment and Use of Containers bridges the vulnerability scanning compliance gaps between traditional cloud systems and containerized cloud systems.

The requirements described in this document are part of the FedRAMP Continuous Monitoring Strategy Guide and FedRAMP Vulnerability Scanning Requirements. The vulnerability scanning requirements for containerized systems serve to supplement and update existing requirements defined in those documents.

Container technology can be deployed on bare metal or virtual machines, on-premise systems, or within elastic cloud environments. Various container orchestration tools are typically used to enable deployment and management of distributed containers at scale. Some of most common characteristics of container technology are : ¹

• Containers run as a single application;
• Containers are deployed in hyperscale systems;
• Containers have network connections that are host independent;
• Containers are elastic and sometimes ephemeral in nature; and
• Container upgrades occur on a source image in a secure staging environment.

Important risks and threats relative to the use of containerization technology include:

• Unvalidated external software
• Non-standard configurations
• Unmonitored container-to-container communication
• Ephemeral instances that are not tracked
• Unauthorized access

The security requirements listed within this document facilitate a CSP’s ability to leverage container technology while maintaining compliance with FedRAMP. The intent of the following security requirements are to ensure that risks relative to the use of container technology are mitigated or otherwise addressed (including but not limited to those listed in bullet-point form above). The requirements apply broadly and FedRAMP recognizes that certain implementations may call for alternative measures to address risk.

¹ The characteristics, risks, and terms contained in this document are derived from the NIST SP 800-190, Application Container Security Guide (published September 2017), and industry input.

---

■ 参考

● FedRAMP

・2018.03.20 [PDF] FedRAMP Vulnerability Scanning Requirements Version 1.0
・2018.02.21 [PDF] FedRAMP Continuous Monitoring Performance Management Guide Version 2.1

● NIST

・2017.09.25 (Publication) SP 800-190 Application Container Security Guide
　・[PDF] SP 800-190 (DOI)
　・[PDF] SP 800-190 Japanese translation (unofficial--from IPA, Japan)

・2017.10.11 (Publication) NISTIR 8176 Security Assurance Requirements for Linux Application Container Deployments
　・[PDF] NISTIR 8176 (DOI)

・2017.10.24 (Publication) ITL Bulletin NIST Guidance on Application Container Security
　・[PDF] NIST GUIDANCE ON APPLICATION CONTAINER SECURITY

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2012.02.26 FedRAMP　（クラウドサービスのセキュリティ評価の標準アプローチ）

 

カナダのプライバシーコミッショナーが企業向けの新しいプライバシーガイドを公開

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナーが企業向けの新しいプライバシーガイドを公開していますね。。。

ガイドラインには、

• 義務違反の報告の要件
• 意味のある同意を得るためガイドライン

が含まれていますね。

また、

• OPCのアドバイザリーサービスの概要
• 企業が新しいプログラムのプライバシーへの影響に関する支援・助言等を入手する方法
• プライバシーを日々適切に管理するためのヒント
• オンライン環境に関する実用的で実用的な助言

が含まれているようです。。。

 

● Office of the Privacy Commissioner of Canada (OPC)

・2020.08.13 (Announcement) OPC publishes new Privacy Guide for Businesses

The Office of the Privacy Commissioner of Canada (OPC) is making it easier for businesses to protect their customers’ privacy with the newly updated Privacy Guide for Businesses.

・[PDF]

---

Table of Contents

Overview
 Role of the Office of the Privacy Commissioner of Canada
 PIPEDA in brief
 How the Act applies
 What is personal information?
 What is not covered by PIPEDA?
 Your responsibilities under PIPEDA

Fair information principles
 1 . Be accountable
 2 . Identify the purpose
 3 . Obtain valid, informed consent
 4 . Limit collection
 5 . Limit use, disclosure and retention
 6 . Be accurate
 7 . Use appropriate safeguards
 8 . Be open
 9 . Give individuals access
 10 . Challenging compliance

Dealing with a breach
 Real risk of significant harm
 What your breach reporting records should contain

Complaints to the Privacy Commissioner of Canada
 Complaint process
 Audits

Applying for a hearing to the Federal Court
Canada’s anti-spam legislation and PIPEDA
Advisory services for businesses

---

 

NIST SP 800-207 Zero Trust Architecture

こんにちは、丸山満彦です。

NIST SP 800-207 Zero Trust Architectureが最終化しましたね。

● NIST - ITL

・2020.08.11 (publication) SP 800-207 Zero Trust Architecture

・[PDF] SP 800-207 (DOI)

Supplemental Material:
・ZTA project at NCCoE (web)

---

Abstract

Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources. A zero trust architecture (ZTA) uses zero trust principles to plan industrial and enterprise infrastructure and workflows. Zero trust assumes there is no implicit trust granted to assets or user accounts based solely on their physical or network location (i.e., local area networks versus the internet) or based on asset ownership (enterprise or personally owned). Authentication and authorization (both subject and device) are discrete functions performed before a session to an enterprise resource is established. Zero trust is a response to enterprise network trends that include remote users, bring your own device (BYOD), and cloud-based assets that are not located within an enterprise-owned network boundary. Zero trust focuses on protecting resources (assets, services, workflows, network accounts, etc.), not network segments, as the network location is no longer seen as the prime component to the security posture of the resource. This document contains an abstract definition of zero trust architecture (ZTA) and gives general deployment models and use cases where zero trust could improve an enterprise’s overall information technology security posture.

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

  

Continue reading "NIST SP 800-207 Zero Trust Architecture"

プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

こんにちは、丸山満彦です。

2020.07.16のプライバシーシールド無効の判決（判決文）を受けて、米国商務長官Wilbur Rossと欧州司法長官Didier Reyndersが共同プレス声明を出していますね。

何が言いたいのかちょっと分かりにくいのですが。。。

● U.S. Department of Commerce
・2020.08.10 Joint Press Statement from U.S. Secretary of Commerce Wilbur Ross and European Commissioner for Justice Didier Reynders

 

● European Commission

・2020.08.10 Joint Press Statement from European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Wilbur Ross

 

---

The U.S. Department of Commerce and the European Commission have initiated discussions to evaluate the potential for an enhanced EU-U.S. Privacy Shield framework to comply with the 16 July judgement of the Court of Justice of the European Union in the Schrems II case. This judgement declared that this framework is no longer a valid mechanism to transfer personal data from the European Union to the United States.

The European Union and the United States recognise the vital importance of data protection and the significance of cross-border data transfers to our citizens and economies. We share a commitment to privacy and the rule of law, and further deepening of our economic relationship, and have collaborated on these matters for several decades.

As we face new challenges together, including the recovery of the global economy after the COVID-19 pandemic, our partnership will strengthen data protection and promote greater prosperity for our nearly 800 million citizens on both sides of the Atlantic.

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.26 欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

・2020.07.21 プライバシーシール無効判決後のアメリカとイギリス

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜すby EU裁判所

 

 

スウェーデンデータ保護局 公共交通機関のビデオ監視についてのガイドライン

こんにちは、丸山満彦です。

スウェーデンのデータ保護局が公共交通機関のビデオ監視についてのガイドラインを公表していますね。

● Datainspektionen

・Kamerabevakning i kollektivtrafiken

詳しくはないのですが、2020年8月1日以降、公共交通機関の事業者は例外事項に当てはまればカメラ監視の許可を申請する必要がなくなったようですね。。。

ただ、この例外事項は、監視が犯罪防止の目的で行われる場合、または公序良俗、安全または事故の妨害を防止または検出する場合にのみ適用されるようですね。そこで、ガイドラインを作成することになったのだろうと思います。

重要なポイントは

• 監視の必要性が、公共交通機関で監視される個人の監視に伴うプライバシーへの影響を上回る必要がある。
• 長時間過ごすであろ公共交通機関のいくつかの場所（待合室や平均旅行時間が長いバス路線など）では、監視が合法であるには説得力のある理由が必要である。
• 監視していることについてわかりやすい標識等で監視、責任者、連絡手段について通知する必要がある。
• 監視カメラのビデオは保存が可能だが、音声の録音は許可されていない。
• 記録されたデータは保護されなければならない。

 

---

■ 報道等

● Fox Rothschild LLP
・2020.08.11 Sweden: Privacy Guidance for Video Surveillance on Public Transit by Odia Kagan

 

英国 AIを活用した犯罪予想システムの開発を断念。。。

こんにちは、丸山満彦です。

英国の内務省(Home office [wikipedia] )がAIを活用した犯罪予想システム、Most Serious Violence (MSV) の開発を断念したようですね。。。

● WIRED-UK

・2020.08.06 Police built an AI to predict violent crime. It was seriously flawed by MATT BURGESS

A Home Office-funded project that used artificial intelligence to predict gun and knife crime was found to be wildly inaccurate

そもそも、直感的には実用に耐えれるものが作れるように思わないのだが・・・

2018年当時の記事

● New Scientist

・2018.11.26 Exclusive: UK police wants AI to stop violent crime before it happens by Chris Baraniuk

 

---

 

オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

こんにちは、丸山満彦です。

8月6日にオーストラリア政府 内務省が「サイバーセキュリティ戦略2020」を公表していました。

● AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

 

2016年の「[PDF] サイバーセキュリティ戦略」に続くものですね。

 

10年間で16億7千万ドル（約1,250億円 75¥/AU$）を投資するようです。何に投資するのかということですが、次の項目のようですね。。。

• 政府：サイバー脅威から国民、企業、重要インフラの保護を強化する
• 企業：製品とサービスの保護を通じて既知の脆弱性から顧客を保護する
• コミュニティ：オンライン上での安全な行動を実践し、適切な情報に基づいた決定を行う

本文を読むと、サイバー犯罪対策に力をいれる感じですね。Darkwebについても触れられていますね。。。中小企業対策についても触れられています。どこの国も課題はよく似ているのでしょうね。。。

時間があったら、米国、UK、日本、中国、オーストラリア、シンガポール、カナダなどの国のサイバー戦略を並べてみたいですね（存在すら網羅的に確認していないけど・・・）

---

Table of Contents

Minister’s foreword
Australia’s Cyber Security Strategy 2020: At a glance
Overview
The threat environment
Consultation
Our strategy
Our response
Action plan
Implementation and measuring progress
Appendix A: Cyber Security Strategy 2020 Funding Commitments

---

Australia’s Cyber Security Strategy 2020: At a glance

Vision
A more secure online world for Australians, their businesses and the essential services upon which we all depend.

Approach
This vision will be delivered through complementary actions by governments, businesses and the community.

Cyber threats continue to evolve rapidly
— Cyber security threats are increasing. Nation states and state-sponsored actors and criminals are exploiting Australians by accessing sensitive information and for financial gain.
— Criminals are using the dark web to buy and sell stolen identities, illicit commodities, and child exploitation material, as well as to commit other crimes.
— Encryption and anonymising technologies allow criminals, terrorists and others to hide their identities and activities from law enforcement agencies.
— Cyber criminals want to take advantage of the fact that Australians are more connected than ever before.

Strong foundations
This Strategy builds on the 2016 Cyber Security Strategy, which invested $230 million to advance and protect Australia’s interests online.

Highlights
This Strategy will invest $1.67 billion over 10 years to achieve our vision. This includes:
— Protecting and actively defending the critical infrastructure that all Australians rely on, including cyber security obligations for owners and operators.
— New ways to investigate and shut down cyber crime, including on the dark web.
— Stronger defences for Government networks and data.
— Greater collaboration to build Australia’s cyber skills pipeline.
— Increased situational awareness and improved sharing of threat information.
— Stronger partnerships with industry through the Joint Cyber Security Centre program.
— Advice for small and medium enterprises to increase their cyber resilience.
— Clear guidance for businesses and consumers about securing Internet of Things devices.
— 24/7 cyber security advice hotline for SMEs and families.
— Improved community awareness of cyber security threats.

---

 

DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書（少し前ですが・・・）

こんにちは、丸山満彦です。

Deepfakeについての公表物がいくつかあるので、備忘録・・・

Deepfakeを作る技術と見破る技術のイタチごっこ, cat-and-mouse gameが続くのでしょうね。。。

映画とかでは面白い技術とは思いますが、SNSで作為を持って流されるなども考えられるので、何らかの規制が将来は必要となるかもしれませんね。。。

 

いくつか並べてみましたが、NATOとCSETの著者は同じでTim Hwang氏ですね。。。

● NATO Strategic Communications Center of Excellence Riga、Latvia

・2020.06.05 New study offers insight into future of deepfake technology

・[PDF] Deepfakes - Primer and Forecast by Tim Hwang

 

● CENTER for SECURITY and EMERGING TECHNOLOGY (CSET)

・2020.07 (Analysis) Deepfakes: A Grounded Threat Assessment by Tim Hwang

・[PDF] Deepfakes: A Grounded Threat Assessment

The rise of deepfakes could enhance the effectiveness of disinformation efforts by states, political parties and adversarial actors. How rapidly is this technology advancing, and who in reality might adopt it for malicious ends? This report offers a comprehensive deepfake threat assessment grounded in the latest machine learning research on generative models.

 

● Partnership on AI

・2020.03.12 (NEWS) A Report on the Deepfake Detection Challenge by CLAIRE LEIBOWICZ

・[PDF] The Deepfake Detection Challenge: Insights and Recommendations for AI and Media Integrity

● GAO

・2020.02.20 SCIENCE & TECH SPOTLIGHT: Deepfakes GAO-20-379SP

・[PDF] Full report

 

その他

● Reserchgate.net

・2019.09 Deep Learning for Deepfakes Creation and Detection: A Survey by Thanh Thi Nguyen and Cuong M. Nguyen

Abstract

Deep learning has been successfully applied to solve various complex problems ranging from big data analytics to computer vision and human-level control. Deep learning advances however have also been employed to create software that can cause threats to privacy, democracy and national security. One of those deep learning-powered applications recently emerged is "deepfake". Deepfake algorithms can create fake images and videos that humans cannot distinguish them from authentic ones. The proposal of technologies that can automatically detect and assess the integrity of digital visual media is therefore indispensable. This paper presents a survey of algorithms used to create deepfakes and, more importantly, methods proposed to detect deepfakes in the literature to date. We present extensive discussions on challenges, research trends and directions related to deepfake technologies. By reviewing the background of deepfakes and state-of-the-art deepfake detection methods, this study provides a comprehensive overview of deepfake techniques and facilitates the development of new and more robust methods to deal with the increasingly challenging deepfakes.

● Springer Link

・2020.08.06 The Epistemic Threat of Deepfakes by Don Fallis

 ・[PDF]

Abstract

Deepfakes are realistic videos created using new machine learning techniques rather than traditional photographic means. They tend to depict people saying and doing things that they did not actually say or do. In the news media and the blogosphere, the worry has been raised that, as a result of deepfakes, we are heading toward an “infopocalypse” where we cannot tell what is real from what is not. Several philosophers (e.g., Deborah Johnson, Luciano Floridi, Regina Rini) have now issued similar warnings. In this paper, I offer an analysis of why deepfakes are such a serious threat to knowledge. Utilizing the account of information carrying recently developed by Brian Skyrms (2010), I argue that deepfakes reduce the amount of information that videos carry to viewers. I conclude by drawing some implications of this analysis for addressing the epistemic threat of deepfakes.

 

・2020.06.23 DeepFake Video Detection: A Time-Distributed Approach by Amritpal Singh, Amanpreet Singh Saimbhi, Navjot Singh & Mamta Mittal

・[PDF]

Abstract

Recent developments in machine learning algorithms have led to the generation of forged videos having remarkable quality, which are indistinguishable from real videos. This can fatally affect the way in which one perceives the information available digitally. Thus, this paper aims to efficiently and holistically detect manipulated videos generated using DeepFake, which is the most effective deep learning powered technique developed so far by the researchers. Arduous efforts have been put to detect the forgery in still images, but the authors leveraged the spatio-temporal features of the videos by taking sequences of frames as input to the model. Furthermore, the authors have proposed an architecture which took advantage of lower-level features around regions of interest as well as discrepancies across multiple frames. Experiments have been performed on the Deep Fake Detection Challenge dataset of ≈≈ 470 GB in size, and it has been observed that the proposed approach yielded a test accuracy score of 97.6%.

 

---

 

 

AIと将来の軍事力についての中国の視点

こんにちは、丸山満彦です。

ジョージタウン大学にあるCENTER for SECURITY and EMERGING TECHNOLOGY (CSET)がAIと将来の軍事力についての中国の視点に関する報告書を公表していますね。

● CSET

・2020.08 (Analysis) Chinese Perspectives on AI and Future Military Capabilities by Ryan Fedasiuk

The world is watching how the Chinese military develops and deploys artificial intelligence—but how exactly will it apply AI? This policy brief analyzes Chinese experts’ arguments about AI and prospective warfighting capabilities, identifying prevailing concerns about strategic stability and unintended escalation.

・[PDF] Full Report

 

中国の論文等を分析して得られた知見

1. 中国の専門家は、人工知能が軍事目標の検出、照準、および軍事目標に対する攻撃を改善すると予測している。
2. 中国の専門家は、AI の進歩は、一般的にも、中国の対米抑止関係の観点からも、戦略的安定性を損なうと考えている。
3. 中国の専門家は、オープンソースの報告と比較して、米軍のAI能力を過大評価する傾向がある。
4. 中国の機械学習技術者は、AI アプリケーションの開発と展開において、軍人の技術的リテラシーやデータや計算能力の制約など、大きなハードルに直面している。

政策提言

1. データ、人、重要な先端半導体への人民解放軍のアクセスを制限することで、米国の AI の優位性を維持する。
2. 軍拡競争を避ける。
3. エスカレーションリスクの軽減

---

Table of Contents

Executive Summary
Introduction
Chinese and American Conceptions of Artificial Intelligence
Chinese and American Conceptions of Strategic Stability
Scope and Methodology
 A Framework for Understanding Arguments About AI
 Extracting Causal Arguments About AI and Warfighting
How Chinese Experts Expect AI Will Affect Future Warfare
 Largest Perceived Threats to China’s Military from U.S. AI
 Implications for Strategic Stability
Chinese Perspectives on U.S. AI Projects
Barriers to AI Development in the People’s Liberation Army
 Data Collection and Processing 
 Workforce Issues
 Access to Hardware
Policy Implications
 Maintaining the U.S. AI Advantage
 Avoiding Arms Racing 
 Mitigating Escalation Risk
Conclusion
Acknowledgments
Appendix: Selecting a Universe of Papers
Endnotes

AIにおける計算能力の重要性の話

こんにちは、丸山満彦です。

Foreign Affairsという雑誌に、AIの競争において計算能力の重要性をもっと意識した方が良いという記事がありますね。。。

AIは[データ] X [アルゴリズム] X [計算能力]で競争力が決まってくるが、データとアルゴリズムに注目が集まりがちだが、計算能力の重要性も忘れてはいけない。中国との競争を考えた場合、計算能力に影響するチップの製造においては中国はまだ米国と差がある。今から技術の移転を阻止しておかなければならない・・・という内容ですかね。。。

ちなみに、この記事の著者のBen Buchanan氏はジョージタウン大学にあるCENTER for SECURITY and EMERGING TECHNOLOGY (CSET)のCyberAIのディレクターでジョージタウン大学の准教授のようですね。。。

● Foreign Affairs

・2020.08.07 The U.S. Has AI Competition All Wrong by Ben Buchanan

Computing Power, Not Data, Is the Secret to Tech Dominance

 

NIST National Cybersecurity Online Informative References (OLIR) Programについての２つのドラフト

こんにちは、丸山満彦です。

NISTが”National Cybersecurity Online Informative References (OLIR) Program”に関する２つのドラフト

• NISTIR 8278 : Program Overview and OLIR Uses
• NISTIR 8278A : Submission Guidance for OLIR Developers

を公表していますね。

● NIST -ITL

・2020.08.04  (PUBLICATIONS)

・・ NISTIR 8278 (Draft)  National Cybersecurity Online Informative References (OLIR) Program: Program Overview and OLIR Uses (2nd Draft)

・・[PDF] NISTIR 8278 (Draft)

・・NISTIR 8278A (Draft)  National Cybersecurity Online Informative References (OLIR) Program: Submission Guidance for OLIR Developers

・・[PDF] NISTIR 8278A (Draft)

---

Planning Note (8/4/2020): 

 

NIST is seeking public comments on two draft NISTIRs for the National Cybersecurity Online Informative References (OLIR) Program. This Program is a NIST effort to facilitate subject matter experts in defining standardized Online Informative References (OLIRs), which are relationships between elements of their documents and elements of other documents like the NIST Cybersecurity Framework.  The draft reports focus on 1) OLIR program overview and uses (NISTIR 8278), and 2) submission guidance for OLIR developers (NISTIR 8278A).

Draft (2nd) NISTIR 8278 describes the OLIR Program: what OLIRs are, what benefits they provide, how anyone can search and access OLIRs, and how subject matter experts can contribute OLIRs. Based on feedback received from early adopters as well as discussions at the December 2019 OLIR workshop, this second draft includes:

• The introduction of two new Focal Document Templates:
  
  • Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management v1.0, and
  • Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations
• New functional enhancements to the OLIR Catalog and Derived Relationships Mapping (DRM) display tool

NOTE: A call for patent claims is included on page iv of this draft. For additional information, see the Information Technology Laboratory (ITL) Patent Policy--Inclusion of Patents in ITL Publications.

---

色々な標準のような文書が発行されるとそれらの間の関係性を説明できるツールが必要ですよね。そして、システム的に実装していくことが重要となるので、関係性を説明するツールについてもシステム化する前提となりますね。。。

 

---

NISTIR 8287

Abstract

The National Cybersecurity Online Informative References (OLIR) Program is a NIST effort to facilitate subject matter experts in defining standardized Online Informative References (OLIRs), which are relationships between elements of their documents and elements of other documents like the NIST Cybersecurity Framework. The OLIR Program provides a standard format for expressing OLIRs as well as a centralized location for displaying them. This report describes the OLIR Program, focusing on explaining what OLIRs are, what benefits they provide, how anyone can search and access OLIRs, and how subject matter experts can contribute OLIRs.

NISTIR 8287A

Abstract

The National Cybersecurity Online Informative References (OLIR) Program is a NIST effort to facilitate subject matter experts in defining standardized Online Informative References (OLIRs), which are relationships between elements of their documents and elements of other documents like the NIST Cybersecurity Framework. This document assists Informative Reference Developers in understanding the processes and requirements for participating in the Program. The primary focus of the document is to instruct Developers on how to complete the OLIR Template spreadsheet when submitting an Informative Reference to NIST for inclusion in the OLIR Catalog. This document replaces IR 8204, Cybersecurity Framework Online Informative References (OLIR) Submissions: Specification for Completing the OLIR Template.

---

 

 

  

 

Continue reading "NIST National Cybersecurity Online Informative References (OLIR) Programについての２つのドラフト"

NIST インターネット経由でファイルを交換する際のセキュリティ考慮事項

こんにちは、丸山満彦です。

NISTがインターネット経由でファイルを交換する際のセキュリティ考慮事項に関する報告書を公開していますね。。。

ちなみに、PPAP方式（PasswordつきZIP暗号化ファイルを送ります、Passwordを送ります、Aん号化（暗号化）Protocol ）のリスクについては触れられていません。。。

● NIST - ITL

・2020.08.03 (Publication) Security Considerations for Exchanging Files Over the Internet

・[PDF] Security Considerations for Exchanging Files Over the Internet

・[HTML] itlbul202008を作ってみました。。。

 

---

Abstract

Every day, in order to perform their jobs, workers exchange files over the Internet through email attachments, file sharing services, and other means. To help organizations reduce potential exposure of sensitive information, NIST has released a new Information Technology Laboratory (ITL) Bulletin on secure file exchanges. The bulletin discusses several possible solutions for secure file exchanges, as well as numerous examples of methods for detecting file exchanges that aren't properly protected.

---

ユーザのニーズを理解した上で、利便性とセキュリティのバランスを考えろと言っていますね。。。

 

安全なファイル交換のための可能な解決策として、

• 電子メール
• ファイル共有サービス
• Managed File Transfer（MFT）ソリューション
• 専用Webおよびモバイルアプリケーション

についてコメントしていますね。

さらに

不適切に保護されたファイル交換を検出するための可能な解決策

については触れられていますね。。。

 

  

Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える？

こんにちは、丸山満彦です。

2020.08.04にInterpolがCOVID-19に乗じたサイバー攻撃が個人から医療機関を含む社会インフラに移っていると警告していますね。。。

● Interpol

・2020.08.04 INTERPOL report shows alarming rate of cyberattacks during COVID-19

・[PDF] COVID-19 Cybercrime Analysis Report - August 2020

発見事項として

オンライン詐欺とフィッシング
COVID-19をテーマにしたフィッシングメールを展開し、政府や保健当局になりすまして、被害者に個人情報を提供させたり、悪質なコンテンツをダウンロードさせたりしている。

• 破壊的マルウェア（ランサムウェア、DDoS）
  　重要インフラや医療機関に対する破壊的なマルウェアの使用が増加している。
  
  
• データハーベスティングマルウェア
  　COVID-19に関連する情報をおびき寄せてシステムに侵入し、ネットワークを侵害し、データを盗んだりボットネットを構築している。
  
  
• 悪質なドメイン
  　「コロナウイルス」や「COVID」などのキーワードを含むドメイン名を登録するサイバー犯罪者が大幅に増加している。
  
  
• 偽情報について
  　フェイクニュースが急増しており、国民の間で急速に拡散している。

予測として

• 在宅勤務に関連した脆弱性や金銭的利益の増加しそうであるためサイバー犯罪はさらに増加する可能性が高い（サイバー犯罪者は活動を活発化させ、より高度で洗練された手口を開発し続けている）
  
  
• コロナウイルスをテーマにしたオンライン詐欺や、パンデミックに対する世間の懸念を利用したフィッシング・キャンペーンが今後も増加していく。
  
  
• COVID-19ワクチンの接種が可能になれば、これらの医療品に関連したフィッシングやネットワーク侵入、データを盗むためのサイバー攻撃も急増する可能性が高い。

 

ーーーーー

CONTENTS

Introduction

Evolution of Cybercrime Trends and Threats amid COVID-19
Regional Cybercrime Trends
 AFRICA 
 AMERICAS
 ASIA AND SOUTH PACIFIC (ASP)
 EUROPE
 MIDDLE EAST AND NORTH AFRICA (MENA)

Key COVID-19 Cyberthreats
ONLINE FRAUD AND PHISHING 
DISRUPTIVE MALWARE (RANSOMWARE AND DDOS)
MALICIOUS DOMAINS
DATA HARVESTING MALWARE
MISINFORMATION

INTERPOL Response 

Priorities and Recommendations

Short-Term Projections

Conclusion

 

米国政府 米国の資産を守るため Clean Network Programを強化

こんにちは、丸山満彦です。

米国、国務省が2020.08.05に発表していますが、一行目から刺激的な始まりです。。。

---

The Clean Network program is the Trump Administration’s comprehensive approach to guarding our citizens’ privacy and our companies’ most sensitive information from aggressive intrusions by malign actors, such as the Chinese Communist Party (CCP).

---

● U.S. Department of State

・2020.08.05 Announcing the Expansion of the Clean Network to Safeguard America’s Assets

 

Clean Network Programの新たな5つの取り組みは次の5つのようです。。。

• クリーンキャリア：信頼されていない中華人民共和国（PRC）のキャリアが米国の通信ネットワークに接続されていないことを確認する。

• クリーンストア：米国のモバイルアプリストアから信頼できないアプリケーションを削除する。

• アプリのクリーンアップ：信頼できない中華人民共和国製スマートフォンメーカーがアプリストアに信頼できるアプリをプレインストールしたり、ダウンロードできるようにしたりしないようにする。

• クリーンクラウド：米国市民の機密性の高い個人情報、COVID-19ワクチン研究を含む貴重な知的財産が、Alibaba、Baiduなどの企業を通じて敵国がアクセスできるクラウドベースのシステムに保存および処理されるのを防ぐ。
• クリーンケーブル：グローバルインターネットに接続する海底ケーブルが、中華人民共和国による情報収集のために侵害されないようにする。

 

■ 参考

・2020.05.15 The United States Protects National Security and the Integrity of 5G Networks

 

 

US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

こんにちは、丸山満彦です。

米国連邦政府は、日本政府もお手本にするほど(?)、IT管理、サイバーセキュリティ対策は進めているように見えるのですが、それでもGAOの指摘は厳しいように思います。。。

そもそも、GAOは2010年度以降に1,376件のIT管理関連の勧告をし、3,409件のセキュリティ関連の勧告をしています。年間平均130件、340件ということです。すごい活動量ですよね。。。

そして連邦政府もIT関連の勧告の64％、サイバーセキュリティ関連の勧告は79％を完全に実施しているとGAOに言わせるだけでもすごいです。それぞれ880件、2,690件の対応をしているわけですよ。。。

でも、GAOは「まだまだやぞ、、、それぞれ500件、720件ほどできてないやろ。。。継続的に改善しろよ。。。」という感じですね。。。

● GAO

・2020.08.03 INFORMATION TECHNOLOGY : Federal Agencies and OMB Need to Continue to Improve Management and Cybersecurity

• [PDF] Highlights
• [PDF] Full Report

 

---

The federal government has spent billions on information technology projects that have failed or performed poorly. Some agencies have had massive cybersecurity failures. These IT efforts often suffered from ineffective management.

We testified about 2 issues on our High Risk List: 1) IT acquisitions and operations management and 2) cybersecurity.

Since 2010, agencies have implemented

• 64% of our 1,376 recommendations on IT acquisitions and operations
• 79% of our 3,409 recommendations on cybersecurity

Much remains to be done. For example, most agencies have not assigned key IT responsibilities to the chief information officer, as required.

---

残された課題として５つの領域を挙げていますね。。。しかし、上の４つはIT管理に関する話で、サイバーは最後の１つやね。。。3,409件を全部まとめて１つか。。。

- 最高情報責任者（CIO）の責任
- CIOによるIT取得時のレビュー
- データセンターの集約化
- ソフトウェアライセンスの管理
- 国家のサイバーセキュリティの確保

 

 

COSO ブロックチェーンと内部統制：COSOの視点

こんにちは、丸山満彦です。

COSOが「ブロックチェーンと内部統制：COSOの視点」を公表していますね。。。

Deloitteが作成していますね。。。そういえば、サイバー  (Managing Cyber Risk in a Digital Age) もDeloitteでしたね。。。

● The Committee of Sponsoring Organizations of the Treadway Commission: COSO

・2020.08.04 [PDF] (News) Blockchain and Internal Control: The COSO Perspective - Leveraging distinctive capabilities of blockchain to enhance internal control

“Blockchain and Internal Control: The COSO Perspective” provides perspectives for using the 2013 Framework to evaluate risks related to the use of blockchain in the context of financial reporting and to design and implement controls to address such risks. It is intended to help inform decisions regarding oversight, risks, and internal control over financial reporting (ICFR). The paper also should be of value to the various stakeholders involved in financial reporting, within the context of their own environments.

「ブロックチェーンと内部統制：COSOの視点」は、2013年版フレームワークを用いて、財務報告の文脈におけるブロックチェーンの利用に関連するリスクを評価し、当該リスクに対処するための統制を設計・実施するための観点を提供するものです。これは、監督、リスク、財務報告に係る内部統制（ICFR）に関する意思決定の一助となることを意図しています。また、本文書は、財務報告に関わる様々なステークホルダーが、それぞれの環境の中で、価値を見出すことができるはずです。

 

・[PDF] Blockchain and Internal Control: The COSO Perspective

Executive Summary	エグゼクティブサマリー
I. Introduction	I. はじめに
II. The Wave of Change Known as Blockchain	II. ブロックチェーンという変革の波
III. Components and Principles Overview	III. 構成要素と原理の概要
Conclusion and Next Steps	結論と次のステップ
Appendix 1. Technical Appendix	附属書1. 技術的附属書
Appendix 2. Key Insights: 10 Things to Know About Blockchain	附属書2. キーインサイト ブロックチェーンについて知っておくべき10のこと
Appendix 3. Blockchain, Financial Reporting Assertions, and Audit Evidence	附属書3．ブロックチェーン、財務報告のアサーション、監査証跡
Supplementary Resources and References, including those provided by COSO Bodies	補足資料・参考文献（COSO団体提供のものを含む）

 

 

NISC 普及啓発・人材育成専門調査会第13回会合を開催

こんにちは、丸山満彦です。

NISCの普及啓発・人材育成専門調査会第13回会合が開催され、資料がウェブに掲載されているわけですが、、、委員の方はほぼ全員知り合いです。変なことは言っていないように思います。資料7のビズリーチさんの説明は加瀬澤さんだ。。。(^^)

でも、これ何年同じ話を続けるのでしょうかね。。。

結局、処方箋が正しくても、処方箋にそった治療がされないから治癒しないのではないですかね、、、とか。。。まずは、「隗より始めよ」で政府機関から始めたらどうですかね。。。少しずつ、継続的に。。。（全くやってないとは思っていませんが、もう少しやったらどうですかね。。。）

そうすれば上場企業もするようになるし、地方自治体もするようになるし。。。

● NISC

・2020.07.31 普及啓発・人材育成専門調査会第13回会合

[PDF] 議事次第
[PDF] 資料１－１ 本専門調査会の今後の進め方（NISC説明資料）
[PDF] 資料１－２ サイバーセキュリティに係る人材の確保、育成、活躍の促進（NISC説明資料）
[PDF] 資料１－３ サイバーセキュリティ人材の確保、育成、活躍の促進に係る政策課題の検討について（案）（NISC説明資料）
[PDF] 資料１－４ 当面のスケジュール案（NISC説明資料）
[PDF] 資料２－１ サイバーセキュリティ人材の確保、育成、活躍の促進に係る主な政策課題
[PDF] 資料２－２ xSIRTの概況（NISC説明資料）
[PDF] 資料２－３ IT・セキュリティ人材の活躍の場について（NISC説明資料）
[PDF] 資料３ DXサービスに必要なセキュリティ対策（ＮＲＩセキュアテクノロジーズ株式会社 説明資料）
[PDF] 資料４ セキュリティ人材に関する取組（総務省 説明資料）
[PDF] 資料５ 試行カリキュラムについて（情報セキュリティ大学院大学・藤本正代教授 説明資料）
[PDF] 資料６ 取組状況の報告（経済産業省 説明資料）
[PDF] 資料７ セキュリティ人材の流動性とマッチングについて（株式会社ビズリーチ 説明資料）
[PDF] 参考資料１ 研究開発戦略専門調査会（委員名簿、設置について、運営について）（NISC資料）
[PDF] 参考資料２ 関連動向（NISC資料）

FBI : Infraud Organizationのマルウェア開発者が有罪を認めた

こんにちは、丸山満彦です。

世界中で約600億円（US$ 5.3Million）の損害を与えたInfraud Organization[wikipedia]のマルウェア開発者（Valerian Chiochiu ）が有罪を認めたようですね。。。

● FBI

・2020.07.31 Malware Author Pleads Guilty for Role in Transnational Cybercrime Organization Responsible for more than $568 Million in Losses

Cybercrime Organization Victimized Millions in all 50 States and Worldwide in One of the Largest Cyberfraud Enterprises Ever Prosecuted by the Department of Justice

FBIがTwitterのアカウントを乗っ取った被疑者３名を起訴したと発表していましたね。。。

こんにちは、丸山満彦です。

著名人のTwitterアカウントが乗っ取られた件が話題になっていましたが、FBIが被疑者３名を起訴したと2020.07.31に発表していましたね。。。被疑者は22歳、18歳。１名は未成年ですね。。。しかも、おそらく主犯。。。

● FBI

・2020.07.31 Three Individuals Charged for Alleged Roles in Twitter Hack

　・訴状
　　[PDF] Fazeli Complaint
　　[PDF] Sheppard Complaint

暗号通貨のアカウント作成時の本人確認資料から本人を特定したようですね。。。

 

PiyokangoさんのPiyologが詳しいですね。。。

● Piyolog
・2020.08.03 Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた

 

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.07.24 Twitterアカウントが乗っ取られた件（2）
・2020.07.18 Twitterアカウントが乗っ取られた件

 

US-CISAが信頼できるインターネット接続（TIC）プログラムのコアガイダンスドキュメントをリリースしましたね。。。

こんにちは、丸山満彦です。

米国のCybersecruity & infrastructure Security Agent.

● CISA

・2020.07.31 CISA RELEASES TIC 3.0 CORE GUIDANCE DOCUMENTATION

・TIC 3.0 CORE GUIDANCE DOCUMENTS

まずは、Program Guidebook (Volume 1) 、Reference Architecture (Volume 2) 、Security Capabilities Catalog (Volume 3) が公開されていますね。Zero Trustがベースになっていますね。。。

 

---

The TIC 3.0 core guidance includes:

1. Program Guidebook (Volume 1) – Outlines the modernized TIC program and includes its historical context
2. Reference Architecture (Volume 2) – Defines the concepts of the program to guide and constrain the diverse implementations of the security capabilities
3. Security Capabilities Catalog (Volume 3) – Indexes security capabilities relevant to TIC
4. Draft Use Case Handbook (Volume 4) – Introduces use cases, which describe an implementation of TIC for each identified use
   
   • Draft Traditional TIC Use Case – Describes the architecture and security capabilities guidance for the conventional TIC implementation
   • Draft Branch Office Use Case – Describes the architecture and security capabilities guidance for remote offices
5. Draft Service Provider Overlay Handbook (Volume 5) – Introduces overlays, which map the security functions of a service provider to the TIC capabilities
   
   • Overlays are under development and will be released at a later date
6. Pilot Process Handbook - Establishes a framework for agencies to execute pilots
7. Response to Comments on Draft TIC 3.0 Guidance Documentation – Summarizes the comments, and modifications in response to, the feedback received for the draft core documents

• Pilot Process Handbook
• Draft NCPS Cloud Reference Architecture

 

---

 

 

 

Continue reading "US-CISAが信頼できるインターネット接続（TIC）プログラムのコアガイダンスドキュメントをリリースしましたね。。。"

NISTがクラウドシステムに対する一般的なアクセス制御のガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

NISTがクラウドシステムに対する一般的なアクセス制御のガイダンスを公表していますね

● NIST - ITL

・2020.07.31 SP 800-210 General Access Control Guidance for Cloud Systems

・[PDF]SP 800-210

結論の最後が結構正直ですね。。。

「異なるデバイスやプラットフォーム間でのアクセスコントロール管理、クラウドの普及に伴う新たな課題など、多くの課題が残されている」

 

・[HTML]に変換してみた

 

パブコメ時の投稿はこちら↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.02 NIST SP 800-210(Draft) General Access Control Guidance for Cloud Systems

 

---

Abstract

This document presents cloud access control characteristics and a set of general access control guidance for cloud service models: IaaS (Infrastructure as a Service), PaaS (Platform as a Service), and SaaS (Software as a Service). Different service delivery models require managing different types of access on offered service components. Such service models can be considered hierarchical, thus the access control guidance of functional components in a lower-level service model are also applicable to the same functional components in a higher-level service model. In general, access control guidance for IaaS is also applicable to PaaS and SaaS, and access control guidance for IaaS and PaaS is also applicable to SaaS. However, each service model has its own focus with regard to access control requirements for its service.

---

  

 

Continue reading "NISTがクラウドシステムに対する一般的なアクセス制御のガイダンスを公表していますね。。。"

NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

こんにちは、丸山満彦です。

NISTがSP800-53Bのドラフトのパブコメを募集していますね。SP800-53のドラフトが出ているのでその影響ですね。プライバシー制御ベースラインを提供するものですね。

 

● NIST - ITL

・2020.07.31 SP 800-53B (Draft)  Control Baselines for Information Systems and Organizations

・[PDF] SP 800-53B (Draft)

Related NIST Publications:
・[PDF] SP 800-53 Rev. 5 (Draft)

 

---

Announcement

Draft SP 800-53B provides three security control baselines for low-impact, moderate-impact, and high-impact federal systems, as well as a privacy control baseline for systems irrespective of impact level. The security and privacy control baselines have been updated with the controls described in SP 800-53, Revision 5; the content of control baselines reflects the results of a comprehensive interagency review conducted in 2017 and continuing input and analysis of threat and empirical cyber-attack data collected since the update to SP 800-53.

In addition to the control baselines, this publication provides tailoring guidance and a set of working assumptions to help guide and inform the control selection process for organizations. Finally, this publication provides guidance on the development of overlays to facilitate control baseline customization for specific communities of interest, technologies, and environments of operation. The control baselines were previously published in NIST SP 800-53, but moved so that SP 800-53 could serve as a consolidated catalog of security and privacy controls that can be used by different communities of interest.

In addition to your feedback on the three security control baselines, NIST is also seeking your comments on the privacy control baseline and the privacy control baseline selection criteria.  Since the selection of the privacy control baseline is based on a mapping of controls and control enhancements in SP 800-53 to the privacy program responsibilities under OMB Circular A-130, suggested changes to the privacy control baseline must be supported by a reference to OMB A-130.  Alternatively, you may provide a description and rationale for new or modified privacy control baseline selection criteria. 

...

 

Abstract

This publication provides security and privacy control baselines for the Federal Government. There are three security control baselines for low-impact, moderate-impact, and high-impact information systems as well as a privacy baseline that is applied to systems irrespective of impact level. In addition to the control baselines, this publication provides tailoring guidance and a set of working assumptions that help guide and inform the control selection process for organizations. Finally, this publication provides guidance on the development of overlays to facilitate control baseline customization for specific communities of interest, technologies, and environments of operation.

---

 

 

Continue reading "NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations"