« August 2020 | Main | October 2020 »

September 2020

2020.09.30

経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

こんにちは、丸山満彦です。

経済産業省のサイバーセキュリティ経営ガイドライン Ver2.0の作成に関わっていましたが、指示2(サイバーセキュリティリスク管理体制の構築)及び指示3(サイバーセキュリティ対策のための資源(予算、人材等)確保)について具体的な検討のための手引きが公開されました。

荒川さん、武智さん、平山さん、宮下さん、持田さんが色々と手を動かして作ってくれています。第1版となっている通り、皆様のご意見を踏まえて改善できたらと思いますので、ご活用頂ければと思います!!!

 

● 経済産業省

・2020.09.30『サイバーセキュリティ体制構築・人材確保の手引き』を取りまとめました - サイバーセキュリティ経営ガイドラインVer2.0の付録として

・[PDF]『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)

参考

サイバーセキュリティ経営ガイドページ

 

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会
・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

| | Comments (0)

NIST NISTIR 8301 (Draft) Blockchain Networks: Token Design and Management Overview

こんにちは、丸山満彦です。

NISTがブロックチェーンネットワークのトークン設計・管理の概要についての文書について意見募集をしていますね。10月30日が締め切りです。

● NIST -ITL

・2020.09.29 (publication) NISTIR 8301 (Draft) Blockchain Networks: Token Design and Management Overview

・[PDF] NISTIR 8301 (Draft)


Announcement

Traditional data and operations management across organizations and on the web can involve inefficient transaction reconciliation between siloed databases, password fatigue, and single points of failure. This often results in concerns over interoperability, security, and privacy of data that affect both users and businesses.

Blockchain technology has enabled a new software paradigm for managing digital ownership in partial or zero-trust environments. It uses tokens to conduct transactions, exchange verifiable data, and achieve coordination across organizations and on the web. Data models with varied capabilities and scopes have been defined to issue tokens. By allowing for the design of programmable digital assets that can represent different forms of ownership, these models enable users to store, move, and even create value on top of shared or public digital infrastructures.

NIST announces the release of Draft NISTIR 8301, Blockchain Networks: Token Design and Management Overview, which provides a high-level technical overview and conceptual framework of token designs and management methods. The document highlights the different types of tokens and how they are held in custody. It then examines transaction management under three fundamental aspects: validation, submission, and viewability. Infrastructure tools used to develop applications that integrate blockchain networks and second layer protocols are also reviewed. Finally, the paper presents deployment scenarios and use cases for tokens before concluding with potential breakthroughs in privacy-preserving verifiable data exchange. The terminology, concepts, properties, and architectures introduced in this work can facilitate understanding and communications among business owners, software developers, cybersecurity professionals within an organization, and individuals who are or will be using such systems.

...

Abstract

Blockchain technology has enabled a new software paradigm for managing digital ownership in partial- or zero-trust environments. It uses tokens to conduct transactions, exchange verifiable data, and achieve coordination across organizations and on the web. Fundamental to this representation is that users have the ability to directly control token custody in digital wallets through public-key cryptography and to interact with one another in a peer-to-peer manner. Blockchain networks provide secure transaction reconciliation, linkage, and storage in a master record-keeping distributed ledger—forming mutually operated virtual machines. Data models with varied capabilities and scopes have been defined to issue tokens, which additional protocols can help manage while allowing for separation of concerns. Security and recovery mechanisms make it possible for users to set up self-hosted, externally hosted, and hybrid account custody models. Token transfer and collateralization can underpin more advanced operations, such as non-custodial exchanges. Scaling schemes have been developed to accommodate transactions off-chain with deferred on-chain settlement, as well as transaction submission rules to fit in with different deployment scenarios and privacy-enhancing techniques to protect user confidentiality. Software design patterns and infrastructure tools make it easier to integrate blockchain networks, wallets, and external resources in user interfaces. This document provides a high-level technical overview and conceptual framework of token designs and management methods. It is built around five views: the token view, wallet view, transaction view, user interface view, and protocol view. The purpose is to lower the barrier to study, prototype, and integrate token standards and protocols by helping readers understand the building blocks involved both on-chain and off-chain.


 

Continue reading "NIST NISTIR 8301 (Draft) Blockchain Networks: Token Design and Management Overview"

| | Comments (0)

NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

こんにちは、丸山満彦です。

NISTがモバイルデバイス・ウェアラブルデバイスを対象としたファーストレスポンダーのためのセキュリティガイドの意見募集をしていますね。11月30日までです。

NIST - ITL

・2020.09.28 (publication) NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

・[PDF] NISTIR 8235 (Draft)


Announcement

Public safety officials utilizing the forthcoming public safety broadband networks will have access to devices, such as smartphones, tablets and wearables. These devices offer new ways for first responders to complete their missions but may also introduce new security vulnerabilities to their work environment. To investigate this impact, the security objectives identified in NIST Interagency Report (NISTIR) 8196, Security Analysis of First Responder Mobile and Wearable Devices, were used to scope the analysis of public safety mobile and wearable devices and the current capabilities that meet those security objectives. The ultimate goal of this effort is to provide guidance that enables jurisdictions to select and purchase secure devices and assist industry to design and build secure devices tailored to the needs of first responders.

 

Abstract



 


■ 参考

● NIST -ITL 
・2020.05.11 (publcation) NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

 

 

Continue reading "NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices"

| | Comments (0)

サイバー攻撃者がどのような者で、どのような意図でそれを行っているかを決めていくというのは、これからますます重要となっていくんでしょうね。。。

こんにちは、丸山満彦です。

Oxford AcademicがJournal of Cybersecurityを公開しているのですが、今回の号で、サイバー攻撃者の属性がどのようなものであるかを決めていくことについての検討があります。考えてみれば難しい問題ですが、こういうことを粛々とやっている米国や英国というのはやはりすごいところがあると思います。。。

こういう研究は日本でももっとされて良いかもですね。。。日本なら、NISCやでこういう議論がされるとよいのでしょうね。。。

Oxford Academic - Journal of Cybersecurity, Volume 6, Issue 1, 2020,

・2020.09.14 Public attribution of cyber intrusions [PDF]


Abstract

Attribution is central to the debate on how to respond to cyber intrusions. The policy challenge is increasingly moving from identifying who is behind a cyber intrusion to finding the adequate policy response, including whether to publicly attribute. The article examines the use of public attribution as a political strategy for attaining specific political effects beyond the dyadic attacker–victim relationship, including shaping the operational and normative environment of cyber operations, with the potential to exert an independent deterrent effect. My analysis unfolds in three parts. The first part introduces two core concepts—sense-making and meaning-making—to capture different parts of the attribution process. I then introduce a theoretical understanding of public attribution drawing on the literature on revealing covert activity and argue that public attribution can serve the function of defining a particular interaction order, i.e. shape the rules of the ‘game’. In part two and three I discuss two empirical examples of both concepts. I bring to the fore three observations: First, some states have shifted their policy responses from dealing with individual cyber intrusions to responding in a broader political framework of relations with a specific adversary leading to campaign-like responses. Second, the political decision whether to attribute publicly is not only a signal to the adversary, but also aims at shaping the future political and normative operational environment. Third, such norm shaping has the potential to exert an independent—though limited—deterrent effect, particularly on potential adversaries. The analysis demonstrates the importance of the meaning-making process to understanding the politics of attribution and the rewards of theoretically integrating it into the politics of secrecy and exposure of covert activities of states.


Article Contents

 

Issue Cover

| | Comments (0)

2020.09.29

米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

こんにちは、丸山満彦です。

米国GAOが「トランプさんが2018年9月20日に15年ぶりに発行した「National Cyber Strategy」を完全に実施するためには、リーダーシップを明確にすることが必要」と報告書を出していますね。リーダーが議会が指名するように提案(suggest)していますね。

GAO

・2020.09.22 CYBERSECURITY: Clarity of Leadership Urgently Needed to Fully Implement the National Strategy

・[PDF]

 

Congress

・2020.06.25 H.R.7331 - National Cyber Director Act

・[PDF] National Cyber Direcor Act

 

● White House

・2018.09.20 NATIONAL CYBER STRATEGY uf the United States of America

● DoD

・2018.09.21 White House Releases First National Cyber Strategy in 15 Years

 

 

-----

 

■ 報道等

● FCW
・2020.09.22 CYBERSECURITY GAO report calls for White House cyber director by Lauren C. Williams

 

| | Comments (0)

2020.09.28

米国CISAが連邦政府機関への攻撃についての分析レポートを公開していますね。。。

こんにちは、丸山満彦です。

米国CISAが「連邦政府機関への攻撃についての分析レポートを公開していますね。。。

参考になりますね。。。

● CISA

・2020.09.24 Analysis Report (AR20-268A) Federal Agency Compromised by Malicious Cyber Actor


Summary

This Analysis Report uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework. See the ATT&CK for Enterprise framework for all referenced threat actor tactics and techniques.

The Cybersecurity and Infrastructure Security Agency (CISA) responded to a recent threat actor’s cyberattack on a federal agency’s enterprise network. By leveraging compromised credentials, the cyber threat actor implanted sophisticated malware—including multi-stage malware that evaded the affected agency’s anti-malware protection—and gained persistent access through two reverse Socket Secure (SOCKS) proxies that exploited weaknesses in the agency’s firewall.


| | Comments (0)

2020.09.27

災害時の都市サービス継続に関する国際規格(IEC 63152 : 2020 Smart Cities - City service continuity against disasters - The role of the electrical supply)が発行されましたね。。。

こんにちは、丸山満彦です。

国際電気標準会議(International Electrotechnical Commission)が、IEC 63152 : 2020 Smart Cities - City service continuity against disasters - The role of the electrical supplyを発行したみたいですね。。。

経済産業省のウェブページで紹介されていますね。。。

経済産業省

・2020.09.23 災害時の都市サービス継続に関する国際規格が発行されました ー災害時の電力供給停止がもたらす影響を最小限にー


2.国際規格の内容

今回発行された国際規格1では、地震・洪水・サイバーテロ等が発生した際に、事業継続計画(BCP:Business Continuity Plan)の観点から、重要性の高い都市サービス提供事業者(例:医療機関、公共交通機関、物流事業者等)が必要最低限の電気を確保できるよう、都市サービス運用者(例:企業の施設管理部門、商業施設等の管理会社、自治体の公共施設管理部門等)に対し、BCPに基づいて通常時・災害時、それぞれの電気継続計画(ECP)を定めること、及び、ECPを実行するための電気継続システム(ECS)の機器要求仕様を定めることを求めています。また、災害フェーズ毎にECSのマネジメントや各エリアで交換すべき情報の種類(例:電力系統との接続情報、停電時間、予備電源の動作・残存状況)などの基本事項をガイドラインとして提示しています。

IEC 63152 : 2020 Smart Cities - City service continuity against disasters - The role of the electrical supply


 

IEC

IEC 63152:2020  Smart cities - City service continuity against disasters - The role of the electrical supply


Abstract

IEC 63152:2020 establishes concepts and gives guidelines to help sustain a variety of city services on the occasion of a disaster from the perspective of providing electricity. It outlines the basic concepts on how multiple city services can cooperate and continue by electricity continuity plan(s) and electricity continuity system(s). It also specifies methods and means to establish these.
The users of this document are assumed to be city developers, city operators, equipment manufacturers, essential service providers and disaster management personnel.
Cities are facing many kinds of potential threats which affect the continuity of city services. There exists, therefore, a great need to establish safe and secure societies in which negative impacts on city services to the citizens are minimized and city services are continuously available to them during a period of emergency. There is no doubt that, in modern cities, electricity plays a critical role in maintaining city services.

| | Comments (0)

2020.09.26

経団連の「デジタル庁の創設に向けた緊急提言」を読んで。。。

こんにちは、丸山満彦です。

菅政権の目玉的なアイテムとしてデジタル庁の設置?みたいな話があるようで、経団連が緊急提言をしていますね。

日本経団連

・2020.09.23 デジタル庁の創設に向けた緊急提言

まず、最初のパラグラフ。。。

  • 新型コロナウイルス感染症の感染拡大により、わが国経済社会におけるデジタル化が世界に比して大きく立ち遅れていることがあらわとなった。ポストコロナ時代に日本が生き残るためには、経済社会のあらゆる分野においてDXに集中的に投資し、Society 5.0の実現を急がなければならない

言葉の意味ですが、

経済社会」というのは主に民間企業が担っている部分でしょうかね(政府の支援はあるとしても)。

デジタル化」というのは「Dizitaization」で01の信号に変える(LPレコードからCDに変えること)ことですから、ざっくりいうと情報技術で処理できるようにすることですかね。。。いや、ここではビジネス文脈なので「Digitalization」のことでしょうかね。。。Digitalizationの定義は英語でも明確では無いようですが、ざっくりデジタル信号化されたデータを情報技術を使ってビジネスを変革することという感じでしょうかね。。。そうなると、DXとの区別がよくわからなくなるか。。。難しい。。。
 このあたりの用語の議論については、Forbesの記事が役に立つかもしれません。。。

● Forbes
・2018.04.29 Digitization, Digitalization, And Digital Transformation: Confuse Them At Your Peril by Jason Bloomberg

ポストコロナ時代」というのは、コロナ感染が落ち着いた後、つまりみんながマスクとかしなくてもよくて、2メートル間隔で並ばなくても良いという時代ということでしょうかね。

DX」というのは、「Digital Transfomrmation」のことで、デジタル技術(要は情報技術(IT)ですかね。。。)を活用した変革のことでしょうかね。。。経済産業省的には、

経済産業省のデジタル・トランスフォーメーション(DX)とは

これまでの、文書や手続きの単なる電子化から脱却。
IT・デジタルの徹底活用で、手続きを圧倒的に簡単・便利にし国民と行政、双方の生産性を抜本的に向上します。
また、データを活用し、よりニーズに最適化した政策を実現。
仕事のやり方も、政策のあり方も、変革していきます。

となっているようですね。。。

Society 5.0」はこれは日本人の造語なので、作った人に聞くべきでしょう。「超スマート社会」のことのようです。。。

内閣府 - 内閣府の政策 - 科学技術政策 - Society 5.0

Society 5.0とは
サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)

狩猟社会(Society 1.0)、農耕社会(Society 2.0)、工業社会(Society 3.0)、情報社会(Society 4.0)に続く、新たな社会を指すもので、第5期科学技術基本計画において我が国が目指すべき未来社会の姿として初めて提唱されました。

 

ここまでを整理すると、、、

COVID19の世界的な感染拡大が起こり、わが国の政府が支援するとしても民間企業が主に担っている社会の活動分野においてITを活用したビジネス変革が遅れていることが明らかになった(経団連としては加盟企業の努力が足らずにすみませんでした。。。)。COVID-19の感染が落ち着いた後の時代に日本が生き残っているためには、(今のうちから)経済社会のあらゆる分野において(経団連加盟企業はもちろんのこと全ての企業が)ITを活用したビジネス変革に(それ以外の分野についての投資を縮小してでも) 集中的に投資し、仮想空間と現実空間を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する人間中心の社会の実現を急がなければならない

ということになりますかね。。。

疲れました。。。この辺でやめときます。。。

って、最初のパラグラフだけやん。。。本題に入っていないし。。。

でもこの先は、またの機会に・・・

残りの提言部分は、

  • 新たな成長と多様かつ創造的な社会の実現に向けて、行政のDXが喫緊の課題である。地方公共団体も含めた行政各部においてすべての施策・事務を一体的に見直し、デジタル3原則を徹底しなければならない。同時に、市民生活や民間経済活動においてもデジタル化の恩恵を最大限享受できるよう、関連施策を全面的に見直すことが必要である。

  • 各府省が所掌し実施しているデジタル関連施策・予算については、縦割の省庁体制で世界からの周回遅れを招いた実態に鑑み、一元的に所掌する組織を設ける必要がある。すなわち、社会全体のDXを牽引する司令塔と実行組織の設置である。

  • 具体的には、国・地方を通じたデジタル政策を一元的に企画立案する内閣デジタル局(仮称)を内閣官房に設置するとともに、中央省庁システムおよび地方公共団体に提供するシステムの企画立案・開発等を一元的に行うデジタル庁(仮称)を内閣府に設置することが有効である。その際、内閣デジタル局およびデジタル庁はデジタル政策・施策に関する予算を一括計上するとともに、行政各部に対する指揮命令権を持つようにすることが必要である。

  • 同時に、健全なデジタル社会を実現するためには、個人情報の保護やサイバーセキュリティの確保が不可欠である。独立性の高い個人情報保護委員会が地方公共団体を含めた官民の個人情報の取扱いを一元的に監督できるよう、個人情報保護制度の見直しを進めるとともに、内閣サイバーセキュリティセンターが中心となって、官民のサイバーセキュリティを確保すべきである。

 

| | Comments (0)

2020.09.25

CSAが「クラウドコンピューティングにおける避けたい11の項目」で示した内容とリンクさせた9つの事例分析を公表していますね。。。

こんにちは、丸山満彦です。

CSAが「クラウドコンピューティングにおける避けたい11の項目」で示した内容とリンクさせた9つの事例分析を公表していますね。。。

簡単な質問に答えるとダウンロードできます。

● CSA

・2020.09.23 (release) Cloud Security Alliance Releases Top Threats to Cloud Computing: Egregious 11 Deep Dive; Articulates Cloud Computing’s Most Significant Issues

・2020.09.23 Top Threats to Cloud Computing: Egregious Eleven Deep Dive

参考

・2019.08.06 Top Threats to Cloud Computing: Egregious Eleven

 

避けたい(Egregious)11の項目は、次の通りです(翻訳は適当です。。。)

01 Data Breaches データ侵害
02 Misconfiguration and Inadequate Change Control 誤設定、不適切な変更管理
03 Lack of Cloud Security Architecture and Strategy クラウドセキュリティに対するアーキテクチャと戦略の欠如
04 Insufficient Identity, Credential, Access and Key Management 不十分なアイデンティティ、クレデンシャル、アクセス、鍵の管理
05 Account Hijacking アカウント乗っ取り
06 Insider Threat 内部者の脅威
07 Insecure Interfaces and APIs 安全でないインターフェイスとAPI
08 Weak Control Plane 不十分なコントロールの提供
09 Metastructure and Applistructure Failures メタ構造とアプリ構造の失敗
10 Limited Cloud Usage Visibility 限定的なクラウド利用の可視性
11 Abuse and Nefarious Use of Cloud Services クラウドサービスの悪用と悪質な利用

事例は、

  1. Capital One
  2. Disney+
  3. Dow Jones
  4. Github
  5. Imperva
  6. Ring
  7. Tesco
  8. Tesla
  9. Zoom

です。。。

 

| | Comments (0)

2020.09.24

NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

こんにちは、丸山満彦です。

NISTのSP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizationsが確定していますね。。。2015年11月にRev.4が公表されてから5年ふりですかね。。。

NIST - ITL

・2020.09.23 (Publication) SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・[PDF] SP 800-53 Rev. 5

Supplemental Material:

・[xls] SP 800-53 Collaboration Index Template
・[doc] SP 800-53 Collaboration Index Template
・[html] Blog post: "The Next Generation Security and Privacy Controls—Protecting the Nation’s Critical Assets"


Abstract

This publication provides a catalog of security and privacy controls for information systems and organizations to protect organizational operations and assets, individuals, other organizations, and the Nation from a diverse set of threats and risks, including hostile attacks, human errors, natural disasters, structural failures, foreign intelligence entities, and privacy risks. The controls are flexible and customizable and implemented as part of an organization-wide process to manage risk. The controls address diverse requirements derived from mission and business needs, laws, executive orders, directives, regulations, policies, standards, and guidelines. Finally, the consolidated control catalog addresses security and privacy from a functionality perspective (i.e., the strength of functions and mechanisms provided by the controls) and from an assurance perspective (i.e., the measure of confidence in the security or privacy capability provided by the controls). Addressing functionality and assurance helps to ensure that information technology products and the systems that rely on those products are sufficiently trustworthy.


 

 

参考

まるちゃんの情報セキュリティ気まぐれ日記

網羅的ではないです。。。

2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations
・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)
2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

| | Comments (0)

米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。各社のソリューション毎に表にまとめていて理解がしやすい感じですね。

  • NIST SP800-63に対して一般的に使用されている各社の多要素認証(MFA)ソリューションをレビューしている。
  • 国家安全保障システム、国防省、国防産業企業等のエンドユーザーが、どの多要素認証ソリューションを利用すべきか決める際に役立つ。
  • あらゆるサービスの推奨事項として機能することを意図したものではない。(けど、民間事業者にも参考になるかも。。。)
  • 侵害されたデバイスを防御できる認証手段がないため、デバイスが安全であることを確認することは別途重要である。
  • セキュリティを確保するには、政府が提供する機器で常に多要素認証サービスを利用するか、一時的に安全なオペレーティングシステムを利用してください。
  • どちらもできない場合は、低い権限を持つ別ユーザーアカウントを作成して作業する。

NSA

・2020.09.22 NSA Releases Cybersecurity Guidance “Selecting and Safely Using Multifactor Authentication Services

・[PDF] Selecting Secure Multi-factor Authentication Solutions


Criteria to consider when selecting a multi-factor authentication solution

To provide a complete and secure authentication solution for your organization, evaluate possible solutions against the following criteria:

  1. Does the solution adequately protect the authenticator from common exploitation techniques? Most authentication solutions depend on secret keys that require integrity protection, protection from disclosure, and properly implemented secure random number generators and cryptography.

  2. Does the solution ensure the validator is effective in confirming that a request for access is from the user bound to the authenticator? Confirming this binding requires proof-of-possession of ‘what you have’ and evidence that ‘what you know’ and/or ‘what you are’ have been confirmed.

  3. Are communications among components of the authentication solution adequately protected using strong, well-known, and testable cryptographic standards? Communications need integrity protection, source authentication, and/or encryption to protect authentication evidence from modification or replay.

  4. Does the solution provide support for managing the lifecycle of digital identities and authenticators? Organizations are responsible for the lifecycle management of digital identities. Solutions that support these activities can be more easily managed, and therefore often more securely managed.

  5. If the solution authenticates a user’s request on behalf of a requested service, does the solution securely communicate that authentication to the requested service? Secure integration of an authentication solution into existing mechanisms ensures that the solution does not allow malicious actors to bypass authentication.

The detailed criteria used to answer these questions depend on the type of multi-factor authentication mechanism used.

SP 800-63-3 defines a number of single response multi-factor mechanisms, as well as combinations of single-factor mechanisms (referred to as multi-step authentication mechanisms) suitable for AAL 2 or AAL 3. The authenticator type can be implemented in a hardware device (e.g., a key-chain fob) or by software installed on a mobile device.

Single response, multi-factor authentication mechanisms require activation of the device, either with a PIN/password or biometric. The device provides ‘what you have’ and activation of the device implies that ‘what-you-know’ or ‘what-you-are’ has been verified.

On the other hand, multi-step authenticators often include a password to provide ‘what-you-know’ and another authenticator that provides ‘what-you-have’. Note that SP 800-63-3 Part B defines the requirements for PIN/password activation differently from the passwords that are used directly to provide ‘what-you-know’. PINs/passwords used for activation of an authenticator device are typically 6-to-8 characters and the device integrates thresholds to address password guessing attacks, whereas passwords used directly are required to be longer and have complexity requirements.


Duo、Google 、Microsoft、OKTA、OneLogin、RSA、Yubikeynのソリューションが挙げられていますね。。。

 


■ 参考

NIST’s “Digital Identity Guidelines” consists of the following three parts:

  • SP 800-63-3 Part A defines identity vetting processes that are expected to be managed by the organization as part
    of their identity lifecycle management. Part A is not covered in this document.

  • SP 800-63-3 Part B defines three authenticator assurance levels (AAL) for authenticators. Government Agencies
    require AAL 2 solutions for access to official information systems, and may require AAL 3 solutions for access to
    sensitive or mission critical information; solutions that do not align to SP 800-63-3, or which only provide AAL 1
    mechanisms, are not discussed in this document.

  • SP 800-63 Part C discusses identity federation and defines three Federation Assurance Levels (FAL).

 

日本語版

https://openid-foundation-japan.github.io/800-63-3-final/index.ja.html

Document Title URL
SP 800-63-3 Digital Identity Guidelines https://openid-foundation-japan.github.io/800-63-3-final/sp800-63-3.ja.html
SP 800-63A Enrollment and Identity Proofing https://openid-foundation-japan.github.io/800-63-3-final/sp800-63a.ja.html
SP 800-63B Authentication and Lifecycle Management https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html
SP 800-63C Federation and Assertions https://openid-foundation-japan.github.io/800-63-3-final/sp800-63c.ja.html

 

 

| | Comments (0)

2020.09.23

NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

こんにちは、丸山満彦です。

NISTがSP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Eventsを公表していますね。ランサムウェア等の破壊的なイベントからの復旧をテーマにした実践ガイドです。ほとんどMITREの人が書いているんですかね。。。

パブコメドラフトが2017.09.06ですから3年越しですね。。。

NIST - ITL

・2020.09.22 (Publication) SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events

・[PDF] SP 1800-11

  • [PDF] SP 1800-11a: Executive Summary
  • [PDF] SP 1800-11b: Approach, Architecture, and Security Characteristics
  • [PDF] SP 1800-11c: How-To Guides

データ破損イベントの後に即座に対策を講じるために、組織がどのように技術を実装できるかを提示する。

データ破損の効果的な監視と検出を奨励する。

 


Abstract

Businesses face a near-constant threat of destructive malware, ransomware, malicious insider activities, and even honest mistakes that can alter or destroy critical data. These data corruption events could cause a significant loss to a company’s reputation, business operations, and bottom line.

These types of adverse events, that ultimately impact data integrity, can compromise critical corporate information including emails, employee records, financial records, and customer data. It is imperative for organizations to recover quickly from a data integrity attack and trust the accuracy and precision of the recovered data.

The National Cybersecurity Center of Excellence (NCCoE) at NIST built a laboratory environment to explore methods to effectively recover from a data corruption event in various Information Technology (IT) enterprise environments. NCCoE also implemented auditing and reporting IT system use to support incident recovery and investigations.

This NIST Cybersecurity Practice Guide demonstrates how organizations can implement technologies to take immediate action following a data corruption event. The example solution outlined in this guide encourages effective monitoring and detection of data corruption in standard, enterprise components as well as custom applications and data composed of open-source and commercially available components.

| | Comments (0)

Atlantic Council : Emerging Technologies and the Future of US-Japan Defense Collaboration

こんにちは、丸山満彦です。

Atlantic Councilから「Emerging Technologies and the Future of US-Japan Defense Collaboration」という報告書が4月に出ていましたね。。。

Atlantic Council - issues

・2020.04.17 Emerging technologies and the future of US-Japan defense collaboration

・[PDF]


Geopolitical and security dynamics are shifting in the Indo-Pacific as states across the region adjust to China’s growing influence and the era of great-power competition between the United States and China. These geopolitical shifts are also intersecting with the accelerating rate of innovation in technologies associated with the Fourth Industrial Revolution (4IR) to reshape the future of military-technological competition and emerging military operations. This report, Emerging Technologies and the Future of US-Japan Defense Collaboration, by Tate Nurkin and Ryo Hinata-Yamaguchi, explores the drivers, tensions, and constraints shaping US-Japan collaboration on emerging defense technologies while providing concrete recommendations for the US-Japan alliance to accelerate and intensify long-standing military and defense-focused coordination and collaboration.


問題意識は

インド太平洋地域では、中国の影響力の増大と米中の大国競争時代への適応に伴い、地政学的・安全保障上の力学が変化している。このような地政学的な変化は、第四次産業革命(4IR)に伴う技術革新の加速とも重なり、軍事技術競争と新たな軍事作戦の未来を形づくるものとなっている。

ということなのでしょうね。。。

 

Contents

Introduction
Drivers, Tensions, and Constraints Shaping Collaboration
Opportunities and Recommendations
Conclusion
About the Authors

 

 

 

Continue reading "Atlantic Council : Emerging Technologies and the Future of US-Japan Defense Collaboration"

| | Comments (0)

2020.09.22

サイバーセキュリティーというからにはインテリジェンスが重要となりますよね。。。

こんにちは、丸山満彦です。

従来は情報資産の脅威としては、内部犯行者(要は権限がある、または権限昇格の仕方を知っている内部者)による情報窃盗やシステム・データ破壊の比重が大きかったのですが、もちろん依然その脅威はあるのですが、さらに外部者の脅威が飛躍的に大きくなっているように思います。。。

何の目的のために、誰が、どの様に攻撃を仕掛けてくるのかがわからない中で、漠然と外部からの攻撃を防御するのは大変だと思います。そこで、外部者の脅威が高まるについれて、インテリジェンスが重要となってきますよね。

したがって、インテリジェンス機能をセキュリティ対策の1つとして組み込み強化していくというのは、自然な流れ、つまり必然ですよね。。。

米空軍は、インテリジェンスとサイバー要員の「正式な組織統合」により、サイバー防御力が向上しているという記事がありました。。。

C4ISRNET

・2020.09.17 The Air Force is working on better intelligence integration for defensive cyber


The formal organizational integration of intelligence and cyber personnel is making a difference in better cyber defense, an Air Force official said this week.

The creation of 16th Air Force – which merged two numbered Air Forces combining cyber, intelligence surveillance, reconnaissance, electronic warfare and information operations – is providing greater context for defensive cyber operations and network defense, Col. Lamont Atkins, commander of the 567th Cyberspace Operations Group, said Sept. 15 at the Virtual Air, Space and Cyber Conference.

...

ntelligence has to be baked into the planning cycle from the beginning, he said, in order to better understand adversary capability and intent.


| | Comments (0)

2020.09.21

イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

こんにちは、丸山満彦です。

イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

● DOJ

・2020.09.17 State-Sponsored Iranian Hackers Indicted for Computer Intrusions at U.S. Satellite Companies - Multi-Year Campaign Sought to Steal Sensitive Commercial Information, Intellectual Property, and Personal Data

・[PDF] 起訴状 


To facilitate their victimization of these targets, the defendants engaged in a coordinated campaign of social engineering to identify real U.S. citizens working in the satellite and aerospace fields whose identities the defendants could assume online.  The defendants then impersonated those individuals and used their stolen identities to register email addresses and fraudulently purchase domains and hacking tools for use in the scheme.  The defendants then created customized spear phishing emails that purported to be from the individuals whose identities the defendants had stolen, in an attempt to entice the recipients to click on malicious links embedded in the emails.  Once a recipient clicked on a malicious link, malware would be downloaded to the individual’s computer, giving the defendants unauthorized access to the recipient’s computer and network.  The defendants then used additional hacking tools to maintain unauthorized access, escalate their privileges, and steal data sought by the IRGC.  Using these methods, the defendants successfully compromised multiple victim networks, resulting in the theft of sensitive commercial information, intellectual property, and personal data from victim companies, including a satellite-tracking company and a satellite voice and data communication company.


● FBI

・2020.09.18 Combating the Iranian Cyber Threat - Republic at the Center of Cyber Crime Charges in Three Cases


Criminal charges announced this week against multiple alleged hackers in Iran show the breadth of the cyber threat emanating from that country and the FBI and partner agency efforts to neutralize it and hold the individuals accountable.

...

On Tuesday, Behzad Mohammadzadeh, of Iran, and Marwan Abusrour, of the Palestinian territories, were indicted in Massachusetts on charges of damaging multiple websites as retaliation for U.S. military action in January that killed the head of the Islamic Revolutionary Guard Corps-Quds Force, a U.S.-designated foreign terrorist organization.

On Wednesday, Hooman Heidarian and Mehdi Farhadi, both of Iran, were charged in New Jersey in connection with a coordinated cyber intrusion campaign. Investigators allege that the pair, sometimes at the behest of the government of Iran, targeted computers in New Jersey and around the world.

In addition to stealing hundreds of terabytes of sensitive data, the defendants also vandalized websites, often under the pseudonym “Sejeal,” and posted messages that appeared to signal the demise of Iran’s internal opposition, foreign adversaries, and countries identified as rivals, including Israel and Saudi Arabia.

On Thursday, an indictment unsealed in Virginia charged Said Pourkarim Arabi, Mohammad Reza Espargham, and Mohammad Bayati, all living in Iran, with engaging in a coordinated campaign of identity theft and hacking on behalf of Iran’s Islamic Revolutionary Guard Corps, a designated foreign terrorist organization.


■ 参考

● teiss
・2020.09.18 Three Iranian hackers were indicted in the US today for stealing sensitive commercial data, intellectual property, and personal data from several US-based satellite companies on behalf of Iran's Islamic Revolutionary Guard Corps (IRGC), a designated foreign terrorist organisation.

Cyberscoop
・2020.09.18 US charges alleged Iranian hackers with scheme to steal aerospace, satellite data

● XaCap
2020.09.18 Трех иранских хакеров обвинили во взломе компаний аэрокосмического и спутникового сектора by  

●GovInfo
・2020.09.18 3 Iranian Hackers Charged With Targeting US Satellite Firms DOJ: Hackers Used Social Engineering Techniques, Spear Phishing

● Braking Defense
・2020.09.16 Cyber Attack Most Likely Space Threat: Maj. Gen. Whiting b


"We know that cyber attack is where we are most likely to face the enemy in space," said Space Force deputy commander Maj. Gen. Stephen Whiting.


 

 

| | Comments (0)

2020.09.20

ブラジルの個人データ保護法が発効されたようですね。。。

こんにちは、丸山満彦です。

ブラジルの個人データ保護法(Le Geral deProteçãode Dados Pessoais : LGDP)が2020.08.16の遡及適用日から発効されたようですね

■ 報道

DataGuidance
・2020.09.18 BREAKING: LGPD enters into force


Law No. 13.709 of 14 August 2018, General Personal Data Protection Law (as amended by Law No. 13.853 of 8 July 2019) ('LGPD') entered into force on 18 September 2020.

...

The enforcement provisions of the LGPD are expected to enter into force on 1 August 2021, further to an additional law passed in June 2020.

You can read Law 14.058/2020, only available in Portuguese, here


● Hunton
・2020.09.18 BREAKING: Brazilian Data Protection Law in Effect

 

GDPRとLGPDとの比較は、GDPRのウェブページでも行われていますので、参考まで。。。

GDPR
What is the LGPD? Brazil’s version of the GDPR

 

| | Comments (0)

2020.09.19

AU ACSC Annual Cyber Threat Report: July 2019 to June 2020

こんにちは、丸山満彦です。

2週間ほど前なのですが、オーストラリア政府がサイバーセキュリティの年次報告書を公表していましたね。。。

この報告書は、2019年7月から2020年6月に、オーストラリア経済のさまざまなセクターに影響を与える既知および新興のサイバーセキュリティおよびサイバー犯罪の脅威について、ACSCが特定した重要な情報、悪意のあるサイバー活動の可能性を減らしその影響を防ぐためのアドバイスが含まれているとのことです。。。

Australian Cyber Security Centre (ACSC)

・2020.09.04 (news) New ACSC report details cyber threats across Australia

ACSC Annual Cyber Threat Report, July 2019 to June 2020

・・[PDF]ACSC Annual Cyber Threat Report 2019-20 (September 2020).pdf


Contents

Executive Summary

  • Key cyber threats
  • Cybercrime threat in Australia

Cyber security incidents

  • Sectors Affected
  • Types of Incidents
  • National Cyber Security Incident

ReportCyber

  • Cybercrime Categories
  • Cybercrime Statistics
  • Threats
  • Ransomware

Phishing and Spearphishing campaigns

  • Business email compromise
  • Exploitation of vulnerabilities

Cyber security advice for individuals

Stay connected and up to date on cyber security

Cyber security advice for businesses

How to report a cyber security incident, cybercrime, scam or a data breach


 

 

Continue reading "AU ACSC Annual Cyber Threat Report: July 2019 to June 2020"

| | Comments (0)

2020.09.18

米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

こんにちは、丸山満彦です。

米国GAOが「財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある」と報告していますね。

リスクを軽減し、サイバーセキュリティを向上させるためのセクターの取り組みを強化するための措置を財務省が講じているのは良いのだけど、他の連邦政府機関やセクターのパートナーと協力して、進捗状況をよりよく測定し、セクターのサイバーセキュリティ目標に沿った取り組みに優先順位をつけるように、財務省に推奨したようですね。

● U.S. GAO

・2020.09.17 CRITICAL INFRASTRUCTURE PROTECTION: Treasury Needs to Improve Tracking of Financial Sector Cybersecurity Risk Mitigation Efforts

  • [PDF] Highlights Page
  • [PDF] Full Report

 


| | Comments (0)

NIST SP 1800-15 (Draft) Securing Small Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD)

こんにちは、丸山満彦です。

NISTが中小企業/家庭用IoTデバイスのセキュリティ保護に関して製造業者使用説明書(MUD) (RFC 8520) を利用したネットワークベースの攻撃の軽減についてのガイダンスの意見募集が行われていますね。。。

ファイルは34MB, 968ページです。そして、過去に2回(2019.04.242019.11.21)暫定のドラフトを出していますね。。。

NIST - ITL

・2020.09.16 SP 1800-15 (Draft)  Securing Small Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD)

・[PDF] Draft SP 1800-15

  • [pdf][web] SP 1800-15A: Executive Summary 
  • [pdf][web] SP 1800-15B: Approach, Architecture, and Security Characteristics
  • [pdf][web] SP 1800-15C: How-To Guides 
  • [pdf][web] Supplement to Volume B: Functional Demonstration Results

Supplemental Material:


Announcement

The National Cybersecurity Center of Excellence (NCCoE) has released the final public draft of the NIST Cybersecurity Practice Guide, SP 1800-15, “Securing Small-Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD),” and is seeking the public's comments on the contents. This practice guide is intended to show IoT device developers and manufacturers, network equipment developers and manufacturers, and service providers who employ MUD-capable components how to integrate and use MUD and other tools to satisfy IoT users’ security requirements.

 

Abstract

The goal of the Internet Engineering Task Force’s Manufacturer Usage Description (MUD) specification is for Internet of Things (IoT) devices to behave as intended by the manufacturers of the devices. MUD provides a standard way for manufacturers to indicate the network communications that a device requires to perform its intended function. When MUD is used, the network will automatically permit the IoT device to send and receive only the traffic it requires to perform as intended, and the network will prohibit all other communication with the device, thereby increasing the device’s resilience to network based attacks. In this project, the NCCoE demonstrated the ability to ensure that when an IoT device connects to a home or small-business network, MUD can automatically permit the device to send and receive only the traffic it requires to perform its intended function. This NIST Cybersecurity Practice Guide explains how MUD protocols and tools can reduce the vulnerability of IoT devices to botnets and other network-based threats as well as reduce the potential for harm from exploited IoT devices. It also shows IoT device developers and manufacturers, network equipment developers and manufacturers, and service providers who employ MUD-capable components how to integrate and use MUD to satisfy IoT users’ security requirements.

Continue reading "NIST SP 1800-15 (Draft) Securing Small Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD)"

| | Comments (0)

FedRAMP認定クラウドサービスオファリング(CSO)が200を超えたようですね!

こんにちは、丸山満彦です。

政府調達におけるクラウドサービスの認定制度として日本でもISMAP(IPAによる説明)が始まりますが、米国ではFederal Risk and Authorization Management Program(FedRAMP) として2011年12月に立ち上がった制度ですね。このブログでも2012年2月に取り上げてましたね。。。

そのFedRAMP認定クラウドサービスオファリング(CSO)が200件を超えたようです。

FedRAMP

・2020.09.13 FedRAMP Reaches 200 Authorizations

・・ FedRAMP’s Marketplace

どのようなサービスがよく利用されているかもわかりますね。。。

 

 


 

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

2020.08.16 FedRAMPパブコメコンテナの展開と使用のための脆弱性スキャン要件

・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました

2012.02.26 FedRAMP(クラウドサービスのセキュリティ評価の標準アプローチ)

| | Comments (0)

欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

こんにちは、丸山満彦です。

欧州議会が、暗号資産のリスクに関する報告書を公表していますね。。。

● EU Parliament

・2020.09.17 Digital finance: Emerging risks in crypto-assets – Regulatory and supervisory challenges in the area of financial services, institutions and markets

・[PDF] Digital finance:Emerging risks in crypto-assets – Regulatory and supervisory challenges in the area of financial services, institutions and markets


Table of contents

1. Introduction

2. Description of digital finance services and market organisation
 2.1. Understanding the role of DLT in the crypto-assets market
 2.2. Types of crypto-assets, market organisation and actors
 2.3. Size, importance and prospects for the crypto-asset market

3. Analysis of the main current policy issues in the crypto-assets market
 3.1. Classification of crypto-assets
 3.2. Cyber-resilience
 3.3. Data sharing and related rights

4. Scope and policy context of this assessment
 4.1. Crypto-assets under consideration in this assessment
 4.2. Progress made in the current EU legislative context
 4.3. Importance of cooperation at international level

5. Identification of gaps in the existing EU regulatory and legal framework
 5.1. A framework for crypto-assets
 5.2. Operational cyber-resilience
 5.3. Data strategy

6. Policy options to address the existing gaps
 6.1. Policy options under consideration on a framework for markets in crypto-assets
 6.2. Policy options under consideration on cyber resilience
 6.3. Policy options under consideration on data strategy

7. Comparative economic analysis of the EAV of policy options identified
 7.1. Conceptual framework and scenarios
 7.2. Description of the accounting model and of the main assumptions
 7.3. Economic assessment of the EAV for the European financial sector
7 .4. Complementary qualitative EAV assessment of the impact on benefits and risks of policy option scenarios

8. Conclusion

REFERENCES





Continue reading "欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調"

| | Comments (0)

NSA : Unified Extensible Firmware Interface (UEFI) Secure Boot Customization

こんにちは、丸山満彦です。

米国NSAがUnified Extensible Firmware Interface (UEFI) Secure Boot Customizationを公開していますね・・・

National Security Agency

・2020.09.15 NSA Releases Cybersecurity Technical Report on UEFI Secure Boot Customization

・[PDF] UEFI Secure Boot Customization


Executive summary

Secure Boot is a boot integrity feature that is part of the Unified Extensible Firmware Interface (UEFI) industry standard. Most modern computer systems are delivered to customers with a standard Secure Boot policy installed. This document provides a comprehensive guide for customizing a Secure Boot policy to meet several use cases.

UEFI is a replacement for the legacy Basic Input Output System (BIOS) boot mechanism. UEFI provides an environment common to different computing architectures and platforms. UEFI also provides more configuration options, improved performance, enhanced interfaces, security measures to combat persistent firmware threats, and support for a wider variety of devices and form factors.

Malicious actors target firmware to persist on an endpoint. Firmware is stored and executes from memory that is separate from the operating system and storage media. Antivirus software, which runs after the operating system has loaded, is ineffective at detecting and remediating malware in the early-boot firmware environment that executes before the operating system.

Secure Boot provides a validation mechanism that reduces the risk of successful firmware exploitation and mitigates many published early-boot vulnerabilities.

Secure Boot is frequently not enabled due to issues with incompatible hardware and software.

Custom certificates, signatures, and hashes should be utilized for incompatible software and hardware. Secure Boot can be customized to meet the needs of different environments.

Customization enables administrators to realize the benefits of boot malware defenses, insider threat mitigations, and data-at-rest protections. Administrators should opt to customize Secure Boot rather than disable it for compatibility reasons. Customization may – depending on implementation – require infrastructures to sign their own boot binaries and drivers.

Recommendations for system administrators and infrastructure owners:  Machines running legacy BIOS or Compatibility Support Module (CSM) should be migrated to UEFI native mode.

  • Secure Boot should be enabled on all endpoints and configured to audit firmware modules, expansion devices, and bootable OS images (sometimes referred to as Thorough Mode).
  • Secure Boot should be customized, if necessary, to meet the needs of organizations and their supporting hardware and software.
  • Firmware should be secured using a set of administrator passwords appropriate for a device's capabilities and use case.
  • Firmware should be updated regularly and treated as importantly as operating system and application updates.
  • A Trusted Platform Module (TPM) should be leveraged to check the integrity of firmware and the Secure Boot configuration.

 

 

 

Continue reading "NSA : Unified Extensible Firmware Interface (UEFI) Secure Boot Customization"

| | Comments (0)

2020.09.17

英国政府も中国のサイバー攻撃に警告を出していますね。。。

こんにちは、丸山満彦です。

米国司法省から、中国人を含むサイバー攻撃者を7名起訴したという発表がありましたが、英国政府も中国のサイバー攻撃に警告を出していますね。。。

割と厳しい抗議の様に感じますが、外交に関する深い知識がないので、よくわかりませんが・・・

UK Government

・2020.09.16 (Press)  UK warns of Chinese global cyber attacks


Foreign Secretary Dominic Raab condemns continued Chinese cyber attacks on telecoms, tech and governments.

...

Foreign Secretary Dominic Raab said:

  • Today we have another example of the Chinese using malicious cyber activity for criminal ends. We condemn the attempted attacks against governments and businesses. This kind of opportunistic and reckless behaviour in cyberspace is wholly unacceptable.

  • The UK will continue to counter those conducting such cyber attacks, and work with our allies to hold perpetrators to account.

Background


 

中国が犯罪目的のために悪意のあるサイバー活動を行っている例がある。

政府や企業に対する攻撃を非難する。

サイバー空間におけるこの種の行動は、まったく容認できない。

<背景>

中国関連企業が世界各国のスーパーコンピューターや通信会社、在宅勤務を可能にするシステムを標的にしていることが明らかになっている。

外務大臣は2020年7月22日に中国が商業・医療・学術機関に対する悪質なサイバー攻撃を行っている証拠があると懸念を表明した。

英国は2018年12月20日、中国国家安全保障省のメンバーが、欧州、アジア、米国の知的財産や民間の機密データを標的とした悪質なサイバーキャンペーンを実施したと発表した。

 

という感じですかね。。。

 

 


■ 関連

U.S. Department of Justice (DOJ)

・2020.09.16 (Release) Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.17 米国法務省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

 

| | Comments (0)

米国法務省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

こんにちは、丸山満彦です。

米国法務省が世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名を起訴したと公表していますね。

U.S. Department of Justice (DOJ)

・2020.09.16 (Release) Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally

・2020.09.16 Remarks by Deputy Attorney General Jeffrey A. Rosen at an Announcement of Charges and Arrests in Computer Intrusion Campaigns Related to China


■ 参考
Fireeye
TT Malware Log - Winnti / APT41 (まとめ) -
・2020.08.12 Winnti / APT41 (まとめ)
 

| | Comments (0)

2020.09.16

NIST SP 1800-21 (Final) Mobile Device Security: Corporate-Owned Personally-Enabled (COPE).

こんにちは、丸山満彦です。

会社所有のモバイルデバイスの個人利用に関するガイダンス、NIST SP 1800-21 Mobile Device Security: Corporate-Owned Personally-Enabled (COPE)が確定しましたね。。。

日本ではあまり取り入れられていないかもしれませんね。。。

 

● NIST - ITL

・2020.09.15 Mobile Device Security: Corporate-Owned Personally-Enabled

「概要」によると

Corporate-Owned Personally-Enabled(COPE)プロジェクトの目標は、

組織所有のモバイルデバイスのセキュリティとプライバシーを強化する方法を示すサンプルソリューションを提供すること

と記されていますね。

ソリューションの例では、

  • オンプレミスに配置されたエンタープライズモビリティ管理(EMM)機能
  • モバイル脅威防御(MTD)
  • モバイル脅威インテリジェンス(MTI)
  • アプリケーション検査
  • セキュアブート/イメージ認証
  • 仮想プライベートネットワーク(VPN)サービス

のツールについて説明して入りうとなっていますね。

また、

ソリューションの例では、

  • 使用されている特定の製品
  • 製品が提供するセキュリティ管理

に関する情報も提供していますね。。。

 

 

● 参考

・2019.07.22 Draft Cybersecurity Practice Guide--Mobile Device Security: Corporate-Owned Personally-Enabled (COPE)


Executive Summary

Mobile devices provide access to vital workplace resources while giving employees the flexibility to perform their daily activities. There are several options for deploying mobile devices. One deployment model is Corporate-Owned Personally-Enabled (COPE). COPE devices are owned by the enterprise and issued to the employee. COPE architectures provide the flexibility of allowing both enterprises and employees to install applications onto the enterprise-owned mobile device.

Securing mobile devices is essential to continuity of business operations. While mobile devices can increase efficiency and productivity, they can also leave sensitive data vulnerable. Mobile device security tools can address such vulnerabilities by helping secure access to networks and resources.

The National Cybersecurity Center of Excellence (NCCoE) at the National Institute of Standards and Technology (NIST) built a laboratory environment to explore the challenges of securing mobile devices while managing risks and how various technologies could be integrated to help organizations secure their COPE devices.

This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their COPE mobile device security and privacy needs.


| | Comments (0)

AIと統合された職場における労働者の福祉を促進するためのフレームワーク

こんにちは、丸山満彦です。

Partnership on AIから「AIと統合された職場における労働者の福祉を促進するためのフレームワーク」に関する報告書が公表されていますね。。。

Partnership on AI

・2020.09.15 Framework for Promoting Workforce Well-being in the AI-Integrated Workplace

・[PDF] Full Report


Table Of Contents

Executive Summary

Acknowledgements

About The Partnership on AI

Introduction

  • Applications of AI in the Workplace
  • Ethical Questions Associated with AI Integration
  • Why Workforce Well-being
  • About the Framework

PART 1

Six Pillars of Workforce Well-being and AI Impact

  1. Human Rights
  2. Physical Well-being
  3. Financial Well-being
  4. Intellectual Well-being
  5. Emotional Well-being
  6. Purpose and Meaning

Summary Chart: AI Impact and the Six Pillars of Workforce Well-being

PART 2

Framework for Promoting Workforce Well-being in the AI Integrated Workplace

  1. Key Considerations
  2. Recommendations
  3. Discussion Questions
  4. Worker Survey

Conclusion and Future Work

Appendix 1 - Definitions

Appendix 2 - Literature Review


 



Continue reading "AIと統合された職場における労働者の福祉を促進するためのフレームワーク"

| | Comments (0)

2020.09.15

NIST SP 1800-27 (Draft) Securing Property Management Systems

こんにちは、丸山満彦です。

NISTがホテル向けのセキュリティガイド案を作って10月18日まで意見募集をしていますね。

ホテルは、機密データを盗み出したり、マルウェアを配布したり、検出されなかった不正行為から利益を得ようとする悪意のある行為者の標的となっていて、ホテルの運営の中心であるプロパティ管理システムは、攻撃者にとって魅力的な攻撃対象となっているという認識のようです。

確かにそうですね。。。

● NIST - ITL

・2020.09.14 (publcations) SP 1800-27 (Draft) Securing Property Management Systems

Draft SP 1800-27 volumes and Project Homepage

「概要」には、

主な機能には、機密データの保護、役割ベースのアクセス制御の実施、異常の監視などがあります。

主な推奨事項には、ゼロトラスト、ムービングターゲット防御、クレジットカードデータのトークン化、ロールベース認証などのサイバーセキュリティ概念の実装が含まれます。

と記載されていますね。。。

 


Executive Summary

In recent years criminals and other attackers have compromised the networks of several major hotel chains, exposing the information of hundreds of millions of guests. Breaches like these can result in huge financial loss, operational disruption, and reputational harm, along with lengthy regulatory investigations and litigation. Hospitality organizations can reduce the likelihood of a hotel data breach by strengthening the cybersecurity of their property management system (PMS). The PMS is an attractive target for attackers because it serves as the information technology (IT) operations and data management hub of a hotel. This cybersecurity practice guide shows an approach to securing a PMS and the ecosystem of guest services it supports. It offers how-to guidance for building an example solution using commercially available products, standards, and best practices for role-based access control, privileged access management, network segmentation, moving target defense, and data protection.


 

| | Comments (0)

米国CISAが中国国家安全保障省(MSS)に関連するサイバー攻撃者の活動についての警告を出していますね。。。

こんにちは、丸山満彦です。

このブログで昨日取り上げた、サイバーパワー世界ランキング1位と2位の国の話です。。。

米国CISAが中国国家安全保障省MSS)[wikipedia]に関連するサイバー攻撃者の活動についての警告を出していますね。。。MITRE ATT&CKPre-ATT&CKを使って、中国国務省が使用する戦術、技術、手順(TTP) を解説していますね。FBIの協力を得てCISAが作成したとのことです。。。

MITRE ATT&CKとPre-ATT&CKの活用の仕方を理解する上でも有益そうですね。。。MITRE Shieldも公開されたので、これも使って解説してくれるとよいかもですね。。。

CISA

・2020.09.14 Alert (AA20-258A) Chinese Ministry of State Security-Affiliated Cyber Threat Actor Activity

Key takeawaysを適当に日本語訳してみました。。。

Key Takeaways 重要なポイント
Chinese MSS-affiliated cyber threat actors use open-source information to plan and conduct cyber operations. 中国の国家安全保障省に関係するサイバー攻撃者は、オープンソースの情報を利用してサイバー作戦を計画し、実施している。
Chinese MSS-affiliated cyber threat actors use readily available exploits and exploit toolkits to quickly engage target networks. 中国の国家安全保障省に関係するサイバー攻撃者は、すぐに入手可能なエクスプロイトとエクスプロイトツールキットを利用して、ターゲットネットワークを迅速に攻略している。
Maintaining a rigorous patching cycle continues to be the best defense against the most frequently used attacks. 最も頻繁に使用される攻撃に対する最善の防御策は、厳格なパッチ適用サイクルを維持することである。
If critical vulnerabilities remain unpatched, cyber threat actors can carry out attacks without the need to develop custom malware and exploits or use previously unknown vulnerabilities to target a network. 重要な脆弱性にパッチが適用されていない場合、サイバー攻撃者は、特別にマルウェアやエクスプロイトを開発したり、これまで知られていなかった脆弱性を利用してネットワークを標的にしたりすることなく、攻撃を実行することができる。
This Advisory identifies some of the more common—yet most effectiveTTPs employed by cyber threat actors, including Chinese MSS-affiliated cyber threat actors. このアドバイザリーでは、中国の国家安全保障省に関係するサイバー攻撃者を含むサイバー攻撃者によって採用されている一般的でありながら最も効果的な戦術、技術、手順(TTP) のいくつかを特定している。

 

SUMMARY
 KEY TAKEAWAYS

TECHNICAL DETAILS
 MITRE PRE-ATT&CK Framework for Analysis
  Target Selection and Technical Information Gathering
  Technical Weakness Identification
  Build Capabilities

 MITRE ATT&CK Framework for Analysis
  Initial Access
  Execution
  Credential Access
  Discovery
  Collection
  Command and Control

MITIGATIONS

詳細というか丁寧で参考になります。。。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.09 MITRE ATT&CKのVer7.0がリリースされましたね。。。

Continue reading "米国CISAが中国国家安全保障省(MSS)に関連するサイバー攻撃者の活動についての警告を出していますね。。。"

| | Comments (0)

2020.09.14

サイバーパワー世界ランキング

こんにちは、丸山満彦です。

ハーバードケネディスクールのベルファーセンターが、サイバーパワーの国別ランキングを含む「National Cyber​​ Power Index 2020:Methodology and Analytical Considerations」を公開しましたね。。。

30か国を対象としています。7つの国家目標の文脈で、32のインテントインジケーターと27の能力インジケーターを使用して、公的に入手可能なデータから収集した証拠を使用しサイバー能力を測定しているようです。

サイバー攻撃力というよりも、サイバー環境への対応をうまくしているという感じですかね。。。

Harvard Kennedy School BELFER CENTER

・2020.09.07 National Cyber Power Index 2020

・[PDF]  National Cyber Power Index 2020 Methodology and Analytical Considerations

・[xlsx

 

目次


Executive Summary

1. Introduction
1.1 Objective of Belfer’s NCPI 2020
1.2 Contrasting the NCPI with Existing Cyber Indices

2. National Cyber Power Index 2020
2.1 Interpreting the National Cyber Power Index 2020
2.2 Limitations
 2.2.1 Lack of Publicly Available Data on Cyber Capabilities
 2.2.2 Lack of Data Surrounding Proxies in Cyberspace
 2.2.3 Simplifications
 2.2.4 Capturing the Duality of Cyber Capabilities

3. Conceptual Framework
3.1 National Objectives

4. Methodology and Discussion
4.1 Scoring Intent and Sources
4.2 Scoring Capabilities and Sources
4.3 Construction of the Aggregated NCPI

5. Conclusion

Bibliography

Annex A. NCPI Plot Charts by Objective
Annex B. Detailed Explanation of Intent Indicators by Objective
Annex C. Detailed Explanation of Capability Indicators
Annex D. Radar Charts of All Capabilities by Country



7つの国家目標の文脈

  1. Surveilling and Monitoring Domestic Groups;
  2. Strengthening and Enhancing National Cyber Defenses;
  3. Controlling and Manipulating the Information Environment;
  4. Foreign Intelligence Collection for National Security;
  5. Commercial Gain or Enhancing Domestic Industry Growth;
  6. Destroying or Disabling an Adversary’s Infrastructure and Capabilities; and,
  7. Defining International Cyber Norms and Technical Standards.

評価結果

# Country Total Capability Intent
1  United States 50 66 0.77
2 China 41 52 0.80
3 United Kingdom 36 45 0.76
4 Russia 28 38 0.71
5 Netherlands 24 38 0.61
6 France 23 43 0.49
7 Germany 22 43 0.49
8 Canada 22 36 0.55
9  Japan 21 38 0.47
10 Australia 20 33 0.57

 

Graph3 

 

| | Comments (0)

2020.09.13

英国 データ保護委員会 アカウンタビリティ フレームワーク

こんにちは、丸山満彦です。

英国のデータ保護委員会(Information Commissioner's Office : ICO)がアカウントビリティー フレームワークを公表していますね。大作です!

UK-ICO

・2020.09.10 Blog: Accountability Framework: demonstrating your compliance

Ian Hulme, Director of Regulatory Assurance discusses the launch of our new Accountability Framework and how organisations can take part in the next stage of its development. 

Accountability Framework


 

 

| | Comments (0)

米国 宇宙システムのためのサイバーセキュリティ原則

こんにちは、丸山満彦です。

米国が宇宙システムのためのサイバーセキュリティ原則を発表しています。発表から少し経っているので忘れないうちに、メモメモ・・・

ホワイトハウス - 大統領の行動

・2020.09.04 Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems

 

軌道上のほとんどの宇宙船は予め設定された通信制御方法以外でのアクセスできないから、リモートでインシデントに対応する機能を含むサイバーセキュリティ対策が打ち上げ前に宇宙船の設計に統合されていることが重要となると指摘されていますが、その通りですね。。。

このため、開発のすべてのフェーズにサイバーセキュリティを統合し、ライフサイクル全体のサイバーセキュリティを確保することは、宇宙システムにとって重要と指摘していますね。。。

 

 


宇宙システムのためのサイバーセキュリティ原則

第一章 背景

第二章 定義

第三章 方針

地上システムに適用されるサイバーセキュリティの原則と実践は宇宙システムにも適用される。

第四章 原則

(a) 宇宙システムとそれを支えるインフラは、リスクベースのサイバーセキュリティ情報に基づくエンジニアリングを用いて開発・運用されなければならない。 

(b) 宇宙システムの所有者及び運用者は、運用者又は自動制御センターシステムが宇宙機の積極的な制御を維持又は回復できるようにするための能力を組み込んだ宇宙システムのサイバーセキュリティ計画を策定し、 実施するべきである。 

(i) 宇宙機の需要な機能への不正アクセスからの保護。

(ii) 宇宙機のコマンド、制御、及びテレメトリ受信システムの脆弱性を低減するように設計された物理的保護手段。

(iii) 信号強度監視プログラム、安全な送信機及び受信機、認証、又は効果的で有効性が検証され、試験された暗号化手段などの通信妨害及びなりすましに対する保護。

(iv) 計画的なサイバーセキュリティのベストプラクティスを採用することによる地上システム、運用技術、 情報処理システムの保護。 この採用には、内部者の脅威を含むシステムへのマルウェア感染や悪意のあるアクセスのリスクを低減するために、NISTのサイバースセキュリティフレームワークに沿った実践が含まれるべきである。

(v) 情報システム、アンテナ、端末、受信機、ルータ、関連するLAN及びWAN、電源などのシステム要素に対 して、適切なサイバーセキュリティの衛生習慣、自動化された情報システムの物理的セキュリティ、及び侵入検知方法を採用すること。

(vi) 製造された製品の追跡、信頼できる供給者からの調達の要求、偽造、詐欺、悪意のある機器の特定、その他の利用可能なリスク軽減手段の評価を通じて、宇宙システムのサイバーセキュリティに影響を与えるサプライチェーンのリスクを管理すること。

(c) 規則、規制、及びガイダンスを通じたこれらの原則の実施は、サイバーセキュリティのベストプラクティス及び行動規範の検討及び必要に応じての採用を含め、宇宙システムのサイバーセキュリティを強化すべきである。

(d) 宇宙システムの所有者及び運用者は、適用される法律で認められている範囲で、ベストプラクティスの開発を促進するために協力すべきである。 また、適用法に沿って、情報共有・分析センターのような場を利用して、可能な限り最大限に、宇宙産業内で脅威、警告、及びインシデント情報を共有すべきである。












 

| | Comments (0)

2020.09.12

2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

こんにちは、丸山満彦です。

米国のエスパー国防長官が、9月9日と10日に開催されたDoDのAIシンポジウム(2020 Department of Defense Artificial Intelligence Symposium and Exposition)でエスパー国防長官が、「2024年までに戦闘機でAIパイロットをテストすることを含め、米国は人工知能の軍事利用で世界をリードする」と述べたようですね。

● DoDのAIブログ

・2020.09.10 Making AI Real: Department of Defense AI Symposium Day 1

では、そこまで具体的に書かれていませんが、

● Breaking Defense

・2020.09.09 AI To Fly In Dogfight Tests By 2024 by

After an AI beat humans 5-0 in AlphaDogfight simulations this summer, Mark Esper announced, a future version will be installed in actual airplanes for “a real-world competition.” But military AI will adhere to strict ethical limits, he said.

によると、

The US, he vowed, will lead the world on the military use of artificial intelligence – including testing an AI pilot in a fighter by 2024.

ということのようです。。。

■ 参考
2020 Department of Defense Artificial Intelligence Symposium and Exposition

● Breaking Defense
AI Slays Top F-16 Pilot In DARPA Dogfight Simulation by

2020.08.24 AIがDARPAドッグファイトシミュレーションでトップレベルのF-16パイロットを倒す?

 

Ai2020_20200912030201  

| | Comments (0)

総務省が中小企業等担当者向けのテレワークセキュリティに関する手引き(チェックリスト)を公表していますね。。。

こんにちは、丸山満彦です。

総務省が中小企業等担当者向けのテレワークセキュリティに関する手引き(チェックリスト)を公表していますね。。。

総務省

・2020.09.11 テレワークセキュリティに関する手引き(チェックリスト)等の公表

 

新たに公表したのはチェックリストとオンラインミーティング用ソフトの設定解説資料ですね。

テレワークにおけるセキュリティ確保

 ・[PDF] 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)

 ・設定解説資料

・[PDF] Cisco Webex Meetings
・[PDF] Microsoft Teams
・[PDF] Zoom

・ 参考

 ・[PDF]テレワークセキュリティガイドライン(第4版)

NISTがSP 800-46の改訂にむけて参考になるものを募集しているので、NISTに紹介した方が良いかもですよね(^^)

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.11 NISTがSP 800-46 企業向けテレワークセキュリティのガイドの改訂に向けたアイデア募集していますね。。。



Continue reading "総務省が中小企業等担当者向けのテレワークセキュリティに関する手引き(チェックリスト)を公表していますね。。。"

| | Comments (0)

総務省 サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の取組強化

こんにちは、丸山満彦です。

総務省がNOTICEの強化をするようですね。。。

● 総務省

・2020.09.11 サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の取組強化

 

NICTから総務大臣に対し、国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務(NOTICE)の変更申請があって承認されたということですね。。。

 


(1) 特定アクセス行為において入力する識別符号(ID・パスワード)の追加
 ※特定アクセス行為:NICTが調査のために機器にID・パスワードを入力する行為
 継続して新たなIoT機器向けのマルウェアが登場していることを踏まえ当該マルウェアで利用されている識別符号や、機器の初期設定の識別符号等を新たに調査対象とするため、特定アクセス行為において入力する識別符号を約600通り(変更前は約100通り)とするものです。

(2) 特定アクセス行為の送信元のIPアドレスの追加
 (1)により入力する識別符号が増加することから、特定アクセス行為に係る通信量も増加し通信回線を増設するため、特定アクセス行為の送信元として使用するIPアドレスを54個(変更前は41個)とするものです
※新たに追加されるIPアドレスは、150.249.227.162~174です。


| | Comments (0)

2020.09.11

NISTがSP 800-46 企業向けテレワークセキュリティのガイドの改訂に向けたアイデア募集していますね。。。

こんにちは、丸山満彦です。

COVID-19で在宅勤務デフォルトとなった企業も少なからずあると思います。それは日本だけでなく、海外でも同じですね。今まで例外的に認めていた事務所外からのインターネット越しのアクセスが、主流のアクセス方法になるわけですからセキュリティ的には色々と検討すべきこと、対策の強化、変更等が必要となってきますよね。。。

ということで、BYODブームの時(2016年)に改訂されたNIST SP 800-46 Revision 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Securityの改訂が考えられているようで、NISTのウェブページにコメント募集が行われています。

NIST

・2020.09.10 (Publications) SP 800-46 Rev. 3 (Draft) PRE-DRAFT Call for Comments: Guide to Enterprise Telework Security

ちなみに現在は

・2016.07.29 (Publications) SP 800-46 Rev. 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security

・[PDF] NIST Special Publication 800-46 Revision 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security

で、ここで皆さんに注目していただきたい点は、コンテンツだけでなく、こういう規定文書の変更の仕方についてのフレームワークです。社内の規程の変更等の時にも参考になると思います。ある意味、規程変更プロセスの標準化的なことに繋がると思います。

例えば、変更の目的を、

Objective 1: Reflect changes in how telework is performed. 
Objective 2: Reflect changes in the role of remote access technologies.
Objective 3: Update all references and mappings to references.
Objective 4: Shorten SP 800-46 to improve its readability.

としていますが、

  1. 運用状況(利用環境)の変化を反映する
  2. 技術の進歩による変化を反映する
  3. リファレンスを更新する
  4. 文章を読みやすく(短く)する

という構造をとって、それぞれのポイントを整理すると抜け漏れなく、整合性の取れた形で、効率よく改訂作業ができるように思います。

 

 


 

Continue reading "NISTがSP 800-46 企業向けテレワークセキュリティのガイドの改訂に向けたアイデア募集していますね。。。"

| | Comments (0)

2020.09.10

米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事

こんにちは、丸山満彦です。

日系三世で米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏[wikipedia]による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事は、米国が直面している課題の発言もあり興味深いです。。。

Foreign Affairs

・2020.08.25 How to Compete in Cyberspace - Cyber Command’s New Approach by 

プロアクティブ防御の話は、興味深いです。

2008年にハッキングされ、ネットワークの境界を保護するだけでは十分な防御になっていないことを学び、3つの変更を加えたとしています。

第1:ネットワークの壁だけでなく、自分のネットワーク内で起きていることへの関心を高めた。

攻撃的なマルウェアを積極的に探すようにし、
軍のネットワークから侵入者を検出、隔離、排除する速度と効果を向上させた。

第2:軍のネットワーク全体にゼロトラストを拡大した。

敵はシステムを知っていると想定」し、すべてのホスト、サーバー、および接続を潜在的に敵対的なものとして扱う。

第3:軍事指揮官がコンピュータネットワークの防御を本質的な要件として扱い、後付けではなく、説明責任の考え方がサイバーでも必要だることを育んでいる。

↑ を読むための伴奏として、 ↓

 

Law Fare

・2020.09.08 How to Compete in Cyberspace: An Accompaniment by David Kris

 

 

1200pxseal_of_the_united_states_cyber_co 

| | Comments (0)

中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

こんにちは、丸山満彦です。

豊になればきっと民主的な政治が行われるだろうと信じて支援してきたものの、豊になっても民主的な政治が行われず、むしろ単なる脅威だけ残った、、、と思っているのかもしれませんが、利権を持っている人が豊になればますますその利権を離したくなくなるのかもしれません。結果、より独裁的な色が強くなるというのは、程度の差こそあれ、どの時代でも、どの国でも同じなのかもしれません。。。

豊になれば、知識もついて、利権を持たない一般民衆が結束して利権に立ち向かう運動を起こすことも、歴史上しばしばあったのですが、小さな芽のうちに摘んでしまうことと情報統制によって、うまく制御できているようにも見えます。。。

小学校でもガキ大将的な子供が転校して新たにクラスに加わると、今までのガキ大将は脅威に感じて、いじめや仲間はずれをすることがあると思いますが、そうなるといじめられた転校生は、仲間集めをするわけで、今までのガキ大将に渋々したがっていた子供を見つけては仲間に入れて、お誕生日会に呼んだり、学級委員になったりと色々と対策をしてくるわけですよね。こういうのって、動物的な本能のような部分なので、手法はともかく知識とは関係ないようにも思います。知らんけど。。。

さて、中国の11代外交部長(外務大臣)で国務委員の王毅(Wang Yi )さんが、「グローバル データ セキュリティ イニシアティブ」を提案していますね。

中国政府 外交部

・2020.09.08 Upholding Multilateralism, Fairness and Justice and Promoting Mutually Beneficial Cooperation
-Keynote Speech by State Councilor and Foreign Minister Wang Yi At the International Seminar on Global Digital Governance

 

- 相关新闻

・2020.09.08 坚守多边主义 倡导公平正义 携手合作共赢 - 在全球数字治理研讨会上的主旨讲话
(多国間主義を堅持し、公正と正義を主張し、双方に有利な状況のために協力する - グローバルデジタルガバナンスシンポジウムでの基調講演)

----

 - 外交部长活动

・2020.09.09 东盟高度重视中方提出的《全球数据安全倡议》
(ASEANは中国が提唱するグローバル データ セキュリティ イニシアティブを重視)

・2020.09.08 全球数据安全倡议
(グローバル データ セキュリティ イニシアティブ)

・2020.09.08 王毅在全球数字治理研讨会上的主旨讲话
(グローバル デジタル ガバナンス シンポジウムでの王毅氏の基調講演)

・2020.09.08 中方提出《全球数据安全倡议》
(中国がグローバル データ セキュリティ イニシアティブを提案)

・2020.09.08王毅:中国愿发起《全球数据安全倡议》
(王毅:中国はグローバル データ セキュリティ イニシアティブの立ち上げに意欲的)

・2020.09.08 王毅:中国政府不会要求中方企业违反别国法律提供境外数据
(王毅:中国政府は国内企業に他国の法律に反する海外データの提供を求めない)

・2020.09.08 王毅谈应对数据安全风险应遵循的三项原则
(王毅氏が語るデータ セキュリティ リスクに対処するための3つの原則)

・2020.09.04 王毅:中方正积极考虑提出有关维护数据安全的倡议
(王毅:中国はデータセキュリティの維持に向けた取り組みを積極的に検討している)

 

王毅さん[wikipedia]、英語ではWang Yiさん[wikipedia]と言えば、大学で日本語を学んで駐日大使もされていたので、馴染みがありますよね。。。中国政府の正式ページは、、、

首页 - 国务院  

王毅 (経歴


王毅さんが発表した「データ セキュリティ リスクに対処するための3つの原則

 

第一,秉持多边主义
共商、共建、共享是解决全球数字治理赤字的正确出路。应在各方普遍参与基础上,达成反映各国意愿、尊重各方利益的全球数据安全规则。个别国家大搞单边主义,以“清洁”为名向别国泼脏水,以安全为借口对其他国家领先企业进行全球围猎,这是赤裸裸的霸凌行径,应该予以反对和摒弃。
第一:多国間主義を堅持すべきである。
グローバルデジタルガバナンスの赤字に対処するための正しい方法は、協議、共同構築、共有です。 すべての当事者の普遍的な参加に基づき、すべての国の意思を反映し、すべての当事者の利益を尊重するグローバルなデータセキュリティ規則に合意するべきです。 各国の一方的な行為、「Clean」の名の下に他国に汚い水を投げつける行為、安全保障を口実に他国の有力企業を世界的に魔女狩りする行為は、あからさまないじめ行為であり、反対され、破棄されるべきです。
第二,兼顾安全发展
保护数据安全对数字经济健康发展至关重要。各国都有权依法保护本国的数据安全。同时,也都应为所有企业提供开放、公正、非歧视的营商环境。数字保护主义违背经济发展的客观规律,不符合全球化的时代潮流,不但有损全球消费者公平获得数字服务的权利,最终也会阻碍自身的发展。
第二:安全保障と開発のバランスをとることが必要である。
デジタル経済の健全な発展には、データセキュリティの保護が不可欠です。 すべての国は、法律に基づいて自国のデータの安全を守る権利を持っています。 同時に、すべての企業には、オープンで公正かつ非差別的なビジネス環境が提供されるべきです。 デジタル保護主義は、経済発展の客観的法則とグローバル化時代の流れに逆行し、グローバルな消費者がデジタルサービスに公正にアクセスする権利を損なうだけでなく、最終的には消費者自身の発展を阻害するものです。
第三,坚守公平正义
维护数字安全应以事实和法规为依据。把数据安全问题政治化,刻意搞双重标准,甚至不惜造谣抹黑,违背国际关系基本准则,也严重干扰和阻碍全球数字合作与发展。
第三:公平と正義を守るべきである
デジタルセキュリティの維持は、事実と規制に基づいて行われるべきです。 データセキュリティの問題を政治化し、意図的に二重基準を使い、中傷キャンペーンにまで手を染めることは、国際関係の基本的な規範に反し、世界的なデジタル協力と発展を著しく阻害し、妨げています。

 

提案は全部で8つです。

  1. First, approach data security with an objective and rational attitude, and maintain an open, secure and stable global supply chain.

  2. Second, oppose using ICT activities to impair other States' critical infrastructure or steal important data.

  3. Third, take actions to prevent and put an end to activities that infringe upon personal information, oppose abusing ICT to conduct mass surveillance against other States or engage in unauthorized collection of personal information of other States.

  4. Fourth, ask companies to respect the laws of host countries, desist from coercing domestic companies into storing data generated and obtained overseas in one's own territory.

  5. Fifth, respect the sovereignty, jurisdiction and governance of data of other States, avoid asking companies or individuals to provide data located in other States without the latter's permission.

  6. Sixth, meet law enforcement needs for overseas data through judicial assistance or other appropriate channels.

  7. Seventh, ICT products and services providers should not install backdoors in their products and services to illegally obtain user data.

  8. Eighth, ICT companies should not seek illegitimate interests by taking advantage of users' dependence on their products.

1920pxnational_emblem_of_the_peoples_rep 


■ 関連

まるちゃんの情報セキュリティ気まぐれ日記
・2020.08.07 米国政府 米国の資産を守るため Clean Network Programを強化

 U.S. Department of State
・2020.08.05 Announcing the Expansion of the Clean Network to Safeguard America’s Assets


報道等

Wall Street Journal
 ・2020.09.08 China Launches Initiative to Set Global Data-Security Rules - Move, unveiled Tuesday is meant to counter U.S. Clean Network effort by  

The tech battle between the U.S. and China has battered TikTok and Huawei and startled American companies that produce and sell in China. WSJ explains how Beijing is pouring money into high-tech chips as it wants to become self-sufficient. 

● Reuters
・2020.09.08 China unveils global data security initiative, says some countries bullying others

BEIJING/SHANGHAI (Reuters) - China announced an initiative on Tuesday to establish global standards on data security, saying it wanted to promote multilateralism in the area at a time when “individual countries” were “bullying” others and “hunting” companies.

● South China Morning Post
・2020.09.08 China slams US ‘bullying’ of tech firms, unveils data security initiative by

  • Foreign Minister Wang Yi condemns ‘global hunting’ of other countries’ companies after US expands its Clean Network programme
  • Chinese initiative opposes use of IT to steal data, mass surveillance against other states and installing ‘back doors’ in devices

China Global Television Network (CGTN)
・2020.09.08 Wang Yi: China proposes global data security initiative

China is proposing a global data security initiative that opposes undermining key infrastructure or data theft by using information technology and forcing firms to store data generated overseas in their home country, Chinese State Councilor and Foreign Minister Wang Yi said on Tuesday at an international symposium named "Seizing Digital Opportunities for Cooperation and Development."

| | Comments (0)

2020.09.09

NISTが信頼性の高いIoTデバイスネットワーク層別オンボーディングとライフサイクル管理に関する白書のドラフトを公表していますね。。。

こんにちは、丸山満彦です。

NISTがNISTが信頼性の高いIoTデバイスネットワーク層別オンボーディングとライフサイクル管理に関する白書のドラフトを公表していますね。。。

信頼できるネットワーク層のオンボーディング・メカニズムを使用するメリットとして次の2点を挙げていますね。。。

  • 不正なデバイスがネットワークに接続するのを防ぐ
  • 不正なネットワークに乗っ取られないようにする

 

● NIST

・2020.09.08 (Publication)  White Paper (Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management

・[PDF]  White Paper


Abstract

 

  

Continue reading "NISTが信頼性の高いIoTデバイスネットワーク層別オンボーディングとライフサイクル管理に関する白書のドラフトを公表していますね。。。"

| | Comments (0)

ドイツBSIが、船舶に関連するサイバーセキュリティの強制力のあるガイドを出していますね。。。

こんにちは、丸山満彦です。

Bundesamt für Sicherheit in der Informationstechnik” [wikipedia(de)](連邦情報セキュリティ局)が、船舶に関連するサイバーセキュリティの強制力のあるガイドを出していますね。。。

貿易に船舶業務が重要という前提の上、最近の船舶や物流業務のオープン化が進んでいることがサイバーセキュリティリスクを増大させているということで、ガイドを出す必要があったということでうかね。

BSI

・2020.09.08 MehrCyber-Sicherheit auf den Weltmeeren (More Cyber Security on the Oceans)

・2020.09.08 ISM Cyber Security

英語に訳してみました。


Increasing digitalization, enhanced interactivity, growing connectivity and the growing disappearance of network boundaries on board ships offer increasing opportunities for threats from internal and external cyber risks. It is necessary to support ship operations with individual measures and cyber risk management.


ファイルは

・2020.09.08 [PDF] ISMCyberSecurity

 


■ 参考となる過去の文書

● 運航Schiffsbetrieb

・2020.02.03 Neues IT-Grundschutz-Profil für den Schiffsbetrieb (New IT basic protection profile for ship operation)

・2020.01.31 IT-Grundschutz-Profil für Reedereien – Schiffsbetrieb


The IT-Grundschutz profile focuses on four business processes in the ship operation of a model shipping company and recommends security requirements that must be met in accordance with the approach of standard security according to IT-Grundschutz. These four business processes are technical operation, nautical operation, cargo operation and communication. The IT-Grundschutz profile helps with the entrance into information security and the determination of the most serious weak points in these processes and gives beyond that support for a resuming protection requirement determination and risk analysis.


・2020.01.24 [PDF] IT-Grundschutz-Profil für Reedereien Mindest-Absicherung für den Schiffsbetrieb

陸上業務 (Schiffsbetrieb

・2018.12.18 IT-Grundschutzprofil für Reedereien veröffentlicht

・2018.12.18 IT-Grundschutz-Profil für Reedereien – Landbetrieb


The basic version of the IT-Grundschutz profile defines a minimum protection requirement in shipping company operations on land in the business processes Accounting and Technical Management. It is based on the IT-Grundschutz approach "Standard protection". The IT-Grundschutz profile offers an easy entry into information security and helps to identify the most serious weaknesses in the business processes under consideration. Furthermore, it also provides support for a further determination of protection requirements and risk analysis.


・2018.12.18 [PDF] IT-Grundschutz-Profil für Reedereien Mindest-Absicherung für den Landbetrieb

 


 

Continue reading "ドイツBSIが、船舶に関連するサイバーセキュリティの強制力のあるガイドを出していますね。。。"

| | Comments (0)

欧州データ保護委員会 (EDPB)が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」について意見募集をしていますね。。。

こんにちは、丸山満彦です。

先日、このブログで、

・2020.09.05 欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、

を書きましたが、「ソーシャルメディアユーザーのターゲティングに関するガイドライン」が公表されていますね。。。

 

European Data Protection Board (EDPB)

・2020.09.07 Guidelines 08/2020 on the targeting of social media users

・[PDF] Guidelines 8/2020 on the targeting of social media users Version 1.0

意見募集は2020.10.19までです。

ソーシャルメディアが知らず知らずに個人(本人およびその家族、友人等)に関する情報を時間と共に徐々に蓄積していく場となってしまうので、事業者に対して何らかのガイドは必要なんでしょうね。。。

 

Edpb 

Continue reading "欧州データ保護委員会 (EDPB)が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」について意見募集をしていますね。。。"

| | Comments (0)

2020.09.08

欧州データ保護委員会 (EDPB)が「GPDRにおけるコントローラとプロセッサーの概念に関するガイドライン」について意見募集をしていますね。。。

こんにちは、丸山満彦です。

先日、このブログで、

・2020.09.05 欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、

を書きましたが、「コントローラとプロセッサーに関するガイドラインが公表されていますね。。。

 

European Data Protection Board (EDPB)

・2020.09.07 Guidelines 07/2020 on the concepts of controller and processor in the GDPR

・2020.09.02 [PDFGuidelines 07/2020 on the concepts of controller and processor in the GDPR Version 1.0

 

意見募集は2020.10.19までです。

コントローラ、ジョイントコントローラ、プロセッサの概念は、一般データ保護規則2016/679(GDPR)の適用において重要ですよね。。。ということで、コントローラ、ジョイントコントローラ、プロセッサについての整理がされた文書です。日本においても参考になるかもですね。

コントローラは、処理の特定の重要な要素を決定する主体といことですかね。処理の目的と手段の両方、つまり処理の理由と方法を共に決定しないといけません。

ジョイントコントローラは、簡単にいうと共同コントローラということになりますかね。

プロセッサは、管理者に代わって個人データを処理する主体ということになりますかね。プロセッサは、コントローラの指示に従わない限りデータを処理できません。

という感じですかね。。。

Edpb 

Continue reading "欧州データ保護委員会 (EDPB)が「GPDRにおけるコントローラとプロセッサーの概念に関するガイドライン」について意見募集をしていますね。。。"

| | Comments (0)

2020.09.07

US-CISAが連邦機関に対する脆弱性情報の開示方針を発表していましたね。。。

こんにちは、丸山満彦です。

米国の Cybersecurity and Infrastructure Security Agency (CISA)がインターネットにアクセス可能なシステムの脆弱性情報の開示方針(vulnerability disclosure policy (VDP) )を発表しましたね。これは、法定された「国家安全保障システム」や国防総省や諜報機関が運営する特定のシステムには適用されないようですね(Section 3554(d)(e) of title 44, U.S. Code )。

テンプレートも公開していますね。。。日本の政府機関のみならず、民間企業でも参考になるかもですね。。。

● CISA

・2020.09.02 (Release) CISA ISSUES FINAL VULNERABILITY DISCLOSURE POLICY DIRECTIVE FOR FEDERAL AGENCIES

・2020.09.02 (Blog) IMPROVING VULNERABILITY DISCLOSURE TOGETHER (OFFICIALLY)

● Cyber dhs.gov

・2020.09.02 Binding Operational Directive 20-01

 ・ Vulnerability Disclosure Policy Template

 


| | Comments (0)

2020.09.06

海外のシンクタンクによる日本のセキュリティ政策の分析 - ETH Zurich - Center for Security Studies -

こんにちは、丸山満彦です。

ETH Zurich  - Center for Security Studies -による、日本のサイバーセキュリティ政策等のレポートが話題になっていますね。。。英語の発信も一定していますが、全体像についての発信は少なかったかもですね。それって、英語だけの問題ではないよね、、、ということで日本人の中でも話題になっています(^^) 

ETH Zurich  - Center for Security Studies -

・2020.09.04 

・CYBERDEFENSE REPORT Japan’s National Cybersecurity and Defense Posture Policy and Organization [PDF] [downloaded]


The aim of this study by Stefan Soesanto is to provide the reader with a better understanding of the evolution of Japan's cybersecurity and defense policy since the year 2000. In addition to the policy areas in which the Japanese government is active in protecting cyberspace, the report explains the security-​​related events that have triggered the need for government involvement.


この図です。不正確なところがあるのかもしれませんが、であれば正確な図を作るとか・・・

Structure 


Table ofContents

1 Introduction

2 Policy Areas
2.1 Cybersecurity
2.2 Cybercrime
2.3 Cyber terror (サイバーテロ)
2.4 Cyber diplomacy
2.5 Cyber defense

3 Evolution (trigger events)
3.1 Cyber terror
3.2 Cyber-espionage
3.3 Cybercrime

4 Relevant policy documents
4.1 Key policy documents
 4.1.1 2000 Basic Act
 4.1.2 2000 Special Action Plan
 4.1.3 1st National Strategy
 4.1.4 2nd National Strategy
 4.1.5 Information Security Strategy
4.2 National Cybersecurity Strategy
 4.2.1 1st Cybersecurity Strategy
 4.2.2 Basic Act on Cybersecurity
 4.2.3 2nd Cybersecurity Strategy
 4.2.4 3rd Cybersecurity Strategy
4.3 National Cyber Defense Strategy
 4.3.1 Japan-US Defense Guidelines
 4.3.2 Nat. Defense Program Guidelines
 4.3.3 Mid-Term Defense Program

5 Organizational Structures
5.1 The Cabinet
5.2 The Cabinet Secretariat
5.3 Ministry of Defense
5.4 US-Japan Cyber Defense Cooperation
5.5 National Public Safety Commission
5.6 Ministry of Economy, Trade, and Industry
5.7 Ministry of Internal Affairs and Communications
5.8 Cyber Attack Analysis Council
5.9 Ministry of Justice
5.10 Ministry of Foreign Affairs

6 Conclusion

7 Abbreviations

8 Bibliography


 

Continue reading "海外のシンクタンクによる日本のセキュリティ政策の分析 - ETH Zurich - Center for Security Studies -"

| | Comments (0)

IPA 情報セキュリティ白書2020 + 10大脅威 ~セキュリティ対策は一丸となって、Let's Try!!~

こんにちは、丸山満彦です。

IPA (独立行政法人情報処理推進機構 ) が情報セキュリティ白書2020を公表していますね。簡単なアンケートに回答するとPDF版が読めます。。。

● IPA

・2020.09.03 情報セキュリティ白書2020

特別投稿の「特別寄稿 セキュリティマネジメントの日米企業比較 ~組織論の観点から~」は興味深いですね。過去の成功の上に現在の失敗があるということでしょうかね。。。

多くの日本企業で言えているのかも、、、とか思っていたけど、そもそも日本政府の政策が・・・・いやいや気のせいか・・・

・2020.08.28情報セキュリティ10大脅威 2020」を公開


情報セキュリティ白書

2019年度版  10大脅威 ~局面ごとにセキュリティ対策の最善手を~ [PDF] [downloaded]

2018年度版  10大脅威 ~引き続き行われるサイバー攻撃、あなたは守りきれますか?~ [PDF] [downloaded]

2017年度版  10大脅威 ~職場に迫る脅威! 家庭に迫る脅威!? 急がば回れの心構えでセキュリティ対策を~

2016年度版  10大脅威 ~個人と組織で異なる脅威、立場ごとに適切な対応を~

2015年度版  10大脅威 ~ 被害に遭わないために実施すべき対策は? ~

2014年度版  10大脅威 複雑化する情報セキュリティ あなたが直面しているのは?

2013年度版  10大脅威 身近に忍び寄る脅威

2012年度版  10大脅威 変化・増大する脅威

2011年度版  10大脅威 進化する攻撃...その対策で十分ですか?

2010年度版  10大脅威 あぶり出される組織の弱点!

2009年度版  10大脅威 攻撃手法の『多様化』が進む

2008年度版  10大脅威 ますます進む『見えない化』

2007年度版  10大脅威 脅威の“見えない化”が加速する![PDF] [downloaded]

2006年度版  10 大脅威 加速する経済事件化 [PDF] [downloaded]

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2009.03.28 IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む

・2008.05.28 IPA 情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開

・2007.03.12 IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する!」 -

・2006.03.23 IPA 情報セキュリティ白書2006年版発行

 

Continue reading "IPA 情報セキュリティ白書2020 + 10大脅威 ~セキュリティ対策は一丸となって、Let's Try!!~"

| | Comments (0)

2020.09.05

J-LIS (予告)「自治体テレワーク推進実証実験」の公募について

こんにちは、丸山満彦です。

地方公共団体情報機構 (J-LIS) が自治体テレワーク推進実証実験の公募を行う予定なので、その予告をしていますね。

地方公共団体情報機構 (J-LIS) 

・2020.09.04 (予告)「自治体テレワーク推進実証実験」の公募について

自治体職員が自宅のPCから自治体庁内にあるLGWAN接続系のPCへのリモートアクセスを可能とする機能を提供し、自治体におけるテレワークの実証実験を行う予定とのことです。

システムの概要は下記のようになるようです。

 Image_telework

出典:J-LIS (https://www.j-lis.go.jp/lgwan/news/lgwan-koubo_telework.html)

画面転送で職員の自宅から操作ができるようにするわけですね。。。

| | Comments (0)

欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、

ガイドライン等は、今後開示されると思います。。。

EDPB

・2020.09.04 (News) European Data Protection Board - Thirty-seventh Plenary session: Guidelines controller-processor, Guidelines targeting social media users, taskforce complaints CJEU Schrems II judgement, taskforce supplementary measures

 


| | Comments (0)

2020.09.04

マイクロソフトがDeepfake検出ツールを発表してました。。。

こんにちは、丸山満彦です。

マイクロソフトのブログで、Deepfakeを検出するツールについての記事がありました。。。

● Microsoft - 

・2020.09.01 New Steps to Combat Disinformation

大統領選が近づいていますからね。。。

Fake動画を作る側とそれを見破る側の「イタチごっこ」が始まりますね。。。

ちなみに、英語では”Cat and mouse” (^^)

 

Example of a deepfake identification

Source Microsoft

また、Microsoftは、Deepfakeに関するキャンペーンもしているようですね。

Stop Deepfake


 ■ 報道等

esst - WeLiceSecurity
・2020.09.03 Microsoft debuts deepfake detection tool by 

As the US presidential election nears, the company’s new tech should also help assure people that an image or video is authentic

TechCranch
・2020.09.02 Microsoft launches a deepfake detector tool ahead of US election by Natasha Lomas

BBC
・2020.09.02 Deepfake detection tool unveiled by Microsoft by Leo Kelion
Microsoft has developed a tool to spot deepfakes - computer-manipulated images in which one person's likeness has been used to replace that of another.

| | Comments (0)

地方公共団体の個人情報保護制度の議論が始まるようですね。。。at 内閣官房 個人情報保護制度の見直しに関するタスクフォース

こんにちは、丸山満彦です。

内閣官房 個人情報保護制度の見直しに関するタスクフォースの第7回会合が9月7日に開かれる予定ですが、議事次第によると地方公共団体の個人情報保護制度の議論が始まるようですね。。。

内閣官房 - 個人情報保護制度の見直しに関するタスクフォース

・2020.09.07 第7回 個人情報保護制度の見直しに関する検討会の開催について


議 題(予定):

  • 地方公共団体の個人情報保護制度の在り方に関する検討の基本的な考え方及び主な論点について
  • 経済団体からのヒアリング
  • 地方三団体からのヒアリング

個人情報保護の規制は当初は法律・条例が、民間+行政機関+独立行政機関+2000自治体となっていて用語の整合性、規律の整合性等で複雑となっていたのですが、先般、民間+行政機関+独立行政機関については統合する方向で中間整理案が策定され、9月28日まで意見募集が行われています。さて、次は自治体ですかね。。。

当初は国に先駆けて神奈川県等で個人情報保護条例ができ、総務省も各自治体に個人情報保護条例の策定を促したこともあり、全自治体が個人情報保護条例を持っている状況ですね。

これも統合をした方が良いということなのですかね。。。地方自治の話もありますが、、、

個人情報保護法に寄せて、各自治体で一定の範囲で条例で変更できるようにすれば良いのではないですかね。。。


まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.01 パブコメ「個人情報保護制度の見直しに向けた中間整理案」

 

 

| | Comments (0)

2020.09.03

カリフォルニア州 匿名化された健康情報に関する法案(AB 713)と遺伝的プライバシー情報に関する法案(SB 980)を可決

こんにちは、丸山満彦です。

米国の中でもプライバシーに対応をきっちりやっているカリフォルニア州で、

  • 匿名化された健康情報に関する法案(AB-713)
  • 遺伝的プライバシー情報に関する法案(SB-980)

が可決されたようですね。。。

California Legislative Information

・(Bill Text)AB-713 California Consumer Privacy Act of 2018.(2019-2020)

  • 1996年医療情報のポータビリティおよびアカウンタビリティ法(HIPAA)の要件に従い、患者情報やHIPAAで定義された研究で収集、使用、開示された情報に由来する情報を、2018年カリフォルニア州消費者プライバシー法(CCPA)の適用除外としている。
  • 特定の例外を満たさない限り、企業またはその他の者が再識別された情報非識別化された情報を再識別することを禁止している。
  • 2021年1月1日以降、再識別非識別化された情報の販売またはライセンスのための契約には、再識別の禁止に関連する特定の条項を含めることを要求している。

・(Bill Text)SB-980 Privacy: genetic testing companies: COVID-19 testing.(2019-2020)

  • 消費者向け遺伝子検査製品やサービスから収集された、あるいは派生した、あるいは消費者から直接提供された遺伝子データを収集、使用、維持、開示する消費者向け遺伝子検査会社に対し、遺伝子データの収集、 使用、維持、開示に関する会社の方針と手順に関する一定の情報を消費者に提供し、消費者の遺伝子データの収集、使用、開示に対する消費者の明示的な同意を得ることを要求している。
  • 消費者への直接的な遺伝子検査会社に対して、一定の手順に従って消費者の同意の取消しを尊重し、同意の取消しから30日以内に消費者の生物学的サンプルを破棄することを要求している。

 

報道等

DataGuidance

・2020.09.02 California: Legislature passes bills on deidentified health data and genetic information

| | Comments (2)

2020.09.02

米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

こんにちは、丸山満彦です。

U.S. GAOのWatch BlogでFedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保が取り上げられていますね。。。

このWatch Blogはなかなか興味深いです。。。

● U.S. GAO - Watch Blog

・2020.09.01 FedRAMP—Ensuring Safe Use of Cloud Computing by Federal Agencies


Federal agencies increasingly use internet-based (cloud) services to fulfill their missions. However, those services pose cybersecurity risks when agencies don’t effectively implement related security controls.

The 2011 Federal Risk and Authorization Management Program (or FedRAMP) aims to standardize the approach for federal use of cloud services. The FedRAMP program establishes security requirements and guidelines that are intended to help secure cloud computing environments used by agencies, helping protect agencies’ data, which could include information used to support their missions such as protecting public health.

Today’s WatchBlog looks at the FedRAMP policies and how agencies’ compliance with policies are monitored. 


・2019.12.12 CLOUD COMPUTING SECURITY: GAO-20-126: Agencies Increased Their Use of the Federal Authorization Program, but Improved Oversight and Implementation Are Needed

で、次に


Office of Management and Budget monitoring lags 

OMB requires agencies to use the program, but we found that it didn’t effectively monitor agencies’ compliance. This makes it harder to ensure that cloud services agencies are meeting federal security requirements.


管理予算局の監視が遅れている」!!OMBにこれだけ上から目線で言えるのはGAOだけではないかと思ったりもします。。。

簡単に訳すと、、、


OMBは省庁にこのFedRAMPの利用を要求しているが、省庁の遵守状況を効果的に監視していないことがわかった。このため、クラウドサービスを提供する省庁が連邦政府のセキュリティ要件を満たしているかどうかを確認することが難しくなっている。

顧客の視点から見ると、調査対象となった24の連邦政府機関のほぼ半数の職員が、FedRAMPによってデータセキュリティが改善されたと答えている。また、各省庁は、クラウドサービスに対するセキュリティ管理の状況を監視するためのプログラムのプロセスが限られていると報告している。具体的には、継続的な監視を自動化し、各省庁が利用するサービスのセキュリティ状況をリアルタイムに入手できるようにする必要がある。現在、各省庁は、これらのデータの多くを手動で収集し、評価しなければならない。

OMBによる監視を強化し、管理者のガイダンスと監視を改善することを推奨した。また、各省庁がクラウドセキュリティなどを改善するための具体的な勧告を行った。


 

その他関連する報告書

・2018.12.19 DEPARTMENT OF AGRICULTURE: GAO-19-146R: Analysis of Selected Data Centers Did Not Follow Federal Guidance and Leading Practices

・2020.04.04 CLOUD COMPUTING: GAO-19-58: Agencies Have Increased Usage and Realized Benefits, but Cost and Savings Data Need to Be Better Tracked

・2020.03.25 INFORMATION SECURITY: GAO-20-265: FCC Made Significant Progress, but Needs to Address Remaining Control Deficiencies and Improve Its Program 

 


 

■ 参考 (クラウド以外のセキュリティ関連)

まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

 

| | Comments (0)

Five Eyes 悪意のある活動の発見と修復のための技術的アプローチ

こんにちは、丸山満彦です。

米国、英国、カナダ、ニュージーランド、オーストラリアのサイバーセキュリティ当局の共同研究の成果として、悪意のある活動の発見と修復のための技術的アプローチが公開されていますね。。。インシデント調査のプレイブックの位置付けですね。。。

5つの国のセキュリティ当局は、

[1] Australian Cyber Security Centre (ACSC)
[2] Canada’s Communication Security Establishment
[3] New Zealand National Cyber Security Centre (NZ NCSC)
[4] New Zealand CERT NZ
[5] United Kingdom National Cyber Security Centre (UK NCSC)
[6] United States Cybersecurity and Infrastructure Security Agency (CISA)

となりますね。。。

実務的な内容も含んでいて参考になるように思います。。。

CISA

・2020.09.01 Alert (AA20-245A) Technical Approaches to Uncovering and Remediating Malicious Activity

 

| | Comments (0)

2020.09.01

パブコメ「個人情報保護制度の見直しに向けた中間整理案」

こんにちは、丸山満彦です。

内閣官房「個人情報保護制度の見直しに関するタスクフォース」が2020.08.28に開催され、2020.08.29付けで、「個人情報保護制度の見直しに向けた中間整理案」についてのコメントを2020.09.28まで受け付けていますね。。。

いよいよ、国の行政機関、独立行政法人、民間の個人情報保護法が統合されそうですね。。。そうなると後は地方自治体。。。

 

20200901-20432 

20200901-20513  

内閣官房 個人情報保護制度の見直しに関するタスクフォース
・2020.08.28 個人情報保護制度の見直しに関するタスクフォース(第2回)議事次第

  1. 資料1:[PDF] 個人情報保護制度の見直しに関するタスクフォースの開催について(案)
  2. 資料2:[PDF] 個人情報保護制度の見直しに向けた中間整理(案)
  3. 資料3:[PDF] 個人情報保護制度の見直しに向けた中間整理(案)(概要)

 

e-Gov
・2020.08.29 パブリックコメント:IT社会化推進「個人情報保護制度の見直しに向けた中間整理」に関する意見募集について

 

個人情報保護委員会
・2020.08.26 第151回 個人情報保護委員会

| | Comments (0)

« August 2020 | Main | October 2020 »