« December 2020 | Main | February 2021 »

January 2021

2021.01.31

英国 NCAが「なりすました投資会社(clone firm)」の投資詐欺で2020年に78Mポンド(112億円)の被害が出たと警告していますね。。。

こんにちは、丸山満彦です。

英国のNational Crime Agency (NCA) [wikipedia] が「なりすました投資会社(clone firm)」の投資詐欺で2020年に78Mポンド(112億円)の被害が出たと警告していますね。。。

U.K. National Crime Agency (NCA)

・2021.01.27 Over £78 million stolen in 'clone firm' investment scams

 

「なりすました投資会社(clone firm)」は実際に英国政府に登録されている会社名等を名乗って、メールやSNS等で投資家にアプローチをして、投資金額をなりすました投資会社に振り込ませるという方法のようですね。。。

それにしても多額ですね。ちなみにWikipediaによるとNCAの2020/2021の年間予算が459MポンドのようですからNCAの年間予算の17%です。。。

COVID-19で株価が動く中で積極的に投資をしようとする人を狙って、投資金額を振り込ませてドロンするという感じですかね。。。対面ではないので、なりすましかどうかの見極めが難しくなっているところを狙っているようですね。。。

対策として、

How to protect yourself from clone investment firms: クローン投資会社から身を守る方法
1. Reject unsolicited investment offers whether made online, on social media or over the phone. Be wary even if you initiated contact. 1. オンライン、SNS、電話であっても、依頼されていない投資の申し出は拒否しましょう。自分から連絡を取ってきた場合でも注意が必要です。
2. Always check the FCA Register to make sure you’re dealing with an authorised firm and check the FCA Warning List of firms to avoid. 2. 常にFCA登録簿を確認して、認可された会社と取引しているかどうかを確認し、FCAの警告リストで避けるべき会社を確認してください。
3. Only use the telephone number and email address on the FCA Register, not the contact details the firm gives you and look out for subtle differences. 3. 会社が提供する連絡先ではなく、FCA登録簿に記載されている電話番号とEメールアドレスのみを使用し、微妙な違いに注意してください。
4. Consider seeking impartial advice before investing. 4. 投資を行う前に、公平なアドバイスを求めることを検討してください。

日本ではどうなんでしょうね。。。私は投資をしていないので状況がよくわかりません(^^;;

 

 

| | Comments (0)

Canadian Centre for Cyber Security がIT復旧計画の策定に関する文書を公開していましたね。。。at 2021.01.14

こんにちは、丸山満彦です。

Canadian Centre for Cyber Security が2021.01.14にIT復旧計画の策定に関する文書を公開していました。。。

回復のために策定を検討すべき計画には、

  1. Disaster Recovery Plan: 災害復旧計画
  2. Incident Response Plan: インシデント対応計画

の2つがあると説明していますね。

  1. 災害復旧計画:主な目的は、計画外の停電やサービスの中断時に事業の継続性を確保すること
  2. インシデント対応計画:主な目標は、セキュリティ侵害が発生した際に機密情報を保護すること

という説明をしていますね。。。

で、これは復旧計画の方ですね。。。

これは、原因が地震等の自然災害だけでなく、ランサムウェアやサイバー攻撃による中断に対しても参考になると思います。。。

しかもかなりコンパクト(^^)

 

Canadian Centre for Cyber Security

・2021.01.14 Developing Your IT Recovery Plan (ITSAP.40.004)

・[PDF]バージョン

 

復旧計画に重要な3つの指標

Maximum tolerable downtime (MTD)  最大許容ダウンタイム(MTD 
The total length of time that a process can be unavailable without causing significant harm to your business. 事業に大きな損害を与えずにプロセスが利用できなくなる合計時間。
   
Recovery point objective (RPO)  回復ポイント目標 (RPO) 
The measurement of data loss that is tolerable to your organization. 組織にとって許容可能なデータ損失の測定。
   
Recovery time objective (RTO)  復旧時間の目標(RTO 
The planned time and level of service needed to meet the system owner's minimum expectations. システムオーナの最低限の期待に応えるために必要な計画された時間とサービスレベル。

 

復旧計画の策定(10ステップ)

1. Identify stakeholders including clients, vendors, business owners, systems owners, and managers. 1. 顧客、ベンダー、ビジネスオーナ、システムオーナ、管理者などの利害関係者を特定する。
2. Identify your response team members, as well as their roles and responsibilities. 2. 対応チームのメンバーとその役割と責任を特定する。
3. Take inventory of all your hardware and software assets. 3. すべてのハードウェアおよびソフトウェア資産の棚卸しを行う。
4. Identify and prioritize critical business functions, applications, and data. 4. 重要なビジネス機能、アプリケーション、データを特定し、優先順位をつける。
5. Set clear recovery objectives. 5. 明確な復旧目標を設定する。
6. Define backup and recovery strategies. 6. バックアップとリカバリー戦略を定義する。
7. Test your plan. 7. 計画をテストする。
8. Develop a communications plan to inform key stakeholders. 8. 主要な利害関係者に情報を提供するためのコミュニケーション計画を策定する。
9. Develop a training program for employees to ensure everyone is aware of their roles, responsibilities, and order of operations during an unplanned outage. 9. 従業員を対象としたトレーニングプログラムを作成し、計画外の障害が発生した場合に、全員が自分の役割、責任、業務の順序を認識していることを確認する。
10. Optionally, engage with your Managed Service Providers (MSPs) to identify areas in which they can assist you with your recovery efforts. 10. 必要ならば、マネージド サービス プロバイダ(MSP)と協力して、MSPが復旧作業を支援できる領域を特定する。

 

訓練(テスト)の手法例

Checklist:
Read through and explain the steps of the recovery plan.

チェックリスト:
通読して回復計画のステップを説明します。
Walkthrough:
Walk through steps without enacting them.

ウォークスルー:
それらを実行しないでステップを通って歩きなさい。
Simulation:
Use a simulated incident or disaster to familiarize the recovery team with their roles and responsibilities.

シミュレーション:
模擬的な事件または災害を使用して回復チームに役割および責任に慣れるために。
Parallel test:
Set up and test recovery systems to see if they can perform operations to support key processes. You keep your main systems in full production mode.

パラレルテスト:
復旧システムをセットアップしてテストし、主要なプロセスをサポートするための操作を実行できるかどうかを確認します。メインシステムを完全な本番モードにしておきます。
Cutover test:
Your recovery systems are set up to assume all your business operations, and you disconnect primary systems. This type of test causes business interruptions, requiring additional pre-planning.

カットオーバーテスト:
復旧システムがすべての業務を引き受けるように設定され、プライマリシステムを切断します。このタイプのテストでは、業務の中断が発生するため、追加の事前計画が必要になります。

 

| | Comments (0)

2021.01.30

欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

こんにちは、丸山満彦です。

欧州評議会の個人情報の自動処理に関する個人情報保護条約(第108号条約)諮問委員会が2021.01.28に「顔認証に関するガイドライン Guidelines on Facial Recognition」を採択しましたね。。。

このガイドラインは、政府、顔認証開発者、製造者、サービス提供者、利用者が、顔認証技術が個人データ保護の権利を含む、あらゆる人の人間の尊厳、人権、基本的自由に悪影響を及ぼさないようにするために、従うべき措置を提供し、適用するものということのようです。。。

Council of Europe

Council of Europe Data Protection website

Convention 108 and Protocols

・2021.01.28 (news) Ensure that facial recognition does not harm fundamental rights

・[PDF] Guidelines on Facial Recognition

ちなみに、「1.2.3 民間企業における顔認証技術の利用」の部分では、

Private entities shall not deploy facial recognition technologies in uncontrolled environments such as shopping malls, especially to identify persons of interest, for marketing purposes or for private security purposes.

という記載がありますね。。。仮訳すると

民間事業体は、ショッピングモールのような制御されていない環境で、特にマーケティング目的や私的なセキュリティ目的のために、利害関係者を識別するために、顔認識技術を展開してはならない。

となっていう感じですかね。。。

 

目次は、

I. GUIDELINES FOR LEGISLATORS AND DECISION-MAKERS I. 立法者・意思決定者のための指針
1. Lawfulness 1. 合法性
1.1. Strict Limitation by Law of Certain Uses 1.1. 特定用途についての法による厳格な制限
1.2. Legal Basis in Different Contexts 1.2. 異なる文脈における法的根拠
1.2.1. Integrating Digital Images to the Facial Recognition Technologies 1.2.1. 顔認識技術へのデジタル画像の統合
1.2.2. Use of Facial Recognition Technologies in the Public Sector 1.2.2. 公共部門における顔認証技術の利用
1.2.3. Use of Facial Recognition Technologies in the Private Sector 1.2.3. 民間企業における顔認証技術の利用
2. Necessary Involvement of Supervisory Authorities 2. 監督当局の関与の必要性
3. Certification 3. 認証
4. Raising Awareness 4. 意識の向上
II. GUIDELINES FOR DEVELOPERS, MANUFACTURERS AND SERVICE PROVIDERS II. 開発者、製造業者およびサービス提供者のための指針
1. Data and Algorithms Quality 1. データとアルゴリズムの品質
1.1. Representativeness of the Data Used 1.1. 使用したデータの代表性
1.2. Data Life Duration 1.2. データの寿命
2. Reliability of the Tools Used 2. 使用ツールの信頼性
3. Awareness 3. 意識
4. Accountability 4. アカウンタビリティ
III. GUIDELINES FOR ENTITIES USING FACIAL RECOGNITION TECHNOLOGIES III. 顔認証技術を使用する機関のためのガイドライン
1. Legitimacy of Data Processing and Quality of Data 1. データ処理の正当性とデータの質
2. Data Security 2. データセキュリティ
3. Accountability 3. 説明責任
3.1. Data Protection Impact Assessment 3.1. データ保護の影響評価
3.2. Data Protection by Design 3.2. 設計によるデータ保護
4. Ethical Framework 4. 倫理的枠組み
IV. RIGHTS OF DATA SUBJECTS IV. データ対象者の権利










 

 

| | Comments (0)

United States, Canada, France, Germany, the Netherlands, and the United Kingdomの捜査機関等が協力してEmotet Botnetを潰したようですね。。。

こんにちは、丸山満彦です。

United States, Canada, France, Germany, the Netherlands, the United Kingdomの捜査機関が中心となり、Lithuania, Sweden, Ukraineが協力してEmotet Botnetを潰したようですね。。。

● U.S. Department of Justice: DOJ

・2021.01.28 Emotet Botnet Disrupted in International Cyber Operation

Emotet Malware Infected More than 1.6 Million Victim Computers and Caused Hundreds of Millions of Dollars in Damage Worldwide

Emotet Malware Infected More than 1.6 Million Victim Computers and Caused Hundreds of Millions of Dollars in Damage Worldwide

・2021.01.28 令状

EUROPLE

・2021.01.27 WORLD’S MOST DANGEROUS MALWARE EMOTET DISRUPTED THROUGH GLOBAL ACTION

Law enforcement and judicial authorities worldwide have this week disrupted one of most significant botnets of the past decade: EMOTET. Investigators have now taken control of its infrastructure in an international coordinated action. 

Euro Just

・2021.01.27 World’s most dangerous malware EMOTET disrupted through global action

 

U.K. National Crime Agency

・2021.01.27 NCA in international takedown of notorious malware Emotet

A malware botnet that was used by cybercriminals to infiltrate thousands of companies and millions of computers worldwide has been taken down in an international operation.

The National Crime Agency worked with law enforcement partners across Europe and North America for nearly two years to map the infrastructure of Emotet - a pervasive malware that not only infected computers, but also enabled other malware to gain access and cause significant damage to victim networks.

Europol and Eurojust co-ordinated the operation, which saw the takedown actioned yesterday and searches of properties take place in Ukraine.

NCA investigators led the financial arm of the investigation which included tracking how the criminal network behind the malware was funded, where that funding went and who was profiteering.

| | Comments (0)

2021.01.29

英国 NCSCがデータ漏洩に関する個人及び家族向けのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

英国のNational Cyber Security Centre: NCSC がデータ漏洩に関する個人及び家族向けのガイダンスを公表していますね。。。

National Cyber Security Centre: NCSC

・2021.01.28 (news) Public urged to be aware of post-data breach scams

New NCSC guidance helps people stay safe online when cyber criminals use information from data breaches to try and steal sensitive personal data.

・2021.01.28 (guiance) Data breaches: guidance for individuals and families

How to protect yourself from the impact of data breaches

  1. What is a data breach?

  2. How might you be affected?

  3. Actions to take following a breach

  4. Reporting suspicious messages

  5. If you've lost money

  6. Further information

Reporting suspicious messages, If you've lost money の連絡先は、英国在住の人向けですね。。。当たり前ですが (^^)

それ以外は、参考になります(^^)

 

 

| | Comments (0)

Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

こんにちは、丸山満彦です。

Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

● Cloud Security Alliance

・2021.01.28 CSA IoT Security Controls Framework v2

・・[xlsx]はウェブページから簡単な質問に答えて入手できます。。。

バージョン 2 の更新内容は以下の通りです。

コントロールの更新

  • ドメイン構造の見直し
  • 新しいドメイン(リーガルドメイン)の設置
  • 新しいドメイン(セキュリティ テスト)の設置

ですね。使い方の概要は次のページです。。。

・2021.01.28 Guide to the Internet of Things (IoT) Security Controls Framework v2

・・[PDF ]はウェブページから簡単な質問に答えて入手できます。。。

 

 

Ver1の情報は、

・2019.03.05 CSA IoT Security Controls Framework

・・[xlsx]はウェブページから簡単な質問に答えて入手できます。。。

| | Comments (0)

NIST SP 800-47 Rev. 1 (Draft) 情報交換におけるセキュリティ管理 Managing the Security of Information Exchanges

こんにちは、丸山満彦です。

2002.08に発行された、”SP 800-47 Security Guide for Interconnecting Information Technology Systems”の改訂ドラフトが公開されていますね。18年ぶりですね。。。名称が、「ITシステム相互接続セキュリティガイド」から「情報交換におけるセキュリティ管理」に変わっていますね。。。

● NIST - ITL

・2021.01.26 (publication) SP 800-47 Rev. 1 (Draft) Managing the Security of Information Exchanges

Abstract 概要
An organization often has mission and business-based needs to exchange (share) information with one or more other internal or external organizations via various information exchange channels; however, it is recognized that the information being exchanged also requires the same or similar level of protection as it moves from one organization to another (protection commensurate with risk). 組織は、さまざまな情報交換チャネルを介して、社内外の複数の組織と情報交換(共有)したいと いうミッションや事業上の必要性がしばしばあり、その場合、交換される情報は、ある組織から別の組織に移る際には、同程度の保護 (リスクに見合った保護)が必要であると理解されている。
This publication focuses managing the protection of the information being exchanged or accessed before, during, and after the exchange rather than on any particular type of technology-based connection or information access or exchange method and thus provides guidance on identifying information exchanges, considerations for protecting exchanged information, and the agreement(s) needed to help manage protection of the exchanged information. Organizations are expected to tailor the guidance to meet specific organizational needs and requirements regarding the information exchange. 本書では、技術ベースの特定の接続や情報アクセス、交換方法ではなく、交換前、交換中、交換後の情報の保護管理に焦点を当て、情報交換の特定、交換された情報を保護するための考慮事項、および交換された情報の保護管理を支援するために必要な契約についてのガイダンスを提供する。組織は、情報交換に関する特定の組織の必要性や要求事項を満たすために、ガイダンスを適宜修正して利用するべきと考えている。

特に、

  • 公開草案に記載されている合意の網羅性
  • どのような種類の合意が必要かを決定するために提供されたマトリックスが使えるかどうか
  • 追加の合意の種類や追加の合意の例が必要性
  • その他情報交換のセキュリティ管理を支援ものがあるか

についての意見が欲しいって感じですかね。。。

・[PDF] SP 800-47 Rev. 1 (Draft)

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Applicability 1.1 目的と適用性
1.2 Target Audience 1.2 想定読者
1.3 Organization of this Publication 1.3 本書の構成
2 The Fundamentals 2 基本的事項
2.1 Types of Information Exchange 2.1 情報交換の種類
2.1.1 System Interconnections 2.1.1 システム相互接続
2.1.2 Information Exchanges 2.1.2 情報交換
2.2 Information Exchange: Accessing or Transferring the Information 2.2 情報交換。情報へのアクセスまたは転送
3 Information Exchange Security Management 3 情報交換のセキュリティ管理
3.1. Planning an Information Exchange 3.1. 情報交換の計画
3.1.1 Step 1: Establish a Joint Planning Team 3.1.1 ステップ1:共同企画チームの設置
3.1.2 Step 2: Define the Business Case 3.1.2 ステップ2:ビジネスケースの定義
3.1.3 Step 3: Apply the NIST Risk Management Framework 3.1.3 ステップ3:NISTリスクマネジメントフレームワークの適用
3.1.4 Step 4: Identify Specific Protection Requirements 3.1.4 ステップ4: 特定保護要件の識別
3.1.5 Step 5: Document Appropriate Agreements 3.1.5 ステップ5: 適切な合意書の文書化
3.1.6 Step 6: Approve or Reject the Information Exchange 3.1.6 ステップ6:情報交換の承認または拒否
3.2 Establishing the Information Exchange 3.2 情報交換の確立
3.2.1 Step 1: Develop an Implementation Plan 3.2.1 ステップ1:実施計画の策定
3.2.2 Step 2: Execute the Implementation Plan 3.2.2 ステップ2:実施計画の実行
3.2.3 Step 3: Activate the Information Exchange 3.2.3 ステップ3:情報交換の有効化
3.3 Maintaining the Information Exchange 3.3 情報交換の維持
3.3.1 Maintain Clear Lines of Communication 3.3.1 明確なコミュニケーションラインの維持
3.3.2 Maintain Systems and System Components 3.3.2 システムおよびシステムコンポーネントのメンテナンス
3.3.3 Manage User Accounts 3.3.3 ユーザーアカウントの管理
3.3.4 Conduct Security Assessments 3.3.4 セキュリティアセスメントの実施
3.3.5 Analyze Event Logs 3.3.5 イベントログの分析
3.3.6 Report and Respond to Security Incidents 3.3.6 セキュリティインシデントの報告と対応
3.3.7 Coordinate Contingency Planning Activities 3.3.7 緊急時計画活動の調整
3.3.8 Manage Configuration Changes 3.3.8 設定変更の管理
3.3.9 Agreements 3.3.9 合意
3.3.10 Review the Continued Need for the Information Exchange 3.3.10 情報交換の継続的な必要性の見直し
3.4 Discontinuing the Information Exchange 3.4 情報交換の中止
3.4.1 Planned Discontinuance 3.4.1 計画的中止
3.4.2 Emergency Discontinuance 3.4.2 緊急中止
3.4.3 Resumption of Interconnection 3.4.3 相互接続の再開
References 参考文献

 

現在のガイドは↓

・2002.09.01 (piublications) SP 800-47  Security Guide for Interconnecting Information Technology Systems

・[PDF] SP 800-47

 

 

| | Comments (0)

ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases

こんにちは、丸山満彦です。

ENISAが高度な仮名化手法とユースケース(ヘルスケア分野とサイバーセキュリティ分野)を紹介する、Data Pseudonymisation: Advanced Techniques and Use Casesという文書を公表していますね。。。

● ENISA

・2021.01.28 (press) Cybersecurity to the Rescue: Pseudonymisation for Personal Data Protection

ENISA’s new report explores pseudonymisation techniques and use cases for healthcare and information sharing in cybersecurity

・2021.01.28 (publications) Data Pseudonymisation: Advanced Techniques and Use Cases

・[PDF] DATA PSEUDONYMISATION: ADVANCED TECHNIQUES & USE CASES - Technical analysis of cybersecurity measures in data protection and privacy

This report, building on the basic pseudonymisation techniques, examines advanced solutions for more complex scenarios that can be based on asymmetric encryption, ring signatures and group pseudonyms, chaining mode, pseudonyms based on multiple identifiers, pseudonyms with proof of knowledge and secure multi-party computation. It then applies some of these techniques in the area of healthcare to discuss possible pseudonymisation options in different example cases. Lastly, it examines the application of basic pseudonymisation techniques in common cybersecurity use cases, such as the use of telemetry and reputation systems. この報告書では、基本的な仮名化技術をベースに、非対称暗号化、リング署名とグループ仮名、チェーニングモード、複数の識別子に基づく仮名、知識証明付きの仮名、安全なマルチパーティ計算に基づく、より複雑なシナリオのための高度な解決策を検討している。次に、これらの技術のいくつかを医療分野に適用し、さまざまな例を挙げて可能な仮名化の選択肢について議論する。最後に、テレメトリやレピュテーションシステムの使用など、一般的なサイバーセキュリティのユースケースにおける基本的な仮名化技術の応用を検討している。

 

目次です。。。

1. INTRODUCTION 1. 序論
1.1 BACKGROUND 1.1 背景
1.2 OBJECTIVES 1.2 目的
1.3 OUTLINE 1.3 アウトライン
2. PSEUDONYMISATION BASICS  2. 仮名化の基本 
2.1 PSEUDONYMISATION SCENARIOS  2.1 仮名化のシナリオ
2.2 PSEUDONYMISATION TECHNIQUES AND POLICIES  2.2 仮名化の技術と方針 
3. ADVANCED PSEUDONYMISATION TECHNIQUES  3. 先進的な仮名化技術 
3.1 ASYMMETRIC ENCRYPTION  3.1 非対象暗号化
3.2 RING SIGNATURES AND GROUP PSEUDONYMS  3.2 リング署名とグループ仮名
3.3 CHAINING MODE  3.3 チューニングモード 
3.4 PSEUDONYMS BASED ON MULTIPLE IDENTIFIERS OR ATTRIBUTES  3.4 複数の識別情報または属性に基づく仮名
3.5 PSEUDONYMS WITH PROOF OF OWNERSHIP  3.5 所有者証明付きの仮名
3.5.1 Zero-Knowledge Proof  3.5.1 ゼロ知識証明 
3.6 SECURE MULTIPARTY COMPUTATION  3.6 安全なマルチパーティ計算
3.7 SECRET SHARING SCHEMES  3.7 秘密共有スキーム
3.8 CONCLUSION  3.8 結論 
4. PSEUDONYMISATION USE CASES IN HEALTHCARE  4. ヘルスケアにおける仮名化のユースケース
4.1 EXAMPLE SCENARIO  4.1 シナリオ例
4.2 PSEUDONYMISATION USE CASES  4.2 仮名化のユースケース
4.2.1 Patient record comparison use-case  4.2.1 患者記録比較のユースケース 
4.2.2 Medical research institution use-case  4.2.2 医療研究機関のユースケース 
4.2.3 Distributed storage use-case  4.2.3 分散型ストレージのユースケース 
4.3 ADVANCED PSEUDONYMISATION SCENARIO: THE DATA CUSTODIANSHIP  4.3 高度な仮名化シナリオ:データ・カストディアン
4.3.1 Notion of data custodianship  4.3.1 データ・カストディアンの概念 
4.3.2 Personal Information Management System (PIMS) as data custodian  4.3.2 データ・カストディアンとしての個人情報管理システム(PIMS) 
4.3.3 Data custodian as a part of the hospital  4.3.3 病院の一部としてのデータ・カストディアン
4.3.4 Data custodian as an independent organisation  4.3.4 独立した組織としてのデータ・カストディアン
4.3.5 Interconnected data custodian network  4.3.5 相互接続されたデータ・カストディアンのネットワーク 
5. PSEUDONYMISATION USE CASES IN CYBERSECURITY  5. サイバーセキュリティにおける仮名化のユースケース 
5.1 THE ROLE AND SCOPE OF SECURITY TELEMETRY  5.1 セキュリティテレメトリの役割と範囲 
5.2 A USE CASE ON REPUTATION SYSTEM TRAINING AND USER-TAILORED PROTECTION 5.2 評判システムのトレーニングとユーザ・テーラーメイドの保護に関するユースケース
5.2.1 Entities and roles  5.2.1 エンティティと役割 
5.2.2 File Reputation  5.2.2 ファイルレピュテーション 
5.2.3 URL Reputation  5.2.3 URL レピュテーション 
5.3 USE CASES ON SECURITY OPERATIONS AND CUSTOMER SUPPORT CENTRES  5.3 セキュリティ運用および顧客サポートセンターでのユースケース
5.3.1 Security Operations Centers  5.3.1 セキュリティ・オペレーション・センター 
5.3.2 Consumer customer support  5.3.2 コンシューマー向けカスタマーサポート 
5.3.3 Protection gap and real-time protection  5.3.3 保護ギャップとリアルタイム保護 
5.4 ADDITIONAL CYBERSECURITY USE CASES  5.4 その他のサイバーセキュリティのユースケース
6. CONCLUSIONS AND RECOMMENDATIONS  6. 結論と提言 
7. REFERENCES  7. 参考文献 

 

この文書は、次の文書を受けた文書です。。。

・2019.12.03 (news) ENISA proposes Best Practices and Techniques for Pseudonymisation

The European Union Agency for Cybersecurity (ENISA) published a new report on “Pseudonymisation Techniques and Best Practices”, which explores the basic notions of pseudonymisation, as well as technical solutions that can support implementation in practice.

・2019.12.03 (publications) Pseudonymisation techniques and best practices

・[PDF] Pseudonymisation techniques and best practices - Recommendations on shaping technology according to data protection and privacy provisions

 

This report explores further the basic notions of pseudonymisation, as well as technical solutions that can support implementation in practice. Starting from a number of pseudonymisation scenarios, the report defines first the main actors that can be involved in the process of pseudonymisation along with their possible roles. It then analyses the different adversarial models and attacking techniques against pseudonymisation, such as brute force attack, dictionary search and guesswork. Moreover, it presents the main pseudonymisation techniques and policies available today. この報告書では、仮名化の基本的な概念と、実際の実装をサポートできる技術的なソリューションについてさらに詳しく説明する。 いくつかの仮名化シナリオから始めて、本報告書ではまず、仮名化のプロセスに関与できる主なアクターとその役割を定義する。次に、ブルートフォース攻撃、辞書検索、推測調査など、さまざまな敵対モデルと仮名化に対する攻撃技術を分析する。さらに、現在利用可能な主な仮名化の技術とポリシーも紹介する。

 

 


なお、仮名化の定義はGDPRに記載があるので、個人情報保護委員会の仮訳から抜粋しておきます。。。

 

個人情報保護委員会 - GDPR(General Data Protection Regulation:一般データ保護規則)

 一般データ保護規則(GDPR)の条文 

 

(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;  (5) 「仮名化」とは、追加的な情報が分離して保管されており、かつ、その個人データが識別された自然人又 は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあること を条件として、その追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すこ とができないようにする態様で行われる個人データの取扱いを意味する。

 

| | Comments (0)

NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

こんにちは、丸山満彦です。

NISTがマイクロサービスのセキュリティに関するドラフトを公開していますね。。。

● NIST - ITL

・2021.01.26 SP 800-204B (Draft) Attribute-based Access Control for Microservices-based Applications using a Service Mesh

Executive Summary エグゼクティブサマリー
Two significant features of the application environment in emerging cloud-native applications are: 新たなクラウドネイティブ・アプリケーションにおけるアプリケーション環境には次の2つの特徴がある。
•   Applications have multiple loosely coupled components called microservices that communicate with each other across the network. •   アプリケーションは、ネットワークを介して相互に通信するマイクロサービスと呼ばれる複数の疎結合コンポーネントを持っている。
•   A dedicated infrastructure called the service mesh provides all services for the application (e.g., authentication, authorization, routing, network resilience, security monitoring), which can be deployed independently of the application code. •   サービスメッシュと呼ばれる専用のインフラストラクチャは、アプリケーションのすべてのサービス(認証、認可、ルーティング、ネットワーク回復力、セキュリティ監視など)を提供し、アプリケーションコードから独立して展開することができる。
With the disappearance of a network perimeter because of the need to provide ubiquitous access to applications from multiple remote locations using different types of devices, it is necessary to build the concept of zero trust into the application environment. Further, the cloud-native applications span different domains and, therefore, require increased precision in specifying policy by considering a large set of variables. The service mesh provides a framework for building these and other operational assurances. 離れた複数の場所から異なるデバイスを使ってアプリケーションにユビキタスアクセスを提供する必要性から、ネットワークの境界線がなくなってきており、アプリケーション環境にゼロトラストの概念を組み込む必要がある。また、クラウドネイティブ・アプリケーションは異なるドメインにまたがるため、多くの変数を考慮したポリシー指定の精度が求められる。サービスメッシュは、これらの運用保証やその他の運用保証を構築するためのフレームワークを提供する。
The framework includes: このフレームワークには以下が含まれる。
 •   An authenticatable runtime identity for services, the ability to authenticate application (user) credentials, and encryption of communication in transit and between services  •   サービスのための認証可能なランタイム・アイデンティティ、アプリケーション(ユーザー)の資格情報を認証する機能、トランジット中およびサービス間の通信の暗号化
•   A Policy Enforcement Point (PEP) that is separately deployable and controllable from the application; the service mesh’s side-car proxies •   アプリケーションとは別に配備可能で制御可能なポリシー施行ポイント(PEP)。
•   Logs and metrics for monitoring policy enforcement •   ポリシー施行を監視するためのログとメトリクス
The service mesh’s native feature to authenticate end-user credentials attached to the request (e.g., using a Java Web Token [JWT]) is augmented in many offerings to provide the ability to call external authentication and authorization systems on behalf of the application. The capability to deploy these authentication and authorization systems as services in the mesh also provides operational assurances for encryption in transit, identity, a PEP, authentication, and authorization for end-user identity. リクエストに添付されたエンドユーザーの資格情報を認証するサービスメッシュのネイティブ機能(例: Java Web Token [JWT]を使用)は、アプリケーションに代わって外部の認証・認可システムを呼び出す機能を提供するために、多くの提供物で拡張されている。これらの認証および認可システムをメッシュ内のサービスとして展開する機能は、トランジットの暗号化、ID、PEP、認証、およびエンドユーザー ID の認可のための運用上の保証も提供する。
The objective of this document is to provide deployment guidance for an authentication and authorization framework within a service mesh for microservices-based applications that leverages the features listed above. A reference platform for hosting the microservices-based application and the service mesh is included to illustrate the concepts in the recommendations and provide context in terms of the components used in real-world deployments.  この文書の目的は、上記の機能を活用したマイクロサービスベースのアプリケーションのためのサービスメッシュ内の認証・認可フレームワークの展開ガイダンスを提供することである。マイクロサービスベースのアプリケーションとサービスメッシュをホストするための参照プラットフォームは、推奨事項の概念を説明するとともに、実世界の展開で使用されるコンポーネントの観点からコンテキストを提供することを含む。

目次

Executive Summary エグゼクティブサマリー
1   Introduction 1 はじめに
1.1 Service Mesh Capabilities 1.1 サービスメッシュの機能
1.2 Candidate Applications 1.2 候補者募集
1.3 Scope 1.3 範囲
1.4 Target Audience 1.4 ターゲットオーディエンス
1.5 Relationship to other NIST Guidance Documents 1.5 他の NIST ガイダンス文書との関係
1.6 Organization of this document 1.6 本書の構成
2   Microservices-based Application and Service Mesh – Reference Platforms 2 マイクロサービスベースのアプリケーションとサービスメッシュ - リファレンスプラットフォーム
2.1 Reference Platform for Hosting a Microservices-based Application 2.1 マイクロサービスベースのアプリケーションをホスティングするためのリファレンスプラットフォーム
 2.1.1  Limitations of Reference Hosting Platform for Security  2.1.1 セキュリティのためのリファレンスホスティングプラットフォームの限界
2.2 Service Mesh Reference Platform – Conceptual Architecture 2.2 サービスメッシュリファレンスプラットフォーム - 概念的なアーキテクチャ
 2.2.1  Service Mesh Functions for Reference Hosting Platform  2.2.1 参照ホスティングプラットフォームのサービスメッシュ機能
3   Attribute-based Access Control (ABAC) – Background 3 属性ベースのアクセス制御(ABAC) - 背景
3.1  ABAC Deployment for Microservices-based Applications Using Service Mesh 3.1 サービスメッシュを利用したマイクロサービスベースのアプリケーションのためのABAC展開
4   Authentication and Authorization Policy Configuration in Service Mesh 4 サービスメッシュでの認証と認可ポリシーの設定
4.1 Hosting Platform Configuration 4.1 ホスティングプラットフォームの構成
4.2 Service Mesh Configuration 4.2 サービスメッシュの構成
4.3 Higher-level Security Configuration Parameters 4.3 上位レベルのセキュリティ設定パラメータ
4.4 Authentication Policies 4.4 認証ポリシー
 4.4.1 Specifying Authentication Policies  4.4.1 認証ポリシーの指定
 4.4.2 Service-level Authentication  4.4.2 サービスレベル認証
 4.4.3 End User Authentication  4.4.3 エンドユーザ認証
4.5 Authorization Policies 4.5 認可ポリシー
 4.5.1 Service-level Authorization Policies  4.5.1 サービスレベルの認可ポリシー
 4.5.2 End-user Level Authorization Policies  4.5.2 エンドユーザレベルの権限ポリシー
 4.5.3 Model-based Authorization Policies  4.5.3 モデルベースの認可ポリシー
4.6 Authorization Policy Elements 4.6 認可ポリシーの要素
 4.6.1 Policy Types  4.6.1 ポリシータイプ
 4.6.2 Policy Target or Authorization Scope  4.6.2 ポリシー対象または権限範囲
 4.6.3 Policy Sources  4.6.3 政策ソース
 4.6.4 Policy Operations  4.6.4 ポリシー運用
 4.6.5 Policy Conditions  4.6.5 ポリシー条件
5   ABAC Deployment for Service Mesh 5 サービスメッシュのためのABAC展開
5.1 Security Assurance for Authorization Framework Enforcement 5.1 認可フレームワーク施行のためのセキュリティ保証
5.2 Supporting Infrastructure for ABAC Authorization Framework 5.2 ABAC 認可フレームワークのためのサポート・インフラストラクチャ
 5.2.1 Service-to-Service Request (SVC-SVC) – Supporting Infrastructure  5.2.1 Service-to-Service Request (SVC-SVC) - サポート・インフラストラクチャ
 5.2.2 End User + Service-to-Service Request (EU+SVC-SVC) – Supporting Infrastructure  5.2.2 エンドユーザ+サービスツーサービスリクエスト(EU+SVC-SVC)-支援インフラストラクチャ
5.3 Advantages of ABAC Authorization Framework for Service Mesh 5.3 サービスメッシュのためのABAC認証フレームワークの利点
5.4 Enforcement Alternatives in Proxies 5.4 プロキシにおける強制執行の代替手段
6   Summary and Conclusions 6 まとめと結論
References 参考文献

 

■ 関連文書

・2019.08.07 SP 800-204 Security Strategies for Microservices-based Application Systems

・・[PDF] SP 800-204

・2020.05.27 SP 800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture

・・[PDF] SP 800-204A

 

| | Comments (0)

2021.01.28

IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2021」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

 


 

| | Comments (0)

2021.01.27

中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

こんにちは、丸山満彦です。

中国も言語の問題もあり、なかなか的確に情報を拾えておりません。。。。

中国の全国信息安全标准化技术委员会(National Information Security Standardization Technical Committee)がブロックチェーン情報サービスセキュリティ仕様他、いくつかの情報セキュリティに関連する国家標準の意見募集をしていますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

标准征求意见(標準への意見募集)

# 公表日 国家標準に対する意見募集ページ 仮訳 対象
1 2021.01.26 信息安全技术 反垃圾邮件产品技术要求和测试评价方法 情報セキュリティ技術 スパム対策製品の技術要件とテスト・評価方法 DOC
2 2021.01.26 信息安全技术 网络型入侵防御产品技术要求和测试评价方法 情報セキュリティ技術 ネットワーク型侵入防止製品の技術要求事項と試験・評価方法 DOC
3 2021.01.26 信息安全技术 信息系统安全审计产品技术要求和测试评价方法 情報セキュリティ技術 情報システムセキュリティ監査製品の技術要求事項及び試験・評価方法 DOC
4 2021.01.22 信息安全技术 区块链信息服务安全规范 情報セキュリティ技術 ブロックチェーン情報サービスのセキュリティ仕様 PDF
5 2021.01.22 信息安全技术 信息安全事件分类分级指南 情報セキュリティ技術 情報セキュリティインシデントの分類と採点ガイド DOC
6 2021.01.22 信息技术 安全技术 信息安全管理体系 指南 情報セキュリティ技術 セキュリティ技術 情報セキュリティマネジメントシステムガイド DOC
7 2021.01.22 信息安全技术 公共域名服务系统安全要求 情報セキュリティ技術 パブリックドメインネームサービスシステムのセキュリティ要件 DOC

 

昨晩みたときは、2021.03.21締め切り日付で、

  1. 信息安全技术 网络安全态势感知通用技术要求 (情報セキュリティ技術 ネットワークセキュリティ状況認識のための一般的な技術要件)
  2. 信息安全技术 政务网络安全监测平台技术规范 (情報セキュリティ技術 政府ネットワークセキュリティ監視プラットフォームの技術仕様)

がウェブに乗っていたのですが、今朝見たら無くなっていました。後日出るのでしょうかね。。。

 

4 2021.01.22 信息安全技术 区块链信息服务安全规范 情報セキュリティ技術 ブロックチェーン情報サービスのセキュリティ仕様 PDF

の目次ですが、

前言 序文
引言 序章
1 范围 1 スコープ
2 规范性引用文件 2 参照する標準
3 术语和定义 3 用語と定義
4 符号和缩略语 4 記号と略語
5 概述 5 概要
5.1 安全规范对象 5.1 セキュリティ仕様の対象
5.2 安全要求模型 5.2 セキュリティ要件のモデル
6 安全技术要求 6 セキュリティ技術要件
6.1 信息生成 6.1 情報の生成
6.2 信息处理 6.2 情報の処理
6.3 信息发布 6.3 情報の流通
6.4 信息传播 6.4 情報の発信
6.5 信息存储 6.5 情報の保存
6.6 信息销毁 6.6 情報の破壊
7 安全保障要求 7 セキュリティ保障要件
7.1 管理制度 7.1 マネジメントシステム
7.2 机构和人员 7.2 組織と人員
7.3 业务连续性 7.3 事業継続性
7.4 运行与维护 7.4 運用と保守
8 安全技术测评方法 8 セキュリティ技術の測定方法
8.1 信息生成 8.1 情報の生成
8.2 信息处理 8.2 情報の処理
8.3 信息发布 8.3 情報の流通
8.4 信息传播 8.4 情報の発信
8.5 信息存储 8.5 情報の保存
8.6 信息销毁 8.6 情報の破壊
9 安全保障测评方法 9 セキュリティ保障測定方法
9.1 管理制度 9.1 マネジメントシステム
9.2 机构和人员 9.2 組織と人員
9.3 业务连续性 9.3 事業継続性
9.4 运行与维护 9.4 運用と保守
附录 A(规范性)区块链信息服务安全等级划分 付録A(正規)ブロックチェーン情報サービスのセキュリティレベル分類
附录 B(资料性)区块链信息服务安全规范组件包定制示例 付録B(情報提供型)ブロックチェーン情報サービスセキュリティ仕様書 コンポーネントパッケージのカスタマイズ例
参考文献 参考文献

 

 


 

■ 関連資料

● 情報セキュリティ気まぐれ日記

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 

2021.01.27現在の過去のパブコメ一覧 at tc260

 

 

 

| | Comments (0)

2021.01.26

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化 (2021.03.12午後)

こんにちは、丸山満彦です。

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化が2021.03.12午後に開催されますね。。。

講演者の一覧、、、詳細はウェブページで・・・(あっ、岩井さんだ・・・)

題名 講演者 所属 役職等
サイバーグレートゲーム: サイバースペースをめぐる地政学・地経学 土屋 大洋 慶應義塾大学 総合政策学部 学部長・教授
警察におけるサイバー犯罪対策とJC3との連携 佐藤 隆司 警察庁 生活安全局 情報技術犯罪対策課 課長
Ransomware Operators Publishing Victim Data Owen Nearhoof, Erika Totaro National Cyber-Forensics and Training Alliance - Intelligence Analysts
2021年 暗号資産関連犯罪レポート 重川 隼飛 Chainalysis Japan  - Solution Architect
CDA - Combating crime through co-operation in the UK financial sector CEO: Stevie Wilson, Operations Analyst: Barry Steel Cyber Defence Alliance CDA - CEO & Operations
増大するサイバー脅威の裏側とリスク軽減への一考察 岩井 博樹 株式会社サイント 代表取締役
DX時代におけるサイバー脅威最新動向とゼロトラストセキュリティー 小川 真毅 日本アイ・ビー・エム株式会社 セキュリティー事業本部 理事/パートナー
JC3の活動状況紹介及び今後の産学官連携について 島根 悟 日本サイバー犯罪対策センター 業務執行理事

 

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化

開催日時は、2021年3月12日(金)13 : 30 ~ 17 : 40

となります。。。

申し込みは、上記のサイトから申し込みサイトに入ることによりできます。。。

 

| | Comments (0)

RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

こんにちは、丸山満彦です。

RAND研究所 [wikipedia] が ソーシャルメディアを利用したり、Deep Fakeの技術が進んでいる現在におけるメディアリテラシー教育に関する報告書を公表していますね。。。

2021.01.18にこのブログで、新聞紙学的(平和博さんのブログ) の「ディープフェイクスにどれだけ騙される? 意外な実験結果とは」を紹介したのですが、その後、平教授との簡単なやり取りの中で、対策は結局ぐるっと回ってリテラシーの話に戻るという話になったりしました。

その通りで、「情報発信側への対策」、「情報受信側の対策」の2つが必要で、情報受信側の対策としては、リテラシー教育という話になりますね。。。と思っていたら、ちょうどランド研究所からメディアリテラシーに関する新しい報告書が出ていました。。。

真実の崩壊 (Trust decay) に対抗するためのメディアリテラシー教育をする場合にどのようなことを教えれば良いかという標準を提案しているものです。

RAND Corporation

・2021.01.19 Media Literacy Standards to Counter Truth Decay

論文とその付録

・[PDF] Media Literacy Standards to Counter Truth Decay

・[PDF] Appedix

 

この中で4つのカテゴリについて15の標準を示しているので、簡単に訳しておきます。。。 1コマで1つ説明すれば半期の講義になりますね。。。

 

Seeking a complete understanding of the facts 事実の完全な理解を求めて
TREND: increasing disagreement about facts and analytical interpretations of facts and data 傾向:事実とデータの分析的解釈に関する不一致の増加
1. Recognize limitations of one’s own knowledge or understanding of the facts. 1. 自分自身の知識や事実の理解に限界があることを認識する。
2. Use strategies to fill gaps in knowledge (e.g., connecting with experts on a topic; seeking information in a library; using search engines to find additional information). 2. 知識のギャップを埋めるための戦略を用いる(例: トピックに関する専門家と連絡を取る、図書館で情報を探す、検索エンジンを使って追加情報を見つける)。
3. Understand how modern information sources and tools can limit available facts and perspectives (e.g., search engine algorithms; specialized discussion groups; selection in social media connections). 3. 現代の情報源やツールが、利用可能な事実や視点をどのように制限しているかを理解する(検索エンジンのアルゴリズム、専門的なディスカッショングループ、ソーシャルメディアでのつながりの中での選択など)。
   
Identifying trustworthy sources of information 信頼できる情報源の特定
TREND: declining trust in formerly respected sources of facts 傾向:かつて一目置かれていた事実の情報源への信頼の低下
4. Identify the expertise (e.g., academic, office held, firsthand knowledge) and consider the motivations (e.g., political, financial) of the creator of an information product. 4. 専門性(例:学歴、役職、直接の知識)を特定し、情報製品の作成者の動機(例:政治的、金銭的)を検討する。
5. Evaluate whether information products meet established standards for process and presentation (e.g., scientific process, journalistic standards, peer review). 5. 情報製品が確立されたプロセスやプレゼンテーションの基準(科学的プロセス、ジャーナリスティックな基準、ピアレビューなど)を満たしているかどうかを評価する。
6. Analyze information for bias, deception, or manipulation. 6. 情報に偏りがないか、欺瞞がないか、または操作されていないか分析する。
7. Consider the social, political, and historical contexts of an information product and how those contexts influence meaning. 7. 情報製品の社会的、政治的、歴史的な文脈を考慮し、それらの文脈がどのように意味に影響を与えるかを検討する。
   
Evaluating the credibility of information and soundness of arguments 情報の信頼性と議論の健全性の評価
TREND: a blurring of the line between opinion and fact TREND:意見と事実の境界線の曖昧さ
8. Understand the ways in which technology has the capability to undermine formerly trustworthy information products (e.g., audio and video “deep fakes”). 8. テクノロジーが、かつて信頼されていた情報製品(音声や映像の「ディープフェイク」など)を弱体化させる能力を持っている方法を理解する。
9. Analyze whether evidence provided for an argument is adequate and can be independently confirmed; identify gaps in support or reasoning. 9. ある議論のために提供された証拠が適切であり、独立して確認できるかどうかを分析し、支持や推論のギャップを特定する。
10. Compare multiple viewpoints on a topic and use evidence to determine how to manage discrepancies. 10. あるトピックについて複数の視点を比較し、証拠を用いて矛盾をどのように管理するかを判断する。
11. Recognize the ways that media and information products might trigger emotional responses that influence attitudes or elicit specific behaviors. 11. メディアや情報製品が感情的な反応を引き起こし、態度に影響を与えたり、特定の行動を誘発したりする可能性があることを認識する。
   
Responsible engagement to counter Truth Decay 真実の崩壊に対抗するための責任ある関与
TREND: the increasing relative volume and resulting influence of opinion and personal experience over fact トレンド:相対的な量の増加と、結果として事実よりも意見や個人的な経験が及ぼす影響
12. Anticipate and monitor intended and unintended consequences of what is shared in digital spaces. 12. デジタル空間で共有されるものの意図した結果と意図しない結果を予測し、監視する。
13. Recognize personal and cultural perspectives, particularly on controversial topics, and how those can influence interpretations of information. 13. 個人的、文化的な視点、特に議論の多いトピックについて、それらが情報の解釈にどのような影響を与えうるかを認識する。
14. Maintain openness to updating one’s own views when presented with new facts or evidence. 14. 新しい事実や証拠が提示されたときには、自分の見解を更新することに寛容であることを保つ。
15. Take action rooted in evidence (e.g., construct new knowledge, create and share media, engage in informed conversations and decisions about important issues). 15. 証拠に基づいた行動をとる(例:新しい知識を構築する、メディアを作成して共有する、重要な問題についての情報に基づいた会話や意思決定に参加する)。

 

 

111_20210126042701

 


■ Deep Fake等、関連情報

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている

・2020.11.24 フェイク画像はここまで来たのか・・・ (The New York Times)+IDF辻井先生のコラム

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 コンピュータ犯罪に関する白浜シンポジウムの発表資料

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.28 人工知能と感情知性に関する倫理(2020.07.30)

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画?

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.03.28 EU Ethics Guidelines for Trustworthy AI

・2020.03.08 AIで手塚治虫作品をつくる?

・2020.03.02 AIが権利能力の主体となるのであれば、それは法人ですね。。。

・2020.02.27 「AI倫理に関する現状」芳田千尋氏

・2020.02.09 なりすまし問題

・2020.01.27 Deepfake



 

 

 

 

| | Comments (0)

2021.01.25

バージニア州 消費者データ保護法案

こんにちは、丸山満彦です。

世界でプライバシー関連の法律が色々整備されておりますが、米国は州単位の法律もあるので追いかけるのが大変です...

バージニア州で「消費者データ保護法案」が上院に提出されているようですね。。。

バージニア州において、1年間で

  • 100,000人以上の消費者の個人データを管理または処理する。または
  • 25,000人以上の消費者の個人データを管理または処理し、かつ総収入の50%以上を個人データの販売から得る

 事業者等に適用されるようですね。州政府、地方自治体は対象外。

正確なジオロケーションデータ、プロファイリング、ターゲットを絞った広告、個人データの販売などの定義を確立し、個人データへのアクセス、修正、削除、コピーの取得、ターゲットを絞った広告目的での個人データの処理をオプトアウトする権利を消費者に付与する条文を含むようです。。。

● Virginia.gov

2021 SESSION - SB 1392 Consumer Data Protection Act; establishes a framework for controlling and processing personal data.

条文は、こちら、

・2021.01.13 SENATE BILL NO. 1392 A BILL to amend the Code of Virginia by adding in Title 59.1 a chapter numbered 52, consisting of sections numbered59.1-571through59.1-581, relating to Consumer Data Protection Act.

定義の一部抜粋。。。

"Decisions that produce legal or similarly significant effects concerning a consumer" means a decision made by the controller that results in the provision or denial by the controller of financial and lending services, housing, insurance, education enrollment, criminal justice, employment opportunities, health care services, or access to basic necessities, such as food and water. 消費者に関する法的または同様に重要な影響をもたらす決定」とは、金融・融資サービス、住宅、保険、教育登録、刑事司法、雇用機会、医療サービス、または食料や水などの基本的な必需品へのアクセスの提供または拒否をもたらす、管理者によってなされた決定を意味する。
"De-identified data" means data that cannot reasonably be linked to an identified or identifiable natural person, or a device linked to such person. A controller that possesses "de-identified data" shall comply with the requirements of subsection A of § 59.1-577. 非識別データ」とは、識別または識別可能な自然人、またはそのような人にリンクされたデバイスと合理的にリンクすることができないデータを意味する。「非識別データ」を保有する管理者は、§59.1-577 の第 A 項の要件を遵守しなければならない。
"Personal data" means any information that is linked or reasonably associated to an identified or identifiable natural person. "Personal data" does not include de-identified data or publicly available information. 個人データ」とは、特定または識別可能な自然人にリンクされている、または合理的に関連付けられている情報を意味します。「個人データ」には、非識別データや一般に公開されている情報は含まれない。
"Precise geolocation data" means information derived from technology, including but not limited to global positioning system level latitude and longitude coordinates or other mechanisms, that directly identifies the specific location of a natural person with precision and accuracy below 1,750 feet. "Precise geolocation data" does not include the content of communications. 正確なジオロケーションデータ」とは、全地球測位システムレベルの緯度経度座標またはその他のメカニズムを含むがこれらに限定されない技術から得られる情報であって、1,750フィート以下の精度と正確度で自然人の特定の位置を直接特定するものを意味する。「正確なジオロケーションデータ」には、通信の内容は含まれない。
"Process" or "processing" means any operation or set of operations performed, whether by manual or automated means, on personal data or on sets of personal data, such as the collection, use, storage, disclosure, analysis, deletion, or modification of personal data. 処理」または 「処理すること」とは、個人データの収集、使用、保存、開示、分析、削除、または修正など、手動または自動化された手段であるかどうかにかかわらず、個人データまたは個人データの集合に対して実行されるあらゆる操作または操作のセットを意味する。
"Profiling" means any form of automated processing performed on personal data to evaluate, analyze, or predict personal aspects related to an identified or identifiable natural person's economic situation, health, personal preferences, interests, reliability, behavior, location, or movements. プロファイリング」とは、特定または識別可能な自然人の経済状況、健康状態、個人的嗜好、興味、信頼性、行動、場所、または動きに関連する個人的側面を評価、分析、または予測するために、個人データに対して実行される自動化された処理のあらゆる形態を意味する。
"Pseudonymous data" means personal data that cannot be attributed to a specific natural person without the use of additional information, provided that such additional information is kept separately and is subject to appropriate technical and organizational measures to ensure that the personal data is not attributed to an identified or identifiable natural person. 仮名データ」とは、追加情報を使用しなければ特定の自然人に帰することができない個人データを意味し、その追加情報が別個に保管され、個人データが特定または識別可能な自然人に帰することがないようにするための適切な技術的および組織的措置が講じられていることを条件とする。
"Publicly available information" means information that is lawfully made available through federal, state, or local government records, or information that a business has a reasonable basis to believe is lawfully made available to the general public through widely distributed media, by the consumer, or by a person to whom the consumer has disclosed the information, unless the consumer has restricted the information to a specific audience. 公開されている情報」とは、連邦政府、州政府、または地方自治体の記録を通じて合法的に入手可能になっている情報、または事業者が、消費者によって、または消費者が情報を開示した者によって、広く配布されたメディアを通じて、合法的に一般の人々に入手可能になっていると信じる合理的な根拠を持つ情報を意味するが、消費者が情報を特定の対象者に限定している場合を除く。
"Sale of personal data" means the exchange of personal data for monetary consideration by the controller to a third party. "Sale of personal data" does not include:
1. The disclosure of personal data to a processor that processes the personal data on behalf of the controller;
2. The disclosure of personal data to a third party with whom the consumer has a direct relationship for purposes of providing a product or service requested by the consumer;
3. The disclosure or transfer of personal data to an affiliate of the controller;
4. The disclosure of information that the consumer (i) intentionally made available to the general public via a channel of mass media and (ii) did not restrict to a specific audience; or
5. The disclosure or transfer of personal data to a third party as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which the third party assumes control of all or part of the controller's assets.
個人データの販売」とは、管理者が金銭的な対価として個人データを第三者に交換することを意味する。「個人データの販売には、以下のものは含まれない。
1. 管理者に代わって個人データを処理する処理者に個人データを開示すること。
2. 消費者が要求する製品やサービスを提供する目的で、消費者が直接関係を持つ第三者に個人データを開示すること。
3. 管理者の関連会社への個人データの開示または転送すること。
4. 消費者が(i)マスメディアのチャネルを介して意図的に一般の人々が利用できるようにし、(ii)特定の対象者に限定しなかった情報を開示すること。
5. 合併、買収、破産、またはその他の取引の一環として、第三者が管理者の資産の全部または一部を支配することを前提とした資産としての個人データの第三者への開示または譲渡すること。
"Targeted advertising" means displaying advertisements to a consumer where the advertisement is selected based on personal data obtained from a consumer's activities over time and across nonaffiliated websites or online applications to predict such consumer's preferences or interests. "Targeted advertising" does not include:
1. Advertisements based on activities within a controller's own websites or online applications;
2. Advertisements based on the context of a consumer's current search query, visit to a website, or online application;
3. Advertisements directed to a consumer in response to the consumer's request for information or feedback; or
4. Processing personal data processed solely for measuring or reporting advertising performance, reach, or frequency.
ターゲット広告」とは、消費者に広告を表示することを意味し、消費者の嗜好または興味を予測するために、消費者の活動から得られた個人データに基づいて広告が選択され、かつ、非関連のウェブサイトまたはオンライン・アプリケーションを介して消費者に表示されることを意味する。「ターゲット広告」には以下のものは含まない。
1. コントローラー自身のウェブサイトまたはオンラインアプリケーション内での活動に基づく広告。
2. 消費者の現在の検索クエリ、ウェブサイトへの訪問、またはオンラインアプリケーションのコンテキストに基づく広告。
3. 消費者からの情報やフィードバックの要求に応じて、消費者に向けられた広告。
4. 広告のパフォーマンス、リーチ、または頻度を測定または報告するためだけに処理された個人データを処理すること。

 

| | Comments (0)

2021.01.24

CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

こんにちは、丸山満彦です。

CISAがランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトも立ち上げていますね。。。

Cybersecurity and Infrastructure Security Agency: CISA

・2021.01.21 (news) CISA LAUNCHES CAMPAIGN TO REDUCE THE RISK OF RANSOMWARE

ランサムウェア対策のサイトはこちらです。。。

RANSOMWARE GUIDANCE AND RESOURCES

What is ransomware? ランサムウェアとは何ですか?
Who is at risk from a ransomware attack? 誰がランサムウェア攻撃のリスクに晒されていますか?
What are the impacts of ransomware? ランサムウェアはどのような影響がありますか?
How do malicious cyber actors use ransomware to attack their victims? 悪意のあるサイバー攻撃者はどのようにしてランサムウェアを利用して攻撃しているのでしょうか?
Who are malicious ransomware actors? 悪意のあるランサムウェアは誰が実行しているのですか?
What are some mitigations against ransomware? ランサムウェアに対する対応策にはどのようなものがありますか?
What are other best practices against ransomware? ランサムウェアに対するその他のベストプラクティスにはどのようなものがありますか?

 

今までの情報が一元的に見れるようになっていて便利ですね。。。

・2020.09.30 Ransomware Guide

the Cybersecurity and Infrastructure Security Agency (CISA) and the Multi-State Information Sharing and Analysis Center released a joint Ransomware Guide, which is a customer centered, one-stop resource with best practices and ways to prevent, protect and/or respond to a ransomware attack. CISA and MS-ISAC are distributing this guide to inform and enhance network defense and reduce exposure to a ransomware attack:

This Ransomware Guide includes two resources:

・Part 1: Ransomware Prevention Best Practices
・Part 2: Ransomware Response Checklist

 [PDF]

・2020.11.02 Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector

Summary

This advisory was updated to include information on Conti, TrickBot, and BazarLoader, including new IOCs and Yara Rules for detection.

This advisory uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) version 7 framework. See theATT&CK for Enterprise version 7for all referenced threat actor tactics and techniques.

This joint cybersecurity advisory was coauthored by the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Department of Health and Human Services (HHS). This advisory describes the tactics, techniques, and procedures (TTPs) used by cybercriminals against targets in the Healthcare and Public Health (HPH) Sector to infect systems with ransomware, notably Ryuk and Conti, for financial gain.

CISA, FBI, and HHS have credible information of an increased and imminent cybercrime threat to U.S. hospitals and healthcare providers. CISA, FBI, and HHS are sharing this information to provide warning to healthcare providers to ensure that they take timely and reasonable precautions to protect their networks from these threats.


CYBER THREATS TO K-12 REMOTE LEARNING EDUCATION

The Cybersecurity and Infrastructure Security Agency (CISA) has seen an increase in malicious activity with ransomware attacks against K-12 educational institutions. Malicious cyber actors are targeting school computer systems, slowing access, and rendering the systems inaccessible to basic functions, including remote learning. In some instances, ransomware actors stole and threatened to leak confidential student data unless institutions paid a ransom.

Since March, uninvited users have disrupted live-conferenced classroom settings by verbally harassing students, displaying pornography and violent images, and doxing meeting attendees.

 ・[PDF] Cyber Threats to K-12 Remote Learning Education

 


■ 報道

● SC Media US

・2021.01.21 CISA launches ransomware education program by Derek B. Johnson

My Tech Decisions

・2021.01.22  CISA Launches Ransomware Awareness Campaign by

CISA is beginning a coordinated effort to encourage public and private sector organizations to mitigate the threat of ransomware.

GovConWire

・2021.01.22 Brandon Wales: CISA’s New Campaign Aims to Help Public, Private Sectors Defend Against Ransomware by 

 

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

 

| | Comments (0)

Interpol ASEANのサイバー脅威評価報告書2021

こんにちは、丸山満彦です。

Interpolが東南アジア諸国連合(ASEAN)地域が直面している主要なサイバー犯罪の傾向と脅威に焦点を当てた [PDF] ASEAN CYBERTHREAT ASSESSMENT 2021 - KEY CYBERTHREAT TRENDS OUTLOOK FROM THE ASEAN CYBERCRIME OPERATIONS DESKを公表していますね。。。

この報告書では、ASEAN サイバー犯罪オペレーションデスクが、地域の法執行機関とインターポールのサイバーセキュリティ協力企業の支援を受けて、地域の主要なサイバー脅威を特定しています。

不正なビジネスメール(BEC):低コスト・低リスクでハイリターンであるため企業が大きな損失を被っており、引き続き上位となっている。

フィッシング:COVID-19に関連した情報に関するグローバル通信の普及を利用して、被害者をだまし取ろうとしている。

ランサムウェア:病院、医療センター、公共機関を標的としたサイバー犯罪は、多くの国で医療危機が発生していることから、成功の可能性が高いと考えられ、急増している。

Eコマースデータの傍受:オンラインショッピングの利用者に新たな差し迫った脅威をもたらし、オンライン決済システムの信頼を損なっている。

Crimeware-as-a-Service:誰もが最小限の「投資」でサイバー犯罪者になることができる

サイバー詐欺:オンライン取引の増加と在宅勤務者の増加に伴い、オンライン詐欺やフィッシング詐欺の手口を見直し、政府や医療機関になりすまして被害者に個人情報を提供させたり、悪質なコンテンツをダウンロードさせたりしている。

暗号ジャック:暗号通貨の価値が高まるにつれ、暗号ジャッキングは常に上位にある。

 

Interpol

・2021.01.22 (news) INTERPOL report charts top cyberthreats in Southeast Asia

・[PDF] ASEAN CYBERTHREAT ASSESSMENT 2021 - KEY CYBERTHREAT TRENDS OUTLOOK FROM THE ASEAN CYBERCRIME OPERATIONS DESK

目次は、

FOREWORD  序文 
ABBREVIATIONS AND ACRONYMS  略語と頭字語
ACKNOWLEDGEMENT 謝辞
EXECUTIVE SUMMARY  要約
1. Current developments in Southeast Asia 1. 東南アジアの現状
2. Significant Cyber Incidents in 2020  2. 2020年の重大なサイバーインシデント 
3. INSIGHT INTO CYBERTHREAT TRENDs: 2020 3. サイバー脅威のトレンドを洞察する:2020年
 3.1 Business E-mail Compromise   3.1 不正なビジネスメール (BEC)
 3.2 Phishing   3.2 フィッシング 
 3.3 Ransomware  3.3 ランサムウェア
 3.4 E-Commerce data interception  3.4 Eコマースデータの傍受の傍受
 3.5 Crimeware-as-a-Service   3.5 Crimeware-as-a-Service
 3.6 Cyber fraud  3.6 サイバー詐欺
 3.7 Cryptojacking  3.7 暗号ジャッキング
4. Ways forward for proactive actions against evolving cyberthreats in ASEAN  4. ASEANにおける進化するサイバー脅威への積極的な対応のあり方 
5. ASEAN Joint Operations on Cybercrime annual planning cycle 5. サイバー犯罪に関するASEAN共同作戦の年間計画サイクル
 Phase I – Collect and analyse  フェーズ I - 収集と分析
 Phase II – Prioritize and strategize   フェーズII - 優先順位付けと戦略化 
 Phase III – Operationalize  フェーズIII - 業務化
 Phase IV – Evaluate  フェーズIV - 評価

 


| | Comments (0)

2021.01.23

JIS X 9251:2021 情報技術―セキュリティ技術―プライバシー影響評価のためのガイドライン

こんにちは、丸山満彦です。

ISO/IEC 29134:2017 Information technology — Security techniques — Guidelines for privacy impact assessment”をJIS化した、JIS X 9251:2021 情報技術―セキュリティ技術―プライバシー影響評価のためのガイドライン」が発行されましたね。。。

● JIS

・2021.01.20 JIS X 9251:2021 情報技術―セキュリティ技術―プライバシー影響評価のためのガイドライン - Information technology -- Security techniques -- Guidelines for privacy impact assessment

目次ですが、

序文
1
適用範囲
2
引用規格
3
用語及び定義
4
略語
5 PIA の事前準備
 5.1 PIA
実施の便益
 5.2 PIA
報告の目的
 5.3 PIA
を実施する責任(Accountability
 5.4 PIA
の規模
6 PIA
実施プロセスのガイダンス
 6.1
総論
 6.2 PIA
の必要性の決定(しきい値分析)
 6.3 PIA
の準備
 6.4 PIA
の実行
 6.5 PIA
のフォローアップ
7 PIA
報告書
 7.1
一般
 7.2 PIA
報告書の構成
 7.3 PIA
の範囲
 7.4
プライバシー要件
 7.5
リスクアセスメント
 7.6
リスク対応計画
 7.7
結論及び意思決定
 7.8 PIA
パブリックサマリ
附属書 A(参考)影響レベル及び起こりやすさに関する評価基準
附属書 B(参考)一般的な脅威
附属書 C(参考)用語の理解に関するガイダンス
附属書 D(参考)PIA プロセスをサポートする図解例
参考文献
解 説

となっております。。。

| | Comments (0)

防衛省主催のCTF(サイバーコンテスト)(^^)

こんにちは、丸山満彦です。

防衛省がCTFをするようですね。。。

 

  • 開催日時:2021.03.14 09:00-21:00
  • 募集期間:2021.01.25-2021.02.12
  • 募集人数:200名
  • 募集資格:日本国籍を有する個人(防衛省、自衛隊の職員は不可)
  • コンテスト方式:オンラインCTF(個人戦)

 

詳細はウェブページで。。。

 

● 防衛省

防衛省サイバーコンテスト 参加者募集中

 

-----

・防衛省のサイバー政策(令和2年版 防衛白書へのリンク)

  1. サイバー領域をめぐる動向
    https://www.mod.go.jp/j/publication/wp/wp2020/html/n13301000.html

  2. サイバー領域での対応
    https://www.mod.go.jp/j/publication/wp/wp2020/html/n31302000.html

  3. サイバー領域の利用にかかる協力
    https://www.mod.go.jp/j/publication/wp/wp2020/html/n33302000.html

 


| | Comments (0)

Cloud Security Alliance - Cloud Controls Matrix v4を公表しましたね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance が Cloud Controls Matrix (CCM) v4を公表しましたね。。。CCMはSTAR認証の規準となりますので、STAR認証を取得しているところは移行についても気にする必要がありますね。。。

Cloud Security Alliance (CSA)

・2021.01.20 Cloud Controls Matrix v4

Research - Cloud Control Matrix (CCM)

The CSA Cloud Controls Matrix (CCM) is a cybersecurity control framework for cloud computing.

Ccm

・・[XLSX]はウェブページから簡単な質問に答えて入手できます。。。

V3.0.1からの移行については、次のブログ記事になります。。。

CCM v4 FAQ - Transition Timeline

 

V4 Control Domain Control Domainの仮訳
A&A Audit & Assurance  - A&A 監査・保証
AIS Application & Interface Security - AIS アプリケーションとインターフェースのセキュリティ
BCR Business Continuity Management and Operational Resilience  - BCR 事業継続管理と運用維持
CCC Change Control and Configuration Management  - CCC 変更管理と構成管理
CEK Cryptography, Encryption & Key Management 暗号、暗号化、鍵管理
DCS Datacenter Security  - DCS データセンタセキュリティ
DSP Data Security and Privacy Lifecycle Management - DSP データセキュリティとプライバシーライフサイクル管理
GRC Governance, Risk and Compliance - GRC ガバナンス、リスクとコンプライアンス
HRS Human Resources - HRS 人事
IAM Identity & Access Management - IAM アイデンティティとアクセスの管理
IPY Interoperability & Portability - IPY 相互運用性・移植容易性
IVS Infrastructure & Virtualization Security - IVS インフラと仮想化のセキュリティ
LOG Logging and Monitoring  - LOG 記録と監視
SEF Security Incident Management, E-Discovery, & Cloud Forensics - SEF セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス
STA Supply Chain Management, Transparency, and Accountability - STA サプライチェーンの管理、透明性と説明責任
TVM Threat & Vulnerability Management - TVM 脅威と脆弱性の管理
UEM Universal Endpoint Management - UEM 統合的エンドポイント管理
     
V3.0.1 Control Domain コントロールドメイン
  Application & Interface Security アプリケーションとインターフェースセキュリティ
  Audit Assurance & Compliance 監査保証とコンプライアンス
  Business Continuity Management & Operational Resilience 事業継続管理と運用
  Change Control & Configuration Management 変更管理と構成管理
  Data Security & Information Lifecycle Management  データセキュリティと情報ライフサイクル管理
  Datacenter Security データセンタセキュリティ
  Encryption & Key Management 暗号化と鍵管理
  Governance and Risk Management ガバナンスとリスク管理
  Human Resources 人事
  Identity & Access Management アイデンティティとアクセス管理
  Infrastructure & Virtualization Security インフラと仮想化のセキュリティ
  Interoperability & Portability 相互運用性と移植容易性
  Mobile Security モバイルセキュリティ
  Security Incident Management, E-Discovery, & Cloud Forensics セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス
  Supply Chain Management, Transparency, and Accountability サプライチェーンの管理、透明性、説明責任
  Threat and Vulnerability Management 脅威と脆弱性の管理

 

● 参考

* Cloud Controls Matrix v3.0.1

・2019.08.03 Cloud Controls Matrix v3.0.1

・・[XLSX]はウェブページから簡単な質問に答えて入手できます。。。

日本語版を含む英語以外の言語

・2020.05.07 CCM Translation in 10 Languages

・・日本語版[XLSX]はウェブページから簡単な質問に答えて入手できます。。。

 

* Security Guidance

・2017.07.26 (press) Cloud Security Alliance Announces Major Updates to Guidance v4.0

Security Guidance v4.0

20210310-53056

・・[PDF]はウェブページから簡単な質問に答えて入手できます。。。

・Info Sheet

20210310-54204

| | Comments (0)

2021.01.22

ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

こんにちは、丸山満彦です。

ENISAが「ヘルスケアサービスのためのクラウドセキュリティー ([PDF] CLOUD SECURITY FOR HEALTHCARE SERVICES ) 」を公表していますね。。。医療機関等のヘルスケアサービス提供事業者のクラウド利用はますます進むと思われるので、そのためのガイドラインということですね。ヘルスケアサービスということで、3つのユースケースが記載されていますね。

  1. 電子健康記録 (EHR) :患者情報、健康診断結果等の健康データの収集、保存、管理、送信に焦点を当てたシステム等
  2. 遠隔治療:患者と医師のやり取りを支援する遠隔医療等
  3. 医療機器:医療機器データをさまざまな利害関係者が利用できるようにする、あるいは機器の監視に利用できるようにするなど、医療機器の操作を支援するクラウドサービス。

● ENISA

・2021.01.18 (press) Securing Cloud Services for Health

・2021.01.18 (publication) Cloud Security for Healthcare Services

報告書は、

・[PDF] CLOUD SECURITY FOR HEALTHCARE SERVICES

この報告書は、昨年公表した「病院のサイバーセキュリティ調達ガイドライン ([PDF] PROCUREMENT GUIDELINES FOR CYBERSECURITY IN HOSPITALS - Good practices for the security of Healthcare services)」に基づくものですね。。。

CLOUD SECURITY FOR HEALTHCARE SERVICESの目次は、

1. INTRODUCTION 1. 序論
1.1 CONTEXT OF THE REPORT 1.1 報告書の背景
1.2 OBJECTIVE 1.2 目的
1.3 SCOPE 1.3 範囲
1.4 TARGET AUDIENCE 1.4 想定読者
1.5 METHODOLOGY 1.5 方法論
1.6 STRUCTURE OF THE DOCUMENT 1.6 報告書の構成
2. HEALTHCARE IN THE CLOUD 2. クラウド環境のヘルスケア
2.1 POLICY CONTEXT 2.1 政策的な背景
2.1.1 The Network and Information Security Directive (NISD) 2.1.1 ネットワークおよび情報セキュリティ指令 (NISD)
2.1.2 General Data Protection Regulation 2.1.2 一般データ保護規則 (GDPR)
2.1.3 Non regulatory guidelines 2.1.3 規制外のガイドライン
2.2 CLOUD COMPUTING BASICS 2.2 クラウドコンピューティングの基本
2.2.1 Cloud Services 2.2.1 クラウドサービス
2.2.2 Cloud Deployment models 2.2.2 クラウド実装モデル
2.2.3 Division of responsibilities 2.2.3 責任の分担
2.3 TYPES OF CLOUD SERVICES IN HEALTHCARE 2.3 ヘルスケアにおけるクラウドサービスの種類
3. CYBERSECURITY CONSIDERATIONS IN CLOUD F 3. クラウドにおけるサイバーセキュリティへの配慮
3.1 CLOUD SECURITY CHALLENGES FOR HEALTHCARE 3.1 ヘルスケアにおけるクラウド・セキュリティの課題
3.2 DATA PROTECTION CHALLENGES IN THE CLOUD 3.2 クラウドにおけるデータ保護の課題
3.3 CYBERSECURITY THREATS 3.3 サイバーセキュリティの脅威
4. USE CASES 4. ユースケース
4.1 USE CASE 1 - ELECTRONIC HEALTH RECORD 4.1 ユースケース 1 - 電子健康記録
4.2 USE CASE 2 – REMOTE CARE 4.2 ユースケース 2 - 遠隔治療
4.3 USE CASE 3 – MEDICAL DEVICES 4.3 ユースケース 3 - 医療機器
5. CLOUD SECURITY MEASURES 5. クラウドの安全性の測定
5.1 CLOUD SECURITY MEASURES AND GOOD PRACTICES 5.1 クラウドセキュリティの測定方法と良い実践事例
6. CONCLUSION 6. 結論
7. REFERENCES 7. 参考文献
A ANNEX: GENERAL PRACTICES 付録A:一般的な実務
B ANNEX: MAPPING OF SECURITY MEASURES 付録B:セキュリティ対策のマッピング

 

■ 参考(関連情報)

● ENISA


 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals


その他、参考になりそうなENISAについての言及

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.12.12 ENISA テレコムのセキュリティガイドラインと5G関連の補足版の公表

・2020.12.11 ENISA 「CSIRTとSOCをいかに構築するか - グッドプラクティスガイド」、「分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展」を公表していますね。。。

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.27 ENISAがつながる&自動化された移動体 (CAM) のエコシステムにおけるセキュリティの報告書を公開していました・・・

・2020.11.26 ENISA 認証をサポートする規格

・2020.11.15 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

・2020.11.10 ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.07.19 ENISA : ”信頼されたサイバー・セキュアな欧州に向けた新戦略”を発表

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.06.12 ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開

・2020.06.11 ENISA 安全なユーザ認証のヒント

・2020.05.13 ENISA 電力セクターの時間サービスへの依存:時間に敏感なサービスへの攻撃についての報告書

・2020.05.09 ENISA CSIRT、法執行機関、司法機関の技術協力の強化に関する概要文書を公表

・2020.05.05 ENISA CSIRTとは何か?どのように役立つか?

・2020.04.30 ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開

・2020.04.25 ENISA 暗号化されたトラフィック分析に関する報告書(ユースケース分析)

・2020.04.21 ENISA Underpinning software security: the role of the EU cybersecurity certification framework

・2020.04.16 ENISA eIDと信託サービスにおけるENISAの役割

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.04.03 ENISA 「CSIRTと法執行機関の協力」を強化するための報告書

・2020.04.01 ENISA Tips for cybersecurity when buying and selling online

・2020.03.29 セキュリティ人材の育成はどこでも苦労しているようで・・・ENISA Cybersecurity Skills Development in the EU

・2020.03.25 ENISA Tips for cybersecurity when working from home

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals

・2020.02.13 ENISAがEUのサイバーセキュリティ関係者のマップをつくっていますね。。。

 

 



 

 

| | Comments (0)

米国 IaaS事業者にKYCのルールを導入することを要請する大統領令 by トランプ元大統領 at 2021.01.19

こんにちは、丸山満彦です。

バイデン大統領が2021.01.20に就任にしましたが、その前日に当時のトランプ大統領により、 IaaS事業者に外国人のKYCのルールを導入することを要請する大統領令を出していますね。。。

SolarWindsの件の影響ですかね、これも...

 

Trump White House

・2021.01.19 Executive Order on Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities

180日以内に、商務長官は米国のIaaS事業者がアカウントを取得した外国人の身元を確認することを要求する規則を提案することを要求していますね。。。

身元確認の項目等については、

(A) 外国人の身元、氏名、国民識別番号、住所などの情報

(B) 支払手段および支払源(関連する金融機関およびクレジットカード番号、口座番号、顧客識別子、取引識別子、仮想通貨ウォレットまたはウォレットアドレスの識別子などのその他の識別子を含む)

(C) 外国人の身元を確認するために使用される電子メールアドレスおよび電話連絡先情報

(D) アクセスまたは管理に使用されるインターネット・プロトコル・アドレス等

が例示されていますね.....

 

大統領が変わりましたが、これはこれで変更が行われなければ機能し、180日内に商務長官がこの方針に従った具体的なアクションをするわけですよね。。。ということで、米国の外国である日本のユーザも関係するということですかね。。。

 

-----

■ 報道

● DUO

・2021.01.19 TRUMP EXECUTIVE ORDER FOCUSES ON RULES FOR CLOUD PROVIDERS b

Among the last acts of the Trump Administration is an executive order aimed at blocking foreign adversaries from using cloud computing platforms in attacks against the United States.

Under the order,Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities, the Commerce Department has 180 days to develop “know your customer” type of rules for infrastructure-as-a-service providers in the United States to verify the identities of foreign entities on the platform, take action if the platform is used maliciously, and maintain certain records.

| | Comments (0)

2021.01.21

世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

こんにちは、丸山満彦です。

世界経済フォーラムが毎年出している、グローバルリスクリポートですが、2021年版が公表されていますね。。。

World Economic Forum

・2021.01.19 The World Needs to Wake Up to Long-Term Risks

 ・[PDF] The Global Risks Report 2021 16th Edition INSIGHT REPORT

 

・2021.01.19 グローバルリスク報告書2021年版:世界は長期的リスクへの対応に目覚めるべきである

Preface 序文
Executive Summary 概要
Global Risks 2021: Fractured Future 2021年の世界のリスク:分断された未来
Error 404: Barriers to Digital Inclusivity 404エラー:デジタル・インクルージョンへの障壁
Pandemials: Youth in an Age of Lost Opportunity パンデミアル:機会損失時代の若者たち
Middle Power Morass: Navigating Global Divides  中産国の混迷:世界の分水嶺をナビゲートする 
Imperfect Markets: A Disorderly Industrial Shakeout  不完全市場:無秩序な産業の淘汰 
Hindsight: Reflections on Responses to COVID-19  今だから言える:COVID-19への対応を振り返って 
Postscript  終わりに
Survey Results 調査結果
・Global Risks Horizon ・グローバルリスク・ホライゾン
・Global Risks Landscape ・グローバルなリスクの状況
・Global Risks Network ・グローバルリスクネットワーク
・Evolving Risks Landscape ・リスクの発生状況

 

-----

・2020.11.03 Global Risks Report 2021

The 16th edition of the World Economic Forum’s Global Risks Report analyses the risks from societal fractures—manifested through persistent and emerging risks to human health, rising unemployment, widening digital divides, youth disillusionment and geopolitical fragmentation.
-----
過去分
PDFは第1回から揃いますね。。。

16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15  Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  
 
 
1024pxworld_economic_forum_logosvg

 

| | Comments (0)

StateRAMPはFedRAMPの州政府、自治体版?

こんにちは、丸山満彦です。

米国では、StateRAMPという非営利団体が、州政府向けにFedRAMPのようなサービスを提供するようですね。。

StateRAMPのしくみは...

  1. クラウドサービスプロバイダー(CSP)が州政府のサイバーセキュリティポリシーを満たしていることを検証するためのメカニズムを州政府に提供するプラットフォーム。

  2. 州が安全でないクラウドソリューションによるサイバーリスクを軽減し、データを保護するのに役立つ。
    FedRAMPと同様に、クラウドアプリケーションのサイバー対応を検証するための標準化されたアプローチを提供し、サイバーセキュリティプロセスを簡素化する。

  3. CSPのセキュリティステータスを保存、維持、公開し、州政府や自治体に、ステータスの更新やコンプライアンスの変更とともにCSPサイバーセキュリティ認定にアクセスするためのソースを提供する。

ということのようですね。。。

StateRAMP

評価のための文章

・Resources - Documents

2021.01.08 StateRAMP Security Assessment Framework (Ver1.2) This document provides a summary of the objectives, goals, and governance approach of StateRAMP, along with an outlined methodology to verify cloud security.
2020.12.08 StateRAMP Proposed Bylaws This framework for bylaws was developed by the StateRAMP Steering Committee. As the Board of Directors is formed in late 2020, one of their first actions will be to adopt the bylaws for the organization.

 

Srlogocircle01300x300

StateRAMP Security Assessment Framework (Ver1.2)の目次は、、、

↓↓↓↓↓

Continue reading "StateRAMPはFedRAMPの州政府、自治体版?"

| | Comments (0)

2021.01.20

ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集

こんにちは、丸山満彦です。

ドイツの情報セキュリティ標準 BSI Standard 200-4 Business Continuity Managementのドラフト[PDF] の意見募集が2020.06.30まで行われていますね。。。

これは、従来のBSI Standards 100-4 [PDF] 危機管理に変わるもので、COVID-19パンデミックでの知見も含めた上でISO 22301との整合性も図られているようです。。。

● Bundesamt für Sicherheit in der Informationstechnik (BSI)

・2021.01.19 (News) Neuer BSI-Standard 200-4

・2021.01.19 (Publish) Modernisierter BSI-Standard 200-4 Business Continuity Management

・2021.01.19 BSI-Stan­dard 200-4

ガイドライン案 [PDF]

・2021.01.19 Hilfs­mit­tel zum BSI-Stan­dard 200-4

 

BSI standards 200シリーズの全体像がわかりやすいのはこちら・・・

・2021.01.19 BSI-Stan­dards

 

BSI-Stan­dards BSI規格
・2018.07.05 BSI-Stan­dard 200-1: Ma­na­ge­ment­sys­te­me für In­for­ma­ti­ons­si­cher­heit BSI規格200-1:情報セキュリティのための管理システム
 [PDF] [PDF English]  
・2017.11.15 BSI-Stan­dard 200-2: IT-Grund­schutz-Me­tho­dik BSI 規格 200-2: IT-Grundschutz の方法論
 [PDF] [PDF Englsih]  
・2017.11.15 BSI-Stan­dard 200-3: Ri­si­ko­ma­na­ge­ment BSI規格200-3:リスク管理
 [PDF] [PDF English]  
BSI-Stan­dard 200-4: Busi­ness Con­ti­nui­ty Ma­nage­ment (Com­mu­ni­ty Draft) BSI規格200-4:事業継続マネジメント(コミュニティドラフト)
Leit­fa­den Ba­sis-Ab­si­che­rung ガイドライン 基本的なセキュリティ
 [PDF] [PDF English]  
BSI-Stan­dards 100-1, 100-2, 100-3 BSI規格100-1、100-2、100-3
BSI-Stan­dard 100-4: Not­fall­ma­na­ge­ment BSI規格100-4:緊急事態管理

 

-----

■ 参考

● ISO

ISO 22301:2019(en) Security and resilience - Business continuity management systems - Requirements

これ、無料で読めます。。。

-----

BSI Standard 200-4 Business Continuity Management案の目次

↓↓↓↓↓


Continue reading "ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集"

| | Comments (0)

2021.01.19

欧州データ保護委員会 パブコメ データ漏えいの通知に関する事例ガイドライン

こんにちは、丸山満彦です。

欧州データ保護委員会が「データ漏えいの通知に関する事例ガイドライン (Guidelines 01/2021 on Examples regarding Data Breach Notification) 」の意見募集をしていますね。2021.03.02までです。。。

[PDF] Guidelines on Personal data breach notification under Regulation 2016/679, WP 250を補足するガイドラインという感じですね。。。

Europian Data Protection Board

・2021.01.18 (news) EDPB adopts Guidelines on examples regarding data breach notification

・(public consultation) Guidelines 01/2021 on Examples regarding Data Breach Notification

ガイドラインはこちら・・・

・[PDF] Guidelines 01/2021 on Examples regarding Data Breach Notification Adopted on 14 January 2021 Version 1.0


ガイドライン案目次です。。。

1 Introduction 1 はじめに
2 RANSOMWARE 2 ランサムウェア
2.1 CASE No. 01: Ransomware with proper backup and without exfiltration 2.1 CASE No.01: 適切なバックアップがあるが、駆除していないランサムウェアの場合
2.2 CASE No. 02: Ransomware without proper backup 2.2 CASE No.02:適切なバックアップがないランサムウェアの場合
2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital 2.3 CASE No.03:バックアップがあるが、病院内での駆除をしていないランサムウェアの場合
2.4 CASE No. 04: Ransomware without backup and with exfiltration 2.4 CASE No.04: バックアップがないが、駆除したランサムウェアの場合
2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks 2.5 ランサムウェア攻撃の防止・影響軽減のための組織的・技術的対策
3 Data Exfiltration ATTACKS 3 データ流出攻撃
3.1 CASE No. 05: Exfiltration of job application data from a website 3.1 CASE No.05:Webサイトからの求人応募データの流出
3.2 CASE No. 06: Exfiltration of hashed password from a website 3.2 CASE No.06: Webサイトからのハッシュ化されたパスワードの漏えい
3.3 CASE No. 07: Credential stuffing attack on a banking website 3.3 CASE No.07: 銀行Webサイトのクレデンシャルスタッフィング攻撃
3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks. 3.4 ハッカー攻撃の影響を防止・軽減するための組織的・技術的対策
4 INTERNAL HUMAN RISK SOURCE 4 内部人的リスク
4.1 CASE No. 08: Exfiltration of business data by a former employee 4.1 CASE No.08:元従業員による業務データの漏えい
4.2 CASE No. 09: Accidental transmission of data to a trusted third party 4.2 CASE No.09:信頼できる第三者へのデータ送信事故
4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources 4.3 内部の人的リスク源の影響を防止・軽減するための組織的・技術的対策
5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS 5 機器、紙の文書の紛失または盗難
5.1 CASE No. 10: Stolen material storing encrypted personal data 5.1 CASE No.10:暗号化された個人データを保存している機器等の盗難
5.2 CASE No. 11: Stolen material storing non-encrypted personal data 5.2 CASE No.11:暗号化されていない個人データが保存されている機器等の盗難
5.3 CASE No. 12: Stolen paper files with sensitive data 5.3 CASE No.12:機密データの入った紙ファイルの盗難
5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices 5.4 機器の紛失・盗難による影響を防止・軽減するための組織的・技術的対策
6 MISPOSTAL 6 郵送ミス
6.1 CASE No. 13: Snail mail mistake 6.1 CASE No.13:郵送ミス
6.2 CASE No. 14: Sensitive personal data sent by mail by mistake 6.2 CASE No.14:機密性の高い個人情報を誤って郵送してしまった場合
6.3 CASE No. 15: Personal data sent by mail by mistake 6.3 CASE No.15:個人情報を誤って郵送してした場合
6.4 CASE No. 16: Snail mail mistake 6.4 CASE No.16:郵送ミス
6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal 6.5 郵送ミスの影響を防止・緩和するための組織的・技術的対策
7 Other Cases – Social Engineering 7 その他事例 - ソーシャルエンジニアリング
7.1 CASE No. 17: Identity theft 7.1 CASE No.17:ID窃盗
7.2 CASE No. 18: Email exfiltration 7.2 CASE No.18:電子メールの流出

 

■ 参考

Europian Data Protection Board

・2018.08.20 Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

・[PDF] Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

Edpb

| | Comments (0)

2021.01.18

新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

こんにちは、丸山満彦です。

「新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは」の内容が興味深い。。。まぁ、考えてみれば取り立てて変わった話ではないように思えるのですが、深く考えてみると面白いかもしれません。。。おすすめです。

桜美林大学教授の平教授とは、情報ネットワーク法学会が知り合いました。知り合った当時は朝日新聞の編集者だったと思います。最近は、ファイくニュース等についての著書もあり、この分野で精力的に研究をされていますね。。。

新聞紙学的(平和博さんのブログ)

・2021.01.18 ディープフェイクスにどれだけ騙される? 意外な実験結果とは

詳細は先生のブログで・・・

 

■ 参考

Political Deepfake Videos Misinform the Public, But No More than Other Fake Media by Soubhik Barari, Christopher LucasKevin Munger

 

| | Comments (0)

2021.01.17

NTFS $ I30インデックス属性に関わるリスクの件

こんにちは、丸山満彦です。

NTFS $ I30インデックス属性に関わるリスクの件は、私もBleepingComputerの記事で初めて知ったのですが、2020年8月、10月にすでにJonas L [twitter] さんが指摘していたようですね。。。今回も彼のTwitterがきっかけです。。。

理解している利用者が意図してその作業をすることによって不都合が起こる場合は、仕方がないとしても、十分な理解がない人が利用したり、また利用者が意図していないところで不都合が起こる場合は、なんらかの対策をしないと製造者としては一般的にはよくないでしょうね。。。

今回の問題は、$ I30インデックス属性のファイルにアクセスしようとするとハードディスクに障害が出るという問題のようで、利用者が意図しないところでも生じるところに問題がありますよね。。。

この問題に対応する方法が現在はまだないため、サイバー攻撃で利用される可能性もあるわけですが、広く知られるようになれば対応方法も考えられるようになり、長期的には良いことだったのだろうと思います。

BleepingComputer

・2021.01.14 Windows 10 bug corrupts your hard drive on seeing this file's icon by

An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.

In multiple tests by BleepingComputer, this one-liner can be delivered hidden inside a Windows shortcut file, a ZIP archive, batch files, or various other vectors to trigger hard drive errors that corrupt the filesystem index instantly.

The Vergeの記事では、マイクロソフトはこの脆弱性に対応するという話になっていますね。。。

The Verge

・2021.01.15 Microsoft to fix Windows 10 bug that can corrupt a hard drive just by looking at an icon - A bizarre Windows bug for 2021 b

Jonas L @jonasLyk

 ・2021.01.09 NTFS VULNERABILITY CRITICALITY UNDERESTIMATED

Tom Warren @tomwarren

 


 

| | Comments (0)

2021.01.16

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。

こんにちは、丸山満彦です。

以下の部分の統制活動 (Controles) が全部で144項目ありますね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.15 スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

の続きにようなものです。。。

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

まずは目次の該当部分を再掲・・・

III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 

144の詳細はこちら。訳は機械翻訳を使っているので間違いがあるとは思いますが、概要をつかむということで・・・

↓↓↓↓↓

Continue reading "スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。"

| | Comments (0)

2021.01.15

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

こんにちは、丸山満彦です。

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD)が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。。。

スペインの個人データ保護庁は、かなり精力的に仕事をしているイメージがあります。文書がスペイン語なので私にはなかなかとっつきにくいのですが、、、そして今度の文書もスペイン語です...(なので、複数の翻訳ソフトと辞書を使いながらの訳です・・・)

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial この文書は、データ保護の観点から、AIを用いた構成要素を含む処理業務の監査に組み込むべき客観的な指針と基準を提供している。
El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen AIを用いた処理が市民の権利と自由に与える影響は、それらが使用されるシステムと処理において成熟した開発モデルを確立する必要性を浮き彫りにしている。
La Guía está orientada a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos このガイドは、AIを含む処理業務を監査しなければならない管理者や監督者、製品やソリューションの保証を提供したいと考えている開発者、データ保護責任者、処理業務の評価を担当する監査チームを対象としている。

ガイダンスはこちら・・・

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

ざっとウェブページの内容を意訳すると。。。

ーーーーー

分析や推論に人工知能(AI)を用いた個人データの処理業務を行うためには、品質とプライバシーを保証する成熟した開発モデルを適用する必要があります。AIを用いた処理が市民の権利と自由に与える影響は、AIを用いたシステムや処理業務について、効果的な管理、正確性、責任、説明責任、リスク管理、透明性などの対策を講じる必要があることを浮き彫りにしている。

一般データ保護規則(GDPR)の第24条では、データを処理する者は、「本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装する」(個人情報保護委員会の訳)ことが義務づけられている。これらの措置は、「取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮して」選択されなければならず、GDPRの遵守を「確保し、そのことを説明できる」ための手段の一つとして監査の実施がある。そのためには、データ保護の観点からAI構成要素の監査を行うために設計された客観的な基準を持つ必要がある。

この文書には、監査されたアルゴリズムのインベントリの作成、責任の明確化、透明性の原則の遵守、目的の明確化、処理の比例性と必要性の分析、データ保存の限界、データの品質の確保、バイアスの可能性の管理、GDPR の積極的責任の原則に準拠して行われた行動と得られた結果の検証と検証などの目的が含まれている。

この文書は主に、AIを用いた構成要素を含む処理業務を監査する必要があるデータ管理者や監督者、対象となるデータ保護義務と原則の遵守を保証し実証できるようにするや必要があるデータ管理者や監督者、製品とソリューションの保証を提供したい開発者、処理業務の監督とデータ管理者への助言の両方を担当するデータ保護責任者、そのような処理業務の評価を担当する監査チームを対象としている。

この文書は、AIを用いた処理における個人データ保護の原則の効果的な遵守に対処した、「Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (AIを用いた処理のためのGDPR適応ガイド)」を補完するものである。その中で、監査の章が設けられ、監査は可能な評価ツールの一つとして、また、説明可能で、予測可能で、制御可能な製品を実現するための手段として提案されている。

監査の対象となる統制の選択、分析の範囲、及びその実施に必要な形式は、他の監査と同様に、監査のために定義された目的と範囲、及び実施されたリスク分析に依存する。監査人は、特定の監査に適した統制を選択し、適切と思われる統制を追加しなければならない。

文書の目次です。

I. INTRODUCCIÓN  I. 序論 
II. METODOLOGÍA DE AUDITORÍA Y TRATAMIENTOS QUE INCORPORAN COMPONENTES DE IA  II.監査の方法論及びAI構成要素を組み込んだ治療法 
A. Objetivos generales de la auditoría de un componente IA en PD  A.データ保護におけるAI構成要素の監査の一般的な目的 
B. Características singulares de la metodología de la auditoría de un componente IA en PD  B. データ保護におけるAI構成要素の監査方法の特徴 
III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 
IV. CONCLUSIONES  IV.結論 
V. ANEXO I: DEFINICIONES  V. 附属書 I: 定義 
Anonimización  匿名化 
Aprendizaje de componentes IA  AI構成要素学習 
Auditoria  監査 
Auditoría de protección de datos de componentes IA  AI構成要素データ保護監査 
Componente IA  AI構成要素
Datos de entrada, datos de salida y datos etiquetados  入力データ、出力データ、タグ付きデータ 
Datos personales  個人データ
Ciclo de vida de un componente IA  AI構成要素のライフサイクル 
Discriminación algorítmica  アルゴリズムによる差別 
Discriminación grupal  集団差別 
Discriminación estadística  統計的差別 
IA-débil  弱いAI
Metodología de auditoría  監査の方法論 
Objetivos de control y controles  統制目的と統制活動
Perfilado  プロファイリング 
Riesgo de reidentificación  再識別のリスク 
Sesgo algorítmico  アルゴリズムのバイアス 
Variables proxy  プロキシ変数 

 

 



 

Continue reading "スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。"

| | Comments (0)

2021.01.14

重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

こんにちは、丸山満彦です。

U.S. GAOが国防省を監査し、国防省の重要な調達プログラム、技術、製造能力、および研究分野のリストの作成を開始したものの、作成さえたリストを内部および他の機関に伝達する方法を決定してないやん、、、と言う報告書を公開していますね。。。

The John S. McCain National Defense Authorization Act for Fiscal Year 2019 が国防長官に、米国の国家安全保障上の利点を維持するために重要な調達プログラム、技術、製造能力、および研究分野のリストを作成および維持することを義務付けているので、リストを作らないといけないことになっているようです(条文が長くて確認できていない・・・)。もっとも、リストがなければ管理はできないので、管理する以上、リストは必要となりますね。。。

どういう方法で伝達することにするのでしょうかね。。。

 

● U.S. GAO

・2021.01.12 DOD CRITICAL TECHNOLOGIES: Plans for Communicating, Assessing, and Overseeing Protection Efforts Should Be Completed

 

 

 

推奨事項は、

The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to determine a process for formally communicating future critical acquisition programs and technologies lists to all relevant DOD organizations and federal agencies. 国防長官は、重要技術保護タスクフォースと連携して、国防副長官に指示し、将来の重要獲得プログラムおよび技術リストをすべての関連する国防総省組織および連邦機関に正式に伝達するプロセスを決定するべきである。
The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to identify, develop, and periodically review appropriate metrics to assess the implementation and sufficiency of the assigned protection measures. 国防長官は、重要技術保護タスクフォースと連携して、割り当てられた保護手段の実施と充足性を評価するため の適切な指標を特定し、開発し、定期的にレビューするよう、国防副長官に指示すべきである。
The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to finalize the decision as to which DOD organization will oversee protection efforts beyond 2020.  国防長官は、重要技術保護タスクフォースと連携して、2020 年以降の保護努力をどの DOD 組織が監督するかについて最終決定を下すよう、国防副長官に指示すべきである。

 

| | Comments (0)

英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

こんにちは、丸山満彦です。

U.K. National Cyber Security Centre: NCSC がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を2021.01.13に主催し、180名が参加したようですね。。。

日本で言うと、内閣官房サイバーセキュリティセンターが日本野球機構や各プロ野球球団、日本サッカー協会や各サッカーチーム、相撲協会や各相撲部屋、日本中央競馬会等を集めてサイバーセキュリティの会議を開催する感じですかね。。。

英国ではスポーツ団体の少なくとも70%が12か月ごとにサイバーインシデントにあっている(英国企業平均の2倍以上)とのことですから、すでに影響が出ていると言うことなんでしょうね。日本の状況はよくわかりませんが、少し違うのかもしれませんね。。。

日本でもオリンピックやラグビーの大会についてはイベントと言うことで対策をしていますね。。。また、さらにこれからeSportsも活発になってくると思うので、eSportsに対するサイバーセキュリティは重要でしょうね。。。

 

U.K. National Cyber Security Centre: NCSC

・2021.01.13 (news) Sports clubs gather for summit on the cyber threat

The NCSC is hosting a cyber security meeting to help professional sports clubs and organisations protect themselves against cyber criminals.

興味深いのは、2020.07.23に「The Cyber Threat to Sports Organisations - Ensuring fair play online」と言う報告書をNSCSが出していることですね。。。(私は見逃していましたが・・・)

The NCSC report highlights the cyber threats faced by the sports sector and suggests how to stop or lessen their impact on organisations.

 

スポーツ組織が見直すべき重要な分野として、次の3つをあげていますね。。。

1. メールセキュリティ

電子メールについての先進的な技術的コントロールは、スポーツ分野では日常的には適用されていない。なりすまし対策や多要素認証などの対策を導入することで、サイバーリスクを大幅に減らすことができる。

2. 要員のエンパワーメント

要員にトレーニングを実施している組織は半数以下である。要員は重要な防衛ラインであり、不審な行動を発見した場合には報告を促すことが不可欠である。

3. サイバーリスク管理

スポーツ組織は複雑である。組織は、コンプライアンスだけでなく(例:GDPRだけでなく)、IT資産全体ですべてのサイバーリスクが考慮されていることを保証するために、リスク管理に対する全体的なアプローチを採用することが有益である。

 

Forewords 序文
Executive summary エグゼクティブサマリー
Introduction 序章
Source of statistics 統計の出典
How digitally reliant is sport? スポーツのデジタル依存度は?
Threat overview 脅威の概要
Nature of the threat 脅威の性質
Nation-state involvement 国家の関与
Major events 主なイベント
Attack trends 攻撃の傾向
Trend 1: Business Email Compromise (BEC) トレンド1:ビジネスメール詐欺 (BEC)
Trend 2: Cyber-enabled fraud トレンド2:サイバーを利用した不正
Trend 3: Ransomware トレンド3:ランサムウェア
Venue security 会場のセキュリティ
Attack opportunities 攻撃機会
Implementation of key technical controls 主要な技術的コントロールの実施
Venue security: mitigation 会場のセキュリティ:緩和
Risk management & industry trends リスクマネジメントと業界動向
How important is cyber security and who provides leadership? サイバーセキュリティの重要性、リーダーシップを発揮するのは誰か?
What is driving cyber risk management? サイバーリスクマネジメントを推進しているのは何か?
Risk management guidance リスクマネジメントの手引き

Continue reading "英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。"

| | Comments (0)

2021.01.13

Europol 世界最大の違法ダークウェブマーケットプレイスを削除

こんにちは、丸山満彦です。

Europolが世界最大の違法なダークウェブマーケットプレイスの運営者とされるオーストラリア人を逮捕し、ダークウェブマーケットプレイスを削除したと公表していますね。。。

● Europol

・2021.01.12 DARKMARKET: WORLD'S LARGEST ILLEGAL DARK WEB MARKETPLACE TAKEN DOWN

数字で見るDarkMarket...

  • 約50万人のユーザ
  • 2,400人以上の売り手
  • 320,000以上の取引
  • 4,650ビットコイン+12,800モネロ+α(1.4億ユーロ=177億円)の送金

ユーロポールの欧州サイバー犯罪センター(EC3)は専用のダーク・ウェブ・チームを設立して逮捕にこぎつけたようですね。。。

 

| | Comments (0)

米国 ポンペオ国務長官がサイバー空間安全保障・新興技術局(CSET)の創設を国務省に指示

こんにちは、丸山満彦です。

トランプ政権から、バイデン政権への移行が予定されている中ですが、ポンペオ国務長官がサイバー空間安全保障・新興技術局(Cyberspace Security and Emerging Technologies Bureau: CSET)の創設を国務省に指示していますね。。。

U.S. Department of State

・2021.01.07 Secretary Pompeo Approves New Cyberspace Security and Emerging Technologies Bureau

The CSET bureau will lead U.S. government diplomatic efforts on a wide range of international cyberspace security and emerging technology policy issues that affect U.S. foreign policy and national security, including securing cyberspace and critical technologies, reducing the likelihood of cyber conflict, and prevailing in strategic cyber competition. The Secretary’s decision to establish CSET will permit the Department to posture itself appropriately and engage as effectively as possible with partners and allies on these pressing national security concerns.

とありますので、

サイバー空間と重要技術の確保、サイバー紛争の可能性の低減、戦略的サイバー競争での優位性の確保等、米国の外交政策や国家安全保障に影響を与える国際的なサイバー空間の安全保障と新興技術政策の幅広い問題について、米国政府の外交をCSETが主導する。

国防省は、これらの緊急の国家安全保障上の懸念事項について、適切な態勢を整え、パートナーや同盟国と可能な限り効果的に関与することができるようになる。

ということのようですが、後半部分はどういうことでしょうかね。。。

 

1_20210113003301


■ 報道等

The Hill

・2021.01.07 State Department sets up new bureau for cybersecurity and emerging technologies by MAGGIE MILLER 

Secretary of State Mike Pompeo on Thursday approved the creation of a new office at the State Department to address cybersecurity and emerging technologies.

Govinfosecurity

・2021.01.08 State Department Plans to Create Cybersecurity Office by

But Will the Move Be Carried Out Under Biden Administration?

● Infosecurity Magazine

・2021.01.11 US Announces Controversial State Department Cyber-Bureau by  

The US government has announced the creation of a new cybersecurity agency to align with the country’s diplomatic efforts.

The Bureau of Cyberspace Security and Emerging Technologies (CSET) was finally approved by outgoing secretary of state, Mike Pompeo — over a year-and-a-half after Congress was first notified of the plans.

 

昨年9月のGAOの報告

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

 

CSETの導入計画を国務省が議会に送致したという記事

● Cyber Scoop

・2019.06.05 State Department proposes new $20.8 million cybersecurity bureau by

The State Department has sent to Congress a long-awaited plan to reestablish a cybersecurity-focused bureau it says is key to supporting U.S. diplomatic efforts in cyberspace.

The State Department’s new plan, obtained by CyberScoop, would create the Bureau of Cyberspace Security and Emerging Technologies (CSET) to “lead U.S. government diplomatic efforts to secure cyberspace and its technologies, reduce the likelihood of cyber conflict, and prevail in strategic cyber competition.”

The new bureau, with a proposed staff of 80 and projected budget of $20.8 million, would be led by a Senate-confirmed coordinator and “ambassador-at-large” with the equivalent status of an assistant secretary of State, who would report to the Undersecretary of State for Arms Control and International Security. The idea comes nearly two years after then-Secretary of State Rex Tillerson announced he would abolish the department’s cybersecurity coordinator position and put its support staff under the department’s economic bureau.

 

| | Comments (0)

2021.01.12

欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

こんにちは、丸山満彦です。

米国では、ニューヨーク州知事が学校での顔認識技術の使用を一時停止をする動きがありました[このブログ]が、欧米では生体認証を政府等が大々的に使うことについては一定の懸念があるようにも感じます。。。

欧州では「生体認証による大量監視慣行の禁止」が市民イニシアティブとして登録されたと公表されています。市民イニシアティブに登録されると、一定期間以内に100万人以上の署名を集める等の条件をクリアすれば立法等を検討することになります。。。今回の動きが法律になるかどうかはこれからの活動にかかってくるわけですが、欧州全体の大きな動きにしなければ立法は難しいようではあり、そう簡単ではなさそうではあります。。。

Europe Commission

プレス↓

・2021.01.07 (Press) European Citizens' Initiative: Commission decides to register an initiative for ‘a ban on biometric mass surveillance practices'

イニシアティブの登録情報のページ↓

・2021.01.07 Civil society initiative for a ban on biometric mass surveillance practices

・Additional information

・・[PDF] Annex - Civil society initiative for a ban on biometric mass surveillance practices_v2

・Draft legal act

・・[PDF] Draft legal act - Civil society initiative for a ban on biometric mass surveillance practices v2

 

イニシアティブのページ↓

RECLAIM YOUR FACE

2021.01.11現在、運動に参加している人数は12,829名と表示されていました。ウェブページによると2月には活動を開始し、開始から1年以内に7カ国から100万人の署名を集めていくようですね。。。

 

欧州委員会の市民イニシアティブ制度についての説明

Europe Commission

EUROPEAN CITIZENS' INITIATIVE

・・How it works


1_20210112004301


■ 参考

● Teiss

・2021.01.08 EU citizens’ initiative to ban biometric surveillance gets nod from EC by Jay Jay

The European Commission has decided to register a European Citizens' Initiative to ban biometric mass surveillance practices which contends that uses of biometric surveillance in EU states violate EU data protection law and restrict citizens' right to free speech and expression.

・2020 EU Parliament adopts centralised biometric database to monitor migrants by Jay Jay

The European Parliament recently voted in favour of creating a centralised biometric database that will be used by law enforcement authorities in every country in the Schengen area to better detect security threats and identity fraud and to prevent and combat irregular migration.

・2020 Why is the debate on biometrics and surveillance important now? by Anna Delaney

| | Comments (0)

2021.01.11

U.S. Twitterがトランプ大統領のアカウントを凍結した後の下院国土安全保障委員会委員長ベニーG.トンプソン議員の声明

こんにちは、丸山満彦です。

米国民の一部が米国国会議事堂に乱入した事件は、ショッキングな出来事でした。その後、TwitterやFacebookが彼のアカウントを凍結したようです。

この凍結については、一企業が言論の自由をどのように制限できるのか?という問題も提起しつつ、一方、他のSNSについても凍結すべきという考え方もあるようで、民主主義国の間でいろいと議論が必要な分野かもしれませんね。。。

The Committee on Homeland Security of the U.S. House of Representatives

・2020.01.08  CHAIRMAN THOMPSON STATEMENT AFTER TWITTER FINALLY BANS PRESIDENT TRUMP

(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, released the following statement after Twitter permanently banned President Trump:

この中で、

“Facebook and YouTube must also commit to removing him from their platforms permanently. Even without his Twitter account, the President remains a direct threat to national security every minute he remains in power. Congress must still remove him immediately.”

というコメントが紹介されていますね。。。

 


2021.01.12 追記

米国通信品位法 第230条について、、、条文↓↓↓

Legal Information Insight(Cornell大学)

47 U.S. Code § 230 - Protection for private blocking and screening of offensive material

(c) Protection for “Good Samaritan” blocking and screening of offensive material

(1) Treatment of publisher or speaker

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

インタラクティブ・コンピュータ・サービスのプロバイダーまたはユーザは、他のコンテンツ・プロバイダーが提供する情報の発行者または発言者として扱われることはない。

(2) Civil liability

No provider or user of an interactive computer service shall be held liable on account of—

(A) any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected; or

インタラクティブ・コンピュータ・サービスのプロバイダーまたはユーザは、以下の事項について責任を負うことはない。

(A)プロバイダまたは利用者がわいせつ、淫乱等、不潔、過度に暴力的、嫌がらせ、その他好ましくないと判断した素材へのアクセスまたは利用可能性を制限するために善意で自発的に行った行為(その素材が憲法で保護されているかどうかに関わらず)

(B) any action taken to enable or make available to information content providers or others the technical means to restrict access to material described in paragraph (1).



ーーーーー

メルケル独首相は、法律に基づかずに企業が言論の自由を制限するのは問題があるとしていますね。

● AP News

・2021.01.11 Germany’s Merkel: Trump’s Twitter eviction ‘problematic’

But Seibert also said that the freedom of opinion is a fundamental right of “elementary significance.”

“This fundamental right can be intervened in, but according to the law and within the framework defined by legislators — not according to a decision by the management of social media platforms,” he told reporters in Berlin. “Seen from this angle, the chancellor considers it problematic that the accounts of the U.S. president have now been permanently blocked.”

 

● Politico

・2021.01.11 Merkel among EU leaders questioning Twitter’s Trump ban

European leaders said governments should regulate social media platforms, not the companies themselves.

 

● Financial Times

・2021.01.11 Angela Merkel attacks Twitter over Trump ban

The intervention highlights a key area of disagreement between the US and Europe on how to regulate social media platforms. The EU wants to give regulators more powers to force internet platforms such as Facebook or Twitter to remove illegal content.

In the US, technology companies have traditionally been left to themselves to police their own sites, though momentum is gathering behind political moves to curtail their regulatory freedoms. Several members of Congress are working on bills which would limit the legal protections social media companies have from being sued for third-party content posted on their sites. Others are pushing for a new federal data privacy bill that could mirror the EU’s General Data Protection Regulation. 



今回の行為は米国法に基づけば、法律に基づいていないとはいえないのではないかという気もします。。。それで良いかどうかは議論のあるところとしても・・・

ーーーーー

全体的な問題提起

● CNBC

・2021.01.11 Trump’s social media bans are raising new questions on tech regulation

| | Comments (0)

オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。

こんにちは、丸山満彦です。

オーストラリアのサイバーセキュリティセンター (Australian Cyber Security Centre: ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス (Cyber Supply Chain Risk Management) 」と「サイバーセキュリティ・リスク特定ガイダンス (Identifying Cyber Supply Chain Risks) 」を公表していますね。。。

サプライチェーンのリスクには地政学上のリスクの比重がより重くなってきているのでしょうかね。。。

 

Australian Cyber Security Centre: ACSC

・2021.01.07 [HTML] Cyber Supply Chain Risk Management [PDF] [DOCX]

Introduction 序章
Managing the cyber supply chain サイバーサプライチェーンの管理
Identify the cyber supply chain サイバーサプライチェーンの特定
Understand cyber supply chain risk サイバーサプライチェーンのリスクの理解
Set cyber security expectations サイバーセキュリティの期待値の設定
Audit for compliance コンプライアンスのための監査
Monitor and improve cyber supply chain security practices サイバーサプライチェーンのセキュリティ慣行の監視と改善
Further information その他の情報

 

・2021.01.07 [HTML] Identifying Cyber Supply Chain Risks [PDF] [DOCX]

Introduction 序章
Foreign control, influence and interference 外国の支配・影響力・干渉
Nationality considerations 国籍に関する考察
Foreign control 外国の規制
Foreign influence and interference 外国の影響力と干渉
Identifying cyber supply chain risks サイバーサプライチェーンのリスクの特定
Risks due to foreign control or interference 外国の支配や干渉によるリスク
Risks due to poor security practices セキュリティ対策の不備によるリスク
Risks due to lack of transparency 透明性の欠如によるリスク
Risks due to access and privileges アクセスや権限によるリスク
Further information その他の情報

 

・2021.01.07 Australian Government Information Security Manual (ISM) [PDF] [DOCX]

・・変更点 [PDF] [DOCX]

 

■ 参考

Australia Department of Home Affairs

Security of Critical Infrastructure Act 2018

 

ACSC

・2017.02 Strategies to Mitigate Cyber Security Incidents

・2020.06 The cyber security principles

・2020.06 Essential Eight Maturity Model

・2020.06 Questions to ask Managed Service Providers

・2020.06 How to Manage Your Security When Engaging a Managed Service Provider

・2020.07 Cloud Computing Security Considerations

・2020.07 Cloud Computing Security for Tenants

・[HTML] 6 Security governance for contracted goods and service providers [PDF] [DOCX]

 

 

● U.K. NCSC

Supply chain security guidance

Proposing a series of 12 principles, designed to help you establish effective control and oversight of your supply chain.

| | Comments (0)

2021.01.10

CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出

こんにちは、丸山満彦です。

SolarWinds Orion関係についてCISAから追加のアラート(AA21-008A)が出ていますね。 2020.12.17にでたアラート (AA20-352A) の補足という位置付けのようですね。

CISA

・2021.01.08 Alert (AA21-008A) Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments

「Microsoftクラウド環境下での侵害後の脅威アクティビティの検出」という感じですね。かなり詳細な記述となっています。。。

・2020.12.17 Alert (AA20-352A) Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

「政府機関、重要インフラ、民間セクターへの高度な持続的脅威の侵害」の補足という位置付けのようですね。。。

Summaryの仮訳です。。。


概要

このアラートは、「AA20-352A: 政府機関、重要インフラ、および民間セクター組織の高度な永続的脅威の侵害」に付随するアラートです。AA20-352Aは、米国政府機関、重要インフラ、および民間セクター組織のネットワークへの最初のアクセスベクターとして、APTアクターがSolarWinds Orion製品を侵害したことに主に焦点を当てています。AA20-352Aに記載されているように、CISAは、侵害されたSolarWinds Orion製品に加えて、初期アクセスベクターの証拠を持っています。

一方、このアラートでは、CISAがAPTアクターと判断した最初のアクセス・ベクターとは関係なく、アクティビティにも対応しています。具体的には、被害者のMicrosoft 365 (M365)/Azure環境で、APTアクターが侵害されたアプリケーションを使用していることを確認しています。また、このAPTアクターが、追加の資格情報とAPIを利用して、民間および公共機関のクラウド・リソースへのアクセスを行っていることも確認しています。これらの戦術、技術、手順(TTP)は、3つの重要な要素を特徴としています。

  • 連携した ID ソリューションを危うくしたり、迂回したりする。
  • 偽造された認証トークンを使用して、Microsoft のクラウド環境に横方向に移動する。
  • 被害者のクラウド環境への特権アクセスを使用して、検出が困難なAPIベースのアクセスのための永続化メカニズムを確立する。

このアラートでは、これらの TTP について説明し、ネットワーク防御者が Microsoft Azure Active Directory (AD)、Office 365 (O365)、および M365 環境を分析して潜在的な悪意のある活動を検出するための CISA 開発ツール Sparrow など、利用可能なオープンソースのツールの概要とガイダンスを提供しています。


 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

| | Comments (0)

2021.01.09

中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

こんにちは、丸山満彦です。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China) が互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中です。2月7日までです。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.01.08 关于《互联网信息服务管理办法(修订草案征求意见稿)》公开征求意见的通知(インターネット情報サービスの運営に関する措置)の改訂案について意見募集)

インターネット情報サービスの健全かつ秩序ある発展を促進し、国民、法人その他の団体の正当な権利利益を保護し、国の安全と公共の利益を守るために、当局では、産業情報技術部及び公安部と共同で、「インターネット情報サービスの運営に関する措置(パブリックコメントのための改正案)」を作成し、意見募集をしているということのようですね。。。

現在のものは2000.09.25に施行されたものですから、20年ぶりの改訂ということになります。

ちなみに現在のものは、ここです。

・2000.09.25 中华人民共和国国务院令 第292号 互联网信息服务管理办法

条文がぐっと増えてます。。。

 


 

● REUTERS

・2021.01.08 中国規制当局、電子決済・商取引サービスへの監督強化を検討

[上海/北京 8日 ロイター] - 中国の国家インターネット情報弁公室は8日、オンラインサービスに関する規則を約20年ぶりに更新し、監視対象を電子決済、ネットショッピング、ライブ配信などのサービスを提供する企業に広げる案について、意見公募を開始した。

インターネット情報弁公室は「ネット情報サービス」を初めて定義し、これらのサービスのほかニュース配信や検索エンジンが含まれるとした。


 


 

Continue reading "中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中"

| | Comments (0)

2021.01.08

米国 海事サイバーセキュリティ計画の公表

こんにちは、丸山満彦です。

米国が国家海事サイバーセキュリティ計画を公表していますね。。。

米国において海上輸送システム(MTS)
は、米国の国内総生産の4分の1(約5.4兆ドル)に貢献しているということで 米国では2017年の国家安全保障戦略において、海上輸送システム(MTS)のサイバーセキュリティを国防、国土安全保障、および経済競争力の最優先事項として指定していますね。日本ではあまり話題に上がることが少ないかもしれませんが、日本でも海事関係のサイバーセキュリティの取組は進んでいますね。。。

White House

・2020.01.05 (press) Statement from National Security Advisor Robert C. O’Brien Regarding the National Maritime Cybersecurity Plan

・2020.12 [PDF] NATIONAL MARITIME CYBERSECURITY PLAN - TO THE NATIONAL STRATEGY FOR MARITIME SECURITY

RISKS AND STANDARDS リスクと基準
Priority Action 1: The United States will de-conflict government roles and responsibilities. 優先行動 1:米国は、政府の役割と責任の不一致を解消する。
The NSC staff, through the policy coordination process, will identify gaps in legal authorities and identify efficiencies to de-conflict roles and responsibilities for MTS cybersecurity standards. NSC のスタッフは、政策調整プロセスを通じて、法的権限のギャップを特定し、MTS サイバーセキュリティ基準の役割と責任の不一致を解消するための効率性を特定する。
Priority Action 2: The United States will develop risk modeling to inform maritime cybersecurity standards and best practices. 優先行動 2:米国は、海上サイバーセキュリティ基準とベストプラクティスに情報を提供す るためのリスクモデルを開発する。
The United States Coast Guard will analyze and clarify the 2016 and 2020 cybersecurity reporting guidance for maritime stakeholders and collect maritime cyber incident reports to identify trends and attack vectors to increase maritime sector situational awareness and decrease maritime cyber risk. 米国沿岸警備隊は、海事関係者向けの 2016 年と 2020 年のサイバーセキュリティ報告ガイダンスを分析・明確化し、海事サイバーインシデント報告書を収集して傾向と攻撃ベクトルを特定し、海事部門の状況認識を高め、海事サイバーリスクを低減する。
The United States will create an international port OT risk framework based on the input from domestic and international partners and promote the framework internationally. 米国は、国内外のパートナーからのインプットに基づき、国際的な港湾OTリスクフレームワークを作成し、国際的に推進する。
Priority Action 3: The United States will strengthen cybersecurity requirements in port services contracts and leasing. 優先行動3:米国は、港湾サービス契約及びリースにおけるサイバーセキュリティ要件を強化する。
United States Federal agencies will work with the GSA to develop and implement mandatory contractual cybersecurity language for maritime critical infrastructure owned, leased, or regulated by the United States government to decrease cybersecurity risk to the Nation. 米国の連邦機関はGSAと協力して、米国政府が所有、リース、または規制する海上重要インフラのための強制的な契約上のサイバーセキュリティ言語を開発し、実施することで、国家へのサイバーセキュリティリスクを減少させる。
Priority Action 4: The United States will develop procedures to identify, prioritize, mitigate, and investigate cybersecurity risks in critical ship and port systems. 優先行動4:米国は、重要な船舶および港湾システムにおけるサイバーセキュリティリスクを特定し、優先順位をつけ、緩和し、調査するための手順を策定する。
DHS will promote cybersecurity grants and initiatives to protect maritime critical infrastructure. DHSは、海上の重要インフラを保護するためのサイバーセキュリティ補助金とイニシアチブを推進する。
The United States will establish a cyber-forensics process for maritime investigations. 米国は、海事調査のためのサイバーフォレンジックプロセスを確立する。
   
INFORMATION AND INTELLIGENCE SHARING 情報と情報の共有
Priority Action 1: Exchange United States government information with the maritime industry. 優先行動 1:米国政府と海事産業間で情報を共有する。
The United States will promote domestic and international engagement to facilitate information sharing and best practices to build a coalition of maritime cybersecurity advocates. 米国は、情報共有とベストプラクティスを促進し、海事サイバーセキュリティ擁護者の連合を構築するために、国内および国際的な関与を促進する。
The United States will establish procedures and policies that govern the receipt and processing of maritime reports of industry cybersecurity incidents to build a coalition of maritime cybersecurity advocates. 米国は、海事サイバーセキュリティ擁護者の連合を構築するために、業界のサイバーセキュリティ事故に関する海事報告書の受領と処理を管理する手順と方針を確立する。
Priority Action 2: Share cybersecurity intelligence with appropriate non-government entities. 優先行動 2: サイバーセキュリティに関する情報を適切な非政府機関と共有する。
DHS will extend domestic successes to identify avenues to share maritime cybersecurity information and intelligence, as applicable, with the international community. DHSは、国内の成功例を拡大して、必要に応じて国際社会と海事サイバーセキュリティ情報や情報を共有する手段を特定する。
Priority Action 3: Prioritize maritime cybersecurity intelligence collection. 優先行動 3:海上サイバーセキュリティ情報収集に優先順位をつける。
The United States will develop and prioritize maritime cyber intelligence requirements, including assessments of partners’ cybersecurity needs and capabilities, broadly sharing with MTS stakeholders, to the extent allowable, to guide risk modeling and adversary cyber risk assessments. 米国は、パートナーのサイバーセキュリティのニーズと能力の評価を含む海上サイバー情報の要件を開発し、 優先順位を付け、許容される範囲で MTS の利害関係者と広く共有し、リスクモデルと敵対者のサイバーリスク評価の指針とする。
   
CREATE A MARITIME CYBERSECURITY WORKFORCE 海事サイバーセキュリティ作業部会の創設
Priority Action 1: The United States will produce cybersecurity specialists in port and vessel systems. 優先行動 1:米国政府は、港湾・船舶システムのサイバーセキュリティ専門家を育成する。
DHS, through the United States Coast Guard, in coordination with other applicable departments and agencies, will develop cybersecurity career paths, incentives, continuing education requirements, and retention incentives to build a competent maritime cyber workforce. DHSは、米国沿岸警備隊を通じて、他の該当する省庁と連携して、サイバーセキュリティのキャリアパス、インセンティブ、継続教育の要件、定着のためのインセンティブを開発し、有能な海上サイバー人材を育成する。
Priority Action 2: The United States will collaborate with the private sector to increase maritime cybersecurity expertise. 優先行動 2:米国政府は民間部門と協力して、海上サイバーセキュリティの専門知識を高める。
The Department of Defense and DHS, through the United States Navy and United States Coast Guard will pursue and encourage cybersecurity personnel exchanges with industry and national laboratories, with an approach towards port and vessel cybersecurity research and application. 国防総省と DHS は、米国海軍と米国沿岸警備隊を通じて、港湾・船舶のサイバーセキュリティの研究と応用に向けたアプロー チを中心に、産業界や国立研究所とのサイバーセキュリティ人材の交流を追求し、奨励する。
Priority Action 3: Develop and deploy a capable maritime cybersecurity workforce. 優先行動 3: 有能な海上サイバーセキュリティ要員を開発し、配備する。
The United States Coast Guard will field cyber protection teams to support federal maritime security coordination of MTSA-regulated facilities and aid in marine investigations, as required. 米国沿岸警備隊は、必要に応じて、サイバー保護チームを派遣し、MTSA が規制する施設の 連邦政府の海上保安調整を支援し、必要に応じて海洋調査を支援する。

 


■ 参考

International Maritime Oranization (IMO)

Security - Maritime cyber risk

・2017.07.05 MSC-FAL.1/Circ.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT

・2017.06.16  [PDF] ANNEX 10 RESOLUTION MSC.428(98) - MARITIME CYBER RISK MANAGEMENT IN SAFETY MANAGEMENT SYSTEMS

Baltic and International Maritime Council (BIMCO)

・ (Publication) The Guidelines on Cyber Security Onboard Ships(船内のサイバーセキュリティガイドライン)

・[PDF] The Guidelines on Cyber Security onboard Ships - Version 4

 

日本船舶海洋工学会 日本船舶海洋工学会誌 KANRIN(咸臨)

第91号 2020年7月

  海事産業におけるサイバーセキュリティ対策        
1 特集にあたって   編集委員会    
2 海事サイバーセキュリティ検討プロジェクト   稗方 和夫    
3 海事産業におけるサイバーセキュリティ対策 IMO, BIMCO, 船級協会の動向 斎藤 直樹    
4 船舶運航とサイバーセキュリティ対策 SMSにおけるサイバーリスク管理とは 柴田 隼吾 牧山 宅矢 安藤 英幸
5 海事産業におけるサイバーセキュリティ対策 最近の主な脅威と対策を中心に 中尾 康二    
6 制御セキュリティの動向   桑名 利幸 辻 宏郷 木下 仁
7 サイバーセキュリティ教育   宮本 大輔    
8 船上機器システムにおけるサイバーセキュリティ対策の取り組み 船舶OTペネトレーションテストの実施 橋口 展明 松尾 俊彦  

 

株式会社 MTI

・2019.12.04「Monohakobi Techno Forum 2019」開催レポート

・[PDF] 船舶におけるサイバーセキュリティ対応の現状とこれから 船舶IoTチーム チーム長 柴田 隼吾

 

| | Comments (0)

2021.01.07

米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

こんにちは、丸山満彦です。

米国の連邦捜査局(FBI)、サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。


CISA

・2020.01.05 JOINT STATEMENT BY THE FEDERAL BUREAU OF INVESTIGATION (FBI), THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA), THE OFFICE OF THE DIRECTOR OF NATIONAL INTELLIGENCE (ODNI), AND THE NATIONAL SECURITY AGENCY (NSA)

国家安全保障会議のスタッフは、連邦政府のネットワークに関わるこの重大なサイバーインシデントの調査と修復を調整するために、NSAの支援を受けて、FBI、CISA、ODNI で構成されるサイバー統合調整グループ (UCG) と呼ばれるタスクフォースを立ち上げていますね。UCGは、インシデントの範囲を把握するための調査を続けていて、その結果、最近発見された政府・非政府のネットワークへのサイバー侵害が、ロシアを起源とする可能性の高い、APT攻撃者の犯行であることが明らかになったということのようです。。。

この公表文を読んでいるとこの4つの機関の役割分担がわかりますね。。。。

FBI:脅威への対応。具体的には次の4つをしているようですね。

  1. 被害者の特定
  2. 証拠の収集
  3. 証拠の分析による更なる原因究明
  4. 政府および民間部門のパートナーとの結果の共有で、作戦、情報の把握、ネットワーク防御に情報を提供

CISA:資産対応

  1. 政府、民間部門のパートナーと情報を共有し、このキャンペーンの範囲や搾取のレベルを把握する
  2. このインシデントに関連する異常な活動や潜在的に悪意のある活動を検出するための無料ツールを作成した。
  3. CISAは12月14日に発表した緊急指令で、影響を受けたSolarWinds Orion製品を連邦政府のネットワークから速やかに切断または電源を切るよう指示した。
  4. 技術的な詳細と緩和戦略を提供するテクニカルアラートを発行し、ネットワーク防御者が早急に対応できるようにした。
  5. 今後も詳細が判明した場合には、引き続き情報を提供する。

ODNI:情報支援等

  1. 情報コミュニティを調整し、UCG が米国政府の緩和および対応活動を推進するための最新の情報を確実に入手できるようする。
  2. 情報共有の任務の一環として、主要な利害関係者に状況認識を提供し、知識のギャップに対処するための情報収集活動を調整している。

NSA:技術的な緩和策の提供

  • UCG のパートナー、国家安全保障システム、国防総省、防衛産業基地のシステム所有者に、情報、サイバースセキュリティの専門知識、および実行可能なガイダンスを提供することで、UCG を支援。
  • UCG と産業界のパートナーの両方との関わりの中で、インシデントの規模と範囲を評価し、技術的な緩和策を提供する

 

1_20210106205401


■ 参考(報道等)

● CNet

・2021.01.05  Russia blamed for SolarWinds hack in joint FBI, NSA and CISA statement by , 

The US intelligence agencies investigating the widespread compromise say it was "likely" orchestrated from Russia

● Informa

・2021.01.05 FBI, CISA, NSA & ODNI Cite Russia in Joint Statement on 'Serious' SolarWinds Attacks by Kelly Jackson Higgins

The attacks appear to be an "intelligence-gathering" mission, the agencies said. by Kelly Jackson Higgins

● ZDNet

・2021.01.05 US government formally blames Russia for SolarWinds hack bfor Zero Day

Joint statement from the FBI, CISA, ODNI, and NSA says SolarWinds hack was "likely Russian in origin."


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。




 

| | Comments (0)

2021.01.06

米国 2021年度 National Defense Authorization Act (NDAA) (国防権限法)成立 サイバー関係も・・・

こんにちは、丸山満彦です。

トランプ大統領に一度拒否された2021年度 National Defense Authorization Act (NDAA)(国防権限法)[wikipedia] が2021.01.02に上院の投票により復活し、成立しましたね。。。

この国防権限法には、サイバーセキュリティに関係する項目が77項目あって、 Cyberspace Solarium Commission(サイバースペース・ソラリウム委員会)の推奨事項が25含まれているようですね。。。

サイバースペースソラリウム委員会の共同議長であるAngus King上院議員(メイン州)のブログに記載があります。

● Angus King

・2020.01.02 NDAA Enacts 25 Recommendations from the Bipartisan Cyberspace Solarium Commission

This year’s NDAA provides the most comprehensive and forward-looking piece of national cybersecurity legislation in the nation’s history.

WASHINGTON, D.C. - U.S. Senator Angus King (I-Maine) and Congressman Mike Gallagher (R-Wis.), co-chairs of the Cyberspace Solarium Commission (CSC), today announced that 27 provisions in the National Defense Authorization Act directly draw from 25 CSC recommendations for improving U.S. cybersecurity posture have been codified into law with the Senate’s 81-13 override vote on New Year's Day.

・2020.01.01 King Votes to Override Presidential Veto, Enact Defense Bill Containing Key Provisions to Ensure National Security, Increase Cybersecurity, and Support Maine Jobs

WASHINGTON, D.C. – Today, U.S. Senator Angus King (I-Maine), a member of the Senate Armed Services Committee and Co-Chair of the Cyberspace Solarium Commission (CSC), voted to override President Trump’s veto of the Mac Thornberry National Defense Authorization Act (NDAA) for Fiscal Year 2021, so that it can become law. The legislation includes important provisions to ensure America’s national defense and supports jobs for Maine manufacturers at facilities like Bath Iron Works and Portsmouth Naval Shipyard. In addition, this year’s NDAA reflects the most comprehensive cybersecurity legislation ever passed by Congress, as it includes 27 provisions based on recommendations from the CSC. The Senate voted to override the President’s December 23rd veto by a vote of 81 - 13;  the veto was overridden by the House of Representatives earlier this week by an overwhelming vote of 322 - 87. Following these votes, the veto has been overridden and the legislation is now law.

 

NDAAの条文は

Congress

H.R.6395 - National Defense Authorization Act for Fiscal Year 2021 - text

にあります。。。Cyber Securityに関する条項は主に、

TITLE XVII--CYBERSPACE-RELATED MATTERS

に52項目

TITLE XCIV--SCIENCE, SPACE, AND TECHNOLOGY MATTERS Subtitle A--Cybersecurity Matters

記載されていますね。。。(それ以外にもいくつかの条文に記載があります。。。)

TITLE XVII--CYBERSPACE-RELATED MATTERS タイトル XVII--サイバースペース関連事条
Sec. 1701. Modification of mission of Cyber Command and assignment of cyber operations forces. 第1701条 サイバー司令部の任務の変更およびサイバー作戦部隊の配置。
Sec. 1702. Modification of scope of notification requirements for sensitive military cyber operations. 第1702条 機密性の高い軍事サイバー作戦のための通知要件の範囲の変更。
Sec. 1703. Modification of requirements for quarterly Department of Defense cyber operations briefings for Congress. 第1703条 国防省のサイバー作戦に関する四半期ごとの議会向けブリーフィング要件の変更。
Sec. 1704. Clarification relating to protection from liability of operationally critical contractors. 第1704条 運用上重要な請負業者の責任からの保護に関する明確化。
Sec. 1705. Strengthening Federal networks; CISA cybersecurity support to agencies. 第1705条 連邦ネットワークの強化、機関への CISA サイバーセキュリティ支援。
Sec. 1706. Improvements relating to the quadrennial cyber posture review. 第1706条 4 年ごとのサイバー態勢レビューに関する改善。
Sec. 1707. Modification of authority to use operation and maintenance funds for cyber operations-peculiar capability development projects. 第1707条 サイバー運用-特殊能力開発プロジェクトのための運用維持資金の使用権限の変更。
Sec. 1708. Personnel management authority for Commander of United States Cyber Command and development program for offensive cyber operations. 第1708条 米国サイバー司令部司令官の人事管理権限と、攻撃的サイバー作戦のための開発プログラム。
Sec. 1709. Applicability of reorientation of Big Data Platform program to Department of Navy. 第1709条 ビッグデータ・プラットフォーム・プログラムの海軍省への再配置の適用性。
Sec. 1710. Report on Cyber Institutes program. 第1710条 サイバー研究所プログラムに関する報告書
Sec. 1711. Modification of acquisition authority of Commander of United States Cyber Command. 第1711条 合衆国サイバー司令部司令官の購買権限の変更。
Sec. 1712. Modification of requirements relating to the Strategic Cybersecurity Program and the evaluation of cyber vulnerabilities of major weapon systems of the Department of Defense. 第1712条 戦略的サイバーセキュリティプログラムおよび国防省の主要兵器システムのサイバー脆弱性の評価に関する要件の変更。
Sec. 1713. Modification of position of Principal Cyber Advisor. 第1713条 主任サイバー・アドバイザーの地位の変更。
Sec. 1714. Cyberspace Solarium Commission. 第1714条 サイバースペース・ソラリウム委員会
Sec. 1715. Establishment in Department of Homeland Security of joint cyber planning office. 第1715条 国土安全保障省における共同サイバー計画事務所の設立
Sec. 1716. Subpoena authority. 第1716条 召喚権
Sec. 1717. Cybersecurity State Coordinator. 第1717条 サイバーセキュリティ国家コーディネーター
Sec. 1718. Cybersecurity Advisory Committee. 第1718条 サイバーセキュリティ諮問委員会
Sec. 1719. Cybersecurity education and training assistance program. 第1719条 サイバースセキュリティ教育・訓練支援プログラム。
Sec. 1720. Framework for cyber hunt forward operations. 第1720条 サイバーハント・フォワード活動のためのフレームワーク
Sec. 1721. Rationalization and integration of parallel cybersecurity architectures and operations. 第1721条 並列的なサイバーセキュリティアーキテクチャと運用の合理化と統合。
Sec. 1722. Assessing risk to national security of quantum computing. 第1722条 量子コンピューティングの国家安全保障に対するリスクの評価
Sec. 1723. Tailored cyberspace operations organizations. 第1723条 カスタマイズされたサイバー空間の運用組織。
Sec. 1724. Responsibility for cybersecurity and critical infrastructure protection of the defense industrial base. 第1724条 防衛産業基盤のサイバーセキュリティと重要インフラ保護の責任。
Sec. 1725. Pilot program on remote provision by National Guard to National Guards of other States of cybersecurity technical assistance in training, preparation, and response to cyber incidents. 第1725条 訓練、準備、およびサイバー事件への対応におけるサイバーセキュリティ技術支援に関する国家警備隊による他国の国家警備隊への遠隔提供に関するパイロット・プログラム。
Sec. 1726. Department of Defense cyber workforce efforts. 第1726条 国防省のサイバー人材の取り組み。
Sec. 1727. Reporting requirements for cross domain incidents and exemptions to policies for information technology. 第1727条 クロスドメインのインシデントに対する報告要件および情報技術に関する方針の適用除外。
Sec. 1728. Assessing private-public collaboration in cybersecurity. 第1728条 サイバーセキュリティにおける官民協力の評価。
Sec. 1729. Cyber capabilities and interoperability of the National Guard. 第1729条 州兵のサイバー能力と相互運用性。
Sec. 1730. Evaluation of non-traditional cyber support to the Department of Defense. 第1730条 国防省に対する従来とは異なるサイバー支援の評価。
Sec. 1731. Integrated cybersecurity center plan. 第1731条 統合サイバーセキュリティセンター計画。
Sec. 1732. Assessment of cyber operational planning and deconfliction policies and processes. 第1732条 サイバー運用計画と連携解除の方針とプロセスの評価。
Sec. 1733. Pilot program on cybersecurity capability metrics. 第1733条 サイバーセキュリティ能力指標に関するパイロットプログラム。
Sec. 1734. Assessment of effect of inconsistent timing and use of Network Address Translation in Department of Defense networks. 第1734条 国防省ネットワークにおけるネットワークアドレス変換のタイミングと使用の一貫性のない影響の評価。
Sec. 1735. Integration of Department of Defense user activity monitoring and cybersecurity. 第1735条 国防省のユーザ活動監視とサイバーセキュリティの統合。
Sec. 1736. Defense industrial base cybersecurity sensor architecture plan. 第1736条 国防産業基地のサイバーセキュリティ・センサ・アーキテクチャ計画。
Sec. 1737. Assessment on defense industrial base participation in a threat information sharing program. 第1737条 脅威情報共有プログラムへの防衛産業基地の参加に関する評価。
Sec. 1738. Assistance for small manufacturers in the defense industrial supply chain on matters relating to cybersecurity. 第1738条 サイバーセキュリティに関連する事条について、防衛産業のサプライチェーンにおける小規模製造業者の支援。
Sec. 1739. Assessment on defense industrial base cybersecurity threat hunting program. 第1739条 防衛産業拠点のサイバーセキュリティ脅威ハンティングプログラムに対する評価。
Sec. 1740. Defense Digital Service. 第1740条 防衛デジタルサービス
Sec. 1741. Matters concerning the College of Information and Cyberspace and limitation of funding for National Defense University. 第1741条 情報・サイバースペース大学に関する事項および国防大学への資金提供の制限。
Sec. 1742. Department of Defense cyber hygiene and Cybersecurity Maturity Model Certification framework. 第1742条 国防省のサイバー衛生およびサイバーセキュリティ成熟度モデル認証の枠組み。
Sec. 1743. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. 第1743条 陸軍警備隊のための地域サイバーセキュリティ訓練センターに関するパイロットプログラムの期限延長。
Sec. 1744. National cyber exercises. 第1744条 全国サイバー演習。
Sec. 1745. Cybersecurity and Infrastructure Security Agency review. 第1745条 サイバーセキュリティおよびインフラストラクチャ・セキュリティ機関のレビュー。
Sec. 1746. Report on enabling United States Cyber Command resource allocation. 第1746条 米国サイバー司令部のリソース配分を可能にするための報告。
Sec. 1747. Ensuring cyber resiliency of nuclear command and control system. 第1747条 原子力指揮統制システムのサイバー回復力の確保。
Sec. 1748. Requirements for review of and limitations on the Joint Regional Security Stacks activity. 第1748条 統合地域セキュリティスタックス 活動の見直しの要件と制限。
Sec. 1749. Implementation of information operations matters. 第1749条 情報運用に関する事条の実施。
Sec. 1750. Report on use of encryption by Department of Defense national security systems. 第1750条 国防省の国家安全保障システムによる暗号化の使用に関する報告。
Sec. 1751. Guidance and direction on use of direct hiring processes for artificial intelligence professionals and other data science and software development personnel. 第1751条 人工知能専門家およびその他のデータ科学およびソフトウェア開発要員の直接雇用プロセスの使用に関する指導および指示。
Sec. 1752. National Cyber Director. 第1752条 国家サイバー長官
   
TITLE XCIV--SCIENCE, SPACE, AND TECHNOLOGY MATTERS - Subtitle A--Cybersecurity Matters タイトルXCIV--科学、宇宙、および技術の問題 - 副題A--サイバーセキュリティの問題
Sec. 9401. Improving national initiative for cybersecurity education. 第9401条 サイバーセキュリティ教育のための国家的イニシアチブの改善。
Sec. 9402. Development of standards and guidelines for improving cybersecurity workforce of Federal agencies. 第9402条 連邦政府機関のサイバーセキュリティ人材を向上させるための基準とガイドラインの策定。
Sec. 9403. Modifications to Federal cyber scholarship-for-service program. 第9403条 連邦サイバー奨学金サービスプログラムの変更
Sec. 9404. Additional modifications to Federal cyber scholarship-for-service program. 第9404条 連邦サイバー奨学金プログラムの修正 連邦サイバー奨学金サービスプログラムの追加修正
Sec. 9405. Cybersecurity in programs of the National Science Foundation. 第9405条 国立科学財団のプログラムにおけるサイバーセキュリティ
Sec. 9406. Cybersecurity in STEM programs of the National Aeronautics and Space Administration. 第9406条 米国航空宇宙局(National Aeronautics and Space Administration)の STEM プログラムにおけるサイバーセキュリティ。
Sec. 9407. National cybersecurity challenges. 第9407条 国家のサイバーセキュリティの課題。

 

Us-contress


■ 参考

Cyberspace Solarium CommissioReport

・2020.03.11 [PDF] Official Report

・2020.03.11 [PDF] Exective Summary

・2020.07.20 [PDF] Legislative Proposals

 

GovInfo Security

・2020.01.04 Defense Funding Measure Includes 77 Cybersecurity Provisions

Congressionally Approved Legislation Restores National Cyber Director Position

↓ 情報をまとめています。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.04 サイバースペース・ソラリウム委員会

 

 

| | Comments (0)

2021.01.05

2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

こんにちは、丸山満彦です。

2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめがJDSPRAのウェブページに掲載されていて参考になります。。。

記載されているのは、

米国:

・2020.01 カリフォルニア州消費者プライバシー法(CCPA)の施行

・2020.03 ニューヨーク州ストップハック・電子データセキュリティ改善法(SHIELD法9)の一部施行

・2020.11 カリフォルニア州プライバシー権利法(CPRA)の成立

EU:

・2020.07 シュレムスII判決

・2020.11 EUから第三国へのデータ転送に関する追加ガイダンスの公表

その他:

・2020.09 ブラジル 一般データ保護法(LeiGeraldeProteçãodeDadosPessoais)(GDPL)

・2020.10 中国 個人データ保護法(PDPL)案

・2020.11 カナダ 消費者プライバシー保護法(CPPA)

その他、判例等の解説も記載されていて参考になります。。。

 

JDSPRA

・2021.01.04 Privacy and Data Security Worldwide: 2020 and Beyond by Kramer Levin Naftalis & Frankel LLP

 

 

| | Comments (0)

2021.01.04

100冊以上の機械学習に関する無料本リスト!!

こんにちは、丸山満彦です。

機械学習に関する無料本リストが公開されていましたので、共有しますね。。。

insane

・2021.01.02 Free eBooks: 100+ Free Machine Learning Books

目次とかカテゴリー分があれば助かると思いながら、、、

 

| | Comments (0)

ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

こんにちは、丸山満彦です。

ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名をしていますね。。。

顔認証技術は多くの恩恵をもたらす可能性がある反面、その使用により、特に学校では、深刻なプライバシーの懸念(例えば、有色人種の誤認率が高いのではないか等)があるということのようですね。

子供の安全とセキュリティは全ての親にとって大切なことであるが、顔認識技術を使うかどうかは、軽々しく決定されるべきではなく、一歩下がって専門家と議論する必要があるという判断のようですね。。。

New York State

・2020.12.22 (news) Governor Cuomo Signs Legislation Suspending Use and Directing Study of Facial Recognition Technology in Schools

Legislation (A6787-D/S5140-B) Directs the Study of Whether Facial Recognition and Other Kinds of Biometric Technology Should be Used in Schools; Suspends Their Use Until Properly Reviewed

 

New Yokr State Senate

・2020.12.22 Assembly Bill A6787D - Relates to the use of biometric identifying technology

・[PDF] BILL TEXT


・2020.12.22 Senate Bill S5140B - Relates to the use of biometric identifying technology

・[PDF] BILL TEXT

 

2000pxseal_of_new_yorksvg


 

■ 参考 

顔認識技術を利用した結果、黒人男性を誤認逮捕した事例

Threat Post

・2020.12.29 Lawsuit Claims Flawed Facial Recognition Led to Man’s Wrongful Arrest by

Black man sues police, saying he was falsely ID’d by facial recognition, joining other Black Americans falling victim to the technology’s racial bias.

Business Insider

・2020.12.29 A Black man spent 10 days in jail after he was misidentified by facial recognition, a new lawsuit says by  

  • A Black man is suing a New Jersey police department after he says he was misidentified by facial-recognition software and wrongly spent 10 days in jail.

  • The man, Nijeer Parks, said he had "never been" to the site of a shoplifting incident but was arrested after contacting the police to clear his name.

  • About a year after the incident, New Jersey's attorney general, Gurbir Grewal, ordered the police to stop using facial-recognition technology.

 

| | Comments (0)

2021.01.03

OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。at 2020.12.22

こんにちは、丸山満彦です。

OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。

基本はデータの自由流通が原則。ただし、プライバシーに配慮する必要があるので、例外的に個人データの第三国への移転については条件をつけた。しかし、プライバシーが理由なのか、安全保障が理由なのか、データの第三国移転を認めないことを原則的に取り扱うような風潮が出てきたので、一旦みんなで整理しようということなんでしょうかね。。。

 

OECD iLibrary - Papers - OECD Digital Economy Papers

・2020.12.22 Data localisation trends and challenges

報告書は、↓

・[PDF] 

この報告書は、

  • データプライバシーとグローバル化したデータフローのガバナンスの文脈におけるデータローカリゼーションに焦点を当てている

  • データローカリゼーションの定義を提案している

  • データローカリゼーションが国境を越えたデータフローを阻害しないようにするためのロードマップを概説している

  • そのような作業を支援するための提言を行っている

  • 特に、データの地域化対策を評価する上で、OECD プライバシーガイドラインに明記されている説明責任の原則と比例性テストの関連性を強調している

ということのようです。

「データローカリゼーション」の定義については、

‘Data localisation’ refers to a mandatory legal or administrative requirement directly or indirectly stipulating that data be stored or processed, exclusively or non-exclusively, within a specified jurisdiction. 特定の司法管轄区域内でデータが排他的または非排他的に保存または処理されることを直接または間接的に規定した強制的な法的または行政的要件を指す。

 

推奨事項が9つ書かれていますね。。。

1 It must be recognised that data localisation has the potential to directly and significantly impact cross- border data flows. データローカリゼーションは、国境を越えたデータの流れに直接かつ重大な影響を与える可能性があることを認識しなければならない。
2 In general, the requirements data privacy laws traditionally impose on transborder data transfers do not necessarily amount to data localisation. 一般的に、データ・プライバシー法が伝統的に国境を越えたデータ転送に課している要件は、必ずしも データローカリゼーションに該当するわけではない
3 Whether a specific requirement is classed as a data localisation measure is not, on its own, determinative for whether such a requirement is incompatible with the OECD Privacy Guidelines. 特定の要件がデータローカリゼーション措置として分類されるかどうかは、それ自体が、その要件が OECD プライバシーガイドラインと互換性がないかどうかを決定するものではない。
4 As data localisation may seek to protect data privacy in some cases, and undermine it in others, any assessment of the impact data localisation has on data privacy must be holistic and context-specific. データローカリゼーションは、データのプライバシーを保護しようとする場合もあれば、そうでない場合もあるので、 データローカリゼーションがデータのプライバシーに与える影響の評価は、全体的かつ文脈に特化したものでなければならない。
5 In the context of the OECD Privacy Guidelines, the proportionality test articulated in paragraph 18 should be considered a key mechanism for the evaluation of data localisation measures. OECD プライバシーガイドラインの文脈では、パラグラフ 18 に明示されている比例性テストが、データローカリゼーション対策の評価のための重要なメカニズムであると考えられるべきである。
6 Where a legal or administrative requirement is found to constitute a data localisation measure, and it amounts to a restriction to transborder flows of personal data under paragraph 18 of the OECD Privacy Guidelines, the assessment of whether it is proportionate (under that same paragraph) to the risks presented, ought to take into account multiple factors, such as: 法律上または行政上の要件がデータローカリゼーション措置を構成し、それが OECD プライバシーガイドラインの第 18 項に基づく個人データの国境を越えた流れの制限に相当すると判断された場合、それが提示されたリスクに 比例するかどうかの評価は、以下のような複数の要因を考慮に入れるべきである。
(a) the sensitivity of the data; データの感度
(b) the purpose and context of the processing; 処理の目的と文脈
(c) the extent to which it is demonstrated that the data localisation measure effectively achieves the goals for which it was introduced; データの局所化対策が導入された目的を効果的に達成していることが実証されているか。
(d) whether there are any less restrictive measure that could be enacted; 制定可能な制限の少ない措置があるかどうか。
(e) the direct and indirect, domestic and international, implications of the measures; 措置の直接的及び間接的、国内的及び国際的な意味合い。
(f) evidence of intent where it is possible to establish; and 意図を立証することが可能な場合には、その意図の証拠
(g)  the implications likely to arise if also other countries adopt the same measure (‘scalability’ as a consideration in the assessment of proportionality). 他の国が同じ手段を採用した場合に生じるであろう意味合い(比例性の評価における考慮事項としての「スケーラビリティ」)。
  The OECD should initiate work to map out what guidance, for the application of the proportionality test in paragraph 18 of the OECD Privacy Guidelines, that can be gained from sources such as national laws, in international law and e.g. in EU law, WTO jurisprudence, academic literature and various trade agreements. OECD は、OECD プライバシーガイドラインの第 18 項の比例性テストの適用について、国内法、国際法、および EU 法、WTO の法学、学術文献、様々な貿易協定などの情報源からどのような指針を得ることができるかをマップ化する作業を開始すべきである。
7 Data localisation laws, especially where they are combined with invasive data access regimes, may cause compliance issues for organisations since OECD Privacy Guidelines paragraph 16 mandates that “data controller remains accountable for personal data under its control without regard to the location of the data”. The OECD could usefully examine this issue further in the review of the OECD Privacy Guidelines. データローカリゼーションに関する法律は、特にそれらが侵襲的なデータアクセス規制と組み合わされている場合には、OECD プライバシーガイドラインの第 16 段落では、「データ管理者は、管理下にある個人データに対して、当該データの所在に関係なく責任を有し続ける 」と義務付けられているため、組織にとってコンプライアンス上の問題を引き起こす可能性があります。OECD は、OECD プライバシーガイドラインの見直しの中で、この問題をさらに検討することが有益であろう。
8 Either the Guidelines or the Explanatory Memorandum ought to directly address data localisation. ガイドラインまたは説明書のいずれかが、データローカリゼーションに直接対処すべきである。
9 Either the Guidelines or the Explanatory Memorandum ought to include a definition of data localisation, possibly as follows: ガイドラインまたは説明的覚書のいずれかは、データローカリゼーションの定義を含むべきである。

 

 


目次は次の通りです。

 

Foreword 序文
Table of contents 目次
Executive Summary エグゼクティブサマリー
I. Introduction I. 序章
II. Data localisation II. データのローカライズ
A. What is data localisation? A. データローカリゼーションとは?
B. Trends in, and attitudes towards, data localisation B. データローカリゼーションの傾向と態度
i. Amongst countries i. 国家間で
ii. Amongst experts from industry, civil society, academia and international organisations ii. 産業界、市民社会、学界、国際機関の専門家の間で
iii. Amongst consumers iii. 消費者間で
C. Why are data localisation requirements imposed? C. なぜデータのローカリゼーション要件が課されるのか?
i. Common motivations for data localisation i. データローカリゼーションの一般的な動機
ii. Data localisation and the territoriality of jurisdiction in the online environment ii. オンライン環境におけるデータローカライゼーションと司法権の領域性
iii. Data localisation as an aspect of data sovereignty iii. データ主権の側面としてのデータローカリゼーション
D. Concerns about data localisation D. データローカライゼーションに関する懸念
i. Concerns about economic and social impacts i. 経済的・社会的影響への懸念
ii. Concerns about feasibility ii. 実現可能性への懸念
III. Finding a way forward on data localisation III. データローカリゼーションの前進のための方法を見つける
A. Recommendations on data localisation for the OECD Privacy Guidelines A. OECDプライバシーガイドラインのデータローカリゼーションに関する勧告
i. Are data privacy driven restrictions on transborder data flows data localisation? i. 国境を越えたデータフローのデータローカリゼーションに対するデータプライバシー主導の制限はあるのか?
ii. Is data localisation ‘good’ or ‘bad’ for data privacy? ii. データローカライゼーションはデータプライバシーにとって「良い」のか「悪い」のか?
iii. A proportionality assessment for data localisation iii. データローカライゼーションに関する比例性の評価
iv. Transborder application of accountability obligations iv. 説明責任義務の国境を越えた適用
v. Guidelines or Explanatory Memorandum? v. ガイドラインか説明的覚書か?
VI. Conclusions VI. 結論
Annex 付属書
References 参考文献

 

[HTML]に変換してみました。一部崩れていますが・・・

 

 


■ 参考 現在のOECDのプライバシーガイドライン (2013)

● OECD

・[PDF] Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data

JIPDECによる日本語仮訳

JIPDEC

・2014.05.07 [PDF] 「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」(OECDプライバシーガイドライン)(仮訳)

 

データローカライゼーションに関係する部分

PART FOUR. BASIC PRINCIPLES OF INTERNATIONAL APPLICATION: FREE FLOW AND LEGITIMATE RESTRICTIONS 第 4 部 国際的適用における基本原則-自由な流通と合法的制限
16. A data controller remains accountable for personal data under its control without regard to the location of the data. 16. データ管理者は、管理下にある個人データに対して、当該データの所在に関係なく責任を有し続ける。
17. A Member country should refrain from restricting transborder flows of personal data between itself and another country where (a) the other country substantially observes these Guidelines or (b) sufficient safeguards exist, including effective enforcement mechanisms and appropriate measures put in place by the data controller, to ensure a continuing level of protection consistent with these Guidelines. 17. 加盟国は、自国と他の国との間における個人データの国際流通について、ガイドラインに一致する継続的な保護のレベルを保つために、(a) 他の国がガイドラインを実 質的に遵守している場合、又は (b) 効果的な執行メカニズム及びデータ管理者により導入される適切な措置を含め、十分な保護措置がある場合、この流通を制限することを控えるべきである。
18. Any restrictions to transborder flows of personal data should be proportionate to the risks presented, taking into account the sensitivity of the data, and the purpose and context of the processing. 18. 個人データの国際流通に対するいかなる制限も、顕在するリスクに比例した制限でなければならず、データのセンシティビティ並びに処理の目的及び情況を考慮すべきである。

Oecd


 

 

Continue reading "OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。at 2020.12.22"

| | Comments (0)

2021.01.02

FBIがスマートデバイスを利用したスワット攻撃 (Swatting Attacks) についての警告を出していますね。

こんにちは、丸山満彦です。

FBIがカメラや音声対応のスマートデバイスを利用したスワット攻撃についての警告を出していますね。

Internet Crime Compliant Center (IC3)

・2020.12.29 Recent Swatting Attacks Targeting Residents With Camera and Voice-Capable Smart Devices

攻撃者は標的にしたスマートデバイス(ビデオ、オーディオが使用可能な家庭用監視装置など)を使用して、スワッティング攻撃をしているようですね。

攻撃者は、スマートデバイスにアクセスするために、メールパスワードを再利用しているユーザに対して、盗んだメールパスワードを使ってスマートデバイスにログインし、ライブストリームカメラやスピーカーなどの機能を乗っ取り、緊急サービスに電話して、乗っ取ったユーザの自宅で犯罪が起こったと報告する。その報告により、法執行機関が住宅に駆けつける。すると、攻撃者はライブストリームの映像を見て、カメラやスピーカーを通して対応する警察とやりとりし、場合によっては、犯罪者は、共有されたオンライン・コミュニティ・プラットフォーム上で事件の様子をライブストリームすることもある。。。愉快犯的なことですが、捜査機関等のリソースをさかれることにより、本当の犯罪等への対応が遅れる可能性もあり、看過できない話ですね。。。

パスワードの使い回しをやめたり、二要素認証を採用する等、スマートデバイス等のパスワードが推測されて乗っ取られないようにすることが重要ということですね。。。二要素認証は異なるメールアドレスで行うのではなく、携帯電話の番号を利用することを勧めていますね。

| | Comments (0)

2021.01.01

U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

こんにちは、丸山満彦です。

U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用していとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

CISA - SUPPLY CHAIN COMPROMISE

ALERT: APT Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

 

● 緊急指令とその更新情報 -DHS-

・2020.12.30 Emergency Directive 21-01 - Supplemental Guidance v2 - Mitigate SolarWinds Orion Code Compromise

・2020.12.18 Emergency Directive 21-01 - Supplemental Guidance v1 - Mitigate SolarWinds Orion Code Compromise

・2020.12.13 Emergency Directive 21-01 - Mitigate SolarWinds Orion Code Compromise

プレスリリース -CISA- 

・2020.12.16 Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) 

・2020.12.13 CISA Press Release: CISA Issues Emergency Directive to Mitigate the Compromise of Solarwinds Orion Network Management Products

● 警告・ガイダンス

・2020.12.24 CISA Releases Free Detection Tool for Azure/M365 Environment 

・・(/Sparrow)

・2020.12.17 CISA Alert (AA20-352A): Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

CISA Insights: What Every Leader Needs to Know About the Ongoing Cyber Incident

Partner Products


 

1_20210101122301

| | Comments (0)

あけましておめでとうございます 2021

こんにちは、丸山満彦です。

新年のあけましておめでとうございます。

旧年中はお世話になりました。今年もよろしくお願いします。

特に変わったこともなく、「信頼の構造」とかいくつかの本や報告書を読んでおります。。。

 

皆様にとって良い年となりますように。。。

 

2021

| | Comments (0)

« December 2020 | Main | February 2021 »