リンク

2022.01.07

米国 2022.01.01から施行されるカリフォルニア州のプライバシー関連の法改正

こんにちは、丸山満彦です。

カリフォルニア州のプライバシー関連の法の改正の施行が2022.01.01から始まっていますね。。。

どこがどう変わったかまでは追えていないのですが、情報共有まで...

 

AB-694 プライバシーと消費者保護: オムニバス法案

・2021.10.06  議会法案第694号 第 525 章 消費者に関する、ビジネスおよび職業法典の第 12246 条と第 12533 条を改正し、民法の第 1798.140 条、第 1798.145 条、第 1798.199.40 条を改正する法律

● AB-825個人情報:データ侵害:遺伝子データ

・2021.10.06 議会法案第825号 第527章 情報のプライバシーに関する民法第 1798.29 条、第 1798.81.5 条、および第 1798.82 条を改正する法律


● AB-335 2018年カリフォルニア消費者プライバシー法:船舶情報

・2021.10.11 議会法案335号第700章 プライバシーに関する民法第 1798.145 条を改正する法律

● SB-41プライバシー:遺伝子検査会社

・2021.10.07 上院法案第41号第596章 民法第1編第2.6章(第56.18節から始まる)にプライバシーに関する章を追加する法律


参考 カリフォルニア州の民法等の条文のリンク

California Legislartive Information

Civil Code - CIV

遺伝情報関連...

DIVISION 1. PERSONS 38-86
PART 2.6. CONFIDENTIALITY OF MEDICAL INFORMATION 56-56.37
CHAPTER 2.6. Genetic Privacy 56.18-56.186

 

プライバシー関連...

DIVISION 3. OBLIGATIONS 1427-3273.16
PART 1. OBLIGATIONS IN GENERAL 1427-1543
TITLE 1.8. PERSONAL DATA 1798-1798.78
CHAPTER 1. Information Practices Act of 1977 1798-1798.78
ARTICLE 1. General Provisions and Legislative Findings 1798-1798.1
ARTICLE 2. Definitions 1798.3
ARTICLE 5. Agency Requirements 1798.14-1798.23
ARTICLE 6. Conditions of Disclosure 1798.24-1798.24b
ARTICLE 7. Accounting of Disclosures 1798.25-1798.29
ARTICLE 8. Access to Records and Administrative Remedies 1798.30-1798.44
ARTICLE 9. Civil Remedies 1798.45-1798.53
ARTICLE 10. Penalties 1798.55-1798.57
ARTICLE 11. Miscellaneous Provisions 1798.60-1798.69
ARTICLE 12. Construction With Other Laws 1798.70-1798.78
TITLE 1.80. Identification Documents 1798.79-1798.795
TITLE 1.807. DOMESTIC VIOLENCE, SEXUAL ASSAULT, AND STALKING: PERSONAL INFORMATION 1798.79.8-1798.79.95
TITLE 1.81. CUSTOMER RECORDS 1798.80-1798.84
TITLE 1.81.1. CONFIDENTIALITY OF SOCIAL SECURITY NUMBERS 1798.85-1798.89
TITLE 1.81.15. Reader Privacy Act 1798.90-1798.90.05
TITLE 1.81.2. CONFIDENTIALITY OF DRIVER'S LICENSE INFORMATION 1798.90.1
TITLE 1.81.23. COLLECTION OF LICENSE PLATE INFOMATION 1798.90.5-1798.90.55
TITLE 1.81.25. CONSUMER PRIVACY PROTECTION 1798.91
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.27. Commercial Use of Booking Photographs 1798.91.1
TITLE 1.81.3. IDENTITY THEFT 1798.92-1798.97
TITLE 1.81.4. PRIVACY OF CUSTOMER ELECTRICAL OR NATURAL GAS USAGE DATA 1798.98-1798.99
TITLE 1.81.45. The Parent’s Accountability and Child Protection Act 1798.99.1
TITLE 1.81.48. Data Broker Registration 1798.99.80-1798.99.88
TITLE 1.81.5. California Consumer Privacy Act of 2018 1798.100-1798.199.100
TITLE 1.81.6. Identity Theft in Business Entity Filings 1798.200-1798.202

 

Fig1_20220106155401

| | Comments (0)

2021.10.18

内閣官房 NISC ランサムウェア特設ページ

こんにちは、丸山満彦です。

NISCがランサムウェア特設ページ(ポータルサイトのようなもの)を開設していますね。。。

NISC

・2021.10.13 ストップ! ランサムウェア ランサムウェア特設ページ STOP! RANSOMWARE

 

内閣サイバーセキュリティセンター(NISC)
重要インフラ事業者等向け注意喚起 ランサムウェアによるサイバー攻撃について、予防・検知・対応・復旧の観点から、具体的な対策を採れるよう、重要インフラ事業者等向けに注意喚起を発出し、広く一般にも活用していただけるよう公開。
インターネットの安全・安心ハンドブック 一般国民向けに、ランサムウェアに関するコラムを掲載。
経済産業省
経営者向け注意喚起 ランサムウェア攻撃によって発生した被害への対応は企業の信頼に直接関わる重要な問題であり、その事前対策から事後対応まで、経営者のリーダーシップが求められる 等
警察庁
特設ページ ランサムウェアの手口、未然防止対策、被害軽減対策、再発防止対策等を掲載。
IPA
特設ページ  IPA注意喚起情報、対策情報等を掲載。
JPCERT/CC
特設ページ ランサムウェアの種類や対策、JPCERT/CCの取組等を掲載。
日本サイバー犯罪対策センター(JC3)
特設ページ 予防対策、復号ツール等を掲載。

 

Nisc_20211018004601

 

米国、英国、カナダ、オーストラリア、EU、英国、ドイツ、オランダ、中国、ロシアの政府等のランサムウェアのサイトも合わせて紹介してくれればよいのに...

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

・2021.10.05 米国・EU 10月はサイバーセキュリティ(意識向上)月間

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.08.01 米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ:重要インフラストラクチャの保護

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

2021.07.10 バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

・2021.07.03 米国 CISA ランサムウェアへの備えについての自己評価ツールの公表

・2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.30 NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.08 Ziggy Ransomwareの管理者が過去を反省して、サイトを閉じて被害者の復号鍵を公開?

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.12.08 Egregor ransomware

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.11.06 ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.09.19 AU ACSC Annual Cyber Threat Report: July 2019 to June 2020

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.07.13 米国のシークレットサービスが金融犯罪調査委員会(FCTF)と電子犯罪調査委員会(ECTF)を統合してサイバー不正調査委員会(CFTF)を設立したようですね。

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

 

言葉としては、この時代から

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

 

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

| | Comments (0)

2021.05.26

U.K. National Audit Office (会計監査院)が「効果的な規制の原則」を公表していますね。。。

こんにちは、丸山満彦です。

U.K. National Audit Office (会計監査院)が政策立案者、規制当局、議員向けに「効果的な規制の原則」を公表していますね。。。国レベルの話ですが、会社の規定等を作る際にも参考になると思います。

● U.K. National Audit Office

・2021.05.25 Principles of effective regulation

・[PDF

20210526-05232

目次です。

Introduction はじめに
The objectives of regulation and who is involved 規制の目的と関係者
Different approaches, and alternatives, to regulation 規制に対するさまざまなアプローチとその代替手段
The principles of effective regulation: a learning cycle 効果的な規制の原則:学習サイクル
1. Design 1. 設計
2. Analyse 2. 分析
3. Intervene 3. 介入
4. Learn 4. 学習

学習サイクルの概要

1. Design 1. 設計
These principles are intended to translate the policy intent and purpose of regulation into the design of an overall regulatory framework. When setting up, or considering changes to, a regulator or regulatory system, these principles need particular consideration and resolution to avoid costly, untimely or disruptive remedial action later (for example, because they may require new legislation). これらの原則は、規制の政策意図と目的を、規制の枠組み全体の設計に反映させることを目的としています。規制機関や規制システムの設立や変更を検討する際には、これらの原則を特に考慮し、解決する必要があります。これは、後になってコストがかかり、時間がかからず、混乱を招くような改善措置を避けるためです(例えば、新たな法律が必要になる場合があります)。
・Defining the overall purpose of regulation  ・規制の全体的な目的の定義 
・Setting regulatory objectives  ・規制目的の設定 
・Ensuring accountability  ・説明責任の確保 
・Determining the degree of regulatory independence  ・規制の独立性の度合いの決定
・Deciding on powers  ・権限の決定 
・Determining a funding model ・資金調達モデルの決定
・Designing organisational structure and culture ・組織の構造と文化の設計
2. Analyse 2. 分析
Within a regulatory framework as designed, these principles are intended to help regulators and policymakers: analyse the market or issue being regulated on an ongoing basis; identify and assess in a timely manner where problems may be occurring that require intervention; engage with stakeholders to understand needs and priorities; and understand what capacity is needed to respond appropriately. 設計された規制の枠組みの中で、これらの原則は規制当局と政策立案者を支援することを目的としています。規制の枠組みの中で、これらの原則は、規制当局や政策立案者が、規制の対象となる市場や問題を継続的に分析し 介入が必要な問題がどこで発生しているかをタイムリーに把握し評価します。ニーズと優先事項を理解するためにステークホルダーと関わり、適切な対応をするために必要な能力を理解し、適切に対応するために必要な能力を理解します。
・Using information and data ・情報とデータの活用
・Embedding the citizen perspective ・市民の視点を取り入れる
・Monitoring service provider compliance and incentives ・サービス提供者のコンプライアンスとインセンティブの監視
・Engaging with stakeholders ・ステークホルダーとの連携
・Ensuring capacity and capability ・キャパシティとケイパビリティの確保
・Adopting a forward-looking approach ・将来を見越したアプローチの採用
3. Intervene 3. 介入
Where regulators identify problems that may require intervention, these principles are intended to help them: understand what impact they might have; prioritise actions; and consider how best to respond to achieve their intended outcomes with proportionate and timely responses. Regulatory tools range from ‘soft’ approaches (such as guidance and support) to ‘harder’ tools, including enforcement action and prosecution. 規制当局が介入を必要とする可能性のある問題を発見した場合、これらの原則は、それらがどのような影響を及ぼしうるかを理解し、行動に優先順位をつけ、意図した結果を達成するためにどのように対応するのが最善かを、適切かつ適時に検討するのに役立つことを目的としています。規制手段は、ガイダンスや支援などの「ソフト」なアプローチから、強制執行や告発などの「ハード」な手段まで多岐にわたります。
・Developing a theory of change ・変化の理論の開発
・Prioritising interventions ・介入の優先順位付け
・Drawing on a range of regulatory tools ・さまざまな規制手段の活用
・Embedding consistency and predictability ・一貫性と予測可能性の確立
・Ensuring interventions are proportionate ・介入が適切であることの確認
・Being responsive ・積極的な対応
4. Learn 4. 学習
It is important for regulators and policymakers to work collaboratively, measure progress and learn from experience to maximise effectiveness in future. These principles are intended to help measure and report performance and outcomes against regulatory objectives, evaluate the real-world impact of interventions, and work in a joined-up way with other organisations in the regulatory landscape. 規制当局と政策立案者は、今後の効果を最大化するために、協力して作業を行い、進捗を測定し、経験から学ぶことが重要です。これらの原則は、規制目的に対するパフォーマンスと成果を測定して報告し、介入の現実世界での影響を評価し、規制環境の中で他の組織と連携して作業するためのものです。
・Establishing governance processes ・ガバナンスプロセスの確立
・Measuring performance ・パフォーマンスの測定
・Evaluating impact and outcomes ・影響と成果の評価
・Engendering cooperation and coordination ・協力と調整の促進
・Ensuring transparency ・透明性の確保

 

■ 関連

● U.K. NAO

・2020.05.18 Overview Regulation 2019

 ・[PDF] Departmental Overview Regulation 2019

・2017.09.27 A Short guide to Regulation

 ・[PDF]

・2016.11.04 Performance measurement by regulators

 ・[DOC] Performance measurement good practice criteria and maturity mode

 ・[PDF] Performance Measurement by Regulators

・2015.08.03 A Short Guide to Regulation

 ・[PDF]

 

 

| | Comments (0)

2021.04.03

U.S. Office of Inspectors General(連邦監察官室)

こんにちは、丸山満彦です。

米国連邦政府の仕組みの特徴的なところは、各省庁に内部監査部門のような部署、Office of Inspectors General: IG(連邦監察官室)があるところですかね。。。

各省庁の連邦監査官室は政府組織ですから大統領の指揮下にあることになっていますが、議会が一定の歯止めをかけられる感じですね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE と[Wikipedia]が一番まとまってわかりやすいですかね...

で、各府省庁を監査するGAOがさらにある、という構造ですね。

GAOは連邦議会の活動を補佐する業務ではあるのですが、委員長の選任は上院下院の議員からなる委員会が推薦して大統領が任命するので、完全な第三者とは言えない部分もありますね。

なんで、このような記事を書いたかというと、各府省庁の監察官室でもセキュリティ監査をしているからです。。。ということで、2014年の報告では74あると報告されている連邦監察官室の監査についてもチェックしないといけないかな。。。とか思っているところなんですよね。。。いや、大変だ・・・

で、IGは内部通報の受付窓口にもなっていますね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE

Wikipedia - Office of Inspector General (United States)

1_20210402030201

 

Wikipediaからリストを作ってみました。。。(リンクが切れていたところは、リンクを貼り直していたりする場合もあります・・・※ 記載が漏れていたものを追加したものもあります・・・※※)

Presidentially-appointed inspectors general 大統領に任命された監察官  
Jurisdiction 所管 Website
Agency for International Development (AID-OIG) 国際開発庁 AID-OIG
Department of Agriculture (USDA-OIG) 米国農務省 USDA-OIG
Central Intelligence Agency (CIA-OIG) 米国中央情報局 CIA-OIG ※
Department of Commerce (DOC-OIG) 商務省 DOC-OIG
Corporation for National and Community Service (CNCS-OIG) 全米社会奉仕団 CNCS-OIG
Department of Defense (DOD-OIG) 国防総省 DOD-OIG
Department of Education (ED-OIG) 教育省 DOED-OIG
Department of Energy (DOE-OIG) エネルギー省 DOE-OIG
Environmental Protection Agency and Chemical Safety and Hazard Investigation Board (EPA-OIG) 環境保護庁および化学物質安全・有害性調査委員会 EPA-OIG
Export-Import Bank (EIB-OIG) 米国輸出入銀行 EIB-OIG
Federal Deposit Insurance Corporation (FDIC-OIG) 連邦預金保険公社 FDIC-OIG
Federal Housing Finance Agency (FHFA-OIG) 連邦住宅金融機関 FHFA-OIG
General Services Administration (GSA-OIG) 一般調達局 GSA-OIG
Department of Health and Human Services (HHS-OIG) 保健社会福祉省 HHS-OIG
Department of Homeland Security (DHS-OIG) 米国国土安全保障省 DHS-OIG
Department of Housing and Urban Development (HUD-OIG) 住宅都市開発省 HUD-OIG
Intelligence Community (ICIG) 情報コミュニティ ICIG
Department of the Interior (DOI-OIG) 内務省 DOI-OIG
Internal Revenue Service (TIGTA) 内国歳入庁 TIGTA
Department of Justice (DOJ-OIG) 司法省 DOJ-OIG
Department of Labor (DOL-OIG) 労働省 DOL-OIG
National Aeronautics and Space Administration (NASA-OIG) 米国航空宇宙局 NASA-OIG
Nuclear Regulatory Commission (NRC-OIG) 原子力規制委員会 NRC-OIG
Office of Personnel Management (OPM-OIG) 人事管理局 OPM-OIG
Railroad Retirement Board (RRB-OIG) 鉄道退職委員会 RRB-OIG
Small Business Administration (SBA-OIG) 中小企業庁 SBA-OIG
Social Security Administration (SSA-OIG) 社会保障庁 SSA-OIG
Department of State and the Agency for Global Media (DOS-OIG) 国務省およびグローバルメディア庁 DOS-OIG
Tennessee Valley Authority (TVA-OIG) テネシーバレー公社 TVA-OIG
Department of Transportation and National Transportation Safety Board (DOT-OIG) 運輸省および国家運輸安全委員会 DOT-OIG
Department of the Treasury (Treasury OIG) 財務省 Treasury OIG
Department of Veterans Affairs (VA-OIG) 退役軍人省 VA-OIG
List of presidentially appointed inspectors general 大統領が任命した監察官のリスト  
Designated federal entity inspectors general 指定された連邦機関の連邦監察官室  
Jurisdiction 所管 Website
Appalachian Regional Commission (ARC-OIG) アパラチア地域委員会 ARC-OIG ※
Committee for Purchase from People Who Are Blind or Severely Disabled (CPPBSD-OIG) 盲目または重度障害者からの購入委員会 CPPBSD-OIG
Commodity Futures Trading Commission (CFTC-OIG) 商品先物取引委員会 CFTC-OIG
Consumer Product Safety Commission (CPSC-OIG) 消費者製品安全委員会 CPSC-OIG
Corporation for Public Broadcasting (CPB-OIG) 公共放送協会 CPB-OIG
Denali Commission (DC-OIG) デナリ委員会 Denali OIG
Election Assistance Commission (EAC-OIG) 選挙支援委員会 EAC-OIG
Equal Employment Opportunity Commission (EEOC-OIG) 男女雇用機会均等委員会 EEOC-OIG ※
Farm Credit Administration (FCA-OIG) 農業信用機関 FCA-OIG
Federal Communications Commission (FCC-OIG) 連邦通信委員会 FCC-OIG
Federal Election Commission (FEC-OIG) 連邦選挙委員会 FEC-OIG
Federal Labor Relations Authority (FLRA-OIG) 連邦労働関係局 FLRA-OIG
Federal Maritime Commission (FMC-OIG) 連邦海事委員会 FMC-OIG
Federal Reserve Board and Consumer Financial Protection Bureau (FRB-OIG) 連邦準備委員会および消費者金融保護局 FRB-OIG
Federal Trade Commission (FTC-OIG) 連邦取引委員会 FTC-OIG
International Development Finance Corporation (DFC-OIG) 国際開発金融公社 DFC-OIG ※※
International Trade Commission (USITC-OIG) 国際貿易委員会 USITC-OIG
Legal Services Corporation (LSC-OIG) リーガルサービス・コーポレーション LSC-OIG
National Archives and Records Administration (NARA-OIG) 米国国立公文書館および記録管理局( NARA-OIG
National Credit Union Administration (NCUA-OIG) 全米信用組合管理局 NCUA-OIG
National Endowment for the Arts (NEA-OIG) 全米芸術基金 NEA-OIG
National Endowment for the Humanities (NEH-OIG) 全米人文科学振興財団 NEH-OIG
National Labor Relations Board (NLRB-OIG) 全米労働関係委員会 NLRB-OIG
National Railroad Passenger Corporation 全米鉄道旅客公社 Amtrak OIG
National Science Foundation (NSF-OIG) 全米科学財団 NSF-OIG
Peace Corps (PC-OIG) 平和部隊 PC-OIG
Pension Benefit Guaranty Corporation (PBGC-OIG) 年金給付保証公社 PBGC-OIG
Postal Regulatory Commission (PRC-OIG) 郵政規制委員会 PRC-OIG
Postal Service (USPS-OIG) 郵政公社 USPS-OIG
Securities and Exchange Commission (SEC-OIG) 証券取引委員会 SEC-OIG
Smithsonian Institution (SI-OIG) スミソニアン協会 SI-OIG
Special inspectors general 特別監察官  
Jurisdiction 所管 Website
Afghanistan Reconstruction (SIGAR) アフガニスタン復興支援 SIGAR
Pandemic Recovery (SIGPR) パンデミック対策  
Troubled Asset Relief Program (SIGTARP) 問題資産救済プログラム SIGTARP
Legislative agency inspectors general 立法機関の監察官  
Jurisdiction 所管 Website
Architect of the Capitol (AOC-OIG) 連邦議会議事堂 AOC-OIG
Capitol Police (USCP-OIG) 議事堂警察 USCP-OIG
Government Accountability Office (GAO-OIG) GAO GSA-OIG
Government Publishing Office (GPO-OIG) 政府出版局 GPO-OIG
House of Representatives 下院 House IG
Library of Congress (LOC-OIG) 議会図書館 LOC-OIG
U.S. military[edit] 米軍  
Jurisdiction 所管 Website
United States Air Force (USAF-OIG) アメリカ空軍 USAF-OIG
United States Army (USA-OIG) アメリカ陸軍 USA-OIG
Defense Intelligence Agency (DIA-OIG) 国防情報局 DIA-OIG
National Geospatial-Intelligence Agency (NGA-OIG) 国家地理空間情報局 NGA-OIG ※
National Reconnaissance Office (NRO-OIG) 国家偵察局 NRO-OIG ※
National Security Agency and Central Security Service (NSA-OIG) 国家安全保障局および中央警備局 NSA-OIG
United States Navy (USN-OIG) 米国海軍 USN-OIG

 

 

| | Comments (0)

2021.03.09

ENISA 金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表

こんにちは、丸山満彦です。

ENISAが金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表していますね。。。

ENISA

・2021.03.05 Achieving Harmonisation and Cyber Resilience in the Finance Sector

The European Union Agency for Cybersecurity (ENISA) issues a report shedding light on European policy initiatives in the finance sector.

・[PDF] EU Cybersecurity Initiatives in the Finance Sector

20210309-05350

1. INTRODUCTION 1. 序論
1.1 SCOPE, TARGET AUDIENCE AND OBJECTIVES 1.1 対象範囲、対象読者、目的
1.2 METHODOLOGY 1.2 方法論
2. EU CYBER INITIATIVES IN THE FINANCE SECTOR 2. 金融分野におけるEUのサイバーイニシアティブ
2.1 DEVELOPMENT AND IMPLEMENTATION OF POLICY 2.1 方針の策定と実施
2.2 INFORMATION SHARING AND CAPACITY BUILDING 2.2 情報共有と能力開発
2.3 CYBER CRISIS MANAGEMENT 2.3 サイバー危機管理
2.4 AWARENESS RAISING AND TRAINING 2.4 意識向上と訓練
2.5 STANDARDIZATION AND CERTIFICATION 2.5 標準化と認証
2.6 RESEARCH AND INNOVATION 2.6 研究とイノベーション

 

サイバーセキュリティ法(ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
の条項に基づいて編成された以下のトピックをカバーしているということです。。。。。。

  1. 方針の策定と実施(サイバーセキュリティ法第5条)
  2. 情報共有と能力開発(第6条、第9条)
  3. サイバー危機管理と運用協力(第7条、第12条)
  4. 意識向上(第10条)
  5. 標準化と認証(第8条)
  6. 研究とイノベーション(第11条)

よくまとまっているので、きっちりと分析したいところです。。。


 

取り急ぎ、軽く翻訳はしてみた。。。

[DOC] 軽く翻訳

 

| | Comments (0)

2021.03.07

Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。

こんにちは、丸山満彦です。

主要国の政府は政府機関向けの情報セキュリティの基準やガイドを持っていると思います。日本政府も統一基準というのがありますよね。私も第一版に始まり2012年くらいまでは改訂に関わっていました。もっとも統一基準は各省庁が作るべきセキュリティ基準用の雛形のようなもので、各省庁は自ら統一基準に準拠した規程を各省庁で定めることになっています。さて、日本の場合は、その改訂は2年に1度くらい行われていますね。今の最新版は平成30年版になっていますね。

NISC - 政府機関総合対策グループ - 政府機関等の情報セキュリティ対策のための統一基準群

ところが、オーストラリアの場合は毎月少しずつ変更されているんですよね。。。

3月は前月から、

ACSC - Australian Government Information Security Manual (ISM)

ちなみに、今月は、”Guidelines for Communications Infrastructure”の部分の変更が多いですね。。。


それぞれのトピックス
This chapter of the ISM provides guidance on using the Australian Government Information Security Manual.

Follow the ACSC's cyber security principles to better understand how to protect systems and information.

The ISM is separated into a number of guidelines to assist organisations protect their information and systems from cyber threats.

This chapter of the ISM provides guidance on cyber security terminology.

過去分が2018.11から毎月ZIPで残されています。。。






 

Continue reading "Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。"

| | Comments (0)

2021.03.06

Atlantic Council : A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

こんにちは、丸山満彦です。

Atlantic Counsilが興味深いレポートを出していました・・・

 

● Atlantic Council

・2021.03.01 A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

 


20210306-12154

 

Table of contents 目次
Executive summary エグゼクティブサマリー
Introduction はじめに
Offensive cyber capabilities: Seeing the whole chain 攻撃的なサイバー能力:チェーン全体を見る
Semi- and self-regulated markets for OCC proliferation 攻撃的なサイバー能力の拡散のための半規制市場と自主規制市場
1. Vulnerability research and exploit development 1. 脆弱性調査と攻略手法開発
2. Malware payload development 2. マルウェアペイロード開発
3. Technical command and control 3. 技術的な指令・統制
4. Operational management 4. 運営管理
5. Training and support 5. 訓練と支援
Zeroing in on OCC counter-proliferation 攻撃なサイバー能力の不拡散をゼロにする
About the authors 著者について
   
Executive summary エグゼクティブサマリー
Offensive cyber capabilities run the gamut from sophisticated, long-term disruptions of physical infrastructure to malware used to target human rights journalists. As these capabilities continue to proliferate with increasing complexity and to new types of actors, the imperative to slow and counter their spread only strengthens. But to confront this growing menace, practitioners and policy makers must understand the processes and incentives behind it. The issue of cyber capability proliferation has often been presented as attempted export controls on intrusion software, creating a singular emphasis on malware components. This primer reframes the narrative of cyber capability proliferation to be more in line with the life cycle of cyber operations as a whole, presenting five pillars of offensive cyber capability: vulnerability research and exploit development, malware payload generation, technical command and control, operational management, and training and support. The primer describes how governments, criminal groups, industry, and Access-as-a-Service (AaaS) providers work within either self-regulated or semi-regulated markets to proliferate offensive cyber capabilities and suggests that the five pillars give policy makers a more granular framework within which to craft technically feasible counterproliferation policies without harming valuable elements of the cybersecurity industry. These recommended policies are developed in more detail, alongside three case studies of AaaS firms, in our companion report, Countering Cyber Proliferation: Zeroing in on Access as a Service. 攻撃的なサイバー能力は、洗練された長期的な物理的インフラの破壊から、人権ジャーナリストを標的にしたマルウェアまで多岐にわたっています。これらの能力は複雑さを増し、新しいタイプのアクターにまで増殖し続けているため、その拡散を遅らせ、対策を講じる必要性は強まるばかりです。この増大する脅威に立ち向かうために、実務家や政策立案者は、この背後にあるプロセスと動機を理解しなければなりません。サイバー能力の拡散という問題は、しばしば侵入ソフトウェアの輸出規制の試みとして提示されてきましたが、これはマルウェアの構成要素に焦点を当てたものでした。このプライマーでは、攻撃的サイバー能力の 5 つの柱である脆弱性研究と悪用開発、マルウェアのペイロード生成、技術的指揮統制、運用管理、訓練・支援を提示し、サイバー能力の拡散をよりサイバーオペレーション全体のライフサイクルに沿ったものにするために、サイバー能力の物語を再定義しています。この入門書では、政府、犯罪集団、産業界、アクセス・アズ・ア・サービス(AaaS)プロバイダーが、攻撃的なサイバー能力を増殖させるために、自主規制市場または半規制市場でどのように活動しているかを説明し、5 つの柱が政策立案者に、サイバーセキュリティ産業の貴重な要素を損なうことなく、技術的に実現可能な核不拡散政策を立案するためのより詳細な枠組みを提供することを提案している。これらの推奨される政策は、AaaS企業の3つのケーススタディとともに、当社の関連レポート「サイバー拡散のカウンターリング」の中で、より詳細に展開されています。AaaSをゼロにする。
Introduction はじめに
The proliferation of offensive cyber capabilities (OCC) has often been compared with nuclear proliferation and stockpiling. Nuclear and cyber are two very different threats, especially in their regulatory maturities, but in both of them a multitude of bilateral and multilateral treaties have been created and then sidestepped, acceded to, expanded, and abandoned like steps in a dance. Regulatory and policy aspects in the OCC domain are particularly difficult due to the elusive nature of cyber capabilities, and the difficulty of measuring them, especially in the absence of a clear framework that defines and maps them to the broader picture of international equilibria. Offensive cyber capabilities are not currently cataclysmic, but are instead quietly and persistently pernicious. The barrier to entry in this domain is much more of a gradual rise than a steep cliff, and this slope is expected to only flatten increasingly over time.1 As states and non-state actors gain access to more and better offensive cyber capabilities, and the in-domain incentives to use them,2 the instability of cyberspace grows. Furthermore, kinetic effects resulting from the employment of offensive cyber capabilities, the difficulties in the attribution process of attacks caused by an invisible militia, and the lack of mature counterproliferation regimes bring the problem to a geopolitical scale. 攻撃的サイバー能力(OCC)の拡散は、しばしば核拡散と備蓄と比較されます。核とサイバーは、特にその規制の成熟度においては全く異なる脅威ですが、両者とも多数の二国間・多国間条約が作成された後、ダンスのステップのように回避され、同意され、拡大され、放棄されてきました。OCC の領域における規制・政策的側面は、サイバー能力の捉えどころのない性質と、それを測定することの難しさから、特に、国際的な均衡の大局的なイメージと定義し、マッピングするための明確な枠組みがないために、特に困難なものとなっています。攻撃的なサイバー能力は、現在のところ激変的なものではなく、静かに持続していく悪質なものです。この領域への参入障壁は、急峻な崖というよりはむしろ緩やかに上昇しており、この傾斜は時間の経過とともにますます平らになっていくと予想されます。さらに、攻撃的なサイバー能力の利用による運動効果、見えない民兵による攻撃の帰属過程の難しさ、成熟した核不拡散体制の欠如が、この問題を地政学的な規模にまで 追い込んでいます。
Creating a counterproliferation regime in cyberspace has confounded policy makers for over a decade. As the number of state-sponsored cyber actors continues to rise alongside the severity of cyber attacks, the issue has become even more pressing. サイバー空間における核拡散防止体制の構築は、10 年以上にわたって政策立案者を困惑させてきました。国家が支援するサイバーアクターの数が、サイバー攻撃の深刻さとともに増加し続けているため、この問題はさらに緊急性を増しています。
The renewed vigor with which the European Union (EU) has seized upon this topic and the arrival of new occupants in the locus of political authority in the United States present an opportunity to provide the debate with a more complete context and to more precisely frame the interests of the players involved. This effort sits within the body of work that frames the construction, sale, and use of OCC as a question of proliferation. Policy efforts should seek to reduce the utility of these capabilities and influence the incentives of the parties involved in the process of proliferation, rather than seeking vainly to block proliferation entirely. 欧州連合(EU)がこの問題に新たな勢いで取り組んでいること、そして米国の政治的権威の座に新たな地位を獲得したことは、この議論をより完全な文脈で提供し、関係者の利益をより正確にフレーム化する機会を提供しています。この取り組みは、OCC の構築、販売、使用を拡散の問題としてフレーム化している一連の研究の中に含まれています 。政策努力は、拡散を完全に阻止することを無駄に求めるのではなく、これらの能力の効用を減じ、拡散のプロセスに関与する当事者のインセンティ ブに影響を与えることを目指すべきです。

 

| | Comments (0)

2021.03.04

サイバーに関する統計

こんにちは、丸山満彦です。

サイバーに関する統計やデータについてのリンクをまとめた記事がありました・・・

Forebes

・2021.03.02 Alarming Cybersecurity Stats: What You Need To Know For 2021 by Chuck Brooks

 

これは便利かもです。。。

Cyber

| | Comments (0)

2021.02.27

IPA 「情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

こんにちは、丸山満彦です。

IPAが情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

● IPA

・2021.02.26 「情報セキュリティ10大脅威 2021」の解説書を公開しました。

・[PDF] 「情報セキュリティ10大脅威 2021」解説書

20210227-64326

過去の発表資料等もまとめていたりするので、こちらも参考にしてくださいませ。。。

● まるちゃんの情報セキュリティ気まぐれ日記

2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

 

| | Comments (0)

2021.01.28

IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2021」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

 


 

| | Comments (0)

より以前の記事一覧