リンク

2021.04.03

U.S. Office of Inspectors General(連邦監察官室)

こんにちは、丸山満彦です。

米国連邦政府の仕組みの特徴的なところは、各省庁に内部監査部門のような部署、Office of Inspectors General: IG(連邦監察官室)があるところですかね。。。

各省庁の連邦監査官室は政府組織ですから大統領の指揮下にあることになっていますが、議会が一定の歯止めをかけられる感じですね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE と[Wikipedia]が一番まとまってわかりやすいですかね...

で、各府省庁を監査するGAOがさらにある、という構造ですね。

GAOは連邦議会の活動を補佐する業務ではあるのですが、委員長の選任は上院下院の議員からなる委員会が推薦して大統領が任命するので、完全な第三者とは言えない部分もありますね。

なんで、このような記事を書いたかというと、各府省庁の監察官室でもセキュリティ監査をしているからです。。。ということで、2014年の報告では74あると報告されている連邦監察官室の監査についてもチェックしないといけないかな。。。とか思っているところなんですよね。。。いや、大変だ・・・

で、IGは内部通報の受付窓口にもなっていますね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE

Wikipedia - Office of Inspector General (United States)

1_20210402030201

 

Wikipediaからリストを作ってみました。。。(リンクが切れていたところは、リンクを貼り直していたりする場合もあります・・・※ 記載が漏れていたものを追加したものもあります・・・※※)

Presidentially-appointed inspectors general 大統領に任命された監察官  
Jurisdiction 所管 Website
Agency for International Development (AID-OIG) 国際開発庁 AID-OIG
Department of Agriculture (USDA-OIG) 米国農務省 USDA-OIG
Central Intelligence Agency (CIA-OIG) 米国中央情報局 CIA-OIG ※
Department of Commerce (DOC-OIG) 商務省 DOC-OIG
Corporation for National and Community Service (CNCS-OIG) 全米社会奉仕団 CNCS-OIG
Department of Defense (DOD-OIG) 国防総省 DOD-OIG
Department of Education (ED-OIG) 教育省 DOED-OIG
Department of Energy (DOE-OIG) エネルギー省 DOE-OIG
Environmental Protection Agency and Chemical Safety and Hazard Investigation Board (EPA-OIG) 環境保護庁および化学物質安全・有害性調査委員会 EPA-OIG
Export-Import Bank (EIB-OIG) 米国輸出入銀行 EIB-OIG
Federal Deposit Insurance Corporation (FDIC-OIG) 連邦預金保険公社 FDIC-OIG
Federal Housing Finance Agency (FHFA-OIG) 連邦住宅金融機関 FHFA-OIG
General Services Administration (GSA-OIG) 一般調達局 GSA-OIG
Department of Health and Human Services (HHS-OIG) 保健社会福祉省 HHS-OIG
Department of Homeland Security (DHS-OIG) 米国国土安全保障省 DHS-OIG
Department of Housing and Urban Development (HUD-OIG) 住宅都市開発省 HUD-OIG
Intelligence Community (ICIG) 情報コミュニティ ICIG
Department of the Interior (DOI-OIG) 内務省 DOI-OIG
Internal Revenue Service (TIGTA) 内国歳入庁 TIGTA
Department of Justice (DOJ-OIG) 司法省 DOJ-OIG
Department of Labor (DOL-OIG) 労働省 DOL-OIG
National Aeronautics and Space Administration (NASA-OIG) 米国航空宇宙局 NASA-OIG
Nuclear Regulatory Commission (NRC-OIG) 原子力規制委員会 NRC-OIG
Office of Personnel Management (OPM-OIG) 人事管理局 OPM-OIG
Railroad Retirement Board (RRB-OIG) 鉄道退職委員会 RRB-OIG
Small Business Administration (SBA-OIG) 中小企業庁 SBA-OIG
Social Security Administration (SSA-OIG) 社会保障庁 SSA-OIG
Department of State and the Agency for Global Media (DOS-OIG) 国務省およびグローバルメディア庁 DOS-OIG
Tennessee Valley Authority (TVA-OIG) テネシーバレー公社 TVA-OIG
Department of Transportation and National Transportation Safety Board (DOT-OIG) 運輸省および国家運輸安全委員会 DOT-OIG
Department of the Treasury (Treasury OIG) 財務省 Treasury OIG
Department of Veterans Affairs (VA-OIG) 退役軍人省 VA-OIG
List of presidentially appointed inspectors general 大統領が任命した監察官のリスト  
Designated federal entity inspectors general 指定された連邦機関の連邦監察官室  
Jurisdiction 所管 Website
Appalachian Regional Commission (ARC-OIG) アパラチア地域委員会 ARC-OIG ※
Committee for Purchase from People Who Are Blind or Severely Disabled (CPPBSD-OIG) 盲目または重度障害者からの購入委員会 CPPBSD-OIG
Commodity Futures Trading Commission (CFTC-OIG) 商品先物取引委員会 CFTC-OIG
Consumer Product Safety Commission (CPSC-OIG) 消費者製品安全委員会 CPSC-OIG
Corporation for Public Broadcasting (CPB-OIG) 公共放送協会 CPB-OIG
Denali Commission (DC-OIG) デナリ委員会 Denali OIG
Election Assistance Commission (EAC-OIG) 選挙支援委員会 EAC-OIG
Equal Employment Opportunity Commission (EEOC-OIG) 男女雇用機会均等委員会 EEOC-OIG ※
Farm Credit Administration (FCA-OIG) 農業信用機関 FCA-OIG
Federal Communications Commission (FCC-OIG) 連邦通信委員会 FCC-OIG
Federal Election Commission (FEC-OIG) 連邦選挙委員会 FEC-OIG
Federal Labor Relations Authority (FLRA-OIG) 連邦労働関係局 FLRA-OIG
Federal Maritime Commission (FMC-OIG) 連邦海事委員会 FMC-OIG
Federal Reserve Board and Consumer Financial Protection Bureau (FRB-OIG) 連邦準備委員会および消費者金融保護局 FRB-OIG
Federal Trade Commission (FTC-OIG) 連邦取引委員会 FTC-OIG
International Development Finance Corporation (DFC-OIG) 国際開発金融公社 DFC-OIG ※※
International Trade Commission (USITC-OIG) 国際貿易委員会 USITC-OIG
Legal Services Corporation (LSC-OIG) リーガルサービス・コーポレーション LSC-OIG
National Archives and Records Administration (NARA-OIG) 米国国立公文書館および記録管理局( NARA-OIG
National Credit Union Administration (NCUA-OIG) 全米信用組合管理局 NCUA-OIG
National Endowment for the Arts (NEA-OIG) 全米芸術基金 NEA-OIG
National Endowment for the Humanities (NEH-OIG) 全米人文科学振興財団 NEH-OIG
National Labor Relations Board (NLRB-OIG) 全米労働関係委員会 NLRB-OIG
National Railroad Passenger Corporation 全米鉄道旅客公社 Amtrak OIG
National Science Foundation (NSF-OIG) 全米科学財団 NSF-OIG
Peace Corps (PC-OIG) 平和部隊 PC-OIG
Pension Benefit Guaranty Corporation (PBGC-OIG) 年金給付保証公社 PBGC-OIG
Postal Regulatory Commission (PRC-OIG) 郵政規制委員会 PRC-OIG
Postal Service (USPS-OIG) 郵政公社 USPS-OIG
Securities and Exchange Commission (SEC-OIG) 証券取引委員会 SEC-OIG
Smithsonian Institution (SI-OIG) スミソニアン協会 SI-OIG
Special inspectors general 特別監察官  
Jurisdiction 所管 Website
Afghanistan Reconstruction (SIGAR) アフガニスタン復興支援 SIGAR
Pandemic Recovery (SIGPR) パンデミック対策  
Troubled Asset Relief Program (SIGTARP) 問題資産救済プログラム SIGTARP
Legislative agency inspectors general 立法機関の監察官  
Jurisdiction 所管 Website
Architect of the Capitol (AOC-OIG) 連邦議会議事堂 AOC-OIG
Capitol Police (USCP-OIG) 議事堂警察 USCP-OIG
Government Accountability Office (GAO-OIG) GAO GSA-OIG
Government Publishing Office (GPO-OIG) 政府出版局 GPO-OIG
House of Representatives 下院 House IG
Library of Congress (LOC-OIG) 議会図書館 LOC-OIG
U.S. military[edit] 米軍  
Jurisdiction 所管 Website
United States Air Force (USAF-OIG) アメリカ空軍 USAF-OIG
United States Army (USA-OIG) アメリカ陸軍 USA-OIG
Defense Intelligence Agency (DIA-OIG) 国防情報局 DIA-OIG
National Geospatial-Intelligence Agency (NGA-OIG) 国家地理空間情報局 NGA-OIG ※
National Reconnaissance Office (NRO-OIG) 国家偵察局 NRO-OIG ※
National Security Agency and Central Security Service (NSA-OIG) 国家安全保障局および中央警備局 NSA-OIG
United States Navy (USN-OIG) 米国海軍 USN-OIG

 

 

| | Comments (0)

2021.03.09

ENISA 金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表

こんにちは、丸山満彦です。

ENISAが金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表していますね。。。

ENISA

・2021.03.05 Achieving Harmonisation and Cyber Resilience in the Finance Sector

The European Union Agency for Cybersecurity (ENISA) issues a report shedding light on European policy initiatives in the finance sector.

・[PDF] EU Cybersecurity Initiatives in the Finance Sector

20210309-05350

1. INTRODUCTION 1. 序論
1.1 SCOPE, TARGET AUDIENCE AND OBJECTIVES 1.1 対象範囲、対象読者、目的
1.2 METHODOLOGY 1.2 方法論
2. EU CYBER INITIATIVES IN THE FINANCE SECTOR 2. 金融分野におけるEUのサイバーイニシアティブ
2.1 DEVELOPMENT AND IMPLEMENTATION OF POLICY 2.1 方針の策定と実施
2.2 INFORMATION SHARING AND CAPACITY BUILDING 2.2 情報共有と能力開発
2.3 CYBER CRISIS MANAGEMENT 2.3 サイバー危機管理
2.4 AWARENESS RAISING AND TRAINING 2.4 意識向上と訓練
2.5 STANDARDIZATION AND CERTIFICATION 2.5 標準化と認証
2.6 RESEARCH AND INNOVATION 2.6 研究とイノベーション

 

サイバーセキュリティ法(ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
の条項に基づいて編成された以下のトピックをカバーしているということです。。。。。。

  1. 方針の策定と実施(サイバーセキュリティ法第5条)
  2. 情報共有と能力開発(第6条、第9条)
  3. サイバー危機管理と運用協力(第7条、第12条)
  4. 意識向上(第10条)
  5. 標準化と認証(第8条)
  6. 研究とイノベーション(第11条)

よくまとまっているので、きっちりと分析したいところです。。。


 

取り急ぎ、軽く翻訳はしてみた。。。

[DOC] 軽く翻訳

 

| | Comments (0)

2021.03.07

Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。

こんにちは、丸山満彦です。

主要国の政府は政府機関向けの情報セキュリティの基準やガイドを持っていると思います。日本政府も統一基準というのがありますよね。私も第一版に始まり2012年くらいまでは改訂に関わっていました。もっとも統一基準は各省庁が作るべきセキュリティ基準用の雛形のようなもので、各省庁は自ら統一基準に準拠した規程を各省庁で定めることになっています。さて、日本の場合は、その改訂は2年に1度くらい行われていますね。今の最新版は平成30年版になっていますね。

NISC - 政府機関総合対策グループ - 政府機関等の情報セキュリティ対策のための統一基準群

ところが、オーストラリアの場合は毎月少しずつ変更されているんですよね。。。

3月は前月から、

ACSC - Australian Government Information Security Manual (ISM)

ちなみに、今月は、”Guidelines for Communications Infrastructure”の部分の変更が多いですね。。。


それぞれのトピックス
This chapter of the ISM provides guidance on using the Australian Government Information Security Manual.

Follow the ACSC's cyber security principles to better understand how to protect systems and information.

The ISM is separated into a number of guidelines to assist organisations protect their information and systems from cyber threats.

This chapter of the ISM provides guidance on cyber security terminology.

過去分が2018.11から毎月ZIPで残されています。。。






 

Continue reading "Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。"

| | Comments (0)

2021.03.06

Atlantic Council : A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

こんにちは、丸山満彦です。

Atlantic Counsilが興味深いレポートを出していました・・・

 

● Atlantic Council

・2021.03.01 A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

 


20210306-12154

 

Table of contents 目次
Executive summary エグゼクティブサマリー
Introduction はじめに
Offensive cyber capabilities: Seeing the whole chain 攻撃的なサイバー能力:チェーン全体を見る
Semi- and self-regulated markets for OCC proliferation 攻撃的なサイバー能力の拡散のための半規制市場と自主規制市場
1. Vulnerability research and exploit development 1. 脆弱性調査と攻略手法開発
2. Malware payload development 2. マルウェアペイロード開発
3. Technical command and control 3. 技術的な指令・統制
4. Operational management 4. 運営管理
5. Training and support 5. 訓練と支援
Zeroing in on OCC counter-proliferation 攻撃なサイバー能力の不拡散をゼロにする
About the authors 著者について
   
Executive summary エグゼクティブサマリー
Offensive cyber capabilities run the gamut from sophisticated, long-term disruptions of physical infrastructure to malware used to target human rights journalists. As these capabilities continue to proliferate with increasing complexity and to new types of actors, the imperative to slow and counter their spread only strengthens. But to confront this growing menace, practitioners and policy makers must understand the processes and incentives behind it. The issue of cyber capability proliferation has often been presented as attempted export controls on intrusion software, creating a singular emphasis on malware components. This primer reframes the narrative of cyber capability proliferation to be more in line with the life cycle of cyber operations as a whole, presenting five pillars of offensive cyber capability: vulnerability research and exploit development, malware payload generation, technical command and control, operational management, and training and support. The primer describes how governments, criminal groups, industry, and Access-as-a-Service (AaaS) providers work within either self-regulated or semi-regulated markets to proliferate offensive cyber capabilities and suggests that the five pillars give policy makers a more granular framework within which to craft technically feasible counterproliferation policies without harming valuable elements of the cybersecurity industry. These recommended policies are developed in more detail, alongside three case studies of AaaS firms, in our companion report, Countering Cyber Proliferation: Zeroing in on Access as a Service. 攻撃的なサイバー能力は、洗練された長期的な物理的インフラの破壊から、人権ジャーナリストを標的にしたマルウェアまで多岐にわたっています。これらの能力は複雑さを増し、新しいタイプのアクターにまで増殖し続けているため、その拡散を遅らせ、対策を講じる必要性は強まるばかりです。この増大する脅威に立ち向かうために、実務家や政策立案者は、この背後にあるプロセスと動機を理解しなければなりません。サイバー能力の拡散という問題は、しばしば侵入ソフトウェアの輸出規制の試みとして提示されてきましたが、これはマルウェアの構成要素に焦点を当てたものでした。このプライマーでは、攻撃的サイバー能力の 5 つの柱である脆弱性研究と悪用開発、マルウェアのペイロード生成、技術的指揮統制、運用管理、訓練・支援を提示し、サイバー能力の拡散をよりサイバーオペレーション全体のライフサイクルに沿ったものにするために、サイバー能力の物語を再定義しています。この入門書では、政府、犯罪集団、産業界、アクセス・アズ・ア・サービス(AaaS)プロバイダーが、攻撃的なサイバー能力を増殖させるために、自主規制市場または半規制市場でどのように活動しているかを説明し、5 つの柱が政策立案者に、サイバーセキュリティ産業の貴重な要素を損なうことなく、技術的に実現可能な核不拡散政策を立案するためのより詳細な枠組みを提供することを提案している。これらの推奨される政策は、AaaS企業の3つのケーススタディとともに、当社の関連レポート「サイバー拡散のカウンターリング」の中で、より詳細に展開されています。AaaSをゼロにする。
Introduction はじめに
The proliferation of offensive cyber capabilities (OCC) has often been compared with nuclear proliferation and stockpiling. Nuclear and cyber are two very different threats, especially in their regulatory maturities, but in both of them a multitude of bilateral and multilateral treaties have been created and then sidestepped, acceded to, expanded, and abandoned like steps in a dance. Regulatory and policy aspects in the OCC domain are particularly difficult due to the elusive nature of cyber capabilities, and the difficulty of measuring them, especially in the absence of a clear framework that defines and maps them to the broader picture of international equilibria. Offensive cyber capabilities are not currently cataclysmic, but are instead quietly and persistently pernicious. The barrier to entry in this domain is much more of a gradual rise than a steep cliff, and this slope is expected to only flatten increasingly over time.1 As states and non-state actors gain access to more and better offensive cyber capabilities, and the in-domain incentives to use them,2 the instability of cyberspace grows. Furthermore, kinetic effects resulting from the employment of offensive cyber capabilities, the difficulties in the attribution process of attacks caused by an invisible militia, and the lack of mature counterproliferation regimes bring the problem to a geopolitical scale. 攻撃的サイバー能力(OCC)の拡散は、しばしば核拡散と備蓄と比較されます。核とサイバーは、特にその規制の成熟度においては全く異なる脅威ですが、両者とも多数の二国間・多国間条約が作成された後、ダンスのステップのように回避され、同意され、拡大され、放棄されてきました。OCC の領域における規制・政策的側面は、サイバー能力の捉えどころのない性質と、それを測定することの難しさから、特に、国際的な均衡の大局的なイメージと定義し、マッピングするための明確な枠組みがないために、特に困難なものとなっています。攻撃的なサイバー能力は、現在のところ激変的なものではなく、静かに持続していく悪質なものです。この領域への参入障壁は、急峻な崖というよりはむしろ緩やかに上昇しており、この傾斜は時間の経過とともにますます平らになっていくと予想されます。さらに、攻撃的なサイバー能力の利用による運動効果、見えない民兵による攻撃の帰属過程の難しさ、成熟した核不拡散体制の欠如が、この問題を地政学的な規模にまで 追い込んでいます。
Creating a counterproliferation regime in cyberspace has confounded policy makers for over a decade. As the number of state-sponsored cyber actors continues to rise alongside the severity of cyber attacks, the issue has become even more pressing. サイバー空間における核拡散防止体制の構築は、10 年以上にわたって政策立案者を困惑させてきました。国家が支援するサイバーアクターの数が、サイバー攻撃の深刻さとともに増加し続けているため、この問題はさらに緊急性を増しています。
The renewed vigor with which the European Union (EU) has seized upon this topic and the arrival of new occupants in the locus of political authority in the United States present an opportunity to provide the debate with a more complete context and to more precisely frame the interests of the players involved. This effort sits within the body of work that frames the construction, sale, and use of OCC as a question of proliferation. Policy efforts should seek to reduce the utility of these capabilities and influence the incentives of the parties involved in the process of proliferation, rather than seeking vainly to block proliferation entirely. 欧州連合(EU)がこの問題に新たな勢いで取り組んでいること、そして米国の政治的権威の座に新たな地位を獲得したことは、この議論をより完全な文脈で提供し、関係者の利益をより正確にフレーム化する機会を提供しています。この取り組みは、OCC の構築、販売、使用を拡散の問題としてフレーム化している一連の研究の中に含まれています 。政策努力は、拡散を完全に阻止することを無駄に求めるのではなく、これらの能力の効用を減じ、拡散のプロセスに関与する当事者のインセンティ ブに影響を与えることを目指すべきです。

 

| | Comments (0)

2021.03.04

サイバーに関する統計

こんにちは、丸山満彦です。

サイバーに関する統計やデータについてのリンクをまとめた記事がありました・・・

Forebes

・2021.03.02 Alarming Cybersecurity Stats: What You Need To Know For 2021 by Chuck Brooks

 

これは便利かもです。。。

Cyber

| | Comments (0)

2021.02.27

IPA 「情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

こんにちは、丸山満彦です。

IPAが情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

● IPA

・2021.02.26 「情報セキュリティ10大脅威 2021」の解説書を公開しました。

・[PDF] 「情報セキュリティ10大脅威 2021」解説書

20210227-64326

過去の発表資料等もまとめていたりするので、こちらも参考にしてくださいませ。。。

● まるちゃんの情報セキュリティ気まぐれ日記

2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

 

| | Comments (0)

2021.01.28

IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2021」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

 


 

| | Comments (0)

2021.01.04

100冊以上の機械学習に関する無料本リスト!!

こんにちは、丸山満彦です。

機械学習に関する無料本リストが公開されていましたので、共有しますね。。。

insane

・2021.01.02 Free eBooks: 100+ Free Machine Learning Books

目次とかカテゴリー分があれば助かると思いながら、、、

 

| | Comments (0)

2020.08.19

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

IDF - Column

・2020.08.17 第627号コラム:「若者のサイバー犯罪を無くしたい。。。」

 

若者がサイバー犯罪の被害者にならないようにすることはもちろん重要ですが、逆に加害者にならないようにすることも重要という思いです。。。

ーーーーー

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

 

| | Comments (0)

2020.07.13

JOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)

こんにちは、丸山満彦です。

軍の戦略や戦術というのは、ビジネスにおいても参考になりますよね。。。というか、元々軍の考え方がビジネスに入っているだけだから当たり前のことかもしれません。

米軍では、JOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)が話題なんでしょうかね。。。ビジネスでも参考になりそうですね。。。

専門性に応じて作られた組織を統合して相手に対応するための考え方は総論賛成ですが、各論になると色々と調整が必要となってきますね。。。

AI等の技術を最適に活用することが求められますよね。

そして、トップダウンととボトムアップの適切なブレンドも必要。。。

Joint Chief of Staffs
・2016.01.14 [PDF] Cross-Domain Synergy in Joint Operations - Planner's Guide

持てる力をすべてのドメイン(空、陸、海上、宇宙、サイバースペース)で適切に組み合わせるための方法を開発することが不可欠という認識の素、ドメインをまたがって運用するためには共同軍司令官(JFC)の機能を強化するための共同計画を開発する必要があると言うことで開発された物で、この計画ガイドの目的は、JFCの使命を達成するために各ドメインの機能を効率的かつ効果的に統合するための情報とアプローチを提供することとのことです。

 

US Air Force
・2020.07.02 Goldfein describes the future of the Air Force

・2019.12.23 Air Force, Navy, Army conduct first ‘real world’ test of Advanced Battle Management System

US Army
・2020.04.23 JADC2 ‘Experiment 2’ provides looking glass into future experimentation

Federation of American Scientists (FAS)
・2020.04.06 [PDF] Defense Capabilities: Joint All Domain Command and Control

MITRE
・2019.12 [PDF] A NEW BATTLE COMMAND ARCHITECTURE FOR MULTI-DOMAIN OPERATIONS

Center for Strategic and International Studies (CSIS)
・2020.05.06 Making the Most of the Air Force’s Investment in Joint All Domain Command and Control by Morgan Dwyer

Missile Defense Advocacy Alliance  (MDAA)
・2020.06.30 Joint All-Domain Command and Control (JADC2)

-----

Air University Library - Joint All-Domain Command and Control (JADC2): Home

Fed ScoopJOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)

 

Continue reading "JOINT ALL-DOMAIN COMMAND AND CONTROL (JADC2)"

| | Comments (0)

より以前の記事一覧