フォレンジック

2021.04.30

NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

こんにちは、丸山満彦です。

NISCの重要インフラチームがが連休を前に、「ランサムウエアによるサイバー攻撃に関する注意喚起について」を発表していますね。。。


万が一被害に遭った場合は、被害拡大防止の観点から、一人で解決しようとせず、警察など関係機関に御相談ください。


 

NISC

・2021.04.30 [PDF] ランサムウエアによるサイバー攻撃に関する注意喚起について

20210430-154438

 

端末やサーバ等のデータを暗号化し身代金を要求し、身代金を払わない場合は搾取した個人情報や機密情報を公表するぞと脅す、いわゆる二重脅迫が行われるケースも増えてきているので、厄介な問題ですよね。。。

チェックポイント等も記載してくれているので、参考になりますかね。。。

 

会社名 脆弱性 CVE(NIST) 参考URL
Fortinet 製  Virtual Private Network(VPN)装置 CVE-2018-13379 https://www.nisc.go.jp/active/infra/pdf/fortinet20201203.pdf
Ivanti 製  VPN 装置 Pulse Connect Secure CVE-2021-22893
CVE-2020-8260
CVE-2020-8243
CVE-2019-11510
https://blog.pulsesecure.net/pulse-connect-secure-security-update/
Citrix 製 Citrix Application Delivery Controller
Citrix Gateway
Citrix SD-WAN WANOP
CVE-2019-19781 https://support.citrix.com/article/CTX267027
Microsoft  Exchange Server  CVE-2021-26855 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
SonicWall  Secure Mobile Access (SMA) 100 シリーズ CVE-2021-20016 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
QNAP Systems 製  NAS(Network Attached Storage)製品 QNAP CVE-2021-28799
CVE-2020-36195
CVE-2020-2509
https://www.qnap.com/en/security-news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
Microsoft Windows のドメインコントローラー CVE-2020-1472 https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-1472

| | Comments (0)

2021.04.16

FedRAMP インシデント・コミュニケーション手順4.0の公表

こんにちは、丸山満彦です。

これも、2021.04.15の一連の措置の一環として、CISA緊急指令への対応が含まれていますね。。。

FedRAMP

・2021.04.15 (blog) Release of FedRAMP Incident Communications Procedures

・[PDF] FedRAMP Incident Communications Procedures Version 4.0

20210416-105829

Introduction and Purpose 序文・目的
Applicability 適用
Compliance コンプライアンス
Applicable Laws and Regulations 適用法と規制
Applicable Standards and Guidance 適用される基準とガイダンス
Assumptions 前提条件
Roles and Responsibilities 役割と責任
CSP General Reporting Process クラウド・サービス・プロバイダーの一般的な報告プロセス
JAB Reviewers’ Responsibilities 共同承認ボードのレビュアーの責任
Appendix A: CSP General Reporting Process Graphic 附属書A:クラウド・サービス・プロバイダーの一般的な報告プロセスのグラフィック

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

 

 

| | Comments (0)

2021.04.08

IPA 「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

こんにちは、丸山満彦です。

IPAが「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を公開していますね。。。

● IPA

・2021.04.07 「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」


本調査では、主に以下のことが明らかになりました。

  • コロナ禍でやむを得ず認めたセキュリティ対策の例外や特例が現状も継続している組織があること
  • 規定・規則・手順などが取り決められていても、委託元の5割5分が、従業員が規定・規則・手順を守れているかどうかの確認を実施していないこと
  • ニューノーマルに関する業務委託契約は進んでいないこと

 

20210408-24531

| | Comments (0)

ENISA 病院におけるサイバーセキュリティのための調達ガイドライン(オンライン版)

こんにちは、丸山満彦です。

ENISAが病院におけるサイバーセキュリティのための調達ガイドライン(オンライン版)を公表していますね。。。

2020.02.24に発行され病院におけるサイバーセキュリティの調達ガイドラインの使用を容易にするために、作られたツールという位置付けのようですね。。。

● ENISA

・2021.04.07 (press) Procurement Guidelines for Cybersecurity in Hospitals: New Online tool for a Customised Experience!

The new tool helps healthcare organisations identify best practices in order to meet cybersecurity needs when procuring products or services.

Online Tools

20210408-23839


■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.22 ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.05.16 Tropic Trooperが台湾、フィリピンの政府、軍、医療機関等の物理的に分離されたネットワークをターゲットにUSBフェリー攻撃 by Trendmicro

2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals

 

 

 

 

| | Comments (0)

2021.04.07

ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

こんにちは、丸山満彦です。

Oxford Academicの"Journal of Cybersecurity"で、民間企業による能動的サイバー防衛についての記事がありますね。。。

● Oxford Academic - Journal of Cyversecurity

・2021.03.30 Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line? 

 

Abstract 概要
Private sector Active Cyber Defence (ACD) lies on the intersection of domestic security and international security and is a recurring subject, often under the more provocative flag of ‘hack back’, in the American debate about cyber security.
This article looks at the theory and practice of private cyber security provision and analyses in more detail a number of recent reports and publications on ACD by Washington DC based commissions and think tanks.
Many of these propose legalizing forms of active cyber defence, in which private cyber security companies would be allowed to operate beyond their own, or their clients’ networks, and push beyond American law as it currently stands.
Generally, public-private governance solutions for security problems have to manage a balance between
(i) questions of capacity and assigning responsibilities,
(ii) the political legitimacy of public–private security solutions and
(iii) the mitigation of their external effects.
The case of private active cyber defence reveals a strong emphasis on addressing the domestic security (and political) problem, while failing to convincingly address the international security problems.
The proposals aim to create a legitimate market for active cyber defence, anchored to the state through regulation and certification as a way to balance capacity, responsibilities and domestic political legitimacy.
A major problem is that even though these reports anticipate international repercussions and political pushback, against what is likely be received internationally as an escalatory and provocative policy, they offer little to mitigate it.
民間企業による能動的サイバー防衛(Active Cyber Defence: ACD)は、国内安全保障と国際安全保障の接点に位置しており、米国のサイバーセキュリティに関する議論では、しばしば「ハックバック」という挑発的な旗印のもと、繰り返し取り上げられるテーマとなっています。
この記事では、民間のサイバーセキュリティ提供の理論と実践について考察し、ワシントンDCを拠点とする委員会やシンクタンクがACDに関して最近発表した数多くのレポートや出版物をより詳細に分析しています。
これらの提案の多くは、能動的サイバー防衛を合法化するもので、民間のサイバーセキュリティ企業が自社や顧客のネットワークを超えて活動することを認め、現在のアメリカの法律を超えて活動することを提案しています。
一般的に、安全保障問題に対する官民のガバナンスによる解決策は、
(1)能力と責任の分担に関する問題、
(2)官民の安全保障解決策の政治的正当性、
(3)外部への影響の緩和、
のバランスを管理しなければなりません。
民間の能動的サイバー防衛のケースでは、国内の安全保障上(および政治上)の問題に対処することに重点が置かれている一方で、国際的な安全保障上の問題に説得力を持って対処することができていません。
これらの提案は、能力、責任、国内政治的正当性のバランスをとる方法として、規制や認証を通じて国家に固定された、能動的サイバー防衛のための合法的な市場を創出することを目的としています。
大きな問題は、これらの報告書が、国際的にはエスカレートした挑発的な政策として受け取られるであろうことに対して、国際的な反響や政治的な反発を予想しているにもかかわらず、それを緩和するための提案がほとんどないことです。

少し気になった図が下の図です。

 

1_20210406071301

Figure 1: the continuum between defensive and offensive cyber operations.

Source: Center for Cyber and Homeland Security. Into the Gray Zone. The Private Sector and Active Defense against Cyber Threats. Washington: George Washington University, 2016.

* Passive Defense * パッシブディフェンス
Basic security controls,  基本的なセキュリティ対策。
Firewalls, ファイアウォール。
Antivirus, アンチウイルス。
Patch management, パッチ管理。
Scanning and スキャンと
Monitoring, etc モニタリングなど
* Active Defense: The (Light) Gray Zone * アクティブディフェンス (ライト)グレーゾーン
Information Sharing 情報共有
Tarpits, Sandboxes & Honeypots タールピット、サンドボックス、ハニーポット
Denial & Deception 拒否と欺瞞 (D&D)
Hunting ハンティング
Beacons - Notify owner in case of theft ビーコン - 盗難の際に所有者に知らせる
Beacons - Provide information on External networks ビーコン - 外部ネットワークの情報提供
Intelligence Gathering in Deep Web/Dark Net ディープウェブ/ダークネットでの情報収集
* Active Defense: The (Dark) Gray Zone * アクティブディフェンス (ダーク)グレーゾーン
Botnet Takedowns ボットネットのテイクダウン
Coordinated sanctions, indictments & Trade Remedies 制裁、起訴、貿易救済措置の調整
White-hat Ransomware ホワイトハットランサムウェア
Rescue Missions to Recover Assets 資産回復のための救助任務
* Offensive Cyber * 攻撃的サイバー
Hacking back/Operations intended to disrupt or destroy external networks or information without authorization ハッキングバック/許可なく外部のネットワークや情報を破壊することを目的とした作戦

 

Center for Cyber and Homeland Security:
CCHS

・2016.10.12 [PDF] Into the Gray Zone. The Private Sector and Active Defense against Cyber Threats (Downloded)

 

20210407-01700

 

また、米国では、能動的サイバー防御確実性法(Active Cyber Defense Certainty Act: ACDC)案、2017年に下院に提出されていますが、

・2017.10.12 [PDF] 115th Congress 1st Session H. R. 4036 Active Cyber Defense Certainty Act

議論はされずに、2019年に下院再提出されていますね。。。

・2019.06.28 116th Congress 1st Session H.R.3270 - Active Cyber Defense Certainty Act

 

またYou Tubeの議論も参考になるかもです。。。

Center for Cyber and Homeland Security CCHS Event

・2016.11.01 [Youtube] "Into the Gray Zone: The Private Sector and Active Defense against Cyber Threats"


■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

| | Comments (0)

2021.03.23

欧州委員会 研究報告書「フォレンジックスにおけるクラスタリングと教師なし分類」

こんにちは、丸山満彦です。

欧州委員会のEU Science Hubから「Clustering and Unsupervised Classification in Forensics(フォレンジックスにおけるクラスタリングと教師なし分類)」という報告書が公表されていますね。

報告書自体は2020年に作成されていたようですね。。。

 

● EU Commission - EU Science Hub - Publications

・2021.03.22 Clustering and Unsupervised Classification in Forensics

Abstract:  概要 
Nowadays, crime investigators collect an ever increasing amount of potential digital evidence from suspects, continuously increasing the need for techniques of digital forensics. Often, digital evidence will be in the form of mostly unstructured and unlabeled data and seemingly uncorrelated information. Manually sorting out and understanding this type of data constitutes a considerable challenge, sometimes even a psychological burden, or at least a prohibitively time consuming activity. Therefore, forensic research should explore and leverage the capabilities of cluster algorithms and unsupervised machine learning to-wards creating robust and autonomous analysis tools for criminal investigators faced with this situation. This report presents a first comprehensive study from theory to practice on the specific case of video forensics. 今日、犯罪捜査官が容疑者から収集する潜在的なデジタル証拠の量は増え続けており、デジタル・フォレンジックの技術の必要性が継続的に高まっている。多くの場合、デジタル証拠は、ほとんどが構造化されておらず、ラベル付けされていないデータや、一見すると相関性のない情報の形をしている。このようなデータを手作業で整理し、理解することは、かなりの困難を伴い、時には心理的負担にもなり、少なくとも法外に時間のかかる作業となる。そのため,フォレンジック研究では,このような状況に直面している犯罪捜査官のために,クラスター・アルゴリズムや教師なし機械学習の能力を探求し,活用して,ロバストで自律的な分析ツールを作成する必要がある。本レポートでは、ビデオ・フォレンジックという具体的なケースについて、理論から実践までの初めての包括的な研究を紹介する。

 

・[PDF] Clustering and Unsupervised Classification in Forensics

20210323-24729

 

Abstract 概要
1 Introduction 1 はじめに
1.1 Definition of Clustering. 1.1 クラスタリング(Clustering)の定義
1.2 Clustering and Classification. 1.2 クラスタリングと分類
2 Background: Methods and Algorithms 2 背景 方法とアルゴリズム
2.1 Clustering Problem Categories 2.1 クラスタリングの問題カテゴリ
2.2 Overview of algorithms and methods 2.2 アルゴリズムと手法の概要
2.2.1 Classical approaches 2.2.1 古典的アプローチ
2.2.1.1 K-Means based algorithms 2.2.1.1 K-Meansベースのアルゴリズム
2.2.1.2 Hierarchical algorithms 2.2.1.2 階層型アルゴリズム
2.2.2 Probabilistic Models for Clustering 2.2.2 クラスタリングのための確率的モデル
2.2.2.1 Gaussian Mixture Models with the EM algorithm. 2.2.2.1 EMアルゴリズムを用いたガウシアン混合モデル
2.2.2.2 Other Probabilistic Models 2.2.2.2 その他の確率論的モデル
2.2.3 Modern Machine learning models and stand alone developments. 2.2.3 最新の機械学習モデルと単独での開発
2.2.4 Dimensionality Reduction. 2.2.4 次元の削減
2.2.5 Cluster validity, model checking and hyperparameter optimization 2.2.5 クラスタの有効性、モデルチェック、ハイパーパラメータの最適化
2.2.5.1 Evaluating test data 2.2.5.1 テストデータの評価
2.3 Problems and Challenges 2.3 問題点と課題
3 Research Workshop at JRC 3 JRCでの研究ワークショップ
4 Forensic Application Case 4 フォレンジックアプリケーションケース
4.1 The data sets. 4.1 データセット
4.1.1 Controlled recordings. 4.1.1 コントロールされた録画
4.1.2 Live recordings 4.1.2 ライブレコーディング
4.2 Audio-based clustering of video recordings 4.2 映像記録の音声によるクラスタリング
4.2.1 Audio features 4.2.1 音声の特徴
4.2.1.1 GMM Training for Clean Speech 4.2.1.1 クリーンスピーチのためのGMMトレーニング
4.2.1.2 Blind microphone response estimation 4.2.1.2 ブラインドマイク応答推定
4.2.2 Experimental evaluation 4.2.2 実験的評価
4.2.2.1 Settings 4.2.2.1 設定
4.2.2.2 Test run protocol. 4.2.2.2 テスト実行プロトコル
4.2.2.3 Inter-model audio clustering 4.2.2.3 モデル間音声クラスタリング
4.2.2.4 All-model audio clustering. 4.2.2.4 全モデルの音声クラスタリング
4.3 Image-based clustering of video recordings. 4.3 ビデオ録画の画像ベースのクラスタリング
4.3.1 SPN Features Extraction. 4.3.1 SPN特徴量の抽出
4.3.1.1 Noise extraction in DWT domain. 4.3.1.1 DWT領域でのノイズ抽出。
4.3.1.2 Attenuation of saturated pixels. 4.3.1.2 飽和したピクセルの減光。
4.3.1.3 Estimate SPN using Maximum Likelihood Estimator. 4.3.1.3 最尤推定法によるSPNの推定。
4.3.1.4 SPN normalization. 4.3.1.4 SPNの正規化。
4.3.1.5 Convert SPN to grayscale. 4.3.1.5 SPNをグレースケールに変換する。
4.3.1.6 Wiener filtering for JPEG compression artifacts removal 4.3.1.6 JPEG圧縮アーチファクト除去のためのウィーナーフィルタリング
4.3.2 Experimental settings 4.3.2 実験設定
4.3.3 Results on still images 4.3.3 静止画での結果
4.3.4 Results on video frames 4.3.4 ビデオフレームでの結果
4.4 Explorative Case: Model based Clustering with unknown number of classes. 4.4 Explorative Case: クラスの数が不明なモデルベースのクラスタリング
4.4.1 Model Comparison Results 4.4.1 モデルの比較結果
4.5 Conclusions of the applications case 4.5 応用事例の結論
5 Outlook and Next Activities 5 展望と次の活動
References 参考文献
List of abbreviations and definitions 略語と定義の一覧

| | Comments (0)

2021.03.19

米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。

こんにちは、丸山満彦です。

米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、NSAの支援のもと、FBI、CISA、ODNIの代表者で構成されるタスクフォースであるUnified Coordination Group(UCG)を設立したようですね。。。

● White House

・2021.03.17 Statements by Press Secretary Jen Psaki & Deputy National Security Advisor for Cyber Anne Neuberger on Microsoft Exchange Vulnerabilities UCG

 

Statements by Press Secretary Jen Psaki & Deputy National Security Advisor for Cyber Anne Neuberger on Microsoft Exchange Vulnerabilities UCG Microsoft Exchangeの脆弱性に関するジェン・プサキ報道官とアン・ニューバーガーサイバー担当国家安全保障副顧問の声明 UCG
Statement by White House Press Secretary Jen Psaki: ホワイトハウスのジェン・プサキ報道官による声明。
Last week the National Security Council (NSC) established a Unified Coordination Group (UCG), a task force composed of representatives from the FBI, CISA, and ODNI, with support from the NSA, to drive a whole-of-government response to the Microsoft Exchange vulnerabilities. On Monday, the NSC convened a UCG leadership meeting, which included private sector members for the first time, coordinating our respective response efforts. We invited the private sector partners based on their specific insights to this incident, an approach the NSC will take going forward as appropriate. The UCG discussed the remaining number of unpatched systems, malicious exploitation, and ways to partner together on incident response, including the methodology partners could use for tracking the incident, going forward. 先週、国家安全保障会議(NSC)は、Microsoft Exchangeの脆弱性に対する政府全体の対応を推進するために、NSAの支援のもと、FBI、CISA、ODNIの代表者で構成されるタスクフォース、Unified Coordination Group(UCG)を設立しました。月曜日、NSCはUCGのリーダー会議を開催しました。この会議には初めて民間企業のメンバーも参加し、それぞれの対応策を調整しました。 この会議では、民間企業のメンバーを初めて招待し、それぞれの対応策を調整しました。民間企業のメンバーは、今回の事件に対する具体的な洞察力に基づいて招待しました。UCGでは、パッチが適用されていないシステムの残りの数、悪意のある搾取、インシデントの追跡にパートナーが使用できる方法など、インシデント対応で協力する方法について議論しました。 
The cost of cyber incident response weighs particularly heavily on small businesses. Hence, we requested that Microsoft help small businesses with a simple solution to this incident. In response, Microsoft has released a one-click mitigation tool. We encourage every business or organization that has not yet fully patched and scanned their Exchange Server to download and run this free tool.  サイバーインシデント対応のコストは、特に中小企業に重くのしかかります。そこで私たちは、マイクロソフトに、このインシデントに対する簡単な解決策で中小企業を支援するよう要請しました。これを受けて、マイクロソフトはワンクリックで操作できる緩和ツールをリリースしました。まだExchange Serverのパッチ適用とスキャンを完了していないすべての企業や組織に、この無料ツールをダウンロードして実行することをお勧めします。 
Statement by Deputy National Security Advisor for Cyber & Emerging Technology Anne Neuberger: アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)の声明。
This Administration is committed to working with the private sector to build back better – including to modernize our cyber defenses and enhance the nation’s ability to respond rapidly to significant cybersecurity incidents. 本政権は、民間企業と協力して、サイバー防御の近代化や重大なサイバーセキュリティ事件への迅速な対応能力の強化など、より良い環境を構築することに取り組んでいます。

 

1_20210319020401

 

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.04 米国国土安全保障省 緊急指令21-02 オンプレミス版Microsoft Exchangeの脆弱性の軽減

| | Comments (0)

NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

こんにちは、丸山満彦です。

NISTが、NISTIR 8355 NICE Framework Competencies: Assessing Learners for Cybersecurity Workについて草案を公開し、コメントを募集していますね。。。

● NIST - ITL

・2021.03.17 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

Announcement 発表内容
The National Initiative for Cybersecurity Education (NICE) has released draft supplemental content to the Workforce Framework for Cybersecurity (NICE Framework). Draft NISTIR 8355, NICE Framework Competencies: Assessing Learners for Cybersecurity Work, elaborates on Competencies, which were re-introduced to the NICE Framework in 2020. The NISTIR provides more detail on what NICE Framework Competencies are, including their evolution and development and example uses from various stakeholder perspectives.  サイバーセキュリティ教育のための国家イニシアティブ (NICE)は、サイバーセキュリティのための労働力フレームワーク (NICEフレームワーク)の補足コンテンツのドラフトを公開しました。NISTIR 8355「NICEフレームワークコンピテンシー:サイバーセキュリティ業務のための学習評価」ドラフトは、2020年にNICEフレームワークに再導入された「コンピテンシー」について詳しく説明しています。NISTIRでは、NICEフレームワークのコンピテンシーとは何かについて、その進化と発展、様々なステークホルダーの視点からの使用例などを詳しく説明しています。
Released in conjunction with NISTIR 8355 is a draft NICE Framework List of Competencies that provides a proposed list of 54 Competencies for the cybersecurity workforce.  また、NISTIR 8355と同時に発表されたNICEフレームワークコンピテンシーのドラフトでは、サイバーセキュリティ人材のための54のコンピテンシーのリスト案が示されています。
The public comment period for draft NISTIR 8355 and the draft Competencies list is open through May 3, 2021. Feedback will be used to inform the next stage of work on the NICE Competencies, including aligning Task, Knowledge, and Skill statements to associated Competencies. We value and welcome your input and look forward to your comments.  NISTIR 8355とコンピテンシーリストのドラフトに対するパブリックコメント期間は、2021年5月3日までとなっています。フィードバックは、タスク、知識、スキルの記述を関連するコンピテンシーに合わせるなど、NICEコンピテンシーの次の段階の作業に活用されます。皆様からのご意見をお待ちしています。
Abstract 概要
This publication from the National Initiative for Cybersecurity Education (NICE) describes Competencies as included in the Workforce Framework for Cybersecurity (NICE Framework), NIST Special Publication 800-181, Revision 1, a fundamental reference for describing and sharing information about cybersecurity work. The NICE Framework defines Task, Knowledge, and Skill (TKS) statement building blocks that provide a foundation for learners, including students, job seekers, and employees. Competencies are provided as a means to apply those core building blocks by grouping related TKS statements for form a higher-level statement of competency. This document shares more detail about what Competencies are, including their evolution and development. Additionally, the publication provides example uses from various stakeholder perspectives. Finally, the publication identifies where the NICE Framework Competencies list is published separate from this publication and provides the rationale for why they will be maintained as a more flexible and contemporary reference resource. サイバーセキュリティ教育のための国家イニシアティブ(NICE)が発行した本書は、サイバーセキュリティ業務に関する情報を記述・共有するための基本的な参考資料である「サイバーセキュリティのための労働力フレームワーク(NICEフレームワーク)」(NIST Special Publication 800-181, Revision 1)に含まれるコンピテンシーについて解説しています。NICEフレームワークでは、学生、求職者、従業員などの学習者に基礎を提供するTKS(Task, Knowledge, Skill)ステートメントのビルディングブロックを定義しています。コンピテンシーは、関連するTKSステートメントをグループ化し、より高いレベルのコンピテンシーのステートメントを形成することで、これらのコアビルディングブロックを適用するための手段として提供されています。本書では、コンピテンシーの進化と発展を含め、コンピテンシーとは何かについて詳しく説明しています。また、様々なステークホルダーの視点から、コンピテンシーの使用例を紹介しています。最後に、NICEフレームワークのコンピテンシーリストが本書とは別に発行されていることを示し、より柔軟で現代的な参照リソースとして維持される理由を説明しています。

 

・[PDF] Draft NISTIR 8355 NICE Framework Competencies: Assessing Learners for Cybersecurity Work

 

20210318-164354

 

・[xlsx] List of Competencies (draft)

[xlsx] List of Competencies (draft) コンピテンシー部分を仮訳したもの

 

54のコンピテンシーのリスト案

Competency Title Competency Type コンピテンシータイトル コンピテンシータイプ
Asset and Inventory Management Organizational 資産・在庫管理 組織的
Business Acumen Organizational ビジネスアキュメン 組織的
Business Continuity Organizational ビジネスコンティニュイティ 組織的
Collection Operations Technical コレクションオペレーション 技術的
Communication  Professional コミュニケーション  プロフェッショナル
Computer Languages Technical コンピュータ言語 技術的
Conflict Management Professional コンフリクトマネジメント プロフェッショナル
Contracting and Procurement   Organizational 契約と調達   組織的
Critical Thinking  Professional クリティカルシンキング  プロフェッショナル
Data Analysis  Technical データ分析  技術的
Data Management  Organizational データマネジメント  組織的
Data Privacy Organizational データ・プライバシー 組織的
Data Security Technical データ・セキュリティ 技術的
Database Administration  Technical データベース管理  技術的
Digital Forensics  Technical デジタル・フォレンジック  技術的
Education and Training Delivery Organizational 教育とトレーニングの提供 組織的
Education and Training Curriculum Development  Organizational 教育およびトレーニングカリキュラムの開発  組織的
Encryption  Technical 暗号化  技術的
Enterprise Architecture Technical エンタープライズ・アーキテクチャー 技術的
Identity Management  Technical アイデンティティ管理  技術的
Incident Management  Technical インシデント管理  技術的
Information Systems and Network Security   Technical 情報システム・ネットワークセキュリティ   技術的
Information Technology Assessment Technical 情報技術評価 技術的
Infrastructure Design Technical インフラ設計 技術的
Intelligence Analysis  Technical インテリジェンス分析  技術的
Interpersonal Skills  Professional 対人関係スキル  プロフェッショナル
Knowledge Management  Organizational ナレッジマネジメント  組織的
Law, Policy, and Ethics  Organizational 法律・政策・倫理  組織的
Mathematical Reasoning Technical 数学的推論 技術的
Modeling and Simulation Technical モデリングとシミュレーション 技術的
Network  Management Technical ネットワークマネジメント 技術的
Operating Systems Technical オペレーティングシステム 技術的
Operations Support Technical オペレーションサポート 技術的
Organizational Awareness Organizational 組織的認識 組織的
Physical Device Security Technical 物理的デバイスセキュリティ 技術的
Policy Development Leadership ポリシー策定 リーダーシップ
Problem Solving Professional 問題解決 プロフェッショナル
Process Control Organizational プロセスコントロール 組織的
Project Management Organizational プロジェクトマネジメント 組織的
Requirements Analysis Technical 要求分析 技術的
Risk Management  Organizational リスクマネジメント  組織的
Software Development  Technical ソフトウェア開発  技術的
Software Testing and Evaluation  Technical ソフトウェアのテストと評価  技術的
Strategic Relationship Management Organizational 戦略的リレーションシップマネジメント リーダーシップ
Strategic Planning  Leadership 戦略的プランニング  リーダーシップ
Supply Chain Management Organizational サプライチェーンマネジメント リーダーシップ
System Administration  Technical システム管理  技術的
Systems Integration Technical システムインテグレーション 技術的
Systems Testing and Evaluation  Technical システムのテストと評価  技術的
Target Development Technical ターゲット開発 技術的
Technology Fluency Technical 技術力 技術的
Telecommunications Technical テレコミュニケーション 技術的
Threat Analysis  Technical 脅威の分析  技術的
Vulnerabilities Assessment Technical 脆弱性評価 技術的
Workforce Management  Leadership ワークフォースマネジメント  リーダーシップ

 

SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

・[pdf] SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

20210319-02132


 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

 

| | Comments (0)

2021.03.17

U.K. The Integrated Review 2021 今後10年間の世界における英国の役割に関する政府のビジョンと2025年までに取るべき行動

こんにちは、丸山満彦です。

一つ前のブログの記事の元の報告書の紹介です。

7つの海を支配した国が相対的な地位を下げながらもなおも世界に大きな影響力を持つ国のポジションを維持している英国は、これからの日本が見習うことの多い国の一つだろうと思います。

そういう国の今後の方向性の一面を示す報告書が出ましたね。。。

● U.K. Goverment

・2021.03.16 (Collection) The Integrated Review 2021

Global Britain in a Competitive Age, the Integrated Review of Security, Defence, Development and Foreign Policy, describes the government’s vision for the UK’s role in the world over the next decade and the action we will take to 2025.


The Integrated Review 2021 統合レビュー2021
Global Britain in a Competitive Age, the Integrated Review of Security, Defence, Development and Foreign Policy, describes the government’s vision for the UK’s role in the world over the next decade and the action we will take to 2025. 安全保障・防衛・開発・外交政策の統合的見直しである「競争時代のグローバル・ブリテン」は、今後10年間の世界における英国の役割に関する政府のビジョンと、2025年までに取るべき行動を説明しています。
The Integrated Review is a comprehensive articulation of the UK’s national security and international policy. It outlines three fundamental national interests that bind together the citizens of the UK – sovereignty, security and prosperity – alongside our values of democracy and a commitment to universal human rights, the rule of law, freedom of speech and faith, and equality. 統合レビューは、英国の国家安全保障と国際政策を包括的に表現したものです。統合レビューは、主権、安全保障、繁栄という英国市民を結びつける3つの基本的な国益に加え、民主主義、普遍的人権へのコミットメント、法の支配、言論と信仰の自由、平等といった英国の価値観を概説しています。
The Integrated Review concludes at an important moment for the United Kingdom. The world has changed considerably since the 2015 Strategic Defence and Security Review, as has the UK’s place within it. 統合レビューは、英国にとって重要な時期に終了します。2015年の戦略的防衛・安全保障レビュー以降、世界は大きく変化し、その中での英国の位置づけも大きく変わりました。
The document, which is the product of over a year of work across government and of consultation with a wide range of external organisations and thinkers, sets out a vision for Global Britain. This includes: この文書は、政府全体での1年以上の作業と、外部の幅広い組織や思想家との協議の成果であり、グローバルブリテンのビジョンを示しています。その内容は以下の通りです。
・an emphasis on openness as a source of prosperity ・繁栄の源である開放性を重視すること
・a more robust position on security and resilience ・セキュリティとレジリエンスに対するより強固な姿勢
・a renewed commitment to the UK as a force for good in the world ・世界のために力を発揮する英国への新たなコミットメント
・an increased determination to seek multilateral solutions to challenges like climate change ・気候変動などの課題に対する多国間での解決策を模索する決意を強めること
It also stresses the importance of deepening our relationships with allies and partners around the world, as well as moving more swiftly and with greater agility. また、世界中の同盟国やパートナーとの関係を深め、より迅速かつ俊敏に行動することの重要性も強調しています。
In this context, the Integrated Review sets out four overarching objectives: このような背景から、統合レビューでは4つの包括的な目標を掲げています。
Sustaining strategic advantage through science and technology, incorporating it as an integral element of national security and international policy to firmly establish the UK as a global S&T and responsible cyber power. This will be essential in gaining economic, political and security advantages. 科学技術による戦略的優位性を維持し、国家安全保障および国際政策の不可欠な要素として科学技術を取り入れ、世界的な科学技術および責任あるサイバーパワーとしての英国の地位を確固たるものにする。これは、経済的、政治的、安全保障的な優位性を獲得するために不可欠です。
Shaping the open international order of the future, working with partners to reinvigorate the international institutions, laws and norms that enable open societies and economies such as the UK to flourish. This will help our citizens and others around the world realise the full benefits of democracy, free trade and international cooperation – not least in the future frontiers of cyberspace and space. 未来の開かれた国際秩序を形成し、パートナーと協力して、英国のような開かれた社会と経済を繁栄させるための国際機関、法律、規範を再活性化する。これにより、英国の市民や世界中の人々が、民主主義、自由貿易、国際協力の恩恵を最大限に享受できるようになります。特に、サイバー空間や宇宙といった未来のフロンティアにおいても同様です。
Strengthening security and defence at home and overseas, working with allies and partners to help us to maximise the benefits of openness and protect our people, in the physical world and online, against a range of growing threats. These include state threats, radicalisation and terrorism, serious and organised crime, and weapons proliferation. 国内外の安全保障と防衛を強化し、同盟国やパートナーと協力して、開放性の恩恵を最大限に享受し、拡大する様々な脅威から国民を物理的な世界でもオンラインでも保護する。これらの脅威には、国家の脅威、過激化とテロリズム、重犯罪と組織犯罪、武器の拡散などがあります。
Building resilience at home and overseas, improving our ability to anticipate, prevent, prepare for and respond to risks ranging from extreme weather to cyber-attacks. This will also involve tackling risks at source – in particular climate change and biodiversity loss. 異常気象からサイバー攻撃まで、様々なリスクを予測し、予防し、準備し、対応する能力を向上させ、国内外でレジリエンスを高める。これには、特に気候変動や生物多様性の損失など、原因となるリスクへの対処も含まれます。
The Integrated Review sets out the government’s overarching national security and international policy objectives to 2025. These will inform future policy-making for all government departments. They will also inform future Spending Reviews, offering further opportunities to align resources with ambition over the long term. We will ensure all government’s instruments work together, coordinated by enhanced strategic capabilities at the centre, to achieve our objectives. 統合レビューは、2025年までの政府の包括的な国家安全保障および国際政策の目標を示しています。これらは、すべての政府省庁の今後の政策立案に反映されます。また、今後の支出レビューにも反映され、長期的な野心に資源を合わせるためのさらなる機会を提供します。私たちは、政府のすべての手段が連携し、中央で強化された戦略的能力によって調整されて、目標を達成できるようにします。

 

・2021.03.16 (Policy paper) Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy

・[PDF] Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy

20210316-234455

 

Continue reading "U.K. The Integrated Review 2021 今後10年間の世界における英国の役割に関する政府のビジョンと2025年までに取るべき行動"

| | Comments (0)

2021.03.12

ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

こんにちは、丸山満彦です。

ENISAがeIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表していますね。。。

● ENISA

・2021.03.11 (press) Building Trust in the Digital Era: ENISA boosts the uptake of the eIDAS regulation

The European Union Agency for Cybersecurity issues technical guidance and recommendations on Electronic Identification and Trust Services helping Member States to implement the eIDAS regulation.

 

2021.03.11 Remote ID Proofing リモートIDプルーフィング
20210312-173350 This report provides an overview of the most common methods for identity proofing with some examples received by stakeholders, presents the current legal / regulatory landscape and supporting standards at the international and EU level and provides the status quo in the European Countries of their remote identity proofing laws, regulations and practices. It provides a practical approach to risk management on the basis of examples. The report also discusses the input received though questionnaires from different stakeholders which use, offer or evaluate identity proofing solutions. Finally, it presents a preliminary gap analysis on existing standards and regulations, stresses the need for a harmonised adoption and cross-recognition of remote identity proofing and provides a number of legal and technical recommendations. 本レポートでは、IDプルーフィングの最も一般的な方法の概要を、関係者から寄せられたいくつかの例とともに紹介し、国際およびEUレベルでの現在の法的/規制の状況およびサポートする基準を示し、欧州諸国におけるリモートIDプルーフィングの法律、規制、および慣行の現状を提供している。また、事例に基づいてリスク管理のための実践的なアプローチを提供している。また、IDプルーフソリューションを使用、提供、評価するさまざまな関係者からのアンケートで得られた意見についても考察している。最後に、既存の標準および規制に関する予備的なギャップ分析を行い、リモート ID プルーフィングの調和的な採用および相互承認の必要性を強調し、多くの法的および技術的な提言を行っている。
2021.03.11 Security Framework for Trust Service Providers トラストサービス事業者のためのセキュリティフレームワーク
20210312-173405 This document proposes a security framework to achieve compliance with Article 19 of the eIDAS Regulation. As illustrated below, this security framework includes specific guidelines for TSP on:
1) Risk management related to the security of the eIDAS trust services and based on ISO/IEC 27005 general approach;
2) Security incident management by using the appropriate measures to efficiently detect, measure the impact, respond, report, and recover from security incidents as part of the eIDAS Regulation;
3) Security measures recommended to TSPs from “technical” standards and best practices to treat the risks and contribute to the security incident management.
The level of security of these measures is to be selected by the TSP to be commensurate to the degree of risk bound to the context of the TSP (determined during the “context establishment”).
本文書は、eIDAS 規則の第 19 条への準拠を達成するためのセキュリティ・フレームワークを 提案する。以下に示すように、このセキュリティ・フレームワークには、TSP 向けに以下の具体的なガイドラインが含まれている。
1) ISO/IEC 27005の一般的なアプローチに基づく、eIDASトラストサービスのセキュリティに関するリスク管理
2) eIDAS規則の一環として、セキュリティ・インシデントを効率的に検出し、影響を測定し、対応し、報告し、回復するための適切な手段を用いたセキュリティ・インシデント管理
3) リスクを処理し、セキュリティ・インシデント管理に貢献するために、「技術的」標準およびベストプラクティスからTSPに推奨されるセキュリティ対策。
これらの対策のセキュリティ・レベルは、TSPのコンテキストに結びついたリスクの度合い(「コンテキストの確立」の際に決定される)に見合ったものをTSPが選択することになっている。
2021.03.11 Recommendations for Qualified Trust Service Providers based on Standards 標準に基づく適格トラストサービス事業者のための推奨事項
20210312-173418 This document provides recommendations to help qualified trust service providers and auditors understand the expected mapping between these requirements/obligations and reference numbers of standards, as well as practical recommendations for their usage. The document is structured in two main sections:
1) A section on “Requirements common to all QTSPs” that includes recommendations on the requirements common to all TSPs and on the additional requirements common to all QTSPs;
2) A section on “Requirements for provision of specific QTS”, to be used in addition to the above, that includes specific recommendations for the provision of the qualified trust services defined in eIDAS.
本文書は、適格トラストサービス事業者及び監査人が、これらの要件/義務と規格の参照番号との間で予想される対応関係を理解するための推奨事項、及びその使用に関する実際的な推奨事項を提供する。本文書は2つの主要セクションで構成されている。
1) すべてのTSPに共通する要件およびすべてのQTSPに共通する追加要件に関する推奨事項を含む「すべてのQTSPに共通する要件」のセクション。
2) 上記に加えて使用される「特定のQTSの提供に関する要件」のセクションでは、eIDASで定義された適格トラストサービスの提供に関する具体的な推奨事項が含まれている。
2021.03.11 Security Framework for Qualified Trust Service Providers 適格トラストサービス事業者のためのセキュリティフレームワーク
20210312-173440 This document proposes a security framework to achieve compliance with Article 19 of the eIDAS Regulation, to which both non-QTSP and QTSP are subject. Nevertheless, Article 19.1 states that the security measures “shall ensure that the level of security is commensurate to the degree of risk”. to achieve compliance with Article 19 (valid for both, QTSPs and non-QTSPs), this series of documents recommend that the level of security implemented by non-QTSP, expected to follow ‘best practices’ when operating with due diligence, is equivalent to the one of QTSP. For this reason, the security practices applied by QTSPs are also relevant to – and can also be followed by – non-QTSPs. 本文書は、非QTSPとQTSPの両方が対象となるeIDAS規則の第19条への準拠を達成するためのセキュリティフレームワークを提案している。第19条第1項は、セキュリティ対策が「リスクの程度に見合ったセキュリティレベルを確保しなければならない」としている。第19条(QTSP と QTSP 以外の両方に有効)の遵守を達成するために、本シリーズの文書では、デューデリジェンスを実施する際に「ベストプラクティス」に従うことが期待される QTSP以外の QTSP が実施するセキュリティレベルがQTSPと同等であることを推奨している。このため、QTSP が適用したセキュリティ慣行は、非QTSPにも関連しており、また、非QTSP が従うことも可能である。
2021.03.11 Conformity Assessment of Qualified Trust Service Providers 適格トラストサービス事業者の適合性評価
20210312-173453 This document provides an overview of the conformity assessment framework for QTSPs as set out in the eIDAS Regulation, i.e. aiming to confirm that the assessed QTSP/QTS fulfils its requirements. This report discusses the typical process flow and the methodology used to perform conformity assessments. For each phase of the assessment, guidance is provided to QTSPs for the purpose of preparing and undertaking the conformity assessment, as required by the eIDAS Regulation, in the best possible conditions. 本文書は、eIDAS規則で定められたQTSPのための適合性評価フレームワークの概要を提供する。本報告書は、適合性評価を実施するために使用される典型的なプロセスフロー及び方法論を論じている。評価の各段階では、eIDAS 規則で要求されているように、可能な限り最良の条件で適合性評価を準備し、実施することを目的として、QTSP にガイダンスが提供されている。

 

 

Continue reading "ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表"

| | Comments (0)

より以前の記事一覧