米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)


米国の司法省が、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサー (ChipMixer) のテイクダウンに成功と公表していました。



⚫︎ Department of Justice: DOJ

・2023.03.15 Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions

Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions 司法省の調査により、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功
Vietnamese Operator of ChipMixer Charged with Laundering Money for Ransomware Perpetrators, Darknet Markets, Fraudsters, and State-Sponsored ChipMixerのベトナム人オペレーター、ランサムウェア加害者、ダークネット市場、詐欺師、国家支援のための資金洗浄で起訴される
The Justice Department announced today a coordinated international takedown of ChipMixer, a darknet cryptocurrency “mixing” service responsible for laundering more than $3 billion worth of cryptocurrency, between 2017 and the present, in furtherance of, among other activities, ransomware, darknet market, fraud, cryptocurrency heists and other hacking schemes. The operation involved U.S. federal law enforcement’s court-authorized seizure of two domains that directed users to the ChipMixer service and one Github account, as well as the German Federal Criminal Police’s (the Bundeskriminalamt) seizure of the ChipMixer back-end servers and more than $46 million in cryptocurrency. 司法省は本日、ランサムウェア、ダークネット市場、詐欺、暗号通貨強盗、その他のハッキングスキームなどの活動を推進するため、2017年から現在までの間に、30億ドル相当以上の暗号通貨を洗浄した責任を負うダークネット暗号通貨「混合」サービス、ChipMixerの国際協調摘発を発表した。この作戦には、米国連邦法執行機関がChipMixerサービスにユーザーを誘導する2つのドメインと1つのGithubアカウントを裁判所から認可を受けて押収し、さらにドイツ連邦刑事警察(Bundeskriminalamt)がChipMixerバックエンドサーバーと4600万ドル以上の暗号通貨を押収した。
Coinciding with the ChipMixer takedown efforts, Minh Quốc Nguyễn, 49, of Hanoi, Vietnam, was charged today in Philadelphia with money laundering, operating an unlicensed money transmitting business and identity theft, connected to the operation of ChipMixer. ChipMixerの摘発と同時に、ベトナム・ハノイのMinh Quốc Nguyễn(49歳)は、ChipMixerの運営に関連したマネーロンダリング、無許可送金業の運営、個人情報窃盗の容疑で、本日フィラデルフィアで起訴された。
“This morning, working with partners at home and abroad, the Department of Justice disabled a prolific cryptocurrency mixer, which has fueled ransomware attacks, state-sponsored crypto-heists and darknet purchases across the globe,” said Deputy Attorney General Lisa Monaco. “Today’s coordinated operation reinforces our consistent message: we will use all of our authorities to protect victims and take the fight to our adversaries. Cybercrime seeks to exploit boundaries, but the Department of Justice’s network of alliances transcends borders and enables disruption of the criminal activity that jeopardizes our global cybersecurity.” 今朝、国内外のパートナーと協力して、司法省は、世界中でランサムウェア攻撃、国家主催のクリプトヘイスト、ダークネット購入の燃料となった、多量の暗号通貨ミキサーを無効にした。 副司法長官のリサ・モナコは言いました。 「今日の協調作戦は、私たちの一貫したメッセージである、被害者を保護し、敵対者に戦いを挑むために、あらゆる権限を行使することを強化するものである。サイバー犯罪は境界を利用しようとするが、司法省の同盟ネットワークは国境を越え、世界のサイバーセキュリティを危険にさらす犯罪行為を阻止することができる。
“Today's announcement demonstrates the FBI's commitment to dismantling technical infrastructure that enables cyber criminals and nation-state actors to illegally launder cryptocurrency funds,” said FBI Deputy Director Paul Abbate. “We will not allow cyber criminals to hide behind keyboards nor evade the consequences of their illegal actions. Countering cybercrime requires the ultimate level of collaboration between and among all law enforcement partners. The FBI will continue to elevate those partnerships and leverage all available tools to identify, apprehend and hold accountable these bad actors and put an end to their illicit activity.” 本日の発表は、サイバー犯罪者や国家主体が暗号通貨の資金を違法に洗浄することを可能にする技術インフラを解体するというFBIのコミットメントを示すものである。とFBI副長官ポール・アベイトは述べている。「我々は、サイバー犯罪者がキーボードの後ろに隠れることも、違法行為の結果を回避することも許さない。サイバー犯罪に対抗するには、すべての法執行機関のパートナーとの間で、究極のレベルの協力が必要である。FBIは、このようなパートナーシップをさらに強化し、利用可能なあらゆるツールを活用して、悪質な行為者を特定、逮捕、責任追及し、その違法行為に終止符を打つ。"
According to court documents, ChipMixer – one of the most widely used mixers to launder criminally-derived funds – allowed customers to deposit bitcoin, which ChipMixer then mixed with other ChipMixer users’ bitcoin, commingling the funds in a way that made it difficult for law enforcement or regulators to trace the transactions. As detailed in the complaint, ChipMixer offered numerous features to enhance its criminal customers’ anonymity. ChipMixer had a clearnet web domain but operated primarily as a Tor hidden service, concealing the operating location of its servers to prevent seizure by law enforcement. ChipMixer serviced many customers in the United States, but did not register with the U.S. Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) and did not collect identifying information about its customers.  法廷文書によると、ChipMixerは、犯罪に由来する資金を洗浄するために最も広く使われているミキサーの1つで、顧客がビットコインを入金し、ChipMixerが他のChipMixerユーザーのビットコインと混合し、警察や規制当局が取引を追跡することが困難な方法で資金を混同させることができる。訴状に詳述されているように、ChipMixerは、犯罪者の顧客の匿名性を高めるために、数多くの機能を提供していた。ChipMixerは、クリアネットのウェブドメインを持っていましたが、主にTorの隠しサービスとして運営され、法執行機関による押収を防ぐためにサーバーの運営場所を隠していた。ChipMixerは、米国内で多くの顧客にサービスを提供していたが、米国財務省の金融犯罪取締ネットワーク(FinCEN)に登録せず、顧客に関する識別情報を収集していなかった。 
As alleged in the complaint, ChipMixer attracted a significant criminal clientele and became indispensable in obfuscating and laundering funds from multiple criminal schemes. Between August 2017 and March 2023, ChipMixer processed: 訴状で主張されているように、ChipMixerは重要な犯罪者の顧客を集め、複数の犯罪スキームからの資金を難読化しロンダリングする上で不可欠な存在となった。2017年8月から2023年3月にかけて、ChipMixerは処理を行った:
・$17 million in bitcoin for criminals connected to approximately 37 ransomware strains, including Sodinokibi, Mamba and Suncrypt; ・Sodinokibi、Mamba、Suncryptを含む約37種類のランサムウェア系統に関連する犯罪者のために、1700万ドルのビットコインを処理した;
・Over $700 million in bitcoin associated with wallets designated as stolen funds, including those related to heists by North Korean cyber actors from Axie Infinity’s Ronin Bridge and Harmony’s Horizon Bridge in 2022 and 2020, respectively; ・2022年にAxie InfinityのRonin Bridgeから、2020年にHarmonyのHorizon Bridgeから、それぞれ北朝鮮のサイバーアクターによる強盗に関連するものなど、盗難資金として指定されたウォレットに関連する7億ドルを超えるビットコイン;
・More than $200 million in bitcoin associated either directly or through intermediaries with darknet markets, including more than $60 million in bitcoin processed on behalf of customers of Hydra Market, the largest and longest running darknet market in the world until its April 2022 shutdown by U.S. and German law enforcement; ・2022年4月に米国とドイツの法執行機関により閉鎖されるまで、世界最大かつ最も長く運営されていたダークネット市場であるHydra Marketの顧客のために処理された6000万ドル以上のビットコインを含む、ダークネット市場と直接または仲介業者を通じて関連付けられた2億ドル以上のビットコインが含まれる;
・More than $35 million in bitcoin associated either directly or through intermediaries with “fraud shops,” which are used by criminals to buy and sell stolen credit cards, hacked account credentials and data stolen through network intrusions; and ・犯罪者が盗んだクレジットカード、ハッキングされた口座情報、ネットワーク侵入によって盗まれたデータを売買するために使用される「詐欺ショップ」に直接または仲介者を通じて関連付けられた3500万ドル以上のビットコイン、および
・Bitcoin used by the Russian General Staff Main Intelligence Directorate (GRU), 85th Main Special Service Center, military unit 26165 (aka APT 28) to purchase infrastructure for the Drovorub malware, which was first disclosed in a joint cybersecurity advisory released by the FBI and National Security Agency in August 2020. ・2020年8月にFBIと国家安全保障局が発表した合同サイバーセキュリティ勧告で初めて公開されたDrovorubマルウェアのインフラを購入するために、ロシア参謀本部主要情報局(GRU)、第85主要特殊サービスセンター、軍事ユニット26165(別名APT 28)が使用したビットコイン。
Beginning in and around August 2017, as alleged in the complaint, Nguyễn created and operated the online infrastructure used by ChipMixer and promoted ChipMixer’s services online. Nguyễn registered domain names, procured hosting services and paid for the services used to run ChipMixer through the use of identity theft, pseudonyms, and anonymous email providers. In online posts, Nguyễn publicly derided efforts to curtail money laundering, posting in reference to anti-money laundering (AML) and know-your-customer (KYC) legal requirements that “AML/KYC is a sellout to the banks and governments,” advising customers “please do not use AML/KYC exchanges” and instructing them how to use ChipMixer to evade reporting requirements.  訴状で主張されているように、2017年8月頃から、NguyễnはChipMixerが使用するオンラインインフラを作成・運営し、ChipMixerのサービスをオンラインで宣伝した。Nguyễnは、ドメイン名を登録し、ホスティングサービスを調達し、なりすまし、偽名、匿名の電子メールプロバイダを使用してChipMixerを運営するために使用するサービスの支払いを行った。Nguyễnは、オンライン上の投稿で、マネーロンダリングを抑制する取り組みを公に嘲笑し、マネーロンダリング防止(AML)および顧客情報(KYC)の法的要件について、「AML/KYCは銀行や政府に売り渡すものだ」と投稿、顧客に「AML/KYC取引所を使用しないでください」と助言し、報告要件を回避するChipMixerを使う方法を指示している。 
“ChipMixer facilitated the laundering of cryptocurrency, specifically Bitcoin, on a vast international scale, abetting nefarious actors and criminals of all kinds in evading detection,” said U.S. Attorney Jacqueline C. Romero for the Eastern District of Pennsylvania. “Platforms like ChipMixer, which are designed to conceal the sources and destinations of staggering amounts of criminal proceeds, undermine the public’s confidence in cryptocurrencies and blockchain technology. We thank all our partners at home and abroad for their hard work in this case. Together, we cannot and will not allow criminals’ exploitation of technology to threaten our national and economic security.” ペンシルベニア州東部地区連邦検事ジャクリーン・C・ロメロは、「ChipMixerは、膨大な国際規模で暗号通貨、特にビットコインの資金洗浄を促進し、あらゆる種類の悪意ある行為者や犯罪者が検出を回避するのを教唆した」と語った。"ChipMixerのようなプラットフォームは、途方もない額の犯罪収益の出所と行き先を隠すように設計されており、暗号通貨とブロックチェーン技術に対する国民の信頼を損なっている。今回の事件で尽力してくれた国内外のすべてのパートナーに感謝する。共に、犯罪者による技術の悪用が私たちの国家と経済の安全を脅かすことを許すことはできませんし、許しません。"
“Criminals have long sought to launder the proceeds of their illegal activity through various means,” said Special Agent in Charge Jacqueline Maguire of the FBI Philadelphia Field Office. “Technology has changed the game, though, with a site like ChipMixer and facilitator like Nguyen enabling bad actors to do so on a grand scale with ease. In response, the FBI continues to evolve in the ways we ‘follow the money’ of illegal enterprise, employing all the tools and techniques at our disposal and drawing on our strong partnerships at home and around the globe. As a result, there’s now one less option for criminals worldwide to launder their dirty money.” 犯罪者は長い間、様々な手段で違法行為の収益を洗浄しようとしてきました。とFBIフィラデルフィア支局の特別捜査官Jacqueline Maguireは述べている。「しかし、ChipMixerのようなサイトやNguyenのような進行役がいれば、悪質業者は簡単に大規模な資金洗浄を行うことができるようになり、テクノロジーはゲームを変えた。これに対し、FBIは、あらゆるツールやテクニックを駆使し、国内外での強力なパートナーシップを活用しながら、違法エンタープライズの「資金を追う」方法を進化させ続けている。その結果、世界中の犯罪者が汚れた資金を洗浄するための選択肢が1つ減った」。
“Together, with our international partners at HSI The Hague, we are firmly committed to identifying and investigating cyber criminals who pose a serious threat to our economic security by laundering billions of dollars’ worth of cryptocurrency under the misguided anonymity of the darknet,” said Special Agent in Charge Scott Brown of Homeland Securities Investigations (HSI) Arizona. “HSI Arizona could not be more proud to work alongside every agent involved in this complex international case. We thank all our domestic and international partners for their support.” HSIハーグの国際的なパートナーとともに、ダークネットの見当違いの匿名性の下で数十億ドル相当の暗号通貨を洗浄することによって、我々の経済安全保障に深刻な脅威をもたらすサイバー犯罪者の特定と捜査にしっかりと取り組んでいる と、国土安全保障省捜査部(HSI)アリゾナ担当特別捜査官のスコットブラウンは言いました。「HSIアリゾナは、この複雑な国際的事件に関与したすべての捜査官とともに働けることを、これ以上ないほど誇りに思いる。国内外のすべてのパートナーの支援に感謝する。"
Nguyễn is charged with operating an unlicensed money transmitting business, money laundering and identity theft. If convicted, he faces a maximum penalty of 40 years in prison. Nguyễnは、無許可の送金ビジネスの運営、マネーロンダリング、ID窃盗の罪で起訴されている。有罪判決を受けた場合、最高刑は懲役40年となる。
The FBI, HSI Phoenix and HSI The Hague investigated the case. FBI、HSIフェニックス、HSIハーグがこの事件を調査した。
The U.S. Attorney’s Office for the Eastern District of Pennsylvania is prosecuting the case.  ペンシルベニア州東部地区連邦検事事務所が本件を起訴している。 
German law enforcement authorities took separate actions today under its authorities. The FBI’s Legal Attaché in Germany, the HSI office in The Hague, the HSI Cyber Crimes Center, the Justice Department’s Office of International Affairs and National Cryptocurrency Enforcement Team, EUROPOL, the Polish Cyber Police (Centralnego Biura Zwalczania Cyberprzestępczości) and Zurich State Police (Kantonspolizei Zürich) provided assistance in this case. ドイツの法執行機関は本日、その当局のもとで別々の行動をとった。本事件では、FBIの在独リーガルアタッシェ、ハーグのHSIオフィス、HSI Cyber Crimes Center、司法省国際局・国家暗号通貨執行チーム、EUROPOL、ポーランドサイバー警察(Centralnego Biura Zwalczania Cyberprzestępczości)、チューリヒ州警察(Kantonspolizei Zürich)より支援を受けた。
To report information about ChipMixer and its operators visit rfj.tips/Duhsup. ChipMixerとそのオペレータに関する情報を報告するには、rfj.tips/Duhsupを参照のこと。






⚫︎ Europol

・2023.03.15 One of the darkweb’s largest cryptocurrency laundromats washed out

One of the darkweb’s largest cryptocurrency laundromats washed out ダークウェブ最大の暗号通貨コインランドリーの1つが洗い流された
Europol supports Germany and the US in taking down the infrastructure of ChipMixer: as much as EUR 40 million seized 欧州刑事警察機構(Europol)、独米のChipMixerのインフラ破壊を支援:4千万ユーロの押収も
German and US authorities, supported by Europol, have targeted ChipMixer, a cryptocurrency mixer well-known in the cybercriminal underworld. The investigation was also supported by Belgium, Poland and Switzerland. On 15 March, national authorities took down the infrastructure of the platform for its alleged involvement in money laundering activities and seized four servers, about 1909.4 Bitcoins in 55 transactions (approx. EUR 44.2 million) and 7 TB of data.  ドイツと米国の当局は、ユーロポールの支援を受けて、サイバー犯罪の裏社会でよく知られている暗号通貨ミキサーであるChipMixerを標的とした。この捜査は、ベルギー、ポーランド、スイスからも支援を受けている。3月15日、各国当局はマネーロンダリング活動への関与が疑われる同プラットフォームのインフラをダウンさせ、4台のサーバー、55件の取引で約1909.4ビットコイン(約4420万ユーロ)、7TBのデータを押収した。 

ChipMixer, an unlicensed cryptocurrency mixer set up in mid-2017, was specialised in mixing or cutting trails related to virtual currency assets. The ChipMixer software blocked the blockchain trail of the funds, making it attractive for cybercriminals looking to launder illegal proceeds from criminal activities such as drug trafficking, weapons trafficking, ransomware attacks, and payment card fraud. Deposited funds would be turned into “chips” (small tokens with equivalent value), which were then mixed together - thereby anonymising all trails to where the initial funds originated. 

A service available both on the clear and on the darkweb, ChipMixer offered full anonymity to their clients. This type of service is often used before criminals’ laundered crypto assets are redirected to cryptocurrency exchanges, some of which are also in the service of organised crime. At the end of the process, the ‘cleaned’ crypto can easily be exchanged into other cryptocurrencies or directly into FIAT currency though ATM or bank accounts. ChipMixerはクリアウェブでもダークウェブでも利用可能なサービスで、顧客に完全な匿名性を提供した。この種のサービスは、犯罪者が洗浄した暗号資産を暗号通貨取引所に移す前に利用されることが多く、中には組織犯罪に加担している取引所もある。プロセスの最後に、「洗浄」された暗号は、他の暗号通貨に簡単に交換したり、ATMや銀行口座から直接FIAT通貨に交換することができる。 
EUR 2.73 billion in crypto assets laundered with “chips” チップ」を使って洗浄された27億3,000万ユーロの暗号資産
The investigation into the criminal service suggests that the platform may have facilitated the laundering of 152 000 Bitcoins (worth roughly EUR 2.73 billion in current estimations) in crypto assets. A large share of this is connected to darkweb markets, ransomware groups, illicit goods trafficking, procurement of child sexual exploitation material, and stolen crypto assets. Information obtained after the takedown of the Hydra Market darkweb platform uncovered transactions in the equivalent of millions of euros.  刑事サービスの調査によると、このプラットフォームが152 000ビットコイン(現在の推定でおよそ27億3000万ユーロ相当)の暗号資産の資金洗浄を促進した可能性がある。その大部分は、ダークウェブ市場、ランサムウェアグループ、不正商品売買、児童性的搾取材料の調達、盗難暗号資産に関連している。ダークウェブプラットフォーム「Hydra Market」の撤去後に得られた情報では、数百万ユーロに相当する取引が発覚している。 
Ransomware actors such as Zeppelin, SunCrypt, Mamba, Dharma or Lockbit have also used this service to launder ransom payments they have received. Authorities are also investigating the possibility that some of the crypto assets stolen after the bankruptcy of a large crypto exchange in 2022 were laundered via ChipMixer.  Zeppelin、SunCrypt、Mamba、DharmaまたはLockbitなどのランサムウェアのアクターも、受け取った身代金の支払いを洗浄するためにこのサービスを利用した。また当局は、2022年の大規模暗号取引所の倒産後に盗まれた暗号資産の一部が、ChipMixerを介して洗浄された可能性を調査している。 
Europol facilitated the information exchange between national authorities and supported the coordination of the operation. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through operational analysis, crypto tracing, and forensic analysis. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. ユーロポールは、各国当局間の情報交換を促進し、この作戦の調整をサポートした。また、ユーロポールは、利用可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、作戦分析、暗号追跡、フォレンジック分析を通じて捜査をサポートした。ユーロポールのJoint Cybercrime Action Taskforce (J-CAT)もこの作戦をサポートした。この常設作戦チームは、注目を集めるサイバー犯罪の捜査に携わる各国のサイバー犯罪連絡官で構成されている。
National authorities involved: 関係する各国当局
Belgium: Federal police (Police Fédérale/Federale Politie) ベルギー 連邦警察
Germany: Federal Criminal Police Office (Bundeskriminalamt) and General Prosecutors Office Frankfurt-Main (Generalstaatsanwaltschaft Frankfurt/Main, Zentralstelle zur Bekämpfung der Internetkriminalität) ドイツ 連邦刑事警察庁およびフランクフルト・マイン検察庁
Poland: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości) ポーランド 中央サイバー犯罪局
Switzerland: Cantonal Police of Zurich (Kantonspolizei Zürich) スイス チューリッヒ州警察
USA – Federal Bureau of Investigation, Homeland Security Investigation, Department of Justice 米国 - 連邦捜査局、国土安全保障省捜査局、司法省




⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

| | Comments (0)


NIST NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書 (2021.03.21)


NISTが、NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書を公表していましたね。。。


・2023.03.21 NISTIR 8459 (Draft) Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series

NISTIR 8459 (Draft) Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書
Announcement 通知
NIST IR 8459 is currently being prepared for final publication.  The report reviews the NIST Special Publication 800-38 series, including the limitations of the block cipher modes specified in those recommendations. NIST IR 8459は、現在最終出版に向けて準備中である。 この報告書は、NIST Special Publication 800-38シリーズについて、その勧告で規定されているブロック暗号モードの制限を含めてレビューしている。
Although NIST is not requesting formal public comments, NIST IR 8459 is intended to be a reference for discussion during the upcoming Third Workshop on Block Cipher Modes of Operation, October 3-4, 2023. NISTは正式なパブリックコメントを求めていませんが、NIST IR 8459は、2023年10月3日から4日にかけて開催されるブロック暗号モードに関する第3回ワークショップでの議論の参考とすることを目的としている。
Questions and comments about the report may be sent to [mail]. 本報告書に関するご質問やご意見は、[mail]までお寄せください。
Abstract 要旨
This report focuses on the NIST-recommended block cipher modes of operation specified in NIST Special Publications (SP) 800-38A through 800-38F. The goal is to provide a concise survey of relevant research results about the algorithms and their implementations. Based on these findings, the report concludes with a set of recommendations to improve the corresponding standards. 本レポートは、NIST Special Publications (SP) 800-38A から 800-38F に規定されている NIST 推奨のブロック暗号の動作モードに焦点をあてている。その目的は、アルゴリズムとその実装に関する関連する研究結果の簡潔な調査を提供することである。これらの調査結果に基づき、本報告書は、対応する規格を改善するための一連の勧告で締めくくられている。




・[PDF] NISTIR 8459 (Draft)






Table of Contents 目次
1. Introduction 1. 序文
2. Scope 2. 対象範囲
3. Modes of Operation 3. 動作モード
4. NIST SP 800-38A: Five Confidentiality Modes 4. NIST SP 800-38A: 5つの機密保持モード
4.1. Initialization Vector (IV) 4.1. 初期化ベクトル(IV)
4.2. Plaintext Length 4.2. 平文の長さ
4.3. Block Size 4.3. ブロックサイズ
5. NIST SP 800-38B: The CMAC Mode for Authentication 5. NIST SP 800-38B:本人認証のためのCMACモード。
6. NIST SP 800-38C: The CCM Mode for Authentication and Confidentiality 6. NIST SP 800-38C: 認証と機密保持のためのCCMモード
7. NIST SP 800-38D: Galois/Counter Mode (GCM) and GMAC 7. NIST SP 800-38D: ガロワ/カウンタモード(GCM)とGMAC
8. NIST SP 800-38E: The XTS-AES Mode for Confidentiality on Storage Devices 8. NIST SP 800-38E: ストレージデバイスの機密保持のためのXTS-AESモード
9. NIST SP 800-38F: Methods for Key Wrapping 9. NIST SP 800-38F: キーラッピングのためのメソッド
10. Implementation Considerations 10. 実装上の注意点
11. Editorial Comments 11. 編集部コメント
12. Recommendations 12. 推薦の言葉
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A.記号・略語・頭字語リスト
Appendix B. Glossary 附属書 B.用語集




1. Introduction  1. 序文 
NIST Interagency or Internal Report (NIST IR) 8319 [55] focuses on the Advanced Encryption Standard (AES) that was standardized in FIPS 197 [58]. AES is one of only two block ciphers that are currently standardized by NIST. The other is the Triple Data Encryption Algorithm (TDEA) [9], also known as Triple-DES (Data Encryption Standard). Triple DES is deprecated and will be disallowed after 2023 [10].  NIST Interagency or Internal Report (NIST IR) 8319 [55] は、FIPS 197 [58] で標準化された Advanced Encryption Standard (AES) に焦点を当てている。AES は、現在 NIST で標準化されている 2 つだけのブロック暗号のうちの 1 つである。もう一つは、Triple-DES(Data Encryption Standard)としても知られるTDEA(Triple Data Encryption Algorithm)[9]である。Triple DESは非推奨であり、2023年以降は使用不可となる予定である[10]。
A block cipher can only process inputs of a specific length, known as the block size. AES has a block size of 128 bits, and Triple-DES has a block size of 64 bits. To process inputs of other lengths, it is necessary to use a mode of operation. A mode of operation can process larger inputs by performing multiple calls to an underlying block cipher.  ブロック暗号は、ブロックサイズと呼ばれる特定の長さの入力のみを処理することができます。AESのブロックサイズは128ビット、Triple-DESのブロックサイズは64ビットである。それ以外の長さの入力を処理するためには、動作モードを使用する必要がある。動作モードは、基礎となるブロック暗号を複数回呼び出すことで、より大きな入力を処理できる。
In fact, it is possible to claim that a block cipher is always used in combination with a mode of operation: using a block cipher “directly” is equivalent to using it in the Electronic Codebook (ECB) mode with the restriction that the input must be exactly one block in length (e.g., 128 bits in the case of AES). Therefore, the real-world applications of the NIST-recommended modes of operation overlap with the applications of the underlying block cipher and include virtually all web browsers, Wi-Fi and cellular devices, and contact and contactless chip cards, as described in NIST IR 8319 [55].  ブロック暗号を「直接」使用することは、入力が正確に1ブロック長(例えばAESの場合は128ビット)でなければならないという制限のあるECB(Electronic Codebook)モードで使用することと同じである。したがって、NIST が推奨する動作モードの実世界での用途は、基礎となるブロック暗号の用途と重なり、NIST IR 8319 [55]に記載されているように、事実上すべてのウェブブラウザ、Wi-Fi およびセルラー機器、接触および非接触のチップカードが含まれている。
Therefore, a logical next step after NIST IR 8319 is to analyze the recommended modes of operation. This report analyzes the block cipher modes of operation that are standardized in NIST Special Publication (SP) 800-38A through 800-38F. More specifically:  したがって、NIST IR 8319 の次のステップとして、推奨される動作モードを分析することが論理的である。本レポートでは、NIST Special Publication (SP) 800-38A から 800-38F で標準化されているブロック暗号の動作モードについて分析する。より具体的には 
•       NIST SP 800-38A [25] defines the Electronic Codebook (ECB), Cipher Block Chaining (CBC), Cipher Feedback (CFB), Output Feedback (OFB), and Counter (CTR) modes, which will be referred to collectively as the “five confidentiality modes.”  - NIST SP 800-38A [25]では、電子コードブック(ECB)、暗号ブロック連鎖(CBC)、暗号フィードバック(CFB)、出力フィードバック(OFB)、カウンター(CTR)モードを定義し、これらを総称して "5 つの機密性モード "と呼ぶことにする。
•       The Addendum to NIST SP 800-38A [26] defines three variants of the CBC mode: the  - NIST SP 800-38A [26]の補遺では、CBCモードの3つのバリエーションが定義されている。
CBC-CS1, CBC-CS2, and CBC-CS3 modes, where “CS” indicates “ciphertext stealing.”  CBC-CS1、CBC-CS2、CBC-CS3モード。"CS "は "ciphertext stealing "を示す。
•       NIST SP 800-38B [27] defines the Cipher-based Message Authentication Code (CMAC) mode.  - NIST SP 800-38B [27]は、暗号ベースのメッセージ認証コード(CMAC)モードを定義している。
•       NIST SP 800-38C [28] defines the Counter with Cipher Block Chaining-Message Authentication Code (CCM) mode.  - NIST SP 800-38C [28]は、Counter with Cipher Block Chaining-Message Authentication Code (CCM) モードを定義している。
•       NIST SP 800-38D [29] defines the Galois/Counter Mode (GCM) and its specialization GMAC to generate a Message Authentication Code (MAC).  - NIST SP 800-38D [29]は、メッセージ認証コード(MAC)を生成するためのガロア/カウンタモード(GCM)およびその特殊化であるGMACを定義している。
•       NIST SP 800-38E [30] defines the XTS-AES mode, where XTS stands for “XEX Tweakable block cipher with ciphertext Stealing,” and XEX stands for “eXclusive-or Encrypt eXclusive-or.”  - NIST SP 800-38E [30]では、XTS-AESモードを定義しており、XTSは "XEX Tweakable block cipher with ciphertext Stealing"、XEXは "eXclusive-or Encrypt eXclusive-or "を表している。
•       NIST SP 800-38F [31] defines the AES Key Wrap (KW) mode, the AES Key Wrap with Padding (KWP) mode, and the TDEA Key Wrap (TKW) mode.  - NIST SP 800-38F [31]では、AESキーラップ(KW)モード、パディング付きAESキーラップ(KWP)モード、TDEAキーラップ(TKW)モードが定義されている。
NIST SP 800-38G [32], which defines the Format-Preserving Encryption (FPE) modes FF1 and FF3, is currently undergoing a revision that is proposed in Draft NIST SP 80038G, Revision 1 [33]. NIST SP 800-38G [32]は、FPE(Format-Preserving Encryption)モードFF1およびFF3を定義しているが、現在改訂中で、ドラフトNIST SP 80038G, Revision 1 [33] として提案されている。



| | Comments (0)


総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表


総務省 経済産業省 警察庁、内閣官房サイバーセキュリティセンターが意見募集をしていた「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が確定し、公表されていますね。。。



出典:サイバー攻撃被害に係る情報の共有・公表ガイダンス(概要)P8, P9






・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表


・[PDF] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(概要)



・[PDF] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス



・[PDF] 提出された意見及びその意見に対する同検討会の考え方





・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表




・2023.03.08  [PDF] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表


| | Comments (0)


JNSA ISOG-J セキュリティ対応組織の教科書第3.0版


日本ネットワークセキュリティ協会 (JNSA) と日本セキュリティオペレーション事業者協議会 (ISOG-J) が「セキュリティ対応組織の教科書第3.0版」を公開しましていますね。。。



・2023.02.13 セキュリティ対応組織の教科書 第3.0版 (2023年2月)





1. はじめに

2. セキュリティ対応組織の存在意義

3. セキュリティ対応組織のサイクル
 3.2.2. サービスカタログの作成
 3.2.3. サービスプロファイルの作成
 3.2.4. サービスポートフォリオの作成

 3.3.2. マネジメントプロセスのフェーズとサイクル

 3.4.2. ギャップ分析と見直し

4. セキュリティ対応組織のカテゴリー

5. セキュリティ対応組織のサービス

6. セキュリティ対応組織の役割分担と体制
これまでの日本における SOCCSIRT とサービスの関係
 6.1.2. X.1060/JT-X1060 で割り当てる基本パターン例


7. カテゴリーおよびサービスの関連
 7.1.2. 「ウェブサービスからの個人情報の窃取」の例
 7.1.3. 「サプライチェーンでインシデント発生」の例

 7.2.2. 事象分析
 7.2.3. 普及啓発
 7.2.4. 注意喚起
 7.2.5. その他インシデント関連業務(予行演習)

8. セキュリティ対応組織のアセスメント

9. おわりに


付録 カテゴリーとサービスリストの詳細
 B. 即時分析
 C. 深掘分析
 D. インシデント対応
 E. 診断と評価
 F. 脅威情報の収集および分析と評価
 G. CDC プラットフォームの開発・保守
 H. 内部不正対応支援
 I. 外部組織との積極的連携

 B. 即時分析
 C. 深掘分析
 D. インシデント対応
 E. 診断と評価
 F. 脅威情報の収集および分析と評価
 G. CDC プラットフォームの開発・保守
 H. 内部不正対応支援
 I. 外部組織との積極的連携



経済産業省の「サイバーセキュリティ経営ガイドライン Ver2.0 が付録 F サイバーセキュリティ体制構築・人材確保の手引き 第2版」(経済産業省)なども含めて引用されていますね。。。



| | Comments (0)


欧州議会 サイバーセキュリティ:主な脅威と新たな脅威 (2023.01.27)




1. Ransomware: hackers seize control of someone’s data and demand a ransom to restore access 1. ランサムウェア:ハッカーが誰かのデータを掌握し、アクセスを回復するために身代金を要求する。
2. Malware: software that harms a system 2. マルウェア:システムに害を与えるソフトウェア
3. Social engineering threats: exploiting human error to gain access to information or services 3. ソーシャルエンジニアリングの脅威:ヒューマンエラーを悪用して情報やサービスにアクセスする。
4. Threats against data: targeting sources of data to get unauthorised access and disclosure 4. データに対する脅威:不正アクセスや情報公開を目的としたデータソースの標的化
5. Threats against availability - Denial of Service: attacks preventing users from accessing data or services 5. 可用性に対する脅威 - サービス妨害:ユーザーがデータやサービスにアクセスするのを妨害する攻撃
6. Threats against availability: threats to the availability of the internet 6. 可用性に対する脅威:インターネットの可用性に対する脅威。
7. Disinformation/misinformation: the spread of misleading information 7. 偽情報・誤報:誤解を招く情報の流布
8. Supply-chain attacks: targeting the relationship between organisations and suppliers 8. サプライチェーン攻撃:組織とサプライヤーの関係を標的にした攻撃





1. Public administration/government(24% of incidents reported) 1. 行政/政府(報告されたインシデントの24%)
2. Digital service providers (13%) 2. デジタルサービスプロバイダー (13%)
3. General public (12%) 3. 一般市民(12%)
4. Services (12%) 4. サービス(12%)
5. Finance/banking (9%) 5. 金融/銀行(9%)
6. Health (7%) 6. 健康 (7%)



European Parliament

・2023.01.27 Cybersecurity: main and emerging threats

Cybersecurity: main and emerging threats サイバーセキュリティ:主な脅威と新たな脅威
Find out about the top cyber threats in 2022, the most affected sectors and the impact of the war in Ukraine. 2022年のサイバー脅威のトップ、最も影響を受けるセクター、ウクライナ戦争の影響について確認すること。
The digital transformation has inevitably led to new cybersecurity threats. During the coronavirus pandemic, companies had to adapt to remote working and this created more possibilities for cybercriminals. The war in Ukraine has also affected cybersecurity. デジタルトランスフォーメーションは、必然的に新たなサイバーセキュリティの脅威を引き起こした。コロナウイルスが大流行した際、企業はリモートワークに適応しなければならず、その結果、サイバー犯罪者の可能性が高まりれた。ウクライナ戦争もサイバーセキュリティに影響を及ぼしている。
In response to the evolution of cybersecurity threats, Parliament adopted a new EU directive introducing harmonised measures across the EU, including on the protection of essential sectors. サイバーセキュリティの脅威の進化に対応するため、議会は、必須部門の保護を含め、EU全体で調和された措置を導入する新しいEU指令を採択した。
Read more on new EU measures to fight cybercrime サイバー犯罪に対抗するためのEUの新たな対策について続きを読む
Top 8 cybersecurity threats in 2022 and beyond 2022年以降のサイバーセキュリティの脅威トップ8
According to the Threat Landscape 2022 report by the European Union Agency for Cybersecurity (Enisa), there are eight prime threat groups: 欧州連合サイバーセキュリティ機関(Enisa)による「Threat Landscape 2022」レポートによると、8つの主要な脅威グループが存在する。
1. Ransomware: hackers seize control of someone’s data and demand a ransom to restore access 1. ランサムウェア:ハッカーが誰かのデータを掌握し、アクセスを回復するために身代金を要求する。
In 2022, ransomware attacks continued to be one of the main cyberthreats. They are also getting more complex. According to a survey quoted by Enisa that was conducted at the end of 2021 and in 2022, over half of respondents or their employees had been approached in ransomware attacks. 2022年、ランサムウェア攻撃は引き続き主要なサイバー脅威の1つであった。また、それらはより複雑化している。エニサが引用した2021年末と2022年に実施された調査によると、回答者の半数以上またはその従業員がランサムウェア攻撃に接近されたことがあるという。
Data quoted by the EU Agency for Cybersecurity shows that the highest ransomware demand grew from €13 million in 2019 to €62 million in 2021 and the average ransom paid doubled from €71,000 in 2019 to €150,000 in 2020. It is estimated that in 2021 global ransomware reached €18 billion worth of damages – 57 times more than in 2015. EUサイバーセキュリティ庁が引用したデータによると、ランサムウェアの最高要求額は2019年の1,300万ユーロから2021年には6,200万ユーロに拡大し、支払われた身代金の平均額は2019年の71,000ユーロから2020年には150,000ユーロに倍増している。2021年の世界のランサムウェアの被害額は180億ユーロ相当に達し、2015年の57倍になると推定されている。
2. Malware: software that harms a system 2. マルウェア:システムに害を与えるソフトウェア
Malware includes viruses, worms, Trojan horses and spyware. After a global decrease in malware linked to the Covid-19 pandemic in 2020 and early 2021, its use increased heavily by the end of 2021, as people started returning to the office. マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。2020年から2021年初頭にかけて、Covid-19の大流行に連動してマルウェアが世界的に減少した後、2021年末には人々がオフィスに戻り始めると、その利用が大きく増加した。
The rise of malware is also attributed to crypto-jacking (the secret use of a victim’s computer to create cryptocurrency illegally) and Internet-of-Things malware (malware targeting devices connected to the internet such as routers or cameras). マルウェアの増加は、クリプトジャッキング(被害者のコンピュータを秘密裏に使用して暗号通貨を不正に作成すること)やIoTマルウェア(ルーターやカメラなどインターネットに接続されている機器を狙うマルウェア)にも起因している。
According to Enisa, there were more Internet-of-Things attacks in the first six months of 2022 than in the previous four years. ENISAによると、2022年の最初の6カ月間は、過去4年間よりもIoT攻撃が多かったという。
3. Social engineering threats: exploiting human error to gain access to information or services 3. ソーシャルエンジニアリングの脅威:ヒューマンエラーを悪用して情報やサービスにアクセスする。
Tricking victims into opening malicious documents, files or emails, visiting websites and thus granting unauthorised access to systems or services. The most common attack of this sort is phishing (through email) or smishing (through text messages). 被害者をだまして、悪意のある文書、ファイル、電子メールを開かせたり、ウェブサイトを訪問させたりして、システムやサービスへの不正なアクセスを許可させる。この種の攻撃で最も一般的なのは、フィッシング(電子メールを使ったもの)またはスミッシング(テキストメッセージを使ったもの)である。
Almost 60% of the breaches in Europe, the Middle East and Africa include a social engineering component, according to research quoted by Enisa. ENISAが引用した調査によると、ヨーロッパ、中東、アフリカにおける情報漏えいの約60%にソーシャル・エンジニアリングの要素が含まれているとのことである。
The top organisations impersonated by phishers were from the financial and technology sectors. Criminals are also increasingly targeting crypto exchanges and cryptocurrency owners. フィッシャーになりすまされた組織のトップは、金融とテクノロジー部門であった。また、暗号取引所や暗号通貨の所有者を狙う犯罪者も増えている。
4. Threats against data: targeting sources of data to get unauthorised access and disclosure 4. データに対する脅威:不正アクセスや情報公開を目的としたデータソースの標的化
We live in a data-driven economy, producing huge amounts of data that are extremely important for, among others, enterprises and Artificial Intelligence, which makes it a major target for cybercriminals. Threats against data can be mainly classified as data breaches (intentional attacks by a cybercriminal) and data leaks (unintentional releases of data). 我々はデータ駆動型経済の中で生活しており、特にエンタープライズや人工知能にとって極めて重要な膨大な量のデータを生み出しているため、サイバー犯罪者の大きなターゲットになっている。データに対する脅威は、主にデータ侵害(サイバー犯罪者による意図的な攻撃)とデータ漏えい(意図しないデータの流出)に分類される。
Money remains the most common motivation of such attacks. Only in 10% of cases is espionage the motive. このような攻撃の動機として最も一般的なのは、依然として金銭である。諜報活動が動機となっているケースは10%に過ぎない。
5. Threats against availability - Denial of Service: attacks preventing users from accessing data or services 5. 可用性に対する脅威 - サービス妨害:ユーザーがデータやサービスにアクセスするのを妨害する攻撃
These are some of the most critical threats to IT systems. They are increasing in scope and complexity. One common form of attack is to overload the network infrastructure and make a system unavailable. これらは、ITシステムにとって最も重要な脅威の一つである。これらの脅威は、その範囲と複雑さを増している。一般的な攻撃は、ネットワークインフラに負荷をかけ、システムを利用不能にするものである。
Denial of Service attacks are increasingly hitting mobile networks and connected devices. They are used a lot in Russia-Ukraine cyberwarfare. Covid-19 related websites, such as those for vaccination have also been targeted. サービス拒否攻撃は、モバイルネットワークや接続されたデバイスを攻撃することが多くなっている。ロシアとウクライナのサイバー戦でも多く利用されている。予防接種などのCovid-19関連のWebサイトも狙われている。
6. Threats against availability: threats to the availability of the internet 6. 可用性に対する脅威:インターネットの可用性に対する脅威。
These include physical take-over and destruction of internet infrastructure, as seen in occupied Ukrainian territories since the invasion, as well as the active censoring of news or social media websites. 侵攻後のウクライナ占領地で見られたようなインターネットインフラの物理的な乗っ取りや破壊、ニュースやソーシャルメディアサイトの積極的な検閲などが挙げられる。
7. Disinformation/misinformation: the spread of misleading information 7. 偽情報・誤報:誤解を招く情報の流布
The increasing use of social media platforms and online media has led to a rise in campaigns spreading disinformation (purposefully falsified information) and misinformation (sharing wrong data). The aim is to cause fear and uncertainty. ソーシャルメディアプラットフォームやオンラインメディアの利用が増えたことで、偽情報(意図的に改ざんした情報)や誤情報(誤ったデータの共有)を拡散するキャンペーンが増加している。その目的は、恐怖や不安を引き起こすことである。
Russia has used this technology to target perceptions of the war. ロシアはこの技術を使って、戦争に対する認識を標的にしている。
Deepfake technology means it is now possible to generate fake audio, video or images that are almost indistinguishable from real ones. Bots pretending to be real people can disrupt online communities by flooding them with fake comments. ディープフェイク技術とは、本物とほとんど見分けがつかない偽の音声、映像、画像を生成することが可能になったということである。実在の人物になりすれたボットは、偽のコメントでオンライン・コミュニティを混乱させることができます。
Read more about the sanctions against disinformation the Parliament is calling for 国会が求めている偽情報に対する制裁措置についてもっと読む
8. Supply-chain attacks: targeting the relationship between organisations and suppliers 8. サプライチェーン攻撃:組織とサプライヤーの関係を標的にした攻撃
This is a combination of two attacks - on the supplier and on the customer. Organisations are becoming more vulnerable to such attacks, because of increasingly complex systems and a multitude of suppliers, which are harder to oversee. これは、サプライヤーに対する攻撃と顧客に対する攻撃の2つを組み合わせたものである。システムはますます複雑化し、サプライヤーも多数存在するため、監視することが難しくなっており、組織はこのような攻撃に対してより脆弱になってきている。
Top sectors affected by cybersecurity threats サイバーセキュリティの脅威の影響を受けるトップセクター
Cybersecurity threats in the European Union are affecting vital sectors. According to Enisa, the top six sectors affected between June 2021 and June 2022 were: 欧州連合(EU)におけるサイバーセキュリティの脅威は、重要なセクターに影響を及ぼしている。エニサによると、2021年6月から2022年6月の間に影響を受けた上位6セクターは以下の通りである。
1. Public administration/government (24% of incidents reported) 1. 行政/政府(報告されたインシデントの24%)
2. Digital service providers (13%) 2. デジタルサービスプロバイダー(13%)
3. General public (12%) 3. 一般市民(12%)
4. Services (12%) 4. サービス(12%)
5. Finance/banking (9%) 5. 金融/銀行(9%)
6. Health (7%) 6. 健康 (7%)
Read more on the costs of cyberattacks サイバー攻撃のコストについての詳細はこちら
The impact of the war in Ukraine on cyberthreats ウクライナ戦争がサイバー脅威に与える影響
Russia’s war on Ukraine has influenced the cyber sphere in many ways. Cyber operations are used alongside traditional military action. According to Enisa, actors sponsored by the Russian state have carried out cyber operations against entities and organisations in Ukraine and in countries that support it. ロシアのウクライナ戦争は、様々な形でサイバー領域に影響を与えている。サイバー作戦は、従来の軍事行動と並行して利用されている。Enisaによると、ロシア国家がスポンサーとなっている行為者は、ウクライナやそれを支援する国の団体や組織に対してサイバー作戦を実施している。
Hacktivist (hacking for politically or socially motivated purposes) activity has also increased, with many conducting attacks to support their chosen side of the conflict. ハクティビスト(政治的・社会的動機によるハッキング)の活動も活発化しており、多くは紛争で選んだ側を支援するために攻撃を行った。
Disinformation was a tool in cyberwarfare before the invasion started and both sides are using it. Russian disinformation has focused on finding justifications for the invasion, while Ukraine has used disinformation to motivate troops. Deepfakes with Russian and Ukrainian leaders expressing views supporting the other side of the conflict were also used. 偽情報は侵攻が始まる前からサイバー戦のツールであり、双方がそれを利用している。ロシアの偽情報は侵攻を正当化することに重点を置いており、一方ウクライナは部隊のモチベーションを高めるために偽情報を使用している。ロシアとウクライナの指導者が紛争の反対側を支持する意見を表明しているディープフェイクも使われれた。
Cybercriminals tried to extort money from people wanting to support Ukraine via fake charities サイバー犯罪者は、偽のチャリティ団体を通じてウクライナを支援しようとする人々から金銭を強要しようとした。
Cybercrime and cybersecurity サイバー犯罪とサイバーセキュリティ
Enisa: Cybersecurity Threats Fast-Forward 2030  ENISA:サイバーセキュリティの脅威早わかり2030年版 
Europol: cybercrime  欧州警察機構(Europol):サイバー犯罪 





関連するEuropean Parliamentのサイト (最終更新日)


・2022.11.23 Cybersecurity: why reducing the cost of cyberattacks matters

・2022.01.30 Fighting cybercrime: new EU cybersecurity laws explained


・2022.05.04 Digital transformation: importance, benefits and EU policy


・2022.03.03 Parliament committee recommends EU sanctions to counter disinformation

・2021.07.30 Tackling deepfakes in European policy



・2022.11.03 ENISA Threat Landscape 2022









● まるちゃんの情報セキュリティ気まぐれ日記



・2022.02.12 JNSA 20+3周年記念講演資料公開 「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」


・2023.01.26 IPA 「情報セキュリティ10大脅威 2023」を公開

・2022.12.24 JNSA 2022セキュリティ十大ニュース

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況



・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況




| | Comments (0)






・2023.02.09 #StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities

#StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities #StopRansomware - 重要インフラへのランサムウェア攻撃はDPRKのスパイ活動の資金源になる
CISA, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Department of Health and Human Services (HHS), and Republic of Korea’s Defense Security Agency and National Intelligence Service have released a joint Cybersecurity Advisory (CSA), Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities, to provide information on ransomware activity used by North Korean state-sponsored cyber to target various critical infrastructure sectors, especially Healthcare and Public Health (HPH) Sector organizations. CISA、国家安全保障局(NSA)、連邦捜査局(FBI)、保健福祉省(HHS)、韓国の国防安全保障局および国家情報院は、北朝鮮の国家支援によるサイバーがさまざまな重要インフラ部門、特に医療・公衆衛生(HPH)部門の組織を標的にしているランサムウェア活動に関する情報を提供する共同サイバーセキュリティ勧告(CSA)、重要インフラに対するランサムウェア攻撃が北朝鮮のスパイ活動の資金源となる、を発表した。
The authoring agencies urge network defenders to examine their current cybersecurity posture and apply the recommended mitigations in this joint CSA, which include: 作成機関は、ネットワーク防御者が現在のサイバーセキュリティの姿勢を調査し、この共同CSAの推奨する緩和策を適用することを強く求める。
・Train users to recognize and report phishing attempts. ・フィッシングの試みを認識し、報告するようユーザーを教育する。
・Enable and enforce phishing-resistant multifactor authentication.  ・フィッシングに強い多要素認証を導入する。 
・Install and regularly update antivirus and antimalware software on all hosts.  ・すべてのホストにアンチウイルスおよびアンチマルウェアソフトウェアをインストールし、定期的に更新する。 
See Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities for ransomware actor’s tactics, techniques, and procedures, indicators of compromise, and recommended mitigations. Additionally, review StopRansomware.gov for more guidance on ransomware protection, detection, and response. ランサムウェアの行為者の戦術、技術、手順、侵害の指標、推奨される緩和策については、「重要インフラ資金北朝鮮スパイ活動に対するランサムウェア攻撃」を参照すること。また、StopRansomware.govでは、ランサムウェアの保護、検出、対応に関するガイダンスが掲載されている。
For more information on state-sponsored North Korean malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動の詳細については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。


・2023.02.09 Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities

Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities アラート(AA23-040A) #StopRansomware: 重要インフラへのランサムウェア攻撃は北朝鮮の悪意あるサイバー活動を資金源としている
Summary 概要

Note: This Cybersecurity Advisory (CSA) is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and various ransomware threat actors. These #StopRansomware advisories detail historically and recently observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn about other ransomware threats and no-cost resources.

注:このサイバーセキュリティアドバイザリ(CSA)は、ネットワーク防御者向けに、さまざまなランサムウェアの亜種とさまざまなランサムウェアの脅威要因について詳述したアドバイザリを公開する、#StopRansomware の継続的な取り組みの一部である。これらの #StopRansomware アドバイザリでは、ランサムウェアから組織を保護するために、歴史的および最近観測された戦術、技術、手順 (TTPs) と侵害の指標 (IOCs) について詳しく説明している。stopransomware.gov であるべての #StopRansomware アドバイザリーを参照し、その他のランサムウェアの脅威や無償のリソースについて学ぶこと。
The United States National Security Agency (NSA), the U.S. Federal Bureau of Investigation (FBI), the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the U.S. Department of Health and Human Services (HHS), the Republic of Korea (ROK) National Intelligence Service (NIS), and the ROK Defense Security Agency (DSA) (hereafter referred to as the “authoring agencies”) are issuing this joint Cybersecurity Advisory (CSA) to highlight ongoing ransomware activity against Healthcare and Public Health Sector organizations and other critical infrastructure sector entities. 米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラセキュリティ局(CISA)、米国保健福祉省(HHS)、韓国国家情報院(NIS)、韓国国防安全保障局(DSA)(以下、「作成機関」という)は、医療・公衆衛生分野の組織やその他の重要インフラ部門に対するランサムウェアの進行状況を明らかにするため、この共同サイバーセキュリティアドバイザリー(CSA)を発出する。
This CSA provides an overview of Democratic People’s Republic of Korea (DPRK) state-sponsored ransomware and updates the July 6, 2022, joint CSA North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector. This advisory highlights TTPs and IOCs DPRK cyber actors used to gain access to and conduct ransomware attacks against Healthcare and Public Health (HPH) Sector organizations and other critical infrastructure sector entities, as well as DPRK cyber actors’ use of cryptocurrency to demand ransoms. 本CSAは、朝鮮民主主義人民共和国(DPRK)国家支援型ランサムウェアの概要を説明し、2022年7月6日の共同CSA「北朝鮮国家支援型サイバーアクターがマウイランサムウェアを使用してヘルスケアおよび公衆衛生セクターを標的に」を更新している。この勧告では、北朝鮮のサイバー行為者が医療・公衆衛生(HPH)セクターの組織やその他の重要インフラストラクチャ・セクターの事業体にアクセスしランサムウェア攻撃を行うために使用した TTP と IOC、および北朝鮮のサイバー行為者が身代金を要求するために暗号通貨を使用したことを明らかにする。
The authoring agencies assess that an unspecified amount of revenue from these cryptocurrency operations supports DPRK national-level priorities and objectives, including cyber operations targeting the United States and South Korea governments—specific targets include Department of Defense Information Networks and Defense Industrial Base member networks. The IOCs in this product should be useful to sectors previously targeted by DPRK cyber operations (e.g., U.S. government, Department of Defense, and Defense Industrial Base). The authoring agencies highly discourage paying ransoms as doing so does not guarantee files and records will be recovered and may pose sanctions risks. 作成機関は、これらの暗号通貨操作による不特定多数の収益が、米国および韓国政府を標的としたサイバー操作など、北朝鮮の国家レベルの優先事項および目的を支えていると評価している。具体的な標的には、国防総省の情報ネットワークおよび国防産業基盤のメンバーネットワークが含まれている。本製品に含まれる IOC は、過去に北朝鮮のサイバー作戦の標的となったセクター(米国政府、国防総省、国防産業基地など)にとって有用であるはずである。身代金の支払いは、ファイルや記録の復元を保証するものではなく、制裁リスクをもたらす可能性があるため、作成機関は強く推奨しない。
For additional information on state-sponsored DPRK malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。







National Intelligence Services: NIS

・2023.02.10  [PDF] 국정원, 북한의 세계 각국 중요 인프라 대상 랜섬웨어 공격 관련 ‘韓美 합동 사이버 보안 권고문’ 발표



・2023.02.10 국정원, '韓美 합동 사이버 보안 권고문' 발표






| | Comments (0)

NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー




・2023.02.08 SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu

SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー
Announcement 発表
This document addresses the need to support a cloud system’s forensic readiness, which is the ability to quickly and effectively collect digital evidence with minimal investigation costs. 本文書は、クラウドシステムのフォレンジック対応(最小限の調査コストで迅速かつ効果的にデジタル証拠を収集する能力)を支援する必要性に対処するものである。
The document presents a reference architecture to help users understand the forensic challenges that might exist for an organization’s cloud system based on its architectural capabilities, as well as the mitigation strategies that might be required. The reference architecture is both a methodology and an initial implementation that can be used by cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to analyze and review their cloud computing architectures for forensic readiness. 本文書は、ユーザーが組織のクラウドシステムに存在するであろうフォレンジックの課題を、そのアーキテクチャの状況に基づいて理解し、必要とされるであろう緩和策を理解するのに役立つ参照アーキテクチャを提示する。この参照アーキテクチャは、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、およびクラウド利用者が、クラウドコンピューティングアーキテクチャのフォレンジック対応状況を分析、レビューするために使用できる手法と初期実装の両方を含む。
Abstract 概要
This document summarizes research performed by the members of the NIST Cloud Computing Forensic Science Working Group and presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand which cloud forensic challenges might exist for an organization’s cloud system. It identifies challenges that require at least partial mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here is both a methodology and an initial implementation. Users are encouraged to customize this initial implementation for their specific situations and needs. 本文書は、NIST クラウドコンピューティング・フォレンジック科学作業グループ のメンバーが行った研究を要約し、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔に FRA とも呼ばれる)を提示するもので、その目的は、クラウドシステムのフォレンジック準備に対する支援を提供することである。CC FRAの目的は、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことである。また、少なくとも部分的な緩和策を必要とする課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。ここで紹介するCC FRAは、方法論であり、初期実装である。ユーザーは、特定の状況やニーズに合わせて、この初期実装をカスタマイズすることが推奨される。


・[PDF]  SP 800-201 (Draft)




Executive Summary エグゼクティブ・サマリー
1. Introduction 1. 序文
1.1. The Need for a Cloud-specific Forensic Reference Architecture 1.1. クラウドに特化したフォレンジック参照アーキテクチャーの必要性
1.2. The Approach 1.2. アプローチ
2. Overview of NIST Cloud Forensic Challenges 2. NISTのクラウドフォレンジックの課題の概要 3.
3. Overview of CSA’s Enterprise Architecture 3. CSAのエンタープライズ・アーキテクチャの概要 4.
4. The Forensic Reference Architecture Methodology 4. フォレンジック参照アーキテクチャの方法論
5. The Forensic Reference Architecture Data 5. フォレンジック参照アーキテクチャーのデータ
6. Conclusion 6. 結論
References 参考文献
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Glossary 附属書B. 用語集
Appendix C. CSA’s Enterprise Architecture 附属書C. CSAのエンタープライズ・アーキテクチャ
Appendix D. NIST’s Forensic Reference Architecture Data Set 附属書D. NISTのフォレンジック参照アーキテクチャデータセット



Executive Summary  エグゼクティブサマリー 
The rapid adoption of cloud computing technology has led to the need to apply digital forensics to this domain. New methodologies are required for the identification, acquisition, preservation, examination, and interpretation of digital evidence in multi-tenant cloud environments that offer rapid provisioning, global elasticity, and broad network accessibility. This is necessary to provide capabilities for incident response, secure internal enterprise operations, and support for the U.S. criminal justice and civil litigation systems.   クラウドコンピューティング技術の急速な普及により、デジタルフォレンジックをこの領域に適用する必要性が生じている。迅速なプロビジョニング、グローバルな弾力性、幅広いネットワークアクセスを提供するマルチテナントクラウド環境におけるデジタル証拠の特定、取得、保存、調査、解釈には、新しい方法論が必要である。これは、インシデントレスポンス、安全な社内エンタープライズオペレーション、米国刑事司法および民事訴訟システムの支援のための機能を提供するために必要である。 
This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies forensic challenges that require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation.   本文書は、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔にFRAとも呼ばれる)を提示する。その目的は、クラウドシステムのフォレンジック準備の支援を提供することである。CC FRAは、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことを目的としている。また、緩和策を必要とするフォレンジック課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。 
The CC FRA provides a useful starting point for all cloud forensic stakeholders to analyze the impacts of cloud forensic challenges previously reported by NIST. It does so by considering each cloud forensic challenge in the context of each functional capability presented in the Cloud Security Alliance’s Enterprise Architecture.  CC FRAは、すべてのクラウド・フォレンジック関係者が、NISTが以前に報告したクラウド・フォレンジックの課題の影響を分析するための有用な出発点を提供する。これは、クラウドセキュリティアライアンスのエンタープライズアーキテクチャに示された各機能能力のコンテキストで、各クラウドフォレンジック課題を考慮することによって行われる。
While the CC FRA can be used by any cloud computing practitioner, it is specifically designed to allow cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to ask specific questions related to their cloud computing architectures. The CC FRA is both a methodology and an initial implementation, and users are encouraged to customize this initial implementation for their specific situations and needs.  CC FRAは、クラウドコンピューティングの実務者であれば誰でも利用できるが、特にクラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、クラウド利用者が、それぞれのクラウドコンピューティングアーキテクチャに関連する特定の質問をできるように設計されている。CC FRAは、方法論と初期実装の両方であり、ユーザーはこの初期実装を特定の状況やニーズに応じてカスタマイズすることが推奨される。



1. Introduction  1. 序文 
The NIST Cloud Computing Forensic Science Working Group (NCC FSWG) previously published NIST IR 8006, NIST Cloud Computing Forensic Science Challenges [1], which was the result of collaboration between volunteers from the private and public sector. That document highlighted digital forensic challenges triggered by the specific characteristics and business model of public cloud computing services.  NIST クラウドコンピューティング・フォレンジック科学作業グループ (NCC FSWG)は、民間と公共部門のボランティアによる協力の結果、NIST IR 8006, NIST クラウドコンピューティング・フォレンジック科学の挑戦 [1]を発表してる。その文書では、パブリッククラウドコンピューティングサービス特有の特性やビジネスモデルによって引き起こされるデジタルフォレンジックの課題が強調されている。
The approach to examining digital forensics in the cloud was to first understand cloud computing technology and to identify and elucidate its essential and unique characteristics, which play a significant part in three aspects of operation: normal operations, adverse operations when cloud computing resources are under attack, and operations during criminal exploitation.  クラウドにおけるデジタルフォレンジックを検討するアプローチとして、まずクラウドコンピューティング技術を理解し、通常運用、クラウドコンピューティング・リソースが攻撃を受けているときの不利な運用、犯罪利用時の運用という3つの側面で重要な役割を果たす、その本質的かつ独特な特性を特定し、解明することが挙げられる。
The second phase of this approach was a close examination of the challenges that were identified in the previous NIST report. This examination involved analyzing the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2], its various functional capabilities and processes, and the potential impact of each challenge on performing a forensic investigation if a specific functional capability or process were involved in an attack and breach or were used during criminal exploitation. The analysis presumed fictive use case scenarios that would exploit potential weaknesses, vulnerabilities, exposures, or cloud technology for criminal activities. Such elements are of fundamental concern in forensic analysis as they present points that adversaries may seek to exploit or characteristics that can be used by criminals. In either case, there will be evidence of the attack or criminal exploitation for future forensic analysis. The EA is composed of a large number of specific functional capabilities that enable detailed consideration of the effects of each forensic challenge on each of the capabilities.   このアプローチの第二段階は、前回のNIST報告書で明らかにされた課題の精査である。この検証では、クラウドセキュリティアライアンス(CSA)のエンタープライズアーキテクチャ(EA)[2]、そのさまざまな機能能力とプロセス、および特定の機能能力やプロセスが攻撃や侵入に関与した場合、または犯罪搾取の際に使用された場合のフォレンジック調査の実行における各課題の潜在的影響力を分析した。この分析では、潜在的な弱点、脆弱性、エクスポージャー、クラウド技術を犯罪行為に悪用する架空のユースケースシナリオを想定している。このような要素は、敵対者が悪用しようとするポイントや犯罪者が利用できる特徴を示すため、フォレンジック分析における基本的な関心事となる。いずれの場合も、将来のフォレンジック分析のために、攻撃や犯罪に利用された証拠が残る。EAは多数の特定の機能的な能力で構成されており、各能力に対する各フォレンジックの課題の影響を詳細に検討することが可能である。 
The third phase of this work has been to examine the nature of each challenge (i.e., whether the challenge is technological or non-technological) to determine its role and impact on the forensic examination process. As each challenge was analyzed, the applicability of techniques or technologies became clearer in terms of how they function and ultimately contribute to the forensic processes of identification, acquisition, preservation, examination, and interpretation of evidence.   この作業の第三段階として、各課題の性質(すなわち、課題が技術的なものか非技術的なものか)を検討し、フォレンジック調査のプロセスにおけるその役割と影響を決定した。それぞれの課題を分析するにつれ、技術や技能がどのように機能し、最終的に証拠の特定、取得、保存、検査、解釈という法医学的プロセスに貢献するかという観点から、その適用可能性が明らかになった。 
This work brings value by clarifying how forensics in the cloud can achieve the same acceptance as forensics in traditional computing models. This document, the associated research, and NIST IR 8006 [1] proactively address the White House Executive Order of May 12, 2021, entitled Executive Order on Improving the Nation’s Cybersecurity [3], which points out the importance of having forensic-ready information systems, including cloud systems, to improve the Nation’s cybersecurity.  この作業は、クラウドにおけるフォレンジックが、従来のコンピューティングモデルにおけるフォレンジックと同じように受け入れられるにはどうすればよいかを明らかにすることによって価値をもたらすものである。本書、関連研究、およびNIST IR 8006 [1]は、国家のサイバーセキュリティを向上させるために、クラウドシステムを含むフォレンジック対応の情報システムの重要性を指摘する2021年5月12日のホワイトハウス大統領令、「国家のサイバーセキュリティ向上に関する大統領令」 [3]に主体的に対処するものである。
1.1. The Need for a Cloud-specific Forensic Reference Architecture  1.1. クラウド専用フォレンジック参照アーキテクチャーの必要性 
Digital forensics is the application of science and technology to the discovery and examination of digital artifacts within information systems and networks to establish facts and evidence concerning events and conditions that occur within them. Digital forensics is traditionally used for judicial proceedings and regulatory issues but may also be used for other purposes as described below.   デジタルフォレンジックとは、情報システムやネットワーク内のデジタルアーチファクトを発見・調査し、その中で発生した事象や状況に関する事実や証拠を確定するために、科学技術を応用したものである。デジタルフォレンジックは、伝統的に司法手続きや規制問題のために使用されているが、以下に述べるように他の目的にも使用されることがある。 
Digital forensics continues to evolve in step with computer and information science. As these technologies, their implementations, and their operations have changed, digital forensics has adapted. The number of scenarios that may require the application of digital forensic techniques have increased along with the complexity of the underlying architectures .  デジタルフォレンジックは、コンピュータと情報科学と歩調を合わせて進化し続けている。これらの技術、その実装、および運用が変化するにつれて、デジタルフォレンジックも適応してきた。デジタルフォレンジック技術の適用を必要とするシナリオの数は、基盤となるアーキテクチャの複雑さとともに増加している。
One common scenario involves the detailed investigation of criminal activities. As computers become widely available and develop greater capabilities, criminal elements worldwide have adopted them as tools to manage their endeavors. These include both “traditional” forms of crime (e.g., violent crime, property crime, drug trafficking, human trafficking, white-collar crime) and crimes that occur in cyberspace (e.g., ransomware attacks, data breaches, identity theft, cyber-terrorism, distributed denial of service, illicit cryptocurrency mining, child pornography, and attacks against governments, key corporations, or power grids). Forensic procedures involve locating and analyzing digital traces that can help solve the crime and/or allow for incident response.  よくあるシナリオの1つは、犯罪行為の詳細な調査である。コンピュータが広く利用されるようになり、その機能が向上するにつれて、世界中の犯罪者が自分たちの活動を管理するためのツールとしてコンピュータを採用するようになった。これには、「伝統的な」犯罪形態(暴力犯罪、財産犯罪、麻薬取引、人身売買、ホワイトカラー犯罪など)とサイバースペースで発生する犯罪(ランサムウェア攻撃、データ漏洩、個人情報の盗難、サイバーテロ、分散サービス妨害、不正暗号通貨マイニング、児童ポルノ、政府・主要企業・電力網に対する攻撃など)の双方が含まれる。フォレンジック手順では、犯罪の解決やインシデント対応に役立つデジタル痕跡を探し出し、分析する。
Forensic procedures are also used to investigate civil actions, such as divorce proceedings, asset discovery, insurance claims, lawsuits, and similar cases that often require forensic methods to determine the presence, absence, and movement of data and funds.  また、フォレンジック手法は、民事訴訟の調査、例えば離婚訴訟、資産開示、保険金請求、訴訟など、にも使用され、データや資金の存在、不存在、移動を特定するために必要となる場合も多い。
An example of how forensic techniques are used involves the collection of a laptop computer while apprehending a presumed perpetrator of an illegal act. The suspected act could involve – for instance –financial exploitation of stolen identities, hacking into a hospital’s records management system to implant ransomware, electronic entry of a corporate system in attempted commercial espionage, or penetrating a government or military computer. Similarly, civil actions can require forensic examination, such as discovering financial assets for a divorce proceeding.   フォレンジック技術の使用例としては、違法行為の加害者と思われる人物を逮捕する際に、ノートパソコンを回収することが挙げられる。このような行為には、例えば、盗まれたIDを利用した金銭的搾取、病院の記録管理システムへのハッキングによるランサムウェアの埋め込み、商業スパイの試みによる企業システムへの電子侵入、政府または軍のコンピュータへの侵入などが含まれる可能性がある。同様に、民事訴訟でも、離婚訴訟のための金融資産の発見など、フォレンジック調査が必要となる場合がある。 
In each of these cases, forensics plays an essential role in determining facts; assisting in the analysis, validation, and authentication of data; and enabling documentation of findings to present to a court and attorneys.  このような場合、フォレンジックは、事実の特定、データの分析、検証、認証、裁判所や弁護士に提出する調査結果の文書化において、重要な役割を担っている。
The application of forensic methods may also be required for normal business operations. For example, forensic methods may be employed to recover data that, at first, appears to be lost or destroyed on computer drives. During incident response, additional goals of using forensic methods may include mitigating future cyberattacks, preventing system failure, or minimizing data loss.   また、通常の業務においても、フォレンジック手法の適用が必要となる場合がある。例えば、フォレンジック手法は、一見、コンピュータドライブ上で失われたり破壊されたりしたように見えるデータを復元するために採用されることがある。インシデントレスポンスにおいて、フォレンジック手法の使用は、将来のサイバー攻撃の軽減、システム障害の防止、またはデータ損失の最小化などの追加的な目標を含むことができる。 
In the commercial context, the use of forensics in incident response can help determine the root cause of an outage event, such as a component failure, corrupted software, or intentional sabotage. Other scenarios may involve close examination of system configurations, potentially questionable employee data storage and activities, and operational aspects related to compliance matters. In any of these cases, forensic methods may supply insights that are not available through any other means.   商業的な文脈では、インシデントレスポンスにおけるフォレンジックの使用は、コンポーネントの故障、破損したソフトウェア、または意図的な妨害行為などの障害事象の根本原因の特定に役立つ。また、システム構成、従業員のデータ保存や活動に問題がある可能性、コンプライアンス問題に関連する運用面などを綿密に調査するシナリオも考えられる。いずれの場合も、フォレンジックの手法は、他の手段では得られない知見をもたらす可能性がある。 
For decades, information processing systems have enabled the storage, processing, and transmission of information for public and private organizations and individuals. The maintenance, operations, and protection of these information systems have become paramount concerns since a disruption of sufficient magnitude or specific type could threaten business activities. In addition, the use of these systems in support of criminal activities has been of major concern.   数十年にわたり、情報処理システムは、公共および民間の組織や個人による情報の保存、処理、送信を可能にしてきた。十分な規模や特定の種類の障害が発生すると事業活動が脅かされるため、これらの情報システムの維持、運用、保護は最重要事項となっている。さらに、これらの情報システムが犯罪行為に利用されることも懸念されている。 
Industry and government have an array of authoritative sources that guide the design, engineering, and operations of information systems. Each of the frameworks listed below can provide core support for the design, implementation, assessment, monitoring, and operations of information systems:  産業界と政府は、情報システムの設計、エンジニアリング、および運用の指針となる権威ある情報源を数多く持っている。以下に挙げるフレームワークは、情報システムの設計、実装、評価、監視、運用を支援する中核となるものである。
•       NIST Risk Management Framework (RMF) [4] – A focused guide to information system risk management  - NIST リスクマネジメントフレームワーク(RMF)[4] - 情報システムのリスクマネジメントに焦点をあてたガイド。
•       ISO 27000 Series [5] – A series of standards dealing with a wide range of information security topics, such as:  - ISO 27000シリーズ[5] - 情報セキュリティに関する幅広いテーマを扱う一連の規格。
o   ISO/IEC 27001 [6] – Information Security Management o ISO/IEC 27002 [7] – Information Security Controls  o ISO/IEC 27001 [6] - 情報セキュリティ管理 o ISO/IEC 27002 [7] - 情報セキュリティ管理 
o  ISO/IEC 27018 [8] – Security of Personally Identifiable Information (PII) in the Cloud  o ISO/IEC 27018 [8] - クラウドにおける個人特定可能情報(PII)のセキュリティ 
o  ISO/IEC 27035 [9] – Incident Response  o ISO/IEC 27035 [9] - インシデントレスポンス 
o   ISO/IEC 27037 [10] – Digital Evidence Collection and Preservation  o ISO/IEC 27037 [10] - デジタル証拠の収集と保存 
•       IT Infrastructure Library (ITIL) [11] – A service-oriented architecture (SOA)  - ITIL (IT Infrastructure Library) [11] - サービス指向アーキテクチャ(SOA) 
•       Sherwood Applied Business Security Architecture (SABSA) [12]  - シャーウッド応用ビジネスセキュリティアーキテクチャ(SABSA)[12]。
•       The Open Group Architecture Framework (TOGAF) [13] – A general security framework  - The Open Group Architecture Framework (TOGAF) [13] - 一般的なセキュリティフレームワーク 
•       Cloud Security Alliance STAR program [14]  – A progressive security certification  - クラウドセキュリティアライアンス STAR プログラム [14] - 進歩的なセキュリティ認証 
The focus of each of these frameworks varies but generally facilitates architecting, implementing, and operating secure and resilient information systems. The RMF is focused on security from a risk identification and management perspective. As varied as the ISO 27000 series [5] is, it contains standards that address digital evidence and incident response. Interestingly, however, there is not a readily apparent, in-depth exploration of cloud-system forensics.    これらのフレームワークの焦点はそれぞれ異なるが、一般に、安全でレジリエンスに優れた情報システムの設計、実装、運用を容易にする。RMFは、リスクの特定とマネジメントの観点からのセキュリティに焦点を合わせている。ISO 27000シリーズ[5]と同様に多様で、デジタル証拠とインシデント対応に対処する規格が含まれている。しかし、興味深いことに、クラウドシステムのフォレンジックについては、容易に理解でき、深く掘り下げたものはない。  
The endeavor presented here deals with the matter of forensics performed within a cloud computing environment. The advent of cloud computing has simplified business operations and introduced a level of business agility not previously experienced with traditional or on-premises computing. However, cloud computing has also introduced a range of security and forensics challenges. Enhanced capabilities enjoyed by legitimate businesses and friendly governments are often equally available to opposing nation-states, terrorist groups, and international criminal elements and assets. As a result, targets that were once unassailable by nefarious actors may now be vulnerable to attack or exploitation.   ここで紹介する試みは、クラウドコンピューティング環境内で実行されるフォレンジックに関する事項を扱うものである。クラウドコンピューティングの登場により、従来のオンプレミス・コンピューティングでは経験できなかったビジネスの簡素化と俊敏性がもたらされた。しかし、クラウドコンピューティングは、セキュリティとフォレンジックに関する様々な課題ももたらしている。合法的な企業や友好的な政府が享受している強化された機能は、しばしば敵対する国家、テログループ、国際的な犯罪要素や資産も同様に利用できるようになっている。その結果、かつては悪意のある行為者に手出しができなかった対象が、今では攻撃や搾取に対して脆弱になっている可能性がある。 
To a great extent, cloud computing runs on virtualization – that is, the creation of processing resources that have hardware as their basis but run as multiplexed programs and are thus functionally multiplied through it. Cloud forensics involves performing analysis on “virtual machines” using techniques that rely on having “real machines” on which to work. In addition, there is the issue of the information obtained. If the “machine” is essentially “unreal,” what does that say about any evidence derived from it? This evidence is therefore different from traditional digital evidence.   クラウドコンピューティングは、仮想化、つまり、ハードウェアをベースとしながらも、多重化されたプログラムとして動作する処理資源を作り、それによって機能的に多重化させることで成り立っている部分が大きい。クラウドフォレンジックでは、「実機」を前提とした手法で「仮想マシン」を分析することになる。さらに、得られる情報の問題もある。もし「マシン」が本質的に「非現実」であるなら、そこから得られる証拠はどうなるのだろうか。そのため、この証拠は、従来のデジタル証拠とは異なる。 
Cloud computing has become increasingly pervasive as more entities discover its advantages.  クラウドコンピューティングは、その利点を発見する事業者が増えるにつれて、ますます普及している。
These entities include legitimate businesses, governments, and individuals who use SaaS cloud platforms, as well as criminal and terrorist organizations and opposing nation-states. For legitimate consumers, cloud computing provides capabilities such as:  これらの主体には、SaaS クラウド・プラットフォームを利用する合法的な企業、政府、個人だけでなく、犯罪組織やテロ組織、敵対する国家も含まれる。正規の消費者にとって、クラウド・コンピューティングは次のような機能を提供する。
•       More rapid business continuity and disaster recovery  ・より迅速な事業継続と災害復旧
•       More effective incident response  ・より効果的なインシデントレスポンス
•       Improved information access, management, and archiving  ・情報へのアクセス,管理,アーカイブの改善
•       Easier and more immediate collaboration between widely separated individuals and groups  ・遠く離れた個人やグループ間での,より簡単で迅速な共同作業
This research has adapted solutions that originated in the on-premises data center to the significant differences presented by the cloud.    この研究では,オンプレミスのデータセンターで生まれ たソリューションを,クラウドがもたらす大きな違いに適合させた。  
As important as they are for addressing significant events related to business operations (as described above), forensic methods have at least equal importance when contributing to matters of compliance, legality, and criminal exploitation. Careful treatment has been given to these questions during this research to ensure that the findings do not merely consider technical aspects but also address the broader aspects of their material application. Unquestionably, close examination of these adverse events is required to understand their incipience and progression and – in particular – to ensure that remediation, event reconstruction, and attribution are effectively and credibly realized.  フォレンジック手法は、事業運営に関連する重要な事象に対処する上で重要であるのと同様に(上述)、コンプライアンス、合法性、犯罪利用といった問題に貢献する上でも、少なくとも同等の重要性を持っている。本研究では、調査結果が単に技術的な側面を考慮するだけでなく、その重要な応用のより広い側面を扱うことを確実にするために、これらの質問に対して慎重な取り扱いがなされた。有害事象の発生と進行を理解し、特に是正、事象の再現、帰属を効果的かつ信頼できる形で実現するためには、これらの有害事象を詳細に調査することが必要であることは疑う余地がない。
Thus, it has been the specific focus and goal of this effort to research these issues, examine and clarify the forensic challenges, and ultimately formulate and validate the capabilities required to apply accepted forensic techniques and technologies to this unique computing environment. The result is the Cloud Computing Forensic Reference Architecture.  したがって、これらの問題を研究し、フォレンジックの課題を検討し、明確にし、最終的にこのユニークなコンピューティング環境に一般的なフォレンジック技術やテクノロジーを適用するために必要な能力を策定し、検証することが、この取り組みの焦点であり目標であった。その結果が、クラウドコンピューティング・フォレンジック参照アーキテクチャーである。
In as much as a security reference architecture is required to incorporate standards and requirements that will inform system actualization and operation with respect to security, applying the forensic reference architecture will likewise inform that system actualization and operation with the capability to more effectively examine, understand, reconstruct, and remediate the variety of system events and disruptions being experienced.   セキュリティ基準アーキテクチャが、セキュリティに関してシステムの実現と運用に情報を提供するための標準と要件を組み込むために必要とされるのと同様に、フォレンジック基準アーキテクチャを適用することによって、システムの実現と運用に、経験するさまざまなシステムイベントと混乱をより効果的に調査、理解、再構築、是正する能力を提供することができるようになる。 
The goal of the CC FRA is to provide support for a cloud system’s forensic readiness. It is meant to help the user understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies which forensic challenges require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here will likely evolve over time with more use and research.   CC FRAの目標は、クラウドシステムのフォレンジック準備の支援を提供することである。これは、組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題をユーザーが理解するのを助けることを目的としている。どのようなフォレンジックの課題が緩和策を必要とするのか、そしてフォレンジック調査者がどのように特定のフォレンジック調査に適用するのかを特定する。ここで紹介するCC FRAは、使用や研究が進むにつれて進化していくと思われる。 
1.2. The Approach  1.2. アプローチ 
The CC FRA builds on several foundational layers. We begin with the understanding that this reference architecture addresses forensics in the context of a cloud computing environment. Building upon the fundamental relationship between security, incident response, and forensics, the CC FRA is designed as an overlay to NIST SP 500-299/SP 800-200, NIST Cloud Computing Security Reference Architecture (Draft) [15]. This document discusses the Security Reference Architecture (SRA) and leverages the CSA’s Enterprise Architecture (EA). Section 3 provides descriptions of the CSA’s EA and its use in the SRA, while Section 4 elaborates on the overlay approach employed for the CC FRA.    CC FRA は、いくつかの基礎的なレイヤーの上に構築されている。まず、この参照アーキテクチャは、クラウド・コンピューティング環境のコンテキストでフォレンジックに取り組むということを理解することから始める。セキュリティ、インシデントレスポンス、フォレンジックの間の基本的な関係に基づいて、CC FRA は NIST SP 500-299/SP 800-200、NIST クラウドコンピューティングセキュリティ参照アーキテクチャ (ドラフト) [15] のオーバーレイとして設計されている。本書では、セキュリティ参照アーキテクチャ(SRA)について説明し、CSAのエンタープライズアーキテクチャ(EA)を活用する。セクション 3 では、CSA の EA と SRA におけるその使用について説明し、セクション 4 では、CC FRA に採用したオー バーレイアプローチについて詳しく説明する。  
Figure 1 depicts the overlaying approach in which cloud functional capabilities comprising the EA are analyzed using the NIST cloud computing forensic challenges to identify the functional capabilities’ potential for supporting a cloud system’s forensic readiness.   図1は、EAを構成するクラウドの機能的能力をNISTクラウドコンピューティング・フォレンジック課題を用いて分析し、クラウドシステムのフォレンジック対応力を支援する機能的能力の可能性を特定するオーバーレイアプローチを示している。 
Fig. 1. Forensic Reference Architecture Overlaying Approach  図1. フォレンジック参照アーキテクチャーの重ね合わせ手法 
The bottom layer in  Figure 1 graphically represents the NIST cloud security reference architecture (SRA). The middle layer represents the NIST cloud forensic challenges. The top layer represents the NIST forensic reference architecture (FRA) described in the current document as an overlay (subset) of the graphical representation of the CSA EA – more precisely, the CSA TCI v1.1, which is the initial version of the CSA’s EA (see Appendix C).  図1の最下層は、NISTクラウドセキュリティ参照アーキテクチャ(SRA)を図式化したものである。中央の層は、NISTのクラウド・フォレンジックの課題を表している。一番上の層は、CSAのEA、より正確にはCSAのEAの初期バージョンであるCSA TCI v1.1のグラフィック表現のオーバーレイ(サブセット)として、本書で説明するNISTフォレンジック参照アーキテクチャ(FRA)を表している(附属書Cを参照)。
In Figure 1, the FRA layer leverages the two layers graphically represented beneath it by analyzing each capability of the SRA (these capabilities being derived from the CSA EA) in the context of the challenges documented in NIST IR 8006 [1]. For each challenge, the analysis determines whether the challenge affects the capability if implemented in a cloud environment as part of a cloud service or solution. If the challenge affects the capability, then the functional capability is considered to have forensic importance, and it is imported to or considered being a capability of the FRA.   図1 では、FRA 層は、SRA の各能力(これらの能力は CSA EA に由来する)を NIST IR 8006 [1] に記された課題の文脈で分析することにより、その下に図式的に表される 2 つの層を活用する。各課題について、分析は、クラウドサービスまたはソリューションの一部としてクラウド環境に実装された場合、その課題が能力に影響を及ぼすかどうかを判断する。課題が能力に影響を与える場合、その機能的能力はフォレンジック的に重要であるとみなされ、FRAの能力にインポートされるか、または能力であるとみなされる。 



6. Conclusion  6. 結論 
This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA) comprised of:  本書は、以下の内容からなる NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー(CC FRA)を提示するものである。
a)     A methodology for analyzing the functional capabilities of an existing architecture – preferably a security architecture like the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2] – through a set of cloud forensic challenges, such as the set identified in NIST IR 8006 [1]  a) NIST IR 8006 [1]で特定された一連のクラウドフォレンジック課題を通じて、既存のアーキテクチャ(できれば、Cloud Security Alliance (CSA) のエンタープライズアーキテクチャ (EA) [2] のようなセキュリティアーキテクチャ)の機能能力を分析するための方法論。
b)    A data set that aggregates the results of the above methodology applied to the CSA’s EA [2] and the NIST IR 8006 [1] set of cloud forensic challenges  b) CSA の EA [2] と NIST IR 8006 [1] のクラウド・フォレンジック課題セットに適用した上記手法の結果を集約したデータセット。
The goal of the FRA is to enable the analysis of cloud systems to determine the extent to which a system proactively supports digital forensics. More precisely, the FRA is meant to help users understand how the previously identified cloud forensic challenges might impact an organization’s cloud-based system. When developing a new system or analyzing an existing one, the FRA helps identify those cloud forensic challenges that could affect the system’s capabilities and, therefore, require at least partial mitigation strategies to support a complete forensic investigation. The FRA also identifies how a forensic investigator would apply the mitigation strategies to a particular investigation. While the FRA can be used by any cloud computing practitioner, it is specifically designed to enable cloud system architects, cloud engineers, forensic practitioners, and even cloud consumers to analyze and review their cloud computing architectures for forensic readiness.   FRAの目的は、クラウドシステムを分析し、システムがデジタルフォレンジックをどの程度まで積極的に支援しているかを判断できるようにすることである。より正確には、FRAは、先に特定されたクラウド・フォレンジックの課題が、組織のクラウドベースのシステムにどのような影響を与えうるかをユーザーが理解するのを助けることを意図している。新しいシステムを開発する場合、または既存のシステムを分析する場合、FRAは、システムの機能に影響を与える可能性があり、したがって、完全なフォレンジック調査を支援するために少なくとも部分的な緩和戦略を必要とするクラウドフォレンジックの課題を特定するのに役立つ。また、FRAは、フォレンジック調査員が特定の調査に緩和策を適用する方法を特定する。FRAは、クラウドコンピューティングの専門家なら誰でも使用できるが、特に、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、さらにはクラウド利用者が、フォレンジック準備のためにクラウドコンピューティングアーキテクチャを分析およびレビューできるよう設計されている。 
The FRA data provided in this document offers an initial implementation of the FRA methodology and a useful starting point for all cloud forensic stakeholders to analyze how the NIST cloud forensic challenges presented in NIST IR 8006 [1] affect each functional capability present in the CSA’s EA [2].   本文書で提供されるFRAデータは、FRA手法の初期実装と、NIST IR 8006 [1]で示されたNISTクラウドフォレンジックの課題がCSAのEA [2]にある各機能能力にどのように影響するかを分析する、すべてのクラウド・フォレンジックの関係者にとって有用な出発点を提供するものである。 
All users are encouraged to customize this initial implementation (shown in Appendix D) for their specific situations and needs. For example, if the existing functional capabilities are not appropriate for the user’s situation, some or all can be removed, and new ones can be added. Similarly, new forensic challenges appropriate for the user’s situation can be added, and challenges that have been adequately mitigated can be removed. The FRA methodology promotes analysis of how cloud forensic challenges affect particular functional capabilities and helps determine whether mitigations are necessary to ensure forensic readiness related to the respective capability. This means that users can replace all cloud forensics challenges or functional capabilities used in the current FRA data set with their own.  すべてのユーザは、この初期実装(附属書D に示す)を特定の状況やニーズに応じてカスタマイズすることが推奨される。例えば、既存の機能的能力がユーザーの状況に適していない場合、一部または全部を削除し、新しいものを追加することができる。同様に、ユーザーの状況に適した新たなフォレンジック課題を追加し、十分に緩和された課題を削除することができる。FRA手法は、クラウドのフォレンジック課題が特定の機能能力にどのように影響するかの分析を促進し、それぞれの能力に関するフォレンジック対応力を確保するために緩和が必要かどうかを判断するのに役立つ。これは、ユーザーが現在のFRAデータセットで使用されているすべてのクラウドフォレンジックの課題または機能的能力を独自のものに置き換えることができることを意味する。
The FRA presented here will likely evolve over time, and methods for quantifying impact will be developed to enhance FRA usability.  ここで紹介したFRAは、時間の経過とともに進化し、FRAの使い勝手を向上させるために影響を定量化する方法が開発されると思われる。



[1] Herman M, Iorga M, Salim AS, Jackson R, Hurst M, Leo R, Lee R, Landreville N, Mishra AK, Wang Y, Sardinas R (2020). NIST Cloud Computing Forensic Science Challenges. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8006. https://doi.org/10.6028/NIST.IR.8006

[2] Cloud Security Alliance Enterprise Architecture. Available at https://ea.cloudsecurityalliance.org/

[3] The White House, Executive Order on Improving the Nation’s Cybersecurity, May 12, 2021. Available at https://www.whitehouse.gov/briefing-room/presidentialactions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[4] Joint Task Force (2018). Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-37, Rev. 2. https://doi.org/10.6028/NIST.SP.800-37r2

[5] International Organization for Standardization, ISO 2700 Standards. Available at https://www.27000.org/index.htm

[6] ISO/IEC 27001, Information Technology — Security Techniques — Information Security Management Systems — Requirements, 2013. Available at https://www.iso.org/standard/54534.html

[7] ISO/IEC 27002, Information Security, Cybersecurity and Privacy Protection — Information Security Controls, 2022. Available at https://www.iso.org/standard/75652.html

[8] ISO/IEC 27018, Information Technology — Security Techniques — Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors, 2019. Available at https://www.iso.org/standard/76559.html

[9] ISO/IEC 27035-2, Information Technology — Security Techniques — Information Security Incident Management — Part 2: Guidelines to Plan and Prepare for Incident Response, 2016. Available at https://www.iso.org/standard/62071.html

[10] ISO/IEC 27037, Information Technology — Security Techniques — Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence, 2012. Available at https://www.iso.org/standard/44381.html

[11] IT Infrastructure Library (ITIL). Available at https://www.ibm.com/cloud/learn/itinfrastructure-library

[12] The SABSA Institute, SABSA Enterprise Security Architecture. Available at https://sabsa.org/

[13] The Open Group, The TOGAF Standard, Version 9.2. Available at https://www.opengroup.org/togaf

[14] Cloud Security Alliance – Security, Trust, Assurance and Risk (STAR). Available at https://cloudsecurityalliance.org/star

[15] NIST Cloud Computing Security Reference Architecture (Draft). (National Institute of Standards and Technology, Gaithersburg, MD).  NIST Special Publication (SP) 500299/800-200. Available at https://github.com/usnistgov/CloudSecurityArchitectureToolCSAT-v0.1/blob/master/Documents/NIST%20SP%20800-200SRA_DRAFT_20180414.pdf






・2020.08.26 NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理



・2021.06.07 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドの日本語訳を公表していますね。。。

・2021.05.05 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

・2020.04.23 Cloud Security Alliance がクラウド上でのインシデント対応のフレームワーク(クイックガイド)を公表していますね。。。



・2021.09.17 Cloud Security Alliance STAR認証:継続的監査の導入

・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン



・2021.01.10 CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出



| | Comments (0)


米国 FBI 中国の高高度気球の回収






・2023.02.09 Chinese High-Altitude Balloon Recovery 

Chinese High-Altitude Balloon Recovery 中国の高高度気球の回収
Behind the Bureau’s role as the lead governing agency for the forensic examination of the Chinese high-altitude balloon 中国高高度気球の科学捜査の主管庁としての同局の役割の裏側
In a news briefing on Thursday, senior FBI officials detailed the Bureau’s role as the lead governing agency for the forensic examination of the Chinese high-altitude balloon identified and shot down February 5 by the U.S. military off the coast of South Carolina. 2月5日に米軍がサウスカロライナ州沖で発見・撃墜した中国製高高度気球の科学捜査の主管庁としてのFBIの役割について、FBI高官が1日の記者会見で詳しく説明しました。
The Operational Technology Division and the Laboratory Division are working closely with subject matter experts from the Department of Defense—including the Naval Criminal Investigative Service—and other government agencies. Additionally, personnel from the FBI’s Washington, Columbia, Charlotte, and Norfolk field offices have deployed personnel, including ERT- and USERT-trained agents, to assist with the logistics of the recovery and analysis of the debris.  運用技術部門と研究所部門は、海軍犯罪捜査局を含む国防総省やその他の政府機関の主題専門家と緊密に連携しています。さらに、FBIのワシントン、コロンビア、シャーロット、ノーフォークの各支局から、ERTとUSERTの訓練を受けた捜査官を含む人員を派遣し、瓦礫の回収と分析の後方支援を行っています。 
“We were on-scene late Sunday, on February 5, and the first evidence that was received was transported to Quantico and received late Monday.” 我々は2月5日の日曜日遅くに現場に入り、最初に受け取った証拠をクアンティコに輸送し、月曜日遅くに受け取りました。
Eric Pokorak, assistant director, Laboratory Division ラボラトリー部門アシスタントディレクター エリック ポコラック氏
FBI special agents assigned to the Evidence Response Team process material recovered from the high-altitude balloon recovered off the coast of South Carolina. サウスカロライナ州沖で回収された高高度気球から回収された物質を処理する証拠品対応チームのFBI特別捜査官。
Michael Paul, assistant director of the Operational and Technology Division (OTD), and Eric Pokorak, assistant director of the Laboratory Division, said it is too early in the investigation to determine the intent and capabilities of the balloon. 運用技術部(OTD)のマイケル・ポール部長補佐と研究所部のエリック・ポコラック部長補佐は、気球の意図や能力を判断するには捜査の初期段階であると述べています。
Pokorak said much of the evidence remains underwater and that the FBI is coordinating further searches with the U.S. Navy and Coast Guard. Dive teams from the FBI and U.S. Navy are working together. ポコラック氏によると、証拠の多くは水中に残っており、FBIは米海軍および沿岸警備隊とさらなる捜索を調整しているとのことです。FBIと米海軍の潜水チームが協力しています。
“We were on-scene late Sunday, on February 5, and the first evidence that was received was transported to Quantico and received late Monday, February 6,” he explained. Pokorak described the search area as a “large-scale scene” and said weather concerns in the next few days “may impact” evidence collection and the transportation of recovered items. ポコラック氏は、次のように述べました。「私たちは2月5日の日曜日遅くに現場に入り、最初に受け取った証拠をクアンティコに運び、2月6日の月曜日遅くに受け取りました。捜索地域を「大規模な現場」と表現し、今後数日間の天候の懸念が証拠収集や回収品の輸送に「影響を与える可能性があります。」
FBI technical and forensic experts from the FBI's Science and Technology Branch positioned for incoming evidence. FBIの科学技術部門の技術・フォレンジック専門家が、搬入される証拠品の位置付けを行います。
Once the evidence is received at the FBI Laboratory in Quantico, Virginia, a team of experts engages in a decontamination process, Pokorak continued. “In simple terms, that is removing the salt water from the evidence itself. Rinsing and washing it so that it can be further processed.” そして、ポコラック氏は次のように続けました。「バージニア州クアンティコにあるFBI研究所で証拠品を受け取ると、専門家チームが除染作業に取り掛かります。簡単に言うと、証拠品から塩分を取り除くことです。さらに処理できるように、すすぎと洗浄を行います。」
The evidence recovered so far has been limited to surface findings, including the balloon (or canopy itself) some wiring, a tiny amount of electronics—but only a small portion of the payload. これまでのところ、回収された証拠は、気球(またはキャノピー自体)、いくつかの配線、ごく少量の電子機器など、表面上の発見物に限られていますが、搭載物のごく一部しかありません。
“We have not seen the payload where we expect to see the lion’s share of the electronics,” said Paul. “OTD deployed specialists to assist with screening and to specifically assess electronic components that might be recovered during the operation.” ポール氏は、次のように言いました。「電子機器の大部分を見ることができるはずの搭載物をまだ見ていないのです。OTDは、スクリーニングを支援し、作戦中に回収される可能性のある電子部品を特別に評価するために、専門家を配備しました」。
Top: FBI subject matter experts prepare to board the USS Carter Hull to conduct search and recovery operations in collaboration with the U.S. Navy. 上:米海軍と協力して捜索・回収活動を行うため、USSカーター・ハルに乗り込む準備をするFBIの主題専門家たち。
He said this investigation marks the first time the FBI Laboratory and OTD have responded to a “hot air balloon of this nature” and the processing of the corresponding scene. Paul said no “energetic or offensive material” has been detected but emphasized much of the evidence has yet to be recovered. 今回の捜査は、FBI研究所とOTDが「このような性質の熱気球」に対応する初めてのケースであり、対応する現場の処理であると述べました。ポール氏は、「エネルギーや攻撃的な物質」は検出されなかったが、証拠の多くがまだ回収されていないことを強調しました。
Asked about the manufacturer of the balloon or whether its design was based on stolen intelligence, Paul said the FBI is not in position “at this point to have that information.” He said both the FBI Laboratory and OTD are working to determine the source of the balloon components. Additionally, the FBI has no information or physical evidence at this time that contradicts previous statements made by other government agencies.  気球の製造元や、その設計が盗まれた情報に基づいているかどうかについて尋ねられたポール氏は、FBIは「現時点ではその情報を入手できる立場にない」と答えました。同氏は、FBI研究所とOTDの両方が、気球の部品の出所を特定するために作業中であると述べました。 さらに、FBIは現時点では、他の政府機関による以前の声明と矛盾する情報や物的証拠を持ち合わせていません。 
The Laboratory Division leads the collection, transportation, and subsequent forensic examinations of evidentiary material. It is staffed with subject matter experts, including highly trained evidence response dive teams and hazardous evidence response teams, which contribute to the mission of collecting, analyzing, and sharing timely scientific and technical information within the FBI and with other government and law enforcement agencies. 研究所は、証拠となる物質の収集、輸送、およびその後のフォレンジック検査を主導しています。高度な訓練を受けた証拠品対応潜水チームや危険な証拠品対応チームを含む主題専門家が配置されており、タイムリーな科学技術情報を収集、分析し、FBI 内および他の政府機関や法執行機関と共有するという使命に貢献しています。
The OTD is the FBI’s provenance for applied technology enabling and enhancing investigations. OTD personnel have been deployed to assist with recovery efforts and initial assessments of technological evidence. OTDは、捜査を可能にし、強化する応用技術に関するFBIの出先機関です。OTDの職員は、復旧作業と技術的証拠の初期評価を支援するために配備されています。





・2023.02.11 米国 中国の偵察気球が米国上空を通過 (2つ目の撃墜の件も追加...)



| | Comments (0)


ENISA European Cybersecurity Skills Framework (ECSF) User Manual & Role Profiles (2022.09.19)


今更ですが、ENISAのSkill関係の報告書のいくつかを見落としていました。。。ということで、まずは、European Cybersecurity Skills Framework (ECSF) 関係です。。。


・2022.09.19 European Cybersecurity Skills Framework (ECSF) - User Manual

European Cybersecurity Skills Framework (ECSF) - User Manual 欧州サイバーセキュリティ・スキルフレームワーク(ECSF) - ユーザーマニュアル
The ECSF User Manual provides a comprehensive overview of the ECSF’s main scope, framework principles and application opportunities. The primary purpose of the manual is to make the ECSF easily accessible by, understandable for, and usable by all stakeholders with an active role or a need for appropriately skilled cybersecurity professionals ECSFユーザーマニュアルは、ECSFの主な範囲、フレームワークの原則、適用機会について包括的に説明している。本マニュアルの主な目的は、適切なスキルを持つサイバーセキュリティ専門家の積極的な役割やニーズを持つすべてのステークホルダーがECSFに容易にアクセスでき、理解でき、使用できるようにすることである。


・[PDF] European Cybersecurity Skills Framework (ECSF) - User Manual



1.   INTRODUCTION  1.   はじめに 
1.1   TARGET AUDIENCE  1.1 想定読者 
1.2   STRUCTURE OF THE MANUAL  1.2 マニュアルの構成 
2.1.1  Simple yet Comprehensive  2.1.1 シンプルかつ包括的 
2.1.2  Flexible and Scalable  2.1.2 柔軟で拡張性がある 
2.1.3  Open and Impartial  2.1.3 オープンで公平
2.1.4  European  2.1.4 ヨーロッパ的 
4.   TERMS AND DEFINITIONS  4.   用語と定義 
5.   REFERENCES  5.   参考文献 
B   ANNEX: USE CASES  附属書B:ユースケース 
B.1   USE CASE FROM CONCORDIA H2020 PROJECT  B.1 コンコーディア H2020 プロジェクトのユースケース 
B.2   USE CASE FROM SPARTA H2020 PROJECT  B.2 Sparta H2020プロジェクトのユースケース 
B.3   USE CASE FROM INCIBE  B.3 incibeのユースケース 
B.5   USE CASE FROM ISC2  B.5 ISC2 のユースケース 
B.6   USE CASE FROM ISACA  B.6 Isacaのユースケース 



The cybersecurity workforce shortage and skills gap is a major concern for both economic development and national security. By looking into the problem, ENISA identified Europe’s need for a comprehensive approach to define a set of cybersecurity roles and skills that could be leveraged to reduce the shortage and the skills gap. ENISA has worked on the development of such a framework and presents the European Cybersecurity Skills Framework (ECSF), which is intended to strengthen European cybersecurity culture by providing a common  サイバーセキュリティの人材不足とスキルギャップは、経済発展と国家安全保障の両方にとって大きな懸念事項である。ENISAは、この問題を調べることで、不足とスキルギャップを減らすために活用できる一連のサイバーセキュリティの役割とスキルを定義するための包括的なアプローチの必要性を欧州で確認した。ENISAは、このようなフレームワークの開発に取り組み、欧州サイバーセキュリティ・スキルフレームワーク(ECSF)を発表した。
European language across communities, taking an essential step forward towards Europe’s digital future.  ECSFは、欧州のサイバーセキュリティ文化を強化し、欧州のデジタルな未来に向けた重要な一歩を踏み出すために、コミュニティ間で欧州の共通言語を提供することを目的としている。
The ECSF provides a practical tool to support the identification and articulation of tasks, competences, skills and knowledge associated with the roles of European cybersecurity professionals. The main purpose of the framework is to create a common understanding between individuals, employers and providers of learning programmes across EU Member States, making it a valuable tool to bridge the gap between the cybersecurity professional workplace and learning environments.  ECSFは、欧州のサイバーセキュリティ専門家の役割に関連するタスク、能力、スキル、知識の特定と明確化を支援する実用的なツールを提供する。このフレームワークの主な目的は、EU加盟国の個人、雇用者、学習プログラムの提供者の間で共通の理解を得ることであり、サイバーセキュリティ専門家の職場と学習環境の間のギャップを埋めるための貴重なツールとなっている。
The framework describes the most important requirements of a professional cybersecurity workplace by defining a set of 12 typical cybersecurity professional role profiles. These profiles provide a common understanding of the main cybersecurity missions, tasks and skills needed in a professional cybersecurity context, making it the perfect reference for profiling skills and knowledge needed by cybersecurity professionals. The framework was designed to be easily understood and comprehensive enough to provide appropriate in-depth cybersecurity insights as well as flexible enough to allow customisation based on each user’s needs. By incorporating all stakeholder perspectives, the framework is applicable to all types of organisations and supports the development of all cybersecurity professions.  このフレームワークは、12種類の典型的なサイバーセキュリティ専門家の役割プロファイルを定義することによって、サイバーセキュリティ専門職の最も重要な要件を記述している。これらのプロファイルは、サイバーセキュリティの専門的な状況で必要とされる主なサイバーセキュリティのミッション、タスク、スキルの共通理解を提供し、サイバーセキュリティの専門家が必要とするスキルと知識をプロファイルするための完璧な参考資料となる。このフレームワークは、理解しやすく、サイバーセキュリティに関する深い洞察を提供できるほど包括的であると同時に、各ユーザーのニーズに基づいてカスタマイズできるほど柔軟であるように設計されている。すべての関係者の視点を取り入れることで、このフレームワークはあらゆる種類の組織に適用でき、すべてのサイバーセキュリティ専門家の育成をサポートする。
The ECSF is the result of work conducted by ENISA’s Ad-Hoc Working Group on the European Cybersecurity Skills Framework[1] formed by experts representing various views. The developed framework is based on an analysis of existing frameworks, the results and findings from research on market needs and agreement among experts. User case studies and indicative examples, inspired by various workplace and learning environments, demonstrate the practical implementation of this framework and support this work.  ECSFは、様々な意見を代表する専門家で構成されたENISAの欧州サイバーセキュリティ技能フレームワークに関するアドホックワーキンググループ[1]が行った作業の成果である。開発されたフレームワークは、既存のフレームワークの分析、市場ニーズに関する調査結果や知見、専門家間の合意に基づいている。様々な職場や学習環境から着想を得たユーザ事例や指標となる事例が、このフレームワークの実践を示し、この作業を支援している。
The main benefits of using the ECSF were found to be:  ECSFを使用する主な利点は以下の通りであることが判明した。
•        ensuring a common terminology and shared understanding regarding cybersecurity professionals across the EU;  ・EU全域で,サイバーセキュリティの専門家に関する共通の用語と共通の理解を確保する。
•        identifying the critical skills-set required from the perspective of the cybersecurity workforce to support its further development and enhancement;  ・サイバーセキュリティ人材の観点から必要とされる重要なスキルセットを特定し,そのさらなる開発と強化を支援する。
•        promoting harmonisation in cybersecurity education, training and workforce development programmes.  ・サイバーセキュリティの教育,訓練,人材開発プログラムにおける調和を促進すること。
This ECSF User Manual provides a comprehensive overview of the ECSF’s main scope, framework principles and application opportunities. The primary purpose of the manual is to make the ECSF easily accessible by, understandable for, and usable by all stakeholders with an active role or a need for appropriately skilled cybersecurity professionals.  このECSFユーザーマニュアルは、ECSFの主な範囲、フレームワークの原則、適用機会について包括的な概要を提供している。本マニュアルの主な目的は、適切なスキルを持つサイバーセキュリティ専門家の積極的な役割や必要性を持つすべての関係者が、ECSFに容易にアクセスでき、理解でき、使用できるようにすることである。
The European Cybersecurity Skills Framework (ECSF) is intended to strengthen European cybersecurity culture by providing a common European language across communities, taking an essential step forward towards Europe’s digital future. 欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、欧州のサイバーセキュリティ文化を強化し、欧州のデジタルな未来に向けて不可欠な一歩を踏み出すために、コミュニティ間で欧州共通言語を提供することを目的としている。

[1] https://www.enisa.europa.eu/topics/cybersecurity-education/european-cybersecurity-skills-framework/adhoc_wg_calls


・2022.09.19 European Cybersecurity Skills Framework Role Profiles

European Cybersecurity Skills Framework Role Profiles 欧州サイバーセキュリティ・スキルフレームワークのロールプロファイル
The ECSF role profiles document lists the 12 typical cybersecurity professional role profiles along with their identified titles, missions, tasks, skills, knowledge, competences. The main purpose of this framework is to create a common understanding between individuals, employers and providers of learning programmes across EU Member States, making it a valuable tool to bridge the gap between the cybersecurity professional workplace and learning environments. ECSF の役割プロファイル文書には、12の典型的なサイバーセキュリティ専門家の役割プロファイルが、特定されたタイトル、ミッション、タスク、スキル、知識、コンピテンスとともにリストアップされている。このフレームワークの主な目的は、EU加盟国の個人、雇用者、学習プログラムの提供者の間で共通の理解を得ることであり、サイバーセキュリティ専門家の職場と学習環境の間のギャップを埋めるための貴重なツールとなっている。


・[PDF] European Cybersecurity Skills Framework Role Profiles


・[DOCX] 仮訳



1. OVERVIEW 1. 概要
2. PROFILES 2. プロフィル
2.2 CYBER INCIDENT RESPONDER 2.2 サイバーインシデント対応担当者
2.3 CYBER LEGAL, POLICY & COMPLIANCE OFFICER 2.3 サイバー法務・政策・コンプライアンス担当者
2.5 CYBERSECURITY ARCHITECT 2.5 サイバーセキュリティ・アーキテクト
2.6 CYBERSECURITY AUDITOR 2.6 サイバーセキュリティ監査人
2.7 CYBERSECURITY EDUCATOR 2.7 サイバーセキュリティ教育者
2.9 CYBERSECURITY RESEARCHER 2.9 サイバーセキュリティ・リサーチャー
2.10 CYBERSECURITY RISK MANAGER 2.10 サイバーセキュリティ・リスクマネージャー
2.12 PENETRATION TESTER 2.12 ペネトレーションテスター







■ 参考




Workforce Framework for Cybersecurity (NICE Framework)


  • カテゴリー (7) - 一般的なサイバーセキュリティ機能のハイレベルなグループ化。
  • 専門分野 (33) - サイバーセキュリティの業務における個別の分野。
  • 役割 (52) - 仕事の役割でタスクを実行するために必要な特定の知識、スキル、能力 (KSA) で構成されるサイバーセキュリティの仕事の最も詳細なグループ



Analyze 分析
Performs highly-specialized review and evaluation of incoming cybersecurity information to determine its usefulness for intelligence. 受信したサイバーセキュリティ情報を高度に専門化したレビューと評価を行い、インテリジェンスとしての有用性を判断する。
Collect and Operate 収集と操作
Provides specialized denial and deception operations and collection of cybersecurity information that may be used to develop intelligence. 専門的な妨害・欺瞞作戦を実施し、インテリジェンス開発に使用される可能性のあるサイバーセキュリティ情報を収集する。
Investigate 調査
Investigates cybersecurity events or crimes related to information technology (IT) systems, networks, and digital evidence. 情報技術(IT)システム、ネットワーク、デジタル証拠に関連するサイバーセキュリティイベントや犯罪を調査する。
Operate and Maintain 運営と維持
Provides the support, administration, and maintenance necessary to ensure effective and efficient information technology (IT) system performance and security. 効果的かつ効率的な情報技術(IT)システムのパフォーマンスとセキュリティを確保するために必要なサポート、管理、保守を提供する。
Oversee and Govern 監督と管理
Provides leadership, management, direction, or development and advocacy so the organization may effectively conduct cybersecurity work. 組織が効果的にサイバーセキュリティ業務を遂行できるように、指導、管理、指示、または開発、擁護を行う。
Protect and Defend 保護と防御
Identifies, analyzes, and mitigates threats to internal information technology (IT) systems and/or networks. 社内の情報技術(IT)システムおよび/またはネットワークに対する脅威を特定し、分析し、軽減させる。
Securely Provision 安全な提供
Conceptualizes, designs, procures, and/or builds secure information technology (IT) systems, with responsibility for aspects of system and/or network development. 情報技術(IT)システムの概念化、設計、調達、構築を行い、システムおよび/またはネットワーク開発の側面を担当する。



Analyze 分析
All-Source Analysis オールソース分析
Analyzes threat information from multiple sources, disciplines, and agencies across the Intelligence Community. Synthesizes and places intelligence information in context; draws insights about the possible implications. インテリジェンス・コミュニティ内の複数の情報源、分野、機関から得た脅威情報を分析する。インテリジェンス情報を統合し、文脈の中に位置づけ、起こりうる影響についての洞察を導き出す。
Exploitation Analysis エクスプロイト分析
Analyzes collected information to identify vulnerabilities and potential for exploitation. 収集した情報を分析し、脆弱性や悪用される可能性を特定する。
Language Analysis 言語分析
Applies language, cultural, and technical expertise to support information collection, analysis, and other cybersecurity activities. 言語、文化、技術的な専門知識を応用し、情報収集、分析、その他のサイバーセキュリティ活動を支援する。
Targets ターゲット
Applies current knowledge of one or more regions, countries, non-state entities, and/or technologies. 1つまたは複数の地域、国、非国家組織、および/または技術に関する現在の知識を適用する。
Threat Analysis 脅威の分析
Identifies and assesses the capabilities and activities of cybersecurity criminals or foreign intelligence entities; produces findings to help initialize or support law enforcement and counterintelligence investigations or activities. サイバーセキュリティ犯罪者や外国諜報機関の能力と活動を特定・評価し、法執行や防諜の調査・活動の初期化または支援に役立つ知見を提供する。
Collect and Operate 収集と運用
Collection Operations 収集活動
Executes collection using appropriate strategies and within the priorities established through the collection management process. 適切な戦略を用い、収集管理プロセスで確立された優先順位の範囲内で収集を実行する。
Cyber Operational Planning サイバー作戦計画
Performs in-depth joint targeting and cybersecurity planning process. Gathers information and develops detailed Operational Plans and Orders supporting requirements. Conducts strategic and operational-level planning across the full range of operations for integrated information and cyberspace operations. 綿密な共同ターゲティングとサイバーセキュリティの計画プロセスを実行する。情報を収集し、詳細な作戦計画および要件を裏付ける命令を作成する。統合された情報およびサイバースペース運用のための全運用範囲にわたる戦略および運用レベルのプランニングを実施する。
Cyber Operations サイバー作戦
Performs activities to gather evidence on criminal or foreign intelligence entities to mitigate possible or real-time threats, protect against espionage or insider threats, foreign sabotage, international terrorist activities, or to support other intelligence activities. 犯罪者や外国の諜報機関について証拠を収集し、起こりうる脅威やリアルタイムの脅威を緩和し、スパイや内部脅威、外国の破壊工作、国際テロ活動から保護し、その他の諜報活動を支援するための活動を行う。
Investigate 調査
Cyber Investigation サイバー捜査
Applies tactics, techniques, and procedures for a full range of investigative tools and processes to include, but not limited to, interview and interrogation techniques, surveillance, counter surveillance, and surveillance detection, and appropriately balances the benefits of prosecution versus intelligence gathering. あらゆる捜査ツールおよびプロセスの戦術、技術、手順を適用する。これには、取調べや尋問の技術、監視、対抗監視、監視検知などが含まれますが、これらに限定されるものではなく、起訴と情報収集のメリットを適切にバランスさせることができます。
Digital Forensics デジタルフォレンジック
Collects, processes, preserves, analyzes, and presents computer-related evidence in support of network vulnerability mitigation and/or criminal, fraud, counterintelligence, or law enforcement investigations. ネットワーク脆弱性の緩和や犯罪、詐欺、防諜、法執行の調査を支援するために、コンピュータ関連の証拠を収集、処理、保存、分析、提示する。
Operate and Maintain 運用・保守
Customer Service and Technical Support カスタマーサービスとテクニカルサポート
Addresses problems; installs, configures, troubleshoots, and provides maintenance and training in response to customer requirements or inquiries (e.g., tiered-level customer support). Typically provides initial incident information to the Incident Response (IR) Specialty. 問題への対処、インストール、設定、トラブルシューティング、メンテナンスやトレーニングの提供など、顧客の要求や問い合わせに対応する(例:階層別カスタマーサポートなど)。通常、インシデントレスポンス(IR)専門部署に初期インシデント情報を提供する。
Data Administration データ管理
Develops and administers databases and/or data management systems that allow for the storage, query, protection, and utilization of data. データの保存、照会、保護、利用を可能にするデータベースやデータ管理システムを開発・管理する。
Knowledge Management ナレッジマネジメント
Manages and administers processes and tools that enable the organization to identify, document, and access intellectual capital and information content. 組織が知的資本や情報コンテンツを特定し、文書化し、アクセスできるようにするためのプロセスやツールを管理・運用する。
Network Services ネットワークサービス
Installs, configures, tests, operates, maintains, and manages networks and their firewalls, including hardware (e.g., hubs, bridges, switches, multiplexers, routers, cables, proxy servers, and protective distributor systems) and software that permit the sharing and transmission of all spectrum transmissions of information to support the security of information and information systems. 情報および情報システムのセキュリティをサポートするために、情報のあらゆるスペクトル伝送の共有と伝送を可能にするハードウェア(ハブ、ブリッジ、スイッチ、マルチプレクサ、ルータ、ケーブル、プロキシサーバ、保護分配システムなど)およびソフトウェアを含むネットワークおよびそのファイアウォールの設置、設定、テスト、運用、維持、管理。
Systems Administration システム管理
Installs, configures, troubleshoots, and maintains server configurations (hardware and software) to ensure their confidentiality, integrity, and availability. Manages accounts, firewalls, and patches. Responsible for access control, passwords, and account creation and administration. サーバー構成(ハードウェア及びソフトウェア)のインストール、設定、トラブルシューティング、保守を行い、その機密性、完全性、可用性を確保する。アカウント、ファイアウォール、パッチを管理する。アクセスコントロール、パスワード、アカウントの作成と管理を担当。
Systems Analysis システム分析
Studies an organization's current computer systems and procedures, and designs information systems solutions to help the organization operate more securely, efficiently, and effectively. Brings business and information technology (IT) together by understanding the needs and limitations of both. 組織の現在のコンピュータシステムおよび手順を調査し、組織がより安全に、効率よく、効果的に運営できるような情報システムソリューションを設計する。ビジネスと情報技術(IT)双方のニーズと限界を理解し、両者を結びつける。
Oversee and Govern 監督と管理
Cybersecurity Management サイバーセキュリティマネジメント
Oversees the cybersecurity program of an information system or network, including managing information security implications within the organization, specific program, or other area of responsibility, to include strategic, personnel, infrastructure, requirements, policy enforcement, emergency planning, security awareness, and other resources. 情報システムまたはネットワークのサイバーセキュリティプログラムを監督し、組織、特定のプログラム、またはその他の担当領域における情報セキュリティの意味合いを管理し、戦略、人材、インフラ、要件、ポリシー実施、緊急計画、セキュリティ意識、およびその他のリソースを含めることができる。
Executive Cyber Leadership エグゼクティブ・サイバー・リーダーシップ
Supervises, manages, and/or leads work and workers performing cyber and cyber-related and/or cyber operations work. サイバー、サイバー関連、サイバーオペレーション業務を行う業務従事者の監督、管理、指導を行う。
Legal Advice and Advocacy 法的助言と擁護
Provides legally sound advice and recommendations to leadership and staff on a variety of relevant topics within the pertinent subject domain. Advocates legal and policy changes, and makes a case on behalf of client via a wide range of written and oral work products, including legal briefs and proceedings. 関連する領域内の様々なトピックについて、リーダーシップやスタッフに対し、法的に適切なアドバイスや提案を行う。また、法律や政策の変更を主張し、クライアントのために、法律概要書や訴訟手続きなど、幅広い書面や口頭の成果物を通じて主張する。
Program/Project Management and Acquisition プログラム・プロジェクト管理および取得
Applies knowledge of data, information, processes, organizational interactions, skills, and analytical expertise, as well as systems, networks, and information exchange capabilities to manage acquisition programs. Executes duties governing hardware, software, and information system acquisition programs and other program management policies. Provides direct support for acquisitions that use information technology (IT) (including National Security Systems), applying IT-related laws and policies, and provides IT-related guidance throughout the total acquisition life cycle. データ、情報、プロセス、組織の相互作用、スキル、分析的専門知識、およびシステム、ネットワーク、情報交換能力に関する知識を適用し、取得プログラムを管理する。ハードウェア、ソフトウェア、情報システムの取得プログラムおよびその他のプログラム管理方針を管理する職務を遂行する。情報技術(IT)(国家安全保障システムを含む)を使用する買収を直接支援し、IT関連の法律や政策を適用し、買収のライフサイクル全体を通じてIT関連のガイダンスを提供する。
Strategic Planning and Policy 戦略的計画・政策
Develops policies and plans and/or advocates for changes in policy that support organizational cyberspace initiatives or required changes/enhancements. 組織のサイバースペースイニシアチブや必要な変更・強化をサポートする政策・計画の策定や政策変更の提唱を行う。
Training, Education, and Awareness トレーニング、教育、意識向上
Conducts training of personnel within pertinent subject domain. Develops, plans, coordinates, delivers and/or evaluates training courses, methods, and techniques as appropriate. 関連する主題領域における要員のトレーニングを実施する。適切なトレーニングコース、方法、技術を開発、計画、調整、提供、評価する。
Protect and Defend 保護と防衛
Cyber Defense Analysis サイバー防衛分析
Uses defensive measures and information collected from a variety of sources to identify, analyze, and report events that occur or might occur within the network to protect information, information systems, and networks from threats. 情報、情報システム、ネットワークを脅威から守るために、防御策や様々なソースから収集した情報を使用して、ネットワーク内で発生した、または発生する可能性のあるイベントを特定、分析、報告する。
Cyber Defense Infrastructure Support サイバーディフェンスインフラストラクチャサポート
Tests, implements, deploys, maintains, reviews, and administers the infrastructure hardware and software that are required to effectively manage the computer network defense service provider network and resources. Monitors network to actively remediate unauthorized activities. コンピュータネットワーク防御サービスプロバイダのネットワークとリソースを効果的に管理するために必要なインフラのハードウェアとソフトウェアのテスト、実装、展開、維持、レビュー、管理を行います。ネットワークを監視し、不正な活動を積極的に是正する。
Incident Response インシデントレスポンス
Responds to crises or urgent situations within the pertinent domain to mitigate immediate and potential threats. Uses mitigation, preparedness, and response and recovery approaches, as needed, to maximize survival of life, preservation of property, and information security. Investigates and analyzes all relevant response activities. 危機や緊急事態に対応し、緊急かつ潜在的な脅威を軽減する。必要に応じて、緩和、準備、対応と復旧のアプローチを使用し、人命の生存、財産の保全、情報セキュリティを最大化する。関連するすべての対応活動を調査・分析する。
Vulnerability Assessment and Management 脆弱性の評価と管理
Conducts assessments of threats and vulnerabilities; determines deviations from acceptable configurations, enterprise or local policy; assesses the level of risk; and develops and/or recommends appropriate mitigation countermeasures in operational and nonoperational situations. 脅威と脆弱性の評価を実施し、許容される設定、企業または地域のポリシーからの逸脱を判断し、リスクのレベルを評価し、運用中および非運用中の状況において適切な緩和策を開発および/または推奨する。
Securely Provision 安全な提供
Risk Management リスク管理
Oversees, evaluates, and supports the documentation, validation, assessment, and authorization processes necessary to assure that existing and new information technology (IT) systems meet the organization's cybersecurity and risk requirements. Ensures appropriate treatment of risk, compliance, and assurance from internal and external perspectives. 既存及び新規の情報技術(IT)システムが組織のサイバーセキュリティ及びリスク要件を満たすことを保証するために必要な文書化、検証、評価、承認プロセスを監督、評価、サポートする。社内外の視点から、リスク、コンプライアンス、保証の適切な取り扱いを保証する。
Software Development ソフトウェア開発
Develops and writes/codes new (or modifies existing) computer applications, software, or specialized utility programs following software assurance best practices. ソフトウェア保証のベストプラクティスに従って、新しい(または既存の)コンピュータアプリケーション、ソフトウェア、または特殊なユーティリティプログラムを開発し、記述/コード化する。
Systems Architecture システムアーキテクチャー
Develops system concepts and works on the capabilities phases of the systems development life cycle; translates technology and environmental conditions (e.g., law and regulation) into system and security designs and processes. システムコンセプトを開発し、システム開発ライフサイクルの能力フェーズに取り組み、技術や環境条件(法律や規制など)をシステムおよびセキュリティの設計とプロセスに反映させる。
Systems Development システム開発
Works on the development phases of the systems development life cycle. システム開発ライフサイクルの開発フェーズを担当する。
Systems Requirements Planning システム要件計画
Consults with customers to gather and evaluate functional requirements and translates these requirements into technical solutions. Provides guidance to customers about applicability of information systems to meet business needs. 顧客と相談し、機能要件を収集・評価し、これらの要件を技術的なソリューションに変換する。ビジネスニーズを満たすための情報システムの適用性について、顧客にガイダンスを提供する。
Technology R&D 技術研究開発
Conducts technology assessment and integration processes; provides and supports a prototype capability and/or evaluates its utility. 技術評価と統合プロセスの実施、プロトタイプ能力の提供・サポート、およびその実用性の評価。
Test and Evaluation テスト・評価
Develops and conducts tests of systems to evaluate compliance with specifications and requirements by applying principles and methods for cost-effective planning, evaluating, verifying, and validating of technical, functional, and performance characteristics (including interoperability) of systems or elements of systems incorporating IT. ITを組み込んだシステムまたはシステムの要素の技術的、機能的、性能的特性(相互運用性を含む)をコスト効率よく計画、評価、検証、確認するための原則と方法を適用し、仕様と要件への準拠を評価するためのシステムのテストを開発し実施する。



| | Comments (0)


総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集




・2022.12.26 基本戦略グループ(第2) 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集について















ケース 1:標的型サイバー攻撃
ケース 2:脆弱性を突いた Web サーバ等への不正アクセス
ケース 3:侵入型ランサムウェア攻撃









● まるちゃんの情報セキュリティきまぐれ日記

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催


| | Comments (0)