フォレンジック

2022.11.22

JPCERT/CC PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版 (2022.11.17)

こんにちは、丸山満彦です。

JPCERT/CCが、PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版を公表していました。。。

● JPCERT/CC - PSIRT Services Framework と PSIRT Maturity Document

・2022.11.17 [PDF] PSIRT Services Framework Version 1.1 日本語版 

20221122-181340

 

 

・2022.11.17 [PDF] PSIRT Maturity Document 日本語版

20221122-181542

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.28 日本シーサート協議会 PSIRT Maturity Document 日本語版 (2022.07.13)

 

| | Comments (0)

2022.10.31

ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が2022年版「ドイツにおける ITセキュリティの現状」を公表していますね。。。

分野ごとの脅威Top3

社会 経済 国家と行政
個人情報保護 ランサムウェア ランサムウェア
セキストラクション 脆弱性、オープン又は設定ミスのあるオンラインサーバー APT
インターネット上の偽店 ITサプライチェーン:依存関係とセキュリティ 脆弱性、オープン又は設定ミスのあるオンラインサーバー

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.25 BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie

BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie BSI状況報告書2022:サイバー空間における脅威の状況はかつてないほど高まっている
Im Berichtszeitraum von Juni 2021 bis Mai 2022 hat sich die bereits zuvor angespannte Lage weiter zugespitzt. 2021年6月から2022年5月までの報告期間において、すでに緊迫した状況はさらに深刻化している。
Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. 脅威が高い状況の理由は、継続的なサイバー犯罪活動、ロシアのウクライナ攻撃を背景としたサイバー攻撃、さらに多くの場合、ITおよびソフトウェア製品の品質が不十分であることである。
Bundesinnenministerin Nancy Faeser: „Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cyber-Sicherheit. Die Cyber-Sicherheitsagenda des BMI bildet die für uns wesentlichen Ziele und Maßnahmen ab. Hier wollen wir als BMI noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben. Die Modernisierung unserer Cyber-Sicherheitsarchitektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Netzen und IT-Systemen der Verwaltung, die Stärkung der Sicherheitsbehörden zur Verfolgung von Cyber-Crime sowie die Verbesserung der Abwehrfähigkeiten gegen Cyber-Angriffe sind wichtige und notwendige Schritte für eine eng verzahnte föderale Cyber-Abwehr und eine effektive und effiziente Aufstellung im Cyber-Raum.“ ナンシー・フェーザー連邦内務大臣:「ロシアのウクライナ侵略戦争以来、持続的に高まっているサイバー脅威の状況は、戦略的な再配置とサイバーセキュリティへの大規模な投資を必要としている。連邦内務省のサイバーセキュリティアジェンダは、私たちにとって必要不可欠な目標と対策の概要を示している。連邦内務省として、この立法期間中にこの分野で大きな進展を遂げ、サイバーセキュリティを新たなレベルに引き上げたいと考えている。BSIの中央オフィスへの拡張、行政のネットワークとITシステムのさらなる拡張と更新、サイバー犯罪の訴追のためのセキュリティ当局の強化、サイバー攻撃に対する防衛能力の向上など、サイバーセキュリティ・アーキテクチャの近代化は、緊密に連携した連邦サイバー防衛とサイバー空間における効果的かつ効率的な位置付けのために重要かつ必要な措置である。」
Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Im Jahr 2021 wurden über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr. ソフトウェアやハードウェア製品に存在するあらゆる脆弱性は、攻撃者にとっての潜在的な入り口であり、行政、経済、社会における情報セキュリティを脅かすものである。2021年には、ソフトウェア製品に2万件以上の脆弱性が登録された。これは、前年度比10%の増加に相当する。
Vizepräsident des BSI, Dr. Gerhard Schabhüser: „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.“ BSI副会長 ゲルハルト・シャブヒューザー博士:「サイバー空間における脅威の状況は、緊迫し、ダイナミックで多様であるため、これまでになく高まっている。デジタル化された世界では、国民の幸福度は、ITセキュリティインシデントに対する備えがどれだけできているかに、これまで以上に左右されることになる。ハッキングされないコンピュータシステム、中断されないデジタルサービス、これらはすべてデジタルネットワーク社会が機能するための基本的な貢献である。適切な対策を講じることで、脅威の状況に対抗することができるのである。サイバーセキュリティの問題には一歩も手を緩めてはいけない。」
Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen. ランサムウェア攻撃とは、身代金の強奪を目的とした企業や大学、当局に対するサイバー攻撃で、現在サイバーセクターにおける最大の脅威と考えられている。報告期間中、ドイツの自治体が攻撃を受けたランサムウェア事件が数件発生した。ドイツ史上初めて、サイバー攻撃によって被害を受けた自治体から災害宣言が出されたのである。
Cyber-Sicherheit ist ein wesentlicher Aspekt der Daseinsvorsorge und dient unmittelbar dem Schutz von Bürgerinnen und Bürger. サイバーセキュリティは、一般消費者向けのサービスには欠かせないものであり、市民の保護に直接役立つものである。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor. In diesem Jahr bewertet der Bericht auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. ドイツ連邦情報セキュリティ局(BSI)は、連邦政府のサイバーセキュリティ当局として、毎年、ドイツのITセキュリティの現状に関する報告書を発表し、サイバー空間における脅威の包括的な概要を示している。今年は、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況も評価している。
IT-Sicherheitslage spitzt sich zu ITセキュリティの状況は頭打ちになる
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。さらに、ロシアのウクライナ侵略戦争に関連して、さまざまな脅迫があった。
Russischer Angriffskrieg gegen die Ukraine ロシアによるウクライナへの侵略戦争
Bislang gab es in Deutschland in Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen. Beispiele hierfür waren der Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation und ein Hacktivismus-Angriff auf deutsche Mineralölhändler mit russischem Mutterkonzern. Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch . これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズム・キャンペーンが積み重ねられてきました。例えば、衛星通信会社が攻撃されてドイツの風力発電機の遠隔保守ができなくなったり、ロシアを親会社とするドイツの石油商社がハクティビズム攻撃を受けたりした。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫したケースもあり、危機的な状況であった。
Cyber-Erpressung bleibt eine der größten Bedrohungen サイバー恐喝は依然として最大の脅威の一つである
Ransomware blieb die Hauptbedrohung besonders für Unternehmen. Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Das nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない。前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。ランサムウェアの攻撃対象が企業だけではないことは、ザクセン=アンハルト州の行政機関が深刻な攻撃を受け、初めてサイバー攻撃による災害事態が宣言されたことからも印象的に示されている。207日間、市民に身近なサービスが利用できなかったり、限られた範囲でしか利用できなかったりした。
Zahl der Schwachstellen steigt weiter 増加し続ける脆弱性の数
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年には、ソフトウェア製品の脆弱性が前年より10%多く知られるようになった。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。13%の脆弱性が「重要」と評価された。Log4jの脆弱性もその一つで、自由に利用できるソフトウェア部品に多く見受けられたからである。 そのため、ITセキュリティ管理者は、通常、使用しているソフトウェアに脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
DDoS-Angriffe und Advanced Persistent Threats (APT) nehmen zu DDoS攻撃とAPT(Advanced Persistent Threat)が増加中
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können. 今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Auch die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigationsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 einen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. また、各ミティゲーション・サービス・プロバイダーからの報告によると、分散型サービス拒否攻撃(DDoS攻撃)の件数も増加し続けているとのことである。例えば、ドイツのサービスプロバイダーであるLink11は、2021年に前年比約41%のDDoS攻撃の増加を記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較してDDoS攻撃の件数が2倍に増加した。
Zeitenwende für "Cyber-Sicherheit made in Germany" 「ドイツにおけるサイバーセキュリティ」の転換点
Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. 国際的に事業展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての市民が毎日利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速しており、「メイド・イン・ジャーマニー」のサイバーセキュリティにも転換が必要となっている。
Denn das vergangene Jahr hat gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können und Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland haben können. All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der Cyber-Sicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. この1年で、不測の事態が脅威の状況を新たなレベルに引き上げ、近隣諸国のサイバー攻撃の巻き添えがドイツにも直接影響を及ぼすことが明らかになった。これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。ハッキングされないコンピュータシステム、中断されないITベースのサービスは、デジタルネットワーク社会が機能するための初歩的な貢献である。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央機関への拡大は、緊密に連動した連邦サイバー防衛にとって重要なステップとなる。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 beschreibt und analysiert die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet stellen wir die Angebote und Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland vor. 2022年ドイツのITセキュリティの現状について、具体的な事例やインシデントも踏まえて解説・分析したレポートである。そこから導き出された、ドイツにおけるITセキュリティ向上のためのBSIの提案とソリューションへのアプローチを紹介する。

 

  ・[PDF] Die Lage der IT-Sicherheit in Deutschland 2022

20221031-02755

 

目次...

Vorwort Nancy Faeser, Bundesministerin des Innern und für Heimat 序文 Nancy Faeser(連邦内務大臣) 内務・内政担当大臣
Vorwort Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik 序文 連邦情報セキュリティ局副局長 ゲルハルト・シャブヒューザー博士
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 概要と評価
1.2 Schadprogramme 1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten 1.2.1 新しいマルウェアの亜種
1.2.2 Ransomware 1.2.2 ランサムウェア
1.2.3 Botnetze 1.2.3 ボットネット
1.2.4 Spam und Phishing 1.2.4 スパムとフィッシング
1.2.5 Social Bots 1.2.5 ソーシャルボット
1.3 Schwachstellen 1.3 脆弱性
1.3.1 Schwachstellen in Software-Produkten 1.3.1 ソフトウェア製品における脆弱性
1.3.2 Schwachstellen in Hardware-Produkten 1.3.2 ハードウェア製品における脆弱性
1.4 Advanced Persistent Threats 1.4 アドバンスドパーシステントスレット
1.5 Distributed Denial of Service 1.5 分散型サービス拒否(Denial of Service
1.6 Angriffe im Kontext Kryptografie 1.6 暗号の文脈における攻撃
1.7 Hybride Bedrohungen 1.7 ハイブリッドの脅威
1.8 Cyber-Sicherheitslage im Kontext des russischen Angriffskrieges gegen die Ukraine 1.8 ロシアのウクライナ侵略戦争を背景としたサイバーセキュリティの状況
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
2.1 Gesellschaft 2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
2.1.2 Digitaler Verbraucherschutz 2.1.2 デジタル消費者保護
2.1.3 IT-Sicherheitskennzeichen 2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern 2.1.4 消費者への情報提供と意識啓発
2.1.5 Projekt „Dialog für Cyber-Sicherheit“ 2.1.5 「サイバーセキュリティーのための対話」プロジェクト
2.1.6 Sicherheit im Internet der Dinge, im Smart Home und in Smart Cities 2.1.6 モノのインターネット、スマートホーム、スマートシティーにおけるセキュリティ
2.1.7 Sicherheit im Gesundheitswesen 2.1.7 保健分野でのセキュリティ
2.1.8 Sichere Gestaltung virtueller Versammlungen und Abstimmungen 2.1.8 バーチャル会議と投票の安全性確保
2.1.9 Sicherheit von Bezahlverfahren 2.1.9 支払手続きのセキュリティ
2.1.10 Zwei-Faktor-Authentisierung 2.1.10 二要素認証
2.1.11 Bewertung von elektronischen Identifizierungsverfahren 2.1.11 電子的な本人確認手続きの評価
2.1.12 Sichere elektronische Identitäten auf dem Smartphone 2.1.12 スマートフォンでの電子IDの保護
2.1.13 Mediale Identitäten 2.1.13 メディア・アイデンティティ
2.1.14 Moderne Messenger für sichere Kommunikation 2.1.14 安全な通信を実現するモダンメッセンジャー
2.2 Wirtschaft 2.2 経済
2.2.1 Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 経済における脅威の状況についての所見
2.2.2 Gefährdungslage Kritischer Infrastrukturen 2.2.2 重要インフラストラクチャーの脆弱性
2.2.3 UP KRITIS 2.2.3 アップクリッツ
2.2.4 Unternehmen im Fokus der europäischen und deutschen Cyber-Sicherheits-Regulierung 2.2.4 欧州とドイツのサイバーセキュリティ規制で注目される企業
2.2.5 Besondere Situation der KMU in Deutschland 2.2.5 ドイツにおける中小企業の特殊な状況
2.2.6 Cyber-Sicherheit im Automobilbereich 2.2.6 自動車産業におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit im Luftverkehr 2.2.7 航空輸送におけるサイバーセキュリティ
2.2.8 Digitalisierung der Energiewirtschaft 2.2.8 エネルギー産業のデジタル化
2.2.9 Cyber-Sicherheit in der industriellen Versorgungskette 2.2.9 産業用サプライチェーンにおけるサイバーセキュリティ
2.2.10 Moderne Telekommunikationsinfrastrukturen (5G/6G) 2.2.10 最新の通信インフラ(5G/6G)
2.2.11 Sicherheit von Cloud-Diensten 2.2.11 クラウドサービスにおけるセキュリティ
2.2.12 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme 2.2.12 電子記録システムのための技術的セキュリティ装置
2.2.13 Überführung der Produktzertifizierung in den europäischen Rechtsakt zur Cyber-Sicherheit 2.2.13 製品認証のサイバーセキュリティに関する欧州の法律行為への移行
2.2.14 IT-Grundschutz 2.2.14 IT関連サービス
2.2.15 Allianz für Cyber-Sicherheit 2.2.15 アライアンス・フォー・サイバー・セキュリティ
2.2.16 Cyber-Sicherheitsnetzwerk 2.2.16 サイバーセキュリティネットワーク
2.2.17 Sonstige Lösungen für die Wirtschaft 2.2.17 経済に関するその他の解決策
2.3 Staat und Verwaltung 2.3 国家と行政
2.3.1 Die Gefährdungslage in der Bundesverwaltung 2.3.1 連邦政府における脅威の状況
2.3.2 Computer Emergency Response Team für Bundesbehörden 2.3.2 連邦政府機関向けコンピュータ緊急対応チーム
2.3.3 Nationales Verbindungswesen 2.3.3 国内リエゾン体制
2.3.4 Zusammenarbeit mit Ländern und Kommunen 2.3.4 州・自治体との連携
2.3.5 Cyber-Sicherheit von Landtagswahlen 2.3.5 国政選挙のサイバーセキュリティ
2.3.6 Informationssicherheitsberatung 2.3.6 情報セキュリティコンサルティング
2.3.7 Geheimschutzberatung zu VS-IT 2.3.7 VS-ITに関する秘密のセキュリティアドバイス
2.3.8 Smart Borders und hoheitliches Identitätsmanagement 2.3.8 スマートボーダーと主権者ID管理
2.3.9 Technologieverifikation in sogenannten Technologie Labs 2.3.9 いわゆる技術研究所での技術検証
2.3.10 App-Testing für mobile Lösungen 2.3.10 モバイルソリューションのアプリテスト
2.3.11 Onlinezugangsgesetz: die IT-Sicherheitsverordnung Portalverbund 2.3.11 オンラインアクセス法:ITセキュリティ規制ポータルネットワーク
2.4 Internationales 2.4 国際
2.4.1 Engagement des BSI im EU-Rahmen 2.4.1 BSI の EU 枠組みへの関与
2.4.2 Engagement des BSI in der NATO 2.4.2 BSIのNATOへの関与
2.4.3 Multilaterales und bilaterales Engagement des BSI 2.4.3 BSIの多国間および二国間エンゲージメント
2.4.4 Aufbau der National Cybersecurity Certification Authority 2.4.4 国家サイバーセキュリティ認証機関の設立
2.4.5 Nationales Koordinierungszentrum für Cyber-Sicherheit 2.4.5 ナショナル・サイバー・セキュリティ・コーディネーション・センター
2.4.6 eID: Novellierung der eIDAS-Verordnung 2.4.6 eID:eIDAS規制の改正について
2.4.7 Mindestanforderungen für die IT- und Cyber-Sicherheit von Satelliten 2.4.7 人工衛星のIT・サイバーセキュリティに関する最低要件
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit 2.5 ITセキュリティの最新動向と展開
2.5.1 Künstliche Intelligenz 2.5.1 人工知能
2.5.2 Kryptografie 2.5.2 暗号技術
2.5.3 Quantum Key Distribution 2.5.3 量子鍵配布
2.5.4 Self-Sovereign Identities und Blockchain-Technologie 2.5.4 自己主権型アイデンティティとブロックチェーン技術
3 Fazit 3 結論
Glossar 用語集
Quellenverzeichnis
出典元一覧

 

本文よりぬき...

1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus des BSI stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen. Der vorliegende Bericht zieht eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022 (Berichtszeitraum). Damit greift der Bericht aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Er bewertet auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine.  連邦情報セキュリティ局(BSI)は、サイバーセキュリティの国家機関として、ドイツのITセキュリティの脅威の状況を継続的に監視している。BSIは、企業、国家・公共機関、個人に対するサイバー攻撃だけでなく、こうした事態を防止し、対抗するための対策にも重点を置いている。本報告書は、2021 年 6 月 1 日から 2022 年 5 月 31 日までの期間(報告期間)の状況を把握したものである。このように、この報告書では、現在進行中の、そして特定の状況下では継続的なサイバー脅威を扱っている。また、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況についても評価している。
Anhand zahlreicher konkreter Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um zugleich aufzuzeigen, wie sich Menschen und Organisationen schützen können. Die Übersicht beginnt mit einer Zusammenfassung der allgemeinen Gefährdungslage und aktueller Cyber-Bedrohungen. Angriffe wirken sich nicht nur unmittelbar auf die betroffenen Menschen und Organisationen aus, sondern beeinträchtigen das Leben aller in einer digitalisierten Gesellschaft. Umso wichtiger ist es, jeden einzelnen Bereich mit seinen spezifischen Bedrohungen zu beleuchten und im weiteren Verlauf die Gegenmaßnahmen zielgruppenspezifisch darzustellen. 本報告書では、さまざまな分野の具体的な事例を数多く取り上げ、攻撃者の手口や典型的な手法を追うと同時に、人々や組織がどのようにして自らを守ることができるかを示している。概要は、まず一般的な脅威の状況や現在のサイバー脅威の概要について説明する。攻撃は、被害を受けた人や組織に直接的な影響を与えるだけでなく、デジタル化された社会に生きるすべての人の生活に影響を与えます。そのため、各領域の脅威を明確にし、さらにターゲットグループに応じた対策を提示することがより重要である。
1.1 —  Zusammenfassung und Bewertung 1.1 - 概要と評価
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Ransomware blieb die Hauptbedrohung (siehe Kapitel Ransomware, S. 13), besonders für Unternehmen. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine, zum Beispiel durch Hacktivismus, insbesondere mittels Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen), und Kollateralschäden bei Cyber-Sabotage-Angriffen  im Rahmen des Krieges. Sowohl durch Cybercrime als auch durch Cyber-Aktivitäten im Rahmen des Kriegs in der Ukraine hat es darüber hinaus im Berichtszeitraum Störungen von IT-Lieferketten gegeben. Eine Erhöhung der Resilienz gegenüber Cyber-Angriffen und technischen Störungen ist daher eine Hauptaufgabe für alle beteiligten Akteure in Staat, Wirtschaft und Gesellschaft. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない(13ページのランサムウェアの章を参照)。また、ロシアのウクライナ侵略戦争に関連して、特に分散型サービス妨害(DDoS)攻撃によるハクティビズムや、戦争に伴うサイバー妨害攻撃での巻き添えなど、さまざまな脅威があった。また、報告期間中、ウクライナ戦争を背景としたサイバー犯罪とサイバー活動の両方により、ITサプライチェーンに混乱が生じた。したがって、サイバー攻撃や技術的混乱に対するレジリエンスを高めることは、国家、経済、社会に関わるすべてのアクターにとって重要な課題である。
Russischer Angriffskrieg gegen die Ukraine: ロシアのウクライナへの侵略戦争:
Bislang gab es in Deutschland im Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und HacktivismusKampagnen (vgl. zum Beispiel Vorfall Kollateralschäden nach Angriff auf ein Unternehmen der Satellitenkommunikation, Seite 49 und Vorfall Cyber-Angriff auf deutschen Mineralölhändler, Seite 50). Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch.  これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズムキャンペーンが蓄積されてきた(例えば、衛星通信会社に対する攻撃後の巻き添え事件49ページ、ドイツ鉱油取引業者に対するサイバー攻撃事件50ページ参照)。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫し、危機的状況に陥ったケースもあった。
Erpressungsmethoden im Cyber-Raum: サイバー空間における恐喝の手口:
Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und SchweigegeldZahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Zudem kam es im aktuellen Berichtszeitraum auch immer wieder zu Erpressungen mit erbeuteten Identitätsdaten.  前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。また、今回の報告期間では、取り込んだIDデータを使った恐喝事件が繰り返された。
Es ließen sich auch wieder mehrere, teils ungewöhnlich ausgeprägte Sextortion-Kampagnen beobachten. In diesen Spam-Mails behaupten Angreifer, über kompromittierende, intime Geheimnisse des Opfers zu verfügen und drohen, diese zu veröffentlichen. Um die Veröffent lichung der vermeintlich vorhandenen kompromittierenden Informationen zu verhindern, solle das Opfer einen bestimmten Betrag in einer Kryptowährung (z. B. Bitcoin) überweisen.  また、いくつかの異常に顕著なセクストーションキャンペーンも再び観測された。これらのスパムメールの中で、攻撃者は被害者の危険な親密な秘密を持っていると主張し、それを公表すると脅す。漏洩したとされる情報の公開を防ぐために、被害者は暗号通貨(ビットコインなど)で一定額を送金することになっている。
Schwachstellen: 脆弱性:
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als besonders kritisch war die Schwachstelle in Log4j zu bewerten, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年は、前年より10%多く脆弱性が開示された。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。特にLog4jの脆弱性は、自由に利用できるソフトウェア・コンポーネントの多くで発見されたため、非常に重大な問題だった。そのため、ITセキュリティ担当者は、通常、使用しているソフトウェアにその脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
Advanced Persistent Threats (APT): 高度な持続的な脅威 (APT):
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router, zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind PerimeterSysteme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.  今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Distributed Denial of Service (DDoS): DDoS(Distributed Denial of Service):
Nach Berichten verschiedener Mitigationsdienstleister hat die Zahl der DDoS-Angriffe weiter zugenommen. So verzeichnete etwa der deutsche Mitigationsdienstleister Link11 für das Jahr 2021 einen Anstieg der DDoSAngriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche OnlineshoppingEvent Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. 各種ミティゲーション・サービス・プロバイダーからの報告によると、DDoS攻撃は増加の一途をたどっているとのことである。例えば、ドイツのミティゲーションサービスプロバイダーであるLink11は、2021年のDDoS攻撃が前年比で約41%増加したことを記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較して、DDoS攻撃の件数が倍増している。
... ...
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und gestaltet die sichere Digitalisierung in Deutschland – gemeinsam mit den Bürgerinnen und Bürgern, der Wirtschaft sowie mit Staat und Verwaltung und internationalen Gremien. Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen, unter anderem mit der Verankerung des digitalen Verbraucherschutzes im BSI. Damit unterstützt das BSI Verbraucherinnen und Verbraucher in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten. BSIは連邦政府のサイバーセキュリティ当局であり、市民、ビジネスコミュニティ、さらには国や行政、国際機関とともに、ドイツにおける安全なデジタル化を形成している。ITセキュリティ法2.0の発効により、BSIの任務は、デジタル消費者保護をBSIに定着させるなど、デジタル化の進展に伴う課題に対応するために拡大された。このように、BSIは、技術、製品、サービス、メディアのリスク評価において消費者をサポートしている。
2.1 — Gesellschaft  2.1 - 社会 
Die Digitalisierung spielt heutzutage in eine Vielzahl von Bereichen unserer Gesellschaft mit hinein – von der Nutzung verschiedenster Online-Dienste über das Gesundheitswesen bis hin zu Abstimmungen und Wahlen. Informationssicherheit ist für all das eine notwendige Voraussetzung. Das BSI arbeitet kontinuierlich daran, die Informationssicherheit in allen Bereichen unseres Lebens zu verbessern, damit die Bürgerinnen und Bürger ihre persönlichen Daten gut aufgehoben sehen, IT sicher anwenden und sich vertrauensvoll in der vernetzten Welt bewegen können. Dafür bündelt das BSI sein umfangreiches Know-how in den Bereichen Prävention, Detektion und Reaktion und leitet daraus konkrete Informationsangebote für gesellschaftliche Gruppen, aber auch für die einzelnen Bürgerinnen und Bürger ab. Im Berichtszeitraum hat sich das BSI dafür unter anderem mit Fragen rund um die Sicherheit vernetzter medizinischer Produkte, elektronischer Identitätsverfahren und den Möglichkeiten virtueller Versammlungen und Abstimmungen auseinandergesetzt. 現在、デジタル化は、多種多様なオンラインサービスの利用、ヘルスケア、投票や選挙など、社会の多くの分野で役割を担っている。そのためには、情報セキュリティが必須条件となる。BSIは、市民が個人情報を安心して預けられ、ITを安全に利用し、ネットワーク社会で自信を持って行動できるよう、生活のあらゆる場面で情報セキュリティを向上させるための活動を続けている。この目的のために、BSIは予防、検出、対応の分野における幅広いノウハウを蓄積し、そこから社会グループだけでなく、個々の市民に対しても具体的な情報を提供している。報告期間中、BSIは、ネットワークに接続された医療製品のセキュリティ、電子ID手続き、仮想会議と投票の可能性などの問題に取り組んだ。
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
Das BSI und das Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) kooperieren, um Verbraucherinnen und Verbraucher umfassend über Schutzmöglichkeiten und die Risiken im Internet aufzuklären. Grundlage dieser Arbeit ist das Digitalbarometer, eine gemeinsame, repräsentative und seit 2019 jährlich durchgeführte Online-Befragung. Es wird erhoben, welche Bedeutung Sicherheit im Internet für Verbraucherinnen und Verbraucher hat, inwiefern sie sich vor den Gefahren der digitalen Welt schützen und wie sie sich über Schwachstellen, Risiken und Schutzmaßnahmen informieren. BSIと連邦州警察の犯罪防止プログラム(ProPK)が協力し、インターネットにおける保護の可能性とリスクについて消費者を総合的に教育している。その根拠となるのが、2019年から毎年実施している代表的なオンライン共同調査「デジタルバロメーター」である。消費者にとってのインターネット上のセキュリティの重要性、デジタル世界の危険からどの程度身を守っているか、脆弱性、リスク、防御策についてどのように情報を提供しているかなどを調査している。
Kriminalität im Internet leicht gestiegen – mehr als jeder Vierte ist Opfer インターネット上の犯罪がやや増加 - 4人に1人以上が被害者に
Die generelle Betroffenheit von Verbraucherinnen und Verbrauchern ist im Vergleich zu den vergangenen drei Jahren zuletzt leicht angestiegen: 29 Prozent der Befragten gaben an, bereits Opfer von Kriminalität im Internet gewesen zu sein. In den vergangenen Jahren waren es noch 25 Prozent. Dabei ist jeweils einem Viertel der Befragten vor allem Betrug beim Onlineshopping (25 %), ein Fremdzugriff auf ein Online-Konto (25 %) und/oder eine Infektion mit Schadsoftware (24 %) widerfahren. Im Gegensatz zum Betrug beim Onlineshopping (2021: 19 %) sind die Zahlen zur Betroffenheit vom Fremdzugriff auf ein Online-Konto (2021: 31 %) oder einer Infektion mit Schadsoftware (2021: 29 %) im Vergleich zum Vorjahr rückläufig. Von Phishing waren nur noch 19 Prozent der Befragten betroffen – im Vorjahr galt das noch für ein Viertel (25 %). 消費者の一般的な懸念は、最近、過去3年間と比較してわずかに増加している。調査対象者の29%が、すでにインターネット上で犯罪の被害に遭ったと回答している。過去数年間は、まだ25%だった。いずれの場合も、回答者の4分の1が、オンラインショッピングでの詐欺(25%)、オンラインアカウントへの第三者によるアクセス(25%)、マルウェアへの感染(24%)を経験していることがわかった。オンラインショッピング詐欺(2021年:19%)とは対照的に、オンラインアカウントへの第三者によるアクセス(2021年:31%)やマルウェアへの感染(2021年:29%)の被害を受けたという数値は前年より減少している。フィッシングの被害に遭った回答者はわずか19%だった。前年度も4分の1(25%)の回答者がそうだった。
Die Anwendung von Schutzmaßnahmen durch Verbraucherinnen und Verbraucher bleibt weiterhin ausbaufähig. Die Nutzung von Antivirenprogrammen (53 %), sicheren Passwörtern (52 %) und einer aktuellen Firewall (44 %) ist in der Bevölkerung verbreitet. Lediglich ein Drittel (34 %) der Befragten gab an, automatische Updates zu nutzen. Die Aktivierung einer 2FA nutzten nur 38 Prozent der Befragten. 消費者による保護手段の利用は、依然として拡大可能である。ウイルス対策ソフト(53%)、安全なパスワード(52%)、最新のファイアウォール(44%)の使用は、国民の間に広く浸透している。自動更新を利用していると回答したのは3分の1(34%)に過ぎない。2FAの有効化は、38%の回答者しか利用していない。
Umgang mit Sicherheitsempfehlungen セキュリティ勧告への対応
Zwei von fünf Befragten kennen Sicherheitsempfehlungen zum Schutz vor Kriminalität im Internet (45 %). Von diesen gab wiederum über die Hälfte (58 %) an, diese Empfehlungen zum Teil umzusetzen. 22 Prozent setzen sie vollständig um, nur vier Prozent gar nicht. Über die Hälfte der Befragten (51 %) informiert sich über Internetsicherheit, gut ein Fünftel (23 %) nie. Besonders wichtig ist den Befragten die Sicherheit beim Onlinebanking (83 %), beim Installieren von Software (70 %) und beim Onlineshopping (62 %). 回答者の5人に2人は、インターネット上の犯罪から身を守るためのセキュリティに関する推奨事項を知っている(45%)。このうち、半数以上(58%)が、これらの提言を部分的に実施していると回答している。完全に実施しているのは22%、全く実施していないのはわずか4%である。半数以上(51%)の回答者がインターネットの安全性について自分自身に知らせているが、5分の1(23%)は全くしていない。オンラインバンキング(83%)、ソフトウェアのインストール(70%)、オンラインショッピング(62%)の際に、セキュリティは回答者にとって特に重要な要素となっている。
Wunsch nach Orientierung für den Notfall 緊急時の案内を希望する
Die Opfer von Kriminalität im Internet gaben meist an, sich selbst geholfen zu haben. Das entspricht ihrem Bedarf nach Informationen: Die meisten wünschen sich eine Checkliste für den Notfall als Hilfestellung, gefolgt von einer Webseite mit Erklärvideos und einem Berater oder einer Beraterin bei der Polizei. Insgesamt wünschte sich über die Hälfte mehr Informationen zu Themen rund um Sicherheit im Internet, insbesondere Hinweise, wie sich Kriminalität im Internet erkennen lässt, und Informationen, wie sich Online-Konten schützen lassen. インターネット上の犯罪被害者は、ほとんどが「自分が助かった」と答えている。これは、情報に対するニーズと一致する。緊急時のチェックリストに続いて、説明ビデオを掲載したウェブサイト、警察署でのアドバイザーやカウンセラーの配置を希望する人が多いようである。全体として、半数以上がインターネット上の安全に関するトピック、特にインターネット上の犯罪を見分ける方法やオンラインアカウントを保護する方法に関する情報をもっと知りたいと考えているようである。
... ...
2.2 — Wirtschaft 2.2 - 経済
Die Erfolge bei der Digitalisierung entscheiden im hohen Maße über die Zukunft des Wirtschaftsstandortes Deutschland. Eine funktionierende und sichere IT schafft dafür die wesentlichen Voraussetzungen – sei es für das Betreiben Kritischer Infrastrukturen (KRITIS) oder die erfolgreiche Transformation der Geschäftsmodelle von kleinen und mittleren Unternehmen (KMU). Daher unterstützt das BSI mit zahlreichen Angeboten die Resilienz des Cyber-Standortes Deutschland sowie KRITIS-Betreiber bei der Umsetzung von Präventionsmaßnahmen gegen Cyber-Attacken. KMU profitieren vom fachlichen Austausch sowie von praxisorientierten IT-Sicherheitsempfehlungen. Mit der Allianz für CyberSicherheit wiederum stärkt das BSI die Widerstandsfähigkeit des Standorts Deutschland. Für mehr Informationssicherheit neuer Technologien gestaltet das BSI u. a. praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen. Auch als zentrale Zertifizierungs- und Standardisierungsstelle übernimmt das BSI Verantwortung und leistet obendrein einen wesentlichen Beitrag zum Gelingen großer Digitalisierungsprojekte. デジタル化の成功は、ビジネス拠点としてのドイツの将来にとって極めて重要である。重要なインフラの運用や、中小企業のビジネスモデルの転換を成功させるためにも、機能的で安全なITは必要不可欠な条件となるのであり、重要インフラ(KRITIS)の運用や、中小企業のビジネスモデルの転換を成功させるためである。このため、BSIは、サイバー攻撃への予防策を実施するKRITISオペレーターと同様に、サイバー拠点としてのドイツの強靭性を多くのオファーでサポートしている。中小企業にとっては、専門家同士の交流や実践に即したITセキュリティの提言が得られるというメリットがある。BSIは、サイバーセキュリティのためのアライアンスとともに、ビジネス拠点としてのドイツのレジリエンスを強化している。BSIは、新技術の情報セキュリティのために、特に実践的なセキュリティ要件、基準、行動勧告を設計している。BSIは、中央の認証・標準化機関としての責任も担っており、その上で、大規模なデジタル化プロジェクトの成功に大きく寄与しているのである。
2.2.1 — Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 - 経済における脅威の状況についての所見
Die Wirtschaft war auch in diesem Berichtszeitraum erneut einer großen Anzahl von Cyber-Angriffen ausgesetzt, von denen der Großteil wiederum durch Ransomware geprägt war (vgl. Kapitel Ransomware, Seite 13). この報告期間中、経済は再び多くのサイバー攻撃にさらされ、その大半は再びランサムウェアによって特徴づけられた(13ページの「ランサムウェア」の章を参照)。
Zentrale Herausforderung für die Unternehmen in Deutschland ist die Steigerung der Cyber-Resilienz, d. h. die Kombination aus guter Präventionsarbeit mit der Möglichkeit, auf Cyber-Angriffe zu reagieren mit dem Ziel, den Betrieb des Unternehmens aufrechtzuerhalten und zu sichern. Das BSI beobachtet eine starke Zunahme der Nachfrage nach den Unterstützungsangeboten – von den Standards zur Cyber-Sicherheit bis hin zu Austausch- und Unterstützungsformaten wie der Allianz für Cyber-Sicherheit. Für die CyberSicherheitslage in Deutschland ist die Verfassung der IT-Sicherheit in der Wirtschaft essenziell, sodass eine Intensivierung der Bemühungen der Unternehmen in diesem Bereich für die Verbesserung der CyberSicherheit von großer Bedeutung ist. ドイツにおける企業の中心的な課題は、サイバー耐性を高めること、すなわち、企業活動の維持と安全を目的として、優れた予防業務とサイバー攻撃への対応能力を組み合わせることである。BSIは、サイバーセキュリティの標準から、サイバーセキュリティのためのアライアンスなどの交流・支援形式に至るまで、支援サービスに対する強い需要の増加を確認している。ドイツのサイバーセキュリティの状況には、企業部門のITセキュリティの状況が不可欠であり、この分野での企業の取り組みを強化することは、サイバーセキュリティの向上にとって非常に重要なことである。
... ...
2.3 — Staat und Verwaltung  2.3 - 国家と行政 
Eine Kernaufgabe des BSI ist die Abwehr von CyberAngriffen auf Regierungsnetze und die Bundesverwaltung. Für Behörden bei Bund, Ländern und Kommunen stellt das BSI ein breites Angebot zur Erhöhung der Informationssicherheit zur Verfügung: Die Basis bilden die Informationssicherheitsberatung, IT-Grundschutz und Mindeststandards sowie Zertifizierung und Zulassung. Bei IT-Sicherheitsvorfällen unterstützen CERT-Bund, mobile Einsatzteams (MIRT) oder das Nationale Cyber-Abwehrzentrum betroffene Behörden. Zentraler Ansprechpartner für Länder und Kommunen ist das nationale Verbindungswesen des BSI. Verbindungsstellen befinden sich in Hamburg, Berlin, Bonn, Wiesbaden und Stuttgart. BSIの中核的な任務のひとつは、政府ネットワークや連邦行政に対するサイバー攻撃から身を守ることである。BSIは、連邦、州、地方当局の情報セキュリティを高めるために幅広いサービスを提供している。情報セキュリティコンサルティング、IT-Grundschutz、最低基準、認証・認定がその基盤となっている。ITセキュリティ事件が発生した場合、CERT-Bund、モバイル事件対応チーム(MIRT)、国家サイバー防衛センターが影響を受ける当局を支援する。BSIの国内リエゾンオフィスは、レンダーや自治体との連絡の中心的な役割を担っている。リエゾンオフィスは、ハンブルク、ベルリン、ボン、ヴィースバーデン、シュトゥットガルトにある。
2.3.1 — Die Gefährdungslage in der Bundesverwaltung  2.3.1 - 連邦政府における脅威の状況 
Die Regierungsnetze sind tagtäglich Angriffen aus dem Internet ausgesetzt. Neben überwiegend ungezielten Massenangriffen finden sich hierbei auch gezielte Angriffe auf die Bundesverwaltung. Das BSI setzt verschiedene, sich gegenseitig ergänzende Maßnahmen zum Schutz der Regierungsnetze vor diesen Angriffen ein. 政府機関のネットワークは、日常的にインターネットからの攻撃にさらされている。標的を絞らない集団攻撃が主であることに加え、連邦政府を標的とした攻撃もある。BSIは、これらの攻撃から政府ネットワークを保護するために、相互に補完し合うさまざまな手段を用いている。
Eine präventive Komponente stellen Webfilter dar, die den Zugriff auf Webseiten oder die Verbindung zu Webservern blockieren, die mit Schadprogrammen im Zusammenhang stehen. Dadurch wird zum Beispiel der Zugriff auf hinter Download-Links versteckte Schadprogramme, die im Rahmen von Social-EngineeringAngriffen über E-Mail, Social-Media oder Webseiten verbreitet werden, verhindert. Auch die Kommunikation von Schadsoftware mit den entsprechenden Webservern, zum Beispiel zum Nachladen von weiteren Komponenten oder Befehlen, wird unterbunden. Im aktuellen Berichtszeitraum mussten rund 78.000 maliziöse Webseiten zusätzlich gesperrt werden. Während die Anzahl der monatlich gesperrten Webseiten von Juni 2021 bis Februar 2022 relativ stabil blieb, hat sich die Bedrohungseinschätzung im März 2022 vor dem Hintergrund des russischen Angriffskrieges gegen die Ukraine deutlich verändert, sodass spürbar mehr maliziöse Webseiten für den Zugriff aus der Bundesverwaltung gesperrt werden mussten. Der Index sprang binnen Monatsfrist um 158 Prozent auf 353 Punkte (vgl. Abbildung 28) – der höchste Wert seit Beginn der Aufzeichnungen. 予防的な要素としては、マルウェアに関連するウェブサイトへのアクセスやウェブサーバーへの接続をブロックするウェブフィルタがある。これにより、例えば、ソーシャルエンジニアリング攻撃の一環として電子メール、ソーシャルメディア、Webサイトを通じて拡散されるダウンロードリンクの背後に隠されたマルウェアへのアクセスを防止することができる。また、マルウェアが対応するウェブサーバーと通信し、さらなるコンポーネントやコマンドを再ロードすることも防いでいる。今回の報告では、約78,000の悪質なウェブサイトを追加でブロックする必要があった。2021年6月から2022年2月まで、毎月ブロックされるウェブサイトの数は比較的安定していたが、2022年3月にロシアのウクライナ侵略戦争を背景に脅威評価が大きく変化し、連邦政府からのアクセスをブロックしなければならない悪質なウェブサイトが顕著に増えた。この指数は1ヶ月で158%も上昇し353ポイントとなり(図28参照)、記録開始以来最も高い値となった。
Direkt in E-Mail-Anhängen versendete Schadprogramme werden mittels automatisierter AntivirusSchutzmaßnahmen erkannt und die Zustellung zum Empfänger gestoppt. Dies betraf im Berichtszeitraum durchschnittlich 34.000 E-Mails pro Monat. Nach einer sehr starken Angriffswelle im vorangegangenen Berichtszeitraum und der Abschaltung der EmotetInfrastruktur Ende Januar 2021 zeigt der „Index über Schadprogramm-Angriffe auf die Bundesverwaltung“ zunächst eine Normalisierung des Niveaus. Im März 2022 markiert sodann ein deutlicher Ausschlag des Indikators den sprunghaften Anstieg von Emotet-Spam (vgl. Abbildung 29). In dem Botnetz waren bereits seit Herbst 2021 wieder Aktivitäten zu beobachten, die sich seit März 2022 spürbar verstärkten. メールの添付ファイルで直接送られたマルウェアは、自動的なウイルス対策手段によって検知され、受信者への配信が停止される。この結果、報告期間中、月平均34,000通の電子メールに影響があった。前報告期間に非常に強い攻撃の波があり、2021年1月末にEmotetのインフラが停止した後、「連邦行政に対するマルウェア攻撃の指標」は当初、水準の正常化を示していた。そして、2022年3月には、指標に明確なスパイクが発生し、Emotetスパムの急増を示する(図29参照)。ボットネットでの活動は、2021年秋から既に再確認されていたが、2022年3月以降、顕著に増加した。
Rund 5.200 E-Mails pro Monat wurden ausschließlich auf Basis von eigens durch das BSI erstellter AntivirusSignaturen als schädlich identifiziert. Insbesondere um gezielte Angriffe auf die Bundesverwaltung erkennen zu können, betreibt das BSI zusätzlich zu den bereits beschriebenen Maßnahmen nachgelagert ein System zur Detektion von Schadprogrammen im Datenverkehr der Regierungsnetze. Mit einer Kombination von automatisierten Testverfahren und manueller Analyse konnten die Analystinnen und Analysten des BSI durchschnittlich weitere knapp 2.500 Angriffe pro Monat identifizieren, die weder durch eine kommerzielle noch durch eine der oben genannten automatisierten Lösungen erkannt wurden. 毎月約5,200通のメールが、BSIが作成したアンチウイルスのシグネチャーに基づいて悪意あるメールと判定された。BSIでは、特に連邦政府を標的とした攻撃を検知できるよう、前述の対策に加え、下流の政府ネットワークのデータトラフィックからマルウェアを検知するシステムを運用している。BSIのアナリストは、自動テスト手順と手動分析を組み合わせることで、市販のソリューションでも上記の自動ソリューションでも検出できなかった、月平均約2,500件の攻撃を特定することに成功した。
Ergänzend wird die Sicherheit der Regierungsnetze mit einem zentralen Schutz vor Spam-E-Mails erhöht. Diese Maßnahme wirkt nicht nur gegen unerwünschte Werbe-E-Mails. Auch Cyber-Angriffe wie Phishing-EMails werden damit erkannt. また、スパムメール対策も一元化し、官公庁のネットワークの安全性を高めている。この対策は、迷惑な商用メールに対してのみ有効なわけではない。また、フィッシングメールなどのサイバー攻撃も検知することができる。
Die Spam-Quote, also der Anteil unerwünschter E-Mails an allen eingegangenen E-Mails, lag im Berichtszeitraum bei durchschnittlich 58 Prozent. Aufkommen und Entwicklung der Spam-E-Mails in den Netzen des Bundes werden durch den Spam-Mail-Index gemessen. Dieser erreichte im Berichtszeitraum durchschnittlich 111 Punkte. Im vergangenen Berichtszeitraum hatte der Indikator noch bei 114 Punkten gelegen. Dabei waren teils erhebliche Schwankungen zu verzeichnen. Während das Spam-Aufkommen im Spätsommer und Herbst 2021 auf unterdurchschnittlichem Niveau lag, sprangen die Index-Werte im Dezember 2021 und insbesondere im Februar 2022 deutlich nach oben. スパム率(受信した全メールのうち迷惑メールが占める割合)は、報告期間中平均58%だった。連邦政府のネットワークにおけるスパムメールの発生・発展状況を、スパムメール指数で測定している。この結果、当四半期の平均は 111 ポイントとなった。前回の報告期間では、この指標は114ポイントだった。かなり変動があるケースもあった。2021年晩夏から秋にかけてスパムの量が平均を下回る中、2021年12月、特に2022年2月に指数値が大きく跳ね上がった。
Im Dezember 2021 trieb eine Sextortion-Kampagne im Anschluss an die Onlineshopping-Events Black Friday und Cyber Monday die Werte nach oben (vgl. auch Kapitel Spam und Phishing, Seite 26). Die Spam-Filter der Bundesverwaltung wehren solche Spam-Wellen zuverlässig ab, sodass sie die adressierten Nutzerinnen und Nutzer nicht erreichen. 2021年12月には、オンラインショッピングのイベント「ブラックフライデー」と「サイバーマンデー」に伴うセクスチューションキャンペーンが値を押し上げた(26ページ「スパムとフィッシング」の章も参照)。連邦政府のスパムフィルターは、このようなスパムの波を確実にかわし、宛先のユーザーに届くことはない。
... ...
3 Fazit 3 まとめ
Neue Dimension bei Schwachstellen 新たな次元の脆弱性
Die Lage bei Schwachstellen war im Berichtszeitraum überdurchschnittlich bedrohlich. Das lag einerseits daran, dass mit Schwachstellen in MS Exchange und Log4j besonders kritische Schwachstellen in weitverbreiteten Produkten auftraten und nur zögerlich geschlossen werden konnten. Insbesondere bei Log4Shell herrschte eine langanhaltende Unsicherheit, wie viele IT-Produkte tatsächlich betroffen waren und wie das Problem umfänglich behoben werden konnte. Zum anderen hat aber auch die Anzahl der bekannt gewordenen Schwachstellen insgesamt weiter zugenommen. So verzeichnete das CVSS-Scoring-System im Jahr 2021 mit 20.174 Schwachstellen in Software-Produkten rund 10 Prozent mehr als im Jahr zuvor. Das spiegelt sich auch in den im Jahr 2021 vom Warn- und Informationsdienst des BSI veröffentlichten Meldungen über Schwachstellen in den 150 gängigsten Produkten. Mit 6.910 stieg die Anzahl um rund zehn Prozent im Vergleich zum Vorjahr. 報告期間中の脆弱性の状況は平均以上であった。一方では、MS ExchangeやLog4jの脆弱性など、特に重大な脆弱性が広く普及している製品で発生し、躊躇しているうちに終結してしまったことが原因である。特にLog4Shellの場合、実際にどれだけのIT製品が影響を受け、どのようにすれば問題を包括的に解決できるのか、不明な点が長く続いた。一方、判明した脆弱性の件数も、全体として増加傾向が続いている。例えば、CVSSスコアリングシステムは、2021年にソフトウェア製品に20,174件の脆弱性を記録し、前年より約10%増加した。これは、BSIのWarning and Information Serviceが2021年に発表した、最も一般的な150製品の脆弱性に関する報告書にも反映されている。6,910となり、前年度比で約10%増加した。
Im zweiten Halbjahr 2021 kam es zudem zu herausragenden Supply-Chain-Angriffen über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers, die auch in Deutschland vielfach verwendet wird und deshalb zahlreiche Kundinnen und Kunden betraf. VSA wird beispielsweise zur Fernwartung und zum Monitoring von IT-Systemen eingesetzt. Schwachstellen in VSA sind deshalb besonders kritisch, weil sich über den Verwaltungsserver von VSA auf jeden verwalteten Client zugreifen und auch Software verteilen lässt. Das BSI hat deshalb am 4. Juli 2021 eine Cyber-Sicherheitswarnung herausgegeben, die anschließend regelmäßig aktualisiert wurde. Das BSI beobachtete die Betroffenheit deutscher Organisationen intensiv, beriet Betroffene zu IT-forensischen Maßnahmen und übermittelte Erste-Hilfe-Dokumente. 2021年後半には、アメリカのソフトウェアメーカーのVSA(Virtual System Administrator)ソフトウェアを介したサプライチェーン攻撃も顕著で、このソフトウェアはドイツでも広く使われているため、多数の顧客に影響が及んだ。VSAは、ITシステムの遠隔保守・監視などに利用されている。特にVSAの脆弱性は、VSAの管理サーバーを経由して、すべての管理対象クライアントにアクセスし、ソフトウェアを配布することができるため、非常に重要である。そこでBSIは、2021年7月4日にサイバーセキュリティ警告を発し、その後、定期的に更新している。BSIは、ドイツの組織がどのような影響を受けたかを集中的に監視し、影響を受けた組織にITフォレンジック対策をアドバイスし、応急処置の文書を提供した。
Zeitenwende für Cyber-Sicherheit made in Germany ドイツ製サイバーセキュリティの転機
Schon vor dem Digitalisierungsschub, den die CoronaPandemie verstärkt hat, und vor der neuen Bedrohungslage in Folge des russischen Angriffskrieges auf die Ukraine, war Cyber-Sicherheit ein wesentlicher Erfolgsfaktor für eine zunehmend digital vernetzte Gesellschaft und Wirtschaft. Doch die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der Cyber-Sicherheit made in Germany eine Zeitenwende notwendig. コロナ・パンデミックが激化したデジタル化の波や、ロシアのウクライナ侵略戦争による新たな脅威の状況以前から、サイバーセキュリティはデジタルネットワーク化が進む社会・経済にとって必須の成功要因であった。しかし、国際的に事業を展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての国民が毎日日常的に利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速していることもあり、ドイツ製のサイバーセキュリティには転換が必要となっている。
Das Wohlergehen der Bevölkerung hängt stärker als je zuvor unmittelbar und in großem Umfang davon ab, wie erfolgreich es gelingt, die digitale Resilienz der Gesellschaft zu stärken. Und das bedeutet nicht nur Resilienz gegen Angriffe von Cyber-Kriminellen, gegen Soft- und Hardware-Ausfälle oder Konfigurationsfehler, die die Verfügbarkeit von gewohnten und alltäglichen Dienstleistungen gefährden können. Das vergangene Jahr hat auch gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können, dass Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland und Europa haben können. これまで以上に、国民の幸福度は、社会のデジタル・レジリエンスをいかに強化するかに直接かつ大きく依存している。これは、サイバー犯罪者による攻撃や、ソフトウェアやハードウェアの障害、設定ミスなど、身近なサービスの可用性を損なうことに対するレジリエンス(回復力)だけを意味するのではない。また、この1年は、不測の事態が脅威の状況を新たなレベルに引き上げること、近隣諸国におけるサイバー攻撃の巻き添えがドイツやヨーロッパにも直接影響を及ぼす可能性があることを示しめした。
All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der CyberSicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. Denn nur eine intensive, dauerhafte und fortgesetzte Zusammenarbeit zwischen Bund und Ländern ermöglicht es, den Gefahren im „grenzenlosen Cyberraum“ eine effektive Antwort entgegen zu setzen. Das BSI wird seinen Beitrag weiter und schnell erhöhen und wirkungsvolle Prävention gegen IT-Sicherheitsvorfälle vorantreiben. Denn jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央オフィスへの拡大は、緊密に連動した連邦サイバー防衛のための重要なステップとなるものである。連邦政府とレンダーが集中的、持続的に協力してこそ、「国境のないサイバースペース」の脅威に効果的に対処することができる。BSIは、ITセキュリティインシデントに対する効果的な予防策を推進し、さらに急速に貢献度を高めていく。なぜなら、ハッキングされないコンピュータシステム、中断されないITベースのサービスはすべて、デジタル・ネットワーク社会が機能するための基本的な貢献だからである。

 

| | Comments (0)

2022.10.27

経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集をしていますね。。。

突然やなぁ...

Vwe1.1から作成に関わっています。。。最近、これをいろいろなところで参照することが増えてきているので、みなさん、ちゃんと意見をだしがほうがよいと思います。。。

意見は、個人名でもよいと思いますし。。。

TwitterやFacebookに書いている人であれば、そのままの内容でよいと思うので。。。

でないと、これを「正」として、いろいろと政策が進められたり、依頼が行われたりするかもしれませんし。。。

 

● e-Gov

・2022.10.26 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

 

・[PDF] サイバーセキュリティ経営ガイドライン Ver3.0(案) [Downloaded]

20221027-60740

 

・[PDF] 「サイバーセキュリティ経営ガイドライン Ver3.0(案)」の改訂概要 [Downloaded]

20221027-60750


...

Ver2.0からの主な変更点

 

(1) 「サイバーセキュリティ経営ガイドライン・概要」の内容を見直し、企業リスクマネジメントの一部としてサイバーセキュリティ対策の必要性やサイバーセキュリティ対策における経営者の責務などを記載しました。

(2) 経営者が認識すべき3原則について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載

サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載

- 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載 

(3) CISO 等に対して指示すべき10の重要項目について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

指示3について、セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載

指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載

指示9について、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載

指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

その他、全体的に対策を怠った場合のシナリオや対策例の追記等

(4) その他、全体的な表現等の見直しを行いました。

...


 

しつこいですが、意見は積極的にだしたほうがよいと思います。。。

委員として、自信がないものを出したという意味ではないでが、、、(^^)

 

 

 

| | Comments (0)

2022.10.25

ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項

こんにちは、丸山満彦です。

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements が公表されていますね。。。

前回は2013年ですから、約9年ぶりの改訂ということですかね。。。

ちなみに、ISO/IEC 27002は今年の2月に改訂されていますね。。。

 

ISO - International Organization for Standardization

・2022.10.25 ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Preview

 

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項
Abstract 概要
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document. この文書は,情報セキュリティマネジメントシステムを,組織の文脈の中で確立し,実施し,維持し,継続的に改善するための要求事項を規定するものである。また、組織のニーズに合わせた情報セキュリティリスクの評価及び処理に関する要求事項を含む。本文書で規定する要求事項は一般的なものであり、組織の種類、規模、性質にかかわらず、すべての組織に適用されることを意図している。組織が本文書への適合を主張する場合、第4項から第10項までに規定された要求事項のいずれかを除外することは容認されない。

 

目次...(訳は仮訳...)

Foreword まえがき
Introduction 序文
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語及び定義
4 ​Context of the organization 4 組織の状況
4.1 ​Understanding the organization and its context 4.1 組織とその状況の理解
4.2 ​Understanding the needs and expectations of interested parties 4.2 利害関係者のニーズ及び期待の理解
4.3 ​Determining the scope of the information security management system 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 ​Information security management system 4.4 情報セキュリティマネジメントシステム
5 ​Leadership 5 リーダーシップ
5.1 ​Leadership and commitment 5.1 リーダーシップ及びコミットメント
5.2 ​Policy 5.2 方針
5.3 ​Organizational roles, responsibilities and authorities 5.3 組織の役割、責任及び権限
6 ​Planning 6 計画
6.1 ​Actions to address risks and opportunities 6.1 リスク及び機会に対処する行動
6.2 ​Information security objectives and planning to achieve them 6.2 情報セキュリティ目的及びそれを達成するための計画策定
7 ​Support 7 支援
7.1 ​Resources 7.1 資源
7.2 ​Competence 7.2 力量
7.3 ​Awareness 7.3 認識
7.4 ​Communication 7.4 コミュニケーション
7.5 ​Documented information 7.5 文書化した情報
8 ​Operation 8 運用
8.1 ​Operational planning and control 8.1 運用の計画及び管理
8.2 ​Information security risk assessment 8.2 情報セキュリティリスクアセスメント
8.3 ​Information security risk treatment 8.3 情報セキュリティリスク対応
9 ​Performance evaluation 9 パフォーマンス評価
9.1 ​Monitoring, measurement, analysis and evaluation 9.1 監視、測定、分析及び評価
9.2 ​Internal audit 9.2 内部監査
9.3 ​Management review 9.3 マネジメントレビュー
10 ​Improvement 10 改善
10.1 ​Continual improvement 10.1 継続的改善
10.2 ​Nonconformity and corrective action 10.2 不適合及び是正処置 
Annex A Information security controls reference 附属書A 情報セキュリティマネジメント参考資料
Bibliography 参考文献

 

2224pxiso_logo_red_squaresvg

 


 

ちなみに、ISO/IEC 27000ファミリーの規格等の検討状況・・・

 

JIPDEC事業紹介 - 事業一覧 - ISMS・ITSMSの普及

国際動向

現在の最新版

・2022.07.22 [PDF] ISO/IEC 27000ファミリー規格について

20221025-145058

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.17 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.06.13 佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」

 

ぐっと時代は遡り...

・2011.02.11 SC27 Platinum Book -Twenty Years of ISO/IEC JTC 1/SC27- Information Security Standardisation

・2009.08.08 JIPDEC ISO/IEC27000ファミリー

| | Comments (0)

2022.10.23

金融安定理事会 サイバーインシデント報告における収斂を高めるための提言

こんにちは、丸山満彦です。

金融安定理事会が、いろんなところから、色々と言われるサイバーインシデント報告を収斂させるための提言をしていますね。。。

 

Financial Stability Board 

・2022.10.17 FSB makes proposals to achieve greater convergence in cyber incident reporting

FSB makes proposals to achieve greater convergence in cyber incident reporting 金融安定理事会はサイバーインシデント報告におけるより収斂を高めるための提言を行なった。
The Financial Stability Board (FSB) today published a consultative document on Achieving Greater Convergence in Cyber Incident Reporting. Timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability. The proposals take a comprehensive approach and include: 金融安定理事会(FSB)は本日、サイバーインシデント報告におけるより大きな収斂を達成に関する協議文書を公表した。サイバーインシデントに関する適時で正確な情報は、効果的なインシデント対応と復旧、金融安定化の促進に不可欠である。本提案は包括的なアプローチをとっており、以下を含む。
Recommendations to address the challenges to achieving greater convergence in cyber incident reporting. Drawing on the experience of financial authorities and engagement with financial institutions, the FSB has set out 16 recommendations to address the practical issues associated with the collection of cyber incident information from financial institutions and the onward sharing between financial authorities. サイバーインシデント報告における収斂を高めるための課題に対処するための提言。 金融当局の経験及び金融機関とのエンゲージメントに基づき、FSBは、金融機関からのサイバーインシデント情報の収集及び金融当局間の共有に関連する実務的な問題に対処するための16の提言を行った。
Further work on establishing common terminologies related to cyber incidents. A key instrument for achieving convergence in cyber incident reporting is the use of a common language. In particular, a common definition and understanding for what constitutes a ‘cyber incident’ is needed that avoids the over reporting of incidents that are not meaningful for financial authorities or financial stability. サイバーインシデントに関連する共通の用語の確立に向けた更なる作業。 サイバーインシデント報告における収束を達成するための重要な手段は、共通の言語を使用することである。特に、金融当局や金融の安定にとって意味のないインシデントの過剰な報告を回避するために、何が「サイバーインシデント」を構成するかについての共通の定義と理解が必要である。
Proposal to develop of a common format for incident reporting exchange (FIRE). A review of incident reporting templates and stocktake of authorities’ cyber incident reporting regimes indicated a high degree of commonality in the information requirements for cyber incident reports. Building on these commonalities, the FSB proposes the development of a common reporting format that could be further considered among financial institutions and financial authorities. インシデント報告交換のための共通フォーマット開発の提案(FIRE)。 インシデント報告テンプレートのレビューと当局のサイバーインシデント報告制度のストックテイクは、サイバーインシデント報告の情報要件に高度な共通性があることを示した。これらの共通性に基づき、FSBは、金融機関及び金融当局間で更に検討されうる共通の報告様式の開発を提案する。
The FSB is inviting feedback on this consultative document, in particular on the questions it has set out. Responses should be sent to fsb@fsb.org by 31 December 2022 with the subject line ‘CIR Convergence’. Responses will be published on the FSB’s website unless respondents expressly request otherwise. 金融安定理事会は、本諮問文書、特に本諮問文書が提示した質問に対するフィードバックを求めている。回答は、2022年12月31日までに、件名を「CIR Convergence」として fsb@fsb.org 宛てに送付されたい。回答は、回答者からの明確な要請がない限り、FSBのウェブサイト上で公表される予定である。
Notes to editors 編集後記
The FSB published a report on Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence in October 2021. The report found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the G20 asked the FSB to take forward work to achieve greater convergence in cyber incident reporting. 金融安定理事会は、サイバーインシデント報告に関する報告書を公表した。2021年10月に「既存のアプローチとより広範な収束のための次のステップ」を発表した。同報告書では、サイバーインシデントの報告対象範囲、インシデントの重大性と影響の測定方法、サイバーインシデントの報告期限、サイバーインシデント情報の利用方法について、分野や法域を超えた分断が存在することが明らかにされています。このため、国境やセクターを越えて活動する金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局はあるインシデントについて異質な情報を受け取ることになり、金融機関の対応と回復のための行動が損なわれる可能性があります。サイバーインシデントに関する情報は、効果的な対応と金融安定の促進に不可欠であることを認識し、G20はFSBに対し、サイバーインシデント報告におけるより大きな収束を達成するための作業を進めるよう求めました。
In 2018, the FSB developed a Cyber Lexicon to foster a common understanding of relevant cyber security and cyber resilience terminology across the financial sector, including banking, financial market infrastructures, insurance and capital markets, and with other industry sectors. A common lexicon could foster a common understanding with other industry sectors and facilitate appropriate cooperation to enhance cyber security and cyber resilience. 2018年、金融安定理事会は、銀行、金融市場インフラ、保険、資本市場を含む金融セクター全体、および他の産業セクターとの間で、関連するサイバーセキュリティおよびサイバーレジリエンス用語の共通理解を醸成するためのサイバーレキシコンを開発しました。共通の語彙は、他の産業セクターとの共通理解を促進し、サイバーセキュリティ及びサイバーレジリエンスを強化するための適切な協力を促進することができる。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSB は、各国の金融当局及び国際的な基準設定機関の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定及び実施を促進する機関である。FSBは、24の国・地域の金融安定に責任を有する各国当局、国際金融機関、規制・監督当局のセクター別の国際グループ、中央銀行の専門家による委員会を結集している。金融安定理事会はまた、6つの地域協議会(Regional Consultative Groups)を通じて、他の約70の国・地域に対してアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. 金融安定理事会の議長はDe Nederlandsche BankのKlaas Knot総裁が務めている。金融安定理事会事務局はスイスのバーゼルにあり、国際決済銀行が主催している。

 

・[PDF] Achieving Greater Convergence in Cyber Incident Reporting

20221023-72736

・[DOCX] 仮訳

 

 

Executive summary エグゼクティブサマリー
1. Introduction 1. はじめに
2. Challenges to achieving greater convergence in CIR 2. サイバーインシデント報告のコンバージェンス化に向けた課題
2.1.  Operational challenges 2.1. 運用上の課題
2.2.  Setting reporting criteria 2.2. 報告規準の設定
2.3.  Culture of timely reporting 2.3. 適時報告の文化
2.4.  Early assessment challenges 2.4. 初期評価の課題
2.5.  Secure communications 2.5. セキュアな通信
2.6.  Cross-border and cross-sectoral issues 2.6. 国境を越えた、セクターを越えた問題
3. Recommendations 3. 推奨事項
3.1.  Design of approach to CIR 3.1. サイバーインシデント報告へのアプローチ設計
3.2.  Supervisory engagement with FIs and among financial authorities 3.2. 金融機関及び金融当局間の監督当局の関与
3.3.  Industry engagement 3.3. 産業界の取り組み
3.4.  Capability development (individual and shared) 3.4. 能力開発(個人と共有)
4. Common terminologies for CIR 4. サイバーインシデント報告に関する一般的な用語
5. Format for incident reporting exchange (FIRE) 5. インシデント報告交換のためのフォーマット (FIRE)
5.1.  Potential benefits, risks and costs 5.1. 潜在的な利益、リスク、コスト
5.2.  The FIRE concept 5.2.  FIREのコンセプト
Annex 1: 2022 Survey findings 附属書1:2022年調査結果
Annex 2: Recommendations mapped to identified challenges 附属書2:特定された課題にマッピングされた推奨事項
Annex 3: Initial reporting trigger reference material 附属書3:初回報告トリガー参考資料

 

16の推奨事項...

Design of CIR Approach サイバーインシデント報告アプローチの設計
1  Establish and maintain objectives for CIR 1  サイバーインシデント報告の目的の設定と維持
2  Explore greater convergence of CIR frameworks 2  サイバーインシデント報告フレームワークの収束の促進の検討
3  Adopt common reporting formats 3  共通の報告様式の採用
4  Implement phased and incremental reporting requirements 4  段階的かつ漸進的な報告要件の実施
5  Select incident reporting triggers 5  インシデント報告のトリガーの選択
6  Calibrate initial reporting windows 6  初期報告窓口の調整
7  Minimise interpretation risk 7  解釈リスクの最小化
8  Extend materiality-based triggers to include likely breaches 8  重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含
Authority interactions 当局とのやりとり
9  Review the effectiveness of CIR processes 9  サイバーインシデント報告プロセスの有効性のレビュー
10  Conduct ad-hoc data collection or industry engagement 10  アドホックなデータ収集と産業界への関与の実施
11  Address impediments to cross-border information sharing   11  国境を越えた情報共有の阻害要因への対処  
Industry engagement 産業界の取り組み
12  Foster mutual understanding of benefits of reporting 12  報告の利益に関する相互理解の促進
13  Provide guidance on effective CIR communication 13  効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供
Capability Development (individual and shared) 能力開発(個人と共有)
14  Maintain response capabilities which support CIR 14  サイバーインシデント報告を支援する対応能力の維持
15  Pool knowledge to identify related cyber events and cyber incidents 15  関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有
16  Protect sensitive information 16  機密情報の保護

 

 

推奨事項をもう少し詳細に...

Recommendations: 推奨事項
1. Establish and maintain objectives for CIR. Financial authorities should have clearly defined objectives for incident reporting, and periodically assess and demonstrate how these objectives can be achieved in an efficient manner, both for FIs and authorities. 1. サイバーインシデント報告の目的の設定と維持:金融当局は、インシデント報告に関する目的を明確に定義し、金融機関及び当局の双方にとって、これらの目的がいかに効率的に達成され得るかを定期的に評価し、示すべきである。 
2. Explore greater convergence of CIR frameworks. Financial authorities should continue to explore ways to align their CIR regimes with other relevant authorities, on a cross-border and cross-sectoral basis, to minimise potential fragmentation and improve interoperability. 2. サイバーインシデント報告フレームワークの収束の促進の検討:金融当局は、潜在的な断片化を最小化し、相互運用性を向上させるために、国境を越え、セクターを越えて、他の関連当局とサイバーインシデント報告制度を整合させる方法を引き続き検討するべきである。 
3. Adopt common reporting formats. Financial authorities should individually or collectively identify common data requirements, and, where appropriate, develop or adopt standardised formats for the exchange of incident reporting information. 3. 共通の報告様式の採用:金融当局は、個別又は集合的に共通のデータ要件を特定し、適切な場合には、事故報告情報 の交換のための標準的なフォーマットを開発又は採用すべきである。 
4. Implement phased and incremental reporting requirements. Financial authorities should implement incremental reporting requirements in a phased manner, balancing the authority’s need for timely reporting with the affected institution’s primary objective of bringing the incident under control. 4. 段階的かつ漸進的な報告要件の実施:金融当局は、タイムリーな報告に対する当局の必要性と、インシデントをコントロール下に置くという影響を受ける機関の主要な目的とのバランスを取りながら、段階的な報告要件を導入すべきである。 
5. Select incident reporting triggers. Financial authorities should explore the benefits and implications of a range of reporting trigger options as part of the design of their CIR regime. 5. インシデント報告のトリガーの選択:金融当局は、サイバーインシデント報告制度の設計の一環として、様々な報告トリガーのオプションの利点と意味を検討するべきである。 
6. Calibrate initial reporting windows. Financial authorities should consider potential outcomes associated with window design or calibration used for initial reporting. 6. 初期報告窓口の調整:金融当局は、初期報告に用いる窓口の設計や調整に関連する潜在的な結果を検討すべきである。 
7. Minimise interpretation risk. Financial authorities should promote consistent understanding and minimise interpretation risk by providing an appropriate level of detail in setting reporting thresholds, including supplementing CIR guidance with examples, and engaging with FIs. 7. 解釈リスクの最小化:金融当局は、サイバーインシデント報告ガイダンスを事例で補足することを含め、報告閾値を設定する際に適切なレベルの詳細を提供し、金融機関との連携を図ることにより、一貫した理解を促進し、解釈リスクを最小化すべきである。  
8. Extend materiality-based triggers to include likely breaches. Financial authorities that use materiality thresholds should explore adjusting threshold language, or use other equivalent approaches, to encourage FIs to report incidents where reporting criteria have yet to be met but are likely to be breached. 8. 重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含:重要性の閾値を使用する金融当局は、報告基準がまだ満たされていないが、違反の可能性が高いインシデントを報告するよう金融機関を奨励するために、閾値の文言を調整すること、または他の同等のアプローチを使用することを検討するべきである。 
9. Review the effectiveness of CIR processes. Financial authorities should explore ways to review the effectiveness of FIs’ CIR processes and procedures as part of their existing supervisory or regulatory engagement. 9. サイバーインシデント報告プロセスの有効性のレビュー:金融当局は、既存の監督・規制の一環として、金融機関のサイバーインシデント報告プロセスと手続の有効性をレビューする方法を検討するべきである。 
10. Conduct ad-hoc data collection and industry engagement. Financial authorities should explore ways to complement CIR frameworks with supervisory measures as needed and engage FIs on cyber incidents, both during and outside of live incidents. 10. アドホックなデータ収集と産業界への関与の実施:金融当局は、必要に応じてサイバーインシデント報告のフレームワークを監督上の措置で補完する方法を模索し、サイバーインシデントについて、インシデント発生中もそれ以外も金融機関に関与するべきである。 
11. Address impediments to cross-border information sharing. Financial authorities should explore methods for collaboratively addressing legal or confidentiality challenges relating to the exchange of CIR information on a cross-border basis. 11. 国境を越えた情報共有の阻害要因への対処:金融当局は、国境を越えたサイバーインシデント報告情報の交換に関連する法的又は守秘義務上の課題に協力して対処する方法を検討するべきである。 
12. Foster mutual understanding of benefits of reporting. Financial authorities should engage regularly with FIs to raise awareness of the value and importance of incident reporting, understand possible challenges faced by FIs and identify approaches to overcome them when warranted. 12. 報告の利益に関する相互理解の促進:金融当局は、インシデント報告の価値と重要性に対する認識を高め、金融機関が直面する可能性のある課題を理解し、必要な場合にはそれを克服するためのアプローチを特定するために、金融機関と定期的に関係を持つべきである。 
13. Provide guidance on effective CIR communication. Financial authorities should explore ways to develop, or foster development of, toolkits and guidelines to promote effective communication practices in cyber incident reports. 13. 効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供:金融当局は、サイバーインシデント報告における効果的なコミュニケーションの実践を促進するため、ツールキットやガイドラインの開発、または開発を促進する方法を模索すべきである。 
14. Maintain response capabilities which support CIR. FIs should continuously identify and address any gaps in their cyber incident response capabilities which directly support CIR, including incident detection, assessment and training on a continuous basis. 14. サイバーインシデント報告を支援する対応能力の維持:金融機関は、インシデントの検知、評価及び訓練を含む、サイバーインシデント報告を直接支援するサイバーインシデント対応能力のギャップを継続的に特定し、対処しなければならない。 
15. Pool knowledge to identify related cyber events and cyber incidents. Financial authorities and FIs should collaborate to identify and implement mechanisms to proactively share event, vulnerability and incident information amongst financial sector participants to combat situational uncertainty, and pool knowledge in collective defence of the financial sector. 15. 関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有:金融当局及び金融機関は、状況の不確実性に対処するために、金融セクターの参加者間でイベント、脆弱性及びインシデント情報をプロアクティブに共有し、金融セクターの集団防衛における知識を蓄積するメカニズムを特定し、実施するために協力するべきである。 
16. Protect sensitive information. Financial authorities should implement secure forms of incident information handling to ensure protection of sensitive information at all times. 16. 機密情報の保護:金融当局は、常に機密情報の保護を確実にするために、事故情報の取り扱いを安全な形で実施すべきである。 

 

■ 関連

ちょうど昨年の今頃。。。

・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

 

20211022-00239

 

サイバー用語集

Cyber Lexicon

・2018.11.12 [PDF] Cyber Lexicon

20221024-24219

 

金融庁

・2018.11.16 金融安定理事会による「サイバー用語集」の公表について

 

翻訳しても良いのにね。。。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

 

| | Comments (0)

2022.10.05

日本公認会計士協会 経営研究調査会研究報告第69号「フォレンジック業務に関する研究」(2022.09.30)

こんにちは、丸山満彦です。

日本公認会計士協会が、経営研究調査会研究報告第69号「フォレンジック業務に関する研究」が公表されていますね。。。

本研究報告は、フォレンジック業務を行う会計事務所等の実務及び業務開発に資するため、改めて整理を行い、主に「リスクの概要」「必要な能力・知見等」「業務支援事例」といった切り口から取りまとめを行ったものです。

とのことです。。。

 なかなか興味深いです。

 

日本公認会計士協会

・2022.09.30 経営研究調査会研究報告第69号「フォレンジック業務に関する研究」の公表について

20221005-13107

目次が長いので、少し短くすると...

Ⅰ はじめに
1.本研究報告の目的
. フォレンジック業務を実施する際の注意点
3.利用上の留意点

Ⅱ フォレンジック業務の全体像
1.不正調査技術とフォレンジック業務の全体像
2.フォレンジックチームの組織体制

Ⅲ 不正・不祥事リスク(Fraud and Misconduct Risks)関連業務
1.リスクの概要
. 業務に必要な主な能力・知見等
3.主な業務支援事例

Ⅳ 国際法規制違反リスク(Global Compliance and Regulatory Risks)関連業務
1.業務の全体像
2.贈収賄法関連法規制
3.競争法関連法規制
4.マネー・ローンダリング及びテロ資金供与防止関連法規制

Ⅴ 契約違反リスク(Contract Compliance Risk)関連業務
1.リスクの概要
2.業務に必要な能力・知見等
3.主な業務支援事例

Ⅵ 訴訟リスク(Litigation Risk)関連業務
1.リスクの概要
2.業務に必要な主な能力・知見等
3.主な業務支援事例

Ⅶ 情報漏えいリスク(Information Leakage Risk)関連業務
1.リスク概要
2.業務に必要な主な能力・知見等
3.主な業務支援事例

Ⅷ おわりに



 

| | Comments (0)

2022.09.29

IPA ビジネスメール詐欺(BEC)対策特設ページ

こんにちは、丸山満彦です。

IPAがビジネスメール詐欺(BEC)対策特設ページを開設しています。

IPA

・2022.09.28 ビジネスメール詐欺(BEC)対策特設ページ

 

前から気になっているのが、ビジネスメール詐欺対策の解説です。

多くの解説では、

・普段と異なるメールに注意するとか

・セキュリティ対策(ウイルス対策・不正アクセス対策など)

が強調されるわけですが、、、

最も本質的な対策は、送金についての内部統制なのだろうと思うんですよね。。。

販売周りの不正は、利益調整のための不正、予算達成のための不正が多いのに対して、

購買回りの不正は、金銭不正が多いように思います。

これは昔から。。。内部者が、自分(や自分がコントロールしている他人)の口座に、商品や固定資産等の購入代金を支払わせるという方法や、購買先と結託して、水増し請求をしてもらい、水増しした金額で支払い、購買先から水増し分の一部のキックバックをもらうという方法など、いくつかパターンがあります。

で、ビジネスメール詐欺の対策ですが、最も大事なのは、この支払い段階の不正を無くすことです。

そのためによく取られている対策は、実在性、評価の妥当性、期間配分の適切性を確認するために、

(1)発注部門の承認

(2)経理部門の承認(発注部門での不正を、経理部門が見つける)

(3)支払いのためのアプリケーション統制

となりますね。。。そして、不正が行われないようにするためによく行っている対策は、

・(3)の一部にある、支払い先のマスター管理です。つまり、支払いはあらかじめ登録した口座(支払口座マスターに登録されている口座)にしか払えないようにすることです。例外が生じる場合があると思うのですが、その場合は、取引先への確認(あらかじめ登録されている電話やメールアドレス等に対して)行うことです。

で、これってJ-SOXの業務処理統制ですから、少なくとも財務報告に係る内部統制が有効になっている企業においてはBEC被害はほぼないはずです。逆にいうと高額なBEC詐欺の被害を受けた企業は、財務報告に係る内部統制の不備の結果であることを認識してもらう必要があるかも知れません。。。

サイバーの目線だけで考えると適切なソリューションが見つかりませんね。。。

 

ちなみに、BEC被害はこの2年ほどは下がってきています。。。

● 警察庁

サイバー空間をめぐる脅威の情勢等

3_20220929014901

(出典:警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf から作成)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

| | Comments (0)

2022.08.01

ENISA ランサムウェアについての脅威状況

こんにちは、丸山満彦です。

ENISAが過去のランサムウェア被害を分析した報告書を公表していますね。学ぶことが多いように思います。。。

 

ENISA

・2022.07.29 Ransomware: Publicly Reported Incidents are only the tip of the iceberg

 

・2022.07.29 ENISA Threat Landscape for Ransomware Attacks

 

・[PDF

20220801-70449

目次

1. INTRODUCTION 1. はじめに
2. FOCUS ON RANSOMWARE 2. ランサムウェアへの注目
2.1 DEFINING RANSOMWARE 2.1 ランサムウェアの定義
2.2 TYPES OF RANSOMWARE 2.2 ランサムウェアの種類
2.3 LEDS ACTIONS 2.3 導入されたアクション
2.3.1 Lock 2.3.1 ロック
2.3.2 Encrypt 2.3.2 暗号化
2.3.3 Delete 2.3.3 削除
2.3.4 Steal 2.3.4 窃盗
2.4 ASSETS TARGETED BY RANSOMWARE 2.4 ランサムウェアの標的となる資産
3. RANSOMWARE LIFE CYCLEE 3. ランサムウェアのライフサイクル
3.1 INITIAL ACCESS 3.1 初期アクセス
3.2 EXECUTION 3.2 実行
3.3 ACTION ON OBJECTIVES 3.3 目標達成のための行動
3.4 BLACKMAIL 3.4 ブラックメール
3.5 RANSOM NEGOTIATION 3.5 身代金交渉
4. RANSOMWARE BUSINESS MODELS 4. ランサムウェアのビジネスモデル
4.1 INDIVIDUAL ATTACKERS 4.1 個人攻撃者
4.2 GROUP THREAT ACTORS 4.2 グループ脅威アクター
4.3 RANSOMWARE-AS-A-SERVICE 4.3 ランサムウェア・アズ・ア・サービス
4.4 DATA BROKERAGE 4.4 データ仲介者
4.5 NOTORIETY AS KEY TO A SUCCESSFUL RANSOMWARE BUSINESS 4.5 ランサムウェアビジネスの成功の鍵となる悪評
5. ANALYSIS OF RANSOMWARE INCIDENTS 5. ランサムウェアインシデントの分析
5.1 DATA SAMPLING TECHNIQUE 5.1 データサンプリング技術
5.2 STATISTICS ABOUT THE INCIDENTS 5.2 インシデントに関する統計
5.3 VOLUME OF DATA STOLEN 5.3 盗まれたデータ量
5.4 AMOUNT OF LEAKED DATA 5.4 漏えいしたデータ量
5.5 TYPE OF LEAKED DATA 5.5 漏えいしたデータの種類
5.6 PERSONAL DATA 5.6 個人情報
5.7 NON-PERSONAL DATA 5.7 非個人情報
5.8 INCIDENTS PER COUNTRY 5.8 国別インシデント
5.9 INITIAL ACCESS TECHNIQUES 5.9 初期アクセス技術
5.10 PAID RANSOM 5.10 身代金支払額
5.11 INCIDENTS IN EACH TYPE OF SECTOR 5.11 各業種におけるインシデント
5.12 NUMBER OF INCIDENTS CAUSED BY EACH THREAT ACTOR 5.12 各脅威アクターが引き起こしたインシデント数
5.13 TIMELINE OF RANSOMWARE INCIDENTS 5.13 ランサムウェア・インシデントのタイムライン
6. RECOMMENDATIONS 6. 推奨事項
6.1 RESILIENCE AGAINST RANSOMWARE 6.1 ランサムウェアへの耐性
6.2 RESPONDING TO RANSOMWARE 6.2 ランサムウェアへの対応
7. CONCLUSIONS 7. 結論
7.1 LACK OF RELIABLE DATA 7.1 信頼できるデータの欠如
7.2 THREAT LANDSCAPE 7.2 脅威の状況
APPENDIX A: NOTABLE INCIDENTS 附属書A:注目すべきインシデント
A.1 COLONIAL PIPELINE RANSOMWARE INCIDENT A.1 コロニアルパイプライン・ランサムウェア事件
A.2 KASEYA A.2 KASEYA

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
During the last decade ransomware has become one of the most devastating types of attacks, impacting organisations of all sizes worldwide. Quickly adapting to new business models with advanced threat actors leveraging the cybercrime ecosystem for a better distribution of labour, ransomware has managed to increase its reach and impact significantly. No business is safe.  過去10年間、ランサムウェアは最も破壊的なタイプの攻撃の1つとなり、世界中のあらゆる規模の組織に影響を及ぼしてきた。高度な脅威を持つ企業がサイバー犯罪のエコシステムを活用し、より良い労働力を分配することで、新しいビジネスモデルに素早く適応し、ランサムウェアはその範囲と影響を大幅に拡大させることに成功した。どの企業も安全ではない。 
This report aims to bring new insights into the reality of ransomware incidents through mapping and studying ransomware incidents from May 2021 to June 2022. The findings are grim. Ransomware has adapted and evolved, becoming more efficient and causing more devastating attacks. Businesses should be ready not only for the possibility of their assets being targeted by ransomware but also to have their most private information stolen and possibly leaked or sold on the Internet to the highest bidder.   本報告書は、2021年5月から2022年6月までのランサムウェア・インシデントをマッピングして調査することで、ランサムウェア・インシデントの実態に新たな知見をもたらすことを目的としている。調査結果は厳しいものである。ランサムウェアは適応と進化を遂げ、より効率的になり、より壊滅的な攻撃を引き起こすようになった。企業は、自社の資産がランサムウェアに狙われる可能性だけでなく、最もプライベートな情報が盗まれ、インターネット上で最も高い入札者に漏えいまたは売却される可能性があることに備える必要がある。  
The main highlights of the report include the following:  本報告書の主な内容は以下のとおりである。 
•       A novel LEDS matrix (Lock, Encrypt, Delete, Steal) that accurately maps ransomware capabilities based on the actions performed and assets targeted;  •       ランサムウェアの能力を、実行されたアクションと標的となった資産に基づいて正確にマッピングする、新しいLEDSマトリクス(ロック:Lock, 暗号化:Encrypt, 削除:Delete, 窃盗:Steal)である。 
•       A detailed and in-depth analysis of the ransomware life cycle: initial access, execution, action on objectives, blackmail, and ransom negotiation;  •       ランサムウェアのライフサイクル(初期アクセス、実行、目標達成のための行動、脅迫、身代金交渉)を詳細かつ徹底的に分析する。 
•       Collection and in-depth analysis of 623 ransomware incidents from May 2021 to June 2022;   •       2021年5月から2022年6月までのランサムウェア623件のインシデントの収集と詳細な分析。  
•       More than 10 terabytes of data stolen monthly by ransomware from targeted organisations;  •       ランサムウェアによって、標的となった組織から毎月10テラバイト以上のデータが盗まれている。 
•       Approximately 58.2% of all the stolen data contains GDPR personal data based on this analysis;  •       この分析に基づき、盗まれたデータ全体の約58.2%にGDPRの個人データが含まれている。 
•       In 95.3% of the incidents it is not known how threat actors obtained initial access into the target organisation;  •       95.3%のインシデントにおいて、脅威アクターがターゲット組織への最初のアクセスをどのように取得したかは分かっていない。 
•       It is estimated that more than 60% of affected organisations may have paid ransom demands;  •       被害を受けた組織の60%以上が身代金要求額を支払った可能性があると推定されている。 
•       At least 47 unique ransomware threat actors were found.  •       少なくとも47のユニークなランサムウェアの脅威アクターが発見された。 
The report also highlights issues with the reporting of ransomware incidents and the fact that we still have limited knowledge and information regarding such incidents. The analysis in this report indicates that publicly disclosed incidents are just the tip of the iceberg.  また、ランサムウェアのインシデントの報告に関する問題や、そのようなインシデントに関する知識や情報がまだ限られているという事実も浮き彫りになっている。本報告書の分析によると、一般に公開されているインシデントは氷山の一角に過ぎないことがわかる。 
Along with a general recommendation to contact the competent cybersecurity authorities and law enforcement in cases of ransomware attacks, several other recommendations are put forward, both to build resilience against such attacks and to mitigate their impact.  ランサムウェアに感染した場合、管轄のサイバーセキュリティ当局や法執行機関に連絡するよう一般的に推奨しているほか、こうした攻撃に対する耐性を高め、その影響を軽減するためのいくつかの推奨事項を提示している。 

 

1. INTRODUCTION  1. イントロダクション 
The threat of ransomware has consistently ranked at the top in the ENISA Threat Landscape for the past few years and, in particular, in 2021 it was assessed as being the prime cybersecurity threat across the EU[1]. Motivated mainly by greed for money, the ransomware business model has grown exponentially in the last decade[2] and it is projected to cost more than $10 trillion by 2025[3]. The evolution of the business model to a more specialised and organised distribution of labour through a cybercrime-as-a-service model has turned ransomware into a commodity. Nowadays, it seems simpler for anyone with basic technical skills to quickly perform ransomware attacks. The introduction of cryptocurrency, the fact that affected companies actually do pay the ransom, and the more efficient division of work, have greatly fuelled the growth of ransomware, generating a catastrophic global effect4,[4] ランサムウェアの脅威は、過去数年間、ENISAの脅威状況で常に上位にランクされており、特に2021年には、EU全域でサイバーセキュリティの主要な脅威であると評価された[1] 。主に金銭欲を動機とするランサムウェアのビジネスモデルは、過去10年間で指数関数的に成長し、[2] 、2025年までに10兆円以上の費用がかかると予測されている。[3] .ビジネスモデルが、サイバー犯罪・アズ・ア・サービス・モデルを通じて、より専門的かつ組織的な労働力の分配へと進化したことで、ランサムウェアは商品と化した。現在では、基本的な技術力があれば、誰でもすぐにランサムウェア攻撃を実行できるようになり、よりシンプルになったと思われる。暗号通貨の導入、被害を受けた企業が実際に身代金を支払うという事実、そしてより効率的な分業が、ランサムウェアの成長を大いに促進し、世界的に壊滅的な影響を生み出している[4] [5]
Even though ransomware is not new, technologies evolve and with them so do attacks and vulnerabilities, thus pressurising organisations to be always prepared for a ransomware attack. In many cases, staying in business requires difficult decisions, such as paying or not paying the ransom[5], since this money ends up fuelling ransomware activities. This is despite year-long and consistent recommendation not to pay ransom demands and to contact the relevant cybersecurity authorities to assist in handling such incidents.  ランサムウェアは新しいものではないが、技術は進化し、それに伴い攻撃や脆弱性も進化するため、組織は常にランサムウェア攻撃への備えをする必要に迫られている。多くの場合、ビジネスを継続するためには、身代金を払うか払わないかといった難しい決断が必要である。[6] このお金は結局ランサムウェアの活動を助長することになるためである。これは、身代金要求を支払わないこと、およびそのようなインシデントの処理を支援するために関連するサイバーセキュリティ当局に連絡することを、1年前から一貫して推奨しているにもかかわらず、である。 
This report brings new insights into the ransomware threat landscape through a careful study of 623 ransomware incidents from May 2021 to June 2022. The incidents were analysed in-depth to identify their core elements, providing answers to some important questions such as how do the attacks happen, are ransom demands being paid and which sectors are the most affected. The report focuses on ransomware incidents and not on the threat actors or tools, aiming to analyse ransomware attacks that actually happened as opposed to what could happen based on ransomware capabilities. This ransomware threat landscape has been developed on the basis of the recently published ENISA Cybersecurity Threat Landscape Methodology[6].  本報告書は、2021年5月から2022年6月までの623件のランサムウェア・インシデントを慎重に調査することで、ランサムウェアの脅威の状況に新たな洞察をもたらしている。インシデントを詳細に分析してその中核要素を特定し、攻撃がどのように発生するのか、身代金要求は支払われているのか、どの部門が最も影響を受けているのかといった重要な質問に対する答えを提供している。この報告書では、脅威の主体やツールではなく、ランサムウェアのインシデントに焦点を当て、ランサムウェアの能力に基づいて起こりうることではなく、実際に起こったランサムウェア攻撃を分析することを目的としている。このランサムウェアの脅威の状況は、最近発表されたENISA Cybersecurity Threat Landscape Methodology に基づいて作成されたものである。 [7]
The report starts by clearly defining what ransomware is since it has proven to be an elusive concept spanning various dimensions and including different stages. The definition is followed by a novel description of the types of ransomware that breaks the traditional classification and instead focuses on the four actions performed by ransomware, i.e. Lock, Encrypt, Delete, Steal (LEDS), and the assets at which these actions are aimed. By defining the types of ransomware, it is then possible to study the life cycle of ransomware and its business models. This characterisation of ransomware leads into the core of this report which is the deep analysis of 623 incidents and its summary in precise statistics. The report ends by highlighting recommendations for readers and key conclusions.  本報告書では、まず、ランサムウェアとは何かを明確に定義することから始める。この定義に続いて、ランサムウェアの種類について、従来の分類を破り、ランサムウェアが実行する4つのアクション、すなわち、ロック、暗号化、削除、窃盗(LEDS)、およびこれらのアクションが対象とする資産に焦点を当てた、新しい説明が行う。そして、ランサムウェアの種類を定義することで、ランサムウェアのライフサイクルとそのビジネスモデルを研究することが可能になる。このようにランサムウェアの特徴を把握することで、623件のインシデントを詳細に分析し、正確な統計としてまとめた本報告書の核心に迫ることができる。報告書の最後には、読者への提言と主要な結論を強調している。 
The report is structured as follows:  報告書の構成は以下の通りである。 
• Chapter 1, Introduction, provides a brief introduction to the problem of ransomware attacks and the dedicated ENISA ransomware threat landscape report;  • 第1章「はじめに」では、ランサムウェア攻撃の問題点と、専用のENISAランサムウェア脅威状況報告書について簡単に紹介している。 
• Chapter 2, Focus on Ransomware, discusses what ransomware is and its key elements, as well as proposing the LEDS matrix to accurately map ransomware capabilities based on the actions performed and assets targeted;  • 第2章「ランサムウェアにフォーカス」では、ランサムウェアとは何か、その主要な要素について説明するとともに、ランサムウェアの能力を、実行されるアクションと標的となる資産に基づいて正確にマッピングするためのLEDSマトリックスを提案している。 
• Chapter 3, Ransomware Life Cycle, gives a detailed overview of the life cycle of a ransomware attack;  • 第3章「ランサムウェアのライフサイクル」では、ランサムウェア攻撃のライフサイクルの概要を詳しく解説している。 
• Chapter 4, Ransomware Business Models, discusses the evolution of ransomware business models and how trust is the key to the ransomware business;  • 第4章「ランサムウェアのビジネスモデル」では、ランサムウェアのビジネスモデルの進化と、信頼がランサムウェアビジネスの鍵になることを解説している。 
• Chapter 5, Analysis of Ransomware Incidents, presents a detailed study of ransomware incidents from May 2021 to June 2022, including a timeline of incidents;  • 第5章「ランサムウェア・インシデントの分析」では、2021年5月から2022年6月までのランサムウェア・インシデントを時系列で詳細に調査した結果を紹介している。 
• Chapter 6, Recommendations, provides high-level recommendations to better protect against ransomware incidents;  • 第6章「推奨事項」では、ランサムウェア・インシデントからより良く保護するためのハイレベルな推奨事項を記載している。 
• Chapter 7, Conclusions, highlights the most important conclusions of the study and how they can potentially impact the future of the threat landscape.  • 第 7 章「結論」では、本調査の最も重要な結論と、それが今後の脅威の状況にどのような影響を与える可能性があ るかについて述べている。

 

[1] See https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021 , October 2021

[2] ‘2021 Trends Show Increased Globalized Threat of Ransomware | CISA’. https://www.cisa.gov/uscert/ncas/alerts/aa22040a  (accessed Jul. 02, 2022)

[3] Cybercrime To Cost The World $10.5 Trillion Annually By 2025’, Cybercrime Magazine, Dec. 08, 2018. https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/  (accessed Jul. 02, 2022) 4 Kaseya VSA ransomware attack’, Wikipedia. Apr. 07, 2022. Accessed: Jul. 02, 2022. [Online]. Available: https://en.wikipedia.org/w/index.php?title=Kaseya_VSA_ransomware_attack&oldid=1081509343 

[4] J. Dossett, ‘A timeline of the biggest ransomware attacks’, CNET. https://www.cnet.com/personal-finance/crypto/atimeline-of-the-biggest-ransomware-attacks/  (accessed Jul. 02, 2022)

[5] ‘83% of ransomware victims paid ransom: Survey’, ZDNet. https://www.zdnet.com/article/83-of-ransomware-victims-paidransom-survey/  (accessed Jul. 02, 2022)

[6] https://www.enisa.europa.eu/news/enisa-news/how-to-map-the-cybersecurity-threat-landscape-follow-the-enisa-6-stepmethodology 

 

7.   CONCLUSIONS 7. 結論
The analysis of the ransomware threat landscape from May 2021 to June 2022 resulted in some conclusions that can be regarded as takeaways for the community.   2021年5月から2022年6月までのランサムウェアの脅威状況を分析した結果、コミュニティにとって収穫とみなせる結論がいくつか得られた。  
7.1  LACK OF RELIABLE DATA  7.1  不確実なデータ 
In general, ransomware security incidents are seldom reported. Most organisations prefer to deal with the problem internally and avoid bad publicity. Some countries have laws regulating the mandatory reporting of incidents, but in most cases a security attack is first disclosed by the attacker.   一般に、ランサムウェアのセキュリティインシデントが報告されることはほとんどない。ほとんどの組織は、問題を社内で処理し、悪い評判を避けることを望んでいる。国によっては、インシデントの報告義務を規定する法律がありますが、ほとんどの場合、セキュリティ攻撃は攻撃者によって最初に公表される。  
A recent legislative initiative in the United States requires the reporting of all security incidents and ransom payments to the Department of Justice Cybersecurity and Infrastructure Security Agency (CISA)[1]. In the EU, the arrival of the revised Network and Information Security Directive 2[2] and the enhanced notification provisions for security incidents is expected to support a better understanding of relevant incidents.  米国では最近、すべてのセキュリティインシデントと身代金の支払いを司法省サイバーセキュリティおよびインフラセキュリティ局(CISA)[1] に報告することを義務付ける法律が制定された。EUでは、改訂されたネットワークと情報セキュリティ指令2[2] の到来とセキュリティインシデントの通知規定の強化により、関連インシデントの理解を深めるサポートが期待されている。 
The lack of reliable data from targeted organisations makes it very hard to fully understand the problem or even know how many ransomware cases there are. To this day, the most reliable sources for finding out which organisations have been infected are the web pages of the ransomware threat actors. This lack of transparency is not good for the industry, since the majority of the data leaked, as was found in this report, is personal data that belongs to employees and customers.  標的となる組織からの信頼できるデータがないため、問題を完全に理解することはもちろん、ランサムウェアの件数を把握することすら非常に困難である。今日に至るまで、どの組織が感染したかを知るための最も信頼できる情報源は、ランサムウェアの脅威を仕掛ける側のWebページなのである。この報告書にあるように、漏えいしたデータの大半は従業員や顧客の個人情報であるため、このような透明性の欠如は業界にとって好ましいことではない。 
Even using the data from the web pages of threat actors (an undeniably unreliable source), it is very hard to keep track of the number of attacks, particularly because a large majority is ignored by the media, goes unreported by the victims and gets no coverage. The most important information that is missing is the technical explanation as to how the attackers obtained access to the targets. This is usually private data that describes the security posture of the target, so it is never shared with the public. As a consequence, our learning as a community of the problems to be solved remains fragmented and isolated.  特に、その大部分がメディアによって無視され、被害者によっても報告されず、報道されないため、脅威アクターのウェブページからのデータ(紛れもなく信頼できないソース)を使用しても、攻撃の数を追跡することは非常に困難である。最も重要な情報は、攻撃者がどのようにしてターゲットにアクセスしたかという技術的な説明である。これは通常、ターゲットのセキュリティ状況を説明するプライベートなデータであるため、一般に公開されることはない。その結果、解決すべき問題についてのコミュニティとしての学習は、断片的で孤立したままになっている。 
Lastly, the trend in RaaS makes it hard to identify the threat actor behind an attack, since now the ransomware tool and command and control are shared between many different affiliates and threat actor groups.  最後に、RaaSのトレンドは、ランサムウェアツールとコマンド&コントロールが多くの異なる関連会社や脅威アクターグループの間で共有されているため、攻撃の背後にいる脅威アクターを特定することが困難になっている。 
7.2  THREAT LANDSCAPE  7.2  脅威の風景 
The study conducted on ransomware attacks from May 2021 to June 2022 showed that on average more than 10 terabytes of data a month were stolen by ransomware threat actors. Our research shows that 58.2% of the stolen data contains personal data from employees. Given the sensitivity of such data, coordinated actions are needed to counter this threat. Ransomware threat actors are motivated mostly in terms of the acquisition of money, which increases the complexity of the attacks and, of course, the capabilities of the adversaries.  2021年5月から2022年6月にかけて行われたランサムウェア攻撃に関する調査では、月平均10テラバイト以上のデータがランサムウェア脅威アクターに窃取されていることがわかった。当社の調査によると、盗まれたデータの58.2%に従業員の個人データが含まれている。このようなデータの機密性を考えると、この脅威に対抗するためには協調的な行動が必要である。ランサムウェアの脅威アクターは、金銭の獲得を主な動機としているため、攻撃の複雑さが増し、もちろん敵の能力も向上する。 
In 94.2% of the incidents it is not known whether the company paid the ransom or not. However, 37.88% of the incidents had their data leaked on the webpages of the attackers, indicating that the ransom negotiations failed. This allows us to estimate that approximately 62.12% of the companies might somehow have come to an agreement or solution concerning the ransom demand.  94.2%のインシデントにおいて、企業が身代金を支払ったかどうかは不明である。しかし、37.88%のインシデントでは、攻撃者のWebページにデータが漏えいしており、身代金交渉が失敗したことを示している。このことから、約62.12%の企業が身代金要求に関して何らかの合意や解決に至った可能性があると推定される。 
Ransomware is thriving, and our research shows that threat actors are conducting indiscriminate attacks. Companies of every size across all sectors are affected. Anyone can become a target. We urge organisations to prepare for ransomware attacks and consider possible consequences before attacks occur.  ランサムウェアが盛んになり、脅威アクターが無差別に攻撃していることが当社の調査で明らかになった。あらゆる分野のあらゆる規模の企業が被害を受けている。誰もがターゲットになり得るのである。私たちは、組織がランサムウェアの攻撃に備え、攻撃が発生する前に起こりうる結果を考慮することを強く推奨する。 

 

・[DOCX] 仮訳

 

 

 

 

 

 

 

| | Comments (0)

2022.07.14

横河電機 (YOKOGAWA) 横河技報 IIoT SOCサービス(参考になります。。。)

こんにちは、丸山満彦です。

横河電機 (YOKOGAWA) が計測、制御、情報をテーマに製品や技術に関する情報を広く発信することを目的として、年2回発行している技術情報誌、横河技報に横河電機が提供している、「IT/OT 統合 SOC」に関する論文が掲載されていますね。。。塩崎さんが小泉さんという方と共同で執筆しているようですね。。。

長らく製造業で情報セキュリティ・サイバーセキュリティに関わってきた方なので、とても参考になる内容だと思います!

ITとOTのセキュリティ対応の際に気をつけないといけないポイントを4つ挙げています。

  1. セキュリティの3要素である機密性,完全性,可用性の優先順位の相違
  2. セキュリティ標準規格の違い
  3. 固有のプロトコルへの対応の違い
  4. IT と OT SOC での顧客対応の違い

が4つ目のIT と OT SOC での顧客対応の違いは実務を長らくやってきている方だからこそできる視点で、とても参考になります。

また、グローバルSOC体制も構築されていますね。。。

これらを踏まえて、「4. Yokogawa IT/OT セキュリティのアプローチ」、「5. 今後の取り組み」を読むとさらに理解が進むかもしれません。

これからグローバルSOC体制を構築しようと考えている方、OT SOCを検討されている方、ぜひ一読をお勧めします。そして、塩崎さんはとても気さくな方なので、機会があれば、直接お話を聞いたほうが良いかもですね。。。

今回の特集は他の論文にもセキュリティ関連記事があるので参考になると思います。。。

 

横河電機 - 横河技報2022年横河技報[Vol.65 No.1]IT/OTコンバージェンスサービス 特集

・[PDF] IIoT SOCサービス


   横河電機ではDigital Transformation(DX)の一環としてお客様向けIoT(Internet of Things)クラウドサービス(Yokogawa Cloud)を推進している。DXの推進には強固なセキュリティ対策が不可欠である。そこで社内向けに展開してきたYokogawa Security Operation Center(Y-SOC)のノウハウを活かし,お客様向けIT/OTセキュリティ監視サービスへと発展させ,より安全なDXサービスをご提供している。本稿では,IT/OT Convergenceにおける技術動向について解説した上で,横河電機のIT/OT統合SOCについて事例を通して紹介する。


20220714-73944

 

是非是非...

 

 

| | Comments (0)

2022.07.12

IPA 情報セキュリティ白書2022

こんにちは、丸山満彦です。

2022.07.15から書籍版が販売ということのようです。。。

情報セキュリティ白書は2008年から続いていますから、今年で15周年ですね。。。

サブタイトルが、「ゆらぐ常識、強まる脅威:想定外に立ち向かえ」となっていますね。。。

 

IPA

・2022.07.11 情報セキュリティ白書2022 7月15日発売(予定)

20220711-214649

 


情報セキュリティ分野の動向を反映した最新刊のおすすめトピックは以下の通りです。

  • 内部不正防止対策の動向
  • 個人情報保護法改正
  • クラウドの情報セキュリティ
  • 中小企業に向けた情報セキュリティ支援策
  • 米国の政策(重要インフラに対する脅威動向、情報発信の規制と課題など)
  • 欧州の政策(サイバーセキュリティおよびセキュリティガバナンスに関する政策、GDPRの運用状況など)

 

目次...

序章 2021年度の情報セキュリティの概況
第1章 情報セキュリティインシデント・脆弱性の現状と対策
1.1 2021年度に観測されたインシデント状況
1.2 情報セキュリティインシデント別の手口と対策
1.3 情報システムの脆弱性の動向
第2章 情報セキュリティを支える基盤の動向
2.1 国内の情報セキュリティ政策の状況
2.2 国外の情報セキュリティ政策の状況
2.3 情報セキュリティ人材の現状と育成
2.4 組織・個人における情報セキュリティの取り組み
2.5 情報セキュリティの普及啓発活動
2.6 国際標準化活動
2.7 安全な政府調達に向けて
2.8 その他の情報セキュリティ動向
第3章 個別テーマ
3.1 制御システムの情報セキュリティ
3.2 IoTの情報セキュリティ
3.3 クラウドの情報セキュリティ
3.4 米国・欧州の情報セキュリティ政策
付録 資料・ツール
資料A 2021年のコンピュータウイルス届出状況
資料B 2021年のコンピュータ不正アクセス届出状況
資料C ソフトウェア等の脆弱性関連情報に関する届出状況
資料D 2021年の情報セキュリティ安心相談窓口の相談状況
IPAの便利なセキュリティツール
第17回 IPA「ひろげよう情報モラル・セキュリティコンクール」2021 受賞作品

 

情報セキュリティ白書

過去のバックアップ

年度 サブタイトル 全文
2022 ゆらぐ常識、強まる脅威:想定外に立ち向かえ  
2021 進むデジタル、広がるリスク:守りの基本を見直そう PDF
2020 変わる生活、変わらぬ脅威:自らリスクを考え新しい行動を PDF
2019 新しい基盤、巧妙化する攻撃:未知のリスクに対応する力 PDF
2018 深刻化する事業への影響:つながる社会で立ち向かえ PDF
2017 広がる利用、見えてきた脅威:つながる社会へ着実な備えを  
2016 今そこにある脅威:意識を高め実践的な取り組みを  
2015 サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を  
2014 もはや安全ではない:高めようリスク感度  
2013 つながる機器に広がる脅威:求められる一人ひとりの意識の向上  
2012 狙われる機密情報:求められる情報共有体制の整備  
2011 広がるサイバー攻撃の脅威:求められる国際的な対応  
2010 広まる脅威・多様化する攻撃:求められる新たな情報セキュリティ対策  
2009 岐路に立つ情報セキュリティ対策:求められるIT活用との両立  
2008 脅威が見えない脅威-求められるプロアクティブな対策  

 

Continue reading "IPA 情報セキュリティ白書2022"

| | Comments (0)

より以前の記事一覧