脆弱性

2022.07.02

デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。

こんにちは、丸山満彦です。

デジタル庁が、デジタル社会推進標準ガイドラインを公表していますが、そこにセキュリティに関するドキュメントが4つ、データ連携に関するドキュメントが1つ追加されましたね。。。

デジタル庁の「次世代セキュリティアーキテクチャ検討会」委員をしておりまして、こういうガイドラインが充実していけば良いと思っております。。。

● デジタル庁資料 - デジタル社会推進標準ガイドライン

 

セキュリティに関するドキュメント

ドキュメント名 本文
[PDF]
統合版[ZIP] 最終改定 ドキュメントの位置づけ 概要
DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン 2,145KB 4,151KB 2022.06.30 Informative 情報システムに対して効率的にセキュリティを確保するためには、情報システムの企画から運用まで一貫したセキュリティ対策(セキュリティ・バイ・デザイン)を実施する必要がある。本文書はシステムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義する。
DS-210 ゼロトラストアーキテクチャ適用方針 774KB 981KB 2022.06.30 Informative クラウドサービスの利活用拡大や、リモートワーク等の業務環境の変化に伴い、従来の境界型のセキュリティモデルだけでは、近年の高度化したサイバー攻撃を完全に予防・防御することは困難になってきており、ゼロトラストな考え方の適用が求められている。本文書は、ゼロトラスト・アーキテクチャを適用するための基本方針を説明するとともに、導入時の留意事項について述べる。
DS-211 常時リスク診断・対処(CRSA)アーキテクチャ 1,073KB 1,491KB 2022.06.30 Informative ゼロトラストアーキテクチャの環境下において、安定且つ安全なサービス提供を実現するためには、政府全体のサイバーセキュリティリスクを早期に検知し、低減する事が必要となる。本文書は、この活動を継続的に実施するための、情報収集・分析を目的としたプラットフォームのアーキテクチャについて説明する。
DS-221 政府情報システムにおける脆弱性診断導入ガイドライン 1,078KB 1,292KB 2022.06.30 Informative 政府情報システムにおいてサイバーレジリエンスを確保するためには、脆弱性診断を実施することが重要である。本文書は、最適な脆弱性診断を選定、調達できるようにするための、脆弱性導入に係る基準とその指針について説明する。


データ連携に関するドキュメント

ドキュメント名 本文
[PDF]
統合版
[ZIP]
最終改定 ドキュメントの位置づけ 概要
DS-400 政府相互運用性フレームワーク(GIF)   34,884KB 2022.06.30 Informative データの利活用、連携がスムースに行える社会を実現するための技術的体系として、「政府相互運用性フレームワーク(Government Interoperability Framework)」(GIF​)を提供する。当フレームワークを利用してデータを整備することで、拡張性が高く、連携が容易なデータを設計することが可能。

 

Digital




Continue reading "デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。"

| | Comments (0)

2022.06.25

SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です。

NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。

昨年3月から初期ドラフトを段階的に発表してきたものです。

これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。

執筆には、NSA、MITREのメンバーに加えてベンダーからは、ArcherDell TechnologiesEclypsiumHewlett Packard EnterpriseHP Inc.IBMIntelSeagateが参加していますね。。。

 

NIST - ITL

2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices

SP 1800-34 (Draft) Validating the Integrity of Computing Devices SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
Announcement 発表
What Is This Guide About? このガイドは何について書かれているのか?
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。
Share Your Expertise 専門知識を共有する
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback. 実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。
Additional NIST Supply Chain Work NISTのサプライチェーンに関するその他の作業
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here. NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。

 

NIST SP 1800-34 ipd

・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft

・[PDF] NIST SP 1800-34: Complete Guide

 

20220625-24825

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時のコンポーネントの検証
3.3  Assumptions 3.3 前提条件
3.4  Risk Assessment 3.4 リスクアセスメント
3.4.1  Threats 3.4.1 脅威
3.4.2  Vulnerabilities 3.4.2 脆弱性
3.4.3  Risk 3.4.3 リスク
3.5  Security Control Map 3.5 セキュリティコントロールマップ
3.6  Technologies 3.6 技術
3.6.1  Trusted Computing Group 3.6.1 トラステッドコンピューティンググループ
4  Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems 4.2 既存の企業IT管理システム
4.2.1  SIEM Tools 4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System 4.2.2 資産発見・管理システム
4.2.3  Configuration Management System 4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards 4.2.4 エンタープライズダッシュボード
4.3  Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25  4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA)
4.3.2  Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System 4.3.3 プラットフォームマニフェスト相関システム
4.3.4  Eclypsium Analytic Platform 4.3.4 分析プラットフォーム
4.4  Computing Devices 4.4 コンピューティングデバイス
4.4.1  HP Inc 4.4.1 HP Inc.
4.4.2  Dell Technologies 4.4.2 デル・テクノロジー
4.4.3  Intel 4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE) 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate 4.4.5 シーゲイト
5  Security Characteristic Analysis 5 セキュリティ特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Build Testing 5.2 ビルドテスト
5.2.1  Scenario 1 5.2.1 シナリオ1
5.2.2  Scenario 2 5.2.2 シナリオ2
5.2.3  Scenario 3 5.2.3 シナリオ3
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM) 5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS) 5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語(英語)リスト
Appendix B References 附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書 C プロジェクトシナリオシーケンスダイアグラム

 


まるちゃんの情報セキュリティティ気まぐれ日記

 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

Continue reading "SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証"

| | Comments (0)

2022.06.11

CISA Alert (AA22-158A) 中華人民共和国に支援されたサイバー犯罪者がネットワークプロバイダーやデバイスを悪用している (2022.06.07)

こんにちは、丸山満彦です。

米国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ局(CISA)、連邦捜査局(FBI)が共同で、中華人民共和国に支援された攻撃者が利用する脆弱性のリストを公開していますね。。。

● CISA

・2022.06.07 Alert (AA22-158A) People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices

 

Alert (AA22-158A) People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices アラート (AA22-158A) 中華人民共和国に支援されたサイバー犯罪者がネットワークプロバイダーやデバイスを悪用している
Summary 概要
This joint Cybersecurity Advisory describes the ways in which People’s Republic of China (PRC) state-sponsored cyber actors continue to exploit publicly known vulnerabilities in order to establish a broad network of compromised infrastructure. These actors use the network to exploit a wide variety of targets worldwide, including public and private sector organizations. The advisory details the targeting and compromise of major telecommunications companies and network service providers and the top vulnerabilities—primarily Common Vulnerabilities and Exposures (CVEs)—associated with network devices routinely exploited by the cyber actors since 2020. この共同サイバーセキュリティ勧告は、中華人民共和国(PRC)の国家に支援されたサイバー行為者が、侵害されたインフラの幅広いネットワークを確立するために、公に知られた脆弱性を悪用し続ける方法について説明しています。これらのサイバー攻撃者は、このネットワークを利用して、公共機関や民間企業を含む世界中のさまざまな標的を攻撃しています。本アドバイザリーでは、大手通信会社やネットワークサービスプロバイダーが標的とされ、侵害されたこと、また2020年以降、サイバー行為者によって日常的に悪用されているネットワーク機器に関連する脆弱性(主にCVE(共通脆弱性識別子))のトップについて詳述しています。
This joint Cybersecurity Advisory was coauthored by the National Security Agency (NSA), the Cybersecurity and Infrastructure Security Agency (CISA), and the Federal Bureau of Investigation (FBI). It builds on previous NSA, CISA, and FBI reporting to inform federal and state, local, tribal, and territorial (SLTT) government; critical infrastructure (CI), including the Defense Industrial Base (DIB); and private sector organizations about notable trends and persistent tactics, techniques, and procedures (TTPs). この共同サイバーセキュリティアドバイザリーは、米国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ局(CISA)、連邦捜査局(FBI)が共同で作成したものです。この報告書は、これまでの NSA、CISA、FBI の報告を基に、連邦政府および州、地方、部族、領土(SLTT)、防衛産業基盤(DIB)を含む重要インフラ(CI)、民間企業に対し、注目すべき傾向と根強い戦術、技術、手順(TTPs)に関する情報を提供するものです。
Entities can mitigate the vulnerabilities listed in this advisory by applying the available patches to their systems, replacing end-of-life infrastructure, and implementing a centralized patch management program. この勧告に記載されている脆弱性を緩和するには、利用可能なパッチをシステムに適用し、耐用年数が経過したインフラを交換し、集中パッチ管理プログラムを導入する必要があります。
NSA, CISA, and the FBI urge U.S. and allied governments, CI, and private industry organizations to apply the recommendations listed in the Mitigations section and Appendix A: Vulnerabilities to increase their defensive posture and reduce the risk of PRC state-sponsored malicious cyber actors affecting their critical networks. NSA、CISA、FBI は、米国および同盟国の政府、情報収集機関、民間企業組織が、「緩和策」のセクションおよび「附属書 A:脆弱性」に記載された推奨事項を適用して防御体制を強化し、中華人民共和国の支援による悪質なサイバー行為者が重要ネットワークに影響を及ぼすリスクを低減することを強く推奨します。
For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage. 中国がスポンサーとなっている悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照してください。

 

・[PDF]

20220611-153122  

 

 

ベストプラクティスは、、、

Best Practices ベストプラクティス
• Apply patches as soon as possible ・できるだけ早いパッチの適用
• Disable unnecessary ports and protocols ・不要なポートやプロトコルの無効化
• Replace end-of-life infrastructure ・耐用年数が経過したインフラの交換
• Implement a centralized patch management system ・パッチ集中管理システムの導入

 

Vendor CVE 脆弱性タイプ
Cisco CVE-2018-0171 リモートコード実行
  CVE-2019-15271 リモートコード実行
  CVE-2019-1652 リモートコード実行
Citrix CVE-2019-19781 リモートコード実行
DrayTek CVE-2020-8515 リモートコード実行
D-Link CVE-2019-16920 リモートコード実行
Fortinet CVE-2018-13382 認証バイパス
MikroTik CVE-2018-14847 認証バイパス
Netgear CVE-2017-6862 リモートコード実行
Pulse CVE-2019-11510 認証バイパス
  CVE-2021-22893 リモートコード実行
QNAP CVE-2019-7192 権限昇格
  CVE-2019-7193 リモートインジェクション
  CVE-2019-7194 XMLルーティング迂回攻撃
  CVE-2019-7195 XMLルーティング迂回攻撃
Zyxel CVE-2020-29583 認証バイパス

 

 

| | Comments (0)

NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

こんにちは、丸山満彦です。

NISTが、NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定を公表し、意見募集をしていますね。。。

なかなか興味深い報告書です。。。

 

● NIST - ITL

・2022.06.08 NISTIR 8409 (Draft) Measuring the Common Vulnerability Scoring System Base Score Equation

NISTIR 8409 (Draft) Measuring the Common Vulnerability Scoring System Base Score Equation NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定
Announcement 発表
Calculating the severity of information technology vulnerabilities is important for prioritizing vulnerability remediation and helping to understand the risk of a vulnerability. The Common Vulnerability Scoring System (CVSS) is a widely used approach to evaluating properties that lead to a successful attack and the effects of a successful exploitation. CVSS is managed under the auspices of the Forum of Incident Response and Security Teams (FIRST) and is maintained by the CVSS Special Interest Group (SIG). Unfortunately, ground truth upon which to base the CVSS measurements has not been available. Thus, CVSS SIG incident response experts maintain the equations by leveraging CVSS SIG human expert opinion. 情報技術の脆弱性の深刻度を計算することは、脆弱性修正の優先順位付けや、脆弱性のリスクの把握に役立つため、重要です。共通脆弱性評点システム(CVSS)は、攻撃の成功につながる特性や悪用が成功した場合の影響を評価するためのアプローチとして広く利用されています。CVSSは、FIRSTの後援を受け、CVSS Special Interest Group (SIG)によって維持管理されています。残念ながら、CVSS測定の基礎となるグランド・トゥルースは利用可能ではありません。そのため、CVSS SIGのインシデントレスポンスの専門家が、CVSS SIGの人間の専門家の意見を活用し、数式を維持しています。
This work evaluates the accuracy of the CVSS “base score” equations and shows that they represent the CVSS maintainers' expert opinion to the extent described by these measurements. NIST requests feedback on the approach, the significance of the results, and any CVSS measurements that should have been conducted but were not included within the initial scope of this work. Finally, NIST requests comments on sources of data that could provide ground truth for these types of measurements. この研究では、CVSSの「基礎評点」式の精度を評価し、この測定値がCVSSメンテナンス担当者の専門的な意見を表現していることを示しました。NISTは、このアプローチ、結果の重要性、およびこの作業の最初の範囲に含まれなかったが実施されるべきであったCVSS測定に関するフィードバックを求めます。最後に、NISTは、この種の測定にグランドトゥルースを提供できるデータソースについてのコメントを求めています。
Abstract 概要
This work evaluates the validity of the Common Vulnerability Scoring System (CVSS) Version 3 ``base score'' equation in capturing the expert opinion of its maintainers. CVSS is a widely used industry standard for rating the severity of information technology vulnerabilities; it is based on human expert opinion. This study is important because the equation design has been questioned since it has features that are both non-intuitive and unjustified by the CVSS specification. If one can show that the equation reflects CVSS expert opinion, then that study justifies the equation and the security community can treat the equation as an opaque box that functions as described. この研究は、共通脆弱性評点システム(CVSS) 第3版 の「基礎評点」式の有効性を、その保守者の専門的な意見を反映させることで評価するものです。CVSSは、情報技術の脆弱性の深刻度を評価するために広く利用されている業界標準であり、人間の専門家の意見に基づいています。この研究は、CVSSの仕様から直感的でなく、正当化できない特徴を持つ方程式の設計が疑問視されているため、重要です。もし、数式がCVSS専門家の意見を反映していることを示すことができれば、その研究は数式を正当化し、セキュリティコミュニティは数式を説明どおりに機能する不透明な箱として扱うことができます。
This work shows that the CVSS base score equation closely though not perfectly represents the CVSS maintainers' expert opinion. The CVSS specification itself provides a measurement of error called ``acceptable deviation'' (with a value of 0.5 points). In this work, the distance between the CVSS base scores and the closest consistent scoring systems (ones that completely conform to the recorded expert opinion) is measured. The authors calculate that the mean scoring distance is 0.13 points and the maximum scoring distance is 0.40 points. The acceptable deviation was also measured to be 0.20 points (lower than claimed by the specification). These findings validate that the CVSS base score equation represents the CVSS maintainers' domain knowledge to the extent described by these measurements. この研究は、CVSS基礎評点の式が、完全ではないものの、CVSS保守者の専門家の意見を忠実に反映していることを示しました。CVSS仕様自体は、「許容距離」(0.5点の値)と呼ばれる誤差の測定法を提供しています。この研究では、CVSSの基礎評点と、最も整合性の高い評点システム(記録された専門家の意見に完全に適合するもの)との間の距離を測定しています。著者らは、平均得点距離は0.13点、最大得点距離は0.40点であると計算しています。また、許容距離は0.20点と測定されました(仕様で主張されている値より低い)。これらの結果は、CVSSの基礎評点式がCVSS保守者のドメイン知識をこれらの測定で説明される程度に表していることを検証するものです。

 

・[PDF] NISTIR 8409 (Draft)

20220610-151106

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
2 Common Vulnerability Scoring System 2 共通脆弱性評点システム
2.1 CVSS Base Score Metrics 2.1 CVSS基礎評点の指標
2.2 CVSS Base Score Equations 2.2 CVSS 基礎評点の計算式
3 Rationale for the CVSS Base Score Equations 3 CVSS 基礎評点評点式の根拠
3.1 Development of the CVSS Base Score Equation 3.1 CVSS基礎評点評点式の開発
3.2 Acceptable Deviation 3.2 許容距離
4 Metrology Tools, Metrics, and Algorithms 4 計測ツール、計測指標、アルゴリズム
4.1 Knowledge Encoder Tool 4.1 知識エンコーダツール
4.2 Knowledge Constraint Graphs 4.2 知識制約グラフ
4.2.1 Equivalency Sets 4.2.1 等価性セット
4.2.2 Magnitude Measurements 4.2.2 マグニチュード測定
4.2.3 Simplifed Graphs 4.2.3 簡略化されたグラフ
4.3 Inconsistency Metrics for Knowledge Constraint Graphs 4.3 知識制約グラフの非整合性指標
4.4 Voting Unifcation Algorithm 4.4 投票統一アルゴリズム
4.4.1 Analysis of Votes 4.4.1 投票の分析
4.4.2 Priority Ordering 4.4.2 優先順位付け
4.4.3 Unifed Graph Construction 4.4.3 統一されたグラフの構築
4.4.4 Description of Constructed Graph 4.4.4 構築されたグラフの説明
5 Data Collection and Processing 5 データ収集と処理
5.1 Data Set of Analyzed Vectors 5.1 解析対象ベクターのデータセット
5.2 Volunteer Participants 5.2 ボランティア参加者
5.3 Produced Knowledge Constraint Graphs 5.3 作成された知識制約グラフ
5.4 Knowledge Constraint Graph Inconsistency Measurements 5.4 知識制約グラフの非整合性の測定
5.4.1 Graph f00 5.4.1 グラフf00
5.4.2 Graph 977 5.4.2 グラフ977
5.5 Unifed Knowledge Constraint Graph 5.5 統一された知識制約グラフ
5.6 Optimal Number of Equivalency Sets 5.6 最適な等価集合の数
6 Measurement Approach 6 測定方法
6.1 Consistent Scoring Systems 6.1 無矛盾な採点システム
6.1.1 Scoring System Defnition 6.1.1 評点リング・システムの定義
6.1.2 Consistent Scoring System Defnition 6.1.2 無矛盾な評点システムの定義
6.2 Generation of a Closest Consistent Scoring System 6.2 最も近い無矛盾性評点システムの生成
6.3 Measurement Methodology 6.3 測定方法
7 Measurement Results 7 測定結果
7.1 Mean Scoring Distance 7.1 平均得点距離
7.2 Maximum Scoring Distance 7.2 最大採点距離
7.3Acceptable Deviation 7.3 許容距離
7.4 Increasing Accuracy with More Data 7.4 より多くのデータによる精度の向上
8 Interpretation of Results and Related Work 8 結果の解釈と関連研究
9 Conclusion 9 まとめ
References 参考文献
List of Appendices 附属書一覧
Appendix A—Acronyms 附属書A - 頭字語
Appendix B- Set of Evaluated CVSS vectors 附属書B - 評価済みCVSSベクトル集合
Appendix C- Encoded Knowledge Constraint Graphs 附属書C - 符号化された知識制約グラフ

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
The Common Vulnerability Scoring System (CVSS) Version 3 maintained by the CVSS Special Interest Group (SIG) is a widely used industry standard for characterizing the properties of information technology vulnerabilities and measuring their severity. It is based on human expert opinion. Vulnerability properties are characterized through a multidimensional vector. The severity is defned primarily through a multi-part “base score” equation, with 8 input metrics, that is not readily amenable to human comprehension.  CVSS Special Interest Group (SIG) によって維持されている 共通脆弱性評点システム、 (CVSS) 第3版 は、情報技術の脆弱性の特性を特徴付け、その深刻度を測定するために広く使用されている業界標準です。CVSSは、人間の専門家の意見に基づいています。脆弱性の特性は、多次元ベクトルによって特徴づけられます。深刻度は、主に8つの入力指標を持つ多部構成の「基礎評点」式によって定義されますが、これは人間の理解には容易ではありません。
To develop the equation, CVSS SIG members frst described a set of real vulnerabilities using CVSS vectors and assigned them one of fve severity levels. This created a partial lookup table mapping vectors to severity levels. They then defned a target score range for each severity level and created an equation to attempt to map each vector to a score within the specifed score range. Finally, they reviewed the equation’s scoring of vectors not included in the partial lookup table to evaluate the effectiveness of the equation on the full set of possible vectors. Since the equation could not perfectly map vectors to score ranges, the CVSS Version 3.1 specifcation provides a measurement of error (an ‘acceptable deviation’ of 0.5 points). However, suffcient information is not provided to reproduce the experiment.  この方程式を開発するために、CVSS SIGのメンバーはまず、CVSSベクトルを使用して一連の実際の脆弱性を記述し、5つの深刻度レベルのうちの1つを割り当てました。これにより、ベクターと重要度レベルを対応させた部分的なルックアップテーブルが作成されました。次に、各重要度レベルの目標評点範囲を定義し、各ベクトルを指定された評点範囲内の評点に対応付けることを試みる方程式を作成しました。最後に,部分ルックアップテーブルに含まれていないベクトルに対する方程式の評点を確認し,可能性のあるすべてのベクトルに対する方程式の有効性を評価した.この方程式はベクターを評点範囲に完全に対応付けることができないため、CVSSバージョン3.1の仕様では、誤差の測定値(0.5点の「許容距離」)を提供しています。しかし、実験を再現するのに十分な情報は提供されていない。
This work measures the degree to which the CVSS base score equation refects the CVSS SIG expert domain knowledge while providing a reproducible justifcation for the measurements. It starts not from a set of real vulnerabilities, as the CVSS SIG did, but from a set of 66 vulnerability types (i.e., CVSS vectors) that represent 90 % of the vulnerabilities published by the U.S. National Vulnerability Database. CVSS SIG experts then evaluate these vulnerability types and encode their knowledge as constraint graphs; sets of graphs are then unifed using a voting algorithm. These unifed graphs represent sets of consistent scoring systems (mappings of vectors to scores).  この研究では、CVSS基礎評点の式がCVSS SIG専門家のドメイン知識をどの程度反映しているかを測定し、測定値に対して再現可能な正当性を提供します。CVSS SIGのように実際の脆弱性の集合からではなく、米国の国家脆弱性データベースによって公開された脆弱性の90%を占める66種類の脆弱性(すなわちCVSSベクトル)の集合から開始します。次に、CVSS SIGの専門家がこれらの脆弱性の種類を評価し、その知識を制約グラフとして表現します。そして、グラフの集合は投票アルゴリズムを用いて単一化されます。これらの統一されたグラフは、一貫した採点システム(ベクトルと評点のマッピング)の集合を表します。
The consistent scoring system closest to the CVSS Version 3.1 scores was found, and the distance between the scores and the closest consistent scoring system scores was measured. These measurements represent the degree to which the CVSS v3.1 base score equation represents the CVSS SIG expert domain knowledge.  CVSS 第3.1版の評点に最も近い一貫した採点システムを見つけ、その評点と最も近い一貫した採点システムの評点との間の距離を測定した。これらの測定値は、CVSS v3.1の基礎評点式がCVSS SIG専門家のドメイン知識をどの程度表しているかを表しています。
Using this approach, the mean and maximum distance of the CVSS v3.1 scores compared to the closest consistent scoring system scores was measured and the acceptable deviation was recalculated. Unlike acceptable deviation, the new distance metrics measure the score values themselves separate from the severity levels. Using all 12 CVSS SIG inputs, the mean scoring distance is 0.13 points, the maximum scoring distance is 0.40 points, and the acceptable deviation is 0.20 points. Sets of 11 out of 12 of the inputs were used to calculate precision measurements (i.e., standard deviation).  この方法を用いて、最も近い一貫性のある採点システムの評点と比較したCVSS 第3.1版の評点の平均距離と最大距離が測定され、許容距離が再計算されました。許容距離とは異なり、新しい距離メトリックは、深刻度レベルとは別に評点値そのものを測定します。12のCVSS SIGインプットすべてを使用した場合、平均評点リング距離は0.13点、最大評点リング距離は0.40点、許容距離は0.20点となりました。12個の入力のうち11個の入力は、精度の測定(すなわち標準距離)を計算するために使用されました。
These fndings validate that the CVSS base score equation functions as described (to the extent described by these measurements); it represents the encoded CVSS SIG domain knowledge. The measurements support the equation as defned. The security community may use it as an opaque box without understanding the internal functionality.  これらの結果は、CVSS基礎評点の式が(これらの測定値によって記述される範囲において)記述されたとおりに機能することを検証するもので、それは符号化されたCVSS SIGドメイン知識を表しています。測定結果は、定義された方程式をサポートしています。セキュリティコミュニティは、内部機能を理解することなく、不透明な箱としてそれを使用することができます。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

CVSSが脆弱性についての数値をアウトプットとして出すのに対して、SSVCはとるべき対応をアウトプットして出すということで、具体的な対策に結びつける方法・・・

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

 

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

| | Comments (0)

2022.05.21

CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 初期アクセスを可能にする脆弱性

こんにちは、丸山満彦です。

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チーム(CERT NZ)、オランダ国家サイバーセキュリティセンター(NCSC-NL)、英国国家サイバーセキュリティセンター(NCSC-UK)が共同で、初期アクセスを可能にする脆弱性を公表していますね。。。 。。。

数あるセキュリティ対策を検討する際の優先順位付けに活用してくださいということですかね。。。

最近このメンバーでちょいちょい発表していますね。。。今回はオランダが入っていますね。。。

 

● NSA

・2022.05.17 NSA, Allies Issue Cybersecurity Advisory on Weaknesses that Allow Initial Access

NSA, Allies Issue Cybersecurity Advisory on Weaknesses that Allow Initial Access NSAと同盟国、初期アクセスを可能にする脆弱性に関するサイバーセキュリティアドバイザリーを発行
FORT MEADE, Md. — The Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the FBI, along with allied nations, published a Cybersecurity Advisory today to raise awareness about the poor security configurations, weak controls and other poor network hygiene practices malicious cyber actors use to gain initial access to a victim’s system. メリーランド州フォートミード - サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、FBIは、同盟国とともに、悪意のあるサイバー行為者が被害者のシステムへの初期アクセスを得るために使用する、不十分なセキュリティ設定、弱い制御、その他のネットワーク衛生の不備に関する注意を喚起するサイバーセキュリティアドバイザリーを本日発表しました。
“Weak Security Controls and Practices Routinely Exploited for Initial Access” also includes best practices that can help organizations strengthen their defenses against this malicious activity. また、「初期アクセスのために日常的に悪用される脆弱なセキュリティ制御と慣行」には、このような悪意のある行為に対する組織の防御を強化するのに役立つベストプラクティスも含まれています。
“As long as these security holes exist, malicious cyber actors will continue to exploit them,” said NSA Cybersecurity Director Rob Joyce. “We encourage everyone to mitigate these weaknesses by implementing the recommended best practices.” NSAのサイバーセキュリティディレクターであるロブ・ジョイスは、以下のように述べています。「このようなセキュリティホールが存在する限り、悪意のあるサイバーアクターはそれを悪用し続けるでしょう。我々は、推奨されるベストプラクティスを実施することにより、これらの弱点を軽減するよう、すべての人に呼びかけます。」
Some of the most common weaknesses include not enforcing multifactor authentication, incorrectly applying privileges or permissions and errors within access control lists and not keeping software up to date. The advisory recommends mitigations that control access, harden credentials, establish centralized log management and more. 最も一般的な弱点としては、多要素認証の未実施、特権や許可の不正な適用、アクセス制御リスト内の誤り、ソフトウェアを最新に保っていないことなどが挙げられます。この勧告では、アクセスの制御、認証情報の強化、ログの集中管理などの緩和策を推奨しています。
CISA produced the advisory with help from NSA and other partners. That includes the FBI, the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT NZ), the Netherlands National Cyber Security Centre (NCSC-NL), and the United Kingdom National Cyber Security Centre (NCSC-UK) on the advisory. Many of the same cybersecurity authorities collaborated to release a complementary advisory on 27 April, which highlighted the top routinely exploited vulnerabilities from 2021. CISAは、NSAや他のパートナーの協力を得て、この勧告を作成しました。その中には、FBI、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チーム(CERT NZ)、オランダ国家サイバーセキュリティセンター(NCSC-NL)、英国国家サイバーセキュリティセンター(NCSC-UK)が勧告に参加しています。同じサイバーセキュリティ当局の多くが協力して4月27日に補足勧告を発表し、2021年から日常的に悪用される脆弱性の上位を取り上げました。
Read the full report here. レポートの全文はこちらから確認ください。
Visit our full library for more cybersecurity information and technical guidance. その他のサイバーセキュリティ情報および技術ガイダンスについては、当庁のライブラリを確認ください。

 

・[PDF] Weak Security Controls and Practices Routinely Exploited for Initial Access

20220521-00743

Best Practices to Protect Your Systems システムを保護するためのベストプラクティス
· Control access. ・アクセス制御
· Harden credentials. ・クレデンシャルの強化
· Establish centralized log management. ・ログの一元管理
· Use antivirus. ・アンチウイルスの利用
· Employ detection tools. ・検知ツールの導入
· Operate services exposed on internet-accessible hosts with secure configurations. ・インターネットに接続可能なホストで公開されているサービスの安全な設定での運用
· Keep software updated. ・ソフトウェアの最新化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.13 CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー

・2022.05.04 CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)

| | Comments (0)

2022.05.17

AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

こんにちは、丸山満彦です。

米国下院のHouse Committee on Science, Space and Technology(科学・宇宙・技術委員会)で、オープンソースソフトウェアのサイバーセキュリティについての公聴会があり、そこでAIサプライチェーンリスクについての発表もあったようですね。。。

販売されているAIを利用しようとする場合、AIサプライチェーンリスクは通常のプログラムより深刻かも知れませんね。。。

機械学習によるアプリケーションはデータがある意味プログラムの一部であるわけで、そのAIがどのような学習をしてきたか(あるいは教育を受けてきたか)によって、意図的な判断を組み込むことができそうですし、かといって、その意図的な判断が組み込まれていることを見つけ出すことは難しいように思います。

例えば、マルウェア検出を人工知能で行うアプリケーションを考えてみても、特定のパターンのマルウェアについてはマルウェアと判別しないようにしていても、それに気づくことは難しいですよね。。。考えられる対策としては、アンドリュー氏は、政府による信頼できるAIのバージョンが提供される仕組みを作ることを提唱していますね。。。(政府に何ができるのかと言うことを考える場ですから、、、)

それ以外にも、ユーザサイドの対策としては、複数の同種のプログラムを利用して、その結果を利用することも考えられると思います。。。(多数決な感じ...)

いずれにしても、これからはアプリケーション等の作成に関わった主体の信頼性などの要素が重要となってくるように感じます。

米国の公聴会の議論も踏まえて政策を考えたら良いのでしょうね。。。(議論の質が高いものが多いように感じるし。。。)

しかし、下院の科学・宇宙・技術委員会の投資・監視小委員会の議長Bill Fosterさんは、フェルミ研究所出身なんですね。。。

Fig1_20220517041101

 

House Committee on Science, Space and Technology

・2022.05.11 SECURING THE DIGITAL COMMONS: OPEN-SOURCE SOFTWARE CYBERSECURITY

・[PDF] Dr. Andrew Lohn, Senior Fellow, Center for Security and Emerging Technology, Georgetown University

20220517-42029

ビデオは、

44:50くらいから始まります。。。

本文...

Chairman Foster, Chairwoman Stevens, Ranking Member Obernolte, Ranking Member Feenstra, and members of the Subcommittees, thank you for the opportunity to testify before you today. I am Andrew Lohn, Senior Fellow in the CyberAI Project of the Center for Security and Emerging Technology at Georgetown University. It is an honor to be here. During the next few minutes, I would like to discuss risks related to the artificial intelligence supply chain.  フォスター委員長、スティーブンス委員長、オバーノルテ委員、フィーンストラ委員、そして各小委員会の皆様、本日は証言の機会をいただき、ありがとうございます。私は、ジョージタウン大学安全保障・新技術センターのサイバーAIプロジェクトのシニアフェロー、アンドリュー・ローンと申します。この場にいることを光栄に思います。これから数分間、人工知能のサプライチェーンに関連するリスクについてお話したいと思います。
A Culture of Sharing  共有の文化 
The AI community has been particularly open to sharing. For example, it cost $500,000 and two and a half years to build the famous ImageNet dataset, but the professor who built it released it to everyone. Then Google and Facebook both released their powerful AI engines. Now thousands of the most powerful AI models are a quick download away. It is truly incredible given that these models often range from thousands to millions of dollars to build – and that’s in computing cost alone, without even considering the expertise to design them.  AIコミュニティは、特に共有に対してオープンです。例えば、有名なImageNetデータセットの構築には50万ドルと2年半の時間がかかりましたが、構築した教授はそれを皆に公開しました。その後、GoogleとFacebookが強力なAIエンジンを公開しました。今では、何千もの最も強力なAIモデルが、すぐにダウンロードできるようになりました。これらのモデルの構築には数千ドルから数百万ドルの費用がかかることが多く、しかもそれは設計の専門知識を考慮しない計算コストだけであることを考えると、本当に驚くべきことです。
The AI Supply Chain  AIサプライチェーン 
These datasets, models, and AI programming resources are the building blocks of today’s AI systems. In the same way that few bakers today grow their own grain and raise their own hens, most AI developers simply combine ready-made components and tweak them for their new applications. Sometimes the whole process only needs a few lines of code and surprisingly little expertise. This approach allowed Google Translate to improve performance in 2016 while trimming from 500,000 lines of code down to just 500.  これらのデータセット、モデル、AIプログラミングリソースは、今日のAIシステムの構成要素となっています。パン職人が自分で穀物を育てたり、鶏を飼ったりすることがほとんどないのと同じように、AI開発者の多くは既製の部品を組み合わせ、新しい用途に合わせて手を加えるだけです。その際、必要なのは数行のコードと驚くほど少ない専門知識だけだったりします。このアプローチにより、Google翻訳は2016年、50万行のコードをわずか500行に削減しながら、パフォーマンスを向上させることができました。
Sharing has driven both scientific and economic progress, but it has also created an alluring target for attackers.   共有は、科学と経済の両方の進歩を推進しましたが、攻撃者にとって魅力的なターゲットも生み出しています。 
Supply Chain Vulnerability  サプライチェーンの脆弱性 
For one, an attacker can subvert an AI system by altering the data. That could happen, for instance, by a nefarious online worker while they label the datasets or by a hacker who sneaks into the victim’s networks. Alternatively, if the attacker provides a fully trained model, then it can be very hard to find their manipulations.   一つは、攻撃者がデータを改ざんすることで、AIシステムを破壊できることです。例えば、データセットにラベルを貼る際に悪意のあるオンラインワーカーによって、あるいは被害者のネットワークに忍び込むハッカーによって、そのようなことが起こる可能性があります。また、攻撃者が完全に訓練されたモデルを提供した場合、その操作を発見することは非常に困難です。 
There is no good way to know if a downloaded model has a backdoor, and it turns out that those backdoors can survive even after the system has been adapted for a new task. A poisoned computer vision system might mistakenly identify objects, or a poisoned language model might not detect terrorist messages or disinformation campaigns that use the attacker’s secret codewords.  ダウンロードしたモデルにバックドアがあるかどうかを知る良い方法はなく、バックドアはシステムが新しいタスクに適応された後でも生き残ることができます。毒されたコンピュータビジョンシステムが誤って物体を識別したり、毒された言語モデルが攻撃者の秘密のコードネームを使用したテロリストのメッセージや偽情報キャンペーンを検出しないかもしれません。
The programming resources for building AI systems are also vulnerable. Such systems can have thousands of contributors from around the globe writing millions of lines of code. Some of that code has been exploitable in the past. And some of it prioritizes speed or efficiency over security. For example, vision systems need images at a specific size, but the code to resize images allows attackers to swap out one image for another.  AIシステムを構築するためのプログラミング資源もまた脆弱です。このようなシステムには、世界中から何千人もの貢献者が集まり、何百万行ものコードを書いていることがあります。その中には、過去に悪用されたことのあるコードもあります。また、セキュリティよりもスピードや効率を優先するコードもあります。例えば、画像処理システムは特定のサイズの画像を必要としますが、画像のサイズを変更するコードによって、攻撃者はある画像を別の画像に交換することができます。
And lastly, these resources are only as secure as the organization or system that provides them. Today, the vast majority are hosted in the United States or its allies, but China is making a push to create state-of-the-art resources and the network infrastructure to provide them. If adversaries make the most capable models – or if they simply host them for download – then developers in the United States would face an unwelcome choice between capability and security.   そして最後に、これらのリソースは、それを提供する組織やシステムの安全性と同じだけ安全です。現在、その大半は米国やその同盟国でホストされていますが、中国は最先端のリソースとそれを提供するネットワーク・インフラを構築することを推進しています。もし敵対国が最も高性能なモデルを作成し、あるいは単にダウンロードできるようにホストするのであれば、米国内の開発者は性能とセキュリティの間で好ましくない選択に直面することになります。 
Recommendations  提言 
There are a few things Congress can do now to help maximize the benefits of this sharing culture while limiting the security risks that come with it. One step is supporting efforts to provide trusted versions of these AI resources, such as through NIST or the National AI Research Resource. Funding is also needed to do the basic hygiene, cleanup, and audits that are important for security, but that attract few volunteers.  このような共有文化のメリットを最大限に生かしつつ、それに伴うセキュリティリスクを抑えるために、議会が今できることがいくつかあります。その一歩は、NISTやNational AI Research Resourceなどを通じて、これらのAIリソースの信頼できるバージョンを提供する取り組みを支援することです。また、セキュリティにとって重要でありながら、ボランティアがほとんど集まらない基本的な衛生管理、クリーンアップ、監査を行うための資金も必要です。
Congress should consider requesting that organizations across the U.S. government create a prioritized list of AI systems and the resources used to build them. This list may be easier to create and maintain if these organizations are incentivized to collect a software bill of materials that lists the components in the software that the government buys or builds.  議会は、米国政府全体の組織に対して、AIシステムとその構築に使用されるリソースの優先順位付けされたリストを作成するよう要請することを検討すべきです。もしこれらの組織が、政府が購入または構築するソフトウェアのコンポーネントをリストアップしたソフトウェア部品表を収集するよう奨励されれば、このリストの作成と維持はより容易になるかもしれません。
And lastly, many of these AI systems are new, and so are the attacks on them. The government would benefit from augmenting their red and blue teams of defensive hackers and security specialists with AI expertise to help them discover security holes in our most important systems while also thinking of new, creative ways to subvert them before our adversaries do.  最後に、これらのAIシステムの多くは新しいものであり、それに対する攻撃もまた新しいものです。政府は、防御的なハッカーやセキュリティの専門家からなるレッドチームとブルーチームにAIの専門知識を補強することで、最も重要なシステムのセキュリティホールを発見し、敵より先にそれを破壊する新しい創造的な方法を考えるのに役立つと思われます。
Thank you for the opportunity to testify today, and I look forward to your questions.   本日は証言の機会をいただき、ありがとうございました。 

 

オープンソフトのセキュリティと言う意味では、他の証言も大変参考になるので、、、

 

Continue reading "AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)"

| | Comments (0)

2022.05.11

インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

こんにちは、丸山満彦です。

インドのCERT-Inがインシデントが発生したら6時間以内にCERT-Inに報告しなければならないと指示をしていますね。。。

CERT-In

・2022.04.28 Directions by CERT-In under Section 70B. Information Technology Act 2000

・[PDF] Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet

 

20220511-52423

本文...

 

Subject: Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet.   件名:安全で信頼できるインターネットのための情報セキュリティの実践、手順、予防、対応、サイバーインシデントの報告に関する2000年情報技術法第70B条(6)の規定に基づく指示
Whereas, the Central Government in terms of the provisions of sub-section (1) of section 70B of Information Technology (IT) Act, 2000 (IT Act, 2000) has appointed “Indian Computer Emergency Response Team (CERT-In)” vide notification dated 27th October 2009 published in the official Gazette and as per provisions of sub-section (4) of section 70B of IT Act, 2000 The Indian Computer Emergency Response Team shall serve as the national agency for performing the following functions in the area of cyber security:-  2000年情報技術(IT)法(IT Act, 2000)の第70B条(1)の規定に基づき、中央政府は、官報に掲載された2009年10月27日付通知により「インドコンピュータ緊急対応チーム(CERT-In)」を任命し、2000年IT法第70B条(4)の規定に基づき、インドコンピュータ緊急対応チームがサイバーセキュリティの分野において以下の機能を果たす国家機関として機能するものとしている。
a) collection, analysis and dissemination of information on cyber incidents;  a) サイバーインシデントに関する情報の収集、分析、普及
b) forecast and alerts of cyber security incidents;  b) サイバーセキュリティインシデントの予測・警告
c) emergency measures for handling cyber security incidents;  c) サイバー・セキュリティ・インシデントに対処するための緊急措置
d) coordination of cyber incidents response activities;  d) サイバーインシデント対応活動の調整
e) issue guidelines, advisories, vulnerability notes and whitepapers relating to information security practices, procedures, prevention, response and reporting of cyber incidents;  e) 情報セキュリティの実践、手順、予防、対応及びサイバーインシデントの報告に関するガイドライン、勧告、脆弱性ノート及びホワイトペーパーの発行
f) such other functions relating to cyber security as may be prescribed.  f) サイバーセキュリティに関連するその他の機能で、規定されるもの
And whereas, “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” were notified and published vide notification dated 16.01.2014 by the Central Government in exercise of the powers conferred by clause (zf) of sub-section (2) of section 87 read with sub-section (5) of section 70B of the IT Act, 2000.   2000年IT法第87条(2)と第70B条(5)により付与された権限を行使し、中央政府が2014年1月16日付通知により「情報技術(インドコンピュータ緊急対応チームと機能および義務の実行方法)規則2013」を通知・公表した。
And whereas, as per provisions of sub-section (6) of section 70B of the IT Act, 2000, CERT-In is empowered and competent to call for information and give directions to the service providers, intermediaries, data centres, body corporate and any other person for carrying out the activities enshrined in sub-section (4) of section 70B of the IT Act, 2000.   2000年IT法第70B条(6)の規定により、CERT-Inは、2000年IT法第70B条(4)に規定された活動を行うために、サービスプロバイダー、仲介業者、データセンター、法人、その他の者に情報を求め、指示を与える権限と能力を有している。
And whereas, various instances of cyber incidents and cyber security incidents have been and continue to be reported from time to time and in order to coordinate response activities as well as emergency measures with respect to cyber security incidents, the requisite information is either sometime not found available or readily not available with service providers/data centres/body corporate and the said primary information is essential to carry out the analysis, investigation and coordination as per the process of law.    サイバーセキュリティインシデントに関する対応活動や緊急措置を調整するために、必要な情報がサービスプロバイダー、データセンター、団体から入手できなかったり、容易に入手できなかったりすることがあり、法の手続きに従って分析、調査、調整を行うためには、上記の主要情報が不可欠である。
And whereas, it is considered expedient in the interest of the sovereignty or integrity of India, defence of India, security of the state, friendly relations with foreign states or public order or for preventing incitement to the commission of any cognizable offence using computer resource or for handling of any cyber incident, that following directions are issued to augment and strengthen the cyber security in the country:   インドの主権や一体性、防衛、国家の安全保障、外国との友好関係、公序良俗、コンピュータ資源を用いた認知可能な犯罪の実行の扇動防止、サイバー事件の処理のために、国内のサイバーセキュリティを増強し強化するために以下の指示が出されることが望ましいと考えられる。
(i) All service providers, intermediaries, data centres, body corporate and Government organisations shall connect to the Network Time Protocol (NTP) Server of National Informatics Centre (NIC) or National Physical Laboratory (NPL) or with NTP servers traceable to these NTP servers, for synchronisation of all their ICT systems clocks. Entities having ICT infrastructure spanning multiple geographies may also use accurate and standard time source other than NPL and NIC, however it is to be ensured that their time source shall not deviate from NPL and NIC.  (i) すべてのサービスプロバイダー、仲介業者、データセンター、企業、政府機関は、すべてのICTシステムの時計を同期させるために、国家情報学センター(NIC)または国家物理研究所(NPL)のネットワークタイムプロトコル(NTP)サーバーに接続するか、これらのNTPサーバーに追跡できるNTPサーバーに接続しなければならない。複数の地域にまたがるICTインフラを有する事業者は、NPLおよびNIC以外の正確かつ標準的な時刻情報源を使用することもできるが、その時刻情報源がNPLおよびNICから逸脱しないことが確保されなければならない。
(ii) Any service provider, intermediary, data centre, body corporate and Government organisation shall mandatorily report cyber incidents as mentioned in Annexure I to CERT-In within 6 hours of noticing such incidents or being brought to notice about such incidents. The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (180011-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time.  (ii) サービスプロバイダ、仲介業者、データセンター、法人および政府機関は、附属書Iに記載されたサイバーインシデントを、当該インシデントに気付いた時または当該インシデントについて知らされた時から6時間以内にCERT-Inに報告することを義務とする。インシデントは、電子メール(incident@cert-in.org.in)、電話(180011-4949)、ファクス(1800-11-6969)を通じてCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される。
(iii)When required by order/direction of CERT-In, for the purposes of cyber incident response, protective and preventive actions related to cyber incidents, the service provider/intermediary/data centre/body corporate is mandated to take action or provide information or any such assistance to CERT-In, which may contribute towards cyber security mitigation actions and enhanced cyber security situational awareness. The order / direction may include the format of the information that is required (up to and including near real-time), and a specified timeframe in which it is required, which should be adhered to and compliance provided to CERT-In, else it would be treated as non-compliance of this direction. The service providers, intermediaries, data centres, body corporate and Government organisations shall designate a Point of Contact to interface with CERT-In. The Information relating to a Point of Contact shall be sent to CERT-In in the format specified at Annexure II and shall be updated from time to time. All communications from CERT-In seeking information and providing directions for compliance shall be sent to the said Point of Contact.  (iii) サイバーインシデント対応、サイバーインシデントに関する保護・予防措置を目的として、CERT-Inの命令・指示により要求された場合、サービスプロバイダー、仲介業者、データセンター、法人は、サイバーセキュリティ軽減措置とサイバーセキュリティ状況認識強化に寄与する可能性のある措置、情報、またはそのような援助をCERT-Inに行うことが義務づけられている。命令/指示は、要求される情報の形式(準リアルタイムまで含む)、および要求される特定の時間枠を含むことができ、これを遵守し、CERT-Inに遵守を提供しなければならず、そうしなければ、この指示の非遵守として扱われる。サービスプロバイダー、仲介業者、データセンター、法人および政府機関は、CERT-Inと連絡を取るための連絡窓口を指定するものとする。連絡先に関する情報は、附属書Ⅱで指定された形式でCERT-Inに送付され、随時更新されるものとする。情報を求め、準拠のための指示を提供するCERT-Inからの全ての通信は、当該連絡先に送られるものとする。
(iv) All service providers, intermediaries, data centres, body corporate and Government organisations shall mandatorily enable logs of all their ICT systems and maintain them securely for a rolling period of 180 days and the same shall be maintained within the Indian jurisdiction. These should be provided to CERT-In along with reporting of any incident or when ordered / directed by CERT-In.  (iv) すべてのサービスプロバイダー、仲介業者、データセンター、法人および政府機関は、すべてのICTシステムのログを有効にし、180日間安全に維持することを義務付けられ、同じものがインドの管轄内に維持されるものとする。これらは、あらゆる事故の報告とともに、またはCERT-Inの命令/指示により、CERT-Inに提供されなければならない。
(v) Data Centres, Virtual Private Server (VPS) providers, Cloud Service providers and Virtual Private Network Service (VPN Service) providers, shall be required to register the following accurate information which  must be maintained by them for a period of 5 years or longer duration as mandated by the law after any cancellation or withdrawal of the registration as the case may be:  (v) データセンター、仮想専用サーバー(VPS)プロバイダー、クラウドサービスプロバイダー、仮想専用ネットワークサービス(VPNサービス)プロバイダーは、以下の正確な情報を登録する必要があり、場合によっては登録の取消または撤回後、5年間または法律で義務付けられた期間以上維持しなければならない。
a. Validated names of subscribers/customers hiring the services  a. サービスを利用する加入者/顧客の有効な氏名
b. Period of hire including dates  b. 日付を含む利用期間
c. IPs allotted to / being used by the members  c. 会員に割り当てられた/使用されているIPアドレス
d. Email address and IP address and time stamp used at the time of registration / on-boarding  d. 登録時/利用開始時に使用した電子メールアドレス、IPアドレス、タイムスタンプ
e. Purpose for hiring services  e. サービスを利用する目的
f. Validated address and contact numbers  f. 有効な住所と連絡先
g. Ownership pattern of the subscribers / customers hiring services   g. サービスを利用する加入者/顧客の所有形態
(vi) The virtual asset service providers, virtual asset exchange providers and custodian wallet providers (as defined by Ministry of Finance from time to time) shall mandatorily maintain all information obtained as part of Know Your Customer (KYC) and records of financial transactions for a period of five years so as to ensure cyber security in the area of payments and financial markets for citizens while protecting their data, fundamental rights and economic freedom in view of the growth of virtual assets.   (vi) 仮想資産サービスプロバイダー、仮想資産交換プロバイダー、カストディアンウォレットプロバイダー(財務省が適宜定義)は、仮想資産の成長に鑑み、国民のデータ、基本的権利、経済的自由を保護しつつ、決済及び金融市場の分野におけるサイバーセキュリティを確保するため、顧客確認(KYC)の一環として取得したすべての情報及び金融取引記録を5年間にわたり強制的に保持しなければならない。
For the purpose of KYC, the Reserve Bank of India (RBI) Directions 2016 / Securities and Exchange Board of India (SEBI) circular dated April 24, 2020 / Department of Telecom (DoT) notice September 21, 2021 mandated procedures as amended from time to time may be referred to as per Annexure III.  KYCの目的のために、インド準備銀行(RBI)指令2016/インド証券取引所(SEBI)2020年4月24日付回覧/電気通信省(DoT)2021年9月21日通知で義務付けられた手続きは、随時改正されるため、附属書Ⅲを参照することができる。
With respect to transaction records, accurate information shall be maintained in such a way that individual transaction can be reconstructed along with the relevant elements comprising of, but not limited to, information relating to the identification of the relevant parties including IP addresses along with timestamps and time zones, transaction ID, the public keys (or equivalent identifiers), addresses or accounts involved (or equivalent identifiers), the nature and date of the transaction, and the amount transferred.  取引記録に関しては、正確な情報が、タイムスタンプと時間帯を伴うIPアドレス、取引ID、公開鍵(または同等の識別子)、関係する住所または口座(または同等の識別子)、取引の性質と日付、送金額などの関連当事者の識別に関する情報を含むが、これらに限らず、個々の取引を再構築できるような方法で維持されなければならない。
And whereas, the meaning to the terms ‘cyber incident’ or ‘cyber security incident’ or ‘computer resource’ or other terms may be ascribed as defined in the IT Act, 2000 or “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” as the case may be.   サイバーインシデント」、「サイバーセキュリティインシデント」、「コンピュータリソース」等の用語の意味は、2000年IT法又は2013年情報技術(インドコンピュータ緊急対応チーム及び機能及び義務の履行方法)規則で定義されたとおりに解釈される場合がある。
And whereas, in case of any incident, the above-referred entities must furnish the details as called for by CERT-In. The failure to furnish the information or non-compliance with the ibid. directions, may invite punitive action under subsection (7) of the section 70B of the IT Act, 2000 and other laws as applicable.  また、何らかのインシデントが発生した場合、上記の事業者は、CERT-Inの求めに応じて詳細を提出しなければならない。情報を提供しないこと、または上記の指示に従わないことは、2000年IT法第70B条(7)および適用される他の法律に基づく懲罰的措置を求めることができる。
This direction will become effective after 60 days from the date on which it is issued. この指示は、発行された日から60日後に有効となる。

 

ちなみに報告義務があるインシデントは、附属書Iに記載があります。。。

Annexure I  附属書 I 
Types of cyber security incidents mandatorily to be reported by service providers, intermediaries, data centres, body corporate and Government organisations to CERT-In:  サービスプロバイダ、仲介業者、データセンター、企業、政府組織が CERT-In に報告することが義務付けられているサイバーセキュリティインシデントの種類。
[Refer Rule 12(1)(a) of The Information Technology (The Indian Computer Emergency Response Team and Manner of Performing Functions and Duties) Rules, 2013]  [2013 年情報技術(インドコンピュータ緊急対応チームおよび機能・職務の遂行方法)規則 12(1)(a) 参照] 
i. Targeted scanning/probing of critical networks/systems  i. 重要なネットワーク/システムの標的型スキャン/プロービング 
ii. Compromise of critical systems/information  ii. 重要なシステム/情報の危殆化 
iii. Unauthorised access of IT systems/data  iii. ITシステム/データへの不正アクセス 
iv. Defacement of website or intrusion into a website and unauthorised changes such as inserting malicious code, links to external websites etc.  iv. ウェブサイトの改ざん、ウェブサイトへの侵入、悪質なコードの挿入や外部ウェブサイトへのリンクなどの不正な変更。
v. Malicious code attacks such as spreading of virus/worm/Trojan/Bots/ Spyware/Ransomware/Cryptominers  v. ウイルス/ワーム/トロイの木馬/ボット/スパイウェア/ランサムウェア/クリプトマインダーの蔓延などの悪質なコード攻撃 
vi. Attack on servers such as Database, Mail and DNS and network devices such as Routers  vi. データベース、メール、DNSなどのサーバーやルーターなどのネットワーク機器への攻撃 
vii. Identity Theft, spoofing and phishing attacks  vii. 個人情報窃盗、なりすまし、フィッシング攻撃 
viii. Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks  viii. サービス妨害(DoS)および分散型サービス妨害(DDoS)攻撃 
ix. Attacks on Critical infrastructure, SCADA and operational technology systems and Wireless networks  ix. 重要インフラ、SCADA、運用技術システム及び無線ネットワークに対する攻撃 
x. Attacks on Application such as E-Governance, E-Commerce etc. xi. Data Breach  x. 電子政府、電子商取引等のアプリケーションに対する攻撃 xi. データ漏洩 
xii. Data Leak  xii. データ漏洩 
xiii. Attacks on Internet of Things (IoT) devices and associated systems, networks, software, servers  xiii. IoT機器および関連するシステム、ネットワーク、ソフトウェア、サーバに対する攻撃 
xiv. Attacks or incident affecting Digital Payment systems  xiv. デジタル決済システムに影響を及ぼす攻撃または事件 
xv. Attacks through Malicious mobile Apps  xv. 悪意のあるモバイルアプリを通じた攻撃 
xvi. Fake mobile Apps  xvi. 偽モバイルアプリ 
xvii. Unauthorised access to social media accounts  xvii. ソーシャルメディアアカウントへの不正アクセス 
xviii. Attacks or malicious/ suspicious activities affecting Cloud computing systems/servers/software/applications  xviii. クラウドコンピューティングシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/疑わしい活動 
xix. Attacks or malicious/suspicious activities affecting systems/ servers/ networks/ software/ applications related to Big Data, Block chain, virtual assets, virtual asset exchanges, custodian wallets, Robotics, 3D and 4D Printing, additive manufacturing, Drones  xix. ビッグデータ、ブロックチェーン、仮想資産、仮想資産取引所、カストディアンウォレット、ロボット、3D・4Dプリンティング、積層造形、ドローンに関連するシステム/サーバ/ネットワーク/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/不審な行為。
xx. Attacks or malicious/ suspicious activities affecting systems/ servers/software/ applications related to Artificial Intelligence and Machine Learning  xx. 人工知能や機械学習に関連するシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃や悪意ある/不審な活動 
The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (1800-11-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time. インシデントは、メール(incident@cert-in.org.in)、電話(1800-11-4949)、ファックス(1800-11-6969)でCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される予定である。

 

報告時の記載項目は、附属書IIに記載されています。

といっても、、、住所とか法人名、連絡窓口を書けという内容です。。。

 

附属書IIIにKYCのルールが参考として記載されています。。。


 

これに関しては、米国に本部があるThe Information Technology Industry Council (ITI)がコメントをだしています。。。

早急に報告するように義務付けても、企業に負担がいくだけで、企業の対応を遅らせかえって良くないということだと思います。インシデント報告を受け取ったCERT-Inが何をしてくれるのか?ということだと思います。きっとファイルするだけでしょう。。。

なので、まずは適用開始時期を遅らせ、内容を再考してくださいという要望ですかね。。。

 

The Information Technology Industry Council (ITI)

・2022.05.06 ITI Raises Concerns that India’s Proposed Cybersecurity Directive Could Undermine Security Goals

 

 

| | Comments (0)

2022.05.10

英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が、消費者ほごのためにアプリストアへの政府の介入は必要かについて意見募集をしていますね。。。

PCでは、誰でもソフトを作ることができるようなっていたので、インターネットにつながると各自が作ったソフトを自由にダウンロードできるようになり、ダウンロードするソフト、ダウンロードをしたソフトを各自が責任を持って確認をすることが必要となりましたが、スマホ、タブレットについては、アプリストアからダウンロードできるようにすることにより、アプリストアについて規制をかければ、社会的には効率的に安全なサイバー空間を作ることができるかも知れませんね、ということでしょうかね。。。

サイバー空間のビジネスについては、寡占が進んでいくような気がします(規模の経済が働きやすいこともあり、最初にある一定の規模までビジネスを広げてしまうと、後発事業者がそのマーケットを覆すのが難しいところがあるのかも知れません)。

そうなると、完全競争市場から離れていくので、資源の最適配分に近づけるためには、政府等の介入が必要となるのかも知れませんね。。。もちろん政府の政策は、国民の意見を聞いて民主的に決めていくのが、民主主義です。。。(そういう意味では、国民がスマートでないと、いけないということなのでしょうね。。。)

 

GOV.UK

プレスリリース

・2022.05.04 Tougher consumer protections against malicious apps

Tougher consumer protections against malicious apps 悪質なアプリに対する消費者保護を強化
Tech industry asked for views on measures to make app market safer and more secure アプリ市場をより安全・安心なものにするための施策について、技術業界から意見募集
・Proposals include a world-first code of practice to set minimum security and privacy requirements for app store operators and developers ・提案はアプリストアの運営者と開発者に対し、セキュリティとプライバシーの最低要件を設定する世界初の実践規範を含みます。
New report published today reveals malicious apps downloaded by hundreds of thousands of users put people’s data and money at risk ・数十万人のユーザーがダウンロードした悪質なアプリが、人々のデータと金銭を危険にさらしていることが本日発表された新しい報告書で明らかにな理ました。
・People downloading apps to smartphones, games consoles and TVs will be better protected from hackers under new government plans to boost security standards. ・スマートフォン、ゲーム機、テレビにアプリをダウンロードする人々は、セキュリティ基準を強化する政府の新しい計画により、ハッカーからより安全に保護されるようになります。
Millions of people use apps every day to shop, bank and make video calls and the UK app market is worth £18.6 billion. But there are few rules governing the security of the technology or the online stores where they are sold. 何百万人もの人々が、買い物や銀行、ビデオ通話をするために毎日アプリを使用しており、英国のアプリ市場は186億ポンドの規模があります。しかし、その技術や販売するオンラインストアのセキュリティを管理するルールはほとんどありません。
new report on the threats in app stores published today by the National Cyber Security Centre (NCSC) shows people’s data and money are at risk because of fraudulent apps containing malicious malware created by cyber criminals or poorly developed apps which can be compromised by hackers exploiting weaknesses in software. ナショナル・サイバー・セキュリティ・センター(NCSC)が本日発表したアプリストアにおける脅威に関する新しいレポートによると、サイバー犯罪者が作成した悪質なマルウェアを含む詐欺アプリや、ソフトウェアの弱点を突いたハッカーによって危険にさらされる可能性のある低開発アプリによって、人々のデータとお金が危険にさらされていることが示されています。
To provide better protection for consumers, the government is launching a call for views from the tech industry on enhanced security and privacy requirements for firms running app stores and developers making apps. 消費者保護を強化するため、政府は、アプリストアを運営する企業およびアプリを開発する開発者に対するセキュリティとプライバシーの要件強化について、技術業界から意見募集を開始します。
Under new proposals, app stores for smartphones, game consoles, TVs and other smart devices could be asked to commit to a new code of practice setting out baseline security and privacy requirements. This would be the first such measure in the world. 新しい提案では、スマートフォン、ゲーム機、テレビ、その他のスマートデバイス向けのアプリストアは、セキュリティとプライバシーの基本要件を定めた新しい実践規範を約束するよう求められる可能性があります。このような措置は世界初となります。
Developers and store operators making apps available to UK users would be covered. This includes Apple, Google, Amazon, Huawei, Microsoft and Samsung. 英国のユーザーが利用できるアプリケーションの開発者とストアオペレーターが対象となります。これには、Apple、Google、Amazon、Huawei、Microsoft、Samsungが含まれます。
The proposed code would require stores to have a vulnerability reporting process for each app so flaws can be found and fixed quicker. They would need to share more security and privacy information in an accessible way including why an app needs access to users’ contacts and location. 提案されている規約では、店舗は各アプリの脆弱性報告プロセスを持ち、欠陥をより早く発見して修正できるようにすることが求められています。また、アプリがユーザーの連絡先や位置情報にアクセスする必要がある理由を含め、より多くのセキュリティおよびプライバシー情報をアクセス可能な方法で共有する必要があるとしています。
Cyber Security Minister Julia Lopez said: ジュリア・ロペス サイバーセキュリティ相は次のように述べています。
"Apps on our smartphones and tablets have improved our lives immensely - making it easier to bank and shop online and stay connected with friends." 「スマートフォンやタブレット端末のアプリは、銀行やオンラインショッピング、友人との連絡などを容易にし、私たちの生活を大きく向上させました。」
"But no app should put our money and data at risk. That’s why the Government is taking action to ensure app stores and developers raise their security standards and better protect UK consumers in the digital age." 「しかし、どのアプリも私たちのお金やデータを危険にさらしてはなりません。そのため、政府は、アプリストアや開発者がセキュリティ基準を高め、デジタル時代における英国の消費者をよりよく保護するための措置をとっています。」
The NCSC report found all types of app stores face similar cyber threats and the most prominent problem is malware: corrupted software which can steal data and money and mislead users. NCSCの報告書によると、あらゆる種類のアプリストアが同様のサイバー脅威に直面しており、最も顕著な問題は、データや金銭を盗んだり、ユーザーを欺いたりする不正ソフトウェアであることが判明しました。
For example, last year some Android phone users downloaded apps which contained the Triada and Escobar malware on various third-party app stores. This resulted in cyber criminals remotely taking control of people’s phones and stealing their data and money by signing them up for premium subscription services without the individual’s knowledge. 例えば、昨年、一部のAndroid携帯電話ユーザーは、さまざまなサードパーティのアプリストアで、マルウェア「Triada」や「Escobar」を含むアプリをダウンロードしました。この結果、サイバー犯罪者は遠隔操作で人々の携帯電話をコントロールし、本人が知らないうちにプレミアムサブスクリプションサービスに加入させ、データや金銭を盗みました。
The NCSC report concludes the government’s proposed code of practice will have a positive impact and reduce the chances of malicious apps reaching consumers across different devices. NCSCの報告書は、政府が提案する実践規範が好影響を与え、悪意のあるアプリがさまざまなデバイスの消費者に届く可能性を減らすだろうと結論づけています。
NCSC Technical Director Ian Levy said: NCSCのテクニカルディレクターであるイアン・レヴィは、次のように述べています。
"Our devices and the apps that make them useful are increasingly essential to people and businesses and app stores have a responsibility to protect users and maintain their trust." 「私たちのデバイスとそれを便利にするアプリは、人々や企業にとってますます不可欠なものとなっており、アプリストアはユーザーを保護し、その信頼を維持する責任を負っています。」
"Our threat report shows there is more for app stores to do, with cyber criminals currently using weaknesses in app stores on all types of connected devices to cause harm." 「我々の脅威レポートでは、アプリストアにもっとやるべきことがあることを示しています。現在、サイバー犯罪者は、あらゆる種類の接続デバイスのアプリストアの弱点を利用して、被害を及ぼしているのです。」
"I support the proposed Code of Practice, which demonstrates the UK’s continued intent to fix systemic cybersecurity issues." 「私は、体系的なサイバーセキュリティの問題を解決しようとする英国の継続的な意思を示す、この実施規範の提案を支持します。」
The code follows a government review of app stores launched in December 2020 which found some developers are not following best practice in developing apps, while well-known app stores do not share clear security requirements with developers. このコードは、2020年12月に開始されたアプリストアに関する政府のレビューを受けたもので、一部の開発者がアプリの開発においてベストプラクティスに従っていないこと、また有名なアプリストアが明確なセキュリティ要件を開発者と共有していないことが判明しました。
The app stores call for views is part of the government’s £2.6 billion National Cyber Strategy to ensure UK citizens are more secure online and is alongside other tough UK safeguards for people using internet-connected devices. アプリストアの意見募集は、英国市民のオンラインセキュリティを確保するための政府の26億ポンドの国家サイバー戦略の一部であり、インターネット接続機器を使用する人々のための他の厳しい英国のセーフガードと並ぶものです。
It is also part of the government’s work leading international efforts to raise awareness on the need for security and privacy requirements for apps to protect users. また、アプリのセキュリティとプライバシーの要件に対する認識を高め、ユーザーを保護するための国際的な取り組みを主導している政府の活動の一部でもあります。
There are already tough data protection laws in the UK to protect people’s data and these are enforced by the Information Commissioner’s Office. 英国にはすでに、人々のデータを保護するための厳しいデータ保護法があり、これらは情報コミッショナー事務局によって施行されています。
A new product security law making its way through parliament will place new requirements on manufacturers, importers and distributors of consumer tech. They will have to ban easy-to-guess default passwords in devices and make manufacturers transparent about the length of time products will receive security updates alongside providing a vulnerability disclosure policy. 議会で審議中の新しい製品セキュリティ法は、消費者向け技術のメーカー、輸入業者、販売業者に新たな要件を課すことになります。製造業者は、推測しやすいデフォルトパスワードの使用を禁止し、製品にセキュリティアップデートが適用される期間や脆弱性の開示方針について透明性を確保しなければならない。
People should also follow the National Cyber Security Centre guidance to help secure smart devices. また、ナショナル・サイバー・セキュリティ・センターのガイダンスに従って、スマートデバイスの安全性を確保する必要があります。
Ends 以上
Notes to Editors: 編集後記
The eight-week call for views will run until 29 June 2022. App developers, app store operators and security and privacy experts are encouraged to provide feedback to inform the government’s work in this area. 8週間にわたる意見募集は、2022年6月29日まで実施される予定です。アプリ開発者、アプリストア運営者、セキュリティおよびプライバシーの専門家は、この分野での政府の取り組みに情報を提供するために、フィードバックを提供することが推奨されます。
Following the call for views, we will review the feedback provided and will publish a response later this year. The review complements the government’s upcoming digital markets pro-competition regime, including the Competition and Market Authority’s market study into mobile ecosystems, which will create a more vibrant and innovative digital economy across the UK. 意見募集の後、提供されたフィードバックを検討し、本年末に回答を発表する予定です。このレビューは、モバイルエコシステムに関する競争市場庁の市場調査など、政府が今後予定しているデジタル市場の競争促進体制を補完するもので、英国全体でより活発で革新的なデジタル経済を実現するものです。

 

意見募集関係

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Summary 概要
The government is holding a call for views on plans to improve the security and privacy of apps and app stores. 政府は、アプリとアプリストアのセキュリティとプライバシーを改善する計画に関する意見募集を実施しています。
Consultation description コンサルテーション内容
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
The UK government conducted a review into the app store ecosystem from December 2020 to March 2022. The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. 英国政府は、2020年12月から2022年3月にかけて、アプリストアのエコシステムに対するレビューを実施しました。このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーからアクセス可能であることが判明し、したがって、一部の開発者がアプリの作成時にベストプラクティスに従っていないことが明らかとなりました。すべてのアプリストアに共通の脅威プロファイルがあり、アプリに含まれるマルウェアが最も一般的なリスクとなっています。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to ensure consumers are protected from online threats by taking forward a robust set of interventions which are proportionate, pro-innovation and future-facing. The review therefore explored various options to address these challenges. The main intervention the government is proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that the most effective current way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices, is through app stores. 政府の意図は、消費者がオンラインの脅威から確実に保護されるように、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を講じることにあります。このため、レビューでは、これらの課題に対処するためのさまざまなオプションが検討された。この初期段階において政府が提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、悪意のある安全でないアプリから大規模なユーザーを保護し、開発者の業務改善を確保するための現在の最も効果的な方法が、アプリストアであると認識しているためです。
Read more in the press notice. 詳しくは、プレスリリースをご覧ください。
We are holding a call for views on this approach for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. Stakeholders are encouraged to provide their views on the proposed interventions, including the content of the proposed Code and whether additional proposals should be taken forward. The government would also welcome views, particularly from developers, on the review and feedback processes they have encountered when creating apps on different app stores. Moreover, we would welcome any data which illustrates the financial and wider impact of implementing the Code of Practice. Participants will have the opportunity to identify themselves when they submit their responses, or be anonymous. このアプローチについて、2022年6月29日(水)までの8週間、意見募集を行い、実施規範のドラフトを含む介入案に関する意見を収集するのに役立てています。ステークホルダーの皆様には、提案されている規範の内容や追加提案を進めるべきかどうかなど、提案されている介入策についてご意見をお寄せいただくようお願いします。また、特に開発者が様々なアプリストアでアプリを作成する際に遭遇するレビューやフィードバックのプロセスに関する意見も歓迎する。さらに、実践規範の導入による財務的影響やより広範な影響を示すデータがあれば歓迎します。参加者は、回答時に名乗るか、または匿名にすることができます。
The feedback will inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. フィードバックは、英国政府の政策と私たちの次のステップに反映されます。受け取ったフィードバックによっては、本報告書に記載された他の介入策を検討し、実施することに加え、年内に行動規範を公表することも検討されます。
There are a number of other documents being published to support this call for views: この意見募集をサポートするために、他にも多くの文書が発行されています。
A literature review on security and privacy policies in apps and app stores (see document below) アプリとアプリストアのセキュリティとプライバシーポリシーに関する文献レビュー(下記参照)
A National Cyber Security Centre threat report on application stores アプリケーションストアに関するナショナル・サイバー・セキュリティ・センターの脅威に関する報告書
A report by Apadmi on security and privacy in app development across different app stores Apadmiによる、さまざまなアプリストアでのアプリ開発におけるセキュリティとプライバシーに関する報告書
This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online, and ensure citizens are secure and confident their data is protected. この作業は、オンライン上で英国を保護・促進し、市民が安全かつ自信を持ってデータを保護できるようにするための、政府の26億ポンドの「国家サイバー戦略」の一部です。

 

・2022.05.04 App security and privacy interventions

Literature review on security and privacy policies in apps and app stores アプリとアプリストアにおけるセキュリティとプライバシーポリシーに関する文献レビュー
Contents 内容紹介
Executive summary エグゼクティブサマリー
1.Introduction 1.はじめに
2.Background 2.背景
3.The user perspective 3.ユーザーの視点
4.Supporting developers 4.開発者支援
5.Vulnerability reporting and bug bounty 5.脆弱性レポートとバグバウンティ
6.Malware and risky behaviour 6.マルウェアと危険な行動
7.Recommendations 7.推奨事項
This literature review was carried out by: この文献レビューは、以下のメンバーによって実施されました。
Prof. Steven Furnell スティーブン・ファーネル(Prof. Steven Furnell
School of Computer Science コンピュータサイエンス学部
University of Nottingham ノッティンガム大学
17-Feb-21 2021.02.17
Executive summary エグゼクティブサマリー
This report investigates issues of cyber security and privacy in relation to apps and app stores. The objective of the review is to provide recommendations for improving the security of applications (apps) delivered via app stores, and to identify issues that may be of relevance to DCMS’s future work on the cyber security in these contexts. Specific attention was given towards app stores and apps intended for mobile devices such as smartphones and tablets. この報告書は、アプリとアプリストアに関連するサイバーセキュリティとプライバシーの問題を調査しています。レビューの目的は、アプリストアを介して配信されるアプリケーション(アプリ)のセキュリティを改善するための推奨事項を提供し、これらのコンテキストにおけるサイバーセキュリティに関するDCMSの将来の作業に関連する可能性がある問題を特定することです。特に、スマートフォンやタブレット端末などのモバイル機器を対象としたアプリストアとアプリに注目しました。
The current mobile app marketplace is focused around two main app ecosystems – Android and iOS – and there are a range of app store sources from which users can install apps. These include official app stores from the platform providers, as well as a range of further stores offered by device manufacturers and other third parties. While the underlying objective of all stores is the same, in terms of offering the distribution channel for the hosted apps, they can vary considerably in terms of their associated security and privacy provisions. This includes both the guidance and controls provided to safeguard app users, as well as the policies and procedures in place to guide and review developer activities. 現在のモバイルアプリ市場は、AndroidとiOSという2つの主要なアプリエコシステムに集中しており、ユーザーがアプリをインストールできるアプリストアのソースも多岐にわたります。この中には、プラットフォームプロバイダーが提供する公式アプリストアや、デバイスメーカーやその他のサードパーティが提供する様々なストアがあります。すべてのストアの基本的な目的は、ホストされたアプリの流通経路を提供するという点で同じですが、関連するセキュリティとプライバシー規定の点でかなり異なる可能性があります。これには、アプリのユーザーを保護するために提供されるガイダンスとコントロール、および開発者の活動を指導しレビューするために設けられたポリシーと手続きの両方が含まれます。
Evidence suggests that many users have concerns regarding the ability to trust apps and their associated use of data. As such, they find themselves very much reliant upon the processes put in place by app stores to check the credibility of the apps they host. In reality, however, practices vary significantly across providers – ranging from stores having clear review processes and attempting to ensure that developers communicate the ways in which their apps collect and use user data, through to situations in which apps are made available in spite of having known characteristics that could put users’ devices and data at risk. 多くのユーザが、アプリを信頼できるかどうか、またアプリによるデータの利用について懸念を抱いていることが、証拠によって示されています。そのため、アプリストアがホストするアプリの信頼性を確認するためのプロセスに非常に依存していることがわかります。しかし、実際には、アプリストアが明確な審査プロセスを持ち、アプリがユーザーデータを収集・使用する方法を開発者に伝えるよう努めるところから、ユーザーのデバイスやデータを危険にさらす可能性がある特性があることが分かっているにもかかわらずアプリが提供されている状況まで、プロバイダによって業務内容は大きく異なっています。
When it comes to supporting users, this review reveals that the app stores have varying approaches with correspondingly variable levels of information and clarity. This is observed in terms of both the presence and content of related policies, as well as in relation to supporting users’ understanding when downloading specific apps. The latter is particularly notable in terms of the presence and clarity of messaging about app permissions and handling of personal data, with some stores providing fairly extensive details and others providing nothing that most users would find meaningful. ユーザーサポートに関しては、アプリストアのアプローチは様々であり、それに応じて情報のレベルや明確さも様々であることが、このレビューで明らかにされました。これは、関連ポリシーの有無と内容、および特定のアプリをダウンロードする際のユーザーの理解支援との関連で観察される。後者は、アプリの使用許諾や個人情報の取り扱いに関するメッセージの有無と明確さにおいて特に顕著であり、かなり広範な詳細を提供しているストアもあれば、ほとんどのユーザーが有意義と感じるような内容を提供していないストアもあります。
There are also notable variations in how different app stores guide and support app developers, including the level of expectation that appears to be placed upon providing safe and reliable apps, that incorporate appropriate protections and behaviours in relation to users’ personal data. While some stores include formal review and screening processes, and scan apps to prevent malware, others offer a more permissive environment that enables threats and risky app behaviours to pass through without identification. また、ユーザーの個人データに関する適切な保護と行動を組み込んだ、安全で信頼できるアプリを提供することへの期待度など、アプリ開発者を指導・支援する方法についても、ストアによって顕著な違いが見られます。アプリ開発者の中には、正式な審査やスクリーニングを行い、マルウェアを防ぐためにアプリをスキャンするストアがある一方で、脅威やリスクの高いアプリの挙動を識別せずに通過させる、より寛容な環境を提供するストアがあります。
Linked to their stance on maintaining security and resolving issues, the larger providers support vulnerability reporting and offer bug bounty schemes. The latter incentivise the responsible disclosure of vulnerabilities rather than allowing them to persist and risking their exploitation in malicious activities. The large rewards available through these schemes is in notable contrast with other app store environments, where such provisions are not offered. セキュリティの維持と問題解決に取り組む姿勢と関連して、大手プロバイダは脆弱性の報告をサポートし、バグバウンティ制度を提供しています。後者は、脆弱性を放置して悪意ある行為に悪用されるリスクを冒すよりも、責任を持って脆弱性を開示することにインセンティブを与えるものです。これらの制度を通じて得られる多額の報奨金は、このような規定がない他のアプリストア環境とは顕著な対照をなしています。
The discussion also gives specific attention to malicious and risky behaviours that can be exhibited by apps, with overall evidence suggesting that the problem is on the increase and that Android users are the most exposed to the risks. This underlying evidence includes clear examples of apps that are overtly malicious (representing traditional malware categories such as viruses, worms, Trojans and spyware), as well as apps whose behaviour (while not directly hostile) could be regarded as risky through factors such as requesting excessive permissions or leading to data leakage. また、この議論では、アプリが示す可能性のある悪質で危険な行為に具体的な注意を向けており、この問題が増加傾向にあり、Androidユーザがそのリスクに最もさらされていることを示唆する全体的な証拠が示されています。この基本的な証拠には、あからさまに悪意のあるアプリ(ウイルス、ワーム、トロイの木馬、スパイウェアなど、従来のマルウェアのカテゴリに相当)の明確な例と、(直接敵対しないものの)過剰な権限を要求したりデータ漏洩につながるなどの要因によって危険と見なされる動作のアプリの例が含まれます。
A series of recommendations are made in relation to operating app stores, guiding developers and supporting users: アプリストアの運営、開発者の指導、ユーザーのサポートに関して、一連の提言がなされています。
Ensuring a more credible and consistent level of information to app store users and app developers regarding security and privacy provisions and expectations, supported by mechanisms to enable more informed decisions and control over the apps that are installed. アプリストアの利用者とアプリ開発者に対し、セキュリティとプライバシーの規定と期待について、より信頼できる一貫したレベルの情報を提供し、インストールされるアプリについて、より多くの情報に基づいた決定と制御を可能にするメカニズムによって支援すること。
Increasing the opportunity and expectation for app developers to learn and adopt appropriate security- and privacy-aware practices. アプリ開発者が、セキュリティとプライバシーを意識した適切な手法を学び、採用する機会と期待を高めること。
Increasing the efforts to raise user awareness of app security and privacy risks, and supporting this with better communication of the issues within apps and app stores. アプリのセキュリティとプライバシーのリスクに対するユーザの意識を高める取り組みを強化し、アプリとアプリストアにおける問題のより良いコミュニケーションによってこれを支援すること。
This in turn could lead to initiatives across the app store ecosystem more widely, including a community-adopted code of practice in order to support responsible app development and resulting confidence among users. これは、責任あるアプリ開発とその結果としてのユーザーの信頼を支援するために、コミュニティが採択した実践規範を含む、より広くアプリストアのエコシステム全体にわたる取り組みにつながる可能性があります。
The summary is supported by extensive reference to sources, encompassing both relevant research and findings, and recent developments in the app sector. It should be noted that the review was completed in early 2021 and therefore further research could have been published that may further inform this topic. この要約は、関連する研究および調査結果、ならびにアプリセクターにおける最近の開発の両方を網羅する、広範な参照情報によってサポートされています。このレビューは2021年初頭に完了したため、このトピックにさらに情報を提供する可能性のある研究がさらに発表されている可能性があることに留意すべきです。

 

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Contents 目次
Foreword 序文
Executive summary エグゼクティブサマリー
1.DCMS review into app security and privacy 1.アプリのセキュリティとプライバシーに関するDCMSのレビュー
2.Relevant wider government activities 2.関連する広範な政府の活動
3.Benefits and risks associated with the app ecosystem 3.アプリのエコシステムに関連するメリットとリスク
4.The regulatory landscape and relevant antitrust cases 4.規制の状況および関連する独占禁止法上の事例
5.Review findings 5.レビューの結果
6.Proposed interventions 6.提案された介入策
7.Next steps 7.次のステップ
Annex A: Glossary of terms 附属書A:用語集
Annex B: Options analysis summary 附属書B:選択肢分析の概要
Annex C: Call for views survey questions 附属書C:意見募集の調査質問
Foreword 序文
Julia Lopez MP, Minister of State for Media, Data and Digital Infrastructure ジュリア・ロペス メディア・データ・デジタルインフラ担当国務大臣
Apps play an increasingly important role in everyday life, from managing your finances to catching up with friends and family. Thanks to apps, a world of functionality can be accessed from a single device, anywhere and at any time: whether from a mobile phone out in public or on a smart TV in the comfort of your home. Apps have helped us stay connected with our loved ones and continue working during the COVID-19 pandemic. In a time of great uncertainty, apps have allowed businesses to continue functioning as well as opening the virtual doors for new enterprises. This has increased our reliance on apps, as well as the app stores where we access them. アプリは、家計の管理から友人や家族との連絡まで、日常生活においてますます重要な役割を果たしています。アプリのおかげで、1つのデバイスから、いつでもどこでも、さまざまな機能にアクセスできるようになりました。公共の場では携帯電話から、自宅ではスマートテレビから。COVID-19の大流行時にも、アプリのおかげで大切な人とのつながりを保ち、仕事を続けることができました。大きな不安の中で、アプリはビジネスの機能継続を可能にし、また新しい企業への仮想的な扉を開いてくれました。そのため、私たちはアプリやアプリを利用するアプリストアへの依存度を高めています。
Given this reliance, it’s vital that apps are secure, to protect the data and privacy of individuals and organisations. Developers therefore have a responsibility to ensure that they are creating apps with appropriate security and privacy. App stores can also serve as trusted digital marketplaces, as long as they have the right processes to check that apps are not a risk to users’ security and privacy. While many app stores have vetting and review processes, malicious and insecure apps continue to make it onto some stores. Given our growing reliance on apps, we need to ensure that we are managing the risks if we are to securely reap the many benefits of apps and app stores. このような信頼性を考えると、個人と組織のデータとプライバシーを保護するために、アプリが安全であることが極めて重要です。したがって、開発者は、適切なセキュリティとプライバシーを備えたアプリケーションを作成する責任を負っています。アプリストアは、アプリがユーザーのセキュリティやプライバシーを侵害しないことを確認する適切なプロセスを備えていれば、信頼できるデジタルマーケットプレイスとして機能することも可能です。多くのアプリストアが審査やレビューのプロセスを備えている一方で、悪質で安全でないアプリが一部のストアに出回り続けています。アプリへの依存度が高まる中、アプリやアプリストアから得られる多くのメリットを安全に享受するためには、リスク管理を徹底する必要があります。
A key ambition of our new National Cyber Strategy published in December 2021, is to ensure citizens are more secure online and confident their data is protected. This work will help deliver this through improving the practices of major providers of digital services, specifically app store operators (as well as developers). Additionally, as set out in the Plan for Digital Regulation, we will ensure our overall approach to governing digital technologies is proportionate and supports growth and innovation within the sector. The Government will also ensure that developments in this area coordinate and mutually reinforce other work associated with app security and privacy. 2021年12月に発表された新しい国家サイバー戦略の主要な野望は、市民がオンラインでより安全に、自分のデータが保護されていると確信できるようにすることです。今回の取り組みは、デジタルサービスの主要なプロバイダー、特にアプリストアの運営者(および開発者)の業務慣行を改善することで、これを実現するのに役立ちます。さらに、「デジタル規制のための計画」に示されているように、デジタル技術を管理するための全体的なアプローチが適切であり、この分野での成長とイノベーションを支援することを確認します。また、政府は、この分野の開発が、アプリのセキュリティとプライバシーに関連する他の作業を調整し、相互に強化することを確保する。
The interventions suggested in this document include a voluntary Code of Practice for App Store Operators and Developers that is intended as a first step. Other options we could take forward if needed in the future, include certification for app store operators and regulating aspects of the Code to help protect users. These proposals link into the National Cyber Strategy through requiring providers of digital services to meet appropriate standards of cyber security and developing frameworks to secure future technologies. この文書で提案された介入策には、最初のステップとして意図された、アプリストアの運営者と開発者のための自主的な実践規範が含まれています。将来的に必要であれば、アプリストア運営者の認証や、ユーザー保護に役立つ規範の側面の規制など、他の選択肢も考えられます。これらの提案は、デジタルサービスのプロバイダーが適切なサイバーセキュリティの基準を満たすことを要求し、将来の技術を保護するための枠組みを開発することを通じて、国家サイバー戦略にリンクしています。
Guided by the Plan for Digital Regulation’s focus on coherence, these proposals complement work that is already happening across Government to help protect users that rely on various digital services and technology. This includes the Online Safety Bill which will ensure that the UK is the safest place in the world to be online while defending free expression and the Product Security and Telecommunications Infrastructure Bill, which will protect the security of consumer connectable products, and their users. 「デジタル規制のための計画」の一貫性に重点を置くことにより、これらの提案は、様々なデジタルサービスや技術に依存するユーザーを保護するために、政府全体で既に行われている作業を補完するものです。これには、表現の自由を守りながら、英国が世界で最も安全なオンラインプレイスであることを保証するOnline Safety Billや、消費者が接続できる製品やそのユーザーのセキュリティを保護するProduct Security and Telecommunications Infrastructure Billが含まれます。
The Government is also creating the pro-competition regime for digital markets, which will introduce new rules to ensure digital consumers and businesses are treated fairly and level the playing field so that new and innovative tech firms can flourish. The Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their interim report published on 14 December 2021 will inform the design of the new pro-competition regime for digital markets. また、政府はデジタル市場のための競争促進体制を構築しており、デジタル消費者と企業が公平に扱われるよう新たなルールを導入し、新しい革新的なハイテク企業が繁栄できるよう、競争の場を公平にします。競争・市場庁によるアップルとグーグルのモバイル・エコシステムに関する市場調査と2021年12月14日に発表されたその中間報告書は、デジタル市場のための新しい競争促進制度の設計に情報を提供しています。
I welcome your views on the proposed interventions set out in this document. Your views will help shape UK Government policy over the coming years and allow both consumers and businesses to reap the many benefits from apps. This will help make the UK a stronger and more secure place for people and businesses. この文書に示された介入案について、皆様のご意見をお待ちしています。皆様のご意見は、今後数年間にわたる英国政府の政策の形成に役立ち、消費者と企業の両方がアプリから多くの利益を享受できるようになります。これは、英国を人々や企業にとってより強く安全な場所にすることにつながるでしょう。
Julia Lopez MP ジュリア・ロペス議員
Minister of State for Media, Data and Digital Infrastructure メディア・データ・デジタルインフラ担当国務大臣
Department for Digital, Culture, Media and Sport デジタル・文化・メディア・スポーツ省
Executive summary エグゼクティブサマリー
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
Developers therefore have a clear responsibility to ensure that the apps they create are built with appropriate security and privacy. App stores can play an important role through the checks they put in place to help protect users from malicious and poorly developed apps. They also can act as a trusted digital marketplace, where steps are taken to ensure that users can benefit from the extensive variety of apps, which range from banking to games to health-related apps. Their role is equally important because the vast majority of users, particularly on mobile platforms, download apps via these app stores. したがって、開発者は、作成するアプリケーションが適切なセキュリティとプライバシーを考慮して構築されていることを保証する明確な責任を負っています。アプリストアは、悪意のあるアプリや不十分な開発のアプリからユーザーを保護するためのチェックを通じて、重要な役割を果たすことができます。また、銀行、ゲーム、健康関連アプリなど、多種多様なアプリからユーザが確実に利益を得られるような措置が取られた、信頼できるデジタル市場としても機能します。特にモバイルプラットフォームでは、ユーザーの大半がこうしたアプリストアを経由してアプリをダウンロードしているため、その役割は同様に重要です。
Across the globe, there are a growing number of regulatory initiatives focusing on mobile app stores which could result in third party app stores being obtainable on iOS devices and more accessible on Android devices. The above activities may increase the risk to app users if third party app stores do not have robust processes, such as on vetting or transparency around permission requests. There have also been significant instances where malicious apps have been available to download on app stores thereby putting users’ security and privacy at risk. 世界各地で、モバイル・アプリ・ストアに関する規制強化の動きが活発化しており、その結果、iOS端末ではサードパーティ製アプリ・ストア、Android端末ではよりアクセスしやすいアプリ・ストアとなる可能性があります。サードパーティアプリストアが、審査や許可要求の透明性などの堅牢なプロセスを有していない場合、上記の活動はアプリ利用者のリスクを増大させる可能性があります。また、悪意のあるアプリがアプリストアからダウンロードできるようになり、ユーザーのセキュリティとプライバシーが危険にさらされる事例も少なくありません。
The UK government therefore conducted a review from December 2020 to March 2022 into the app store ecosystem, with the aim of reducing the threat of malicious and insecure apps to protect users whilst helping developers meet security and privacy best practice. This review sits alongside broader efforts across government focused around creating an innovative and thriving digital economy in the UK while ensuring that users are able to securely benefit from any potential changes to the app store ecosystem. そこで英国政府は、2020年12月から2022年3月にかけて、悪質で安全でないアプリの脅威を低減してユーザーを保護する一方で、開発者がセキュリティとプライバシーのベストプラクティスを満たせるようにすることを目的に、アプリストアのエコシステムの見直しを実施しました。この見直しは、英国における革新的で活気あるデジタル経済の創出に焦点を当てた政府全体の幅広い取り組みと同時に、アプリストアのエコシステムに変更が生じた場合、ユーザーが安全にその恩恵を受けることができるようにすることを目的としています。
Our recent consultation on the pro-competition regime for digital markets proposed new rules for the most powerful firms to ensure consumers and businesses are treated fairly, and a level playing field where innovative tech firms can flourish. The design of this regime will also be informed by the Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their recent interim report published on 14 December 2021. デジタル市場の競争促進体制に関する最近の協議では、消費者と企業が公平に扱われ、革新的なハイテク企業が活躍できる公平な競争の場を確保するため、最も強力な企業に対する新しい規則を提案しました。この制度の設計は、競争・市場庁によるアップルとグーグルのモバイル・エコシステムへの市場調査と、2021年12月14日に発表された最近の中間報告からも情報を得ることができます。
The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーにアクセス可能であることが判明し、したがって、一部の開発者がアプリを作成する際にベストプラクティスに従っていないことが明らかになりました。すべてのアプリストアに共通する脅威プロファイルは、アプリに含まれるマルウェアが最も一般的なリスクであることです。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to take forward a robust set of interventions to ensure consumers are protected from online threats which are proportionate, pro-innovation and future-facing - in alignment with the principles set out in the Plan for Digital Regulation. The review therefore explored various options to address the above challenges. The main intervention we are proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that currently the most effective way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices is through app stores. 政府の意図は、消費者をオンラインの脅威から確実に保護するために、デジタル規制のための計画で定められた原則に沿った、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を実施することです。このため、レビューでは、上記の課題に対処するための様々な選択肢を検討しました。この初期段階で私たちが提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、現在、悪意のある安全でないアプリからユーザーを大規模に保護し、開発者の業務改善を保証する最も効果的な方法は、アプリストアであると私たちが認識しているからです。
A Code would provide the government with an opportunity to mandate the requirements in the future should the risks arising from malicious and insecure apps not be mitigated through stakeholder action, or should the risk and threat landscape evolve such that this is necessary. A full draft of the proposed Code is provided in Chapter 6. This section also outlines other interventions we have identified that may help drive adoption among operators and developers. We will continue to keep these under review. 悪意のある安全でないアプリから生じるリスクが関係者の行動によって軽減されない場合、またはリスクと脅威の状況が変化してそれが必要になった場合、コードは将来的に政府に要件を義務付ける機会を提供することになるのです。提案されているコードの完全な草案は、第6章に記載されています。本章では、事業者と開発者の間で採用を促進するのに役立つと思われる、私たちが特定したその他の介入策についても概説します。これらは引き続き検討される予定です。
This publication is intended as the starting point of a much more extensive dialogue with our stakeholders, including industry and international partners. We are now holding a Call for Views for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. The feedback will be used to help inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. 本書は、業界や国際的なパートナーを含むステークホルダーとの、より広範な対話の出発点となることを意図しています。現在、2022年6月29日(水)までの8週間、「意見募集」を実施し、実施基準案を含む介入案に関する意見収集に役立てています。いただいたご意見は、英国政府の政策や私たちの次のステップへの情報提供に役立てられる予定です。受け取ったフィードバックによっては、本報告書に概説されている他の介入策を検討し、さらに実施するのと並行して、年内にコードを公開することを検討する可能性があります。
Protecting users from malicious and insecure apps is a global concern. We have engaged with our international partners as part of this review to share evidence, and we will continue to do so as part of efforts to create international alignment in this area. 悪質で安全でないアプリからユーザーを保護することは、世界的な関心事です。私たちは、このレビューの一環として、エビデンスを共有するために国際的なパートナーと関わってきましたが、この分野における国際的な連携を構築する努力の一環として、今後もそうしていきます。

 

参考

・2022.05.04 Threat report on application stores

Threat report on application stores アプリケーションストアに関する脅威レポート
This report outlines the risks associated with the use of official and third party app stores. このレポートでは、公式およびサードパーティのアプリケーションストアの使用に関連するリスクについて概説しています。
Over the last decade there has been an enormous increase in the availability and use of smartphones and smart devices. Many of these devices feature application stores ('app stores'), which allow users to download additional applications and content. The vast majority of users, particularly on mobile platforms, download apps via these app stores. 過去10年間で、スマートフォンやスマートデバイスの普及と利用が非常に進みました。これらのデバイスの多くは、アプリケーションストア(以下、アプリストア)を備えており、ユーザーは、追加のアプリケーションやコンテンツをダウンロードすることができます。特にモバイル端末のユーザーの大半は、このアプリストアを通じてアプリをダウンロードしています。
There's also been increased demand for apps, primarily as a result of the COVID-19 pandemic as more people work, shop, and stay in touch online. また、主にCOVID-19の大流行により、オンラインで仕事や買い物、連絡を取る人が増えているため、アプリに対する需要が高まっています。
Since there is a great variety of devices (and supporting app stores), there are a number of disparate and complex security issues that that can expose consumers and enterprises to online threats. This report summarises the risks associated with the use of official and third party app stores. It includes links to detailed guidance that describe how to mitigate the main threats. デバイス(および対応するアプリストア)は多種多様であるため、消費者や企業がオンラインの脅威にさらされる可能性のある、異種かつ複雑なセキュリティ問題が多数存在します。このレポートでは、公式およびサードパーティのアプリストアの使用に関連するリスクについてまとめています。また、主な脅威を軽減する方法を説明した詳細なガイダンスへのリンクも掲載しています。
This report was compiled to inform Department for Digital, Culture, Media & Sport's (DCMS) review on current threats associated with app stores. The report will aid in the development of policy interventions that will seek to improve app stores' security and privacy controls to protect both UK consumers and enterprises.  本レポートは、デジタル・文化・メディア・スポーツ省(DCMS)によるアプリストアに関連する現在の脅威に関するレビューに情報を提供するために作成されたものです。このレポートは、英国の消費者と企業の両方を保護するために、アプリストアのセキュリティとプライバシー管理を改善しようとする政策介入の開発を支援するものです。 

 

・[PDF]

20220510-61306

Introduction はじめに
Related NCSC guidance NCSCの関連ガイダンス
Use of apps and app stores in the UK  英国におけるアプリとアプリストアの利用について 
UK app developers 英国のアプリ開発者
What is the risk? リスクとは?
Cyber attacks on compromised apps 危険なアプリへのサイバー攻撃
Systemic vulnerabilities of app store developer submission checks アプリストアの開発者提出チェックのシステム的脆弱性
Overview of app stores アプリストアの概要
Mobile app stores モバイルアプリストア
Third party app stores  サードパーティアプリストア 
IoT voice assistant stores  IoT音声アシスタントストア 
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Case studies 事例
Offificial mobile app stores  モバイルアプリストア 
Third party mobile app stores  サードパーティーモバイルアプリストア 
Voice assistant stores 音声アシスタントストア
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Summary まとめ

 

 

| | Comments (0)

2022.05.04

CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)

こんにちは、丸山満彦です。

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド・国家サイバーセキュリティセンター(NZ NCSC)、および英国・国家サイバーセキュリティセンター(NCSC-UK)が共同で、2021年に頻繁に悪用された脆弱性を公表していますね。。。

数ある脆弱性についての対応を検討する際の優先順位付けに活用してくださいということです。。。

 

CISA

・2022.04.27 CISA, FBI, NSA, AND INTERNATIONAL PARTNERS WARN ORGANIZATIONS OF TOP ROUTINELY EXPLOITED CYBERSECURITY VULNERABILITIES 

CISA, FBI, NSA, AND INTERNATIONAL PARTNERS WARN ORGANIZATIONS OF TOP ROUTINELY EXPLOITED CYBERSECURITY VULNERABILITIES    CISA、FBI、NSA、および国際的なパートナーが、頻繁に悪用されたサイバーセキュリティ脆弱性について組織に警告を発する
WASHINGTON –  The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), and the United Kingdom’s National Cyber Security Centre (NCSC-UK) issued a joint Cybersecurity Advisory today on the common vulnerabilities and exposures (CVEs) frequently exploited by malicious cyber actors, including the 15 most commonly exploited of 2021.    ワシントン - サイバーセキュリティおよびインフラストラクチャ セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア サイバーセキュリティセンター(ACSC)、カナダ サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NZ NCSC)、英国国家サイバーセキュリティセンター(NCSC-UK)は、本日共同サイバーセキュリティアドバイザリーを発表し、2021年に最も悪用された15件を含む悪質サイバー行為者によって頻繁に利用される共通脆弱性識別子(CVEs)を明らかにしました。   
Malicious cyber actors continue to aggressively target disclosed critical software vulnerabilities against broad target sets in both the public and private sectors. While the top 15 vulnerabilities have previously been made public, this Advisory is meant to help organizations prioritize their mitigation strategies. 悪意のあるサイバー行為者は、公共部門と民間部門の両方の幅広いターゲットセットに対して、開示された重要なソフトウェアの脆弱性を積極的に狙い続けています。上位15件の脆弱性は以前から公開されていますが、本アドバイザリーは、組織が緩和戦略の優先順位を決定するのに役立つことを目的としています。
The cybersecurity authorities recommend the following prioritized mitigation measures:     サイバーセキュリティ当局は、以下の優先的な緩和策を推奨しています。    
・Vulnerability and configuration management, including updating software, operating systems, applications, and firmware, with a prioritization on patching known exploited vulnerabilities; implementing a centralized patch management system; and replacing end-of-life software.    ・脆弱性管理と構成管理:ソフトウェア、OS、アプリケーション、ファームウェアのアップデート(既知の脆弱性を突くパッチを優先的に適用)、集中パッチ管理システムの導入、使用済みソフトウェアの交換などが含まれます。
・Identity and access management, including enforcing multi-factor authentication (MFA) for all users; if MFA is unavailable, require employees engaging in remote work to use strong passwords; and regularly reviewing, validating, or removing privileged accounts.     ・アイデンティティとアクセス管理:すべてのユーザーに対する多要素認証(MFA)の実施。MFAが利用できない場合は、リモートワークに従事する従業員に強力なパスワードの使用を義務付ける、特権アカウントを定期的に見直し、検証し、または削除することなどが含まれます。    
・Protective controls and architecture, including properly configuring and secure internet-facing network devices, disabling unused or unnecessary network ports and protocols, encrypting network traffic, and disabling unused network services and devices.     ・保護的コントロールとアーキテクチャ:インターネットに接続するネットワーク機器の適切な設定、不要なネットワークポートやプロトコルの無効化、ネットワークトラフィックの暗号化、使用しないネットワークサービスや機器の無効化などが含まれます。 
“We know that malicious cyber actors go back to what works, which means they target these same critical software vulnerabilities and will continue to do so until companies and organizations address them,” said CISA Director Jen Easterly. “CISA and our partners are releasing this advisory to highlight the risk that the most commonly exploited vulnerabilities pose to both public and private sector networks. We urge all organizations to assess their vulnerability management practices and take action to mitigate risk to the known exploited vulnerabilities.”    CISA のディレクターである Jen Easterly は、次のように述べています。「悪意のあるサイバー攻撃者は、有効なものから手を付けるということが分かっています。CISAと我々のパートナーは、最も一般的に悪用される脆弱性が公共部門と民間部門の両方のネットワークにもたらすリスクを強調するために、この勧告を発表します。私たちは、すべての組織が脆弱性管理の実践を評価し、既知の悪用される脆弱性に対するリスクを軽減するための行動を取ることを強く勧めます。」  
"This report should be a reminder to organizations that bad actors don't need to develop sophisticated tools when they can just exploit publicly known vulnerabilities," said NSA Cybersecurity Director Rob Joyce. "Get a handle on mitigations or patches as these CVEs are actively exploited.”  NSA のサイバーセキュリティディレクターである Rob Joyce は、次のように述べています。「このレポートは、悪質な行為者は、公に知られている脆弱性を悪用するだけなら、高度なツールを開発する必要はないことを組織に思い起こさせるものです。これらの CVE が活発に悪用されているため、緩和策やパッチを入手する必要があります。」
"The FBI, together with our federal and international partners, is providing this information to better arm our private sector partners and the public to defend their systems from adversarial cyber threats," said FBI's Cyber Division Assistant Director Bryan Vorndran. "Though the FBI will continue to pursue and disrupt this type of malicious cyber activity, we need your help. We strongly encourage private sector organizations and the public to implement these steps to mitigate threats from known vulnerabilities, and if you believe you are a victim of a cyber incident, contact your local FBI field office."   FBIのサイバー部門アシスタントディレクターであるBryan Vorndranは、次のように述べています。「FBIは、連邦政府や国際的なパートナーとともに、民間部門のパートナーや一般市民が敵対的なサイバー脅威からシステムを守るためのより良い武装をするために、この情報を提供しています。 FBIは今後もこのような悪質なサイバー行為を追及し、阻止していきますが、皆さんの協力が必要です。民間企業や一般市民が、既知の脆弱性からの脅威を軽減するために、これらの手段を実行することを強くお勧めします。もし、自分がサイバー事件の被害者だと思ったら、最寄りのFBI支局に連絡してください。 」
“Malicious cyber actors continue to exploit known and dated software vulnerabilities to attack private and public networks globally,” said Abigail Bradshaw, Head of the Australian Cyber Security Centre. “The ACSC is committed to providing cyber security advice and sharing threat information with our partners, to ensure a safer online environment for everyone. Organisations can implement the effective mitigations highlighted in this advisory to protect themselves.”   オーストラリア・サイバー・セキュリティ・センターの責任者であるアビAbigail Bradshawは、次のように述べています。「悪意のあるサイバー行為者は、既知のソフトウェア脆弱性や年代物のソフトウェア脆弱性を悪用して、世界中の民間および公共ネットワークを攻撃し続けています。 ACSCは、すべての人にとってより安全なオンライン環境を確保するために、サイバーセキュリティに関するアドバイスを提供し、脅威に関する情報をパートナーと共有することに尽力しています。組織は、この勧告で強調されている効果的な緩和策を実施し、自らを守ることができます。 」
“Cyber security best practices, including patch management, are essential tools for organizations to better protect themselves against malicious threat actors,” said Sami Khoury, Head of the Canadian Centre for Cyber Security. “We encourage all organizations to take action and follow the appropriate mitigations in this report against known and routinely exploited vulnerabilities, and make themselves more secure.”   カナダ・サイバー・セキュリティ・センターの責任者であるSami Khouryは、次のように述べています。「パッチ管理を含むサイバーセキュリティのベストプラクティスは、組織が悪意のある脅威行為者からよりよく身を守るために必要不可欠なツールです。私たちは、すべての組織が既知の、そして日常的に悪用される脆弱性に対して、本レポートにある適切な緩和策を講じ、自らをより安全にすることを推奨します。」
“We are seeing an increase in the speed and scale of malicious actors taking advantage of newly disclosed vulnerabilities,” said Lisa Fong, Director of the New Zealand Government Communications Security Bureau’s National Cyber Security Centre (NCSC). “The NCSC works with international partners to provide timely access to critical cyber threat information. This joint advisory underscores the importance of addressing vulnerabilities as they are disclosed and better equips New Zealand organisations to secure their information and systems.”   ニュージーランド政府通信セキュリティ局国家サイバーセキュリティセンター(NCSC)のディレクターであるLisa Fongは、次のように述べています。「新たに公開された脆弱性を利用する悪意のある行為者のスピードと規模が拡大しています。NCSCは国際的なパートナーと協力し、重要なサイバー脅威の情報をタイムリーに提供しています。この共同勧告は、脆弱性が公表されたときに対処することの重要性を強調し、ニュージーランドの組織が情報とシステムを保護するための体制をより良く整えるものです。」  
“The NCSC and our allies are committed to raising awareness of global cyber vulnerabilities and presenting actionable solutions to mitigate them,” said Lindy Cameron, CEO of NCSC. “This advisory places the power in the hands of network defenders to fix the most common cyber weaknesses within the public and private sector ecosystem. Working with our international partners, we will continue to raise awareness of the threats posed by those which seek to harm us.”  NCSCのCEOであるLindy Cameronは次のように述べています。「NCSCと私たちの同盟国は、世界的なサイバー脆弱性に対する認識を高め、それを軽減するための実行可能な解決策を提示することに尽力しています。この勧告は、官民のエコシステムの中で最も一般的なサイバー脆弱性を修正する力をネットワーク防御者の手に委ねるものです。国際的なパートナーと協力しながら、私たちに危害を加えようとする者たちがもたらす脅威に対する認識を高めていきます。」
All organizations are encouraged to review and implement the recommended mitigations in this detailed joint CSA.     すべての組織は、この詳細な共同CSAの推奨される緩和策を検討し、実施することが推奨されます。    

 

・2022.04.27 Alert (AA22-117A) 2021 Top Routinely Exploited Vulnerabilities

Alert (AA22-117A): 2021 Top Routinely Exploited Vulnerabilities Alert (AA22-117A): 2021年に頻繁に悪用された脆弱性
Summary 概要
This joint Cybersecurity Advisory (CSA) was coauthored by cybersecurity authorities of the United States, Australia, Canada, New Zealand, and the United Kingdom: the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), and United Kingdom’s National Cyber Security Centre (NCSC-UK). This advisory provides details on the top 15 Common Vulnerabilities and Exposures (CVEs) routinely exploited by malicious cyber actors in 2021, as well as other CVEs frequently exploited. この共同サイバーセキュリティ勧告(CSA)は、米国、オーストラリア、カナダ、ニュージーランド、および英国:サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダのサイバーセキュリティセンター(CCCS)、ニュージーランドの国家サイバーセキュリティセンター(NZ NCSC)、および英国の国家サイバーセキュリティセンター(NCSC-UK)が共同作成したものであります。本アドバイザリでは、2021年に悪意のあるサイバー行為者によって頻繁に悪用された上位15個の共通脆弱性識別子(CVE)と、その他頻繁に悪用されるCVEについて詳細を説明します。
U.S., Australian, Canadian, New Zealand, and UK cybersecurity authorities assess, in 2021, malicious cyber actors aggressively targeted newly disclosed critical software vulnerabilities against broad target sets, including public and private sector organizations worldwide. To a lesser extent, malicious cyber actors continued to exploit publicly known, dated software vulnerabilities across a broad spectrum of targets.  米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局は、2021年に悪意のあるサイバー行為者が、世界中の公共および民間組織を含む幅広いターゲットセットに対して、新たに公開された重要なソフトウェア脆弱性を積極的に狙ったと評価しています。また、悪意のあるサイバー攻撃者は、広範なターゲットに対して、公表されている日付の古いソフトウェアの脆弱性を悪用し続けました。 
The cybersecurity authorities encourage organizations to apply the recommendations in the Mitigations section of this CSA. These mitigations include applying timely patches to systems and implementing a centralized patch management system to reduce the risk of compromise by malicious cyber actors. サイバーセキュリティ当局は、本 CSA の「緩和策」のセクションにある推奨事項を適用するよう組織に促しています。これらの緩和策には、悪意のあるサイバー行為者による侵害のリスクを低減するために、システムに適時パッチを適用すること、集中パッチ管理システムを導入することが含まれます。

 

・[PDF]

20220504-63108

 

 

 

 

| | Comments (0)

2022.04.29

MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25)

こんにちは、丸山満彦です。

MITRE ATT&CK v11.0が公開されています。。。

エンタープライズ、モバイル、ICSのテクニック、グループ、ソフトウェアが更新されたようです。。。

大きな変更点は、

・エンタープライズATT&CKのデータソースとデータコンポーネント目標に関連付けられた検出の再構築

・サブテクニックを活用したATT&CK for Mobileのベータリリース(確定版はV10です。。。)

ATT&CK for ICSのattack.mitre.orgへのアップデート

ということのようです。。。

 

MITRE - ATT&CK

・2022.04.25 Updates - April 2022

 

内容は、ブログの解説記事で。。。

・2022.04.25 ATT&CK Goes to v11: Structured Detections, Beta Sub-Techniques for Mobile, and ICS Joins the Band

 

2022年のロードマップ

・2022.02.03 ATT&CK 2022 Roadmap

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.29 米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ

・2022.04.09 米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.10.22 MITRE ATT&CKのVer 10.0がリリースされましたね。。。

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

・2021.04.30 MITRE ATT&CKのVer 9.0がリリースされましたね。。。

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

より以前の記事一覧