脆弱性

2021.05.01

NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

こんにちは、丸山満彦です。

NISTがSP 800-161 Rev. 1 (ドラフト) 「システムと組織のためのサイバー・サプライチェーン・リスク管理の実践」を公表し、意見募集をしておりますね。。。

6月14日に締め切った後、9月に第2次ドラフトを公開する予定ですね。。。ボストンコンサルティングの方がメンバーですね。。。

NIST - ITL - Computer Security Resource Center

・2021.04.29 SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations

 

パブコメの対象は、

Publication: 

・[PDF]  SP 800-161 Rev. 1 (Draft)

20210430-211045

その他参考情報は

Workshop (web)

NIST’s Cyber Supply Chain Risk Management Program (other)

現在の文書

SP 800-161 (web) 

 

Announcement 発表
More than ever, organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks can decrease an enterprise’s visibility into and understanding of how the technology that they acquire is developed, integrated, and deployed. They can also affect and be affected by the processes, procedures, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of products and services. 企業はこれまで以上に、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバーサプライチェーン内での不適切な製造・開発行為による脆弱性に関連するリスクを懸念しています。これらのリスクは、企業が取得したテクノロジーがどのように開発、統合、展開されているかについて、企業の可視性や理解を低下させる可能性があります。また、製品やサービスのセキュリティ、耐障害性、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、実践にも影響を与え、影響を受ける可能性があります。
That is why NIST is inviting comments on a major revision to Cyber Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161). The updates are designed to better help organizations identify, assess, and respond to cyber supply chain risks while still aligning with other fundamental NIST cybersecurity risk management guidance. そのため、NISTは、「システムと組織のためのサイバーサプライチェーンリスクマネジメントの実践」(SP 800-161)の大幅な改訂についてコメントを募集しています。今回の改訂は、NISTの他の基本的なサイバーセキュリティ・リスク管理ガイダンスとの整合性を保ちつつ、組織がサイバー・サプライチェーン・リスクを特定し、評価し、対応するのに役立つように設計されています。
The revision to this foundational NIST publication represents a 1-year effort to incorporate next generation cyber supply chain risk management (C-SCRM) controls, strategies, policies, plans, and risk assessments into broader enterprise risk management activities by applying a multi-level approach. The changes focus on making implementation guidance more modular and consumable for acquirers, suppliers, developers, system integrators, external system service providers, and other information and communications technology (ICT)/operational technology (OT)-related service providers. Additionally, the references have been updated and expanded. このNISTの基本的な出版物の改訂は、次世代のサイバーサプライチェーンリスク管理(C-SCRM)の統制、戦略、方針、計画、リスク評価を、マルチレベルのアプローチを適用することで、より広範な企業のリスク管理活動に組み込むための1年間の取り組みを表しています。今回の変更点は、買収者、供給者、開発者、システムインテグレーター、外部システムサービスプロバイダー、その他の情報通信技術(ICT)/運用技術(OT)関連のサービスプロバイダー向けに、実施ガイダンスをよりモジュール化し、消費可能にすることに重点を置いています。さらに、参考文献も更新・拡充されています。
..... .....
Abstract 概要
Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、サイバー・サプライチェーンにおいて、悪意のある機能が含まれていたり、偽造品であったり、製造や開発の不備により脆弱であったりする製品やサービスに関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。

 

目次 ↓

Continue reading "NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践"

| | Comments (0)

2021.04.29

NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

こんにちは、丸山満彦です。

NISTがポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査という白書を公表していますね。昨年に案が出てきたものが確定したものです。。。

● NIST - ITL - CSRC - publication

・2021.04.28 White Paper Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms

Abstract 概要
Cryptographic technologies are used throughout government and industry to authenticate the source and protect the confidentiality and integrity of information that we communicate and store. The paper describes the impact of quantum computing technology on classical cryptography, particularly on public-key cryptographic systems. This paper also introduces adoption challenges associated with post-quantum cryptography after the standardization process is completed. Planning requirements for migration to post-quantum cryptography are discussed. The paper concludes with NIST’s next steps for helping with the migration to post-quantum cryptography. 暗号技術は、通信や保存する情報の発信元を認証し、機密性や完全性を保護するために、政府や産業界で利用されています。本白書では、量子コンピュータ技術が古典暗号、特に公開鍵暗号システムに与える影響について説明します。また、標準化プロセスが完了した後のポスト量子暗号に関連する採用課題についても紹介します。また、ポスト量子暗号への移行に必要な計画についても述べています。最後に、ポスト量子暗号への移行を支援するためのNISTの次のステップを紹介しています。

・[PDF] White Paper

20210429-92630

関連

 

| | Comments (0)

コンピュータソフトウェア協会・Software ISAC 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開

こんにちは、丸山満彦です。

一般社団法人コンピュータソフトウェア協会・Software ISAC が「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開していますね。これは、


ソフトウェア開発を行う組織の管理者や責任者に向けて、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめた


ものですね。。。

ソフトウェアをゆりかごから墓場まで」考えていくためのガイドラインとしていきたいという思いですね。。。


今後、ガイドの詳細版を作成していく予定です。


ということです。

私も作成に関わっています。みなさん、どんどんご意見をくださいませ。多くの人に使っていただけるように良いものを、みんなで作っていければと思っています。

 

一般社団法人コンピュータソフトウェア協会・Software ISAC 

・2021.04.28 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開

・[PDF] ソフトウェアの安全性を意識した管理体制(ver.1.0)

20210428-191255

1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
(1)契約状況の把握
(2)プロジェクトの把握
(3)開発環境や開発に使うソフトウェア情報の把握
(4)関係者のスキルやリテラシーの把握
(5)管理体制のメンバーの決定と把握
(6)ステークホルダー(利害関係者)全体の把握
(7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
(1)脆弱性の発見
(2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
(3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に


 

・頑丈なハードと変化前提のソフト

・オープンソフトを使う前提

・多重下請け構造

という状況を意識して作っています。。。

 

| | Comments (0)

2021.04.25

ENISA サイバーセキュリティ研究の方向性を探る

こんにちは、丸山満彦です。

ENISがサイバーセキュリティ研究の方向性に関する報告書を公表し、サイバーセキュリティ研究の方向性とイノベーションのテーマを特定していますね。。。

目的は、EU’s digital strategic autonomy(欧州のデジタル戦略の自立性)を保つことのようですね。。。

「欧州のデジタル戦略の自立性」とは、「欧州が、外部からの不当な影響を受けずに、自らの必要性や価値観に合った製品やサービスを調達する能力」と定義されているようですね。。。

ENISA

・2021.04.23 Exploring Research Directions in Cybersecurity

The European Union Agency for Cybersecurity has identified key research directions and innovation topics in cybersecurity to support the efforts of the EU towards a Digital Strategic Autonomy.

特定されたテーマは次の7つですね。。。

Data security データセキュリティ
Trustworthy software platforms 信頼性の高いソフトウェア・プラットフォーム
Cyber threat management and response サイバー脅威の管理と対応
Trustworthy hardware platforms 信頼性の高いハードウェア・プラットフォーム
Cryptography 暗号技術
User-centric security practices and tools ユーザ中心のセキュリティ対策とツール
Digital communication security デジタル・コミュニケーション・セキュリティ

 

・2021.04.23 Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy

・[PDF] CYBERSECURITY RESEARCH DIRECTIONS FOR THE EU’S DIGITAL STRATEGIC AUTONOMY

20210425-183243 

1. INTRODUCTION 1. 序論
1.1. DEFINITION OF DIGITAL STRATEGIC AUTONOMY AND SOVEREIGNTY 1.1. デジタル戦略的自律性と主権の定義
1.2. SCOPE AND TARGET AUDIENCE 1.2. 対象範囲と対象者
1.3. STRUCTURE 1.3. 構成
2. STRATEGIC AUTONOMY IN EUROPE: SCENARIOS 2. 欧州における戦略的自治:シナリオ
3. KEY AREAS FOR DEVELOPING THE EU’S DIGITAL STRATEGIC AUTONOMY 3. EUのデジタル戦略的自律性を発展させるための主要分野
3.1. DATA SECURITY 3.1. データの安全性
3.2. TRUSTWORTHY SOFTWARE PLATFORMS 3.2. 信頼性の高いソフトウェア・プラットフォーム
3.3. CYBER THREAT MANAGEMENT AND RESPONSE 3.3. サイバー脅威の管理と対応
3.4. TRUSTWORTHY HARDWARE PLATFORMS 3.4. 信頼できるハードウェア・プラットフォーム
3.5. CRYPTOGRAPHY 3.5. 暗号技術
3.6. USER-CENTRIC SECURITY PRACTICES AND TOOLS 3.6. ユーザ中心のセキュリティ対策とツール
3.7. DIGITAL COMMUNICATION SECURITY 3.7. デジタル・コミュニケーション・セキュリティ
4. SOCIAL SCIENCE DIMENSIONS OF STRATEGIC AUTONOMY 4. 戦略的自律性の社会科学的側面
4.1. HUMAN CAPACITY BUILDING 4.1. 人間の能力開発
4.2. LEGAL AND REGULATORY FRAMEWORKS 4.2. 法規制の枠組
ANNEX A: SURVEY METHODOLOGY AND ANALYSIS 附属書A:調査方法と分析
A.1. METHODOLOGY OF THE STUDY A.1. 調査の方法
A.2. SURVEY OBJECTIVE A.2. 調査の目的
A.3. ANALYSIS OF THE RESULTS A.3. 結果の分析
A.4. RESPONDENT ANALYSIS A.4. 回答者分析

 

■ 関連

● European Commission - Shaping Europe’s digital future

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

 

 

| | Comments (0)

2021.04.22

U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

こんにちは、丸山満彦です。

ホワイトハウスのブリーフィングのページにSolarWindsとMS Exchangeの件が記載されているのですが、技術的な課題を組織的に解決し、次に繋げていっているという視点でうまく説明しているなと思いました。

経営者レベルでサイバーを語れる人材が米国企業では多いという話がありますが、政府レベルでも同じなのかもしれません。さまざまな能力を組み合わせたチームで戦うイメージの米国。振り返って日本の社会全体を見ると、多様性と言いながら、年長者と同じ価値観の人が年長者に重んじられて組織ができていて、単一価値観、時代遅れの組織になっているのかもしれませんね。。。

ちなみに副国家安全保障補佐官(サイバー・新技術担当)のAnne Neuberger氏 [wikipedia] は、40代の女性ですね。お子様がお二人いるようです。

The White House

・2021.04.19 Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents

 

Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents SolarWindsとMicrosoft Exchangeのインシデントに関する副国家安全保障補佐官(サイバー・新技術担当)アン・ニューバーガー氏の声明
The Biden Administration convened two Unified Coordination Groups (UCGs) to drive a whole of government response to the SolarWinds and Microsoft Exchange incidents. Due to the vastly increased patching and reduction in victims, we are standing down the current UCG surge efforts and will be handling further responses through standard incident management procedures.  バイデン政権は、SolarWindsとMicrosoft Exchangeのインシデントに対する政府全体の対応を推進するため、それぞれについて統合調整グループ(UCG)を招集しました。膨大な数のパッチが適用され、被害が減少したため、現在は、UCGの活動を終了し、標準的なインシデント管理手順で今後の対応を行うことになりました。
The innovations from the Exchange UCG and the lessons learned from these responses will be used to improve future unified, whole of Government responses to significant cyber incidents, including: Exchange UCGの技術革新とこれらの対応から得られた教訓は、今後の重要なサイバーインシデントに対する政府全体での統一された対応を改善するために利用されます。得られた教訓は次のものを含みます。
Integrating private sector partners at the executive and tactical levels. The active private sector involvement resulted in an expedited Microsoft one-click tool to simplify and accelerate victims’ patching and clean-up efforts, and direct sharing of relevant information. This type of partnership sets precedent for future engagements on significant cyber incidents. 民間企業のパートナーを幹部レベルと戦術レベルで統合する。民間企業が積極的に関与した結果、Microsogt社のワンクリックツールにより、被害者のパッチ適用やクリーンアップ作業が簡素化・迅速化され、関連情報が直接共有されることになりました。このようなパートナーシップは、重大なサイバーインシデントに対する今後の取り組みの先例となるものです。
CISA created and utilized a methodology to track trends in patching and exposed Exchange servers that enabled the UCG to quantify the scope of the incident. CISAは、UCGが事件の範囲を定量的に把握するために、パッチ適用の傾向や流出したExchangeサーバを追跡する方法を作成し、活用しました。
・Through industry relationships and leveraging legal authorities, the FBI and DOJ quickly identified the scale of the incidents – in the SolarWinds UCG, for example, scoping from a worst case of 16,800 to fewer than 100 targeted exploited nongovernment entities. This enabled focused victim engagement and improved understanding of what the perpetrators targeted from the larger set of exposed entities. ・業界との連携や法的権限をうまく活用することにより、FBI と DOJ はインシデントの規模を迅速に特定しました。例えば SolarWinds の UCG では、最悪のケースである 16,800 人から、悪用された非政府機関を対象とした 100 人未満にまで範囲を拡大しました。これにより、被害者を重点的に支援することが可能になり、また、被害に遭った企業の中で犯人が何を狙っていたのかを理解することができました。
NSA and CISA released cybersecurity advisories that detailed adversary techniques and provided mitigation for system owners. NSA also provided guidance to other U.S. military and intelligence organizations, as well as contractors in the defense industrial base.  NSAとCISAは、サイバーセキュリティに関する勧告を発表し、敵対者のテクニックを詳細に説明するとともに、システム所有者に対する緩和策を提供しました。また、NSAは、他の米軍や情報機関、防衛産業基盤の請負業者にもガイダンスを提供しました。
The Biden Administration is undertaking a whole-of-government effort – working closely with Congress, the private sector, and allies and partners around the world – to build back better in new and innovative ways, to modernize our cyber defenses and enhance the nation’s ability to quickly and effectively respond to significant cybersecurity incidents. While this will not be the last major incident, the SolarWinds and Microsoft Exchange UCGs highlight the priority and focus the Administration places on cybersecurity, and at improving incident response for both the U.S. government and the private sector. バイデン政権は、議会、民間企業、世界中の同盟国やパートナーと緊密に協力しながら、政府全体で取り組んでいます。これは、新しく革新的な方法で、サイバー防御を近代化し、重大なサイバーセキュリティインシデントに迅速かつ効果的に対応する能力を強化するためのものです。これが最後の大規模インシデントではありませんが、SolarWinds社とMicrosoft Exchange社のUCGは、米国政府がサイバーセキュリティを重視し、米国政府と民間企業の両方のインシデント対応を改善することに重点を置いていることを強調しています。

 

個人的な思い込みですが、SolarWinds事件で米国政府は相当慌てたように感じました。しかし、ややもすると縦割りで動きがちが政府機関が、政府全体の危機に直面し、省庁間で連携して動き、課題を解決しつつあるという状況になり、その学びから得た教訓も踏まえ、自信に繋がっていっているようにも感じました。。。

米国のこういう一面は非常に羨ましいと感じます。。。

 

2_20210422103801

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

| | Comments (0)

2021.04.20

気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

こんにちは、丸山満彦です。

今日は、気になった記事を2つ紹介したいと思います。

最初は、JNSAの自動車セキュリティに関連する記事で、J-Auto-ISACの中島さんの記事です...

● JNSA - リレーコラム

・2021.04.16 第209号:大変革期に突入した自動車産業とサイバーセキュリティ

印象に残ったのが、


すでにクルマの制御プログラムに使用するソースコードの総行数はスマホOSの1,200万行、戦闘機の2,400万行を大きく上回り、2億行に迫っています。今後の自動運転技術の進展を踏まえて6億行に達するという予測も出ています。


という話です。自動車のコードって戦闘機よりのコードよりも多いんですね。プロが乗る戦闘機と違い、一般大衆が乗る自動車だからこそ、エラー処理も含めて丁寧に対応する必要もあってコードが増えているという面もあるのですかね。。。

まぁ、いずれにしても2億行もコードがあれば、どこかに脆弱性はあるでしょうし、いろいろな利害関係者のネットワークと思うと対応が難しいかもしれませんね。。。そして、


今、自動車業界は「ソフトウェアのサプライチェインマネジメント」という課題に直面しています。しかし何層もの裾野産業に支えられた巨大なピラミッド構造を考えると解決は容易ではありません。


という話です。

ソフトウェアというかプログラムの資産管理が必要かもしれませんね。。。ソフトウェアBOMのような仕組みです。オープンソフトも含めて考えなければならないのですが、何かアイデアを絞って考える必要がありますね。。。

 

 

もう一つは、「クラウドネイティブセキュリティ101」です。

● Cloud Seucurity Alliance

・2021.04.19 Cloud-Native Security 101

これは、Intezerブログ2021.04.01に掲載されていたものを再掲載したものです。これからクラウドネイティブに変わるとセキュリティについての考え方を変えて行かないといけないのでは、という話です。

Traditional perimeter-based security approaches fall short for cloud-native applications. The deployment and delivery processes have become more decentralized and agile, but security strategies need to be revamped to keep up with development. As those strategies change and enterprises shift to cloud-native applications, what are the do’s and don’ts of security? 従来の境界線を利用したセキュリティアプローチでは、クラウド・ネイティブ・アプリケーションには対応できません。デプロイメントとデリバリーのプロセスはより分散化され、アジャイルになっていますが、開発に追いつくためにはセキュリティ戦略を見直す必要があります。このような戦略の変化と企業のクラウドネイティブアプリケーションへの移行に伴い、セキュリティの「やるべきこと」と「やってはいけないこと」はどのようになっているのでしょうか。

という話です。

deployment と delivery の違いとか、整理しないといけないなぁと思ったりしました。。。

次のポイントが指摘されていました。参考まで...

The “Cattle, Not Pets” Approach 「ペットではなく牛」というアプローチ
Dynamically scalable environments drive agility in the cloud, where environments are created and destroyed as needed. This means that security should be integrated with the deployment process through security as code to keep up with the speed of development. In short, security should be integrated into design from day one, not as an afterthought. 動的に拡張可能な環境は、必要に応じて環境を作成したり破壊したりするクラウドのアジリティを促進します。つまり、開発のスピードに追いつくためには、セキュリティをコードとして統合し、デプロイメント・プロセスに組み込む必要があります。つまり、セキュリティは後付けではなく、初日から設計に組み込まれるべきなのです。
As workloads move to the cloud, deployments get automated through infrastructure as code (IaC). If you integrate security best practices into IaC, the resources will be protected when you deploy for the first time, reducing the attack surface. Deploying resources first and securing them later leaves your application vulnerable to attack. ワークロードがクラウドに移行すると、Infrastructure as Code(IaC)によってデプロイメントが自動化されます。IaCにセキュリティのベストプラクティスを統合すれば、最初にデプロイする際にリソースが保護され、攻撃対象が減少します。リソースを先にデプロイし、後からセキュリティを確保すると、アプリケーションは攻撃されやすい状態になります。
... ...
Focus on Runtime Protection ランタイム保護の重視
When compared to cloud non-native deployments, the focus shifts from perimeter security to runtime security in the cloud. While minimizing attack surface is important, it is also crucial to ensure comprehensive runtime security. クラウドの非ネイティブなデプロイメントと比較すると、クラウドでは境界線のセキュリティからランタイムのセキュリティに焦点が移ります。攻撃対象を最小限に抑えることは重要ですが、包括的なランタイム・セキュリティを確保することも重要です。
... ...
Undetected Threats in Linux Linuxに潜む脅威
... ...
Linux is traditionally considered secure, as it has features like SELinux and restricted user access, which is reinforced with cloud firewalls and access control mechanisms. However, recent trends show that Linux is increasingly becoming a preferred target for attackers. Linuxは、SELinuxのような機能を持ち、ユーザーのアクセスが制限されており、クラウドのファイアウォールやアクセス制御機構で強化されているため、伝統的に安全だと考えられています。しかし、最近の傾向では、Linuxが攻撃者の好ましい標的となるケースが増えています。
... ...
Cloud-Native Microservices クラウドネイティブなマイクロサービス
... ...
However, keep in mind that the cloud follows a shared responsibility model, where ownership of workload security is still with the customer. Defense-in-depth security practices for cloud-native microservices should include guardrails at all layers, such as the cluster, containers and code security. しかし、クラウドは責任共有モデルを採用しており、ワークロードのセキュリティの所有権は依然として顧客にあることに留意してください。 クラウドネイティブなマイクロサービスのための徹底したセキュリティ対策には、クラスター、コンテナ、コードセキュリティなど、すべての層でガードレールを設ける必要があります。
... ...
Moving one layer deeper to containers, where the workloads are deployed, it is recommended to implement image scanning to identify compromised images. Enabling the principle of least privilege (PoLP) for users will help to protect against unauthorized access to containers. You should also avoid security anti-patterns, such as disabling SELinux, host root access, and privilege elevation. Any configuration change should be enabled only through CI/CD pipelines, and deviations should be strictly monitored and reported. また、ワークロードが配置されているコンテナについては、イメージスキャンを実施して危険なイメージを特定することが推奨されます。ユーザーにPoLP(Principle of least privilege)を有効にすることで、コンテナへの不正なアクセスから保護することができます。また、SELinuxの無効化、ホストのルートアクセス、特権昇格など、セキュリティのアンチパターンを避ける必要があります。構成の変更は、CI/CDパイプラインを通じてのみ有効にし、逸脱は厳密に監視して報告する必要があります。
In addition to cluster and container security, you should also ensure code security through static code analysis, third-party library scanning for vulnerabilities, use of automated tools to protect from known attacks, port restriction, and other means. クラスタやコンテナのセキュリティに加えて、静的なコード解析、サードパーティのライブラリによる脆弱性のスキャン、既知の攻撃から保護するための自動化ツールの使用、ポートの制限などにより、コードのセキュリティを確保する必要があります。
... ...

セキュリティ対策の根本は変わらないと思いますが、重点を当てる部分や手段は環境に合わせて考える必要がありますね。。。

 

2021.04.20 13:12 追記

「“Cattle, Not Pets”って何?」と質問がきたのですが、これはパブリッククラウドを説明する際に、過去から時々出てくる言い回しのようなもので、要は、「あなたにとってかけがえのないたった一つのペット(従来のオンプレミスの比喩)ではなくて、広大な牧場にいる番号で管理されている牛の群れ(クラウドの比喩)を扱っているという感覚ですよ。。。ということだと思います。。。多分。。。」

1_20210420085201

| | Comments (0)

2021.04.15

カプコン 不正アクセスに関する調査結果のご報告【第4報】

こんにちは、丸山満彦です。

2020.11.16に【プレスリリース】不正アクセスによる情報流出に関するお知らせとお詫びをしたカプコンさんですが、2021.04.13に不正アクセスに関する調査結果のご報告【第4報】を公表していますね。

 

● カプコン

・2021.04.13 不正アクセスに関する調査結果のご報告【第4報】

 

身代金については、


6.身代金額に関する認知について

ランサムウェアに感染した機器上には攻撃者からのメッセージファイルが残置されており、攻撃者との交渉に向けたコンタクトを要求されたことは事実ですが、同ファイルには身代金額の記載はありませんでした。既報の通り、当社は警察とも相談の上、攻撃者との交渉をしないことといたしましたので、実際には、一切コンタクトも図っていないことから(2020年11月16日発表のプレスリリース参照)、当社では金額を確知しておりません。


となっていますね。

米国でもランサムウェアの攻撃者に対して身代金を払うことは推奨しない立場ですね。。。

参考↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

 

ちなみに、カプコンさんは、今回の事件を契機に、「セキュリティ監督委員会」を2021年1月下旬に発足していますが、外部専門家として、


立命館大学 上原哲太郎 教授、英知法律事務所 岡村久道 弁護士、大阪大学 猪俣敦夫 教授、PwCコンサルティング合同会社 丸山満彦 パートナー


と公表されていまして、私も外部専門家に入っております。ということで、この件については公開情報のみということで(^^)

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

 

| | Comments (0)

2021.04.14

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

こんにちは、丸山満彦です。

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

● Whitehouse

・2021.04.13 Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches

Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)によるMicrosoft Exchangeの新パッチに関する声明
Cybersecurity is a top priority for the Biden Administration and we’re committed to sharing actionable and timely information to help the American public operate safely online. サイバーセキュリティは、バイデン政権の最優先事項であり、米国民がオンラインで安全に活動できるよう、実用的でタイムリーな情報を共有することを約束します。
Microsoft released a set of Exchange patches today that are critical. We urge all owners and operators of Microsoft Exchange Servers to apply these latest patches immediately. The U.S. Government will lead by example – we are requiring all agencies to immediately patch their Exchange servers, as well. Should these vulnerabilities evolve into a major incident, we will manage the incident in partnership with the private sector, building on the Unified Coordination Group processes established and exercised in the recent Microsoft Exchange incident. 本日、マイクロソフト社がリリースした一連のExchangeパッチは非常に重要なものです。Microsoft Exchange Serverの所有者および運営者の皆様には、これらの最新パッチを直ちに適用することをお勧めします。米国政府も例に漏れず、すべての政府機関にExchangeサーバに直ちにパッチを適用するよう求めています。これらの脆弱性が重大なインシデントに発展した場合には、最近のMicrosoft Exchangeインシデントで確立され、実施されたUnified Coordination Group(統合調整グループ)のプロセスを基に、民間企業と協力してインシデントを管理します。
The U.S. government discovered and notified Microsoft on these vulnerabilities. The U.S. Government carefully weighs the national security, public, and commercial interests in deciding to disclose a vulnerability. Moreover, we recognize when vulnerabilities may pose such a systemic risk that they require expedited disclosure. This disclosure is an example of the responsible and transparent approach the U.S. government uses when handling vulnerabilities. This is consistent with our expectations for how responsible governments and companies can work together to promote cybersecurity.  米国政府は、これらの脆弱性を発見し、マイクロソフトに通知しました。米国政府は、脆弱性の開示を決定する際に、国家安全保障、公共、商業上の利益を慎重に考慮します。さらに、脆弱性が迅速な開示を必要とするようなシステム上のリスクをもたらす場合も認識しています。今回の公開は、米国政府が脆弱性を取り扱う際に用いている責任ある透明なアプローチの一例です。これは、責任ある政府と企業がサイバーセキュリティを促進するためにどのように協力するかについての我々の期待と一致しています」と述べています。

 

1_20210414191001

 


■ 関連

● Department of Homeland Security: DHS - Emergency Directive 21-02

・2021.04.13 supplemental direction v2 

● Cyberseurity & Infrastracture Security Agency: CISA

MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES 

 

裁判所はFBIに対して、脆弱なMicrosoft Exchange Serverに仕込まれたバックドアのweb shellを使って、そのweb shell自身を削除する許可を与えていますね。。。実際に実行して、後から削除をした旨を通知するようですね。おそらくそのタイミングで「パッチをあてろよ」と言うんでしょうね。

● U.S. Department of Justice

・2021.04.13 Justice Department Announces Court-Authorized Effort to Disrupt Exploitation of Microsoft Exchange Server Vulnerabilities

Action Copied and Removed Web Shells that Provided Backdoor Access to Servers, but Additional Steps may be Required to Patch Exchange Server Software and to Expel Hackers from the Victims’ Networks.

・2021.04.13 Justice Department announces court-authorized effort to disrupt exploitation of Microsoft Exchange Server vulnerabilities

Action copied and removed web shells that provided backdoor access to servers, but additional steps may be required to patch Exchange Server software and expel hackers from victim networks.

 

| | Comments (0)

2021.03.31

NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

こんにちは、丸山満彦です。

NISTが消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨をNISTIRとして公表していますね。。。

● NIST - ITL

・2021.03.29 NISTIR 8333 - Workshop Summary Report for “Cybersecurity Risks in Consumer Home Internet of Things (IoT) Products” Virtual Worksho

・[PDF] NISTIR 8333

20210330-182620

 

Abstract 概要
This report provides a summary of the discussion and findings from the NIST Cybersecurity Risks in Consumer Home Internet of Things (IoT) Devices virtual workshop in October 2020. NIST Interagency Report (NISTIR) 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, and NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline, provide general guidance on how manufacturers can approach their role of fulfilling their customers’ cybersecurity needs and capabilities. As discussed in those documents, particular sectors and use cases may require more specific guidance than what is included in NISTIR 8259A’s core baseline for Internet of Things (IoT) devices. To better understand the consumer home device sector, NIST collected observations on the cybersecurity device capabilities in a number of devices available in the first half of 2019. These observations were published in Draft NISTIR 8267, Security Review of Consumer Home Internet of Things (IoT) Products. The information in Draft NISTIR 8267 was foundational for the NIST Cybersecurity Risks in Consumer Home Internet of Things (IoT) Devices virtual workshop. The workshop gathered further community input on the concerns with consumer home IoT device cybersecurity. 本報告は、2020年10月に開催された「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」オンラインワークショップでの議論と結果をまとめたものです。NIST 統合報告(NISTIR)8259「IoT機器メーカーのための基礎的なサイバーセキュリティ活動」とNISTIR 8259A「IoTデバイスのサイバーセキュリティ能力のコア・ベースライン」は、顧客のサイバーセキュリティのニーズと能力を満たすという製造業者の役割にどのようにアプローチするかについての一般的なガイダンスを提供しています。これらの文書で議論されているように、特定のセクターやユースケースでは、NISTIR 8259Aのモノのインターネット(IoT)デバイスのコアベースラインに含まれているものよりも、より具体的なガイダンスが必要な場合があります。消費者向け家庭用機器セクターをより深く理解するために、NISTは2019年前半に発売される多数の機器におけるサイバーセキュリティ機器の機能に関する観測を収集しました。これらの観測結果は、ドラフトNISTIR 8267「消費者向け家庭用IoTのセキュリティレビュー 製品情報」に掲載されました。ドラフトNISTIR 8267の情報は、「NIST C消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」のオンラインワークショップの基礎となりました。このワークショップでは、消費者向け家庭用IoT機器のサイバーセキュリティに関する懸念について、コミュニティの意見がさらに集められました。

 

Takeawayです。。。

 1: Creating a more secure IoT ecosystem for consumer devices can benefit all manufacturers and the “common good.”  1: 消費者向けデバイスのためにより安全なIoTエコシステムを構築することは、すべてのメーカーに利益をもたらし、"共通の利益 "となります。
 2: Manufacturers are challenged by balancing the design and functionality of consumer IoT devices against maintaining a viable cost structure for their target market.  2:メーカーは、消費者向けIoTデバイスのデザインや機能性と、ターゲット市場で実行可能なコスト構造の維持とのバランスを取るという課題を抱えています。
 3: Manufacturers can benefit by having a recognized business model around a “connected device lifecycle” that covers the mechanical and information technology (IT) components of a home IoT device.  3:メーカーは、家庭用IoT機器の機械部品と情報技術(IT)部品をカバーする「コネクテッドデバイスのライフサイクル」を中心とした、認知されたビジネスモデルを持つことで利益を得ることができます。
 4: Consumers cannot bear the sole responsibility of maintaining cybersecurity on IoT devices.  4:消費者は、IoT機器のサイバーセキュリティを維持する責任を単独で負うことはできません。
 5: Software and patch updates are critical to maintaining security, but a consumer’s ability to deploy them is limited.  5:ソフトウェアとパッチの更新は、セキュリティを維持するために重要ですが、消費者がそれを展開する能力は限られています。
 6: Privacy plays a role in the manufacture and consumption of home IoT devices but is not well understood by consumers.  6:家庭用IoT機器の製造・消費において、プライバシーは役割を果たしているが、消費者には十分に理解されていない。
 7: Consumer education about home IoT cybersecurity should be an ongoing, shared responsibility among stakeholders.  7:家庭用IoTのサイバーセキュリティに関する消費者教育は、関係者の間で継続的に行われ、共有されるべきものである。

 

Next Stepです

The NIST Cybersecurity for IoT program has identified the following next steps taking into account the takeaways from the workshop, the feedback on draft NISTIR 8267, and ongoing efforts:  NIST Cybersecurity for IoTプログラムでは、ワークショップで得られた成果、NISTIR 8267草案へのフィードバック、継続的な取り組みを考慮して、次のステップを特定しました。
1. Survey the Options for Confidence Mechanisms for IoT
Devices. NIST should work with consumer groups, industry, standards bodies, and other stakeholders to survey options for confidence mechanisms that enable identification of cybersecurity device capabilities in consumer home IoT devices. 
1. IoTデバイスの信頼性メカニズムのオプションを調査する。
NISTは、消費者団体、産業界、標準化団体、その他の利害関係者と協力して、消費者の家庭用IoT機器におけるサイバーセキュリティ機器の能力の識別を可能にする信頼性メカニズムのオプションを調査するべきです。
2. Address Software Update and Patching Complexity.
NIST could explore ways to work with consumer groups, industry, academia, and other interested stakeholders to address the complexity of software updating/patching and the limits of consumers’ ability to manage updates/patches. 
2. ソフトウェアの更新とパッチ適用の複雑さに対処する。
NISTは、消費者団体、産業界、学界、その他の関心のあるステークホルダーと協力して、ソフトウェアの更新・パッチの複雑さや、消費者の更新・パッチ管理能力の限界に対処する方法を検討することができます。
3. Consider a Consumer Home IoT Device Profile.
NIST could consider how a consumer home IoT device profile of the core baseline might be structured to address the specific concerns of this market. 
3. 消費者の家庭用IoTデバイスプロファイルを検討する。
NISTは、この市場特有の懸念に対応するために、コアベースラインの消費者向け家庭用IoTデバイスプロファイルをどのように構成するかを検討することができます。
4. Perform an Analysis of the Available Guidance for Consumer IoT Cybersecurity.
NIST could conduct an analysis to identify the standards, guidance, and tools currently available; how the standards and guidance overlap and where any critical gaps exist; and what would best support consumer IoT device manufacturers in implementing better security in IoT devices. 
4. 消費者向けIoTサイバーセキュリティのための利用可能なガイダンスの分析を行う。
NISTは、現在利用可能な規格、ガイダンス、ツールを特定するための分析を行い、規格やガイダンスがどのように重複しているか、どこに重大なギャップが存在するか、消費者向けIoT機器メーカーがIoT機器に優れたセキュリティを実装するために何が最も適しているかを明らかにすることができます。
5. Determine appropriate revisions for the Product Security Survey.
NIST should consider revising NISTIR 8267, Security Survey of Consumer Home Internet of Things (IoT) Products with comments from the workshop. 
5. 製品セキュリティ調査の適切な改訂する。
NISTは、ワークショップで得られたコメントをもとに、NISTIR 8267「Security Survey of Consumer Home Internet of Things(IoT) Products」の改訂を検討すべきです。

 

■ 参考

・2020.05.29 NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers

 ・[PDF] NISTIR 8259

 

・2020.05.29 NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline

 ・[PDF] NISTIR 8259A

 

・2019.10.01 Draft NISTIR 8267, Security Review of Consumer Home Internet of Things (IoT) Products

 ・[PDF] NISTIR 8267 (Draft)

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

2020.11.19 2020年IoTサイバーセキュリティ法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

2020.05.30 NISTIoT機械製造者ハラのセキュリティセキュリティNISTIR8259 IoTデバイスメーカー向けの基本的なサイバーセキュリティ活動、NISTIR 8259AIoTデバイスのサイバーセキュリティ機能コアベースライン

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

| | Comments (0)

2021.03.24

ENISA Microsoft Exchangeの脆弱性に関するレポートを公開

こんにちは、丸山満彦です。

ENISAがMicrosoft Exchangeの脆弱性に関するレポートを公開していますね。。。

● ENISA

・2021.03.19 (news) Statement on Microsoft Exchange vulnerabilities

The EU Agency for Cybersecurity (ENISA) has provided a statement with an assessment and advice on Microsoft Exchange vulnerabilities.

 ・2021.03.19 Situational Report on Microsoft Exchange Vulnerabilities

・[PDF] Microsoft Exchange Vulnerabilities

 

Situational Report on Microsoft Exchange Vulnerabilities Microsoft Exchangeの脆弱性に関する状況報告書
This ENISA situation report provides an assessment as well as advice and mitigation measures for the MS Exchange vulnerabilities. The threat for the new updates has been assessed as severe and ENISA considers attacks probable and of high risk. The Agency calls on organisations using affected Microsoft Exchange versions to patch the flaws immediately and thoroughly investigate for potential signs of compromise. MS Exchange vulnerabilities once exploited may lead to network compromise, data exfiltration and ransomware attacks. Across the EU, an increasing number of MS Exchange installations have also been found to be the target of malicious attacks. このENISAの状況報告では、MS Exchangeの脆弱性に関する評価、アドバイス、緩和策を提供しています。新しい更新プログラムの脅威は深刻であると評価されており、ENISAは攻撃の可能性が高く、高リスクであると考えています。ENISAは、影響を受けるMicrosoft Exchangeのバージョンを使用している組織に対し、直ちに欠陥にパッチを適用し、侵害の可能性がある兆候を徹底的に調査するよう呼びかけています。MS Exchangeの脆弱性が悪用されると、ネットワークの侵害、データの流出、ランサムウェアの攻撃につながる可能性があります。EUでは、悪意のある攻撃の標的となるMS Exchangeの数が増加していることが判明しています。

 



 

20210324-04849   


まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.19 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。

・2021.03.04 米国国土安全保障省 緊急指令21-02 オンプレミス版Microsoft Exchangeの脆弱性の軽減

 

| | Comments (0)

より以前の記事一覧