脆弱性

2024.04.11

インド データセキュリティ協議会 セキュリティとプライバシーリスクの低減: 生成的AIのエンタープライズ利用ガイド (2024.03.21)

こんにちは、丸山満彦です。

インドのデータ保護に関する業界団体であるデータセキュリティ協議会 (Data Security Council of India; DSCI) [wikipedia] が、生成的AIの利用ガイドを公表していました...

生成的AIのサイバーセキュリティやデータ保護について参考になる部分も多いと思いますので、紹介...

 

● Data Security Council of India; DSCI 

・2024.03.21 Mitigating Security & Privacy Risks: A Guide to Enterprise Use of Generative AI

Mitigating Security & Privacy Risks: A Guide to Enterprise Use of Generative AI セキュリティとプライバシーリスクの低減: 生成的AIのエンタープライズ利用ガイド
With rapidly increasing adoption of and investment into generative AI technologies, it is imperative for enterprise and business users to identify, examine, and prepare mitigation plans for risks arising out of this emerging technology to safeguard against reputational, legal, and financial consequences. In this context, this report presents a timely and comprehensive analysis of the cybersecurity and privacy risks emerging from enterprise use of generative AI systems and tools. 生成的AI技術の導入と投資が急速に増加する中、エンタープライズやビジネスユーザーにとって、この新たな技術から生じるリスクを特定、検討し、低減計画を準備することは、評判、法的、財務的な影響から保護するために不可欠である。このような背景から、本レポートでは、生成的AIシステムやツールのエンタープライズ利用から生じるサイバーセキュリティとプライバシーのリスクについて、タイムリーかつ包括的な分析を行う。
The report is framed in two parts, Part I-STRENGTHENING CYBERSECURITY FOR GENERATIVE AI and Part II- DATA PROTECTION STRATEGIES FOR GENERATIVE AI. The report first sets the context by breaking down the fundamentals behind the functioning of generative AI and examines the current landscape of use of generative AI systems and tools in an enterprise context. Building on this foundation, the latter sections of the report highlight identified privacy and cybersecurity risks that may arise for an enterprise user of this technology in the absence of established governance frameworks. Finally, based on thorough examination of existing governance and regulatory frameworks, both part I and part II of the report conclude with suggestions for enterprises on possible interventions in organizational policies, governance imperatives, and business processes that could help mitigate the highlighted risks. 本レポートは、第I部「生成的AIのサイバーセキュリティ強化」と第II部「生成的AIのデータ保護戦略」の2部構成となっている。本レポートではまず、生成的AIの機能の背後にある基本的な事項を説明し、エンタープライズにおける生成的AIのシステムやツールの利用の現状を検証することで、背景を整理している。この基礎の上に立って、レポートの後半では、ガバナンスの枠組みが確立されていない場合に、この技術をエンタープライズで利用する場合に発生する可能性のある、特定されたプライバシーとサイバーセキュリティのリスクを強調している。最後に、既存のガバナンスと規制の枠組みの徹底的な検証に基づいて、レポートの第1部と第2部の両方が、強調されたリスクを軽減するのに役立つ可能性のある組織ポリシー、ガバナンスの必須事項、およびビジネスプロセスへの介入の可能性に関するエンタープライズへの提案で締めくくられている。

 

・[PDF] (downloaded)

20240411-54624

 

目次...

Objective  目的 
Background 背景
Historical Evolution: From Probabilistic to Generative Models 歴史的な進化 確率的モデルから生成的モデルへ
The Architecture of Generative AI Technology 生成的AI技術のアーキテクチャ
Part1: STRENGTHENING CYBERSECURITY FOR GENERATIVE AI Part1: 生成的AIのためのサイバーセキュリティの強化
• Exploring Cybersecurity Risks ・サイバーセキュリティのリスクを探る
• Understanding Vulnerabilities and Threats ・脆弱性と脅威を理解する
• Navigating Unmanaged Adoption: Generative AI in Enterprise Context ・管理されていない採択の舵取り:エンタープライズにおける生成的AI
Part2: DATA PROTECTION STRATEGIES FOR GENERATIVE AI パート2: 生成的AIのデータ保護戦略
• Applicability of Data Protection Regulations and Principles to Generative AI ・生成的AIへのデータ保護規制と保護原則の適用可能性
• Data Protection Implications in Enterprise Use of Generative AI ・生成的AIのエンタープライズ利用におけるデータ保護の影響
Conclusion  結論 

 

いろいろ興味深い内容です...

 

Continue reading "インド データセキュリティ協議会 セキュリティとプライバシーリスクの低減: 生成的AIのエンタープライズ利用ガイド (2024.03.21)"

| | Comments (0)

2024.04.06

経済産業省 第8回「産業サイバーセキュリティ研究会」

こんにちは、丸山満彦です。

経済産業省で第8回「産業サイバーセキュリティ研究会」が開催されましたね...

・政策のフォローアップ状況とともに、

・新たなサイバーセキュリティ政策の方向性を提示し

・「産業界へのメッセージ」を発出

していますね...

 

経済産業省

1_20230808063201

・2024.04.05 第8回「産業サイバーセキュリティ研究会」を開催しました


<新たなサイバーセキュリティ政策の方向性>

(1)サイバーセキュリティ対策の実効性強化

  • 規模や業種等サプライチェーンの実態に応じて企業の適切なセキュリティ対策レベルを評価し可視化する仕組みを検討していく。
  • 一定のセキュリティ基準を満たすIoT製品を認証する制度や、ソフトウェア部品構成表(SBOM)について、政府調達等の要件化に向けて関係省庁との議論を進めるとともに、安全なソフトウェアの自己適合宣言の仕組みを検討する。
  • 中小企業向け補助的施策の一層の強化を図るため、セキュリティ人材の活用促進やサイバーセキュリティお助け隊サービスの拡充・普及等に取り組む。

(2)サイバーセキュリティ市場の拡大に向けたエコシステム構築

  • 我が国にとって重要な領域を中心に高品質な国産セキュリティ製品・サービスの供給が強化される状況を目指し、今年度中に、我が国サイバーセキュリティ産業の振興に向けた強化策のパッケージを提示する。
  • サイバーセキュリティ人材の確保・育成に向けて、ユーザー企業における情報処理安全確保支援士(登録セキスペ)の活用促進や制度の見直しなどを検討していく。登録セキスペの登録人数(2024年4月現在、約2.3万人)として、2030年までに5万人を目指す。

(3)官民の状況把握力・対処能力向上

  • 産業界と様々なチャネルを有する独立行政法人情報処理推進機構(IPA)におけるサイバー情報の集約・分析機能を更に強化し、国家の安全保障・経済安全保障の確保に貢献していく。

<「産業界へのメッセージ」>

  • 急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。
  • こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。
  • 各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。
  1. サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける(DX、BCP、サステナビリティ等に紐付ける。)。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動(対話・情報開示等)を積極的に行う。
  2. 自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」( ※1)や「セキュア・バイ・デフォルト」(※2)の製品の購入を優先するなど、ITサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。
  3. サプライチェーン全体での対策強化に向けた意識を徹底する(ASM(※3)の活用や、 サプライチェーンに参加する中小企業等への共助(取引先からの要請対応への負担配慮や脆弱性診断などの支援等))。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。
  4. 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、有事(サイバー攻撃の被害に遭った場合等)には、適時の専門組織への相談及び所管省庁等への報告等を行う。
  • ITサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応( 「顧客だけにセキュリティの責任を負わせない」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等)をお願いしたい。
  • セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。

※1 「セキュア・バイ・デザイン」:IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。
※2 「セキュア・バイ・デフォルト」:ユーザー(顧客)が、追加コストや手間をかけることなく、購入後すぐに IT 製品(特にソフトウェア)を安全に利用できること。
※3 ASM(Attack Surface Management):組織の外部(インターネット)からアクセス可能なIT資産(=攻撃面)を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスをいう。


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.29 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.16 経済産業省 クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15)

・2024.03.16 経済産業省 「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」

・2023.11.27 経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

・2023.08.08 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します

・2023.08.07 経済産業省 第32回 産業構造審議会総会

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.29 経済産業省 令和4年度委託調査報告書(サイバーセキュリティ関係) 2023.07.29現在

・2023.07.04 経済産業省 警察庁 サイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書の締結 (2023.06.30)

・2023.06.11 経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023.05.29)

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

・2023.04.26 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 (2022.04.20)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】 

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2023.02.20 経済産業省 クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

...

 

| | Comments (0)

2024.03.26

米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04)

 こんにちは、丸山満彦です。

米国連邦政府のクラウド認証といえば、FedRAMP。日本もこれを参考にISMAPの制度をつくりましたね...

FedRAMPの2015年に策定された「ペネトレーション・テスト・ガイダンス」ですが、改訂を重ねて、2022年に現在のVersion 3.0となり、今回Version 4.0のドラフトが公開され、意見募集されています。

このガイドを理解するためには、以下の文章も参照にするとよいですね...

ということで...

FedRAMP - Blog

・2024.03.04 Penetration Test Guidance Public Comment Period

ということで...

Penetration Test Guidance Public Comment Period ペネトレーション・テスト・ガイダンスのパブリック・コメント期間
FedRAMP is seeking feedback on the draft FedRAMP Penetration Test Guidance. The original guidance provides requirements for organizations planning to conduct a FedRAMP penetration test to identify weaknesses in their IT system, as well as the associated attack vectors and overall reporting requirements. FedRAMP は FedRAMP ペネトレーション・テスト・ガイダンスのドラフトに対する意見を求めている。オリジナルのガイダンスは、IT システムの弱点を特定するために FedRAMP ペネトレーション・テストの実施を計画している組織に対する要件、関連する攻撃ベクトル、および全体的な報告要件を規定している。
The FedRAMP Rev. 5 High, Moderate, Low, and Li-SaaS baselines include an annual requirement for penetration testing. For FedRAMP Low and Li-SaaS baselines, an independent assessor is not required and scope can be limited to public facing applications in alignment with OMB Memorandum M-22-09. FedRAMP Rev. 5 High、Moderate、Low、Li-SaaS ベースラインには、ペネトレーション・テストの年次要件が含まれている。FedRAMPのLowとLi-SaaSのベースラインでは、独立した評価者は必要なく、範囲はOMB覚書M-22-09に沿った公衆向けアプリケーションに限定することができる。
The updated guidance explains the requirements for organizations executing FedRAMP penetration tests and reporting testing results. Third Party Assessment Organizations (3PAOs) must follow the requirements for testing implementation. Cloud Service Providers can use the guidance to understand the scope of, and their role in the 3PAO testing. The guidance has been updated to include the Red Team Testing Requirements. More information can be found in our most recent blog post highlighting the additional Rev. 5 documents that were released, which were adopted in FedRAMP baselines. FedRAMP does not provide a Penetration Testing and Reporting template. 更新されたガイダンスは、FedRAMP の侵入テストを実施し、テスト結果を報告する組織の要件を説明している。第三者評価機関(3PAO)は、テストの実施に関する要件に従わなければならない。クラウド・サービス・プロバイダは、3PAOのテストの範囲とその役割を理解するために、このガイダンスを利用することができる。本ガイダンスは、レッドチームテスト要件を含むように更新された。より詳しい情報は、FedRAMP のベースラインに採用された Rev.5 の追加文書がリリースされたことを強調する、当機関の最新のブログ投稿で見ることができる。FedRAMP は、侵入テストと報告のテンプレートを提供していない。
The existing FedRAMP Penetration Test Guidance vectors are based on threat and attack models listed in the updated guidance. These have remained standard. However, based on the current threat environment, FedRAMP understands additional attack vectors might be defined for consideration, e.g., vectors applicable to Data Loss Prevention subsystems. If a stakeholder feels it reasonable to include additional attack vectors for consideration, the additional threat and attack models should also be included, as applicable. At a minimum, FedRAMP requires that all mandatory attack vectors outlined in the FedRAMP Penetration Test Guidance are covered in every 3PAO Penetration Test and Report. 既存の FedRAMP ペネトレーションテストガイダンスのベクターは、更新されたガイダンスに記載されている脅威と攻撃モデルに基づいている。これらは標準のままである。しかしながら、現在の脅威環境に基づき、FedRAMP は、例えばデータ損失防止サブシステムに適用可能なベクターなど、検討のために追加の攻撃ベクターが定義される可能性があることを理解している。利害関係者が検討のために追加の攻撃ベクターを含めることが妥当であると考える場合、該当する場合には、追加の脅威および攻撃モデルも含めるべきである。最低限、FedRAMP は、FedRAMP ペネトレーションテストガイダンスに概説されているすべての必須攻撃ベク ターを、すべての 3PAO ペネトレーションテストおよび報告書でカバーすることを要求している。
Additionally, several other requirements were updated to provide clarity and ensure that requirements were identified as mandatory instead of optional. Outlined below are the most notable updates: さらに、他のいくつかの要件は、明確性を提供し、要件がオプションではなく必須として識別されるように更新された。以下に、最も注目すべき更新の概要を示す:
NIST SP 800-53 Revision 5 update - Security Control CA-8(2) Security Assessment and Authorization, Penetration Testing, Red Team Exercises for all FedRAMP High and Moderate criticality systems added as Appendix E: Red Team Exercises. ・NIST SP 800-53 改訂第 5 版の更新 - すべての FedRAMP 高・中重要度システムのセキュリティ管理 CA-8(2) セキュリティアセスメントと認可、侵入テスト、レッドチーム演習を附属書 E:レッドチーム演習として追加した。
・Language clarifications to ensure that the mandatory requirements are better understood. ・必須要件がよりよく理解されるよう、文言を明確化した。
・Detailed explanation of the Email Phish Campaign requirements to most effectively conduct the campaign. Updates were made for landing page requirements for CSP personnel who are victims of the campaign. ・最も効果的にキャンペーンを実施するための、電子メールフィッシングキャンペーンの要件の詳細な説明。キャンペーンの被害者である CSP 要員のためのランディングページの要件が更新された。
Addition of references to the MITRE ATT&CK(R) Matrix for Enterprise and the NIST Red Team Definition. ・エンタープライズ向け MITRE ATT&CK(R) マトリクスおよび NIST レッドチーム定義への参照を追加した。
Note that the CA-8(2) Red Team Testing Requirements outlined in the Penetration Test Guidance address the NIST/FedRAMP testing requirements, and are not the same as the ‘intensive, expert-led “red team”’ assessments referred to in the Office of Management and Budget draft memo, Modernizing the Federal Risk and Authorization Management Program (FedRAMP) (which was discussed previously on the FedRAMP blog). ペネトレーション・テスト・ガイダンスに概説されている CA-8(2) レッドチーム・テスト要件は、NIST/FedRAMP テスト要件に対応するものであり、行政管理予算局のドラフト・メモ「連邦リスク及び認可管理プログラム(FedRAMP)の近代化」(FedRAMP ブログで以前議論された)で言及されている「専門家主導の集中的な "レッドチーム"」アセスメントとは異なることに注意すること。
If you have comments, edits, or feedback on the draft updated Penetration Test Guidance, submit them via the Public Comments_Draft Penetration Test Guidance form by April 24, 2024. Please be sure to include the specific draft section to which your question or comment refers. To read comments that have already been submitted, you may view the Public Comments Draft Penetration Test Guidance read-only version. 更新されたペネトレーションテストガイダンスのドラフトについてコメント、編集、フィードバックがある場合は、2024年4月24日までにパブリックコメント_ドラフトペネトレーションテストガイダンスのフォームから提出すること。その際、質問やコメントの対象となる特定のドラフト・セクションを必ず含めること。すでに提出されたコメントを読むには、パブリックコメント・ドラフト・ペネトレーションテストガイダンスの読み取り専用版を閲覧することができる。

 

・[PDF] FedRAMP Penetration Test Guidance Version 4.0 Dfaft

20240326-33552

 

目次...

About This Document この文書について
Who Should Use This Document? 誰がこの文書を使うべきか?
How to Contact Us 連絡方法
1. Scope of Testing 1. テストの範囲
1.1 Table 2: Cloud Service Classification 1.1 表2:クラウドサービスの分類
2. Threats 2. 脅威
2.1 Threat Models 2.1 脅威モデル
2.2 Attack Models 2.2 攻撃モデル
3. Attack Vectors 3. 攻撃ベクトル
3.1 Mandatory Attack Vectors 3.1 必須の攻撃ベクトル
3.1.1 Attack Vector 1: External to Corporate 3.1.1 攻撃ベクトル1:外部から企業へ
Email Phish Campaign 電子メールによるフィッシングキャンペーン
Non-Credentialed-Based Phishing Attack 非認証ベースのフィッシング攻撃
3.1.2 Attack Vector 2: External to CSP Target System 3.1.2 攻撃ベクトル 2:外部からCSP ターゲット・システムへ
Internal Threats 内部脅威
Unintentional Threat (Negligence, Accidental) 非意図的な脅威(過失、事故)
Intentional Threats 意図的な脅威
Other Threats その他の脅威
Poor Separation Measures and Defense In Depth 分離対策および防御策の不備
3.1.3 Attack Vector 3: Tenant to CSP Management System 3.1.3 攻撃のベクトル 3: テナントから CSP管理システムへ
Privileged and Unprivileged Users 特権ユーザと非特権ユーザ
3.1.4 Attack Vector 4: Tenant-to-Tenant 3.1.4 攻撃のベクトル 4:テナント間
3.1.5 Attack Vector 5: Mobile Application to Target System 3.1.5 攻撃のベクトル 5:モバイル・アプリケーションからターゲット・システムへ
3.1.6 Attack Vector 6: Client-side Application and/or Agents to Target System 3.1.6 攻撃手段 6:クライアント側アプリケーションおよび/またはエージェントから対象システムへ
4. Scoping the Penetration Test 4. 侵入テストのスコープ
5. Rules of Engagement (ROE) 5. ルール・オブ・エンゲージメント(ROE)
6. Reporting 6. 報告
6.1 Scope of Target System 6.1 対象システムの範囲
6.2 Attack Vectors Assessed During the Penetration Test 6.2 侵入テストで評価される攻撃ベクトル
6.3 Timeline for Assessment Activity 6.3 評価活動のタイムライン
6.4 Actual Tests Performed and Results 6.4 実際に実施したテストとその結果
6.5 Findings and Evidence 6.5 発見事項と証拠
6.6 Access Paths 6.6 アクセス経路
7. Testing Schedule Requirements 7. テストスケジュールの要件
8. Third Party Assessment Organizations (3PAOs) Staffing Requirements 8. 第三者評価機関(3PAO)の人員要件
Appendix A: Definitions 附属書 A:定義
Appendix B: References 附属書 B:参考文献
Appendix C: Rules of Engagement / Test Plan Template 附属書 C:関与規定/テスト計画書テンプレート
Rules of Engagement / Test Plan 関与規定/テスト計画書
System Scope システム範囲
Assumptions and Limitations 想定と制限
Testing Schedule テストスケジュール
Testing Methodology テスト方法
Relevant Personnel 関係者
Incident Response Procedures インシデント対応手順
Evidence Handling Procedures 証拠取扱手順
Appendix D: Red Team Exercises 附属書 D: レッドチーム演習
Requirement 要件
Objective 目的
Deliverables 成果物

 

ちなみに現在のVersion 3.0

・[PDF] FedRAMP Penetration Test Guidance Version 3.0

20240326-34736

 

 

| | Comments (0)

2024.03.16

経済産業省 「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」

こんにちは、丸山満彦です。

経済産業省が、2023.11.22にサイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書を公表したわけですが、その際に同時に、「攻撃技術情報の取扱い・活用手引き(案)」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」についての意見募集がされたわけですが、それが確定しました...

今回確定したものは...

98ページの

・[PDF] 攻撃技術情報の取扱い・活用手引き

20240315-170512_20240316002801

目次...

第1章 はじめに
本手引きの目的
スコープとしている「情報共有活動」:時間軸の観点から
情報共有のメリットについて
情報共有を被害組織―専門組織間で分担することのメリット
用語集
本手引きの想定読者

第2章 専門組織間の情報共有について
脅威情報を扱う大原則
脅威情報と攻撃技術情報の整理について
どのような情報を共有するのか
何のために専門組織は攻撃技術情報を共有するのか
専門組織間の共有が有効でない場合と成功させる方法
どうやって共有するのか
いつ共有するのか
正確性を優先すべきか、スピードを優先すべきか
情報受信者側の対応コストを減らすためのポイント
攻撃技術情報共有時の被害組織との間の問題点は何か
攻撃技術情報の性質
攻撃被害を示す情報の取扱いについて

第 3 章 各攻撃技術情報の解説
通信先情報
 通信先情報について
 通信先情報の特性
 通信先情報の共有のポイント
 どのタイミングで共有するのか
 速報性と正確性の観点から
 被害組織が特定されてしまうケース

マルウェア情報
 専門組織同士のマルウェア情報の共有
 どの情報を共有するのか:マルウェア解析情報
 各解析で得られる情報と共有タイミングについて
 どの種類のマルウェア情報を共有すべきなのか
 被害組織が特定されてしまうケース

脆弱性情報
 脆弱性情報の性質
 脆弱性悪用に関する情報はどうハンドリングされるべきか
 被害組織が特定されてしまうケース

その他 TTPs
 被害組織が特定されてしまうケース

第4章 ユースケース
ケース1:バッドケース ファーストレスポンダーの情報不足により被害組織の対応コストが増えてしまったケース
ケース2―A:バッドケース ファーストレスポンダーの知見が不足していたため、被害組織側の追加負担が発生したもの
ケース2―B:通常の対応ケース 被害組織が情報共有コストを負担しているもの
ケース2―C:ベストケース 専門組織同士の情報共有により適切な初動対応を行えたもの
ケース3:APT 攻撃キャンペーン初期の段階で、複数の事案に対応している専門組織同士の情報共有により攻撃キャンペーン途中の攻撃活動を捕捉し攻撃技術情報の展開を行えたケース
ケース4:製品の脆弱性を悪用したと思われる攻撃キャンペーンを特定し、脆弱性が残留するホストの利用者への対応を行うケース

2ページの

・[PDF] 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文

20240315-171054_20240316002901

 

関連

・[PDF] 意見募集の結果

 

最終報告書...

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書

 

その時のプレス...

産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました

 

検討会の記録

サイバー攻撃による被害に関する情報共有の促進に向けた検討会

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.27 経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

 

| | Comments (0)

2024.03.01

米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。

こんにちは、丸山満彦です。

最近のセキュリティアラートは複数国で共同して発表するのが、通常となりましたかね...まぁ、名前はあがっているけど、サイトにいっても上がっていない場合もありますが...

Five Eyesはよく共同して発表していますね... 犯罪捜査から始まったものは、関係した国で共同して発表する感じですかね...

 

2月27日...

ロシアのサイバー犯罪者(GRU)が侵害したルーターを足がかりにサイバー攻撃をしているという話...

これは、米国、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国、英国の共同発表...(ファイブアイズでは、オーストラリア、カナダ、ニュージランドが入っていませんね...)

ICS3

・2024.02.27 [PDF] Russian Cyber Actors Use Compromised Routers to Facilitate Cyber Operations

20240301-50758

 

Russian Cyber Actors Use Compromised Routers to Facilitate Cyber Operations  ロシアのサイバー犯罪者たちは、サイバー作戦を促進するために侵害されたルーターを使用している。 
SUMMARY  概要 
Actions EdgeRouter network defenders and users should implement to protect against APT28 activity:  EdgeRouterネットワークの防御者とユーザーは、APT28の活動から保護するために実施すべきアクションを示す: 
• Perform a hardware factory reset.  • ハードウェアの工場出荷時リセットを実行する。
• Upgrade to the latest firmware version.  • 最新のファームウェアバージョンにアップグレードする。
• Change any default usernames and passwords.  • デフォルトのユーザー名とパスワードを変更する。
• Implement strategic firewall rules on WAN-side interfaces.  • WAN側インターフェースに戦略的ファイアウォールルールを導入する。
The Federal Bureau of Investigation (FBI), National Security Agency (NSA), US Cyber Command, and international partners are releasing this joint Cybersecurity Advisory (CSA) to warn of Russian state-sponsored cyber actors’ use of compromised Ubiquiti EdgeRouters (EdgeRouters) to facilitate malicious cyber operations worldwide. The FBI, NSA, US Cyber Command, and international partners – including authorities from Belgium, Brazil, France, Germany, Latvia, Lithuania, Norway, Poland, South Korea, and the United Kingdom -- assess the Russian General Staff Main Intelligence Directorate (GRU), 85th Main Special Service Center (GTsSS), also known as APT28, Fancy Bear, and Forest Blizzard (Strontium), have used compromised EdgeRouters globally to harvest credentials, collect NTLMv2 digests, proxy network traffic, and host spear-phishing landing pages and custom tools. 連邦捜査局(FBI)、国家安全保障局(NSA)、米国サイバー軍、および国際的なパートナーは、ロシア国家に支援されたサイバー行為者が、侵害されたUbiquiti社のEdgeRouter (EdgeRouter)を使用して、世界中で悪意のあるサイバー活動を促進していることを警告するため、この共同サイバーセキュリティ勧告(CSA)を発表する。FBI、NSA、米国サイバー軍、およびベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国、英国の当局を含む国際的パートナーは、APT28、Fancy Bear、Forest Blizzard(Strontium)としても知られるロシア参謀本部情報総局(GRU)第85特別サービスセンター(GTsSS)が、侵害されたEdgeRouterを世界的に使用して、認証情報の取得、NTLMv2ダイジェストの収集、ネットワークトラフィックのプロキシ、スピアフィッシングのランディングページやカスタムツールのホスティングを行っていると評価している。
The U.S. Department of Justice, including the FBI, and international partners recently disrupted a GRU botnet consisting of such routers. However, owners of relevant devices should take the remedial actions described below to ensure the long-term success of the disruption effort and to identify and remediate any similar compromises. FBIを含む米国司法省と国際的なパートナーは最近、このようなルーターで構成されるGRUボットネットを破壊した。しかし、関連デバイスの所有者は、破壊活動を長期的に成功させ、同様の侵害を特定して修復するために、以下に説明する是正措置を講じるべきである。

 

これは昨日、このブログに書いた話...

ロシア対外情報庁(SVR)による攻撃手法についてのFive Eyesの関連機関のアラート

U.K. National Cyber Security Centre

・2024.02.26 SVR cyber actors adapt tactics for initial cloud access

・[PDF]

20240229-102023

SVR cyber actors adapt tactics for initial cloud access  SVRサイバーアクターはクラウドへの初期アクセスに戦術を適応させる 
How SVR-attributed actors are adapting to the move of government and corporations to cloud infrastructure  政府や企業のクラウドインフラへの移行に、SVRのサイバー攻撃者はどのように適応しているのか。
Overview  概要 
This advisory details recent tactics, techniques and procedures (TTPs) of the group commonly known as APT29, also known as Midnight Blizzard, the Dukes or Cozy Bear.    本アドバイザリでは、Midnight Blizzard、Dukes、Cozy Bearとしても知られる通称APT29の最近の戦術、技術、手順(TTP)について詳述する。  
The UK National Cyber Security Centre (NCSC) and international partners assess that APT29 is a cyber espionage group, almost certainly part of the SVR, an element of the Russian intelligence services. The US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Cyber National Mission Force (CNMF), the Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the Canadian Centre for Cyber Security (CCCS) and the New Zealand National Cyber Security Centre (NCSC) agree with this attribution and the details provided in this advisory.  英国国家サイバーセキュリティセンター(NCSC)と国際的なパートナーは、APT29 はサイバースパイグループであり、ロシア情報機関の一部門である SVR の一部であることはほぼ間違いないと評価している。米国国家安全保障局(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国サイバー国家任務部隊(CNMF)、連邦捜査局(FBI)、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC)は、この帰属と本アドバイザリで提供する詳細に同意している。
This advisory provides an overview of TTPs deployed by the actor to gain initial access into the cloud environment and includes advice to detect and mitigate this activity.   このアドバイザリでは、クラウド環境に最初にアクセスするために行為者によって展開されたTTPの概要を提供し、この活動を検知し軽減するためのアドバイスを含む。 

 

 

そして29日にFive Eyesの関連機関によるIvanti社製品の脆弱性についての追加アラート

CISA

プレス...

・2024.02.29 CISA, U.S. and International Partners Warn of Ongoing Exploitation of Multiple Ivanti Vulnerabilities

CISA, U.S. and International Partners Warn of Ongoing Exploitation of Multiple Ivanti Vulnerabilities CISA、米国および国際的パートナーが複数のIvanti脆弱性の継続的な悪用を警告する
Advisory provides guidance for detecting exploitation activity, recommended actions and mitigations, and novel post-exploitation findings  勧告では、悪用行為の検知、推奨される措置と低減、および悪用後の新たな発見に関するガイダンスを提供する。
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Multi-State Information Sharing & Analysis Center (MS-ISAC), Australian Signals Directorate’s Australian Cyber Security Center (ASD’s ACSC), United Kingdom’s National Cyber Security Centre (NCSC), Canadian Centre for Cyber Security (Cyber Centre), a part of the Communications Security Establishment, and New Zealand’s National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT-NZ) released a Cybersecurity Advisory (CSA) today in response to the active exploitation of multiple vulnerabilities within Ivanti Connect Secure and Ivanti Policy Secure gateways. ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、複数州情報共有・分析センター(MS-ISAC)、オーストラリア信号総局オーストラリア・サイバーセキュリティ・センター(ASD's ACSC)、英国国家サイバーセキュリティセンター(NCSC)、カナダ・サイバーセキュリティセンター(Cyber Centre)、 およびニュージーランドの国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チーム(CERT-NZ)は本日、Ivanti Connect Secure および Ivanti Policy Secure ゲートウェイ内の複数の脆弱性が積極的に悪用されていることを受け、サイバーセキュリティ勧告(CSA)を発表した。
The authoring organizations and industry partners have observed persistent targeting of these vulnerabilities by a variety of cyber threat actors. These vulnerabilities (CVE-2023-46805CVE-2024-21887, and CVE-2024-21893) can be used in a chain of exploits to bypass authentication, craft malicious requests, and execute arbitrary commands with elevated privileges. In turn, exploitation of these vulnerabilities may allow lateral movement, data exfiltration, web shell deployment, credential theft including domain administrators, and persistent access on a target network. 認可組織と業界パートナーは、さまざまなサイバー脅威行為者によってこれらの脆弱性が執拗に狙われていることを確認している。これらの脆弱性(CVE-2023-46805、CVE-2024-21887、CVE-2024-21893)は、本人認証をバイパスし、悪意のあるリクエストを作成し、昇格した権限で任意のコマンドを実行するための悪用の連鎖で使用される可能性がある。これらの脆弱性を悪用することで、横方向への移動、データの流出、ウェブシェルの展開、ドメイン管理者を含むクレデンシャルの窃取、ターゲットネットワーク上での永続的なアクセスが可能になる可能性がある。
This joint advisory provides technical details on observed tactics used by these threat actors and indicators of compromise to help organizations detect malicious activity. All organizations using these devices should assume a sophisticated threat actor could achieve persistence and may lay dormant for a period of time before conducting malicious activity. Organizations are urged to exercise due caution in making appropriate risk decisions when considering a virtual private network (VPN), to include whether to continue operating these Ivanti devices. この共同アドバイザリでは、これらの脅威行為者が使用する観測された手口に関する技術的な詳細と、組織が悪意のある活動を検知するのに役立つ侵害の指標を提供する。これらのデバイスを使用しているすべての組織は、巧妙な脅威行為者が永続性を獲得し、悪意のある活動を行う前に一定期間休眠する可能性があることを想定すべきである。組織は、仮想プライベート・ネットワーク(VPN)を検討する際に、これらのIvantiデバイスの運用を継続するかどうかも含め、適切なリスク判断を下す際に十分な注意を払うよう強く求められる。
“Since initial disclosure of these vulnerabilities, CISA and our partners have urgently worked to provide actionable guidance and assist impacted victims. This includes an emergency directive to remove and rebuild vulnerable Ivanti devices to reduce risk to federal systems upon which Americans depend,” said CISA Executive Assistant Director Eric Goldstein. “Today’s joint advisory provides further details based upon industry partnerships, incident response findings and evaluations of the relevant products. Every organization using these products are strongly encouraged to adopt the actions outlined in this advisory. CISAエグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタインは次のように述べた。「これらの脆弱性が最初に公表されて以来、CISAと我々のパートナーは、実行可能なガイダンスを提供し、影響を受けた被害者を支援するために緊急に取り組んできた。これには、米国人が依存している連邦政府システムに対するリスクを軽減するために、脆弱性のあるIvantiデバイスを削除して再構築する緊急指令も含まれている。本日の共同勧告は、業界とのパートナーシップ、インシデント対応の結果、および関連製品の評価に基づき、さらなる詳細を提供するものである。これらの製品を使用しているすべての組織は、この勧告に概説されている行動を採用することが強く推奨される。」
“The FBI and our partners are releasing this Cybersecurity Advisory so that organizations are able to protect themselves from malicious actors exploiting their networks,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “Private and public sector entities should follow the guidance included in this advisory to ensure these critical vulnerabilities are mitigated. FBIサイバー部門のブライアン・ボルドラン次長は次のように述べた。「FBIと我々のパートナーは、組織がネットワークを悪用する悪意ある行為者から身を守ることができるように、このサイバーセキュリティ勧告を発表する。民間および公共部門の事業体は、この勧告に含まれるガイダンスに従って、これらの重要な脆弱性を確実に低減する必要がある。」
“The continued targeting of widely used security applications and appliances speaks to the determination of cyber threat actors, with government entities and private organizations alike caught in the crosshairs. Implementing effective controls in areas like asset and vulnerability management, multi-factor authentication, and incident response planning are essential to operational resilience amid today's fast-moving threat landscape,” said Randy Rose, VP, Security Operations & Intelligence, Center for Internet Security, Inc. センター・フォー・インターネット・セキュリティ社、セキュリティ・オペレーション・インテリジェンス担当副社長のランディ・ローズは、次のように述べた。「広く使用されているセキュリティ・アプリケーションやアプライアンスが標的とされ続けていることは、サイバー脅威行為者の決意を物語っており、事業体も民間組織も同様にその矢面に立たされている。資産管理、脆弱性管理、多要素認証、インシデント対応計画などの分野で効果的な管理策を導入することは、今日の目まぐるしく変化する脅威の状況の中で、運用のレジリエンスを高めるために不可欠である。」
“We strongly urge all organisations to patch and take other recommended actions to address this vulnerability. We know it is subject to exploitation by malicious actors who use it to bypass authentication mechanisms and access restricted data on affected devices,” said the acting Head of the Australian Cyber Security Centre, Phil Winzenberg. “If your organisation is using these products, it’s crucial that the guidance in this advisory is implemented immediately, in particular I urge critical infrastructure operators to be alert to new risks. オーストラリア・サイバーセキュリティセンターのフィル・ウィンゼンバーグ代表代行は次のように述べた。
「我々は、すべての組織がこの脆弱性に対処するためにパッチを適用し、その他の推奨される措置を講じることを強く求める。私たちは、この脆弱性を悪意のある行為者が悪用し、本人認証をバイパスして、影響を受けたデバイス上の制限されたデータにアクセスする可能性があることを知っている。あなたの組織がこれらの製品を使用している場合、この勧告のガイダンスを直ちに実行することが極めて重要であり、特に重要なインフラ運用者には、新たなリスクに注意するよう促す。」
“We encourage organisations who have not already to take immediate action to mitigate vulnerabilities impacting affected Ivanti devices by following the recommended steps. This is particularly important for those organisations working across critical infrastructure, as we are aware of the active exploitation of some of these vulnerabilities,” said UK NCSC Chief Technology Officer Ollie Whitehouse. “The NCSC and our international partners also urge software manufacturers to embed secure by design principles into their practices to promote a positive security culture and help improve our collective resilience.” 英国NCSCの最高技術責任者(CTO)オリー・ホワイトハウスは次のように述べた。
「我々は、影響を受けるIvantiデバイスに影響を与える脆弱性を軽減するために、推奨されるステップに従って直ちに行動を起こすことを、まだ実行していない組織に奨励する。これらの脆弱性の一部が活発に悪用されていることを認識しているため、これは重要なインフラに携わる事業者にとって特に重要である。NCSCと我々の国際的なパートナーはまた、ソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を実務に組み込み、積極的なセキュリティ文化を促進し、我々の集団的なレジリエンスの改善を支援するよう強く求めている。」
“Today we join our partners across the Five Eyes to urge organizations in Canada and internationally to follow the advice included in today’s joint advisory as quickly as possible. These vulnerabilities can significantly impact organizations’ networks, emphasizing the need for organizations to implement resilient defence-in-depth mitigations and for manufacturers to prioritize secure by design engineering practices,” said Rajiv Gupta, Associate Head, Canadian Centre for Cyber Security. ラジブ・グプタ、カナダ・サイバーセキュリティセンター副所長は次のように述べた。「本日、我々はファイブ・アイズのパートナーとともに、カナダ国内外の組織に対し、本日の共同勧告に含まれるアドバイスにできるだけ早く従うよう促す。これらの脆弱性は、組織のネットワークに大きな影響を与える可能性があり、組織がレジリエンシー(深層防御)による軽減策を導入し、製造事業者がセキュア・バイ・デザイン・エンジニアリングを優先する必要性を強調している。」
“This advisory clearly shows that malicious actors are continuing to seek out, and actively exploit, vulnerabilities in commonly used technology and software”, said Rob Pope, Director CERT NZ, a part of New Zealand’s National Cyber Security Centre. “Businesses need to stay alert to these vulnerabilities and immediately follow all steps to mitigate or prevent attacks from happening. We strongly recommend that anyone working in the IT sector sign up for updates from their country’s cyber security agencies to stay ahead of the bad guys.” ロブ・ポープ、ニュージーランド国立サイバーセキュリティセンターの一部であるCERT NZ所長は次のように述べている。「この勧告は、悪意ある行為者が一般的に使用されている技術やソフトウェアの脆弱性を探し求め、積極的に悪用し続けていることを明確に示している。企業はこれらの脆弱性に常に注意を払い、攻撃を軽減または未然に防ぐためのあらゆる手段を直ちに講じる必要がある。私たちは、IT部門で働くすべての人が、悪者の先を行くために、自国のサイバーセキュリティ機関のアップデートにサインアップすることを強く推奨する。」
To assist organizations with understanding the impacts of this threat, the joint advisory provides key findings from a variety of tests conducted by CISA from an attacker’s perspective. この脅威の影響を理解する上で組織を支援するため、共同勧告では、CISAが攻撃者の視点から実施したさまざまなテストから得られた主要な知見を提供している。
With our partners, CISA recommends that software manufacturers incorporate secure-by-design and -default principles and tactics into their software development practices. By aligning to these principles, we will reduce the prevalence and impact of avoidable vulnerabilities and insecure configurations that jeopardize the safety of organizations around the world. CISAは、パートナーとともに、ソフトウェア製造事業者に対し、セキュア・バイ・デザインおよびデフォルトの原則と戦術をソフトウェア開発の実践に取り入れることを推奨している。これらの原則に合わせることで、世界中の組織の安全を脅かす回避可能な脆弱性や安全でない設定の普及と影響を減らすことができる。
All organizations are urged to review the advisory and implement recommended actions and mitigations. すべての組織は、この勧告を確認し、推奨される対策と低減を実施することが強く求められる。

 

アラート

・2024.02.29 Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways

20240301-55210

Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways 脅威行為者が Ivanti Connect Secure および Policy Secure Gateway の複数の脆弱性を悪用する
AA24-060B AA24-060B
ACTIONS TO TAKE TODAY TO MITIGATE CYBER THREATS AGAINST IVANTI APPLIANCES: Ivanti アプライアンスに対するサイバー脅威を軽減するために今すぐ実行すべきアクション
・Limit outbound internet connections from SSL VPN appliances to restrict access to required services. ・SSL VPN アプライアンスからの送信インターネット接続を制限し、必要なサービスへのアクセスを制限する。
・Keep all operating systems and firmware up to date. ・すべてのオペレーティング・システムとファームウェアを最新の状態に保つ。
・Limit SSL VPN connections to unprivileged accounts. ・SSL VPN 接続を非特権アカウントに制限する。
SUMMARY 概要
The Cybersecurity and Infrastructure Security Agency (CISA) and the following partners (hereafter referred to as the authoring organizations) are releasing this joint Cybersecurity Advisory to warn that cyber threat actors are exploiting previously identified vulnerabilities in Ivanti Connect Secure and Ivanti Policy Secure gateways. CISA and authoring organizations appreciate the cooperation of Volexity, Ivanti, Mandiant and other industry partners in the development of this advisory and ongoing incident response activities. Authoring organizations: サイバーセキュリティ・インフラセキュリティ庁(CISA)および以下のパートナー(以下、識別組織)は、サイバー脅威行為者がIvanti Connect SecureおよびIvanti Policy Secureゲートウェイの以前に識別された脆弱性を悪用していることを警告するために、この共同サイバーセキュリティアドバイザリを公開する。CISAと認可機関は、この勧告の策定と現在進行中のインシデント対応活動におけるVolexity、Ivanti、Mandiantおよびその他の業界パートナーの協力に感謝する。認可団体
Federal Bureau of Investigation (FBI) 連邦捜査局(FBI)
Multi-State Information Sharing & Analysis Center (MS-ISAC) 複数州情報共有・分析センター(MS-ISAC)
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) オーストラリア信号総局オーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
United Kingdom National Cyber Security Centre (NCSC-UK) 英国国家サイバーセキュリティセンター(NCSC-UK)
Canadian Centre for Cyber Security (Cyber Centre), a part of the Communications Security Establishment カナダ・サイバーセキュリティセンター(Cyber Centre)(コミュニケーション・セキュリティ・エスタブリッシュメントの一部
New Zealand National Cyber Security Centre (NCSC-NZ) ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
CERT-New Zealand (CERT NZ) CERTニュージーランド(CERT NZ)
Of particular concern, the authoring organizations and industry partners have determined that cyber threat actors are able to deceive Ivanti’s internal and external Integrity Checker Tool (ICT), resulting in a failure to detect compromise. 特に懸念されるのは、認可組織と業界パートナーは、サイバー脅威行為者がIvantiの内部および外部のインテグリティ・チェッカー・ツール(ICT)を欺くことができ、結果として侵害を検知できないと判断したことである。
Cyber threat actors are actively exploiting multiple previously identified vulnerabilities—CVE-2023-46805CVE-2024-21887, and CVE-2024-21893—affecting Ivanti Connect Secure and Ivanti Policy Secure gateways. The vulnerabilities impact all supported versions (9.x and 22.x) and can be used in a chain of exploits to enable malicious cyber threat actors to bypass authentication, craft malicious requests, and execute arbitrary commands with elevated privileges. サイバー脅威行為者は、Ivanti Connect SecureおよびIvanti Policy Secureゲートウェイに影響を及ぼす、以前に識別された複数の脆弱性(CVE-2023-46805、CVE-2024-21887、CVE-2024-21893)を積極的に悪用している。脆弱性は、サポートされるすべてのバージョン(9.xおよび22.x)に影響し、悪意のあるサイバー脅威行為者が認証を回避し、悪意のあるリクエストを作成し、昇格した特権で任意のコマンドを実行することを可能にする悪用の連鎖で使用される可能性がある。
During multiple incident response engagements associated with this activity, CISA identified that Ivanti’s internal and previous external ICT failed to detect compromise. In addition, CISA has conducted independent research in a lab environment validating that the Ivanti ICT is not sufficient to detect compromise and that a cyber threat actor may be able to gain root-level persistence despite issuing factory resets. この活動に関連する複数のインシデント対応業務において、CISAは、Ivantiの内部及び以前の外部ICTが侵害を検知できなかったことを確認した。さらに、CISA はラボ環境で独自の調査を実施し、Ivanti の ICT は侵害を検知するのに十分ではなく、サイバー脅威行為者は工場出荷時のリセットを発行してもルートレベルの永続性を獲得できる可能性があることを検証した。
The authoring organizations encourage network defenders to (1) assume that user and service account credentials stored within the affected Ivanti VPN appliances are likely compromised, (2) hunt for malicious activity on their networks using the detection methods and indicators of compromise (IOCs) within this advisory, (3) run Ivanti’s most recent external ICT, and (4) apply available patching guidance provided by Ivanti as version updates become available. If a potential compromise is detected, organizations should collect and analyze logs and artifacts for malicious activity and apply the incident response recommendations within this advisory. 認可プロバイダは、ネットワーク防御者に対し、(1)影響を受けるIvanti VPNアプライアンス内に保存されているユーザおよびサービスアカウントの認証情報が侵害されている可能性が高いことを想定し、(2)本アドバイザリ内の検知方法および侵害の指標(IOC)を使用してネットワーク上の悪意のある活動を探索し、(3)Ivantiの最新の外部ICTを実行し、(4)バージョン更新が利用可能になった時点でIvantiが提供する利用可能なパッチ適用ガイダンスを適用することを推奨する。潜在的な侵害が検知された場合、組織は、悪意のある活動に関するログとアーティファクトを収集、分析し、本アドバイザリ内のインシデント対応に関する推奨事項を適用すること。
Based upon the authoring organizations’ observations during incident response activities and available industry reporting, as supplemented by CISA’s research findings, the authoring organizations recommend that the safest course of action for network defenders is to assume a sophisticated threat actor may deploy rootkit level persistence on a device that has been reset and lay dormant for an arbitrary amount of time. For example, as outlined in PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure), sophisticated actors may remain silent on compromised networks for long periods. The authoring organizations strongly urge all organizations to consider the significant risk of adversary access to, and persistence on, Ivanti Connect Secure and Ivanti Policy Secure gateways when determining whether to continue operating these devices in an enterprise environment. 認可機関は、インシデント対応活動における認可機関の観察および入手可能な業界報告に基づき、また CISA の調査結果に補足されるように、ネットワーク防御者にとって最も安全な行動方針は、高度な脅威行為者が、リセッ トされたデバイス上にルートキットレベルの永続性を展開し、任意の時間休眠する可能性を想定することである。例えば、『PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure(中国国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する)』で概説したように、巧妙な行為者は侵害されたネットワーク上で長期間沈黙を保つ可能性がある。認可組織は、エンタープライズ環境でこれらのデバイスの運用を継続するかどうかを決定する際に、Ivanti Connect Secure および Ivanti Policy Secure ゲートウェイへの敵対者のアクセスおよび持続的なアクセスの重大なリスクを考慮するよう、すべての組織に強く要請する。
Note: On February 9, 2024, CISA issued Emergency Directive (ED) 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities, which requires emergency action from Federal Civilian Executive Branch (FCEB) agencies to perform specific actions on affected products. 注:2024年2月9日、CISAは緊急指令(ED)24-01を発行した: Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性を低減せよ。この指令は、連邦文民行政機関(FCEB)が影響を受ける製品に対して特定の措置を実行するよう緊急措置を要求するものである。
The Canadian Centre for Cyber Security also issued an alert, Ivanti Connect Secure and Ivanti Policy Secure gateways zero-day vulnerabilities, which provides periodic updates for IT professionals and managers affected by the Ivanti vulnerabilities. また、カナダ・サイバーセキュリティセンターは、Ivantiの脆弱性の影響を受けるIT専門家や管理者向けに定期的な最新情報を提供するアラート「Ivanti Connect SecureおよびIvanti Policy Secureゲートウェイのゼロデイ脆弱性」を発表している。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ロシア関係

・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

 

Ivanti社製品の脆弱性関係

・2021.04.30 NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

 

| | Comments (0)

2024.02.15

CSA 調査結果 セキュリティ改善の現状 2024

こんにちは、丸山満彦です。

クラウド・セキュリティ・アライアンス (Cloud Security Alliance; CSA) がセキュリティ改善の現状 2024という調査結果をを公表しています。。。

自社の対策のベンチマークの一つとして目を通すのはよいかもですね。。。ただし、2,037件あるサンプルはほとんど北米組織。

20240215-122047

 

Key Takeaways: 主な要点
・Only 23% of organizations report full visibility in their cloud environments. ・クラウド環境の完全な可視化を報告している組織は23%に過ぎない。
・63% of organizations consider duplicate alerts a moderate to significant challenge.  ・63%の組織が重複アラートを中程度から重大な課題と考えている。
・61% of organizations use between 3-6 different detection tools.  ・61%の組織が3~6種類の検知ツールを使用している。
・About 75% of organizations have security teams spending over 20% of their time performing manual tasks when addressing security alerts. ・約75%の組織で、セキュリティチームがセキュリティアラートに対処する際に、時間の20%以上を手作業に費やしている。
・18% of organizations take more than four days to address critical vulnerabilities. ・18% の組織が、重要な脆弱性への対応に 4 日以上かかっている。
・Over half of the vulnerabilities addressed by organizations tend to recur within a month of remediation. ・組織が対処した脆弱性の半数以上が、修復後 1 カ月以内に再発する傾向がある。
・18% of organizations report no collaboration or counterproductive relationships between security and development teams. ・18% の組織が、セキュリティチームと開発チームとの間で協力関係がない、または逆効果であると報告している。

 

Cloud Security Alliance; CSA

・2024.02.13 The State of Security Remediation 2024

 

20240215-122243

 

 

プレス...

・2024.02.14 Cloud Security Alliance Survey Finds 77% of Respondents Feel Unprepared to Deal with Security Threats

 

Cloud Security Alliance Survey Finds 77% of Respondents Feel Unprepared to Deal with Security Threats クラウド・セキュリティ・アライアンス調査、回答者の77%がセキュリティ脅威への対応に不安を感じていることが判明
Results highlight the importance of unified visibility across code-to-cloud environments to counter risks effectively リスクに効果的に対処するためには、コード・トゥ・クラウド環境全体を一元的に可視化することが重要であることが浮き彫りになった。
SEATTLE – Feb. 14, 2024 – A new survey and report on The State of Security Remediation from the Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, found that more than 77% of respondents feel unprepared to deal with security threats. Commissioned by Dazz, the leader in security remediation, CSA surveyed more than 2,000 IT and security professionals on the challenges they are facing in their remediation operations practices, as well as critical areas of improvement. シアトル発 - 2024年2月14日 - 安全なクラウドコンピューティング環境を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)が発表した「セキュリティ対応の現状」に関する新たな調査と報告書によると、回答者の77%以上がセキュリティの脅威に対応する準備ができていないと感じていることが分かった。CSAは、セキュリティ修復のリーダーであるDazzの委託を受け、2,000人以上のITおよびセキュリティの専門家を対象に、修復業務の実践において直面している課題と、改善すべき重要な分野について調査を行った。
“The survey found that the number of security tools an organization has isn’t nearly as important as the tools’ efficiency and their ability to reduce vulnerabilities. Companies need a more nuanced approach that focuses on tools’ integration and intelligent orchestration,” said Hillary Baron, lead author and Senior Technical Director for Research, Cloud Security Alliance. “As cybersecurity threats evolve, organizations must adapt by seeking better visibility into their code-to-cloud environment, identifying ways to accelerate remediation, strengthening organizational collaboration, and streamlining processes to counter risks effectively.” 「調査の結果、組織が保有するセキュリティ・ツールの数は、ツールの効率性や脆弱性を削減する能力ほど重要ではないことがわかった。企業は、ツールの統合とインテリジェントなオーケストレーションに焦点を当てた、より微妙なアプローチを必要としている。「サイバーセキュリティの脅威が進化するにつれ、企業はコード・トゥ・クラウド環境の可視性を高め、修復を加速する方法を特定し、組織的な連携を強化し、効果的にリスクに対抗するためのプロセスを合理化することで適応しなければならない。
Among the survey’s other key findings: この調査の他の主要な調査結果の中には、次のようなものがある:
A significant concern exists regarding the prevalence of vulnerabilities in code and their tendency to recur. This finding highlighted a pattern of quick-fix approaches rather than sustainable, long-term solutions. A substantial 38% of respondents estimated that between 21% and 40% of their code contains vulnerabilities; 19% noted that 41-60% of their code contains vulnerabilities, and 13% identified vulnerabilities in 61-80% of their code. Compounding this issue was the finding that over half of the vulnerabilities addressed by organizations tend to recur within a month of remediation. コードに脆弱性が蔓延し、それが再発する傾向には大きな懸念がある。この調査結果では、持続可能で長期的な解決策ではなく、応急処置的なアプローチのパターンが浮き彫りになった。回答者の実に38%が、自分たちのコードの21%から40%に脆弱性が含まれていると推定しており、19%がコードの41%から60%に脆弱性が含まれていると指摘し、13%がコードの61%から80%に脆弱性があると特定した。この問題をさらに深刻にしているのが、組織が対処した脆弱性の半数以上が、修復後1カ月以内に再発する傾向があるという結果だ。
Many organizations are struggling to achieve visibility in their cloud environments. Only 23% of organizations reported full visibility with 77% experiencing less-than-optimal transparency, strongly suggesting that the complexity of these environments—particularly with the integration of containers and serverless architectures—poses significant challenges. 多くの組織が、クラウド環境の可視化に苦戦している。完全な可視性を報告した組織はわずか23%で、77%は可視性が最適でないと回答している。これは、これらの環境の複雑さ、特にコンテナやサーバーレスアーキテクチャの統合が大きな課題となっていることを強く示唆している。
False positives and duplicate alerts pose significant challenges. Sixty-three percent of organizations consider duplicate alerts a moderate to significant challenge, while 60% view false positives similarly, highlighting the inefficiencies and drawbacks of too much data coming at security teams. The high rate of organizations struggling with this could be attributed to overlapping functionalities among tools, or a lack of refined integration and fine-tuning, leading to alert fatigue, prioritization challenges and, ultimately, slower incident response times. 誤検知や重複アラートが大きな課題となっている。組織の63%が重複アラートを中程度から重大な課題と考えており、60%が偽陽性を同様に捉えている。これは、セキュリティ・チームに寄せられるデータが多すぎることによる非効率性と欠点を浮き彫りにしている。このような問題に苦慮している組織の割合が高いのは、ツール間で機能が重複していたり、統合や微調整が不十分であったりするため、アラートに対する疲労感や優先順位付けの難しさ、ひいてはインシデント対応時間の遅延につながっている可能性がある。
The proliferation of security tooling is creating complexities. The escalating trend of alert overload is a significant challenge facing organizations. With 61% of organizations using between three and six different detection tools and 45% planning to increase their security tooling budget in the coming year (indicating that more are likely to be introduced), the landscape is becoming increasingly complex. This proliferation of tools, while enhancing security coverage, also leads to a surge in alerts, including a high volume of false positives. セキュリティ対策ツールの急増が複雑さを生み出している。アラート過多の傾向が深刻化していることは、組織が直面する重大な課題である。61%の組織が3~6種類の検知ツールを使用しており、45%が来年度にセキュリティ対策ツールの予算増額を計画している(さらに多くのツールが導入される可能性が高いことを示している)ことから、状況はますます複雑になっている。このようなツールの急増は、セキュリティの網羅性を高める一方で、大量の誤検知を含むアラートの急増にもつながっている。
Significant room for improvement exists in the remediation process. Seventy-five percent of organizations reported their security teams spend over 20% of their time performing manual tasks when addressing security alerts, despite 83% reporting they use at least some automation in their remediation process. 改善プロセスには大きな改善の余地がある。組織の 75 パーセントが、セキュリティチームがセキュリティアラートに対処する際、時間の 20 パーセント以上を手作業に費やしていると回答している。また、83%の組織が、改善プロセスにおいて少なくとも何らかの自動化を実施していると回答している。
Slow response times to vulnerabilities indicate potential gaps in prioritization and response strategies. Eighteen percent of organizations reported taking more than 4 days to address critical vulnerabilities, with 3% exceeding two weeks. This slow response may result in prolonged risk periods, increasing the likelihood that companies will become the victim of a breach. 脆弱性への対応に時間がかかるということは、優先順位付けと対応戦略にギャップがある可能性を示している。18%の組織が、重要な脆弱性への対応に4日以上、3%が2週間以上かかると回答している。このような対応の遅さは、リスク期間の長期化を招き、企業が侵害の被害者となる可能性を高める可能性がある。
The survey was conducted online by CSA in December 2023 and received 2,037 responses from IT and security professionals from organizations of various sizes and locations. CSA research analysts performed the data analysis and interpretation for this report. Sponsors are CSA Corporate Members who support the research project’s findings but have no added influence on the content development or editing rights of CSA research. 本調査は、CSA が 2023 年 12 月にオンラインで実施したもので、さまざまな規模や場所に所在する組織の IT およびセキュ リティの専門家から 2,037 件の回答を得た。CSA の調査アナリストが本レポートのデータ分析と解釈を行った。スポンサーとは、調査プロジェクトの調査結果を支援する CSA 法人会員であるが、CSA 調査のコンテンツ開発や編集権に追加的な影響力を持つことはない。

 

 

 

| | Comments (0)

2024.01.20

米国 上院国土安全保障・政府問題委員会 サイバー安全審査会の構造と能力を調査するための公聴会

こんにちは、丸山満彦です。

国土安全保障サイバー安全審査会 (Cyber Safety Review Board; CSRB) は、国家運輸安全委員会 (National Transportation Safety Board; NTSB) [wiki] をモデルとして2021年のEO14028に基づいて設置された審査会ですね。。。第1回報告書は、Log4jに関する報告で、第2回報告書は2023年8月発表された「Lapsus$」に関する報告...をしています。。。第3回は、クラウドセキュリティ...

さて、この審査会の活動について米国上院国土安全保障・政府問題委員会で公聴会が開催され、委員会の様子や証言した資料が公表されていますね。。。

さて、証言の資料を読んでいて気づくことは、

成功の鍵の重要なことは

・運営の透明性

ということですかね。。。

委員選定(独立性なども含めて)

重要インシデントの選定(基準に従って行う)

・扱う情報は非機密情報(機密情報であれば、機密解除をする)

メンバーについては、常設のスタッフが必要という意見ですね。。。それに非常勤のメンバーを合わせるという感じですね。。。

 

日本でもサイバー事故調査委員会の議論があったと思いますが(今はどうなったか、しりませんが、、、)、もし、サイバー事故調査委員会を設置するのであれば、この公聴会の意見は非常に参考になると思います。

 

U.S. Senate Committee on Homeland Security & Governmental Affairs

・2023.01.18 VIDEO: PETERS CONVENES HEARING TO EXAMINE THE CYBER SAFETY REVIEW BOARD’S STRUCTURE AND CAPABILITIES

 

内容については、こちらで確認できます。。。

 

・2023.01.18 THE CYBER SAFETY REVIEW BOARD: EXPECTATIONS, OUTCOMES, AND ENDURING QUESTIONS

 



 

証言者

 

TARAH M. WHEELER

 Chief Executive Officer

 Red Queen Dynamics

 DOWNLOAD TESTIMONY

20240120-11323

 

JOHN MILLER

 Senior Vice President of Policy, Trust, Data, and Technology and General Counsel

 Information Technology Industry Council

 DOWNLOAD TESTIMONY

20240120-11421

 

・TREY HERR, PH.D.

 Director Cyber Statecraft Initiative

 Atlantic Council

 DOWNLOAD TESTIMONY

20240120-11518

 

3つの文書の仮訳

・[DOCX] 仮訳

 

 

 


 

● ITI

・2024.01.17 ITI Testifies Before the U.S. Senate on Public-Private Cybersecurity Partnerships

ITI Testifies Before the U.S. Senate on Public-Private Cybersecurity Partnerships ITI、官民サイバーセキュリティ・パートナーシップについて米上院で証言
WASHINGTON – In testimony before the U.S. Senate Committee on Homeland Security and Government Affairs today, global tech trade association ITI’s Senior Vice President of Policy and General Counsel John Miller highlighted the importance of public-private partnerships and collaboration in the United States to meet shared cybersecurity challenges. Miller’s testimony focused on the Cyber Safety Review Board (CSRB) and its unique and valuable role in improving the overall U.S. cybersecurity ecosystem. ワシントン - 世界的なハイテク業界団体であるITIのジョン・ミラー上級副社長(政策・法務担当)は本日、米上院国土安全保障・政府委員会での証言で、サイバーセキュリティの課題を共有するための米国における官民パートナーシップと協力の重要性を強調した。ミラーの証言は、サイバー安全審査会(CSRB)と、米国のサイバーセキュリティ・エコシステム全体の改善におけるそのユニークで貴重な役割に焦点を当てた。
Miller shared recommendations with Senators to help realize the vision and the promise of the CSRB, including getting its structure and governance right, the processes for selecting board membership and which incidents it investigates, and ensuring appropriate confidentiality and use of information provided during the Board’s investigations. ミラーは、CSRBのビジョンと将来性を実現するための提言として、CSRBの構造とガバナンスを正しくすること、理事会メンバーの選出プロセスやどのインシデントを調査するのか、理事会の調査中に提供される情報の適切な機密保持と利用を確保することなどを、上院議員と共有した。
“The Cyber Safety Review Board can play a valuable and complementary role in the existing public-private cybersecurity ecosystem if it is structured and scoped to investigate specific, significant cybersecurity incidents to create an authoritative record of what actually happened, and to provide useful analyses of the incidents - including actionable recommendations geared toward helping all stakeholders avoid the recurrence of similar incidents in the future,” Miller testified. 「サイバーセキュリティ安全審査会は、特定の重大なサイバーセキュリティインシデントを調査し、実際に何が起きたのかについて権威ある記録を作成し、インシデントについて有益な分析(すべての利害関係者が将来同様のインシデントの再発を回避するための実用的な勧告を含む)を提供するような構造と規模であれば、既存の官民のサイバーセキュリティエコシステムにおいて、価値ある補完的な役割を果たすことができる」とミラーは証言した。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

サイバー安全審査会...

・2023.08.12 米国 国土安全保障省サイバー安全審査会 第3回の調査はクラウドセキュリティの予定

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

| | Comments (0)

2024.01.09

欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)

こんにちは、丸山満彦です。

昨年の仕事がまだ終わっていないです。。。

EUのサイバーセキュリティ戦略によるものなのですが、欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置が規定されました。。。CERT-EU等の位置付けもより明確になりますね。。。

すなわち、EUの機関、団体、事務所、機関から指名されたメンバーからなる機関間サイバーセキュリティ委員会(Interinstitutional Cybersecurity Board; IICB)設置され、EUの機関、団体、事務所、機関のためのサイバーセキュリティ・サービスとなりますね。。。そして、ENISAとの協力もより明確になりますね。。

 

規則はこちら...

 

EUR-Lex

・2023.12.13 Regulation (EU, Euratom) 2023/2841 of the European Parliament and of the Council of 13 December 2023 laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union

・[HTML]

・[PDF]

20240109-55421

 

CERT-EUのブログ...

● CERT-EU - Blog

・2023.01.08 Harder Better Faster Stronger 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.24 欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案

・2021.10.25 欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認

・2021.06.26 欧州委員会 合同サイバーユニットを提案

 

その他...

・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク

・2023.02.17 欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表

・2022.04.01 欧州検査院 特別報告書:EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない

・2022.02.24 ENISA CSIRT成熟度フレームワークの改訂

・2022.02.15 ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目

 

 

Continue reading "欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)"

| | Comments (0)

2024.01.08

米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

こんにちは、丸山満彦です。

米国の国家安全保障局 (NSA) がSBOM管理のための推奨事項を更新していますね。。。

 

Nationatl Security Agency; NSA  / Central Security Service

・2024.01.04 CSI: Recommendations for Software Bill of Materials (SBOM) Management (Jan 2024 Update)

20240108-62722

・[DOCX] 仮訳

 

 

SBOMというよりも、Cybersecurity Supply Chain Risk Management (C-SCRM) の重要性を説いている感じですね。。。

エグゼクティブサマリー...

Executive summary  要旨 
The dramatic increase in cyber compromises over the past five years, specifically of software supply chains, prompted intense scrutiny of measures to strengthen the resilience of supply chains for software used throughout government and critical infrastructure. Several policies and working groups at multiple levels within the U.S. Government focus on this need to ensure the authenticity, integrity, and trustworthiness of software products. The office of the National Manager for National Security Systems (NSS), working in collaboration with other NSA organizations, researched and tested tools that manage Software Bills of Materials (SBOMs) as part of a Cybersecurity Supply Chain Risk Management (C-SCRM) strategy. This guidance includes important recommendations for SBOM management tool functionality derived from the research and evaluation of various SBOM management tools.    過去 5 年間、特にソフトウェアのサプライチェーンにおけるサイバー侵害が劇的に増加したことから、 政府や重要インフラで使用されるソフトウェアのサプライチェーンのレジリエンスを強化するための対策について、 激しい精査が行われるようになった。米国政府内の複数のレベルで、ソフトウェア製品の本人認証、完全性、信頼性を確保する必要性に焦点を当てた政策や作業部会がいくつか存在する。国家安全保障システム(NSS)担当国家マネジャーのオフィスは、NSA の他の組織と協力して、サイバーセキュリティ・サプライチェーン・リスクマネジメント(C-SCRM)戦略の一環として、ソフトウェア部品表(SBOM)を管理するツールを研究し、テストした。本ガイダンスには、様々な SBOM 管理ツールの研究と評価から得られた SBOM 管理ツールの機能に関する重要な推奨事項が含まれている。   
Fundamental to C-SCRM is leveraging a ‘list of [software] ingredients’ to understand and mitigate the cyber risks that software can pose to a user organization. SBOMs and SBOM management tools bridge this gap to support an improved cybersecurity posture. Specifically, users should leverage SBOMs, as part of a cybersecurity tool suite, to make:   C-SCRMの基本は、「(ソフトウェアの)成分リスト」を活用して、ソフトウェアがユーザー組織にもたらす可能性のあるサイバーリスクを理解し、軽減することである。SBOM と SBOM 管理ツールは、このギャップを埋め、サイバーセキュリティ態勢の改善を支援する。具体的には、ユーザはサイバーセキュリティ・ツール群の一部として SBOM を活用して、次のことを行うべきである:  
• Risk Management decisions about acquiring and deploying software,  • ソフトウェアの取得と展開に関するリスクマネジメントの決定、 
• Vulnerability Management decisions about software deployment and ongoing operations, and   • ソフトウエアの展開と継続的な運用に関する脆弱性管理の決定、および  
• Incident Management decisions to detect and respond to new software vulnerabilities during vital operations.   • 重要な業務中に新たなソフトウェアの脆弱性を検知し対応するためのインシデント管理の決定。  
This guidance can enable NSS software application owners and users to determine an appropriate management toolset that leverages SBOMs to achieve these tasks.  このガイダンスは、NSSソフトウェアアプリケーションの所有者とユーザーが、これらのタスクを達成するためにSBOMを活用する適切な管理ツールセットを決定することを可能にする。 

 

1_20240108063201

 

目次...

Contents  目次 
Executive summary 要旨
Introduction 序文
Purpose and background 目的と背景
Recommendations 推奨事項
General recommendations for software suppliers ソフトウェア・サプライヤーへの一般的な推奨事項
General recommendations for software consumers ソフトウェア利用者に対する一般的な推奨事項
Specific guidance for NSS NSSのための具体的なガイダンス
Best practices ベストプラクティス
Recommended tool functionality 推奨ツールの機能
SBOM input SBOM入力
SBOM output SBOM出力
Generating SBOMs SBOMの生成
SBOM component handling SBOMコンポーネントの取り扱い
Validation of SBOM and SBOM component integrity SBOMおよびSBOMコンポーネントの完全性の検証
Vulnerability tracking and analysis 脆弱性の追跡と分析
Distinguishing identified vs. exploitable vulnerabilities 識別された脆弱性と悪用可能な脆弱性の区別
User interface ユーザーインターフェース
Output forms and methods 出力形式と方法
SBOM versioning and configuration management support SBOMのバージョニングと構成管理のサポート
Integration and workflow with other systems 他のシステムとの統合とワークフロー
Supporting access to data sources データソースへのアクセスをサポートする
Scalable architecture スケーラブルなアーキテクチャ
SBOM tool setup and configuration SBOMツールのセットアップと構成
Works cited 引用文献





 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

 

 

| | Comments (0)

2024.01.02

CVEをカウントしました。。。

こんにちは、丸山満彦です。

2023年もおわったので、、、脆弱性についての理解をしておこうと思い、CVEのデータをダウンロードして、少しデータを整理したので、最新性や正確性が欠ける部分があるかもしれませんが、参考になれば、、、

(米国のCVEのレガシーフォーマットは、2024年前半に段階的に廃止される予定。 CVE JSON 5.0 formatではこれからも入手可能です...)

 

1999年からCVEに登録されていたデータ数は、299,508行でしたが、1つのデータが2行にまたがっているのが2データあったので、実際のデータ数は299,506行となりました。。。

そして、そのうち、番号だけが予約的に割り当てられていたもの?(** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.)を除くと、249,704行になりました。

で、さらに、Rejectされたものを除くと、235,975が1999年から2023年末までにCVEに拒否されていないリストの数となりました。

それを年ごと(CVEのIDの年号)にあらわしたものが、これになります。。。

 

1_20240102062001

 

登録する習慣という問題もあるでしょうが、ソフトウェア等が増加するので、登録される脆弱性も増えていきますね。。。自動化して対応をしていかないといけませんね。。。


拒否されていないCVEの年ごとの数

拒否されていない脆弱性
1999 1,540
2000 1,237
2001 1,554
2002 2,400
2003 1,553
2004 2,716
2005 4,760
2006 7,107
2007 6,645
2008 7,153
2009 5,032
2010 5,180
2011 5,088
2012 6,288
2013 6,920
2014 9,496
2015 9,034
2016 10,082
2017 17,216
2018 20,299
2019 17,469
2020 18,814
2021 21,287
2022 23,661
2023 23,444
総計 235,975

 


ダウンロードをしたサイトは、

⚫︎ CVE - CVE List Downloads

種類: CSV
サイズ: 191,002,512 バイト
作成日: 2024年1月1日 月曜日 8:03
変更日 2024年1月1日 月曜日 8:05
   
入手先: https://www.cve.org/
  https://cve.mitre.org/data/downloads/allitems.csv
   
Lines 299,058
invalid date 2
Valid date 299,056

 




  A B C=A-B D E=C-D
全て 予約だけされた番号 実際にアサインされた脆弱性 拒否された脆弱性 拒否されていない脆弱性
1999 1,579   1,579 39 1,540
2000 1,243   1,243 6 1,237
2001 1,573   1,573 19 1,554
2002 2,436   2,436 36 2,400
2003 1,603   1,603 50 1,553
2004 2,779   2,779 63 2,716
2005 4,901   4,901 141 4,760
2006 7,256   7,256 149 7,107
2007 6,767   6,767 122 6,645
2008 7,325   7,325 172 7,153
2009 5,164   5,164 132 5,032
2010 5,350   5,350 170 5,180
2011 5,340   5,340 252 5,088
2012 6,739   6,739 451 6,288
2013 7,525   7,525 605 6,920
2014 10,562 492 10,070 574 9,496
2015 9,704 2 9,702 668 9,034
2016 11,365 5 11,360 1,278 10,082
2017 19,573 24 19,549 2,333 17,216
2018 21,928 15 21,913 1,614 20,299
2019 21,563 2,629 18,934 1,465 17,469
2020 31,339 10,918 20,421 1,607 18,814
2021 30,722 8,725 21,997 710 21,287
2022 33,475 9,013 24,462 801 23,661
2023 39,394 15,680 23,714 270 23,444
2024 1,851 1,849 2 2  
総計 299,056 49,352 249,704 13,729 235,975

 

| | Comments (0)

より以前の記事一覧