脆弱性

2023.11.12

米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

こんにちは、丸山満彦です。

一緒にしたセミナーのパネルディスカッションで、猪俣先生が、SBOMの必要性について、米国のお菓子の成分表を例に説明していて非常にわかりやすかったです。

そのパネルでも、必要性の理解はできたし、海外でも取り組み始めているのは理解したけど、実装はどうするんだ...という話になりました。。。

特に3つあるデータ形式は何を使うの?みたいな話もでましたね。。。

 

NSA(国家安全保障局)、CISA等が協力してが、SBOMについての文書を公表しています。。。

 

National Security Agency/Central Security Service

・2023.11.09 [PDF] CTR: Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption

20231112-62950

 [DOCX] 仮訳

 

 

エグゼクティブサマリー...

Executive Summary 要旨 
Cyberattacks are conducted via cyberspace and target an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment or infrastructure; or destroying the integrity of the data or stealing controlled information.   サイバー攻撃はサイバースペースを通じて行われ、コンピューティング環境やインフラを混乱させたり、使用不能にしたり、破壊したり、悪意を持ってコントロールしたり、データの完全性を破壊したり、コントロールされた情報を盗んだりする目的で、企業がサイバースペースを使用することを標的にする。
Cyberattacks such as those executed against SolarWinds and its customers and exploits that take advantage of vulnerabilities such as Log4j, highlight weaknesses within software supply chains, an issue which spans both commercial and open source software and impacts both private and Government enterprises. Accordingly, there is an increased need for software supply chain security awareness and cognizance regarding the potential for software supply chains to be weaponized by nation state adversaries using similar tactics, techniques, and procedures (TTPs).  SolarWindsとその顧客に対して実行されたサイバー攻撃や、Log4jなどの脆弱性を利用した悪用は、ソフトウェアサプライチェーン内の弱点を浮き彫りにしており、この問題は商用ソフトウェアとオープンソースソフトウェアの両方にまたがり、民間企業と政府企業の両方に影響を与えている。したがって、ソフトウェア・サプライ・チェーンのセキュリティに対する認識と、ソフトウェア・サプライ・チェーンが、同様の戦術、技術、手順(TTPs)を使用する国家の敵対者によって武器化される可能性に関する認識の必要性が高まっている。
In response, the White House released an Executive Order on Improving the Nation’s Cybersecurity (EO 14028)  that established new requirements to secure the federal government’s software supply chain. The Enduring Security Framework (ESF)  , led by a collaborative partnership across private industry, academia and government, established the Software Supply Chain Working Panel which released a three part Recommended Practices Guide series to serve as a compendium of suggested practices to help ensure a more secure software supply chain for developers, suppliers, and customer stakeholders.  これを受けてホワイトハウスは、連邦政府のソフトウェア・サプライ・チェーンを保護するための新たな要件を定めた「国家のサイバーセキュリティの改善に関する大統領令」(EO 14028)を発表した。民間企業、学術界、政府間の協力的なパートナーシップによって設立された「不朽のセキュリティフレームワーク(ESF)」は、ソフトウェアサプライチェーンワーキングパネルを設置し、開発者、サプライヤー、顧客の利害関係者にとって、より安全なソフトウェアサプライチェーンを確保するための提案プラクティスの大要として、3部構成の推奨プラクティスガイドシリーズを発表した。
Similarly, the ESF Software Supply Chain Working Panel established this second phase of guidance to provide further details for several of the Phase I Recommended Practices Guide activities. This guidance may be used as a basis of describing, assessing and measuring security practices relative to the software lifecycle. Additionally, suggested practices listed herein may be applied across the acquisition, deployment, and operational phases of a software supply chain.  同様に、ESF ソフトウエアサプライチェーンワーキングパネルは、第 1 段階の推奨実践ガイドの活動 のいくつかをさらに詳しく説明するために、この第 2 段階のガイダンスを策定した。このガイダンスは、ソフトウエアのライフサイクルに関連するセキュリ ティ対策の記述、評価、測定の基礎として使用することができる。さらに、ここに記載された推奨される実施方法は、ソフトウエアサプライチェーンの取得、配備、運用の各フェーズに適用することができる。
The software supplier is responsible for liaising between the customer and software developer. Accordingly, vendor responsibilities include ensuring the integrity and security of software via contractual agreements, software releases and updates, notifications, and mitigations of vulnerabilities. This guidance contains recommended best practices and standards to aid customers in these tasks.  ソフトウエア供給者は、顧客とソフトウエア開発者との間の連絡に責任を負う。したがって、ベンダーの責任には、契約合意、ソフトウ ェアのリリースと更新、通知、脆弱性の緩和を通じて、ソフトウエアの完全性とセキュリティを確保することが含まれる。本ガイダンスには、これらの作業において顧客を支援するために推奨されるベストプラクティスと基準が含まれている。
This document will provide guidance in line with industry best practices and principles which software developers and software suppliers are  encouraged to reference. These principles include managing open source software and software bills of materials to maintain and provide awareness about the security of software.  本文書は、業界のベストプラクティスと原則に沿ったガイダンスを提供するものであり、ソフ トウェア開発者とソフトウェア供給者はこれを参照することが推奨される。これらの原則には、オープンソースソフトウェアやソフトウェア部品表を管理し、 ソフトウェアのセキュリティに関する意識を維持・提供することが含まれる。
[1] Committee on National Security Systems (CNSS) [1] 国家安全保障システム委員会(CNSS)
[2] https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-onimproving-the-nations-cybersecurity/  
[3] ESF is a cross-sector working group that operates under the auspices of Critical Infrastructure Partnership Advisory Council (CIPAC) to address threats and risks to the security and stability of U.S. national security systems. It is comprised of experts from the U.S. government as well as representatives from the Information Technology, Communications, and the Defense Industrial Base sectors. The ESF is charged with bringing together representatives from private and public sectors to work on intelligence-driven, shared cybersecurity challenges. [3] ESFは、米国の国家安全保障システムの安全性と安定性に対する脅威とリスクに対処するため、重要インフラパートナーシップ諮問委員会(CIPAC)の後援の下で運営されるセクター横断的な作業部会である。ESFは、米国政府の専門家、情報技術、通信、防衛産業基盤の各セクターの代表者で構成されている。ESFは、民間部門と公的部門の代表者を集め、情報主導でサイバーセキュリティの課題を共有することに取り組んでいる。

 

参考...

開発者向け

・2023.08 [PDF] SECURING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR DEVELOPERS

20231114-42909

 

顧客向け

・2023.10 [PDF] SECURING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR COSTOMERS

20231114-42917

 

| | Comments (0)

2023.10.27

米国 サイバー軍 統合サイバー作戦が国防総省のネットワークを強化する

こんにちは、丸山満彦です。

米国サイバー軍が、8月に国防省のネットワークに共同ハント作戦を実施し、国防省のネットワーク強化を図ったと公表していますね。。。複数のネットワークで模擬敵対者とチームを戦わせる一連のネットワーク強化・防衛演習を実施したようですね。。。

 

アメリカ海軍の横須賀基地は、アメリカ太平洋艦隊の第7艦隊  (7th Fleet) の母港であることは有名ですね。旗艦はブルーリッジ、空母は現在はロナルド・レーガンですね。。。(過去、横須賀基地見学をしたことがあり、空母にも乗船させてもらい、内部の見学もさせてもらったことがあります。大きな船やった。。。)

米国は7つ?の海を6つにわけて守備していますが、第7艦隊はそのうちの西太平洋・インド洋を守備範囲にしていますね。(ちなみに第2艦隊は西大西洋、第3艦隊は東太平洋、第4艦隊は南米周辺、第5艦隊は中東、第6艦隊は東大西洋・地中海。第1艦隊は解散。)です。

で、さらには第10艦隊 (10th) [wikipedia] というのがあり、それが今回の記事にも関係するサイバー艦隊です。番号艦隊 (Number Fleet) が場所で任務わけされているので、サイバー空間の艦隊は第10艦隊ということなのでしょうかね。。。もちろん、原子力空母、原子力潜水艦、強襲揚陸艦、ミサイル巡洋艦、駆逐艦などはありませんね。。。

 

一方、空軍でサイバー空間を担当するのは、第16空軍 (16 Air Force) [wikipedia] です。こちらは電子戦も担当するのでRQ-4 Global Hawkや、U2 Dragon Ladyなども配備されていますね。。。

陸軍と海兵隊は、統合本部にそれぞれサイバー部隊がありますね。。。

 

これらを統合して作戦を実行するのが、サイバー統合軍 (U.S. Cyber command) [wikipedia] ということですね。。。

この統合軍というのは、作戦を実行するために、軍種(陸軍、空軍など)を超えて、地域別や職能別に組織されたもので、

地域については7つ、職能については4つにわかれていて、サイバーはそのうち職能に含まれています。。。ちなみに宇宙統合軍は地域ということです。。。

 

ということで、今回の記事の紹介です。。。

 

U.S. Cybercommand

・2023.10.19 Joint Cyber Operations Strengthen DoD Networks

1_20231027120301

Joint Cyber Operations Strengthen DoD Networks 統合サイバー作戦が国防総省のネットワークを強化する
By U.S. Fleet Cyber Command / U.S. 10th Fleet By 米艦隊サイバー軍/米第10艦隊
FORT GEORGE G. MEADE, Md.  –   フォートジョージ・G・ミード(マサチューセッツ州)-。 
Cyber Protection Teams from Fleet Cyber Command, 16th Air Force (Air Forces Cyber) and Army Threat Systems Management Office strengthened computer networks during a joint Hunt Operation on Department of Defense systems in Hawaii, Aug. 4-12, 2023. 艦隊サイバー司令部、第16空軍(空軍サイバー)、陸軍脅威システム管理室のサイバー防御チームは、2023年8月4日から12日までハワイで行われた国防省システムに対する合同ハント作戦で、コンピューター・ネットワークを強化した。
U.S. Strategic Command, as a part of its mission to carry out global strategic operations, ran a series of network-strengthening and defense exercises that pitted the teams against a simulated adversary across multiple networks. 米戦略軍は、世界的な戦略作戦を遂行する任務の一環として、複数のネットワークで模擬敵対者とチームを戦わせる一連のネットワーク強化・防衛演習を実施した。
Hunt Operations involve teams of service members evaluating DoD networks for vulnerabilities; the Navy and Air Force defensive teams were also responding to simulated attacks carried out by a DoD-certified Army Cyber Red Team, which is specifically trained and tasked with emulating adversary forces. ハント対応では、国防総省のネットワークに脆弱性がないか、軍人のチームが評価する。海軍と空軍の防御チームは、国防総省認定の陸軍サイバーレッドチーム(敵対勢力を模倣する特別な訓練を受け任務を遂行する)による模擬攻撃にも対応した。
“Hunt Operations are absolutely critical to ensuring our networks are robustly defended,” said U.S. Air Force Maj. Gen. John Nichols, U.S. Strategic Command’s director of global operations. “As a part of our ongoing self-assessment, operations like this help us stress-test our systems and ensure they are not just available, but resilient if attacked and ready to function in a contested environment.” 「ハント作戦は、われわれのネットワークが確実に強固に防衛されるために絶対に欠かせないものだ」と、米戦略軍グローバル作戦部長のジョン・ニコルズ米空軍大将は語った。「我々の継続的な自己評価の一環として、このような作戦は、我々のシステムをストレステストし、それらが単に利用可能であるだけでなく、攻撃された場合にレジリエンスであり、争いのある環境で機能する準備ができていることを確認するのに役立つ。
In line with the DoD’s 2023 cyber strategy, teams gained an operational advantage over a destructive cyberattack from malicious cyber actors against the DoD Information Network and more than 4 million DoD computers. 国防総省の2023年サイバー戦略に沿って、チームは、国防総省情報ネットワークと400万台以上の国防総省コンピュータに対する悪意あるサイバーアクターからの破壊的なサイバー攻撃に対して、作戦上の優位性を獲得した。
The responsibility to protect DoDIN falls to Joint Forces Headquarters-DoDIN, a component of the U.S. Cyber Command. JFHQ-DoDIN uses a unified force approach to network operations, security and defense across the DoDIN. DoDINを防御する責任は、米サイバー司令部の一部門である統合軍司令部(JFHQ-DoDIN)にある。JFHQ-DoDINは、DoDIN全体のネットワーク運用、セキュリティ、および防衛に統一部隊のアプローチを使用している。
JFHQ-DoDIN and the services support Defensive Cyberspace Operations by globally integrating, synchronizing and directing priority actions across 45 DoDIN areas of operation that include all combatant commands, services, DoD agencies and field activities. JFHQ-DoDINと各サービスは、すべての戦闘司令部、サービス、国防総省機関、現場活動を含む45のDoDIN作戦分野にわたる優先行動をグローバルに統合、同期、指示することで、積極的な防衛サイバー空間作戦を支援する。
Defensive Cyberspace Operations consist of proactive, threat-informed steps to reduce cyber risk and respond to attacks against the DoDIN, ensuring that network operations remain agile and resilient. These operations are carried out across DoD networks daily. サイバー空間防衛作戦は、サイバーリスクを低減し、DoDIN に対する攻撃に対応するための、脅威を考慮したプロアクティブな措置で構成され、ネットワーク運用が機敏かつレジリエンスを維持することを保証する。これらの業務は、国防総省のネットワーク全体で毎日実施されている。
Through these interactions with the service components and partners, JFHQ-DoDIN further enables the sharing of operational information and intelligence to enhance the resiliency and reliability of vital DoD networks and systems. JFHQ-DoDINは、サービス・コンポーネントやパートナーとのこうした交流を通じて、国防総省の重要なネットワークとシステムのレジリエンスと信頼性を高めるための運用情報とインテリジェンスの共有をさらに可能にしている。
This particular Hunt Operation was somewhat unusual with teams coming from multiple services to not only work together, but also to look at each other’s networks. These activities further validated the status of directed network security action and provided a key defensive cyberspace priority designed to protect the totality of the DoDIN. 今回のハント・オペレーションは、複数のサービスからチームが集まり、共同作業を行うだけでなく、互いのネットワークを調査するという、やや珍しいものだった。これらの活動は、指示されたネットワーク・セキュリティ活動の状況をさらに検証し、DoDINの全体を保護するために設計されたサイバー空間の重要な防御の優先順位を提供した。
“Working together with teams from multiple services only increases our capabilities,” said the Navy lieutenant serving as cyber protection team leader. “We each bring our own service culture and unique capabilities, and through events like this we learn from one 「複数のサービスからのチームと協力することは、我々の能力を高めるだけだ」と、サイバー防御チームリーダーを務める海軍中尉は語った。「私たちはそれぞれ独自のサービス文化とユニークな能力を持っている。

 

 

 

| | Comments (0)

2023.10.18

Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

こんにちは、丸山満彦です。

米国は、

  • CISA
  • 連邦捜査局(FBI)
  • 国家安全保障局(NSA)

それ以外の国は、

  • オーストラリア・サイバーセキュリティセンター(ACSC
  • カナダ・サイバーセキュリティセンター(CCCS
  • カナダ・サイバーセキュリティセンター(CCCS
  • 英国国家サイバーセキュリティセンター(NCSC-UK
  • ドイツ連邦情報セキュリティ局(BSI
  • オランダ国立サイバーセキュリティセンター(NCSC-NL
  • ノルウェー国家サイバーセキュリティセンター(NCSC-NO
  • コンピューター緊急対応チームニュージーランド(CERT NZ)・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ
  • 韓国インターネット振興院(KISA
  • イスラエル国家サイバー総局(INCD
  • サイバーセキュリティセンター(NISC)・JPCERTコーディネーションセンター(JPCERT/CC
  • OAS/CICTE 政府サイバーインシデント対応チーム(CSIRT)アメリカネットワーク
  • シンガポールサイバーセキュリティ庁(CSA
  • チェコ共和国国家サイバー情報セキュリティ庁(NÚKIB)

が2023.04.13に公表したセキュア・バイ・デザイン原則を改訂し文書を公表していますね。。。強制力のない、ガイドラインです。

前回は、日本がはいっていませんでしたが、今回はNISCとJPCERT/CCが入っていますね。。。

ちなみにデジタル庁は、

・2022.06.30 [PDF] 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン

を公表しています。こちらも強制力のないガイドラインです。。。

 

セキュリティをシートベルトに例えるのはセキュリティ・バイ・デザインの文脈で説明する際には、わかりやすいかもですね。。。

・シートベルトはオプションではない

・シートベルトは利用者が使いやすいように設計されている

 

● CISA

・2023.10.16 Secure-by-Design

・[PDF]

20231018-73402

仮対訳...

 

blog

・2023.10.17 The Next Chapter of Secure by Design

The Next Chapter of Secure by Design セキュア・バイ・デザインの次の章
Yesterday, CISA Director Jen Easterly announced the second iteration of CISA’s Secure by Design whitepaper, “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software” at the Singapore Cyber Week conference. Since releasing the first version of the whitepaper in April, we received a great deal of constructive and detailed feedback from a wide spectrum of stakeholders, including software manufacturers of all sizes, customers, non-profits, academics, U.S. and international government agencies, and individuals. Ten U.S. and international partners co-sealed the first version of the whitepaper. This version includes an incredible eight additional countries and international organizations. This scale of feedback and partnership underscores that the industry is keen to have this conversation, and that the time to shift the responsibility for security is now. We have been honored by how generous people have been with their time and expertise. 昨日、CISAのディレクターであるジェン・イースタリー(Jen Easterly)氏は、シンガポール・サイバー・ウィーク(Singapore Cyber Week)会議において、CISAのホワイトペーパー「セキュア・バイ・デザイン(Secure by Design)」の第2版「サイバーセキュリティ・リスクのバランスの転換:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ(Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software)」を発表した。4月にホワイトペーパーの初版を発表して以来、あらゆる規模のソフトウェアメーカー、顧客、非営利団体、学術関係者、米国および国際的な政府機関、個人など、幅広いステークホルダーから建設的で詳細なフィードバックを数多くいただいた。ホワイトペーパーの最初のバージョンは、米国内外のパートナー10社によって共同承認された。今回のバージョンには、さらに8カ国と国際機関が含まれている。このような大規模なフィードバックとパートナーシップは、業界がこのような対話を熱望していること、そしてセキュリティの責任を転換する時が今であることを強調している。私たちは、人々が時間と専門知識を惜しみなく提供してくれたことを光栄に思っている。
The feedback spanned all sections of the document, including commentary on which software development practices were most helpful in the design and development of secure software. One of the most common themes was centered on the three Secure by Design principles. That is gratifying because the principles were the heart of the document, despite that section not being very long. People were picking up what we were laying down. 安全なソフトウエアの設計と開発において、どのソフトウエア開発プラクティスが最も役に立つかについてのコメントも含め、フィードバックは文書のすべてのセクションに及んだ。最も一般的なテーマのひとつは、セキュア・バイ・デザインの3原則を中心としたものであった。そのセクションはそれほど長くないにもかかわらず、原則がこの文書の中心であったため、これは喜ばしいことである。人々は、私たちが敷設したものを受け止めてくれたのだ。
In addition to listening to the community’s feedback, we held a few initial secure by design summits. The first summit was an internal CISA summit geared towards educating the CISA workforce we called “Summit Zero” where we spent an entire day hosting both internal and external speakers to explain the many challenges facing the software industry as it seeks to build more secure products. Speakers covered topics ranging from OT security, to economic challenges, to the history of the “quality by design” movement in manufacturing. コミュニティからのフィードバックに耳を傾けることに加え、私たちはセキュア・バイ・デザイン・サミットを数回開催した。最初のサミットは、「サミット・ゼロ」と呼んでいるCISA従業員の教育を目的とした社内のCISAサミットで、丸一日かけて社内外のスピーカーを招き、より安全な製品の構築を目指すソフトウェア業界が直面する多くの課題について説明した。講演者は、OTセキュリティから経済的課題、製造業における「クオリティ・バイ・デザイン」運動の歴史に至るまで、さまざまなトピックを取り上げた。
We’ve since held two other summits. The first focused on the K-12 education technology (or “EdTech”) market. A number of EdTech companies, ranging from small to large, participated to share their experiences in serving their customers while trying to improve their secure development practices. This goal is a significant challenge for smaller software companies, and one the industry needs to address: How can we democratize the “well-lit paths” that some larger software companies have created to ensure the path of least resistance for their software developers is also the most secure one? その後、サミットは2回開催された。最初のサミットは、K-12教育テクノロジー(EdTech)市場に焦点を当てたものだった。小規模なものから大規模なものまで、多くのEdTech企業が参加し、セキュアな開発手法の改善を図りながら顧客にサービスを提供してきた経験を共有した。この目標は、中小ソフトウェア企業にとって重要な課題であり、業界が取り組むべき課題でもある: ソフトウェア開発者にとって最も抵抗の少ない道が、最も安全な道でもあることを確実にするために、一部の大手ソフトウェア会社が作り上げた「明るい道」をどのように民主化できるだろうか?
Following the summit, we launched a pledge with top K-12 software manufacturers focused on secure by design practices. The pledge lays out specific actions that EdTech companies are committing to take, including not charging extra for basic security features and publishing a secure by design roadmap. In the coming months, we’re planning on expanding this pledge out to other sectors. In the meantime, K-12 software manufacturers can reach out if interested in joining the pledge. サミットの後、私たちは、セキュア・バイ・デザインの実践に焦点を当てた、K-12のトップ・ソフトウェア・メーカーとの誓約書を発表した。この誓約には、基本的なセキュリティ機能に追加料金を課さないこと、セキュア・バイ・デザインのロードマップを公開することなど、EdTech企業が取るべき具体的な行動が記されている。今後数ヶ月のうちに、この誓約を他の分野にも拡大する予定である。それまでの間、幼稚園から高校までのソフトウェア・メーカーは、この誓約に参加することに興味があれば、連絡を取ることができる。
The second summit focused on university and community college computer science programs. At this event we heard about the challenges facing faculty who are trying to satisfy many goals as they prepare the nation’s software workforce for their careers. Topics ranged from teaching memory safe programming languages, to defensive programming practices, to the incentives that guide universities and their faculty’s programs. 2回目のサミットは、大学およびコミュニティ・カレッジのコンピューター・サイエンス・プログラムに焦点を当てたものであった。このイベントでは、国内のソフトウェア労働者のキャリアを準備する中で、多くの目標を満たそうとする教授陣が直面する課題について聞いた。トピックは、メモリ安全プログラミング言語の教育から、防御的プログラミングの実践、大学とその教員のプログラムを導くインセンティブまで多岐にわたった。
Since April, we’ve worked to incorporate feedback into a new version of the whitepaper. As noted above, we heard from numerous software industry stakeholders, large and small, governmental and private, suppliers and customers. We’ve briefed numerous nonprofit and industry organizations. We attended workshops to learn about company software development processes. We attended the DEF CON conference in Las Vegas in August and held a “red pen” session where we invited DEF CON participants to literally mark up the draft whitepaper with a red pen. Much red ink was spilled that day, my friends. 4月以来、我々はフィードバックをホワイトペーパーの新バージョンに反映させるべく努力してきた。前述したように、大小、政府、民間、サプライヤー、顧客など、数多くのソフトウェア業界の関係者から意見を聞いた。非営利団体や業界団体にも数多く説明した。企業のソフトウェア開発プロセスについて学ぶワークショップに参加した。8月にはラスベガスで開催されたDEF CONカンファレンスに参加し、DEF CONの参加者に文字通り赤ペンでホワイトペーパーの草稿に印を付けてもらう「赤ペン」セッションを行った。その日、多くの赤ペンがこぼれた。
Based on the prevailing feedback that people wanted more information about the three principles, we expanded that section substantially in two ways. First, we provided more context to help readers understand the intent behind each principle. Second, we introduced the concept of evidence in the form of artifacts. We wanted to know what artifacts a software manufacturer could present to demonstrate that they are investing in a secure by design program. The idea is that no one artifact would convince an outsider, but a collection of artifacts might start to tell a compelling story. 人々が3つの原則についてより多くの情報を求めているという一般的なフィードバックに基づき、我々は2つの方法でそのセクションを大幅に拡張した。第一に、各原則の背後にある意図を読者が理解できるよう、より多くの文脈を提供した。第二に、成果物という形の証拠の概念を導入した。私たちは、ソフトウェアメーカーがセキュア・バイ・デザイン・プログラムに投資していることを証明するために、どのような成果物を提示できるかを知りたかった。一つの成果物だけでは部外者を納得させることはできないが、成果物の集まりが説得力のあるストーリーを語り始めるかもしれない、という考え方である。
Software companies have asked how they can get more involved. The best way is to demonstrate the three principles. Look at the list of suggested artifacts in the new whitepaper and make public the ones you are currently doing. We need companies that are already engaging in these behaviors to teach others what “good” looks like. If you are a customer, start to ask potential vendors for some of the artifacts listed in the whitepaper. We need buyers to create a significant demand signal that will nudge incentives towards secure by design engineering. ソフトウェア会社からは、どうすればもっと関与できるかという質問があった。最善の方法は、3つの原則を示すことである。新しいホワイトペーパーで提案されている成果物のリストを見て、現在行っているものを公表してほしい。私たちは、「良い」とはどのようなものかを他の人々に教えるために、すでにこれらの行動に取り組んでいる企業を必要としている。もしあなたが顧客なら、ホワイトペーパーに掲載されている成果物のいくつかを、ベンダー候補に求め始めよう。バイヤーには、デザイン・エンジニアリングによるセキュア化へのインセンティブを後押しするような、大きな需要シグナルを生み出してもらう必要がある。
In the coming weeks, we’ll be releasing a Request for Information (RFI) on secure by design engineering. We’re especially interested on any feedback on areas our whitepaper can be improved and what areas CISA should focus its future efforts on. 今後数週間のうちに、セキュア・バイ・デザイン・エンジニアリングに関する情報提供要請書(RFI)を発表する予定である。特に、我々のホワイトペーパーを改善できる分野や、CISAが今後力を入れるべき分野についてのフィードバックに関心がある。
We heard many ideas that we continue to contemplate, and much like software development, we will work to address them in future versions of the whitepaper. In the meantime, we look forward to reading more about the ways in which companies adopt a secure by design philosophy for their products and their customers.  ソフトウェア開発と同様、私たちはホワイトペーパーの将来のバージョンでそれらに取り組むつもりである。それまでの間、セキュア・バイ・デザインの哲学を自社製品や顧客のために採用する企業の方法について、さらに読むことを楽しみにしている。

 

● NISC

・2023.10.17 国際共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Default」に署名しました

・[PDF] 報道発表資料

・[HTML] 英文

・[PDF] 仮訳
20231019-194546
 

 

 


 

● まる・ちゃんの情報セキュリティ気まぐれ日記

米国等によるセキュリティ・バイ・デザイン

・2023.08.14 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

 

日本政府のセキュリティ・バイ・デザイン

・2022.07.02 デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。

 

 


 

Continue reading "Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂"

| | Comments (0)

2023.10.17

米国 CISA ブログ ランサムウェア脆弱性警告パイロットの更新: ランサムウェアに関連する既知の悪用される脆弱性と設定ミスのワンストップリソースのリリース (2023.10.12)

こんにちは、丸山満彦です。

CISAでは、2023年1月からランサムウェア脆弱性警告パイロット(Ransomware Vulnerability Warning Pilot; RVWP)を始めていますが、既知の悪用される脆弱性(KEV)カタログが、ランサムウェアのキャンペーンに関連する脆弱性に特定できるようになったようですね。。。

CISA - News & Events

・2023.10.12 Ransomware Vulnerability Warning Pilot updates: Now a One-stop Resource for Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware

Ransomware Vulnerability Warning Pilot updates: Now a One-stop Resource for Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware ランサムウェア脆弱性警告パイロットの更新: ランサムウェアに関連する既知の悪用される脆弱性と設定ミスのワンストップリソースが登場
Known exploited vulnerabilities (KEV) catalog now identifies vulnerabilities linked to ransomware campaigns 既知の悪用される脆弱性(KEV)カタログが、ランサムウェアのキャンペーンに関連する脆弱性を特定するようになった
Ransomware has disrupted critical services, businesses, and communities worldwide and many of these incidents are perpetrated by ransomware actors using known common vulnerabilities and exposures (CVE) (i.e., vulnerabilities). However, many organizations may be unaware that a vulnerability used by ransomware threat actors is present on their network. To help organizations overcome this potential blind spot, the Cybersecurity and Infrastructure Security Agency (CISA) established the Ransomware Vulnerability Warning Pilot (RVWP) in January 2023, as required by the Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) of 2022 ランサムウェアは、世界中の重要なサービス、ビジネス、コミュニティを混乱させており、これらのインシデントの多くは、既知の共通脆弱性公開(CVE)(すなわち、脆弱性)を利用したランサムウェアの行為者によって実行されている。しかし、多くの組織は、ランサムウェアの脅威者が使用する脆弱性がネットワーク上に存在することに気づいていない可能性がある。組織がこの潜在的な盲点を克服するのを支援するため、サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、2022年の重要インフラ向けサイバーインシデント報告法(CIRCIA)で義務付けられているランサムウェア脆弱性警告パイロット(RVWP)を2023年1月に設立した。
Today, we are pleased to announce some new resources added to the RVWP. Through the RVWP, CISA determines vulnerabilities that are commonly associated with known ransomware exploitation and warns critical infrastructure entities with those vulnerabilities, helping to enable mitigation before a ransomware incident occurs. Now, all organizations have access to this information in our known exploited vulnerabilities (KEV) catalog as we added a column titled, “known to be used in ransomware campaigns.” For present vulnerabilities and all future to be added to the catalog, this column indicates whether CISA is aware  that a vulnerability has been associated with ransomware 本日、RVWPに追加されたいくつかの新しいリソースを発表する。CISAはRVWPを通じて、既知のランサムウェアの悪用によく関連する脆弱性を特定し、重要インフラ・エンティティにそれらの脆弱性を警告することで、ランサムウェア・インシデントが発生する前に脆弱性を緩和できるようにしている。現在では、"ランサムウェア・キャンペーンで使用されることが知られている "というタイトルの列が追加されたため、すべての組織が既知の悪用される脆弱性(KEV)カタログでこの情報にアクセスできるようになった。現在の脆弱性と今後カタログに追加されるすべての脆弱性について、この列は、脆弱性がランサムウェアに関連していることをCISAが認識しているかどうかを示している。
Furthermore, CISA has developed a second new RVWP resource that serves as a companion list of misconfigurations and weaknesses known to be used in ransomware campaigns. This list will guide organizations to quickly identify services known to be used by ransomware threat actors so they can implement mitigations or compensating controls. さらにCISAは、ランサムウェア・キャンペーンで使用されることが知られている設定ミスや脆弱性の関連リストとして機能する2つ目の新しいRVWPリソースを開発した。このリストは、ランサムウェアの脅威行為者によって使用されることが知られているサービスを迅速に特定し、緩和策や補償策を実施できるようにするための指針となる。
Since it was established last year, CISA’s RVWP has initiated notifications for over 800 vulnerable systems identified having internet-accessible vulnerabilities commonly associated with known ransomware campaigns. To identify these systems, we use existing services, data sources, technologies, and authorities, including our free cyber hygiene vulnerability scanning service. All critical infrastructure sectors have benefited from the RVWP to include Energy, Healthcare and Public Health, Water and Wastewater Systems sectors, and Education Facilities subsector specifically. 昨年の設立以来、CISAのRVWPは、既知のランサムウェア・キャンペーンによく関連するインターネットにアクセス可能な脆弱性を持つことが確認された800以上の脆弱なシステムに対して通知を開始している。これらのシステムを特定するために、無料のサイバー衛生脆弱性スキャン・サービスなど、既存のサービス、データソース、技術、当局を利用している。すべての重要インフラ部門はRVWPの恩恵を受けており、特にエネルギー、医療・公衆衛生、上下水道システム部門、教育施設サブセクターが含まれる。
Organizations enrolled in our vulnerability scanning service are able to receive faster and more targeted notifications – and it’s free for any organization in the United States. For more information, visit vulnerability scanning webpage or email [mail]. 我々の脆弱性スキャン・サービスに登録した組織は、より迅速で的を絞った通知を受け取ることができる。米国組織であれば、どのような組織でも登録できる。詳細については、脆弱性スキャンのウェブページを参照するか、Eメールで確認できる。
While we encourage all organizations to take action today to reduce their risk to ransomware by reviewing the revised KEV catalog and list of misconfigurations and weaknesses, CISA continues work to shift the responsibility of secure software from the customer to software manufacturers and make products Secure by Design. Taking ownership to improve the security outcomes of customers by designing and developing products that are safer out of the box helps all of us to Secure Our World. 我は、すべての組織が、改訂されたKEVカタログと誤設定と弱点のリストを確認することにより、ランサムウェアに対するリスクを低減するために、今日行動を起こすことを奨励する一方、 CISAは、安全なソフトウェアの責任を顧客からソフトウェア製造業者に移し、製品をセキュア・バイ・デザインにするための活動を続けている。箱から出してすぐに、より安全な製品を設計・開発することで、顧客のセキュリティ成果を向上させるオーナーシップを持つことは、私たち全員が「セキュア・アワ・ワールド」を実現することにつながる。

 

関連リンク

● CISA

RVWP関連

Ransomware Vulnerability Warning Pilot (RVWP)

20231017-45721

プレス...

・2023.03.13 CISA Establishes Ransomware Vulnerability Warning Pilot Program

 

その他...

Cyber Resource Hub

20231017-45853

既知の脆弱性のリスト

Known Exploited Vulnerabilities Catalog

20231017-50011

 

Misconfigurations and Weaknesses Known to be Used in Ransomware Campaigns 

20231017-50122

 

Secure by Design

20231017-50246

 


 

 

● まるちゃんの情報セキュリティ気まぐれ日記

ランサムウェア脆弱性警告パイロット(Ransomware Vulnerability Warning Pilot; RVWP)関連...

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

 

| | Comments (0)

2023.10.11

米国 NSA CISA サイバーセキュリティの誤設定トップ10と対策

こんにちは、丸山満彦です。

NSAとCISAがサイバーセキュリティの謝設定トップ10を発表し、注意を促していますね。。。

Red TeamとBlue Teamの共同による検討ということですね。。。

興味深いです。。。

トップ10

  1. ソフトウェアとアプリケーションのデフォルト設定
  2. ユーザー/管理者権限の不適切な分離
  3. 内部ネットワークの不十分な監視
  4. ネットワークセグメンテーションの欠如
  5. パッチ管理の不備
  6. システムアクセス制御のバイパス
  7. 弱いまたは誤った設定の多要素認証(MFA)
  8. ネットワーク共有やサービスの不十分なアクセス制御リスト(ACL
  9. クレデンシャルの不十分な衛生管理
  10. 無制限のコード実行

 

ソフトウェア開発にはセキュアバイデザインがデフォルト...ですね。。。

 

CISA

・2023.10.05 NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations (AA23-278A)

エグゼクティブサマリー...

NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations NSAとCISAのレッド・チームとブルー・チームがサイバーセキュリティの誤設定トップ10を共有する
A plea for network defenders and software manufacturers to fix common problems. ネットワーク防衛者とソフトウェアメーカーに、一般的な問題を修正するよう嘆願する。
EXECUTIVE SUMMARY 要旨
The National Security Agency (NSA) and Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint cybersecurity advisory (CSA) to highlight the most common cybersecurity misconfigurations in large organizations, and detail the tactics, techniques, and procedures (TTPs) actors use to exploit these misconfigurations. 米国家安全保障局(NSA)とサイバーセキュリティ・インフラストラクチャ安全保障局(CISA)は、この共同サイバーセキュリティ勧告(CSA)を発表し、大規模組織で最も一般的なサイバーセキュリティの誤設定に焦点を当て、行為者がこれらの誤設定を悪用するために使用する戦術、技術、手順(TTP)を詳述する。
Through NSA and CISA Red and Blue team assessments, as well as through the activities of NSA and CISA Hunt and Incident Response teams, the agencies identified the following 10 most common network misconfigurations: NSA と CISA のレッド・チームとブルー・チームの評価、および NSA と CISA のハント・チームとインシデント・レスポンス・チームの活動を通じて、両機関は以下の 10 の最も一般的なネットワーク・ミスコンフィギュレーションを特定した:
1. Default configurations of software and applications 1. ソフトウェアとアプリケーションのデフォルト設定
2. Improper separation of user/administrator privilege 2. ユーザー/管理者権限の不適切な分離
3. Insufficient internal network monitoring 3. 内部ネットワークの不十分な監視
4. Lack of network segmentation 4. ネットワークセグメンテーションの欠如
5. Poor patch management 5. パッチ管理の不備
6. Bypass of system access controls 6. システムアクセス制御のバイパス
7. Weak or misconfigured multifactor authentication (MFA) methods 7. 弱いまたは誤った設定の多要素認証(MFA)
8. Insufficient access control lists (ACLs) on network shares and services 8. ネットワーク共有やサービスの不十分なアクセス制御リスト(ACL)
9. Poor credential hygiene 9. クレデンシャルの不十分な衛生管理
10. Unrestricted code execution 10. 無制限のコード実行
These misconfigurations illustrate (1) a trend of systemic weaknesses in many large organizations, including those with mature cyber postures, and (2) the importance of software manufacturers embracing secure-by-design principles to reduce the burden on network defenders: これらの設定ミスは、(1)成熟したサイバー態勢を持つ組織を含む多くの大組織における体系的な弱点の傾向、(2)ネットワーク防御者の負担を軽減するために、ソフトウェアメーカーがセキュアバイデザインの原則を受け入れることの重要性を示している:
・Properly trained, staffed, and funded network security teams can implement the known mitigations for these weaknesses. ・適切な訓練を受け、人員を配置し、資金のあるネットワーク・セキュリティ・チームは、これらの弱点に対する既知の緩和策を実施することができる。
Software manufacturers must reduce the prevalence of these misconfigurations—thus strengthening the security posture for customers—by incorporating secure-by-design and -default principles and tactics into their software development practices.[1] ・ソフトウェア・メーカーは、これらの誤設定の蔓延を減らすこと、つまり、セキュア・バイ・デザ インとデフォルトの原則と戦術をソフトウェア開発プラクティスに組み込むことで、顧客のセキュリティ態勢を 強化する必要がある[1]。
NSA and CISA encourage network defenders to implement the recommendations found within the Mitigations section of this advisory—including the following—to reduce the risk of malicious actors exploiting the identified misconfigurations. NSA と CISA は、悪意ある行為者が特定された誤設定を悪用するリスクを低減するために、本アドバイザリの「緩和策」のセ クションに記載されている推奨事項(以下を含む)を実施することをネットワーク防御者に推奨する。
・Remove default credentials and harden configurations. ・デフォルトの認証情報を削除し、設定を強化する。
・Disable unused services and implement access controls. ・使用していないサービスを無効にし、アクセス制御を導入する。
Update regularly and automate patching, prioritizing patching of known exploited vulnerabilities.[2] ・定期的な更新とパッチ適用を自動化し、悪用された既知の脆弱性には優先的にパッチを適用する[2]。
・Reduce, restrict, audit, and monitor administrative accounts and privileges. ・管理者アカウントと権限を削減、制限、監査、監視する。
NSA and CISA urge software manufacturers to take ownership of improving security outcomes of their customers by embracing secure-by-design and-default tactics, including: NSA と CISA は、ソフトウェアメーカーに対し、以下のようなセキュアバイデザインとデフォルトの戦術を採用することで、顧客のセキュリ ティ成果を向上させるオーナーシップを持つよう促す:
・Embedding security controls into product architecture from the start of development and throughout the entire software development lifecycle (SDLC). ・開発の初期段階から、ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティ管理策を組み込む。
・Eliminating default passwords. ・デフォルトパスワードを廃止する。
・Providing high-quality audit logs to customers at no extra charge. ・高品質の監査ログを追加料金なしで顧客に提供する。
Mandating MFA, ideally phishing-resistant, for privileged users and making MFA a default rather than opt-in feature.[3] ・特権ユーザに対して、理想的にはフィッシングに強い MFA を必須とし、MFA をオプトイン機能ではなくデフォルト機能とする[3]。

 

・[PDF

20231010-164840

 

ブログ...

・2023.10.05 Joint Advisory on Top Cyber Misconfigurations Highlights Urgency for Software Manufacturers to Incorporate Secure by Design Principles

Joint Advisory on Top Cyber Misconfigurations Highlights Urgency for Software Manufacturers to Incorporate Secure by Design Principles トップ・サイバー誤設定に関する共同勧告は、セキュア・バイ・デザイン原則を取り入れるソフトウェア製造業者の緊急性を強調するものである。
Damaging cyber intrusions are far too common, causing harm to public and private organizations across every sector. While some of these intrusions use novel methods to gain access or move across a network, many exploit common misconfigurations. By ensuring strong configurations, we can significantly reduce the prevalence and impact of cyber-attacks.   有害なサイバー侵入はあまりにも一般的であり、あらゆる分野の公共・民間組織に被害をもたらしている。このような侵入の中には、斬新な方法でネットワークにアクセスしたり、ネットワーク上を移動したりするものもあるが、多くは一般的な設定の誤りを悪用するものである。強固な設定を確保することで、サイバー攻撃の蔓延と影響を大幅に減らすことができる。 
Over the past several years, red and blue team operators at CISA and NSA have assessed organizations to identify how a malicious actor could gain access, move laterally, and target sensitive systems or information. These assessments have shown how common misconfigurations, such as default credentials, service permissions, and configurations of software and applications; improper separation of user/administration privilege; insufficient internal network monitoring; poor patch management, place every American at risk.   過去数年間、CISAとNSAのレッドチームとブルーチームのオペレータは、悪意のある行為者がどのようにしてアクセスし、横方向に移動し、機密性の高いシステムや情報を狙うかを特定するために、組織を評価してきた。これらの評価により、ソフトウェアやアプリケーションのデフォルトの認証情報、サービス権限、設定などの一般的な誤設定、ユーザー/管理者権限の不適切な分離、不十分な内部ネットワーク監視、不十分なパッチ管理などが、いかにすべてのアメリカ人を危険にさらしているかが明らかになった。 
Today’s report, “NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations,” provides clear guidance to drive down these misconfigurations. While enterprises can and must take steps to identify and address these misconfigurations, we know that scalable progress requires urgent action by software manufacturers, particularly by adopting Secure by Design practices where software is designed securely from inception to end-of-life and by taking ownership to improve security outcomes of their customer. 本日発表された報告書「NSAとCISAのレッド・チームとブルー・チームがサイバーセキュリティの誤設定トップ10を共有」は、こうした誤設定を減らすための明確な指針を示している。企業はこれらの誤設定を特定し、対処するための措置を講じることが可能であり、また講じなければならないが、我々は、スケーラブルな進歩には、ソフトウェアメーカーによる緊急の行動が必要であることを知っている。特に、ソフトウェアが初期段階から使用終了まで安全に設計されるセキュア・バイ・デザインを採用し、顧客のセキュリティ成果を向上させるためにオーナーシップを持つことが必要である。
Every software manufacturer should urgently adopt the practices below to reduce the prevalence of common misconfigurations by design and every customer should demand adoption of these practices by every vendor.   すべてのソフトウエアメーカは、設計に起因する一般的な設定ミスの蔓延を低減するために、以下の実践方法を早急に採用すべきであり、すべての顧客は、すべてのベンダにこれらの実践方法の採用を要求すべきである。 
・Embed security controls into product architecture from the start of development and throughout the entire software development lifecycle (SDLC) by demonstrating adoption of the National Institute of Standards and Technology’s (NIST) Secure Software Development Framework (SSDF).   ・米国標準技術局(NIST)のセキュアソフトウェア開発フレームワーク(SSDF) の採用を実証することによって、開発当初からソフトウェア開発ライフサイクル (SDLC)全体を通じて、製品アーキテクチャにセキュリティ管理を組み込む。 
・Eliminate default passwords.  ・デフォルトのパスワードをなくす。
・Design products so that the compromise of a single security control does not result in compromise of the entire system.  ・単一のセキュリティ・コントロールの侵害がシステム全体の侵害につながらないように製品を設計する。
・Provide high-quality audit logs to customers at no extra charge.  ・高品質の監査ログを追加料金なしで顧客に提供する。
・Take steps to eliminate entire classes of vulnerabilities, such as by using memory-safe coding languages and implementing parameterized queries.  ・メモリ・セーフなコーディング言語の使用やパラメータ化されたクエリの実装など、脆弱性のクラス全体を排除するための手段を講じる。
・Provide sufficient detail in audit records to detect bypass of system controls and queries to monitor audit logs for traces of such suspicious activity.   ・システム制御の迂回を検出するための監査記録や、そのような不審な活動の痕跡がないか監査ログを監視するためのクエリを、十分に詳細に提供する。 
・Mandating multifactor authentication (MFA) for privileged users and making MFA a default rather than opt-in feature for all users.  ・特権ユーザーに対して多要素認証(MFA)を義務付け、すべてのユーザーに対してMFAをオプトインではなくデフォルトの機能にする。
The misconfigurations described in the advisory are too commonly found in assessments, hunts and incident response conducted by our teams and the TTPs are standard methods used by multiple cyber actors that have led to numerous compromises.   この勧告に記載されている誤設定は、我々のチームが実施した評価、調査、インシデント対応においてあまりにも一般的に見受けられるものであり、TTPは、多くの侵害を引き起こしてきた複数のサイバーアクターが使用する標準的な手法である。 
Last week, CISA announced a new national campaign, Secure Our World, and one of the key elements is for technology providers (i.e., software manufacturers) to secure their products – protecting customers by making products secure by design. Technology providers know that individual and business consumers use the products they create every day. These products and systems are under constant attack by threat actors seeking to disrupt our way of life and steal data 先週、CISAは新たな全国キャンペーン「Secure Our World」を発表したが、その重要な要素のひとつは、テクノロジー・プロバイダ(すなわちソフトウェア・メーカー)が自社製品のセキュリティを確保することである。テクノロジー・プロバイダは、個人や企業の消費者が、自分たちの作った製品を毎日使っていることを知っている。これらの製品やシステムは、我々の生活様式を破壊し、データを盗み出そうとする脅威行為者の絶え間ない攻撃にさらされている。
As America’s Cyber Defense Agency, CISA is charged with safeguarding our nation against ever-evolving cyber threats and to understand, manage, and reduce risk to the cyber and physical infrastructure that Americans rely on every hour of every day. Ensuring software is secure by design will help keep every organization and every American more secure.    アメリカのサイバー防衛機関として、CISAは、進化し続けるサイバー脅威から我が国を守り、アメリカ人が毎日毎時間依存しているサイバーおよび物理的インフラに対するリスクを理解し、管理し、軽減することを任務としている。ソフトウェアが設計上安全であることを保証することは、すべての組織とすべてのアメリカ人をより安全に保つことにつながる。  
We know that neither the government nor industry can solve this problem alone, we must work together. We continue to call on every software company to commit to secure by design principles and take that critical next step of publishing a roadmap that lays out their plan to create products that are secure by design “out of the box”.  我々は、政府も産業界も単独ではこの問題を解決できないことを知っている。我々は、すべてのソフトウェア企業がセキュア・バイ・デザインの原則にコミットし、「箱から出してすぐに」セキュア・バイ・デザインの製品を作るための計画を示したロードマップを公開するという重要な次のステップを踏むことを求め続ける。

 

 

| | Comments (0)

2023.10.04

NIST ユーザブル・サイバーっセキュリティ・グループが、人間中心サイバーセキュリティ・グループに変更 (2023.09.28)

こんにちは、丸山満彦です。

米国連邦政府の予算の執行はまたしてもぎりぎりと承認され、新しい年度での執行ができるようになりましたね。。。で、NISTのビジュアライゼーションとユーザービリティサイバーグループの中の、ユーザーブル・セキュリティグループが、人間中心サイバーセキュリティ・グループに変更されたようですね。。。

こういう研究グループをもっているということもNISTの強みですね。。。

 

NIST - ITL - CYBERSECURITY INSIGHTS a NIST blog

・2023.09.28 NIST Unveils Newly Named Human-Centered Cybersecurity Program

NIST Unveils Newly Named Human-Centered Cybersecurity Program NISTが人間中心のサイバーセキュリティプログラムという新しい名称を発表する
The Human-Centered Cybersecurity program (formerly Usable Cybersecurity) is part of the Visualization and Usability Group at NIST. It was created in 2008, but we’ve known for quite some time that we needed to rename our program to better represent the broader scope of work we provide for the cybersecurity practitioner and IT professional communities. We made the decision to update the name to Human-Centered Cybersecurity to better reflect our new (but long-time practiced) mission statement, “championing the human in cybersecurity.” With our new name, we hope to highlight that usability still (and always) will be a very important focus for us, but it is just one component within the broader arena of work in which we specialize.    人間中心のサイバーセキュリティ・プログラム(旧ユーザブル・サイバーセキュリティ)は、NISTの可視化・ユーザビリティ・グループの一部である。このプログラムは2008年に創設されたが、サイバーセキュリティの実務者やIT専門家のコミュニティに対して提供する幅広い業務をよりよく代表するために、プログラムの名称を変更する必要があることは、かなり以前から分かっていた。私たちは、「サイバーセキュリティにおける人間の擁護」という新しい(しかし長年実践してきた)ミッション・ステートメントをよりよく反映させるため、「人間中心のサイバーセキュリティ」という名称に変更する決断を下した。新しい名前によって、ユーザビリティは今でも(そしてこれからも)私たちにとって非常に重要な焦点であるが、それは私たちが専門とする幅広い分野の仕事の中の1つの要素に過ぎないことを強調したい。  
Our multi-disciplinary team conducts research at the intersection of cybersecurity, human factors, cognitive science, and psychology. We seek to better understand and improve people’s interactions with cybersecurity systems, products, and services. 私たちの学際的なチームは、サイバーセキュリティ、ヒューマンファクター、認知科学、心理学の交差点で研究を行っている。私たちは、サイバーセキュリティ・システム、製品、サービスに対する人々の相互作用をよりよく理解し、改善することを目指している。
To learn more about our latest projects, watch our latest videos, meet the team, or to view our publications, visit our revamped website. 最新のプロジェクトやビデオ、チーム紹介、出版物などについては、リニューアルしたウェブサイトで公表する。
We changed our name to eliminate misconceptions and better reflect the breadth of what we do. 私たちは、誤解をなくし、私たちの活動の幅広さをよりよく反映させるためにグループ名を変更した。
With this name change we aim to squash the misconception that we only address the usability of cybersecurity technologies and processes. When engaging with different audiences around the world as the Usable Cybersecurity program, we ran into some confusion around the types of projects we do and solutions we offer. It was sometimes believed or interpreted that we only conduct usability evaluations to improve user interfaces and websites or that we only focus on usability for “end users.” このグループ名変更により、私たちはサイバーセキュリティの技術やプロセスの使いやすさだけに取り組んでいるという誤解をなくすことを目指している。ユーザブル・サイバーセキュリティ・プログラムとして世界中のさまざまな聴衆と関わる際、私たちは、私たちが行うプロジェクトの種類や提供するソリューションについて、いくつかの混乱に遭遇した。私たちがユーザビリティ評価を行っているのは、ユーザー・インターフェースやWebサイトを改善するためだけであるとか、"エンド・ユーザー "のユーザビリティにのみ焦点を当てていると信じられたり、解釈されたりすることもあった。
Usability refers to how well people can use a system, product, or service to accomplish a goal with effectiveness, efficiency, and satisfaction in a specific context of use. The lack of usability in cybersecurity systems, products, and services can result in people making errors, becoming frustrated, or trying workarounds. After all, security is not most people’s primary task. ユーザビリティとは、特定の使用状況において、人々がシステム、製品、サービスをいかにうまく使い、効果的、効率的、満足的に目標を達成できるかということである。サイバーセキュリティのシステム、製品、サービスにおけるユーザビリティの欠如は、人々がエラーを起こしたり、フラストレーションを感じたり、回避策を試したりする結果になりかねない。結局のところ、セキュリティはほとんどの人にとって主要な仕事ではない。
Usability was originally and will remain a cornerstone of the program (like our authentication research that informed the usability considerations in NIST Special Publication 800-63). However, our program scope goes beyond that to more broadly consider the human element of cybersecurity: the relationships between individual human, social, organizational, and technological factors and how those relationships ultimately impact people’s experiences with and adoption of cybersecurity. For example, our work uncovering how social influences impact youth cybersecurity and privacy understandings and behaviors resulted in recommendations on how parents can talk to their kids about keeping safe online. Program efforts related to users’ smart home security perceptions helped inform labeling considerations in NIST’s Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. As a resource for practitioners, we synthesized industry and research evidence to describe and offer suggestions to overcome common user misconceptions and pitfalls. NIST 特別刊行物 800-63 のユーザビリティに関する考察に情報を提供した本人認証研究のように)ユーザビリティはもともと、そしてこれからも、このプログラムの要である。つまり、個々の人間的、社会的、組織的、技術的要因間の関係、そしてそれらの関係が最終的に人々のサイバーセキュリティに関する経験やサイバーセキュリティの導入にどのような影響を与えるかということである。例えば、社会的影響が青少年のサイバーセキュリティやプライバシーに関する理解や行動にどのような影響を与えるかを明らかにした結果、オンライン上の安全確保について親が子供にどのように話しかければよいかを提言することになった。ユーザーのスマートホームセキュリティに関する認識に関するプログラムの取り組みは、NISTの「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT)Products(消費者向けモノのインターネット(IoT)製品のサイバーセキュリティ表示に関する推奨基準)」におけるラベリングの検討に役立った。実務者向けのリソースとして、業界と研究の証拠を統合し、一般的なユーザーの誤解や落とし穴を克服するための説明と提案を行った。
We also expand the notion of “users” to all stakeholders of cybersecurity, including experts in the field. For example, we have completed projects exploring the work practices, skills, and challenges of cybersecurity advocates and cybersecurity awareness professionals. Our phishing research led to the development of the NIST Phish Scale as a measurement tool to better aid cybersecurity awareness and training staff in contextualizing their phishing simulation click rates. As you can see, all these projects address issues beyond the confines of traditional usability. また、「ユーザー」という概念を、この分野の専門家を含むサイバーセキュリティのすべての利害関係者にまで拡大している。例えば、サイバーセキュリティの提唱者やサイバーセキュリティ意識の専門家の仕事のやり方、スキル、課題を探るプロジェクトを完了した。私たちのフィッシング研究は、サイバーセキュリティの意識向上およびトレーニング担当者がフィッシング・シミュレーションのクリック率をより適切に把握するための測定ツールとして、NIST Phish Scaleの開発につながった。ご覧のように、これらのプロジェクトはすべて、従来のユーザビリティの枠を超えた問題に取り組んでいる。
We’ve updated our website to improve findability and reflect our recent projects. 我々は、見つけやすさを改善し、最近のプロジェクトを反映させるためにウェブサイトを更新した。
One of the goals of our program is to advance cybersecurity adoption and acceptance by getting our research into the hands of those who can take action within federal and non-federal sectors. We strive to help bridge the communication gap that can get in the way of cybersecurity and IT practitioners being informed of the relevant human-based research that could benefit their work and professional education.   私たちのプログラムの目標の1つは、連邦政府および連邦政府以外のセクターで行動を起こすことができる人々の手に私たちの研究を届けることによって、サイバーセキュリティの採用と受け入れを促進することである。私たちは、サイバーセキュリティやITの専門家たちが、彼らの仕事や専門教育に有益となるような、人間ベースの関連研究を知る妨げとなるコミュニケーションギャップを埋める一助となるよう努めている。 
To complement our new name, we decided it was the perfect time to revamp our website in hopes that our resources can be more easily found. We optimized the site with searchability in mind, using the proper keywords that will allow NIST’s resources to be more visible on the web. We reorganized our publications and presentations using easy-to-use navigation bars and updated the list of our current research topic areas to provide transparency and encourage collaboration. We will also highlight recent videos, media, and other program announcements on the front page. 新しいグループ名にふさわしく、私たちのリソースをより簡単に見つけてもらえるよう、ウェブサイトをリニューアルする絶好の機会だと判断した。NISTのリソースがウェブ上でより見やすくなるよう、適切なキーワードを使用し、検索性を念頭にサイトを最適化した。使いやすいナビゲーションバーを使って出版物やプレゼンテーションを再編成し、現在の研究テーマ分野のリストを更新することで、透明性を提供し、共同研究を促進する。また、最近のビデオ、メディア、その他のプログラム発表をトップページで紹介する。
We ultimately want to advance cybersecurity by empowering people to be active, informed partners in cybersecurity. 私たちは最終的に、人々がサイバーセキュリティにおいて能動的で情報豊富なパートナーになれるようにすることで、サイバーセキュリティを前進させたいと考えている。
Through our commitment to “champion the human in cybersecurity,” we humbly serve as a voice for people in a technology-dominated field. We seek to encourage and empower individuals to be active participants and have positive experiences with cybersecurity while, at the same time, improving cybersecurity outcomes for individuals and organizations. We want to provide actionable guidance and evidence and help facilitate connections between researchers and practitioners to keep people informed of the latest updates in human-centered cybersecurity. We will continue to advocate and educate stakeholders on ways to overcome common human element challenges while also learning from others’ experiences through engagement with the community at events, social media, podcasts, articles, etc. サイバーセキュリティにおける人間性を支持する」というコミットメントを通じて、私たちはテクノロジーに支配された分野における人々の代弁者として謙虚に奉仕する。私たちは、個人がサイバーセキュリティに積極的に参加し、積極的な経験をすることを奨励し、力を与えると同時に、個人と組織のサイバーセキュリティの成果を改善することを目指している。私たちは、実用的なガイダンスとエビデンスを提供し、研究者と実務者のつながりを促進することで、人間中心のサイバーセキュリティの最新情報を人々に提供し続けたいと考えている。私たちは、イベント、ソーシャルメディア、ポッドキャスト、記事などでのコミュニティとの関わりを通じて、他の人々の経験から学ぶと同時に、人間的要素に関する一般的な課題を克服する方法について、関係者を提唱し、教育し続ける。

 

新しいウェブサイト

Human-Centered Cybersecurity

1_20231004062701

 

研究領域

| | Comments (0)

2023.09.15

中国 2022年の西北工業大学へのサイバー攻撃は米国NSAのメンバーと特定

こんにちは、丸山満彦です。

米国をはじめとするFive Eyesは、サイバー攻撃者を逮捕、そこまではいかなくても、誰がやっているのか、アトリビューションを明らかにすることに力をいれていますが、中国もこれからは同様に、サイバー攻撃者のアトリビューションを明らかにしていくのでしょうかね。。。

2022年に西北工業大学 [wikipedia]へのサイバー攻撃について米国国家安全局 (NSA) が関与していたと、CCTVで報道していますね。。。政府機関のウェブページでは見つけられなかったのですが、CCTVで報道していますから、まぁ、そういうことなのでしょう。

西北工業大学は、双一流 (Double First Class University Plan [wikipedia]) 校の中でも上位校のようです。。。

分析をしたのは、「国家コンピュータウイルス緊急対応センター(中国国家计算机病毒应急处理中心)CVERC」[wikipedia] と「360」のようです。彼の分析によると踏み台サーバは、ドイツ、日本、韓国、インド、台湾に存在しているようですね。

 

CCTV

・2023.09.14 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!

ビデオ...

・2023.09.14 [新闻直播间]“二次约会”间谍软件分析报告发布 

こちらは、SecondDateについての技術的な話もありますね。。。

・2023.09.14 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!

 

少し追加の情報...

每日经济新闻综合央视新闻

・2023.09.14 再添新证!网攻西工大的神秘黑客身份被锁定,为美国国安局工作人员,“二次约会”间谍软件是关键

 

 

そういえば、今週は中国のサイバーセキュリティ週間となっていて、いろいろなイベントが各地で開催されているようです。。。

 

20230915-114838

 

興味深い内容が並んでいます!!!

 

 

 

 

| | Comments (0)

2023.09.12

Atlantic Council 巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法

こんにちは、丸山満彦です。

Atlantic Council [wikipedia] が、「巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法」という文書を公表していますね。。。

 

 

Atlantic Council

・2023.09.06 Sleight of hand: How China weaponizes software vulnerabilities

 

Sleight of hand: How China weaponizes software vulnerabilities 巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法
Table of contents 目次
Executive summary 要旨
Introduction 序文
China’s software vulnerability disclosure ecosystem 中国のソフトウェア脆弱性開示エコシステム
Before the RMSV RMSV以前
China National Vulnerability Database (CNVD) 中国国家脆弱性データベース(CNVD)
China National Vulnerability Database of Information Security (CNNVD) 中国情報セキュリティ国家脆弱性データベース(CNNVD)
China’s New Vulnerability Management System under the RMSV: The NVDB RMSVの下での中国の新しい脆弱性管理システム:NVDB
Few good options 良い選択肢はほとんどない
Conclusion 結論
Key recommendations 主な提言

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
The Cyberspace Administration of China (CAC), the Ministry of Public Security (MPS), and the Ministry of Industry and Information Technology (MIIT) published the “Regulations on the Management of Network Product Security Vulnerabilities” (RSMV) in July 2021. Even before the regulations were implemented in September 2021, analysts had issued warnings about the new regulation’s potential impact.1 At issue is the regulations’ requirement that software vulnerabilities—flaws in code that attackers can exploit—be reported to the MIIT within forty-eight hours of their discover by industry (Article 7 Section 2).2 The rules prohibit researchers from: publishing information about vulnerabilities before a patch is available, unless they coordinate with the product owner and the MIIT; publishing proof-of-concept code used to show how to exploit a vulnerability; and exaggerating the severity of a vulnerability.3 In effect, the regulations push all software-vulnerability reports to the MIIT before a patch is available. Conversely, the US system relies on voluntary reporting to companies, with vulnerabilities sourced from researchers chasing money and prestige, or from cybersecurity companies that observe exploitation in the wild.  中国サイバー空間管理局(CAC)、公安部(MPS)、工業情報化部(MIIT)は2021年7月、「ネットワーク製品セキュリティ脆弱性管理規則」(RSMV)を発表した。この規則が2021年9月に施行される前から、アナリストたちはこの新規制の潜在的な影響について警告を発していた[1]。問題になっているのは、ソフトウェアの脆弱性(攻撃者が悪用可能なコードの欠陥)を産業界が発見してから48時間以内にMIITに報告することを義務付ける規制である(第7条第2項)[2]。同規制では、研究者が製品所有者やMIITと調整しない限り、パッチが提供される前に脆弱性に関する情報を公表すること、脆弱性を悪用する方法を示す概念実証コードを公表すること、脆弱性の重大性を誇張することを禁じている[3]。事実上、この規制は、パッチが利用可能になる前に、すべてのソフトウェア脆弱性報告をMIITに押し付けている。逆に、米国のシステムは、企業への自主的な報告に依存しており、脆弱性は、金と名声を追い求める研究者、あるいは、野生の脆弱性悪用を観察するサイバーセキュリティ企業から提供されている。
Software vulnerabilities are not some mundane part of the tech ecosystem. Hackers often rely on these flaws to compromise their targets. For an organization tasked with offensive operations, such as a military or intelligence service, it is better to have more vulnerabilities. Critics consider this akin to stockpiling an arsenal.4 When an attacker identifies a target, they can consult a repository of vulnerabilities that enable their operation. Collecting more vulnerabilities can increase operational tempo, success, and scope. Operators with a deep bench of tools work more efficiently, but companies patch and update their software regularly, causing old vulnerabilities to expire. In a changing operational environment, a pipeline of fresh vulnerabilities is particularly valuable.  ソフトウェアの脆弱性は、ハイテク・エコシステムのありふれた一部ではない。ハッカーはしばしば、標的を侵害するためにこれらの欠陥を利用する。軍や諜報機関のような攻撃的な作戦を任務とする組織にとっては、脆弱性は多い方がいい。批評家たちは、これは兵器庫の備蓄に似ていると考えている[4]。攻撃者は標的を特定すると、その作戦を可能にする脆弱性のリポジトリを参照することができる。より多くの脆弱性を収集することで、作戦のテンポ、成功率、スコープを向上させることができる。しかし、企業は定期的にパッチやアップデートを行うため、古い脆弱性は期限切れになる。変化する作戦環境において、新鮮な脆弱性のパイプラインは特に貴重である。
This report details the structure of the MIIT’s new vulnerability databases, how the new databases interact with older ones, and the membership lists of companies participating in these systems. The report produces four key findings. 本報告書では、MIITの新しい脆弱性データベースの構造、新しいデータベースと古いデータベースとの相互作用、およびこれらのシステムに参加している企業の会員リストについて詳述する。本報告書では、4つの重要な発見がなされている。
1. The RMSV (Article 7, Section 3) requires the MIIT’s new database to share vulnerability and threat data with the National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) and Ministry of Public Security (MPS). Sharing these data with CNCERT/CC allows them to reach organizations with offensive missions. CNCERT/CC’s partners can access vulnerability reports through its own China National Vulnerability Database (CNVD). The CNVD’s Technology Collaboration Organizations with access to reports submitted to MIIT include: the Beijing office of the Ministry of State Security’s (MSS) 13th Bureau (Beijing ITSEC, 北京信息安全测评中心), Beijing Topsec—a known People’s Liberation Army (PLA)-contractor connected to the hack of Anthem Insurance, and a research center responsible for “APT [advanced persistent threat] attack and defense” at Shanghai Jiao Tong University, which houses a cybersecurity school tied to PLA hacking campaigns.5 The vulnerability sharing with the MSS 13th Bureau’s Beijing office is particularly concerning. Experts note that the bureau spent the last twenty years getting early access to software vulnerabilities.6 1. RMSV(第7条第3項)は、MIITの新データベースに対し、脆弱性と脅威のデータを中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT/CC)および公安部(MPS)と共有するよう求めている。これらのデータをCNCERT/CCと共有することで、攻撃的な使命を持つ組織に働きかけることができる。CNCERT/CCのパートナーは、独自の中国国家脆弱性データベース(CNVD)を通じて脆弱性レポートにアクセスすることができる。MIIT に提出された報告書にアクセスできる CNVD の技術協力組織には、以下のものがある: 国家安全保障省(MSS)第13局北京事務所(北京ITSEC、北京信息安全测评中心)、人民解放軍(PLA)の下請け業者として知られる北京トップセック(Anthem Insuranceのハッキングに関係)、「APAP」を担当する研究センターなどがある、 そして上海交通大学の「APT(高度持続的脅威)攻撃と防御」を担当する研究センターは、PLAのハッキングキャンペーンに関連したサイバーセキュリティスクールを擁している。 [5] MSS第13局の北京事務所との脆弱性共有は特に問題だ。専門家は、同局は過去20年間、ソフトウェアの脆弱性にいち早くアクセスすることに費やしてきたと指摘している[6]。
2. There are likely bureaucratic issues involved in implementing the RMSV among relevant entities. Mandatory disclosure of vulnerabilities to MIIT undercuts other, government-run, voluntary databases in China. CNVD disclosed fewer vulnerabilities after the regulation went into effect, and its publication of vulnerabilities for industrial control systems ground to a halt in 2022. This decline is likely the result of CNVD waiting for a patch before publishing. With no reporting requirement, and the inability to publish without a patch, the value of the voluntary database is unclear. One benefit may be collection. CNCERT/CC has incident-response contracts with thirty-one countries.7 It is unclear if these contracts allow CNCERT/CC to collect vulnerability information. 2. 関連事業体の間でRMSVを実施するには、官僚的な問題があると思われる。MIITへの脆弱性開示のガバナンスの義務化は、中国における他の政府運営の任意データベースを弱体化させる。CNVDは規制発効後、脆弱性の開示を減らし、産業用制御システムの脆弱性の公表は2022年に停止した。この減少は、CNVDが公開前にパッチを待った結果であると思われる。報告義務がなく、パッチがなければ公表できないため、自主データベースの価値は不明確である。一つの利点は収集であろう。CNCERT/CC は、31 カ国とインシデント対応契約を結んでいる[7] 。これらの契約により、 CNCERT/CC が脆弱性情報を収集できるかどうかは不明である。
3. Besides just collecting software vulnerabilities, the MIIT is funding their discovery through research grants to improve product security standards.  3. ソフトウェアの脆弱性を収集するだけでなく、MIITは、製品のセキュリティ標準を改善するための研究助成金を通じて、脆弱性の発見に資金を提供している。
4. An MSS vulnerability database requires its private-sector partners to produce software vulnerabilities. These 151 cybersecurity companies provide software vulnerabilities to the MSS 13th Bureau. This report finds that these companies employ at least 1,190 software vulnerability researchers. Each year the researchers provide at least 1,955 software vulnerabilities to the MSS, at least 141 of which are “critical” severity. Once received by the MSS, they are almost certainly evaluated for offensive use. 4. MSS 脆弱性データベースは、民間パートナーにソフトウェア脆弱性の提供を求めている。これら151のサイバーセキュリティ企業は、ソフトウェアの脆弱性をMSS第13局に提供している。本報告書によれば、これらの企業は少なくとも1,190人のソフトウェア脆弱性研究者を雇用している。毎年、研究者は少なくとも1955件のソフトウェア脆弱性をMSSにプロバイダしており、そのうち少なくとも141件は「クリティカル」な重大度である。MSSが受け取った脆弱性は、ほぼ間違いなく攻撃的な利用が可能かどうか評価される。
The mandates to disclose vulnerabilities to the Ministry of Industry and Information Technology, not to publish vulnerability information without also simultaneously releasing a patch, not to release proof-of-concept code, and not to hype up the severity of a vulnerability, among other things, stands in stark contrast to the United States’ decentralized, voluntary reporting system.  産業技術省に脆弱性を開示すること、同時にパッチをリリースすることなく脆弱性情報を公表しないこと、概念実証コードをリリースしないこと、脆弱性の深刻度を誇張しないことなどが義務付けられており、米国の分散化された自発的な報告システムとは対照的である。

 

[1] Dakota Cary, “China’s New Software Policy Weaponizes Cybersecurity Research,” The Hill, July 22, 2021, https://thehill.com/opinion/cybersecurity/564318-chinas-new-software-policy-weaponizes-cybersecurity-research; Brad D. Williams, “China’s New Data Security Law Will Provide It Early Notice of Exploitable Zero Days,” Breaking Defense, September 1, 2021, https://breakingdefense.com/2021/09/chinas-new-data-security-law-will-provide-it-early-notice-of-exploitable-zero-days.

[2] It seems that when researchers discover vulnerabilities in other companies’ codebases, they are also required to share that information with the MIIT. Jonathan Greig, “Chinese Regulators Suspend Alibaba Cloud over Failure to Report Log4j Vulnerability,” ZDNet, December 22, 2021, https://www.zdnet.com/article/log4j-chinese-regulators-suspend-alibaba-partnership-over-failure-to-report-vulnerability.

[3] It seems that when researchers discover vulnerabilities in other companies’ codebases, they are also required to share that information with the MIIT. Jonathan Greig, “Chinese Regulators Suspend Alibaba Cloud over Failure to Report Log4j Vulnerability,” ZDNet, December 22, 2021, https://www.zdnet.com/article/log4j-chinese-regulators-suspend-alibaba-partnership-over-failure-to-report-vulnerability.

[4] Brad Smith, “The Need for Urgent Collective Action to Keep People Safe Online: Lessons from Last Week’s Cyberattack,” Microsoft on the Issues, May 14, 2017, https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack.

[5] Ellen Nakashima, “Security Firm Finds Link between China and Anthem Hack,” Washington Post, February 27, 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/02/27/security-firm-finds-link-between-china-and-anthem-hack; Dakota Cary, “Academics, AI, and APTs: How Six Advanced Persistent Threat-Connected Chinese Universities are Advancing AI Research,” Center for Security and Emerging Technology, March 2021,  https://cset.georgetown.edu/publication/academics-ai-and-apts.

[6] China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States, testimony before the U.S.-China Economic and Security Review Commission hearing. Statement by Adam Kozy, CEO and founder, SinaCyber, former FBI and CrowdStrike, 2022, https://www.uscc.gov/sites/default/files/2022-02/Adam_Kozy_Testimony.pdf.

[7] Xinhua. “Full Text: Jointly Build a Community with a Shared Future in Cyberspace” archive.ph, May 23, 2023. https://archive.ph/AqhdW.

 

1_20230912054701

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ネットワーク製品のセキュリティ脆弱性管理に関する規定 (Regulations on the Management of Network Product Security Vulnerabilities; RSMV) 

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

 

 

| | Comments (0)

2023.09.08

米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

こんにちは、丸山満彦です。

米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわしたと発表していますね。。。

約束をした3つの事項は、

Companies that sign the pledge are publicly agreeing to adopt three principles: 誓約書に署名した企業は、3つの原則を採用することに公的に同意したことになる:
・Take ownership of customer security outcomes ・顧客のセキュリティ成果のオーナーシップを持つ
・Embrace radical transparency and accountability ・抜本的な透明性と説明責任を受け入れる
・Lead from the top by making secure technology a key priority for company leadership ・セキュアな技術を企業リーダーシップの重要な優先事項とすることで、トップが主導する。

 

Row of cybersecurity icons outlining the three principles of Secure by design pledge

 

CISA

プレス...

・2023.09.05 CISA Announces Secure by Design Pledge with K-12 Education Technology Providers

 

CISA Announces Secure by Design Pledge with K-12 Education Technology Providers CISA、K-12教育テクノロジ・プロバイダとのセキュア・バイ・デザイン誓約を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) is announcing a voluntary pledge for K-12 Education Technology software manufacturers to commit to designing products with greater security built in. As of September 1, CISA has received commitments from six K-12 software technology providers, including some of the largest providers of K-12 education software in the United States. Commitments received include 
PowerSchool,  
Classlink,  
Clever
GG4L,  
Instructure,  and 
D2L. 
ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)は、K-12教育テクノロジ・ソフトウェア・メーカーに対し、より高いセキュリティを組み込んだ製品を設計することを約束する自発的な誓約を発表した。9月1日現在、CISAは、米国最大のK-12教育ソフトウェアのプロバイダを含む6つのK-12ソフトウェア技術プロバイダから誓約書を受け取っている。PowerSchool、Classlink、Clever、GG4L、Instructure、D2Lなどである。
“We need to address K-12 cybersecurity issues at its foundation by ensuring schools and administrators have access to technology and software that is safe and secure right out of the box,” said CISA Director Jen Easterly. “I want to thank Classlink, Clever, D2L, GG4L, Instructure, and PowerSchool who have already signed this pledge and for their leadership in this area. We need all K-12 software manufacturers to help us improve cybersecurity for the education sector by committing to prioritize security as a critical element of product development.” CISAのディレクターであるジェン・イースタリーは次のように述べている。「私たちは、学校と管理者が安全でセキュアなテクノロジーとソフトウェアにすぐにアクセスできるようにすることで、K-12のサイバーセキュリティ問題の根幹に取り組む必要がある。すでにこの誓約書に署名し、この分野でリーダーシップを発揮しているClasslink、Clever、D2L、GG4L、Instructure、PowerSchoolに感謝したい。我々は、すべてのK-12ソフトウェアメーカーが、製品開発の重要な要素としてセキュリティを優先することを約束することで、教育セクターのサイバーセキュリティを改善するために協力してくれることを必要としている。」
Companies that sign the pledge are publicly agreeing to adopt three principles: 誓約書に署名した企業は、3つの原則を採用することに公的に同意したことになる:
・Take ownership of customer security outcomes ・顧客のセキュリティ成果のオーナーシップを持つ
・Embrace radical transparency and accountability ・抜本的な透明性と説明責任を受け入れる
・Lead from the top by making secure technology a key priority for company leadership ・セキュアな技術を企業リーダーシップの重要な優先事項とすることで、トップが主導する。
The pledge includes specific, publicly measurable outcomes that the companies are committing to as they develop their roadmaps toward adhering to Secure by Design principles. この誓約には、セキュア・バイ・デザインの原則を遵守するためのロードマップを策定する際に各社が約束する、公に測定可能な具体的な成果が含まれている。
Learn more about this voluntary pledge and sign it today by visiting: cisa.gov/k-12-education-technology-secure-design-pledge. この自主的な誓約の詳細と署名は、cisa.gov/k-12-education-technology-secure-design-pledgeを参照のこと。

 

 

K-12 Education Technology Secure by Design Pledge

 

K-12 Education Technology Secure by Design Pledge K-12教育テクノロジー セキュア・バイ・デザイン誓約
Overview 概要
This is a voluntary pledge for K-12 Education Technology software manufacturers, in line with CISA’s Secure by Design whitepaper. By participating in this pledge, manufacturers are pledging publicly to the following actions: これは、CISAのホワイトペーパー「Secure by Design」に沿った、K-12教育テクノロジ・ソフトウェア製造業者のための自主的な誓約である。この誓約に参加することで、メーカーは以下の行動を公に誓約することになる:
Principle 1: Take Ownership of Customer Security Outcomes 原則1:顧客のセキュリティ成果のオーナーシップを持つ
Single Sign On (SSO) at no extra charge. As SSO can enable greater security by reducing password-based attacks, manufacturers should allow all customers to configure standards-based SSO. シングルサインオン(SSO)を追加料金なしで提供する。SSOはパスワードベースの攻撃を減らすことでより高いセキュリティを可能にするため、メーカーはすべての顧客が標準ベースのSSOを設定できるようにすべきである。
Goal: no later than 6 months after the summit, customers may configure standards-based SSO at no additional charge. 目標:サミット後 6 カ月以内に、顧客は追加料金なしで標準ベースの SSO を構成できるようにする。
Security audit logs at no extra charge. Security audit logs necessary for monitoring and responding to cybersecurity incidents should be provided at no additional charge to schools. セキュリティ監査ログを追加料金なしで提供する。サイバーセキュリティインシデントの監視と対応に必要なセキュリティ監査ログを、学校に追加料金なしで提供すること。
Goal: no later than 6 months after the summit, security audit logs are provided to customers at no additional charge. 目標:サミット後6カ月以内に、セキュリティ監査ログを追加料金なしで顧客に提供する。
Principle 2: Embrace Radical Transparency and Accountability 原則 2:抜本的な透明性と説明責任を受け入れる
Publish a Secure by Design roadmap. Document how you are making changes to your SDLC to improve customer security, including actions taken to eliminate entire classes of vulnerabilities (e.g. by usage of memory-safe languages, parametrized queries, and web template frameworks). Include detail on how you are updating your hiring, training, code review, and other internal development processes to do so. The roadmap should also outline how the manufacturer plans to nudge all users, including students, towards MFA, with the understanding that students may not possess a mobile device traditionally used for MFA (other authentication options, such as passkeys, should be considered). セキュアbyデザインのロードマップを公開する。顧客のセキュリティを改善するために、SDLC にどのような変更を加えているかを文書化する。そのために、採用、トレーニング、コードレビュー、その他の内部開発プロ セスをどのように更新しているかについても詳述する。ロードマップには、学生が従来 MFA に使用されてきたモバイルデバイスを所持していない可能性があること を理解した上で、学生を含むすべてのユーザを MFA に誘導する計画についても概説すること(パス キーなど他の認証オプションも考慮すること)。
Goal: no later than 6 months after the summit, the Secure by Design roadmap is published on the manufacturer’s website. 目標:遅くともサミット後 6 カ月以内に、Secure by Design のロードマップを製造事業者の Web サイトで公表する。
Publish a vulnerability disclosure policy. Publish a vulnerability disclosure policy that (1) authorizes testing against all products offered by the manufacturer, (2) provides legal safe harbor that authorizes testing under the policy, and (3) allows public disclosure of vulnerabilities after a set timeline. Manufacturers should perform root-cause analysis of discovered vulnerabilities and, to the greatest extent feasible, take actions to eliminate root cause vulnerability classes in line with the Secure by Design roadmap. 脆弱性開示方針を公表する。(1)メーカーが提供する全製品に対するテストを許可し、(2)ポリシーに基づくテストを許可する法的セーフハーバーを提供し、(3)設定されたタイムライン後に脆弱性の公開を許可する脆弱性公開ポリシーを公表する。メーカーは、発見された脆弱性の根本原因分析を実施し、可能な限り、セキュア・バイ・デザインのロードマップに沿って、根本原因である脆弱性クラスを排除するための措置を講じるべきである。
Goal: no later than 3 months after the summit, the manufacturer has published a vulnerability disclosure policy on its website that adheres to the above criteria. 目標:遅くともサミットから3ヵ月後までに、メーカーは上記の基準に準拠した脆弱性開示方針をウェブサイトで公表している。
Embrace vulnerability transparency. Ensure that product CVE entries are correct and complete, including a CWE field that identifies the root cause of the vulnerability. 脆弱性の透明性を受け入れる。脆弱性の根本原因を特定するCWEフィールドを含め、製品のCVEエントリが正確かつ完全であることを保証する。
Goal: no later than 3 months after the summit, all new CVEs published by the manufacturer include complete details on the vulnerability and have a properly-assigned CWE tag for the vulnerability’s root cause. 目標:遅くともサミット後3ヶ月以内に、メーカーが公表するすべての新規CVEに脆弱性の完全な詳細が含まれ、脆弱性の根本原因を示すCWEタグが適切に付与されている。
Publish security-relevant statistics and trends. This may include aggregated statistics of MFA adoption of customers and administrators, and use of unsafe legacy protocols. セキュリティ関連の統計や傾向を公表する。これには、顧客や管理者の MFA 導入状況や、安全でないレガシー・プロトコルの使用状況などの集計統計が含まれる。
Goal: no later than 6 months after the summit, security statistics and trends are published on the manufacturer’s website. 目標:サミット後 6 カ月以内に、セキュリティ統計と傾向 を製造事業者のウェブサイトで公表する
Principle 3: Lead from the Top 原則 3:トップが主導する
Publicly name a top business leader (not the CTO or CISO) who is responsible for security. This individual should be responsible for managing the process of integrating security and quality as a core function of the business, including the development and implementation of the Secure by Design roadmap. セキュリティ担当のトップビジネスリーダー(CTO や CISO ではない)を 公表する。この人物は、「セキュア バイ デザイン」ロードマップの策定と実施など、セキュリ ティと品質を事業の中核機能として統合するプ ロセスを管理する責任を負うべきである。
Goal: no later than 3 months after the summit, the manufacturer has publicly named a top business leader responsible for security. 目標:サミットから 3 カ月後までに、セキュリティ担当のトップ ビジネスリーダーを公表する

| | Comments (0)

2023.08.30

日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

こんにちは、丸山満彦です。

JNSAが、「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」という2つのセミナーの資料を公開してくれていますね。。。

参考になる部分も多いと思います!

 

SBOMもゼロトラストもキーポイントは自動化です。数多くの攻撃から組織を守るためには、自動化が欠かせないということで、手動管理ではなく、自動化です。

 

 

1_20230830060301

 

日本ネットワークセキュリティ協会 (JNSA)

 

SBOM関係調査研究部会 IoTセキュリティワーキンググループ (2023.08.25開催)

2023.8.28 日本におけるソフトウェアサプライチェーンとSBOMのこれから

ざっとこんな感じ...


 

・・経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
  飯塚 智氏

・[PDF] SBOMに関する国内外の最新動向および日本の取組について

20230830-60711

  • SBOMに関する国内外の最新動向、経済産業省におけるOSSを含むソフトウェアのセキュリティ確保に向けた取組等

 

・・一般社団法人 Japan Automotive ISAC 技術委員会 委員長 
  マツダ(株)MDI&IT本部 主査(グローバルセキュリティ担当)
  山﨑 雅史氏

・[PDF] クルマのソフトウェア化に伴う、セキュリティ要件と求められる対応

20230830-60724

  • クルマのソフトウェア化に伴う「規制・標準」の各国動向
  • 継続的サイバーセキュリティ活動の重要性とその中でのSBOMの活用に向けて業界としての課題と今後

 

・・一般般社団法人 電子情報技術産業協会 ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長
  日本光電工業(株) 技術戦略本部 
  松元 恒一郎氏

・[PDF] 医療機器におけるサイバーセキュリティ対策とSBOMの活用

20230830-60752

  • 医療機器規制の国際調和を目指すIMDRFから「医療機器サイバーセキュリティの原則と実践」に関するガイダンスが2020年発行され、日本でも薬機法による規制にこのガイダンスを取り入れ、2023年3月付けで通知されました。この中でSBOMについても言及され、機器に実装される商用、オープンソース及び市販のソフトウェア部品のサイバーセキュリティに関する情報及びサポートの重要性も示されています。

 

・・Software ISAC OSS委員会 副委員長 
  鈴木 康弘氏(株式会社アシュアード)

・[PDF] SBOMの継続的な運用フローとリスク管理手法

20230830-60808

  • 継続的可能な運用フローの構築や、SBOMを活用したリスク管理手法を解説


 

ゼロトラスト関係 - 標準化部会(2023.08.23開催)

・2023.08.25 ゼロトラストと標準化

 


・・デジタル庁 戦略・組織グループ セキュリティ危機管理チーム セキュリティアーキテクト
  満塩 尚史氏 

・[PDF] デジタル庁におけるゼロトラストアーキテクチャへの取り組み

20230830-60833

  • ガイドラインや技術レポートを紹介
  • デジタル庁におけるゼロトラストアーキテクチャを推進する取組(ゼロトラストアーキテクチャ適用方針、常時リスク診断・対処、属性ベースアクセス制御等の)について紹介

 

・・JNSA 標準化部会 副部会長 
  松本 泰(セコム株式会社)

・[PDF] ゼロトラストと標準化部会の活動の関係について

20230830-60841

  • JNSAの標準化部会の4つのワーキンググループの活動の概観を説明

 

・・日本ISMSユーザグループ リーダー:
  魚脇 雅晴(エヌ・ティ・ティ・コミュニケーションズ株式会社)

・[PDF] ゼロトラストとISMS

20230830-60900

  • 本講演ではゼロトラストの歴史
  • ISMS(マネジメントシステム)との関係(技術とマネジメントシステムという両輪)について解説

 

・・デジタルアイデンティティワーキンググループ リーダー:
  宮川 晃一(日本電気株式会社)

・[PDF] ゼロトラスト環境実現に必要なIGA(アイデンティティガバナンス管理)とPBAC(ポリシーベースアクセス制御)について

20230830-60919

  • アイデンティティ情報を高度に管理するためのIGA(アイデンティティガバナンス管理)
  • 動的に適切なアクセス制御を実現するための方法(PBAC(ポリシーベースアクセス制御))を紹介

 

・・電子署名ワーキンググループ リーダー:
  宮崎 一哉(三菱電機株式会社)

・[PDF] ゼロトラストにとってのデジタル署名 vs. 電子署名にとってのデジタル署名

20230830-60925

  • 「トラスト」の相違とそこに起因するPKIやデジタル署名といった要素技術への要求の違いを紹介

 

・・PKI相互運用技術ワーキンググループ リーダー:
  松本 泰(セコム株式会社)

・[PDF] Always Verifyの実装となるリモートアテステーション

20230830-60932

  • ratsを中心に、進化するゼロトラストアーキテクチャの今後について説明

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

SBOM関係...

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.13 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

ゼロトラスト(SP1800-35, SP800-207関係)...

まるちゃんの情報セキュリティ気まぐれ日記

1800-35...

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

| | Comments (0)

より以前の記事一覧