JNSA サイバー攻撃被害組織アンケート調査（速報版） (2023.10.24)

こんにちは、丸山満彦です。

JNSAが、2021年に公表した「インシデント損害額調査レポート」に続いて、今後作成する予定の「インシデント損害額調査レポート第二版」の速報版として、「サイバー攻撃被害組織アンケート調査（速報版）」を公開していますね。。。

ワーキンググループのリーダーをしている神山さんと話す機会があったのですが、なかなか調査に協力してもらえないという悩みを聞きました。

よくサイバーセキュリティは、自助、公助、共助という話が昔からありますが、こういうアンケートに調査に協力するのは、共助ですね。。。

みなさん、ぜひ協力してくださいね。。。共助！！！

 

● JNSA

・2023.10.24 サイバー攻撃被害組織アンケート調査（速報版） 調査研究部会インシデント被害調査ワーキンググループ

・[PDF] 「サイバー攻撃被害組織アンケート調査」（速報版）

2021年版...

・2021.08.18 インシデント損害額調査レポート

・[PDF] [downloaded] 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.30 いまさらですが... 10年間で900万件の個人データの持ち出し？NTTグループ (2023.10.17)

 

 

NATO COE 書籍紹介：NATOの集団防錆を可能にする：重要インフラとレジリエンス

こんにちは、丸山満彦です。

米国陸軍士官学校出版部から、NATOの集団防錆を可能にする：重要インフラとレジリエンスが、昨年の11月に発刊されていましたね。。。

これ、参考になる部分も多くあるような気がします。。。サマリーしか読んでいませんが。。。

 

⚫︎United States Army War College Press

・2022.11.15 Enabling NATO’s Collective Defense: Critical Infrastructure Security and Resiliency (NATO COE-DAT Handbook 1)

 

Enabling NATO’s Collective Defense: Critical Infrastructure Security and Resiliency (NATO COE-DAT Handbook 1)	NATOの集団的防衛を可能にする： 重要インフラのセキュリティとレジリエンス (NATO COE-DAT Handbook 1)
In 2014 NATO’s Centre of Excellence-Defence Against Terrorism (COE-DAT) launched the inaugural course on “Critical Infrastructure Protection Against Terrorist Attacks.” As this course garnered increased attendance and interest, the core lecturer team felt the need to update the course in critical infrastructure (CI) taking into account the shift from an emphasis on “protection” of CI assets to “security and resiliency.” What was lacking in the fields of academe, emergency management, and the industry practitioner community was a handbook that leveraged the collective subject matter expertise of the core lecturer team, a handbook that could serve to educate government leaders, state and private-sector owners and operators of critical infrastructure, academicians, and policymakers in NATO and partner countries. Enabling NATO’s Collective Defense: Critical Infrastructure Security and Resiliency is the culmination of such an effort, the first major collaborative research project under a Memorandum of Understanding between the US Army War College Strategic Studies Institute (SSI), and NATO COE-DAT.	2014年、NATOの対テロ卓越防衛センター（COE-DAT）は、"テロ攻撃に対する重要インフラの保護 "に関する初回コースを開始した。このコースが受講者と関心を集めるにつれ、中心的な講師陣は、重要インフラ（CI）のコースを、CI資産の "保護 "の強調から "セキュリティとレジリエンス "へのシフトを考慮して更新する必要性を感じている。学術界、緊急事態管理、業界の実務家コミュニティに欠けていたのは、中核講師陣の専門知識を結集したハンドブックであり、NATOやパートナー国の政府指導者、国や民間企業の重要インフラ所有者や運営者、学術関係者、政策立案者を教育するのに役立つハンドブックであった。NATOの集団的防衛を可能にする： 重要インフラのセキュリティとレジリエンスはそのような努力の集大成であり、米国陸軍士官学校戦略研究所（SSI）とNATO COE-DATとの間の覚書に基づく最初の大規模共同研究プロジェクトである。
The research project began in October 2020 with a series of four workshops hosted by SSI. The draft chapters for the book were completed in late January 2022. Little did the research team envision the Russian invasion of Ukraine in February this year. The Russian occupation of the Zaporizhzhya nuclear power plant, successive missile attacks against Ukraine’s electric generation and distribution facilities, rail transport, and cyberattacks against almost every sector of the country’s critical infrastructure have been on world display. Russian use of its gas supplies as a means of economic warfare against Europe—designed to undermine NATO unity and support for Ukraine—is another timely example of why adversaries, nation-states, and terrorists alike target critical infrastructure. Hence, the need for public-private sector partnerships to secure that infrastructure and build the resiliency to sustain it when attacked. Ukraine also highlights the need for NATO allies to understand where vulnerabilities exist in host nation infrastructure that will undermine collective defense and give more urgency to redressing and mitigating those fissures.	研究プロジェクトは2020年10月、SSIが主催する4つのワークショップシリーズから始まった。書籍のドラフトは、2022年1月下旬に完成した。研究チームは、今年2月のロシアのウクライナ侵攻をほとんど想定していなかった。ロシアによるザポリツィヤ原子力発電所の占拠、ウクライナの発電・配電施設や鉄道輸送に対する相次ぐミサイル攻撃、同国の重要インフラのほぼすべての部門に対するサイバー攻撃は、世界にその存在を知らしめた。また、ロシアがNATOの結束とウクライナへの支援を弱めるために、ガス供給を欧州に対する経済戦争の手段として利用したことも、敵対する国家やテロリストが重要インフラを狙う理由を示すタイムリーな例である。そのため、重要インフラを保護し、攻撃されてもそれを維持できるレジリエンスを構築するために、官民のパートナーシップが必要なのである。ウクライナはまた、NATO同盟国がホスト国のインフラに存在する集団防衛を損なう脆弱性を理解し、その亀裂の是正と緩和をより緊急に行う必要性を強調している。

 

・[PDF]  26MB

 

・[PDF] Executive Summary 

 

・[mp3] Conversations on Strategy (14 min.)

 

目次...

Preface	序文
Acknowledgments	謝辞
Executive Summary	エグゼクティブサマリー
Chapter 1  – Understanding Critical Infrastructure	第1章 重要インフラを理解する
What Is Critical Infrastructure?	クリティカル・インフラストラクチャーとは何か？
Why Is Critical Infrastructure Important?	なぜ重要インフラが重要なのか？
What Is the Difference between CIP and CISR?	CIPとCISRは何が違うのか？
Key Work Streams in CISR Planning and Operations	CISRの計画・運用における主要なワークストリーム
Looking Back and Looking Ahead	振り返りと先読み
Chapter 2 – Physical Threats to Critical Infrastructure	第2章 重要インフラに対する物理的脅威
Natural Threats	自然の脅威
Man-made Threats	人為的な脅威
Case Study: In Amenas, Algeria	ケーススタディ アルジェリア、アメナスにて
Insider Threat	インサイダーの脅威
CBRNE Threat	CBRNE（核兵器）の脅威
Drone Threat	ドローンの脅威
Threats of Precision Strike Weapons	精密打撃兵器の脅威
Electromagnetic Pulse Threat	電磁パルスの脅威
Accidents and Technical Threats	事故と技術的脅威
More to Consider: Threats to Port Facilities	さらに考慮すべきこと 港湾施設に対する脅威
Increasing Sophistication and Outsourcing of Physical Threats	物理的脅威の高度化とアウトソーシングの進展
Nexus between Threat and Risk	脅威とリスクの関連性
Conclusion	まとめ
Chapter 3 – Cyber Threats to Critical Infrastructure	第3章 重要インフラへのサイバー脅威
Technical Layers and Structures in Critical Infrastructure	重要インフラにおける技術的な層と構造
Connectedness and Technical Complexity	連結性と技術的複雑性
Layers of Technology: Information Technology, Operational Technology, and the Industrial Internet of Things	技術のレイヤー 情報技術、運用技術、産業用インターネットオブシングス
Social Complexity and Socio-technical Structures	社会的複雑性と社会技術的構造
Seeking Gaps in the Organization and Business Management Levels	組織・経営管理レベルのギャップを求める
Human Capital, Culture, and Security	人的資本、文化、セキュリティ
Business Management and Coordination in Critical Infrastructure	重要インフラにおけるビジネスマネジメントとコーディネーション
Mindsets and Threat Actors	マインドセットと脅威の主体
A Difference in Mentality: Attackers and Defenders	メンタリティの違い 攻撃者と防御者
Threat Actors	脅威の担い手
Current and Emerging Cyber Threats	現在のサイバー脅威と新たな脅威
Ransomware	ランサムウェア
Business E-mail Compromise (BEC)	ビジネスメール詐欺（BEC）
Credential Stuffing	クレデンシャル・スタッフィング
Supply Chain Attacks	サプライチェーン攻撃
Conclusion	まとめ
Chapter 4 – Hybrid Threats to US and NATO Critical Infrastructure	第4章 米国とNATOの重要インフラに対するハイブリッドの脅威
Kinetic-Cyber-Hybrid Threats to Critical Infrastructure	重要インフラに対するキネティック・サイバー・ハイブリッドの脅威
Prepping the Battlespace: Weaponizing Critical Infrastructure  to Challenge US and NATO Military Supremacy	戦場への準備 米国とNATOの軍事的優位に挑戦する重要インフラの兵器化
Hybrid Threats to the US Homeland and Warfighting Capabilities	米国の国土と戦闘能力に対するハイブリッドな脅威
Hybrid Threats to US and NATO Mobility and Sustainment Operations	米国とNATOの機動性と持続性作戦に対するハイブリッドな脅威
Hybrid Threats from the People’s Republic of China	中華人民共和国からのハイブリッドな脅威
Hybrid Threats to the US and European Defense Industrial Bases	米国と欧州の防衛産業基盤に対するハイブリッドな脅威
NATO Measures to Redress Vulnerabilities from Hybrid Threats	ハイブリッド脅威による脆弱性を是正するためのNATOの対策
Conclusion	おわりに
Chapter 5 – European Energy and the Case of Ukraine	第5章 欧州のエネルギーとウクライナのケース
Brief History of European Energy Security Concerns	欧州のエネルギー安全保障問題の簡単な歴史
The Case of Ukraine	ウクライナの事例
Setting the Ukrainian Context: Early Energy Conflict	ウクライナのコンテクストを設定する 初期のエネルギー紛争
The Russo-Ukraine War Begins	ロシア・ウクライナ戦争が始まる
The Cyber War Begins (BlackEnergy and KillDisk)	サイバー戦争が始まる（BlackEnergyとKillDisk）
The Cyber War Escalates (CrashOverride)	激化するサイバー戦争（CrashOverride)
Collateral Damage: A Cyberattack on the Ukrainian Economy (NotPetya)	巻き添え被害： ウクライナ経済へのサイバー攻撃(NotPetya)
Attribution Evolves	アトリビューションの進化
Learning from Ukraine: Improving Infrastructure Safeguards .	ウクライナから学ぶ： インフラストラクチャーのセーフガードを改善する .
Improving Ukraine: Vulnerabilities	ウクライナを改善する： 脆弱性 .
Cyber Vulnerabilities	サイバー脆弱性 .
Nuclear Vulnerabilities	核の脆弱性
Improving Ukraine: Assistance	ウクライナの改善： 支援
A Key Vulnerability Persists	重要な脆弱性が残っている
Conclusion	結論
Epilogue .	エピローグ
Chapter 6 – Civil Aviation	第6章 民間航空
Understanding the Civil Aviation Industry	民間航空業界を理解する
National and Global Critical Infrastructure	国家と世界の重要インフラ
A Volatile Industry	不安定な産業
An Attractive Target	魅力的なターゲット
The Aviation Industry Remains Vulnerable	航空産業は依然として脆弱である
Aviation Security Is Rigid	航空セキュリティは厳格である
Aviation Security Is Highly Predictable	航空セキュリティは予測可能性が高い
Aviation Security Has Often Struggled to Keep Up with the Threat	航空セキュリティは、しばしば脅威への対応に苦慮してきた。
Case Studies: AVSEC Responses and Lessons to Learn	ケーススタディ AVSECの対応と学ぶべき教訓
Thwarted Liquids Plot, United Kingdom (2006)	英国で発生した液体テロ事件の阻止 (2006)
Liquids Plot: Insights and Analyses	液体テロ事件：洞察と分析
Compliance or Threat-oriented Aviation Security Systems?	コンプライアンス重視の航空保安システムか、脅威重視の航空保安システムか？
Need for Improved Physical Security Measures in Airport Public Areas	空港の公共エリアにおける物理的なセキュリティ対策強化の必要性
Recommendations and Best Practices to Reduce Vulnerability	脆弱性を軽減するための推奨事項とベストプラクティス
Develop a More Risk-based AVSEC Screening System	よりリスクベースのAVSECスクリーニング・システムの開発
Develop and Implement Threat Definitions Aligned to Adversary Capabilities	敵の能力に合わせた脅威の定義の策定と導入
Utilize Airline Passenger Travel Data for Risk-based  Screening Purposes	リスクベースのスクリーニングを目的とした航空旅客の旅行データの活用
Integrate Behavioral Detection Programs	行動検知プログラムの統合
Design and Implement Airport Community Security Programs	空港コミュニティセキュリティプログラムの設計と実施
Harden Airport Perimeters	空港の周辺を固める
Improve Regulation of the Airport’s Public Areas	空港の公共エリアに対する規制を強化する。
Avoid Over-reliance on Indications and Warning Intelligence	表示や警告情報に過度に依存しないようにする
Prioritize the Human Factor: Recruitment and Training	ヒューマンファクターを優先させる： 採用およびトレーニング
Conclusion	おわりに .
Chapter 7 – Mass Transit Railway Operations .	第7章 大衆交通機関である鉄道の運用 .
Railways Are Vulnerable by Design	鉄道は設計上脆弱である
Inherent Vulnerability and the Strategic Assessment of Risk .	内在する脆弱性とリスクの戦略的評価 .
Target of Choice or Opportunity?	選択の対象か、それとも機会か？
Multifaceted Nature of Railways	鉄道の多面的な性質
Complexity	複雑性
Regulation and Political Direction	規制と政治的方向性
Policing and Security	警察とセキュリティ
Media Impact	メディアへの影響
Plausible Methods of Attack (MoA) in the Rail Environment	鉄道環境における攻撃方法（MoA）の可能性
Fear of Terrorism	テロリズムへの恐怖
Exemplar 1: Exploding E-cigarette on the London Underground (2014)	例1：ロンドン地下鉄での電子タバコの爆発（2014年）
Sabotage and Attacks against the Line of Route (LoR)	路線（LoR）に対する妨害行為と攻撃
Exemplar 2: Specter of the Jihadi Derailer	例2：ジハード脱線犯の妖しさ
Exemplar 3: British Experience of LoR Attacks	例3：英国におけるLoR攻撃の経験
Physical Assaults against People	人に対する物理的な攻撃
Exemplar 4: UK Incident (2018)	例4：イギリスの事件（2018年）
Exemplar 5: French Incident (2017)	例5：フランスの事件（2017年）
Exemplars 6 and 7: German Incidents (2016)	例6、7：ドイツの事件（2016年）
Improvised Explosive Devices (IEDs)	即席爆発物（IED)
Exemplar 8: Low-level/Low-sophistication IED, London (2016)	例8：低レベル／低精巧なIED、ロンドン（2016年）
Exemplar 9: Expansive Attack, London (2005)	例9：拡大攻撃（ロンドン）（2005年
Exemplar 10: Expansive Attack, Madrid (2004)	例10：拡張型攻撃、マドリード（2004年）
Quick-acting Noxious Hazard	即効性のある有害なハザード
Exemplar 11: Tokyo Metro (1995)	例11：東京メトロ（1995年）
Firearms	火器類
Exemplar 12: Thalys Train Attack, Belgium and France (2015)	例12：タリス列車襲撃事件（ベルギー・フランス）（2015年
Social Engineering	ソーシャルエンジニアリング
Exemplar 13: IRA Binary Terrorism, United Kingdom	模範13：IRAバイナリーテロ（イギリス
Mixed-methods Attacks	ミックスメソッドによる攻撃
Exemplar 14: Adjacent to London Bridge Station (2017)	例14：ロンドン橋駅隣接（2017年）
Exemplar 15: Central Mumbai Station (2008)	例15：ムンバイ中央駅（2008年）
Developing the Lessons Available	利用可能な教訓を発展させる
Conclusion	結論
Chapter 8 – Water Sector Resilience and the Metropolitan Washington Case	第8章 水部門のレジリエンスとメトロポリタン・ワシントンの事例
Understanding the Water Sector .	水セクターの理解 .
Risks and Threats to the Water Sector .	水セクターのリスクと脅威 .
Water Sector Approaches to Resilience Planning	水セクターのレジリエンス計画へのアプローチ .
Metropolitan Washington Region Case Study	メトロポリタン・ワシントン地域のケーススタディ
Background and Goals	背景と目標
Risk Assessment and Modeling	リスクアセスメントとモデル化
Step 1: Develop System Inventory	ステップ1：システムインベントリの作成
Step 2: Define Levels of Service (LOS)	ステップ2: サービスレベル(LOS)の定義
Step 3: Identify Failure Modes	ステップ3: 故障モードの特定
Step 4: Define Likelihood of Occurrence (LOO)	ステップ4：発生可能性（LOO）の定義
Step 5: Define Consequence of Occurrence (COO) to Meet Level of Service .	ステップ5：サービスレベルを満たすための発生結果（COO）の定義
Step 6: Identify and Validate Feasible Alternatives	ステップ6: 実現可能な代替案の特定と妥当性確認
Results	結果
Recommendations and Actions for Consideration	検討すべき推奨事項および行動
Chapter 9 – Communications Resilience	第9章 通信のレジリエンス
Communications Sector Overview	通信セクターの概要
Critical for National Security and Emergency Preparedness	国家安全保障と緊急事態への備えとして重要な役割を果たす
Common Sector Characteristics	一般的なセクターの特徴
Communications Industry Segments	通信産業セグメント
Threats to Communications	通信を脅かすもの
Natural Disasters	自然災害
Physical Attacks	物理的な攻撃
Cyberattacks	サイバー攻撃
Case Studies	ケーススタディ
Physical Attack: Bombing of a Central Office,  Nashville, United States	物理的な攻撃 米国ナッシュビル、セントラルオフィス爆破事件
Physical Accident and Attack: Egyptian Undersea Cable Outages  (2008 and 2013)	物理的な事故と攻撃 エジプト海底ケーブル障害（2008年、2013年）
Natural Disaster: 2017 US Hurricane Season	自然災害：2017年米国ハリケーンシーズン
Cyberattack on Communication Systems: TV5 Monde .	通信システムに対するサイバー攻撃 TV5 Monde .
Distributed Denial of Service (DDoS): Mirai Botnet	分散型サービス拒否（DDoS）： Miraiボットネット
Conclusion	まとめ
Blue-sky Coordination and Relationship Building	青空の下での調整と関係構築
Identification of Risks and Appropriate Mitigation Strategies	リスクの特定と適切な緩和策
Communications Sector Resilience Enablers	通信セクターのレジリエンスを実現するもの
Chapter 10 – Comparing Policy Frameworks: CISR in the United States and the European Union	第10章 政策の枠組みを比較する： 米国と欧州連合におけるCISR
US CISR Framework .	米国CISRのフレームワーク
What Guides US CISR Policy?	米国のCISR政策を導くものは何か？
Adopting a Sound Risk Management Framework	健全なリスクマネジメントのフレームワークの採用
A New Approach: Managing Cross-sector Risk to Critical Infrastructure	新しいアプローチ： 重要インフラに対するセクターを超えたリスクマネジメント
Who Is Responsible for CISR Efforts?	誰がCISRの取り組みに責任を持つのか？
Effective CISR: Built on Collaboration and Information Sharing .	効果的なCISR：コラボレーションと情報共有の上に成り立つ.
Moving Forward: Sustaining CISR Success for the Long Term	前進する： CISRの成功を長期的に維持するために
EU CISR Policy Framework	EU CISR政策の枠組み
2004: Embryonic Stage Motivated by Fight against Terrorism	2004: テロとの闘いを動機とした萌芽的段階
2005: From the Fight against Terrorism to an All-hazards Approach	2005: テロとの闘いからオールハザード・アプローチへ
2006: EU Formally Creates EPCIP	2006: EU、EPCIPを正式に設立
2008: Identifying, Designating, and Protecting ECI	2008: ECIの特定、指定、保護
2013: EPCIP 2.0—A New Approach .	2013: EPCIP 2.0-新たなアプローチ.
2016: Directive on Network and Information Security .	2016: ネットワークと情報セキュリティに関する指令 .
2020: Proposal for Directive on Resilience of Critical Entities .	2020: 重要な事業体のレジリエンスに関する指令の提案.
EU’s Future: Continuous Improvement and Adapting  to New Threats	EUの未来： 継続的な改善と新たな脅威への適応
Chapter 11 – Information and Intelligence Sharing	第11章 情報とインテリジェンスの共有
Information-sharing Foundational Concepts	情報共有の基礎的な概念
Value-added Partnerships	付加価値の高いパートナーシップ
Importance of Trusted Relationships	信頼関係の重要性
Multidirectional Sharing	多方向の共有
Timely Information to Those Who Can Act	行動できる人へのタイムリーな情報提供
Information-sharing Disincentives	情報共有の阻害要因
Information-sharing Subcategories	情報共有のサブカテゴリー
Cybersecurity.	サイバーセキュリティ.
Physical Security .	物理的セキュリティ.
Risk Analysis and Mitigation	リスク分析および軽減
Information-sharing Regimes and Programs	情報共有のための制度とプログラム
Case Studies: Information Sharing in Action	ケーススタディ 情報共有の実践
Cyber Health Working Group: Public-Private Information Sharing	サイバーヘルスワーキンググループ 官民の情報共有
If You See Something, Say Something® .	何かを見たら、何か言え® .
Attack on the US Capitol: An Information-sharing Failure?	米国連邦議会議事堂への攻撃： 情報共有の失敗？
National Terrorism Advisory System	国家テロリズム諮問システム
National Special Security Events and Special Event Assessment Rating	国家特別安全保障イベントと特別イベント評価格付け
Summary and Actions for Consideration	まとめと検討のための行動
Chapter 12 – Critical Infrastructure Interdependency Modeling and Analysis: Enhancing Resilience Management Strategies	第12章 重要インフラ相互依存のモデリングと分析： レジリエンス管理戦略の強化
Risk, Resilience, and Interdependencies	リスク、レジリエンス、相互依存性
Critical Infrastructure Interdependency Taxonomies and Concepts	重要インフラ相互依存の分類と概念
Critical Infrastructure Modeling	重要インフラストラクチャーのモデリング
Critical Infrastructure Interdependency Analysis Framework .	重要インフラ相互依存性分析フレームワーク.
Identification of Key Stakeholders’ Needs .	主要ステークホルダーのニーズの特定 .
Identification of Major Assets and Systems	主要な資産とシステムの特定
Data Collection	データ収集
Infrastructure Analysis	インフラ分析
Definition of Resilience Strategies	レジリエンス戦略の定義
Operationalization of Critical Infrastructure Interdependencies	重要インフラ相互依存の運用化
Conclusion	まとめ
Chapter 13 – Security Risk Assessment and Management .	第13章 セキュリティリスクの評価とマネジメント .
Defining Security Risk Management	セキュリティリスクマネジメントの定義
Risk Management Frameworks	リスクマネジメントのフレームワーク
National Risk Programs	国家リスクプログラム
Managing Security Risks .	セキュリティリスクのマネジメント .
Building from the Bottom Up .	ボトムアップで構築する .
Building a Common Understanding of Risks .	リスクに関する共通理解の構築 .
Necessary Characteristics of High-quality Risk Programs	質の高いリスクプログラムに必要な特性
Transparency	透明性の確保
Risk Communication	リスクコミュニケーション
Risk Governance	リスクガバナンス
Chapter 14 – Enhancing Cybersecurity of Industrial Control Systems	第14章 産業用制御システムのサイバーセキュリティを強化する
An Overview of Industrial Control Systems (ICS)	産業用制御システム（ICS）の概要
Security Concerns in ICS	ICSにおけるセキュリティ上の懸念
Vulnerabilities in ICS Components	ICSコンポーネントの脆弱性
ICS Components Exposed to the Internet	インターネットに公開されたICSコンポーネント
Connection with Business Systems	業務システムとの接続
Outdated Components	老朽化した部品
Remote Access to Control Networks	制御ネットワークへのリモートアクセス
Insecure Nature of ICS Protocols	ICSプロトコルの安全性の低さ
Major Cyber Incidents	主なサイバーインシデント
Stuxnet (2010)	Stuxnet (2010)
BlackEnergy (2011)	BlackEnergy (2011)
Havex (2013)	ハベックス (2013年)
German Steel Mill (2014)	ドイツ製鉄所（2014年）
Ukraine Blackout (2015)	ウクライナのブラックアウト（2015年）
RWE’s Nuclear Power Plant, Germany (2016)	ドイツ・RWE社原子力発電所（2016年）
CrashOverride (2016)	クラッシュオーバーライド(2016年)
TRITON (2017)	トリトン（2017年）
Water Treatment Plant, United States (2021)	米国・水処理プラント（2021年）
Colonial Pipeline (2021)	コロニアルパイプライン（2021年）
Security Recommendations for ICS	ICSに対するセキュリティの推奨
Basic Cyber Hygiene Practices	サイバー衛生の基本的な実践
Essential Cybersecurity Measures Specific to ICS	ICSに特化したサイバーセキュリティの必須対策
Risk Management for ICS Cybersecurity	ICSサイバーセキュリティのためのリスクマネジメント
Risk Assessment Methodology for ICS	ICSのリスクアセスメント方法論
Detailed Risk Assessment Approach	詳細なリスク評価アプローチ
Scenario-based Approach for Security Baseline	セキュリティベースラインのためのシナリオベースアプローチ
Defending against Cyberattacks: Looking to the Future	サイバー攻撃からの防御 未来への展望
National-level Efforts for CISR.	CISRの国家レベルでの取り組み
International-level Efforts for CISR	CISRのための国際的な取り組み
Conclusion	おわりに
Chapter 15 – Crisis Management and Response	第15章 危機管理・対応
Critical Infrastructure	重要なインフラストラクチャー
Why Is Crisis Management and Response Important? .	なぜ危機管理と対応が重要なのか？
Incidents, Emergencies, and Crises: What Is the Difference?	インシデント、エマージェンシー、クライシス： 何が違うのか？
Developing Crisis Management Capability .	危機管理能力の開発 .
Anticipate and Assess	予見と評価
Prepare	準備する
Response and Recovery	対応と復旧
Crisis Management Team and Leadership	危機管理チームとリーダーシップ
Training, Exercising, and Learning from Crises	訓練、演習、そして危機からの学習
NATO and Crisis Management	NATOと危機管理
Developments in Crisis Management and Resilience	危機管理とレジリエンスの発展
Summary and Conclusion	まとめと結論
About the Contributors	貢献者について

 

 

防衛省 防衛研究所 『大国間競争の新常態』

こんにちは、丸山満彦です。

防衛省の防衛研究所が、『大国間競争の新常態』という書籍を販売しています。が、その内容がPDFでウェブから読めますので、参考まで。。。

情報セキュリティよりも、安全保障の話が目立ってきているかもしれませんが、、、まぁ、Securityということで。。。

 

⚫︎ 防衛省 防衛研究所

・2023.03 『大国間競争の新常態』

著者：増田 雅之（編著）

発行年：2023年3月

中国の台頭と米国の相対的衰退というパワーバランスの変化が生じ、パワー、利益、価値、規範そしてそれらを反映する国際秩序の在り方をめぐる米中競争が熾烈さを増している。米中戦略的競争の論理と構図、大国間競争におけるロシア・ファクターの実相、大国間競争のなかでの地域秩序の在り方を検討し、国際秩序の行く末を探る。

 

目次

はしがき

序　章　　　大国間競争のダイナミズム （増田 雅之）

第１部　　　米中戦略的競争とロシア・ファクター

第１章　　中国の国際秩序構想と大国間競争——自信と不満が交錯する「大国外交」（増田 雅之）

コラム①　サウジアラビアにとっての中国の戦略的価値とその限界 （𠮷田智聡）

第２章　　米国と対中競争——固定化される強硬姿勢（新垣 拓）

第３章　　ロシアの古典的な大国構想——遠のく「勢力圏」（山添 博史）

第２部　　　大国間競争のなかの地域秩序

第４章　　ASEANの「中立」——米中対立下のサバイバル戦略（庄司 智孝）

第５章　　大国間競争のなかの豪州——同盟と地域の狭間で（佐竹 知彦）

コラム②　大国間競争のなかで復活したQUAD （小熊真也）

第６章　　大国間競争下の南アジア——米中競争時代の到来と「対テロ戦争」の残滓（栗田 真広）

第７章　　戦略的競争における欧州——国際秩序と地域秩序の相克（田中 亮佑）

注

奥付

著者（肩書は刊行時点）

編著者
増田 雅之　理論研究部 政治・法制研究室長

著者
新垣 拓　　地域研究部 米欧ロシア研究室 主任研究官
山添 博史　地域研究部 米欧ロシア研究室 主任研究官
庄司 智孝　地域研究部 アジア・アフリカ研究室長
佐竹 知彦　政策研究部 防衛政策研究室 主任研究官
栗田 真広　政策シミュレーション室 主任研究官
田中 亮佑　地域研究部 米欧ロシア研究室 研究員

 

 

 

NHK 映像の世紀 バタフライエフェクト ロックが壊した冷戦の壁SP

こんにちは、丸山満彦です。

これ面白かったです。（David Bowieが好きだからだけではなく...David BowieのCDはほぼ全て持っていました。。。場所がなく捨てましたが。。。今はオンラインで聴けますからね...）

作品自体は過去の「映像の世紀」を再編集しているのでしょうが、、、時間がある方は是非...（NHK＋で見られるのは、2023.03.04 16:17まで）

 

● NHK 

・2023.02.25 バタフライエフェクト ロックが壊した冷戦の壁SP

 

いつも時代は若者が作っていかないといけないのではないかなぁ...と思いました。。。年配者が過去の経験に基づいて若者を押さえつけてリードをしている国や組織というのは、やがて衰退していくのでしょうね。。。

若者がリードをする、年配者が少しアドバイスをする、くらいがちょうど良いのかもしれません、、、勢いよく前に進む、多少のミスはある。でも、何もできなくなり、前にも進んでいないよりも良い。。。

 

 

 

 

読みました！ 「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」

こんにちは、丸山満彦です。

プリファードネットワークのCISO, CPOを務める高橋正和さんの著書、「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」[amazon] を読み終えました。。。

 

本書がどんな本かは、前書きから、、、

---

セキュリティ事件・事故のシナリオに基づいた机上演習フレームワークをCISO-PRACTSIEと呼称し、経営者がセキュリティの文脈を理解し、CISOを始めとしたセキュリティ担当者が、経営視点や事業視点を身につける機会として事件・事故を想定し、そこから逆算して対策の検証を行う手法を提案します。

---

詳細に、丁寧に書かれていますね。。。

参考になるところが、あちこちにあると思います。是非是非。。。

 

 

ところで、この机上演習ですが、、、以下の資料を参考にしていますね。。。

● JPCERT/CC

・2016.03.31 [PDF] 高度サイバー攻撃(APT)への備えと対応ガイド～企業や組織に薦める一連のプロセスについて

図 18：様々な演習と効果

ただ、このJPCERT/CCのガイドの図はどこからきたのですかね。。。

 

この辺り（国家安全保障省のHomeland Security Exercise and Evaluation Program）からですかね。。。これ自体は2020年のものですが、2013年発行の前のバージョンがあったのです。。。

● Homeland Security Agency

・Homeland Security Exercise and Evaluation Program (HSEEP)

Homeland Security Exercise and Evaluation Program	国土安全保障演習と評価プログラム
Exercises are a key component of national preparedness — they provide the whole community with the opportunity to shape planning, assess and validate capabilities, and address areas for improvement. HSEEP provides a set of guiding principles for exercise and evaluation programs, as well as a common approach to exercise program management, design and development, conduct, evaluation, and improvement planning.	演習は国家的な準備態勢の重要な要素であり、地域社会全体に計画を形成し、能力を評価・検証し、改善すべき分野に対処する機会を提供するものである。 HSEEPは、演習と評価プログラムのための一連の指導原則と、演習プログラムの管理、設計と開発、実施、評価、および改善計画に対する共通のアプローチを提供する。
Through the use of HSEEP, the whole community can develop, execute, and evaluate exercises that address the preparedness priorities. These priorities are informed by risk and capability assessments, findings, corrective actions from previous events, and external requirements.  These priorities guide the overall direction of an exercise program and the design and development of individual exercises.	HSEEPの利用により、地域社会全体が準備の優先順位に対応した演習を開発、実施、評価することができる。 これらの優先事項は、リスクと能力の評価、所見、過去の事象からの是正措置、および外部要件によってもたらされる。  これらの優先順位は、演習プログラムの全体的な方向性と個々の演習の設計と開発の指針となる。
These priorities guide planners as they identify exercise objectives and align them to capabilities for evaluation during the exercise. Exercise evaluation assesses the ability to meet exercise objectives and capabilities by documenting strengths, areas for improvement, capability performance, and corrective actions in an After-Action Report/Improvement Plan (AAR/IP). Through improvement planning, organizations take the corrective actions needed to improve plans, build and sustain capabilities, and maintain readiness.	これらの優先順位は、計画者が演習の目的を特定し、演習中に評価するための能力と整合させる際の指針となる。演習の評価では、演習の目的および能力を満たすために、強み、改善すべき点、能力のパフォーマンス、および是正措置を事後報告/改善計画（AAR/IP）に文書化することによって評価する。改善計画を通じて、組織は計画を改善し、能力を構築・維持し、即応性を維持するために必要な是正措置を講じる。
・[PDF] Homeland Security Exercise and Evaluation Program Doctrine	国土安全保障演習・評価プログラムのドクトリン
・[PDF] El Programa de Evaluación y Ejercicios de Seguridad Nacional	国土安全保障評価演習プログラム
・[PDF] HSEEP Information Sheet	HSEEP情報シート
・[PDF] HSEEP Frequently Asked Questions 2020	HSEEPよくある質問2020

 

 

・[PDF] Homeland Security Exercise and Evaluation Program Doctrine

 

 

演習は、大きく

1. ディスカッションベース：セミナー、ワークショップ、机上演習（TTX）、ゲーム
2. オペレーションベース：ドリル、機能演習 (FE) 、総合演習（FSE）

の２パターンを示していますね。。。

 

---

1. ディスカッションベースの演習

ディスカッション形式の演習には、セミナー、ワークショップ、机上演習（TTX）、ゲームなどがある。この種の演習は、計画、方針、手順、および協定に慣れ親しんだり、新しいものを開発したりするものである。ディスカッションベースの演習は、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンターが議論をリードし、参加者が演習の目的を達成するために動き続けるものである。次の表（表2.3, 表2.4、表2.5、表2.6）には、それぞれのタイプのディスカッションベースの演習の重要な情報が記載されている。

表2.3：ディスカッション型演習の種類：セミナー

セミナー
当局、戦略、計画、方針、手順、プロトコル、リソース、概念、およびアイデアについて参加者に説明する、または概要を提供するディスカッションベースの演習。
要素	考察と活動
目的	•        共通の理解の枠組みを提供する
	•        既存の計画、方針、または手順を開発または大きく変更するための良い出発点を提供する。
構造	•        通常、複数のプレゼンテーション、主題専門家（SME）パネル、またはケーススタディ・ディスカッションの形式で行われる。
	•        講義形式
	•        セミナーのファシリテーター/プレゼンターが主導する
	•        参加者からのフィードバックやインタラクションが少ない
参加者の目標	•         省庁間の能力または管轄区域間の業務に対する認識を得る、または評価する。
	•        将来の能力に関する目標を設定する
実施上の特徴	•        最小限の時間的制約
	•        少人数でも大人数でも効果的
成果	•         議論、提起された問題、および（適切な場合）これらの問題に対処するためのアクションアイテムを記録した報告書
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

表2.4：ディスカッション型演習の種類：ワークショップ

ワークショップ
政策、計画、手順の策定によく用いられる議論ベースの演習。
要素	考察と活動
目的	•        製品の実現や構築にフォーカスした参加者同士の交流の活発化
	•        目的、製品、または目標が明確に定義され、特定の問題に焦点を当てたものであること
構造	•        ディスカッションができる場での個人の集まり
	•        講義、プレゼンテーション、パネルディスカッション、ケーススタディーディディスカッション、または意思決定支援ツール ワーキングブレイクアウトセッションのファシリテーション ワークショップのファシリテーター/プレゼンターがリードする
参加者の目標	•        グループでの製品開発
	•        コンセンサスを得る
	•        情報の収集または共有
実施上の特徴	•        少人数でも大人数でも効果的
	•        関連するステークホルダーが幅広く参加
	•        明確な目的・目標に基づく実施
	•        講義形式ではなく、参加者同士のディスカッション形式
	•        同じようなグループと課題の一部を探索するために、頻繁にブレイクアウトセッションを利用する
成果	•        緊急時対応計画
	•        相互援助協定
	•        標準作業手順書
	•         事業継続計画
	•        ワークショップ概要報告
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

表2.5：ディスカッション型演習のタイプ：机上演習

机上演習 Tabletop Exdercise (TTX)
概念的な理解を促進し、長所と改善点を明らかにし、計画、政策、または手続きに関する認識の変化を達成するために、さまざまな問題について対話を行うことを目的とした、シナリオに応じたディスカッションベースの演習である。
要素	考察と活動
目的	•        演習シナリオに関する様々な課題についての議論を行う
	•        概念的な理解を促進し、強みと改善点を明らかにする、または認識の変化を達成する
構造	•        シナリオを提示し、模擬的な時間における事象を説明する
	•        プレイヤーは、ファシリテーターから提示された問題のリストに自分の知識とスキルを適用する
	•         問題点をグループで話し合い、解決に至り、後の分析のために文書化することができる
	•        全体会議または分科会（複数可）
	•        ファシリテーター（複数）によるディスカッション
	•        プレゼンテーション
参加者の目標	•        一般的な認知度の向上
	•        役割と責任の理解を深める
	•        計画や手順の妥当性確認
	•        定義されたインシデントにおけるシステムの種類を評価し、コンセプトを議論する
実施上の特徴	•        経験豊富なファシリテーターが必要
	•        徹底討論
	•        問題解決型の環境
	•        参加者全員が議論に貢献するよう奨励し、無過失責任な環境で意思決定していることを再認識させる必要がある
成果	•        現行の計画、方針、手順の改訂を推奨する。
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

表2.6：ディスカッション型演習の種類：ゲーム

ゲーム
個人またはチーム向けに設計された、競技または非競争環境での構造化されたプレイであり、議論に基づいたエクササイズ。プレーヤーが参加するイベントであり、その実行には明確なルール、データ、手順が指導される。ゲームは、実際の状況または仮想の状況を描写し、参加者がもっともらしい意思決定と行動を確実に行えるように設計されている。ゲームは、トレーニングの強化、チームビルディングの活性化、作戦・戦術能力の向上などに利用することができる。
要素	考察と活動
目的	•        プレイヤーの意思決定や行動の帰結を探る操作シミュレーション
	•        重要な意思決定ポイントの特定は、ゲーム評価の成功に大きく影響する
構造	•        通常、2つ以上のチームが参加できる環境において、実際の状況または仮想の状況を想定したルール、データ、手順を使用する
	•         意思決定は、演習のデザインと目的によって、ゆっくりじっくり行うことも、素早くストレスのかかることを行うこともできます
	•        ゲームのオープンで意思決定に基づく形式は、エクササイズの効果を拡大する「もしも」の質問を取り入れることができる
	•        ゲームのデザインによって、プレイヤーの行動の結果は、事前に記述される場合と動的に決定される場合がある
参加者の目標	•        意思決定のプロセスと結果を探る
	•        既存プランの「what-if」分析の実施
	•        既存および潜在的な戦略を評価する
実施上の特徴	•        実際に使用するリソースはない
	•        多くの場合、2つ以上のチームが参加する
	•        ゲームの進行に応じて複雑化するモデルやシミュレーションが含まれる場合がある
	•        あらかじめ用意されたアクティビティが含まれる場合と含まれない場合がある
成果	•        計画、方針、手順の妥当性確認、またはリソース要件の評価
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

 

 

2. ディスカッションベースの演習

オペレーションベースの演習には、ドリル、機能演習（FE）、および総合演習（FSE）が含まれる。これらの演習は、計画、方針、手順、および合意を検証し、役割と責任を明確にし、リソースのギャップを特定するものである。運用に基づく演習は、通信の開始、人員及び資源の動員などのリアルタイムの応答を含む。次の表（表2.7、表2.8、表2.9）は、それぞれのタイプのオペレーションベースの演習のための重要な情報を提供する。

 

表2.7：オペレーションベースの演習の種類：ドリル

ドリル
オペレーションに基づく演習で、単一のオペレーションまたは機能を検証するためによく採用される。
要素	考察と活動
目的	•         単一の機関/組織における特定の機能または能力を検証するため調整され、監督された活動で、多くの場合、単一の操作または機能を検証するために使用される
	•        新しい機器のトレーニング、手順の検証、または現在のスキルの練習と維持の提供
構造	•        単体でも、連続したドリルとしても使用可能
	•        明確に定義された計画、手順、プロトコルを実施する必要がある
参加者の目標	•        新しい手順、方針、および/または機器を評価する
	•         スキルの練習と維持
	•        今後の演習に備える
実施上の特徴	•        即時フィードバック
	•        リアルな環境
	•        ナローフォーカス
	•        単体での性能
	•        結果は、確立された基準に照らして測定される
成果	•        計画が設計通りに実行されるかどうかを判断する
	•        さらなるトレーニングが必要かどうかを評価する
	•        ベストプラクティスの強化
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

表2.8：オペレーションベースの演習の種類。機能演習

機能演習Function Exercise（FE）
オペレーションベースの演習は、現実的なリアルタイムの環境下で、能力や機能をテストし評価するように設計されているが、リソースの移動は通常シミュレートされる。
要素	考察と活動
目的	•        能力、複数の機能及び／又は下位機能、又は相互依存のある活動群を検証し評価する。
	•        管理、指揮、統制の機能に関わる計画、方針、手順、スタッフについて演習する。
	•        危機的状況下で、確立されたプラン、ポリシー、手順を適用する
構造	•        現実的な演習シナリオでイベントが投影され、イベントの更新により、通常、管理者レベルでの活動が促進される
	•        コントローラは通常、マスターシナリオイベントリスト（MSEL）を使用して、参加者の活動が事前に定義された境界線内に収まるようにする
	•        評価者は行動を観察し、確立された計画、方針、手順、標準的な実践（該当する場合）に照らして比較する。
参加者の目標	•        能力の検証・評価
	•        計画、方針、手続きに重点を置く
実施上の特徴	•        現実的な環境で実施
	•        通常、リソースと人員の配置をシミュレートしている
	•        シミュレーションセルとマスターシナリオイベントリスト（MSEL）の活用
	•        シミュレーターはシナリオの要素を注入することができる
	•        コントローラーと評価者を含む
成果	•        緊急時対応センター（EOC）、指揮所、本部、スタッフの管理評価
	•        パフォーマンス分析
	•        協力関係の強化
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

表2.9:オペレーションベースの演習の種類：総合演習

総合演習 Full-Scale Exercise (FSE)
演習の種類の中で最も複雑で資源を必要とし、多くの場合、複数の機関、管轄区域/組織、および資源のリアルタイムの移動を伴うオペレーションベースの演習である。
要素	考察と活動
目的	•        ICS（インシデント・コマンド・システム）のような協力体制のもとで活動する多くのプレーヤーを含むことが多い
	•        ディスカッション形式の演習で作成され、以前の小規模な演習で磨かれた計画、方針、手順の実施と分析に重点を置いている。
構造	•        イベントは演習シナリオを通して投影され、イベントのアップデートによりオペレーションレベルでの活動が促進される
	•        複数の機関、組織、管轄区域が関与していること
	•        MSELの使用は、プレイヤーの行動を促進する
	•        SimCellコントローラは、シナリオ要素を注入する
	•        他のタイプのエクササイズに比べ、必要なサポートのレベルが高い可能性がある
	•        複雑な問題を提示し、実際の事件を反映させたリアルな環境で実施
参加者の目標	•        計画や手順で示された役割と責任を実証する
	•        複数の機関、組織、管轄区域の間の調整
実施上の特徴	•        迅速な問題解決、クリティカルシンキング
	•        人材とリソースの動員
	•        運動場は通常、多くの活動が同時に行われる大規模なものである
	•        サイトロジスティクスの綿密なモニタリングが必要
	•        特に小道具や特殊効果の使用に関する安全性の問題を監視する必要がある
	•        計画や手順で示された役割と責任を実証する
成果	•        計画、方針、手順の妥当性確認
	•        リソース要求の評価
	•        アフターアクションレポート（AAR）／改善計画（IP）

 

 

PwC サイバーセキュリティに関するグローバルの調査と日本の調査

こんにちは、丸山満彦です。

所属組織の宣伝めいた内容はブログに書かないのですが、これは例え所属組織でなかったとしても、多くの人に読んでもらいたいと思ったので、紹介です。。。

一つは、グローバル3,500名を超える役員に調査をした結果をまとめたものです。（日本語で読めます...）

サイバーセキュリティ対策は経営問題なのから、経営者 (CxO) がまさにBoard Roomに集まって議論をして対応をしましょう。という話です。経営者であれば、取締役会や経営会議で会社の重要事項を色々と議論し、会社の方針として決議していると思いますが、それと同じレベルで、同じことをすべきですよね。という話です（当たり前といえば当たり前の話ですが。。。）

その議論の時に、CEOならその立場を利用してどういう貢献ができるか？、CFOならどうか？、CIOならどうか？、さらには株主の委任を受けた取締役としてはどうか？というような話が書いています。。。

日本では橋渡し人材の話が出ていますが、それはもちろん重要なのですが、一段上のCxOのレベルで本当に議論しましょうね！という話です。。。

 

● PwC Japan

・2023.01.11 サイバー有事に備えたCxOの結束の必要性『Global Digital Trust Insights 2023年版』調査結果より

・[PDF] 

オリジナルはこちら...

・A C-suite united on cyber-ready futures - Findings from the 2023 Global Digital Trust Insights

・[PDF] （情報入力が求められます...）

 

---

 

もう一つは、日本の調査ですが、その結果を踏まえて、一歩先をいくサイバーセキュリティ対策を考えています。情報に基づいてセキュリティ対策をダイナミック（動的）に変えていくという考え方です。

ただ、この考え方は、私がNISCにいるときに、すでに亡くなられた山口先生とも議論していた話（当時はMoving Targetにいかに対応するかという文脈でした）で、目新しいわけではないのですが、その重要性がより高まり、かつ、それが実施できる環境も整ってきたということだと思います。

 

例えば、

● 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合ＰＴ

・2007.01.18 [PDF] 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合ＰＴ 第１回情報通信ＰＴ 議事録 （2006.12.19開催）

---

○山口委員

...セキュリティの問題として嫌なのが、１個やれば全部片づくというわけではなくて、リスクの変化というのがありますので、ムービングターゲットを追っかけていくというところがあって、常にいろんな問題が出てくる。また、こういったリスク低減を目指すという研究をやっていっても、ある一定の成果を出しても、すぐにリスクは変容するというようなところで、同じテーマの名前でどんどん研究が変わっていくという特性なんかもあるわけです。

...

それからもう一つは、先ほど申し上げましたリスク低減型研究というのに関しては、レビューが必要であると思っています。これは特にムービングターゲットを持っているという性質上、変化するリスクを可視化することで本当に最初計画されていた幾つかの問題というのを解くと。例えば、スパムを解くとか、ボットを解くとか、いろいろ解くものを決めているんですけれども、これらの質が変わるというところで、本当に状況の変化にキャッチアップすることをちゃんとやっているのかどうかということをやることで、施策の中で足りない領域をちゃんとアイデンティファイすること。それから、萌芽的研究が存在するかを見ていくということがあります。

---

 

● IT media

・2005.06.03 Linuxが情報セキュリティ管理に果たす役割とは？

---

われわれを取り巻くIT環境はどんどん変化している。結果として、セキュリティ管理の目標も変動する。「ムービングターゲットを追求していかなければならない。『あのときはOKだったからこれでいい』とか『他社がこうしているのだからうちもこうしよう』ではだめ」（山口氏）。

　逆に、情報セキュリティ管理をしっかり実現していくことで、「これまで利益を生み出さない『ロスセンター』と言われてきたけれど、業務を改善し、強くて耐久性のあるビジネスを作り出すツール」（同氏）として位置付けていくことができるとした。

---

 

さて、肝心のPwCの報告書ですが、こちらです。。。

・2023.01.12 2023年 Cyber IQ調査 ―インテリジェンス活用によるダイナミックなセキュリティ対策への転換

・[PDF] 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.07 日本企業のセキュリティの状況の調査　PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

 

 

読みました！ 「偽情報戦争」

こんにちは、丸山満彦です。

JPCERT/CCの小宮山さんも執筆者に加わっている「偽情報戦争」[amazon] を読み終えました。。。

 

 

まず、専門書ではないです。これからの議論のきっかけとなるための書物という感じでしょうか。。。とても、読みやすく、スラスラとあっという間に読めました。

読みやすし、きっかけに是非一読を。。。というのが私のコメントです。。。

全体としては、認知戦に関する話で、その認知戦にIT技術（AI等）、サイバー空間（SNS等）が手段としての重要性を帯びてきている現状をどのように理解したら良いのだろうか？ということで書かれているように思いました。。。

この正月休みに、司馬遼太郎の「ロシアについて」、陳舜臣の「中国五千年」を読んだところだったので、ロシア、中国の認知戦の話についても興味深く読むことができました（あまり関係ないですが...）。

最初に表１外交・安全保障における世論形成手段を示してくれているので、素人には言葉による誤解が防げてよかったです。。。

パブリック・ディプロマシー	Public Diplomacy	自らの国益に資するべく、相手国世論に直接働きかけ、自国のイメージやプレゼンスを向上させる。公共外交や広報外交などともいわれる（外務省は広報文化外交としている）。透明性があり、相手を魅了するための外交手段とされる。実行形態として①Listening（傾聴）、②Advocacy（立場の主張）、③Cultural Diplomacy（文化外交）、④Exchange Diplomacy（交流外交）、⑤International Broadcasting（国際放送）に区分されることが多い。
プロパガンダ	Propaganda	不特定多数の大衆を一定の方向に導き、行動を起こさせるため、社会心理的な手法で特定の考え方や価値観を植え付ける組機的な活動。
影響工作	Influence Operation	平時から有事、そして紛争後に、相手国世論の意見や態度を自らの国益と目的を促進させる方向に醸成するため、外交、軍事、経済、サイバー、情報、その他の能力を統合・連携させ適用すること。
戰略的コミュニケーション	Strategic Communication	国家目標を推進するために、協調的行動、メッセージ、イメージ、その他の形態のシグナリングまたはエンゲージメントによって、特定の聴衆に情報発信し、影響を与え、説得しようとすること。単なる広報活動や情報操作、世論操作と異なる。
情報作戦	Information Operations	電子戦、コンピュータ・ネットワーク作戦、心理作戦、オペレーション・セキュリティ、欺瞞作戦の中核的能力を、特定の支援・関連能力と連携して統合的に活用し、敵対する人間や自動意思決定に影響を与え、混乱させ、あるいは奪し、同時に自国の意思決定を保護する作戦。米国防総省が行う作戦との解釈もされる。
情報戦	Information Warfare	自国の情報空間をコントロールし、自国の情報へのアクセスを防護しながら、相手の情報を取得・利用し、情報システムを破壊し、情報の流れを混乱させることで相手に対して優位に立つ作戦。一方、中国の指す情報戦は平時の影響工作や心理戦など幅広く含まれるとの解駅もされる。
ディスインフォメーション・キャンペーン	Disinformation Campaigns	経済的・政治的目的を達成するため、意図的に世論を敷くために作り出されたディスインフォメーション（偽情報）を拡散し、公共に害を与える活動。民主的な政治や政策決定に対する脅威につながる。
認知戦	Cognitive Warfare	ターゲットとなる国民、組織、国家を干渉または不安定化させることを目的とし、ターゲットの考え方や選択に影響を与え、意思決定の自律性を弱体化させるために用いられる作戦。認知戦に係る活動は軍事に限らず政治、経済、文化、社会など人々の日常生活全体に適用される。ディスインフォメーションも用いられる。
ハイブリッド戦	Hybrid Warfare	国家および非国家の在来型手段と非在来型手段の相互作用や融合を伴う戦争。戦争と平時の境界線が不明瞭になるといった特徴を持つ。
三戦	Three Warfares	世論戦、心理戦、法律戦を指し、軍事的および経済的手段であるハードパワーを用いることなく敵を弱体化させる戦術。2003年に中国人民解放軍政治工作条例に記載された。
シャープパワー	Sharp Power	権戚主義国家が強制や情報の歪曲、世論操作などの強引な手段を用い。主に民主主義国家の政治環境や情報環境を「刺す」「穿孔する」ことで、自国の方針をのませようとする力。

 

小宮山さんが、民主主義の危機を気にされていますね。。。

個人的には、民主主義を守るのは、(1)民主主義を守る目的を達成するために必要となる知的情報処理能力の個人個人の高さとその分布の問題と(2)その結果に基づいて行動を起こすことだろうと思っています。。。民主主義は高尚な思想かつ勇気がいる仕組みなのです(^^)。

多くの情報に溢れている（玉石混淆の）現在社会において、個人個人が適切に情報を処理し、適切な行動を起こせるようになるかが重要なのだろうと思っています。そのためには、個人個人がそれなりに思慮深く、かつ行動を起こせないといけないように思います。。。そのような、人間が育つ、あるいは育てるような社会になっているか。。。ということが問題なのかもしれませんね。。。

 

 

---

 

平和博さんのブログ新聞紙学的も是非是非です。。。

 

● まるちゃんの情報セキュリティ気まぐれ日記

日本ファクトチェックセンターの話...

・2022.09.30 日本ファクトチェックセンター

　

グローバルリスクでも、偽情報はそれなりのポジションです。。。

・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

 

中国のDeap Fake等に対する対策など...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 （深層合成で作ったものにはマークを...）(2022.11.25)

・2022.09.12 中国 インターネットポップアップ情報プッシュ型サービス管理規定と偽情報の取締り

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

その他。。。

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.12.14 ENISA 外国人による情報操作と干渉（FIMI）とサイバーセキュリティ - 脅威状況

・2022.11.28 防衛省 防衛研究所 中国安全保障レポート2023　― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2022.10.30 米国 国防総省：サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.11 米国 FBI 中間選挙を前にサイバーセキュリティについて議論

・2022.08.27 米国 サイバー司令部：米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.08.01 MITRE 誤情報・偽情報の研究課題調査：主要なテーマ

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告：ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ（52大学から56チームが参加）

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1：RICHDATAフレームワーク

・2021.12.16 CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催（委員長等の選任と５つの小委員会の設立）

・2021.12.07 2021.12.09,10開催予定　Summit for Democracy　民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書＋米国政府まとめ

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報：対処しても対処しきれない

・2021.05.24 自動で偽の情報を作成するマシーンはできるのか？

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての（いかにもアメリカンな）漫画

・2022.01.26 英国王立学会 オンライン情報環境（フェイク情報は削除すべき、削除すべきでない？）at 2022.01.19

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的（平和博さんのブログ） - ディープフェイクスにどれだけ騙される？　意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える？

・2020.03.31 英国政府はCOVID-19に関する偽情報（misinformation）を取り締まるチームを設置したようですね。。。

 

オーストラリア ACSC 年次サイバー脅威報告書（2021年7月から2022年6月）

こんにちは、丸山満彦です。

オーストラリア・サイバーセキュリティ・センター（ACSC）が年次サイバー脅威報告書を公表していますね。。。

トレンドのポイント...

• サイバースペースは戦場となった。
• オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。
• ランサムウェアは、依然として最も破壊的なサイバー犯罪である。
• 世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。
• 公共性の高い重要な脆弱性を迅速に悪用することが常態化した。

 

● ACSC

・2022.11.04 ACSC Annual Cyber Threat Report, July 2021 to June 2022

ACSC Annual Cyber Threat Report, July 2021 to June 2022	ACSC 年次サイバー脅威報告書（2021年7月から2022年6月）
The Annual Cyber Threat Report is ACSC’s flagship unclassified publication. The Report provides an overview of key cyber threats impacting Australia, how the ACSC is responding to the threat environment, and crucial advice for Australian individuals and organisations to protect themselves online.	年次サイバー脅威報告書は、ACSC の主要な非機密出版物である。本報告書では、オーストラリアに影響を及ぼす主要なサイバー脅威の概要、ACSCの脅威環境への対応、オーストラリアの個人と組織がオンラインで身を守るための重要なアドバイスが記載されている。

 

・[PDF] Annual Cyber Threat Report, July 2021 to June 2022

 

目次...

Foreword	序文
Executive Summary	エグゼクティブサマリー
Cybercrime and cyber security incident statistics	サイバー犯罪とサイバーセキュリティ事件の統計
State actors	国家的行為者
REDSPICE	REDSPICE
Cybercrime	サイバー犯罪
Ransomware	ランサムウェア
Critical infrastructure	重要インフラ
Critical vulnerabilities	重要な脆弱性
Cyber defence and resilience	サイバーディフェンスとレジリエンス
About the ACSC	ACSCについて
About the contributors	協力者について

 

エグゼクティブサマリー

Executive Summary	エグゼクティブサマリー
Over the 2021–22 financial year, the deterioration of the global threat environment was reflected in cyberspace. This was most prominent in Russia’s invasion of Ukraine, where destructive malware resulted in significant damage in Ukraine itself, but also caused collateral damage to European networks and increased the risk to networks worldwide.	2021-22会計年度にかけて、世界的な脅威環境の悪化がサイバースペースにも反映されている。これは、ロシアのウクライナ侵攻において最も顕著であり、破壊的なマルウェアがウクライナ自体に大きな被害をもたらしただけでなく、ヨーロッパのネットワークにも巻き添えを食い、世界中のネットワークへのリスクを増大させる結果となった。
In Australia, we also saw an increase in the number and sophistication of cyber threats, making crimes like extortion, espionage, and fraud easier to replicate at a greater scale. The ACSC received over 76,000 cybercrime reports, an increase of nearly 13 per cent from the previous financial year. This equates to one report every 7 minutes, compared to every 8 minutes last financial year.	オーストラリアでも、サイバー脅威の数と精巧さが増し、恐喝、スパイ、詐欺などの犯罪がより大規模に再現されやすくなっていることがわかった。ACSCは76,000件を超えるサイバー犯罪の報告を受け、前年度から約13％増加した。これは、昨年度の8分に1件の割合から、7分に1件の割合で報告されていることに相当する。
The ACSC identified the following key cyber security trends in the 2021–22 financial year:	ACSCは、2021-22会計年度のサイバーセキュリティの主要な傾向を次のように指摘した。
・Cyberspace has become a battleground. Cyber is increasingly the domain of warfare, as seen in Russia’s use of malware designed to destroy data and prevent computers from booting in Ukraine. But Russia was not alone in its use of cyber operations to pursue strategic interests. In July 2021, the Australian Government publicly attributed exploitation of Microsoft Exchange vulnerabilities to China’s Ministry of State Security. And a joint Five-Eyes Advisory in November 2021 confirmed exploitation of these vulnerabilities by an Iranian state actor. Regional dynamics in the Indo-Pacific are increasing the risk of crisis and cyber operations are likely to be used by states to challenge the sovereignty of others.	・サイバースペースは戦場となった。ロシアがウクライナでデータを破壊し、コンピュータを起動できなくするように設計されたマルウェアを使用したことに見られるように、サイバーはますます戦争の領域になっている。しかし、戦略的利益を追求するためにサイバー作戦を利用するのはロシアだけではなかった。2021年7月、オーストラリア政府は、Microsoft Exchangeの脆弱性を悪用したのは中国国家安全部であると公表した。また、2021年11月のFive-Eyesの共同アドバイザリーでは、イランの国家主体によるこれらの脆弱性の悪用が確認されている。インド太平洋の地域力学は危機のリスクを高めており、サイバー作戦は国家が他者の主権に挑戦するために利用される可能性が高い。
・Australia’s prosperity is attractive to cybercriminals. According to a 2021 Credit Suisse report, Australia has the highest median wealth per adult in the world. In 2021–22, cybercrimes directed at individuals, such as online banking and shopping compromise, remained among the most common, while Business Email Compromise (BEC) trended towards targeting high value transactions like property settlements.	・オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。2021年のクレディ・スイスのレポートによると、オーストラリアは成人一人当たりの富の中央値が世界で最も高い。2021-22年、オンラインバンキングやショッピングの侵害など、個人に向けられたサイバー犯罪は引き続き最も多く、ビジネスメール侵害（BEC）は不動産決済などの高額取引を狙う傾向にある。
・Ransomware remains the most destructive cybercrime. Ransomware groups have further evolved their business model, seeking to maximise their impact by targeting the reputation of Australian organisations. In 2021–22, ransomware groups stole and released the personal information of hundreds of thousands of Australians as part of their extortion tactics. The cost of ransomware extends beyond the ransom demands, and may include system reconstruction, lost productivity, and lost customers.	・ランサムウェアは、依然として最も破壊的なサイバー犯罪である。ランサムウェアグループはビジネスモデルをさらに進化させ、オーストラリアの組織の評判を狙うことで、その影響力を最大化しようとしている。2021年から22年にかけて、ランサムウェアグループは恐喝戦術の一環として、数十万人のオーストラリア人の個人情報を盗み出し、公開した。ランサムウェアのコストは身代金要求の範囲を超えており、システムの再構築、生産性の損失、顧客の喪失などが考えられる。
・Worldwide, critical infrastructure networks are increasingly targeted. Both state actors and cybercriminals view critical infrastructure as an attractive target. The continued targeting of Australia’s critical infrastructure is of concern as successful attacks could put access to essential services at risk. Potential disruptions to Australian essential services in 2021–22 were averted by effective cyber defences, including network segregation and effective, collaborative incident response.	・世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。国家権力者とサイバー犯罪者の両方が、重要インフラを魅力的なターゲットとして見ている。オーストラリアの重要インフラが引き続き狙われていることは、攻撃の成功によって重要なサービスへのアクセスが危険にさらされる可能性があるため、懸念されることである。2021-22年にオーストラリアの重要サービスが中断される可能性は、ネットワークの分離や効果的で協力的なインシデント対応などの効果的なサイバー防御によって回避された。
・The rapid exploitation of critical public vulnerabilities became the norm. Australian organisations, and even individuals, were indiscriminately targeted by malicious cyber actors. Malicious actors persistently scanned for any network with unpatched systems, sometimes seeking to use these as entry points for higher value targets. The majority of significant incidents ACSC responded to in 2021–22 were due to inadequate patching.	・公共性の高い重要な脆弱性を迅速に悪用することが常態化した。オーストラリアの組織、そして個人までもが、悪意のあるサイバー行為者によって無差別に標的にされた。悪意のある行為者は、パッチが適用されていないシステムのあるネットワークを執拗にスキャンし、時には、より価値の高いターゲットへの侵入口としてそれらを利用しようとした。ACSCが2021-22年に対応した重大インシデントの大半は、不適切なパッチ適用が原因であった。
In the face of rising threats to the digital-dependent Australian economy, cyber defence must be a priority for all Australians. The most effective means of defending against cyber threats continues to be the implementation of the Essential Eight cyber security strategies. To support this, the ACSC launched several new initiatives in 2021–22 to improve Australia’s cyber resilience, such as a Cyber Threat Intelligence Sharing (CTIS) platform which automates sharing of indicators of compromise. The Australian Government’s ten year investment in ASD, known as REDSPICE, will further harden Australia’s cyber defences in 2022–23 and beyond.	デジタルに依存するオーストラリア経済への脅威が高まる中、サイバー防御はすべてのオーストラリア国民にとって優先事項でなければならない。サイバー脅威から身を守る最も効果的な手段は、引き続き「エッセンシャルエイト」のサイバーセキュリティ戦略を実施することである。これを支援するため、ACSCは2021-22年に、侵害の指標の共有を自動化するサイバー脅威情報共有（CTIS）プラットフォームなど、オーストラリアのサイバー耐性を向上させるいくつかの新しい取り組みを開始した。REDSPICEとして知られるオーストラリア政府のASDへの10年間の投資は、2022-23年以降、オーストラリアのサイバー防御をさらに強固なものにすることだろう。
What the ACSC saw:	ACSCがわかったこと：
・An increase in financial losses due to BEC to over $98 million	・BECによる金銭的損失は9800万ドル以上に増加
an average loss of $64,000 per report.	（1件当たりの平均損失額は64,000ドル）
・A rise in the average cost per cybercrime report to over $39,000 for small business, $88,000 for medium business, and over $62,000 for large business	・サイバー犯罪の報告1件あたりの平均コストは、中小企業で39,000ドル以上、中堅企業で88,000ドル以上、大企業で62,000ドル以上と上昇した。
an average increase of 14 per cent.	（平均14％の増加）
・A 25 per cent increase in the number of publicly reported software vulnerabilities	・ソフトウェアの脆弱性の報告件数が25%増加。
(Common Vulnerabilities and Exposures – CVEs) worldwide.	（(Common Vulnerabilities and Exposures - CVEs）が全世界で25％増加）
・Over 76,000 cybercrime reports	・76,000件を超えるサイバー犯罪の報告
an increase of 13 per cent from the previous financial year.	（前年度比13％増）
・A cybercrime report every 7 minutes on average	・平均して7分ごとにサイバー犯罪の報告がある。
compared to every 8 minutes last financial year.	（昨年度は8分に1件）
・Over 25,000 calls to the Cyber Security Hotline	・サイバーセキュリティ・ホットラインへの問い合わせは25,000件以上。
an average of 69 per day and an increase of 15 per cent from the previous financial year.	（1日平均69件、前年度比15％増）
・150,000 to 200,000 Small Office/Home Office routers in Australian homes and small businesses vulnerable to compromise	・オーストラリアの家庭や中小企業にある15万台から20万台のスモールオフィス/ホームオフィスルーターは、国家的な行為も含め、危険にさらされる可能性がある。
including by state actors.	（国営企業も含む）
・Fraud, online shopping and online banking	・詐欺、オンラインショッピング、オンラインバンキング
were the top reported cybercrime types, accounting for 54 per cent of all reports.	（報告されたサイバー犯罪の上位を占め、全報告の54％を占めた。）
What the ACSC did:	ACSCが行ったこと
・Responded to over 1,100 cyber security incidents.	・1,100件以上のサイバーセキュリティインシデントに対応した。
・Blocked over 24 million malicious domain requests	・2400万件以上の悪質なドメインリクエストをブロックした
through the Australian Protective Domain Name System.	（オーストラリア保護ドメイン名システムを通じて）
・Took down over 29,000 brute force attacks against Australian servers	・オーストラリアサーバーに対する29,000件以上のブルートフォースアタックをドメインテイクダウンサービスにより阻止した
through the Domain Takedown Service.	（ドメインテイクダウンサービスを通じて）
・Took down over 15,000 domains hosting malicious software	・悪質なソフトウェアをホストしている15,000以上のドメインを停止させた
targeting Australia’s COVID-19 vaccine rollout.	（オーストラリアのCOVID-19ワクチン展開を狙った）
・Shared over 28,000 indicators of compromise with ACSC Partners	・28,000以上の危険信号をACSCパートナーと共有。
through the Cyber Threat Intelligence Sharing platform.	（サイバー脅威インテリジェンス共有プラットフォームを通じ）
・Collaborated with partners on 5 successful operations against criminal online marketplaces and foreign scam networks.	・パートナーとの協力により、犯罪的なオンラインマーケットプレイスや外国人詐欺ネットワークに対する5つの作戦を成功させた。
・Responded to 135 ransomware incidents	・135件のランサムウェアインシデントに対応した。
an increase of over 75 per cent compared to 2019–20.	（2019-20年と比較して75％以上の増加）
・Notified 148 entities of ransomware activity on their networks.	・ネットワーク上でのランサムウェアの活動を148の事業者に通知した。
・Conducted 49 high priority operational tasks in response to identified and potential significant cyber threats	・特定された重要なサイバー脅威および潜在的なサイバー脅威に対応するため、49の優先度の高い運用タスクを実施した。
including scanning for vulnerable Australian devices.	（オーストラリアの脆弱なデバイスのスキャンを含む）
・Published 49 Alerts and 14 Advisories on cyber.gov.au	・cyber.gov.auで49のアラートと14のアドバイザリーを公開した。
which collectively saw more than 393,000 visits.	（合計で393,000以上のアクセスを記録）
・Issued an Advisory urging Australian organisations to adopt an enhanced security posture following Russia’s invasion of Ukraine	・ロシアのウクライナ侵攻を受け、オーストラリアの組織にセキュリティ強化の姿勢をとるよう促すアドバイザリーを発出した。
which was updated 10 times and received more than 57,000 views, plus a potential reach of almost 1 million people through social media.	（この勧告は10回更新され、57,000以上の閲覧があり、ソーシャルメディアを通じて約100万人に届けられた）。
・Briefed more than 200 government, business and critical infrastructure organisations	・200以上の政府機関、企業、重要インフラ組織に対して、ブリーフィングを実施した。
on the risk of collateral damage to Australian networks following the Russian invasion of Ukraine.	（ロシアのウクライナ侵攻に伴うオーストラリアのネットワークへの巻き添え被害リスクについての）
・Published 13 new Step-by-Step Guides	・13の新しいステップバイステップガイドを発行した。
to help Australian individuals and small businesses to implement simple cyber security practices.	(オーストラリアの個人および中小企業が簡単なサイバーセキュリティを実践できるよう支援する）
・Expanded the Partnership Program	・パートナーシップ・プログラムを拡大した
to over 2,300 network partners, 3,400 business partners, and over 82,000 home partners.	（ネットワークパートナー2,300社以上、ビジネスパートナー3,400社以上、ホームパートナー82,000社以上へ拡大）
・Led 24 cyber security exercises	・オーストラリアを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導した。
involving over 280 organisations to strengthen Australia’s cyber resilience.	オーストラリアのサイバーレジリエンスを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導。
・Operationalised amendments to the Security of Critical Infrastructure Act	・重要インフラ保全法（Security of Critical Infrastructure Act）の改正を実施した。
including through new incident categorisation thresholds and changes to the ReportCyber website.	（新しいインシデント分類の基準値やReportCyberウェブサイトの変更などを通じて）
・Notified 5 critical infrastructure entities of malicious cyber activity and vulnerabilities	・5つの重要インフラ事業体に対し、悪質なサイバー活動や脆弱性を通知した。
potentially impacting their networks since the implementation of amendments to the Security of Critical Infrastructure Act.	重要インフラの安全確保に関する法律が改正され、ネットワークに影響を与える可能性が出てきた。
・Completed the Critical Infrastructure Uplift Program (CI-UP) pilot	・重要インフラ高度化プログラム（CI-UP）試験運用を完了した。
and rolled out activities and tools open to all critical infrastructure partners.	（すべての重要インフラパートナーに公開された活動とツールを展開した）
What should individuals do?	個人はどうすればいいのか？
Follow the ACSC’s easy steps to secure your devices and accounts including:	ACSCの簡単な手順に従って、以下のようなデバイスやアカウントを保護することができる。
・Update your devices	・デバイスをアップデートする
and replace old devices that do not receive updates	デバイスをアップデートし、アップデートを受け取らない古いデバイスを交換する
・Activate multi-factor authentication	・多要素認証の有効化
・Regularly backup your devices	・デバイスの定期的なバックアップ
・Set secure passphrases	・安全なパスフレーズを設定する
・Watch out for scams	・詐欺に注意する
・Sign up to the ACSC’s free Alert Service	・ACSCの無料アラートサービスに登録する
・Report a cybercrime to the ACSC	・ACSCにサイバー犯罪を報告する
What should organisations do?	企業は何をすべきか？
For larger organisations: implement the ACSC’s Essential Eight mitigation strategies, Strategies to Mitigate Cyber Security Incidents and the Information Security Manual.	大規模な組織の場合：ACSCのエッセンシャルエイト緩和戦略、サイバーセキュリティインシデントを軽減するための戦略、情報セキュリティマニュアルを実施する。
For smaller organisations: follow the ACSC’s advice for ransomware, Business Email Compromise and other threats.	小規模な組織の場合：ランサムウェア、ビジネスメール詐欺、その他の脅威に対するACSCのアドバイスに従う。
・Review the cyber security posture of remote workers	・リモートワーカーのサイバーセキュリティ態勢を確認する。
and their use of communication, collaboration and business productivity software.	（コミュニケーション、コラボレーション、ビジネス生産性ソフトウェア）
・Patch vulnerabilities within 48 hours	・48時間以内に脆弱性のパッチを適用する。
If you cannot achieve this, consider using a cloud service provider or managed service provider that can.	（これを実現できない場合は、実現可能なクラウドサービスプロバイダーやマネージドサービスプロバイダーの利用を検討する）
・Only use reputable cloud service providers and managed service providers	・信頼できるクラウドサービスプロバイダーとマネージドサービスプロバイダーのみを使用すること
that implement appropriate cyber security measures.	適切なサイバーセキュリティ対策を実施している
・Sign up to become an ACSC partner	・ACSCパートナーに登録する
to receive insights, Advisories and advice.	（洞察、アドバイザリー、アドバイスを受け取ることができる）
・Test your cyber security detection, incident response, business continuity and disaster recovery plans.	・サイバーセキュリティの検出、インシデント対応、事業継続、災害復旧計画をテストする。
・Report all cybercrime and cyber security incidents to the ACSC	・すべてのサイバー犯罪およびサイバーセキュリティインシデントをACSCに報告する。
via ReportCyber.	ReportCyber経由で。

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

脅威状況

・2022.11.08 ENISA 脅威状況 2022：不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告：ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2021.10.29 ENISA Threat Landscape 2021：ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.07.28 ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

 

 

書籍紹介 保証型システム監査の実践—システム監査業務のさらなる深化に向けて

こんにちは、丸山満彦です。

特定非営利活動法人情報システム監査普及機構さんが、「保証型システム監査の実践—システム監査業務のさらなる深化に向けて」を発行されていますね。。。献本いただきました。。。ありがとうございます。。。

 

目次

第1章　システム監査の全容と保証型システム監査の位置付け
1 監査とは
(1) 監査の三者関係
(2) 監査の必須条件
(3) 監査の前提
(4) 監査の定義
(5) 監査の本質
2 システム監査とは
(1) システム監査の目的
(2) システム監査の対象
(3) システム監査の必要性
(4) システム監査の効果
3 助言型システム監査と保証型システム監査
(1) 助言型システム監査
(2) 保証型システム監査

第2章　保証型システム監査とは
1 保証型システム監査の必要性
2 言明書と保証の意味について
(1) 言明書とは
(2) 保証の意味
3 保証型システム監査の分類定義
(1) 経営者主導方式
(2) 委託者主導方式
(3) 受託者主導方式
(4) 社会主導方式
4 保証型システム監査を実施するための前提条件
(1) 保証型システム監査が可能であること
(2) 言明書があること
(3) 言明書のもととなるシステム管理基準が作成されていること
(4) 適切なシステム監査チームを組織化すること
5 システム監査人に求められる能力と育成
6 保証型システム監査の流れ
コラム 「基準」と「規準」

第3章　保証型システム監査の契約まで
1 事前協議フェーズ
(1) 事前インタビュー
(2) 保証型システム監査の理解促進
(3) 言明書の理解促進
(4) 必要情報の存在確認
(5) 可監査性の確認
2 依頼フェーズ
(1) 言明書の作成
(2) 依頼書の作成
3 提案フェーズ
(1) 依頼内容検討
(2) 提案書の作成
(3) 提案書の提出
4 契約フェーズ
(1) 監査契約書で合意すべき項目
(2) システム監査人の倫理
(3) 機密保持に関する準備
コラム システム監査契約書

第4章　保証型システム監査の実施
1 計画フェーズ
(1) 監査計画の策定と合意
(2) 監査手続と監査手続書の作成
(3) 監査計画の見直し
2 調査フェーズ
(1) 情報収集
(2) 現地調査
(3) 調査作成
3 分析フェーズ
(1) 監査資料の整理／検出事項の抽出・個別評価
(2) 検出事項の整理
(3) 監査意見の形成
コラム KJ法とはどのようなものか
4 報告フェーズ
(1) 監査報告省案の作成
(2) 被監査組織との意見交換会
(3) 監査報告書の最終版の作成
(4) 監査報告会の開催
コラム 保証型システム監査と助言型システム監査の目的とその実施方針の違い

参考文献

システム監査用語集

索引

 

なかなか野心的な本だと思います。

システム監査人が保証型監査を理解しやすいように書かれているように思います。契約締結からしっかりと書かれているところが実践的だと思います。

全部を詳細には読んでいませんが、気になった点

・保証型監査の説明は、この本の本質に関わるところなので、もっと詳細に説明があったらよいと思いました。

・特に監査意見形成の部分は保証型監査のクライマックスであるのに記載がないように思いました。

・保証型システム監査の分類定義で(1) 経営者主導方式、(2) 委託者主導方式、(3) 受託者主導方式、(4) 社会主導方式が記載されているが、三者関係の中で整理すればよりわかりやすいだろうと思いました。

・監査のための規準は目的にあわせて自由に設計できるとあるが、規準として満たす要件があるので、それにも触れたほうが良かったように思いました。

ちなみに、今年私が、情報セキュリティ大学院大学で行った、情報セキュリティ・システム監査の授業で使った保証業務についてのテキスト的なもの。。。

・2022.07.23 [PDF] 保証業務

しかしながら、いずれにしてもしても、保証型システム監査のための第一歩として書籍にまとめたのは非常に大きな意義があると思います。

 

 

 

 

 

日本内部監査協会 第65回内部監査実施状況調査結果 -2020年度における各社の内部監査テーマ・要点集

こんにちは、丸山満彦です。

日本監査協会が毎年発行している内部監査実施状況調査結果も今年で65回なんですね。。。

会員はPDFで読めるようです。書籍として7,700円でアマゾンから買えるようになりますね。。。

 

● 日本内部監査協会

・2022.08.30 第65回内部監査実施状況調査結果 -2020年度における各社の内部監査テーマ・要点集

目次は、

1. 調査結果の発表に当たって
2. 調査要領
3. 調査結果の概要
4. 解説・所見　九州大学大学院経済学研究院　丸田　起大
5. 調査結果：監査対象業務別に見た内部監査実施状況
• A.　購買業務
• B.　外注管理業務
• C.　製造業務
• D.　営業業務
• E.　経理業務
• F.　棚卸資産管理業務
• G.　固定資産管理業務
• H.　総務・人事・厚生業務
• I.　情報システム
• J.　全般管理･組織･制度
• K.　関係会社とその管理業務
• L.　物流業務
• M.　研究開発業務
• N.　環境管理業務
• O.　その他

となっていますね。。。

サイバーセキュリティはなくて、情報システムの中に入っているのだろうと思います。業務サイクル別に監査をするということから、上記のような区分になるのだろうと思います。。。

会社全体から見るとサイバーセキュリティってこんなもんなんですかね。。。