内部統制 / リスクマネジメント

2022.01.18

ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

こんにちは、丸山満彦です。

ウクライナ政府のページで、ロシアからと考えられるサイバー攻撃の影響はほぼ回復したと公表されていますね。。。

gov.ua

・2022.01.17 Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють

Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють ウクライナ特別通信局:サイバー攻撃の影響を受けたウェブサイトのほぼすべてがすでに稼働している
Станом на 14:00 сьогодні відновили роботу майже всі сайти, які постраждали від кібератаки на державні інформаційні ресурси в ніч на п'ятницю, 14 січня. Розслідування та робота над відновленням решти ресурсів триває. 1月14日(金)夜に国家情報資源へのサイバー攻撃を受けたウェブサイトは、本日午後2時現在、ほぼすべてのサイトが運営を再開しています。現在、調査と復旧作業を行っています。
Версія щодо використання програми-вайпера, що знищує дані, перевіряється. Для цього Держспецзв'язку взаємодіє з компанією Майкрософт у рамках укладеної влітку угоди про співробітництво Government Security Program. データを削除するバイパープログラムを使用しているバージョンについては検証中です。このために、通信省は先日の政府のセキュリティプログラムの協力に関する合意に基づき、マイクロソフトと協力しています。
Водночас вже зараз можна стверджувати про значно вищу складність атаки, ніж модифікація стартової сторінки веб-сайтів. Низку зовнішніх інформаційних ресурсів було знищено зловмисниками в ручному режимі. Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню чисельність. この時点ですでに、この攻撃はウェブサイトのホームページを変更するよりもはるかに高度なものであると言えます。重要性が低いの外部情報資源が、攻撃者によって手動でダウンさせられました。攻撃の条件は、ハッカーたちの行動の連携とその数を示しています。
Зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливостей OctoberCMS та Log4j. Також, починаючи з п'ятниці, фіксуються DDOS-атаки на низку постраждалих органів державної влади. Робоча група залучила міжнародних експертів з метою достовірного встановлення джерела походження атаки. 現在、サプライチェーン攻撃とOctoberCMSやLog4jの機能の悪用という3つの攻撃ベクターを組み合わせたバージョンが開発されています。また、金曜日からは、重要性が低いの政府機関に対するDDOS攻撃が行われました。ワーキンググループは、国際的な専門家に依頼して、攻撃の起点を検証しました。
Як повідомлялося раніше у ніч із 13 на 14 січня було здійснено хакерську атаку на низку урядових сайтів, зокрема МЗС, МОН тощо. У рамках розслідування атаки Держспецзв'язку з'ясувала, як хакери зламали сайти держустанов. Окрім цього, урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA надала рекомендації для уникнення поширення кібератаки на сайти державних органів. 既に公表している通り、1月13日夜から14日にかけて、厚生省や文部科学省などの政府系ウェブサイトに対してハッカーによる攻撃が行われました。今回の攻撃に関する調査の一環として、国家安全保障局は、ハッカーがどのようにして当局のウェブサイトを破ったかを調査しました。さらに、ウクライナのComputer Emergency Response Team CERT-UAは、政府系ウェブサイトへのサイバー攻撃の拡散を防ぐための提言を発表しました。

 

ウクライナのナショナル CERTである、CERT-UAのウェブページに記載されている、推奨される対策。。。

CERT-UA

・2021.01.14 Кібератака на сайти державних органів(政府系ウェブサイトへの攻撃)


 

gov.ua

・2022.01.17 Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro

 

Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro ウクライナ特別通信局:Prozorro Infoboxへの攻撃は、Prozorro調達システムの運用に影響を与えませんでした。
Сьогодні о 8 ранку на сторінці форуму Prozorro Infobox з’явилося повідомлення, аналогічне тим, що були використані під час кібератаки на інші державні сайти 14 січня. Наразі сторінка вимкнена, а фахівці проводять розслідування та працюють над оперативним відновленням роботи форуму. 本日午前8時、Prozorro Infoboxのフォーラムページに、1月14日に他国等のウェブサイトがサイバー攻撃を受けた際に使用されたものと同様の通知が表示されました。現在、このページは削除されており、スタッフが調査を行い、フォーラムの機能を早急に復旧させています。
Форум Prozorro Infobox є окремою системою, яка не пов'язана із системою закупівель Prozorro. За наявною інформацією ані інформаційний ресурс Prozorro Infobox, ані сам портал Prozorro не постраждали. Система публічних закупівель працює у штатному режимі. Prozorro Infoboxのフォーラムは調達Prozorroのシステムとは別のシステムであり、関係ありません。入手可能な情報によると、Prozorro Infoboxの情報リソースやProzorroポータル自体は影響を受けていません。公共調達システムは通常通りに運営されています。
Закликаємо у разі підозри чи виявлення ознак атаки невідкладно звертатися до Державної служби спеціального зв'язку та захисту інформації України. Фахівці урядової команди реагування на комп'ютерні надзвичайні події CERT-UA у режимі 24/7 оперативно реагують на повідомлення та допомагають зупинити атаки. Наші фахівці аналізують логфайли для того, щоб зрозуміти весь ланцюжок реалізації атаки, збирають цифрові докази, а також допомагають якомога швидше відновити роботу веб-ресурсів. 攻撃の疑いや兆候がある場合は、ウクライナ特別通信情報保護局に連絡することを推奨します。Orderly Computer Emergency Response Team(CERT-UA)のメンバーが24時間365日、通知に対応し、攻撃を阻止するための支援を行います。当社の技術者は、ログファイルを分析して攻撃の全タイムラインを把握し、デジタル証拠を収集するとともに、ウェブリソースを可能な限り迅速に復元するための支援を行います。

 

・2022.01.16 Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців

Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців 情報省:ロシアは重要情報インフラの断片化やウクライナ人のデータの「流出」に関するフェイクによって当局への信頼を低下させたいと考えています
Держспецзв'язку разом із СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади. ウクライナ国家保安局は、ウクライナ保安局とサイバーポリスとともに、国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。
Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах. 現時点では、サイバー攻撃の背後にロシアが存在することを示す証拠がすべて揃っています。モスクワはハイブリッド戦争を続けており、サイバー空間や情報空間においても積極的に力をつけています。
Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року. より多くの場合、サイバーロシアは米国とウクライナに対して働きかけ、テクノロジーを使って政治状況をハイジャックしようとしています。今回のサイバー攻撃は、2014年から続いているロシアのウクライナに対するハイブリッド戦争の現れのひとつです。
Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців. 重大な目的は、人々をなだめることだけではありません。それは、国家部門の仕事を混乱させ、当局に対するウクライナ人の信頼を損ねることで、ウクライナの状況を不安定にすることです。重要な情報インフラが破壊されたとか、ウクライナ人の個人情報が流出したとかいうフェイクニュースをインターネット上で流すことで、それを実現することができるのです。
Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені. Застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем. なお、Diaはウクライナ人の個人データを保存していません。それらはすべて、適切な登録簿に掲載され、安全に保護されています。アプリケーションは、レジスターからの情報とユーザーの間の「架け橋」に過ぎません。
Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров'я. Дані про РНОКПП зберігаються в реєстрі Державної податкової служби. А демографічні дані — у Єдиному державному демографічному реєстрі. І так далі. 例えば、すべての医療情報、特にCOVID証明書を作成するためのデータは、Electronic Health Information Systemで公開されています。DNACPPのデータは、国税庁のレジストリに保存されています。人口統計データはUnified State Demographic Registerに保存されます。などと言っています。
Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року. だからこそ、ウクライナ人にはパニックに陥らないようにお願いします。すべての個人データは、レジスターの安全な保護下にあります。また、新しいパーソナルデータを購入する機会についての発表は詐欺です。シャライは、2019年以前に空になった多くのソースからコンパイルされた古いデータを販売しています。
Поле бою за безпеку та саме існування нашої держави лежить у декількох площинах — військовій, дипломатичній, історичній, а тепер ще й у цифровій. Тому українські кіберспеціалісти мають об'єднатися, щоб протистояти загрозі та нейтралізувати противника. 安全保障や国家の存立に関わる戦場は、軍事、外交、歴史、そして今はデジタルという複数の分野にまたがっています。だからこそ、ウクライナのサイバー専門家たちは、脅威に対抗し、敵を無力化するために団結しなければならないのです。

 

・2022.01.14 З'явилися перші результати розслідування нападу хакерів на сайти держустанов

З'явилися перші результати розслідування нападу хакерів на сайти держустанов 政府系サイトへのハッカー攻撃に関する調査結果の第一報を発表
Держспецзв'язку разом з СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади, що сталася вночі з 13 на 14 січня. Загалом атакували понад 70 держресурсів, 10 з яких зазнали несанкціонованого втручання. Контент сайтів при цьому змінено не було та витоку персональних даних не відбулося. Наші фахівці разом з командами міністерств і відомств уже відновили роботу більшості сайтів. ウクライナ国家安全保障局は、ウクライナ保安局およびサイバー警察とともに、1月13日から14日にかけて夜通し行われた国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。合計70以上の政府機関のリソースが攻撃を受け、そのうち10が不正侵入を受けました。サイトの内容に変更はなく、個人情報の流出もありませんでした。私たちのスタッフは、大臣や各省庁のチームとともに、すでにほとんどのサイトを復旧させています。
Також за ініціативи СБУ було відключено важливих державних ресурсів, зокрема і портал Дія. Це було необхідно для локалізації проблеми та щоб не допустити поширення атаки. Мобільний застосунок Дія працював та працює в штатному режимі. また、ウクライナ保安局の主導により、Diaポータルなどの重要な国家資源が切断されました。これは、問題を局所化し、攻撃が広がらないようにするために必要なことでした。Diaのモバイルアプリケーションは通常通り動作していました。
Важливою задачею було встановити метод реалізації атаки, зібрати цифрові докази та якомога швидше відновити роботу веб-ресурсів. Протягом дня у медіа з'являлися повідомлення про використання хакерами конкретної вразливості системи керування контентом. Це було лише однією з версій, що опрацьовувалась фахівцями. 重要な課題は、攻撃を実行する方法を特定し、デジタル証拠を収集し、Webリソースの動作を早急に復旧させることでした。その日のうちに、ハッカーが特定のコンテンツ管理システムを使用していることがメディアに通知されました。これは、専門家によって悪用されたバージョンの一つに過ぎませんでした。
Зараз ми можемо з великою ймовірністю стверджувати, що відбулася так звана supply chain attack. Тобто атака через ланцюжок поставок. Зловмисники зламали інфраструктуру комерційної компанії, що мала доступ з правами адміністрування до веб-ресурсів, які постраждали внаслідок атаки. 今では、いわゆるサプライチェーン攻撃が行われたと自信を持って言えるようになりました。サプライチェーンを利用した攻撃です。攻撃者は、攻撃の影響を受けたウェブリソースに管理者権限でアクセスしていた営利企業のインフラを破壊しました。
Упродовж вихідних фахівці продовжать розслідування, щоб встановити його замовників і відповідальних за кібератаку. 週末、捜査当局は、サイバー攻撃の犯人と責任者を特定するために調査を続けています。

 

Fig_20220118153501

 

| | Comments (0)

ENISA 相互運用可能なEUのリスク管理フレームワーク

こんにちは、丸山満彦です。

ENISAが相互運用可能なEUのリスク管理フレームワークという文書を公表していますね。。。リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。

1. ISO/IEC 27005:2018
2. NIST SP 800-37
3. NIST SP 800-30
4. NIST SP 800-39
5. BSI STANDARD 200-2
6. OCTAVE-S
7. OCTAVE ALLEGRO
8. OCTAVE FORTE
9. ETSI TS 102 165-1 (TVRA)
10. MONARC
11. EBIOS RM
12. MAGERIT v.3
13. ITSRM²
14. MEHARI
15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0
16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS

NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきませんね。。。

 

● ENISA

・2022.01.13 How to achieve the Interoperability of EU Risk Management Frameworks

How to achieve the Interoperability of EU Risk Management Frameworks EUのリスク管理フレームワークの相互運用性を実現するには
The European Union Agency for Cybersecurity (ENISA) issues an analysis of the interoperability potential of cybersecurity risk management frameworks and methodologies to improve decision-making. 欧州連合サイバーセキュリティ機関(ENISA)は、意思決定を改善するために、サイバーセキュリティのリスク管理フレームワークと方法論の相互運用性の可能性についての分析を発行しています。
The report (Interoperable EU Risk Management Framework) published today is primarily designed to assess the existing risk management frameworks and methodologies in order to identify those with the most prominent interoperable features. 本日発行された報告書「相互運用可能なEUのリスク管理フレームワーク」は、既存のリスク管理フレームワークと方法論を評価し、最も顕著な相互運用性を持つフレームワークを特定することを主な目的としています。
What is security risk management? セキュリティリスクマネジメントとは?
Information security risk management consists of the coordinated activities of an organisation in order to control information security risks. These activities are inscribed in a process allowing to: 情報セキュリティ・リスク管理は、情報セキュリティ・リスクをコントロールするための組織の調整された活動で構成されています。これらの活動は、以下を可能にするプロセスに組み込まれています。
・establish the external and internal context; ・外部および内部の状況を確立する。
・assess the risks and decide whether to address the risks; ・リスクを評価し、そのリスクに対処するかどうかを決定する。
・draw a plan to implement decisions made on how to manage the risks. ・リスクを管理する方法についての決定を実行するための計画を策定する。
In order to reduce the risks to an acceptable level, the process includes an analysis of the likelihood of potential security breaches prior to making the decision on solutions to implement. リスクを許容範囲内に抑えるために、このプロセスでは、実施すべきソリューションを決定する前に、潜在的なセキュリティ侵害の可能性を分析します。
About the report 本報告書について
A systematic survey of risk management approaches was performed in different contexts such as industry, business, government, academia, etc. The process included a variety of inclusion criteria ranging from best practices, methodologies proposed as standards and guidelines by international and national standardisation bodies, etc. 産業界、企業、政府、学界など、さまざまな文脈において、リスクマネジメントのアプローチに関する体系的な調査を行いました。この調査では、ベストプラクティス、国際的な標準化団体や国内の標準化団体が標準やガイドラインとして提案している方法論など、さまざまな基準が盛り込まれています。
Key European stakeholders interviewed could share their views which were considered in the process and shaped the analysis of the outcomes. This resulted in: インタビューを行った欧州の主要なステークホルダーは、それぞれの意見を共有することができ、それらはプロセスで考慮され、結果の分析に反映されました。その結果、以下のような成果が得られた。
1. A new ENISA inventory of risk management frameworks and methodologies; 1. リスク管理のフレームワークと方法論に関するENISAの新しいリスト
2. A study on the way to evaluate and categorise European Risk Management Frameworks based on their interoperability potential including a baseline of an EU-wide interoperability framework. 2. EU全体の相互運用性フレームワークのベースラインを含む、相互運用性の可能性に基づいて欧州のリスク管理フレームワークを評価し分類する方法に関する研究。
Key outcomes of the report 報告書の主な成果
The analysis and research performed resulted in the compilation of the following information: 分析・調査の結果、以下のような情報が得られました。
the identification of fully developed national and sectorial risk management frameworks and methodologies and their components; 完全に開発された国家および部門別のリスク管理フレームワークと方法論、およびそれらの構成要素の特定。
the identification of specific features such as national or international scope, target sectors, size of target audience, maturity, compliance with relevant standards, compatibility with EU regulation and legislation, etc. 国内または国際的な範囲、対象部門、対象者の規模、成熟度、関連規格への準拠、EU規制・法律との互換性など、具体的な特徴の特定。
the development of a methodology for the assessment of the interoperability potential of the identified frameworks based on a set of factors such as risk identification, risk assessment and risk treatment; リスクの特定、リスクの評価、リスクの処理などの一連の要素に基づいて、特定されたフレームワークの相互運用性の可能性を評価するための方法論の開発。
the application of the methodology to identify frameworks with a higher interoperability potential. より高い相互運用性を持つフレームワークを特定するための方法論の適用。
The elements gathered in the study serve the purpose of providing keys to potentially form a more coherent EU-wide risk management framework. 本研究で収集された要素は、より首尾一貫したEU全体のリスク管理フレームワークを形成する可能性の鍵を提供することを目的としている。
Besides, the report includes a proposal for a new ENISA inventory of risk management frameworks and methodologies: the Compendium of Risk Management Frameworks with Potential Interoperability. また、本報告書には、リスク管理フレームワークと方法論に関するENISAの新しいインベントリー「相互運用性のあるリスク管理フレームワークの概要」の提案が含まれている。
Background 背景
Risk management is the process of identifying, quantifying, and managing the risks an organisation faces. The process aims to reach an efficient balance between the opportunities available to enhance prevention of cyber risks and reducing the vulnerabilities and losses. As an integral part of management practices and an essential element of good governance, risk management needs to be seeking to support organisational improvement, performance and decision-making. リスク管理とは、組織が直面するリスクを特定し、定量化し、管理するプロセスである。このプロセスは、サイバーリスクの防止を強化するために利用可能な機会と、脆弱性や損失の低減との間で、効率的なバランスをとることを目的としている。経営慣行の不可欠な部分であり、優れたガバナンスの不可欠な要素であるリスク管理は、組織の改善、パフォーマンス、意思決定を支援するために求める必要がある。
ENISA contributes to risk management by collecting, analysing and classifying information in the area of emerging and current risks and the evolving cyber threat environment. ENISAは、新たなリスクや現行のリスク、進化するサイバー脅威環境の分野で情報を収集、分析、分類することで、リスク管理に貢献している。
The aim of this work was not to build yet another risk management framework from scratch. It rather serves the purpose to exploit parts of existing schemes, based on the inventory work done in the introductory step of this project. この作業の目的は、ゼロから新たなリスク管理フレームワークを構築することではない。むしろ、本プロジェクトの導入段階で行った棚卸し作業に基づいて、既存の枠組みの一部を利用することを目的としている。
As next steps ENISA is planning to: 次のステップとして、ENISAは以下を計画している。
・Define interoperable terms between EU risk management frameworks & regulatory frameworks; ・EUのリスク管理フレームワークと規制フレームワークの間で相互運用可能な用語を定義する。
・Develop common/comparative risk; ・共通/比較リスクの開発
・Create a Methodology & Protocol that helps Member States with the uptake of interoperability of proposed risk management framework. ・提案されているリスク管理フレームワークの相互運用性を加盟国が導入する際に役立つ方法論とプロトコルを作成する。
Further information その他の情報
Interoperable EU Risk Management Framework 相互運用可能なEUリスク管理フレームワーク
Compendium of Risk Management Frameworks リスク管理フレームワームの概要
Inventory of risk management frameworks and methodologies リスク管理のフレームワークと方法論の目録
ENISA risk management/risk assessment (RM/RA) framework: Guidelines on assessing Digital Service Providers (DSP) security and Operators of Essential Services (OES) compliance with the NISD security requirements ENISAリスク管理/リスクアセスメント(RM/RA)フレームワーク デジタルサービスプロバイダ(DSP)のセキュリティと、基幹サービス事業者(OES)のNISDセキュリティ要件への準拠を評価するためのガイドライン
Risk Management topic リスク管理に関するトピック

 

・2022.01.13 Interoperable EU Risk Management Framework

Interoperable EU Risk Management Framework 相互運用可能なEUのリスク管理フレームワーク
This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. 本報告書は、リスク管理(RM)のフレームワークと方法論の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するために用いた方法論は、文献の広範な調査に基づいており、その結果、この目的のために特定のRMフレームワークの特徴を使用している。相互運用性の評価に関連するものとして特定されたこれらの機能は、各フレームワーク/メソドロジーについて徹底的に説明、分析されている。具体的には、特定の機能について、4段階の尺度を用いて、各手法および組み合わせた機能の各セットの相互運用性レベルを評価しています。

・[PDF]

20220117-231310

 

TABLE OF CONTENTS  目次 
1. INTRODUCTION 1. 序論
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 DEFINITION OF ACRONYMS 1.2 頭字語の定義
2. METHODOLOGY 2. 方法論
2.1 FEATURES OF INTEROPERABILITY 2.1 相互運用性の特徴
2.2 INTEROPERABILITY EVALUATION MODEL 2.2 相互運用性評価モデル
2.2.1 Methodology and levels of interoperability 2.2.1 方法論と相互運用性のレベル
2.2.2 Scoring model for potential interoperability 2.2.2 潜在的な相互運用性の採点モデル
3. RESULTS 3. 結果
3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK AND FEATURE 3.1 各リスクマネジメントフレームワークおよび機能の相互運用性のレベルの分析
3.2 ANALYSIS OF POTENTIAL INTEROPERABILITY OF RISK MANAGEMENT FRAMEWORKS 3.2 リスクマネジメントフレームワークの潜在的な相互運用性の分析
4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES BASED ON ITSRM2 4. ITSRM2 に基づく RM プロセスにおける相互運用性の統合
4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION 4.1 プロセス P1 システムセキュリティの特性評価
4.1.1 Description of process 4.1.1 プロセスの説明
4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS 4.2 プロセス P2 主要資産及び P3 補助資産
4.2.1 Description of processes 4.2.1 プロセスの説明
4.2.2 Recommendations and integration of interoperability features 4.2.2 相互運用性機能の推奨と統合
4.3 PROCESS P4 SYSTEM MODELLING 4.3 プロセスP4 システムモデリング
4.3.1 Description of process 4.3.1 プロセスの説明
4.3.2 Recommendations and integration of interoperability features 4.3.2 相互運用性機能の推奨および統合
4.4 PROCESS P5 RISK IDENTIFICATION 4.4 プロセスP5 リスクの特定
4.4.1 Description of process 4.4.1 プロセスの記述
4.4.2 Recommendations and integration of interoperability features 4.4.2 相互運用性機能の推奨と統合
4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION 4.5 プロセスP6 リスク分析および評価
4.5.1 Description of process 4.5.1 プロセスの記述
4.5.2 Recommendations and integration of interoperability features 4.5.2 相互運用性機能に関する推奨事項とその統合
4.6 PROCESS P7 RISK TREATMENT 4.6 プロセスP7 リスク処理
4.6.1 Description of process 4.6.1 プロセスの説明
4.6.2 Recommendations and integration of interoperability features 4.6.2 推奨事項と相互運用性機能の統合
5. SYNOPSIS 5. SYNOPSIS
6. BIBLIOGRAPHY 6. 参考文献
7. APPENDIX – INTERVIEWS WITH NLOS 7. 附属書:NLSへのインタビュー
7.1 EVALUATING POTENTIAL INTEROPERABILITY 7.1 潜在的な相互運用性の評価
7.2 SUGGESTIONS FOR AN INTEROPERABLE EU RM FRAMEWORK 7.2 相互運用可能なEUのREMフレームワークに関する提案
7.3 NEXT STEPS TOWARDS AN INTEROPERABLE FRAMEWORK 7.3 相互運用可能なフレームワークに向けた次のステップ

 

分析結果...

フレームワークやメソドロジーの総合評価/相互運用性の特徴  リスクの特定   残留リスクの算出  総合的な相互運用可能性 
リスク
アセスメント 
リスク対応 
資産
タクソノミー 
資産評価  脅威カタログ  脆弱性カタログ  リスク計算方法  メジャーカタログと残留リスクの算出  
1.ISO/IEC 27005:2018    2.7 3.0 3.0 2.9
2.NIST SP 800-37  3.0 3.0 3.0 3.0
3.NIST SP 800-30  1.6 2.0 3.0 2.2
4.NIST SP 800-39  2.0 3.0 3.0 2.7
5. BSI STANDARD 200-2  2.0 3.0 3.0 2.7
6.OCTAVE-S  3.0 3.0 3.0 3.0
7.OCTAVE ALLEGRO  3.0 3.0 3.0 3.0
8.OCTAVE FORTE  2.7 3.0 3.0 2.9
9.ETSI TS 102 165-1 (TVRA)  2.7 2.0 3.0 2.6
10.MONARC  2.7 3.0 3.0 2.9
11.EBIOS RM  2.9 2.0 3.0 2.6
12.MAGERIT v.3  2.4 2.0 3.0 2.5
13.ITSRM²  1.9 2.0 3.0 2.3
14.MEHARI  2.0 1.0 3.0 2.0
15.THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0  2.1 3.0 3.0 2.7
16.GUIDELINES ON CYBER SECURITY ONBOARD SHIPS  3.0 2.0 3.0 2.7

 

こっちには、COSO-ERMが紹介されていますね。。。

・2022.01.13 Compendium of Risk Management Frameworks with Potential Interoperability

Compendium of Risk Management Frameworks with Potential Interoperability 相互運用性のあるリス管理フレームワークの概要
This report presents the results of desktop research and the analysis of currently used cybersecurity Risk Management (RM) frameworks and methodologies with the potential for interoperability. The identification of the most prominent RM frameworks and methodologies was based on a systematic survey of related risk management approaches adopted in different contexts (including industry, business, government, academia, etc), at national, international and sectoral levels. This collection of identified frameworks and methodologies includes well known and widely used RM standards that provide high level guidelines for risk management processes that can be applied in all types of organisations. This report also describes the main characteristics and features of each one of the RM frameworks and methodologies identified. Based on this analysis, a basic set of interoperability features is derived. 本報告書は、現在使用されているサイバーセキュリティのリスク管理(RM)のフレームワークと方法論について、デスクトップリサーチと分析を行い、相互運用性の可能性を示したものである。最も著名なRMフレームワークと方法論の特定は、異なる文脈(産業、企業、政府、学界など)で採用されている、国内、国際、部門レベルでの関連するリスク管理アプローチの体系的な調査に基づいている。特定されたフレームワークと方法論のコレクションには、あらゆる種類の組織に適用可能な リスク管理プロセスのハイレベルなガイドラインを提供する、よく知られ、広く使用されている RM 基準が含まれています。また、本報告書では、特定されたRMのフレームワークと方法論のそれぞれの主な特徴と特色を説明しています。この分析に基づいて、相互運用性の基本的な特徴を導き出します。

 

・[PDF]

20220117-234959

1. INTRODUCTION 1. 序論
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 REPORT STRUCTURE 1.2 報告書の構成
2. METHOD OF WORK 2. 作業方法
2.1 BASIC CONCEPTS AND TERMS 2.1 基本的な概念と用語
2.2 SURVEY METHODOLOGY 2.2 調査方法
3. PROMINENT RISK MANAGEMENT FRAMEWORKS AND METHODOLOGIES 3. 著名なリスクマネジメントのフレームワークおよび方法論
3.1 ISO/IEC 27005:2018 3.1 ISO/IEC 27005:2018
3.2 NIST SP 800-37 REV. 2 3.2 NIST SP 800-37 REV. 2
3.3 NIST SP 800–30 REV.1 3.3 NIST SP 800-30 REV.1
3.4 NIST SP 800–39 3.4 ニストSP 800-39
3.5 NIST SP 800–82 REV. 2 3.5 NIST SP 800-82 REV. 2
3.6 BSI STANDARD 200-2 3.6 BSI規格200-2
3.7 OCTAVE-S 3.7 オウターブ・S
3.8 OCTAVE ALLEGRO 3.8 オクターブ・アレグロ
3.9 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) 3.9 オクターブ・フォルテ(オクターブ・フォー・ザ・エンタープライズ)
3.10 ISACA RISK IT FRAMEWORK, 2ND EDITION 3.10 ISACAリスクITフレームワーク:第2版
3.11 INFORMATION RISK ASSESSMENT METHODOLOGY 2 (IRAM2) 3.11 情報リスクアセスメント方法論 2 (IRAM2)
3.12 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) 3.12 ETSI TS 102 165-1、脅威の脆弱性とリスクの分析(TVRA)
3.13 MONARC 3.13 MONARC
3.14 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS  DE SÉCURITÉ - EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) 3.14 EBIOS リスクマネジャー (expression des besoins et identification des objectifs de sécurité - ニーズの表明とセキュリティ目標の特定)
3.15 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT FOR INFORMATION SYSTEMS 3.15 MAGERIT V.3: 情報システムの分析とリスク管理

3.16 EU ITSRM, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 3.16 EU ITSRM (IT セキュリティリスク管理方法論 v1.2)
3.17 MEHARI 3.17 MEHARI
3.18 ENTERPRISE RISK MANAGEMENT – INTEGRATED FRAMEWORK 3.18 企業のリスク管理 - 統合されたフレームワーク
3.19 AUSTRALIAN ACSC SECURITY MANUAL 3.19 オーストラリアのACSCセキュリティマニュアル
3.20 ANSI/ISA-62443-3‑2-2020 3.20 アンシ/イサ-62443-3-2-2020
3.21 THE OPEN GROUP STANDARD FOR RISK ANALYSIS (O-RA), VERSION 2.0 3.21 リスク分析のためのオープングループ標準(O-RA)、バージョン 2.0
3.22 CORAS 3.22 CORAS
3.23 IS RISK ANALYSIS BASED ON A BUSINESS MODEL 3.23 リスク分析はビジネスモデルに基づいているか?
3.24 IMO MSC-FAL.1/CIRC.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT 3.24 海上のサイバーリスク管理に関するIMOのMSC-FAL.1/Circ.3ガイドライン
3.25 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS 3.25 船舶のサイバーセキュリティに関するガイドライン
3.26 HITRUST 3.26 HITRUST
3.27 ISRAM - INFORMATION SECURITY RISK ANALYSIS METHOD 3.27 ISRAM - 情報セキュリティリスク分析手法
3.28 FAIR - FACTOR ANALYSIS OF INFORMATION RISK 3.28 FAIR - 情報リスクの要因分析
3.29 GUIDE TO CONDUCTING CYBERSECURITY RISK ASSESSMENT FOR CRITICAL INFORMATION  INFRASTRUCTURE 3.29 重要情報インフラのためのサイバーセキュリティリスクアセスメント実施の手引き
3.30 RISK MANAGEMENT TOOLS 3.30 リスクマネジメントツール
3.31 SYNOPSIS 3.31 シノプシス
4. CONCLUSIONS 4. 結論
4.1 INTEROPERABILITY FEATURES 4.1 相互運用性の特徴
REFERENCES 参考文献

 

| | Comments (0)

2022.01.17

米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

こんにちは、丸山満彦です。

GAOがSolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応についての報告書を公開していますね。。。

● U.S. Government Accountability Office

・2022.01.13 Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents

・[PDF] Hilights

・[PDF] Full Report

20220117-132401

 

Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
Fast Facts 速報
This report describes the federal response to 2 high-profile cybersecurity incidents that affected the U.S. government. The Russian Foreign Intelligence Service hacked SolarWinds network management software, which is widely used in the U.S. government. Also, Chinese government affiliates likely exploited a vulnerability in the Microsoft Exchange Server, according to the White House. 本報告書は、米国政府に影響を与えた2つの有名なサイバーセキュリティ事件に対する連邦政府の対応について記載しています。ロシア対外情報庁は、米国政府で広く使用されているSolarWindsネットワーク管理ソフトウェアをハッキングしました。また、ホワイトハウスによると、中国政府関連会社がMicrosoft Exchange Serverの脆弱性を悪用した可能性が高いとのことです。
Federal agencies worked with each other and industry after these incidents. Agencies received emergency directives on how to respond and more. これらの事件の後、連邦政府機関は相互に協力し、産業界にも働きかけました。各機関は、対応方法などに関する緊急指令を受け取りました。
Information Security is on our High Risk List. As of Nov. 2021, about 900 of our cybersecurity recommendations remain open. 情報セキュリティは、ハイリスクリストに入っています。2021年11月現在、サイバーセキュリティに関する提言のうち約900件が未解決となっています。
Highlights ハイライト
What GAO Found GAOの調査結果
Beginning as early as January 2019, a threat actor breached the computing networks at SolarWinds—a Texas-based network management software company, according to the company's Chief Executive Officer. The federal government later confirmed the threat actor to be the Russian Foreign Intelligence Service. Since the company's software, SolarWinds Orion, was widely used in the federal government to monitor network activity and manage network devices on federal systems, this incident allowed the threat actor to breach several federal agencies' networks that used the software (see figure 1). 2019年1月から、テキサス州に本社を置くネットワーク管理ソフトウェア会社SolarWindsのコンピューティングネットワークに脅威分子が侵入していたと、同社の最高経営責任者が語っています。後に連邦政府は、この脅威主体がロシア対外情報庁であることを確認しました。同社のソフトウェア「SolarWinds Orion」は、連邦政府のシステムにおけるネットワーク活動の監視やネットワーク機器の管理に広く利用されていたため、この事件により、同ソフトウェアを利用している複数の連邦政府機関のネットワークに侵入することができました(図1参照)。
Rid15_image2_20220117140901
Figure 1: Analysis of How a Threat Actor Exploited SolarWinds Orion Software 図1:脅威行為者がSolarWinds Orionソフトウェアを悪用した方法の分析
While the response and investigation into the SolarWinds breach were still ongoing, Microsoft reported in March 2021 the exploitation or misuse of vulnerabilities used to gain access to several versions of Microsoft Exchange Server. This included versions that federal agencies hosted and used on their premises. According to a White House statement, based on a high degree of confidence, malicious cyber actors affiliated with the People's Republic of China's Ministry of State Security conducted operations utilizing these Microsoft Exchange vulnerabilities. The vulnerabilities initially allowed threat actors to make authenticated connections to Microsoft Exchange Servers from unauthorized external sources. Once the threat actor made a connection, the actor then could leverage other vulnerabilities to escalate account privileges and install web shells that enabled the actor to remotely access a Microsoft Exchange Server. This in turn allowed for persistent malicious operations even after the vulnerabilities were patched (see figure 2). SolarWinds社の侵害に対する対応と調査はまだ継続中ですが、マイクロソフト社は2021年3月に、複数のバージョンのMicrosoft Exchange Serverへのアクセスに使用された脆弱性が悪用されたことを報告しました。この中には、連邦政府機関がホストして構内で使用していたバージョンも含まれていました。ホワイトハウスの声明によると、高度な確信に基づき、中華人民共和国の国家安全部に所属する悪意のあるサイバーアクターが、これらのMicrosoft Exchangeの脆弱性を利用した操作を行ったとしています。この脆弱性を利用すると、まず、外部の不正なソースからMicrosoft Exchange Serverに認証された接続を行うことができます。接続が完了すると、他の脆弱性を利用してアカウントの権限を昇格させたり、ウェブシェルをインストールしたりして、Microsoft Exchange Serverへのリモートアクセスを可能にしていました。これにより、脆弱性にパッチが適用された後も、持続的な悪意ある操作が可能となりました(図2参照)。
Rid16_image3_20220117140901
Figure 2: Analysis of How Threat Actors Exploited Microsoft Exchange Server Vulnerabilities 図2:脅威となる行為者がMicrosoft Exchange Serverの脆弱性をどのように利用したかの分析結果
Federal agencies took several steps to coordinate and respond to the SolarWinds and Microsoft Exchange incidents including forming two Cyber Unified Coordination Groups (UCG), one for the SolarWinds incident and one for the Microsoft Exchange incident. Both UCGs consisted of the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the Office of the Director of National Intelligence (ODNI), with support from the National Security Agency (NSA). According to UCG agencies, the Microsoft Exchange UCG also integrated several private sector partners in a more robust manner than their involvement in past UCGs. 連邦政府機関は、SolarWindsとMicrosoft Exchangeの両インシデントに対応するために、SolarWindsインシデント用とMicrosoft Exchangeインシデント用の2つのサイバー統一調整グループ(UCG)を結成するなど、いくつかの措置を講じました。両UCGは、CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、ODNI(国家情報長官室)で構成され、NSA(国家安全保障庁)の支援を受けました。UCGの各機関によると、Microsoft Exchange UCGには、過去のUCGに比べてより強力な方法で複数の省庁が参加しています。
CISA issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. To aid agencies in conducting their own investigations and securing their networks, UCG agencies also provided guidance through advisories, alerts, and tools. For example, the Department of Homeland Security (DHS), including CISA, the FBI, and NSA released advisories for each incident providing information on the threat actor's cyber tools, targets, techniques, and capabilities. CISA and certain agencies affected by the incidents have taken steps and continue to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. CISAは、連邦政府機関に脆弱性を知らせ、インシデントに対応するためにどのような行動を取るべきかを説明する緊急指令を発行しました。また、各機関が独自に調査を行い、ネットワークのセキュリティを確保するのを支援するため、UCGの各機関は勧告、警告、ツールを通じてガイダンスを提供しました。例えば、CISAを含む国土安全保障省(DHS)、FBI、NSAは、インシデントごとに勧告を発表し、脅威となる人物のサイバーツール、標的、技術、能力に関する情報を提供しました。CISAと事件の影響を受けた一部の機関は、ソーラーウインズ事件への対応策を講じ、引き続き連携しています。各省庁は、Microsoft Exchange社の事件への対応を完了しました。
Agencies also identified multiple lessons from these incidents. For instance, 各省庁は、これらのインシデントから複数の教訓を得ました。例えば、以下のようなものです。
・coordinating with the private sector led to greater efficiencies in agency incident response efforts; ・民間企業との連携により、各省庁のインシデント対応をより効率的に行うことができた。
・providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; ・省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との調整が改善された。
・sharing of information among agencies was often slow, difficult, and time consuming and; ・省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
・collecting evidence was limited due to varying levels of data preservation at agencies. ・各省庁のデータ保存のレベルが異なるため、証拠の収集が制限されていた。
Effective implementation of a recent executive order could assist with efforts aimed at improving information sharing and evidence collection, among others. 最近発表された大統領令を効果的に実施することで、情報共有や証拠収集などを改善するための取り組みを支援することができる。
Why GAO Did This Study GAOがこの調査を行った理由
The risks to information technology systems supporting the federal government and the nation's critical infrastructure are increasing, including escalating and emerging threats from around the globe, the emergence of new and more destructive attacks, and insider threats from witting or unwitting employees. Information security has been on GAO's High Risk List since 1997. 連邦政府や国の重要なインフラを支える情報技術システムに対するリスクは、世界中からの脅威の増大や出現、より破壊的な新手の攻撃の出現、故意または無意識の従業員によるインサイダー脅威など、ますます高まっています。情報セキュリティは、1997年以来、GAOのハイリスクリストに入っています。
Recent incidents highlight the significant cyber threats facing the nation and the range of consequences that these attacks pose. A recent such incident, involving SolarWinds, resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and private sector. Another incident included zero-day Microsoft Exchange Server vulnerabilities that had the potential to affect email servers across the federal government and provide malicious threat actors with unauthorized remote access. According to CISA, the potential exploitation from both incidents posed an unacceptable risk to federal civilian executive branch agencies because of the likelihood of vulnerabilities being exploited and the prevalence of affected software. 最近の事件は、国家が直面している重大なサイバー脅威と、これらの攻撃がもたらす様々な結果を浮き彫りにしています。最近の事件では、SolarWinds社が関与した事件があり、連邦政府や民間企業に対して行われた最も広範で洗練されたハッキングキャンペーンの一つとなりました。また、別の事件では、Microsoft Exchange Serverのゼロデイ脆弱性が、連邦政府全体のメールサーバに影響を与え、悪意のある脅威者に不正なリモートアクセスを許す可能性がありました。CISAによると、この2つのインシデントによる潜在的な悪用は、脆弱性が悪用される可能性が高く、影響を受けるソフトウェアが普及していることから、連邦政府の文民行政府機関に受け入れがたいリスクをもたらしています。
GAO performed its work under the authority of the Comptroller General to conduct an examination of these cybersecurity incidents in light of widespread congressional interest in this area. Specifically, GAO's objectives were to (1) summarize the SolarWinds and Microsoft Exchange cybersecurity incidents, (2) determine the steps federal agencies have taken to coordinate and respond to the incidents, and (3) identify lessons federal agencies have learned from the incidents. GAOは、この分野に対する議会の関心の高さを考慮して、これらのサイバーセキュリティ事件の調査を実施するために、GAOの権限に基づいて作業を行いました。具体的には、GAOの目的は、(1)SolarWindsとMicrosoft Exchangeのサイバーセキュリティ事件を要約し、(2)連邦政府機関が事件を調整・対応するためにとった措置を特定し、(3)連邦政府機関が事件から学んだ教訓を特定することでした。
To do so, GAO reviewed documentation such as descriptions of the incidents, federal agency press releases, response plans, joint statements, and guidance issued by the agencies responsible for responding to the incidents: DHS (CISA), the Department of Justice (FBI), and ODNI with support from NSA. In addition, GAO analyzed incident reporting documentation from affected agencies and after-action reports to identify lessons learned. For all objectives, GAO interviewed agency officials to obtain additional information about the incidents, coordination and response activities, and lessons learned. そのためにGAOは、インシデントの説明、連邦機関のプレスリリース、対応計画、共同声明、インシデントへの対応を担当する省庁が発行したガイダンスなどの文書を確認しました。DHS(CISA)、司法省(FBI)、NSAの支援を受けたODNIが発行したガイダンスなどの文書を調査しました。さらにGAOは、影響を受けた省庁からのインシデント報告書類と事後報告を分析し、得られた教訓を特定した。すべての目的について、GAOはインシデント、調整と対応活動、および学んだ教訓に関する追加情報を得るために、各省庁の担当者にインタビューを行いましたた。
Recommendations 提言事項
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations had not yet been fully implemented. GAO will continue to monitor federal agencies' progress in fully implementing these recommendations, including those related to software supply chain management and cyber incident management and response. Five of six agencies provided technical comments, which we incorporated as appropriate. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月現在、これらの勧告のうち約900件はまだ完全に実施されていません。GAOは、ソフトウェアのサプライチェーン管理やサイバーインシデントの管理と対応に関連する勧告を含め、これらの勧告を完全に実施するための連邦政府機関の進捗状況を引き続き監視します。6つの省庁のうち5つの省庁から技術的なコメントをいただき、適宜反映させました。

 

 

・[PDF] Full Report

の目次...

Letter  レター 
Background  背景 
Threat Actors Exploited Vulnerabilities in SolarWinds Orion and Microsoft Exchange  SolarWinds OrionとMicrosoft Exchangeの脆弱性を悪用した脅威の発生 
Federal Agencies Have Been Taking Action in Response to Significant Cyber Incidents  連邦政府機関は重大なサイバーインシデントに対応して行動を起こしてきた 
Federal Agencies Learned Lessons from Efforts Coordinating and Responding to the SolarWinds and Microsoft Exchange Incidents  連邦政府はSolarWindsとMicrosoft Exchangeのインシデントに対する調整と対応の努力から教訓を得た。
Agency Comments  政府機関のコメント 
Appendix I Detailed Timelines of Steps Taken by Cyber Unified Coordination Group Agencies in Response to the SolarWinds and Microsoft Exchange Incidents  附属書 I SolarWinds と Microsoft Exchange のインシデントに対応して Cyber Unified Coordination Group の各機関が行った措置の詳細なタイムライン 
Appendix II GAO Contacts and Staff Acknowledgments  附属書II GAOの連絡先とスタッフの謝辞 

| | Comments (0)

中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

こんにちは、丸山満彦です。

中国の中国 電気通信端末産業協会 (TAF) が「スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」等、9つの文書を公表していますね。。。

电信终端产业协会 (TAF)(電気通信端末産業協会)

2022.01.14 《智能终端侧业务风险防控安全指南》等9项团体标准报批公示 スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」など9つのグループ標準が承認申請されました。

 

1、《智能终端侧业务风险防控安全指南 1. スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド
2、《智能可穿戴设备安全  医疗健康可穿戴设备安全技术要求与测试方法 2. スマート・ウェアラブル・デバイスの安全性 ヘルスケア・ウェアラブル・デバイスの安全性に関する技術的要求事項と試験方法
3、《移动终端应用软件列表权限实施指南 3. 携帯端末アプリケーションソフトウェア一覧の許可に関する実装ガイド
4、《移动应用分发平台:APP开发者信用评价体系 4. 携帯アプリケーション配信プラットフォーム:APP開発者のための信用評価システム
5、《移动应用分发平台信用评价细则 5. 携帯アプリケーション配信プラットフォームの信用評価細則
6、《移动智能终端应用软件调用行为记录能力要求  第3部分:API接口 6. スマート携帯端末アプリケーション・ソフトウェアの呼び出し動作記録機能に関する要求事項 Part3: API インターフェース
7、《APP收集使用个人信息最小必要评估规范  第3部分:图片信息 7. APPが収集・利用する個人情報の必要最小限の評価に関する仕様書 Part3:画像情報
8、《APP收集使用个人信息最小必要评估规范  第9部分:短信信息 8. APPによる個人情報の収集と使用に関する必要最小限の評価仕様 Part9:SMS情報
9、《物联网终端可信上链技术要求 9. IoT端末の信頼できるアップリンクのための技術要件

 

代表して(^^) 《智能终端侧业务风险防控安全指南》スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイドの目次。。。
 
20220117-61225

 

前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 业务风险防控安全框架 5 オペレーショナル・リスクの予防・管理 セキュリティ・フレームワーク
6 业务风险防控模型输入和策略 6 オペレーショナル・リスクの予防・管理モデルの入力と戦略
6.1 概述 6.1 概要
6.2 系统风控模型输入 6.2 システムリスクコントロールモデルの入力
6.3 应用风控模型输入 6.3 アプリケーションリスクコントロールモデルの入力
6.4 身份风控模型输入 6.4 IDリスクコントロールモデルの入力
6.5 业务风险防控策略 6.5 ビジネスリスクの予防・管理戦略
7 业务风险定级 7 オペレーショナル・リスクの分類
7.1 业务风险定级原则和方法 7.1 ビジネスリスク分類の原則と方法
7.2 通用风险评估方法示例 7.2 一般的なリスク評価手法の例
8 业务风险防控安全要求 8 ビジネスリスクの予防と管理 セキュリティ要件
附录 A(资料性)业务风险防控接口 附属書A (情報) オペレーショナルリスクの予防・管理のインターフェース

| | Comments (0)

2022.01.15

英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

こんにちは、丸山満彦です。

英国会計検査院のブログに「サイバーセキュリティ:パンデミックは何を変えたか?」という投稿がありますね。。。

英国の会計検査院 (National Audit Office) には、サイバーセキュリティ担当のディレクターがいるようですね。。。まぁ、重要な分野ですからね。。。

 

National Audit Office: NAO - NAO blog

・2022.01.14 Cyber security: has the pandemic changed anything?

Cyber security: has the pandemic changed anything? サイバーセキュリティ:パンデミックは何を変えたか?
Posted on January 14, 2022 by Tom McDonald 投稿日: 2022年1月14日 投稿者: Tom McDonald
The start of a new year brings the opportunity to look back and reflect on the challenges we faced in dealing with COVID-19 during the last year. One of the many impacts of the pandemic we did not foresee was moving many aspects of our social and economic life online to try and keep them going through lockdowns. This came with considerable advantages, keeping many businesses, social networks and relationships going. But it also came with a significant downside, as we all became more vulnerable to the risks associated with operating online. In addition to the major attacks like WannaCry and SolarWinds, which have affected organisations in the UK and overseas, it is now increasingly likely that each of us has either personally suffered from some kind of online crime or know someone else who has. 新しい年の始まりは、昨年のCOVID-19への対応で直面した課題を振り返り、反省する機会となります。パンデミックの影響で予想できなかったことは、社会的・経済的な生活の多くの側面をオンラインに移行し、ロックダウンの間もそれらを維持しようとしたことでした。これは、多くのビジネス、ソーシャルネットワーク、人間関係を維持できるという大きなメリットがありました。その一方で、オンラインでの活動に伴うリスクに対して私たちがより脆弱になるという、大きなマイナス面もありました。WannaCryやSolarWindsなどの大規模な攻撃が英国や海外の組織に影響を与えていることに加えて、私たち一人一人が何らかのオンライン犯罪の被害に遭っているか、そのような人を知っている可能性がますます高くなっています。
In its latest Annual Report, government’s National Cyber Security Centre (NCSC) is clear about the nature of the risks we have faced during the pandemic, noting the startling finding that “From household goods to vaccine appointments, there have been few avenues criminals have not tried to exploit”. And the move to living more of our lives online has resulted in some shifts in criminal activity. 政府の国家サイバーセキュリティセンター(NCSC)は、最新の年次報告書の中で、パンデミックの間に我々が直面したリスクの性質について明確に述べており、「家財道具からワクチンの予約に至るまで、犯罪者が利用しようとしなかった手段はほとんどなかった」という驚くべき発見をしています。また、生活の多くをオンラインで過ごすようになったことで、犯罪行為にも変化が生じています。
The major trend identified by the NCSC is the growth in criminal groups using ransomware to extort organisations of all kinds. The NCSC describes ransomware as the most immediate cyber security threat to UK businesses: this obviously makes it a threat to the resilience and performance of the economy. But it is also a risk to both central and local government and the wide range of services which they support. So, whether we are taxpayers or service users, we should be concerned at this increased use of ransomware being added to the existing list of cyber threats. NCSCが指摘する大きな傾向は、犯罪グループがランサムウェアを使ってあらゆる種類の組織を脅迫するケースが増えていることです。NCSCは、ランサムウェアを英国企業にとって最も差し迫ったサイバーセキュリティの脅威であるとしています。しかし、ランサムウェアは、中央政府、地方政府、そしてそれらが支える広範なサービスにとってもリスクとなります。納税者であれ、サービス利用者であれ、既存のサイバー脅威のリストにランサムウェアが追加されたことを懸念すべきです。
Unfortunately, the other threats on that list haven’t gone away. The March 2021 Microsoft Exchange Servers incident, in which a sophisticated attacker used zero-day vulnerabilities to compromise at least 30,000 separate organisations, highlighted the dangers posed by supply chain attacks. And there are plenty of examples in the news of other incidents, both malicious and accidental, which have put data, operations and organisational resilience at risk in both private and public sectors. 残念ながら、このリストにある他の脅威はなくなっていません。2021年3月に発生したMicrosoft Exchange Serverの事件では、巧妙な攻撃者がゼロデイ脆弱性を利用して少なくとも3万の個別組織を危険にさらし、サプライチェーン攻撃がもたらす危険性を浮き彫りにしました。その他にも、悪意のあるもの、偶発的なものを問わず、官民を問わず、データ、業務、組織の回復力を危険にさらした事件の例は、ニュースで数多く取り上げられています。
In its new National Cyber Strategy, government has set out some of the things it wants to do to make the UK more resilient to cyber-attack. Like its predecessors, the Strategy is painted on a broad canvas, setting out high-level objectives: it says that the UK should strengthen its grasp of technologies that are critical to cyber security and that it should limit its reliance on individual suppliers or technologies which are developed under regimes that do not share its values. These objectives are aimed at the structural factors behind cyber security. And in the meantime, government is developing its Active Cyber Defence programme – which seeks to reduce the risk of high-volume cyber-attacks ever reaching UK citizens – and pressing ahead with other work on skills, resilience and partnerships across different industries and sectors. 政府は、新しい「国家サイバー戦略」の中で、英国のサイバー攻撃に対する耐性を高めるために、どのようなことをしたいかを示しています。これまでの戦略と同様に、この戦略は大きなキャンバスに描かれており、高レベルの目標を設定しています。すなわち、英国はサイバーセキュリティに不可欠な技術の把握を強化し、価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すべきであるとしています。これらの目標は、サイバーセキュリティの背後にある構造的な要因を狙ったものです。一方、政府は、大量のサイバー攻撃が英国市民に到達するリスクを低減することを目的とした「アクティブ・サイバー・ディフェンス」プログラムを展開しているほか、スキル、レジリエンス、さまざまな業界・セクター間のパートナーシップに関するその他の作業を進めています。
So, it seems clear that, despite the efforts of public and private sectors, the pandemic has exacerbated some of the threats we face online. But one thing that most experts agree on is that our best defence is getting the basics right. Many of the attacks which we have seen during the pandemic could have been avoided if individuals and organisations had followed recognised good practice. This includes actions like implementing formal information security regimes, avoiding unsupported software and adopting good password practices. We have specific guidance to help Audit Committees think about these sorts of issues in our updated Cyber and Information Security Good Practice Guide. このように、官民一体となった取り組みにもかかわらず、パンデミックによって、私たちがオンラインで直面している脅威のいくつかが悪化していることは明らかなようです。しかし、ほとんどの専門家が同意しているのは、最善の防御策は基本を正しく理解することだということです。今回のパンデミックで発生した攻撃の多くは、個人や組織が認識されているグッドプラクティスに従っていれば回避できたはずです。これには、正式な情報セキュリティレジームの導入、サポートされていないソフトウェアの回避、適切なパスワードの使用などが含まれます。私たちは、監査委員会がこのような問題について考える際に役立つ具体的なガイダンスを、最新の「サイバーおよび情報セキュリティに関するグッド・プラクティス・ガイド」に掲載しています。
So, if you are still thinking about your New Year’s resolutions, how about refreshing your cyber security practices? That may help you avoid becoming the next victim of a cyber-attack. もし、まだ新年の抱負を考えているのであれば、サイバー・セキュリティ対策を見直してみてはいかがでしょうか。そうすれば、次のサイバー攻撃の犠牲者にならずに済むかもしれません。

 

Nao-logo-2

 

 

 


参考

文中のリンクに関係する部分

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.17 英国 国家サイバー戦略

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

 

その他。。。

・2021.09.24 英国 国家AI戦略

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.03.27 英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

 

 

| | Comments (0)

総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

こんにちは、丸山満彦です。

総務省が電気通信事業ガバナンス検討会報告書(案)について意見募集をしていますね。。。

総務省

・2022.01.14 電気通信事業ガバナンス検討会 報告書(案)に対する意見募集


1 概要


 総務省では、「電気通信事業ガバナンス検討会」を開催し、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、令和3年5月から検討を行ってきました。
 今般、本検討会において、報告書(案)が取りまとめられましたので、令和4年1月15日(土)から同年2月4日(金)までの間、本案に対する意見募集を行います。

・[PDF] 別紙1「電気通信事業ガバナンス検討会 報告書(案)」

20220114-233059

 

目次

はじめに

第1章 電気通信事業を取り巻く環境の変化
1.1
電気通信サービスの現状
 1.1.1
電気通信サービス市場の概要
 1.1.2 電気通信サービスの重要度の向上

1.2
電気通信サービスを提供する電気通信事業者の多様化
1.3
電気通信サービスを提供するネットワークの多様化

第2章 電気通信事業におけるガバナンスの現状と課題
2.1
電気通信サービスに対するリスクの高まり
 2.1.1
サイバー攻撃の複雑化・巧妙化によるリスク
 2.1.2 サプライチェーンや外国の法的環境による影響等のリスク
 2.1.3 電気通信サービスに係る情報の漏えい等のリスク
 2.1.4 電気通信サービスの停止等のリスク
 2.1.5 情報の外部送信や収集に関連したリスク
 2.1.6 利用者による不安
 2.1.7 今後の方向性

2.2
電気通信事業におけるガバナンスの現状
 2.2.1
国内の電気通信事業におけるガバナンスの現状
  2.2.1.1 電気通信事業の公共性及び電気通信事業法における規律の対象
  2.2.1.3 通信の秘密の漏えいに関する制度の現状
  2.2.1.4 電気通信事業者における自主的な取組の現状
  2.2.1.5 総合的なサイバーセキュリティ対策
  2.2.1.6 政府情報システムのためのセキュリティ評価制度
 2.2.2 ガバナンスに関する国際標準・諸外国の制度等
  2.2.2.1 情報セキュリティに関する国際標準・規格等
  2.2.2.2 ガバナンスに関する諸外国の制度

2.3
利用者が安心できる電気通信サービスの円滑な提供に向けた課題
 2.3.1
情報の漏えい・不適正な取扱い等や電気通信サービスの停止のリスクへの対応
 2.3.2 電気通信事業におけるリスク対策の必要性
 2.3.3 課題と検討の方向性

第3章 電気通信事業ガバナンスの在り方と実施すべき措置
3.1
電気通信事業におけるガバナンス強化に係る基本的な考え方
 3.1.1
電気通信事業における多様な保護法益の確保
 3.1.2 電気通信事業の円滑・適切な運営の確保
 3.1.3 電気通信事業ガバナンスの在り方の検討

3.2
実施すべき措置
 3.2.1
電気通信事業に係る情報の漏えい・不適正な取扱い等に対するリスク対策
  3.2.1.1
適正な取扱いを行うべき情報
  3.2.1.2 利用者情報の適正な取扱いの促進
  3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置

 3.2.2
通信ネットワークの多様化等を踏まえた電気通信サービスの停止に対するリスク対策
  3.2.2.1
設備の多様化に対応した規律の見直し
  3.2.2.2 事業者間連携によるサイバー攻撃対策
  3.2.2.3 重大事故等のおそれのある事態の報告制度
  3.2.2.4 災害時における考慮事項

 3.2.3
利用者への情報提供
  3.2.3.1
利用者への情報提供の現状
  3.2.3.2 情報の適正な取扱い等に係る利用者への情報提供の強化に向けて

第4章 今後の検討課題

おわりに


 

 

参考

電気通信ガバナンス検討会

 ・2021.04.27 「電気通信事業ガバナンス検討会」の開催


総務省は、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保に向けて、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について検討するため、「電気通信事業ガバナンス検討会」を開催します。
1 目的


 「デジタル社会」の実現のためには、その中枢基盤として、サイバー空間とフィジカル空間を繋ぐ神経網である通信サービス・ネットワークが安心・安全で信頼され、継続的・安定的かつ確実・円滑に提供されることが不可欠です。
 しかし、最近、通信サービス・ネットワークを司る電気通信事業者において、利用者の個人情報や通信の秘密の漏えい事案が発生するとともに、海外の委託先等を通じ、これらのデータにアクセス可能な状態にあることに関するリスク等が顕在化しています。さらに、電気通信事業者に対するサイバー攻撃により、通信サービスの提供の停止に至る事案や通信設備に関するデータが外部に漏えいしたおそれのある事案が発生するなど、サイバー攻撃のリスク等も深刻化しています。
 以上を踏まえ、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、検討を行います。
2 検討事項

(1)電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方
(2)上記を踏まえた、政策的な対応の在り方
(3)その他

| | Comments (0)

2022.01.14

世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

こんにちは、丸山満彦です。

世界経済フォーラムが毎年出している、グローバルリスクリポートですが、2022年版が公表されていますね。。。

環境系のリスクが上位に上がってきているように感じました。。。

 

World Economic Forum

・2022.01.11 Global Risks 2022: The 'disorderly' net-zero transition is here and it’s time to embrace it

Global Risks

Global Risks Report

・2022.01.11 Global Risks Report 2022

・[PDF

20220114-64730

 

日本のウェブページ

・2022.01.11 グローバルリスク報告書2022年版: 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

 

短期、中期、長期のリスク

0-2 years 主要な短期的なグローバルリスク(0-2年)
Extreme weather 異常気象
Livelihood crises 生活破綻(生活苦)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Social cohesion erosion 社会的結束の侵食
Infectious diseases 感染症の広がり
Mental health deterioration メンタルヘルスの悪化
Cybersecurity failure サイバーセキュリティ対策の失敗
Debt crisis 債務危機
Digital inequality デジタル格差
Asset bubble burst 資産バブルの崩壊
   
2-5 years 主要な中期的なグローバルリスク(2-5年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Debt crises 債務危機
Human environmental damage 人為的な環境災害
Geoeconomic confrontations 地政学的対立
Cybersecurity failure サイバーセキュリティ対策の失敗
Biodiversity loss 生物多様性の喪失
Asset bubble burst 資産バブルの崩壊
   
5-10 years 主要な長期的なグローバルリスク(5-10年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Natural resource crises 天然資源危機
Human environmental damage 人為的な環境災害
Social cohesion erosion 社会的結束の侵食
Involuntary mitigation 非自発的移住
Adverse tech advances テクノロジー進歩による悪影響
Geoeconomic confrontations 地政学的対立
Geopolitical resource contestation 地政学的資源戦争

 

深刻度に着目すると...

Identify the most severe risks on a global scale over the next 10 years 深刻度から見たグローバルリスク 今後10年
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Infectious diseases 感染症の広がり
Human environmental damage 人為的な環境災害
Natural resource crises 天然資源危機
Debt crisis 債務危機
Geoeconomic confrontations 地政学的対立
過去分
PDFは第1回から揃いますね。。。

17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15  Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  
 
 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.07.01 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク

・2021.05.21 世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

 

 

 

Continue reading "世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機 "

| | Comments (0)

2022.01.13

米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

こんにちは、丸山満彦です。

米国のGAOの予備的調査の結果、各省庁のFISMA要件の実施にはばらつきがあると報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.01.11 Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent

・[PDF] Hilights

・[PDF] Full Report

20220113-45928

 

Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent サイバーセキュリティ:予備的調査の結果、各省庁のFISMA要件の実施はばらつきがある
Fast Facts 速報
A 2014 law requires federal agencies to have information security programs. We testified about how agencies have implemented their programs: 2014年の法律により、連邦政府機関は情報セキュリティプログラムを持つことが義務付けられています。私たちは、各省庁がどのようにプログラムを実施したかについて証言しました。
・While agencies have reported some progress, 17 of 23 civilian agencies did not fully meet their cybersecurity targets ・各省庁は一定の進展を報告しているものの、23省庁のうち17省庁はサイバーセキュリティの目標を完全には達成していませんでした。
・Inspectors General reported ineffective programs at 16 of 23 civilian agencies ・23省庁うち16省庁の監察官が、プログラムが効果的でないと報告しました。
・Our recent reports also identified major weaknesses in government-wide and agency-specific cybersecurity initiatives ・最近の報告書では、政府全体および各省庁固有のサイバーセキュリティの取り組みに大きな弱点があることも指摘されています。
・Agency officials have identified obstacles to reporting and made suggestions for improvement ・各省庁の担当者は、報告の障害となっているものを特定し、改善のための提案を行いました。
Federal information security has been a topic on our High Risk List since 1997. 連邦政府の情報セキュリティは、1997年以来、連邦政府のハイリスクリストに掲載されているテーマです。
Highlights ハイライト
What GAO Found GAOの調査結果
Based on GAO's preliminary results, in fiscal year 2020, the effectiveness of federal agencies' implementation of requirements set by the Federal Information Security Modernization Act of 2014 (FISMA) varied. For example, more agencies reported meeting goals related to capabilities for the detection and prevention of cybersecurity incidents, as well as those related to access management for users. However, inspectors general (IG) identified uneven implementation of cyber security policies and practices. For fiscal year 2020 reporting, IGs determined that seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs. The results from the IG reports for fiscal year 2017 to fiscal year 2020 were similar with a slight increase in effective programs for 2020. GAOの予備的調査の結果によると、2020年会計年度において、2014年連邦情報セキュリティ近代化法(FISMA)で設定された要件の連邦政府機関による実施の効果にはばらつきがありました。例えば、より多くの省庁が、サイバーセキュリティインシデントの検知と防止のための能力や、ユーザーのアクセス管理に関連する目標を達成したと報告しました。しかし、監察官(IG)は、サイバーセキュリティポリシーと実践の実施にばらつきがあることを指摘しました。2020会計年度の報告では、IGは、1990年の最高財務責任者法(CFO)に基づく23省庁のうち、7つ省庁が効果的な機関全体の情報セキュリティプログラムを持っていると判断しました。2017年度から2020年度までのIG報告書の結果では、2020年に向けて効果的なプログラムがわずかに増加しています。
Number of 23 Civilian Chief Financial Officers Act of 1990 Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020年度に監察官が報告した、省庁全体の情報セキュリティプログラムが有効および有効でない23の1990年最高財務責任者法対象省庁の数

20220112-180556
GAO has also routinely reported on agencies' inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021. More recent GAO reviews have identified weaknesses regarding access controls, configuration management, and the protection of data shared with external entities. GAO has made numerous recommendations to address these. GAOは、各省庁が連邦政府のサイバーセキュリティ政策や実務を一貫性なく実施していることについても定期的に報告してきました。2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各省庁に行ってきましたが、2021年11月時点で約900件がまだ完全に実施されていません。最近のGAOのレビューでは、アクセス制御、構成管理、外部と共有するデータの保護に関する弱点が指摘されています。GAOはこれらに対処するため、数多くの提言を行っています。
Based on interviews with agency officials, such as chief information security officers, GAO's preliminary results show that officials at 14 CFO Act agencies stated that FISMA enabled their agencies to improve information security program effectiveness to a great extent. Officials at the remaining 10 CFO Act agencies said that FISMA had improved their programs to a moderate extent. The officials also identified impediments to implementing FISMA, such as a lack of resources. Agency officials suggested ways to improve the FISMA reporting process, such as by updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. 最高情報セキュリティ責任者などの省庁関係者へのインタビューに基づいたGAOの予備的調査の結果によると、CFO法適用省庁14の関係者は、FISMAによって省庁の情報セキュリティプログラムの有効性がかなり改善されたと述べています。残りの10のCFO法対象省庁の担当者は、FISMAによってプログラムが中程度に改善されたと述べています。また、担当者は、リソースの不足など、FISMA を実施する上での障害を指摘しています。各省庁の担当者は、FISMA の報告プロセスを改善する方法を提案しました。例えば、FISMA の評価基準を更新してその有効性を高めたり、IGの評価・格付けプロセスを改善したり、報告書のデータ収集における自動化の利用を増やしたりしました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal systems are highly complex and dynamic, technologically diverse, and often geographically dispersed. Without proper safeguards, computer systems are increasingly vulnerable to attack. As such, since 1997, GAO has designated information security as a government-wide high-risk area. 連邦政府のシステムは、非常に複雑で動的であり、技術的にも多様で、地理的にも分散していることが多いです。適切なセーフガードがなければ、コンピュータ・システムはますます攻撃されやすくなります。そのため、1997年以降、GAOは情報セキュリティを政府全体の高リスク分野に指定しています。
FISMA was enacted to provide federal agencies with a comprehensive framework for ensuring the effectiveness of information security controls. FISMA requires federal agencies to develop, document, and implement an information security program to protect the information and systems that support the operations and assets. It also includes a provision for GAO to periodically report on agencies' implementation of the act. FISMAは、情報セキュリティ管理の有効性を確保するための包括的なフレームワークを連邦政府機関に提供するために制定されました。FISMAは、連邦政府機関に対し、業務や資産を支える情報やシステムを保護するための情報セキュリティプログラムを策定し、文書化し、実施することを求めている。また、GAOが各省庁の同法の実施状況を定期的に報告する規定も含まれています。
This testimony discusses GAO's preliminary results from its draft report in which the objectives were to (1) describe the reported effectiveness of federal agencies' implementation of cybersecurity policies and practices and (2) evaluate the extent to which relevant officials at federal agencies consider FISMA to be effective at improving the security of agency information systems. この証言は、GAOの報告書ドラフトの予備的な結果について述べたもので、その目的は、(1)連邦政府機関のサイバーセキュリティポリシーとプラクティスの実施について報告された有効性を説明すること、(2)連邦政府機関の関係者が、FISMAが機関の情報システムのセキュリティを向上させるのに有効であると考えている程度を評価することでした。
To do so, GAO reviewed the 23 civilian CFO Act agencies' FISMA reports, agency-reported performance data, past GAO reports, and OMB documentation and guidance. GAO also interviewed agency officials from the 24 CFO Act agencies (i.e., the 23 civilian CFO Act agencies and the Department of Defense). そのためにGAOは、CFO法対象23省庁のFISMAレポート、省庁が報告したパフォーマンスデータ、過去のGAOレポート、OMBの文書とガイダンスをレビューしました。またGAOは、CFO法対象省庁24(CFO法対象省庁23社と国防総省)の省庁担当者にインタビューを行いました。

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 


| | Comments (0)

2022.01.11

EU議会 2022年に注目すべき10の課題

こんにちは、丸山満彦です。

EU議会のThink Tankが2022年に注目すべき10の課題を公表していますね。。。

この報告書は、今後1年間に欧州連合(EU)の政治課題として公の場で議論されるであろう重要な課題や政策分野を特定し、その概要を明らかにするために作られているようですね。。。

この報告書や関連文書に目を通すと、EUがどういう背景やデータをもとに議論をしてくるかの一部が見えてくるような気もしますね。。。

1. Radical decoupling: Achieving zero greenhouse gas emissions while maintaining economic growth 1. 根本的な分離:経済成長を維持しつつ、温室効果ガス排出量をゼロにする
2. Securing Europe's supply of semiconductors 2. 欧州における半導体供給の確保
3. Sustainable agriculture: Mission possible?  3. 持続可能な農業:実現可能か? 
4. A new push for nuclear non-proliferation? 4. 核不拡散のための新たな取り組み?
5. Shaping the economic recovery 5. 景気回復
6. ECB monetary policy: Caught between a rock and a hard place 6. 欧州中央銀行の金融政策:岩と岩盤に挟まれて
7. Internet of things: Securing the uptake of connected devices in the EU 7. IoT:EUにおける接続機器の普及の確保
8. Uncharted waters: What to expect after the Conference on the Future of Europe 8. 未知の領域:欧州の未来に関する会議後の展開
9. LGBTIQ equality: Somewhere over the rainbow 9. LGBTIQの平等:虹の向こうに
10. Forward with EU defence  10. EU防衛の推進 

 

European Parliament - Think Tank

・2022.01.10 Ten issues to watch in 2022

・[PDF

20220111-52822


 

 

「2. 欧州における半導体供給の確保」に示されている2つの図は参考になるかもですね。。。

 

20220111-62554

20220111-62808

 

| | Comments (0)

2022.01.10

IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

こんにちは、丸山満彦です。

IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。

攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。

20220110-61203

Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法

で、攻撃者の例示として次のようなものをあげていますね。。。

  • 外部者
  • 内部関係者
  • 犯罪者/ハクティビスト/スクリプトキディ
  • 産業スパイのアクター
  • サイバーテロリスト
  • 国家背景のアクター

 

取り上げている事例の時系列も改めて見ると良いですね。。。

 

20220110-62800

 

IEEE - IEEE Access

Year: 2021 | Volume: 9  - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents

・[HTML]

・[PDF]

20220110-55745

概要は、

概要

Abstract 概要
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。

 

章立てです。。。

 ABSTRACT 概略
I. INTRODUCTION I.イントロダクション
II. BACKGROUND II.背景
A. ICS ARCHITECTURE A. ICSアーキテクチャ
B. ICS HARDWARE B. ICSハードウエア
C. ICS PROTOCOLS C. ICSプロトコル
D. ICS SECURITY D. ICSセキュリティ
E. CRITICAL INFRASTRUCTURES E. 重要インフラ
III. RELATED WORK III.関連研究
IV. ADVERSARIAL MODEL IV.敵対的モデル
A. FINGERPRINTING A. フィンガープリンティング
B. CAPABILITIES B. 能力
C. MOTIVES C. 動機
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS V.産業用制御システムと重要インフラのインシデント
A. STUXNET A. STUXNET
B. DUQU B. DUQU
C. SHAMOON C. SHAMOON
D. HAVEX D. HAVEX
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK
G. TRITON/TRISIS/HatMan G. TRITON/TRISIS/HatMan
H. VPNFilter H.VPNフィルタ
I. WannaCry I. WannaCry
J. NotPetya J. NotPetya
K. COLONIAL PIPELINE K. コロニアルパイプライン
L. OTHER INCIDENTS L. その他のインシデント
1) GERMAN STEEL MILL 1) ドイツの製鉄所
2) MAROOCHY WATER SERVICES 2) マルーチー・ウォーター・サービス
3) NEW YORK DAM 3) ニューヨーク・ダム
4) ‘‘KEMURI’’ WATER COMPANY 4) ''Kemuri''ウォーター・カンパニー
5) SLAMMER WORM 5) スラマーワーム
6) SoBig VIRUS 6) SoBig VIRUS
7) TEHAMA COLUSA CANAL 7) テハマ・コルサ・キャナル
8) U.S. POWER GRID INTRUSION 8)米国の電力網への侵入
M. DISCUSSION M. DISCUSSION
1) COMMON TOOLS AND APPROACHES 1) 共通のツールとアプローチ
2) VULNERABILITIES CATEGORIZATION 2) 脆弱性の分類
3) AFFECTED PURDUE LEVELS 3)影響を受けたパデュー・レベル
4) MITIGATION 4) 低減
VI. ICS PROTOCOLS VULNERABILITIES VI.ICSプロトコルの脆弱性
A. DNP3 A. DNP3
B. MODBUS B. MODBUS
C. PROFINET C. PROFINET
D. OTHER PROTOCOLS D. その他のプロトコル
VII. ICS DEVICE VULNERABILITIES VII. ICデバイスの脆弱性
A. REVERSE ENGINEERING A. リバースエンジニアリング
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS B. 制御ロジックのインジェクションと修正攻撃
C. LADDER LOGIC BASED ATTACKS C. ラダーロジックによる攻撃
D. NATIVE ICS MALWARE D. ネイティブICSマルウェア
E. UNAUTHORIZED ACCESS E. 不正アクセス
F. SIDE CHANNEL ANALYSIS F. サイドチャネル分析
VIII. CONCLUSION VIII. 結論
REFERENCES 参考文献

 

 

Continue reading "IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析"

| | Comments (0)

より以前の記事一覧