IoT

2023.03.14

CISA モバイルアプリの審査サービス(ベータ版)の提供を開始

こんにちは、丸山満彦です。

CISAがモバイルアプリの審査サービス(ベータ版)の提供を開始したとブログで公表されていますね。。。

海外出張に行ったりする時にも携帯必要ですからね。。。どんなアプリが安全かは調べないとわからないわけですから、こういう仕組みが必要なんでしょうね。。。

 

CISA - News - Blog

・2023.03.09 Under the Promise of Early Success, CISA Expands its Beta Mobile App Vetting Service 

Under the Promise of Early Success, CISA Expands its Beta Mobile App Vetting Service CISA、モバイルアプリの審査サービス(ベータ版)の提供を開始
By Jim Sheire, Branch Chief for CISA’s Cybersecurity Shared Services Office  CISAのサイバーセキュリティシェアードサービスオフィスのブランチチーフであるJim Sheire氏によるものである。 
Mobile devices are an integral part of our everyday operations, and their growing prevalence provides more than simple convenience within the federal space. Unfortunately, increased connectivity has also expanded the threat landscape, leaving the government vulnerable to bad applications (apps) that jeopardize the security of its systems.    モバイルデバイスは私たちの日常業務に不可欠な要素であり、その普及は連邦政府の領域において単純な利便性以上のものをもたらしている。残念ながら、接続性の向上により脅威の状況も拡大し、政府はシステムのセキュリティを脅かす悪質なアプリケーション(アプリ)に対して脆弱な状態になっている。   
That is why CISA is proud to expand access to the Mobile App Vetting (MAV) service. CISA granted MAV an Authorization to Operate on February 8th, 2023, acknowledging the service’s key role in combating a growing risk of mobile app vulnerabilities threatening Federal Civilian Executive Branch (FCEB) agencies. Moreover, it is available at no cost to the user.  そのため、CISAはMobile App Vetting(MAV)サービスへのアクセスを拡大することを誇りに思っている。CISAは、連邦文民行政機関(FCEB)を脅かすモバイルアプリの脆弱性リスクの増大に対処する上で、このサービスが重要な役割を果たすことを認め、2023年2月8日にMAVに運営認可を付与した。しかも、ユーザーには無償で提供される。 
While many agencies will get to experience MAV’s capabilities for the first time in the coming months, a handful of early adopters are already deeply aware of its utility. When Customs and Border Protection (CBP) needed an enhanced app-vetting capability to strengthen its mobile security in early 2022, it turned to MAV to meet its needs.  今後数カ月で多くの機関がMAVの機能を初めて体験することになるが、一部のアーリーアダプターはすでにその有用性を深く認識しているようである。税関・国境警備局(CBP)は、2022年初頭にモバイルセキュリティ強化のためにアプリ審査機能の強化を必要とした際、そのニーズを満たすためにMAVに注目した。 
Currently, CBP uses MAV to vet its library of mobile apps for security concerns before deployment on the component’s pool of smartphones and tablets. A standout example of this is when CBP undertook vetting efforts for a third-party COVID-19 contact-tracing app. Here, MAV was able to detect several issues inherent to software’s iOS version. This discovery prompted CBP to cancel the app’s deployment, which consequently protected the security and integrity its mobile devices.  現在、CBPはMAVを使用してモバイルアプリのライブラリを審査し、スマートフォンやタブレットに展開する前にセキュリティ上の懸念がないかを確認している。その顕著な例が、CBPがサードパーティのCOVID-19接触追跡アプリの審査に取り組んだときのことである。このとき、MAVはソフトウェアのiOSバージョンに内在するいくつかの問題を検出することができた。この発見により、CBPはこのアプリの導入を中止し、結果的にモバイル機器のセキュリティと完全性を守ることができた。 
CBP’s Mobile Device Management and Engineering found great value in MAV’s prevention of poor coding. This protects government-furnished equipment (GFE) and the greater federal enterprise from unknowingly propagating vulnerabilities.  CBPのモバイルデバイス管理およびエンジニアリングは、MAVによる不適切なコーディングの防止に大きな価値を見出した。これにより、政府支給品(GFE)と連邦エンタープライズが、知らず知らずのうちに脆弱性が広まるのを防ぐことができた。 
Now that MAV is available to the greater FCEB community, agencies interested in using a timesaving, standards-backed, and field-tested mobile app-vetting service should consider CPB’s experience and work with CISA to safeguard their GFE. Eighteen agencies currently use MAV to identify vulnerabilities, flaws, and risks throughout various mobile use cases, which has enabled these participants to make risk-based decisions before using government-developed or third-party apps (e.g., Google Play Store, Apple App Store).  MAVがFCEBコミュニティで利用できるようになった今、時間を節約し、標準に裏付けされ、現場でテストされたモバイルアプリ審査サービスの利用に関心のある機関は、CPBの経験を考慮し、CISAと協力して自社のGFEを保護することを推奨する。現在、18の機関がMAVを利用して、さまざまなモバイルユースケースを通じて脆弱性、欠陥、リスクを特定しており、これらの参加者は政府開発またはサードパーティ製アプリ(Google Play Store、Apple App Storeなど)を使用する前にリスクに基づく決定を下すことができるようになった。 
For more information on the qualifications to receive one of MAV’s limited beta testing licenses, email  Visit our MAV website for information about this beneficial shared service.   MAVの限定ベータテストライセンスを受けるための資格についての詳細は ココまでメールで問い合わせること。この有益な共有サービスに関する情報は、CISAのMAVウェブサイトを参照のこと。  

 

Mobile Cybersecurity Shared Services

Mobile Cybersecurity Shared Services モバイルサイバーセキュリティシェアードサービス
The Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Shared Services Office (CSSO) will offer mobile cybersecurity shared services focused on minimizing security risks to Government-Furnished Equipment (GFE) mobile devices—namely smartphones and tablet computers. Government personnel and leaders rely heavily on mobile devices for executing their agency’s missions, especially while away from their offices. The risk of compromise to GFE mobile devices and the applications (apps) on them could expose the backend enterprise systems supporting them to potentially damaging cyber-attacks. To enhance mobile security, the CSSO is preparing to offer two game-changing mobile cybersecurity shared services: Mobile Application Vetting (MAV) and Traveler-Verified Information Protection (T-VIP). See the following drop-down boxes for more insight into these innovative mobile cybersecurity shared services.  サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁(CISA)のサイバーセキュリティ共有サービスオフィス(CSSO)は、政府支給品(GFE)のモバイルデバイス(スマートフォンやタブレットPCなど)のセキュリティリスクを最小限に抑えることに焦点を当てたモバイルサイバーセキュリティ共有サービスを提供する。政府職員やリーダーは、特にオフィスから離れている間、機関のミッションを遂行するためにモバイルデバイスに大きく依存している。GFEモバイルデバイスとその上のアプリケーション(アプリ)が危険にさらされると、それらをサポートするバックエンドのエンタープライズシステムが、潜在的に損害を与えるサイバー攻撃にさらされる可能性がある。モバイルセキュリティを強化するために、CSSOは2つの画期的なモバイルサイバーセキュリティ共有サービスを提供する準備を進めている。モバイルアプリケーションベッティング(MAV)とトラベラーベリフィケーション情報保護(T-VIP)である。これらの革新的なモバイル・サイバーセキュリティ共有サービスの詳細については、次のドロップダウンボックスを参照すること。

 

Movile Application Vetting (MAV)

1_20230314061401

Movile Application Vetting (MAV) MAV(Movile Application Vetting)とは
CISA’s MAV shared service facilitates security integrity checks of government-developed and third-party mobile apps that will be used on GFE mobile devices. The MAV shared service identifies app vulnerabilities and potential risks to mobile devices while increasing app and enterprise security. The service empowers government agencies to fix discovered issues and, more critically, prevent cyber-attacks on mobile devices and enterprise systems. For more information, read the Mobile App Vetting (MAV) Fact Sheet. CISAのMAV共有サービスは、GFEモバイルデバイスで使用される政府開発およびサードパーティ製モバイルアプリのセキュリティ完全性チェックを容易にする。MAV共有サービスは、アプリの脆弱性とモバイルデバイスの潜在的なリスクを特定し、アプリとエンタープライズのセキュリティを向上させる。このサービスにより、政府機関は発見された問題を修正し、さらに重要なこととして、モバイルデバイスやエンタープライズシステムに対するサイバー攻撃を防止することができる。 詳細については、「Mobile App Vetting (MAV) Fact Sheet」を参照すること。

・[PDF] MOBILE APP VETTING FACT SHEET

 

 

 

Treveler-Verified Information Protection (T-VIP)

1_20230314062001

Treveler-Verified Information Protection (T-VIP) トレベラー検証型情報保護(T-VIP)
CISA’s T-VIP shared service monitors the integrity of GFE mobile devices, including configuration, apps, firmware, hardware, and software. Government travelers need their GFE mobile devices to stay in contact while traveling to foreign countries, embassies, or external sites, often becoming prime targets for compromise. Since they cannot monitor what occurs “under the hood” of their mobile devices, comparisons of pre-travel and post-travel scans by T-VIP identifies suspicious changes on the devices made during their travels, thus increasing the security of sensitive government information. T-VIP supports many newer Apple and Samsung mobile devices and can be updated to support newly introduced devices. For more information, read the Traveler-Verified Information Protection (T-VIP) Fact Sheet. CISAのT-VIP共有サービスは、設定、アプリ、ファームウェア、ハードウェア、ソフトウェアなど、GFEモバイルデバイスの完全性を監視する。政府出張者は、外国、大使館、外部サイトへの出張中、GFEモバイルデバイスで連絡を取り合う必要があり、しばしば侵害の格好のターゲットになる。モバイルデバイスの "ボンネットの下 "で起きていることを監視できないため、T-VIPによる出張前と出張後のスキャンを比較することで、出張中にデバイス上で行われた疑わしい変更を特定し、政府の機密情報のセキュリティを向上させる。T-VIPは、多くの新しいAppleおよびSamsungのモバイルデバイスをサポートしており、新しく登場したデバイスをサポートするためにアップデートすることができる。 詳細については、Traveler-Verified Information Protection (T-VIP) Fact Sheetを参照のこと。


・[PDF] TRAVELER-VERIFIED INFORMATION PROTECTION SERVICE FACT SHEET




 

| | Comments (0)

2023.03.13

ENISA 報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」

こんにちは、丸山満彦です。

ENISAが、「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」の2つの報告書を公表していますね。。。

これから、IoTの利用が進むことが想定されるが、その時にどのようなリスクが大きくなるか?そのリスクに対する対策としてどのようなことをすべきか。。。

 

1_20230311105701

 

ENISA

・2023.03.08 Unveiling the Telecom Cybersecurity Challenges

Unveiling the Telecom Cybersecurity Challenges テレコム・サイバーセキュリティの課題を解き明かす
The European Union Agency for Cybersecurity (ENISA) publishes one report on eSIMs and a second one on fog and edge computing in 5G. Both reports intend to provide insights on the challenges of these technologies. 欧州連合サイバーセキュリティ機関(ENISA)は、eSIMに関する報告書と、5Gにおけるフォグ・エッジコンピューティングに関する報告書を発行した。両報告書は、これらの技術の課題に関する洞察を提供することを意図している。
ENISA deep dives into the eSIM technology security challenges and investigates security issues for fog and edge computing in 5G in order to support the national security competent authorities of the ECASEC group and the NIS Cooperation Group work stream on 5G cybersecurity. ENISAは、ECASECグループおよびNIS協力グループの5Gサイバーセキュリティに関するワークストリームの国家安全保障担当当局を支援するため、eSIM技術のセキュリティ課題を深く掘り下げ、5Gのフォグ・エッジコンピューティングに関するセキュリティ課題を調査している。
The case of eSIMs eSIMの場合
eSIM is the generic term used for the embedded form of a SIM (subscriber identity module) card. Built into the device, the eSIM is hosted on a tiny chip that provide storage for the mobile subscription details in digital format. eSIMは、SIM(加入者IDモジュール)カードの組み込み型に使用される総称である。デバイスに組み込まれたeSIMは、小さなチップにホストされており、デジタル形式でモバイル契約の詳細を保存することができる。
Like the regular SIM card, the eSIM identifies a subscriber within a mobile operator’s network and can be found in a wide range of products, such as wearable devices, computers, medical internet-of-things (IoT) devices, home automation and security systems, and handheld point-of-sale devices. 通常のSIMカードと同様に、eSIMは携帯電話会社のネットワーク内で加入者を識別し、ウェアラブル機器、コンピュータ、医療用IoT機器、ホームオートメーションやセキュリティシステム、携帯型POS機器など、さまざまな製品に搭載される。
The report issued today gives an overview of the eSIM technology, assesses the market potential in Europe and includes security challenges identified and proposed mitigation measures. 本日発表された報告書では、eSIM技術の概要、欧州における市場の可能性を評価し、特定されたセキュリティ上の課題と緩和策を提案している。
The security challenges identified are associated with software attacks like eSIM swapping, memory exhaustion and undersizing memory attacks, inflated profile and locking profile attacks.  Cybercriminals can cause unavailability of services or can gain access to sensitive information.  特定されたセキュリティ課題は、eSIMのスワッピング、メモリ枯渇とメモリサイズ不足攻撃、プロファイルの膨張とプロファイルのロック攻撃などのソフトウェア攻撃に関連するものである。  サイバー犯罪者は、サービスの利用不能を引き起こしたり、機密情報にアクセスしたりすることができる。 
Still, no major technical vulnerability has been detected so far with only limited reported cybersecurity breaches. However, the large scale IoT deployment and the subsequent rise in the use of eSIMs could result in a rise of such cyber incidents. それでも、これまで大きな技術的脆弱性は検出されておらず、サイバーセキュリティ侵害の報告も限定的なものにとどまっている。しかし、大規模なIoTの展開とそれに伴うeSIMの使用の増加により、このようなサイバーインシデントが増加する可能性がある。
Find out more in the report “Embedded SIM Ecosystem, Security Risks and Measures” 詳細は、報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」 で確認できる。
The case of fog and edge computing: the role it plays in 5G フォグ・エッジコンピューティングの場合:5Gで果たす役割
Fog and edge computing has created new opportunities and novel applications in the 5G ecosystem. However, the telecommunications, cloud and industrial communities need to address multi-modal security challenges. フォグ・エッジコンピューティングは、5Gエコシステムにおいて新たな機会と新規アプリケーションを生み出した。しかし、通信、クラウド、産業の各コミュニティは、マルチモーダルなセキュリティ課題に対処する必要がある。
With an architecture being a layer below cloud computing, the main goal of fog and edge computing is to reduce the workload of edge and cloud devices by offering additional network and hardware resources to both parties. アーキテクチャがクラウドコンピューティングの下の層であることから、フォグ・エッジコンピューティングの主な目標は、追加のネットワークおよびハードウェアリソースを両者に提供することによって、エッジおよびクラウドデバイスの作業負荷を軽減することである。
Resorting to this technology provides computing, storage data and application services to end users while being hosted at the network’s edge. It reduces service latency and improves the overall end-user experience. End users benefit from remote access to data storage and from availability of services without extensive resources needed, therefore reducing costs. この技術に頼ることで、ネットワークのエッジでホストされながら、エンドユーザーにコンピューティング、ストレージデータ、アプリケーションサービスを提供することができる。これにより、サービスの待ち時間が短縮され、全体的なエンドユーザーエクスペリエンスが向上する。エンドユーザーは、データストレージへのリモートアクセスや、大規模なリソースを必要としないサービスの利用が可能となるため、コスト削減のメリットがある。
The report provides an overview of fog and edge technologies in terms of 5G, in relation to their architecture, attributes, and security aspects. The different architectural approaches are also introduced and their applications. It also outlines the standardisation solutions and provides an analysis of applications scenarios. 本報告書では、5Gの観点から、フォグテクノロジーとエッジテクノロジーについて、そのアーキテクチャ、属性、セキュリティ面との関連で概観している。また、さまざまなアーキテクチャーのアプローチとその応用例も紹介している。また、標準化ソリューションの概要を説明し、アプリケーションシナリオの分析も行っている。
Find out more in the report “Fog and Edge Computing in 5G”. 詳細は、報告書「5Gにおけるフォグ・エッジコンピューティング」で確認できる。
39th meeting of the ECASEC Expert Group 第39回ECASEC専門家グループ会合
Organised in a hybrid format, both in Dublin, Ireland and online, the meeting gathered about 60 experts from national authorities from EU, EFTA, EEA, and EU candidate countries, who are supervising the European telecom sector. アイルランド・ダブリンとオンラインのハイブリッド形式で開催されたこの会議には、EU、EFTA、EEA、EU候補国から、欧州の通信セクターを監督する各国当局の専門家約60人が集った。
The group experts engaged in a discussion on the new work programme, and also focused on the potential update of the existing security measures and incident reporting frameworks with the objective to reflect the changes introduced by the NIS2 directive. 専門家グループは、新しい作業プログラムに関する議論を行い、また、NIS2指令によって導入された変更を反映させる目的で、既存のセキュリティ対策やインシデント報告の枠組みを更新する可能性に焦点を当てた。
Further Information: 詳細
ENISA ECASEC EG portal ENISA ECASEC EGポータル
ENISA Incident Reporting webpage ENISAインシデントレポーティングのウェブページ
European Electronic communications Code — ENISA (europa.eu) 欧州電子通信コード - ENISA (europa.eu)
NIS Directive – ENISA topic NIS指令 - ENISAトピック
3rd ENISA Telecom & Digital Infrastructure Security Forum — ENISA (europa.eu) 第3回 ENISA Telecom & Digital Infrastructure Security Forum - ENISA (europa.eu)

 

 


 

・2023.03.08 Embedded Sim Ecosystem, Security Risks and Measures

Embedded Sim Ecosystem, Security Risks and Measures 組み込みSIMのエコシステム、セキュリティリスクと対策
eSIM is the generic term used for the embedded form of a SIM (subscriber identity module) card. Built into the device, the eSIM is hosted on a tiny chip that provide storage for the mobile subscription details in digital format. Like the regular SIM card, the eSIM identifies a subscriber within a mobile operator’s network and can be found in a wide range of products, such as wearable devices, computers, medical internet-of-things (IoT) devices, home automation and security systems, and handheld point-of-sale devices. This report gives an overview of the eSIM technology, assesses the market potential in Europe and includes security challenges identified and proposed mitigation measures. eSIMは、SIM(加入者IDモジュール)カードの組み込み型に使用される総称である。デバイスに組み込まれたeSIMは、小さなチップにホストされており、デジタル形式でモバイル契約の詳細を保存することができる。通常のSIMカードと同様に、eSIMは携帯電話会社のネットワーク内で加入者を識別し、ウェアラブル機器、コンピュータ、医療用IoT機器、ホームオートメーションやセキュリティシステム、携帯型POS機器など、さまざまな製品に搭載されていることが確認されている。本報告書では、eSIM技術の概要を説明し、欧州における市場の可能性を評価するとともに、特定されたセキュリティ上の課題と緩和策の提案を含む。

 

・[PDF]

20230311-105444

エグゼクティグサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
eSIM is the generic term used for the embedded form of a SIM (subscriber identity module) card. Like a normal SIM card, the eSIM identifies a subscriber within a mobile network operator’s (MNO) network. Unlike a normal SIM, the eSIM is built into the device, hosted on tiny chips that provide storage for the mobile subscription details in digital format. Both the tiny chip and the software are embedded in the device, with eSIMs being rewriteable by all mobile network operators (MNOs). The credentials required to sign into the MNO’s network are downloaded directly.  eSIMとは、SIM(Subscriber Identity Module)カードの組み込み型の総称である。通常のSIMカードと同様に、eSIMはモバイルネットワーク事業者(MNO)のネットワーク内で加入者を識別する。通常のSIMとは異なり、eSIMは機器に内蔵され、小さなチップにホストされており、デジタル形式でモバイル契約の詳細を保存することができる。小さなチップとソフトウェアの両方がデバイスに組み込まれており、eSIMはすべてのモバイルネットワーク事業者(MNO)によって書き換えが可能である。MNOのネットワークにサインインするために必要な認証情報は、直接ダウンロードされる。
eSIMs are found in a wide range of products, such as smartphones, wearable devices, tablets, computers, medical internet-of-things (IoT) devices, home automation and security systems, connected cards, and handheld point-of-sale devices. eSIM technical specifications are standardised by industry bodies and allow for power efficiency, remote SIM provisioning and interoperability. eSIM-compatible devices are gaining momentum now that major operating systems such as Android, IOS, and Windows 10 support them.  eSIMは、スマートフォン、ウェアラブル端末、タブレット端末、コンピュータ、医療用IoT機器、ホームオートメーションやセキュリティシステム、コネクテッドカード、携帯型POS機器など、幅広い製品に搭載されている。eSIMの技術仕様は業界団体によって標準化されており、電力効率、リモートSIMプロビジョン、相互運用性を実現する。Android、IOS、Windows 10などの主要OSがeSIMをサポートし、今ではeSIM対応機器の勢いが増している。
There are multiple advantages to using eSIMs over traditional SIMs. Devices can become flatter, more waterproof and more resistant to dust, and the eSIM’s small size leaves more room for other features. End users can also rewrite their eSIM, for example, to get a local pre-paid phone when abroad.   eSIMを使用することには従来のSIMと比較していくつかの利点がある。デバイスはより平らになり、防水性や防塵性を高めることができ、eSIMのサイズが小さいため、他の機能を搭載するためのスペースが確保される。また、エンドユーザーはeSIMを書き換えることで、例えば海外では現地のプリペイド携帯電話を手に入れることができる。 
For MNOs, logistics and support are simplified and new business opportunities are presented, since eSIMs can provide connectivity to IoT devices more easily, which then become ‘smart’ within an IoT ecosystem.  MNOにとっては、eSIMがIoT機器への接続をより容易にし、IoTエコシステムの中で「スマート」になるため、物流やサポートが簡素化され、新しいビジネスチャンスがもたらされる。
eSIMs also present security opportunities. For example, if the device is stolen, it is easier for the MNO to switch the user profile. It is also harder for a thief to discard the SIM card after stealing the device.  eSIMはまた、セキュリティの機会も提供する。例えば、デバイスが盗まれた場合、MNOはユーザープロファイルを変更することが容易になる。また、泥棒がデバイスを盗んだ後にSIMカードを廃棄することも難しくなる。
On the other hand, eSIMs present new security challenges and risks. For example, the arrival of eSIMs has opened up the possibility of eSIM swapping (1). Another challenge is the security of eSIM profile provisioning. End users can download a profile directly onto their devices. This could be targeted by attackers, who could push a new profile onto a device and take it over.  一方、eSIMは、セキュリティ上の新たな課題とリスクをもたらす。例えば、eSIMの登場により、eSIMのスワッピングの可能性が出てきた(1)。もう一つの課題は、eSIMプロファイルのプロビジョニングのセキュリティである。エンドユーザーは、自分のデバイスに直接プロファイルをダウンロードすることができます。これは攻撃者に狙われる可能性があり、攻撃者は新しいプロファイルをデバイスにプッシュし、それを乗っ取ることができる。
This paper provides an overview of eSIM technology and of the eSIM ecosystem, market potential and usage in Europe, along with an overview of the security challenges and risks.   本稿では、eSIM技術の概要と、欧州におけるeSIMエコシステム、市場の可能性、利用状況について、セキュリティ上の課題とリスクの概要とともに解説する。 
It can be useful for national authorities competent for the security of electronic communications in the context of providing relevant guidelines to the MNOs and also when auditing their security measures for mitigating the risks for eSIMs and safeguarding the eSIM provisioning processes. MNOs can also use the findings of this paper to improve their security posture as far as security of eSIMs is concerned.  電子通信のセキュリティに責任を持つ国家機関が、携帯電話会社に関連ガイドラインを提供する際や、eSIMのリスク軽減やeSIMの提供プロセスの保護に向けたセキュリティ対策を監査する際にも有用であろう。また、MNOは、eSIMのセキュリティに関する限り、本論文の知見を利用して、自社のセキュリティ態勢を改善することができる。
Key findings include the following.  主な発見は以下の通りである。
•        Security challenges identified are associated to software attacks like eSIM swapping, memory exhaustion and undersizing memory attacks, inflated profile and locking profile attacks.  Cybercriminals can cause unavailability of services or gain access to sensitive information.    ・特定されたセキュリティ課題は、eSIMのスワッピング、メモリの枯渇とアンダーサイジングメモリ攻撃、プロファイルの膨張とロックプロファイル攻撃などのソフトウェア攻撃に関連している。 サイバー犯罪者は、サービスの利用不能を引き起こしたり、機密情報にアクセスしたりすることができる。
•        There have been very few reported cybersecurity breaches involving eSIMs in Europe since 2010.  ・2010年以降、欧州ではeSIMを含むサイバーセキュリティ侵害の報告はほとんどない。
•        The findings show that there are no major technical vulnerabilities currently known that could be exploited by attackers to compromise user data or take control of user devices, but there are some weaknesses in terms of software design that could be exploited by hackers to gain access to sensitive information stored on eSIMs.  ・調査結果によると、現在知られている技術的な脆弱性には、攻撃者がユーザーデータの漏洩やユーザーデバイスの制御を行うために悪用できるような大きなものはないが、ソフトウェア設計の面では、ハッカーがeSIMに保存されている機密情報にアクセスするために悪用できるような弱点があることが分かっている。
•        It is quite likely that the expected large-scale IoT deployment will result to new attacks not yet explored, which can point out existing vulnerabilities of the new technology that have not been revealed so far.  ・今後予想される大規模なIoTの展開により、まだ調査されていない新たな攻撃が発生する可能性は十分にあり、これまで明らかにされていない新技術の既存の脆弱性を指摘することができる。

[1] ENISA, Countering SIM-Swapping – Overview and good practices to reduce the impact of SIM-swapping attacks, 2021 (https://www.enisa.europa.eu/publications/countering-sim-swapping ). 

 

1. INTRODUCTION 1. はじめに
1.1 SECURITY OF ESIMS 1.1 eSIMのセキュリティ
1.2 POLICY CONTEXT 1.2 政策的背景
1.3 TARGET AUDIENCE 1.3 想定読者
1.4 PREPARATION OF THIS REPORT 1.4 本報告書の作成
1.5 STRUCTURE OF THIS REPORT 1.5 本報告書の構成
2. ECOSYSTEM AND USAGE IN EUROPE 2. 欧州のエコシステムと使用状況
2.1 ESIM ECOSYSTEM 2.1 eSIMエコシステム
2.2 ESIM BENEFITS AND DRAWBACKS 2.2 eSIMの利点と欠点
2.3 SIM MARKET AND USAGE IN EUROPE 2.3 ヨーロッパのSIM市場と利用状況
3. ESIM DEPLOYMENTS 3. eSIM実装
3.1 SIM EVOLUTION 3.1 SIMの進化
3.2 ESIM ARCHITECTURE 3.2 eSIMアーキテクチャ
4. SECURITY CHALLENGES AND RISKS 4. セキュリティ上の課題・リスク
4.1 OVERVIEW OF SECURITY CHALLENGES AND RISKS 4.1 セキュリティ上の課題・リスクの概要
5. PROPOSED SECURITY MEASURES 5. セキュリティ対策案
5.1 GOVERNANCE AND RISK MANAGEMENT 5.1 ガバナンスとリスクマネジメント
5.2 OPERATIONS MANAGEMENT 5.2 運用管理
5.3 HUMAN RESOURCES SECURITY 5.3 人的資源の確保
5.4 SECURITY OF SYSTEMS AND FACILITIES 5.4 システムおよび施設のセキュリティ
5.5 MAPPING TO THE ENISA GUIDELINE 5.5 ENISAガイドラインへのマッピング
6. CONCLUSIONS 6. 結論
ANNEX 附属書

 

Figure 2: Overview of end-customer traditional SIM ecosystem

Fig02_20230312213001

 

 

Figure 7: GSMA proposed eUICC remote provisioning system for consumer solutions

Fig07

 

Figure 8: GSMA proposed eUICC remote provisioning system for M2M solutions

Fig08

 

Figure 9: Overview of the eSIM compliance process

Fig09

 

 

 

 

 


 

・2023.03.08 Fog and Edge Computing in 5G

Fog and Edge Computing in 5G 5Gにおけるフォグ・エッジコンピューティング
This report focuses on the fundamentals of fog and edge, an overview of their security aspects, the open challenges that these sectors face, the related standardisation efforts, the existing opportunities in this field, and different application scenarios. Fog and edge computing have become key enablers in the 5G ecosystem, creating new opportunities and novel applications, but also multi-modal security challenges, that the telco, cloud and industrial communities address them from different perspectives. 本報告書では、フォグ・エッジの基礎知識、セキュリティの概要、これらの分野が直面するオープンな課題、関連する標準化の取り組み、この分野における既存の機会、さまざまなアプリケーションシナリオに焦点を当てている。フォグ・エッジコンピューティングは、5Gエコシステムにおける重要なイネーブラとなり、新たな機会や新しいアプリケーションを生み出すと同時に、マルチモーダルなセキュリティの課題も発生しており、通信事業者、クラウド、産業界はさまざまな観点からこれらに取り組んでいる。

 

・[PDF]

20230311-105454

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The ambition of this report is to outline the various security aspects of fog and edge computing in the 5G domain. This includes the technical risks, and therefore trust and resilience, in the telco ecosystem. Fog and edge technologies are considered in this report as a multidimensional space encompassing not only technological and functional domains but also the related technology lifecycle processes, stakeholders, and applications. This report focuses on the fundamentals of fog and edge, an overview of their security aspects, the open challenges that these sectors face, the related standardisation efforts, the existing opportunities in this field, and different application scenarios. Fog and edge computing have become key enablers in the 5G ecosystem, creating new opportunities and novel applications, but also multi-modal security challenges, that the telco, cloud and industrial communities address them from different perspectives.  本報告書の目的は、5G領域におけるフォグ・コンピューティングとエッジ・コンピューティングの様々なセキュリティ面について概説することである。これには、通信事業者のエコシステムにおける技術的リスク、ひいては信頼とレジリエンスも含まれる。本レポートでは、フォグテクノロジーとエッジテクノロジーを、技術的・機能的な領域だけでなく、関連するテクノロジーのライフサイクルプロセス、関係者、アプリケーションを包含する多次元空間として捉えている。本レポートでは、フォグとエッジの基礎、セキュリティ面の概要、これらの分野が直面するオープンな課題、関連する標準化の取り組み、この分野における既存の機会、さまざまなアプリケーションシナリオに焦点を当てている。フォグとエッジコンピューティングは、5Gエコシステムにおける重要なイネーブラとなり、新たな機会や新しいアプリケーションを生み出すと同時に、マルチモーダルなセキュリティの課題も発生しており、通信事業者、クラウド、産業界はそれぞれ異なる観点からこれらに取り組んでいる。
The need for this report stems from the work on the 5G EU toolbox. Specifically, the European Commission and the Member States, with the support of ENISA, developed a single EU coordinated risk assessment on cybersecurity in 5G networks, following the European Commission’s recommendation on the cybersecurity of 5G networks. Subsequently, the NIS Cooperation Group published the EU toolbox of risk mitigating measures. The objectives of this toolbox are to identify a possible common set of measures that are capable of mitigating the main cybersecurity risks of 5G networks that were identified in the EU report on coordinated risk assessment and to provide guidance for the selection of measures that should be prioritised in mitigation plans at national and at EU level. The toolbox identifies two groups of measures Member States can take: strategic and technical measures. In addition, it identifies a number of supporting actions that can assist, enable or support the implementation of strategic and technical measures.  本報告書の必要性は、5G EUツールボックスの作業に起因している。具体的には、欧州委員会と加盟国は、ENISAの支援を受けて、5Gネットワークのサイバーセキュリティに関する欧州委員会の勧告を受け、5Gネットワークのサイバーセキュリティに関する単一のEU協調リスク評価を策定した。その後、NIS協力会は、リスク軽減策のEUツールボックスを発表した。このツールボックスの目的は、協調的リスク評価に関するEU報告書で特定された5Gネットワークの主なサイバーセキュリティリスクを軽減することができる可能な共通の対策セットを特定し、国内およびEUレベルでの軽減計画で優先されるべき対策の選択のための指針を提供することである。ツールボックスは、加盟国が取り得る対策として、戦略的対策と技術的対策の2つのグループを特定している。さらに、戦略的対策と技術的対策の実施を支援し、可能にし、サポートすることができる多くの支援行動を特定する。
With this report, ENISA tries to provide support to the experts of the NIS Cooperation Group Work Stream on 5G Cybersecurity on current issues and challenges in the areas of fog and edge computing in 5G. This report aims to cover them from a technological and organisational point of view. Considerations of the effectiveness of specific standards and of the strategic aspects related to fog and edge security, although important, are outside the scope of this report and are covered merely from the technical analysis perspective.  本報告書により、ENISAはNIS協力グループの5Gサイバーセキュリティに関するワークストリームの専門家に対し、5Gにおけるフォグとエッジコンピューティングの分野における現在の問題や課題に関する支援を提供しようとするものである。本報告書は、技術的および組織的な観点からそれらをカバーすることを目的としている。特定の規格の有効性や、フォグとエッジのセキュリティに関連する戦略的側面についての考察は、重要ではあるが、本報告書の範囲外であり、単に技術分析の観点から取り上げている。
Accordingly, this report:  したがって、本報告書では 
•  provides an overview of fog and edge technologies in terms of 5G, in relation to their architecture, attributes, and security aspects;  ・5Gの観点から、フォグおよびエッジ技術のアーキテクチャ、属性、およびセキュリティの側面について概観する。
•  covers the different architectural approaches that both paradigms have introduced in the telco domain, along with their relevant applications;  ・両パラダイムが通信事業者の領域に導入したさまざまなアーキテクチャのアプローチと、その関連アプリケーションを取り上げる。
•  addresses the various security challenges that have emerged from the fog and edge convergence with 5G, for example trustworthiness of edge nodes, multi-modality of fog devices, large number of access devices and technologies;  ・エッジノードの信頼性、フォグデバイスのマルチモダリティ、多数のアクセスデバイスや技術など、フォグとエッジの5Gへの融合から生まれたさまざまなセキュリティ上の課題を取り上げる。
•  outlines the standardisation efforts of fog and edge computing in regard to security.  ・セキュリティに関するフォグおよびエッジコンピューティングの標準化の取り組みについて概説する。
•  analyses the existing literature against an ideal situation of cybersecurity robustness and resilience, and address technical and organisational security aspects;  ・サイバーセキュリティの堅牢性とレジリエンスの理想的な状況に対する既存の文献を分析し、技術的、組織的なセキュリティの側面を取り上げる。
•  analyses the current opportunities in terms of scalability, network management, reliability, sustainability, and federation for fog computing;  ・フォグコンピューティングのスケーラビリティ、ネットワーク管理、信頼性、持続可能性、フェデレーションの観点から、現在のビジネスチャンスを分析している。
•  detailing the current opportunities in terms of quality of experience (QoE), protocol standardisation, heterogeneity handling, and multi-access edge computing for edge computing;  ・エッジコンピューティングの経験品質(QoE)、プロトコルの標準化、異質性の処理、マルチアクセスエッジコンピューティングの観点から、現在の機会を詳しく説明する。
•  provides analysis on various application scenarios for fog and edge computing in 5G.  ・5Gにおけるフォグ・コンピューティングとエッジ・コンピューティングのさまざまなアプリケーション・シナリオに関する分析を提供する。
The report collects and analyses more than 100 documents and outlines the main security aspects in the fog and edge domains. The main observations that can be derived from the analysis are the following.  本報告書は、100以上の文書を収集・分析し、フォグとエッジの領域における主なセキュリティの側面について概説している。分析から導き出される主な見解は以下の通りである。
•  Fog and edge computing specifications and guidelines cover to a greater extent the ‘run’ phase of a technology lifecycle, whereas other phases would need tailoring.  ・フォグとエッジコンピューティングの仕様とガイドラインは、技術ライフサイクルの「実行」フェーズをより広範囲にカバーしているが、その他のフェーズでは、カスタマイズが必要である。
•  Existing knowledge bases on cybersecurity threats and IT-security guidelines can be used for fog and edge native architectures and architectures relying on application programming interfaces (APIs). Although these families of software are well known to the IT industry, their use is quite recent and constitutes drivers of the ‘cloudification’ of the telecom sector.  ・サイバーセキュリティの脅威やITセキュリティガイドラインに関する既存の知識ベースは、フォグやエッジネイティブのアーキテクチャやアプリケーションプログラミングインターフェース(API)に依存するアーキテクチャに使用することができます。これらのソフトウェア群はIT業界ではよく知られているが、その使用はごく最近のことであり、電気通信部門の「クラウド化」の推進要因となっている。
•  Fog and edge applications and services that have emerged from different sectors and have been integrated in the 5G domain are summarised. Both paradigms have enabled a horizontal cross-sector development of various innovative application scenarios.  ・異なる分野から登場し、5Gドメインに統合されたフォグとエッジのアプリケーションとサービスについてまとめている。両パラダイムは、さまざまな革新的なアプリケーションシナリオの水平的なクロスセクター展開を可能にした。
•  Presents the different novelties that have been developed under the scope of fog and edge computing and have had a disruptive impact in the networking technologies field overall. The report covers how novelties such as network service orchestration, federation, elasticity and scalability approach security challenges in the 5G domain.  ・フォグおよびエッジコンピューティングの範囲内で開発され、ネットワーク技術分野全体に破壊的な影響を与えたさまざまな新機能を紹介する。ネットワークサービスのオーケストレーション、フェデレーション、弾力性、スケーラビリティなどの新機能が、5G領域におけるセキュリティの課題にどのようにアプローチしているかを取り上げている。
•  Analyses various mitigation measures that fog and edge computing have developed in response to various security challenges present and introduced in 5G and also the different sectors and layers that are affected.  ・5Gに存在し、導入されるさまざまなセキュリティ課題に対して、フォグとエッジコンピューティングが開発したさまざまな緩和策を分析し、さらに影響を受けるさまざまな分野とレイヤーを分析する。
•  The available standards, specifications, and guidelines are general. They can be applied consistently to the fog and edge technical and functional domains and related lifecycle processes only after being tailored accordingly.  ・利用可能な標準、仕様、およびガイドラインは一般的なものである。これらは、フォグとエッジの技術・機能領域と関連するライフサイクルプロセスに一貫して適用できるのは、適宜調整された後である。
•  Fog-specific standards, specifications, and guidelines are available to a greater extent to the stakeholders from the Industrie 4.0 and ‘Internet of Things’ (IoT) sectors. Whereas for edge computing, the European Telecommunications Standards Institute (ETSI) and the 3rd Generation Partnership Project (3GPP) have defined several standard activities of the telecommunication sector.  ・フォグに特化した標準、仕様、ガイドラインは、Industrie 4.0や「モノのインターネット」(IoT)分野の関係者がより多く利用できます。一方、エッジコンピューティングについては、欧州電気通信標準化機構(ETSI)と第3世代パートナーシッププロジェクト(3GPP)が、電気通信部門のいくつかの標準活動を定義している。
Finally, this report stresses that, while the technical and organisational standards and specifications analysed can contribute to the security of fog and edge computing for 5G, they should not be treated as an exhaustive list of measures guaranteeing security. There are risks that are not covered by standards, for example, residual risks whose cost is neither borne by nor attributable to a specific stakeholder, such as societal risks resulting from network malfunctions. This vision should be future-proof and not dependent on the variability of assets and configurations in the network.  最後に、本報告書では、分析した技術的・組織的な標準や仕様が5Gのフォグ・エッジコンピューティングのセキュリティに貢献できるものの、セキュリティを保証する手段の網羅的なリストとして扱うべきものではないことを強調している。例えば、ネットワークの不具合に起因する社会的リスクなど、特定のステークホルダーが負担するわけでもなく、帰属するわけでもない残余のリスクなど、標準ではカバーできないリスクも存在する。このビジョンは、ネットワーク内の資産や構成の変動に左右されない、将来性のあるものであるべきである。

 

 

1. INTRODUCTION 1. はじめに
1.1. BACKGROUND AND POLICY CONTEXT 1.1. 背景と政策的背景
1.2. POLICY CONTEXT 1.2. 政策的背景
1.3. DOCUMENT PURPOSE AND OBJECTIVES 1.3. 文書の目的および目標
1.4. DOCUMENT SCOPE AND INTENDED AUDIENCE 1.4. 文書の範囲と対象読者
1.5. DOCUMENT STRUCTURE 1.5. 文書構造
2. OVERVIEW OF FOG AND EDGE COMPUTING IN 5G 2. 5Gにおけるフォグ・エッジコンピューティングの概要
2.1. FOG COMPUTING 2.1. フォグコンピューティング
2.2. EDGE COMPUTING 2.2. エッジコンピューティング
2.3. FOG AND EDGE COMPUTING IN 5G 2.3. 5Gにおけるフォグ・エッジコンピューティング
3. STANDARDISATION 3. 標準化
3.1. FOG AND EDGE COMPUTING STANDARDISATION OVERVIEW 3.1. フォグ・エッジコンピューティングの標準化の概要
3.2. FOG COMPUTING SECURITY IN 5G 3.2. 5Gにおけるフォグコンピューティングのセキュリティ
3.3. EDGE COMPUTING SECURITY IN 5G 3.3. 5Gにおけるエッジコンピューティングのセキュリティ
3.4. JOINT 5G CORE THREAT LANDSCAPE FOR FOG AND EDGE APPLICATIONS 3.4. フォグ・エッジアプリケーションのための共同5Gコア脅威状況
4. CURRENT OPPORTUNITIES 4. 現在の機会
4.1. FOG-COMPUTING OPPORTUNITIES IN 5G 4.1. 5Gにおけるフォグコンピューティングの可能性
4.2. EDGE COMPUTING OPPORTUNITIES IN 5G 4.2. 5Gにおけるエッジコンピューティングの可能性
5. SECURITY ASPECTS 5. セキュリティ面
5.1. FOG COMPUTING IN 5G 5.1. 5Gにおけるフォグコンピューティング
5.2. EDGE COMPUTING IN 5G 5.2. 5Gにおけるエッジコンピューティング
6. APPLICATION SCENARIOS 6. アプリケーションシナリオ
6.1. FOG COMPUTING IN 5G 6.1. 5Gにおけるフォグコンピューティング
6.2. EDGE COMPUTING IN 5G 6.2. 5Gにおけるエッジコンピューティング
7. CONCLUSIONS 7. 結論
8. REFERENCES 8. 参考文献

 

 

 

| | Comments (0)

2023.03.01

IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

こんにちは、丸山満彦です。

IPAが、欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳版を公開していますね。。。

 ETSI EN 303 645 V2.1.1 (2020-06)は、すべての民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する欧州規格です。。。

ドイツでは、IoT製品のセキュリティ認証のCriteriaにも使われていますよね。。。

 

IPA

・2023.03.01 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・「PDF] ETSI EN 303 645 V2.1.1 (2020-06) サイバーセキュリティ技術委員会(CYBER); 民生用IoT機器のサイバーセキュリティ: ベースライン要件 [翻訳版]

20230301-143623

目次...

知的財産権
序文
法助動詞の用語

はじめに

1 適用範囲

2 参照
2.1
引用規格
2.2
参照文献

3 用語、記号、略語の定義
3.1
用語
3.2
記号
3.3
略語

4 報告の実施

5 民生用 IoT のためのサイバーセキュリティ規定
5.1
汎用のデフォルトパスワードを使用しない
5.2
脆弱性の報告を管理するための手段を導入する
5.3
ソフトウェアを最新の状態に保つ
5.4
機密セキュリティパラメータをセキュアに保存する
5.5
セキュアに通信する
5.6
露出した攻撃面を最小化する
5.7
ソフトウェアの完全性を確実にする
5.8
個人データがセキュアであることを確実にする
5.9
停止に対してレジリエントなシステムにする
5.10
システムのテレメトリデータを調べる
5.11
ユーザが簡単にユーザデータを消去できるようにする
5.12
機器の設置及びメンテナンスを容易にする
5.13
入力データの妥当性を確認する

6 民生用 IoT のためのデータ保護規定

附録 A (参考): 基本コンセプトとモデル
A.1
アーキテクチャ
A.2
機器の状態

附録 B (参考):実装適合性宣言の形式

履歴



翻訳原文(英語)

ETSI

・[PDF] ETSI EN 303 645 V2.1.1 (2020-06) CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements [English]

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.18 ETSI 協調的な脆弱性開示のためのガイド

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 



| | Comments (0)

2023.02.24

NIST NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング

こんにちは、丸山満彦です。

NISTがハードウェア対応セキュリティに関する内部報告 (IR) のドラフトを公表し、意見募集をしていますね。。。 DX時代...とかで、ネットワークに接続する機器等が増えるとマシンIDが増えていきますので、その管理が重要となってきますね。。。

 

NIST - ITL

・2023.02.23 Hardware Enabled Security: Draft NIST IR 8320D Available for Comment

 

Hardware Enabled Security: Draft NIST IR 8320D Available for Comment ハードウェアで実現するセキュリティ。NIST IR 8320D ドラフト版 コメント受付中
The National Cybersecurity Center of Excellence (NCCoE) has released a draft report, NIST Interagency Report (NISTIR) 8320D, Hardware Enabled Security: Hardware-Based Confidential Computing, for public comment. NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. 国家サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、ドラフト報告書「NIST内部報告 (NISTIR) 8320D ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング」を公開し、パブリックコメントを募集している。NISTIR 8320Dは、ハードウェアを利用したセキュリティ技術に関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万に及ぶこともある。暗号鍵などのマシンIDは、各マシンに適用する必要のあるポリシーを特定するために使用することができる。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

 

・2023.02.23 NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing

NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング
Announcement 発表
NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. NISTIR 8320Dは、ハードウェア対応のセキュリティ技術およびテクノロジーに関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. 組織で使用されるマシンIDの数は増え続けており、1つの組織で数千から数百万に及ぶこともある。マシンIDは、秘密の暗号鍵など、各マシンに適用する必要のあるポリシーを特定するために使用されることがある。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般のセキュリティコミュニティが、この実装を検証し利用するための青写真またはテンプレートとなることを意図している。
Abstract 概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもある。暗号鍵のようなマシンIDは、各マシンに適用されるべきポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

 

・[PDF]  NISTIR 8320D (Draft)

20230224-154526

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的及び範囲
1.2. Terminology 1.2. 用語の説明
1.3. Document Structure 1.3. 文書の構成
2. Challenges with Creating, Managing, and Protecting Machine Identities 2. マシンアイデンティティの作成、管理、保護に関する問題点
3. Stage 0: Enterprise Machine Identity Management 3. ステージ0:エンタープライズ・マシンアイデンティティ管理
4. Stage 1: Secret Key In-Use Protection with Hardware-Based ConfidentialComputing 4. ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユース・プロテクション
5. Stage 2: Machine Identity Management and End-to-End Protection 5. ステージ 2: マシンアイデンティティ管理とエンド・ツー・エンド保護
References 参考文献
Appendix A. Hardware Architecture 附属書A. ハードウェア・アーキテクチャ
Appendix B. AMI TruE Machine Identity Management Implementation 附属書B. AMI TruEマシンアイデンティティ・マネジメントの実装
B.1. Hardware and Software Requirements B.1. ハードウェアおよびソフトウェアの要件
B.2. AMI TruE Deployment B.2. AMI TruEのデプロイメント
B.3. Platform Security Services Configuration B.3. プラットフォーム・セキュリティ・サービスの構成
B.4. Uninstallation B.4. アンインストール
Appendix C. Intel In-Use Secret Key Protection Implementation 附属書C. インテル® In-Use Secret Key Protection の実装
Appendix D. Machine Identity Runtime Protection and Confidential Computing Integration 附属書D. マシンアイデンティティ・ランタイム・プロテクションとコンフィデンシャル・コンピューティングの統合
D.1. Solution Overview D.1. ソリューションの概要
D.2. Solution Architecture D.2. ソリューションのアーキテクチャ
D.3. Installation and Configuration D.3. インストールと構成
Appendix E. Acronyms and Other Abbreviations 附属書E. 頭字語およびその他の略語

 

 

 

「2. Challenges with Creating, Managing, and Protecting Machine Identities」から...

The ultimate goal is to be able to use “trust” as a boundary for hardware-based confidential computing to protect in-use machine identities. This goal is dependent on smaller prerequisite goals described as stages, which can be thought of as requirements that the solution must meet.   最終的な目標は、ハードウェアベースのコンフィデンシャル・コンピューティングの境界として「信頼」を使用し、使用中のマシンIDを保護できるようにすることである。このゴールは、ステージとして記述されたより小さな前提条件のゴールに依存しており、これはソリューションが満たすべき要件と考えることができる。 
• Stage 0: Enterprise Machine Identity Management. Security and automation for all machine identities in the organization should be a priority. A proper, enterprise-wide machine identity management strategy enables security teams to keep up with the rapid growth of machine identities, while also allowing the organization to keep scaling securely. The key components of a typical enterprise-grade machine identity management solution are described in Sec. 3.   ・ステージ 0: エンタープライズ・マシンアイデンティティ管理。組織内のすべてのマシンIDのセキュリティと自動化は、優先事項であるべきである。適切なエンタープライズ規模のマシンID管理戦略は、セキュリティチームがマシンIDの急速な増加に対応し、同時に組織が安全に拡張し続けることを可能にする。一般的なエンタープライズグレードのマシンID管理ソリューションの主要コンポーネントは、セクション3に記載されている。 
• Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing. The confidential computing paradigm can be used to protect secret keys inuse in dynamic environments. Section 4 describes the primary components of a hardware-based confidential computing environment and illustrates a reference architecture demonstrating how its components interact.  ・ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユースプロテクション。機密コンピューティングのパラダイムは、動的環境における使用中の秘密鍵の保護に使用できる。セクション4では、ハードウェアベースの機密コンピューティング環境の主要コンポーネントについて説明し、そのコンポーネントがどのように相互作用するかを示す参照アーキテクチャを図解している。
• Stage 2: Machine Identity Management and End-to-End Protection. Stage 0 discusses how a machine identity can be managed and Stage 1 describes how sensitive information is protected in use in conjunction with hardware-based confidential computing. Stage 2 is about the integration of the two so that machine identity management enables the prerequisites for confidential computing to be leveraged when the secret key is used at runtime. Section 5 describes how these components can be composed together to provide end-to-end protection for machine identities.  ・ステージ2:マシンIDの管理とエンドツーエンドの保護。ステージ0では、マシンIDの管理方法について説明し、ステージ1では、ハードウェアベースの機密コンピューティングと連携して使用する際に機密情報を保護する方法について説明する。ステージ2は、マシンID管理によって、秘密鍵がランタイムに使用される際に機密コンピューティングの前提条件を活用できるように、この2つを統合することを目的としている。セクション5では、これらのコンポーネントを組み合わせて、マシンIDのエンドツーエンドの保護を実現する方法について説明する。
Utilizing hardware-enabled security features, the prototype in this document strives to provide the following capabilities:  ハードウェアで実現されるセキュリティ機能を活用し、この報告書のプロトタイプは以下の機能を提供するよう努める。
• Centralized control and visibility of all machine identities   ・すべてのマシンIDの一元的な制御と可視性
• Machine identities as secure as possible in all major states: at rest, in transit, and in use in random access memory (RAM)  ・マシン ID は、静止状態、転送中、ランダムアクセスメモリー(RAM)上で使用中のすべての主要な状態において、可能な限り安全であること。
• Strong access control for different types of machine identities in the software development lifecycle and DevOps pipeline  ・ソフトウェア開発ライフサイクルおよびDevOpsパイプラインにおける、さまざまなタイプのマシンIDに対する強力なアクセス制御
• Machine identity deployment and use in DevOps processes, striving to be as secure as possible  ・DevOpsプロセスにおけるマシンIDの展開と使用は、可能な限り安全であるように努力する。

 

関係文書

ハードウェア対応セキュリティ:

NISTIR 8320  クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

NISTIR 8320A コンテナ・プラットフォーム・セキュリティ・プロトタイプ  

NISTIR 8320B 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

NISTIR 8320C (Draft) マシン・アイデンティティの管理と保護

NISTIR 8320D (Draft) ハードウェアベース・コンフィデンシャル・コンピューティング

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

 

| | Comments (0)

2023.02.19

経済産業省 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」の意見募集をしていますね。。。

次のようなことのようです...


ビルシステムにおけるサイバー・フィジカル・セキュリティ対策 ガイドライン第 2 版の策定にあたって

  • ビルのサイバーセキュリティについては、2019 6 17 日に「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(以下、共通編)第 1 版」 が公開、ビルシステムに対する全般的なサイバーセキュリティ対策のガイドを示すものとして活用され、ビルのサイバーセキュリティ対策も徐々に進んできている。さらに、2022 10 24 日には「ビルシステムにおけるサイバー・フィジカル・セキリティ対策ガイドライン(個別編:空調システム)第 1 版」が公開され、ビルに係る 個別のサブシステムとして空調システムを対象としたサイバーセキュリティ対策向上のために活用されるに至っている。

  • 上記の共通編第 1 版は、ビルに導入される様々なシステムに対するサイバーセキュリティ対策のうち、主に事前に検討し、準備しておくべき対策について示したものであ る。しかし、導入済みのシステムの制約やコストの問題など、さまざまな問題から十分に対策ができていないといった問題、想定を超える高度なサイバー攻撃の可能性、 さらにスマートビル化の進展により、ビルシステムが被害を受ける可能性がより高まっている。

  • このような状況に対して、ビルシステムへのサイバー攻撃(インシデント)の発生時に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組(イ ンシデントレスポンス)が重要となる。このため、ビルシステムに対するサイバーセキュリティ対策強化の一環として、インシデントレスポンスについて検討を行い、取 りまとめを行った。

  • この検討の成果を新たに追加する形で、本ガイドラインの改定を行い、新たに第2版 として公開することとした。また、インシデントレスポンスに係る詳細の対応を「付 属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策 インシデントレスポンス・ガイドライン(案)(以下、付属書)」としてまとめることとした。

  • 今後、本ガイドライン及びその付属書が活用されることで、ビルシステムにおける事 前対策からインシデント発生時の対応まで、一貫した対策が進むことを望まれる。

 

● e-Gov

・2023.02.15 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集について

 

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案) 

20230220-52240

目次...

1. はじめに
1.1.
ガイドラインを策定する目的
 1.1.1.
ガイドラインの目的
 1.1.2. サイバー・フィジカル・セキュリティ対策フレームワークとの関係

1.2.
ガイドラインの適用範囲と位置づけ
 1.2.1.
ガイドラインの対象者
 1.2.2. 対象とするビル
 1.2.3. 対象とするビルシステム(ビルシステムの定義)
 1.2.4. ガイドラインの位置づけ

1.3.
本ガイドラインの構成

2. ビルシステムを巡る状況の変化
2.1.
ビルシステムを含む制御システム全般の特徴と脅威の増大
2.2.
ビルシステムにおける攻撃事例
 2.2.1. MIT
(Massachusetts Institute of Technology、マサチューセッツ工科大学)の学内ビルの照明ハッキング
 2.2.2. ターナー・ギルフォード・ナイト収容所の警備システムハッキング
 2.2.3. ラッペーンランタでの DDos 攻撃による暖房停止
 2.2.4. ホテルでの宿泊客の閉じ込め・閉め出し
 2.2.5. インターネットカメラへの大量ハッキング
 2.2.6. テストによるハッキング事例
 2.2.7. ドイツにおける BAS 機器のロック事例

2.3.
ビルシステムにおけるサイバー攻撃の影響

3. ビルシステムにおけるサイバーセキュリティ対策の考え方
3.1.
一般的なサイバーセキュリティ対策のスキーム
3.2.
ビルシステムの構成の整理
3.3.
ビルシステムの特徴
 3.3.1.
超長期の運用
 3.3.2. 複数のフェーズに分かれた長いライフサイクルを持つこと
 3.3.3. マルチステークホルダであること
 3.3.4. 多種多様なビルの存在

3.4.
ビルシステムにおけるサイバーセキュリティ対策の整理方針
 3.4.1.
場所から紐解くリスクの整理とライフサイクルを考慮した対策
 3.4.2. インシデント発生時の対応

3.5.
ガイドラインの想定する使い方例
 3.5.1.
例1: 新築の大規模オーナービルにおける使い方
 3.5.2. 例2: 既存の中規模テナントビルをクラウド移行する際の使い方
 3.5.3. 例3: 既存ビルへのリスクアセスメントと対策立案での使い方
 3.5.4. 例4: 機器等の障害対応の延長線上でインシデント対応する使い方

4. ビルシステムにおけるリスクと対応ポリシー
4.1.
全体管理
4.2.
機器ごとの管理策

5. ライフサイクルを考慮したセキュリティ対応策

6. インシデント発生時の対応策
6.1.
インシデントレスポンスの概要

付録 A 用語集
付録 B JDCC の建物設備システムリファレンスガイドとの関係
付録 C 建物設備システム リファレンスガイド インシデント対応・セキュリティソリューション編との関係
付録 D サイバー・フィジカル・セキュリティ対策フレームワークの考え方と、サイバー・フィジカル・セキュリティ対策フレームワークの考え方を踏まえたビルシステムにおけるユースケース
付録 E 参考文献

・[PDF] 付属書(案)

20230220-52352

目次...

1. はじめに
1.1.
付属書の目的
 1.1.1.
本付属書の目的
 1.1.2. ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインとの関係

1.2.
ガイドラインの適用範囲と位置づけ
 1.2.1.
想定する読者
 1.2.2. 対象とするビル
 1.2.3. 対象とするビルシステム
  1.2.3.1. ビルシステムの定義
  1.2.3.2. ビルシステムの構成

1.3.
本ガイドラインの構成

2. サイバーインシデントへの対応
2.1.
サイバーインシデントへの対応の流れ
 2.1.1.
準備段階
 2.1.2. 識別段階
 2.1.3. 封じ込め段階
 2.1.4. クリーンアップと回復段階
 2.1.5. フォローアップ段階

3. ビルシステムに係るセキュリティ関連サービス
3.1.
ネットワーク設計サービス
3.2.
既存システムのセキュリティ診断サービス
3.3.
運用・監視サービス
3.4.
教育・研修サービス
3.5.
各種コンサルティングサービス

付録 A 用語集
付録 B 参考文献


 

● 経済産業省 - 産業サイバーセキュリティ研究会

ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(ビルサブワーキンググループ)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.21 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

・2022.10.31 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

・2022.05.01 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」に対する意見募集

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

 

| | Comments (0)

2023.02.17

情報通信研究機構 (NICT) NICTER観測レポート2022の公開

こんにちは、丸山満彦です。

情報通信研究機構 (NICT) が、NICTER観測レポート2022を公開していますね。。。

 

情報通信研究機構 (NICT) 

・2023.02.14 NICTER観測レポート2022の公開

報告書

・[PDF]

20230217-131014

 

今年のポイントは次のようです。。。 


  • ダークネット観測統計2 章):ダークネット観測における 1 IP アドレスあたりの年間総観測パケット数 は 2021 年からわずかに増加し 183 万パケットでし た.また,最も多く観測された 23/TCP 宛のパケッ トの占める割合が前年の 11% から 23% へと増加し ました.
  • IoT ボットの感染活動と感染機器3 章):昨年に続き,Mirai 亜種等の IoT ボットの活溌な活動が観測されました.日本国内では 5月以降感染ホストの増 加傾向が見られ,ピーク時には約 5000 ホストまで増加しました.また,韓国製の DVR/NVR 機器が未公開の脆弱性を悪用され,IoT ボットに感染している 実態が確認されました.
  • DRDoS 攻撃の観測状況4 章): DDoS 攻撃*4の一 種である DRDoS 攻撃の観測結果からは,絨毯爆撃 型の DRDoS 攻撃の継続,攻撃時間の長時間化,攻撃に悪用されるサービスの種類の増加が確認されました.

 

IoT ボットの感染活動と感染機器で、送信パケット数が多いホストに関して、Miraiの特徴の有無に着目してグループ分けをして分析をした結果。。。

表2 :送信バケット数の多いホストの特徴 (小数点以下は四捨五入しました・・・)

  グループA
(Miraiの特徴あり)
グループB
(Miraiの特徴なし)
ホストの特徴 IoTポットに感染した機器
(DVR 13.1 %, ホームルータ11.0% )
サーバ系
ユニークIP数 383 108
平均バケット数/日 646,709 3,320,858
平均宛先ポート数/日 2.13 4.91
送信元国別割合 米国 (28%),
韓国 (19%),
中国 (16%)
米国 (52%),
オランダ (9%),
スイス (6%)
AS番号別割合 AS4766 (13% ),
AS53667 (7%),
AS211252 (4%)
AS211252 (33%),
AS53667 (19%),
AS51852 (6%)
継続日数 30日以上 (13%),
10~30日 (23%),
4~9日 (24%),
3日以下 (40%)
30日以上 (10%),
10~30日 (39%),
4 ~ 9日 (33%),
3日以下 (18%)
30日以上継続国 韓国 (35% ),
中国 (20%),
台湾 (16%)
米国 (73%),
ドイツ (9%),
オランダ (9%)
30日以上継続AS AS4766 (18%),
AS38365 (10%),
AS17858 (10%)
AS53667 (64%),
AS206264 (18%),
AS47890 (9% )

 

 

| | Comments (0)

欧州 ENISA 協調的な脆弱性情報開示:EU共通のアプローチ

こんにちは、丸山満彦です。

2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令(NIS2)」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要があります。。。さらに、現在審議中のサイバーレジリエンス法(CRA)案において脆弱性の取り扱い要件が含まれていますね。。。

と言うことで、ENISAは協調的な脆弱性情報開示についてのガイドを公表しています。。。

日本はそう言う意味では早く(2004.07.08)から、脆弱性情報を開示するためのプロセスである「情報セキュリティ早期警戒パートナーシップ」を運営しているわけで先進的な取り組みをしていましたね。。。今回のEUでの取り組みにも、この実績は参考にされたようです。。。

 

ENISA

・2023.02.16 Coordinated Vulnerability Disclosure: Towards a Common EU Approach

Coordinated Vulnerability Disclosure: Towards a Common EU Approach 協調的な脆弱性情報開示:EU共通のアプローチに向けて
The new report of the European Union Agency for Cybersecurity (ENISA) explores how to develop harmonised national vulnerability programmes and initiatives in the EU. 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書は、EUにおいて調和された各国の脆弱性プログラムおよびイニシアチブを開発する方法を探っている。
With the new Directive on measures for a high common level of cybersecurity across the Union (NIS2) adopted on 16 January 2023, Member States will need to have a coordinated vulnerability disclosure policy adopted and published by 17 October 2024. In addition, other ongoing legislative developments will also address vulnerability disclosure, with vulnerability handling requirements already foreseen in the proposed Cyber Resilience Act (CRA). 2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令(NIS2)」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要がある。さらに、現在進行中の他の法整備も脆弱性開示に対応するものであり、提案されているサイバー・レジリエンス法(CRA)において脆弱性の取り扱い要件がすでに予見されている。
The new report published today looks into the expectations of both industry and the Member States in relation to the NIS2’s objective. It also analyses the related legal, collaborative, technical challenges arising from such initiatives. 本日発表された新しい報告書では、NIS2の目的に関連して、産業界と加盟国の両方がどのような期待を抱いているかを調べている。また、このような取り組みから生じる、関連する法的、協調的、技術的な課題についても分析している。
Apart from insights on industry expectations, the findings feed into the guidelines ENISA and the NIS Cooperation Group intend to prepare to help EU Member States establish their national Coordinated Vulnerability Disclosure (CVD) policies. These guidelines would be focused on vulnerability management, dedicated processes and related responsibilities. 産業界の期待に関する洞察とは別に、この調査結果は、ENISAとNIS協力グループが、EU加盟国が国別の協調的脆弱性開示(CVD)政策を確立するのを支援するために作成しようとしているガイドラインに反映される。このガイドラインは、脆弱性管理、専用プロセス、および関連する責任に焦点を当てたものとなるだろう。
With this research, ENISA seeks to find out how a harmonised approach across the EU can be achieved. The different options envisaged to do so will be discussed within the task force driving the project and consisting of ENISA together with the NIS cooperation group. この研究により、ENISAは、EU全域で調和されたアプローチをどのように実現できるかを見出そうとしている。そのために想定されるさまざまな選択肢は、ENISAとNISの協力グループからなる、このプロジェクトを推進するタスクフォースで議論される予定である。
Peeking into the report: 報告書を覗く:
Examples of what industry expects: 産業界が期待例:
a national or European CVD policy may encourage organisations to set vulnerability management and security practices as a priority; 国または欧州のCVD政策は、組織が脆弱性管理とセキュリティの実践を優先するよう促すかもしれない。
policy makers should consider the existing initiatives and standards around CVD; 政策立案者は、CVDに関する既存の取り組みや標準を考慮する必要がある。
global cooperation across different legislations as well as cooperation between industry players and the public sector needs to be strengthened to avoid silos. 異なる法律間のグローバルな協力、および業界関係者と公共部門の協力関係を強化し、サイロ化を回避する必要がある。
Challenges for Security Researchers セキュリティ研究者の課題
The report also highlights the incentives and obstacles addressed to security researchers to legally report vulnerabilities. Reputational interests are a key driver for researchers whose public proof of vulnerability discovery and disclosure adds to their professional credibility and thus ensures the legitimacy and reliability of their work. On the other hand, a vague or absent CVD framework may lead to legal uncertainty, and this hinder or even prevent the reporting of vulnerabilities. この報告書では、セキュリティ研究者が脆弱性を合法的に報告するための誘因や障害も取り上げている。研究者にとって、脆弱性の発見と公開を公に証明することは、専門家としての信頼性を高め、その研究の正当性と信頼性を保証する重要な推進力となっている。一方、CVDの枠組みが曖昧であったり、存在しなかったりすると、法的な不確実性が生じ、脆弱性の報告が妨げられたり、阻止されたりする可能性がある。
Background 背景
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in the EU in April 2022. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2019 State of Vulnerabilities report.   本報告書は、脆弱性の分野でENISAが実施した過去の作業を基に作成されている。ENISAは、2022年4月にEUにおける脆弱性開示に関するグッドプラクティスに関する報告書を発行した。さらに、脆弱性エコシステムの限界と機会については、ENISA 2019 State of Vulnerabilitiesレポートで分析した。  
Further information さらに詳しい情報
Developing National Vulnerability Programmes and Initiatives – ENISA report 2023 国家脆弱性プログラムおよびイニシアチブの開発 - ENISAレポート2023
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report 2022 EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート2022年版
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities 脆弱性の状態 2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure 脆弱性開示の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations 脆弱性開示に関するグッドプラクティスガイド。課題から提言へ
Directive on measures for a high common level of cybersecurity across the Union (NIS2) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS2)
Cyber Resilience Act (CRA) サイバーレジリエンス法(CRA)

 

・2023.02.16 Developing National Vulnerabilities Programmes

Developing National Vulnerabilities Programmes 国家脆弱性プログラムの開発
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action. 業界関係者や各国政府から集められた経験や見解、また各国の脆弱性イニシアティブやプログラムに関わる複数の関係者によって作成された文書によると、EUの協調的脆弱性開示(CVD)エコシステムは依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。

 

・[PDF]

20230217-42614

・[DOCX] 仮訳

 

 

目次...

1 INTRODUCTION  1 序論 
1.1 CONTEXT AND OBJECTIVES  1.1 背景と目的 
1.2 TARGET AUDIENCE  1.2 対象読者 
1.3 REPORT STRUCTURE  1.3 報告書の構成 
1.4 METHODOLOGICAL APPROACH  1.4 方法論的アプローチ 
2 NATIONAL CVD POLICY IMPLEMENTATION – THE INDUSTRY  PERSPECTIVE  2 国家のCVD政策の実施 - 産業界の視点 
2.1 CONTEXT  2.1 前提条件 
2.2 ASSESSMENT OF NATIONAL POLICIES  2.2 国家政策の評価 
2.3 GOOD PRACTICES WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED  VULNERABILITY DISCLOSURE POLICY  2.3 国家的な協調による脆弱性開示政策を策定し、実施する際のグッドプラクティス 
2.4 CHALLENGES FACED WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED  VULNERABILITY DISCLOSURE POLICY  2.4 国家レベルで調整された脆弱性開示政策を策定し、実施する際に直面する課題 
3 ADDRESSING LEGAL CHALLENGES FOR SECURITY  RESEARCHERS  3 セキュリティ研究者のための法的課題への対応 
3.1 CONTEXT  3.1 文脈 
3.2 INCENTIVES FOR SECURITY RESEARCHERS TO LEGALLY REPORT VULNERABILITIES  3.2 セキュリティ研究者が合法的に脆弱性を報告するための誘因 
3.3 DISINCENTIVES PREVENTING LEGAL REPORTING OF VULNERABILITIES  3.3 脆弱性の合法的な報告を妨げている阻害要因 
3.4 INITIATIVES ADDRESSING THE LACK OF LEGAL PROTECTIONS  3.4 法的保護の欠如に対処するための取り組み 
4 ADDRESSING COLLABORATIVE CHALLENGES: THE USE OF  OPEN-SOURCE SOFTWARE AND BUG-BOUNTY PROGRAMS  4 共同の課題への取り組み。オープンソースソフトウェアとバグバウンティプログラムの利用 
4.1 OPEN-SOURCE SOFTWARE – OSS  4.1 オープンソースソフトウェア - OSS 
4.1.1 Context  4.1.1 コンテクスト 
4.1.2 Vulnerabilities’ impact, management and treatment within OSS  4.1.2 OSS における脆弱性の影響、管理、処置 
4.1.3 Usage of ‘software bill of materials’ within the context of OSS  4.1.3 OSS の文脈における「ソフトウェア部品表」の使用法 
4.1.4 Governance under the perspective of OSS  4.1.4 OSS の観点からのガバナンス 
4.1.5 Instances of OSS vulnerabilities within public and private organisations  4.1.5 公共・民間組織における OSS 脆弱性の事例 
4.2 CONSIDERATIONS ON OUTSOURCING SECURITY VIA BUG BOUNTY PROGRAMMES  4.2 バグバウンティプログラムによるセキュリティのアウトソーシングに関する考察 
4.2.1 Context  4.2.1 コンテクスト 
4.2.2 Structure of bug bounty programmes  4.2.2 バグバウンティプログラムの構造 
4.2.3 Security-by-design  4.2.3 デザインによるセキュリティ 
4.2.4 Bug bounty programmes in public administrations  4.2.4 行政機関におけるバグバウンティプログラム 
4.2.5 Bug bounty programmes challenges  4.2.5 バグバウンティプログラムの課題 
4.2.6 Evolution of bug bounty programmes  4.2.6 バグ報奨金制度の進化 
5 ADDRESSING TECHNICAL CHALLENGES: AUTOMATION INITIATIVES SUPPORTING PRIORITISATION AND TREATMENT OF VULNERABILITIES  5 技術的課題への対応 脆弱性の優先順位付けと対処を支援する自動化の取り組み 
5.1 CONTEXT  5.1 背景 
5.2 AUTOMATED PROCESSES WITHIN VULNERABILITY MANAGEMENT  5.2 脆弱性管理におけるプロセスの自動化 
5.3 COORDINATED VULNERABILITY DISCLOSURE TOOLS FOSTERING THE USAGE OF  AUTOMATED WORKFLOWS WITHIN VULNERABILITY PRIORITISATION AND TREATMENT  5.3 脆弱性の優先順位付けと治療における自動化ワークフローの使用を促進する協調的な脆弱性開示ツール 
6 CONCLUSIONS  6 結論 
7 REFERENCES  7 参考文献 

 

・エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action.     業界関係者や各国政府から集めた経験や見解、また、各国の脆弱性イニシアティブやプログラムに関わる複数の関係者が作成した文書によると、EUの協調的脆弱性開示(CVD)エコシステムは、依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。   
This report shows that, despite recent efforts by national governments in developing CVD policies, some industry players have taken the lead and developed vulnerability policies and programmes at organisation level. Nevertheless, among the top industry expectations is that the development of a national or European level CVD policy could help organisations and public administrations to set vulnerability management as a priority and further encourage security practices. In addition, the alignment of such policies with existing international standards, can greatly help in promoting harmonization.    本報告書では、CVD政策の策定における各国政府の最近の努力にもかかわらず、一部の業界プレーヤーが率先して脆弱性政策や組織レベルのプログラムを策定していることが示されている。とはいえ、業界が最も期待しているのは、国または欧州レベルのCVD政策を策定することで、組織や行政が脆弱性管理を優先課題に設定し、セキュリティ対策をさらに奨励できるようになることである。さらに、このようなポリシーを既存の国際標準と整合させることは、ハーモナイゼーションの推進に大いに役立ちます。  
As far as vulnerability initiatives are concerned, Bug Bounties Programmes (BBP) is an area that grew remarkably over the past few years. BBPs have considerably adapted their business models in offering different type of services, hence different coverages of IT systems and levels of involvement in vulnerability management processes. Today, BBPs platform providers are now cooperating with key public institutions to run customised programmes adapted to their needs and IT infrastructures. Further expansion is expected as long as the community can continue relying on BBPs (i.e., confidentiality of internal information and data protection) and ensuring trust between the stakeholders involved.   脆弱性対策に関する限り、バグバウンティプログラム(BBP)は、過去数年間に著しく成長した分野である。BBPは、さまざまなタイプのサービスを提供することで、そのビジネスモデルを大幅に適応させ、その結果、ITシステムの対象範囲や脆弱性管理プロセスへの関与の度合いも異なっている。現在、BBPのプラットフォームプロバイダーは、主要な公共機関と協力し、そのニーズとITインフラに適合したカスタマイズされたプログラムを運営している。コミュニティがBBPへの信頼(内部情報の機密性、データ保護)を継続でき、関係者間の信頼が確保できる限り、さらなる拡大が期待される。 
In terms of human capital, researchers play a fundamental role in the disclosure of vulnerabilities. Accordingly, it is interesting to understand motivations, incentives and challenges influencing researchers’ contribution. From their perspective, reputation remains as a one of the key incentives to legally report vulnerabilities, as it leads to fame and recognition. However, legal protection is also highly considered, especially because the absence, uncertainty or non-clarity of legal conditions can push to illegal channels.   人的資本の面では、研究者が脆弱性公開の根幹を担っている。したがって、研究者の貢献に影響を与える動機、インセンティブ、課題を理解することは興味深い。研究者の観点からは、名声や認知につながるため、評判は脆弱性を合法的に報告する重要なインセンティブの一つであることに変わりはありません。しかし、特に法的条件の不在、不確実性、非明確性が違法な手段を後押しする可能性があるため、法的保護も非常に重要視されている。 
Collaborative challenges arise in the use of tools to improve vulnerability disclosure processes. For example, when looking into vulnerabilities related to open-source software (OSS) and considering how intertwined commercial and OSS are today, a need to further improve coordination between OSS developers and private vendors was identified. Aspects such as OSS vulnerability handling, responsibility and accountability are not yet clearly defined and among actors involved across the IT product supply chains, which may hinder coordination efforts.    脆弱性の開示プロセスを改善するためのツールの使用において、共同的な課題が発生します。例えば、オープンソースソフトウェア(OSS)に関する脆弱性を調査し、今日、商用とOSSがいかに絡み合っているかを考慮すると、OSS開発者と民間ベンダーとの間の連携をさらに改善する必要性があることが明らかになりました。OSSの脆弱性対応、責任、アカウンタビリティなどの側面は、IT製品のサプライチェーンを超えて関係者間でまだ明確に定義されておらず、調整の努力を阻害する可能性がある。  
Challenges related to technical and technological issues also constitute a key area of discussion and analysis. A forward-looking perspective on the use of automation as an enabler to efficiently manage vulnerability identification, sourcing and classification is also provided by this report. It is observed that, as vulnerability analysis and treatment still require human expertise, the risk of deskilling experts due to automated processes may be minimised.   また、技術的・技能的な課題も重要な議論・分析対象である。本報告書では、脆弱性の特定、調達、分類を効率的に管理するための実現手段としての自動化の利用について、将来を見据えた視点も提供されている。脆弱性の分析と治療には依然として人間の専門知識が必要であるため、自動化されたプロセスによって専門家が不足するリスクは最小化される可能性があることが確認されている。 
Finally, alignment across different legislation as well as cooperation between industry players and governments are needed to avoid silos. Harmonisation of CVD practices, coordination and international cooperation among players are essential priorities both from a legal and technical perspectives. In this regard, ENISA will continue offering advice, publishing guidelines, promoting information sharing, raising awareness, and coordinating CVD-related activities at national and EU level. 最後に、縦割り行政を避けるためには、異なる法律間の調整と、業界関係者と政府間の協力が必要である。CVD実務の調和、関係者間の調整と国際協力は、法律と技術の両面から不可欠な優先事項である。この点に関して、ENISAは引き続き助言を提供し、ガイドラインを発行し、情報共有を促進し、意識を高め、国およびEUレベルでのCVD関連活動の調整を図っていく予定である。

 

 

 

| | Comments (0)

NEDO SIP第2期サイバー・フィジカル・セキュリティ対策検討ガイドブック 〜セキュリティ製品導入のための手引き〜

こんにちは、丸山満彦です。

NEDOの戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティWGがの「SIP第2期サイバー・フィジカル・セキュリティ対策検討ガイドブック 〜セキュリティ製品導入のための手引き〜」の報告書とVideoが公開されていますね。。。

読み物として読みやすいですね。。。

 

NEDO

・2023.02.09 [PDF] 【エグゼクティブサマリー】サイバー・フィジカル・セキュリティ対策検討ガイドブック

20230217-13430

 

 

・2023.02.09 [PDF] サイバー・フィジカル・セキュリティ対策検討ガイドブック

20230217-13947

目次...

はじめに
1
)目的
2
)本ガイドブックの対象読者
3
)本ガイドブックの全体構成

第1章 IoT や OT システムの危険性
1.1.
近年のサイバー攻撃の傾向
1.2.
攻撃における被害の拡大

第2章 IoT や OT に関するサイバー・セキュリティ対策の現状
2.1.
サイバー・フィジカル・システムの急速な普及
2.2.
サイバー・フィジカル・システムの急速な普及に伴う課題
2.3.
サイバー・フィジカル・セキュリティ対策に関する規格・ガイドライン
2.4.
サイバー・フィジカル・セキュリティ対策フレームワーク

第3章 SIP 技術を用いたサイバー・フィジカル・セキュリティの対策例
3.1.
悪意ある人物による機器に対する直接攻撃への対策
3.2.
サプライチェーンフェーズでの悪意のあるソフトウェア混入への対策
3.3.
リモートメンテナンスの脆弱性への対策
3.4.
自社で脆弱性を検討できないことによる放置リスクへの対策
3.5.
不適正な組織・事業者の接続への対策
3.6.
サプライチェーン上で流通するデータ改ざんへの対策

第4章 対策の企画・導入の進め方
4.1.
リスクアセスメント
4.2.
リスク対応

第5章 まとめ

付録:ソリューションの技術説明
ソリューション①:既存機器のインターフェース部に外付け可能な通信暗号化コネクタシステム(SCU)
ソリューション②:IoT 機器向けの改ざん検知ソフトウェア(サービス)(NTT)
ソリューション③ : IoT OT システムにおける セキュリティ異常対処支援サービス(NTT)
ソリューション④:信頼できる取引ネットワーク構築サービス(富士通)
ソリューション⑤:サプライチェーン・トラスト・ソリューション(日立製作所)


 

エグゼクティブサマリーから...

Fig01_20230217015801

 

 

ちなみに、この戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティは、情報セキュリティ大学院大学の後藤先生がリーダーですね。。。

事業期間は2018年度~20222年度の5年、5年間のプロジェクト総額が、約108億円となります。。。成果を公表していますね。。。

NEDO

プロジェクト紹介

戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティ

 


■ 研究開発テーマ

(A)「信頼の創出・証明」技術の研究開発

個々のIoT機器やサービスのセキュリティを強化し、多様なIoTシステム/サービスやサプライチェーン全体のセキュリティ確保を実現する上で必要な信頼創出・証明技術を研究開発します。

(B)「信頼チェーンの構築・流通」技術の研究開発

多様な社会インフラやサービス、幅広いサプライチェーンのセキュリティを確保するため、IoTシステム/サービスや調達・構築に関わるサプライチェーンにおいて「信頼チェーン」を構築し、必要な情報をセキュアに流通させる技術を研究開発します。

(C)「信頼チェーンの検証・維持」技術の研究開発

IoTシステム/サービス及びサプライチェーンにおいて、「信頼チェーン」が安全に運用されていることを検証し、維持することを可能とする技術を研究開発します。


 

お知らせから、成果物までまとまっている。。。と言うか、全部、モリモリのポータル。。。

ポータル

 

過去の成果物  ●製作者 ×委託先

タイトル 報告書管理番号 日本電気株式会社 国立研究開発法人産業技術総合研究所 一般社団法人重要生活機器連携セキュリティ協議会 株式会社サイバー創研 日本シノプシス合同会社 株式会社情報通信総合研究所
2022年度 海外動向調査及び分析 20220000001068          
2022年度 OSSの管理手法及びCSIRT・PSIRT連携等に関する調査 20220000001048          
2021年度~2022年度 OSSの技術検証のあり方等に関する調査 20220000000436   X      
2021年度 海外動向調査 20220000000293     X    
2021年度調 広報戦略に関する調査 20220000000176            
2020年度 サプライチェーンにおけるOSSの活用状況調査 20210000000487       X  
2020年度 OSSの技術検証、CSIRT・PSIRT連携等に関する調査 20210000000463       X  
2020年度 社会実装に向けた課題・要望に関する調査 20210000000369            
2020年度 海外動向調査 20210000000320     X    
2020年度 実証と成果普及の戦略調査 20210000000288            
2019年度 標準化動向調査 20200000000206         X
2019年度 実証実験計画に向けた動向調査 20200000000205     X    
2019年度 広報戦略調査 20200000000006            
平成30年度 動向調査報告書 20190000000711 X        

 

  実績・予算
(百万円)
特許数 論文数
2018年度 2,500 0 0
2019年度 2,200 3 5
2020年度 2,255 7 11
2021年度 1,980 5 13
2022年度 1,822    
合計 10,757 15 29

 

 

参考情報

・2018.10.22 決定「戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティ」に係る実施体制の決定について

プロジェクト開始段階でのテーマと委託先案...

No. テーマ名 日本電信電話株式会社 日本電気株式会社 株式会社日立製作所 株式会社KDDI総合研究所 富士通株式会社 三菱電機株式会社株式会社 電子商取引安全技術研究組合 国立研究開発法人産業技術総合研究所
1 (A1) IoTサプライチェーンの信頼の創出技術基盤の研究開発             X X
2 (A2) IoT機器等向け真贋判定による信頼の証明技術の研究開発 X X            
3 (A3) プロシージャ適格性保証による信頼の証明技術の研究開発   X X X        
4 (B1) 分野毎の特性を踏まえた信頼チェーンの構築技術の研究開発   X X X        
5 (B2) 信頼チェーンに関わる情報の安全な流通技術研究開発         X      
6 (C1) 信頼チェーンの検証技術の研究開発   X X X        
7 (C2) 信頼チェーンの維持技術の研究開発 X X X     X    
8 (D)『サイバー・フィジカル・セキュリティ対策基盤』に関わる動向調査   X            

 

様々な情報がありますね。。。

 

| | Comments (0)

2023.02.15

デジタル庁のウェブページで公開されている海外での河野太郎デジタル大臣のDFFTに関するプレゼン、ディスカッションが興味深い

こんにちは、丸山満彦です。

デジタル庁のウェブページに河野太郎デジタル大臣が、1月ワシントンのCenter for Strategic and International Studies: CSISWorld Economic Forum: WEFで議論していますが、興味深いです。。。

ぜひぜひ。。。特に、CSIS。WEFは、他の講演者の方が結構話をしているので、河野さんの発言の部分は短いです。。。

 

デジタル庁

・2022.02.14 Global Site(International Strategy):World Economic Forum “Data Collaboration: Lessons from the Field”

 

Fig01_20230215141301

 

CSISでのプレゼン、ディスカッション

● CSIS

・[YouTube] Leading Japan's Digital Transformation: A Discussion with Kono Taro



WEFでのディスカッション

● WEF

・[YouTube] Data Collaboration: Lessons from the Field | World Economic Forum (weforum.org)

31分くらいからの河野さんの話も日本でも話されていることですが、興味深いです。。。




 

| | Comments (0)

欧州議会 サイバーセキュリティ:主な脅威と新たな脅威 (2023.01.27)

こんにちは、丸山満彦です。

欧州議会が、「サイバーセキュリティ:主な脅威と新たな脅威」と題して、8つの脅威について簡単な説明を加えて、注意喚起をしていますね。。。

主な脅威と新たな脅威として選ばれた8つの脅威は、

1. Ransomware: hackers seize control of someone’s data and demand a ransom to restore access 1. ランサムウェア:ハッカーが誰かのデータを掌握し、アクセスを回復するために身代金を要求する。
2. Malware: software that harms a system 2. マルウェア:システムに害を与えるソフトウェア
3. Social engineering threats: exploiting human error to gain access to information or services 3. ソーシャルエンジニアリングの脅威:ヒューマンエラーを悪用して情報やサービスにアクセスする。
4. Threats against data: targeting sources of data to get unauthorised access and disclosure 4. データに対する脅威:不正アクセスや情報公開を目的としたデータソースの標的化
5. Threats against availability - Denial of Service: attacks preventing users from accessing data or services 5. 可用性に対する脅威 - サービス妨害:ユーザーがデータやサービスにアクセスするのを妨害する攻撃
6. Threats against availability: threats to the availability of the internet 6. 可用性に対する脅威:インターネットの可用性に対する脅威。
7. Disinformation/misinformation: the spread of misleading information 7. 偽情報・誤報:誤解を招く情報の流布
8. Supply-chain attacks: targeting the relationship between organisations and suppliers 8. サプライチェーン攻撃:組織とサプライヤーの関係を標的にした攻撃

ランサムウェアはどこの国でも上位に来ますね。。。

そして注目は、ソーシャルメディア、偽情報、サプライチェーンですかね。。。

 

で、報告があったインシデントが多かった組織順にいうと、、、

1. Public administration/government(24% of incidents reported) 1. 行政/政府(報告されたインシデントの24%)
2. Digital service providers (13%) 2. デジタルサービスプロバイダー (13%)
3. General public (12%) 3. 一般市民(12%)
4. Services (12%) 4. サービス(12%)
5. Finance/banking (9%) 5. 金融/銀行(9%)
6. Health (7%) 6. 健康 (7%)

と言うことで、政府が一番ですが、一般市民も3位に入っていますね。。。

 

European Parliament

・2023.01.27 Cybersecurity: main and emerging threats

Cybersecurity: main and emerging threats サイバーセキュリティ:主な脅威と新たな脅威
Find out about the top cyber threats in 2022, the most affected sectors and the impact of the war in Ukraine. 2022年のサイバー脅威のトップ、最も影響を受けるセクター、ウクライナ戦争の影響について確認すること。
The digital transformation has inevitably led to new cybersecurity threats. During the coronavirus pandemic, companies had to adapt to remote working and this created more possibilities for cybercriminals. The war in Ukraine has also affected cybersecurity. デジタルトランスフォーメーションは、必然的に新たなサイバーセキュリティの脅威を引き起こした。コロナウイルスが大流行した際、企業はリモートワークに適応しなければならず、その結果、サイバー犯罪者の可能性が高まりれた。ウクライナ戦争もサイバーセキュリティに影響を及ぼしている。
In response to the evolution of cybersecurity threats, Parliament adopted a new EU directive introducing harmonised measures across the EU, including on the protection of essential sectors. サイバーセキュリティの脅威の進化に対応するため、議会は、必須部門の保護を含め、EU全体で調和された措置を導入する新しいEU指令を採択した。
Read more on new EU measures to fight cybercrime サイバー犯罪に対抗するためのEUの新たな対策について続きを読む
Top 8 cybersecurity threats in 2022 and beyond 2022年以降のサイバーセキュリティの脅威トップ8
According to the Threat Landscape 2022 report by the European Union Agency for Cybersecurity (Enisa), there are eight prime threat groups: 欧州連合サイバーセキュリティ機関(Enisa)による「Threat Landscape 2022」レポートによると、8つの主要な脅威グループが存在する。
1. Ransomware: hackers seize control of someone’s data and demand a ransom to restore access 1. ランサムウェア:ハッカーが誰かのデータを掌握し、アクセスを回復するために身代金を要求する。
In 2022, ransomware attacks continued to be one of the main cyberthreats. They are also getting more complex. According to a survey quoted by Enisa that was conducted at the end of 2021 and in 2022, over half of respondents or their employees had been approached in ransomware attacks. 2022年、ランサムウェア攻撃は引き続き主要なサイバー脅威の1つであった。また、それらはより複雑化している。エニサが引用した2021年末と2022年に実施された調査によると、回答者の半数以上またはその従業員がランサムウェア攻撃に接近されたことがあるという。
Data quoted by the EU Agency for Cybersecurity shows that the highest ransomware demand grew from €13 million in 2019 to €62 million in 2021 and the average ransom paid doubled from €71,000 in 2019 to €150,000 in 2020. It is estimated that in 2021 global ransomware reached €18 billion worth of damages – 57 times more than in 2015. EUサイバーセキュリティ庁が引用したデータによると、ランサムウェアの最高要求額は2019年の1,300万ユーロから2021年には6,200万ユーロに拡大し、支払われた身代金の平均額は2019年の71,000ユーロから2020年には150,000ユーロに倍増している。2021年の世界のランサムウェアの被害額は180億ユーロ相当に達し、2015年の57倍になると推定されている。
2. Malware: software that harms a system 2. マルウェア:システムに害を与えるソフトウェア
Malware includes viruses, worms, Trojan horses and spyware. After a global decrease in malware linked to the Covid-19 pandemic in 2020 and early 2021, its use increased heavily by the end of 2021, as people started returning to the office. マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。2020年から2021年初頭にかけて、Covid-19の大流行に連動してマルウェアが世界的に減少した後、2021年末には人々がオフィスに戻り始めると、その利用が大きく増加した。
The rise of malware is also attributed to crypto-jacking (the secret use of a victim’s computer to create cryptocurrency illegally) and Internet-of-Things malware (malware targeting devices connected to the internet such as routers or cameras). マルウェアの増加は、クリプトジャッキング(被害者のコンピュータを秘密裏に使用して暗号通貨を不正に作成すること)やIoTマルウェア(ルーターやカメラなどインターネットに接続されている機器を狙うマルウェア)にも起因している。
According to Enisa, there were more Internet-of-Things attacks in the first six months of 2022 than in the previous four years. ENISAによると、2022年の最初の6カ月間は、過去4年間よりもIoT攻撃が多かったという。
3. Social engineering threats: exploiting human error to gain access to information or services 3. ソーシャルエンジニアリングの脅威:ヒューマンエラーを悪用して情報やサービスにアクセスする。
Tricking victims into opening malicious documents, files or emails, visiting websites and thus granting unauthorised access to systems or services. The most common attack of this sort is phishing (through email) or smishing (through text messages). 被害者をだまして、悪意のある文書、ファイル、電子メールを開かせたり、ウェブサイトを訪問させたりして、システムやサービスへの不正なアクセスを許可させる。この種の攻撃で最も一般的なのは、フィッシング(電子メールを使ったもの)またはスミッシング(テキストメッセージを使ったもの)である。
Almost 60% of the breaches in Europe, the Middle East and Africa include a social engineering component, according to research quoted by Enisa. ENISAが引用した調査によると、ヨーロッパ、中東、アフリカにおける情報漏えいの約60%にソーシャル・エンジニアリングの要素が含まれているとのことである。
The top organisations impersonated by phishers were from the financial and technology sectors. Criminals are also increasingly targeting crypto exchanges and cryptocurrency owners. フィッシャーになりすまされた組織のトップは、金融とテクノロジー部門であった。また、暗号取引所や暗号通貨の所有者を狙う犯罪者も増えている。
4. Threats against data: targeting sources of data to get unauthorised access and disclosure 4. データに対する脅威:不正アクセスや情報公開を目的としたデータソースの標的化
We live in a data-driven economy, producing huge amounts of data that are extremely important for, among others, enterprises and Artificial Intelligence, which makes it a major target for cybercriminals. Threats against data can be mainly classified as data breaches (intentional attacks by a cybercriminal) and data leaks (unintentional releases of data). 我々はデータ駆動型経済の中で生活しており、特にエンタープライズや人工知能にとって極めて重要な膨大な量のデータを生み出しているため、サイバー犯罪者の大きなターゲットになっている。データに対する脅威は、主にデータ侵害(サイバー犯罪者による意図的な攻撃)とデータ漏えい(意図しないデータの流出)に分類される。
Money remains the most common motivation of such attacks. Only in 10% of cases is espionage the motive. このような攻撃の動機として最も一般的なのは、依然として金銭である。諜報活動が動機となっているケースは10%に過ぎない。
5. Threats against availability - Denial of Service: attacks preventing users from accessing data or services 5. 可用性に対する脅威 - サービス妨害:ユーザーがデータやサービスにアクセスするのを妨害する攻撃
These are some of the most critical threats to IT systems. They are increasing in scope and complexity. One common form of attack is to overload the network infrastructure and make a system unavailable. これらは、ITシステムにとって最も重要な脅威の一つである。これらの脅威は、その範囲と複雑さを増している。一般的な攻撃は、ネットワークインフラに負荷をかけ、システムを利用不能にするものである。
Denial of Service attacks are increasingly hitting mobile networks and connected devices. They are used a lot in Russia-Ukraine cyberwarfare. Covid-19 related websites, such as those for vaccination have also been targeted. サービス拒否攻撃は、モバイルネットワークや接続されたデバイスを攻撃することが多くなっている。ロシアとウクライナのサイバー戦でも多く利用されている。予防接種などのCovid-19関連のWebサイトも狙われている。
6. Threats against availability: threats to the availability of the internet 6. 可用性に対する脅威:インターネットの可用性に対する脅威。
These include physical take-over and destruction of internet infrastructure, as seen in occupied Ukrainian territories since the invasion, as well as the active censoring of news or social media websites. 侵攻後のウクライナ占領地で見られたようなインターネットインフラの物理的な乗っ取りや破壊、ニュースやソーシャルメディアサイトの積極的な検閲などが挙げられる。
7. Disinformation/misinformation: the spread of misleading information 7. 偽情報・誤報:誤解を招く情報の流布
The increasing use of social media platforms and online media has led to a rise in campaigns spreading disinformation (purposefully falsified information) and misinformation (sharing wrong data). The aim is to cause fear and uncertainty. ソーシャルメディアプラットフォームやオンラインメディアの利用が増えたことで、偽情報(意図的に改ざんした情報)や誤情報(誤ったデータの共有)を拡散するキャンペーンが増加している。その目的は、恐怖や不安を引き起こすことである。
Russia has used this technology to target perceptions of the war. ロシアはこの技術を使って、戦争に対する認識を標的にしている。
Deepfake technology means it is now possible to generate fake audio, video or images that are almost indistinguishable from real ones. Bots pretending to be real people can disrupt online communities by flooding them with fake comments. ディープフェイク技術とは、本物とほとんど見分けがつかない偽の音声、映像、画像を生成することが可能になったということである。実在の人物になりすれたボットは、偽のコメントでオンライン・コミュニティを混乱させることができます。
Read more about the sanctions against disinformation the Parliament is calling for 国会が求めている偽情報に対する制裁措置についてもっと読む
8. Supply-chain attacks: targeting the relationship between organisations and suppliers 8. サプライチェーン攻撃:組織とサプライヤーの関係を標的にした攻撃
This is a combination of two attacks - on the supplier and on the customer. Organisations are becoming more vulnerable to such attacks, because of increasingly complex systems and a multitude of suppliers, which are harder to oversee. これは、サプライヤーに対する攻撃と顧客に対する攻撃の2つを組み合わせたものである。システムはますます複雑化し、サプライヤーも多数存在するため、監視することが難しくなっており、組織はこのような攻撃に対してより脆弱になってきている。
Top sectors affected by cybersecurity threats サイバーセキュリティの脅威の影響を受けるトップセクター
Cybersecurity threats in the European Union are affecting vital sectors. According to Enisa, the top six sectors affected between June 2021 and June 2022 were: 欧州連合(EU)におけるサイバーセキュリティの脅威は、重要なセクターに影響を及ぼしている。エニサによると、2021年6月から2022年6月の間に影響を受けた上位6セクターは以下の通りである。
1. Public administration/government (24% of incidents reported) 1. 行政/政府(報告されたインシデントの24%)
2. Digital service providers (13%) 2. デジタルサービスプロバイダー(13%)
3. General public (12%) 3. 一般市民(12%)
4. Services (12%) 4. サービス(12%)
5. Finance/banking (9%) 5. 金融/銀行(9%)
6. Health (7%) 6. 健康 (7%)
Read more on the costs of cyberattacks サイバー攻撃のコストについての詳細はこちら
The impact of the war in Ukraine on cyberthreats ウクライナ戦争がサイバー脅威に与える影響
Russia’s war on Ukraine has influenced the cyber sphere in many ways. Cyber operations are used alongside traditional military action. According to Enisa, actors sponsored by the Russian state have carried out cyber operations against entities and organisations in Ukraine and in countries that support it. ロシアのウクライナ戦争は、様々な形でサイバー領域に影響を与えている。サイバー作戦は、従来の軍事行動と並行して利用されている。Enisaによると、ロシア国家がスポンサーとなっている行為者は、ウクライナやそれを支援する国の団体や組織に対してサイバー作戦を実施している。
Hacktivist (hacking for politically or socially motivated purposes) activity has also increased, with many conducting attacks to support their chosen side of the conflict. ハクティビスト(政治的・社会的動機によるハッキング)の活動も活発化しており、多くは紛争で選んだ側を支援するために攻撃を行った。
Disinformation was a tool in cyberwarfare before the invasion started and both sides are using it. Russian disinformation has focused on finding justifications for the invasion, while Ukraine has used disinformation to motivate troops. Deepfakes with Russian and Ukrainian leaders expressing views supporting the other side of the conflict were also used. 偽情報は侵攻が始まる前からサイバー戦のツールであり、双方がそれを利用している。ロシアの偽情報は侵攻を正当化することに重点を置いており、一方ウクライナは部隊のモチベーションを高めるために偽情報を使用している。ロシアとウクライナの指導者が紛争の反対側を支持する意見を表明しているディープフェイクも使われれた。
Cybercriminals tried to extort money from people wanting to support Ukraine via fake charities サイバー犯罪者は、偽のチャリティ団体を通じてウクライナを支援しようとする人々から金銭を強要しようとした。
Cybercrime and cybersecurity サイバー犯罪とサイバーセキュリティ
Enisa: Cybersecurity Threats Fast-Forward 2030  ENISA:サイバーセキュリティの脅威早わかり2030年版 
Europol: cybercrime  欧州警察機構(Europol):サイバー犯罪 

 

 

European-parliament


 

関連するEuropean Parliamentのサイト (最終更新日)

サイバー攻撃、犯罪...

・2022.11.23 Cybersecurity: why reducing the cost of cyberattacks matters

・2022.01.30 Fighting cybercrime: new EU cybersecurity laws explained

DX...

・2022.05.04 Digital transformation: importance, benefits and EU policy

Deepfakes

・2022.03.03 Parliament committee recommends EU sanctions to counter disinformation

・2021.07.30 Tackling deepfakes in European policy

 

関連するENISAのサイト

・2022.11.03 ENISA Threat Landscape 2022


関連するInterpolのサイト

Cryptojacking

 

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

脅威について...

・2022.02.12 JNSA 20+3周年記念講演資料公開 「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」

 

・2023.01.26 IPA 「情報セキュリティ10大脅威 2023」を公開

・2022.12.24 JNSA 2022セキュリティ十大ニュース

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

 

FIMI、偽情報関係...

・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

 

 

 



| | Comments (0)

より以前の記事一覧