第一計器製作所 USTオールステンレス製圧力計 DU R1 4 60×0.6MPa 【送料無料キャンペーン?】 UST-726D-0.6MPA バーゲンセール 直送品 1台

第一計器製作所 USTオールステンレス製圧力計 DU R1/4 60×0.6MPa UST-726D-0.6MPA 1台(直送品)

6584円,UST-726D-0.6MPA,USTオールステンレス製圧力計,第一計器製作所,1台(直送品),DU,blog.quikkloan.com,R1/4,計測機器 , 物性・物理量測定機器 , その他 圧力計/トルク計/タコメーター , 第一計器製作所 タコメーター USTオールステンレス製圧力計,/controversialism272030.html,60×0.6MPa 第一計器製作所 USTオールステンレス製圧力計 DU R1 4 60×0.6MPa UST-726D-0.6MPA バーゲンセール 直送品 1台 6584円,UST-726D-0.6MPA,USTオールステンレス製圧力計,第一計器製作所,1台(直送品),DU,blog.quikkloan.com,R1/4,計測機器 , 物性・物理量測定機器 , その他 圧力計/トルク計/タコメーター , 第一計器製作所 タコメーター USTオールステンレス製圧力計,/controversialism272030.html,60×0.6MPa 第一計器製作所 USTオールステンレス製圧力計 DU R1 4 60×0.6MPa UST-726D-0.6MPA バーゲンセール 直送品 1台 6584円 第一計器製作所 USTオールステンレス製圧力計 DU R1/4 60×0.6MPa UST-726D-0.6MPA 1台(直送品) 計測機器 物性・物理量測定機器 その他 圧力計/トルク計/タコメーター 第一計器製作所 タコメーター USTオールステンレス製圧力計 6584円 第一計器製作所 USTオールステンレス製圧力計 DU R1/4 60×0.6MPa UST-726D-0.6MPA 1台(直送品) 計測機器 物性・物理量測定機器 その他 圧力計/トルク計/タコメーター 第一計器製作所 タコメーター USTオールステンレス製圧力計

6584円

第一計器製作所 USTオールステンレス製圧力計 DU R1/4 60×0.6MPa UST-726D-0.6MPA 1台(直送品)

商品の特徴 ●※商品写真はイメージです。この商品の測定レンジとは異なります。 ●全ての部品(ガラス、テラシを除く)をステンレスで製作していますので、耐食性に優れております。 ●大きさ、ケース形状、圧力範囲の種類が豊富なので機種の選択が容易にできます。 ●腐食性雰囲気の中でも、ケースだけではなく、目盛板・針等も錆びることなく綺麗な状態をいつまでも保つことが出来ます。
商品仕様 メーカー 第一計器製作所 ブランド 第一計器製作所
質量 240g 精度 +-16パーセント F.S
ケース材質 SUS304 接続ネジ R1/4
ケース外観形状 DU 圧力スパン 0から0.6MPa
接続部材質 ステンレス(株 SUS316/エレメント SUS316) 分類 オール圧力計
面径 60φ nbsp; nbsp;

「圧力スパン」「精度」「面径」 などの 違いで 全250商品 あります。

備考 【返品について】お客様のご都合による返品はお受けできません。

第一計器製作所 USTオールステンレス製圧力計 DU R1/4 60×0.6MPa UST-726D-0.6MPA 1台(直送品)

2022.04.19

総務省 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表 (2022.04.15)

こんにちは、丸山満彦です。

総務省が、「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめを公表していましたね。。。

マイナンバーがスマートフォンに搭載されると一気に利用が広がるように思います。。。多くの人の感覚は、クレジットカードがスマホに入るんだから、マイナンバーもスマホに入るでしょう。。。という感じかもしれません。。。

本人確認が必要なので初期の手間は同じ(同じでないとダメですが。。。)なのですが、利用する場面の増加や民間IDとの連携等で民間IDの発行が楽になるように思います。。。

セキュリティ面についてもよく考えられていると思います。。。

進捗が楽しみです。。。

 

総務省

・2022.04.15 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表

・[PDF] 第2次とりまとめ ~デジタル社会の新たな基盤の構築に向けて~



<関係報道発表等>
○2020.12.25 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第1次とりまとめの公表

マイナンバーカードの機能のスマートフォン搭載等に関する検討会

 

-----

OSの順番ですが、まずは、Androidのようですね。。。

(P2:令和4年度中にAndroidスマートフォンへの搭載実現を目指すとともに、iPhoneについても早期実現を目指す。)

まずは、おじさんから使ってもらおう作戦なのかもしれません(^^)。。。

(Androidの最新機種はGP-SE搭載ですね。。。)

 

参考:

MMD研究所

・2021.12.14 メイン利用のスマートフォン、iPhoneは45.7%、Androidは47.0% - 10代、20代は男女ともにiPhoneの利用率がAndroidの利用率を上回る

 

 

 

| | Comments (0)

Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)

こんにちは、丸山満彦です。

Cloud Security AllianceがSDPとDNSの統合:強化されたゼロトラストポリシーの適用という研究文書を発表していますね。。。

こういうのは面白いですね。。。

 

Cloud Security Alliance (CSA)

・2022.04.13 New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security

New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security クラウドセキュリティアライアンスの新しい文書では、組織体がセキュリティを強化するためにDNSシステムをSDP(ソフトウェア定義境界)で補強、統合する方法について説明しています。
Security visibility, resiliency, and responsiveness can be improved by combining Domain Name Systems and enterprise-managed DDI systems with SDP ドメインネームシステムおよび組織体管理DDIシステムとSDPを組み合わせることで、セキュリティの可視性、強靭性、応答性を向上させることができます。
SEATTLE – April 13, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, has published a new white paper, Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement. Drafted by the Software-Defined Perimeter (SDP) and Zero Trust Working Group, the document explores how enterprise DDI systems – which collectively refer to three core network services, namely Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), and Internet Protocol Address Management (IPAM) – can augment and integrate with SDP to enhance organizations’ security, resiliency, and responsiveness. SEATTLE - 2022年4月13日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるCloud Security Alliance(CSA)は、新しいホワイトペーパー「SDPとDNSの統合」を発表しました。ゼロトラストポリシーの強化 Software-Defined Perimeter (SDP) and Zero Trust Working Groupが作成したこのホワイトペーパーでは、企業のDDIシステム(DNS、DHCP、IPAMの3つのコアネットワークサービス)がSDPと統合され、セキュリティ、強靭性、応答性を強化する方法について説明しています。
DNS maps human-readable domain names (e.g., cloudsecurityalliance.org) to numerical internet protocol (IP) addresses. Setting and enforcing policy at the DNS layer isn’t compute-intensive and has the further advantage of being able to scale to millions. However, the ubiquity of DNS and the fact that it’s largely open, connectionless, and unencrypted, makes it a commonly exploited means of infiltrating malware into networks and exfiltrating data. Additional mechanisms are required for a fine-grained policy framework and enforcement to leverage the DDI database. DDI services can provide enterprises with visibility and control, and when combined with SDP can deliver considerably improved security and help organizations advance their Zero Trust security journeys. DNSは、人間が読めるドメイン名(例:cloudsecurityalliance.org)を数値のインターネットプロトコル(IP)アドレスにマッピングします。DNSレイヤーでのポリシーの設定と実行は、コンピュータに負荷がかからず、数百万単位で拡張できるというさらなる利点があります。しかし、DNSはどこにでも存在し、その大部分がオープンで、接続がなく、暗号化されていないため、マルウェアをネットワークに侵入させ、データを流出させる手段として悪用されることが一般的です。DDIデータベースを活用するためには、きめ細かなポリシーフレームワークと執行のための追加メカニズムが必要です。DDIサービスは、企業に可視性と制御を提供し、SDPと組み合わせることで、セキュリティを大幅に改善し、組織がゼロトラストセキュリティに推進するのを支援することができます。
“Integrating the three core systems that comprise DDI helps provide control, automation, and security for today’s modern and highly distributed networks. Tying together traditionally distinct systems for more holistic enforcement is a hallmark of the Zero Trust security approach, and DDI has the unique advantage of logging who’s on the network, where they’re going, and, more importantly, where they’ve been. Information security will always be multi-layered, and Zero Trust via SDP is an approach that benefits from integration with many other parts of an enterprise security infrastructure,” said Shamun Mahmud, senior research analyst, Cloud Security Alliance. Cloud Security Allianceのシニアリサーチアナリスト、シャーマン・マーマドは以下のように述べています。「DDIを構成する3つのコアシステムを統合することで、今日の高度に分散したネットワークに制御、自動化、およびセキュリティを提供することができます。DDIは、誰がネットワークにいるのか、どこに行くのか、そしてより重要なのは、どこにいたのかを記録するというユニークな利点を持っています。情報セキュリティは常に多層的であり、SDPによるゼロトラストは、企業のセキュリティインフラの他の多くの部分との統合によって恩恵を受けるアプローチです。」
The paper explains how by integrating an SDP architecture with DNS, a strategy that results in improved security, organizations can leverage DNS as a Zero Trust network policy enforcement point alongside the SDP policy enforcement points and mine valuable DNS data for faster threat response by SDPs. Two use cases where enterprise-managed DDI integrates with SDP to improve security, contextual awareness, and responsiveness are included by way of example. 本文書では、SDPアーキテクチャをDNSと統合することで、セキュリティを向上させる戦略、つまり組織がDNSをSDPのポリシー実施ポイントと並ぶゼロトラストネットワークポリシー実施ポイントとして活用し、貴重なDNSデータをマイニングしてSDPによる脅威対応を迅速に行う方法を説明しています。企業で管理されるDDIをSDPと統合して、セキュリティ、コンテキスト認識、および応答性を向上させる2つのユースケースを例として挙げています。

 

・2022.04.12 Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement

Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement SDPとDNSの統合:強化されたゼロトラストポリシーの適用
The purpose of this research article is to explain how DNS and the enterprise-managed DDI system can be combined with a Software-Defined Perimeter to deliver improved security visibility, resiliency, and responsiveness.  この研究文書の目的は、DNSと企業が管理するDDIシステムをソフトウェア定義境界と組み合わせることで、セキュリティの可視性、回復力、応答性を向上させる方法を説明することです。 
This position paper explores two use cases where DNS and the enterprise-managed DDI and SDP can be combined to improve security, contextual awareness, and responsiveness. This type of integration - tying together systems traditionally distinct for more holistic enforcement - is a hallmark of the Zero Trust approach to security. This paper does not address the security of the DNS infrastructure itself.  このポジションペーパーでは、DNSと企業が管理するDDIおよびSDPを組み合わせて、セキュリティ、状況認識、および応答性を向上させることができる2つのユースケースを探ります。この種の統合(従来は別個のシステム同士を結び付けてより全体的な強化を図る)は、セキュリティに対するゼロトラストアプローチの特徴です。本文書では、DNSインフラ自体のセキュリティについては言及しません。 

 

・[PDF] 簡単な質問に答えるとダウンロードできます

 

目次...

1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Audience 1.3 想定読者
1.4 The Domain Name System (DNS) 1.4 ドメインネームシステム(DNS)
1.4.1 Dynamic Host Configuration Protocol (DHCP) 1.4.1 動的ホスト構成プロトコル(DHCP)
1.4.2 Internet Protocol Address Management (IPAM) 1.4.2 インターネットプロトコルアドレス管理(IPAM)
1.4.3 Cloud Managed Implementation 1.4.3 クラウドマネージド実装
1.5 DNS-Based Security 1.5 DNSを利用したセキュリティ
1.5.1 Malware Control Point 1.5.1 マルウェアのコントロールポイント
1.5.2 Blocking Data Exfiltration 1.5.2 データ流出の阻止
1.5.3 Domain Generation Algorithms (DGAs) Control Point 1.5.3 ドメイン生成アルゴリズム(DGA)制御ポイント
1.5.4 Category-Based Filtering 1.5.4 カテゴリに基づくフィルタリング
1.6 Zero Trust Policy Enforcement 1.6 ゼロトラスト・ポリシーの実施
1.6.1 SDP and Zero Trust Policy Enforcement 1.6.1 SDPとゼロ・トラスト・ポリシーの実施
1.6.2 DNS and Zero Trust Policy Enforcement 1.6.2 DNSとゼロトラストポリシーの適用
2. SDP/Zero Trust and DNS Use Cases 2. SDP/ゼロトラストとDNSの使用例
2.1 Use Case #1: DNS providing Context and Metadata to SDP 2.1 ユースケース#1: DNSからSDPへのコンテキストとメタデータの提供
2.1.1 Policy Enforcement in Use Case No. 1 2.1.1 ユースケースNo.1におけるポリシーエンフォースメント
2.1.1.1 Network Context and Identity Information 2.1.1.1 ネットワークコンテキストとアイデンティティ情報
2.1.2 Responding to Malicious Activity 2.1.2 悪意ある行為への対応
2.1.3 Location-Based Access Controls 2.1.3 位置情報を利用したアクセス制御
2.1.4 Device-Based Access Controls 2.1.4 デバイスベースのアクセス制御
2.1.5 User-Based Access Control 2.1.5 ユーザーベースのアクセス制御
2.2 Use Case #2 - SDP Controller Publishing Policy Decisions to DNS 2.2 ユースケース#2 - SDPコントローラーがDNSにポリシー決定を公開する場合
2.2.1 Policy Enforcement in DNS - an additional layer of security 2.2.1 DNSにおけるポリシー実施 - セキュリティの追加レイヤー
3. Conclusion 3. 結論
4. References 4. 参考文献
5. Acronyms 5. 頭字語

 

| | Comments (0)

2022.04.18

SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance )

こんにちは、丸山満彦です。

Cloud Security AllianceがSaaSの設定に関する調査報告書を公開していますね。。。

SaaSの設定ミスがセキュリティインシデントの63%に関与しているかもしれないということのようです。。。

SaaSの設定ミスの主な原因は、

  • SaaSのセキュリティ設定の変更を可視化できないこと(34%)、
  • SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)

であるとしていますね。。。

細かい数字はともかく、SaaSのアクセス関連の設定についてはユーザが定期的に確認することが重要ですね(報告書の中で、どのくらいの頻度でSaaSのセキュリティチェックをしているかの調査結果もあります)。。。

SaaS事業者も設定についてのリスクについて、わかりやすく説明することが重要でしょうし、デフォルトの設定についても安全サイドに寄せるとかしたほうが良いかもですね。。。(利便性を犠牲にしたくないという思いはあるのでしょうが、両立できるような製品にしていくことが重要なんでしょうね。。。)。

 

Cloud Security Alliance (CSA)

・2022.04.12 New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents

 

New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents クラウドセキュリティアライアンスの新しい調査により、SaaSの設定ミスがセキュリティインシデントの最大63%に関与している可能性が判明
Proper visibility into SaaS security application settings and automated tools can mitigate risk SaaSセキュリティアプリケーションの設定と自動化ツールを適切に可視化することで、リスクを軽減することができる
SEATTLE – April 12, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, today released the findings of its latest survey, 2022 SaaS Security Survey Report. Commissioned by Adaptive Shield, a leading SaaS Security Posture Management (SSPM) company, the survey offers insight into the industry’s knowledge, attitudes, and opinions regarding SaaS security and related misconfigurations. シアトル - 2022年4月12日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)は、最新の調査結果「2022 SaaS Security Survey Report」を本日発表しました。SaaSセキュリティポスチャ管理(SSPM)のリーディングカンパニーであるアダプティブシールドの委託により、本調査では、SaaSセキュリティおよび関連する設定ミスに関する業界の知識、態度、意見についての知見を提供しています。
“Many recent breaches and data leaks have been tied back to misconfigurations. Whereas most research related to misconfigurations has focused strictly on the IaaS layers and entirely ignores the SaaS stack, SaaS security and misconfigurations are equally, if not more, important when it comes to an organization's overall security. We wanted to gain a deeper understanding of the use of SaaS applications, how security assessments are conducted and the overall awareness of tools that can be used to secure SaaS applications," said Hillary Baron, lead author and research analyst, Cloud Security Alliance. Cloud Security Allianceの筆頭著者でリサーチアナリストのヒアリー・バロンは以下のように述べています。「最近の情報漏えい事件の多くは、設定ミスに起因しています。しかし、SaaS のセキュリティと設定ミスは、組織の全体的なセキュリティに関して、同等かそれ以上の重要性を持っています。私たちは、SaaSアプリケーションの使用状況、セキュリティ評価の実施方法、SaaSアプリケーションのセキュリティ確保に使用できるツールの全体的な認識について深く理解したいと考えました。」
“This survey shines a light on what CISOs and cybersecurity managers are looking for and need when it comes to securing their SaaS stack — from visibility, continuous monitoring and remediation to other ever-growing, critical use cases such as 3rd party application control and device posture monitoring,” asserts Maor Bin, CEO and co-founder of Adaptive Shield. “The SSPM market is maturing rapidly — and this type of zero-trust approach for SaaS is where the SSPM market is going.” 「この調査は、SaaSスタックのセキュリティ確保に関して、CISOやサイバーセキュリティ管理者が何を求め、何を必要としているかを明らかにするもので、可視化、継続的モニタリング、修正から、サードパーティアプリケーションコントロールやデバイス姿勢モニタリングといった成長し続ける重要なユースケースまで、幅広くカバーしています。SSPM市場は急速に成熟しており、このようなSaaS向けのゼロトラストアプローチがSSPM市場の行く末を決めるのです。」
Among the survey’s key findings: この調査の主な調査結果には、次のようなものがあります。
・SaaS misconfigurations are leading to security incidents. At least 43 percent of organizations report that they have dealt with one or more security incidents because of a SaaS misconfiguration. ・SaaSの設定ミスがセキュリティインシデントにつながっている。少なくとも43%の組織が、SaaSの設定ミスが原因で1つ以上のセキュリティインシデントに対処したことがあると報告しています。
・The leading causes of SaaS misconfigurations are lack of visibility into changes into the SaaS security settings (34%) and too many departments with access to SaaS security settings (35%). ・SaaSの設定ミスの主な原因は、SaaSのセキュリティ設定の変更を可視化できないこと(34%)と、SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)である。
・Investment in business-critical SaaS applications is outpacing SaaS security tools and staff. Over the past year, 81 percent of organizations have increased their investment in business-critical SaaS applications, but fewer organizations reported increasing their investment in security tools (73%) and staff (55%) for SaaS security. ・ビジネスクリティカルなSaaSアプリケーションへの投資は、SaaSセキュリティツールやスタッフを上回っている。過去1年間で、81%の組織がビジネスに不可欠なSaaSアプリケーションへの投資を増やしましたが、SaaSセキュリティのためのセキュリティツール(73%)とスタッフ(55%)への投資を増やしたと回答した組織は少なかったです。
・Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed. Nearly half (46%) can only check monthly or less frequently, and another 5 percent don’t check at all, meaning that misconfigurations could go undetected for a month or longer. ・SaaSの設定ミスを手作業で検出し、修正することは、組織を無防備な状態にしている。半数近く(46%)は毎月またはそれ以下の頻度でしかチェックできず、さらに5%はまったくチェックしていないため、設定ミスが1カ月以上検出されない可能性があります。
・The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations. Organizations that use an SSPM can detect and remediate their SaaS misconfigurations significantly quicker — 78 percent checked their SaaS security configurations weekly or more, compared to those not utilizing an SSPM, where only 45 percent were able to check at least weekly. ・SSPM を使用すると、SaaS の設定ミスを検出して修正するまでの時間が短縮されます。SSPMを使用している組織では、SaaSのセキュリティ設定を毎週またはそれ以上チェックしており、SSPMを使用していない組織では、少なくとも毎週チェックできているのは45パーセントに過ぎなかったのに対し、SSPMを使用している組織では、大幅に早くSaaSの設定ミスを検出し修正することができました。

 

・2022.04.11 SaaS Security and Misconfigurations Report

SaaS Security and Misconfigurations Report SaaSのセキュリティと設定ミスに関するレポート
Many recent breaches and data leaks have been tied back to misconfigurations causing it to be a top concern for many organizations. Most research related to misconfigurations has focused strictly on the IaaS layers and ignores the SaaS stack entirely. Yet, SaaS security and misconfigurations are equally crucial to the organization's overall security. For these reasons, CSA developed and distributed a survey to better understand the use of SaaS applications, timeline and tools for SaaS security assessments, a timeframe for misconfiguration detection and remediation, and awareness of security tools for SaaS applications. 最近の情報漏えいの多くは、設定ミスに起因しており、多くの企業にとって最大の関心事となっています。設定ミスに関連する研究のほとんどは、IaaS レイヤーにのみ焦点を当て、SaaS スタックは完全に無視されています。しかし、SaaS のセキュリティとミスコンフィギュレーションは、組織の全体的なセキュリティにとって同様に重要です。このような理由から、CSA は、SaaS アプリケーションの使用状況、SaaS セキュリティ評価のタイムラインとツール、設定ミスの検出と修正のタイムフレーム、SaaS アプリケーション用セキュリティツールの認識について理解を深めるためのアンケートを作成し、配布しました。
The goal of this survey was to understand the current state of SaaS security and misconfigurations. Key areas of interest include: 本調査の目的は、SaaSのセキュリティと設定ミスの現状を把握することである。主な関心分野は以下の通りです。
・Use of SaaS applications with organizations ・組織でのSaaSアプリケーションの利用状況
・Methods, policies, and tools for assessing SaaS app security ・SaaSアプリのセキュリティを評価するための方法、ポリシー、ツール
・Timeline for detecting and remediating misconfigurations in SaaS app security ・SaaSアプリのセキュリティにおける設定ミスの検出と修正のためのタイムライン
・Awareness of new SaaS security related products ・SaaSセキュリティ関連新製品の認知度

 

・[PDF] 簡単な質問に答えるとダウンロードできます

 

目次...

Acknowledgements 謝辞
Survey Creation and Methodology 調査の作成と方法
Goals of the study 調査の目標
Executive Summary エグゼクティブサマリー
・Key Finding 1: SaaS misconfigurations are leading to security incidents ・重要な発見1:SaaSの設定ミスがセキュリティインシデントにつながっている。
・Key Finding 2: The leading causes of SaaS misconfigurations are lack of visibility and too many departments with access ・重要な発見2:SaaSの設定ミスの主な原因は、可視化されていないこととアクセスできる部署が多すぎること。
・Key Finding 3: Investment in business-critical SaaS applications outpacing SaaS security tools and staff. ・重要な発見3:ビジネスクリティカルなSaaSアプリケーションへの投資が、SaaSセキュリティツールやスタッフよりも上回っている。
・Key Finding 4: Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed ・重要な発見4:SaaSの誤設定を手動で検出し、修正することは、組織を無防備な状態にする。
・Key Finding 5: The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations ・重要な発見5:SSPMの使用により、SaaSの設定ミスを検出し修正するまでの時間が短縮される。
SaaS Application Use in Organizations 企業におけるSaaSアプリケーションの活用
SaaS Security Assessment SaaSのセキュリティアセスメント
Misconfigurations in SaaS Security SaaSセキュリティの設定ミス
SaaS Security Tools SaaSセキュリティツール
Conclusion まとめ
Demographics デモグラフィック
About the Sponsor スポンサーについて

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2021.10.11 JIPDEC 2020年度「個人情報の取扱いにおける事故報告集計結果」について

・2021.06.18 Cloud Security Alliance 「Salesforce向けクリティカルコントロールの実装」を公表

・2021.02.01 NISC による重要インフラ事業者等に向けた注意喚起「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」

・2020.12.28 クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合

・2020.08.20 SaaSのセキュリティは重要となりますが、アプリが多いので大変ですよね。。。

 

10年以上前...

・2010.03.27 総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料

| | Comments (0)

2022.04.17

公安調査庁 サイバー空間における脅威の概況2022

こんにちは、丸山満彦です。

公安調査庁が、「サイバー空間における脅威の概況2022」を公開していますね。。。表紙等を入れて20ページなのです。最近の状況が簡単にまとまっていてわかりやすいですね。。。

 

公安調査庁

・2022.4.14 「サイバー空間における脅威の概況2022」を公表しました。

・[PDF] サイバー空間における脅威の概況2022

内容...

サイバー空間における脅威の増大

2021年におけるサイバー脅威の概況
 1 我が国企業の海外拠点を狙った 攻撃が相次いで発覚
 2 我が国内外で ランサムウェア攻撃が多数発生
 3 オンライン・インフルエンス・オペレーション の広がり

《特集》重要インフラに対するサイバー攻撃

サイバー空間における不正な活動
 1
情報窃取・サイバー諜報
 2 情報システムの破壊・機能妨害
 3 不正な金銭獲得
 4 影響力工作(オンライン・インフルエンス・ オペレーション)

サイバー空間における脅威主体とアトリビューション
 1
中国
 2 ロシア

 3 北朝鮮

サイバー攻撃の手法と対策
 1
サイバー攻撃の手法
  1.1 システムの弱点を突いた攻撃
  1.2 人間の心の隙を突いた攻撃
 2 サイバー攻撃の対策
  2.1 システムの弱点に対する対策
  2.2 人間の心の隙に対する対策

公安調査庁のサイバー関連調査

公安調査庁からの情報発信・公表資料


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.09 公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

| | Comments (0)

個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

事務局資料の他、山本達彦先生、全国万引犯罪防止機構日本万引防止システム協会の資料が公開されていますね。。。

個人情報保護委員会

・2022.04.14 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

 ・[PDF] 議事次第

 ・[PDF] 資料1 事務局説明資料 

 ・[PDF] 資料2 山本構成員説明資料

 ・[PDF] 資料3 全国万引犯罪防止機構説明資料

 ・[PDF] 資料4 日本万引防止システム協会説明資料

 ・[PDF] 参考資料 第2回検討会議事概要


  1. 検討のスコープについて
  • どのような目的で、どういう機能を使ってカメラ画像を取得・利用するかを類型化し、それぞれに応じてカメラ画像を取り扱う事業者等に求められる事項や、ガバナンスを整理する必要がある。
  • カメラの被写体である本人の権利利益を守るために求められる事項には、個人情報 保護法上の具体的な権利や請求権のレベル、プライバシーのレベル、差別や実体的 な不利益からの保護や尊厳を守るための対応事項というレベルがあり、それぞれについて整理する必要がある。
  • 顔識別機能付きカメラの利用者にどのような対応を求めるかの基準を、識別性、照合性、検索性、自動処理の観点から明らかにする必要がある。
  • AI倫理や、EU の AI規則案も分析・検討のスコープに含めるとよいのではないか。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.01.21 コガネイ(KOGANEI) スリット式ロッドレスシリンダORCAシリーズ 複動形 ORCA16X1600-L-F2-M2-ZG530B2 1個(直送品)

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.04.16

FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した

こんにちは、丸山満彦です。

3月29日に報告された6億2000万ドル(約780億円)のイーサリアムが盗まれた事件は、朝鮮民主主義人民共和国に関連するサイバーアクターであるLazarus GroupとAPT38が犯人であることをFBIが確認したようですね。。。

すごい金額...

FBI

・2022.04.14 FBI Statement on Attribution of Malicious Cyber Activity Posed by the Democratic People's Republic of Korea

FBI Statement on Attribution of Malicious Cyber Activity Posed by the Democratic People's Republic of Korea 朝鮮民主主義人民共和国による悪質なサイバー行為の帰属に関する FBI の声明
The FBI continues to combat malicious cyber activity including the threat posed by the Democratic People's Republic of Korea to the U.S. and our private sector partners. Through our investigation we were able to confirm Lazarus Group and APT38, cyber actors associated with the DPRK,  are responsible for the theft of $620 million in Ethereum reported on March 29. The FBI, in coordination with Treasury and other U.S. government partners, will continue to expose and combat the DPRK’s use of illicit activities – including cybercrime and cryptocurrency theft – to generate revenue for the regime. FBIは、朝鮮民主主義人民共和国が米国および民間企業パートナーにもたらす脅威を含め、悪質なサイバー行為に対処し続けています。3月29日に報告された6億2000万ドルのイーサリアムが盗まれた事件では、我々の調査により、朝鮮民主主義人民共和国に関連するサイバーアクターであるLazarus GroupとAPT38が犯人であることを確認することが出来ました。FBIは、財務省やその他の米国政府のパートナーと連携し、DPRKがサイバー犯罪や暗号通貨窃盗などの不正な活動を利用して政権の収入を得ていることを暴露し、その撲滅に努めていきます。

 

| | Comments (0)

2022.04.15

米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08)

こんにちは、丸山満彦です。

米国 食品医薬品局が医療機器におけるサイバーセキュリティについてのガイダンス案を公表し、意見募集をしていますね。。。SBOMも内容に含まれていますね。。。

 

Food and Drug Administration: FDA

Guidance Documents (Medical Devices and Radiation-Emitting Products)

・2022.04.08 Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions

・[PDF]

 

I. Introduction I. はじめに
II. Scope II. 対象範囲
III. Background III. 背景
IV. General Principles IV. 一般原則
A. Cybersecurity is Part of Device Safety and the Quality System Regulations A. サイバーセキュリティは機器安全および品質システム規制の一部である
B. Designing for Security B. セキュリティのための設計
C. Transparency C. 透明性
D. Submission Documentation D. 提出書類
V. Using an SPDF to Manage Cybersecurity Risks V. サイバーセキュリティリスクを管理するためのSPDFの利用
A. Security Risk Management A. セキュリティリスク管理
1. Threat Modeling 1. 脅威のモデル化
2. Third-Party Software Components 2. サードパーティソフトウェアコンポーネント
3. Security Assessment of Unresolved Anomalies 3. 未解決の異常に対するセキュリティ評価
4. Security Risk Management Documentation 4. セキュリティリスクマネジメントの文書化
5. TPLC Security Risk Management 5. TPLCセキュリティリスクマネジメント
B. Security Architecture B. セキュリティ・アーキテクチャ
1. Implementation of Security Controls 1. セキュリティコントロールの実装
2. Security Architecture Views 2. セキュリティ・アーキテクチャ・ビュー
(a) Global System View (a) グローバルシステムビュー
(b) Multi-Patient Harm View (b) マルチペアレントハームビュー
(c) Updatability and Patchability View (c) 更新性・パッチ適用性ビュー
(d) Security Use Case Views (d) セキュリティユースケースビュー
C. Cybersecurity Testing C. サイバーセキュリティテスト
VI. Cybersecurity Transparency VI. サイバーセキュリティの透明性
A. Labeling Recommendations for Devices with Cybersecurity Risks A. サイバーセキュリティリスクのある機器に対するラベリング推奨事項
B. Vulnerability Management Plans B. 脆弱性管理計画
Appendix 1. Security Control Categories and Associated Recommendations 附属書 1. セキュリティ管理カテゴリーと関連する推奨事項
A. Authentication A. 認証
B. Authorization B. 認可
C. Cryptography C. 暗号技術
D. Code, Data, and Execution Integrity D. コード、データ、実行の整合性
E. Confidentiality E. 機密保持
F. Event Detection and Logging F. イベントの検出とログ
G. Resiliency and Recovery G. 回復力およびリカバリ
H. Firmware and Software Updates H. ファームウェアとソフトウェアの更新
Appendix 2. Submission Documentation for Security Architecture Flows 附属書2.セキュリティアーキテクチャフローの提出書類
A. Call-Flow Diagrams A. コールフロー図
B. Information Details for an Architecture View B. アーキテクチャビューの情報詳細
Appendix 3. Submission Documentation for Investigational Device Exemptions 附属書 3. 治験機器申請書類について
Appendix 4. Terminology 附属書 4. 用語解説

 

SBOM関係

2. Third-Party Software Components 2. サードパーティソフトウェアコンポーネント
As discussed in the FDA guidances “Off-The-Shelf (OTS) Software Use in Medical Devices”[25] and “Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software,”[26] medical devices commonly include third-party software components including off-the-shelf and open source software. When these components are incorporated, security risks of the software components become factors of the overall medical device system risk management processes and documentation. FDAのガイダンス「Off-The-Shelf (OTS) Software Use in Medical Devices」[25]や「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」[26]で述べられているように、医療機器には一般的に市販のソフトウェアやオープンソースを含む第三者のソフトウェアコンポーネントが含まれています。これらのコンポーネントが組み込まれると、ソフトウェアコンポーネントのセキュリティリスクは、医療機器システム全体のリスク管理プロセス及び文書化の要素となります。
As part of demonstrating compliance with quality system design controls under 21 CFR 820.30(g), and to support supply chain risk management processes, all software, including that developed by the device manufacturer (“proprietary software”) and obtained from third parties should be assessed for cybersecurity risk and that risk should be addressed. Accordingly, device manufacturers are expected to document all software components[27]of a device and to mitigate risks associated with these software components.   21 CFR 820.30(g)に基づく品質システム設計管理への準拠を実証する一環として、またサプライチェーンのリスク管理プロセスを支援するために、機器メーカーが開発したソフトウェア(「専有ソフトウェア」)や第三者から入手したソフトウェアを含むすべてのソフトウェアは、サイバーセキュリティリスクを評価し、そのリスクに対処する必要があります。したがって、機器メーカーは、機器のすべてのソフトウェアコンポーネント[27]を文書化し、これらのソフトウェアコンポーネントに関連するリスクを軽減することが期待されています。 
In addition, under 21 CFR 820.50, manufacturers must put in place processes and controls to ensure that their suppliers conform to the manufacturer’s requirements. Such information is documented in the Design History File, required by 21 CFR 820.30(j), and Design Master Record, required by 21 CFR 820.181. This documentation demonstrates the device’s overall compliance with the QSR, as well as that the third-party components meet specifications established for the device. Security risk assessments that include analyses and considerations of cybersecurity risks that may exist in or be introduced by third-party software and the software supply chain may help demonstrate that manufacturers have adequately ensured such compliance and documented such history.   さらに、21 CFR 820.50に基づき、メーカーは、サプライヤーがメーカーの要件に適合することを保証するためのプロセスとコントロールを導入する必要があります。このような情報は、21 CFR 820.30(j)で要求される設計履歴ファイル及び 21 CFR 820.181 で要求される設計マスターレコードに文書化される。この文書により、機器が全体的にQSRに準拠していること、及び第三者の部品が機器に対して設定された仕様を満たしていることが証明される。サードパーティ製ソフトウェア及びソフトウェアサプライチェーンに存在する、又はそれらによってもたらされる可能性のあるサイバーセキュリティリスクの分析及び考慮を含むセキュリティリスク評価は、製造業者がそのようなコンプライアンスを適切に確保し、その履歴を文書化していることを証明するのに役立つ場合があります。 
As part of configuration management, device manufacturers should have custodial control of source code through source code escrow and source code backups.[28] While source code is not provided in premarket submissions, if this control is not available based on the terms in supplier agreements, the manufacturer should include in premarket submissions a plan of how the thirdparty software component could be updated or replaced should support for the software end. The device manufacturer is also expected to provide to users whatever information is necessary to allow users to manage risks associated with the device.   28] 市販前申請ではソースコードは提供されないが、供給者契約の条件に基づいてこの管理が利用できない場合、製造者は市販前申請に、ソフトウェアのサポートが終了した場合に第三者のソフトウェアコンポーネントをどのように更新または交換できるかの計画を含める必要があります。また、機器メーカーは、ユーザーが機器に関連するリスクを管理できるようにするために必要なあらゆる情報をユーザーに提供することが期待されています。 
One tool to help manage supply chain risk as well as clearly identify and track the software incorporated into a device is a Software Bill of Materials (SBOM), as described below.  サプライチェーンのリスクを管理し、機器に組み込まれたソフトウェアを明確に特定し追跡するのに役立つツールの1つが、以下に説明するソフトウェア部品表(SBOM)です。
(a)  Software Bill of Materials  (a) ソフトウェア部品表 
A Software Bill of Materials (SBOM) can aid in the management of cybersecurity risks that exist throughout the software stack.  A robust SBOM includes both the device manufacturer developed components and third-party components (including purchased/licensed software and open-source software), and the upstream software dependencies that are required/depended upon by proprietary, purchased/licensed, and open-source software. An SBOM helps facilitate risk management processes by providing a mechanism to identify devices that might be affected by vulnerabilities in the software components, both during development (when software is being chosen as a component) and after it has been placed into the market throughout all other phases of a product’s life.[29]   ソフトウェア部品表(SBOM)は、ソフトウェアスタック全体に存在するサイバーセキュリティリスクの管理を支援することができます。 堅牢なSBOMは、デバイスメーカーが開発したコンポーネントとサードパーティのコンポーネント(購入/ライセンスされたソフトウェアとオープンソースのソフトウェアを含む)、およびプロプライエタリ、購入/ライセンス、オープンソースのソフトウェアが要求/依存する上流のソフトウェアの依存関係の両方を含んでいます。SBOMは、開発中(ソフトウェアがコンポーネントとして選択されるとき)と、製品のライフサイクルの他のすべての段階を通じて市場に投入された後の両方で、ソフトウェアコンポーネント内の脆弱性によって影響を受けるかもしれない装置を識別するメカニズムを提供することによって、リスク管理プロセスの促進を支援する[29]。 
Because vulnerability management is a critical part of a device’s security risk management processes, an SBOM or an equivalent capability should be maintained as part of the device’s configuration management, be regularly updated to reflect any changes to the software in marketed devices, and should support 21 CFR 820.30(j) (Design History File) and 820.181 (Design Master Record) documentation.    脆弱性管理は、機器のセキュリティリスク管理プロセスの重要な部分であるため、SBOMまたは同等の機能は、機器の構成管理の一部として維持され、市販の機器のソフトウェアのあらゆる変更を反映するために定期的に更新され、21 CFR 820.30(j) (設計履歴ファイル)および820.181(設計マスターレコード)文書をサポートする必要があります。  
To assist FDA’s assessment of the device risks and associated impacts on safety and effectiveness related to cybersecurity, FDA recommends that premarket submissions include SBOM documentation as outlined below. SBOMs can also be an important tool for transparency with users of potential risks as part of labeling as addressed later in Section VI   サイバーセキュリティに関連する機器のリスクおよび安全性と有効性への関連した影響のFDAによる評価を支援するために、FDAは市販前申請に以下のようなSBOM文書を含めることを推奨しています。SBOMはまた、セクションVIで後述するように、ラベリングの一部として潜在的なリスクをユーザーに透明化するための重要なツールになりえます。 
(b)  Documentation Supporting Software Bill of Materials  (b) ソフトウェア部品表をサポートする文書 
FDA’s guidance documents “Off-The-Shelf (OTS) Software Use in Medical Devices”[30]  and “Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software”[31] describe information that should be provided in premarket submissions for software components for which a manufacturer cannot claim complete control of the software lifecycle.  In addition to the information recommended in those guidances, for each OTS component, the following should also be provided in a machine-readable format in premarket submissions.   FDAのガイダンス文書「医療機器における既製(OTS)ソフトウェアの使用」[30]と「既製(OTS)ソフトウェアを含むネットワーク型医療機器のサイバーセキュリティ」[31]は、メーカーがソフトウェアのライフサイクルを完全にコントロールできないとするソフトウェアコンポーネントについて市販前申請で提供すべき情報を記述しています。 これらの指針で推奨される情報に加えて、各OTSコンポーネントについて、以下の事項を市販前申請の際に機械可読形式で提供することが望ましい。 
A.  The asset(s) where the software component resides;  A. ソフトウェア・コンポーネントが存在する資産
B.  The software component name;  B. ソフトウェア・コンポーネントの名称 
C.  The software component version;  C. ソフトウェアコンポーネントのバージョン 
D.  The software component manufacturer;  D. ソフトウェアコンポーネントの製造元 
E.  The software level of support provided through monitoring and maintenance from the software component manufacturer;  E. ソフトウェア部品製造業者による監視と保守を通じて提供されるソフトウェアレベル
F.  The software component’s end-of-support date; and  F.  ソフトウェア・コンポーネントのサポート終了日 
G.  Any known vulnerabilities.[32]  G. 既知の脆弱性[32]。
Industry-accepted formats of SBOMs can be used to provide this information to FDA; however, if any of the above elements are not captured in such an SBOM, we recommend that those items also be provided, typically as an addendum, to FDA for the purposes of supporting premarket submission review. Additional examples of the type of information to include in a SBOM can be found in the Joint Security Plan - Appendix G (“Example Customer Security Documentation”)[33] and Sections 2.3.17 and 2.3.18 of the Manufacturer Disclosure Statement for Medical Device Security (referred to as MDS2 or MDS2)[34] SBOMの業界標準のフォーマットを使用してFDAにこの情報を提供することができます。しかし、上記の要素のいずれかがSBOMに含まれていない場合、市販前の申請審査をサポートする目的で、それらの項目も、通常は補遺として、FDAに提供することをお勧めします。SBOMに含めるべき情報の種類の追加例は、共同セキュリティ計画-付録G(「顧客セキュリティ文書の例」)[33]および医療機器セキュリティに関する製造業者開示声明(MDS2またはMDS2と呼ばれる)[34]のセクション2.3.17および2.3.18で見つけることができます。
As part of the premarket submission, manufacturers should also describe how the known vulnerabilities (item (G) above) were discovered to demonstrate whether the assessment methods were sufficiently robust. For third-party components with known vulnerabilities, device manufacturers should provide in premarket submissions:  また、製造業者は、市販前申請の一部として、評価方法が十分に堅牢であったかどうかを示すために、既知の脆弱性(上記項目(G))がどのように発見されたかを説明する必要があります。既知の脆弱性を有するサードパーティーコンポーネントについて、機器メーカーは市販前申請で提供する必要があります。 
•       A safety and security risk assessment of each known vulnerability; and  ・各既知の脆弱性に関する安全性及びセキュリティリスク評価
•       Details of applicable safety and security risk controls to address the vulnerability.  If risk controls include compensating controls, those should be described in an appropriate level of detail  ・ 脆弱性に対処するために適用される安全性およびセキュリティリスクコントロールの詳細。 リスクコントロールに代償コントロールが含まれる場合,それらは適切なレベルで詳細に記述されるべきです。
For additional information and discussion regarding proprietary and third-party components, see section V.B.2., Security Architecture Views, below. 専有部品及び第三者部品に関する追加情報及び議論については、以下の「V.B.2.セキュリティアーキテクチャービュー」を参照のこと。
   
[25] See FDA guidance Off-The-Shelf (OTS) Software Use in Medical Devices available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices.  26  [25] 医療機器における既製(OTS)ソフトウェアの使用については、https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices にあるFDAガイダンスを参照。 26 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software にあるFDAガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照のこと。 
[26] See FDA guidance Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software.   [26] FDA ガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software)。  
[27] The use of “component” in this guidance is consistent with the definition in 21 CFR 820.3. [27] 本ガイダンスにおける「コンポーネント」の使用は、21 CFR 820.3における定義と一致している。
[28] While some suppliers may not grant access to source code, manufacturers may consider adding to their purchasing controls acquisition of the source code should the purchased software reach end of support or end of life from the supplier earlier than the intended end of support or end of life of the medical device.  [28] 供給者によってはソースコードへのアクセスを認めない場合もあるが、製造者は、購入したソフ トウェアが供給者からのサポート終了又は医療機器の意図したサポート終了又は寿命より早く終 了する場合には、ソースコードの取得を購買管理に加えることを検討してもよい。
[29] For additional information see the Department of Commerce National Telecommunications and Information Administration’s multi-stakeholder process for software transparency.  [29] その他の情報については、商務省電気通信情報局のソフトウェアの透明性に関するマルチステークホルダー・プロセスを参照してください。
https://www.ntia.doc.gov/SoftwareTransparency  https://www.ntia.doc.gov/SoftwareTransparency 
[30] See FDA guidance Off-The-Shelf (OTS) Software Use in Medical Devices available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices. [30] FDAガイダンス「Off-The-Shelf (OTS) Software Use in Medical Devices」を参照(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices)。
[31] See FDA guidance Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software. [31] https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software にあるFDAガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照すること。
[32] Known vulnerabilities are vulnerabilities that are published in the public National Vulnerability Database (NVD) or similar software vulnerability and/or weakness database. NVD is available at https://nvd.nist.gov/vuln/full-listing [既知の脆弱性とは、公開されているNational Vulnerability Database(NVD)または同様のソフトウェア脆弱性・弱点データベースで公開されている脆弱性を指します。NVD は、https://nvd.nist.gov/vuln/full-listing で利用可能です。
[33] Medical Device and Health IT Joint Security Plan (JSP) is available at https://healthsectorcouncil.org/the-jointsecurity-plan/. [33] 医療機器と医療ITの共同セキュリティ計画(JSP)は、https://healthsectorcouncil.org/the-jointsecurity-plan/ で入手できます。
[34] The Manufacturer Disclosure Statement for Medical Device Security is available at https://www.nema.org/standards/view/manufacturer-disclosure-statement-for-medical-device-security.  [34] 医療機器セキュリティに関する製造者開示説明書(Manufacturer Disclosure Statement for Medical Device Security)は、https://www.nema.org/standards/view/manufacturer-disclosure-statement-for-medical-device-security。

| | Comments (0)

ENISA EUにおける協調的脆弱性開示政策

こんにちは、丸山満彦です。

ENISAがEUにおける協調的脆弱性開示政策についての報告書を公開していますね。。。EU各国での協調的脆弱性開示政策を分析していますね。。。

あわせて、中国、米国、そして日本にも触れられています。。。日本といえば、「早期警戒パートナーシップ」ですね。。。かなり上手くいっているという評価のようです。。。

ENISA

・2022.04.13 (news) Coordinated Vulnerability Disclosure policies in the EU

Coordinated Vulnerability Disclosure policies in the EU EUにおける協調的脆弱性開示政策
The European Union Agency for Cybersecurity (ENISA) publishes a map of national Coordinated Vulnerability Disclosure (CVD) policies in the EU Member States and makes recommendations. 欧州連合サイバーセキュリティ機関(ENISA)は、EU加盟国各国の協調的脆弱性開示政策 (CVD) のマップを公開し、提言を行います。
<data-diazo="news-body">Vulnerability disclosure has become the focus of attention of cybersecurity experts engaged in strengthening the cybersecurity resilience of the European Union. The valid source of concern comes from the cybersecurity threats looming behind vulnerabilities, as demonstrated by the impact of the Log4Shell vulnerability. 欧州連合のサイバーセキュリティの強靭性強化に携わるサイバーセキュリティの専門家の間で、脆弱性の開示が注目されています。Log4Shellの脆弱性の影響に示されるように、脆弱性の背後に迫るサイバーセキュリティの脅威が、正当な懸念材料となっています。
Security researchers and ethical hackers constantly scrutinise ICT systems - both open source and commercial closed source software - to find weaknesses, misconfigurations, software vulnerabilities, etc. A wide range of issues are thus revealed: weak passwords, fundamental cryptographic flaws or deeply nested software bugs. セキュリティ研究者と倫理的ハッカーは、ICTシステム(オープンソースと商用クローズドソースの両方)を常に精査し、弱点、設定ミス、ソフトウェアの脆弱性などを見つけ出しています。このようにして、脆弱なパスワード、暗号の基本的な欠陥、あるいは深く入り組んだソフトウェアのバグなど、さまざまな問題が明らかになります。
Identifying vulnerabilities is therefore essential if we want to prevent attackers from exploiting them. It is important to consider that attackers can always develop malware specially designed to exploit vulnerabilities disclosed to the public. Besides the identification itself, vendors can also be reluctant to acknowledge vulnerabilities as their reputation might be damaged as a consequence. したがって、攻撃者に悪用されるのを防ぐためには、脆弱性を特定することが不可欠です。攻撃者は、公開された脆弱性を悪用するために特別に設計されたマルウェアを常に開発できることを考慮することが重要です。また、脆弱性の特定だけでなく、ベンダーが脆弱性を認めたがらないのは、結果として自社の評判を落とすことになりかねないからです。
What is CVD? CVDとは?
Coordinated vulnerability disclosure (CVD) is a process by which vulnerabilities finders work together and share information with the relevant stakeholders such as vendors and ICT infrastructure owners. 協調的脆弱性開示(CVD)とは、脆弱性発見者が協力し、ベンダーやICTインフラ所有者などの関係者と情報を共有するプロセスです。
CVD ensures that software vulnerabilities get disclosed to the public once the vendor has been able to develop a fix, a patch, or has found a different solution. CVDは、ベンダーが修正プログラムやパッチを開発したり、別の解決策を見つけたりした時点で、ソフトウェアの脆弱性が一般に公開されるようにするものです。
What are national CVD policies? 各国のCVD政策とは何ですか?
National CVD policies are national frameworks of rules and agreements designed to ensure: 各国の CVD 政策とは、以下のことを確実にするためのルールや合意事項からなる国家的な枠組みです。
・researchers contact the right parties to disclose the vulnerability; ・研究者は、脆弱性を開示するために適切な関係者に連絡する。
・vendors can develop a fix or a patch in a timely manner; ・ベンダーがタイムリーに修正プログラムやパッチを開発できること。
・researchers get recognition from their work and are protected from prosecution. ・研究者が自分の仕事を評価され、訴追から保護されること。
What is the situation in the EU? EUの状況は?
The report published today maps the national CVD policies in place across the EU, compares the different approaches and, highlights good practices. 本日発表された報告書は、EU全域で実施されている各国のCVD政策をマッピングし、異なるアプローチを比較し、優れた実践例を紹介しています。
The analysis allows a wide disparity to be observed among Member States in relation to their level of CVD policy achievement. At the time the data used in the report was collected, only four Member States had already implemented such a CVD policy, while another four of them were about to do so. The remaining Member States are split into two groups: those currently discussing how to move forward and those who have not yet reached that stage. この分析により、CVD政策の達成度に関して、加盟国間で大きな格差があることが確認された。この報告書で使用されたデータが収集された時点で、CVD政策をすでに実施していた加盟国はわずか4カ国であり、さらにそのうちの4カ国は実施間近であった。残りの加盟国は、現在どのように進めるか議論している国と、まだその段階に至っていない国の2つのグループに分けられます。
What are ENISA’s recommendations to promote CVD? CVDを推進するためのENISAの提言とは?
The main recommendations from the analysis of nineteen EU Member States include: 19のEU加盟国の分析から得られた主な提言は以下の通りです。
・Amendments to criminal laws and to the Cybercrime Directive to offer legal protection to security researchers involved in vulnerability discovery; ・脆弱性発見に関与するセキュリティ研究者に法的保護を提供するための刑法およびサイバー犯罪指令の改正。
・the definition of specific criteria for a clear-cut distinction between “ethical hacking” and “black hats” activities prior to establishing any legal protection for security researchers; ・セキュリティ研究者の法的保護を確立する前に、「倫理的ハッキング」と「ブラックハット」活動を明確に区別するための具体的基準を定義すること。
・incentives to be developed for security researchers to actively participate in CVD research, either through national or European bug bounty programmes, or through promoting and conducting cybersecurity training. ・セキュリティ研究者が CVD 研究に積極的に参加するためのインセンティブを、国内または欧州のバグバウンティプログラム、あるいはサイバーセキュリティ研修の推進と実施のいずれかを通じて開発すること。
Apart from the above, additional recommendations are issued in relation to the economic and polical challenges and also address operational and crisis management activities. 上記とは別に、経済的・政治的課題、運用・危機管理活動に関する追加提言も発表されている。
Next steps 次のステップ
The Commission’s proposal for the revision of the Network and Information Security Directive or NIS2 proposal, provides for EU countries to implement a national CVD policy. ENISA will be supporting the EU Member States with the implementation of this provision and will be developing a guideline to help EU Member States establish their national CVD policies. 欧州委員会のネットワークおよび情報セキュリティ指令の改正案(NIS2案)では、EU諸国が国別のCVD政策を実施することが規定されています。ENISAは、この規定の実施についてEU加盟国を支援し、EU加盟国の国家CVD政策の確立を支援するためのガイドラインを策定する予定です。
In addition, ENISA will need to develop and maintain an EU Vulnerability database (EUVDB). The work will complement the already existing international vulnerability databases. ENISA will start discussing the implementation of the database with the European Commission and the EU Member States after the adoption of the NIS2 proposal. さらに、ENISAはEU脆弱性データベース(EUVDB)を開発し、維持する必要があります。この作業は、すでに存在する国際的な脆弱性データベースを補完することになります。ENISAは、NIS2提案の採択後、欧州委員会およびEU加盟国とデータベースの導入について協議を開始する予定です。
Background material 背景資料
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in 2016, and the economic impact of vulnerabilites was explored in detail in 2018. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2018/2019 State of Vulnerabilities report. この報告書は、脆弱性の分野でENISAが行った過去の作業を基に作成されています。ENISAは2016年に脆弱性開示に関するグッドプラクティスに関する報告書を発行し、2018年には脆弱性の経済的影響について詳細に検討しました。さらに、脆弱性エコシステムの限界と機会については、ENISA 2018/2019 State of Vulnerabilitiesレポートで分析されました。
Further information さらに詳しい情報
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities 脆弱性の状態2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure 脆弱性情報公開の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations 脆弱性開示に関するグッドプラクティスガイド:課題から提言まで

 


・2022.04.13 Coordinated Vulnerability Disclosure Policies in the EU

Coordinated Vulnerability Disclosure Policies in the EU EUにおける協調的脆弱性開示政策
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements. 本レポートでは、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握できるほか、ハイレベルな主要調査結果や今後の改善に関する提言も掲載しています。

・[PDF

概要...

EXECUTIVE SUMMARY  エグゼクティブ・サマリー
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements.  本報告書では、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握することはもちろん、ハイレベルな重要事項や今後の改善に向けた提言も行っています。
As shown by the recent Apache Log4j vulnerability, a single software flaw can put hundreds of millions of devices around the world at risk, leaving organizations struggling to patch affected systems before the vulnerability turns into a security incident. This is yet another vulnerability with global repurcussions that shows the importance of security research, communication between stakeholders, patching and good security practices.  最近のApache Log4jの脆弱性に見られるように、1つのソフトウェアの欠陥が世界中の何億ものデバイスを危険にさらし、組織は脆弱性がセキュリティ事故に発展する前に、影響を受けるシステムにパッチを当てることに苦労しています。これは、セキュリティ研究、関係者間のコミュニケーション、パッチ適用、優れたセキュリティ対策の重要性を示す、世界的な影響を及ぼすもう一つの脆弱性です。
A national CVD policy is a framework under which security researchers are allowed and encouraged to research ICT products and services, following a set of rules, and report any vulnerabilities they find to the national authorities or the product vendor. A national CVD policy helps to increase the overall level of cybersecurity in a country; it increases transparency, and this helps to build trust in the ICT services and products used in that country. In addition, it allows for valuable time and cooperation between stakeholders for patch development, which can potentially reduce the time for exploitation.  CVD政策とは、セキュリティ研究者が一定のルールに従ってICT製品やサービスを研究し、発見した脆弱性を国家機関や製品ベンダーに報告することを許可・奨励する枠組みを指します。CVD政策は、その国のサイバーセキュリティのレベルを向上させ、透明性を高め、その国で使用されているICTサービスや製品に対する信頼性を高めるのに役立ちます。さらに、パッチ開発のための貴重な時間と関係者間の協力が可能になり、悪用されるまでの時間を短縮できる可能性があります。
At the national level, the research shows that, while evolving in a fragmented EU environment, multiple EU Member States are making progress in the development of national CVD policies. Currently, only Belgium, France, Lithuania and the Netherlands are undertaking CVD policy work and have implemented policy requirements. Among these four countries, policy initiatives strongly differ. In parallel, four other Member States are on the point of implementing a policy. In these cases, the proposal is either being examined at the level of policymakers or is being tested in pilot projects. Another set of ten EU Member States are considering implementing a national CVD policy or are on the point of doing so. However, failure to reach a consensus at the political or legislative levels hampered the process. Finally, another group of Member States (nine) has not implemented a CVD policy and the process for establishing one has not yet started.  国レベルでは、断片的なEU環境の中で進化しながらも、複数のEU加盟国が国別CVD政策の策定を進めていることが調査から明らかになっています。現在、ベルギー、フランス、リトアニア、オランダだけがCVD政策に取り組んでおり、政策要件を導入しています。この4カ国の間では、政策の取り組みに大きな違いがあります。これと並行して、他の4つの加盟国も政策の実施に踏み切っています。これらの国では、政策立案者レベルで検討されているか、パイロットプロジェクトで試験的に実施されている段階です。また、EU加盟国のうち10カ国は、国内CVD政策の実施を検討しているか、実施しようとしています。しかし、政治や立法レベルでのコンセンサスが得られないことが、このプロセスの障害となっています。最後に、別の加盟国(9カ国)はCVD政策を実施しておらず、政策の確立に向けたプロセスもまだ始まっていません。
This EU market heterogeneity could be explained by various challenges faced by national governments when considering CVD initiatives. These challenges include legal, economical and political aspects which are further addressed in this report. Additionally, the lack of alignment of CVD practices, terminology, understanding and assessment of a CVD process is perceived as an obstacle for the implementation of national CVD policies and cooperation between Member States.  このようなEU市場の異質性は、CVDの取り組みを検討する際に各国政府が直面するさまざまな課題によって説明することができます。これらの課題には、法的、経済的、政治的な側面が含まれ、本レポートでさらに詳しく説明されています。さらに、CVDの実務、用語、CVDプロセスの理解や評価が一致していないことが、各国のCVD政策の実施や加盟国間の協力の障害になっていると考えられています。
More specifically, it turned out that the comprehensive CVD process is often, but not always, supported by national CSIRTs, which many countries see as the natural focal point for these activities. Good practices related to CVD policies and authorities’ involvement have been shared by Member States representatives and collected in this report.  具体的には、包括的なCVDのプロセスは、多くの場合、各国のCSIRTによって支援されているが、常に支援されているわけではなく、多くの国がこれらの活動のための自然な中心地であるとみなしていることが判明しました。本報告書では、CVD政策と当局の関与に関するグッドプラクティスをメンバー国の代表と共有し、収集しました。
CVD policy initiatives carried out in China, Japan and the United States were also reported. These non-EU players presented various methods of creating and adapting a CVD national policy, and maintaining and working on vulnerability registries. These notions are further detailed aside from EU practices and illustrated with inspiring inputs from experts.  また、中国、日本、米国におけるCVD政策の取り組みも報告されました。これらの非EU加盟国は、CVD国家政策の策定と適応、脆弱性登録の維持と作業について、さまざまな方法を提示しました。これらの概念は、EUの慣行とは別にさらに詳しく、専門家からの刺激的なインプットとともに説明されています。
Furthermore, there are several challenges that were identified by the Member States and are presented for discussion, along with relevant recommendations that can help mitigate them and support the implementation of national vulnerability disclosure policies. These challenges were identified and categorized based on their nature as legal, economic or political, and include findings such as  さらに、加盟国によって特定されたいくつかの課題があり、それらを軽減し、脆弱性開示の国家政策の実施を支援することができる関連勧告とともに、議論のために提示されています。これらの課題は、法的、経済的、政治的な性質に基づいて特定・分類され、以下のような知見が含まれています。
•        legal risks faced by researchers;  ・研究者が直面する法的リスク
•        limited economic incentives for vulnerability research;  ・脆弱性研究に対する限られた経済的インセンティブ
•        political challenges related to the role of the government and ‘safe harbour’ for researchers.  ・政府の役割と研究者のための「セーフハーバー」に関する政治的課題。
Lastly, following the analysis, several recommendations and concrete suggestions were presented for the role of the European Union Agency for Cybersecurity (ENISA) in supporting CVD in the EU. Some of the most important recommendations and suggested objectives are listed below.  最後に、分析に続いて、EUにおけるCVDの支援における欧州連合サイバーセキュリティ機関(ENISA)の役割について、いくつかの提言と具体的な提案が提示されました。最も重要な提言と提案された目標を以下に挙げます。
Major recommendations  主な提言 
•        Take the necessary steps to develop and implement national CVD policies.  ・各国のCVD政策の策定と実施に必要な措置を講じること。
•        Define the role of ethical hackers in relevant national laws to establish a framework for ethical security research around vulnerabilities.  ・倫理的ハッカーの役割を関連する国内法で定義し、脆弱性をめぐる倫理的なセキュリティ研究の枠組みを確立すること。
•        Develop incentives for security researchers to actively participate in CVD research. ・セキュリティ研究者が CVD 研究に積極的に参加できるようなインセンティブを整備すること。
Role for ENISA and the European Commission  ENISAと欧州委員会の役割 
•        Provide clear guidance to Member States on how to establish a CVD policy.  ・加盟国に対しCVD政策の策定方法について明確なガイダンスを提供すること。
•        Promote knowledge building and information exchange on CVD at the EU level.  ・EUレベルでのCVDに関する知識の構築と情報交換を促進すること。
•        Encourage the harmonization of CVD initiatives across countries.  ・国を超えたCVDの取り組みの調和を促進すること。
The information regarding the state of play of EU Member States presented herein was collected between Q2 and Q3 2021. Any updates to that status since then will be presented in future ENISA work. 本書で紹介するEU加盟国の取り組み状況に関する情報は、2021年第2四半期から第3四半期にかけて収集されたものです。それ以降のその状況の更新は、今後のENISAの作業で紹介される予定です。

 

目次...

1. INTRODUCTION  1. はじめに 
2. COORDINATED VULNERABILITY DISCLOSURE POLICIES  2. 協調的脆弱性開示政策 
2.1 STATE OF PLAY CVD POLICIES IN THE EU AND RELEVANT COUNTRIES AND REGIONS OUTSIDE  THE EU 2.1 EU および EU 圏外の関連国・地域における CVD 政策の実施状況
2.2 STATUS OF CVD POLICIES IN THE EU  2.2 EUにおけるCVD政策の状況 
2.3 CVD WITHIN EACH MEMBER STATE  2.3 各加盟国でのCVD 
2.3.1 Belgium  2.3.1 ベルギー 
2.3.2 Bulgaria  2.3.2 ブルガリア 
2.3.3 Czechia  2.3.3 チェコ共和国 
2.3.4 Denmark  2.3.4 デンマーク 
2.3.5 Germany  2.3.5 ドイツ 
2.3.6 Estonia  2.3.6 エストニア 
2.3.7 Ireland  2.3.7 アイルランド 
2.3.8 Greece  2.3.8 ギリシャ 
2.3.9 Spain  2.3.9 スペイン 
2.3.10 France  2.3.10 フランス 
2.3.11 Croatia  2.3.11 クロアチア 
2.3.12 Italy  2.3.12 イタリア 
2.3.13 Cyprus  2.3.13 キプロス 
2.3.14 Latvia  2.3.14 ラトビア 
2.3.15 Lithuania  2.3.15 リトアニア 
2.3.16 Luxembourg  2.3.16 ルクセンブルク 
2.3.17 Hungary  2.3.17 ハンガリー 
2.3.18 Malta  2.3.18 マルタ 
2.3.19 The Netherlands  2.3.19 オランダ 
2.3.20 Austria  2.3.20 オーストリア 
2.3.21  Poland  2.3.21 ポーランド 
2.3.22 Portugal  2.3.22 ポルトガル 
2.3.23 Romania  2.3.23 ルーマニア 
2.3.24 Slovenia  2.3.24 スロベニア 
2.3.25 Slovakia  2.3.25 スロバキア 
2.3.26 Finland  2.3.26 フィンランド 
2.3.27 Sweden  2.3.27 スウェーデン 
2.4 CVD OUTSIDE THE EUROPEAN UNION  2.4 欧州連合外のCVD 
2.4.1 People’s Republic Of China   2.4.1 中華人民共和国  
2.4.2 Japan   2.4.2 日本  
2.4.3 United States of America   2.4.3 アメリカ合衆国  
3. CVD POLICY PRACTICES  3. CVD政策の実践 
3.1 DESIRED ELEMENTS OF CVD PROCESSES  3.1 CVDプロセスに望まれる要素 
3.1.1 Entities Involved  3.1.1 関与する主体 
3.1.2 Tools  3.1.2 ツール 
3.1.3 Awareness-Raising Campaigns  3.1.3 意識改革キャンペーン 
3.1.4 Operational and Crisis Management Activities  3.1.4 運用・危機管理活動 
3.2 CVD POLICY – GOOD PRACTICES  3.2 CVD政策 - グッドプラクティス 
3.2.1 Content of a CVD Policy  3.2.1 CVD政策の内容 
3.2.2 Established Good Practices in Member States CVD Procedures  3.2.2 加盟国のCVD手続きにおけるグッドプラクティスの確立 
3.3 CHALLENGES AND ISSUES  3.3 課題と問題点 
3.3.1 Legal challenges  3.3.1 法的課題 
3.3.2 Economic challenges  3.3.2 経済的な課題 
3.3.3 Political challenges  3.3.3 政治的な課題 
4. RECOMMENDATIONS  4. 提言 
4.1 RECOMMENDATIONS ON LEGAL CHALLENGES  4.1 法的課題に関する提言 
4.2 RECOMMENDATIONS ON ECONOMIC CHALLENGES  4.2 経済的課題に関する提言 
4.3 RECOMMENDATIONS ON POLITICAL CHALLENGES  4.3 政治的課題に関する提言 
4.4 RECOMMENDATIONS ON CHALLENGES FROM OPERATIONAL AND CRISIS MANAGEMENT ACTIVITIES  4.4 作戦・危機管理活動からの課題に関する提言 
4.5 THE ROLE OF ENISA AND OF THE EUROPEAN COMMISSION  4.5 ENISAと欧州委員会の役割 
5. REFERENCES  5. 参考文献 
6. BIBLIOGRAPHY  6. 関連文書

 

日本についての説明の部分...

2.4.2 Japan 75  2.4.2 日本
In Japan, the coordinated disclosure of vulnerabilities in products such as software is performed in accordance with the ‘Information Security Early Warning Partnership Guideline’ (hereafter ‘Guideline’). This guideline is based on a 2004 notification from the Ministry of Economy, Trade and Industry (METI) entitled ‘Standards for Handling Software Vulnerability Information and Others’, which was amended in 2014 and 2017. The notification was renamed ‘Standards for Handling Vulnerability-related Information of Software Products and Others’ in 2017. The guideline was created and jointly announced in cooperation with several industry organisations, namely the Japan Electronics and Information Technology Industries Association (JEITA), the Japan Information Technology Service Industry Association (JISA), the Computer Software Association of Japan (CSAJ) and the Japan Network Security Association (JNSA). It serves as a recommendation to parties relevant to the coordinated vulnerability disclosure process. The recommended processes in the guideline are in alignment with ISO/IEC 29147:2014 ‘Vulnerability disclosure’. For the purposes of this document, vulnerabilities in products such as software and firmware will be considered.  日本では、「情報セキュリティ早期警戒パートナーシップガイドライン」(以下、「ガイドライン」)に基づき、ソフトウェアなどの製品の脆弱性を協調して開示することが行われています。このガイドラインは、2004年に経済産業省から出された「ソフトウェアの脆弱性情報等の取扱いに関する基準」に基づいており、2014年、2017年に改正されました。同通達は2017年に『ソフトウェア製品の脆弱性関連情報の取扱い基準等』に名称が変更されました。本ガイドラインは、複数の業界団体である電子情報技術産業協会(JEITA)、情報通信サービス産業協会(JISA)、コンピュータソフトウェア協会(CSAJ)、日本ネットワークセキュリティ協会(JNSA)の協力を得て作成し、共同で発表したものです。脆弱性情報開示の協調プロセスに関わる関係者への推奨事項となっています。本ガイドラインの推奨プロセスは、ISO/IEC 29147:2014 'Vulnerability disclosure' と整合しています。この文書では、ソフトウェアやファームウェアなどの製品に存在する脆弱性を考慮しています。
In this guideline, vulnerability reports from researchers are sent to the Information-technology Promotion Agency (IPA), a policy implementation agency under the jurisdiction of METI handling initial analysis and triage. After this process, the reports are sent to the JPCERT Coordination Center (JPCERT/CC), an independent, non-profit organisation funded by METI for coordination with the vendor/developer of the product. Once the vulnerability has been addressed by the vendor/developer, an advisory will be published on Japan Vulnerability Notes (JVN), typically in conjunction with an advisory from the vendor/developer. Through this coordinated vulnerability disclosure process, a total of 1 875 advisories have been published on JVN as of March 2021.  本ガイドラインでは、研究者からの脆弱性報告は、経済産業省所管の政策実施機関である情報処理推進機構(IPA)に送られ、初期解析とトリアージが行われます。その後、経済産業省が出資する独立非営利団体JPCERTコーディネーションセンター(JPCERT/CC)に送られ、製品のベンダーや開発元との調整が行われます。ベンダー/開発元が脆弱性に対応した後、通常、ベンダー/開発元からのアドバイザリーとともに、Japan Vulnerability Notes (JVN)に公開されることになります。この協調的な脆弱性公開プロセスにより、2021年3月現在、合計1、875件のアドバイザリーがJVNで公開されています。
While this coordinated vulnerability disclosure process has worked fairly well, the number of reports received has increased significantly over the past few years. Various factors have caused this increase, among them being an increase in the overall awareness of security vulnerabilities, in the number of researchers searching for vulnerabilities, in the number of products available and in the availability of easy-to-use tools for vulnerability discovery. The increase in reports has led to a process overflow where some reports are not being handled in a timely manner. The guideline initially stated that all reported vulnerabilities must be coordinated and subsequently disclosed on JVN after the vulnerability has been addressed. While it is probably best to coordinate and disclose all reported vulnerabilities, regardless of their severity or the number of users that a particular product has, this is not practical in practice. Also, since this guideline has been published, many vendors/developers have become receptive to the coordinated vulnerability disclosure process, but there remain vendors/developers that are not.  この協調的な脆弱性開示プロセスは、かなりうまく機能しており、ここ数年、報告書の受理件数は大幅に増加しています。この増加にはさまざまな要因がありますが、中でも、セキュリティ脆弱性に対する全体的な意識の高まり、脆弱性を検索する研究者の数、利用可能な製品の数、脆弱性発見のための使いやすいツールの普及が挙げられます。報告件数の増加により、一部の報告がタイムリーに処理されないというプロセスのオーバーフローが発生しています。当初、ガイドラインでは、報告された脆弱性はすべて調整され、その後、脆弱性が対処された後にJVNで公開されなければならないとされていました。報告された脆弱性は、その深刻度や特定製品のユーザ数にかかわらず、すべて調整し公開することが最善であると思われますが、実際には現実的ではありません。また、このガイドラインが発行されて以来、多くのベンダー/デベロッパーが協調して脆弱性を開示するプロセスを受け入れるようになりましたが、そうでないベンダー/デベロッパーも残っています。
As a recommendation for creating a policy on coordinated vulnerability disclosure, the experiences in Japan lead to the following considerations.  脆弱性の協調開示に関する政策策定への提言として、日本での経験から、以下のような考察がなされます。
•        Incentive should be provided to researchers to report vulnerabilities to an organisation that can directly address the vulnerability or at least coordinate with an organisation that can address the vulnerability.  ・脆弱性に直接対処できる組織や、少なくとも対処できる組織と連携して脆弱性を報告するインセンティブを、研究者に与えるべきである。
•        Monetary incentive should also be provided (bug bounty).  ・金銭的なインセンティブも与えるべきである(バグバウンティ)。
•        Recognition should also be provided (credit on an advisory).  ・また、表彰を行うべきである(アドバイザリーへのクレジット掲載)。
•        Incentives should be provided to vendors to support the coordinated disclosure of vulnerabilities.  ・ベンダーに対して、脆弱性の協調的な公開を支援するインセンティブを与えるべきである。
•        Vendors should be allowed to promote their own actions to address vulnerabilities as a good practice (market appeal).  ・ベンダーは、自らの脆弱性対応行動をグッドプラクティスとしてアピールできるようにすべきである(市場へのアピール)。
•        Third-party coordinators can also provide value in this process.  ・また、第三者であるコーディネータもこのプロセスにおいて価値を提供することができる。
•        Advisories should be published so that information can reach a wider audience.  ・より多くの人に情報が届くように、アドバイザリを公開するべきである。
•        Support should be provided in the coordination process where multiple organisations need to be contacted with a vulnerability (multi-party coordination).  ・脆弱性に関して複数の組織と連絡を取る必要がある場合、調整プロセスにおいて支援を行うべきである(複数当事者による調整)。
•        The coordination process should be clarified so that researchers know how a reported vulnerability will be coordinated and disclosed.  ・報告された脆弱性がどのように調整され、公開されるかを研究者が知ることができるよう、調整プロセスを明確化する必要がある。
•        Vendors should be taught how to create a coordination process so that researchers know vendors will address reported vulnerabilities.  ・ベンダが報告された脆弱性に対応することが研究者にわかるように、ベンダに対して調整プロセスの作成方法を指導するべきである。

 

 

| | Comments (0)

2022.04.14

経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

こんにちは、丸山満彦です。

経済産業省が、無人航空機を対象としたサイバーセキュリティガイドラインを策定したと発表していましたね。。。見逃していました(^^;;

策定の目的ですが、、、


測量や物流、設備点検、警備、災害時の被災状況調査など無人航空機システムの活用分野が広がる中、これらの用途で扱われる記録映像やフライトログなどの情報が漏えいするリスクも増大しています。


ということもあり、今回のガイドラインは、

記録映像、フライトログの漏洩リスク

を中心に考えているんですかね。。。ガイドラインの中で対象とするセキュリティについてより正確に定義しています、、、


本書が対象とする非耐空性のセキュリティ(Non-Airworthiness Security)の定義

本書において対象範囲とする、無人航空機の耐空性に影響しないセキュリティ領域を非耐空性のセキュリティ(Non-Airworthiness Security)と定義する。

  • What:無人航空機システムにおいて実装されるソフトウェアや、取り扱われるデータが
  • When:「企画」、「設計・製造」、「評価」、「運用」、「廃棄」に至るまで
  • Where:電子情報及び、電子通信における経路上において
  • Who:第三者や外部、あるいは内部から
  • Why:意図的または随意的な
  • How:攻撃を受けた場合や過失により
  • Event:経済的損失、社会的信用の失墜、法制度への抵触、プライバシ侵害、セキュリティ機能の低下につながる

 

まずは、非耐空性のセキュリティ(Non-Airworthiness Security)のうち、情報システムの脅威を対象としているということですね。。。

 


図 1-1 DO-356A が定義する耐空性に関するセキュリティの範囲6と、本書の対象スコープ


で、さらに構成要素で見ると。。。



 図 2-1 無人航空機の汎用的なシステムモデル


となるようです。。。

PDFファイル314ページにも及ぶ大作ですから、全体像の理解が重要ですので、、、全体像の理解から、、、

第2章:無人航空機のシステムモデルイメージを定義し、システムモデル上のデータフローから取り扱われるデータを明確化する。
第3章:無人航空機分野として考慮すべきセキュリティ対策事項を導出する。
第4章:第2章の無人航空機のシステムモデルに対するリスク分析プロセスや、実施例を示す。
第5章:第3章の調査結果及び、第4章のリスク分析結果を踏まえ、無人航空機システムの構成要素別にセキュリティ要件を示す。また、ステークホルダー別に組織の活動に関するセキュリティ要件を示す。
Appendix_A :第5章のセキュリティ要件について、国内外の主要なガイドラインとの対応関係を示す。
Appendix_B :第4章のリスク分析プロセスの参考として、リスクレベルの検討例を示す。
Appendix_C :用語に関する用語集を示す。
Appendix_D :参考、参照した規格、ガイドライン文書を示す。

 


図 1-2 本書の構成と、各章の関係性の整理


 

セキュリティ要件は、IPAが発行した「制御システムのセキュリティリスク分析ガイド第2版」の事業被害レベルの判断基準を参考にした4段階に応じて設定しているようですね。。。

4段階の分け方は、利用目的に応じて、

  • セキュリティクラス1:一般利用
  • セキュリティクラス2: 測量や物流、設備点検など通常の産業利用が想定される分野
  • セキュリティクラス3: 警備や災害対応など人命や安全に影響する分野
  • セキュリティクラス4: 軍事・国防領域

として、このうち、セキュリティクラス2、3を対象としていますね。。。

 



 

 

経済産業省

・2022.03.31 無人航空機を対象としたサイバーセキュリティガイドラインを策定

・[PDF] 無人航空機_サイバーセキュリティガイドライン_Ver1.0

 


■ 参考

日本

一般社団法人セキュアドローン協議会

・2021.05.20 セキュアドローン協議会、『ドローンセキュリティガイド 第2版』公開

ドローンセキュリティガイド

ドローンセキュリティガイド第2版 ダウンロードフォーム



 

公立大学法人会津大学

・2019.05.22 サービスロボット・セキュリティガイドライン

・[PDF] サービスロボットセキュリティガイドラインVer1.0


 

 

| | Comments (0)

2022.04.13

米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

こんにちは、丸山満彦です。

米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。サイバーインシデント報告法により、重要インフラの所有者および運営者は、実質的なサイバー攻撃に遭遇した場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられることになったので、それも踏まえたものなのでしょうね。。。

どういう場合に、どういうことを、誰と共有したら良いのかについて、参考になりそうです。。。

 

CISA

・2022.04.07 Guidance on Sharing Cyber Incident Information

Guidance on Sharing Cyber Incident Information サイバーインシデント情報の共有化に関するガイダンス
CISA’s Sharing Cyber Event Information Fact Sheet provides our stakeholders with clear guidance and information about what to share, who should share, and how to share information about unusual cyber incidents or activity.   CISAのSharing Cyber Event Information Fact Sheetは、異常なサイバーインシデントやアクティビティについて、何を共有すべきか、誰が共有すべきか、どのように共有すべきかについての明確なガイダンスと情報をステークホルダーに提供します。 
CISA uses this information from partners to build a common understanding of how adversaries are targeting U.S. networks and critical infrastructure sectors. This information fills critical information gaps and allows CISA to rapidly deploy resources and render assistance to victims suffering attacks, analyze incoming reporting across sectors to spot trends, and quickly share that information with network defenders to warn other potential victims.  Click the fact sheet link to learn more and visit our Shields Up site for useful information. CISAは、敵対者がどのように米国のネットワークと重要インフラ部門を標的にしているかについての共通理解を構築するために、パートナーからのこの情報を使用しています。この情報によって重要な情報格差が埋まり、CISAは攻撃に苦しむ被害者にリソースを迅速に配備して支援を提供し、部門を超えて寄せられる報告を分析して傾向を把握し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになります。  ファクトシートのリンクをクリックして詳細を、「 Shields Up site 」で有用な情報を、確認してください。

 

ファクトシート...

・[PDF] SHARING CYBER EVENT INFORMATION: OBSERVE, ACT, REPORT

 

SHARING CYBER EVENT INFORMATION: OBSERVE, ACT, REPORT サイバーイベント情報の共有:観察、行動、報告
Cybersecurity information sharing is essential to collective defense and strengthening cybersecurity for the Nation. サイバーセキュリティの情報共有は、集団的な防衛と国家のサイバーセキュリティの強化に不可欠です。
That’s why, as the nation’s cyber defense agency, CISA applauds the passage of the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). In accordance with CIRCIA, CISA will now undertake a rulemaking process to implement the statutory requirements. In the interim. CISA continues to encourage our stakeholders to voluntarily share information about cyber-related events that could help mitigate current or emerging cybersecurity threats to critical infrastructure. Together we can make a difference. そのため、CISAは国家のサイバー防衛機関として、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)の成立を称賛しています。CIRCIAに従い、CISAは今後、法定要件を実施するためのルール策定プロセスに着手する予定です。その間のことです。CISAは引き続き、重要インフラに対する現在または新たなサイバーセキュリティの脅威を軽減するのに役立つサイバー関連事象に関する情報を自主的に共有するよう、関係者に呼びかけています。私たちが力を合わせれば、変化をもたらすことができます。
When cyber incidents are reported quickly, CISA can use this information to render assistance and provide a warning to prevent other organizations and entities from falling victim to a similar attack. This information is also critical to identifying trends that can help efforts to protect the homeland. サイバー事件が迅速に報告されると、CISAはこの情報を利用して支援を提供し、他の組織や団体が同様の攻撃の犠牲になるのを防ぐために警告を発することができます。また、この情報は、国土を保護する取り組みに役立つ傾向を把握するためにも重要です。
10 KEY ELEMENTS TO SHARE 共有すべき10の重要な要素
* 1. Incident date and time  * 1.発生日時、時刻 
* 2. Incident location  * 2.発生場所 
* 3. Type of observed activity  * 3.観測された活動の種類 
* 4. Detailed narrative of the event  * 4.事象の詳細な説明 
* 5. Number of people or systems affected  * 5. 影響を受けた人またはシステムの数 
* 6. Company/Organization name  * 6. 会社・団体名 
* 7. Point of Contact details  * 7. 連絡先詳細 
* 8. Severity of event  * 8. イベントの深刻度 
* 9. Critical Infrastructure Sector if known * 9. (わかる場合)重要インフラ部門がわかっているか
10. Anyone else you informed 10. その他知らせたいこと
*Priority *優先事項
WHAT YOU CAN DO  あなたができること 
• OBSERVE the activity ・活動を観察する
• ACT by taking local steps to mitigate the threat ・脅威を軽減するために,現地で対策を講じる。
• REPORT the event ・事象を報告する
WHO SHOULD SHARE  共有すべき人 
• Critical Infrastructure Owners and Operators ・重要インフラ所有者・運営者
• Federal, State, Local, Territorial, and Tribal Government Partners ・連邦政府、州政府、地方政府、準州、部族政府のパートナー
WHAT TYPES OF ACTIVITY SHOULD YOU SHARE WITH CISA  どのような活動をCISAと共有する必要がありますか?
• Unauthorized access to your system ・システムに対する不正なアクセス
• Denial of Service (DOS) attacks that last more than 12 hours ・12時間以上続くDOS攻撃
• Malicious code on your systems, including variants if known ・システム上の悪質なコード(既知の場合はその亜種を含む)
• Targeted and repeated scans against services on your systems ・自システム上のサービスに対する標的型の反復スキャン
• Repeated attempts to gain unauthorized access to your system ・自システムへの度重なる不正アクセスの試み
• Email or mobile messages associated with phishing attempts or successes ** ・フィッシングの試みや成功に関連した電子メールや携帯電話のメッセージ **。
• Ransomware against Critical Infrastructure, include variant and ransom details if known ・重要インフラに対するランサムウェア(判明している場合は亜種と身代金の詳細を含む)
HOW SHOULD YOU SHARE  どのように共有するのか 
If you are a Federal or Critical Infrastructure partner that has completed one of our Incident Reporting Forms we encourage you to continue to use this method. If you have never reported to CISA, or don’t have the time or capability, we encourage you to send an email to Report@cisa.gov and be as detailed as possible using the guidelines identified above. Please include full contact information or we may not be able to take the appropriate action.  連邦政府または重要インフラのパートナーで、CISAのインシデント報告フォームのいずれかに記入したことがある場合は、引き続きこの方法を使用することを推奨します。CISAに報告したことがない場合、または時間や能力がない場合は、Report@cisa.gov、上記のガイドラインに従ってできるだけ詳細に電子メールを送信することを推奨します。完全な連絡先情報を記載してください。でなければ適切な対応ができない場合があります。
**CISA partners with the Anti-Phishing Working Group (APWG) to collect phishing email messages, mobile messages and website locations to help people avoid becoming victims of phishing scams. You can share phishing info with CISA by sending the phishing email to phishing-report@us-cert.gov.  **CISAはAnti-Phishing Working Group(APWG)と提携し、フィッシング詐欺の被害に遭わないよう、フィッシングメールメッセージ、モバイルメッセージ、ウェブサイトの所在地を収集しています。フィッシングメールを phishing-report@us-cert.gov に送信することで、CISA とフィッシング情報を共有することができます。
WHAT TO EXPECT  期待すること 
CISA will triage and analyze your report. If appropriate, we will share anonymized information about this activity with others to help them manage their risk. If CISA needs additional information, we will contact you for additional details from one of our official accounts.  CISAは、あなたのレポートをトリアージし、分析します。適切であれば、この活動に関する匿名化された情報を他者と共有し、リスク管理の一助とします。CISAが追加情報を必要とする場合、CISAの公式アカウントのいずれかから追加の詳細をご連絡します。

 

 

 

 


■ 参考

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

金融

・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

企業情報開示での開示の話。。。

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

米国のサイバー戦略におけるリスク対応の源流...

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令


| | Comments (0)

中国 香港 個人データのためのプライバシーコミッショナー室 (PCPD) が「ソーシャルメディアのプライバシー設定比較」報告書を公表していますね。。。

こんにちは、丸山満彦です。

香港の個人データのためのプライバシーコミッショナー室 (Office of th Privacy Commissioner for Personal Data, Hong Kong: PCPD) がソーシャルメディアのプライバシー設定比較」報告書を公表していますね。。。

比較対象としているのは、香港で利用が多い10のソーシャルメディア、メッセンジャーで

  1. Facebook
  2. Facebook Messenger
  3. Instagram
  4. LINE
  5. LinkedIn
  6. Skype
  7. Twitter
  8. WeChat
  9. WhatsApp
  10. YouTube

となります。いわゆる大陸系の

  1. 哔哩哔哩 Bilibili
  2. 抖音 Douyin (TikTok)
  3. 小红书 Red
  4. 微信 WeChat
  5. 微博 Weibo

は含まれていませんね。。。

Office of th Privacy Commissioner for Personal Data, Hong Kong: PCPD

・2022.04.12 (media) PCPD Releases Report on “Comparison of Privacy Settings of Social Media” 

 

PCPD Releases Report on “Comparison of Privacy Settings of Social Media”  PCPDが「ソーシャルメディアのプライバシー設定比較」報告書を公開 
As the public has become increasingly aware in recent years of the personal data privacy risks related to the use of social media, the Office of the Privacy Commissioner for Personal Data (PCPD) today released a report on “Comparison of Privacy Settings of Social Media” after a review of the top ten most commonly used social media platforms in Hong Kong, including Facebook, Facebook Messenger, Instagram, LINE, LinkedIn, Skype, Twitter, WeChat, WhatsApp and YouTube (in alphabetical order). 近年、ソーシャルメディアの利用に関連する個人データのプライバシーリスクについて一般の認識が高まっていることから、個人情報保護委員会(PCPD)は本日、香港で最もよく利用されているFacebook、Facebook Messenger、Instagram、LINE、LinkedIn、Skype、Twitter、WeChat、WhatsApp、YouTube(アルファベット順)のソーシャルメディア上位10プラットフォームを検証し「ソーシャルメディアのプライバシー設定比較」報告書を発表しました。
According to the review results, the performance of the ten social media in terms of their privacy functions, privacy policies and the usability of privacy dashboards are summarised as follows: レビュー結果によると、プライバシー機能、プライバシーポリシー、プライバシーダッシュボードの使いやすさの観点から、10ソーシャルメディアのパフォーマンスは以下のように要約されます。
·  All the social media reviewed have privacy policy in place.  They collect a wide variety of personal data, ranging from 12 to 19 types of personal data. ·  レビューしたすべてのソーシャルメディアは、プライバシーポリシーを導入しています。  収集する個人データの種類は12~19種類と多岐にわたります。
·  All the social media reviewed would collect users’ location data (including both the precise and coarse locations). ·  レビューしたすべてのソーシャルメディアは、ユーザの位置情報(正確な位置と粗い位置の両方を含む)を収集します。
·  In terms of the default privacy settings, the age and telephone number of a user are not disclosed by Skype and YouTube, while the other social media reviewed disclose users’ personal data such as age, location, email address or telephone number by default. ·  プライバシー設定の初期設定では、SkypeとYouTubeはユーザの年齢と電話番号を公開していないが、レビューした他のソーシャルメディアは、年齢、場所、メールアドレスまたは電話番号などのユーザの個人データをデフォルトで公開しています。
·  Twitter, WeChat and YouTube receive the highest scores for readability of their privacy policies, while the others that do not score full marks mainly lack infographics, tables or short videos in illustrating their privacy policies. ·  Twitter、WeChat、YouTubeは、プライバシーポリシーの読みやすさで最も高いスコアを獲得しましたが、満点を獲得できなかった他のメディアは、プライバシーポリシーを説明するインフォグラフィックス、表、短いビデオがないのが主な理由です。
·  Apart from WeChat, all other instant messaging applications reviewed including Facebook Messenger, LINE, Skype and WhatsApp deploy end-to-end encryption in the transmission of messages between users. ·  WeChatを除き、Facebook Messenger、LINE、Skype、WhatsAppなどのインスタントメッセージングアプリケーションはすべて、ユーザ間のメッセージ送信にエンドツーエンドの暗号化を導入しています。
·  Except for LINE, all other social media reviewed provide two-factor authentication. ·  LINEを除くすべてのソーシャルメディアは、2ファクタ認証を提供しています。
·  Most of the social media reviewed would retain users’ credit card data. ·  ほとんどのソーシャルメディアは、ユーザのクレジットカード情報を保持しています。
·  All the privacy policies of the social media reviewed explicitly state that users’ personal data would be transferred to their affiliated companies. ·  プライバシーポリシーには、ユーザの個人情報が関連会社に転送されることが明記されています。
·  Twitter does not provide its privacy policy in Chinese text.  Users who do not read English would find it difficult to understand the social media’s policies relating to the handling of their personal data. ·  Twitterは中国語のテキストでプライバシーポリシーを提供していません。  英語が読めないユーザは、個人データの取り扱いに関連するソーシャルメディアの方針を理解することが困難です。
·  Facebook, LINE, WeChat and YouTube all allow users to disseminate posts to specific individuals or groups, and modify the privacy settings of the contents after posting. ·  Facebook、LINE、WeChat、YouTubeは、ユーザが特定の個人やグループに投稿を配信したり、投稿後にコンテンツのプライバシー設定を変更したりすることができます。
The Privacy Commissioner for Personal Data, Ms Ada CHUNG Lai-ling states that: “While the online world is fascinating and users may communicate and connect with other users around the world by sharing their personal updates and messages on social media, we should not neglect the risks posed to personal data privacy arising from the use of social media. Such risks may include the abuse of personal data, data scrapping or data leakage.  Personal data which is openly available may also be used by others for the purposes of doxxing, cyberbullying, phishing, or other illegal activities, leading to property loss and even physical or psychological harm of the victims. I call for greater vigilance and smart use of social media when users surf or communicate online in order to reduce the risks posed to personal data privacy.” 個人情報保護委員会のアダ・チャン・ライリング女史は、次のように述べています。「オンライン世界は魅力的であり、ユーザはソーシャルメディア上で個人的な最新情報やメッセージを共有することで、世界中の他のユーザとコミュニケーションし、つながることができますが、ソーシャルメディアの使用から生じる個人データのプライバシーにもたらすリスクを無視してはなりません。 このようなリスクには、個人データの乱用、データのスクラップ、データの漏洩などが含まれる可能性があります。  また、公開された個人情報は、晒し、ネットいじめ、フィッシング、その他の違法行為に利用され、被害者の財産損失や身体的・精神的損害につながる可能性もあります。私は、個人情報のプライバシーにもたらされるリスクを軽減するために、ユーザがネットサーフィンやオンラインコミュニケーションを行う際に、より一層の警戒とソーシャルメディアの賢い利用を呼びかけます。」
The PCPD has issued the Report to the operators of the social media concerned. More specifically, the PCPD provides the following advice to the social media platforms:- PCPDは、当該ソーシャルメディアの運営者に対し、本報告書を発行しました。具体的には、PCPDはソーシャルメディアのプラットフォームに対して、次のようなアドバイスをしています。
·  Operators of social media should continuously adopt "Privacy by Design" to enhance their services and provide more privacy-related functions to users so as to increase the choices available to users.  ·  ソーシャルメディアの運営者は、「プライバシー・バイ・デザイン」を継続的に採用し、サービスを強化するとともに、プライバシー関連の機能をユーザに提供し、ユーザが利用できる選択肢を増やすべきです。 
·  Social media platforms should be cautious of the types of personal data collected and avoid collecting more data than is necessary for its services; ·  ソーシャルメディア・プラットフォームは、収集する個人データの種類に注意し、サービスに必要以上のデータを収集しないようにすべきです。
·  Privacy policies for social media should be clear and easy to understand and should not be vague and general. The PCPD considers that the use of layered presentations, infographics, tables or short videos would help to improve the readability of privacy policies; ·  ソーシャルメディアのプライバシーポリシーは、明確で理解しやすいものであるべきで、曖昧で一般的なものであってはなりません。PCPDは、階層化されたプレゼンテーション、インフォグラフィックス、表、または短いビデオを使用することで、プライバシーポリシーの読みやすさを向上させることができると考えています。
·  Social media should not track locations of its users by default and should provide choices to its users according to their needs; ·  ソーシャルメディアは、デフォルトでユーザの位置情報を追跡すべきではなく、ユーザのニーズに応じた選択肢を提供すべきです。
·  Social media should provide end-to-end encryptions and two-factor authentications to strengthen the protection of users’ personal data; and ·  ソーシャルメディアは、ユーザの個人データの保護を強化するために、エンドツーエンドの暗号化と二要素認証を提供すべきです。
·  Operators of social media should also proactively tackle “doxxing”, “data scraping” or other illegal acts and limit the ways for searching users. ·  また、ソーシャルメディアの運営者は、「ドキシング」や「データスクレイピング」等の違法行為に積極的に取り組み、ユーザの検索方法を制限すべきです。
On the other hand, the PCPD provides the following advice to users of social media:- 一方、PCPDは、ソーシャルメディアの利用者に対し、次のようなアドバイスをしています。
·  Before registering an account, read the privacy policy of the social media carefully, open an email account dedicated for social media and only provide the required personal data; ·  アカウントを登録する前に、ソーシャルメディアのプライバシーポリシーをよく読み、ソーシャルメディア専用のメールアカウントを開設し、必要な個人情報のみを提供すること。
·  Check the default settings on security or privacy of the social media, as well as the ways through which individual users may be searched on the media, with a view to minimising the disclosure of personal data and opting for the most privacy-protecting setting;  ·  ソーシャルメディアのセキュリティやプライバシーに関する初期設定、およびメディア上で個々のユーザを検索する方法を確認し、個人情報の開示を最小限に抑え、最もプライバシー保護に役立つ設定を選択します。 
·  If you do not need the location tracking function, consider turning off the function to avoid the collection of location data by the social media; ·  位置情報機能が不要な場合は、その機能をオフにして、ソーシャルメディアによる位置情報の収集を回避することを検討します。
·  Pay attention to the privacy options of contents posted and select the appropriate settings before posting the content; ·  投稿するコンテンツのプライバシーオプションに注意し、適切な設定を選択してから投稿します。
·  Before choosing any instant messaging application, pay attention to whether it provides end-to-end encryption forms of transmission to strengthen the confidentiality of transmitted data; ·  インスタントメッセージングアプリケーションを選択する前に、送信データの機密性を強化するためにエンドツーエンドの暗号化形式を提供しているかどうかに注意してください。
·  Use strong passwords and enable two-factor authentication for social media to strengthen account security; ·  アカウントのセキュリティを強化するために、強力なパスワードを使用し、ソーシャルメディアの二要素認証を有効にします。
·  Minimise the risk of credit card data leakage by avoiding transactions on social media platforms over public Wi-Fi or unsecured Wi-Fi connections; and ·  公共Wi-Fiや安全でないWi-Fi接続でのソーシャルメディアプラットフォームでの取引を避け、クレジットカード情報漏えいのリスクを最小限に抑える。
·  Parents/guardians may consider enabling parental controls to monitor their children’s use of social media and reminding them of the consequences of excessive disclosure or sharing of personal data. ·  保護者は、ペアレンタルコントロールを有効にして子供のソーシャルメディアの利用を監視し、個人データの過度の開示や共有がもたらす結果について注意を促すことを検討するとよいでしょう。

 

報告書は中国語だけですが。。。

・[PDF] 社交媒體私隱設定 大檢閱




比較表があります。。。

 

| | Comments (0)

2022.04.12

警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

こんにちは、丸山満彦です。

警察庁が、令和3年におけるサイバー空間をめぐる脅威の情勢等について、資料を公開していますね。。。

2021年に都道府県警に届けがあったランサムウェア被害は146件だったようですね。。。金銭の要求手口を確認できた被害は97件(約66%)で、そのうち二重恐喝は82件(約85%)を占めていたということです。


年間146件というのは少ないですが、これは警察に届出があったものですから実際はもっと多いとは思うのですが、実際はどのくらいの被害があったのでしょうかね。。。海外と比べるとかなり少ないようですね 。。。

※ 古いデータですが、例えば、https://www.statista.com/statistics/1246438/ransomware-attacks-by-country/

被害件数(146件)の内訳を被害企業・団体等の規模別にみると、大企業は49件、中小企業は79件であり、その規模を問わず、被害が発生していることがわかります。もちろん、母集団として中小企業の方が多いのですが、細かく分析せずにばら撒いている場合もあるので、中小企業だから狙われないというわけでもなさそうですよね。。。

 

なお、今年第26回のコンピュター犯罪に関する白浜シンポジウムのテーマはランサムウェアです。。。

 

警察庁 - サイバー空間をめぐる脅威の情勢等

・2022.04.07 [PDF] 令和3年におけるサイバー空間をめぐる脅威の情勢等について

目次的...

1 情勢概況
2 サイバー空間の脅威情勢
3 警察における取組

別 添

1 令和3年における脅威の動向
(1)
ランサムウェアの情勢と対策
ア 概要
イ 企業・団体等におけるランサムウェア被害
(ア)被害件数
(イ)特徴
ウ 企業・団体等におけるランサムウェア被害の実態
(ア)復旧等に要した期間・費用
(イ)感染経路
エ ランサムウェアと関連するリークサイトの状況
オ サイバー犯罪被害に係る企業・団体等を対象としたアンケート調査*4
(ア)テレワーク実施状況等
(イ)外部から社内ネットワークへの接続率
カ ランサムウェアへの対策
(ア)警察庁ウェブサイトにおける注意喚起
(イ)損害保険会社と連携した対策の推進
(ウ)流出したVPN製品の認証情報に係る注意喚起
(エ)医療機関を標的としたランサムウェアへの対策

(2)
フィッシング等に伴う不正送金・不正利用の情勢と対策
ア インターネットバンキングに係る不正送金事犯の発生状況
イ フィッシング等に伴う被害の実態
ウ 警察の取組

(3)
東京大会のサイバー関連対策
(4) 主なサイバー攻撃事例と警察における取組

ア サイバー攻撃事例
イ 警察における取組

2 サイバー空間の脅威情勢
(1)
サイバー空間におけるぜい弱性探索行為等の観測状況
ア センサーにおいて検知したアクセスの概況
イ 特徴的な観測

(2)
標的型メール攻撃
ア サイバーインテリジェンス情報共有ネットワーク
イ 事例

(3)
サイバー犯罪の現況
ア サイバー犯罪の検挙件数
イ 不正アクセス禁止法*14 違反
(ア)検挙件数
(イ)特徴

ウ コンピュータ・電磁的記録対象犯罪
(ア)検挙件数
(イ)特徴


 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

| | Comments (0)

金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

こんにちは、丸山満彦です。

金融庁が、「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)を公表していますね。。。

マネー・ローンダリング・テロ資金供与・拡散金融対策について、2022年3月末時点の金融庁所管事業者の対応状況や金融庁の取組み等を取りまとめた報告書を公表していますね。。。

金融庁

・2022.04.08 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)の公表について

・[PDF] 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)

目次...

はじめに(本レポートの趣旨)
第1章.我が国の金融機関等を取り巻くリスクの状況

1.我が国の金融機関等を取り巻くリスクの状況
2.我が国のマネロン事犯やその主体等の概要
3.マネロン等対策において注意すべき犯罪類型やリスク
(1) 暗号資産を使ったマネロン・テロ資金供与・拡散金融
(2) 資金決済におけるリスク
(3) 非対面決済におけるリスク
(4) デジタル技術を活用した取引時確認手法(e-KYC)におけるリスク
(5) サイバー犯罪(フィッシング詐欺、ランサムウェア)
(6) 特殊詐欺をはじめとした詐欺事案
(7) テロ資金供与リスク
(8) 地政学リスク(含む大量破壊兵器に関する拡散金融リスク)

第2章.金融機関等におけるマネロン等リスク管理態勢の現状と課題
1.業態共通の全体傾向と課題(報告徴求データの分析による全体の傾向)
2.業態別のリスクの所在と現状と課題
(1) 預金取扱金融機関
(2) 暗号資産交換業者
(3) 資金移動業者
(4) 保険会社
(5) 金融商品取引業者等
(6) 信託銀行・信託会社
(7) 貸金業者

第3章.FATF 第4次対日相互審査の結果
1.FATF 及び FATF 第4次相互審査の仕組み
(1) FATF とその仕組み
(2) 第3次対日相互審査の結果とその後の対応
(3) 第4次対日相互審査の仕組み

2.第4次対日相互審査の結果
(1) 対日審査報告書 第5章:金融機関等における予防的措置の有効性評価(IO.4)
(2) 対日審査報告書 第6章:金融機関等に対する監督の有効性評価(IO.3)

第4章.マネロン等対策に係る金融庁の取組
. ガイドラインの策定・改正
(1) 経営陣の関与・理解
(2) リスクの特定・評価
(3) 顧客管理
(4) 取引モニタリング・フィルタリング
(5) 海外送金等
(6) 輸出入取引等に係る資金の融通及び信用の供与等

. ガイドラインに関するよくあるご質問(FAQ)の策定
. 金融機関のマネロン等対策の実施状況等に係る定量・定性情報の報告徴求等
. マネロン等対策に係る態勢整備に係る期限の明示
. マネロン等対策に焦点を当てた検査の実施
. マネロン等対策に係るシステムの共同化
. 丁寧な顧客対応に係る要請(外国人対応含む)
. 省庁間での連携強化
(1) マネロン・テロ資金供与・拡散金融対策政策会議の設置
(2) 金融機関の監督省庁との検査等における連携
(3) 実質的支配者リスト制度の創設
(4) その他の省庁間での連携
(5) 日本銀行との連携

. 民間事業者との連携強化
(1) マネロン対応高度化官民連絡会
(2) 全国銀行協会 AML/CFT 態勢高度化研究会
(3) 各業界団体等に向けたアウトリーチ・研修の実施

10. 一般利用者の理解促進のための広報活動
11.FATF への貢献(相互審査以外)
(1) FATF における暗号資産を巡る議論への貢献について
(2) 「リスクベース・アプローチによる監督に関するガイダンス」について
(3) FATF におけるその他の議論
(4) 国際協力




 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2022.03.30 世界経済フォーラム 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.24 Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.08.12 米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

・2021.07.17 米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

 

 

| | Comments (0)

経済産業省 協調的なデータ利活用に向けたデータマネジメント・フレームワーク (2022.04.08)

こんにちは、丸山満彦です。

経済産業省が、「協調的なデータ利活用に向けたデータマネジメント・フレームワーク」を公表していますね。。。

 

このフレームワークでは、

  • データマネジメント=「データの属性が場におけるイベントにより変化する過程を、ライフサイクルを踏まえて管理すること」と定義
    • イベント = ライフサイクル(生成・取得、加工・利用、移転・提供、保管、廃棄)

    • 場 = 各国・地域等の法令、組織の内部規則、組織間の契約等

    • 属性 = カテゴリ、開示範囲、利用目的、データ管理主体、データ権利者等

それぞれに影響しあう関係にある3つの要素から構成されるモデルとして整理している。

3つの要素によってデータの状態が可視化

ステークホルダーの間で認識を共有しやすくなる

ステークホルダー全体での適切なデータマネジメントの実施につながる

ことを期待しているとのこと。。。

 

経済産業省

・2022.04.08 協調的なデータ利活用に向けたデータマネジメント・フレームワークを策定しました

Ver 1.0

・[PDF] 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ~データによる価値創造の信頼性確保に向けた新たなアプローチ Ver1.0

目次...

1.新たなデータマネジメントの在り方
1-1 CPSF における第 3 層(サイバー空間におけるつながり)
 1-1-1 CPSF
概論
 1-1-2 第 3 層の位置づけ

1-2
データの信頼性確保:データマネジメントの考え方の確立
1-3
本フレームワークの目的
1-4
本フレームワークの想定読者
2
.本フレームワークにおけるデータマネジメントのモデル
2-1
概要編
 2-1-1
データマネジメントのモデル化の概要
 2-1-2 リスク分析手順

2-2
詳細編
 2-2-1
モデル化(「イベント」)
 2-2-2 モデル化(「場」)
 2-2-3 モデル化(「属性」)

3
.活用方法
3-1
サプライチェーンを構成するステークホルダー間での活用
3-2
ルール間のギャップの分析
添付 A ユースケース
A-1 POS
データの分析
A-2 高齢者生活支援事業の提供
A-3 IaaS、PaaS、SaaS 等を利用してサービスを提供する例
A-4 国内で提供される IT サービスに関して、海外で開発や運用等を実施する例

添付 B イベントごとのリスクの洗い出しのイメージ
B-1
イベントごとの典型的なリスクの記載方法等
B-2 イベントごとのリスクの洗い出しのイメージ


概要

・[PDF] 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ~データによる価値創造の信頼性確保に向けた新たなアプローチの概要

 

参考

・[PDF] パブリックコメントの結果(第1回、フレームワーク本文)

・[PDF] パブリックコメントの結果(第2回、フレームワーク本文修正、ユースケース等)

産業サイバーセキュリティ研究会WG1(制度・技術・標準化)

分野横断サブワーキンググループ

「第3層:サイバー空間におけるつながり」の信頼性確保に向けたセキュリティ対策検討タスクフォース

 

 

 

| | Comments (0)

経済産業省 「産業サイバーセキュリティ研究会」から「産業界へのメッセージ」

こんにちは、丸山満彦です。

2022.04.11に第7回「産業サイバーセキュリティ研究会」が開催され、「産業界へのメッセージ」が発出されていますね。。。

さらっと、本気でやろうとすると大変な項目がありますが、まぁ、昨今のサイバー空間の状況を考えると、必要な話という感じですよね。。。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する
② 感染が確認された場合には、適時、報告・相談・対応を行う
③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する
④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ

 

経済産業省

・2022.04.11 第7回「産業サイバーセキュリティ研究会」を開催し、「産業界へのメッセージ」を発出しました


「産業界へのメッセージ」

昨今、ランサムウェアやEmotet(エモテット)と呼ばれるマルウェアを用いた攻撃をはじめ、サイバー攻撃による被害が増加傾向であることを踏まえ、改めて各企業・団体等に、組織幹部のリーダーシップの下、サイバーセキュリティ対策に取り組んでいただくよう、産業サイバーセキュリティ研究会から「産業界へのメッセージ」を発出しました。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する

  • 保有する情報資産を漏れなく把握する。
  • 不審なメールへの警戒や、機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
  • 多要素認証等により認証を強化する。
  • データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
  • サイバー攻撃を受けた際の対応について、普段から役員および職員に対して教育・訓練を行う。
  • システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備する。

② 感染が確認された場合には、適時、報告・相談・対応を行う

  • 感染拡大防止に留意するとともに、専門機関やセキュリティベンダー等へ支援を依頼しつつ、早期の業務復旧を図る。
  • サイバー攻撃者への金銭の支払いは厳に慎む。
  • Emotetの場合、取引関係者間などで感染が拡大することから、取引先を含めた関係者に状況を共有する。
  • 警察、所管省庁等への相談・報告・届出を実施する。報告義務のある事案については、正確かつ迅速に行う。

③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する

  • 自社がサイバー攻撃による被害を受けた場合、その影響は、サプライチェーン全体の事業活動や経済全体に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組む。

④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ


 

本気でやろうとすると大変な項目(でも、昨今の状況を考えると必要だろうと思います)と思ったのは、

  1. 保有する情報資産を漏れなく把握する。
  2. 機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
  3. データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
  4. システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備する。

 

IPAの調査では中小企業のサイバーセキュリティ対策はこの5年間で特に進んでいないと公表していますね。。。

中小企業に対するセキュリティ対策については、日本だけでなく、世界中で悩んでいるように思います。そんな中、「サイバーセキュリティお助け隊サービス」といったアイデアは他の国にも参考になる施策ではないかと思います。。。

まずは、安心できるサービスから始まって、中小企業側も知識がついてくれば、より自社にあったサービスを選んでいけるようになるのではないかと思うんですよね。。。そして、事業者側も中小企業のニーズが理解できるようになると思うんですよね。。。もちろん、クラウド化が進むことにより、企業側で気にしなければならないセキュリティというのは減ってくるのだろうとは思うのですが、それでもインフラはクラウド事業者に行ったとしても、自社データの保護は自らが行わなければならないわけで、、、特に事故があった場合の対応において、このサービスは良いのではないかと思っています。。。

 

IPA

・2022.03.31 プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開 ~5年間で情報セキュリティ対策の実施状況の改善はわずか~

 ・[PDF] プレスリリース全文

 

・2022.03.31 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

 ・[PDF] 調査報告書

 ・[PDF] 概要説明資料

 

サイバーセキュリティお助け隊サービス制度

経済産業省 - 鍋屋バイテック(NBK) 樹脂ねじ(PPS / 六角ナット・ワッシャ) SPS-M5-N 1袋(20個入)(直送品)

こちらが完全版です。。。

・2022.04.11 [PDF] サイバーセキュリティ対策についての産業界へのメッセージ

・2022.04.11 第7回 産業サイバーセキュリティ研究会

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.02 IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.02.24 経済産業省 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定

・2020.11.09 経済産業省が「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。

・2020.10.31 IPA サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されますね。。。

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.04.01 経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク(案)]

 

 

| | Comments (0)

2022.04.11

米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

こんにちは、丸山満彦です。米連邦政府 司法省が、ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(無力化)したと発表していますね。。。

Department of Justice

・2022.04.06 Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU)

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU) 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊
Operation Copied and Removed Malware Known as “Cyclops Blink” from the Botnet’s Command-And-Control Devices, Disrupting the GRU’s Control Over Thousands of Infected Devices Worldwide. Victims Must Take Additional Steps to Remediate the Vulnerability and Prevent Malicious Actors From Further Exploiting Unpatched Devices. ボットネットのコマンド・アンド・コントロール・デバイスから「Cyclops Blink」と呼ばれるマルウェアをコピー・除去し、GRUが世界中で感染した数千台のデバイスを制御できなくする作戦。被害者は、脆弱性を修正し、悪意ある行為者がパッチ未適用のデバイスをさらに悪用することを防止するための追加措置を講じる必要があります。
The Justice Department today announced a court-authorized operation, conducted in March 2022, to disrupt a two-tiered global botnet of thousands of infected network hardware devices under the control of a threat actor known to security researchers as Sandworm, which the U.S. government has previously attributed to the Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (the GRU). The operation copied and removed malware from vulnerable internet-connected firewall devices that Sandworm used for command and control (C2) of the underlying botnet. Although the operation did not involve access to the Sandworm malware on the thousands of underlying victim devices worldwide, referred to as “bots,” the disabling of the C2 mechanism severed those bots from the Sandworm C2 devices’ control. 司法省は本日、2022年3月に実施された裁判所公認の作戦を発表し、セキュリティ研究者の間で「サンドワーム」として知られる脅威行為者の支配下にある、数千台の感染したネットワークハードウェア機器による2層構造のグローバルボットネットを破壊したことを発表しました。この脅威は、米国政府がこれまでロシア連邦軍参謀本部主要情報局(GRU)に起因するとしてきました。この作戦では、サンドワームが基盤となるボットネットのコマンド&コントロール(C2)に使用していた脆弱なインターネット接続ファイアウォールデバイスからマルウェアをコピーして除去しています。この作戦では、「ボット」と呼ばれる世界中の被害者デバイスにあるサンドワームマルウェアにはアクセスできませんでしたが、C2メカニズムを無効にしたことで、サンドワーム C2デバイスの制御からこれらのボットを切り離すことができました。
“This court-authorized removal of malware deployed by the Russian GRU demonstrates the department’s commitment to disrupt nation-state hacking using all of the legal tools at our disposal,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “By working closely with WatchGuard and other government agencies in this country and the United Kingdom to analyze the malware and to develop detection and remediation tools, we are together showing the strength that public-private partnership brings to our country’s cybersecurity. The department remains committed to confronting and disrupting nation-state hacking, in whatever form it takes.” 司法省国家安全保障局の マシュー G. オルセン 司法次官補は、次のように述べています。「ロシア GRU が配備したマルウェアを裁判所が認可して除去したことは、あらゆる法的手段を用いて国民国家のハッキングを阻止するという司法省の取り組みを実証しています。サンドワーム の C2 メカニズムを無効にすることで、サンドワーム の C2 デバイスの制御からボットを切り離しました。ウォッチガードをはじめ、米国や英国の政府機関と緊密に協力し、マルウェアの解析や検知・修復ツールの開発を行うことで、官民パートナーシップが我が国のサイバーセキュリティにもたらす強みを示すことができました。同省は、どのような形であれ、国民国家のハッキングに立ち向かい、それを阻止することに引き続き尽力していきます。」
“Through close collaboration with WatchGuard and our law enforcement partners, we identified, disrupted and exposed yet another example of the Russian GRU’s hacking of innocent victims in the United States and around the world,” said U.S. Attorney Cindy K. Chung for the Western District of Pennsylvania. “Such activities are not only criminal but also threaten the national security of the United States and its allies. My office remains committed to working with our partners in the National Security Division, the FBI, foreign law enforcement agencies and the private sector to defend and maintain our nation’s cybersecurity.”  ペンシルバニア州西部地区の シンディー K チャン 連邦検事は、次のように述べています。「ウォッチガードと法執行機関のパートナーとの密接な協力を通じて、我々は米国および世界中の罪のない犠牲者に対するロシア GRU のハッキングの新たな例を特定し、破壊し、暴露しました。このような活動は犯罪であるばかりでなく、米国とその同盟国の国家安全保障を脅かすものです。私の部門は、国家安全保障部門、FBI、外国の法執行機関、民間部門のパートナーと協力して、わが国のサイバーセキュリティを守り維持することに引き続き尽力します。」
“This operation is an example of the FBI’s commitment to combatting cyber threats through  our unique authorities, capabilities, and coordination with our partners,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “As the lead domestic law enforcement and intelligence agency, we will continue pursuing cyber actors that threaten the national security and public safety of the American people, our private sector partners and our international partners.” FBIサイバー課のブライアン・ヴォルドラン課長補佐は、次のように述べました。「この作戦は、FBI独自の権限、能力、パートナーとの連携を通じて、サイバー脅威と戦うというFBIの決意を示す一例です。国内法執行および情報機関のリーダーとして、我々は米国民、民間セクターのパートナー、および国際的なパートナーの国家安全保障と公共の安全を脅かすサイバー行為者を引き続き追及していく」と述べています。
“The FBI prides itself on working closely with our law enforcement and private sector partners to expose criminals who hide behind their computer and launch attacks that threaten Americans’ safety, security and confidence in our digitally connected world,” said Special Agent in Charge Mike Nordwall of the FBI’s Pittsburgh Field Office. “The FBI has an unwavering commitment to combat and disrupt Russia’s efforts to gain a foothold inside U.S. and allied networks.” FBIピッツバーグ支局のマイク・ノードウォール特別捜査官は、次のように述べました。「FBIは、法執行機関や民間部門のパートナーと緊密に協力し、コンピュータの背後に隠れて、デジタルでつながった世界におけるアメリカ人の安全、安心、信頼を脅かす攻撃を行う犯罪者を暴くことを誇りにしています。FBIは、米国および同盟国のネットワーク内に足場を築こうとするロシアの取り組みに対抗し、これを阻止するために、揺るぎないコミットメントを有しています。」
On Feb. 23, the United Kingdom’s National Cyber Security Centre, the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency, the FBI and the National Security Agency released an advisory identifying the Cyclops Blink malware, which targets network devices manufactured by WatchGuard Technologies Inc. (WatchGuard) and ASUSTek Computer Inc. (ASUS). These network devices are often located on the perimeter of a victim’s computer network, thereby providing Sandworm with the potential ability to conduct malicious activities against all computers within those networks. As explained in the advisory, the malware appeared to have emerged as early as June 2019, and was the apparent successor to another Sandworm botnet called VPNFilter, which the Department of Justice disrupted through a court-authorized operation in 2018. 2月23日、英国のNational Cyber Security Centre、国土安全保障省のCybersecurity and Infrastructure Security Agency、FBI、国家安全保障局は、ウォッチガード・テクノロジー社およびエイスーステック・コンピューター (ASUS)社製のネットワーク機器を標的としているマルウェア「Cyclops Blink」についてのアドバイザリーを発表しました。これらのネットワーク機器は、被害者のコンピュータ・ネットワークの境界に配置されていることが多く、それによって、サンドワームは、これらのネットワーク内のすべてのコンピュータに対して悪意のある活動を行うことができる潜在的な能力を備えています。アドバイザリーで説明されているように、このマルウェアは早ければ2019年6月に出現したようで、2018年に司法省が裁判所公認の作戦によって破壊したVPNFilterという別のサンドワームボットネットの後継であることが明らかになりました。
The same day as the advisory, WatchGuard released detection and remediation tools for users of WatchGuard devices. The advisory and WatchGuard’s guidance both recommended that device owners deploy WatchGuard’s tools to remove any malware infection and patch their devices to the latest versions of available firmware. Later, ASUS released its own guidance to help compromised ASUS device owners mitigate the threat posed by Cyclops Blink malware. The public and private sector efforts were effective, resulting in the successful remediation of thousands of compromised devices. However, by mid-March, a majority of the originally compromised devices remained infected. ウォッチガードは勧告と同じ日に、ウォッチガードのデバイスのユーザー向けに検出および修復ツールをリリースしました。勧告とウォッチガードのガイダンスはいずれも、デバイスの所有者がウォッチガードのツールを導入してマルウェア感染を除去し、利用可能なファームウェアの最新バージョンにデバイスをパッチするよう推奨しています。その後、ASUS も独自のガイダンスを発表し、感染した ASUS デバイスの所有者が Cyclops Blink マルウェアによる脅威を軽減できるよう支援しました。このような官民の取り組みが功を奏し、感染した数千台のデバイスの修復に成功しました。しかし、3月中旬までには、感染したデバイスの大半が感染したままになっていました。
Following the initial court authorization on March 18, the department’s operation was successful in copying and removing the malware from all remaining identified C2 devices. It also closed the external management ports that Sandworm was using to access those C2 devices, as recommended in WatchGuard’s remediation guidance (a non-persistent change that the owner of an affected device can reverse through a device restart). These steps had the immediate effect of preventing Sandworm from accessing these C2 devices, thereby disrupting Sandworm’s control of the infected bot devices controlled by the remediated C2 devices. However, WatchGuard and ASUS devices that acted as bots may remain vulnerable to Sandworm if device owners do not take the WatchGuard and ASUS recommended detection and remediation steps. The department strongly encourages network defenders and device owners to review the Feb. 23 advisory and WatchGuard and ASUS releases. 3月18日の最初の裁判所認可後、同局の作戦は、残りの特定されたC2デバイスすべてからマルウェアをコピーし、除去することに成功しました。また、ウォッチガードの修復ガイダンスで推奨されているように、サンドワームがこれらのC2デバイスへのアクセスに使用していた外部管理ポートを閉鎖しました(影響を受けたデバイスの所有者がデバイスの再起動によって元に戻すことができる非持続的な変更)。これらの措置は、サンドワームがこれらのC2デバイスにアクセスするのを防ぐという直接的な効果をもたらし、それによってサンドワームが、改善されたC2デバイスによって制御される感染したボットデバイスを制御できなくすることができたのです。しかしながら、ボットとして機能した ウォッチガード および ASUS デバイスは、デバイスの所有者が ウォッチガード および ASUS が推奨する検出および修復の手順を踏まなければ、サンドワーム に対して脆弱なままである可能性があります。同局は、ネットワーク防御者とデバイス所有者に対し、2月23日の勧告とウォッチガードおよびASUSのリリースを確認するよう強く推奨しています。
The operation announced today leveraged direct communications with the Sandworm malware on the identified C2 devices and, other than collecting the underlying C2 devices’ serial numbers through an automated script and copying the C2 malware, it did not search for or collect other information from the relevant victim networks. Further, the operation did not involve any FBI communications with bot devices. 本日発表された作戦は、特定されたC2デバイス上のサンドワームマルウェアとの直接通信を活用し、自動スクリプトによって基盤となるC2デバイスのシリアル番号を収集し、C2マルウェアをコピーした以外は、関連する被害者ネットワークから他の情報を検索・収集することはありませんでした。さらに、この作戦では、FBIがボットデバイスと通信することはありませんでした。
Since prior to the Feb. 23 advisory, the FBI has been attempting to provide notice to owners of infected WatchGuard devices in the United States and, through foreign law enforcement partners, abroad. For those domestic victims whose contact information was not publicly available, the FBI has contacted providers (such as a victim’s internet service provider) and has asked those providers to provide notice to the victims.  As required by the terms of the court authorization, the FBI has provided notice to the owners of the domestic C2 devices from which the FBI copied and removed the Cyclops Blink malware. 2 月 23 日の勧告以前から、FBI は米国内および海外の法執行機関を通じて、感染した ウォッチガード 機器の所有者に通知を行うよう試みています。連絡先が公開されていない国内の被害者については、FBI がプロバイダー(被害者のインターネット・サービス・プロバイダーなど)と連絡を取り、プロバイダーに被害者への通知を行うよう要請しています。  裁判所の許可条件により要求されたとおり、FBI は、FBI が Cyclops Blink マルウェアをコピーして削除した国内 C2 デバイスの所有者に通知を行いました。
The efforts to disrupt the Cyclops Blink botnet were led by the FBI’s Pittsburgh, Atlanta and Oklahoma City Field Offices, the FBI Cyber Division, the National Security Division’s Counterintelligence and Export Control Section, and the U.S. Attorney’s Office for the Western District of Pennsylvania. Assistance was also provided by the Criminal Division’s Computer Crime and Intellectual Property Section and Office of International Affairs, as well as the U.S. Attorney’s Office for the Eastern District of California. Cyclops Blink ボットネットを破壊するための活動は、FBI のピッツバーグ、アトランタ、オクラホマシティの各フィールドオフィス、FBI サイバー部門、国家安全保障部門の防諜・輸出管理セクション、ペンシルバニア州西部地区連邦検事局によって主導されています。また、刑事部コンピュータ犯罪・知的財産課および国際課、カリフォルニア州東部地区連邦検事局も協力しています。
If you believe you have a compromised device, please contact your local FBI Field Office for assistance. The FBI continues to conduct a thorough and methodical investigation into this cyber incident. 侵入されたデバイスをお持ちの方は、最寄りのFBI支局にご連絡ください。FBIは、このサイバーインシデントについて、引き続き徹底的かつ体系的な調査を実施します。

 

・[PDF] Download EDCA Search Warrant Package

・[PDF] Download WDPA Search Warrant Package

 

GRU関係以外のものも含めて。。。

2022.04.06 ATTORNEY GENERAL MERRICK B. GARLAND ANNOUNCES ENFORCEMENT ACTIONS TO DISRUPT AND PROSECUTE RUSSIAN CRIMINAL ACTIVITY

 


 

■ 参考

 U.K. NCSC - Malware Analysis Report

・2022.02.23 [PDF] Cyclops Blink


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2021.07.02 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

 

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

 

| | Comments (0)

ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

こんにちは、丸山満彦です。

ENISAがサイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワークを公表していますね。。。いまいま段階の暫定版の位置付けで、さまざまな事例を通じてブラッシュアップしていく感じですね。。。まずは、配電網分野のIoTセキュリティ市場で試している感じです(日立も調査対象となっています)。。。

興味深いですね。。。

 

ENISA

・2022.04.08 (news) Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions

Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions 情報化されたサイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析
The European Union Agency for Cybersecurity (ENISA) introduces a framework to perform cybersecurity market analyses and dives into the market of the Internet of Things (IoT) distribution grids for validation. 欧州連合サイバーセキュリティ庁(ENISA)がサイバーセキュリティ市場分析を行うためのフレームワークを導入し、IoT(Internet of Things)配電網の市場について検証します。
What’s the objective? 目的は何ですか?
To improve market penetration, value for money, quality and acceptance of products, processes and services, performing cybersecurity market analysis has become an important tool for a variety of stakeholders. Market data is currently considered key to making informed decisions related to cybersecurity choices, on new products to be launched, policy initiatives or research and innovation funding. 製品、プロセス、サービスの市場浸透、コストパフォーマンス、品質、受容性を向上させるために、サイバーセキュリティ市場分析を行うことは、さまざまな関係者にとって重要な手段となっています。現在、市場データは、サイバーセキュリティの選択、発売される新製品、政策イニシアチブ、研究・革新資金に関する情報に基づいた意思決定を行う上で重要なものと考えられています。
The first report introduces a market analysis framework to be applied across various application areas over time.  最初の報告書では、時間をかけて様々なアプリケーション領域に適用される市場分析フレームワークを紹介しています。 
The second report analyses the IoT cybersecurity market demand and supply in the sector of electricity distribution grids across the EU. 2つ目の報告書では、EU全域の配電網の分野におけるIoTサイバーセキュリティ市場の需要と供給を分析します。
How does the framework work? フレームワークはどのように機能しますか?
The framework consists of a toolbox designed to facilitate the performance of cybersecurity market analyses. It offers a range of analysis approaches based on innovative market modelling specifically adapted to the cybersecurity market. このフレームワークは、サイバーセキュリティ市場分析のパフォーマンスを容易にするために設計されたツールボックスで構成されています。特にサイバーセキュリティ市場に適応した革新的な市場モデリングに基づいた様々な分析アプローチを提供します。
This framework can be applied to various market segments. Structured around six modules, it offers the flexibility to choose the type of the performed analysis among: このフレームワークは、様々な市場セグメントに適用することができます。6つのモジュールで構成されており、実行する分析の種類を柔軟に選択することができます。
・Market structure & segmentation; ・市場構造とセグメンテーション
・Demand-side research; ・需要側の調査
・Supply-side research including vendor market map; ・ベンダーマケットマップを含む供給側調査
・Technology research; ・テクノロジー調査
・Macro-environmental factors and ・マクロ環境要因
・Economic market characteristics. ・経済市場の特徴
Main points and foreseen next steps: 主なポイントと今後の予定
- On the framework ・フレームワークについて
Identifying the right data and the right method to perform data collection is essential if we want to avoid pitfalls such as bias. The processing techniques currently available need to be assessed and selected wisely. Moreover, the confidentiality of market data collected also raises both competition, and technical questions to be addressed. They call for the use of anonymisation, implementing security controls, etc. 偏りなどの落とし穴を避けるためには、正しいデータとデータ収集の方法を特定することが不可欠です。現在利用可能な処理技術を評価し、賢く選択する必要があります。さらに、収集した市場データの機密性についても、競争と技術的な問題の両方に対処しなければなりません。匿名化の利用、セキュリティ管理の実施などが求められています。
The framework introduces a coherent taxonomy of cybersecurity products, processes and services. This cybersecurity taxonomy has been derived from relevant work already performed within the EU. Cooperation with stakeholders that are active in classifying cybersecurity has also been taken into account (e.g. European Commission’s Joint Research Centre). このフレームワークは、サイバーセキュリティ製品、プロセス、サービスに関する首尾一貫した分類法を導入しています。このサイバーセキュリティの分類法は、EU内で既に実施された関連作業から導き出されたものです。サイバーセキュリティの分類に積極的なステークホルダーとの協力も考慮されています(例:欧州委員会の共同研究センター)。
Furthermore, Member States already started implementing cybersecurity market surveillance functions. These functions aim to check whether ICT products comply with the requirements of EU cybersecurity certificates. The development of market surveillance in Member States has been identified as a priority for ENISA today and for the years to come. The proposed cybersecurity market analysis framework may be a useful input to these efforts. さらに、加盟国はすでにサイバーセキュリティの市場監視機能の導入を開始しています。これらの機能は、ICT製品がEUのサイバーセキュリティ証明書の要件に適合しているかどうかをチェックすることを目的としています。加盟国における市場サーベイランスの発展は、現在および今後数年間のENISAの優先事項として認識されています。提案されているサイバーセキュリティ市場分析フレームワークは、こうした取り組みへの有用なインプットとなる可能性があります。
- On IoT in distribution grids ・配電網におけるIoTについて
The analysis on IoT for electricity grids reveals that the architecture of distribution grids is undergoing some major changes. Flexible and dynamically configured bi-directional power flows are gradually replacing traditional, one-way transmission electricity grids. The digital transformation of electricity grids will imply investing in digitalised components. However, this digitalisation will in turn lead to more cyber threat exposure by adversaries, such as State or non-State actors. 電力系統のIoT化に関する分析から、配電網のアーキテクチャが大きく変化していることが明らかになりました。柔軟で動的に構成された双方向の電力フローが、従来の一方通行の送電電力網に徐々に取って代わりつつあります。電力網のデジタル化は、デジタル化されたコンポーネントへの投資を意味します。しかし、このようなデジタル化は、国家や非国家主体などの敵対者によるサイバー脅威のさらなる露出を招くことになります。
The report on IoT serves as a proof of concept of the initial cybersecurity market analysis framework published herewith. Part of the objective of this report was to validate the applicability of the proposed framework. With the support of the Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market established by ENISA in 2021, the Agency will conduct additional cybersecurity market analyses to further develop the framework. IoTに関する本レポートは、今回発表したサイバーセキュリティ市場分析の初期フレームワークの概念実証の役割を担っています。本報告書の目的の一つは、提案したフレームワークの適用可能性を検証することでした。2021年にENISAが設立したEUサイバーセキュリティ市場に関するアドホック・ワーキング・グループ(AHWG)の支援を受け、同庁は追加のサイバーセキュリティ市場分析を行い、枠組みをさらに発展させる予定です。
What’s the legal base? 法的根拠は?
The Cybersecurity Act (CSA) foresees the assessment of market developments, inter alia in the context of certification. Because certification is intended to improve the functioning of the internal market, performing the analysis of market trends both on the demand and on the supply sides helps ensuring market-enforcing certification efforts. Within this context, market analysis will therefore contribute to reducing the fragmentation of the EU internal market, an objective provided for by the CSA. サイバーセキュリティ法(CSA)は、特に認証の文脈で市場の発展を評価することを予見しています。認証は域内市場の機能を向上させることを目的としているため、需要側と供給側の両方で市場動向の分析を行うことは、市場強制力のある認証努力を保証するのに役立ちます。このような背景から、市場分析は、CSAが定める目的であるEU域内市場の断片化の抑制に貢献することになります。
Target audience 想定読者
・EU institutions, bodies and Agencies (EUIBAs); ・EUの機関、団体、機関(EUIBAs)。
・Member States/public authorities (e.g. Cybersecurity Authorities); ・加盟国/公的機関(サイバーセキュリティ当局など)。
・ENISA stakeholder groups (e.g. ENISA Advisory Group); ・ENISAのステークホルダー・グループ(例:ENISAアドバイザリー・グループ)。
・Further relevant stakeholder groups (e.g. ECCG, SCCG, NLOs) ・その他の関連するステークホルダー・グループ(例:ECCG、SCCG、NLOs)
・Industry and industry associations (Ecosystem of Certification, EU TIC Council, vendors / manufacturers, ECSO); ・業界および業界団体(認証のエコシステム、EU TIC協議会、ベンダー/メーカー、ECSO)。
・Research institutions and research related entities and ・研究機関および研究関連団体
・Consumer organisations/associations. ・消費者団体・協会
Further information その他の情報
ENISA Cybersecurity Market Analysis Framework ENISAサイバーセキュリティ市場分析フレームワーク
EU Cybersecurity Market Analysis – IoT in Distribution Grids EUサイバーセキュリティ市場分析 - 配電網におけるIoT

 

 

・2022.04.08 ENISA Cybersecurity Market Analysis Framework (ECSMAF)

ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISAの活動の基礎となるものです。EUサイバーセキュリティ市場の分析をどのように行うかについての「料理本」としてサイバーセキュリティ市場分析のフレームワークを提示します。

・[PDF

EXECUTIVE SUMMARY  エグゼクティブサマリー 
In 2021, in its efforts to contribute to the achievement of its objectives as defined in the Cybersecurity Act (CSA)1 and to the implementation of the ENISA Single Programming Document5, ENISA has kicked-off a series of activities in the area of cybersecurity market analysis.   2021年、サイバーセキュリティ法(CSA) で定義された目的の達成と ENISA 単一計画文書5 の実施に貢献する取り組みとして、ENISA はサイバーセキュリティ市場分析の分野で一連の活動を開始しました。
Analysing how well cybersecurity products, services and processes succeed in the market is a key step in understanding how to improve their market diffusion, importance, quality and acceptance. Though cybersecurity has been considered in the past within market analysis efforts, the customisation and scoping of cybersecurity market analyses is still at low levels of maturity. Moreover, market data on cybersecurity products, services and processes are scarcely taken into account in the cybersecurity development life-cycle, e.g. within decision-making processes for the launching and development of cybersecurity initiatives, product ideas, policy actions, research funding, and deployments. By initiating this activity, ENISA delivers an important contribution towards a more targeted, market-driven decision-making process for the conception, launching and maintenance of cybersecurity products, services and processes within the EU.  サイバーセキュリティ製品、サービス、プロセスが市場でどの程度成功しているかを分析することは、市場での普及、重要性、品質、受容性を向上させる方法を理解する上で重要なステップです。過去にも市場分析においてサイバーセキュリティは考慮されてきましたが、サイバーセキュリティの市場分析のカスタマイズやスコープ設定はまだ成熟度が低いのが現状です。さらに、サイバーセキュリティ製品、サービス、プロセスに関する市場データは、サイバーセキュリティの開発ライフサイクル、例えば、サイバーセキュリティのイニシアティブ、製品アイデア、政策行動、研究資金、配備の開始と開発のための意思決定プロセスにおいて、ほとんど考慮されていません。この活動を開始することにより、ENISAは、EU域内のサイバーセキュリティ製品、サービス、プロセスの構想、立ち上げ、維持のための、より的を絞った、市場主導型の意思決定プロセスに向けて重要な貢献をすることになります。
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market:  この文書は、EUのサイバーセキュリティ市場を分析するENISAの活動の基礎となるものです。
it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed and be:  この文書は、サイバーセキュリティ市場分析のフレームワークを、EUのサイバーセキュリティ市場分析がどのように実行され、どのようになるかの「料理本」として提示するものです。
•        More transparent: the fact that analysis method, parametrization, cybersecurity value chain, market trends and market stakeholders are fixed, leads to a more transparency as regards the results of the analysis.  ・透明性の向上:分析方法,パラメトリック,サイバーセキュリティのバリューチェーン,市場動向,市場関係者が固定されているため,分析結果の透明性が向上します。
•        More comparable: by having set both the content of various components and the steps of the analysis process, the achieved results are more comparable, and thus reusable among various analyses performed.  ・比較可能性:さまざまなコンポーネントの内容と分析プロセスのステップの両方が設定されているため,達成された結果はより比較可能であり,したがって実行されたさまざまな分析間で再利用可能です。
•        More targeted towards specific cybersecurity value chains: the availability of a standard taxonomy of cybersecurity value chains, allows for more targeted analysis with regard to specific cybersecurity areas, products, services and processes.   ・特定のサイバーセキュリティバリューチェーンにより的を絞る: サイバーセキュリティバリューチェーンの標準的な分類法が利用できるため,特定のサイバーセキュリティ分野,製品,サービス,プロセスに関して,より的を絞った分析が可能になります。
•        More customizable towards technology and market trends: the possibility to customize an analysis according to various trends, allows for consideration of market dynamics by means for forecasts, market gaps and market niches.  ・技術や市場のトレンドに対してよりカスタマイズが可能:さまざまなトレンドに応じて分析をカスタマイズできるため,予測,市場ギャップ,市場ニッチなどの手段で市場のダイナミクスを考慮することができる。
•        More agile: the inherent flexibility of setting market analysis foci and adapting accordingly the performed analysis process, increases agility of the proposed market analysis method.  ・市場分析の焦点の設定や分析プロセスの柔軟性により,提案する市場分析手法の俊敏性を高めることができる。
•        More comprehensive: the inclusion of all possible variables, criteria and contextual information on cybersecurity, as well as requirements and dependencies both from the supply and the demand sides, increases the comprehensiveness of the proposed market analysis method.  ・より包括的に:サイバーセキュリティに関するすべての可能な変数,基準,文脈情報,および供給側と需要側の両方からの要件と依存関係を含めることで,提案する市場分析手法の包括性が高まります。
•        More coherence: the use of the framework to perform market analyses facilitates information exchanges among specific market analysis reports by means of re-usability and coherence of created/maintained market information (both raw market data and analysis results).  ・一貫性の向上:市場分析を行うためにフレームワークを使用することで、作成/維持された市場情報(生の市場データと分析結果の両方)の再利用性と一貫性により、特定の市場分析レポート間の情報交換が容易になります。
The framework presented in this report is at its initial development phase. With increasing performance of cybersecurity market analyses, but also with interactions with stakeholders, ENISA will continuously develop, update and maintain the current framework to increase its efficiency and practicability. To this extent, it constitutes rather the starting point of a journey than a destination. 本報告書で紹介するフレームワークは、まだ開発の初期段階です。サイバーセキュリティ市場分析の実績が増えるにつれ、また利害関係者との相互作用により、ENISAは現行の枠組みを継続的に開発、更新、維持し、その効率と実用性を高めていく予定です。この限りにおいて、本報告書は目的地というよりもむしろ旅の出発点となるものです。

[1] https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32019R0881&from=EN, accessed November 2021.

 

目次...

1. INTRODUCTION 1. イントロダクション
1.1 POLICY CONTEXT 1.1 政策の背景
1.2 PURPOSE, OBJECTIVES AND SCOPE 1.2 目的、目標、範囲
1.3 TARGET AUDIENCE 1.3 想定読者
1.4 STRUCTURE OF THE REPORT 1.4 報告書の構成
2. CONTENT OF THE ENISA CYBERSECURITY MARKET ANALYSIS  FRAMEWORK (ECSMAF)
2. ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAP)の内容
2.1 LOGICAL BLOCKS/MODULES OF ECSMAF 2.1 ecsmafの論理ブロック/モジュール
2.1.1 Market structure and segmentation 2.1.1 市場の構造とセグメンテーション
2.1.2 Demand-side research 2.1.2 需要側の調査
2.1.3 Supply-side research 2.1.3 供給側調査
2.1.4 Technology research 2.1.4 技術研究
2.1.5 Macro-Environmental Factors and Economic Market Characteristics 2.1.5 マクロ環境因子と経済市場の特性
2.2 CONTEXTUALIZED ECSMAF COMPONENTS 2.2 コンテキスト化されたECSMAPの構成要素
2.2.1 Scoping the analysis and ECSMAF parametrization 2.2.1 分析のスコープとECSMAFのパラメトリゼーション
2.2.2 Cybersecurity market taxonomy 2.2.2 サイバーセキュリティ市場の分類法
2.2.3 Cybersecurity market trends 2.2.3 サイバーセキュリティ市場の動向
2.2.4 Market stakeholder types 2.2.4 市場のステークホルダーの種類
2.2.5 Methods for collecting market data 2.2.5 市場データの収集方法
3. RELATED AREAS 3. 関連する分野
4. ISSUES, CONSIDERATIONS, CONCLUSIONS 4. 問題点、考察、結論
4.1 GENERAL REMARKS 4.1 総論
4.2 OPEN ISSUES AND WAYS FORWARD 4.2 未解決の問題および今後の進め方
A ANNEX: EXAMPLES 附属書A:事例
A.1 EXAMPLES OF MARKET STRUCTURE AND SEGMENTATION A.1 市場構造とセグメンテーションの例
A.2 EXAMPLES OF DEMAND-SIDE RESEARCH A.2 需要側の研究例
A.3 EXAMPLES OF SUPPLY-SIDE RESEARCH A.3 供給側の調査例
A.3.1 Example of Market Map A.3.1 市場マップの例
A.4 EXAMPLES OF TECHNOLOGY RESEARCH A.4 テクノロジー調査の例
A.4.1 Example of Scenarios and Technology Map A.4.1 シナリオとテクノロジーマップの例
A.4.2 Example of market adoption forecast A.4.2 市場導入予測例
A.5 EXAMPLES OF MACRO-ENVIRONMENTAL FACTORS AND ECONOMIC MARKET CHARACTERISTICS A.5 マクロ環境要因と経済市場の特性に関する例
B MAIN ABBREVIATIONS B 主な略語

 

 

・2022.04.08 EU Cybersecurity Market Analysis - IoT in Distribution Grid

EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. Tt provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本レポートでは、配電網におけるIoTサイバーセキュリティの需要と供給について分析しています。今後、この市場がどのように発展していくかについて、詳細な示唆を与えています。本レポートで提供する結論は、想定される範囲に関連するものであり、したがってスマートグリッドインフラ全体に関して網羅的なものではありません。

 

・[PDF]

 

エグゼクティブサマリー・・・

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Due to increasing digital transformation across various sectors, cybersecurity is now at the forefront for many organisations. This trend has been further reinforced by the continuous development of relevant EU legislative and policy frameworks, such as the Network and Information Security (NIS) Directive[1], the EU Cybersecurity Act (CSA)[2] and the Digital Single Market Strategy3 様々な分野でデジタルトランスフォーメーションが進んでいるため、サイバーセキュリティは多くの組織にとって最重要課題となっています。この傾向は、ネットワークと情報セキュリティ(NIS)指令[1]、EUサイバーセキュリティ法(CSA)[2]、デジタル単一市場戦略3など、関連するEU立法や政策の枠組みが継続的に発展していることによってさらに強まっています。
The NIS Directive represents the first EU-wide legislation on cybersecurity. Its objective is to achieve a high common level of cybersecurity across all national ‘Operators of Essential Service’ (OES). The identified OESs include various industries, such as energy, transport and water distribution. The energy infrastructure is one of the most complex and, at the same time, critical infrastructures that other business sectors depend upon to deliver essential services. Therefore, unavailability in supply of energy may potentially have high impact on economy and society. A potential disruption for a long period of time can cause a disfunctions in society, industry and trade by even affecting the gross domestic product (GDP). As will be outlined in this study, the NIS Directive has important implications for numerous organisations, including those managing the electrical grid in the Member States. The ability for organisations to ensure the cybersecurity of power supply is of fundamental value for the functioning of Member States and the every-day lives of European citizens. As such, successful cyber-attacks may have a devastating impact on the performance of power grids. By way of example, the 2015 cyberattack in Ukraine[3][4] cut the electricity of 225,000 households, damaged industrial control systems, and resulted in lasting operational implications on the electricity grid for several weeks.  NIS指令は、サイバーセキュリティに関する最初のEU全体の法律です。その目的は、すべての国の「重要サービス事業者」(OES)に対して、高い共通レベルのサイバーセキュリティを実現することです。特定されたOESには、エネルギー、輸送、配水など、さまざまな産業が含まれます。エネルギーインフラは、最も複雑であると同時に、他の事業部門が不可欠なサービスを提供するために依存している重要なインフラの一つです。そのため、エネルギーが供給されないと、経済や社会に大きな影響を与える可能性があります。長期にわたる供給停止は、社会、産業、貿易に混乱をもたらし、国内総生産(GDP)にまで影響を及ぼす可能性があります。本研究で概説するように、NIS指令は、加盟国の電力網を管理する組織を含む多くの組織にとって重要な意味を持っています。電力供給のサイバーセキュリティを確保する組織の能力は、加盟国の機能と欧州市民の日常生活にとって基本的な価値を持つものです。そのため、サイバー攻撃が成功すれば、電力網の性能に壊滅的な影響を与える可能性があります。例として、2015年にウクライナで発生したサイバー攻撃[3][4]は、22万5000世帯の電力をカットし、産業用制御システムにダメージを与え、数週間にわたって電力網に持続的な運用上の影響を与える結果となりました。
Meanwhile, it must be noted that the electricity industry is undergoing a radical transformation, driven by political, economic, social, and environmental factors, as well as by the increased digitalisation through the adoption of new technologies and new market entrants. Considering the recent policy developments on IoT cybersecurity5, one could reasonably state that IoT technologies are increasingly at the forefront of this transformation. Be that as it may, as organisations continue to digitalise their operations and improve the flexibility of the grid to accommodate renewable energy sources, their attack surface has increased. Vulnerable (interconnected) IoT devices[5] can be accessed by malicious actors, resulting in stolen information or malicious activities that could cause disruptions to the safe operation of energy assets, causing potential harm to individuals, organisations, or Member States.  一方、電力業界は、政治的、経済的、社会的、環境的要因に加え、新技術の採用や新規市場参入によるデジタル化の進展により、急激な変革期を迎えていることに留意する必要があります。IoTサイバーセキュリティに関する最近の政策展開5を考慮すると、IoT技術がこの変革の最前線にますます近づいていると合理的に言うことができます。それはともかく、組織が業務のデジタル化を進め、再生可能エネルギー源に対応するためにグリッドの柔軟性を向上させるにつれ、その攻撃対象は増加しています。脆弱な(相互接続された)IoTデバイス[5]は、悪意のある行為者によってアクセスされ、その結果、情報が盗まれたり、エネルギー資産の安全な運用を妨害する悪質な行為が行われたりし、個人、組織、加盟国に損害を与える可能性があるのです。
In accordance with its mandate under the CSA, ENISA observes and analyses the cybersecurity market in the European Union. It is within this context that ENISA delivers this report which aims at analysing the IoT cybersecurity market in distribution grids in the European Union. This analysis has been conducted as a proof of concept (PoC) of the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF) developed by the Agency in 2021 and published in April 2022[6].  CSAに基づく職務権限に従い、ENISAは欧州連合におけるサイバーセキュリティ市場を観察し分析しています。ENISAが、欧州連合の配電網におけるIoTサイバーセキュリティ市場の分析を目的とした本レポートを提供するのは、このような背景のためです。本分析は、2021年に同庁が開発し、2022年4月に公表したENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)の初期バージョンの概念実証(PoC)として実施されたものです[6]。
As described in ENISA Cybersecurity Market Analysis Framework (ECSMAF), the scoping is key for the success of the analysis. The decision to conduct an analysis focused on IoT cybersecurity market in distribution grids was made by taking into account a variety of scoping criteria such as: level of adoption of IoT in the smart grid, size of the relevant market, reported level of exposure to cyberthreats, assumed added value of the analysis for the stakeholders, but also available project resources.  ENISA Cybersecurity Market Analysis Framework (ECSMAF)にあるように、分析の成功にはスコーピングが重要です。配電網におけるIoTサイバーセキュリティ市場に焦点を当てた分析を実施する決定は、スマートグリッドにおけるIoTの導入レベル、関連市場の規模、サイバー脅威への暴露の報告レベル、関係者に対する分析の想定付加価値、さらには利用できるプロジェクトリソースなどの様々なスコーピング基準を考慮することによって行われました。
This report analyses demand and supply of IoT cybersecurity in distribution grids. Furthermore, it provides detailed indications on how this market might further develop in the future. That being said, the conclusions provided in the report are related to the envisaged scope, being thus nonexhaustive with regard to the entire smart-grid infrastructure. Moreover, in the frame of available resources, the analysis is based on existing market data delivered by a contractor. While they constitute a good sample to assess international market dynamics, trends and characteristics, they do not encompass the complete picture of the EU IoT cybersecurity market. This can be achieved in prospective, more targeted analyses of this market segment.  本レポートでは、配電網におけるIoTサイバーセキュリティの需要と供給について分析しています。さらに、この市場が今後どのようにさらに発展していくかについて、詳細な示唆を与えています。とはいえ、本レポートで提供する結論は、想定される範囲に関連するものであり、スマートグリッドのインフラ全体に関しては非網羅的なものとなっています。さらに、利用可能なリソースの枠内で、分析は請負業者によって提供された既存の市場データに基づいています。これらは、国際市場のダイナミクス、トレンド、特性を評価するための良いサンプルとなりますが、EUのIoTサイバーセキュリティ市場の全体像を網羅するものではありません。これは、この市場セグメントについて、より対象を絞った前向きな分析で達成することができます。
The research that was conducted resulted in the following highlights:  実施された調査の結果、以下の概要が得られました。
•        IoT cybersecurity spending within the distribution grids of the EU-27 is mainly driven by the adoption of electricity “smart” meters.  ・EU-27の配電網内のIoTサイバーセキュリティ支出は、主に電力の「スマート」メーターの採用によってもたらされています。
•        From 2025 to 2030, the IoT cybersecurity market related to smart meters is expected to be mainly driven by Operational Expenditures (OPEX) rather than Capital Expenditures (CAPEX). In practice, this means that more capital is expected to be spent for the maintenance of IoT cybersecurity (such as maintenance of security software installed in IoT devices, e.g. software patches) than for the purchase of new cybersecurity hardware or software.  ・2025年から2030年にかけて、スマートメーターに関連するIoTサイバーセキュリティ市場は、主に資本支出(CAPEX)よりも運用支出(OPEX)により牽引されると予想されます。これは、実際には、サイバーセキュリティのハードウェアやソフトウェアの新規購入よりも、IoTサイバーセキュリティの保守(IoT機器にインストールされたセキュリティソフトウェアの保守、例えばソフトウェアパッチなど)に多くの資本が使われることが予想されることを意味します。
•        Analysis indicates that there are no IoT monopolies. Nonetheless, organisations tend to favour larger IoT vendors that possess the necessary capabilities to cover a wide spectrum of requirements, limiting the space for market entry of smaller organisations in consequence.  ・分析によると,IoTの独占は存在しません。しかし,組織は、幅広い要件に対応するために必要な能力を有する大規模なIoTベンダーを好む傾向があり、その結果、小規模な組織の市場参入の余地が制限されることになります。
•        There are four main archetypes of suppliers within the IoT cybersecurity market, these being: multi-domain industrial assets vendors, multi-domain IT vendors, specialist IoT vendors, and IoT cybersecurity specialist vendors.   ・IoTサイバーセキュリティ市場には、マルチドメイン産業資産ベンダー、マルチドメインITベンダー、IoT専門ベンダーおよびIoTサイバーセキュリティ専門ベンダーの4種類の主要な供給者が存在します。
•        The above-mentioned archetypes exhibit different competitive dynamics, i.e., focussing on a particular market segment vs. diversification.  ・これらのタイプは、特定の市場セグメントへの注力と多様化という異なる競争力学を示しています。
•        The increase of demand for cybersecurity tools and services to improve its IoT cybersecurity capabilities, represents one of the main trends by the energy industry.  ・IoTサイバーセキュリティ能力を向上させるためのサイバーセキュリティツールおよびサービスに対する需要の増加は、エネルギー産業による主要なトレンドの1つを表しています。
•        Embedded cybersecurity into IoT infrastructure and IoT management platforms represents one of the trends on the supply-side portfolios.  ・IoTインフラとIoT管理プラットフォームへのサイバーセキュリティの組み込みは、供給側ポートフォリオのトレンドの1つを表しています。
•        There are multiple technological development trends in the IoT cybersecurity market. Among these, cyber-physical system security and operational technology security are expected to materialize in the short term.  ・IoTサイバーセキュリティ市場には複数の技術開発トレンドが存在します。このうち短期的にはサイバーフィジカルシステムセキュリティと運用技術セキュリティが具体化すると予想されます。

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN, accessed 20 September 2021.

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0881&from=ENCKD 部品(スーパーマイクロシリンダ用(ピストンロッド組立)) SCM-O-63D-28 SCM-O-63D-289-PST-ROD-ASSY(直送品)accessed 20 September 2021. 3 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015DC0192&from=EN, accessed 20 September 2021.

[3] https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/, accessed December 2021. 5 See for instance, EU's Cybersecurity Strategy for the Digital Decade, JOIN/2020/18 final, https://eur-lex.europa.eu/legalcontent/EN/ALL/?uri=JOIN:2020:18:FIN (see in particular Section 1.5 An Internet of Secure Things), accessed 13 January

[4] ; Council Conclusions on the cybersecurity of connected devices, 2 December 2020, 13629/20, https://data.consilium.europa.eu/doc/document/ST-13629-2020-INIT/en/pdf, accessed 13 January 2022; Commission Delegated Regulation of 29.10.2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM%3AC%282021%297672&qid=1638116539090, accessed 13 January 2022. For an overview on European Commission policy on IoT, see https://digitalstrategy.ec.europa.eu/en/policies/secure-internet-things, accessed 13 January 2022.

[5] In this report "IoT" and "connected devices" are used as synonymous.

 

目次・・・

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. イントロダクション
1.1 SCOPING AND SELECTED THE FOCUS OF THE REPORT: IOT CYBERSECURITY IN DISTRIBUTION  GRIDS 1.1 スコープと報告書の焦点の選択:配電網におけるiotサイバーセキュリティ
1.2 SPECIFICITIES OF THIS MARKET ANALYSIS 1.2 この市場分析の特異性
1.3 STRUCTURE OF THE REPORT 1.3 レポートの構成
1.4 DATA COLLECTION 1.4 データ収集
1.5 BACKGROUND: A CHANGING LANDSCAPE IN THE ELECTRICITY INDUSTRY 1.5 背景:電力業界を取り巻く環境の変化
2. MARKET STRUCTURE 2. 市場構造
2.1 INTRODUCTION TO THE MARKET STRUCTURE 2.1 市場構造の紹介
2.2 RESEARCH QUESTIONS 2.2 調査クエスチョン
2.3 KEY ASSETS OF THE ELECTRICITY GRIDS FROM AN IOT PERSPECTIVE: SMART TRANSFORMERS  AND SMART METERS 2.3 iotの観点から見た電力網の主要資産:スマート変圧器とスマートメーター
2.4 COVERED GEOGRAPHIES 2.4 対象地域
2.5 IOT CYBERSECURITY MARKET IN DISTRIBUTION GRIDS IN EU-27 2.5 EU-27の配電網におけるiotサイバーセキュリティ市場
2.5.1 IoT cybersecurity market of smart transformers 2.5.1 スマート変圧器のIoTサイバーセキュリティ市場
2.5.2 IoT cybersecurity market of smart electricity meters 2.5.2 スマート電力計のIoTサイバーセキュリティ市場
2.5.3 IoT cybersecurity market: aggregated results 2.5.3 IoTサイバーセキュリティ市場:集計結果
3. DEMAND-SIDE RESEARCH 3. 需要側調査
3.1 INTRODUCTION TO THE DEMAND-SIDE RESEARCH SECTION 3.1 需要側調査セクションの紹介
3.2 RESEARCH QUESTIONS FOR THE DEMAND-SIDE 3.2 需要側の調査クエスチョン
3.3 METHODOLOGY OF THE DEMAND-SIDE RESEARCH 3.3 需要側調査の方法論
3.4 MARKET TRENDS ON THE DEMAND-SIDE 3.4 需要側の市場動向
4. SUPPLY-SIDE RESEARCH 4. 供給側調査
4.1 INTRODUCTION TO THE SUPPLY-SIDE ANALYSIS 4.1 供給側分析への導入
4.2 RESEARCH QUESTIONS FOR THE SUPPLY-SIDE ANALYSIS 4.2 供給側分析のための調査クエスチョン
4.3 METHODOLOGY OF THE SUPPLY-SIDE ANALYSIS 4.3 供給側分析の方法論
4.4 ARCHETYPES OF SUPPLIERS 4.4 供給者のアーキタイプ
4.4.1 Multi-domain industrial assets vendors 4.4.1 マルチドメイン産業資産ベンダー
4.4.2 Multi-domain IT vendors 4.4.2 マルチドメインITベンダー
4.4.3 Specialist IoT vendors 4.4.3 IoT専門ベンダー
4.4.4 IoT Cybersecurity specialist vendors 4.4.4 IoTサイバーセキュリティ専門ベンダー
4.5 PROFILES OF REPRESENTATIVE MARKET PLAYERS 4.5 代表的な市場プレイヤーのプロフィール
4.5.1 General Electric 4.5.1 ゼネラル・エレクトリック
4.5.2 Hitachi ABB Power Grids 4.5.2 日立ABBパワーグリッド
4.5.3 Microsoft 4.5.3 マイクロソフト
4.5.4 Oracle 4.5.4 オラクル
4.5.5 CloudPlugs 4.5.5 クラウドプラッグス
4.5.6 Telit 4.5.6 テリット
4.5.7 Nozomi Networks 4.5.7 のぞみネットワークス
4.5.8 Radiflow 4.5.8 ラジフロー
4.6 VENDORS IN SCOPE FOR THE ANALYSIS 4.6 分析対象ベンダー
4.7 MARKET TRENDS ON THE SUPPLY-SIDE 4.7 供給側の市場動向
5. TECHNOLOGY RESEARCH 5. 技術調査
5.1 INTRODUCTION TO THE TECHNOLOGY RESEARCH SECTION 5.1 技術調査セクションの紹介
5.2 RESEARCH QUESTIONS ON TECHNOLOGY 5.2 技術に関する調査の質問
5.3 METHODOLOGY OF TECHNOLOGY ANALYSIS 5.3 技術分析の方法論
5.4 IOT CYBERSECURITY TECHNOLOGY TRENDS IN DISTRIBUTION GRIDS 5.4 配電網におけるIoTサイバーセキュリティの技術動向
5.4.1 Cyber-physical system security 5.4.1 サイバーフィジカルシステムのセキュリティ
5.4.2 Operational Technology security 5.4.2 運用技術のセキュリティ
5.4.3 Positioning, Navigation, and Timing (PNT) security 5.4.3 PNT(ポジショニング・ナビゲーション・タイミング)セキュリティ
5.4.4 Digital Risk Protection Services 5.4.4 デジタルリスクプロテクションサービス
5.4.5 Homomorphic Encryption 5.4.5 ホモモーフィック・エンクリプション
6. MACRO-ENVIRONMENTAL FACTORS 6. マクロ環境要因
6.1 INTRODUCTION TO THE MACRO-ENVIRONMENTAL FACTORS SECTION 6.1 マクロ環境要因セクションの紹介
6.2 RESEARCH QUESTIONS 6.2 調査クエスチョン
6.3 METHODOLOGY OF ANALYSIS 6.3 分析の方法論
6.4 MACRO-ECONOMIC FACTORS OF THE IOT CYBERSECURITY MARKET 6.4 IoTサイバーセキュリティ市場のマクロ経済的要因
6.4.1 Accelerated electrification of vehicles in EU 6.4.1 EUで加速する自動車の電動化
6.4.2 Aftermath of the COVID-19 pandemic 6.4.2 COVID-19のパンデミックの余波
6.4.3 Available green bonds and government funding for energy transformation 6.4.3 エネルギー転換のためのグリーンボンドや政府資金が利用可能
6.4.4 Limited workforce to execute on grid digitalisation 6.4.4 グリッドのデジタル化を実行するための限られた労働力
6.4.5 Accelerated growth in electricity consumption because of global warming 6.4.5 地球温暖化により加速する電力消費量の増加
6.4.6 Relevant legal framework of IoT cybersecurity in distribution grids 6.4.6 配電網におけるIoTサイバーセキュリティの関連する法的枠組み
7. CONCLUSIONS 7. 結論
7.1 MAIN FINDINGS 7.1 主な調査結果
7.2 WAYS FORWARD 7.2 今後の進め方
A ANNEX: COVERED IOT CYBERSECURITY MARKET SEGMENT 附属書A:対象となるIoTサイバーセキュリティの市場セグメント
B ANNEX: ACRONYM TABLE 附属書B:頭字語表

| | Comments (0)

2022.04.10

NISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点

こんにちは、丸山満彦です。

NISTがNISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点が公表されていますね。。。

NIST - ITL

・2022.04.07 NISTIR 8419 Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives

NISTIR 8419 Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives NISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点
Abstract 概要
As supply chains become more complex and the origins of products become harder to discern, efforts are emerging that improve traceability of goods by exchanging traceability data records using blockchain and related technologies. This NIST NCCoE publication explores the issues that surround traceability, the role that blockchain and related technologies may be able to play to improve traceability, and several case studies in use today. サプライチェーンが複雑化し、商品の原産地が判別しにくくなる中、ブロックチェーンや関連技術を利用してトレーサビリティデータの記録を交換し、商品のトレーサビリティを向上させる取り組みが始まっています。本NIST NCCoE出版物では、トレーサビリティを取り巻く問題、ブロックチェーンや関連技術がトレーサビリティの改善に果たすことのできる役割、そして現在利用されているいくつかのケーススタディについて解説しています。

 

想定読者としては、以下の人がそ想定されているようです。。。

  • 製造業企業
  • 政府等の規制機関
  • 標準化団体
  • 学術研究者
  • 製品の消費者
  • 製造工場、公益事業、その他国家重要インフラの要素で利用される産業制御システム(ICS)を含む運用技術(OT)のサプライチェーンにおける利害関係者
    • OTを設計または実装するシステムエンジニア、インテグレーター、およびアーキテクト
    • OTを管理または保護する管理者、エンジニア、その他の情報技術(IT)専門家
    • OTのセキュリティを評価またはテストするセキュリティアナリスト
    • OTサイバーセキュリティの責任者やOTの中断による運用への影響を軽減する責任者など、OTに責任を持つ産業界の管理者
    • OTのユニークなセキュリティ面を理解するための研究者・アナリスト
    • OTまたはOT関連製品を開発する技術・業界サプライヤー

 

・[PDF] NISTIR 8419

 

目次...

1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Target audience 1.3 想定読者
1.4 Foundational practices 1.4 基礎的な実践
1.5 Relationship to other programs and publications 1.5 他のプログラムおよび発行文書との関係
1.6 Methodology overview 1.6 メソドロジーの概要
1.7 Summary of insights 1.7 洞察のまとめ
1.8 Organization of this paper 1.8 本文書の構成
2 Manufacturing Supply Chain Overview and Imperatives 2 製造業のサプライチェーンの概要と必要条件
2.1 Introduction 2.1 はじめに
2.2 Supply chain risk 2.2 サプライチェーンリスク
2.3 Relevant NIST Special Publications 2.3 関連するNISTの特別発行文書
2.4 Product provenance and pedigree 2.4 製品の出所とペディグリー
2.5 Ecosystem perspective 2.5 エコシステムの視点
2.6 Industrial control system example 2.6 産業用制御システムの例
2.7 Traceability challenges 2.7 トレーサビリティの課題
2.8 Decentralized information sharing 2.8 非中央集権的な情報共有
3 Traceability 3 トレーサビリティ
3.1 Potential benefits of improved traceability 3.1 トレーサビリティの向上がもたらす潜在的な利益
3.2 Applicable domains 3.2 適用可能なドメイン
3.3 Metrics 3.3 メトリクス
4 Technologies Supporting Traceability 4 トレーサビリティを支える技術
4.1 Blockchain 4.1 ブロックチェーン
4.2 Cyber-physical anchors 4.2 サイバーフィジカルアンカー
4.3 Other technologies 4.3 その他の技術
4.4 Summary 4.4 まとめ
5 Considerations for Adoption of Blockchain 5 ブロックチェーン導入のための検討事項
5.1 Metrics 5.1 メトリクス
5.2 Information exchange standards 5.2 情報交換の標準
5.3 Minimum viable ecosystem 5.3 最小限のエコシステム
5.4 Multiple blockchains 5.4 複数のブロックチェーン
5.5 Intellectual property 5.5 知的財産
5.6 Privacy 5.6 プライバシー
5.7 Identity for supply chain partners 5.7 サプライチェーンパートナーのアイデンティティ
6 Industry Case Studies & Analysis 6 業界の事例と分析
6.1 From Field to Fork 6.1 フィールドからフォークまで
6.2 Sky Republic with SITA 6.2 スカイリパブリックとSITA
6.3 Guardtime Federal and “Perspectives from a Prime” 6.3 Guardtime Federalと "Perspectives from a Prime"
6.4 DUST Identity 6.4 DUST アイデンティティ
6.5 MediLedger 6.5 MediLedger
6.6 Chain Integration Project (CHIP) 6.6 チェーン統合プロジェクト(CHIP)
6.7 Methodology 6.7 方法論
7 Future Research Opportunities 7 今後の研究の可能性
7.1 Identity 7.1 アイデンティティ
7.2 Message content standards 7.2 メッセージ内容の標準化
7.3 Barriers to entry 7.3 参入障壁
7.4 Supply chain traceability ecosystems 7.4 サプライチェーントレーサビリティエコシステム
7.5 Metrics 7.5 メトリクス
7.6 Patterns in supply chain traceability 7.6 サプライチェーントレーサビリティのパターン
7.7 Ecosystem scale and interoperability 7.7 エコシステムの規模と相互運用性
7.8 Opportunities cross reference 7.8 機会の相互参照
8 Conclusions 8 結論
List of Appendices 附属書一覧
References 参考文献
Appendix A— Case Study Analysis Models and Lenses 附属書A- ケーススタディ分析モデルとレンズ
A.1 Cyber supply chain risk management A.1 サイバーサプライチェーンリスクマネジメント
A.2 Technology lenses & adoption curve A.2 技術レンズと採用曲線
A.3 Win/win and production possibility frontier A.3 Win/Winと生産可能性フロンティア
A.4 Intermediation, disintermediation, classic make/buy A.4 仲介、仲介解除、古典的なmake/buy
A.5 Centralized and decentralized A.5 中央集権型と非中央集権型
Appendix B— Submitted Case Studies 附属書B-提出されたケーススタディ
B.1 Case Study: Guardtime Federal, Inc. B.1 ケーススタディ ガードタイム・フェデラル社(Guardtime Federal, Inc.
B.2 Case Study: Perspectives from A Prime B.2 ケーススタディ:Guardtime Federal, Inc: Aプライムからの視点
B.3 Case Study: Sky Republic B.3 ケーススタディ スカイリパブリック
B.4 Case Study: Manufacturing Supply Chain Traceability from “Field to For B.4 ケーススタディ 製造業のサプライチェーンにおけるトレーサビリティ(現場から現場へ
B.5 Case Study: DUST Identity B.5 ケーススタディ DUSTアイデンティティ
Appendix C— Case Study Individual Analysis Notes 附属書C-ケーススタディ個別分析ノート
C.1 Field to Fork C.1 フィールド・トゥ・フォーク
C.2 Sky Republic C.2 スカイリパブリック
C.3 Guardtime Federal C.3 ガードタイムフェデラル
C.4 Large Prime C.4 ラージプライム
C.5 DUST Identity C.5 DUST Identity
C.6 MediLedger FDA Pilot Project C.6 MediLedger FDAパイロットプロジェクト
C.7 Chain Integration Project (CHIP) C.7 チェーン統合プロジェクト(CHIP)
Appendix D— Mental Models Analysis Candidate Areas for Research 附属書D-メンタルモデル分析 研究対象候補分野
D.1 Supply chain risk management candidates D.1 サプライチェーンリスクマネジメント候補
D.2 Marketplace positioning candidates D.2 マーケットプレイスポジショニング候補
D.3 Win/win and the production possibility frontier candidates D.3 Win/Winと生産可能性フロンティア候補
D.4 Intermediation and disintermediation, make or buy candidates D.4 仲介と仲介解除、作るか買うかの候補
D.5 Centralization and decentralization candidates D.5 中央集権と分散化の候補
Appendix E— Analysis notes from Standards and Solution Experts 附属書E- 規格とソリューションの専門家による分析メモ
E.1 Linking physical objects to data E.1 物理的なオブジェクトとデータの関連付け
E.2 Data integrity E.2 データの完全性
E.3 Data traceability E.3 データのトレーサビリティ
E.4 Ecosystems of cooperation E.4 協働のエコシステム
E.5 Enabling distributed coordination  E.5 分散型コーディネートの実現 
E.6 Analysis and trade space of decentralization, distribution, and consensus . E.6 分散、分配、コンセンサスの分析および取引空間 .
E.7 Analysis method to quickly discover/form/implement a blockchain enabled ecosystem E.7 ブロックチェーンに対応したエコシステムを迅速に発見/形成/実装するための分析方法
E.8 Identity E.8 アイデンティティ
E.9 Need to incorporate classified networks . E.9 分類されたネットワークを取り込む必要性 .
E.10 Minimum viable ecosystem E.10 最小限のエコシステム
E.11 Cross blockchain transactions  E.11 ブロックチェーン横断的な取引 
E.12 Standards . E.12 標準化.
E.13 Cooperation with logistics and IP blockchain records . E.13 物流やIPブロックチェーン記録との連携.
E.14 Decentralized information sharing (trusted, attributed, resilient) . E.14 分散型情報共有(信頼性、帰属性、強靭性)
E.15 Metrics  E.15 メトリクス 
E.16 Data patterns of external repositories (from legacy to Solid, IPFS, etc.) . E.16 外部リポジトリのデータパターン(レガシーからSolid、IPFSなど)

| | Comments (0)

2022.04.09

経済産業省 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」

こんにちは、丸山満彦です。

経済産業省が、

を公開していますね。。。

DXやAIと言って特別視するから、かえってハードルが高く見えるのかもしれませんね。。。

  • 「スマホを使ってできるようにしましょうとか」
  • 「クラウドを使ってXXXを最適化しましょう、XXXXの予想をしてみましょう」

とかでいいような。。。そうすると、だいたいDXになったり、AIを使ったりということになったりするんじゃないかなぁ。。。と思ったりもします。知らんけど(^^;;

小難しいコンセプトや道具を前面に出して、XXXを使いましょう、XXXの使い方はこうですよ。。。というよりも、適正仕入量の計算もできますよ、とか、部品の保守頻度を最適化できますよ、ということがわかれば、勝手にそういうツールを使うようになり、そしたらいつの間にかAIを使っていたという感じの方がいいかもですね。。。

経産省の今回の発表資料は、中小企業の導入事例があって参考になるように思いますので、大げさに考えずに、読んでみたら良いように思いました。。。

 

経済産業省

・2022.04.08 (press) 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」を取りまとめました

 


デジタルガバナンスコード関係

・2022.04.08 中堅・中小企業等向け「デジタルガバナンス・コード」実践の手引き

 

 

 

 

 

 


はじめに

1. DX とは何か、その可能性と進め方
1.1. そもそも DX とは何か
1.2. DX 推進の意義と中堅・中小企業等における可能性
1.3. DX の進め方
1.4. DX の成功のポイント

2. デジタルガバナンス・コードの実践に向けて
2.1. デジタルガバナンス・コードとは?
2.2. デジタルガバナンス・コード実践のポイント及び企業における取組例
 取組例 A:有限会社ゑびや(飲食業/三重県伊勢市)株式会社 EBILAB(情報システム開発販売業/三重県伊勢市)
 取組例 B:マツモトプレシジョン株式会社(精密機械部品加工/福島県喜多方市)
 取組例 C:株式会社ヒサノ(一般貨物自動車運送事業・機械器具設置工事業/熊本県熊本市)

中堅・中小企業等における DX 取組事例集
事例 1|北海道ワイン株式会社(酒類製造業/北海道小樽市)
事例 2|株式会社ヒバラコーポレーション(工業塗装/茨城県東海村)
事例 3|株式会社北國銀行(銀行業/石川県金沢市)
事例 4|株式会社竹屋旅館(宿泊業・飲食サービス業/静岡県静岡市)
事例 5|株式会社ハッピー(サービス業/京都府宇治市)
事例 6|株式会社スーパーワークス(技術サービス業/岡山県岡山市)
事例 7|東洋電装株式会社(制御盤製造及び技術サービス業/広島県広島市)
事例 8|株式会社太陽都市クリーナー(廃棄物処理業/広島県府中市)
事例 9|サンコー株式会社(ねじ・精密部品製造・販売等/香川県高松市)
事例 10|松本工業株式会社(自動車部品・金属製品等製造/福岡県北九州市)



AI導入関係

・2022.04.08 中小企業のAI活用促進について

これからAI導入にチャレンジする企業向け

① [PDF] AI導入ガイドブック 構想検討パンフレット 


② [PDF] AI導入ガイドブック 需要予測(製造) 


③ [PDF] AI導入ガイドブック 予知保全 


④ [PDF] AI導入ガイドブック 加工図面の自動見積もり 


 

社内にAI人材・IT人材を保有している企業向け

⑤ [PDF] AI導入ガイドブック 需要予測(小売り、卸業) 


⑥ [PDF] AI導入ガイドブック 外観検査(部品、良品のみ) 


⑦ [PDF] AI導入ガイドブック 外観検査(部品、不良品あり) 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

| | Comments (0)

米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)

こんにちは、丸山満彦です。

MITREが世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略を公表していますね。。。全文は452ページあります。。。

MITRE

・2022.03 11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER

 

11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略
If you are getting started in cybersecurity operations, evolving your existing security operations center (SOC), or engaging with a SOC regularly, MITRE offers free downloads of 11 Strategies of a World-Class Cybersecurity Operations Center—both for the 20-page summary document and the full textbook. Fully revised, this second edition of the popular 10 Strategies of a World-Class Cybersecurity Operations Center includes new material and evolved thinking to bring a fresh approach to excelling at cybersecurity operations and leveraging up your cyber defenses. サイバーセキュリティオペレーションをこれから始める方、既存のセキュリティオペレーションセンター(SOC)を発展させる方、SOCと定期的に関わる方向けに、MITREは「世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略」の20ページの要約文書と全文を無料でダウンロード提供しています。世界最高水準のサイバーセキュリティ運用センターの10の戦略」の第2版である本書は、全面的に改訂され、新しい資料や進化した考え方を盛り込み、サイバーセキュリティ運用に優れ、サイバー防御を強化するための新たなアプローチを提供します。
You will learn to: 本書では、次のことを学びます。
・Understand the mission context in which the SOC operates. ・SOCが活動するミッションの背景を理解する。
・Identify the right SOC structure and functions for your organization. ・組織にとって適切なSOCの構造と機能を特定する。
・Hire and grow talented staff, foster a sense of community, and create a place people want to be. ・優秀なスタッフを雇用し、成長させ、コミュニティ意識を醸成し、人が集まりたくなるような場所を作る。
・Instrument digital assets and fuse their data to speed workflow, maximize detection, and inform situational awareness. ・デジタル資産を活用し、そのデータを融合することで、ワークフローを高速化し、検知力を高め、状況認識を向上させる。
・Leverage cyber threat intelligence to operationalize threat-oriented defense, adversary emulation, hunting, and response. ・サイバー脅威のインテリジェンスを活用し、脅威指向の防御、敵のエミュレーション、ハンティング、レスポンスの運用を実現する。
・Tell the SOC’s story through effective metrics and communications, internally and externally. ・効果的な指標とコミュニケーションを通じて、SOCのストーリーを社内外に発信します。

 

・[PDF] 要約

・[PDF] 全文

Executive Summary エグゼクティブサマリー
This book presents an overview of how to organize and consider the many functions in cybersecurity operations centers (SOCs). It describes strategies that can be applied to SOCs of all sizes, from two people to large, multi-national centers with hundreds of people. It is intended for all cybersecurity operations center personnel, from new professionals just starting in a SOC to managers considering capability expansion of the SOC. Starting with a Fundamentals section table which summarizes functional categories and areas, the book guides cyber professionals through applying mission context to 11 strategies of a worldclass SOC: 本書は、サイバーセキュリティオペレーションセンター(SOC)における多くの機能をどのように整理し、検討するかについて、その概要を紹介するものである。2名から数百名の大規模な多国籍センターまで、あらゆる規模のSOCに適用できる戦略を解説しています。この本は、SOCに入ったばかりの新しい専門家から、SOCの能力拡張を検討している管理者まで、すべてのサイバーセキュリティ運用センターの担当者を対象としています。本書は、機能分類と分野をまとめた「基礎編」の表から始まり、世界トップクラスのSOCの11の戦略にミッションのコンテキストを適用することで、サイバー専門家をガイドしています。
Strategy 1: Know What You Are Protecting and Why 戦略1:何を守るのか、なぜ守るのかを知る
Develop situational awareness through understanding the mission; legal regulatory environment; technical and data environment; user, user behaviors and service interactions; and the threat. Prioritize gaining insights into critical systems and data and iterate understanding over time. ミッション、法的規制環境、技術・データ環境、ユーザ、ユーザの行動、サービスの相互作用、脅威を理解することにより、状況認識を深めます。重要なシステムとデータに関する理解を深めることを優先し、時間をかけて繰り返し理解すします。
Strategy 2: Give the SOC the Authority to Do Its Job 戦略2:SOCに職務を遂行する権限を与える
Empower the SOC to carry out the desired functions, scope, partnerships, and responsibilities through an approved charter and the SOCs alignment within the organization. 承認された憲章と組織内のSOCの連携により、SOCが望ましい機能、範囲、パートナーシップ、責任を遂行する権限を与えます。
Strategy 3: Build a SOC Structure to Match Your Organizational Needs 戦略3:組織のニーズに合ったSOCの構造を構築する
Structure SOCs by considering the constituency, SOC functions and responsibilities, service availability, and any operational efficiencies gained by selecting one construct over another. SOCの構成は、構成員、SOCの機能と責任、サービスの利用可能性、ある構成を選択することで得られる業務効率などを考慮して決定されます。
Strategy 4: Hire AND Grow Quality Staff 戦略4:質の高いスタッフを雇用し、育成する
Create an environment to attract the right people and encourage them to stay through career progression opportunities and great culture and operating environment. Plan for turnover and build a pipeline to hire. Consider how many personnel are needed for the different SOC functions. 優秀な人材を惹きつけ、キャリアアップの機会や素晴らしい文化・経営環境を通じて、継続的に働いてもらえるような環境を整えます。離職率を考慮し、採用のためのパイプラインを構築する。SOCの各機能に必要な人数を検討します。
Strategy 5: Prioritize Incident Response 戦略5:インシデント対応の優先順位を付ける
Prepare for handling incidents by defining incident categories, response steps, and escalation paths, and codifying those into SOPs and playbooks. Determine the priorities of incidents for the organization and allocate the resources to respond. Execute response with precision and care toward constituency mission and business. インシデントのカテゴリ、対応ステップ、エスカレーション経路を定義し、それらをSOPやプレイブックに成文化することで、インシデント対応の準備をします。組織におけるインシデントの優先順位を決定し、対応に必要なリソースを割り当てる。構成員のミッションとビジネスに対して、正確かつ慎重に対応を実行します。
Strategy 6: Illuminate Adversaries with Cyber Threat Intelligence 戦略 6: サイバー脅威インテリジェンスで敵を照らし出す
Tailor the collection and use of cyber threat intelligence by analyzing the intersection of adversary information, organization relevancy, and technical environment to prioritize defenses, monitoring, and other actions. 敵の情報、組織の関連性、技術的環境の交点を分析し、防御、監視、その他の行動の優先順位付けを行うことで、サイバー脅威情報の収集と活用を調整することができます。
Strategy 7: Select and Collect the Right Data 戦略7:適切なデータを選択し収集する
Choose data by considering relative value of different data types such as sensor and log data collected by network and host systems, cloud resources, applications, and sensors. Consider the trade-offs of too little data and therefore not having the relevant information available and too much data such that tools and analysts become overwhelmed. ネットワークやホストシステム、クラウドリソース、アプリケーション、センサーによって収集されたセンサーデータやログデータなど、さまざまな種類のデータの相対的価値を考慮してデータを選択する。データが少なすぎて関連情報が得られない、データが多すぎてツールやアナリストが圧倒されてしまうというトレードオフを考慮します。
Strategy 8: Leverage Tools to Support Analyst Workflow 戦略8:アナリストのワークフローを支援するツールを活用する
Consolidate and harmonize views into tools and data and integrate them to maximize SOC workflow. Consider how the many SOC tools, including SIEM, UEBA, SOAR, and others fit in with the organization’s technical landscape, to include cloud and OT environments. SOCのワークフローを最大化するために、ツールやデータへの見方を集約・調和させ、それらを統合します。SIEM、UEBA、SOARなどの多くのSOCツールが、クラウドやOT環境など、組織の技術的な環境にどのように適合するかを検討します。
Strategy 9: Communicate Clearly, Collaborate Often, Share Generously 戦略9:明確なコミュニケーション、頻繁なコラボレーション、惜しみない共有
Engage within the SOC, with stakeholders and constituents, and with the broader cyber community to evolve capabilities and contribute to the overall security of the broader community. SOC内、ステークホルダーや構成員、より広いサイバーコミュニティと関わり、能力を進化させ、より広いコミュニティ全体のセキュリティに貢献します。
Strategy 10: Measure Performance to Improve Performance 戦略10:パフォーマンスを測定してパフォーマンスを改善する
Determine qualitative and quantitative measures to know what is working well, and where to improve. A SOC metrics program includes business objectives, data sources and collection, data synthesis, reporting, and decision-making and action. 何がうまくいっているのか、どこを改善すべきかを知るために、定性的・定量的な指標を決定する。SOCの測定基準プログラムには、ビジネス目標、データソースと収集、データの統合、報告、意思決定とアクションが含まれます。
Strategy 11: Turn up the Volume by Expanding SOC Functionality 戦略11:SOCの機能拡張で量を増やす
Enhance SOC activities to include threat hunting, red teaming, deception, malware analysis, forensics, and/or tabletop exercises, once incident response is mature. Any of these can improve the SOCs operating ability and increase the likelihood of finding more sophisticated adversaries. インシデントレスポンスが成熟したら、脅威ハンティング、レッドチーミング、デセプション、マルウェア解析、フォレンジック、卓上演習など、SOCの活動を強化します。これらはいずれもSOCの運用能力を向上させ、より巧妙な敵対者を発見する可能性を高めることができます。

 

目次 ↓

 

» Continue reading

| | Comments (0)

2022.04.08

NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

こんにちは、丸山満彦です。

NISTがパッチ管理についてのガイド(SP 800-40 Rev.4)と、プラクティスガイド (SP 1800-31) の最終版を公開していますね。。。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。特に可用性が重要なシステムについてのパッチ適用については、非常に難しいですよね。。。

NIST - ITL

・2022.04.06 SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
Abstract 概要
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance on technology, but there is often a divide between business/mission owners and security/technology management about the value of patching. This publication frames patching as a critical component of preventive maintenance for computing technologies – a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. This publication also discusses common factors that affect enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Preventive maintenance through enterprise patch management helps prevent compromises, data breaches, operational disruptions, and other adverse events. 組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、およびインストールの検証を行うプロセスです。技術への依存度が高まっていることから、パッチ適用の重要性はかつてないほど高まっていますが、パッチ適用の価値については、ビジネス/ミッションオーナーとセキュリティ/技術管理者の間で意見が分かれることがよくあります。本文書では、パッチ適用を、コンピュータ技術の予防的保守の重要な要素、すなわちビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことの一部であると位置づけています。本文書では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を図るための組織全体戦略の策定を推奨しています。組織全体のパッチ管理による予防的な保守は、情報漏洩、データの流出、業務の中断、その他の有害な出来事を防ぐのに役立ちます。

 

・[PDF] SP 800-40 Rev. 4

Executive Summary  エグゼクティブサマリー 
Software used for computing technologies must be maintained because there are many in the world who continuously search for and exploit flaws in software. Software maintenance includes patching, which is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization.   世の中には、ソフトウェアの欠陥を探し出して悪用する輩が数多く存在するため、コンピュータ技術に使用されているソフトウェアには保守が必要です。ソフトウェアの保守には、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされているソフトウェアに対して、セキュリティや機能の問題を修正したり、新しい機能を追加したりするための変更を加える行為である「パッチ」が含まれます。組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、検証のプロセスです。 
In past perimeter-based security architectures, most software was operated on internal networks protected by several layers of network security controls. While patching was generally considered important for reducing the likelihood of compromise and was a common compliance requirement, patching was not always considered a priority. In today’s environments, patching has become more important, often rising to the level of mission criticality. As part of a zero trust approach to security, it is now recognized that the perimeter largely does not exist anymore, and most technologies are directly exposed to the internet, putting systems at significantly greater risk of compromise. This dynamic applies across all computing technologies, whether they are information technology (IT), operational technology (OT), Internet of Things (IoT), mobile, cloud, virtual machine, container, or other types of assets. Zero trust architectures emphasize business asset-specific security over just protecting a network with assets on it, so patching is vital for reducing risk to those individual assets and determining the assets’ trust status.  これまでの境界ベースのセキュリティアーキテクチャでは、ほとんどのソフトウェアは、何層ものネットワークセキュリティコントロールで保護された内部ネットワーク上で運用されていました。侵害の可能性を低減するためにはパッチの適用が重要であると一般的に考えられており、一般的なコンプライアンス要件でもありましたが、パッチの適用は必ずしも優先事項とはみなされていませんでした。今日の環境では、パッチ適用の重要性が増し、しばしばミッションクリティカルなレベルにまで達しています。セキュリティに対するゼロトラストアプローチの一環として、境界線はもはやほとんど存在せず、ほとんどの技術がインターネットに直接さらされているため、システムが危険にさらされるリスクが大幅に高まっていることが認識されています。このような状況は、IT、OT、IoT、モバイル、クラウド、仮想マシン、コンテナ、その他のタイプの資産など、あらゆるコンピューティング技術に当てはまります。ゼロトラストアーキテクチャーでは、資産が置かれたネットワークを保護するだけではなく、ビジネス資産に特化したセキュリティを重視しているため、それらの個別資産のリスクを低減し、資産の信頼状態を判断するためには、パッチの適用が不可欠です。
There is often a divide between business/mission owners and security/technology management. Business/mission owners may believe that patching negatively affects productivity, since it requires scheduled downtime for maintenance and introduces the risk of additional downtime if something goes wrong and disrupts operations. Leadership and business/mission owners should reconsider the priority of enterprise patch management in light of today’s risks. Patching should be considered a standard cost of doing business and should be rigorously followed and tracked. Just as preventive maintenance on corporate fleet vehicles can help avoid costly breakdowns, patching should be viewed as a normal and necessary part of reliably achieving the organization’s missions. If an organization needs a particular technology to support its mission, it also needs to maintain that technology throughout its life cycle – and that includes patching.  ビジネス/ミッションオーナーとセキュリティ/技術管理者の間には、しばしば溝があります。ビジネス/ミッションのオーナーは、パッチ適用は、保守のために予定されたダウンタイムを必要とし、何か問題が発生して業務に支障をきたした場合、さらにダウンタイムが発生するリスクがあるため、生産性に悪影響を与えると考えるかもしれません。リーダーシップとビジネス/ミッションのオーナーは、今日のリスクに照らし合わせて、組織全体のパッチ管理の優先順位を再考する必要があります。パッチの適用は、ビジネスを行う上での標準的なコストと考えるべきであり、厳密にフォローし、追跡する必要があります。組織全体の車両の予防的な保守がコストのかかる故障を回避するのに役立つように、パッチ適用は、組織のミッションを確実に達成するために通常必要とされるものと考えるべきです。組織がそのミッションをサポートするために特定の技術を必要とする場合、その技術のライフサイクルを通じて保守を行う必要があり、それにはパッチ適用も含まれます。
Leadership at all levels of the organization, business/mission owners, and security/technology management teams should jointly create an enterprise patch management strategy that simplifies and operationalizes patching while also improving its reduction of risk. This will strengthen organizational resiliency to active threats and minimize business and mission impacts. This publication provides recommendations for enterprise patch management planning. 組織のあらゆるレベルのリーダーシップ、ビジネス/ミッションオーナー、およびセキュリティ/テクノロジー管理チームが共同で組織全体のパッチ管理戦略を策定し、パッチを簡素化して運用するとともに、そのリスク軽減を改善する必要があります。これにより、活発な脅威に対する組織の回復力を強化され、ビジネスやミッションへの影響を最小限に抑えられます。本文書は、組織全体のパッチ管理計画に関する推奨事項を示したものです。

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Changes from Previous Versions 1.2 旧版からの変更点
1.3 Publication Structure 1.3 本文書の構成
2 Risk Response Approaches for Software Vulnerabilities 2 ソフトウェアの脆弱性に対するリスク対応手法
2.1 Risk Responses 2.1 リスク対応策
2.2 Software Vulnerability Management Life Cycle 2.2 ソフトウェア脆弱性管理のライフサイクル
2.3 Risk Response Execution 2.3 リスク対応の実行
2.3.1 Prepare to Deploy the Patch 2.3.1 パッチを展開するための準備
2.3.2 Deploy the Patch 2.3.2 パッチの展開
2.3.3 Verify Deployment 2.3.3 パッチの展開を確認する
2.3.4 Monitor the Deployed Patches 2.3.4 展開されたパッチの監視
3 Recommendations for Enterprise Patch Management Planning 3 組織全体のパッチ管理計画に関する推奨事項
3.1 Reduce Patching-Related Disruptions 3.1 パッチに関連した混乱の軽減
3.2 Inventory Your Software and Assets 3.2 ソフトウェアと資産の棚卸し
3.3 Define Risk Response Scenarios 3.3 リスク対応シナリオの策定
3.4 Assign Each Asset to a Maintenance Group 3.4 各資産を保守グループに割り当てる
3.5 Define Maintenance Plans for Each Maintenance Group 3.5 各保守グループの保守計画の策定
3.5.1 Maintenance Plans for Scenario 1, Routine Patching 3.5.1 シナリオ1、定期的なパッチ適用のための保守計画
3.5.2 Maintenance Plans for Scenario 2, Emergency Patching 3.5.2 シナリオ2、緊急時のパッチ適用のための保守計画
3.5.3 Maintenance Plans for Scenario 3, Emergency Mitigation
3.5.3 シナリオ3、緊急時対応のための保守計画
3.5.4 Maintenance Plans for Scenario 4, Unpatchable Assets 3.5.4 シナリオ4、パッチ不可能な資産のための保守計画
3.5.5 Exceptions to Maintenance Plans
3.5.5 保守計画の例外事項
3.6 Choose Actionable Enterprise-Level Patching Metrics 3.6 実用的な組織全体レベルのパッチ適用指標の選択
3.7 Consider Software Maintenance in Procurement 3.7 ソフトウェア保守の調達を考慮する
References 参考文献
  Mappings to NIST Guidance and Frameworks   NISTガイダンス及びフレームワークへのマッピング
  Acronyms   頭字語

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 エヌアイシ・オートテック M6 リニアスライドフレーム 224mm ALM-3030L-6-224(直送品)

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

| | Comments (0)

NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

こんにちは、丸山満彦です。

NISTがパッチ管理についてのガイド(SP 800-40 Rev.4)と、プラクティスガイド (SP 1800-31) の最終版を公開していますね。。。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。特に可用性が重要なシステムについてのパッチ適用については、非常に難しいですよね。。。

NIST - ITL

・2022.04.06 SP 1800-31 Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways

SP 1800-31 Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
Abstract 概要
Patching is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations cannot or do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Also, many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. To address these challenges, the NCCoE collaborated with cybersecurity technology providers to develop an example solution that addresses these challenges. This NIST Cybersecurity Practice Guide explains how tools can be used to implement the patching and inventory capabilities organizations need to handle both routine and emergency patching situations, as well as implement isolation methods or other emergency mitigations as alternatives to patching. It also explains recommended security practices for patch management systems themselves. パッチを当てるとは、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされたソフトウェアに変更を加えることで、セキュリティや機能の問題を修正したり、新しい機能を追加したりする行為です。パッチを当てることは効果的であり、攻撃者は定期的にパッチを当てていないソフトウェアを悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てられていないか、当てていません。その理由はいろいろありますが、その中でも特に重要なのは、パッチ適用にはリソースが必要であることと、パッチ適用によってシステムやサービスの可用性が低下する可能性があることです。また、多くの組織では、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度に関するポリシーの遵守などに苦労しています。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、これらの課題を解決するソリューション例を開発しています。このNIST サイバーセキュリティ実践ガイドでは、日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするパッチ適用およびインベントリ機能を実装するために、ツールをどのように使用できるか、またパッチ適用に代わる分離手法や、その他の緊急緩和策をどのように実施できるかについて説明しています。また、パッチ管理システム自体の推奨セキュリティ対策についても説明しています。

 

・[PDF] SP 1800-31

 

 

 

目次。。。

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 ソリューション
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 凡例
3 Approach 3 アプローチ
3.1 Audience 3.1 想定読者
3.2 Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Scenarios 3.4 シナリオ
3.4.1 Scenario 0: Asset identification and assessment 3.4.1 シナリオ0:資産の識別と評価
3.4.2 Scenario 1: Routine patching 3.4.2 シナリオ1:定期的なパッチ適用
3.4.3 Scenario 2: Routine patching with cloud delivery model 3.4.3 シナリオ2: クラウド配信モデルによる定期的なパッチ適用
3.4.4 Scenario 3: Emergency patching 3.4.4 シナリオ3:緊急時のパッチ適用
3.4.5 Scenario 4: Emergency mitigation (and backout if needed) 3.4.5 シナリオ4:緊急時対応策(必要に応じてバックアウトも行う)
3.4.6 Scenario 5: Isolation of unpatchable assets 3.4.6 シナリオ5:パッチ適用不可能な資産の隔離
3.4.7 Scenario 6: Patch management system security (or other system with administrative privileged access) 3.4.7 シナリオ 6: パッチ管理システムのセキュリティ (または管理者権限でアクセスできる他のシステム)
3.5 Risk Assessment 3.5 リスク評価
3.5.1 Threats, Vulnerabilities, and Risks 3.5.1 脅威、脆弱性、およびリスク
3.5.2 Security Control Map 3.5.2 セキュリティコントロールマップ
4 Components of the Example Solution 4 ソリューション例の内容
4.1 Collaborators 4.1 協力者
4.1.1 Cisco 4.1.1 シスコ
4.1.2 Eclypsium 4.1.2 Eclypsium
4.1.3 Forescout 4.1.3 Forescout
4.1.4 IBM 4.1.4 IBM
4.1.5 Lookout 4.1.5 Lookout
4.1.6 Microsoft 4.1.6 マイクロソフト
4.1.7 Tenable 4.1.7 テナブル
4.1.8 VMware 4.1.8 ヴイエムウェア
4.2 Technologies 4.2 技術
4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC) 4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC)
4.2.2 Cisco Identity Services Engine (ISE) 4.2.2 Cisco Identity Services Engine (ISE)
4.2.3 Eclypsium Administration and Analytics Service 4.2.3 Eclypsium 管理・分析サービス
4.2.4 Forescout Platform 4.2.4 Forescout プラットフォーム
4.2.5 IBM Code Risk Analyzer 4.2.5 IBM Code Risk Analyzer
4.2.6 IBM MaaS360 with Watson 4.2.6 IBM MaaS360 with Watson
4.2.7 Lookout 4.2.7 Lookout
4.2.8 Microsoft Endpoint Configuration Manager 4.2.8 Microsoft Endpoint Configuration Manager
4.2.9 Tenable.io 4.2.9 Tenable.io
4.2.10 Tenable.sc and Nessus 4.2.10 Tenable.scとNessus
4.2.11 VMware vRealize Automation SaltStack Config 4.2.11 VMware vRealize Automation SaltStack Config
Appendix A Patch Management System Security Practices 附属書A パッチ管理システムのセキュリティ対策
A.1 Security Measures A.1 セキュリティ対策
A.2 Component Support of Security Measures A.2 コンポーネントによるセキュリティ対策支援
A.2.1 Cisco FTD Support of Security Measures A.2.1 Cisco FTD によるセキュリティ対策支援
A.2.2 Cisco ISE Support of Security Measures A.2.2 Cisco ISE によるセキュリティ対策支援
A.2.3 Eclypsium Administration and Analytics Service Support of Security Measures A.2.3 Eclypsium Administration and Analytics Service によるセキュリティ対策支援
A.2.4 Forescout Platform Support of Security Measures A.2.4 Forescout Platformによるセキュリティ対策支援
A.2.5 IBM Code Risk Analyzer Support of Security Measures A.2.5 IBM Code Risk Analyzer セキュリティ対策支援
A.2.6 IBM MaaS360 with Watson Support of Security Measures A.2.6 IBM MaaS360 with Watson セキュリティ対策支援
A.2.7 Lookout MES Support of Security Measures A.2.7 Lookout MESによるセキュリティ対策支援
A.2.8 Microsoft Endpoint Configuration Manager (ECM) Support of Security Measures A.2.8 Microsoft Endpoint Configuration Manager(ECM)によるセキュリティ対策支援
A.2.9 Tenable.sc Support of Security Measures A.2.9 Tenable.scによるセキュリティ対策支援
A.2.10 VMware vRealize Automation SaltStack Config Support of Security Measures A.2.10 VMware vRealize Automation SaltStack Config によるセキュリティ対策支援
Appendix B List of Acronyms 附属書B 頭字語の一覧
List of Tables 表の一覧
Table 3-1: Mapping Security Characteristics of the Example Solution for Scenarios 0-5 表 3-1: シナリオ 0~5 に対応するソリューション例のセキュリティ特性のマッピング
Table 3-2: Mapping Security Characteristics of the Example Solution for Scenario 6 表 3-2: シナリオ 6 に対するソリューション例のセキュリティ特性のマッピング
Table 4-1: Technologies Used in the Build 表 4-1: 構築に使用した技術

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

 

コガネイ(KOGANEI) スリット式ロッドレスシリンダORGAシリーズ ガイド付 複動形 ORGA16X2000-K1-S1-ZG530A2 1個(直送品)
エヌアイシ・オートテック M4 ベーシックアルミフレーム 715mm AFS-4040-4-715 1セット(20本)(直送品)
ルコックスポルティフ 介護ウェア ポロシャツ(男女兼用) アクアM UZL3021 (直送品)
オリエンタルモーター(Oriental motor) ステッピングモーターユニット パルス列入力タイプ RKS596AA-TS10-1 1式(直送品)
三信化工 マグカップ CUP PPC-240-CUP(直送品)
金具規格 最小曲げ半径 原産国 油圧機器の配管 注意 G1 金具 メーカーサイトはこちら 1Mあたり 油 Mpa 土木 6角対辺 アダプター x 亜鉛メッキ 返品について パスカラート 日本 小さい曲げ半径でコンパクトな油圧配管が可能 ブリヂストン ※ブリヂストンの高圧ゴムホース 6.3 nbsp; 注 1台 4 耐疲労性を重視 ホース内径 商品仕様 農業 金具概略重量1個あたり 全長 注記 超高圧ホースプリモライン及びアダプターなどの継手類は 金具ネジ規格 鉱物性作動油 PA1004 φmm 寸法 スイベルジョイント等豊富なラインナップがあります B 商品の特徴 ご了承ください -40℃~+100℃ g 最高使用圧力 高性能なブリヂストン製の一般作動油 備考 メーカー 技術資料についてはメーカーホームページよりご確認ください mm カップラー 55 保管方法 8363:2015 推奨雰囲気温度 B0202:1999 USTオールステンレス製圧力計 輸送 鉱物性 寸法など予告なく変更する場合がありますので ※流体が凍結した状態では使用不可 油圧ホース 17 お客様のご都合による返品はお受けできません DU 13.4 高圧配管用として開発したものです ホース重量 Y 用高圧ホース クロメート処理 形状 全20商品 金具FからFまで SC相当鋼 多種多様な産業の分野で必要とされ mm ホース外被材質 70 建設 230 3550 接続部規格 19 F 全長3550mm 寸法 違いで JIS F+F ブリヂストン ブリヂストンでは口金 カプラ X あります 60×0.6MPa 水-グリコール UST-726D-0.6MPA g 金具FからFまで 耐油性合成ゴム 商品詳細情報 使用方法 1本 mm 本 適用流体2 高品質 3550mm 高圧樹脂ホースパステージライン 耐摩耗性耐候性合成ゴム 1W 直送品 ホース内管材質 雌30°シート 42 工業等 第一計器製作所 10.5 1 SS 管用平行雌ねじ 金具材質 R1 使用上の警告 品質改善の為 両端F ホース補強層 -40℃~+60℃ 最小破壊圧力 エポーク 内容量 2434円 ホース外径 適用流体1 寿命 -40~+100℃ PA1004_F+F_3050mm~4000mmの全商品を見る
イマオコーポレーション(IMAO) ELESA エルゴウイングナット(オネジ) EWN55X20SUS-OG 1個 805-6774(直送品)
アジャスト 寸法 質量 黒×ライトグレーW ロッキングの強弱を5段階で簡単に調節できます 組立目安 またロッキングの角度を5カ所で固定できるシートアングルストッパー付です 2 シンクロロッキング:くるぶしを支点に背と座の角度が連動して傾き ベースカラー:ベースカラー 背ブラッケット:強化ナイロン樹脂 16.4kg UST-726D-0.6MPA nbsp; 設置込 材質 芯材:ポリプロピレン樹脂製 直送品 高さ アクティブというコンセプトのもとに開発された 背のサイド部分が柔軟なため ウレタンキャスター ロッキング強弱簡易調節:体格や好みに合わせて 座 体格に合わせたポジショニング設定が座った状態でできます イトーキ 背の最後傾角度は20°まで可能です 保証期間 肘当て:発泡ウレタン一体成型肘受け:強化ナイロン樹脂脚:アルミダイキャストミラー仕上 在宅ワークにもオススメです メーカーサイトはこちら アスクルの総合家具TOPページはこちら ハイバック メーカー 本体カラー USTオールステンレス製圧力計 インテリアが探しやすい フレキブルバックレスト:しなやかに追従する ベンディングシートの相性もさらによくなりました 7段階の調節が可能 620 60×0.6MPa ランバー付 1台 付き 構造体:3年 ワーカーの身体に合わせて60mm ベンディングシート:座部のインナーシェル 座の前縁部が折れ曲がる方式の採用で 3 ブラック 製造国 肩から背中にかけて イトーキ 再生ポリエステル63% 肘:固定肘付 日本製 サイドフレームレスデザイン:アンカー形状の支柱で身体を支える構造により 上半身をスムーズに動かすことができます アルミ脚 納期のご相談まで 背にもたれて荷重がかかることで固定されます 1脚の全商品を見る 座幅540×脚幅680×座高440~555×背高さ1000~1115mm アクトチェア 背 28490円 調節レバー:調節レバーはすべて座面右下に配置 抵抗付きウレタン双輪キャスター付き 幅 アンクルムーブ ブランド 第一計器製作所 1脚 シートアングルストッパー: リフレッシュする時も 全42商品 カラー 各種工事 ガス上下調節:レバー操作により座面の高さ調節が行えます 商品の特徴 座の奥行調節機構:座面下のレバー操作により 1 座る姿勢や身体の動きにフレキシブルに順応し 新スタンダードのタスクチェア ランバーサポートの位置は ポリエステル73% ランバーサポート:背と腰を支えるランバーサポートは テレワーク お客様のご都合による返品はお受けできません 機構 アームレスト ポリジン加工 商品仕様 アスクルオフィスづくりサービスはこちら 肩の動きに合わせて回転し 固定肘 脚:アルミミラー 1梱包 ハンガー無 可動部:2年 奥行 最適な個所が着座荷重に応じて自在にたわむように多数のスリットを設けています T 違いで ロッキングの角度をお好みの場所で固定できます ピボット構造バックレストは :布地張り 4 両サイドのアウターフレームを不要にしたスマートなシルエット S字カーブを描く理想的な姿勢をサポートし ×ライトグレーW 675 完成品 あります その他商品仕様 メッシュ 備考 座 腰の負担を軽減します には 1010 身体を動かしたときのストレスが軽減されます ポリエステル37% 作業に集中する時も ブラック 再生ポリエステル27% ライトグレーW ぜひご体感ください 調節75mm 返品について 商品詳細情報 梱包数 R1 ワークパフォーマンスを高めるための理想の座り心地を追求し 快適にサポートします 本体カラー :メッシュ張り mm 新感覚のスタイリングと座り心地を DU 家具 レイアウト
協育歯車工業 平歯車 モジュール0.5 圧力角 20°(並歯) S50B 72A-0208 1個(直送品)
各種工事 直送品 丈30cm~300cmの範囲内で商品のご用意があります マッチングジャパン mm 片開き またお昼寝 完成品 遮光率99.99%以上の1級遮光カーテンですので クリニック 外からの視線を遮るので防犯やプライバシー保護にもなります ※サイズは幅5cm毎×丈1cm毎で用意しているのでASKUL検索窓より 違いで 幅850mm_2の全商品を見る 両開きでご使用の方は 遮光カーテン 組立目安 R1 お客様のご都合による返品はお受けできません その他商品仕様 防炎加工 例:幅200cmのカーテンレールに両開きで設置の場合 y-ber-be85x224A 高さ セット内容は 工場 外からの光をほとんど通しません 寸法 光をしっかりと遮りたいオフィスや店舗 レイアウト Aフック仕様 マッチングジャパン 洗濯可能ですので もちろん ポリエステル100% アジャスターフック カーテン市場 製造国 第一計器製作所 幅850×高さ2240mm ブランド 防炎1級 を検索するとピッタリサイズが見つかります 家具 UST-726D-0.6MPA 2240 片側のサイズを2枚ご購入くださいませ アスクルの総合家具TOPページはこちら 1台 DU 納期のご相談まで 梱包数 幅100cmを2枚購入 冷暖房効果を高めるので省エネにも役立ちます 商品仕様 850 幅サイズ×丈サイズ 幅850×高さ2240mm 備考 メーカー 国内製造の機能性ドレープカーテンです あります ※表示サイズのカーテンが1枚入りです です 一般のご家庭で光を寝室で光を気にせず眠りたい方や 幅 ドレープ共布タッセル1本 表示サイズの防炎 材質 リビングなどでホームシアターを楽しみたい方にもおすすめです 遮光1級ドレープカーテン1枚 2700円 インテリアが探しやすい 幅30cm~300cm 60×0.6MPa 日本製 仕様:お家で洗濯可能 115cm×139cm アスクルオフィスづくりサービスはこちら 機能:遮光1級 全100商品 オフィスカーテン 1梱包 付属品:カーテンと同じ生地のタッセル 午睡 1枚 USTオールステンレス製圧力計 寸法 汚れたらいつでも丸洗いでき清潔を保つことができます 4 アジャスターフック 安心の防炎加工が施されています 返品について 商品の特徴 のある幼稚園や保育園にも安心しておすすめできます 例:オフィスカーテン MatchingJapan 学校などに最適のカーテンです 商品詳細情報 片開仕様
SUNCO ニッケル (+ー)ナベP=4 4×8 (1300本入) 10-00-0204-0040-0080-05 260-5312(直送品)
72 114-4261 第一計器製作所 60×0.6MPa TU-100H-TF 備考 配管から流出する異物や水滴をシャットアウトし Φ3 商品の特徴 USTオールステンレス製圧力計 4 オレンジブック発注コード R1 M14×1.0 タイプ ジョプラックス ジョプラスターR 0.4MPa JOPLAX 精密機械 返品について UST-726D-0.6MPA クリーンなエア環境を提供します 直送品 エア取付口 DU 商品仕様 114-4261 天井配管 お客様のご都合による返品はお受けできません 印刷 ろ過制度0.02ミクロンの中空糸膜フィルターを標準装備しています ノズル長 ノズル取付口 4 1台 常用使用圧力 ジョプラックス あります 食品関連のエアーブロウに エアダスター +中空糸膜フィルター ブランド メーカー オレンジブックコード検索対象 2307円 プラスチックエアダスター 違いで 上配管用 トラスコ タイプ ノズル口径 21 塗装 オレンジブックコード検索対象品 ノズル外径 mm 全3商品 中空糸膜フィルタータイプの全商品を見る 全長 G1 185
エヌアイシ・オートテック M6 ベーシックアルミフレーム 15mm AFS-3060F-6-885 1セット(9本)(直送品)
mm 817-9092 直送品 刃先 差込口 メーカーカタログ掲載商品コード 特殊品は小ロットの製作も可能です 溝9差込 +1 六角 溝位置 特殊工具鋼 6.35mm 60×0.6MPa 備考 第一計器製作所 標準品の種類も豊富で メーカー お客様のご都合による返品はお受けできません V-17 商品の特徴 商品仕様 幅広いストックを持っています R1 + 全長75 メーカーカタログ掲載発注品番 返品について 4 No.1 1750円 2.3x20 全長 DU 9mm 75 六角6.35 近江精機 MAG MAG No.1x7x75 専用特殊鋼を用いることで靱性を高め 近江精機 近江 UST-726D-0.6MPA V17-1-75-2.3 00000236 段付φ2.3x20 USTオールステンレス製圧力計 ブランド 耐久性を向上させています 1台
コガネイ(KOGANEI) ジグシリンダCシリーズ 複動形 低速仕様 T-CDAS20X45-B-ZE102A2 1個(直送品)
第一計器製作所 片細鬼荒 あります ブランド 重量:13g 取寄品 メーカー ソフトタイプ DU BC 厚み2.1mm 粗刈り 直送品 nbsp; カラー UST-726D-0.6MPA 最薄部分 YS-213 サイズ:175mm Y.S.PARK 60×0.6MPa フレックスカーボン ワイ.エス.パークプロフェッショナル 4 フレックスカーボン 刈り上げコーム 商品の特徴 Y.S.PARK 原産国 違いで 備考 1台 478円 にも最適 USTオールステンレス製圧力計 バリカンカット 商品仕様 ワイ.エス.パークプロフェッショナル 刈り上げコームの全商品を見る ワイエスパークプロフェッショナル R1 返品について お客様のご都合による返品はお受けできません 全6商品 日本 種類 4981104364600 種類 YSー213 1個

| | Comments (0)

IPA 組織における内部不正防止ガイドライン 第5版

こんちは、丸山満彦です。

IPAが組織における内部不正防止ガイドライン 第5版を公表していますね。。。

2013年に第1版を公表して以来、2017年に第4版の改訂を行い、この度、第5版への改訂が行われたという経緯です。

第5版では

  • コロナ禍を契機としたテレワークの普及・進展等による新しい働き方への移行、
  • 雇用・人材の流動化の加速、
  • 個人情報保護法や不正競争防止法等の改正・産業競争力強化法の施行などの最近の社会環境・動向の変化
  • セキュリティ関連技術の変遷

に則した改訂を行ったとのことです。

そして、改訂の骨子は、

  • (1)内部不正による情報漏えいが事業経営に及ぼすリスクについて経営者に向けたメッセージを強化
  • (2)テレワーク等の広がりによる、組織外での秘密情報の取扱増加に伴うリスクを低減する対策を追記
  • (3)雇用の流動化による退職者増加がもたらすリスクを低減する人的管理の対策を追記
  • (4)セキュリティ技術の急速な進展とそれらを適用する時の個人情報に配慮した運用の在り方を追記
  • (5)重要な法改正に伴う必要な対策の増補・強化

とのことです。。。

「組織における内部不正防止ガイドライン」第5版の改訂箇所

 

 

IPA

・2022.04.06 組織における内部不正防止ガイドライン

・[PDF] 組織における内部不正防止ガイドライン(日本語版) 第5版ガイドライン



・[PDF] 第5版概要説明資料

 

・[XLSX] 内部不正チェックシート(日本語版) 5.0版

 

| | Comments (0)

NATO CCDCOE ウクライナ支援のためのサイバー自警団:法的分析

 こんにちは、丸山満彦です。

NATO CCDCOEが、ウクライナ支援のためのサイバー自警団:法的分析を公表していますね。。。

武力紛争時のハクティビストのサイバー作戦の法的評価に特に影響を与える3つの具体的要因

  1. ハクティビストの位置付け
  2. 異なるハクティビスト集団の構造、組織、国家との関係の重要性
  3. 国家責任を喚起するための潜在的手段として、デューディリジェンス義務違反

を説明しているとのことです。。。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.04 Cyber vigilantism in support of Ukraine: a legal analysis

 

Cyber vigilantism in support of Ukraine: a legal analysis ウクライナ支援のためのサイバー自警団:法的分析
Hacktivist initiatives in supprt of Ukraine have been met with both praise and reprimand. As much as they are clever and innovative in taking a bottom-up grassroots approach to countering injustice and violence, they are also legally ambiguous and disposed to more serious consequences than initially planned.  This ad hoc working paper seeks to explain what is at stake from the international law perspective and analyses three specific factors that have a particular effect on the legal evaluation of hacktivist cyber operations in times of armed conflict. First, the the position of the hacktivist is looked into, following that the importance of the structure, organisation and state affiliations of the different hacktivist groups is analysed and last, the paper proceeds to  explain the breach of due diligence obligation as a potential avenue for evoking state responsibility. ウクライナを支援するハクティビストの活動には、賞賛と叱責の両方が寄せられています。不正や暴力に対抗するためのボトムアップの草の根的アプローチとして、巧妙かつ革新的である一方、法的には曖昧で、当初の予定よりも深刻な結果を招きやすい。 このアドホック・ワーキングペーパーは、国際法の観点から何が問題なのかを説明しようとするもので、武力紛争時のハクティビストのサイバー作戦の法的評価に特に影響を与える3つの具体的な要因を分析します。まず、ハクティビストの位置づけを検討し、次に、異なるハクティビスト集団の構造、組織、国家との関係の重要性を分析し、最後に、国家責任を喚起するための潜在的手段として、デューディリジェンス義務違反について説明します。

 

・[PDF] Cyber vigilantism in support of Ukraine: a legal analysis

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.04.07

JPCERT/CC blog 最近の”サイバー攻撃の動向”に関する情報発信について思うこと

こんにちは、丸山満彦です。

JPCERT/CCのブログに佐々木さんが、「最近の”サイバー攻撃の動向”に関する情報発信について思うこと」を載せていますね。。。

 

JPCERT/CC - blog

・2022.04.05 最近の”サイバー攻撃の動向”に関する情報発信について思うこと

 

「攻撃の「増減」は立場によって見え方が異なる」

同じ事象を見てもどう判断するかという問題もありますよね。。。いわゆる「コップに半分入った水」の問題です。。。「半分も残っている」と考えるか「半分しか残っていない」と考えるか?

また、そもそも同じ事象を見ているしても全部を観れているわけではないので、正確な全体像はわからないですよね。。。という問題もありますよね。。。

同じものを見ても、ある人は三角といい、ある人は四角といい、ある人は丸という、例の図形ですよね。。。

攻撃活動が変化する背景は複雑

これは、そもそも特定の事象から全体を推定しようとしても、サンプルが母集団を代表しているかどうかわからないという問題(例えば、偏った事象を見ている。サンプル数があまりにも少なすぎるなど)という話もありますよね。。。

また、相関関係が分かったとしても、必ずしも因果関係はわからないという問題ですよね。。。

 

まぁ、できるかぎり全体像を解ろうとするために、

多くの情報、幅広い情報、その情報についての適切な分析が必要ですが、

一つの組織で実施するのは難しいので、収集した情報の共有も必要となるでしょうし、分析のための幅広い視野(地政学のような背景や、時間軸も含めて)、などが必要となりますよね。。。

 

全員が同じレベルの理解が必要ではないのですが、社会的に大きな影響力を持つ人が理解するためには、それなりに正しい理解が求められますよね。。。

「「正しく恐れる」こと」は重要ですよね。。。

 

 

 

| | Comments (0)

«経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)