1)脆弱性診断サービスの選定
高度化するサイバー攻撃の脅威を未然に防ぐためには、十分な経験と能力を有したセキュリティベンダーの選定を要することから、選定に際しては経済産業省の定義する「情報セキュリティサービスに関する審査登録機関基準7」を満たすことの確認に加えて、脆弱性を検出する能力を測るため、ペネトレーションテストの国際資格の保有状況や CTF（Capture The Flag）等のセキュリティコン
テストにおける上位入賞実績、CVE（Common Vulnerabilities and Exposures）の付与された脆弱性の発見数等を問い合わせること等が有効である。また、診断サービスの調達においては、上記の基準に沿った有識者や有資格者が、診断の実施の中で、どのような役割として、何名、どの期間に関わる予定であるかを確認することが望ましい。

安全性が高く、処理が高速であるオンライン認証技術です。
FIDO Alliance という業界団体により仕様の策定が行われており、 生体認証を安全に使用できるという点で近年注目を浴びています。

U2F
FIDO を用いて二要素認証を実現する仕組みです。 ID、パスワードで認証を行い、それとは別にユーザが保有す る認証器を用いて認証を行います。

UAF
FIDOの認証自体で認証を行う仕組みです。 パスワードの代替として注目を浴びています。

大半の場合、オンライン上でアクティブな時間は わずか4~8時間程度しかありませんでした。 1時間ごとにリストを更新したとしても、 情報を入手してリストとして提供されるまでに 一般的に3~5日経過しているため、 発表される頃には既に問題のサイトはユーザーから 情報をだまし取った上で消滅している可能性があります。

2021 年 12 月 10 日に公表された Apache Log4j の脆弱性（CVE-2021-44228）を悪用する通信を観測しました。同日に概念実証コードがインターネット上に公開され、およそ 2 週間、攻撃パケットの観測件数が急に増えた状態が続いていましたが、その後は急速に減少し 1 月末にはほとんど観測されなくなり
ました。

3月に同協議会へ寄せられたフィッシングの報告は、前月比1.7倍となる8万2380件。前月の4万8611件から3万3769件増加した。これまで最多だった2021年12月の6万3159件を大きく上回る。

1日あたりに換算すると約2657.4件。前月の約1736.1件はもちろん、これまでもっとも多かった12月の約2037.4件の約1.3倍にあたる。

　過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%でした。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%でした。「IT投資」については前回調査（47.7%）と比較すると17.7％の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえます。

　本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。
　各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不正対策の状況を把握するための33項目のチェックシート、対策のヒントとなるQ&A集などを付録として用意しています。

 ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。

【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか

第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則

最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。

・米国の政策（トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など）
・テレワークの情報セキュリティ（インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など）
・NISTのセキュリティ関連活動（組織の沿革と体制、SP800,1800シリーズなど）

　自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。

2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。

JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。

「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。

本手引きは、サイバーセキュリティ経営ガイドラインの10の指示のうち、指示2（サイバーセキュリティリスク管理体制の構築）及び指示3（サイバーセキュリティ対策のための資源（予算、人材等）確保）について具体的な検討を行う際に活用していただくことを目的として作成しています。

テレワークセキュリティガイドライン（第5版）を2021年5月31日に公表しました。
　中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（第2版）を公表しました。

設定解説資料は、手引き（チェックリスト）の内容を具体的な環境で実施する際の参考資料として、テレワークで多く利用される製品を対象として補足的に作成している資料です。
○設定解説資料（CiscoWebexMeetings）PDF
○設定解説資料（Microsoft Teams）PDF
○設定解説資料（Zoom）PDF
○設定解説資料（Windows）【近日掲載予定】
○設定解説資料（Mac）【近日掲載予定】
○設定解説資料（iOS）【近日掲載予定】
○設定解説資料（Android）【近日掲載予定】
○設定解説資料（LanScope An）【近日掲載予定】
○設定解説資料（Exchange Online）【近日掲載予定】
○設定解説資料（Gmail）【近日掲載予定】
○設定解説資料（Teams_chat）【近日掲載予定】
○設定解説資料（LINE）【近日掲載予定】
○設定解説資料（OneDrive）【近日掲載予定】
○設定解説資料（Googleドライブ）【近日掲載予定】
○設定解説資料（Dropbox）【近日掲載予定】
○設定解説資料（YAMAHA VPNルータ）【近日掲載予定】
○設定解説資料（CiscoASA）【近日掲載予定】
○設定解説資料（Windowsリモートデスクトップ接続）【近日掲載予定】
○設定解説資料（Chromeリモートデスクトップ）【近日掲載予定】
○設定解説資料（Microsoft Defender）【近日掲載予定】
○設定解説資料（ウイルスバスター ビジネスセキュリティサービス）【近日掲載予定】

内閣サイバーセキュリティセンター（NISC）は、「政府機関等における情報システム運用継続計画ガイドライン」を約8年ぶりに改定した。

同ガイドラインは、政府機関の担当者が「情報システムにおける運用継続計画（IT-BCP）」の作成時における検討手順や留意点をまとめた手引書。

今般、この第１版を基に、読者の利便性の観点から内容の拡充及び見直しを行い、第1.1版を取りまとめました。また、経営層を含む幅広い方に手引きの内容を御理解いただくため、手引きの概要も新たに作成しました。

旧来の不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃は全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。

Google では、中高生 15, 557 人（中学生 5,835 人／ 高校生 9,722 人）と、中高生の教員 119 名を対象にインターネット利用について調査し、この結果を「中高生インターネット利用白書 2021 」として公開します。

早速ですが、まずは以下の図１をご覧ください。
真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか？

〜略〜

今回解説する手口を悪用すれば、この図が示したとおり、プロセスから得られる情報はもはや無意味となり、何が真実かを判断することはできなくなってしまいます。

各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA（情報処理推進機構）が翻訳版を公開しています。

〜略〜

米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。

〜略〜

技術要件（77項目）

1.アクセス制御
4.構成管理
5.識別と認証
7.メンテナンス
10.物理的保護
13.システムと通信の保護
14.システムと情報の完全性

非技術要件（33項目）
2.意識向上と訓練
3.監査と責任追跡性（説明責任）
6.インシデント対応
8.メディア保護
9.要員のセキュリティ
11.リスクアセスメント
12.セキュリティアセスメント

2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。

「Zerologon」の脆弱性（CVE-2020-1472）に対する修正プログラムは2020年8月にリリースされましたが、「Netlogon Remote Protocol」がWindows以外の製品にも実装されていることから、Microsoft社はそれらの製品との互換性を考慮し、本脆弱性への対処を2段階に分けて実施すると発表(*6)しました。ソフトウェア製品の利用者およびシステム管理者は、Microsoft社が案内している専用のガイダンスページを参照の上、自組織で必要となる作業を把握し、2段階目のリリース（2021年2月9日公開予定）時には早急に対応できるよう準備を行ってください。

　修正完了したウェブサイトの件数は73件（累計7,994件）でした。修正を完了した73件のうち、ウェブアプリケーションを修正したものは68件（93%）、当該ページを削除したものは5件（7%）で、運用で回避したものはありませんでした。