NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。

　米国国立標準技術研究所（以下、NIST）は2023年8月8日（現地時間、以下同）、待望の「サイバーセキュリティフレームワーク」（以下、CSF）2.0のドラフト版を発表した（注1）。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。

インターネットバンキングに係る不正送金事犯による被害の急増
令和5年上半期におけるインターネットバンキングに係る不正送金事 犯による被害は、発生件数が2,322件(令和4年の年間発生件数と比較し て104.4%増加)であり、年間の被害件数と比較しても過去最多となり、 被害総額も約29億9,600万円(令和4年の年間被害総額と比較して97.2% 増加)であり、年間の被害額と比較しても過去最多に迫る状況にある。

警察庁が検知したサイバー空間におけるぜい弱性探索行為等とみられる アクセス件数は、1日・1IPアドレス当たり8,219.0件(前年同期比で 5.4%増加)と、増加の一途をたどっており、海外を送信元とするアクセス が大部分を占めている。

取組の結果、G7広島サミット期間中、広島市ウェブサイトに おいてDDoS攻撃によるものとみられる閲覧障害が発生するなど、G7広島 サミット等開催の機会を狙ったサイバー攻撃事案が発生したが、G7広島 サミット等の進行に影響を及ぼすようなサイバー攻撃の発生はなかった。

データを暗号化する(ランサムウェアを用 いる)ことなくデータを窃取した上で、企業・団体等に対価を要求す る手口(「ノーウェアランサム」)による被害が、新たに6件確認され た。

復旧に要した期間について質問したところ、60件の有効な回答があり、 このうち、復旧までに1か月以上を要したものが10件あった。
また、ランサムウェア被害に関連して要した調査・復旧費用の総額に ついて質問したところ、53件の有効な回答があり、このうち、1,000万円 以上の費用を要したものが16件で30%を占めた。

バックアップから被害直前の水準まで復旧でき なかったものは45件で79%であった。

建設作業員の男(37)は、令和4年6月、氏名不詳者と共謀のうえ、 他人のインターネットバンキング口座から不正に送金する目的で、電 話工事業者を装って口座名義人方に上がり込み、固定電話を使用して、 送金を可能とするためのワンタイムパスワード有効化手続等をするこ とで、約500万円を他人名義の口座に送金した。令和5年4月、男を住 居侵入罪、電子計算機使用詐欺罪で検挙した。

「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

本報告書は政策研究大学院大学(以下、GRIPS)において 2022 年 8 月 29 日に判明した公 開ウェブサーバに対する不正アクセスに関する経緯および原因と対策についてまとめたも のである。

これを使うとパソコンはもちろん、スマートフォンなんかも制御することができて、かなりお得……お得といってもけっこう高いんですよ。安いほうでも毎月ユーザーごとに4,500円かかったりするので、中小企業にはかなり手痛い感じですが、大企業並みのセキュリティでゼロトラストをやりたいというのであれば、けっこうおすすめではあります。

　同社は外部のサイバーセキュリティ専門家による指導の下、サーバをシャットダウンしてアクセスを遮断。すでに業務を再開しており、外部機関と協力の上、データの復旧作業を進めている。「復旧に向けた調査および対応に伴う関連費用」として約7億5000万円の特別損失を計上する。

本事案発生の原因

犯行を防ぐことができなかった理由として3つの要因と対応策が挙げられた。

(1)7payに関わるシステム上の認証レベル
(2)7payの開発体制
(3)7payにおけるシステムリスク管理体制

組織がサイバーディフェンスセンター（CDC)を構築，マネジメントするとともに，その有効性を評価するためのフレームワークを提供するものである

【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 第2.1版」の改版に向けて議論を続けてきました。2021年10月に公開されたITU-T勧告X.1060、X.1060の日本語版の標準となるTTC標準JT-X1060に合わせた形での全面的な改版となります。

2023年10月に、「セキュリティ対応組織の教科書 第3.1版」を公開しました。付録となる「サービスポートフォリオシート」も公開しました。ぜひご活用ください。

私たちは企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらうべく、お助けツール「NANBOK」を開発しました。

23/TCPが多くのセンサーでトップとなり、6379/TCPも多くのセンサーでTOP10に入っています。こ

FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運
用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」
を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、
サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT
が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連
携によって価値を提供するために必要となる事項について説明しています。

今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document
1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン
ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、
Panasonic PSIRT によってレビューされ、公開されたものになります。

1)脆弱性診断サービスの選定
高度化するサイバー攻撃の脅威を未然に防ぐためには、十分な経験と能力を有したセキュリティベンダーの選定を要することから、選定に際しては経済産業省の定義する「情報セキュリティサービスに関する審査登録機関基準7」を満たすことの確認に加えて、脆弱性を検出する能力を測るため、ペネトレーションテストの国際資格の保有状況や CTF（Capture The Flag）等のセキュリティコン
テストにおける上位入賞実績、CVE（Common Vulnerabilities and Exposures）の付与された脆弱性の発見数等を問い合わせること等が有効である。また、診断サービスの調達においては、上記の基準に沿った有識者や有資格者が、診断の実施の中で、どのような役割として、何名、どの期間に関わる予定であるかを確認することが望ましい。

安全性が高く、処理が高速であるオンライン認証技術です。
FIDO Alliance という業界団体により仕様の策定が行われており、 生体認証を安全に使用できるという点で近年注目を浴びています。

U2F
FIDO を用いて二要素認証を実現する仕組みです。 ID、パスワードで認証を行い、それとは別にユーザが保有す る認証器を用いて認証を行います。

UAF
FIDOの認証自体で認証を行う仕組みです。 パスワードの代替として注目を浴びています。

大半の場合、オンライン上でアクティブな時間は わずか4~8時間程度しかありませんでした。 1時間ごとにリストを更新したとしても、 情報を入手してリストとして提供されるまでに 一般的に3~5日経過しているため、 発表される頃には既に問題のサイトはユーザーから 情報をだまし取った上で消滅している可能性があります。

2021 年 12 月 10 日に公表された Apache Log4j の脆弱性（CVE-2021-44228）を悪用する通信を観測しました。同日に概念実証コードがインターネット上に公開され、およそ 2 週間、攻撃パケットの観測件数が急に増えた状態が続いていましたが、その後は急速に減少し 1 月末にはほとんど観測されなくなり
ました。

3月に同協議会へ寄せられたフィッシングの報告は、前月比1.7倍となる8万2380件。前月の4万8611件から3万3769件増加した。これまで最多だった2021年12月の6万3159件を大きく上回る。

1日あたりに換算すると約2657.4件。前月の約1736.1件はもちろん、これまでもっとも多かった12月の約2037.4件の約1.3倍にあたる。

　過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%でした。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%でした。「IT投資」については前回調査（47.7%）と比較すると17.7％の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえます。

　本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。
　各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不正対策の状況を把握するための33項目のチェックシート、対策のヒントとなるQ&A集などを付録として用意しています。

 ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。

【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか

第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則

最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。

・米国の政策（トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など）
・テレワークの情報セキュリティ（インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など）
・NISTのセキュリティ関連活動（組織の沿革と体制、SP800,1800シリーズなど）

　自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。

2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。

JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。

「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。

本手引きは、サイバーセキュリティ経営ガイドラインの10の指示のうち、指示2（サイバーセキュリティリスク管理体制の構築）及び指示3（サイバーセキュリティ対策のための資源（予算、人材等）確保）について具体的な検討を行う際に活用していただくことを目的として作成しています。

テレワークセキュリティガイドライン（第5版）を2021年5月31日に公表しました。
　中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（第2版）を公表しました。

設定解説資料は、手引き（チェックリスト）の内容を具体的な環境で実施する際の参考資料として、テレワークで多く利用される製品を対象として補足的に作成している資料です。
○設定解説資料（CiscoWebexMeetings）PDF
○設定解説資料（Microsoft Teams）PDF
○設定解説資料（Zoom）PDF
○設定解説資料（Windows）【近日掲載予定】
○設定解説資料（Mac）【近日掲載予定】
○設定解説資料（iOS）【近日掲載予定】
○設定解説資料（Android）【近日掲載予定】
○設定解説資料（LanScope An）【近日掲載予定】
○設定解説資料（Exchange Online）【近日掲載予定】
○設定解説資料（Gmail）【近日掲載予定】
○設定解説資料（Teams_chat）【近日掲載予定】
○設定解説資料（LINE）【近日掲載予定】
○設定解説資料（OneDrive）【近日掲載予定】
○設定解説資料（Googleドライブ）【近日掲載予定】
○設定解説資料（Dropbox）【近日掲載予定】
○設定解説資料（YAMAHA VPNルータ）【近日掲載予定】
○設定解説資料（CiscoASA）【近日掲載予定】
○設定解説資料（Windowsリモートデスクトップ接続）【近日掲載予定】
○設定解説資料（Chromeリモートデスクトップ）【近日掲載予定】
○設定解説資料（Microsoft Defender）【近日掲載予定】
○設定解説資料（ウイルスバスター ビジネスセキュリティサービス）【近日掲載予定】