最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。

・米国の政策（トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など）
・テレワークの情報セキュリティ（インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など）
・NISTのセキュリティ関連活動（組織の沿革と体制、SP800,1800シリーズなど）

　自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。

2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。

JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。

「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。

本手引きは、サイバーセキュリティ経営ガイドラインの10の指示のうち、指示2（サイバーセキュリティリスク管理体制の構築）及び指示3（サイバーセキュリティ対策のための資源（予算、人材等）確保）について具体的な検討を行う際に活用していただくことを目的として作成しています。

テレワークセキュリティガイドライン（第5版）を2021年5月31日に公表しました。
　中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（第2版）を公表しました。

設定解説資料は、手引き（チェックリスト）の内容を具体的な環境で実施する際の参考資料として、テレワークで多く利用される製品を対象として補足的に作成している資料です。
○設定解説資料（CiscoWebexMeetings）PDF
○設定解説資料（Microsoft Teams）PDF
○設定解説資料（Zoom）PDF
○設定解説資料（Windows）【近日掲載予定】
○設定解説資料（Mac）【近日掲載予定】
○設定解説資料（iOS）【近日掲載予定】
○設定解説資料（Android）【近日掲載予定】
○設定解説資料（LanScope An）【近日掲載予定】
○設定解説資料（Exchange Online）【近日掲載予定】
○設定解説資料（Gmail）【近日掲載予定】
○設定解説資料（Teams_chat）【近日掲載予定】
○設定解説資料（LINE）【近日掲載予定】
○設定解説資料（OneDrive）【近日掲載予定】
○設定解説資料（Googleドライブ）【近日掲載予定】
○設定解説資料（Dropbox）【近日掲載予定】
○設定解説資料（YAMAHA VPNルータ）【近日掲載予定】
○設定解説資料（CiscoASA）【近日掲載予定】
○設定解説資料（Windowsリモートデスクトップ接続）【近日掲載予定】
○設定解説資料（Chromeリモートデスクトップ）【近日掲載予定】
○設定解説資料（Microsoft Defender）【近日掲載予定】
○設定解説資料（ウイルスバスター ビジネスセキュリティサービス）【近日掲載予定】

内閣サイバーセキュリティセンター（NISC）は、「政府機関等における情報システム運用継続計画ガイドライン」を約8年ぶりに改定した。

同ガイドラインは、政府機関の担当者が「情報システムにおける運用継続計画（IT-BCP）」の作成時における検討手順や留意点をまとめた手引書。

今般、この第１版を基に、読者の利便性の観点から内容の拡充及び見直しを行い、第1.1版を取りまとめました。また、経営層を含む幅広い方に手引きの内容を御理解いただくため、手引きの概要も新たに作成しました。

旧来の不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃は全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。

Google では、中高生 15, 557 人（中学生 5,835 人／ 高校生 9,722 人）と、中高生の教員 119 名を対象にインターネット利用について調査し、この結果を「中高生インターネット利用白書 2021 」として公開します。

早速ですが、まずは以下の図１をご覧ください。
真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか？

〜略〜

今回解説する手口を悪用すれば、この図が示したとおり、プロセスから得られる情報はもはや無意味となり、何が真実かを判断することはできなくなってしまいます。

各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA（情報処理推進機構）が翻訳版を公開しています。

〜略〜

米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。

〜略〜

技術要件（77項目）

1.アクセス制御
4.構成管理
5.識別と認証
7.メンテナンス
10.物理的保護
13.システムと通信の保護
14.システムと情報の完全性

非技術要件（33項目）
2.意識向上と訓練
3.監査と責任追跡性（説明責任）
6.インシデント対応
8.メディア保護
9.要員のセキュリティ
11.リスクアセスメント
12.セキュリティアセスメント

2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。

「Zerologon」の脆弱性（CVE-2020-1472）に対する修正プログラムは2020年8月にリリースされましたが、「Netlogon Remote Protocol」がWindows以外の製品にも実装されていることから、Microsoft社はそれらの製品との互換性を考慮し、本脆弱性への対処を2段階に分けて実施すると発表(*6)しました。ソフトウェア製品の利用者およびシステム管理者は、Microsoft社が案内している専用のガイダンスページを参照の上、自組織で必要となる作業を把握し、2段階目のリリース（2021年2月9日公開予定）時には早急に対応できるよう準備を行ってください。

　修正完了したウェブサイトの件数は73件（累計7,994件）でした。修正を完了した73件のうち、ウェブアプリケーションを修正したものは68件（93%）、当該ページを削除したものは5件（7%）で、運用で回避したものはありませんでした。

2020年、業務体制が分散型に移行する中、デバイスやソフトウェアの再配置などが試みられました。攻撃者は、こうした状況に伴う企業のセキュリティ態勢のギャップに便乗し、リモートワークでのセキュリティ上の弱点やサポートの準備不足などを利用するでしょう。

サイバー攻撃による被害が深刻化し、被害内容も複雑になっており、経営者
の一層の関与が必要になっている

　IPAは、標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊（J-CRAT：Cyber Rescue and Advice Team against targeted attack of Japan）を発足させました。

専門監査人WGで作成いたしました
「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開いたしました。
併せて皆様からのパブリックコメントへの回答も掲載していますので
ご確認ください。

インターネットとの接続点に設置したセンサーにお いて検知したアクセス件数は、一日・1IP アドレス当たり 6,454.4 件で、令和2年9月期(以下「前月 期」という。)の 6,588.0 件と比較して 133.6 件(2.0%)減少しました

本年11月1日に、主要経済団体のリーダーシップの下、多様な産業分野の団体等が集まり、サプライチェーン全体でのサイバーセキュリティ対策の推進を行うことを目的としたサプライチェーン・サイバーセキュリティ・コンソーシアム（Supply Chain Cybersecurity Consortium: SC3）が設立されることになりました。
本コンソーシアムの設立総会は本年11月19日を予定しております。

最近では、ユーザーの認証情報を盗み出すことを目的としたフィッシング攻撃に焦点を移しています

COVID-19 の発生後、在宅勤務のポリシーが制定されたため、MFA 対応のリクエストが約 2 倍に増加しました