ブログ - 文献・統計・参考資料カテゴリのエントリ
IPAが開設している安心相談窓口があるというブログ記事を書いたのが7月で,その後の相談状況が報告されていました.
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
ウイルス検出の件数が多いようだけれど,これはEmotetで着弾したものも含まれるのだと思うが,相談窓口に相談する人たちのリテラシー的なものも感じることができるなぁ.
クローズアップ現代+でも,最初カプコンの話題に触れていて訪問・・・しているのは別の会社でしたが,社会性のある問題に発展しているのかな.
コロナ禍 あなたを狙うサイバー攻撃 - NHK クローズアップ現代+
https://www.nhk.or.jp/gendai/articles/4482/index.html
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
ウイルス検出の件数が多いようだけれど,これはEmotetで着弾したものも含まれるのだと思うが,相談窓口に相談する人たちのリテラシー的なものも感じることができるなぁ.
クローズアップ現代+でも,最初カプコンの話題に触れていて訪問・・・しているのは別の会社でしたが,社会性のある問題に発展しているのかな.
コロナ禍 あなたを狙うサイバー攻撃 - NHK クローズアップ現代+
https://www.nhk.or.jp/gendai/articles/4482/index.html
何かあった時に,そもそもあったのか? いつあったのか.いつからあったのか.どこから始まったのか.どこまでの範囲か,などを調べて影響調査する必要がある.あるいは全て捨てるか.
調べるためにはログを保存しておく必要があって,そのログを調べることができる仕組みと,その訓練が必要.急に運転しろと言われても最上級のベンツだと最新鋭すぎてエンジンの掛け方も分からんとおもうし.
じゃぁどれくらいログを保存しておく必要があるかという議論が必要で,本来なら永久的にということになるけれど,ストレージが安くなったと言っても限界もある.
そんな時の手助けになる資料がこれ.
「企業における情報システムのログ管理に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy28/reports/log_kanri/index.html
なんのログをいつまでに,法令による要求も記載がある.
3 年(不正アクセス禁止法の時効)から 7 年(詐欺罪や窃盗罪の時効)
そして,IPAはログ検索ツールの新バージョンをリリース.
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html
LogonTracerによるイベントログの可視化
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
PCの動きは複雑.PC,ルータ,ファイヤウォールなど色々なログが混ざり合い,とてもシーケンシャルなデータを目で追いきれないから可視化は大事だね.そもそも,上役に報告する際にビジュアル化されていると説得力が上がるのではなかろうか.
関連:訴訟ホールド
追記:
ログを活用した高度サイバー攻撃の早期発見と分析
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告
https://www.ipa.go.jp/files/000025363.pdf
調べるためにはログを保存しておく必要があって,そのログを調べることができる仕組みと,その訓練が必要.急に運転しろと言われても最上級のベンツだと最新鋭すぎてエンジンの掛け方も分からんとおもうし.
じゃぁどれくらいログを保存しておく必要があるかという議論が必要で,本来なら永久的にということになるけれど,ストレージが安くなったと言っても限界もある.
そんな時の手助けになる資料がこれ.
「企業における情報システムのログ管理に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy28/reports/log_kanri/index.html
なんのログをいつまでに,法令による要求も記載がある.
そして,IPAはログ検索ツールの新バージョンをリリース.
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html
LogonTracerによるイベントログの可視化
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
PCの動きは複雑.PC,ルータ,ファイヤウォールなど色々なログが混ざり合い,とてもシーケンシャルなデータを目で追いきれないから可視化は大事だね.そもそも,上役に報告する際にビジュアル化されていると説得力が上がるのではなかろうか.
関連:訴訟ホールド
追記:
ログを活用した高度サイバー攻撃の早期発見と分析
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告
https://www.ipa.go.jp/files/000025363.pdf
Microsoft Digital Defense Report でサイバーセキュリティの動向を知る
https://msrc-blog.microsoft.com/2020/10/21/20201022_defensereport/
引用: システムは堅牢化していってるから,一番脆弱な人間を狙ってるということだね.
そのほかのこれ.
引用: MFAの電話認証の電話代は誰が払っているのかいまだに知らない・・・
https://msrc-blog.microsoft.com/2020/10/21/20201022_defensereport/
引用:
最近では、ユーザーの認証情報を盗み出すことを目的としたフィッシング攻撃に焦点を移しています
そのほかのこれ.
引用:
COVID-19 の発生後、在宅勤務のポリシーが制定されたため、MFA 対応のリクエストが約 2 倍に増加しました
迷惑メール,なりすましメール対策として,DMARCを設定して見た.設定自体はDNSレコードに設定するだけなので,後はなりすまされれて届けられなかったメールが到着するメアドを観察するだけ.
んがしかし,実は迷惑メール対策全般が,法的には「通信の秘密を侵害する可能性がある」とのこと.
送信ドメイン認証技術等の導入に関する法的解釈について - 総務省
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html
DMARC導入に関する 法的な留意点 - 総務省総合通信基盤局
https://www.soumu.go.jp/main_content/000495390.pdf
ISPとかは,顧客に同意を取っていればOKのようですね.あるいは,正当にやっていますと十分あ説明があれば良いと.細かいけれど大事なんだろうな.
送信ドメイン認証「DMARC」を導入した「Yahoo!メール」 なりすましメール対策の導入効果は!?
https://www.jpaawg.org/docs/interview/yahoo/#title
んがしかし,実は迷惑メール対策全般が,法的には「通信の秘密を侵害する可能性がある」とのこと.
送信ドメイン認証技術等の導入に関する法的解釈について - 総務省
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html
DMARC導入に関する 法的な留意点 - 総務省総合通信基盤局
https://www.soumu.go.jp/main_content/000495390.pdf
ISPとかは,顧客に同意を取っていればOKのようですね.あるいは,正当にやっていますと十分あ説明があれば良いと.細かいけれど大事なんだろうな.
送信ドメイン認証「DMARC」を導入した「Yahoo!メール」 なりすましメール対策の導入効果は!?
https://www.jpaawg.org/docs/interview/yahoo/#title
知人宅で「ルータの調子が悪いから直して」と言われた時に,IT業務従事者として
ハジをかけないのでまずは設定を見ようとするもルータにログインするアカウントがわからない場合がある.
ほとんどの場合その知人はルータの設定をしたことがないので管理者パスワードがデフォルトのままということは非常によくある.
その時にメーカ別の管理者ユーザとパスワードの一覧がこれ.
https://www.proxydocker.com/ja/routerpassword/192.168.100.1
助けられる時がある...でも日本のバッファローとかだとルータの裏にシールで貼ってあったりするから,そういう場合は現地じゃないと対応できない.それはそれで正しい.

ほとんどの場合その知人はルータの設定をしたことがないので管理者パスワードがデフォルトのままということは非常によくある.
その時にメーカ別の管理者ユーザとパスワードの一覧がこれ.
https://www.proxydocker.com/ja/routerpassword/192.168.100.1
助けられる時がある...でも日本のバッファローとかだとルータの裏にシールで貼ってあったりするから,そういう場合は現地じゃないと対応できない.それはそれで正しい.
2020 CYBER THREATSCAPE REPORT Accenture Security
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2020/11/5 0:46
全部英語だけれど.
2020 CYBER THREATSCAPE REPORT Accenture Security
https://www.accenture.com/_acnmedia/PDF-136/Accenture-2020-Cyber-Threatscape-Full-Report.pdf
章立ては,次のような感じ.
01 COVID-19 ACCELERATES THE NEED FOR ADAPTIVE SECURITY
02 NEW, SOPHISTICATED TTPS TARGET BUSINESS CONTINUITY
03 MASKED OR NOISY CYBERATTACKS COMPLICATE DETECTION
04 RANSOMWARE FEEDS NEW PROFITABLE, SCALABLE BUSINESS
05 CONNECTEDNESS HAS CONSEQUENCES
ランサムウェア部分かな.
引用: 支払うことを推奨しているのか.金で解決を図るのもまた1つの手段.
VPN vulnerabilitiesのこれ.
引用: 確かに.セキュリティゲートウェイを通過してないだけ甘くなるし.利用しているクラウドシステムを信頼してレンジを広くして開けていると,いつの間にか・・・
2020 CYBER THREATSCAPE REPORT Accenture Security
https://www.accenture.com/_acnmedia/PDF-136/Accenture-2020-Cyber-Threatscape-Full-Report.pdf
章立ては,次のような感じ.
01 COVID-19 ACCELERATES THE NEED FOR ADAPTIVE SECURITY
02 NEW, SOPHISTICATED TTPS TARGET BUSINESS CONTINUITY
03 MASKED OR NOISY CYBERATTACKS COMPLICATE DETECTION
04 RANSOMWARE FEEDS NEW PROFITABLE, SCALABLE BUSINESS
05 CONNECTEDNESS HAS CONSEQUENCES
ランサムウェア部分かな.
引用:
身代金が支払われなかった場合には、身代金が支払われなかったデータの一部が流出しています8。法執行機関やサイバーセキュリティ業界は常に身代金を支払うことを勧めてきましたが、この「名前を出して恥をかかせる」アプローチは、被害者に支払いを求める圧力を加えています。
VPN vulnerabilitiesのこれ.
引用:
スプリットトンネル VPN 構成は、組織の情報セキュリティ (infosec) チームからの監視の低下につながる可能性があります。
あと15年ほど仕事を続けていくには,何が面白いのかと考えるとサイバーセキュリティ.と,ロボット.
いまさら,私にはロボットを吸収する空き領域はないのです...
引用: 自分の中で一番面白いと感じるのは,Detectと振り分け.「大丈夫」と証明する為の根拠整理. でもこれが難しい.コロンボや湯川教授のように論理的思考で整理できるようになりたい.(部屋を片付けろという声も聞こえる)
第6回会合(令和2年10月12日) 研究・産学官連携戦略ワーキンググループ
https://www.nisc.go.jp/conference/cs/kenkyu/wg/index.html
いまさら,私にはロボットを吸収する空き領域はないのです...
引用:
サイバーセキュリティに係る分野(以下、セキュリティ分野ともいう)におけるアカデ ミックな研究が国際的に急成長している。トップカンファレンスでの論文投稿は、2000 年に比し約 4 倍以上となる 2000 本超が毎回投稿される規模となっており、採択を巡って 切磋琢磨が行われている。
第6回会合(令和2年10月12日) 研究・産学官連携戦略ワーキンググループ
https://www.nisc.go.jp/conference/cs/kenkyu/wg/index.html
NTTデータ - サイバーセキュリティに関するグローバル動向四半期レポート 2019 年度 第 4 四半期を斜め読み
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2020/9/16 1:06
6月の記事だけどな.振り返りで.
サイバーセキュリティに関するグローバル動向四半期レポート(2020年1月~3月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/062600/
コロナウイルス関連の新規ドメイン登録数の増大.コロナで検索すると確率的に10%はリスクのあるサイトにたどり着く可能性があるそうだ.
むかしこのサイトでもよく引用していたJohns Hopkins 大学の正規サイトを模したマルウェアもあるそうで.(EXEのダウンロードが必要)
ちょっと世間を騒がせた三菱電機へのサイバー攻撃の推測も.ラテラルムーブメント対策が行われていた環境への攻撃という判断で高度攻撃だったと結論が.
重要情報は「エアギャップ化やマイクロセグメンテーション化」としてインターネットから切り離された環境に置くということ.かつて証明書発行業者のベリサインは,証明書発行用のコンピュータはネットワークから切り離されていると言ってたしね.自動化を妨げる運用になるがトレードオフか.
ランサムウェアに対しては,攻撃者に対して訴訟を出したという例が.払っても解決できない可能性があるから断固として払わない姿勢も大事だが,刺激すると被害が拡大化する可能性が.ここは奪い取られた情報価値によるのか.奪われた時点で「ごめんなさい」する覚悟を決めておけば良いのか.
サイバーセキュリティに関するグローバル動向四半期レポート(2020年1月~3月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/062600/
コロナウイルス関連の新規ドメイン登録数の増大.コロナで検索すると確率的に10%はリスクのあるサイトにたどり着く可能性があるそうだ.
むかしこのサイトでもよく引用していたJohns Hopkins 大学の正規サイトを模したマルウェアもあるそうで.(EXEのダウンロードが必要)
ちょっと世間を騒がせた三菱電機へのサイバー攻撃の推測も.ラテラルムーブメント対策が行われていた環境への攻撃という判断で高度攻撃だったと結論が.
重要情報は「エアギャップ化やマイクロセグメンテーション化」としてインターネットから切り離された環境に置くということ.かつて証明書発行業者のベリサインは,証明書発行用のコンピュータはネットワークから切り離されていると言ってたしね.自動化を妨げる運用になるがトレードオフか.
ランサムウェアに対しては,攻撃者に対して訴訟を出したという例が.払っても解決できない可能性があるから断固として払わない姿勢も大事だが,刺激すると被害が拡大化する可能性が.ここは奪い取られた情報価値によるのか.奪われた時点で「ごめんなさい」する覚悟を決めておけば良いのか.
「まいたー」というのも,その世界では標準語らしい.
引用:
長文なので,週末のお供に・・・
今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説
https://blogs.mcafee.jp/mitre-attck
引用:
ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略です。日本語に直訳すると「敵対的戦術とテクニック、一般知識」、意訳をすると「攻撃者の行動を戦術や戦法から分類したナレッジベース」になるのではないでしょうか?
長文なので,週末のお供に・・・
今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説
https://blogs.mcafee.jp/mitre-attck
IBMが毎年発表しているレポートだそうで.
情報漏えい時に発生するコストに関する調査2020年版を公開 - IBM
引用: レポートの詳細を得るには,IBMアカウントが必要です.(何年か前に作ったけど使えるかなぁ...)
情報漏えい時に発生するコストに関する調査2020年版を公開 - IBM
引用:
今回の調査では、2019年8月から2020年4月までの間に、17の地域と17の業界にまたがるあらゆる規模の組織で発生した524件のデータ侵害事案を分析しました。2020年版の調査レポートでは、情報漏えいの世界的な総コストが平均386万ドルとなり、2019年の調査からは約1.5%減少したものの、過去の調査とほぼ一致していることなど、過去の調査との整合性もある程度見られます。データ侵害を特定して封じ込めるまでの平均時間は、2020年調査では280日で、2019年調査の平均279日とほぼ一致しています。
大きい組織だと,セキュリティインシデント専門部署を設置する必要があるでしょう.企業ごとの事情もあるし.あるいは完全外部委託する方法.どっちがコストメリットがあるかは,脅威レベル(狙われやすさとか)それぞれかな.
外部委託したとしても,内情を把握しておかなければイザという時に何もできないので,結構なコストはかかるのだと思う.
そんな時にCSIRTの運用に関して,簡潔にまとめてある記事がありました.
CSIRT運用に関する新たな手法や留意点について提言--PwCコンサルティング
https://japan.zdnet.com/article/35158735/
外部委託したとしても,内情を把握しておかなければイザという時に何もできないので,結構なコストはかかるのだと思う.
そんな時にCSIRTの運用に関して,簡潔にまとめてある記事がありました.
CSIRT運用に関する新たな手法や留意点について提言--PwCコンサルティング
https://japan.zdnet.com/article/35158735/
2年くらい前だったか,GDPRが騒がれていたけれど,そういうのも内包したルールを定義したのかな.
「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました
https://www.meti.go.jp/press/2020/08/20200828012/20200828012.html
今時のプライバシーマークの進化系みたいなのが作られるかな.
「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました
https://www.meti.go.jp/press/2020/08/20200828012/20200828012.html
今時のプライバシーマークの進化系みたいなのが作られるかな.
情報処理試験だけでなく,セキュリティ情報の発信も積極的なIPAですが,寄せられた相談から伝えたい回答を集約したコンテンツを提供しています.
安心相談窓口だより
https://www.ipa.go.jp/security/anshin/mgdayoriindex.html
素人からの質問が素人すぎて堪えられない時などに,ちょっと参考になるかもしれません.
パスワードの使い回しによって,どこかで流出したパスワードによる不正ログイン事件も多く発生していますが,パスワードの生成方法のアイディアの1つを指南しているページがありました.
不正ログイン被害の原因となるパスワードの使い回しはNG
~ちょっとした工夫でパスワードの使い回しを回避~
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
安心相談窓口だより
https://www.ipa.go.jp/security/anshin/mgdayoriindex.html
素人からの質問が素人すぎて堪えられない時などに,ちょっと参考になるかもしれません.
パスワードの使い回しによって,どこかで流出したパスワードによる不正ログイン事件も多く発生していますが,パスワードの生成方法のアイディアの1つを指南しているページがありました.
不正ログイン被害の原因となるパスワードの使い回しはNG
~ちょっとした工夫でパスワードの使い回しを回避~
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
一般社団法人ICT-ISACが,ガイドを公開しています.
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について
https://www.ict-isac.jp/news/news20200701.html
技術的には初級かな.従業員に配布するには良いような気がします.
家庭内で安全快適に在宅勤務を行うためのリファレンスガイド
https://www.ict-isac.jp/news/remote%20work%20reference%20guide.pdf
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について
https://www.ict-isac.jp/news/news20200701.html
技術的には初級かな.従業員に配布するには良いような気がします.
家庭内で安全快適に在宅勤務を行うためのリファレンスガイド
https://www.ict-isac.jp/news/remote%20work%20reference%20guide.pdf
中小企業にもUTMやセンサーを置いてみたら,色々見つかったのIPAの報告書がでていました.
中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について
https://www.ipa.go.jp/security/fy2019/reports/sme/otasuketai_houkoku.html
ホンダや三菱電機などの大企業のユーザ企業,あるいはネットワークの専門家集団とも言えるNTTコミュニケーションのような企業でさえ,セキュリティ対策に巨額を投じているハズなのに一瞬のスキマがあればヤられる.
中小企業なんて,専門家を雇うことなんて難しい.危険物みたいに免許がないと事業ができないというようなわけでもないから...
となると,もう,漏れることを前提とした仕組みが必要なんじゃなかろうか.あるいは全くクローズにしてしまう.
守るためのコスト,漏れた時の被害を天秤にかけてどっちを選ぶかは経営者の判断するところですね.難しい.
中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について
https://www.ipa.go.jp/security/fy2019/reports/sme/otasuketai_houkoku.html
ホンダや三菱電機などの大企業のユーザ企業,あるいはネットワークの専門家集団とも言えるNTTコミュニケーションのような企業でさえ,セキュリティ対策に巨額を投じているハズなのに一瞬のスキマがあればヤられる.
中小企業なんて,専門家を雇うことなんて難しい.危険物みたいに免許がないと事業ができないというようなわけでもないから...
となると,もう,漏れることを前提とした仕組みが必要なんじゃなかろうか.あるいは全くクローズにしてしまう.
守るためのコスト,漏れた時の被害を天秤にかけてどっちを選ぶかは経営者の判断するところですね.難しい.
先週のホンダの事件の直後,これは偶然だと思うけれど,経済産業省が以下のような文章を発表していました.
昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました
https://www.meti.go.jp/press/2020/06/20200612004/20200612004.html
確かにもう忘れかけているけれど,三菱電機,NECと大企業が続き,最近でもNTTコミュニケーションと今回のホンダなど,日本の代表的な大企業が狙われていて,対策が弱そうなサプライチェーン(つまり下請け企業)を狙った攻撃も多いので「サイバーセキュリティお助け隊」が中小企業をサンプリングした結果ということになる.
中小企業からすると,どっちのウイルスの方が心配か・・・となると,両方とも目に見えないけれど,目に見えるコロナの方が脅威と感じやすいだろうね.
昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました
https://www.meti.go.jp/press/2020/06/20200612004/20200612004.html
確かにもう忘れかけているけれど,三菱電機,NECと大企業が続き,最近でもNTTコミュニケーションと今回のホンダなど,日本の代表的な大企業が狙われていて,対策が弱そうなサプライチェーン(つまり下請け企業)を狙った攻撃も多いので「サイバーセキュリティお助け隊」が中小企業をサンプリングした結果ということになる.
中小企業からすると,どっちのウイルスの方が心配か・・・となると,両方とも目に見えないけれど,目に見えるコロナの方が脅威と感じやすいだろうね.
緊急事態宣言解除もされたので,常時テレワークも終焉に近くなる...鬱になりそう.
各団体が,チェックポイントを用意しているので参考に.
テレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html
「3.テレワークから職場に戻る際のセキュリティ上の注意事項>を追記しました。」だそうです.
緊急事態宣言解除後のセキュリティ・チェックリスト
https://www.jnsa.org/telework_support/telework_security/index.html
各団体が,チェックポイントを用意しているので参考に.
テレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html
「3.テレワークから職場に戻る際のセキュリティ上の注意事項>を追記しました。」だそうです.
緊急事態宣言解除後のセキュリティ・チェックリスト
https://www.jnsa.org/telework_support/telework_security/index.html
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)というのが制定されたそうだ.
政府系システムでクラウドサービスを使う事も多くなったと思うけれど,あまり考えずに海外のクラウドサービスを使ったりする人が出てくるかもしれないしね.
政府情報システムのためのセキュリティ評価制度(ISMAP)
https://www.ipa.go.jp/security/ismap/index.html
政府系システムでクラウドサービスを使う事も多くなったと思うけれど,あまり考えずに海外のクラウドサービスを使ったりする人が出てくるかもしれないしね.
政府情報システムのためのセキュリティ評価制度(ISMAP)
https://www.ipa.go.jp/security/ismap/index.html
今日から新年度.新入社員も多いでしょうが自宅待機を余儀なくされている事も多いかな.
そんな時に,暇つぶしとまでは言わないけれど,情報セキュリティに関するeラーニングコンテンツがIPAから提供されています.
インターネット安全教室 指導者用e-ラーニングコンテンツ
https://www.ipa.go.jp/security/keihatsu/e-learning.html
これ,自前で用意すると結構な金額になると思う.
そんな時に,暇つぶしとまでは言わないけれど,情報セキュリティに関するeラーニングコンテンツがIPAから提供されています.
インターネット安全教室 指導者用e-ラーニングコンテンツ
https://www.ipa.go.jp/security/keihatsu/e-learning.html
これ,自前で用意すると結構な金額になると思う.
新型コロナウイルス感染症の影響を鑑み,情報処理試験について,延期しては?という意見がちょっとだけでていたIPAですが,「情報セキュリティ10大脅威 2020」を発表していました.
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
解説書も公開.「スマホ決済の不正利用」とある.ランク外からの1位.
年明けに特定非営利活動法人日本セキュリティ監査協会という団体が発表した「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」というのがあったけれど1位はランク外からの「自然災害によるIT被害の拡大」だった.
新型コロナウイルス感染症が自然災害だけれど,システム的には,株価暴落で楽天証券のシステムがダウン(実際には回線異常らしい?)くらいだったか.
やっぱり予測できないってことだ.備えるのは無理.
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
解説書も公開.「スマホ決済の不正利用」とある.ランク外からの1位.
年明けに特定非営利活動法人日本セキュリティ監査協会という団体が発表した「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」というのがあったけれど1位はランク外からの「自然災害によるIT被害の拡大」だった.
新型コロナウイルス感染症が自然災害だけれど,システム的には,株価暴落で楽天証券のシステムがダウン(実際には回線異常らしい?)くらいだったか.
やっぱり予測できないってことだ.備えるのは無理.
NTTデータが四半期ごとにレポートをだしていました.
サイバーセキュリティに関するグローバル動向四半期レポート - NTTデータ
https://www.nttdata.com/jp/ja/news/information/2020/022801/
興味深かったのは,Office365のOAuthの脆弱性,BlackDirectのことです.これは,2019年11月19日に修正されたとあったけれど,あれれ?office 365 障害で記録した,あのクラウド障害の日程と一致するんだね.
認証の問題だったので,まさにこの影響か.ことがことだけにいそいでやったんだろうな.
サイバーセキュリティに関するグローバル動向四半期レポート - NTTデータ
https://www.nttdata.com/jp/ja/news/information/2020/022801/
興味深かったのは,Office365のOAuthの脆弱性,BlackDirectのことです.これは,2019年11月19日に修正されたとあったけれど,あれれ?office 365 障害で記録した,あのクラウド障害の日程と一致するんだね.
認証の問題だったので,まさにこの影響か.ことがことだけにいそいでやったんだろうな.
内閣官房内閣サイバーセキュリティセンター(NISC)が,セキュリティ関係の法令Q&Aをまとめたものをリリースしていました.
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/index.html
サイバーセキュリティ関係法令Q&AハンドブックVer1.0(令和2年3月2日)
普通に,刑法,民放だけじゃなく,会社法,個人情報保護法,電気通信事業法や,不正アクセス禁止法,サイバーセキュリティ基本法など様々な法律に関するものがまとまっています.
300ページを超える対策だから普通に読むのは辛いなぁ.
今だけ?話題のテレワークも,総務省で平成30年4月に「テレワークセキュリティガイドライン(第 4 版)」を策定しているとか乗っているし,何か検討しなければいけない時に参照するのに有益な情報源かな.
追記2023/09/26
改訂版がリリース.
サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/law_handbook.html
引用:
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/index.html
サイバーセキュリティ関係法令Q&AハンドブックVer1.0(令和2年3月2日)
普通に,刑法,民放だけじゃなく,会社法,個人情報保護法,電気通信事業法や,不正アクセス禁止法,サイバーセキュリティ基本法など様々な法律に関するものがまとまっています.
300ページを超える対策だから普通に読むのは辛いなぁ.
今だけ?話題のテレワークも,総務省で平成30年4月に「テレワークセキュリティガイドライン(第 4 版)」を策定しているとか乗っているし,何か検討しなければいけない時に参照するのに有益な情報源かな.
追記2023/09/26
改訂版がリリース.
サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/law_handbook.html
引用:
Ver2.0で追加されたQの一覧
サイバーセキュリティインシデント発生時の当局等対応
インシデントレスポンスと関係者への対応
5G促進法(特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律)
ドローンとサイバーセキュリティ
重要インフラ分野における規律
モビリティとサイバーセキュリティ
DX認定・DX銘柄とサイバーセキュリティ
サイバーセキュリティに関する規格等とNIST SP800シリーズ
認証/本人確認に関する法令について
サイバーセキュリティ事業者への投資
脅威インテリジェンスサービス
データの消去、データが記録された機器・電子媒体の廃棄
ランサムウェア対応
インシデント対応における費用負担及びサイバー保険
越境リモートアクセス
海外における主なサイバーセキュリティ法令
国際捜査共助・協力に関する条約・協定
IPAが毎年発表している件で,2019年分が発表されていました.
コンピュータウイルスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
2019年はLokiBotとEmotet.Emotetは実際に着弾をみたので,流行っているんだなぁと思います.
そして手口的には,「侵入」が多い模様.その次の「なりすまし」に対して2倍.サーバの種類は.Webサーバ.まぁ,外に向いて開けてないマシンには入ってこれないしね.
永遠の?課題のバージョンが古くて穴をつかれた件も一定数あります.そんなん言われても気軽にバージョンアップできない.
セキュリティホールのパッチといっても,他の部分が修正されていることがある.(累積パッチといわれたりする)
リリースノートに全てが書かれているわけでも無いので,その累積パッチがどこまで影響するか全くわからない.
パッチはリリースされず,必ずバージョンアップしかしない会社もある.シマンテック製品とか.
テストテスト.テスト不足.そもそも改変用にテスト環境,ステージング環境を持っているし,Dockerなどの技術で簡単に環境も構築できる.ただし,やっぱり全く同じでは無いので本番で動かしてみないと発生しない,確認できないこともある.
セキュリティホールに対応するための積極的なバージョンアップによって,システムトラブルが発生しても,責められるのは運用者だけれど,バージョンアップしなくて責められるのもシステム運用者.それだったら,バージョンアップを進めたほうがいい.でも,完璧なものを求められる世界もあるからなぁ.
コンピュータウイルスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
2019年はLokiBotとEmotet.Emotetは実際に着弾をみたので,流行っているんだなぁと思います.
そして手口的には,「侵入」が多い模様.その次の「なりすまし」に対して2倍.サーバの種類は.Webサーバ.まぁ,外に向いて開けてないマシンには入ってこれないしね.
永遠の?課題のバージョンが古くて穴をつかれた件も一定数あります.そんなん言われても気軽にバージョンアップできない.
テストテスト.テスト不足.そもそも改変用にテスト環境,ステージング環境を持っているし,Dockerなどの技術で簡単に環境も構築できる.ただし,やっぱり全く同じでは無いので本番で動かしてみないと発生しない,確認できないこともある.
セキュリティホールに対応するための積極的なバージョンアップによって,システムトラブルが発生しても,責められるのは運用者だけれど,バージョンアップしなくて責められるのもシステム運用者.それだったら,バージョンアップを進めたほうがいい.でも,完璧なものを求められる世界もあるからなぁ.
サイバーセキュリティに関連する何かしらの団体はたくさんあるけれど,また1つ知りました.
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
https://www.ipa.go.jp/security/J-CSIP/
IPAを情報ハブとして,民間の産業別団体,鉄鋼業界,鉄道業界などなどが参加していて,毎年参加団体が増えているようだ.
レポートも公開されているけれど,見ていくのが大変だなぁ.頭に入らん.
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
https://www.ipa.go.jp/security/J-CSIP/
IPAを情報ハブとして,民間の産業別団体,鉄鋼業界,鉄道業界などなどが参加していて,毎年参加団体が増えているようだ.
レポートも公開されているけれど,見ていくのが大変だなぁ.頭に入らん.
この件も三菱電機の件も,東出&唐田えりか様問題の前には,全く話題にもならない.
「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
サイバーセキュリティタスクフォース(第20回)
「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
サイバーセキュリティタスクフォース(第20回)
特定非営利活動法人日本セキュリティ監査協会という団体が,2020年のトレンドを発表してました.
監査人の警鐘 - 2020年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/security_trend_top10.html
1位はランク外からの「自然災害によるIT被害の拡大」とあります.予測できない自然災害が多発する昨今.備えても仕方ない気もする.だって予測できないわけだから,逆になくてもどうにかなるような仕組みを準備すべきかな.紙で印刷しておくとかさ...
このランクを見ていると,前年のランク外がトップ10中8つある.それって精度としてどうなんかな.
監査人の警鐘 - 2020年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/security_trend_top10.html
1位はランク外からの「自然災害によるIT被害の拡大」とあります.予測できない自然災害が多発する昨今.備えても仕方ない気もする.だって予測できないわけだから,逆になくてもどうにかなるような仕組みを準備すべきかな.紙で印刷しておくとかさ...
このランクを見ていると,前年のランク外がトップ10中8つある.それって精度としてどうなんかな.
ヨドバシカメラに行くと,パソコン売り場でWindows7のサポート終了までのカウントダウン情報がでていたりするのだけれど,世の中にはソフトウェアがたくさんあって,それらの情報を把握するのは大変.
ということで,CIS(Center ofr Internet Security)が情報を取りまとめてくれていました.
まずは親記事のページへのリンク.
MS-ISAC Releases EOS Software Report List
https://www.us-cert.gov/ncas/current-activity/2019/10/30/ms-isac-releases-eos-software-report-list
リスト.
End of Suport(EOS) Software Report List
https://www.cisecurity.org/wp-content/uploads/2019/10/EOS-Report-October.pdf
ここのリストにあるのは,次のようなメーカ.
Adobe,Atlassian,Checkpoint,Cisco,Corel,Debian,Forcepoint,IBM,Joomla,Linux Kernel,McAfee,MediaWiki,Microsoft,One Identity,Oracle,RSA,Sophos,Symantec,Trend Micro,Tripwire,Ubuntu,VMWare,WinZip,Wiresh ark Foundation(Wireshark)
有名な有償ソフトもあればオープンソースも入っている.今後月次で12ヶ月はリストが更新されるようなので,ニュースレターの購読申し込みをしておきました.
ということで,CIS(Center ofr Internet Security)が情報を取りまとめてくれていました.
まずは親記事のページへのリンク.
MS-ISAC Releases EOS Software Report List
https://www.us-cert.gov/ncas/current-activity/2019/10/30/ms-isac-releases-eos-software-report-list
リスト.
End of Suport(EOS) Software Report List
https://www.cisecurity.org/wp-content/uploads/2019/10/EOS-Report-October.pdf
ここのリストにあるのは,次のようなメーカ.
Adobe,Atlassian,Checkpoint,Cisco,Corel,Debian,Forcepoint,IBM,Joomla,Linux Kernel,McAfee,MediaWiki,Microsoft,One Identity,Oracle,RSA,Sophos,Symantec,Trend Micro,Tripwire,Ubuntu,VMWare,WinZip,Wiresh ark Foundation(Wireshark)
有名な有償ソフトもあればオープンソースも入っている.今後月次で12ヶ月はリストが更新されるようなので,ニュースレターの購読申し込みをしておきました.
興味深いレポートが.
管理されないオンラインファイル共有はリスクを高める:シマンテック警告
http://japan.zdnet.com/security/analysis/35018659/
最近言われて試してみたのだけれどEvernoteはWindowsの管理者権限が無くてもインストールできてしまう.そして通信内容の把握はできないので統制を実施するためのログ取得が難しい.
これまでの考え方だとEvernoteのサイトへのアクセスを禁止するか統制用プログラム管理システムにより起動できないようにすれば防げたが,たとえEvernoteを封鎖しても類似のサービスのDropboxなどもあり,封鎖する方式だときりがない. Google driveだとGoogleへのアクセスを禁止するわけにもいかず...
つまりこういう時は,「考え方を変える」必要がある.
管理されないオンラインファイル共有はリスクを高める:シマンテック警告
http://japan.zdnet.com/security/analysis/35018659/
最近言われて試してみたのだけれどEvernoteはWindowsの管理者権限が無くてもインストールできてしまう.そして通信内容の把握はできないので統制を実施するためのログ取得が難しい.
これまでの考え方だとEvernoteのサイトへのアクセスを禁止するか統制用プログラム管理システムにより起動できないようにすれば防げたが,たとえEvernoteを封鎖しても類似のサービスのDropboxなどもあり,封鎖する方式だときりがない. Google driveだとGoogleへのアクセスを禁止するわけにもいかず...
つまりこういう時は,「考え方を変える」必要がある.
IPAが中小企業向けのセキュリティガイドラインをまとめています.
中小企業の情報セキュリティ対策ガイドライン
中小企業が抱える情報セキュリティの問題点としては,次の通りとされています.
1.リソース(人・物・金)に制約がある.
2.情報化が進んでいない.
3.動機が無い
大企業を取引先とする場合,Pマーク,ISMS等を取得しているか,あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです.
このガイドには5分でできるセルフチェックシートもあるので,まずは一般的な測量によって十分か否かをチェックし,自社でできていない所,重要な所をしぼって対策をすれば良いと思います.
中小企業の情報セキュリティ対策ガイドライン
中小企業が抱える情報セキュリティの問題点としては,次の通りとされています.
1.リソース(人・物・金)に制約がある.
2.情報化が進んでいない.
3.動機が無い
大企業を取引先とする場合,Pマーク,ISMS等を取得しているか,あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです.
このガイドには5分でできるセルフチェックシートもあるので,まずは一般的な測量によって十分か否かをチェックし,自社でできていない所,重要な所をしぼって対策をすれば良いと思います.
ちょっと調べものをしていて,Anti VirusソフトウェアのComparatives(比較)サイトがある事が解りました.
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%