ブログ - 文献・統計・参考資料カテゴリのエントリ
あと15年ほど仕事を続けていくには,何が面白いのかと考えるとサイバーセキュリティ.と,ロボット.
いまさら,私にはロボットを吸収する空き領域はないのです...
引用: 自分の中で一番面白いと感じるのは,Detectと振り分け.「大丈夫」と証明する為の根拠整理. でもこれが難しい.コロンボや湯川教授のように論理的思考で整理できるようになりたい.(部屋を片付けろという声も聞こえる)
第6回会合(令和2年10月12日) 研究・産学官連携戦略ワーキンググループ
https://www.nisc.go.jp/conference/cs/kenkyu/wg/index.html
いまさら,私にはロボットを吸収する空き領域はないのです...
引用:
サイバーセキュリティに係る分野(以下、セキュリティ分野ともいう)におけるアカデ ミックな研究が国際的に急成長している。トップカンファレンスでの論文投稿は、2000 年に比し約 4 倍以上となる 2000 本超が毎回投稿される規模となっており、採択を巡って 切磋琢磨が行われている。
第6回会合(令和2年10月12日) 研究・産学官連携戦略ワーキンググループ
https://www.nisc.go.jp/conference/cs/kenkyu/wg/index.html
NTTデータ - サイバーセキュリティに関するグローバル動向四半期レポート 2019 年度 第 4 四半期を斜め読み
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2020/9/16 1:06
6月の記事だけどな.振り返りで.
サイバーセキュリティに関するグローバル動向四半期レポート(2020年1月~3月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/062600/
コロナウイルス関連の新規ドメイン登録数の増大.コロナで検索すると確率的に10%はリスクのあるサイトにたどり着く可能性があるそうだ.
むかしこのサイトでもよく引用していたJohns Hopkins 大学の正規サイトを模したマルウェアもあるそうで.(EXEのダウンロードが必要)
ちょっと世間を騒がせた三菱電機へのサイバー攻撃の推測も.ラテラルムーブメント対策が行われていた環境への攻撃という判断で高度攻撃だったと結論が.
重要情報は「エアギャップ化やマイクロセグメンテーション化」としてインターネットから切り離された環境に置くということ.かつて証明書発行業者のベリサインは,証明書発行用のコンピュータはネットワークから切り離されていると言ってたしね.自動化を妨げる運用になるがトレードオフか.
ランサムウェアに対しては,攻撃者に対して訴訟を出したという例が.払っても解決できない可能性があるから断固として払わない姿勢も大事だが,刺激すると被害が拡大化する可能性が.ここは奪い取られた情報価値によるのか.奪われた時点で「ごめんなさい」する覚悟を決めておけば良いのか.
サイバーセキュリティに関するグローバル動向四半期レポート(2020年1月~3月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/062600/
コロナウイルス関連の新規ドメイン登録数の増大.コロナで検索すると確率的に10%はリスクのあるサイトにたどり着く可能性があるそうだ.
むかしこのサイトでもよく引用していたJohns Hopkins 大学の正規サイトを模したマルウェアもあるそうで.(EXEのダウンロードが必要)
ちょっと世間を騒がせた三菱電機へのサイバー攻撃の推測も.ラテラルムーブメント対策が行われていた環境への攻撃という判断で高度攻撃だったと結論が.
重要情報は「エアギャップ化やマイクロセグメンテーション化」としてインターネットから切り離された環境に置くということ.かつて証明書発行業者のベリサインは,証明書発行用のコンピュータはネットワークから切り離されていると言ってたしね.自動化を妨げる運用になるがトレードオフか.
ランサムウェアに対しては,攻撃者に対して訴訟を出したという例が.払っても解決できない可能性があるから断固として払わない姿勢も大事だが,刺激すると被害が拡大化する可能性が.ここは奪い取られた情報価値によるのか.奪われた時点で「ごめんなさい」する覚悟を決めておけば良いのか.
「まいたー」というのも,その世界では標準語らしい.
引用:
長文なので,週末のお供に・・・
今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説
https://blogs.mcafee.jp/mitre-attck
引用:
ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略です。日本語に直訳すると「敵対的戦術とテクニック、一般知識」、意訳をすると「攻撃者の行動を戦術や戦法から分類したナレッジベース」になるのではないでしょうか?
長文なので,週末のお供に・・・
今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説
https://blogs.mcafee.jp/mitre-attck
IBMが毎年発表しているレポートだそうで.
情報漏えい時に発生するコストに関する調査2020年版を公開 - IBM
引用: レポートの詳細を得るには,IBMアカウントが必要です.(何年か前に作ったけど使えるかなぁ...)
情報漏えい時に発生するコストに関する調査2020年版を公開 - IBM
引用:
今回の調査では、2019年8月から2020年4月までの間に、17の地域と17の業界にまたがるあらゆる規模の組織で発生した524件のデータ侵害事案を分析しました。2020年版の調査レポートでは、情報漏えいの世界的な総コストが平均386万ドルとなり、2019年の調査からは約1.5%減少したものの、過去の調査とほぼ一致していることなど、過去の調査との整合性もある程度見られます。データ侵害を特定して封じ込めるまでの平均時間は、2020年調査では280日で、2019年調査の平均279日とほぼ一致しています。
大きい組織だと,セキュリティインシデント専門部署を設置する必要があるでしょう.企業ごとの事情もあるし.あるいは完全外部委託する方法.どっちがコストメリットがあるかは,脅威レベル(狙われやすさとか)それぞれかな.
外部委託したとしても,内情を把握しておかなければイザという時に何もできないので,結構なコストはかかるのだと思う.
そんな時にCSIRTの運用に関して,簡潔にまとめてある記事がありました.
CSIRT運用に関する新たな手法や留意点について提言--PwCコンサルティング
https://japan.zdnet.com/article/35158735/
外部委託したとしても,内情を把握しておかなければイザという時に何もできないので,結構なコストはかかるのだと思う.
そんな時にCSIRTの運用に関して,簡潔にまとめてある記事がありました.
CSIRT運用に関する新たな手法や留意点について提言--PwCコンサルティング
https://japan.zdnet.com/article/35158735/
2年くらい前だったか,GDPRが騒がれていたけれど,そういうのも内包したルールを定義したのかな.
「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました
https://www.meti.go.jp/press/2020/08/20200828012/20200828012.html
今時のプライバシーマークの進化系みたいなのが作られるかな.
「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました
https://www.meti.go.jp/press/2020/08/20200828012/20200828012.html
今時のプライバシーマークの進化系みたいなのが作られるかな.
情報処理試験だけでなく,セキュリティ情報の発信も積極的なIPAですが,寄せられた相談から伝えたい回答を集約したコンテンツを提供しています.
安心相談窓口だより
https://www.ipa.go.jp/security/anshin/mgdayoriindex.html
素人からの質問が素人すぎて堪えられない時などに,ちょっと参考になるかもしれません.
パスワードの使い回しによって,どこかで流出したパスワードによる不正ログイン事件も多く発生していますが,パスワードの生成方法のアイディアの1つを指南しているページがありました.
不正ログイン被害の原因となるパスワードの使い回しはNG
~ちょっとした工夫でパスワードの使い回しを回避~
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
安心相談窓口だより
https://www.ipa.go.jp/security/anshin/mgdayoriindex.html
素人からの質問が素人すぎて堪えられない時などに,ちょっと参考になるかもしれません.
パスワードの使い回しによって,どこかで流出したパスワードによる不正ログイン事件も多く発生していますが,パスワードの生成方法のアイディアの1つを指南しているページがありました.
不正ログイン被害の原因となるパスワードの使い回しはNG
~ちょっとした工夫でパスワードの使い回しを回避~
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
一般社団法人ICT-ISACが,ガイドを公開しています.
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について
https://www.ict-isac.jp/news/news20200701.html
技術的には初級かな.従業員に配布するには良いような気がします.
家庭内で安全快適に在宅勤務を行うためのリファレンスガイド
https://www.ict-isac.jp/news/remote%20work%20reference%20guide.pdf
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について
https://www.ict-isac.jp/news/news20200701.html
技術的には初級かな.従業員に配布するには良いような気がします.
家庭内で安全快適に在宅勤務を行うためのリファレンスガイド
https://www.ict-isac.jp/news/remote%20work%20reference%20guide.pdf
中小企業にもUTMやセンサーを置いてみたら,色々見つかったのIPAの報告書がでていました.
中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について
https://www.ipa.go.jp/security/fy2019/reports/sme/otasuketai_houkoku.html
ホンダや三菱電機などの大企業のユーザ企業,あるいはネットワークの専門家集団とも言えるNTTコミュニケーションのような企業でさえ,セキュリティ対策に巨額を投じているハズなのに一瞬のスキマがあればヤられる.
中小企業なんて,専門家を雇うことなんて難しい.危険物みたいに免許がないと事業ができないというようなわけでもないから...
となると,もう,漏れることを前提とした仕組みが必要なんじゃなかろうか.あるいは全くクローズにしてしまう.
守るためのコスト,漏れた時の被害を天秤にかけてどっちを選ぶかは経営者の判断するところですね.難しい.
中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について
https://www.ipa.go.jp/security/fy2019/reports/sme/otasuketai_houkoku.html
ホンダや三菱電機などの大企業のユーザ企業,あるいはネットワークの専門家集団とも言えるNTTコミュニケーションのような企業でさえ,セキュリティ対策に巨額を投じているハズなのに一瞬のスキマがあればヤられる.
中小企業なんて,専門家を雇うことなんて難しい.危険物みたいに免許がないと事業ができないというようなわけでもないから...
となると,もう,漏れることを前提とした仕組みが必要なんじゃなかろうか.あるいは全くクローズにしてしまう.
守るためのコスト,漏れた時の被害を天秤にかけてどっちを選ぶかは経営者の判断するところですね.難しい.
先週のホンダの事件の直後,これは偶然だと思うけれど,経済産業省が以下のような文章を発表していました.
昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました
https://www.meti.go.jp/press/2020/06/20200612004/20200612004.html
確かにもう忘れかけているけれど,三菱電機,NECと大企業が続き,最近でもNTTコミュニケーションと今回のホンダなど,日本の代表的な大企業が狙われていて,対策が弱そうなサプライチェーン(つまり下請け企業)を狙った攻撃も多いので「サイバーセキュリティお助け隊」が中小企業をサンプリングした結果ということになる.
中小企業からすると,どっちのウイルスの方が心配か・・・となると,両方とも目に見えないけれど,目に見えるコロナの方が脅威と感じやすいだろうね.
昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました
https://www.meti.go.jp/press/2020/06/20200612004/20200612004.html
確かにもう忘れかけているけれど,三菱電機,NECと大企業が続き,最近でもNTTコミュニケーションと今回のホンダなど,日本の代表的な大企業が狙われていて,対策が弱そうなサプライチェーン(つまり下請け企業)を狙った攻撃も多いので「サイバーセキュリティお助け隊」が中小企業をサンプリングした結果ということになる.
中小企業からすると,どっちのウイルスの方が心配か・・・となると,両方とも目に見えないけれど,目に見えるコロナの方が脅威と感じやすいだろうね.
緊急事態宣言解除もされたので,常時テレワークも終焉に近くなる...鬱になりそう.
各団体が,チェックポイントを用意しているので参考に.
テレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html
「3.テレワークから職場に戻る際のセキュリティ上の注意事項>を追記しました。」だそうです.
緊急事態宣言解除後のセキュリティ・チェックリスト
https://www.jnsa.org/telework_support/telework_security/index.html
各団体が,チェックポイントを用意しているので参考に.
テレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html
「3.テレワークから職場に戻る際のセキュリティ上の注意事項>を追記しました。」だそうです.
緊急事態宣言解除後のセキュリティ・チェックリスト
https://www.jnsa.org/telework_support/telework_security/index.html
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)というのが制定されたそうだ.
政府系システムでクラウドサービスを使う事も多くなったと思うけれど,あまり考えずに海外のクラウドサービスを使ったりする人が出てくるかもしれないしね.
政府情報システムのためのセキュリティ評価制度(ISMAP)
https://www.ipa.go.jp/security/ismap/index.html
政府系システムでクラウドサービスを使う事も多くなったと思うけれど,あまり考えずに海外のクラウドサービスを使ったりする人が出てくるかもしれないしね.
政府情報システムのためのセキュリティ評価制度(ISMAP)
https://www.ipa.go.jp/security/ismap/index.html
今日から新年度.新入社員も多いでしょうが自宅待機を余儀なくされている事も多いかな.
そんな時に,暇つぶしとまでは言わないけれど,情報セキュリティに関するeラーニングコンテンツがIPAから提供されています.
インターネット安全教室 指導者用e-ラーニングコンテンツ
https://www.ipa.go.jp/security/keihatsu/e-learning.html
これ,自前で用意すると結構な金額になると思う.
そんな時に,暇つぶしとまでは言わないけれど,情報セキュリティに関するeラーニングコンテンツがIPAから提供されています.
インターネット安全教室 指導者用e-ラーニングコンテンツ
https://www.ipa.go.jp/security/keihatsu/e-learning.html
これ,自前で用意すると結構な金額になると思う.
新型コロナウイルス感染症の影響を鑑み,情報処理試験について,延期しては?という意見がちょっとだけでていたIPAですが,「情報セキュリティ10大脅威 2020」を発表していました.
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
解説書も公開.「スマホ決済の不正利用」とある.ランク外からの1位.
年明けに特定非営利活動法人日本セキュリティ監査協会という団体が発表した「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」というのがあったけれど1位はランク外からの「自然災害によるIT被害の拡大」だった.
新型コロナウイルス感染症が自然災害だけれど,システム的には,株価暴落で楽天証券のシステムがダウン(実際には回線異常らしい?)くらいだったか.
やっぱり予測できないってことだ.備えるのは無理.
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
解説書も公開.「スマホ決済の不正利用」とある.ランク外からの1位.
年明けに特定非営利活動法人日本セキュリティ監査協会という団体が発表した「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」というのがあったけれど1位はランク外からの「自然災害によるIT被害の拡大」だった.
新型コロナウイルス感染症が自然災害だけれど,システム的には,株価暴落で楽天証券のシステムがダウン(実際には回線異常らしい?)くらいだったか.
やっぱり予測できないってことだ.備えるのは無理.
NTTデータが四半期ごとにレポートをだしていました.
サイバーセキュリティに関するグローバル動向四半期レポート - NTTデータ
https://www.nttdata.com/jp/ja/news/information/2020/022801/
興味深かったのは,Office365のOAuthの脆弱性,BlackDirectのことです.これは,2019年11月19日に修正されたとあったけれど,あれれ?office 365 障害で記録した,あのクラウド障害の日程と一致するんだね.
認証の問題だったので,まさにこの影響か.ことがことだけにいそいでやったんだろうな.
サイバーセキュリティに関するグローバル動向四半期レポート - NTTデータ
https://www.nttdata.com/jp/ja/news/information/2020/022801/
興味深かったのは,Office365のOAuthの脆弱性,BlackDirectのことです.これは,2019年11月19日に修正されたとあったけれど,あれれ?office 365 障害で記録した,あのクラウド障害の日程と一致するんだね.
認証の問題だったので,まさにこの影響か.ことがことだけにいそいでやったんだろうな.
内閣官房内閣サイバーセキュリティセンター(NISC)が,セキュリティ関係の法令Q&Aをまとめたものをリリースしていました.
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/index.html
サイバーセキュリティ関係法令Q&AハンドブックVer1.0(令和2年3月2日)
普通に,刑法,民放だけじゃなく,会社法,個人情報保護法,電気通信事業法や,不正アクセス禁止法,サイバーセキュリティ基本法など様々な法律に関するものがまとまっています.
300ページを超える対策だから普通に読むのは辛いなぁ.
今だけ?話題のテレワークも,総務省で平成30年4月に「テレワークセキュリティガイドライン(第 4 版)」を策定しているとか乗っているし,何か検討しなければいけない時に参照するのに有益な情報源かな.
追記2023/09/26
改訂版がリリース.
サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/law_handbook.html
引用:
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/index.html
サイバーセキュリティ関係法令Q&AハンドブックVer1.0(令和2年3月2日)
普通に,刑法,民放だけじゃなく,会社法,個人情報保護法,電気通信事業法や,不正アクセス禁止法,サイバーセキュリティ基本法など様々な法律に関するものがまとまっています.
300ページを超える対策だから普通に読むのは辛いなぁ.
今だけ?話題のテレワークも,総務省で平成30年4月に「テレワークセキュリティガイドライン(第 4 版)」を策定しているとか乗っているし,何か検討しなければいけない時に参照するのに有益な情報源かな.
追記2023/09/26
改訂版がリリース.
サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/law_handbook.html
引用:
Ver2.0で追加されたQの一覧
サイバーセキュリティインシデント発生時の当局等対応
インシデントレスポンスと関係者への対応
5G促進法(特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律)
ドローンとサイバーセキュリティ
重要インフラ分野における規律
モビリティとサイバーセキュリティ
DX認定・DX銘柄とサイバーセキュリティ
サイバーセキュリティに関する規格等とNIST SP800シリーズ
認証/本人確認に関する法令について
サイバーセキュリティ事業者への投資
脅威インテリジェンスサービス
データの消去、データが記録された機器・電子媒体の廃棄
ランサムウェア対応
インシデント対応における費用負担及びサイバー保険
越境リモートアクセス
海外における主なサイバーセキュリティ法令
国際捜査共助・協力に関する条約・協定
IPAが毎年発表している件で,2019年分が発表されていました.
コンピュータウイルスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
2019年はLokiBotとEmotet.Emotetは実際に着弾をみたので,流行っているんだなぁと思います.
そして手口的には,「侵入」が多い模様.その次の「なりすまし」に対して2倍.サーバの種類は.Webサーバ.まぁ,外に向いて開けてないマシンには入ってこれないしね.
永遠の?課題のバージョンが古くて穴をつかれた件も一定数あります.そんなん言われても気軽にバージョンアップできない.
セキュリティホールのパッチといっても,他の部分が修正されていることがある.(累積パッチといわれたりする)
リリースノートに全てが書かれているわけでも無いので,その累積パッチがどこまで影響するか全くわからない.
パッチはリリースされず,必ずバージョンアップしかしない会社もある.シマンテック製品とか.
テストテスト.テスト不足.そもそも改変用にテスト環境,ステージング環境を持っているし,Dockerなどの技術で簡単に環境も構築できる.ただし,やっぱり全く同じでは無いので本番で動かしてみないと発生しない,確認できないこともある.
セキュリティホールに対応するための積極的なバージョンアップによって,システムトラブルが発生しても,責められるのは運用者だけれど,バージョンアップしなくて責められるのもシステム運用者.それだったら,バージョンアップを進めたほうがいい.でも,完璧なものを求められる世界もあるからなぁ.
コンピュータウイルスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
2019年はLokiBotとEmotet.Emotetは実際に着弾をみたので,流行っているんだなぁと思います.
そして手口的には,「侵入」が多い模様.その次の「なりすまし」に対して2倍.サーバの種類は.Webサーバ.まぁ,外に向いて開けてないマシンには入ってこれないしね.
永遠の?課題のバージョンが古くて穴をつかれた件も一定数あります.そんなん言われても気軽にバージョンアップできない.
テストテスト.テスト不足.そもそも改変用にテスト環境,ステージング環境を持っているし,Dockerなどの技術で簡単に環境も構築できる.ただし,やっぱり全く同じでは無いので本番で動かしてみないと発生しない,確認できないこともある.
セキュリティホールに対応するための積極的なバージョンアップによって,システムトラブルが発生しても,責められるのは運用者だけれど,バージョンアップしなくて責められるのもシステム運用者.それだったら,バージョンアップを進めたほうがいい.でも,完璧なものを求められる世界もあるからなぁ.
サイバーセキュリティに関連する何かしらの団体はたくさんあるけれど,また1つ知りました.
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
https://www.ipa.go.jp/security/J-CSIP/
IPAを情報ハブとして,民間の産業別団体,鉄鋼業界,鉄道業界などなどが参加していて,毎年参加団体が増えているようだ.
レポートも公開されているけれど,見ていくのが大変だなぁ.頭に入らん.
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
https://www.ipa.go.jp/security/J-CSIP/
IPAを情報ハブとして,民間の産業別団体,鉄鋼業界,鉄道業界などなどが参加していて,毎年参加団体が増えているようだ.
レポートも公開されているけれど,見ていくのが大変だなぁ.頭に入らん.
この件も三菱電機の件も,東出&唐田えりか様問題の前には,全く話題にもならない.
「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
サイバーセキュリティタスクフォース(第20回)
「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
サイバーセキュリティタスクフォース(第20回)
特定非営利活動法人日本セキュリティ監査協会という団体が,2020年のトレンドを発表してました.
監査人の警鐘 - 2020年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/security_trend_top10.html
1位はランク外からの「自然災害によるIT被害の拡大」とあります.予測できない自然災害が多発する昨今.備えても仕方ない気もする.だって予測できないわけだから,逆になくてもどうにかなるような仕組みを準備すべきかな.紙で印刷しておくとかさ...
このランクを見ていると,前年のランク外がトップ10中8つある.それって精度としてどうなんかな.
監査人の警鐘 - 2020年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/security_trend_top10.html
1位はランク外からの「自然災害によるIT被害の拡大」とあります.予測できない自然災害が多発する昨今.備えても仕方ない気もする.だって予測できないわけだから,逆になくてもどうにかなるような仕組みを準備すべきかな.紙で印刷しておくとかさ...
このランクを見ていると,前年のランク外がトップ10中8つある.それって精度としてどうなんかな.
ヨドバシカメラに行くと,パソコン売り場でWindows7のサポート終了までのカウントダウン情報がでていたりするのだけれど,世の中にはソフトウェアがたくさんあって,それらの情報を把握するのは大変.
ということで,CIS(Center ofr Internet Security)が情報を取りまとめてくれていました.
まずは親記事のページへのリンク.
MS-ISAC Releases EOS Software Report List
https://www.us-cert.gov/ncas/current-activity/2019/10/30/ms-isac-releases-eos-software-report-list
リスト.
End of Suport(EOS) Software Report List
https://www.cisecurity.org/wp-content/uploads/2019/10/EOS-Report-October.pdf
ここのリストにあるのは,次のようなメーカ.
Adobe,Atlassian,Checkpoint,Cisco,Corel,Debian,Forcepoint,IBM,Joomla,Linux Kernel,McAfee,MediaWiki,Microsoft,One Identity,Oracle,RSA,Sophos,Symantec,Trend Micro,Tripwire,Ubuntu,VMWare,WinZip,Wiresh ark Foundation(Wireshark)
有名な有償ソフトもあればオープンソースも入っている.今後月次で12ヶ月はリストが更新されるようなので,ニュースレターの購読申し込みをしておきました.
ということで,CIS(Center ofr Internet Security)が情報を取りまとめてくれていました.
まずは親記事のページへのリンク.
MS-ISAC Releases EOS Software Report List
https://www.us-cert.gov/ncas/current-activity/2019/10/30/ms-isac-releases-eos-software-report-list
リスト.
End of Suport(EOS) Software Report List
https://www.cisecurity.org/wp-content/uploads/2019/10/EOS-Report-October.pdf
ここのリストにあるのは,次のようなメーカ.
Adobe,Atlassian,Checkpoint,Cisco,Corel,Debian,Forcepoint,IBM,Joomla,Linux Kernel,McAfee,MediaWiki,Microsoft,One Identity,Oracle,RSA,Sophos,Symantec,Trend Micro,Tripwire,Ubuntu,VMWare,WinZip,Wiresh ark Foundation(Wireshark)
有名な有償ソフトもあればオープンソースも入っている.今後月次で12ヶ月はリストが更新されるようなので,ニュースレターの購読申し込みをしておきました.
興味深いレポートが.
管理されないオンラインファイル共有はリスクを高める:シマンテック警告
http://japan.zdnet.com/security/analysis/35018659/
最近言われて試してみたのだけれどEvernoteはWindowsの管理者権限が無くてもインストールできてしまう.そして通信内容の把握はできないので統制を実施するためのログ取得が難しい.
これまでの考え方だとEvernoteのサイトへのアクセスを禁止するか統制用プログラム管理システムにより起動できないようにすれば防げたが,たとえEvernoteを封鎖しても類似のサービスのDropboxなどもあり,封鎖する方式だときりがない. Google driveだとGoogleへのアクセスを禁止するわけにもいかず...
つまりこういう時は,「考え方を変える」必要がある.
管理されないオンラインファイル共有はリスクを高める:シマンテック警告
http://japan.zdnet.com/security/analysis/35018659/
最近言われて試してみたのだけれどEvernoteはWindowsの管理者権限が無くてもインストールできてしまう.そして通信内容の把握はできないので統制を実施するためのログ取得が難しい.
これまでの考え方だとEvernoteのサイトへのアクセスを禁止するか統制用プログラム管理システムにより起動できないようにすれば防げたが,たとえEvernoteを封鎖しても類似のサービスのDropboxなどもあり,封鎖する方式だときりがない. Google driveだとGoogleへのアクセスを禁止するわけにもいかず...
つまりこういう時は,「考え方を変える」必要がある.
IPAが中小企業向けのセキュリティガイドラインをまとめています.
中小企業の情報セキュリティ対策ガイドライン
中小企業が抱える情報セキュリティの問題点としては,次の通りとされています.
1.リソース(人・物・金)に制約がある.
2.情報化が進んでいない.
3.動機が無い
大企業を取引先とする場合,Pマーク,ISMS等を取得しているか,あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです.
このガイドには5分でできるセルフチェックシートもあるので,まずは一般的な測量によって十分か否かをチェックし,自社でできていない所,重要な所をしぼって対策をすれば良いと思います.
中小企業の情報セキュリティ対策ガイドライン
中小企業が抱える情報セキュリティの問題点としては,次の通りとされています.
1.リソース(人・物・金)に制約がある.
2.情報化が進んでいない.
3.動機が無い
大企業を取引先とする場合,Pマーク,ISMS等を取得しているか,あるいは十分な対策を行っている事を伝えられる根拠を揃えておく事が求められる事もおおいです.
このガイドには5分でできるセルフチェックシートもあるので,まずは一般的な測量によって十分か否かをチェックし,自社でできていない所,重要な所をしぼって対策をすれば良いと思います.
ちょっと調べものをしていて,Anti VirusソフトウェアのComparatives(比較)サイトがある事が解りました.
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%