ブログ - 文献・統計・参考資料カテゴリのエントリ
JPCERT/CCが以下の文書を公開.
侵入型ランサムウェア攻撃を受けたら読むFAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
PDFタイプじゃなくて臨機応変に随時改変するためにWebページのままだそうです.
侵入型ランサムウェア攻撃を受けたら読むFAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
PDFタイプじゃなくて臨機応変に随時改変するためにWebページのままだそうです.
陸・海・空・宇宙,そこに第5の戦場と位置付けられるサイバー空間にて防衛・国家安全保障の点から最新情報の共有を目的として開催された「サイバー防衛シンポジウム熱海2021」に参加しました.リモートなので1000円.
サイバー防衛シンポジウム熱海2021
https://www.5th-battlefield.com/index.html
基本的には防衛省の人やOBが参加しています.
一番興味深かったのは元防衛庁情報本部長の太田文雄氏の基調講演『敵の可能行動を考える』ですかね.
これまでのサイバー攻撃を振り返っているのだけれど,新聞の切り抜きの数が半端ない.大手新聞各社も取り上げる案件に違いがあるのだと思うけれど,全網羅かな.ピヨさんも新聞デーがあるね.
状況を平時,グレイゾーン,有事に分けるのだそうだけれど,普段の活動中,サイバー攻撃に際して「平時」というのは存在しないと思うから,グレイゾーン,有事の前提で活動するんだという話だった.
Defend Forward.誰が何をしているか常に把握する.セキュリティアナリストレポートなどでよくAPT攻撃グループの報告があるけれど,これらがどの国の支援を受けているか,活発かどうかを注視しておく事が重要な模様.国レベルだと攻撃者も多いだろうからそういう情報網も大事だね.
APTグループも国会支援型と,国家放任型の2つに分かれるらしい.ロシアっぽいけどロシア政府は関知しないみたいな感じか.
心理戦,偽情報をだして市民・政治家を攻撃みたいなのもある,フェイク動画などで世論を動かすなどもあるけれど,嘘かほんとかを見極める力が必要.これはSNSで拡散されているなんでもない情報も同じ.
先週出版.中国安全保障レポート
http://www.nids.mod.go.jp/publication/chinareport/index.html
また現役の自衛官の人が初めて公演したそうなのだけれど,資材調達担当をしていて,「買ったものが正しいものか」という視点が重要だと気づいたところから今の営みが始まったという点が面白い.たしかにアマゾンで買い物して偽物に出会ったという話はよく聞くし.
防衛省の予算で言うとこれまでは人材育成に力を入れていた分が,来年度はスキルマップを整備しようと言う事だそうです.「サイバーセキュリティ」といっても範囲は広いからね.
サイバーディフェンス研究所 CHO/最高ハッキング責任者の林真吾氏の妄想ハッキングも面白かった.攻撃者になったつもりで,目的を達成する演習をやり続ける.攻撃の対象を定め,どこから攻撃をするのが良いかを考えて行く仮説と検証という感じかな.
実際にDoSに適したインフラを海外ホスティング会社に定め,スキャンをしたらその会社に何度か注意を受けたとかゆるい格安ホスティングは踏み台に使われやすいんだろうな.
隣国の整備状況を把握するのも重要.こういうメディアも使ったりするそうだ.
https://jamestown.org/
The Jamestown Foundation
引用:
ジェームスタウンというのはアメリカの最初の植民地からとってあるのかな? CHINA BRIEF,EURASIA DAILY MONITOR,TERRORISM MINITORなどがリストされているけれど,中国が一番上にあるんだな.
世界の動きは,日本のテレビだと得る事が出来ないからなー.
あと「超限戦」という中国の軍事トップの人が書いた本がすごいらしい.1999年に戦略研究として公開されてその筋だと必読書なのだそうで.
引用: あとは日本の最初のサイバー攻撃ってなんだろうという話がありました.各省庁のホームページが改竄された事件があったけれど,あれは犯人が捕まってないが,それかな?というらしい.
中央官庁Webページ集中改ざん事件(2000年)
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html
その頃の情報はネットにあってもリンク切れや深掘り報道もなかったりしているから,過去事案の情報保全というのも大事だという話も出た.ナショナルサイバーセキュリティの時代.
あとは実務的なところで言うと,ランサムウェア対策.3か所バックアップと1つは本体からの存在の隠蔽.そして大半のデータが残るようにするという考え方というのが参考になった.
キーワード
ゴーストネット
スタックスネット
C4ISR
対心理情報課程
コモンクライテリア
Red Star OS
サイバーレンジ
サイバー防衛シンポジウム熱海2021
https://www.5th-battlefield.com/index.html
基本的には防衛省の人やOBが参加しています.
一番興味深かったのは元防衛庁情報本部長の太田文雄氏の基調講演『敵の可能行動を考える』ですかね.
これまでのサイバー攻撃を振り返っているのだけれど,新聞の切り抜きの数が半端ない.大手新聞各社も取り上げる案件に違いがあるのだと思うけれど,全網羅かな.ピヨさんも新聞デーがあるね.
状況を平時,グレイゾーン,有事に分けるのだそうだけれど,普段の活動中,サイバー攻撃に際して「平時」というのは存在しないと思うから,グレイゾーン,有事の前提で活動するんだという話だった.
Defend Forward.誰が何をしているか常に把握する.セキュリティアナリストレポートなどでよくAPT攻撃グループの報告があるけれど,これらがどの国の支援を受けているか,活発かどうかを注視しておく事が重要な模様.国レベルだと攻撃者も多いだろうからそういう情報網も大事だね.
APTグループも国会支援型と,国家放任型の2つに分かれるらしい.ロシアっぽいけどロシア政府は関知しないみたいな感じか.
心理戦,偽情報をだして市民・政治家を攻撃みたいなのもある,フェイク動画などで世論を動かすなどもあるけれど,嘘かほんとかを見極める力が必要.これはSNSで拡散されているなんでもない情報も同じ.
先週出版.中国安全保障レポート
http://www.nids.mod.go.jp/publication/chinareport/index.html
また現役の自衛官の人が初めて公演したそうなのだけれど,資材調達担当をしていて,「買ったものが正しいものか」という視点が重要だと気づいたところから今の営みが始まったという点が面白い.たしかにアマゾンで買い物して偽物に出会ったという話はよく聞くし.
防衛省の予算で言うとこれまでは人材育成に力を入れていた分が,来年度はスキルマップを整備しようと言う事だそうです.「サイバーセキュリティ」といっても範囲は広いからね.
サイバーディフェンス研究所 CHO/最高ハッキング責任者の林真吾氏の妄想ハッキングも面白かった.攻撃者になったつもりで,目的を達成する演習をやり続ける.攻撃の対象を定め,どこから攻撃をするのが良いかを考えて行く仮説と検証という感じかな.
実際にDoSに適したインフラを海外ホスティング会社に定め,スキャンをしたらその会社に何度か注意を受けたとかゆるい格安ホスティングは踏み台に使われやすいんだろうな.
隣国の整備状況を把握するのも重要.こういうメディアも使ったりするそうだ.
https://jamestown.org/
The Jamestown Foundation
引用:
ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。
ジェームスタウンというのはアメリカの最初の植民地からとってあるのかな? CHINA BRIEF,EURASIA DAILY MONITOR,TERRORISM MINITORなどがリストされているけれど,中国が一番上にあるんだな.
世界の動きは,日本のテレビだと得る事が出来ないからなー.
あと「超限戦」という中国の軍事トップの人が書いた本がすごいらしい.1999年に戦略研究として公開されてその筋だと必読書なのだそうで.
引用:
【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか
第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則
中央官庁Webページ集中改ざん事件(2000年)
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html
その頃の情報はネットにあってもリンク切れや深掘り報道もなかったりしているから,過去事案の情報保全というのも大事だという話も出た.ナショナルサイバーセキュリティの時代.
あとは実務的なところで言うと,ランサムウェア対策.3か所バックアップと1つは本体からの存在の隠蔽.そして大半のデータが残るようにするという考え方というのが参考になった.
キーワード
ゴーストネット
スタックスネット
C4ISR
対心理情報課程
コモンクライテリア
Red Star OS
サイバーレンジ
先日開催されたセミナーの資料が配布されています.
フィッシング対策セミナー 2021(オンライン)開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html
忘れてて,講演 4の「金融犯罪の不正検知へのAI活用」から聴講しました.ながらだったのであまり頭に入らなかったけれど,講演 5「最近のフィッシング報告の動向」にあった通報サイトは活用させてもらっています.無記名で応募できる気軽さと,貢献?がわからないね...
報告 - フィッシング対策協議会
https://www.antiphishing.jp/registration.html
フィッシング対策セミナー 2021(オンライン)開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html
忘れてて,講演 4の「金融犯罪の不正検知へのAI活用」から聴講しました.ながらだったのであまり頭に入らなかったけれど,講演 5「最近のフィッシング報告の動向」にあった通報サイトは活用させてもらっています.無記名で応募できる気軽さと,貢献?がわからないね...
報告 - フィッシング対策協議会
https://www.antiphishing.jp/registration.html
中小企業が行っているセキュリティ対策も大手と同じで経営とのバランスで積み上げるだけだから金額だけ言っても仕方ない気がするね.
中小企業の個人情報安全管理コスト、年10万未満が6割強
https://www.security-next.com/131154
中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月
https://www.ppc.go.jp/files/pdf/R2_chuushou_anzenkanri_report.pdf
水道代,電気代,ガス代,セキュリティ対策代としてインフラとして捉えるかどうか.
個人情報保護委員会 広報・お知らせ 調査等
https://www.ppc.go.jp/news/surveillance/
中小企業の個人情報安全管理コスト、年10万未満が6割強
https://www.security-next.com/131154
中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月
https://www.ppc.go.jp/files/pdf/R2_chuushou_anzenkanri_report.pdf
水道代,電気代,ガス代,セキュリティ対策代としてインフラとして捉えるかどうか.
個人情報保護委員会 広報・お知らせ 調査等
https://www.ppc.go.jp/news/surveillance/
1年はあっという間・・・
情報セキュリティ白書2021
https://www.ipa.go.jp/security/publications/hakusyo/2021.html
引用:
情報セキュリティ白書2021
https://www.ipa.go.jp/security/publications/hakusyo/2021.html
引用:
最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。
・米国の政策(トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など)
・テレワークの情報セキュリティ(インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など)
・NISTのセキュリティ関連活動(組織の沿革と体制、SP800,1800シリーズなど)
検品OKして納品したら,責任は納品を受けた側じゃ無いの?
従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
https://atmarkit.itmedia.co.jp/ait/articles/2106/21/news016.html
引用: 下流工程に責任ぶん投げ判決だったってことか.これは契約書を良く見て判断していかなければいけないね.
従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
https://atmarkit.itmedia.co.jp/ait/articles/2106/21/news016.html
引用:
自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。
届出の社会的意味はあるが実害の方が多い様な.
コンピュータウイルス・不正アクセスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
コンピュータウイルス・不正アクセスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
盛れてない方がレア.盛れて良いようにするのが対策.定期的に引っ越しするとか姓名を変えるとか.
個人情報の漏洩や紛失などの報告、2020年度は4141件 - 個情委
https://www.security-next.com/127071
引用:
個人情報の漏洩や紛失などの報告、2020年度は4141件 - 個情委
https://www.security-next.com/127071
引用:
2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。
興味深いリンク集.
マルウェア解析者になるための勉強方法(work-in-progress)
https://github.com/pinksawtooth/how_to_become_a_malware_analyst
マルウェア解析者になるための勉強方法(work-in-progress)
https://github.com/pinksawtooth/how_to_become_a_malware_analyst
セキュリティ事故も多発しているので,セキュリティエンジニアは引く手数多...年齢が若ければね.
「JNSA 情報セキュリティ教育事業者連絡会」の発表資料.
ISEPA成果物のご紹介
https://www.jnsa.org/isepa/outputs/
引用:
そして.
引用:
人生,楽観的なので向いているのかなぁ.
興味深いのは,この分類.
IT専門職(セキュリティ)
セキュリティを専門とするIT業務に従事する人材
IT専門職(非セキュリティ)
セキュリティ以外の分野でIT業務に従事するIT人材
プラス・セキュリティ
IT以外の分野でセキュリティに関連する業務に従事する人材
プラス・セキュリティって,部署内,フロアでの消防担当みたいな位置付けで考えられがちだけれど,もうちょっと責任や権限をあたえてモチベーション上げられるようにするのが良いのだろうな.
「JNSA 情報セキュリティ教育事業者連絡会」の発表資料.
ISEPA成果物のご紹介
https://www.jnsa.org/isepa/outputs/
引用:
JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。
そして.
引用:
「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。
人生,楽観的なので向いているのかなぁ.
興味深いのは,この分類.
セキュリティを専門とするIT業務に従事する人材
セキュリティ以外の分野でIT業務に従事するIT人材
IT以外の分野でセキュリティに関連する業務に従事する人材
プラス・セキュリティって,部署内,フロアでの消防担当みたいな位置付けで考えられがちだけれど,もうちょっと責任や権限をあたえてモチベーション上げられるようにするのが良いのだろうな.
4月のことだけれど,こういう資料が.
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用:
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用:
本手引きは、サイバーセキュリティ経営ガイドラインの10の指示のうち、指示2(サイバーセキュリティリスク管理体制の構築)及び指示3(サイバーセキュリティ対策のための資源(予算、人材等)確保)について具体的な検討を行う際に活用していただくことを目的として作成しています。
総務省からのご案内.
テレワークにおけるセキュリティ確保
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
引用: 諸設定資料が次々とリリースされる模様.
引用: YAMAHAのルータとか,気になる点があるな.
テレワークにおけるセキュリティ確保
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
引用:
テレワークセキュリティガイドライン(第5版)を2021年5月31日に公表しました。
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)を公表しました。
引用:
設定解説資料は、手引き(チェックリスト)の内容を具体的な環境で実施する際の参考資料として、テレワークで多く利用される製品を対象として補足的に作成している資料です。
○設定解説資料(CiscoWebexMeetings)PDF
○設定解説資料(Microsoft Teams)PDF
○設定解説資料(Zoom)PDF
○設定解説資料(Windows)【近日掲載予定】
○設定解説資料(Mac)【近日掲載予定】
○設定解説資料(iOS)【近日掲載予定】
○設定解説資料(Android)【近日掲載予定】
○設定解説資料(LanScope An)【近日掲載予定】
○設定解説資料(Exchange Online)【近日掲載予定】
○設定解説資料(Gmail)【近日掲載予定】
○設定解説資料(Teams_chat)【近日掲載予定】
○設定解説資料(LINE)【近日掲載予定】
○設定解説資料(OneDrive)【近日掲載予定】
○設定解説資料(Googleドライブ)【近日掲載予定】
○設定解説資料(Dropbox)【近日掲載予定】
○設定解説資料(YAMAHA VPNルータ)【近日掲載予定】
○設定解説資料(CiscoASA)【近日掲載予定】
○設定解説資料(Windowsリモートデスクトップ接続)【近日掲載予定】
○設定解説資料(Chromeリモートデスクトップ)【近日掲載予定】
○設定解説資料(Microsoft Defender)【近日掲載予定】
○設定解説資料(ウイルスバスター ビジネスセキュリティサービス)【近日掲載予定】
こちらは4月20日に発表済み.
インターネット定点観測レポート(2021年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report202101-03.html
やはりこちらでもNTPの123ポートがよく観測されている模様.
送信元が日本となっているPort37215が一時的に増加.HUAMEIのホームゲートウェイの脆弱性が狙われている模様.
「ユーザーに連絡を取りロジテック社製のルーターを利用していることを確認しました。」という情報も.
これ関係か.
「Mirai」国内感染ホスト、約半数がロジテック製ルータ
https://www.security-next.com/126215
インターネット定点観測レポート(2021年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report202101-03.html
これ関係か.
「Mirai」国内感染ホスト、約半数がロジテック製ルータ
https://www.security-next.com/126215
定期的なやつ.
NICTER観測統計 - 2021年1月~3月
https://blog.nicter.jp/2021/05/nicter_statistics_2021_1q/
総観測パケット数同四半期と同程度
イランからの調査スキャンの増加
7001/TCP を含んだポートセットでスキャンするホスト数の増加
Sysrv-hello Botnet,仮想通貨Monero のマイニングソフトウェアであるXMRig
12月中旬から2月上旬頃にNTP リフレクション攻撃の増加傾向が観測
酷い行動は観測されてないようだ.
NICTER観測統計 - 2021年1月~3月
https://blog.nicter.jp/2021/05/nicter_statistics_2021_1q/
酷い行動は観測されてないようだ.
「政府機関等における情報システム運用継続計画ガイドライン」の改定について
https://www.nisc.go.jp/active/general/itbcp-guideline.html
政府機関等における 情報システム運用継続計画 ガイドライン ~(第 3 版)~
https://www.nisc.go.jp/active/general/pdf/itbcp1-1_3.pdf
38ページ.また今度読もう.(ブックマークして安心して読み返さない可能性が高い...)
いま,なんだろうこの・・・コロナ禍によってそれ対応の緊急システム構築とバグ露呈が非難されがちなこの世の中,どこまでどうなんだ,という話もあるよなぁ.
https://www.nisc.go.jp/active/general/itbcp-guideline.html
政府機関等における 情報システム運用継続計画 ガイドライン ~(第 3 版)~
https://www.nisc.go.jp/active/general/pdf/itbcp1-1_3.pdf
38ページ.また今度読もう.(ブックマークして安心して読み返さない可能性が高い...)
いま,なんだろうこの・・・コロナ禍によってそれ対応の緊急システム構築とバグ露呈が非難されがちなこの世の中,どこまでどうなんだ,という話もあるよなぁ.
「Cybersecurity for All」 〜誰も取り残さないサイバーセキュリティ〜ということで.
次期サイバーセキュリティ戦略の骨子について
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
なんかキラキラして読みづらい...後で見てみよう.
次期サイバーセキュリティ戦略の骨子について
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
なんかキラキラして読みづらい...後で見てみよう.
「現行公開版SecBoK2019は、セキュリティ関連業務に従事する人材に求められる1000 を超える知識項目の集合」から「ディクショナリー的な位置 付け」として多くの方に利用いただけることが目的であることを再確認し、「SecBoK2021」 として最新の改訂版を公開」だそうです.
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
https://www.jnsa.org/result/skillmap/
自組織で何が足りて何が足りないかを把握するのに適していると言う感じかな.
NIST SP800-181rev.1(NICE Framework)というのがあって,「織のサイバーセキュリティ業務を記述するための『共通 言語』として、業務と学習者に求められるものを定義」だそうです.
ますます,セキュリティ人材は大切ですね(若い人優先だろうけど)
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
https://www.jnsa.org/result/skillmap/
自組織で何が足りて何が足りないかを把握するのに適していると言う感じかな.
NIST SP800-181rev.1(NICE Framework)というのがあって,「織のサイバーセキュリティ業務を記述するための『共通 言語』として、業務と学習者に求められるものを定義」だそうです.
ますます,セキュリティ人材は大切ですね(若い人優先だろうけど)
クラウド依存は,従来までのメインフレームによるベンダーロックと同等.とおもうのは私だけかなぁ.
政府、約8年ぶりにIT-BCPガイドラインを改訂 - 新型コロナ踏まえた内容も
https://www.security-next.com/125833
引用:
政府機関等における情報システム運用継続計画ガイドライン」の改定について
https://www.nisc.go.jp/active/general/itbcp-guideline.html
政府、約8年ぶりにIT-BCPガイドラインを改訂 - 新型コロナ踏まえた内容も
https://www.security-next.com/125833
引用:
内閣サイバーセキュリティセンター(NISC)は、「政府機関等における情報システム運用継続計画ガイドライン」を約8年ぶりに改定した。
同ガイドラインは、政府機関の担当者が「情報システムにおける運用継続計画(IT-BCP)」の作成時における検討手順や留意点をまとめた手引書。
政府機関等における情報システム運用継続計画ガイドライン」の改定について
https://www.nisc.go.jp/active/general/itbcp-guideline.html
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用: 字散財確保は急務.希望する側はフルスタックスペシャリスト1名に高収入を与えてすませようという姿が多いね.
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用:
今般、この第1版を基に、読者の利便性の観点から内容の拡充及び見直しを行い、第1.1版を取りまとめました。また、経営層を含む幅広い方に手引きの内容を御理解いただくため、手引きの概要も新たに作成しました。
安全なウェブサイト運営にむけて ~ 企業ウェブサイトのための脆弱性対応ガイド ~(改訂版)
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2021/4/21 0:47
年度末に発表されていました.
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/index.html
25ページのパワポ資料.経営層向けに噛み砕いて書いてあるけれど,現時点でこの資料の内容に無知な人は,ずっと必要ない人なのかな.
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/index.html
25ページのパワポ資料.経営層向けに噛み砕いて書いてあるけれど,現時点でこの資料の内容に無知な人は,ずっと必要ない人なのかな.
IPAが次のようなドキュメントを配布.
情報セキュリティ10 大脅威 2021
~よもや自組織が被害に!呼吸を合わせて全力防御!~
https://www.ipa.go.jp/files/000088835.pdf
呼吸を合わせるのは,鬼滅の刃の影響だが,そういえば下火になったかな.
「セキュリティ」ってハッカーがどうだとか言うことばかり考えるけれど,「ネット上の誹謗・中傷・デマ」の部分も多いね.芸能人で,これが原因で命を落としたとされている人も多いし報道されない一般人も数知れずだろうな.
組織でいうと,「7位 予期せぬ IT 基盤の障害に伴う業務停止」というものが.最近でもみずほ銀行,去年の一番大きかったのは東証,AWS,Azureとかのクラウドは逆に日常的に停止するから,気にしないが,一昨日も「WebViewでAndroidが全面的にアウト」というわけのわからないものまであるから,これはもう対策しようが無い.
追記2021/04/27
WebViewの大規模障害について原因と対策がでてた.
Google、3月22日の大規模Androidアプリ障害の原因と対策を発表
https://www.itmedia.co.jp/news/articles/2104/21/news083.html
情報セキュリティ10 大脅威 2021
~よもや自組織が被害に!呼吸を合わせて全力防御!~
https://www.ipa.go.jp/files/000088835.pdf
呼吸を合わせるのは,鬼滅の刃の影響だが,そういえば下火になったかな.
「セキュリティ」ってハッカーがどうだとか言うことばかり考えるけれど,「ネット上の誹謗・中傷・デマ」の部分も多いね.芸能人で,これが原因で命を落としたとされている人も多いし報道されない一般人も数知れずだろうな.
組織でいうと,「7位 予期せぬ IT 基盤の障害に伴う業務停止」というものが.最近でもみずほ銀行,去年の一番大きかったのは東証,AWS,Azureとかのクラウドは逆に日常的に停止するから,気にしないが,一昨日も「WebViewでAndroidが全面的にアウト」というわけのわからないものまであるから,これはもう対策しようが無い.
追記2021/04/27
WebViewの大規模障害について原因と対策がでてた.
Google、3月22日の大規模Androidアプリ障害の原因と対策を発表
https://www.itmedia.co.jp/news/articles/2104/21/news083.html
コロナ禍の法人を脅かす境界線内外の攻撃:2020年1年間の脅威動向を分析
https://blog.trendmicro.co.jp/archives/27470
引用: IT化が遅れている政府機関だと,外部からの脅威も少ないだろうな.
https://blog.trendmicro.co.jp/archives/27470
引用:
旧来の不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃は全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。
1週間前に終わったけれど,「サイバーセキュリティ月間」に関して,Googleが次のような文書を公開.
安心、安全なインターネット利用へ ー 中高生のインターネット利用白書 公開 ー
https://japan.googleblog.com/2021/02/safer-internet-day-2021.html
引用: PDFで入手できます.
安心、安全なインターネット利用へ ー 中高生のインターネット利用白書 公開 ー
https://japan.googleblog.com/2021/02/safer-internet-day-2021.html
引用:
Google では、中高生 15, 557 人(中学生 5,835 人/ 高校生 9,722 人)と、中高生の教員 119 名を対象にインターネット利用について調査し、この結果を「中高生インターネット利用白書 2021 」として公開します。
プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く
https://www.mbsd.jp/research/20210219/process-herpaderping/
引用: 分析する技能は難しいけれど,もう難しすぎるから全部サラにして安全ポイントから復旧したほうがよさそうだな...
https://www.mbsd.jp/research/20210219/process-herpaderping/
引用:
早速ですが、まずは以下の図1をご覧ください。
真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか?
〜略〜
今回解説する手口を悪用すれば、この図が示したとおり、プロセスから得られる情報はもはや無意味となり、何が真実かを判断することはできなくなってしまいます。
要件整理の際に使えそう.
日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
https://www.edr.jp/blog/what-is-nist.html
引用:
日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
https://www.edr.jp/blog/what-is-nist.html
引用:
各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA(情報処理推進機構)が翻訳版を公開しています。
〜略〜
米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。
〜略〜
技術要件(77項目)
1.アクセス制御
4.構成管理
5.識別と認証
7.メンテナンス
10.物理的保護
13.システムと通信の保護
14.システムと情報の完全性
非技術要件(33項目)
2.意識向上と訓練
3.監査と責任追跡性(説明責任)
6.インシデント対応
8.メディア保護
9.要員のセキュリティ
11.リスクアセスメント
12.セキュリティアセスメント
東京商工リサーチによる報告.
「上場企業の個人情報漏えい・紛失事故」調査(2020年)
https://www.tsr-net.co.jp/news/analysis/20210115_01.html
引用: 単純計算で,5人に1人は漏洩しているわけだから,逆にいうと漏洩するという前提で生きていかねばなるまい.
「上場企業の個人情報漏えい・紛失事故」調査(2020年)
https://www.tsr-net.co.jp/news/analysis/20210115_01.html
引用:
2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。
https://www.nict.go.jp/press/2021/02/16-1.html
あいかわらずTCP 23番への通信が多い.
Mirai観戦ホストの増大
複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が
家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.
ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.
あいかわらずTCP 23番への通信が多い.
Mirai観戦ホストの増大
複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が
家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.
ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.
いま,もっとも注目すべき脆弱性はこれだな.
引用:
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html
引用:
「Zerologon」の脆弱性(CVE-2020-1472)に対する修正プログラムは2020年8月にリリースされましたが、「Netlogon Remote Protocol」がWindows以外の製品にも実装されていることから、Microsoft社はそれらの製品との互換性を考慮し、本脆弱性への対処を2段階に分けて実施すると発表(*6)しました。ソフトウェア製品の利用者およびシステム管理者は、Microsoft社が案内している専用のガイダンスページを参照の上、自組織で必要となる作業を把握し、2段階目のリリース(2021年2月9日公開予定)時には早急に対応できるよう準備を行ってください。
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html
引用: ワークアラウンドは無い,ということか.意識高い系だろうね.日々悩みを抱えたままよりは良さそう.
https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html
引用:
修正完了したウェブサイトの件数は73件(累計7,994件)でした。修正を完了した73件のうち、ウェブアプリケーションを修正したものは68件(93%)、当該ページを削除したものは5件(7%)で、運用で回避したものはありませんでした。
2020年12月単月のレポート.
2020年12月 マルウェアレポート - ESET マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2012.html
検出数は過去6ヶ月で最も多い.Emotetと年末商戦に向けてのアドウェアかな.
2020年12月 マルウェアレポート - ESET マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2012.html
検出数は過去6ヶ月で最も多い.Emotetと年末商戦に向けてのアドウェアかな.
記念号,,,という事で.
IPA NEWS No.50
https://www.ipa.go.jp/files/000088112.pdf
内容はカジュアルなんだけれど.安心窓口相談員の人が,パソコンサンデーのDr.パソコンに似ているな.
Dr.パソコンの宮永好道氏は,シャープの顧問だったのか.
IPA NEWS No.50
https://www.ipa.go.jp/files/000088112.pdf
内容はカジュアルなんだけれど.安心窓口相談員の人が,パソコンサンデーのDr.パソコンに似ているな.
Dr.パソコンの宮永好道氏は,シャープの顧問だったのか.
前回からの
情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/txt/2020/q4outline.html
Emotetが終息?休止?しているからウイルス検出も連動して少なくなってきているということかなぁ.
あ,これあまり気にしてなかったけれど.
iPhoneに突然表示される不審なカレンダー通知に注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200330.html
そういえば,Hot Pepperでお店を予約すると予約メールが来て自動的にカレンダーに追加されてたない.Siriの提案とかいう事で.
情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/txt/2020/q4outline.html
Emotetが終息?休止?しているからウイルス検出も連動して少なくなってきているということかなぁ.
あ,これあまり気にしてなかったけれど.
iPhoneに突然表示される不審なカレンダー通知に注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200330.html
そういえば,Hot Pepperでお店を予約すると予約メールが来て自動的にカレンダーに追加されてたない.Siriの提案とかいう事で.
定期レポート.2020年1月1日〜2020年3月31日までの集計期間だが.
JSOC INSIGHT vol.28
https://www.lac.co.jp/lacwatch/report/20210125_002411.html
CirtixのNetScaler(CVE-2019-19781)と,Apache Tomcat(CVE-2020-1938) への攻撃が多かった模様.
JSOC INSIGHT vol.28
https://www.lac.co.jp/lacwatch/report/20210125_002411.html
CirtixのNetScaler(CVE-2019-19781)と,Apache Tomcat(CVE-2020-1938) への攻撃が多かった模様.
(このブログの)どこのカテゴリが良いのか悩む.
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2020年11月1日版を公開
https://www.jssec.org/report/20201101_securecoding.html
ま,必要になった時に参照.
追記2021年10月29日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】
https://www.jssec.org/report/20211019_securecoding.html
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2020年11月1日版を公開
https://www.jssec.org/report/20201101_securecoding.html
ま,必要になった時に参照.
追記2021年10月29日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】
https://www.jssec.org/report/20211019_securecoding.html
定期的にチェック対象のトレンドマイクロのブログ.
2021年セキュリティ脅威予測
https://blog.trendmicro.co.jp/archives/26881
引用: 変化点に,ノウハウの欠落が出やすいから,盲点も出やすいだろうね.
2021年セキュリティ脅威予測
https://blog.trendmicro.co.jp/archives/26881
引用:
2020年、業務体制が分散型に移行する中、デバイスやソフトウェアの再配置などが試みられました。攻撃者は、こうした状況に伴う企業のセキュリティ態勢のギャップに便乗し、リモートワークでのセキュリティ上の弱点やサポートの準備不足などを利用するでしょう。
そろそろ年末年始の長期休暇も終わるんだけれど,次回,5月の連休時に役にたつかな.
年末年始に見直したいセキュリテイ:長期休暇前にセキュリテイ担当者が実施すべきこと。
https://news.yahoo.co.jp/byline/ohmototakashi/20201225-00214338/
今時だなと思ったのがこれ.
バックアップの取得及び、オフラインでの保管
会社資産に対するリモートアクセスを日本からに限定しておく
年末年始に見直したいセキュリテイ:長期休暇前にセキュリテイ担当者が実施すべきこと。
https://news.yahoo.co.jp/byline/ohmototakashi/20201225-00214338/
今時だなと思ったのがこれ.
大きい会社だと「法務部門」があって各省庁のサイトを確認しているだろうけれど,中小企業の場合,どこまで浸透するものなのかね.何か封書が届くとも思えないし.
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html
引用: サプライチェーンのヒエラルキーの最上位にいる会社からパラシュートで情報を展開させるとかなのかね.いや,取引の与信管理の中にサイバーセキュリティ対策費とかが入って来て,何もしてないような会社は切られるようになるのか?
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html
引用:
サイバー攻撃による被害が深刻化し、被害内容も複雑になっており、経営者
の一層の関与が必要になっている
サイバーセキュリティに関するグローバル動向四半期レポート(2020年7月~9月) NTTデータ
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2020/12/16 11:41
読んでいくのが追いつかないな...
サイバーセキュリティに関するグローバル動向四半期レポート(2020年7月~9月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/121100/
後で読むカテゴリ作ろうかな...
サイバーセキュリティに関するグローバル動向四半期レポート(2020年7月~9月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/121100/
後で読むカテゴリ作ろうかな...
pwcがNISTで公開された文書を翻訳しています.
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
ありがたやー(59ページか...)
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
ありがたやー(59ページか...)
J-CRATは,こういう組織.
引用:
サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度上半期]
https://www.ipa.go.jp/files/000086892.pdf
サイバーエスピオナージ,電子的な手法を用いて政府機関や企業の情報を盗み出す諜報活動のこと.VPNで初期突破することが多い.
フィッシングメールからマルウェアに感染した場合にコマンドが手入力されてデータが外部へ転送されるので相応の時間がかかることがある→すでに入り込まれている可能性もある.
攻撃者の指令環境(C2 サーバ)が通信可能にある状態はごく短時間
デコイファイル...おとりファイル.
2020年8月以降,企業に対し「金銭を支払わなければ DDoS 攻撃を行う」という趣旨の脅迫文を送り実際にDDoS攻撃を観測.
数か月以上前に攻撃を受けて既に攻撃者が立ち去ったとみられる組織の攻撃痕跡を調 査
引用:
IPAは、標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)を発足させました。
サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度上半期]
https://www.ipa.go.jp/files/000086892.pdf
後で読む.
サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。
https://www.jasa.jp/info/koukaishiryou20201117topics/
引用:
サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。
https://www.jasa.jp/info/koukaishiryou20201117topics/
引用:
専門監査人WGで作成いたしました
「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開いたしました。
併せて皆様からのパブリックコメントへの回答も掲載していますので
ご確認ください。
セキュリティインシデントカレンダーがいいね.趣味?でセキュリティ情報集めていても限界がある.
wizSafe Security Signal 2020年10月 観測レポート
https://wizsafe.iij.ad.jp/2020/11/1128/
wizSafe Security Signal 2020年10月 観測レポート
https://wizsafe.iij.ad.jp/2020/11/1128/
必要になった時に見ようメモ.
クラウドサービス利用におけるリスク管理上の留意点- 日本銀行
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
蔑視の方に,参考にすべき規格への静的wリンクがありました.
クラウドサービス利用におけるリスク管理上の留意点- 日本銀行
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
蔑視の方に,参考にすべき規格への静的wリンクがありました.
気温的には,もう冬が到来だけどね.このレポートは10月20日に発表されています.
セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策
https://www.lac.co.jp/lacwatch/report/20201020_002299.html
それくらいお金がかかるのかな?というのが先に来るなぁ...事業を推進するのは大変だ.
セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策
https://www.lac.co.jp/lacwatch/report/20201020_002299.html
それくらいお金がかかるのかな?というのが先に来るなぁ...事業を推進するのは大変だ.
ちょっと古い記事だけれど.
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
https://internet.watch.impress.co.jp/docs/column/security/1244790.html
狙われるということは,よく使われているという裏返しだけどね.
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
https://internet.watch.impress.co.jp/docs/column/security/1244790.html
狙われるということは,よく使われているという裏返しだけどね.
なるほどね.ロシアのカスペルスキーのCEO名義のブログだけれど.
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
支払い保留
税務署からの通知
めっちゃきになるでしょう.ただし,食いついて来た獲物は,それ単体では大きくないけれど,その先の取引先が大きい場合は・・・
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
めっちゃきになるでしょう.ただし,食いついて来た獲物は,それ単体では大きくないけれど,その先の取引先が大きい場合は・・・
令和2年10 月期観測資料
https://www.npa.go.jp/cyberpolice/important/2020/202011202.html
引用: センサー設置して各ポートへのアクセス状況をログ集計しているだけだけれど,データが集まって来たら傾向がでるのだろうな.
https://www.npa.go.jp/cyberpolice/important/2020/202011202.html
引用:
インターネットとの接続点に設置したセンサーにお いて検知したアクセス件数は、一日・1IP アドレス当たり 6,454.4 件で、令和2年9月期(以下「前月 期」という。)の 6,588.0 件と比較して 133.6 件(2.0%)減少しました
中小企業には「お助け隊」として浸透させていくのか.弱いところから侵入されるから,そこを封じねばならないからなぁ.
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます
https://www.meti.go.jp/press/2020/10/20201030011/20201030011.html
引用:
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます
https://www.meti.go.jp/press/2020/10/20201030011/20201030011.html
引用:
本年11月1日に、主要経済団体のリーダーシップの下、多様な産業分野の団体等が集まり、サプライチェーン全体でのサイバーセキュリティ対策の推進を行うことを目的としたサプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium: SC3)が設立されることになりました。
本コンソーシアムの設立総会は本年11月19日を予定しております。
メモのみ.コメントなし.備忘ようです...
IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
「IoTセキュリティ手引書 Ver1.0」をリリース - 一般社団法人セキュアIoTプラットフォーム協議会
https://www.secureiotplatform.org/release/2020-11-10
IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
「IoTセキュリティ手引書 Ver1.0」をリリース - 一般社団法人セキュアIoTプラットフォーム協議会
https://www.secureiotplatform.org/release/2020-11-10