ブログ - 文献・統計・参考資料カテゴリのエントリ
届出の社会的意味はあるが実害の方が多い様な.
コンピュータウイルス・不正アクセスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
コンピュータウイルス・不正アクセスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
盛れてない方がレア.盛れて良いようにするのが対策.定期的に引っ越しするとか姓名を変えるとか.
個人情報の漏洩や紛失などの報告、2020年度は4141件 - 個情委
https://www.security-next.com/127071
引用:
個人情報の漏洩や紛失などの報告、2020年度は4141件 - 個情委
https://www.security-next.com/127071
引用:
2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。
興味深いリンク集.
マルウェア解析者になるための勉強方法(work-in-progress)
https://github.com/pinksawtooth/how_to_become_a_malware_analyst
マルウェア解析者になるための勉強方法(work-in-progress)
https://github.com/pinksawtooth/how_to_become_a_malware_analyst
セキュリティ事故も多発しているので,セキュリティエンジニアは引く手数多...年齢が若ければね.
「JNSA 情報セキュリティ教育事業者連絡会」の発表資料.
ISEPA成果物のご紹介
https://www.jnsa.org/isepa/outputs/
引用:
そして.
引用:
人生,楽観的なので向いているのかなぁ.
興味深いのは,この分類.
IT専門職(セキュリティ)
セキュリティを専門とするIT業務に従事する人材
IT専門職(非セキュリティ)
セキュリティ以外の分野でIT業務に従事するIT人材
プラス・セキュリティ
IT以外の分野でセキュリティに関連する業務に従事する人材
プラス・セキュリティって,部署内,フロアでの消防担当みたいな位置付けで考えられがちだけれど,もうちょっと責任や権限をあたえてモチベーション上げられるようにするのが良いのだろうな.
「JNSA 情報セキュリティ教育事業者連絡会」の発表資料.
ISEPA成果物のご紹介
https://www.jnsa.org/isepa/outputs/
引用:
JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。
そして.
引用:
「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。
人生,楽観的なので向いているのかなぁ.
興味深いのは,この分類.
セキュリティを専門とするIT業務に従事する人材
セキュリティ以外の分野でIT業務に従事するIT人材
IT以外の分野でセキュリティに関連する業務に従事する人材
プラス・セキュリティって,部署内,フロアでの消防担当みたいな位置付けで考えられがちだけれど,もうちょっと責任や権限をあたえてモチベーション上げられるようにするのが良いのだろうな.
4月のことだけれど,こういう資料が.
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用:
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用:
本手引きは、サイバーセキュリティ経営ガイドラインの10の指示のうち、指示2(サイバーセキュリティリスク管理体制の構築)及び指示3(サイバーセキュリティ対策のための資源(予算、人材等)確保)について具体的な検討を行う際に活用していただくことを目的として作成しています。
総務省からのご案内.
テレワークにおけるセキュリティ確保
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
引用: 諸設定資料が次々とリリースされる模様.
引用: YAMAHAのルータとか,気になる点があるな.
テレワークにおけるセキュリティ確保
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
引用:
テレワークセキュリティガイドライン(第5版)を2021年5月31日に公表しました。
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)を公表しました。
引用:
設定解説資料は、手引き(チェックリスト)の内容を具体的な環境で実施する際の参考資料として、テレワークで多く利用される製品を対象として補足的に作成している資料です。
○設定解説資料(CiscoWebexMeetings)PDF
○設定解説資料(Microsoft Teams)PDF
○設定解説資料(Zoom)PDF
○設定解説資料(Windows)【近日掲載予定】
○設定解説資料(Mac)【近日掲載予定】
○設定解説資料(iOS)【近日掲載予定】
○設定解説資料(Android)【近日掲載予定】
○設定解説資料(LanScope An)【近日掲載予定】
○設定解説資料(Exchange Online)【近日掲載予定】
○設定解説資料(Gmail)【近日掲載予定】
○設定解説資料(Teams_chat)【近日掲載予定】
○設定解説資料(LINE)【近日掲載予定】
○設定解説資料(OneDrive)【近日掲載予定】
○設定解説資料(Googleドライブ)【近日掲載予定】
○設定解説資料(Dropbox)【近日掲載予定】
○設定解説資料(YAMAHA VPNルータ)【近日掲載予定】
○設定解説資料(CiscoASA)【近日掲載予定】
○設定解説資料(Windowsリモートデスクトップ接続)【近日掲載予定】
○設定解説資料(Chromeリモートデスクトップ)【近日掲載予定】
○設定解説資料(Microsoft Defender)【近日掲載予定】
○設定解説資料(ウイルスバスター ビジネスセキュリティサービス)【近日掲載予定】
こちらは4月20日に発表済み.
インターネット定点観測レポート(2021年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report202101-03.html
やはりこちらでもNTPの123ポートがよく観測されている模様.
送信元が日本となっているPort37215が一時的に増加.HUAMEIのホームゲートウェイの脆弱性が狙われている模様.
「ユーザーに連絡を取りロジテック社製のルーターを利用していることを確認しました。」という情報も.
これ関係か.
「Mirai」国内感染ホスト、約半数がロジテック製ルータ
https://www.security-next.com/126215
インターネット定点観測レポート(2021年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report202101-03.html
これ関係か.
「Mirai」国内感染ホスト、約半数がロジテック製ルータ
https://www.security-next.com/126215
定期的なやつ.
NICTER観測統計 - 2021年1月~3月
https://blog.nicter.jp/2021/05/nicter_statistics_2021_1q/
総観測パケット数同四半期と同程度
イランからの調査スキャンの増加
7001/TCP を含んだポートセットでスキャンするホスト数の増加
Sysrv-hello Botnet,仮想通貨Monero のマイニングソフトウェアであるXMRig
12月中旬から2月上旬頃にNTP リフレクション攻撃の増加傾向が観測
酷い行動は観測されてないようだ.
NICTER観測統計 - 2021年1月~3月
https://blog.nicter.jp/2021/05/nicter_statistics_2021_1q/
酷い行動は観測されてないようだ.
「政府機関等における情報システム運用継続計画ガイドライン」の改定について
https://www.nisc.go.jp/active/general/itbcp-guideline.html
政府機関等における 情報システム運用継続計画 ガイドライン ~(第 3 版)~
https://www.nisc.go.jp/active/general/pdf/itbcp1-1_3.pdf
38ページ.また今度読もう.(ブックマークして安心して読み返さない可能性が高い...)
いま,なんだろうこの・・・コロナ禍によってそれ対応の緊急システム構築とバグ露呈が非難されがちなこの世の中,どこまでどうなんだ,という話もあるよなぁ.
https://www.nisc.go.jp/active/general/itbcp-guideline.html
政府機関等における 情報システム運用継続計画 ガイドライン ~(第 3 版)~
https://www.nisc.go.jp/active/general/pdf/itbcp1-1_3.pdf
38ページ.また今度読もう.(ブックマークして安心して読み返さない可能性が高い...)
いま,なんだろうこの・・・コロナ禍によってそれ対応の緊急システム構築とバグ露呈が非難されがちなこの世の中,どこまでどうなんだ,という話もあるよなぁ.
「Cybersecurity for All」 〜誰も取り残さないサイバーセキュリティ〜ということで.
次期サイバーセキュリティ戦略の骨子について
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
なんかキラキラして読みづらい...後で見てみよう.
次期サイバーセキュリティ戦略の骨子について
https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
なんかキラキラして読みづらい...後で見てみよう.
「現行公開版SecBoK2019は、セキュリティ関連業務に従事する人材に求められる1000 を超える知識項目の集合」から「ディクショナリー的な位置 付け」として多くの方に利用いただけることが目的であることを再確認し、「SecBoK2021」 として最新の改訂版を公開」だそうです.
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
https://www.jnsa.org/result/skillmap/
自組織で何が足りて何が足りないかを把握するのに適していると言う感じかな.
NIST SP800-181rev.1(NICE Framework)というのがあって,「織のサイバーセキュリティ業務を記述するための『共通 言語』として、業務と学習者に求められるものを定義」だそうです.
ますます,セキュリティ人材は大切ですね(若い人優先だろうけど)
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
https://www.jnsa.org/result/skillmap/
自組織で何が足りて何が足りないかを把握するのに適していると言う感じかな.
NIST SP800-181rev.1(NICE Framework)というのがあって,「織のサイバーセキュリティ業務を記述するための『共通 言語』として、業務と学習者に求められるものを定義」だそうです.
ますます,セキュリティ人材は大切ですね(若い人優先だろうけど)
クラウド依存は,従来までのメインフレームによるベンダーロックと同等.とおもうのは私だけかなぁ.
政府、約8年ぶりにIT-BCPガイドラインを改訂 - 新型コロナ踏まえた内容も
https://www.security-next.com/125833
引用:
政府機関等における情報システム運用継続計画ガイドライン」の改定について
https://www.nisc.go.jp/active/general/itbcp-guideline.html
政府、約8年ぶりにIT-BCPガイドラインを改訂 - 新型コロナ踏まえた内容も
https://www.security-next.com/125833
引用:
内閣サイバーセキュリティセンター(NISC)は、「政府機関等における情報システム運用継続計画ガイドライン」を約8年ぶりに改定した。
同ガイドラインは、政府機関の担当者が「情報システムにおける運用継続計画(IT-BCP)」の作成時における検討手順や留意点をまとめた手引書。
政府機関等における情報システム運用継続計画ガイドライン」の改定について
https://www.nisc.go.jp/active/general/itbcp-guideline.html
「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用: 字散財確保は急務.希望する側はフルスタックスペシャリスト1名に高収入を与えてすませようという姿が多いね.
https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html
引用:
今般、この第1版を基に、読者の利便性の観点から内容の拡充及び見直しを行い、第1.1版を取りまとめました。また、経営層を含む幅広い方に手引きの内容を御理解いただくため、手引きの概要も新たに作成しました。
安全なウェブサイト運営にむけて ~ 企業ウェブサイトのための脆弱性対応ガイド ~(改訂版)
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2021/4/21 0:47
年度末に発表されていました.
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/index.html
25ページのパワポ資料.経営層向けに噛み砕いて書いてあるけれど,現時点でこの資料の内容に無知な人は,ずっと必要ない人なのかな.
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/index.html
25ページのパワポ資料.経営層向けに噛み砕いて書いてあるけれど,現時点でこの資料の内容に無知な人は,ずっと必要ない人なのかな.
IPAが次のようなドキュメントを配布.
情報セキュリティ10 大脅威 2021
~よもや自組織が被害に!呼吸を合わせて全力防御!~
https://www.ipa.go.jp/files/000088835.pdf
呼吸を合わせるのは,鬼滅の刃の影響だが,そういえば下火になったかな.
「セキュリティ」ってハッカーがどうだとか言うことばかり考えるけれど,「ネット上の誹謗・中傷・デマ」の部分も多いね.芸能人で,これが原因で命を落としたとされている人も多いし報道されない一般人も数知れずだろうな.
組織でいうと,「7位 予期せぬ IT 基盤の障害に伴う業務停止」というものが.最近でもみずほ銀行,去年の一番大きかったのは東証,AWS,Azureとかのクラウドは逆に日常的に停止するから,気にしないが,一昨日も「WebViewでAndroidが全面的にアウト」というわけのわからないものまであるから,これはもう対策しようが無い.
追記2021/04/27
WebViewの大規模障害について原因と対策がでてた.
Google、3月22日の大規模Androidアプリ障害の原因と対策を発表
https://www.itmedia.co.jp/news/articles/2104/21/news083.html
情報セキュリティ10 大脅威 2021
~よもや自組織が被害に!呼吸を合わせて全力防御!~
https://www.ipa.go.jp/files/000088835.pdf
呼吸を合わせるのは,鬼滅の刃の影響だが,そういえば下火になったかな.
「セキュリティ」ってハッカーがどうだとか言うことばかり考えるけれど,「ネット上の誹謗・中傷・デマ」の部分も多いね.芸能人で,これが原因で命を落としたとされている人も多いし報道されない一般人も数知れずだろうな.
組織でいうと,「7位 予期せぬ IT 基盤の障害に伴う業務停止」というものが.最近でもみずほ銀行,去年の一番大きかったのは東証,AWS,Azureとかのクラウドは逆に日常的に停止するから,気にしないが,一昨日も「WebViewでAndroidが全面的にアウト」というわけのわからないものまであるから,これはもう対策しようが無い.
追記2021/04/27
WebViewの大規模障害について原因と対策がでてた.
Google、3月22日の大規模Androidアプリ障害の原因と対策を発表
https://www.itmedia.co.jp/news/articles/2104/21/news083.html
コロナ禍の法人を脅かす境界線内外の攻撃:2020年1年間の脅威動向を分析
https://blog.trendmicro.co.jp/archives/27470
引用: IT化が遅れている政府機関だと,外部からの脅威も少ないだろうな.
https://blog.trendmicro.co.jp/archives/27470
引用:
旧来の不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃は全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。
1週間前に終わったけれど,「サイバーセキュリティ月間」に関して,Googleが次のような文書を公開.
安心、安全なインターネット利用へ ー 中高生のインターネット利用白書 公開 ー
https://japan.googleblog.com/2021/02/safer-internet-day-2021.html
引用: PDFで入手できます.
安心、安全なインターネット利用へ ー 中高生のインターネット利用白書 公開 ー
https://japan.googleblog.com/2021/02/safer-internet-day-2021.html
引用:
Google では、中高生 15, 557 人(中学生 5,835 人/ 高校生 9,722 人)と、中高生の教員 119 名を対象にインターネット利用について調査し、この結果を「中高生インターネット利用白書 2021 」として公開します。
プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く
https://www.mbsd.jp/research/20210219/process-herpaderping/
引用: 分析する技能は難しいけれど,もう難しすぎるから全部サラにして安全ポイントから復旧したほうがよさそうだな...
https://www.mbsd.jp/research/20210219/process-herpaderping/
引用:
早速ですが、まずは以下の図1をご覧ください。
真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか?
〜略〜
今回解説する手口を悪用すれば、この図が示したとおり、プロセスから得られる情報はもはや無意味となり、何が真実かを判断することはできなくなってしまいます。
要件整理の際に使えそう.
日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
https://www.edr.jp/blog/what-is-nist.html
引用:
日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
https://www.edr.jp/blog/what-is-nist.html
引用:
各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA(情報処理推進機構)が翻訳版を公開しています。
〜略〜
米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。
〜略〜
技術要件(77項目)
1.アクセス制御
4.構成管理
5.識別と認証
7.メンテナンス
10.物理的保護
13.システムと通信の保護
14.システムと情報の完全性
非技術要件(33項目)
2.意識向上と訓練
3.監査と責任追跡性(説明責任)
6.インシデント対応
8.メディア保護
9.要員のセキュリティ
11.リスクアセスメント
12.セキュリティアセスメント
東京商工リサーチによる報告.
「上場企業の個人情報漏えい・紛失事故」調査(2020年)
https://www.tsr-net.co.jp/news/analysis/20210115_01.html
引用: 単純計算で,5人に1人は漏洩しているわけだから,逆にいうと漏洩するという前提で生きていかねばなるまい.
「上場企業の個人情報漏えい・紛失事故」調査(2020年)
https://www.tsr-net.co.jp/news/analysis/20210115_01.html
引用:
2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。
https://www.nict.go.jp/press/2021/02/16-1.html
あいかわらずTCP 23番への通信が多い.
Mirai観戦ホストの増大
複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が
家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.
ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.
あいかわらずTCP 23番への通信が多い.
Mirai観戦ホストの増大
複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が
家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.
ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.
いま,もっとも注目すべき脆弱性はこれだな.
引用:
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html
引用:
「Zerologon」の脆弱性(CVE-2020-1472)に対する修正プログラムは2020年8月にリリースされましたが、「Netlogon Remote Protocol」がWindows以外の製品にも実装されていることから、Microsoft社はそれらの製品との互換性を考慮し、本脆弱性への対処を2段階に分けて実施すると発表(*6)しました。ソフトウェア製品の利用者およびシステム管理者は、Microsoft社が案内している専用のガイダンスページを参照の上、自組織で必要となる作業を把握し、2段階目のリリース(2021年2月9日公開予定)時には早急に対応できるよう準備を行ってください。
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html
引用: ワークアラウンドは無い,ということか.意識高い系だろうね.日々悩みを抱えたままよりは良さそう.
https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html
引用:
修正完了したウェブサイトの件数は73件(累計7,994件)でした。修正を完了した73件のうち、ウェブアプリケーションを修正したものは68件(93%)、当該ページを削除したものは5件(7%)で、運用で回避したものはありませんでした。
2020年12月単月のレポート.
2020年12月 マルウェアレポート - ESET マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2012.html
検出数は過去6ヶ月で最も多い.Emotetと年末商戦に向けてのアドウェアかな.
2020年12月 マルウェアレポート - ESET マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2012.html
検出数は過去6ヶ月で最も多い.Emotetと年末商戦に向けてのアドウェアかな.
記念号,,,という事で.
IPA NEWS No.50
https://www.ipa.go.jp/files/000088112.pdf
内容はカジュアルなんだけれど.安心窓口相談員の人が,パソコンサンデーのDr.パソコンに似ているな.
Dr.パソコンの宮永好道氏は,シャープの顧問だったのか.
IPA NEWS No.50
https://www.ipa.go.jp/files/000088112.pdf
内容はカジュアルなんだけれど.安心窓口相談員の人が,パソコンサンデーのDr.パソコンに似ているな.
Dr.パソコンの宮永好道氏は,シャープの顧問だったのか.
前回からの
情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/txt/2020/q4outline.html
Emotetが終息?休止?しているからウイルス検出も連動して少なくなってきているということかなぁ.
あ,これあまり気にしてなかったけれど.
iPhoneに突然表示される不審なカレンダー通知に注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200330.html
そういえば,Hot Pepperでお店を予約すると予約メールが来て自動的にカレンダーに追加されてたない.Siriの提案とかいう事で.
情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/txt/2020/q4outline.html
Emotetが終息?休止?しているからウイルス検出も連動して少なくなってきているということかなぁ.
あ,これあまり気にしてなかったけれど.
iPhoneに突然表示される不審なカレンダー通知に注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200330.html
そういえば,Hot Pepperでお店を予約すると予約メールが来て自動的にカレンダーに追加されてたない.Siriの提案とかいう事で.
定期レポート.2020年1月1日〜2020年3月31日までの集計期間だが.
JSOC INSIGHT vol.28
https://www.lac.co.jp/lacwatch/report/20210125_002411.html
CirtixのNetScaler(CVE-2019-19781)と,Apache Tomcat(CVE-2020-1938) への攻撃が多かった模様.
JSOC INSIGHT vol.28
https://www.lac.co.jp/lacwatch/report/20210125_002411.html
CirtixのNetScaler(CVE-2019-19781)と,Apache Tomcat(CVE-2020-1938) への攻撃が多かった模様.
(このブログの)どこのカテゴリが良いのか悩む.
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2020年11月1日版を公開
https://www.jssec.org/report/20201101_securecoding.html
ま,必要になった時に参照.
追記2021年10月29日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】
https://www.jssec.org/report/20211019_securecoding.html
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2020年11月1日版を公開
https://www.jssec.org/report/20201101_securecoding.html
ま,必要になった時に参照.
追記2021年10月29日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】
https://www.jssec.org/report/20211019_securecoding.html
定期的にチェック対象のトレンドマイクロのブログ.
2021年セキュリティ脅威予測
https://blog.trendmicro.co.jp/archives/26881
引用: 変化点に,ノウハウの欠落が出やすいから,盲点も出やすいだろうね.
2021年セキュリティ脅威予測
https://blog.trendmicro.co.jp/archives/26881
引用:
2020年、業務体制が分散型に移行する中、デバイスやソフトウェアの再配置などが試みられました。攻撃者は、こうした状況に伴う企業のセキュリティ態勢のギャップに便乗し、リモートワークでのセキュリティ上の弱点やサポートの準備不足などを利用するでしょう。
そろそろ年末年始の長期休暇も終わるんだけれど,次回,5月の連休時に役にたつかな.
年末年始に見直したいセキュリテイ:長期休暇前にセキュリテイ担当者が実施すべきこと。
https://news.yahoo.co.jp/byline/ohmototakashi/20201225-00214338/
今時だなと思ったのがこれ.
バックアップの取得及び、オフラインでの保管
会社資産に対するリモートアクセスを日本からに限定しておく
年末年始に見直したいセキュリテイ:長期休暇前にセキュリテイ担当者が実施すべきこと。
https://news.yahoo.co.jp/byline/ohmototakashi/20201225-00214338/
今時だなと思ったのがこれ.
大きい会社だと「法務部門」があって各省庁のサイトを確認しているだろうけれど,中小企業の場合,どこまで浸透するものなのかね.何か封書が届くとも思えないし.
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html
引用: サプライチェーンのヒエラルキーの最上位にいる会社からパラシュートで情報を展開させるとかなのかね.いや,取引の与信管理の中にサイバーセキュリティ対策費とかが入って来て,何もしてないような会社は切られるようになるのか?
最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html
引用:
サイバー攻撃による被害が深刻化し、被害内容も複雑になっており、経営者
の一層の関与が必要になっている
サイバーセキュリティに関するグローバル動向四半期レポート(2020年7月~9月) NTTデータ
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2020/12/16 11:41
読んでいくのが追いつかないな...
サイバーセキュリティに関するグローバル動向四半期レポート(2020年7月~9月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/121100/
後で読むカテゴリ作ろうかな...
サイバーセキュリティに関するグローバル動向四半期レポート(2020年7月~9月)を公開
https://www.nttdata.com/jp/ja/news/information/2020/121100/
後で読むカテゴリ作ろうかな...
pwcがNISTで公開された文書を翻訳しています.
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
ありがたやー(59ページか...)
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
ありがたやー(59ページか...)
J-CRATは,こういう組織.
引用:
サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度上半期]
https://www.ipa.go.jp/files/000086892.pdf
サイバーエスピオナージ,電子的な手法を用いて政府機関や企業の情報を盗み出す諜報活動のこと.VPNで初期突破することが多い.
フィッシングメールからマルウェアに感染した場合にコマンドが手入力されてデータが外部へ転送されるので相応の時間がかかることがある→すでに入り込まれている可能性もある.
攻撃者の指令環境(C2 サーバ)が通信可能にある状態はごく短時間
デコイファイル...おとりファイル.
2020年8月以降,企業に対し「金銭を支払わなければ DDoS 攻撃を行う」という趣旨の脅迫文を送り実際にDDoS攻撃を観測.
数か月以上前に攻撃を受けて既に攻撃者が立ち去ったとみられる組織の攻撃痕跡を調 査
引用:
IPAは、標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)を発足させました。
サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度上半期]
https://www.ipa.go.jp/files/000086892.pdf
後で読む.
サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。
https://www.jasa.jp/info/koukaishiryou20201117topics/
引用:
サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。
https://www.jasa.jp/info/koukaishiryou20201117topics/
引用:
専門監査人WGで作成いたしました
「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開いたしました。
併せて皆様からのパブリックコメントへの回答も掲載していますので
ご確認ください。
セキュリティインシデントカレンダーがいいね.趣味?でセキュリティ情報集めていても限界がある.
wizSafe Security Signal 2020年10月 観測レポート
https://wizsafe.iij.ad.jp/2020/11/1128/
wizSafe Security Signal 2020年10月 観測レポート
https://wizsafe.iij.ad.jp/2020/11/1128/
必要になった時に見ようメモ.
クラウドサービス利用におけるリスク管理上の留意点- 日本銀行
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
蔑視の方に,参考にすべき規格への静的wリンクがありました.
クラウドサービス利用におけるリスク管理上の留意点- 日本銀行
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
蔑視の方に,参考にすべき規格への静的wリンクがありました.
気温的には,もう冬が到来だけどね.このレポートは10月20日に発表されています.
セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策
https://www.lac.co.jp/lacwatch/report/20201020_002299.html
それくらいお金がかかるのかな?というのが先に来るなぁ...事業を推進するのは大変だ.
セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策
https://www.lac.co.jp/lacwatch/report/20201020_002299.html
それくらいお金がかかるのかな?というのが先に来るなぁ...事業を推進するのは大変だ.
ちょっと古い記事だけれど.
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
https://internet.watch.impress.co.jp/docs/column/security/1244790.html
狙われるということは,よく使われているという裏返しだけどね.
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
https://internet.watch.impress.co.jp/docs/column/security/1244790.html
狙われるということは,よく使われているという裏返しだけどね.
なるほどね.ロシアのカスペルスキーのCEO名義のブログだけれど.
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
支払い保留
税務署からの通知
めっちゃきになるでしょう.ただし,食いついて来た獲物は,それ単体では大きくないけれど,その先の取引先が大きい場合は・・・
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
めっちゃきになるでしょう.ただし,食いついて来た獲物は,それ単体では大きくないけれど,その先の取引先が大きい場合は・・・
令和2年10 月期観測資料
https://www.npa.go.jp/cyberpolice/important/2020/202011202.html
引用: センサー設置して各ポートへのアクセス状況をログ集計しているだけだけれど,データが集まって来たら傾向がでるのだろうな.
https://www.npa.go.jp/cyberpolice/important/2020/202011202.html
引用:
インターネットとの接続点に設置したセンサーにお いて検知したアクセス件数は、一日・1IP アドレス当たり 6,454.4 件で、令和2年9月期(以下「前月 期」という。)の 6,588.0 件と比較して 133.6 件(2.0%)減少しました
中小企業には「お助け隊」として浸透させていくのか.弱いところから侵入されるから,そこを封じねばならないからなぁ.
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます
https://www.meti.go.jp/press/2020/10/20201030011/20201030011.html
引用:
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます
https://www.meti.go.jp/press/2020/10/20201030011/20201030011.html
引用:
本年11月1日に、主要経済団体のリーダーシップの下、多様な産業分野の団体等が集まり、サプライチェーン全体でのサイバーセキュリティ対策の推進を行うことを目的としたサプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium: SC3)が設立されることになりました。
本コンソーシアムの設立総会は本年11月19日を予定しております。
メモのみ.コメントなし.備忘ようです...
IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
「IoTセキュリティ手引書 Ver1.0」をリリース - 一般社団法人セキュアIoTプラットフォーム協議会
https://www.secureiotplatform.org/release/2020-11-10
IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
「IoTセキュリティ手引書 Ver1.0」をリリース - 一般社団法人セキュアIoTプラットフォーム協議会
https://www.secureiotplatform.org/release/2020-11-10
IPAが開設している安心相談窓口があるというブログ記事を書いたのが7月で,その後の相談状況が報告されていました.
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
ウイルス検出の件数が多いようだけれど,これはEmotetで着弾したものも含まれるのだと思うが,相談窓口に相談する人たちのリテラシー的なものも感じることができるなぁ.
クローズアップ現代+でも,最初カプコンの話題に触れていて訪問・・・しているのは別の会社でしたが,社会性のある問題に発展しているのかな.
コロナ禍 あなたを狙うサイバー攻撃 - NHK クローズアップ現代+
https://www.nhk.or.jp/gendai/articles/4482/index.html
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
ウイルス検出の件数が多いようだけれど,これはEmotetで着弾したものも含まれるのだと思うが,相談窓口に相談する人たちのリテラシー的なものも感じることができるなぁ.
クローズアップ現代+でも,最初カプコンの話題に触れていて訪問・・・しているのは別の会社でしたが,社会性のある問題に発展しているのかな.
コロナ禍 あなたを狙うサイバー攻撃 - NHK クローズアップ現代+
https://www.nhk.or.jp/gendai/articles/4482/index.html
何かあった時に,そもそもあったのか? いつあったのか.いつからあったのか.どこから始まったのか.どこまでの範囲か,などを調べて影響調査する必要がある.あるいは全て捨てるか.
調べるためにはログを保存しておく必要があって,そのログを調べることができる仕組みと,その訓練が必要.急に運転しろと言われても最上級のベンツだと最新鋭すぎてエンジンの掛け方も分からんとおもうし.
じゃぁどれくらいログを保存しておく必要があるかという議論が必要で,本来なら永久的にということになるけれど,ストレージが安くなったと言っても限界もある.
そんな時の手助けになる資料がこれ.
「企業における情報システムのログ管理に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy28/reports/log_kanri/index.html
なんのログをいつまでに,法令による要求も記載がある.
3 年(不正アクセス禁止法の時効)から 7 年(詐欺罪や窃盗罪の時効)
そして,IPAはログ検索ツールの新バージョンをリリース.
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html
LogonTracerによるイベントログの可視化
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
PCの動きは複雑.PC,ルータ,ファイヤウォールなど色々なログが混ざり合い,とてもシーケンシャルなデータを目で追いきれないから可視化は大事だね.そもそも,上役に報告する際にビジュアル化されていると説得力が上がるのではなかろうか.
関連:訴訟ホールド
追記:
ログを活用した高度サイバー攻撃の早期発見と分析
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告
https://www.ipa.go.jp/files/000025363.pdf
調べるためにはログを保存しておく必要があって,そのログを調べることができる仕組みと,その訓練が必要.急に運転しろと言われても最上級のベンツだと最新鋭すぎてエンジンの掛け方も分からんとおもうし.
じゃぁどれくらいログを保存しておく必要があるかという議論が必要で,本来なら永久的にということになるけれど,ストレージが安くなったと言っても限界もある.
そんな時の手助けになる資料がこれ.
「企業における情報システムのログ管理に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy28/reports/log_kanri/index.html
なんのログをいつまでに,法令による要求も記載がある.
そして,IPAはログ検索ツールの新バージョンをリリース.
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html
LogonTracerによるイベントログの可視化
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
PCの動きは複雑.PC,ルータ,ファイヤウォールなど色々なログが混ざり合い,とてもシーケンシャルなデータを目で追いきれないから可視化は大事だね.そもそも,上役に報告する際にビジュアル化されていると説得力が上がるのではなかろうか.
関連:訴訟ホールド
追記:
ログを活用した高度サイバー攻撃の早期発見と分析
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告
https://www.ipa.go.jp/files/000025363.pdf
Microsoft Digital Defense Report でサイバーセキュリティの動向を知る
https://msrc-blog.microsoft.com/2020/10/21/20201022_defensereport/
引用: システムは堅牢化していってるから,一番脆弱な人間を狙ってるということだね.
そのほかのこれ.
引用: MFAの電話認証の電話代は誰が払っているのかいまだに知らない・・・
https://msrc-blog.microsoft.com/2020/10/21/20201022_defensereport/
引用:
最近では、ユーザーの認証情報を盗み出すことを目的としたフィッシング攻撃に焦点を移しています
そのほかのこれ.
引用:
COVID-19 の発生後、在宅勤務のポリシーが制定されたため、MFA 対応のリクエストが約 2 倍に増加しました
迷惑メール,なりすましメール対策として,DMARCを設定して見た.設定自体はDNSレコードに設定するだけなので,後はなりすまされれて届けられなかったメールが到着するメアドを観察するだけ.
んがしかし,実は迷惑メール対策全般が,法的には「通信の秘密を侵害する可能性がある」とのこと.
送信ドメイン認証技術等の導入に関する法的解釈について - 総務省
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html
DMARC導入に関する 法的な留意点 - 総務省総合通信基盤局
https://www.soumu.go.jp/main_content/000495390.pdf
ISPとかは,顧客に同意を取っていればOKのようですね.あるいは,正当にやっていますと十分あ説明があれば良いと.細かいけれど大事なんだろうな.
送信ドメイン認証「DMARC」を導入した「Yahoo!メール」 なりすましメール対策の導入効果は!?
https://www.jpaawg.org/docs/interview/yahoo/#title
んがしかし,実は迷惑メール対策全般が,法的には「通信の秘密を侵害する可能性がある」とのこと.
送信ドメイン認証技術等の導入に関する法的解釈について - 総務省
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html
DMARC導入に関する 法的な留意点 - 総務省総合通信基盤局
https://www.soumu.go.jp/main_content/000495390.pdf
ISPとかは,顧客に同意を取っていればOKのようですね.あるいは,正当にやっていますと十分あ説明があれば良いと.細かいけれど大事なんだろうな.
送信ドメイン認証「DMARC」を導入した「Yahoo!メール」 なりすましメール対策の導入効果は!?
https://www.jpaawg.org/docs/interview/yahoo/#title
知人宅で「ルータの調子が悪いから直して」と言われた時に,IT業務従事者としてハジをかけないのでまずは設定を見ようとするもルータにログインするアカウントがわからない場合がある.
ほとんどの場合その知人はルータの設定をしたことがないので管理者パスワードがデフォルトのままということは非常によくある.
その時にメーカ別の管理者ユーザとパスワードの一覧がこれ.
https://www.proxydocker.com/ja/routerpassword/192.168.100.1
助けられる時がある...でも日本のバッファローとかだとルータの裏にシールで貼ってあったりするから,そういう場合は現地じゃないと対応できない.それはそれで正しい.
ほとんどの場合その知人はルータの設定をしたことがないので管理者パスワードがデフォルトのままということは非常によくある.
その時にメーカ別の管理者ユーザとパスワードの一覧がこれ.
https://www.proxydocker.com/ja/routerpassword/192.168.100.1
助けられる時がある...でも日本のバッファローとかだとルータの裏にシールで貼ってあったりするから,そういう場合は現地じゃないと対応できない.それはそれで正しい.
2020 CYBER THREATSCAPE REPORT Accenture Security
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2020/11/5 0:46
全部英語だけれど.
2020 CYBER THREATSCAPE REPORT Accenture Security
https://www.accenture.com/_acnmedia/PDF-136/Accenture-2020-Cyber-Threatscape-Full-Report.pdf
章立ては,次のような感じ.
01 COVID-19 ACCELERATES THE NEED FOR ADAPTIVE SECURITY
02 NEW, SOPHISTICATED TTPS TARGET BUSINESS CONTINUITY
03 MASKED OR NOISY CYBERATTACKS COMPLICATE DETECTION
04 RANSOMWARE FEEDS NEW PROFITABLE, SCALABLE BUSINESS
05 CONNECTEDNESS HAS CONSEQUENCES
ランサムウェア部分かな.
引用: 支払うことを推奨しているのか.金で解決を図るのもまた1つの手段.
VPN vulnerabilitiesのこれ.
引用: 確かに.セキュリティゲートウェイを通過してないだけ甘くなるし.利用しているクラウドシステムを信頼してレンジを広くして開けていると,いつの間にか・・・
2020 CYBER THREATSCAPE REPORT Accenture Security
https://www.accenture.com/_acnmedia/PDF-136/Accenture-2020-Cyber-Threatscape-Full-Report.pdf
章立ては,次のような感じ.
01 COVID-19 ACCELERATES THE NEED FOR ADAPTIVE SECURITY
02 NEW, SOPHISTICATED TTPS TARGET BUSINESS CONTINUITY
03 MASKED OR NOISY CYBERATTACKS COMPLICATE DETECTION
04 RANSOMWARE FEEDS NEW PROFITABLE, SCALABLE BUSINESS
05 CONNECTEDNESS HAS CONSEQUENCES
ランサムウェア部分かな.
引用:
身代金が支払われなかった場合には、身代金が支払われなかったデータの一部が流出しています8。法執行機関やサイバーセキュリティ業界は常に身代金を支払うことを勧めてきましたが、この「名前を出して恥をかかせる」アプローチは、被害者に支払いを求める圧力を加えています。
VPN vulnerabilitiesのこれ.
引用:
スプリットトンネル VPN 構成は、組織の情報セキュリティ (infosec) チームからの監視の低下につながる可能性があります。