政府は、今後3年間の政府におけるサイバーセキュリティ施策や実施方針となる「サイバーセキュリティ戦略」を9月28日に閣議決定した。日本語版と英語版を同時公開している。

前回2018年7月の決定より3年が経過し、サイバーセキュリティ基本法に基づいて前日27日にサイバーセキュリティ戦略本部で決定したあらたな戦略案を閣議決定したもの。

「DX with Cybersecurity」を掲げ、デジタル庁を中心に推進するデジタルトランスフォーメーションとあわせてセキュリティ対策を推進。中小企業など含めたサプライチェーンの信頼確保などを推し進める。

$ python3 PoC.py www.ujp.jp
Server www.ujp.jp IS NOT VULNERABLE
[MacPro2013:server 16:51:46 ~/bin/CVE-2021-41773 ]
$

このような状況を踏まえ、ICT-ISAC Japanでは、2017年度に総務省、国立大学法人横浜国立大学等と連携し、サイバー攻撃観測網や脆弱性探索手法を活用して、重要IoT機器(国民生活・社会生活に直接影響を及ぼす可能性の高いIoT機器)を中心に、インターネットに接続されたIoT機器について調査を行いました。
ICT-ISAC Japanでは、サイバーセキュリティの確保のためには継続的な調査が必要と考えられるため、総務省等と連携し、今年度も日本国内のインターネットに接続されたIoT機器について、バナー情報の取得等により脆弱なIoT機器調査を再開することとしました。

　Covid-19感染拡大によって企業を取り巻くIT環境は大きく変わり、世界中で一気にテレワークが普及した。この急速な変化によってインターネットから直接アクセス可能なVPNや、クラウド上に公開されたIT資産、脆弱性を放置されたサーバー等がサイバー攻撃の標的となった。
　現在、これらのインターネット上からアクセス可能になっている「資産」を保護するための「ASM(Attack Surface Management)」と呼ばれる技術の注目が高まってきている。

In its most recent annual Cost of a Data Breach report, the Ponemon Institute reviewed more than 500 incidents around the world. The results were sobering: the average data breach costs an organization $4.24 million, and takes 287 days to identify and contain.

That’s why Cybersecurity Awareness Month – designated every October for the last 18 years – is an important reminder of just how critical cybersecurity awareness is at all levels of government and across every industry.


Ponemon Instituteは、最新の年次報告書「Cost of a Data Breach」において、世界各地で発生した500件以上の事件を調査しました。平均的なデータ漏洩のコストは424万ドル（約4億円）で、特定して封じ込めるまでに287日かかります。

だからこそ、18年前から毎年10月に設定されている「サイバーセキュリティ意識向上月間」は、政府のあらゆるレベル、あらゆる業界において、サイバーセキュリティに対する意識がいかに重要であるかを思い出させてくれる重要な月間なのです。

　先日、SNSでちょっとした調査結果が盛り上がっていました。それは、アンチウイルスと呼ばれる分野の製品で名だたる製品群が販売されている中、Windowsに付属している「Microsoft Defender」がかなりいい成績を残しているということです。

　確かに、第三者機関であるAV-TESTやAV-Comparativesの結果を見ると、無料であるはずのDefenderの成績は他の有料製品と遜色ない結果がでています。個人的にも、“既知のマルウェア”に対する検知率は十分で、Windows 10製品を購入したのち、マルウェア対策製品を入れなかったとしても、それなりの防御は可能、と認識しています。

脆弱性の詳細について知りたい

今回パストラバーサル、RCEの脆弱性は10月4日以降に修正された3件の内、CVE-2021-41773、CVE-2021-42013の2つ。CVE-2021-42013はCVE-2021-41773の修正が不十分であったことに起因する脆弱性で、脆弱性の種類、影響は同様。

参加組織（順不同）
警察庁、国立研究開発法人情報通信研究機構（NICT）、パナソニック株式会社、株式会社インターネットイニシアティブ（IIJ）、横浜国立大学、JPCERT/CC

最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。

・米国の政策（トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など）
・テレワークの情報セキュリティ（インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など）
・NISTのセキュリティ関連活動（組織の沿革と体制、SP800,1800シリーズなど）

　自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。

本記事では、Windows の標準機能であるパフォーマンス モニターによるシステムのパフォーマンス情報を常時取得する方法をご紹介します。紹介しているコマンドは、すべて管理者として起動したコマンドプロンプトで実行してください。

Windows の標準アプリであるパフォーマンス モニターには、パフォーマンス カウンターが設定した閾値を上回る、または下回った時にプログラムを実行できる機能があります。本記事では、利用可能な物理メモリが 1024MB 以下になった時に PowerShell スクリプトを実行する手順をご紹介いたします。

1都3県の一部の販売店が、電気の切り替え営業の際、ガス契約で得た氏名や住所などを

サイバー・デジタル分野での総合実力
　【シンガポール共同】英国のシンクタンク、国際戦略研究所（IISS）は28日、サイバー、デジタル分野の総合的な実力で日本が主要国に見劣りし、最下位の3番手グループに位置すると発表した。特にサイバー防衛の分野で遅れているためと説明している。

　IISSによると、米国がトップの評価だった。2番手グループに中国、ロシア、イスラエル、英国、フランスなどが入った。一方、日本はイランやインド、インドネシア、北朝鮮などと同じ3番手グループ。

2020年に組織内でどのようなインシデントが発生したかを調査したところ、インシデントの8割以上がWebアクセスとメールに起因し、内部攻撃よりも外部攻撃のインシデントが多いことが判明したという。

2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。

JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。

「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。