SecBok2019の公開
日本ネットワークセキュリティ協会(JNSA)から、セキュリティ人材育成の参考資料として、公開されています。
その最新版の2019年版が公開されました。
NIST SP800-181(NICE Cybersecurity Workforce Framework)として標準化されたことに伴い、SP800-181の内容を盛り込んだようです。
このSecBokでは、CISO、リサーチャー、脆弱性診断士、情報セキュリティ監査人といった16の役割にそれぞれ応じた必要なスキルを詳細に記載しています。
企業でセキュリティ人材を育成する場合にも活用できると思いますし、現状セキュリティに携われている方は、皆さんの役割の箇所をチェックしていただけたら、何を求められているかが確認できると思います。
NISTの文書の紹介(日本語)
NIST(National Institute of Standards and Technology)とは、アメリカの国立標準技術研究所のことです。
その中でも、NISTのCSD(Computer Security Division)と呼ばれる部門が発行しているドキュメントには、情報セキュリティの内容も含まれており、中でもSP800シリーズとFIPSがあります。
SP(Special Publications)
コンピュータセキュリティ関係のドキュメントです。
FIPS(Fedearal Information Processing Strandards)
アメリカ商務長官の承認を受けて、NISTが公布した情報セキュリティのドキュメントです。SPシリーズからFIPSになったドキュメントもあります。
これらのドキュメントの中で、日本で参照されやすいものをIPA(独立行政法人 情報処理推進機構)により日本語訳されたドキュメントを掲載してくれています。
非常に参考になります。
医療のデータやソフト
2019/03/14のITmediaの記事で、医療データに関する情報が掲載されました。
・医療データは、クレジットカードより最大20倍で高値で売れる
・プライバシーとセキュリティは異なる
・医療機器がネットワークにつながっていることで、遠隔でモニタリングでき、患者の状態を把握できるメリットがある反面、攻撃されるリスクがある
攻撃されるリスクを考慮し、神戸デジタル・ラボでは、2015年から医療ソフトの脆弱性を調査するバグバウンティコンテストが開催されています。
医療に関するデータは、政治家等のVIPの健康状態を特に欲しがる可能性が高いことや、投薬のようなシステムがハッキングされれば、命に関わることになります。
医療に関するソフトやシステムは、今後より標的にされる可能性がありますので、セキュリティを向上していくことが必要ではないかと思います。
自民党による日本版NECによるサイバー攻撃対策の検討
2019/03/20の日本経済新聞に、「日本版NEC」についての記事が掲載されました。
記事の全文は有料記事です。
有料記事ですので、概要だけ紹介させていただきます。
NECとは、日本電気株式会社のことではなく、アメリカ合衆国国家経済会議(NEC: National Economic Council)のことで、安全保障や社会保障等を含めた経済政策の立案・調整を行う政府機関です。
この NECの日本版を創設しようという動きが自民党内であるようです。
サイバー攻撃による機密情報の不正な窃取と言った脅威やサプライチェーンのリスクを踏まえ、国家の安全保障を考えているようです。
今後の動向に注目したいですね。
兵庫県警による13歳女子中学生等の補導について(その4)
すでにシリーズ化してきていますが、その4になります。
兵庫県警による13歳女子中学生等の補導について - セキュリティの解説書
兵庫県警による13歳女子中学生等の補導について(その2:セキュリティ業界の反応) - セキュリティの解説書
兵庫県警による13歳女子中学生等の補導について(その3:セキュリティ業界の反応) - セキュリティの解説書
「不正指令電磁的記録に関する罪」の構成要件等の開示請求を各都道府県警察(兵庫県警、神奈川県警を除く)に対して、実施したとSUGAIさんがIT議論で取り上げています。
SUGAIさんは、埼玉県警に家宅捜索を受けたこともあり、以前から関心を持っていたようです。
なお、兵庫県警、神奈川県警を除いているのは、次の理由からだそうです。
以前の2019/03/17に取り上げたozumaさんが、「兵庫県警」に対してすでに開示請求を行なっています。
また、@PokersonTさんが、すでに開示請求の結果を公開されているためです。
>RT
— 梅酒みりん@21TDC24a! (@PokersonT) June 19, 2018
明日は我が身かもしれない以上、罪刑法定主義に基づき犯罪の構成要件を知る権利が自分にはあるので『何をしたら不正指令電磁的記録供用罪で捕まるのか』を神奈川県警に情報開示請求してみた
はてさてどう言う結果が返ってくるやら pic.twitter.com/PWBvWMJsQ2
内容は少し変わりますが、ITmediaの宮田健さんの記事では、「「このようなことが起きないためにできること」を考えるべきである。」、知識を付けて「適切に怖がる」と記載されており、みんなで議論していく必要性があると感じました。
兵庫県警による13歳女子中学生の補導等について(その3:セキュリティ業界の反応)
このブログですでに取り上げている兵庫県警による無限ループに関する補導・書類送検についてです。
以前の記事は、次の2つです。
経済産業省が所管している国立研究開発法人 産業技術総合研究所(略称:産総研)の高木先生のブログに、情報公開制度に基づく開示請求を実施した結果を踏まえて、考察を記載されています。
その中でも宮城県警は、CTFを実施する主催者に対して、参加者の「誓約書の徴収」を求めており、実施したと記載されています。
勉強会等を開催するのに、いちいち誓約書を取っていては、個人情報をムダに保管することにもなりますし、いつまで保管し続けるの?そもそも本名ではなくて、IDで気軽に参加できるのがいいのに、とか色々と反響がありそうです。
また、その2の記事で取り上げたozumaさんのブログでは、情報公開制度に基づく開示請求が兵庫県警に届いているか等の確認を行なった結果を記載されています。
基本的には、開示請求が届いてから15日以内に、公開か非公開かの連絡があるようです。
まだまだこの補導・書類送検に関する記事は絶えなさそうですね。
「宅ふぁいる便」サービスへの不正アクセス事案について(完)
「宅ふぁいる便」サービスへの不正アクセス事案について、お伝えしてきたところです。
オージス総研から、2019/01/29以来、1ヶ月以上ぶりに2019/03/14に「お詫びとご報告」という形でプレスリリースされました。
恐らく皆さんが知りたかった原因については、詳細に記載されることがなく、少し残念な結果となっています。
公開されることによって、他のサービス運用者が攻撃されないための情報を共有することができます。
一方で、オープンに公開されない理由として、攻撃者に対処能力を見せることにも繋がりますし、攻撃方法を公開することにより模倣されることもあるため、必ずしもオープンに公開することが正しい訳ではないとも思います。
せめて、ネットにオープンに公開しなくとも、ISAC(同業者同士で、情報共有や分析を行います)やNCA(日本シーサート協議会)等で共有されたらと思います。