CISOが答えられないといけない質問 / Questions a CISO should be able to answer

1*BjUh3X9Lk_Fif93YLjhAMg.jpeg


「賢者とは、すべての答えを知っている者ではなく、何を問うべきかを知っている者である。

これは単なる記事ではなく、CISOとそのチームのための会話のきっかけとなるものです。情報セキュリティ部門が対処しなければならない重要な質問のリストに対して、あなたはどのような答えをお持ちですか?

もちろん、他にも多くの質問がありますが、これらはセキュリティ・プログラムの基礎に過ぎません。

これらの質問には順番があり、最初の質問に対する答えを持たずに最後の質問に答えることは困難です。

  • 情報セキュリティチームの顧客は誰なのか?

  • セキュリティを推進する要因は何か?
    (これには、ビジネス面、技術面、コンプライアンス面が含まれる)

  • ビジネス上の重要なセキュリティ目標は何か。これらは、情報セキュリティチームの顧客と合意していますか?

  • あなたの組織とそれに依存するシステムをどのようにモデル化していますか?

  • 情報を交換する第三者はどこか?

  • 保護する必要のある資産の一覧は何か?それらの資産は誰が所有していますか?誰がそれらを管理していますか?

  • 脅威やリスクは何ですか?

  • あなたが導入しているセキュリティ管理またはプロセスのリストは何ですか?それぞれの成功基準は何ですか?それらが有効であるだけでなく成功していることを、どれくらいの頻度でチェックしていますか?

  • 是正が必要なコンプライアンス違反のリストは何ですか?

  • あなたのコンプライアンスレベルはどの程度ですか?

  • 改善する必要がある脆弱性のリストは何ですか?

  • セキュリティ(またはリスク)レベルはどの程度ですか?

  • 知識ベースはどのように維持されていますか?

  • セキュリティの成熟度はどの程度ですか?
    (これは、あなたのセキュリティではなく、セキュリティを維持・向上させる能力を測定するものです)

  • 情報セキュリティチームの活動をどのように報告していますか?

  • 顧客にセキュリティの価値をどのように報告しますか?

  • あなたのセキュリティレベルを第三者にどのように証明しますか?

  • セキュリティレベルを向上させる(あるいはリスクを低減させる)ために、何を計画していますか?

あなたやあなたのチームが答えを出すのは簡単でしたか、難しかったですか?

もし、これらの質問が簡単すぎると感じたなら、あなたは本当に素晴らしいCISOか、深刻なダンニング・クルーガー症候群に罹っているかのどちらかです。どちらに当てはまるかは、読者の皆さんにお任せします。

出典:Questions a CISO should be able to answer

Labels:

「群馬デジタルイノベーションチャレンジ」事業におけるメールの宛先の誤りについて


標記について、次のとおり個人情報(メールアドレス)が第三者へ誤送信される事案が発生しました。今後、このようなことがないよう管理、監督を徹底し、再発防止に万全を期してまいります。

概要
 「群馬デジタルイノベーションチャレンジ」事業について、本事業の委託事業者である株式会社上毛新聞社が、参加する児童の保護者に対してメール連絡を行う際、本来「BCC」で送るべきところ、誤って「TO」で送信したもの。
<誤送信された個人情報(メールアドレス)>
(1)「パレイストラ関根」地域ICTクラブ参加者(保護者)9名
(2)「スマイル放課後児童クラブ」地域ICTクラブ参加者(保護者)10名
※(1)、(2)それぞれの参加者間で個人メールアドレスが公開される状態となった。

経過
6月13日(月)
・11時16-17分 個人メールアドレスが公開状態でメール送信(直後に誤送信を覚知)
・11時22分   委託事業者(株式会社上毛新聞社)から群馬県への電話連絡。
         委託事業者に対し、メール削除を依頼。
・11時29-42分 委託事業者が、流出した参加者全員に対し、メール削除を依頼。
※6月14日(火)までに、委託事業者が、順次個別で流出した参加者全員に対して電話連絡を完了予定。

今後の対応
 県は委託事業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底、メール送信時の複数名での確認の徹底等について再度指導・監督する。

Labels:

NFTプラットフォームの「Known Origin」のDiscordが乗っ取られ、DiscordユーザーのNFTが盗まれる / Known Origin is the latest project to have their Discord compromised


有名なNFTプラットフォームの一つであるKnown OriginのDiscordサーバーが侵害されました。詐欺師はKnown Originの運営を騙って偽の無料NFTミントを宣伝し、ユーザーがウォレットに接続した際に、ユーザーのNFTを盗んでしまうというものでした。

これは、Discordの一連の侵害の中で最新のものです。最近ハッキングされた他のサーバーには、Curiosities、Meta Hunters、Parallel、Goat Society、RFTP、およびGooniezがあります。

Labels: ,

週刊OSINT 2022-20号 / Week in OSINT #2022-20

今号も、リンク、ヒント、ツール、その他のOSINT関連のニュースなど、盛りだくさんです。

  • Rekognition
  • Shortemall
  • Journalist's Toolbox
  • Twitter Investigations
  • Imagus
  • Cyberhell


トレーニング: Rekognition

これは最近の情報ではないが、AaronがAWSとRekognitionの世界に飛び込んだ時に再共有したものである。Rekognitionで何が可能かを示すために、彼は2020年のMatt Edmondsonのブログを再共有した。それは、画像からのOCRに関して何が可能かを示し、どのようにAWSが人々から一致する画像を見つけるための自動化を提供できるかを示している。私は自分でテストしていないので、より詳細な情報やスクリーンショットについては、リンク先を参照してください。


ツール: Shortemall

MatterOsintから、興味深い短縮リンクを見つけるための新しいツールが登場した。このツールは、特定のキーワードやキーワードの組み合わせを含むURLの可能性を素早くスキャンする機能を提供する。すべての可能性の順列を作成し、短縮URLをスキャンし、結果のスクリーンショットを作成することができます。


サイト: Journalist's Toolbox

The journalist's toolboxは、農業から山火事まで、倫理から検証まで、あらゆる種類のトピックに関する膨大なリンク集です。校内暴力やホームレスなど、非常に特殊なトピックもあります。また、リソースへの膨大なリンクのほかに、YouTubeチャンネルで興味深いビデオを公開しています。Mike Reilleyさん、これらのリンクを集めてシェアしてくださってありがとうございます。


小技: Twitter Investigations

Ritu GillがTwitterに関する便利なリソースをいくつか紹介しています。Twitterのアカウントを調査するための、とても便利で無料のリソースです。Twitterのアカウントに接続する必要があるものもありますが、そうでないものも多くあります。このようなツールは、アカウントがツイートする時間、どのようなハッシュタグや単語が最も一般的であるか、誰と主にやり取りしているか、その他アカウントについてのより深い洞察を与えることができる分析を提供することができます。シェアありがとうございました。


ツール: Imagus

Jessは、私がまだ知らなかった拡張機能のヒントを教えてくれました。Imagusは、サムネイルにマウスを乗せると、自動的に大きな画像を表示する拡張機能です。また、大きな画像を表示する時間や、カスタムCSS、画像のキャプションの表示など、多くの設定オプションが用意されています。ChromeとFirefoxの両方に対応しており、ソースコードに潜って大きい画像を探そうとする必要がないので便利である。


メディア: Cyber Hell

先週末、ドキュメンタリー映画「Cyber Hell」についての情報が、クリスティーナ・レカティによって共有された。この韓国のドキュメンタリーは、ジャーナリスト、一般人、警察が、女性や10代の若者が虐待を受けたテレグラムグループ、いわゆるNth Room事件(Wikipedia)の管理者を捕らえるという痛ましいストーリーを追っています。写真を精査して手がかりを探すなどして、被害者を特定し、最終的に加害者を追い詰める。平均的な「OSINTストーリー」ではないが、テレグラムでの犯罪行為と、そのような加害者が最終的にどのように捕まるかを示す良い例である。

注:このドキュメンタリーは、犯罪の性質上、すべての人に適しているわけではありません。



オマケ: Assume Nothing!

次の画像は、偽情報がどのように始まるか、そして情報をさまざまな角度から見ることがいかに重要であるかを示す完璧な例です。何事も疑ってかかり、裏付けとなる情報源を探し、調査し、好奇心を持ち続けることです。Nico、この素晴らしい例をありがとうございました。

Labels:

菊池保健所の職員 新型コロナ濃厚接触者などの個人情報を流出【熊本】


熊本県は、菊池保健所の職員が、新型コロナウイルスの感染者の濃厚接触者などおよそ40人の個人情報を誤って外部に流出させたことを明らかにしました。

県によりますと、2022年6月11日午後6時前、菊池保健所の職員が、過去に新型コロナの感染者への濃厚接触が疑われるなど、PCR検査を受ける必要のある人の氏名など個人情報が含まれたファイルを関係のない事業所に誤って送信したということです。

12日午前、事業所からの連絡で誤送信が発覚したということです。

誤って送信されたファイルには、過去、新型コロナの感染者との接触が疑われる37人分の氏名や年齢、住所のほか、検査を受けた日などが記されていたということです。

県は、事業所に対してファイルの削除してもらったうえ、個人情報流出の被害を受けた事業者に対しても状況の説明を行ったうえで謝罪したということです。

これについて、県は「このたびの個人情報の流出は差別や偏見などの人権侵害を招くおそれがある重大な事案であると認識しており、関係するすべての方々に深くおわび申し上げます」と話しました。

再発防止策として、県は、過去に使用したファイルを再利用せず、送信する際には必ず複数の職員で確認を行うことなどを徹底するとしています。

出典:菊池保健所の職員 新型コロナ濃厚接触者などの個人情報を流出
Labels:

レンディング大手セルシウス(Celsius)、資金引き出しの一時停止を発表 / Celsius pauses all withdrawals, claims it's due to "extreme market conditions"


セルシウス(Celsius)のプラットフォームは、「極端な市場環境」のため、すべての出金、スワップ、送金を一時停止すると発表した。

最近、セルシウスの資産と償還能力について多くの懸念があり、プラットフォームがコけてデフォルトに追い込まれるのではないかという憶測もある。セルシウスは2022年6月7日に「Damn the Torpedoes, Full Speed Ahead」と題したブログ記事を発表し、「声優」による「誤った情報と混乱の拡散」を非難し、「セルシウスは遅延なく引き出しを処理し続け」、「セルシウスには義務を果たすための準備金(と十分すぎるETH)がある」と約束しました。

セルシオの6月12日の発表では、「流動性と運用を安定させながら、資産を保全・保護するための手段を講じる」ことを期待するというだけで、計画の内容についての詳細は含まれていない。

Labels: ,

Coincheck、DDoS攻撃を受ける


【アクセスしづらい状況について】

現在、再びDDoS攻撃を受け、Coincheckにアクセスしづらい状況が発生しております。ご迷惑おかけしてしまい申し訳ございませんが、Coincheckにアクセスできない場合には、時間を置いて再度お試しいただくようお願いいたします。

Labels:

SIEMはMITRE ATT&CKの2割しか検知できない!? / 80% of cyberattack techniques evade detection by SIEMs

 

CardinalOpsの新しいレポートによると、企業のSIEMは平均してMITREのATT&CK手法の80%を検出できず、攻撃者が採用するATT&CK手法上位14のうち5つしか対処できていないとのことです。

CardinalOpsのレポートでは、SIEMの検知の状況について、Splunk、Microsoft Sentinel、IBM QRadar などのSIEMインスタンスのデータを分析し、MITRE ATT&CK の対応状況をより正確に把握することができるようになりました。侵入のライフサイクルの早い段階で悪意ある行動を検知することは、ビジネスへの重大な影響を阻止する上で極めて重要な要素であるため、これは重要なことです。

CardinalOpsは、主観的な調査ベースのデータに頼るのではなく、実際のSIEMを分析し、最新のセキュリティオペレーションセンター(SOC)における脅威検出範囲の現状を可視化しました。これらの組織は数十億ドル規模の多国籍企業を代表しているため、これまでに分析した実際のSIEMデータの中でも最大規模の記録サンプルとなっており、14,000以上のログソース、数千の検知ルール、数百のログソースタイプを網羅しています。

MITRE ATT&CKの約200の技術を基準として、実際の検知範囲は、ほとんどの組織の期待をはるかに下回る状況であることを発見しました。さらに悪いことに、組織は自分たちが想定する理論上のセキュリティと実際に得られるセキュリティとのギャップに気付かず、検知態勢に誤った印象を与えていることが実証されました。

SIEMに取り込まれているにもかかわらず、検知に利用されていないログソースの上位3つは、

  1. IDソース
  2. Office 365やG SuiteなどのSaaSプロダクティビティ・スイート
  3. クラウドインフラのログソース

であることがわかりました。実際、Active Directory(AD)やOktaなどのIDログソースをSIEMに転送している組織の3/4は、それらを検知のユースケースに使用していません。これは、ゼロトラストを強化するために最も重要なログソースの1つである検知範囲を強化する大きなチャンスと思われます。

CardinalOpsの最新の調査では、CISOと検知エンジニアリングチームがこれらの課題に対処し、検知範囲をどのように測定し、どのように時間をかけて継続的に改善するかについて役立つ一連のベストプラクティスを読者に提供しています。

出典:Report: 80% of cyberattack techniques evade detection by SIEMs

Labels:

宮城県内で発生した労災事故関係者約400人分の個人情報が外部に流出か


宮城県内で発生した労災事故の関係者、約400人分の個人情報が外部に流出した可能性があることが分かりました。

宮城労働局によりますと2022年5月下旬、仙台市内の公園で県内の労災事故に関わった県内外の約400人の氏名や住所、電話番号などが記載された書類がベンチの上に置かれているのを通行人が見つけ、市内の警察署に届け出たということです。

書類は、労働局が2011年度に作成し去年6月、業者に廃棄処分を依頼したもので、業者からは「適正に廃棄した」と報告があがっていたということです。

これまでのところ、個人情報の悪用は確認されていないということです。

宮城労働局は「関係者の皆様に大変申し訳ない。引き続き原因を調査していく」と話しています。

Labels:

個人情報漏えいに関するお詫びとお知らせ 2022年6月10日 株式会社バローホールディングス


この度、弊社の夏ギフトのダイレクトメール(以下 DM)配信におきまして、一部お客様の個人情報漏えいが判明いたしました。お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。今回の件を重く受け止め、今後再発防止に向けより一層の情報管理を徹底してまいります。 

記 

1.概要および経緯
2022 年6月6日に弊社の夏ギフトの DM を郵送でお送り致しました。DM は一部店舗(恵那店、ルビットタウン中津川店、高山店、掛川店、清水高橋店)で昨年ご注文いただいたお客様に送付しているものです。
その後、お客様からの申し出があり、確認したところ、同姓同名のご注文者様に誤ったお届け先様の情報を郵送している事が判明いたしました。 

2.原因
夏ギフトを管理するシステム移行時のデータ照合認識・検証不足、管理監督者の作業確認不足によるものです。 

3.漏えいの範囲
(1) 漏えいした人数 : 79名
(2) 漏えいした個人情報 : お届け先様情報(郵便番号、住所、氏名、電話番号) 

4.発覚後の対応
 誤って郵送してしまったお客様には電話連絡をさせていただき、郵便物の回収を行っております。

5.今後の対策について
 弊社は今回の事態を重く受け止め、再発防止に努め、今まで以上の個人情報の保護、情報管理の徹底に努めてまいります。また、個人情報に関する取扱いと管理体制について、点検・見直しを継続的に実施いたします。 


Labels:
登録: コメント (Atom)