STRIDEとは何ぞや


STRIDEってご存じだろうか?

@IT主催のIT Security Live Weekのどこかのセッションで出てきたので整理しようと思ったのだが、いかんせんつかみどころが無い状況となってしまった。

とりあえずSTRIDEの簡単な概要を紹介すると、

・Microsoftが開発した脅威モデル。

・下記6つの脅威の頭文字をとってSTRIDEとなっている。

Spoofing(なりすまし)
Tampering(改ざん)
Repudiation(否認)
Information disclosure(情報漏洩) 
Denial of service(DoS攻撃)
Elevation of privilege(権限昇格)

ここまでは良いのだが、先日話したサイバーキルチェーンMITRE ATT&CKCIAとの関連が良く分からず、難儀した。

まず、CIAとSTRIDEについては、CIAがセキュリティの要素を分類したものであるのに対し、STRIDEはセキュリティの脅威を分類したものとなる。

つまり、STRIDEの各要素には、1つ以上のCIAの要素が必ず紐づくこととなる。
(厳密にはCIAの3大要素だけではなく、真正性、責任追跡性、信頼性、否認防止、を加えた7大要素のいずれかが紐づく)

STRIDEの各概要の説明とともに、関するCIAの要素を組み合わせてみる。

Spoofing(なりすまし)
・概要:多要素認証の欠如、セッション管理の不備、暗号化通信の不備など
・CIA要素:真正性

■Tampering(改ざん)
・概要:HTMLインジェクション、SQLインジェクションなどを含むステレスコマンドなど
・CIA要素:完全性

■Repudiation(否認)
・概要:CSRF、デジタル署名の設定不備など
・CIA要素:否認防止

■Information disclosure(情報漏洩) 
・概要:情報資産の意図しない流出など
・CIA要素:機密性

■Denial of service(DoS攻撃)
・概要:DoS/DDoS攻撃によるサービス停止など
・CIA要素:可用性


■Elevation of privilege(権限昇格)
・概要:アクセスを許していないはずのユーザにアクセス権が与えられてしまうことなど
・CIA要素:機密性、完全性


んで、次にサイバーキルチェーンやMITRE ATT&CKとの関連についてなのだが、こちらはMITRE ATT&CKの方で解説があった。



自分が理解しやすいように無理やり整理すると、上の図の更に上にスーパーハイレベルモデルとしてセキュリティ7大要素がある感じであろうか。

1.ベースモデルとしてセキュリティの7大要素があり(概念!?)

2.それらを脅威の観点で再整理したのがサイバーキルチェーンやSTRIDEとなり(抽象的知識体系)

3.それらを戦術やテクニック等より具体的に整理したものがMITRE ATT&CKとなり、

4.最後に個々の攻撃コードや脆弱性等の具体的な内容となる。

・・・という理解で今日は終えておこう。。。

【参考】
https://hanakutoman.com/threat-modeling-stride/
https://qiita.com/ohayougenki/items/a281a8330b60fad7f5e1
https://at-virtual.net/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/cvss%E3%80%81dread%E3%80%81stride%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/
https://www.socyeti.jp/posts/4873582/
https://www.smillione.co.jp/staffblog/2019/08/30/security02/

【転載】マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。

マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。:

マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。

EcxYzxSUMAAtlJI.png:large

フィッシングサイト・フィッシングメールの見分け方(最終版)


@IT主催のIT Security Live Weekにゃん☆たく氏の話の中で興味深いものがあった。

それは、フィッシングサイト、フィッシングメールの見分け方について、結論に至ったというものである。

その結論とは何だったのだろうか?

それは、

見分けようとしない

である。

常に巧妙なフィッシングサイトやフィッシングメールが出てくる中で、「見分ける」という行為は不可能なのである。

インシデントレスポンスを行っているような高度なITスキルを持っている人であれば「見分ける」行為は可能である。

しかし、一般ユーザークラスに対しては不可能と言わざるを得ないのである。

では、どうすればよいのか?

結論から言うと基本に立ち返ることになる。

【対策①】
メール本文に記載されたURLにはアクセスしない。

【対策②】
サイトにアクセスする際はブラウザのお気に入り登録からのアクセスを徹底する。

シンプル イズ ベストとはまさにこのことを言うのだろう。

「気をつけろ」ではなく、「習慣化」で対応するのである。

普段自分もメール本文のURLからサイトにアクセスしているので、改めたいと感じた。

【転載】切り身1パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…

切り身1パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…: 切り身1パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…




セミリタイア(FIRE)できる人の行動TOP5


ウラケンさんがFIRE出来る人の行動TOP5を挙げていた。

詳細は動画参照なのだが、内訳は下記の通り。

ーー
5.読書をする

4.節約する

3.投資をする

2.マーケティングをマスターする

1.目標を紙に書く
ーー

5位の読書について、ウラケンさんがマスターしている速読法の紹介があった。

「フォトリーディング」と呼ばれるものなのだが、これはすごく気になった。

速読法は幾つかあるのだが、正直どれが良いのか分からない。

利害関係がなさそうな人から紹介されるのが一番説得力がある。

4位の節約はこれまでも何度か出ている。

☆家のコストは収入の10分の1以下にする。

☆テレビは見ない(⇒NHKコストの削減)。

☆会社の飲み会には参加しない。

☆車は持たない(経費化できる身分になったら経費で持っても可)。

家のコストとテレビと車は、言うは易し行う難しで、それなりの覚悟と思い切りが必要である。

自分は実践できているが、きっかけは引っ越しとかの環境変化だった。

3位の投資もこれまでに出ている。

基本的には節約したお金を投資に回して種銭の増加を加速させるというものである。

そしてどこかのタイミングで種銭を使って不動産投資に進む。

1位の「目標を紙に書く」は意外と出来ていなかった。

試みたことはあったような気がするが、具体化が出来なくてとん挫した記憶がある。

不動産投資は、個人的にはペーパーアセットと比較すると目標設定が立てやすい気がしているので、リトライしてみようと思う。

【転載】CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会)

CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会):

img_ogp.png


CODE BLUE 実行委員会は6月19日、新型コロナウイルス感染症の影響を考慮し、参加者や出展者などすべての関係者の安全を最優先に考慮し、CODE BLUE 2020 を 10月29日(木)~10月30日(金)にオンライン開催実施すると発表した。参加費は無料。



パナソニック株式会社、株式会社日立システムズ、株式会社 Flatt Security ほかの申込済みの協賛企業の「強い継続支援とリクエスト」によって実現したという。



なお、講演者募集の締め切りは8月15日(土)。また、サイバー犯罪対策トラックは別枠有料の可能性があるという。

《高橋 潤哉( Junya Takahashi )》


【転載】JAL国内線が実質の値下げ!搭乗キャンペーンが強烈!1区間で1,000ポイント!

JAL国内線が実質の値下げ!搭乗キャンペーンが強烈!1区間で1,000ポイント!:



JAL国内線の搭乗キャンペーンが出てきました。

いやー、凄い。5,000円以上で1,000e JALポイント貰えます。実質の値下げ。今までにない強烈なキャンペーンです。

コロナの第二波も気になるところですが、、

キャンセル無料期間なのでとりあえず予約だけでも良いかもしれません。



JAL国内線、取消手数料無料キャンペーン。7月4日~10月24日搭乗分まで対象。



JAL国内線は6月末までキャンセル無料だったのですが、約4か月継続することになります。ただし、払戻手数料の440円が必要です。

https://www.jal.co.jp/jp/ja/dom/ikouze-nippon/change/



440円でキャンセル可。コロナもあるのでこれはありがたい。キャンペーンの詳細は以下の通り。

  • 7月4日以降に購入した7月4日から10月24日までの航空券が対象。
  • 払戻手数料440円のみ発生。
  • 予約便の出発時刻までに取消が必要。
  • 対象運賃は、ウルトラ先得、スーパー先得、先得A・B、特便割引1・3・7・21、乗継割引


10月24日まで取消手数料無料が継続します。JALも思い切ったキャンペーンを打ってきました。

国内線に乗ってeJALポイントをもらおうキャンペーン

予約率が上がらないんでしょうね。とは言え、ここまでやるの?とこちらが思ってしまう内容です。

キャンペーンは登録が必要です。

https://www.jal.co.jp/jp/ja/dom/ikouze-nippon/ejal/



キャンペーンの詳細は以下の通り。

  • 登録期間:7月10日~8月31日
  • 発券期間:7月10日~8月31日
  • 搭乗日:8月1日〜10月24日
  • 対象運賃:先得、特典航空券(おともdeマイル、どこかにマイルは対象外)
  • 内容:搭乗1回ごとにeJALポイントがもらえる。5,000円以上で1,000ポイント、5,000円未満もしくは特典航空券は500eJALポイント。
  • キャンペーンで加算されるe JALポイントの有効期限は半年。


キャンセル無料に続いて搭乗キャンペーン、、、凄すぎます。

減便が続いていた国内線は8月には9割がた元に戻る予定の中、予約率が芳しくなかったのもあると思います。ANAに対抗するのもあると思いますが、それにしても強烈です。



なお、先得運賃が対象で、特便は対象外なので注意してください。

おすすめは9月

9月が安いです。例えば、羽田那覇。6,310円、、、1週間前は7千円台だったのですが、さらに下がってました。





羽田徳島だとこんな感じ。9月はどの路線も安いので先得カレンダーを使って確認してみてください。



新型コロナは大丈夫?

気になるのは新型コロナの第二波。東京を始め感染者が増えている状況です。

重症患者が少ない、医療はまだひっ迫していない等、3,4月のころとは状況が違うとは言え、感染者が増えているのも事実。

このような中、go to キャンペーンも始まり、本当に旅行して良いの?ってなりますよね。



私の考えは、上手く付き合っていくことが必要だと言うこと。再び経済を止めると大きな影響は避けられないですし、経済を徐々に動かしながら、手洗いうがいにマスク着用等の個人の対策をしっかりする必要があると思います。



また、状況により柔軟に対応できるよう、キャンセル可の料金で予約し、いつでもキャンセルできるようにしておくのが適切だと考えます。

まとめ

JAL国内線の搭乗キャンペーン。

go to キャンペーンも始まりますし、幾つか予約しようと思います。

キャンセル可の期間内なので安心。実際に行くかは状況を見て判断したいと思います。状況が厳しいようだったらキャンセルする予定です。

JAL国内線は楽天リーベイツを通しましょう。楽天ポイントが1%還元されます。予約時、あるいは支払い時に忘れないように通してください。

JGC修行の途中だった人もこの機会を利用するのは良いかもしれません。


羽田空港のJGCカウンター








マリオットも9月30日までキャンセル無料になり予定が立てやすくなりました。とりあえず予約しておくのはありだと思います。go to キャンペーンも生かしていきましょう!


マリオットの宿泊キャンペーン







【転載】サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁):

公安調査庁は6月29日、国内外で深刻さを増すサイバー攻撃の現状等について広く周知するため「サイバーパンフレット サイバー攻撃の現状2020」を作成し公開した。



「近年の主なサイバー攻撃事案」でWannaCryやNotPetyaなどについて言及しつつ、攻撃主体として国家または非国家の主体を挙げ、国家主体として指摘された例として米国による指摘として、北朝鮮、ロシア軍参謀本部情報総局、中国国家安全部、イランなどの名称を記載している。



攻撃の目的として「情報窃取・スパイ活動」「情報システムの破壊・機能妨害」「不正な金銭獲得」「心理戦・影響力工作」の4つが挙げられ「情報窃取・スパイ活動」のページには2015年に発生した日本年金機構における個人情報125万件流出事案が記載されている。

《高橋 潤哉( Junya Takahashi )》






バックアップ