2021年に公開されたセキュリティ関連文書まとめ

2021年に公開されたセキュリティ関連文書まとめ

毎年、様々な機関がセキュリティに関連する文書を公開しています。政府機関のガイドラインや基準は、企業のセキュリティ方針を決める上で重要な指針となります。また、米国国立標準技術研究所 (NIST) が発行する文書や、セキュリティ関連組織が公開する調査報告書などは、セキュリティエンジニアだけでなく IT に関連する組織や個人にとっても有益な情報です。本記事では、2021 年に、以下の 5 つの政府機関と 7 つのセキュリティ関連団体等が公開した、セキュリティ関連の文書についてまとめました。

政府機関

内閣官房セキュリティセンター (NISC)

文書タイトル公開日
政府機関等における情報システム運用継続計画ガイドライン (第3版)2021/04/28
政府機関・地方公共団体等における業務での LINE 利用状況調査を踏まえた今後の LINE サービス等の利用の際の考え方 (ガイドライン) 【概要資料】2021/04/30
サイバーセキュリティ戦略2021/09/28
クラウドを利用したシステム運用に関するガイダンス(詳細版) / 【要約版】2021/11/30


総務省 サイバーセキュリティ統括官

文書タイトル公開日
テレワークセキュリティガイドライン (第5版) /【概要資料】
ブログリンク
2021/05/31
ICTサイバーセキュリティ総合対策20212021/07/29
クラウドサービス提供における情報セキュリティ対策ガイドライン (第3版) /【概要資料】2021/09/30


高度情報通信ネットワーク社会推進戦略本部 (IT 総合戦略本部)

文書タイトル公開日
デジタル社会の実現に向けた重点計画2021/06/18


警察庁 サイバー犯罪対策プロジェクト

文書タイトル公開日
令和2年におけるサイバー空間をめぐる脅威の情勢等について2021/03/04
令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について2021/09/09


CRYPTREC

文書タイトル公開日
CRYPTREC Report 2020 暗号技術評価委員会報告2021/10/12
CRYPTREC Report 2020 暗号技術活用委員会報告2021/10/12


セキュリティ関連団体

JPCERTコーディネーションセンター (JPCERT/CC)

文書タイトル公開日
制御システムセキュリティアセスメント報告書2021/03/23
EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範 (日本語版)
ブログリンク
2021/09/07


情報処理推進機構 (IPA)

文書タイトル公開日
NIST SP 800-171 rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護2021/02
「2020 年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書/【抜粋】2021/04/05
ニューノーマルにおけるテレワークと IT サプライチェーンのセキュリティ実態調査 / 【抜粋】2021/04/07
「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書2021/04/15
デジタル時代のスキル変革等に関する調査 / 【全資料】2021/05/21
「組込み/IoT に関する動向調査」調査報告書 / 【抜粋】2021/06/30
NIST SP800-53 rev.5 組織と情報システムのためのセキュリティおよびプライバシー管理策 翻訳版2021/07/19
NIST SP800-53B 組織と情報システムのための管理策ベースライン 翻訳版2021/07/19
情報セキュリティ白書 20212021/07/20
NIST SP800-172 管理対象非機密情報を保護するための拡張セキュリティ要件: NIST SP 800-171 の補足2021/08/20
情報セキュリティ 10 大脅威 20212021/08/31
「制御システム関連のサイバーインシデント事例」シリーズ【事例 8】2021 年 水道局への不正侵入と飲料水汚染未遂2021/10/18
「制御システム関連のサイバーインシデント事例」シリーズ【事例 9】2021 年 米国最大手のパイプラインのランサムウェア被害2021/10/18
NIST SP 800-88 rev.1 媒体のデータ抹消処理 (サニタイズ) に関するガイドライン 翻訳版2021/11/24


日本ネットワークセキュリティ協会 (JNSA)

文書タイトル公開日
署名検証ガイドライン v1.0_202103312021/05/17
セキュリティ知識分野 (SecBoK) 人材スキルマップ 2021 年版
ブログリンク
2021/05/17
セキュリティ業務職種のキャリア展望について2021/05/20
2020 年度 国内情報セキュリティ市場調査報告書2021/06/30
インシデント損害額調査レポート 2021 年版
ブログリンク
2021/08/18
「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書2021/09/13
オンライン身元確認(eKYC)金融事例調査報告書2021/11/09
GraphQL脆弱性診断ガイドライン2021/12


フィッシング対策協議会

文書タイトル公開日
フィッシング対策ガイドライン 2021 年度版2021/06/01
利用者向けフィッシング詐欺対策ガイドライン2021/06/02


セーファーインターネット協会 (SIA)

文書タイトル公開日
権利侵害明白性ガイドライン2021/04/05


日本クラウドセキュリティアライアンス (CSA ジャパン)

文書タイトル公開日
サーバレスアプリケーションのための最も重大な12のリスク (2019 年)2021/01/21
クラウドサービスの鍵管理2021/03/01
IoTセキュリティコントロールフレームワーク バージョン22021/05/28
クラウドインシデントレスポンス (CIR) フレームワーク2021/06/03
セールスフォースのための重要なコントロールの実装2021/07/09
CCM V4.0 日本語版2021/07/19
Cloud Data Protection2021/08/02
CCMV4.0.2 日本語版2021/08/20
CAIQV4.0.2 日本語版2021/08/20
クラウド重大セキュリティ脅威対策 – DevSecOps のユースケース –2021/10/25
クラウド脅威モデリング2021/10/31
個人情報の保護に関する法律準拠の為の行動規範2021/12/02
クラウド環境におけるセキュリティリスク、コンプライアンス、設定ミスの状況2021/12/14


日本情報経済社会推進協会 (JIPDEC)

文書タイトル公開日
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 ( 2021 年 8 月 30 日公表、2022 年 4 月 1 日施行)2021/08/30
プライバシーマーク付与適格性審査基準 (2021 年 8 月 30 日公表、2022 年 4 月 1 日施行)2021/08/30
2020 年度「個人情報の取扱いにおける事故報告集計結果」2021/10/15


週刊OSINT 2022-06号 / WEEK IN OSINT #2022-06(転載)

WEEK IN OSINT #2022-06

OSINTニュースの世界から、地図、地政学的な問題、そしてツールについての小さな更新です。

今号は小さな更新しかありません。というのも、掲載したかった別のツールで問題が発生したからです。時々、本当に素晴らしいツールがあるのですが、それが問題を起こすと、これを全部書くのに必要な多くの時間を食いつぶしてしまうのです。でも、いろいろなことが起こるので、もしかしたらバグフィックスして、別の日に取り入れるかもしれません。しかし、小さなアップデートではありますが、私の中では決して面白くないものではありません。

  • Geowifi
  • Ukraine Monitor
  • Sterra
  • Cleanup Pictures
  • Cognitive Biases

ツール: Geowifi

偉大なるGonzoが素晴らしいツールを作ってくれました。Geowifiです。ツールのテストに使っている仮想マシンに問題があって、悲しいことにこれを試すことができませんでした。Wigleだけにこだわらず、他のソースも使って、できるだけ多くの情報を見つけようとしたところが素敵です Gonzoさん、ありがとうございました。


サイト: Ukraine Monitor

Centre for Information Resilienceは、ウクライナ国境沿いのロシア軍の動きに関するオープンソースの情報をまとめたマップを作成しました。この地図はMapHubでホストされており、すべての項目にはタイムスタンプが押され、その出所に関する情報が記載されています。もしあなたがこの出来事を追っているならば、この地図は絶対に気に入るはずです。


ツール: Sterra

先週、hpiedcoqさんから、meakaaetさんのSterraという新しいInstagram分析ツールのPythonスクリプトを教えてもらいました。これは、フォローされているフォロワーやアカウントとその情報のセットをダウンロードし、その後、その結果に対して何らかの分析を行うことを可能にするものです。2つの結果を単純に「比較」して、共通するアカウントを新しいXLSXに出力することができます。私が気に入っているのは、すべての結果がExcelシートに保存されるので、複数の情報セットをダウンロードし、後でじっくりと結果を分析できることです。私はまだ複数のジョブを実行していませんが、ソーシャルメディアの状況がいかに速く変化しているかを考えると、このツールは将来的にレート制限を引き起こすかもしれません。


Python3.8でインストールしようとしたところ、いくつかの問題が発生しましたので、少し注意してください。下記が必要となります。

  • 少なくともPython3.9が動作していること
  • Python3.9-devがインストールされていること。


サイト: Cleanup Pictures

先週、クイズタイムの課題を出したのですが、その解答の一つを調べていたら、素敵なリンクを発見しました。「Cleanup Pictures」というウェブサイトは、AIを使って写真から不要なものを取り除くサイトです。TwitterユーザーのMCantowさんは、これを利用して写真から車を削除し、その後、逆画像検索で良い結果を得ました。例として、結果がどのようなものであるかは、こちらをご覧ください。


記事: Cognitive Biases

 「Dutch OSINT Guy」Nicoが認知バイアスについて、そしてなぜそれが調査中の場所に値しないかについての記事を書いている。長い記事ではありませんが、一読されることをお勧めします。このトピックは重要なだけでなく、確かな調査と、個人的な感情や考え方に基づいた話の違いを生む可能性があるのです。Nicoさん、ありがとうございました。

ランサムウエアギャング”PANDORA”が"denso"をハッキングしたと主張


株式会社デンソー(英: DENSO Corporation)は、愛知県刈谷市を本拠に置く自動車部品メーカーである。2009年以来、自動車部品業界では国内最大手である。TOPIX Large70構成銘柄の一つである。かつては、TOPIX Core30の構成銘柄の一つでもあった。

ザンネンな日本の教育機関における情報セキュリティのレベル ~パスワードを紙に記載の上教師に提出???????~


子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。 1年経ったから情報セキュリティの観点からパスワード変更?意味わからん。理由になってない。 パスワードをこの紙に記載の上教師に提出?パスワードは個人に帰属でしょ。@Chigasaki_city #茅ヶ崎市:

子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。

1年経ったから情報セキュリティの観点からパスワード変更?

意味わからん。

理由になってない。

パスワードをこの紙に記載の上教師に提出?

パスワードは個人に帰属でしょ。

小学生にも分かる!サイバーセキュリティの仕事を紹介するハンドブック(転載)


 小学生にも分かる!サイバーセキュリティの仕事を紹介するハンドブックを作りました

「サイバーセキュリティって何?」と小学生から聞かれたら、説明できますか?

いきなりこんな質問をされると、多くの人が戸惑ってしまうのではないでしょうか。またサイバーセキュリティの仕事をしている人でも、準備をしていないと小学生が分かるレベルで説明することは難しいと思います。

そこで、「多くの人にサイバーセキュリティについて知ってもらいたい」「サイバーセキュリティに興味を持ってもらいたい」「将来のサイバーセキュリティの担い手を増やしたい」という目的で、サイバーセキュリティに関わる仕事について分かりやすく紹介する『サイバーセキュリティ仕事ファイル 1 ~みんなが知らない仕事のいろいろ~』(以下、サイバーセキュリティ仕事ファイル)を制作しました。

『サイバーセキュリティ仕事ファイル 1』目次

  1. インシデントハンドラー

  2. コンピュータフォレンジッカー

  3. プラットフォーム診断士

  4. Webアプリケーション診断士

  5. サイバー犯罪捜査官

  6. セキュリティインストラクター

  7. ゲームセキュリティ診断士

  8. 情報システムペネトレーションテスター

  9. IoTデバイスペネトレーションテスター

  10. セキュリティコンサルタント

  11. 脅威情報アナリスト

  12. リスクマネジメント(リスクマネージャー)


サイバーセキュリティ仕事ファイル 1 ~みんなが知らない仕事のいろいろ~バックアップ

【悲報】エクスペディア・グループ、IHGと流通最適化でパートナーシップ

エクスペディア・グループ、IHGと流通最適化でパートナーシップ:

私がこの世で元も嫌う組織の一つであるエクスペディア・グループは、IHGホテルズ&リゾーツと流通の最適化でパートナーシップを締結した。

「オプティマイズド・ディストリビューション・プログラム」を活用し、IHGホテルズ&リゾーツの各施設の客室を、卸売料金で、ツアーオペレーターや旅行会社、BtoBプロバイダーに販売する。卸売流通市場は非効率的でコストがかかるほか、複数の販路を維持するためことで収益に大きな影響を与えるとしている。エクスペディア・グループを通じて、ツアーオペレーターや旅行会社、BtoBプロバイダーに販売する。

IHGホテルズ&リゾーツのジョージ・ターナー チーフ・コマーシャル&テクノロジー・オフィサーは、「エクスペディア・グループの最適化された販売プログラムへの参加を大変売れしく思っています。この提携により、コスト削減、チャネルミックスの管理強化、収益管理戦略の強化など、卸売をよりシームレスに管理できるようになり、最終的にオーナーとホテルにさらなる価値を提供できるようになります」とコメントした。

S7航空、全ての国際線の運航停止


S7航空、全ての国際線の運航停止:

S7航空は、2022年3月5日から全ての国際線の運航を停止すると発表した。

対象路線は全ての国際線であるものの、日本への乗り入れ便は、新型コロナウイルスの影響で運航されていない。再開日は未定であるとしている。欠航便の航空券を所持している人に対しては、全額を返金する。ロシアから往復航空券で出発し、まだ海外にいる利用者に対しては、出発空港の事務所に連絡するよう求めている。

ロシア当局は3月5日、外国のリース企業からリースされている機体の差し押さえを防ぐ目的で、3月8日以降の国際線の運航を停止することを勧告すると発表している。

オワコンのTポイントはウクライナ支援に投入せよ~1ポイントから募金可能~


 先日下記内容がYahooから届いた。


YahooとTポイントの提携が終わることは知っていたが、Tポイントがたまっていたことが衝撃だった。

33ポイントなんて何の使い道もないと思っていたのだが、Yahooでウクライナ募金をやっており、しかも1ポイントから募金できるというではないか!

という訳で早速支援させていただきました。