【転載】裁断処理せず廃棄した文書、まさかのゴミ収集車からの落下と路上散乱（大阪府教育委員会）

裁断処理せず廃棄した文書、まさかのゴミ収集車からの落下と路上散乱（大阪府教育委員会）:

大阪府教育委員会は7月10日、同日付で教職員の懲戒処分を行ったと発表した。

同委員会によると3月に、府立高等学校の教諭（60歳）が個人情報を含む文書を誤って裁断処理を行わずにゴミ袋に入れ廃棄したところ、その後、ゴミ収集車からゴミ袋が路上に落下し、中に入っていた当該文書が散乱、個人情報の流出が発生したとのこと。

同委員会では7月10日付で、当該教諭を戒告、管理監督責任として同校の准校長（56歳）に厳重注意の処分を行った。

被処分者：府立高等学校教諭（60歳）

処分内容：戒告

管理監督責任：准校長（56歳）

処分内容：厳重注意

《ScanNetSecurity》

永久交換保証の靴下

「永久」と聞いて連想するのはセゾンカードの永久不滅ポイントである。

日本人はポイント大好きで、自分も人のことを言えないのだが、貯めるのが大好きである。

そんな日本人の嗜好に永久不滅ポイントはマッチしていると思う。

以前どこかのセミナーで永久不滅ポイントが総額で1500億円以上積みあがっているなんて話を聞いた記憶がある。

自分は最終的にJALのマイルに変えるが、有効期限が無いので、必要になるその日までの～んびり貯めよう。

話がそれてしまったが、世の中には永久交換保証の靴下があるらしい。

自分はフィンガーソックス派なので、あれば試しに購入してみようと思ったのだが、普通の靴下しかなかった。残念。

ちなみに永久に〇〇とか、生涯〇〇というのは、非常に魅力的ではあるが、世の中に絶対はない。

直近ではクラウドファンディングで生涯納豆定食無料を謳っていたにもかかわらず、店側から因縁をつけられて権利を没収され、トラブルになった事例が出ている。

納豆定食「生涯無料」でトラブルに発展！クラウドファンディングの落とし穴

甘い言葉には気を付けよう。

【転載】IPA広報誌「IPA NEWS」Vol.47（7月号）を発刊しました！今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー＆カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。 ipa.go.jp/files/00008393… ipa.go.jp/about/ipa_news…

IPA広報誌「IPA NEWS」Vol.47（7月号）を発刊しました！今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー＆カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…:

IPA広報誌「IPA NEWS」Vol.47（7月号）を発刊しました！今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー＆カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…

バックアップ

STRIDEとは何ぞや

STRIDEってご存じだろうか？

@IT主催のIT Security Live Weekのどこかのセッションで出てきたので整理しようと思ったのだが、いかんせんつかみどころが無い状況となってしまった。

とりあえずSTRIDEの簡単な概要を紹介すると、

・Microsoftが開発した脅威モデル。

・下記6つの脅威の頭文字をとってSTRIDEとなっている。

Spoofing（なりすまし）
Tampering（改ざん）
Repudiation（否認）
Information disclosure（情報漏洩）
Denial of service（DoS攻撃）
Elevation of privilege（権限昇格）

ここまでは良いのだが、先日話したサイバーキルチェーンやMITRE ATT&CKやCIAとの関連が良く分からず、難儀した。

まず、CIAとSTRIDEについては、CIAがセキュリティの要素を分類したものであるのに対し、STRIDEはセキュリティの脅威を分類したものとなる。

つまり、STRIDEの各要素には、1つ以上のCIAの要素が必ず紐づくこととなる。
（厳密にはCIAの3大要素だけではなく、真正性、責任追跡性、信頼性、否認防止、を加えた7大要素のいずれかが紐づく）

STRIDEの各概要の説明とともに、関するCIAの要素を組み合わせてみる。

■Spoofing（なりすまし）
・概要：多要素認証の欠如、セッション管理の不備、暗号化通信の不備など
・CIA要素：真正性

■Tampering（改ざん）
・概要：HTMLインジェクション、SQLインジェクションなどを含むステレスコマンドなど
・CIA要素：完全性

■Repudiation（否認）
・概要：CSRF、デジタル署名の設定不備など
・CIA要素：否認防止

■Information disclosure（情報漏洩）
・概要：情報資産の意図しない流出など
・CIA要素：機密性

■Denial of service（DoS攻撃）
・概要：DoS/DDoS攻撃によるサービス停止など
・CIA要素：可用性

■Elevation of privilege（権限昇格）
・概要：アクセスを許していないはずのユーザにアクセス権が与えられてしまうことなど
・CIA要素：機密性、完全性

んで、次にサイバーキルチェーンやMITRE ATT&CKとの関連についてなのだが、こちらはMITRE ATT&CKの方で解説があった。

自分が理解しやすいように無理やり整理すると、上の図の更に上にスーパーハイレベルモデルとしてセキュリティ7大要素がある感じであろうか。

1.ベースモデルとしてセキュリティの7大要素があり（概念!?）

2.それらを脅威の観点で再整理したのがサイバーキルチェーンやSTRIDEとなり(抽象的知識体系)

3.それらを戦術やテクニック等より具体的に整理したものがMITRE ATT&CKとなり、

4.最後に個々の攻撃コードや脆弱性等の具体的な内容となる。

・・・という理解で今日は終えておこう。。。

【参考】
https://hanakutoman.com/threat-modeling-stride/
https://qiita.com/ohayougenki/items/a281a8330b60fad7f5e1
https://at-virtual.net/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/cvss%E3%80%81dread%E3%80%81stride%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/
https://www.socyeti.jp/posts/4873582/
https://www.smillione.co.jp/staffblog/2019/08/30/security02/

【転載】マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。

マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。:

マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。

フィッシングサイト・フィッシングメールの見分け方（最終版）

@IT主催のIT Security Live Weekのにゃん☆たく氏の話の中で興味深いものがあった。

それは、フィッシングサイト、フィッシングメールの見分け方について、結論に至ったというものである。

その結論とは何だったのだろうか？

それは、

見分けようとしない

である。

常に巧妙なフィッシングサイトやフィッシングメールが出てくる中で、「見分ける」という行為は不可能なのである。

インシデントレスポンスを行っているような高度なITスキルを持っている人であれば「見分ける」行為は可能である。

しかし、一般ユーザークラスに対しては不可能と言わざるを得ないのである。

では、どうすればよいのか？

結論から言うと基本に立ち返ることになる。

【対策①】
メール本文に記載されたURLにはアクセスしない。

【対策②】
サイトにアクセスする際はブラウザのお気に入り登録からのアクセスを徹底する。

シンプルイズベストとはまさにこのことを言うのだろう。

「気をつけろ」ではなく、「習慣化」で対応するのである。

普段自分もメール本文のURLからサイトにアクセスしているので、改めたいと感じた。

【転載】切り身１パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…

切り身１パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…: 切り身１パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…

セミリタイア（FIRE）できる人の行動TOP5

ウラケンさんがFIRE出来る人の行動TOP5を挙げていた。

詳細は動画参照なのだが、内訳は下記の通り。

ーー
5.読書をする

4.節約する

3.投資をする

2.マーケティングをマスターする

1.目標を紙に書く
ーー

5位の読書について、ウラケンさんがマスターしている速読法の紹介があった。

「フォトリーディング」と呼ばれるものなのだが、これはすごく気になった。

速読法は幾つかあるのだが、正直どれが良いのか分からない。

利害関係がなさそうな人から紹介されるのが一番説得力がある。

4位の節約はこれまでも何度か出ている。

☆家のコストは収入の10分の1以下にする。

☆テレビは見ない(⇒NHKコストの削減)。

☆会社の飲み会には参加しない。

☆車は持たない（経費化できる身分になったら経費で持っても可）。

家のコストとテレビと車は、言うは易し行う難しで、それなりの覚悟と思い切りが必要である。

自分は実践できているが、きっかけは引っ越しとかの環境変化だった。

3位の投資もこれまでに出ている。

基本的には節約したお金を投資に回して種銭の増加を加速させるというものである。

そしてどこかのタイミングで種銭を使って不動産投資に進む。

1位の「目標を紙に書く」は意外と出来ていなかった。

試みたことはあったような気がするが、具体化が出来なくてとん挫した記憶がある。

不動産投資は、個人的にはペーパーアセットと比較すると目標設定が立てやすい気がしているので、リトライしてみようと思う。

登録: 投稿 (Atom)