セキュリティ予算獲得のためにすべき事 / How to Boost Executive Buy-In for Security Investments(転載)


 セキュリティ予算獲得のためにすべき事

How to Boost Executive Buy-In for Security Investments

セキュリティ予算と侵害対策の成果を結びつけることで、経営陣はリスクに対する支出のバランスを取り、CISOがより高い評価を受けるようになります。

ほとんどの最高情報セキュリティ責任者(CISO)とその経営陣や取締役会との間には微妙な関係があることは周知の事実です。CISOは、岩場(原因)と困難な場所(効果)の間に挟まれています。

CISO が主導する企業のセキュリティプログラムは、セキュリティ侵害から保護することを目的としている。経営者には、ビジネスを許容できない影響から守る義務がありますが、具体的なセキュリティ侵害の結果とそれに伴う影響の管理を具体的な予算に結びつけた、定量化可能でデータに基づいたセキュリティ戦略と行動計画が提示されることは、ほとんどありません(あったとしても)。

これにより、経営者は、投資家、保険会社、反対する法律顧問、規制当局、顧客など、企業のサイバーリスクにさらされている外部からの挑戦者にさらされることになります。しかし、外部からの挑戦者はこれらだけではない。内部的には、CISO は限られた資金で他の事業部門と機会とコストの戦いを繰り広げており、投資対効果がより明確な機能との戦いになっている。

サイバーリスクに対する期待値の設定


これらの課題をより適切に処理するために、セキュリティ計画では、与えられた予算あたりのサイバーリスクの結果のレベルを想定しておく必要があります。これにより、特定の予算に対する期待値を設定するだけでなく、ビジネスが予算を削減したり増やしたりした場合に、CISOはその結果として生じるサイバーリスクの暴露の変化を実証することができます。

セキュリティプログラムの目的は、セキュリティ侵害からの保護にある程度の信頼性を持つことである。経営者は、(国家のような)高度な脅威による侵害からビジネスを保護すべきだと考えているというよりも、むしろ、(膨大な数の)洗練されていない脅威が侵害して許容できない影響を与える可能性があるかどうかを知るための信頼できる情報を持っていないのである。セキュリティプログラムは、サイバーリスクにさらされるレベルを保証できるものでなければなりません。

リスク低減の経済学を正当化する


一般的に、オペレーションリーダー(マーケティング、セールス、ITなどのトップなど)は、企業全体の能力を開発する機会を正当化することが求められています。彼らは、リターンを示すことができれば良いのですが、強いリターンを示すことができれば素晴らしいのです。これらは、どんなビジネスリーダーも逃れることができない、あるいは逃れるべきではない基本的なビジネス経済学である。

CISO は、経営者のドクトリンとうまく調和しない戦略原則という点で、事実上、ビジネスから自己分離している。歴史的に見ても、セキュリティ戦略は、主に脆弱性チェイサー、脅威検出器、フレームワークフォロワー、さらに最近ではリスク計算機を介して推進されてきました。これらは、大部分が近視眼的であったり、抽象的すぎて経営者には結びつかないものでした。

安全保障経済学的アプローチ


CISOは(良い言葉ではないが)セキュリティ経済の時代に移行できるのか?ビジネスのすべてはスライダーに乗っている。コスト対報酬のスライダーである。通常、投資に対してより良いリターンを示せば、経営者の満足度は上昇する。肯定的な結果は、多くの場合、最初から期待値がどれだけ適切に設定されているかによって決まる。CISOが結果に対する期待値を設定していない場合、どのようにしてエグゼクティブに満足してもらうことができるのでしょうか?ほとんどのCISOは、予算の量でコントロールできる違反の影響結果よりも、自分たちが何をするか(または何をしたいか)に固執しすぎているのが現状です。

CISO が経営陣に期待を寄せているのであれば、これらの疑問に答えるセキュリティ経済的なアプローチをとる必要があります。

  1. 何に重点を置いて保護を行うのか - そして、これは正当化されているのか?
  2. どのようなレベルと種類の保護を、どのようなコストで提供できるのか?
  3. 保護レベルを開発するための現実的な計画があるか。
  4. 費用対効果を確保するために、開発と運営を管理し、追跡することができるか。
  5. 私たちの結果は、独立して検証することができるか?
このようにセキュリティをフレーム化することで、リスク選好度は、潜在的なリスクの結果に対して支出のバランスを取ろうとする意思に基づいて、最も有意義な方法で明確になる。このフレームワークでは、支出やセキュリティ態勢に関連する選択肢と同様に、リスクが前面に出てくる。セキュリティ支出に関する曖昧さはなくなり、ビジネスの専門家とリスク選好度に関する最終的な決定は、エグゼクティブスイートであるべきところで行われるようになります。

生活の中で多くのものを購入するときには、サイズと品質のオプションに直面しています。セキュリティプログラムも同様です。規模とは、管理下にある資産の数(保護)であり、品質とは、その保護のレベル(どのレベルの脅威の巧妙さが許容できない影響を引き起こす可能性があるか、どのレベルの脅威が許容できるか)です。

経営者のプランにサイズや品質の異なるスライダーを提供することで、選択肢を提供することができます。これらの選択肢は、様々なレベルの保護を受けるために、あるいは逆にサイバーリスクにさらされている場合に、どの程度の予算を割り当てるべきかを示すものである。彼らが資金を提供しないオプションは、CISOは責任を負いません。

このような計画を立て、それを実現するCISOは、他のビジネスリーダーと一線を画しており、そのレベルのリーダーと見なすことができます。CISOが十分な尊敬を得られていない、あるいは聞き入れてもらえていないと考えるならば、それはリスク/報酬に基づいた分析をCスイートの仲間たちに合わせて提示していないからかもしれません。

今こそ、CISO は、岩と岩の間から、現代のセキュリティ経済的な CISO になるために、自分自身を再配置する時である。これにより、CISOは役員会や取締役会のテーブルに座ることができるようになります。




Labels: ,

(たぶん)日本初、Clubhouseで決算説明会 東証1部・GMOペパボが開催 「社長がきのう突然……」(転載)~個人的にこういう会社は嫌だ~


(たぶん)日本初、Clubhouseで決算説明会 東証1部・GMOペパボが開催 「社長がきのう突然……」

 音声SNS「Clubhouse」で2月3日夕、東証1部上場企業・GMOペパボの決算説明会が開かれる。Clubhouseで日本の上場企業が決算説明会を行うのは、おそらく日本初。佐藤健太郎社長が、リスナーからのさまざまな質問に答える。

 「社長がきのう突然、Clubhouseでやろうと言い出して……」と担当者は困惑しつつも、1日で準備を整えたという。

  GMOペパボは、2020年12月期(通期)の決算を3日午後3時半に発表。午後4時半からアナリスト・機関投資家向けの決算説明会(事前登録制で原則非公開)をWebで行い、音声のみClubhouseで配信する。

 午後5時半からは、Clubhouseに佐藤健太郎社長などが現れ、「決算振り返り会」という形でリスナーと交流する。番組のタイトルは「Clubhouse決算説明会を終えた渋谷の一部上場lT社長がだいたいなんでも答える部屋」だ。

 佐藤社長は2日朝突然「明日の決算説明会をClubhouseでもやろう」と言いだし、担当者は対応に追われたという。“Clubhouse決算説明会”の運営を検討する会議もClubhouseで行い、社外リスナーからの意見も採り入れながら内容を固めていった。

 Clubhouseは、米国発の音声SNS。現在はiOS専用で、ユーザーから招待されれば利用できる。1月末ごろから日本で急速に流行し、IT系の企業経営者や芸能人などの参加も増えている。


Labels:

CISベンチマーク 2021年1月アップデート / CIS Benchmarks January 2021 Update(転載)

CIS_Benchmarks_Community


Blog | CIS Benchmarks January 2021 Update:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Cisco NX-OS Benchmark v1.0.0

Cisco NX-OS を実行している Cisco デバイスの安全な設定を確立するための規定的なガイダンス。

この初期リリースに貢献してくれた Rob Vandenbrink に感謝します。

Download the CIS Cisco NX-OS Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apache Tomcat 9 Benchmark v1.0.0

Linux 上で動作する Apache Tomcat バージョン 9.0 のために安全な設定を確立するための指針です。このガイドは、Apache が提供する tar パッケージによってインストールされた Apache Tomcat 9.0 に対してテストされました。このリリースでの主な変更点:

  • 勧告「厳格なサーブレットのコンプライアンスを有効にする」は、その影響の可能性があるため、レベル 2 に移動されました。
  • TLS の使用に関するガイダンスが更新され、TLS バージョン 1.2 および/または 1.3 を推奨するようになりました。
  • マネージャーアプリケーションパスワードを暗号化するための新しい推奨事項が追加されました。
  • アーティファクトは、CIS-CATの将来のリリースに含まれる新しい自動化された評価コンテンツをサポートするために、多数の推奨事項に追加されました。

このリリースに貢献してくれたJoern Krueger氏、James Scott氏、Ardnor Zeqiri氏に特別な感謝の意を表します。

Download the CIS Apache Tomcat 9 Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apple macOS 10.12 Benchmark v1.2.0

Apple macOS 10.12のセキュアな構成姿勢を確立するための処方的なガイダンスです。このガイドはApple macOS 10.12に対してテストされています。このリリースでの主な変更点:

  • パスワードポリシーセクションの監査と是正処置を更新しました。
  • CIS コントロール v7.1 を追加しました。

このリリースに携わってくれたロン・コルビンとウィリアム・ハリソンに特別な感謝の意を表します。

Download the CIS Apple macOS 10.12 v1.2.0 Benchmark PDF

CIS Alibaba Cloud Foundation Benchmark v1.0.0

これは、Alibaba Cloud のための新しい CIS ベンチマークである。このベンチマークには、基礎的な設定、テスト可能な設定、アーキテクチャに依存しない設定に重点を置いた、Alibaba Cloud サービスのサブセットのセキュリティオプションを設定するための指針が記載されている。ここでは、その内容を簡単に紹介する。

  • アイデンティティとアクセス管理(IAM)の設定
  • ロギングとモニタリング構成
  • ネットワーク設定
  • 仮想マシンの設定
  • ストレージ構成
  • リレーショナルデータベースサービス(RDS)の設定
  • Kubernetesエンジンの設定
  • アリババクラウドセキュリティセンターの設定

コミュニティ、編集者、Alibaba Cloudチームに感謝します。

Download the CIS Alibaba Cloud Foundation Benchmark PDF
Labels: ,

今イチオシのYouTubeチャンネル情報:Russian OSINT(転載)


今イチオシのYouTubeチャンネル情報です youtube.com/c/RussianOSINT…: 今イチオシのYouTubeチャンネル情報です
youtube.com/c/RussianOSINT…

Labels: ,

超高性能な機械翻訳システム”DeepL”の無料版で翻訳すると情報はアップロードされるか⇒YES(転載)


SttyK (してぃーきっず) retweeted: DeepLの無料版で入力された文は、アイスランドにあるDeepLのサーバー内に保存されるそうです。有料のPro版は保存されないとのことなので、機密情報の翻訳にはPro版を利用するべきだそうです。 Wikipediaにもそれらしき情報が書かれてるみたいだけど、DeepLの人がそう言ってたから確実な情報:
DeepLの無料版で入力された文は、アイスランドにあるDeepLのサーバー内に保存されるそうです。有料のPro版は保存されないとのことなので、機密情報の翻訳にはPro版を利用するべきだそうです。
Wikipediaにもそれらしき情報が書かれてるみたいだけど、DeepLの人がそう言ってたから確実な情報
Labels: ,

ツイートをRSSで取得する方法(転載)【nitter】


 【2020年】Twitterアカウント不要!ツイートをRSSで取得する方法

Twitterのタイムラインって情報がどんどん流れていってしまいますよね。

隙間時間にチェックしても追いきれません。

でも見逃したくない情報もあります。

そこで、ツイートをRSSで取得できるサービスを利用してRSSリーダーであとから読めるようにする方法をご紹介します。

Nitter

オープンソースのNitter。

NitterはRSS化がメインではなく、高機能な検索機能で細かくツイートを絞り込めるのが特徴です。

細かく絞り込んだ条件でRSS化できるので必要な情報だけを効率よく取得することが可能です。

ユーザーを指定してツイートを取得

1Nitterのサイトを開きます。

Nitter
https://nitter.net/

ユーザー名で検索する

2[ Enter username… ] と表示された検索窓にTwitterのユーザー名を入力して [  ] をタップ。

3検索結果にユーザが出てくるのでユーザー名をタップ。

指定したユーザーのタイムラインが表示される

4本家Twitterと同じようなタイムラインが表示されます。

5RSS化したい状態に設定します。

表示されているタイムラインがRSS化されるので、必要に応じて設定しましょう。

メニュー内容
Tweets & Repliesツイートとリプライを表示
Media画像と動画の含まれたツイートのみ表示
Search絞り込みなど詳細な検索ができる

 Search

一番右の [ Search ] をタップすると検索窓が表示されます。

その右にある [  ] をタップすると詳細な検索メニューが出てきます。

Searchのメニュー内容
FilterFilterの中からチェックを入れたものだけを表示。
[ Retweet ] にチェックを入れると、指定したユーザーのリツイートのみが表示される。
ExcludeExcludeの中からチェックを入れたものは除外して表示。
[ Retweet ] にチェックを入れると、指定したユーザーのリツイートは表示されない。
Time range日付を指定して表示。
この条件を指定するとRSS化したときに新しいツイートが取得できないのでご注意を。
Near指定した場所から投稿されたツイートだけ表示。

条件を指定したあと [  ] をタップすると検索結果が表示されます。

RSSのURLをコピー

6RSS化したい内容がタイムラインに表示されていることを確認して、上部のRSSアイコンをタップ。

7ブラウザのアドレス欄にRSSフィードが表示されるのでコピーする。

8コピーしたRSSフィードをRSSリーダーに登録する。

指定したキーワードの含まれるツイートを取得

1Nitterのサイトを開きます。

Nitter
https://nitter.net/

キーワードで検索する

2[ Enter username… ] と表示された検索窓にキーワードを入力して [  ] をタップ。

検索コマンドも使えますので工夫してノイズが入らないようにすると情報収集が捗りますね。

コマンド内容
lang:ja日本語のツイートのみ
-〇〇○○が含まれないツイート

などなど、色々試してみてください。

3検索結果にキーワードが含まれるユーザが出てくるので [ Tweets ] をタップ。

キーワードが含まれるツイートが表示される

4キーワードが含まれるツイートが表示されます。

5RSS化したい状態に設定します。

表示されているツイートがRSS化されるので、必要に応じて設定しましょう。

 Search

一番右の [ Search ] をタップすると検索窓が表示されます。

その右にある [  ] をタップすると詳細な検索メニューが出てきます。

Searchのメニュー内容
FilterFilterの中からチェックを入れたものだけを表示。
[ Retweet ] にチェックを入れると、指定したキーワードのリツイートのみが表示される。
ExcludeExcludeの中からチェックを入れたものは除外して表示。
[ Retweet ] にチェックを入れると、指定したキーワードのリツイートは表示されない。
Time range日付を指定して表示。
この条件を指定するとRSS化したときに新しいツイートが取得できないのでご注意を。
Near指定した場所から投稿されたツイートだけ表示。

条件を指定したあと [  ] をタップすると検索結果が表示されます。

RSSのURLをコピー

6RSS化したい内容がタイムラインに表示されていることを確認して、上部のRSSアイコンをタップ。

7ブラウザのアドレス欄にRSSフィードが表示されるのでコピーする。

8コピーしたRSSフィードをRSSリーダーに登録する。


Labels:

セキュリティ情報の集め方(転載)~RSS を配信していないサイトの対策(Feed43)~


セキュリティ情報の集め方 ~しなもんの場合~

ぜひウォッチしたいと思う有用な web サイトのすべてがRSSを配信しているわけではありません。

ブックマークしておいて定期的に見るというのも手ですが、できれば他のサイトと同様にRSSリーダーで管理したいものです。

そんな方には "Feed43" をお試しになることをお勧めします。必ずうまくいくわけではありませんが、これで綺麗にRSSを生成できる場合も多いです。

feed43.com

ちょっと長くなりますが便利な方法なのでこの場でご紹介します。

ここでは有用でありながらRSSを設定していないサイトの例としてセキュリティニュースサイト "Security Next" を例に説明します。

私が知る限りTwitterアカウントも持っておらず、追いかけるのに工夫が必要なニュースサイトです。

1. どのページのフィードを取るか決めます。記事一覧、新着情報一覧などが掲載されているページが適しています。

 今回は「ニュース関連記事の一覧」で生成することにします。

 新着記事のタイトルとその URL の取得を目指します。 

2. Feed43 にアクセスし、"Create your first RSS feed" ボタンをクリックします。 

f:id:am7cinnamon:20210115114150p:plain

"Create your first RSS feed" ボタンをクリック

3. "Address" に Security Next の URL、”Encoding” に "utf-8" (大文字でも可) と入力し、"Reload" ボタンを押します。

f:id:am7cinnamon:20210115120228p:plain

 なお Encoding は他のサイトでは異なるものが使われている可能性があります。そのページのソースを見て、meta 要素を確認するのが確実です。 

f:id:am7cinnamon:20210115120251p:plain

こんな感じで設定されています。細部はサイトにより異なります。 

4. 正しく指定できていれば "Page Source:" にそのページのソースコードが現れます。

 文字化けしている場合は Encoding を正しく設定できていません。

 

f:id:am7cinnamon:20210115120443p:plain

5. 取得したいのは新着記事のタイトルと URL です。

 これらを含む部分をソースコードから見つけ出します。

 "Page Source:" を見てもよいのですが、画面が小さくて探しにくいので、ブラウザの機能で元のページのソースを表示して探すといいです。

 最新記事のタイトルなどで検索すると簡単です。 

f:id:am7cinnamon:20210115120942p:plain

Security Next のニュース関連記事の一覧の場合、上の画像に示すのがその部分になります。

フォーマットは一緒で、「日付」「URL」「タイトル」だけが異なる繰り返しであることがわかります。 

6. ここが一番難しい部分です。

 5. で特定した繰り返し部分を 1つ取り出して、

 ・フォーマット以外の可変部分 (タイトルなど) を"{%}" で置き換える

 ・ソース中に改行がある場合は、その箇所に "{*}" を追加する

 の 2つのルールに従い編集して "Item (repeatable) Search Pattern:" に入力します。

 場合によっては当該部分がかなり長いこともあるので、別にテキストエディタなどを用意して編集はそちらで行うと楽です。 

f:id:am7cinnamon:20210115121854p:plain

今回は改行がなかったので、「日付」「URL」「タイトル」を {%} に置き換えただけで済みました。 

この状態で "Extract" ボタンを押します。 

7. 6. での設定がうまくいっていると "Clipped Data:" に "{%1} = ** {%2} = **...” という繰り返しが表示されます。

 6. で置き換えた {%} が順番に {%1}、{%2}、……になります。

 うまく抽出できていない場合は 6. に戻って試行錯誤することになります。ページの構造上どうやってもうまくいかないこともありますが…… 

f:id:am7cinnamon:20210115122137p:plain

うまく抽出できた

8. Feed Title などを適宜編集します。

 特にこだわりがなければそのままでもいいでしょう。 

f:id:am7cinnamon:20210115122825p:plain

9. 取得するフィードの 1件 1件ごとのタイトルと URL を設定します。

 今回は、"Item Title Template:" は個別記事のタイトルにあたる "{%3}"、"Item Link Template:" は個別記事の URL にあたる "{%2}" にそれぞれ設定しました。

 Item Title に日付と記事タイトルを組み合わせて "{%1}{%3}" と設定する、といったこともできます。 

f:id:am7cinnamon:20210115123442p:plain

10. "Preview" ボタンを押します。

 うまく各記事のタイトルと URL が取得できて一覧になっていれば成功です。

 

f:id:am7cinnamon:20210115123725p:plain

11. "Feed URL" が完成したRSSフィードの URLです。 

f:id:am7cinnamon:20210115124023p:plain

完成!

これをコピーして自分が使っているRSSリーダーに設定します。 

f:id:am7cinnamon:20210115124428p:plain

無事購読できました。

【バックアップ】

セキュリティ情報の収集方法について

Labels: ,

「イチモツを返して欲しければ…」スマート貞操帯アプリをハッキングし身代金を要求する事件が発生!(転載) ~IoT機器の恐ろしさを実感!?~



「イチモツを返して欲しければ…」スマート貞操帯アプリをハッキングし身代金を要求する事件が発生! (2021年1月16日) - エキサイトニュース:

昨年10月、アメリカのセキュリティ会社「Pen test partners」が、IoT機器の貞操帯「Cellmate」の脆弱性を指摘したことで話題になった。

この貞操帯は、スマートフォンアプリとBluetoothで接続し、遠隔でロックできるという仕組みとなっている。しかし、アプリのAPIに欠陥があるために、悪意あるハッカーによって強制的にロックされ、自力で取れなくなってしまうというリスクがあるという。

だが、開発会社である「Qiui」はこの問い合わせに対し応答せず、沈黙を貫いていたという。

そんな中、ついにこのスマート貞操帯の被害者がでてきてしまった。

today in Internet of Things: a Smart Chastity cage was hacked and its users were held for ransom. We have the messages:

"Your Cock Is Mine Now"https://t.co/riMzXo87kT

 

— Jason Koebler (@jason_koebler) January 11, 2021

被害を受けたのは、アメリカ在住の匿名の男性。米メディア「Vice.com」の記事においては、ロバートさんという仮名で呼ばれ、オンラインでインタビューを受けていた。

ロバートさんはその日、自身のスマートフォンに「デバイスのロックを解除して欲しければ0.02ビットコイン(約77万円)を支払え」と要求するメッセージを受け取ったという。

幸いにもその時には装着しておらず難を逃れたが、貞操帯は確かにロックされており、Bluetoothで再接続して取り外すこともできなくなってしまっていたという。

また別の被害者も、「所有しているユーザーが変えられており、自由に貞操帯を制御することが全くできなくなった」とのこと。この方もまた当時つけていなかったというが、ハッカーから「お前のイチモツは俺のモノだ」という同様のメッセージを受け取っていた。

この被害が明るみになると、開発会社「Qiui」は「Pen test partners」に対し、アプリの最新バージョンでは修正されていることを述べているという。

アプリの監査を行ったセキュリティ研究者、アレックス・ローマス氏は、「ほとんどの企業と製品は、存続している間なんらかの脆弱性を抱えることとなる。この機器ほど酷いものではないものの、何かしらはある。」とコメントしている。

IoT機器は非常に便利だが、使用する人は、何らかの脆弱性の存在を心の隅にとどめておいてほしいものだ。

Labels: ,
登録: 投稿 (Atom)