ニューワード「ワクハラ」（転載）～ワクワクハラスメントの略じゃないです。～

何でもハラスメントにしてしまう日本社会ですが、最近聞いた言葉に「ワクハラ」というのがあります。

新型コロナ（武漢ウイルス）ワクチンを接種したかどうかを聞く事は「ワクチンハラスメント」になるそうです。接種が終わった人が、接種をしていない人に「えー、ワクチン打ってないんだ。どうして？」などと突っ込みを入れるのは避けるべきだとアドバイスされました。

ワクチンを打つのも打たないのも個人の自由です。問題は、打たないことが自分だけの問題ではなく、感染や重症化によって周囲にも影響することです。

海外ではワクチン接種を事実上義務化するような動きが進んでいます。

例えば、イタリアは、すべての労働者に対し、ワクチンを接種したことやウイルス検査での陰性を証明する「グリーンパス」の提示を義務付けることを発表しました。

また、ニューヨーク市では、先週から12歳以上の屋内の飲食店、スポーツジム、映画館、劇場、美術館などの利用客に、ワクチン接種の証明書の提示を求めることが義務づけられ、違反した場合、最大5000ドルの罰金が科せられるそうです。

海外ではこのようにワクチン接種証明が無いと日常生活に支障が出るような流れが広がっています。

もし、日本でこれをやろうとしたらどうなるでしょうか？ワクハラとして、一部の人たちから激しい反発がありそうです。

ワクチン接種の自由や個人の選択の自由という人権に配慮。その一方で、感染拡大防止策は、緊急事態宣言をダラダラと延長して、自粛を呼びかけるだけ。

その結果、経済活動の再開が遅れ、経済的に追い詰められたり、精神的に鬱状態になって自ら命を絶つ人が増えていく。

そんな状態に耐え切れず、東京では、緊急事態宣言下にも関わらず、経営者の判断で飲食店がアルコール提供を再開するケースも増えています。真面目にルールを守る正直者が馬鹿を見る不公平感な状態が広がっています。

OnlyFansの元従業員が退職後も機密情報にアクセス可能であることが判明 / Former OnlyFans Employees Could Access Users’ and Models’ Personal Information

Former OnlyFans Employees Could Access Users’ and Models’ Personal Information:

OnlyFansのサポートスタッフだった一部の従業員は、セックスワーカーがヌードやポルノビデオを販売するために利用していた会社で働くのをやめた後も、財務上の機密情報や個人情報を含むユーザーのデータにアクセスしていました。

報復を恐れて匿名を希望したOnlyFansの元従業員によると、一部の元従業員は、OnlyFansを含む多くの企業で使用されている人気のカスタマーサービスソフトウェアであるZendeskにアクセスし、カスタマーサポートチケットの追跡や対応を行っていたことが、退職後も判明しました。OnlyFansは、コンテンツを投稿するユーザーと、そのコンテンツを見るためにお金を払っているユーザーの両方に対応するためにZendeskを使用しています。マザーボードは、複数の元従業員のアクセスにより、これを裏付けることができました。

この情報源とMotherboardに語ったOnlyFansのユーザーによると、ユーザーが助けを求めている内容に応じて、サポートチケットには、クレジットカード情報、運転免許証、パスポート、フルネーム、住所、銀行取引明細書、OnlyFansでいくら稼いだか、いくら使ったか、クリエイターが顔の横にIDをかざして確認するKYC（Know Your Customer）セルフィー、モデルリリースフォームなどが含まれていることがあるそうです。

この情報源は、彼らがOnlyFansでの仕事をやめた後も、まだアクセスできることをMotherboardに示しました。

アカウント設定時に受け取ったサポートメールによると、クリエイターがプロフィールを設定する際、OnlyFansのサポートは「認証プロセスは極秘であり、この情報は誰とも共有されません」とユーザーに保証しています。

マザーボードは、OnlyFansの一般的なメディアリクエスト用メールアドレスと特定の担当者に複数回メールを送り、OnlyFansの2つのTwitterアカウントにダイレクトメッセージを送りましたが、非常に深刻なセキュリティリスクの可能性についてのコメントを求めたところ、同社からの回答はありませんでした。

元従業員にユーザーの個人情報へのアクセスを許可することは、どのようなサービスを利用しているユーザーにとってもセキュリティ上のリスクとなりますが、特にセックスワーカーや風俗嬢は、その職業にまつわる悪いイメージのために標的とされることが多いため、リスクが高いと言えます。また、OnlyFansを利用してコンテンツにお金を払っているだけの人にとっても、個人情報を漏らすことは、その情報が脅迫に使われる可能性があるため、特に危険です。マザーボードは、ハイテク企業の従業員がデータへの特権的アクセスを利用して、ユーザーや同僚を不適切にスパイする「インサイダー脅威」について繰り返し報じてきた。これは、FacebookやSnapchat、ハッキング企業のNSO Group、Amazon傘下の監視会社Ringなど、多くの企業で起きている。特に、元従業員が機密データへの特権的なアクセス権を保持していることは危険です。

2016年には、Brazersの80万アカウントがデータ流出しました。2019年には、ポルノサイト「Lucious」の100万人以上のユーザーの個人情報がセキュリティエクスプロイトで流出しました。さらに2020年には、ImLiveを含む複数のアダルトサイトを所有するPussyCash.comの脆弱性から、モデルの個人情報のデータ流出が研究者によって発見されました。

Kali Linux 2021.3 登場！ / Kali Linux 2021.3 Release (OpenSSL, Kali-Tools, Kali Live VM Support, Kali NetHunter Smartwatch)

Kali Linux 2021.3 Release (OpenSSL, Kali-Tools, Kali Live VM Support, Kali NetHunter Smartwatch):

Kali Linuxの最新版である2021.3(quarter #3)をリリースし、ダウンロードやアップデートが可能になりました。

6月にリリースした2021.2からの変更点の概要は以下の通りです。

OpenSSL：デフォルトで幅広い互換性を実現
新しい Kali-Tools サイト：Kali-Docs に続き、Kali-Tools も完全にリニューアル
ライブイメージセッションにおけるVMサポートの向上：マシンからKali VMへのコピー＆ペーストやドラッグ＆ドロップがデフォルトで可能になりました。
新しいツール：敵対者エミュレーション、サブドメイン乗っ取り、Wi-Fi攻撃など。
Kali NetHunter スマートウォッチ：TicHunter Pro のための、初のスマートウォッチ
KDE 5.21：Plasmaデスクトップのバージョンアップ

OpenSSL: デフォルトでの幅広い互換性

Kali Linux 2021.3以降、Kaliが可能な限り多くのサービスと連携できるように、OpenSSLはより幅広い互換性を持つように設定されています。これは、レガシーなプロトコル（TLS 1.0やTLS 1.1など）や古い暗号がデフォルトで有効になることを意味します。これは、古いプロトコルを使用している旧式のシステムやサーバーと Kali が対話する能力を高めるためです。これにより、利用可能な攻撃対象の選択肢が増える可能性があります (ターゲットがこれらの EoL (End of Life) サービスを実行していて、そのことを忘れていた場合、他に何か発見があるかもしれません)。この設定は、汎用のオペレーティングシステムには適していませんが、Kaliでは、ユーザーがより多くの潜在的なターゲットと関わりを持ち、話をすることができるため、理にかなった設定となっています。

この設定は、コマンドラインツール kali-tweaks で簡単に変更できます。Hardeningのセクションに入ると、OpenSSLをStrong Securityモードに設定することができます。

詳細については、ドキュメントを参照してください: kali.org/docs/general-use/openssl-configuration/

Kali-Tools

2019.4では、ドキュメントを更新された/docs/のページに移動しました。今回はいよいよKali-Toolsのサイトの番です!

以前のサイトのあらゆる面を刷新し、新しく、より速く、レイアウト、コンテンツ、システムを提供しています! バックエンドは半自動化され、以前のように誰もが助け合い、貢献できるようなオープンな状態になっています。

これらのサイトがすべての変更から落ち着き、少し成熟したら、オフラインで読めるように、これら2つのサイトをパッケージ化し始める予定です。

仮想化：様々な改善を実施

今回のリリースサイクルでは、Kali の Live イメージにいくつかの改良が加えられました。私たちは、仮想化環境で Live イメージを実行する人たちがよりスムーズに体験できるように努力しました。ホストとゲストの間でのコピー＆ペーストやドラッグ＆ドロップのような基本的な機能が、すぐに使えるようになっています。これは本当にみんなのためです。VMware、VirtualBox、Hyper-V、QEMU+Spiceなどです。誰か忘れていませんか？Kali のバグトラッカーに一言お願いします。

同じく、 Hyper-V の Enhanced Session Mode 用に Kali を設定するのがとても簡単になりました。ターミナルで kali-tweaks を開き、「仮想化」を選択すると、Kali が Hyper-V で動作している場合、Hyper-V 拡張セッションモードをオンにする設定が表示されます。これで、Enter キーを押すだけの簡単な操作になりました。

この機能を使用する場合は、いくつか注意すべき点がありますので、kali.org/docs/virtualization/install-hyper-v-guest-enhanced-session-mode/ を必ずご覧ください。

Kaliの新しいツール

新しいツールが追加されていなければ、Kali のリリースとは言えません。ネットワークリポジトリに何が追加されたかを簡単に説明します。

Berate_ap - MANAの不正なWi-Fiアクセスポイントのオーケストレーション
CALDERA - スケーラブルな自動敵対者エミュレーション・プラットフォーム
EAPHammer - WPA2-Enterprise Wi-Fiネットワークに対する攻撃
HostHunter - OSINT技術を使ってホスト名を発見するためのツール
RouterKeygenPC - デフォルトのWPA/WEP Wi-Fiキーを生成
Subjack - サブドメインの乗っ取り
WPA_Sycophant - EAPリレー攻撃の邪悪なクライアント部分

新興ランサムウェアギャング「Spook」が、ダークウェブ上にリークサイトを開設（転載）～日本企業も被害にあっている模様～

Spook, a new ransomware gang, has opened a leak site on the darkweb. 11 victims are listed on the victim list.（バックアップ）

新しいランサムウェアギャングであるSpookは、ダークウェブ上にリークサイトを開設しました。被害者リストには11社の社名が掲載されており、日本企業も被害にあっている模様。

クラウド・セキュリティ・リスクのトップ5 / The Top 5 Cloud Security Risks: How Hacker-Powered Security Can Help（転載）

The Top 5 Cloud Security Risks: How Hacker-Powered Security Can Help:

デジタルトランスフォーメーションの普及は、クラウドセキュリティリスクの増大を意味します。ハッカーの力を借りたヒューマン・インテリジェンスが、どのようにして新たな攻撃手段から組織を守り、リスクを軽減し、クラウド・セキュリティを向上させるのかをご紹介します。

1.ソフトウェア・サプライチェーンへの攻撃が増加

クラウドネイティブなアプリケーション開発ではオープンソースコンポーネントの使用が普及しているため、ソフトウェアサプライチェーンへの攻撃は重大なクラウドリスクとなります。2020年のSonatype State of the Software Supply Chain Reportによると、サードパーティ製ソフトウェアへの攻撃は430%増加しており、今後も増加していくと考えられます。サイバー犯罪者は攻撃対象の変化に対応するため、ソフトウェア・サプライチェーンの新たな弱点を見つけては攻撃を仕掛けてきます。

2.コンプライアンスの証明

コンプライアンスとは、監査に合格することやボックスにチェックを入れることだけではありません。クラウドプロバイダーは基本的なコンプライアンス基準を維持し、セキュリティ機能やツールを提供していますが、クラウドネットワークのセキュリティは組織の責任でもあります。2021年のSANS Cloud Security Surveyによると、多くの組織が、現行のコンプライアンス対策を補完するために、クラウド・セキュリティ戦略にペネトレーション・テストを取り入れたいと考えています。

3.安全でないAPI

APIは、社内のアプリケーションやデータを第三者に公開することで、クラウドコンピューティングのプロセスを効率化します。APIは、デジタル・トランスフォーメーション・イニシアチブの基本であり、新世代のクラウドアプリケーションを強化します。しかし、安全性が確保されていないAPIは、企業に攻撃の機会を与えてしまいます。ラドウェアの「2020-2021 State of Web Application Security Report」によると、84％の組織がWebサーバーやアプリケーションに対するAPI操作攻撃を確認しています。

4.急速なデジタルトランスフォーメーションアプリケーションリスク

第4回「Hacker-Powered Security Report」で調査したグローバルセキュリティリーダーの31％以上が、武漢ウイルスによりデジタルトランスフォーメーションを計画よりも早く実施したと報告しています。デジタルトランスフォーメーションは、今や一般的なビジネス戦略であり、生産性や効率性の向上、コスト削減などの大きなメリットがあります。しかし、より実質的なリスクと新たな攻撃対象をもたらすものでもあります。Verizonの2020年版DBIRによると、昨年の全ブリーチのうち43%がWebアプリケーションに関わるものでした。また、IDCは、2023年までに5億個以上のデジタルアプリケーションやサービスが、クラウドネイティブなアプローチで開発・展開されると予測しています。

5.設定ミス

チェック・ポイントの「2020年クラウド・セキュリティ・レポート」によると、企業の68%がクラウドの設定ミスをクラウド・セキュリティの最大の脅威として報告しています。設定ミスは、クラウド・セキュリティに重大なギャップを生じさせ、破壊的でコストのかかる攻撃に対して脆弱になります。HackerOneのグローバルハッカーコミュニティは、2020年には設定ミスの脆弱性が12,286%増加すると報告しています。また、Gartner社は、2025年までにこれらのセキュリティ障害の99%がお客様の責任になると予測しています。

ベンダーのシステム障害でシグネチャーを配信できず、利用者のパソコンを脅威にさらす（転載）～こういうのもサプライチェーンリスクの一例～

ベンダーのシステム障害でシグネチャーを配信できず、利用者のパソコンを脅威にさらす:

xtech.nikkei.com/atcl/nxt/colum…

トレンドマイクロは2021年8月27日、同社のウイルス対策ソフト製品などで使用するスマートスキャンパターン（シグネチャー）を配信できなくなったことを明らかにした。シグネチャーはウイルス対策ソフトがマルウエアやサイバー攻撃などの脅威を検出するために必要な情報。

同社は、2021年8月26日午前10時ごろに発生したシステム障害によってシグネチャーが配信できなくなったという。シグネチャーの配信が再開されたのは8月29日午後6時30分ごろ。3日間以上、シグネチャーが配信されなかった。

一般にウイルス対策ソフトでは、シグネチャーが配信されないと最新の脅威を検出できなくなる。同社は2021年8月29日時点でシグネチャー配信が一部再開されていないが、8月29日に配信されたシグネチャーによって「最新の脅威へ対応可能」と案内している。

トレンドマイクロのサポート情報（トレンドマイクロサイト）

トレンドマイクロのサポート情報（バックアップ）

ランサムウェアギャング「Conti」がJVCケンウッドから1.5TBのデータを奪ったと主張 / Conti Ransomware Group Reportedly Stole 1.5TB Of Data from JVCKenwood（転載）

Conti Ransomware Group Reportedly Stole 1.5TB Of Data from JVCKenwood:

多国籍企業であるJVCケンウッドは、ヨーロッパの一部の事業に影響を及ぼすセキュリティ事件が発生したことを認めました。同社はまた、このサイバー攻撃で機密情報が流出した可能性があることも認めています。しかし、現在のところ、顧客のデータが流出した形跡はありません。複数のセキュリティ専門家は、このセキュリティ事件の背後に「Conti Ransomware」グループが存在すると考えています。

日本に拠点を置くJVCケンウッドは、JVC、ケンウッド、ビクターのブランドで知られ、自動車や医療機関に機器を提供しています。

JVCケンウッドは、「2021年9月22日に、JVCケンウッドグループの欧州の販売会社の一部が運用するサーバーへの不正アクセスを検知しました。不正アクセスを行った第三者による情報漏洩の可能性があることが判明しました」と公式発表している。

JVCケンウッドは、この事件の詳細を調査していますが、複数の報道によると、Contiランサムウェアの攻撃者が重要なネットワークを侵害し、1.7TB以上のデータを盗み出したとのことです。攻撃者は、重要なファイルを解読するために、700万ドルの身代金を要求したと報じられています。

Contiはロシア語圏のランサムウェアグループで、世界中で400以上の組織が被害に遭い、そのうち米国だけで290の組織が被害に遭ったと報告されています。Contiの攻撃者は、フィッシングメール（悪意のあるリンクや添付ファイル）や、盗んだりクラックしたりしたリモートデスクトッププロトコル（RDP）の認証情報を使って、被害者のネットワークに侵入します。被害者のネットワークに侵入するまでの平均滞在時間は、4日から3週間です。ランサムウェア「Conti」の最高入札額は2,500万ドルに達しています。

CISA（Cybersecurity and Infrastructure Security Agency）、NSA（National Security Agency）、FBIは、ランサムウェア「Conti」の攻撃が増加していることについて、ユーザーや組織に注意を促しました。

組織の重要なシステムをContiランサムウェアから保護するために、多要素認証の有効化、ネットワークセグメンテーションの実施、オペレーティングシステムやソフトウェアの最新化など、特定のセキュリティ対策を推奨しています。

「線虫が匂いでガンを発見する」という不思議な検査キット（転載）

「線虫が匂いでガンを発見する」という不思議な検査キット:

ガンは早期発見・早期治療が大切と言われます。

早期発見の1つの方法として「線虫」を使ったガンの一次スクリーニング検査というのを紹介してもらい、早速「リアル人体実験」をはじめました。

検査といっても自宅で採尿して、それを届けるだけの簡単なものです。

線虫でガン診断と聞くと、怪しげなイメージがありますが、医療機関や大学との研究を行って、臨床研究でも定量的な評価を得ている科学的な方法です。線虫は、犬の1.5倍の嗅覚を持ち、ガン患者の尿に集まり、健康な人の尿からは逃げるという性質があり、それを利用した検査です。

特に、健康診断で見つかりにくい部位のガンや、ステージ0～1のような早期ガンを見つけるのに強みがあるとされています。

検査費用は12,500円で、線虫が見分ける感度は86.8％。ほとんどのガンに対して線虫は反応するという実績があります。価格と検査の負荷を考えれば、特に中高年の健康診断に取り入れても良いのではないかと思いました。

今回は単体の検査で、依頼をしてから6週間くらいで、結果が届くそうです。

胃カメラと大腸内視鏡検査は毎年やっていますが、それに加えてこの線虫の検査も定期的に受けてみるのは果たして有効なのでしょうか。

インシデント対応およびセキュリティチームのための倫理規範（転載）

お知らせ：EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（日本語版）:

インシデント対応およびセキュリティチーム（以降「チーム」と略）のメンバーは多くの

デジタルシステムや情報源にアクセスすることができる。彼らの⾏動は世界を変えること

もある。この専⾨職に従事する者として、チームメンバーは⾃分のコンスティチュエンシ

ーや他のセキュリティ専⾨家、さらにはより広く社会に対する責任を認識しなければなら

ない。また、⼀⼈ひとりが⾃分⾃⾝の幸福に対する責任も認識しなければならない。

信頼性の義務

信頼はチーム間の多くの関係の基礎であり、有意義な情報交換が⾏われる前に必要とされることが多い。FIRST のコミュニティはこの信頼関係の上に成り⽴っており、チーム間に妥当なレベルの信頼関係があるからこそ、このように機能し続けることができるのである。

信頼性とはチームメンバーが 1) 守れる約束をする、2) 他のチームに対して予測可能な⾏動を取る（例：TLP 基準を尊重する）、3) 他のチームとの信頼関係を維持する、といったことを意味する。

信頼関係は仮定から始まり、推移的に醸成されるべきである。すなわち、Trust on First　Use（=TOFU=豆腐？）であり、他のチームから信頼されているチームに対する信頼を可能にする。

協調的な脆弱性開⽰の義務

脆弱性を認知したチームメンバーは、利害関係者と協⼒してセキュリティ脆弱性を修正し、開⽰に伴う損害を最⼩限に抑えることで、協調的な脆弱性開⽰（Coordinated Vulnerability Disclosure）に従うべきである。利害関係者には脆弱性の報告者、影響を受けるベンダー、コーディネーター、ディフェンダー、およびダウンストリームの顧客、パートナー、ユーザーが含まれるが、これらに限定されない。

チームメンバーは適切な利害関係者と調整して、情報公開の明確なスケジュールと期待される結果に合意し、ユーザーがリスクを評価して実⾏可能な防御策をとれるような⼗分な詳細情報を提供すべきである。

機密保持の義務

チームメンバーには必要に応じて機密性を保持する義務がある。特定の情報を機密にしておきたいという要求は、Traffic Light Protocol（TLP）などで明⽰されることがある。チームメンバーは可能な限りそのような要求を尊重すべきである。しかし、例えば現地の法律や契約、通知義務などの要件と⽭盾するために情報を機密にしておくことができない場合、チームメンバーは情報の所有者にこの⽭盾について直ちに知らせるべきである。

守秘義務の中には法律、規則、慣習に基づくものもある。インシデント対応中に⼀部の当事者がそのような考慮事項に基づいて守秘義務に拘束されたり、守秘義務を期待したりする場合には、これらの期待を事前に明⽰するように最善を尽くすべきである。そして、可能な限り情報を機密にしておくようにとの明⽰的な要求を維持するために、すべての当事者は上記の期待に従うべきである。

受領確認を返信する義務

チームは、研究者、顧客、他のチーム、政府機関など、さまざまなソースから情報を受け取る。チームメンバーは、たとえリクエストを受け取ったことを確認するだけであっても、問い合わせに対してタイムリーに返答すべきである。可能であれば、チームメンバーは次の情報更新の⾒込みを設定すべきである。

認可についての義務

チームメンバーには⾃分の責任範囲を理解し、アクセスを許可されたシステムでのみ⾏動する正当な必要性と権利がある。チームメンバーは⾃分たちの⾏動がコンスティチュエンシーにどのような影響を与えるかを認識し、職務の遂⾏中にさらなる損害を与えないようにする必要がある。可能であれば、コンスティチュエンシーのシステムに変更を加える前に、コンスティチュエンシーに意⾒を聞くべきである。

情報を提供する義務

チームメンバーは現在のセキュリティ上の脅威やリスクについてコンスティチュエンシーに情報を提供し続けることを義務と考えるべきである。チームメンバーは安全性やセキュリティに悪影響を与える、または改善する可能性のある情報を持っている場合、守秘義務、プライバシーに関する法律や規則、その他の義務を正しく考慮しながら、適切な努⼒をもって関係者や協⼒してくれる⼈々に知らせる義務がある。

⼈権を尊重する義務

チームメンバーは、情報共有や潜在的な偏⾒、財産権の侵害を通じて、⾃分たちの⾏動が他者の⼈権に影響を与える可能性があることを認識すべきである。チームメンバーはインシデントに対処する過程で広範囲の個⼈情報、機密情報、および秘密情報にアクセスすることになる。これらの情報は、⼈権を守る⽅法で取り扱われるべきである。

インシデント対応中に、対応者は偏った⾏動をとってはならず、対応者が⾏う場合もアルゴリズムに組み込まれている場合も、プロセスや意思決定から偏りを排除するために最⼤限の努⼒をすべきである。

この原則においては、「財産（property）」の概念（国連の世界⼈権宣⾔7第17条）には、法的に保護されているかどうか（特許取得の有無など）にかかわらず、知的財産などの無形財産、およびアイデアやコンセプト全般が含まれている。

チームの健康に対する義務

チームにはコンスティチュエンシーに約束したサービスを継続して提供する責任がある。この責任にはチームの⾝体的・精神的な健康も含まれる。

チームを構成するメンバーを個⼈として尊重し、かつ適切なレベルのサービスの維持を⻑期的に実⾏可能にするために、チームは（すべての）メンバーの⾝体的・精神的な健康を⽀える、健康的で安全かつ前向きな職場環境を維持するよう努めるべきである。危機に対応するためには、「通常」の業務で精神的な健康とストレスの軽減をサポートする必要がある。

チームの能⼒に対する義務

インシデント管理はチームメンバーが継続して研究すべき発展的課題である。チームはメンバーが⾃らの責任範囲内で技術的かつ科学的知識を学び、適⽤し、そして発展させるためのリソースを提供すべきである。トレーニングまたは教育のための CPE/CEUクレジットは⼀助となるかもしれないが、単なるコンプライアンス演習ではこの義務を果たすには不⼗分である。チームはそのサービスを可能にするために⼗分な技術的インフラを維持すべきであり、これには外部による⼲渉からそのインフラを保護するための適切な⼿段をとることも含まれる。

責任ある収集の義務

データ収集はインシデント対応に必要だが、インシデント対応の⽬的とデータの利害関係者を尊重することとの間でバランスを取るべきである。

調査中に、収集が必要な情報の量が変わることがある。インシデントへの対応を進める⼀⽅で、チームメンバーは必要性の変化に応じて収集する対象を調整すべきである。インシデントとその復旧に直接関係のないデータは報告から除外すべきである。

収集および抽出したデータは、適⽤される法律に従い、ユーザーのプライバシーを尊重して取り扱わなければならない。データ所有者の管理下にあるデータを収集および処理する際には事前に許可を得るべきである。データの取り扱いにおいて適⽤される法律および規則を順守すべきである。

他のインシデントに関連して他の対応チームの活動に役⽴つかもしれないデータは、場合によっては編集された形で、その対応チームに提供すべきである。機密情報および所有権のある情報の提供は、適切な保護措置が講じられている場合に限るべきである。

インシデントの被害軽減のために第三者とデータを共有する際には、事前にリスクと利益を⽐較検討すべきである。データの共有は利益がリスクを明らかに上回る場合に限るべきである。機密データはインシデントがクローズした後に容易に破棄できる⽅法で保存すべきである。収集したデータはデータ保持ポリシーに則って安全に破棄すべきである。

管轄区域の境界を認識する義務

チームメンバーはインシデント対応に関連する活動に関与する当事者の管轄区域の境界、法的権利、規則、および権限を認識し、かつ尊重すべきである。

プライバシー保護やデータ侵害の通知に関連するものなど、法律、規則、その他の法的問題は、関係する管轄区域によって異なる場合がある。管轄区域の境界は、関係者の国や居住地などの物理的な場所や、関係者に関するその他の要因によって決定される場合がある。

⼀つの国の中であっても、政治的な地域間（例：⽶国の各州間）や、国内の異なるビジネス、産業、セクター間（例：ヘルスケア、⾦融サービス、政府機関）で、法律や規則が異なる場合がある。ナショナル CSIRTは、⾃らの管轄区域内のコンスティチュエンシーが関与する活動に対して指定された責任や権限を有する場合があり、また境界を越えた管轄区域に対して権限を有する他の組織と協⼒したり、その組織に情報や活動を「引き渡し」たりする場合もある。

チームメンバーは、プライバシー規則やデータ侵害通知の要件をはじめ、関係する管轄区域に影響を与える重要な問題を認識しておくべきである。サイバーセキュリティやプライバシーに関する法律や規則は世界中で進化し、かつ更新され続けているため、複数の管轄区域の境界に関わる問題が発⽣した場合には⼗分な知識を持った弁護⼠に相談して指針を得ることが望ましい。

根拠のある推論の義務

チームは検証可能な事実に基づいて活動すべきである。侵害の指標（indicators of compromise：IOC）やインシデントの説明などの情報を共有する場合、チームメンバーは根拠とスコープを透明性のある形で提供すべきである。それが不可能な場合は、その根拠とスコープを共有しない理由を情報とともに提供すべきである。

チームメンバーは、噂を広めたり共有したりすることを控えるべきである。いかなる仮説もそれが仮説であることを明確に⽰すべきである。

透明性のある根拠と推論のプロセスは、例えば⼤量の情報を⾃動的に共有するような場合でも重要である。この場合、データマイニングプロセスの説明は分かりやすいレベルの詳しさで伝えるべきである。

EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（バックアップ）

ランサムウェアギャングが発表した被害者リスト（2021年9月版）By DarkTracer

Dark Tracerによると、9月は日本企業1社がランサムウェアの被害にあっている模様。

リポカプセルビタミンC公式通販サイトからのカード情報漏えい（転載）～想定損害賠償額は2.5億円程度か～

【限定】リポカプセルビタミンC公式通販サイトからのカード情報漏えい

サプリ通販サイトでカード情報9000人分が漏えいか　一部は不正利用された可能性も

サプリメントの製造販売を手掛けるスピック（神奈川県鎌倉市）は9月29日、同社が運営するECサイト「リポカプセルビタミンC公式通販サイト」のサーバが不正アクセスを受け、9515人分のクレジットカード情報や1万5674人分の会員情報が漏えいした可能性があると発表した。一部のカード情報は不正利用された可能性もあるという。

漏えいした可能性があるのは、2020年11月6日から2021年2月24日の間にカード決済をした9515人のクレジットカード番号、カード名義人名、有効期限、セキュリティコードと、サイトにログインし、会員情報を入力した1万5674人のメールアドレスやパスワード。

スピックによればサイトの脆弱性を突かれ、サーバ内部に不正なプログラムを設置されていたという。すでにサイトはシステムを一新した上で、サービスの提供を再開している。今後はセキュリティや不正アクセスへの監視体制を強化し、再発防止に務めるとしている。

不正アクセスが発覚したのは2月16日。情報セキュリティに関する業務の委託先から連絡を受けて調査したところ、サーバ内部に不正なプログラムを発見した。以降は不正なプログラムの削除を削除した他、24日に同サイトのクレジットカード決済機能を一時停止。3月4日にサイトを閉鎖し、その後新しい環境でサービスを再開した。ただし一部ブランドのクレジットカードは利用を制限しているという。

個人情報保護員会や警察には相談済み。発表が遅れた理由については、調査やカード会社との連携に時間がかかったためと説明している。

プレスリリース（バックアップ）

改正個人情報保護法の施行へ、企業に必要な5つのアクション（転載）

改正個人情報保護法の施行へ、企業に必要な5つのアクション――ガートナー:

ガートナージャパン（以下、ガートナー）は2021年9月15日、2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべき5つのアクションを発表した。

ガートナーは「データ活用におけるセキュリティとプライバシーの取り組みを進める上で重要なのは、セキュリティとプライバシーの本質を理解することだ」と述べている。

プライバシーは、基本的な人権を保証する必要不可欠なもので、プライバシーの軽視は人権の軽視につながり、企業は対応を誤れば信頼を大きく失うことになる。そのため、法規制の動向を理解するだけではなく、そうした本質に立ち返り、「People Centric（人中心）」の視点から、より誠実で透明性のある取り組みを推進する必要があると説明する。

今回の発表に先立ち、ガートナーは2020年6月に、個人情報保護法の改正を機に企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ（体制の構築やセキュリティポリシー）について発表している。

今回は、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ／リスクマネジメントのリーダーが取り組むべきポイントを示した。

最初に取り組むべきは「体制の構築」だ。プライバシーやセキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能にする体制を整える。

その上で「内外のポリシーを“People Centricな視点”からアップデート」し、「アウェアネストレーニングを実施」して、「プロセス上の対応」を見直す。ここでの見直しには、データ主体の権利のリクエスト（SRR）対応、プライバシーインパクトアセスメント（PIA）、漏えい時の対応なども含まれる。

さらに「システム／技術的な対応」についても検討する必要がある。改正個人情報保護法では、「個人関連情報」「仮名加工情報」が新たに定義されており、それらへの対応やSRR対応、漏えい時の対応の取り組みを強化する中で、技術／システム的な対応が課題になる可能性があると指摘している。

ガートナーは「プライバシーの議論は今後10年では収束せず、発展途上の状態が続く」と予測する。既存のテクノロジーに加え、プライバシーを強化する新しいテクノロジー（プライバシー強化コンピュテーション）なども出現していることから、企業はそうしたテクノロジーのトレンドにも目を向けつつ、“People Centricな取り組み”を強化し、成熟度を高め、規制コンプライアンスの先を行く必要があると説明している。

脆弱性評価ツールについて / Vulnerability Assessment Tools [Top Tools & What They Do]（転載）

Vulnerability Assessment Tools [Top Tools & What They Do]:

最高の脆弱性評価ツールに興味がありますか？私たちは、人気のあるツールのいくつか、それらが何をするのか、そしてその長所と短所を詳しく説明します。

脆弱性評価ツールは何をするものですか？

脆弱性評価ツールは、以下のように組織を支援します。

セキュリティ上の欠陥をランク付けし、開発者の改善を支援
脆弱性発見プロセスの自動化
ペネトレーションテストの間にセキュリティアップデートを提供
ネットワークやアプリケーションを継続的にスキャンし、新たな脅威を発見する

脆弱性診断とは？

脆弱性診断では、ネットワークやアプリケーションを継続的にスキャンし、新規および既存のセキュリティ上の欠陥を特定します。アセスメントでは、改善のための実行可能なステップとともに、脆弱性のランク付けされたリストが提供されます。

また、多くのアセスメントでは、テストの合間にシステムを監視するためのチェックリストが提供され、セキュリティチームのプロアクティブな活動を維持することができます。

脆弱性評価は、修復プロセスを合理化し、より包括的なペネトレーション・テストの間に頻繁にセキュリティに関する洞察を提供することで、システムへの不正アクセスを防止します。

脆弱性診断ツールの種類について

脆弱性評価ツールは、スキャンするシステムの種類に応じて、様々な脆弱性を詳細に調べることができます。これらの自動スキャンは、組織がネットワークを継続的に監視し、その環境が業界や政府の規制に準拠していることを確認するのに役立ちます。

ハッカーによるテストでは、自動化された技術と手動の技術を組み合わせて、アプリケーションをより徹底的にスキャンします。倫理的ハッカーは、悪意のある者に悪用される前に、組織が脆弱性を発見し、修正することを支援するセキュリティ専門家です。これらのハッカーは、その専門知識を駆使して、自動スキャンでは見落とされるバグや重要な脆弱性を発見します。評価の際に使用される、いくつかの異なるタイプの脆弱性スキャンツールを見てみましょう。

ネットワークベーススキャナ

ネットワークベースのスキャナは、有線および無線ネットワーク上の脆弱性を特定し、ネットワークマッピング、プロトコル解析、トラフィックキャプチャなどの機能を備えています。ネットワークベースのスキャナは、脆弱性評価の初期段階でネットワークをマッピングし、サービス、オープンポート、ネットワークインフラの脆弱性を特定します。

ホストベーススキャナ

ホストベースのスキャナは、サーバやワークステーションなど、さまざまなホストマシンのネットワーク上の弱点を特定することに重点を置いています。これらのスキャナーは、設定ミス、パッチが適用されていないシステム、不適切な権限設定などを特定します。

データベーススキャンツール

データベース脆弱性スキャナーは、データベースシステムや開発環境の脆弱性を発見します。これらのスキャナーは、データベース・アーキテクチャの脆弱性を発見し、攻撃者が悪意のあるコードを注入して、許可なく情報を不正に取得できる領域を特定します。

脆弱性評価ツール

利用可能な脆弱性評価ツールの多くは、無料のオープンソースで、他のセキュリティ・スイートやセキュリティ・イベント情報管理（SIEM）システムとの統合を提供しています。ここでは、いくつかのツールをご紹介します。

1.BURP SUITE ENTERPRISE EDITION

Burp Suiteは、社内外のテスト用に自動化された脆弱性スキャンツールを提供します。14,000以上の組織が、Webの脆弱性スキャンを自動化するためにBurp Suiteを積極的に利用しています。

[長所]

大規模で活発なコミュニティ
シンプルなインターフェースとユーザーフレンドリーなデザイン
自動化されたスキャンとシミュレーションされた脅威のシナリオをサポート

[短所]

community（無料）版は、enterprise版に比べて機能が制限されています。

2.NESSUS

Nessusは、脆弱性を徹底的にスキャンするソフトウェアで、サブスクリプションベースのサービスを提供しています。ハッカーはNessusを利用して、設定ミスの発見、デフォルトパスワードの発見、脆弱性の評価などを行います。

[長所]

市場の類似ツールと比較して手頃な価格
わずかな設定で脆弱性を正確にランク付けし、グループ化することが可能
CVEデータベースの継続的な更新

[短所]

大規模なデータセットのスキャンには手間がかかる

3.OPENVAS

OpenVASは、オープンソースの脆弱性スキャナーです。このプラットフォームには、ネットワークスキャン、ウェブサーバースキャン、データベーススキャンなど、さまざまなスキャンオプションが用意されています。

[長所]

堅牢な自動化機能
ユーザーフレンドリーなGUI

[短所]

初心者には入力方法が難しいかもしれません。

4.INTRUDER.IO

Intruder.ioは、ペネトレーションテストと脆弱性スキャンを組み合わせたツールを提供しています。企業はIntruder.ioを使用して、単一の評価を実行したり、環境の脅威を継続的に監視したりすることができます。

[長所]

簡単に設定できる
レスポンシブ対応

[短所]

掘り下げたレポートが少ない

5.W3AF

w3af（Web Application Attack and Audit Framework）は、アプリケーション層の脆弱性を発見し、倫理的なハッカーがその脆弱性を利用できるようにするための無料のオープンソース・フレームワークです。このフレームワークは、すべてPythonで記述されており、その直感的なインターフェースのおかげで、使いやすい脆弱性診断ツールの1つとなっています。

[長所]

無料
Linux環境への簡単なインストール

[短所]

有償ツールに比べてサポートが少ない
Windows版のインストールが難しい場合がある

6.NMAP

オープンソースのネットワークスキャンツールとして人気の高いNetwork Mapper（Nmap）は、新米ハッカーにもベテランハッカーにも定番のツールだ。Nmapは、複数のプロービングおよびスキャン技術を駆使して、ターゲットネットワーク上のホストやサービスを発見する。

[長所]

無料
IDSを回避するステルス・スキャン手法を搭載
ZenmapによるGUI機能の提供

[短所]

有償ツールのように頻繁に更新されない

7.OPENSCAP

OpenSCAPは、Linuxプラットフォーム用のサイバーセキュリティツールを提供するオープンソースのフレームワークです。OpenSCAPは、Webアプリケーション、ネットワークインフラ、データベース、およびホストマシンのスキャンをサポートする広範なツール群を提供しています。

[長所]

評価の自動化に重点を置く
フリーでオープンソース

[短所]

同種のツールに比べて学習コストが高い

8.RECON-NG

Recon-ngは、攻撃の偵察段階に焦点を当てています。このフレームワークは無料のオープンソースで、バナーの取得、ポートスキャン、DNSルックアップなどの機能をサポートしています。また、Recon-ngは、Shodan検索エンジンへのアクセスも提供しています。

[長所]

Shodanとの統合が可能
細かくカスタマイズ可能
シンプルな構文で学習しやすい

[短所]

CLIツールのみ

顔認証システムで現金の引き出しや決済を可能に / 日企开发人脸识别系统：取款购物瞬间完成认证支付（転載）～生体認証の情報は流出すると代替がきかないのを理解しているのだろうか？～

日企开发人脸识别系统：取款购物瞬间完成认证支付:

共同通信社のウェブサイトに掲載された記事によると、日本のリソナホールディングスやパナソニックなど4社がこのほど、顔認証技術を使ったシステムを共同開発し、これらのサービスを提供することを発表した。このシステムが適用されると、事前に顔写真を登録しておけば、手ぶらで銀行の窓口でお金を出し入れしたり、小売店で買い物をしたりすることができるようになります。

また、ホテルやレンタカーのチェックイン時の本人確認にも利用できるとのことで、幅広い分野での利便性向上が期待できます。

リソナ、顔認証技術を持つパナソニックに加え、デジタル技術を用いた本人確認に強みを持つ大日本印刷、決済サービスを行うJCBの4社が参加。

この技術は、今年はリソナ内の部屋の入退室管理に使用され、来年は顔認証を利用して、通帳やキャッシュカードを使わずに、リソナ銀行の一部の店舗でお金の引き出しや送金、投信の購入などができるように実験していく予定です。将来的には、自社での開発が困難な地方銀行などへの展開も検討しています。

JCBでは、クレジットカードショップのネットワークを活用したサービスを展開し、顔写真を事前に登録したお客様が来店した際に、瞬時に本人確認と決済を完了できる仕組みを検討しています。

顔写真の登録はお客様の同意が前提となりますが、プライバシー保護の観点から、いかにセキュリティを確保するかがサービス普及の鍵となるかもしれません。

本サービスでは、ユーザーの顔写真データは、外部からアクセスできないリソナ社が管理するサーバーに保管されます。パナソニックの取締役は、"人工知能の発達により、顔認証の精度が飛躍的に向上しており、不正なアクセスは難しい "と述べています。

退職者手続きに必要な「性悪説」思考 / Fired NY credit union employee nukes 21GB of data in revenge（転載）

退職者手続きに必要な「性悪説」思考

Fired NY credit union employee nukes 21GB of data in revenge

ニューヨークの信用組合の元従業員であるジュリアナ・バリレは、解雇されたことへの復讐として、金融機関のコンピュータシステムに無断でアクセスし、21ギガバイト以上のデータを破壊した罪を認めました。

「解雇されたことへの復讐として、バリルは元雇用主であるニューヨーク・クレジット・ユニオンのコンピュータ・システムに密かにアクセスし、ファイル・サーバに保存されていた住宅ローン申請書やその他の機密情報を削除しました。」ジャクリン・M・カスリス米国連邦検事代理は言いました。

2万枚以上のドキュメントを40分以内に破棄

裁判資料によると、被告は2021年5月19日に解雇されるまで、信用組合のパートタイム従業員として遠隔地で働いていました。

信用組合の従業員が銀行の情報技術サポート会社に被告のリモートアクセス認証を無効にするよう依頼したにもかかわらず、そのアクセスは削除されませんでした。2日後の5月21日、被告はおよそ40分間ログオンしていました。

被告はその間に、銀行の共有ドライブに保存されていた2万個以上のファイルと約3500個のディレクトリ、合計約21.3ギガバイトのデータを削除しました。

削除されたのは、顧客の住宅ローン申請書や金融機関のランサムウェア対策ソフトに関するファイルなどです。

被告は、顧客や会社のデータが入った文書を削除したほか、信用金庫の理事会の議事録が入ったファイルなど、さまざまなWordの機密文書を開きました。

その5日後の5月26日には、前職のサーバーにある数千もの文書を破壊できたことを友人にテキストメッセージで伝え、「彼らは私のアクセス権を削除しなかったので、私は彼らの共有ネットワークのドキュメントを削除したった」

ニューヨークの信用組合は、被告が削除したデータの一部をバックアップしていましたが、被告の不正侵入により破壊されたデータを復元するために1万ドル以上の費用が必要となりました。

FBIのドリスコル副長官は、「被告は、ファイルを削除することで雇用主に仕返しをしたつもりだったかもしれませんが、顧客にも同様の被害を与えてしまいました。」

「被告の些細な復讐は、銀行に大きなセキュリティリスクをもたらしただけでなく、家の支払いに書類や承認を必要としていた顧客を混乱に陥れました。」

「内部の脅威は、外部の犯罪者と同じくらい、いやそれ以上の大惨事を引き起こす可能性があります。銀行と顧客は、一人の従業員の身勝手な行動を修正するという、非常に大きな頭痛の種に直面しています」。

多要素認証はサイバー攻撃の9割を防ぐ / Multi-Factor Authentication Can Prevent 90% of Attacks（転載）

多要素認証はサイバー攻撃の9割を防ぐ:

Multi-Factor Authentication Can Prevent 90% of Attacks

多要素認証（MFA）を使用することで、サイバー攻撃の80〜90％を防ぐことができると、米国国家安全保障局のサイバーチーフが発表しました。

サイバー・新技術担当の国家安全保障副顧問であるアン・ニューバーガー氏によると、先週のバイデン大統領との会談に出席したハイテク企業のCEOの多くが、この法令に言及していたという。

MFAは、バイデン氏がサイバーセキュリティに関する大統領令の一環として、11月までに連邦政府全体で展開することを義務付けた5つの重要施策の1つです。

MFAに加えて、米国の組織のリーダーシップチームに、この連休前に4つのステップを実施するよう促しました。その4つとは、強力なパスワード、すべてのソフトウェアへの迅速なパッチ適用、インシデント対応計画の見直し、企業ネットワークから分離された最新のバックアップです。

ニューバーガー氏との記者会見が木曜日に行われたことを考えると、これらの措置を金曜日のまでに間に合わせることは不可能であり、特に「すべてのソフトウェアを更新し、パッチを当ててください」という言葉は重要である。

しかし、国や国家の安全を攻撃から守るためには、組織がその役割を果たさなければならないことをあらためて認識させられました。

ニューバーガー氏は、今回の大統領令に加え、6月にビジネスリーダーに向けた書簡を作成し、ランサムウェアの脅威が高まっていることを受けて対策を講じるよう促したと言われています。

また、今週、CISAとFBIが、Colonial Pipeline、JBS、Kaseyaへの攻撃のような大規模なランサムウェアの攻撃は、いずれも休日の週末に発生していると警告したことを受けてのことです。

そのため、ニューバーガー氏は、CISAが企業に対して、被害が出る前に攻撃を回避するために、脅威のハンティングを行うべきだというアドバイスを繰り返しました。

「セキュリティチームは、ネットワーク上で積極的にハンティングを行うべきです。これは、デジタル版の "Walking the beat "のようなものです。ネットワークが危険にさらされている初期の兆候や、ネットワークに異常がないかどうかを確認してください」と述べています。

興味深いことに、ニューバーガー氏は、過去2、3ヶ月の間に大規模なランサムウェア攻撃の頻度が低下していることを指摘していますが、その理由については言及していません。

ニューバーガー氏

ダークウェブでヒットマン(殺し屋)を雇うとどうなる？ / The Operator of a Dark Web Assassination Site Was Arrested in Russia（転載）～ロシアの事例～

ダークウェブ上のウェブサイトで暗殺請負をしていたロシア人の男が逮捕される。詐欺ではなく本当に依頼通り殺害していた模様😱😱 technadu.com/operator-dark-…:
technadu.com/operator-dark-…

ロシアのイジェフスク在住のセルゲイ・マグダノフ（38歳）が、自身のダークウェブ・プラットフォームを通じて注文された殺人事件に関与したとして逮捕されました。この事件は、2020年に開始されたFSBと内務省の捜査が成功したことを受けて、モスクワ市裁判所の手に委ねられています。当時、ロシア警察は、ウラジミール地方の麻薬ディーラーがライバルに命じられて起こした二重殺人事件の捜査に呼ばれ、これが最終的にマグダノフのデジタルトレースにつながった。

犯人が殺害を指示したサイトを知っていた警察は、そのプラットフォームとさらに多くの事件を結びつけ、点と点を結ぶことで、マグダノフにたどり着くことができました。この男は、暗号通貨と法定通貨の両方で支払いを受け付けており、偽のIDで登録したウォレットを使用していました。彼の家を襲撃したところ、500枚以上の銀行カード、1,000枚のSIMカード、多額の現金、数台の携帯電話とコンピューターが見つかりました。その場ですべてを押収し、分析にかけました。

ロシアでは、ダークウェブを利用した暗殺者の雇い入れは、残念ながらごく一般的に行われています。インターネット空間のプライベート性は、注文する側にとっても、犯行を行う側にとっても理想的だからです。マグダノフが逮捕され、機材が押収されたことで、近い将来、より多くの証拠が発見され、さらなる逮捕者が出る可能性があるが、サービスの利用者が注意を払っていれば難しいだろう。可能性としては、暗号通貨の取引履歴を追跡するのが一番ですが、その方法でもほとんどの場合は限られた結果しか得られないでしょう。

マグダノフは、仲介者としてプラットフォームを運営していただけでなく、殺人にも積極的に関与していた。捜査当局によると、彼は殺人の組織化、準備、武器・弾薬の入手、さらには犯行場所や暗殺者への指示にも関与していたという。このように、この男は殺人と違法な武器売買の容疑をかけられていますが、捜査が終了するまでは、さらに罪状が追加される可能性があります。

ダークウェブスキャナ - 電子メールとパスワードがハッキングされていないか確認する / Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked（転載）

Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked:

Dark Web Scanner, the tool that checks if your email has been hacked

パンダセキュリティは、ウォッチガード社の協力を得て、ダークウェブをスキャンして、お客様のアカウントに関連する情報が協力されているかどうかをチェックするツールを作成しました。

パンダセキュリティでは、サイバー犯罪者から自由に使えるツールがないことが多いユーザーのオンラインセキュリティを守るために、「ダークウェブスキャナー」を無料で提供しています。

実際、サイバー攻撃は、暗い画面にバイナリコードが並んでいるという、一般的に想像されているイメージとは大きく異なります。一度に何十万人ものユーザーに影響を与えるデータ侵害は、多くの場合、単純な方法で行われ、サイバー犯罪者は、気づかれないことが多いツールの見かけ上の無害さを利用して大成功を収めています。

必要な予防措置を講じているにもかかわらず、故意にデバイスを使用している間に、パスワードや個人情報が流出したり、ディープウェブ上で販売されたりする可能性があります。お客様のデータが盗まれた場合、ハッカーはそのデータを使って、お客様の現在の口座にアクセスしたり、お客様の資産にアクセスしたり、お客様のアイデンティティを盗むことができます。

パンダセキュリティのコンシューマープロダクトマネージャーであるAlberto Añón氏は、「データ、特にログイン認証情報の盗難が、サイバー犯罪者にとって非常に重要な資金源になっている時代です。」と語っている。

お客様の個人情報が盗まれたかどうかを確認する方法

パンダセキュリティは、シンプルで無料のソリューションを提供しています。WatchGuardのサポートにより、ダークウェブをスキャンし、お客様のアカウントに関連する情報が侵害されていないかどうかをチェックするツールが開発されました。その名も、「Dark Web Scanner」です。

「このPanda Domeの新機能は、お客様からのご要望と、ますます複雑化するデジタルの世界に適応するための絶え間ない必要性から生まれたものです。パンダセキュリティは、ユーザーの皆様のサービスとセキュリティを継続的に向上させることをお約束します」とパンダセキュリティのコンシューマープロダクトマネージャー、Alberto Añón氏は付け加えます。

ダークウェブスキャナーは、マイパンダアカウントからアクセスできます。

しかし、My Pandaアカウントをお持ちでない方は、パンダセキュリティのお客様でなくてもDark Web Scannerをご利用いただけます。

CISAによるランサムウェアの攻撃から企業を守る方法 / Here’s how to secure your company against ransomware attacks, according to CISA（転載）

Here’s how to secure your company against ransomware attacks, according to CISA:

ランサムウェアによる攻撃は、民間企業、重要インフラ、政府組織に深刻な損害と莫大な経済的損失をもたらし続けています。ここ数年、法執行機関やセキュリティ企業は、Colonial Pipeline社やソフトウェア企業Kaseya社に対する最近の攻撃を含め、数多くのランサムウェア攻撃に対応してきました。

Cybersecurity Ventures社によると、ランサムウェアによる攻撃は、2031年までに被害者に年間2,650億ドル以上の損害を与えると言われています。専門家によると、ランサムウェアの攻撃によって引き起こされるセキュリティ侵害は、2秒ごとに発生していると考えられています。

この予測は、近年、この犯罪行為が著しく加速しているという観察に基づいています。

先日、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、ランサムウェア攻撃に起因するデータ漏えいを防止するためのガイダンスを発表しました。このガイダンスは、政府機関や民間企業がランサムウェア攻撃やそれに伴うデータ漏洩を防止することを目的としています。

「すべての組織は、ランサムウェアの被害に遭うリスクがあり、システムに保存されている機密データや個人データを保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業に対し、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供するものです」とCISAのガイドラインに記載されています。

"CISAは、組織が意識を高め、勧告を実施することを奨励する"

同局は、サイバー攻撃を防ぐための以下の提言を含むファクトシートを発表しました。

オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップをテストする。政府の専門家は、定期的にバックアップを実行することを推奨しています。バックアップは、その完全性を確認するために定期的にテストする必要があります。ランサムウェアの系統などの脅威がバックアップを暗号化するのを避けるために、バックアップをオフラインで維持することが不可欠です。
基本的なサイバーインシデント対応計画、回復力計画、および関連する通信計画を作成、維持、および実施する。米国政府機関は、ランサムウェアのインシデントに対する対応と通知の手順を含むべきサイバーインシデント対応計画を定義することの重要性を強調しています。また、政府の専門家は、被害者が重要な機能へのアクセスやコントロールを失った場合に備えて、業務を準備するためのレジリエンスプランの作成を推奨しています。
インターネット上の脆弱性や設定ミスを緩和し、攻撃対象を減らす。組織は、リモート・デスクトップ・プロトコル（RDP）やその他のリモート・デスクトップ・サービスを監査し、それらのサービスのベストプラクティスを推進する必要があります。使用されていない RDP のポートを閉じること、特定の回数の試行後にアカウントをロックアウトすること、多要素認証 (MFA) を適用すること、RDP のログイン試行をログに記録することなどが重要です。組織は、定期的に脆弱性スキャンを実施し、インターネットに接続するデバイスの脆弱性を特定して対処する必要があります。CISAは、インターネットに接続するシステムのソフトウェアを更新し、効率的なパッチ管理プロセスを実施することを推奨します。また、システムの設定を慎重に行い、業務で使用しないポートやプロトコルを無効にする必要があります。専門家は、SMB（Server Message Block）プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、古いバージョンのSMBを削除または無効化することも推奨しています。
強力なスパムフィルターを有効にし、ユーザーの意識向上とトレーニングプログラムを実施することで、エンドユーザーに届くフィッシングメールのリスクを軽減することができます。フィッシングの疑いを識別し、報告する方法を従業員に教育することが重要です。
最新のアンチマルウェア・ソリューションとアプリケーションの使用、アプリケーション・ホワイトリストの導入、ユーザーおよび特権アカウントの制限、多要素認証（MFA）の有効化、サイバーセキュリティ・ベスト・プラクティスの実施など、優れたサイバー・ハイジーンを実践する。また、CISAは、MFAをサポートするすべてのサービスでMFAを有効にすることを推奨します。MFAは、ウェブメール、仮想プライベート・ネットワーク（VPN）、および重要なシステムへのアクセスを許可するアカウントを保護するために非常に重要です。

また、このファクトシートでは、組織が顧客や従業員の機密データを保護することを推奨しています。

CISAは、組織に以下を推奨します。

組織のシステムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。
米連邦取引委員会（Federal Trade Commission）の個人情報保護に関するガイドに記載されている物理的なセキュリティのベストプラクティスを実施する。
機密性の高い個人情報が保存されているコンピュータやサーバを特定し、保存中および転送中の機密情報を暗号化し、悪意のあるまたは不要なネットワークトラフィックからネットワークやシステムを保護するためにファイアウォールを導入するなど、サイバーセキュリティのベストプラクティスを実施します。また、米国政府機関は、組織はネットワークセグメンテーションの適用を検討すべきであるとしています。
サイバー・インシデント対応およびコミュニケーション・プランに、データ侵害インシデントに対する対応と通知の手順が含まれていることを確認する。

CISAでは、サイバーインシデント対応計画の実施について、以下のような対応をとることを推奨しています。

影響を受けたシステムを特定し、直ちに隔離することで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぎます。影響を受けたシステムをオフラインにすることができない場合は、ネットワークケーブルを抜いたり、Wi-Fiから外したりして、ネットワークからシステムを切り離します。影響を受けた機器をネットワークから取り除くことができない場合や、ネットワークを一時的に停止することができない場合は、インシデントを回避するために、それらの機器の電源を切ります。
その後、影響を受けたシステムの復旧・回復のためにトリアージを行い、重要度に応じて優先順位をつけます。
行われた活動を記録し、予備的な分析を行う。脅威となる人物に身代金を支払ってはならない。このガイドラインでは、社内外のチームや利害関係者を巻き込んで、影響を受けた組織がセキュリティ侵害を緩和し、対応し、回復するためにどのような支援ができるかを伝えることを提案しています。組織は、影響を受けたシステム上の関連するログやアーティファクトを収集し、それらを分析することで、侵害の指標を抽出し、それを用いて感染の程度を判断する必要があります。
もちろん、米国政府機関は、ランサムウェアの被害者がCISA、最寄りのFBI支部、FBIインターネット犯罪苦情処理センター、または最寄りの米国シークレットサービスの事務所に事件を報告するよう呼びかけています。

CISAは7月、CISAのサイバーセキュリティ評価ツール（CSET）のための新しいランサムウェア自己評価セキュリティ監査ツール「Rransomware Readiness Assessment（RRA）」を公開しました。RRAは、組織が情報技術（IT）、運用技術（OT）、産業用制御システム（ICS）の各資産に対するランサムウェア攻撃にさらされているレベルを判断するために使用することができます。

最近話題の API や REST API 基礎編（転載）～REST は、REpresentational StateTransfer の略称～

最近話題の API や REST API ってなに? ～基礎編～:

最近よく耳にする「API」という単語ですが、「API って実際に何をしてくれるのか？」と思ったことはないでしょうか？

当記事では「API とは何か？」、更に「REST API とは何か？」についてはじめての方にもわかりやすく解説します。

1. APIとは

API は「Application Programming Interface」の略称です。

API を使用すると、2つの異なるソフトウェアが相互に通信できるようになります。

API を使うことで実現できる事は、人がソフトウェアに対して操作を行うことに似ているので、人が電子メールソフトウェアを操作する事を例に考えてみます。

人の場合、「メッセージを開く」、「内容を確認する」、「メールを返信する」、「フラグを立てる」など操作を手動で行います。

この操作を人ではなくプログラム (Bot) で自動化したい場合、人が電子メールソフトウェアに対して行った「メッセージを開く」などの操作を代わりに実行するのが「API」です。

また API を使用すると、多くの機能を備えたアプリケーションの開発がリスク、コストを抑えて開発可能になります。

例として、レストランおすすめアプリを作成するとします。

アプリではユーザーがレストランを検索するときに、アプリが現在地情報を元にレストランのリストを作成するようにします。

このようなアプリを作成する時、昔はレストランのデータと位置情報のデータを自社のサーバー内に格納して、データを抽出するような作り方していました。

自社内で完結する設計のアプリは、アプリ全体が責任範囲となり、開発、保守工数を多く見積もる必要があります。

そこで登場するのが API です。

サードパーティから提供されている、レストランデータとマップデータを取得可能な API を探します。

API を活用することで、アプリは自社のサーバー内にデータを持つ必要がなく、API 経由でレストランデータとマップデータを得ることができるのです。

2. REST とは

REST は、REpresentational StateTransfer の略称です。

REST は API を構築するためのフレームワーク(枠組み、ルール)のひとつです。

REST に沿って作られた API (REST API) は、シンプルでわかりやすいのが特徴です。

REST と API を組み合わせると、アプリケーションやユーザー発行する HTTP リクエストをシンプルにデザインする事ができます。

3. REST API とは

REST API の特徴として、「A に対して B をする」という作りになっています。

ここの「A に対して」を API までのリソースパス、「B をする」を HTTP 動詞と呼びます。

先のレストランアプリの例で考えてみましょう。

以下のように REST API が作成できると考えられます。

「マップデータ」(リソースパス)　に対して現在位置を「取得する」(HTTP 動詞)
「レストランデータ」(リソースパス) に対して現在位置付近のレストランを「取得する」(HTTP 動詞)

では、もう少し具体的に、リソースパスや HTTP 動詞がどのようなものなのか、Webex の API を例に確認してみましょう。

Webex の API である「Webex ユーザーの登録者リストを取得する」API を例に確認していきます。

リソースパス

実際に「Webex ユーザーの登録者リストを取得する」API のリクエストを見てみましょう。

WebexAPI の仕様は「Cisco Webex for Developers」で確認できます。

次の仕様が、Webex ユーザーの登録者リストを取得する API です。

web サイトへアクセスする際に入力する URL に似ている構造をしています。

URL に似ているということで、ブラウザのアドレスバーから要求を送信する事ができます。

名称は URL（Uniform Resource Locator）ではなく「URI（Uniform Resource Identifier）」と呼びます。

この「URI」を構成する項目に「リソースパス」が存在します。

URI　=　プロトコール　＋　ドメイン名　＋　リソースパス　＋　パラメータ

「https://webexapis.com/v1/people」を「プロトコール」「ドメイン名」「リソースパス」「パラメータ」に分けてみると以下の通りです。

プロトコール：https
ドメイン名：webexapis.com
リソースパス：v1/people
パラメータ：なし

「プロトコール」は http または https、「ドメイン名」は WebexAPI、GoogleAPI など各種 API で決まっているため、「リソースパス」が変更されることでどの API が呼び出しされるか決まります。

また、「パラメータ」は任意項目です。

リソースパス「v1/people」から「人」に対する操作であることがわかります。

HTTP 動詞

REST API に設定する HTTP 動詞は以下のものがあります。

HTTP 動詞 Action
POST 作成
GET 取得
PUT 更新
PATCH 更新
DELETE 削除

もう一度仕様書を確認してみます。

WebexAPI にリソースパス「v1/people」は2種類あるため、「https://webexapis.com/v1/people」で要求すると、「人々をリストする」と「人を作成する」のどちらの API が要求されたのか判断ができません。

ここで「HTTP 動詞」である「GET」を付けて送信すると、「人々をリストする」が要求されていることが判断できるようになります。

「HTTP 動詞」と「リソースパス」が確認できたところで、REST API の構成である「A に対して B する」に戻ってみると、「人に対して取得する」となります。

障害多発のみずほ銀行のことを「みすぼらしい銀行」という人が多いらしい（転載）

みずほ銀行のことをみすぼらしい銀行って言ってる人いそうだなと思って検索したらいっぱいいた。:

みずほ銀行7回目のシステム障害、原因は取引メインのディスク故障

メガバンクの預金口座の存在価値はどこにある？

みずほ銀行で2021年9月8日に起こったシステム障害の原因が分かった。同行の勘定系システム「MINORI」において司令塔の役割を果たす「取引メイン（取引共通基盤）」のディスク装置の故障がきっかけで、一部のATMやインターネットバンキングが一時停止した。

具体的には、9月8日午前9時20分ごろ、取引メインのディスク装置が故障。みずほ銀行は取引メインのディスク装置が故障すると、同装置を切り離し、「常に同期をとって稼働している状態」（広報）の別のディスク装置だけで処理を継続する仕様だったが、その過程で「瞬断」が発生した。

この影響を受けて、最大100台ほどのATMやインターネットバンキングの「みずほダイレクト」が一時停止。同日午前10時半までに復旧した。みずほ銀行を巡っては2021年2月以降、顧客に影響が及ぶシステム障害が何度も表面化しており、今回で7回目となる。

ITmedia Security Week 2021 autumn振り返り～徳丸さんセッション。事例ベースなので、納得感がある。2段階・2要素認証はもはや常識になりつつあるか～

徳丸さんのセッションが大変勉強になったので、メモ。

これまでのクラウドにまつわる事件・事故事例。

過去の事件・事故は下記参照

・産総研
・シオノギアメリカ
・韓国NAYANA
・仏OVHcloud
・ふくいナビ
・Salesforceの一連の事故
・岡山大学病院

クラウドサービス事業者が行うべき主要な情報セキュリティ対策（by 総務省）

■利用者側の重点対応項目（1）認証の強化・ID管理

・SaaSの安全な利用の勘所は認証・ID管理にあり

・認証の強化・ID管理の原則
　-ポリシーで2段階・2要素認証を強制する
　-伝統的なIPアドレス制御はクラウド利用の阻害要因になるので、別の方法での対策が望ましい
　-一人1ID、最小権限の原則の徹底
　-退職者・異動者のアカウントの早期の削除・無効化
　-利用するSaaSの機能を有効活用する（とはいえ、SaaSの種類が増えると管理は大変）

・クラウド型ソリューションによる対策は？
　-IDaaS（Azure AD、Octa、HENNGE....）

■なぜVPN経由でSaaSを使うのか

・インターネットの出口でProxy、Webフィルタリング、次世代ファイアウォール等のセキュリティソリューションを適用しやすい。

　※そもそもVPN経由でSaaSを使うと産総研みたいなインシデントは起きない。

■利用者側の重点対応項目（2）設定管理

・Salesforceの一連の事故のように、権限設定の間違いが大半

・古くはGoogleグループの一覧の事故（2013年～）
　-古くて新しい話題

・Googleグループの設定不備は利用者による確認は容易だったが、Salesforceの事例は利用者での確認は容易ではない。

・シャドーITとの合わせ技の事例も多数。

■利用者側の重点対応項目（3）シャドーIT対策

・シャドーITとは
　-統制の及ばないIT利用のこと
　-無料のSaaSを部門あるいは個人で「独自に」利用するケースが多い

・ポリシーでの基本が対応
　-そもそも「やってはいけないこと」と認識していない素朴なケースが多い
　-組織のポリシーで「やっていいことと駄目なこと」をさだめ、徹底を求める
　-ポリシーが厳しすぎると、こっそり使う社員が出てくるので、ポリシーの「さじ加減」が重要

・クラウドソリューションによる対策は？
　-CASB（Cloud Access Security Broker）
　-クラウドプロキシ（Cloud Proxy）

　　※費用の問題もあるが、まずはポリシーがないとツールの活用もできない

■まとめ（というか基本）

・とにかく認証・ID管理の強化が重要

・企業のポリシーを定め、SaaS利用の統制と利用ノウハウの集約

・SaaSのセキュリティ設定

・利用規模が大きい場合は、IDaaS、CASB、クラウドプロキシ等、クラウド型セキュリティソリューションの活用を検討する

JALマイルでJAL国際線特典航空券が一層取りやすくなるタイミング（転載）～特典航空券解放のロジックを理解するとハッピーがあるかも！？～

【裏技】JALマイルでJAL国際線特典航空券が一層取りやすくなるタイミングを大公開！:

コロナ（武漢ウイルス）の影響もあり、なかなか海外旅行に行けない日々が続いていますが、

ワクチン接種率は上昇中
感染者数は増加しているが、死亡率は低下中

などなど状況は1年前とは大きく変化しており、1年後には海外旅行に行けるのでは？と考えて、特典航空券の発券を検討している人や、すでに発券した人なんかもいるでしょう。

この記事では、JALマイルを利用してJAL国際線特典航空券を取るための裏技というかテクニックを紹介します。こういった情報は、当サイトの中でもかなり人気があるので、機会があれば記事化するようにしているのですが、この記事の情報もきっと読者の誰かに有益なものになるではないかなと思います。

JALマイルで国際線特典航空券を発券する際には、

基本マイル数
JAL国際線特典航空券PLUS

という2つのものがあることは知っておきましょう。簡単に説明しておくと、

上記の東京＝ニューヨークのビジネスクラス特典航空券は50,000マイルの日もあれば、146,000マイルの日もあります。この50,000マイルというのが基本マイル数で、基本マイル数で取れる枠といのは路線・機材・搭乗クラスによりJALが勝手に定めています（公開はしていません）。

この東京＝ニューヨークの場合には予約開始日にはビジネスクラス特典枠が2席（ファーストクラス特典枠は1席）というのが現時点でのスタンダードなようですが、この2席がなくなれば終了というのが以前の制度でしたが、JAL国際線特典航空券PLUSという制度の導入により、必要マイル数がUPしてもいいなら枠を開放しますよ！！！ということが行われているわけです。

ただし、基本マイル数以上の大幅UPしたマイル数で特典航空券を取る人は少ないとは思うので、多くの人にとっては、必要マイル数がUPしているケースは売り切れと同義だと思います。

以前、記事にしたことがあるのですが、JALでは搭乗日直前に空席があると、その空席を特典航空券として開放してくれる傾向にあります。

この記事は2021/8/16に書いているのですが、7日後の2021/8/23のJALマイルを利用した国際線特典航空券の空席状況を羽田＝ロンドンで調べてみましょう。

知らない人は、衝撃の結果ですよ。

ファーストクラス特典航空券が8席も空席ありとなっています。そもそもこの機材のファーストクラスは全座席数が8席なので、まだ1席も売れていない状況なら残りの全席を特典航空券の枠に開放してくれているということですよね。

これは衝撃的すぎます。

特典航空券の直前開放は、ANAではあまりはっきりとは出現しませんが、JALでは非常に重要なポイントになります。先ほど説明した「JAL国際線特典航空券PLUS」で一旦必要マイル数以上のJALマイルを支払った方でも、直前期に基本マイルで取りなおす（キャンセル料は必要になります）ということも、JALマイルでは有効に活用できる可能性があるわけです。

更にここ1年間の間に新しい技！？裏技！？が追加になっているので紹介しておきます。非常に重要です。

基本マイル数で取れるJAL国際線特典航空券の枠は、

360日前の10:00に予約開始（この時点では基本マイルで取れる枠数はビジネスクラスで1便2席、ファーストクラスで1便1席が今は基本になっていると思われる）
搭乗の1週間ほど前から直前開放で枠が増える
予約開始後2週間ほどで枠が増える！？

という3つが基本になります。さて、ここで紹介したいのは3つめの「予約開始後2週間ほどで枠が増える！？」という内容になります。これは、おそらく以前にはなかったもので、この1年間の間に出現してきたようで、この1年の間にJAL国際線特典航空券を発券した人もそれほど多くないと思うので、知らない人だらけだと思います。

さて、具体的に紹介していきましょう。めちゃくちゃ使えますよ。

上記は、予約開始すぐのシンガポール＝東京のJAL国内線特典航空券ビジネスクラスの枠です。全便ともに40,000マイル（基本マイル数）で2席の空席があります。この2席がなくなると、JAL国際線特典航空券PLUSが導入されて、必要マイル数がUPします。

さて、予約開始日から2週間ほど経過した日程で枠を調べてみましょう。知らない人は本当にびっくりしますよ。

基本マイル数で取れる枠が、

1便目：3席
2便目：9席以上
3便目：8席

と謎に爆増しています。

エコノミークラスの特典枠でも、

予約開始日には、基本マイル数の12,000マイルで取れる枠が、

1便目：4席
2便目：すでに枠なし
3便目：4席

となっています。エコノミークラス特典航空券の枠は基本4席となっているようですね。ただ、JAL国際線特典航空券PLUSでも20,500マイルで取れるのは悪くないと思います。

が、2週間ほど経過した便で見ると、

え？？？全便9席以上？？？

とやはり枠が爆増するんです。これってめちゃくちゃ有益な情報じゃないですか？？これまで、基本マイル数で特典航空券を取れなくて、諦めていた人も多いでしょう。が、この記事を読んだ人には直前開放枠に追加して、「2週間後の開放枠」というものを利用してJAL国際線特典航空券を基本マイル数で取れる可能性が出現するわけです。

(注)2週間後ほどと書いていますが、おそらく11日〜14日後くらいに枠が増えます。路線により増えるタイミングが異なったりします。

この2週間後の開放枠は、JALが公表しているものでも何でもなく、いつまで継続される制度なのかもわかりませんし、そもそも2週間後の開放枠数も路線・機材・搭乗クラスにより異なります（シンガポール路線ではビジネスクラス枠が9席以上の開放もあるようですが、欧米路線ではビジネスクラス枠は最大5席だと思います。またファーストクラス特典航空券は2週間後の開放枠はないと思います）。ただ、この情報が家族旅行を検討している方には非常に役に立つ可能性があるとは思います。ぜひ、有効に活用してみてくださいね！！！

JAL国際線特典航空券を取るタイミングは、

360日前10:00の予約開始時
予約開始後2週間(正確には路線により11〜14日後)の開放枠
搭乗1週間前の直前開放

という3つが最大の取りやすいタイミングなりますので、しっかりと頭にいれておきましょう。

バンコク・エア、ランサムウェア攻撃によるお客様の個人情報流出を確認 / Bangkok Air confirms passenger PII leak after ransomware attack（転載）～PIIは個人を特定できる情報のことで、Personally Identifiable Informationの略です。～

Bangkok Air confirms passenger PII leak after ransomware attack:

タイで2番目に古く、3番目に大きい航空会社であるバンコクエアウェイズは、ランサムウェア攻撃に伴うセキュリティ侵害の際に、ハッカーが乗客の情報を盗んだことを認めました。

これは、LockBitと呼ばれるランサムウェアがダークウェブポータルにメッセージを掲載し、高額な身代金を支払わなければデータを流出させると脅した翌日の木曜日に、航空会社がプレスリリースで情報流出を確認したものです。

業界標準や、監督官庁の提示している基準・ガイドライン（転載）

セキュリティ診断だけでは不十分？アジャイル開発やDevOpsのセキュリティ対策

Webアプリケーションの構成要素には、アプリケーション、プラットホーム、ネットワークなどの構成要素があります。アジャイル開発では、1〜2週間といった非常に短い単位で開発を進めていきます。このサイクルをアジャイル開発でよく使われる「スクラム」では、スプリントと呼びます。スプリントで開発する機能を優先度の高い順から選択して、選択した機能の開発とリリースを繰り返していきます。しかし、以下表のような非機能要件は、ある程度事前に検討して環境を準備していく必要があります。

大項目	中項目	説明
可用性	継続性、耐障害性、災害対策、回復性	システムサービスを継続的に利用可能とするための要求
性能・拡張性	業務処理量、性能目標値、リソース拡張性、性能品質保証	システムの性能、および将来のシステム拡張に関する要求
運用・保守性	通常運用、保守運用、障害時運用、運用環境、サポート体制、その他の運用管理方針	システムの運用と保守のサービスに関する要求
移行性	移行時期、移行方式、移行対象（機器）、移行対象（データ）、移行計画	現行システム資産の移行に関する要求
セキュリティ	前提条件・制約条件、セキュリティリスク分析、セキュリティ診断、セキュリティリスク管理、アクセス・利用制限、データの秘匿、不正追跡・監視、ネットワーク対策、マルウェア対策、Web対策、セキュリティインシデント対応/復旧	情報システムの安全性の確保に関する要求
システム環境・エコロジー	システム制約/前提条件、システム特性、適合規格、機材設置環境条件、環境マネージメント	システムの設置環境やエコロジーに関する要求

非機能要件定義として挙げた例は、情報処理推進機構（IPA）が公開している「非機能要求グレード2018」から抜粋したものです。ラックのシステムセキュリティデザインサービスでは、このうちセキュリティに関わる範囲をセキュリティ要件として整理しています。

セキュリティ要件の作成においては、開発アプリケーションの特性に応じて、次表のような業界標準や、監督官庁の提示している基準やガイドラインを参考にする必要もあります。

適用例	要求仕様	刊行	特徴
金融業界向け	金融機関等コンピュータシステムの安全対策基準・解説書第9版	金融情報システムセンター（FISC）	金融業界向け対策基準で、主に銀行が広く利用される対策基準
金融業界向け	金融分野における個人情報保護に関するガイドライン	金融庁	金融業界向け対策基準で、金融業界全般で利用されるガイドライン
Webアプリのセキュリティ対策	安全なウェブサイトの作り方	情報処理推進機構（IPA）	官公庁、公共のシステム構築案件に多く用いられるセキュリティ対策の要求仕様
認証、認可	NIST Special Publication 800-63-3: Digital Authentication Guideline	米国立標準技術研究所	ダイレクトバンキング等でも用いられる、サービス利用ユーザのライフサイクルに関する要求仕様
ネイティブアプリ（スマホアプリ）	OWASP Mobile Application Security Verification Standard	OpenWebApplicationSecurityProject	スマホネイティブアプリ開発時に、多く用いられる要求仕様
アプリケーションのセキュリティ対策	OWASP ASVS（アプリケーションセキュリティ検証標準）	OpenWebApplicationSecurityProject	金銭取引が行われるシステム構築時に、多く用いられる要求仕様
クラウド運用	ISO27017	日本品質保証機構	クラウドの利用/提供に関するセキュリティ要求事項を定めた規格
システム非機能要求事項全般	非機能要求グレード2018	情報処理推進機構（IPA）	機密性、可用性、完全性等の観点でシステムの非機能要求事項を定めたガイドライン
データの秘匿化や暗号化	電子政府推奨暗号リスト	CRYPTREC	総務省、及び経済産業省が推奨する暗号技術の評価

参照すべきガイドラインや基準は多岐に渡り、随時更新されていきます。こうしたガイドラインや基準には、具体的な実装方式などは記載されていないこともあるので、ガイドラインや基準を満たす実装方式についても情報収集と判断が必要になります。ラックのセキュリティコンサルティングサービスは、様々な業界のお客様を支援していますので、常に最新の業界動向に応じた要件と、具体的な実装方法を提示することが可能です。

登録: 投稿 (Atom)