忙しい人のためのインテリジェンス - 2021/01/04
今週のおすすめ/一言所管
米議事会乱入に伴うトランプ大統領の各SNSアカウントの凍結 および Parlerサービスの各種プラットフォーム上の停止
ユニバーサルな基準なしにプラットフォーマーが政治意見に介入できることの是非について
ParlerなどのSNSをプラットフォーマーとみなし、違法行為を制限する目的で配信を停止する場合、SNSを配信するアプリストアも同様に責任を負うのでは、、、という議論は興味深い
同時に自信の データの取扱が倫理的に許されるフェアかを透明性高く監視する仕組みやルール・運用の整備 の必要性が大きく高まることを示す、2021年の象徴的出来事かもしれない
B2B向けゲスト向けのemail OTPがGA化
条件付きアクセスの対象にも当然なる
Solorigate関係のIoC調査をするためのワークブック
自動で収集・可視化する
アプリやservice principalのクレデンシャルや認証方法の変更
Federation設定の変更
Azure AD STS Refreshトークンの変更
service principalへの権限付与、role, グループの変更
...がクエリに失敗してなにもかえってこない。なんなんだこれは
security postureで、さんざんself serviceを押してたところが業態によって違っていてうける
group, B2B collabolation, Entitlement Mgt, 条件付きアクセス、Teamsなどの設定方法が書かれていて助かる
MCASとMIPの使い分け
MDATPのadvanced huntingでAzure AD sign-in eventsをチェックできるように。ええやん
例では、無効化されたアカウントへのsign-in, 複数都市からのログイン、30日間アクティブでないアカウントがある
ゲスト垢の管理やinteractive and non-interactiveも可能そう
ただし、short-periodらしい。根本的に別のソリューションを用意するみたい。
AWS Config、委任はCLIからできたの知らなかった....
各種AWSサービスでログに出せる内容、出力先(cloudwatch, kinesis等)、デフォルト出力状態がまとめられている
kinesis firehose全部サポートしてくれ。
リソース内で実行されるリソース操作について記録。現在はS3オブジェクトやlambda関数の実行イベントのみ
正規表現でマッチ、除外等が可能。さらに、CloudTrailに出力することが可能
(Dynamo) DB内にある個人情報をmacieで読み取る。
DBからLambdaでS3において、それをMacieで読む感じ
AWS ACMでPrivate CA作って、Secrets Mangerに入れて、各種EC2インスタンスに配信する話(Lambdaが)
AWSがParler(米保守層に人気のSNS)のホスティングを停止
Google PlayやApple Storeでもアプリを削除の方向へ(猶予つき)
同意が有効であるための条件とは,超えるためのハードルが大変高い
サービス提供の条件や,同意をしないこと自体が本人に被害を及ぼすような個人情報の提供同意は,国際標準(GDPRやISO/IEC 29184)的には同意とは認められない
そもそも、データの取扱が倫理的に許されるフェアかを透明性高く監視する仕組みやルール・運用の整備が先行すべき
2021で注目の技術仕様
OIDC Pushed Authorization Request (PAR) で取り組まれているGrant Management API
Digital Being(デジタル存在の7つの原則は)
Accountable Digital Being
Expressive Digital Being
Fair Data Handling
Right NOT to be forgotten
Human Friendly
Adoption Friendly
Everyone Benefit
スマホに格納して、使える場所を増やして、利便性を増やす作戦。普及策もあるが、それより先。
そのためには、マイナンバー法を改正して、使いみちの制限を緩和しなければならない
しないと、データ連携ができず意味がない。して、マイナンバーを個人のIDにする。
個人情報保護法を改正し、自治体がバラバラにつくっている条例を吸収して、共通化する
使ったものを誰がどう使ったか履歴を残して、見れるようにし、本人の許諾をとる。
OIDCにおけるMAYやOPTIONALなパラメタ郡のうち、5つ重要なやつをリストアップ
prompt, target_link_uri, request/request_uri, id_token_hint, claims
BOISのレポート。金融におけるCyber Resilience向上のために、EUはDORA(Digital Operational Resilience Act)を提出
その中で、2つのコンポーネントをカバー
TIBER-UEEU: サイバー攻撃からの保護とresiliency向上のためのテストプログラム
CIISI-EU: インテリジェンスの共有イニシアチブ
2021のサイバーセキュリティの脅威トレンド
攻撃の対象が自宅に
内部不正
自動化された標的型メール
クラウドのセキュリティ(コンプライアンス)
AI・機械学習
モバイルへのターゲット
うーん、、、
jwtにおけるセキュリティリスクと脅威。読み応えあって面白かった
米通貨監督庁が連邦法に準拠した銀行は、自身でパブリックチェーンのノードを立てて、ステーブルコインを発行して決済取引に使ってよいと宣言
また、その国際取引は従来より安く・早く・効率的になると言っている...
めっちゃ推奨してる...
エンべデットファイナンス(プラグイン金融)の今後の増加
銀行・証券・保険の今後の改革動向について。今回はリテール(国内一般小売)について
超低金利がリーマンのときから続いてるので、収益悪化が無視できない
一方、銀行間の送金手数料が40年かわらないため、公正取引委員会からも手数料引き下げをもとめられている
振り込み手数料は「3万円以上で162円」から80~90円くらいになる見込み
治体関連業務の振り込み・集配金を銀行が無償に近い金額でやってたけど、手数料の適正化ができずストップ
適正化のスコープに議論の余地あり
炭素からガスや非資源事業へ
資本の利用先を拡充
証券リテールでの収益構造の変革について
販売手数料から、預かり資産に対する手数料にする資産管理的なフィー型
行政/会社/団体
ウィーチャットでECサイト・広告の作成・配信を日本企業から受託・支援するジョイベンを、テンセントと三井物産が作る
イベント/勉強会/発表資料
コンテナにおける脆弱性評価の効率化の話
NISTのNVD とRedHatなどベンダーによってCVSSは異なる)ので絶対的な値ではない)
脆弱性に対する対応(ポリシー)は以下で判定
どのパッケージか
どのCWEか
CVSSベクターとCVSSスコア
ということを、毎日47.4個みつかる脆弱性に対してやらないといけない
Trivyでパッケージを選別することで、5~10dayに減らして...
OPAでルール判定することで、0~1dayに減らせる
その他