忙しい人のためのインテリジェンス - 2021/01/04
#忙しい人のためのセキュリティ・インテリジェンス_バックナンバー #2021011st #202101
今週のおすすめ/一言所管
米議事会乱入に伴うトランプ大統領の各SNSアカウントの凍結 および Parlerサービスの各種プラットフォーム上の停止
ユニバーサルな基準なしにプラットフォーマーが政治意見に介入できることの是非について
ParlerなどのSNSをプラットフォーマーとみなし、違法行為を制限する目的で配信を停止する場合、SNSを配信するアプリストアも同様に責任を負うのでは、、、という議論は興味深い
デジタル社会のTrustの構築とインセンティブデザイン〜2020年を振り返って〜 でも語られてたとおり、特定の主体に恣意的に作られず、形成過程で各人の利益が不当に毀損 されてしまいかねない事例になり、そしてその行為および影響が事後検証されるのだろうか
同時に自信の データの取扱が倫理的に許されるフェアかを透明性高く監視する仕組みやルール・運用の整備 の必要性が大きく高まることを示す、2021年の象徴的出来事かもしれない
参照: 2021年のプライバシー標準
Microsoft #microsoft #ms
Collaborate with anyone in any organization with any email address! #idp #aad #azuread
B2B向けゲスト向けのemail OTPがGA化
条件付きアクセスの対象にも当然なる 
Azure AD Workbook to help you assess Solorigate risk
Solorigate関係のIoC調査をするためのワークブック
自動で収集・可視化する
アプリやservice principalのクレデンシャルや認証方法の変更
Federation設定の変更
Azure AD STS Refreshトークンの変更
service principalへの権限付与、role, グループの変更
...がクエリに失敗してなにもかえってこない。なんなんだこれは
外部ユーザーのアクセスにおけるセキュリティ設定
security postureで、さんざんself serviceを押してたところが業態によって違っていてうける
group, B2B collabolation, Entitlement Mgt, 条件付きアクセス、Teamsなどの設定方法が書かれていて助かる
MCAS Data Protection Blog Series: Do I use MCAS or MIP?
MCASとMIPの使い分け
Hunt for Azure Active Directory sign-in events
MDATPのadvanced huntingでAzure AD sign-in eventsをチェックできるように。ええやん
例では、無効化されたアカウントへのsign-in, 複数都市からのログイン、30日間アクティブでないアカウントがある
ゲスト垢の管理やinteractive and non-interactiveも可能そう
ただし、short-periodらしい。根本的に別のソリューションを用意するみたい。
AWS #aws
AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~4. AWS Config~
AWS Config、委任はCLIからできたの知らなかった....
How to Enable Logging on Every AWS Service in Existence (Circa 2021
各種AWSサービスでログに出せる内容、出力先(cloudwatch, kinesis等)、デフォルト出力状態がまとめられている
kinesis firehose全部サポートしてくれ。
Service Quotas がタグ付け、属性ベースアクセス制御 (ABAC) のサポートを開始
AWS CloudTrail が、高度なイベントセレクターを介してデータイベントログの詳細な制御を提供
リソース内で実行されるリソース操作について記録。現在はS3オブジェクトやlambda関数の実行イベントのみ
正規表現でマッチ、除外等が可能。さらに、CloudTrailに出力することが可能
Use Macie to discover sensitive data as part of automated data pipelines
(Dynamo) DB内にある個人情報をmacieで読み取る。
DBからLambdaでS3において、それをMacieで読む感じ
Use AWS Secrets Manager to simplify the management of private certificates
AWS ACMでPrivate CA作って、Secrets Mangerに入れて、各種EC2インスタンスに配信する話(Lambdaが)
トラスト/ガバナンス #trust
Twitterがトランプ氏に対してついに永久停止処分を下した理由を説明
Amazon Is Booting Parler Off Of Its Web Hosting Service
AWSがParler(米保守層に人気のSNS)のホスティングを停止
Google PlayやApple Storeでもアプリを削除の方向へ(猶予つき)
2021年のプライバシー標準
同意が有効であるための条件とは,超えるためのハードルが大変高い
サービス提供の条件や,同意をしないこと自体が本人に被害を及ぼすような個人情報の提供同意は,国際標準(GDPRやISO/IEC 29184)的には同意とは認められない
そもそも、データの取扱が倫理的に許されるフェアかを透明性高く監視する仕組みやルール・運用の整備が先行すべき
2021で注目の技術仕様
OIDC Pushed Authorization Request (PAR) で取り組まれているGrant Management API
Digital Being(デジタル存在の7つの原則は)
Accountable Digital Being⁠
Expressive Digital Being
Fair Data Handling⁠
Right NOT to be forgotten⁠
Human Friendly⁠
Adoption Friendly
Everyone Benefit
マイナンバー法と個人情報保護法がカギ。日本のDXが乗り越えるべき壁
スマホに格納して、使える場所を増やして、利便性を増やす作戦。普及策もあるが、それより先。
そのためには、マイナンバー法を改正して、使いみちの制限を緩和しなければならない
しないと、データ連携ができず意味がない。して、マイナンバーを個人のIDにする。
個人情報保護法を改正し、自治体がバラバラにつくっている条例を吸収して、共通化する
使ったものを誰がどう使ったか履歴を残して、見れるようにし、本人の許諾をとる。
厚労省による認証認可調査研究事業一式 報告書
OpenID Connectの脇役たち
OIDCにおけるMAYやOPTIONALなパラメタ郡のうち、5つ重要なやつをリストアップ
prompt, target_link_uri, request/request_uri, id_token_hint, claims
ブロックチェーン #blockchain
脅威/脆弱性 #vulnerability #threat #security
Keeping cyber risk at bay - our individual and joint responsibility
BOISのレポート。金融におけるCyber Resilience向上のために、EUはDORA(Digital Operational Resilience Act)を提出
その中で、2つのコンポーネントをカバー
TIBER-UEEU: サイバー攻撃からの保護とresiliency向上のためのテストプログラム
CIISI-EU: インテリジェンスの共有イニシアチブ
2021 Cybersecurity Trends: Bigger Budgets, Endpoint Emphasis and Cloud
2021のサイバーセキュリティの脅威トレンド
攻撃の対象が自宅に
内部不正
自動化された標的型メール
クラウドのセキュリティ(コンプライアンス)
AI・機械学習
モバイルへのターゲット
うーん、、、
セキュリティ視点からの JWT 入門
jwtにおけるセキュリティリスクと脅威。読み応えあって面白かった
金融 #financial
US regulator: Federally chartered banks can facilitate stablecoin payments, issue their own
米通貨監督庁が連邦法に準拠した銀行は、自身でパブリックチェーンのノードを立てて、ステーブルコインを発行して決済取引に使ってよいと宣言
また、その国際取引は従来より安く・早く・効率的になると言っている...
めっちゃ推奨してる...
(有料記事) 埋め込み型・自律・分散…イノベーションはとまらない
似たような記事 -> https://note.com/110_110_110/n/n5b96a49725cc
エンべデットファイナンス(プラグイン金融)の今後の増加
(有料記事) 各金融業界の課題
銀行・証券・保険の今後の改革動向について。今回はリテール(国内一般小売)について
(有料記事) 銀行間手数料、80円台が有力 40年不変批判で半減
超低金利がリーマンのときから続いてるので、収益悪化が無視できない
一方、銀行間の送金手数料が40年かわらないため、公正取引委員会からも手数料引き下げをもとめられている
似たような記事 -> 「40年以上変わらない銀行間送金手数料の是正を」公取委が要求
振り込み手数料は「3万円以上で162円」から80~90円くらいになる見込み
似たような記事 -> 公金管理、打ち切る銀行 自治体の指定金融機関 三菱UFJ
治体関連業務の振り込み・集配金を銀行が無償に近い金額でやってたけど、手数料の適正化ができずストップ
適正化のスコープに議論の余地あり
(有料記事) 三井物産、脱炭素・資本効率を投資の軸に
炭素からガスや非資源事業へ
資本の利用先を拡充
(有料記事)「三大証券」痛み覚悟の手数料改革 土俵際の勝負
証券リテールでの収益構造の変革について
似たような記事 -> 証券大手「フィー型」移行へ 提案強化、手数料引き下げ競争脱却
販売手数料から、預かり資産に対する手数料にする資産管理的なフィー型
行政/会社/団体
ツール/サービス/OSS #tools
三井物産、中国テンセントと提携 日本企業の販促支援
ウィーチャットでECサイト・広告の作成・配信を日本企業から受託・支援するジョイベンを、テンセントと三井物産が作る
イベント/勉強会/発表資料
KubeCon EU 2020から脆弱性スキャンのTrivyとOPAを紹介
コンテナにおける脆弱性評価の効率化の話
NISTのNVD とRedHatなどベンダーによってCVSSは異なる)ので絶対的な値ではない)
脆弱性に対する対応(ポリシー)は以下で判定
どのパッケージか
どのCWEか
CVSSベクターとCVSSスコア
ということを、毎日47.4個みつかる脆弱性に対してやらないといけない
Trivyでパッケージを選別することで、5~10dayに減らして...
OPAでルール判定することで、0~1dayに減らせる
インシデント #incident
その他