忙しい人のためのサイバーインテリジェンス(旧 情報収集) - 2020/12/28
#2020125th #202028 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー
今週のおすすめ/一言所管
デジタル庁の登場により、官主導のデジタル化は加速するだろう。また、行政改革担当大臣による官内のデジタル化は進む。ゼロトラストも取り入れられる #trust #governance
一方、ドメインハイジャックや法人間・グループ企業間をまたいだ脅威が多く見られた #governance #vulnerability #threat #gov
系としての全体サプライチェーン監理が重要になることを予想
同時に、依存サービスの設定不備が大インシデントにつながる事例も散見 #vulnerability #threat
コンプライアンス・ガバナンス <-> 実装間の時間・距離を縮めることが鍵
各種EntityのDigital Identity周りのコア度が増していくと思われる #identity
人のDigital Identityに加え、法人さらにはデバイスおよびデータのDigital Identityを含め包括的に。
Microsoft #microsoft #ms
CrowdStrike Launches Free Tool to Identify and Help Mitigate Risks in Azure Active Directory
過剰なパーミッションやAzure AD環境に関するその他の重要な情報をレポートにするツール。Powershell
委任されたパーミッションやアプリケーションのパーミッション、フェデレーションの設定、フェデレーションのトラスト、メール転送ルール、サービスプリンシパル、KeyCredentialsを持つオブジェクトなどがレポート対象
それよりも、Additional Recommendationsの項目が参考になりそう
Active Directory 侵害と対策についての勉強会の資料
Understanding "Solorigate"'s Identity IOCs - for Identity Vendors and their customers.
去年の終わりあたりにあったSolorigateのIOC(Indicator of Compromise)
SAMLトークンの署名鍵が漏洩したことを前提に、SAMLトークンの偽造から最終的なリソースへのAPI実行権限を取得する段階までの、各種シグナルや対応が書かれていて良い
AWS #aws
Amazon Route 53 が DNSSEC に対応
route53のhosted zoneにDNSSEC署名をつけることが可能に
参照側がより信頼できる名前解決を提供
サーバレスで扱うデータストアとしてS3という選択肢があるらしい
S3 Selectしらなかった。よさそう。コード内でもつかえるのがいい。Athenaめんどうくさいし
order by とoffset使えないのは痛いが...まあ、時間の問題?
Amazon GuardDuty が、新しい脅威検出を 3 つ追加して、Amazon S3 に保存されているデータ保護を強化
MaliciousなIPと判定されたアクセス元からS3関連のAPIを呼び出さされたときに発火される
同時にS3保護はGuardDutyと統合されたので、CloudTrail側でonにする必要がなくなった
AWS Config コンフォーマンスパックを使用したプロセスチェックルールの導入
AWS Podcast No.417: INTRODUCING AWS Fault Injection Simulator
Re:Inventで発表されたカオスエンジニアのawsマネージドサービスについて
2021に全リージョンでga予定
カオスエンジニアリングサービスでできてほしい内容がいい感じにサマライズされてるかも
トラスト/ガバナンス #trust #governance
第2回_TrustedWeb推進協議会
Trusted Webに関する情報 -> デジタル市場競争本部
11の原則が提言
ガバナンスに関する原則: 持続可能なエコシステム、マネジメントプロセス、透明性、相互検証可能性
ユーザーに関する原則: 個人・法人によるコントロール、誰も取り残されないユニバーサル性、ユーザー視点
システムに関する原則: 継続性、柔軟性、相互運用性、更改容易性
その他の原則: 相対主義(全てのデジタル化を頑張らない)
目指す方向性(ガバナンス系)と機能
特定サービスに依存せず、Trustを担保する仕組み:
データ及びその場所をコントロール、委任可能で監査可能
データの出し手がコントロールし、価値に変換できること。受け手を確認でき、データの真正性が担保されること
データのやり取りとアクセスが記録され、出し手や改変者、受け手が検証可能
ユニバーサルな識別子があり、公開可能で、かつ固有の属性を紐付ける事が可能
データへのアクセスが記録され、検証可能
トラストアンカー属性を付与できること
やり取りが正しく行われることを担保するスキーム
ゴールが合意され、ゴールが実現されたか評価とフィードバックがされること
不正を監視できること
必要となる機能
デジタル社会のTrustの構築とインセンティブデザイン〜2020年を振り返って〜
デジタルと社会の関係性は強くなり、置いてきぼりのないHuman-centricなデジタルな社会活動の基準の構築が必要
SPoFをなくすことは重要で、権利が集中したなオンライン上の認証や認可の仕組みは厳しい
つまりプラットフォームの構築だが、特定の主体に恣意的に作られず、形成過程で各人の利益が不当に毀損されてはならない
Verifyだけで回るところと、Trustが必要な部分のスコープを設計することが重要
Don't Trust, But Verifyは、元々Trust, But Verify
米ソの核軍縮時代のロシア: ロシアの言葉 “Доверяй, но проверяй”(英語でDoveryay, no proveryay)
核軍縮には合意したが、それが正しく履行されたかどうかは、検証をする必要があると言うこと
完全に分散型でデジタル社会における活動を実現できるかというと、最終的に誰が責任を負うのか、と言う点が明確でない
と、なると責任構造を考えねばならなく、おそらくPolycentric Stewardshipという形態になりそう
社会における責任は様々な種類があり、現実にはそれらが組み合わせって個別の事象に対する責任構造を構成。
この責任構造を持続可能なものにするには、デジタル社会に生きる人と組織にとってのインセンティブ設計が必要
コレ自体は物理的社会が築き上げてきたが、デジタル上に合意のある形で投射できるかが課題
2021年、インターネットとITは大きな転換期へ イノベーションから規制、倫理の時代に
イケイケドンドンから、倫理やガバナンスが求められる時代に
エポックメイキングなのが、2020年のGoogleとFacebookの反トラスト法
先述の 特定の主体に恣意的に作られず、形成過程で各人の利益が不当に毀損されてはならない を確保していく必要がある
その一例が、顔認識技術に人種・性のバイアスがあるとの調査結果があったということ
誤認逮捕などの意図しない不利益を被ることがある
「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第1次とりまとめの公表
サイバーセキュリティにおけるISMSの役割
目的
サイバーセキュリティ: サイバーリスクから守る(safeguard)
情報セキュリティ: CIAを維持すること(preserve)
対象
サイバー・セキュリティ: サイバー空間内のentity。not情報。
主体なので、目的が多様であり、サイバーリスク発生時の不確かなことも多様
情報セキュリティ: 預かった・預けられた情報
サイバーセキュリティは主体が軸なので、外部生(互いに影響しあう)が強い
ただし情報セキュリティも外部性はある(委託など)...のでISMSからサイバー・セキュリティへの対応をすることが可能
LayerX Newsletter【特別企画】2020年「経済活動のデジタル化」を巡るトピックを振り返
「企業間・分野間連携DX」「デジタルガバメント」「デジタル証券」「デジタル金融」から経済活動のデジタル化を追う
好みの分野に応じて追うといいかも
デジタル証券は、対象の金融商品が「債務」になり始めたのがトレンド
OAuth2の次に来ると言われる認可プロトコルGNAPとはなにか
前TxAuth
ポイント
フロントチャンネルのセンシティブ情報交換の最小化
基本バックチャンネル(server to server)
JSON により表現された、しっかりと定義されたデータモデル
トランザクションモデルと多様なインタラクション方式
ここらへんが一番むずかしいのって、なんでそのパラメタがあるんだっけ...みたいなところ
OAuth2.0のコア機能が拡張され続けてるのはニーズが増えてるからだと思ってて、その場合、よしんば普及してもGNAPもそのうち拡張仕様が作られるんじゃないかな...って...
ブロックチェーン #blockchain
JCBとLayerX、CBDC時代を見据え、複数企業間をつなぐ次世代BtoB取引履歴インフラに関する共同研究を開始 -プライバシーに配慮した上で、サプライチェーンをまたがる商流情報を活用する高度なサービスの実現を目指す- #中の人
サプライチェーン全体における商流情報を活用した高度なサービスには、データ保護・プライバシーが求められる
取引情報の閲覧権限を主体毎に柔軟に設定可能なしくみが必要
共同研究ではTEEを応用した「Anonify」を使う
脅威/脆弱性 #vulnerability #threat #security
Industry’s First Dynamic Analysis of 4 million Publicly Available Docker Hub Container Images
Docker Hubのpublicコンテナを動的スキャンした結果
51%がcriticalな脆弱性を持ち, 13%がhigh
0.16%が悪意ある動作をしていた
脆弱性スキャンにはTrivy, 悪意動作のスキャンにはClam AVを使った
悪意ある動作をするコンテナの内訳
red tam向けハッキングツール、ビットコインwallet窃取のnpmパッケージ、Windowsマルウェア、コインマイナー
New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient
マーケット、法執行、外交全てを考慮し、EUはサプライチェーンの全要素でサイバー・セキュリティを統合するサイバー・セキュリティ戦略をたてる
戦略はインターネットのみならずEUのデジタル化する価値観や基本的人権を保護(safeguar)することを目的にしている
そのために3つの提言
1. SOC, AI, Digitl Innovation Hubなどの推進によるリーダーシップの発揮と、レジリエンスの重視
2. EU内部の協同
3. EU外部との協同
JNSAによる個人情報漏洩インシデントの統計
漏洩人数・件数・一人あたり賠償金額増加
教育系で増加(classi?), 金融系は減少
紛失置き忘れ・不正アクセスが増加(他はご操作)
メール・USB・インターネッツ経由が増加(でも紙が一番多い)
JNSAによる個人情報漏洩における想定損害賠償額の算定式
一人あたりの想定損害賠償額 = 漏洩個人情報の価値 x 情報漏えい元組織の社会的責任度 x 事後対応評価
個人情報の価値 = 基礎情報価値 x 機微情報度 x 本人特定容易度
基礎情報価値が500ptに設定されてるのは、Yahooの前例にしたがってる?
漏洩区分も例示されているのが嬉しい
「情報システム・モデル取引・契約書」第二版を公開
IPAによる「情報システム・モデル取引・契約書」第二版の公開...
が、セキュリティまんにとっての味噌は、第2版から参照されるセキュリティ基準等公表情報の例が用意されたこと
例1: 情報システム開発契約のセキュリティ仕様作成のためのガイドライン ~ Windows Active Directory編
例2: セキュリティ仕様策定プロセス
川崎重工に不正アクセス 個人情報流出の可能性
タイで2020/06に感染したものが、12/28に日本のDCに到達し、不正アクセス
SalesForce Lightningでデフォ設定のままだと、認証不要なゲストユーザーが取得できてしまう情報がある
関連情報
金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで
楽天、顧客情報流出か 楽天市場など148万件超
Salesforce Lightning Platformへの攻撃手法について
Salesforce Lightning - An in-depth look at exploitation vectors for the everyday community
セールスフォースのデフォルト設定のままだと、ゲストユーザーが情報を取得できてしまう件
paypayもコレ関係と聞いた
「責任共有モデル」という前に
行為をなすべき義務を負う(responsible)か一定の問題が起きたときに、誰が責任を負うか(liable)
Liabilityは予見可能性・回避可能性について具体的な事案から決めるものなので、なにか一点を基準に回避できるものではない
つまりShared Reponsibilityといっても、Liabilityを否定できるとは限らない
金融 #financial
「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」結果 from 金融庁
不正出金があった907 口座のうち、89%が一要素認証による口座連携
取引時確認が他事業部に依拠していると、より不正出金される可能性が高い...っぽい
(有料)国際金融センター構想 2021年は実現元年に
行政/会社/団体 #gov
デジタル・ガバメント閣僚会議(第10回)
デジタル・ガバメントとデジタル社会に関する情報 -> 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)
基本方針 : IT基本法の見直しとデジタル庁の設置
概要 と 詳細 
IT基本法の見直し
Why デジタル化(した社会):
一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会 を実現するため
目指す社会
国民の幸福な生活の実現
誰一人取り残さないデジタル社会の実現
国際競争力の強化、持続的かつ健全な経済発展の実現
社会形成にあたっての原則
オープンと透明、公平と倫理、安全安心、継続・安定・強靱 、社会課題の解決、迅速・柔軟、包摂・多様性 、浸透、新たな価値の創造 、飛躍・国際貢献
役割分担
民間が主導的役割を担い、官はそのための環境整備を図る
国が全国的に統一して整備される基盤を用意し、地方公共団体がそれを利用する
デジタル庁の設置
国の情報システムの統括・監理、予算もデジタル庁が一括計上
地方共通のデジタル基盤の標準化・共通化の企画と調整。総務省と連携。
マイナンバーおよびマイナンバーカードの普及
民間および準公共部門のデジタル化支援
ワンスオンリーの実現をするデータ・レジストリ
サイバーセキュリティの実現
デジタル庁にセキュリティの専門チームを置く(NISCが体制を強化)
デジタル庁が国の行政・機関等のシステムに対するセキュリティ監査を実施
デジタル・ガバメント実行方針
概要と詳細
データ戦略タスクフォース第一次とりまとめ
概要と詳細
エンドユーザーの手元に届く情報は、多数のデータが複数の段階を経て分析・過去されたものになる
なので、データの信頼性(Trust)を高めなければならない
データが産まれてからユーザーの手元に届くまでのデータのサプライチェーンを通じてトラストが確保できるよう、トラストの連鎖が実現しなければならない
日本におけるトラストサービス
真正性 + 完全性: 電子署名、eシール、Webサイト認証
存在性 + 完全性: タイムスタンプ
サイバー空間で求められるトラスト要素
「主体・意思」:意思表示の証明 -> 認証に関する考え方に加え、完全性の担保も必要
「事実・情報」:発行方法や意図通りの発行7日も含めた発行元証明 -> IDライフサイクル
「存在・時刻」:存在証明 -> タイムスタンプ
ツール/サービス/OSS #tools
Terraform開発時のDeveloper Experienceを爆上げする
tfupdateしらなかった
tfsecは、super-linterまち
tfnotifyはいれてたような、いれてなかったような
templatefile 機能を使って Athena の Saved queries を Terraform で管理する
filesetとかしらなかった。terraform functionに詳しくならねば
terraform providerを作ったときのTips
困ったときに参考にしたい
tflint の --deep オプション便利
知らなかった
イベント/勉強会/発表資料
ZOZOの「DB秘密情報取扱いガイドライン」とSQL Server実装例
ガイドライン作成 -> 秘密情報管理台帳, 閲覧者管理台帳作成
マスク用VIEWを作る感じ。VIEWの更新はmodify_dateやDBのオブジェクトに設定された権限、VIEWが参照しているテーブルとカラムを比較して、DENY設定の変化を検知している
インシデント #incident
その他