忙しい人のためのセキュリティ・インテリジェンス - 2021/02/01
今週のおすすめ/一言所管
今週の目玉は「債権譲渡通知」における特例措置。債権自体は、譲渡可能な権利なのですが、その所有などのstateを第三者に証明できなければなりません。その証書が民法で定められた確定日付のある物理的証書じゃないと駄目だったのですが、それが特定の要件を満たすのであれば情報システム化できるような特例措置を整備することが、法務省レベルできまった、というところです。ブロックチェーンを始めとした技術を実務利用するための法整備が整ってきた形です。
Defender for Endpointの脅威・脆弱性管理のサポート対象が増えた
mac: ga
また、対象の脅威脆弱性があった場合のメール通知がpublic preview
Azure Sentinel でplaybookにservice principalをつけられるようになった
Azure AD Connectorで以下のデータを連携可能に
Non-interactive user sign-in Log, Service principal sign-in logs, Managed Identity Sign-in logs, Provisioning logs
Compliance
他
CloudFront のセキュリティバンドル(saving plan)。commitmentすることで30%オフ。
lambda edge容量 + wafリクエスト(commitmentの10%まで)がカバーされるのが更に美味しい
AWS App Meshが mTLSをサポート
k8sクラスタであればEnvoy’s Secret Discovery Service APIでSPIREも使える
NISCも取り上げてやっとまずいとなったか?
「電子署名法第2条第1項に定める電子署名」を用いれば、地方自治体との契約を電子化可能
URL Pathの完全一致やImplicit周りがないのでうむむ?と思いつつスタートポイントとしてはいいかも
https://gyazo.com/4198ffb2ec898cdcda8d3d18dd7dc81b
こっちもkidやらexpがない脳、とお見つつスタートポイントとし(以下略
* https://gyazo.com/28856596224e3c1d8dc968d37e586e7c
Token Stealing, Code Stealing, CSRF(Missing State Param)をおもなOAuth Misconfiguration(?)として列挙
2020年のIdentity窃取が2019年に比較して2倍に
債権の株式と比較がわかりやすい。
債権のが発行前にロジックを組みやすいというのが理由の1つ。ブロチェのスマコにしやすい
が、主体がたくさんいて状態がわかりにくい。これもブロチェにするとわかりやすくなる
また、資本コスト(資金調達に伴うコスト)が再建のが低い
債権譲渡における第三者対抗要件は、債務者への通知等を確定日付のある証書(物理)でしかできなかった
債権譲渡通知等、という
確定日付: 民法(明治29年法律第89号)第467条第2項に規定
そういうのもあってブロックチェーン(笑)だったが、その特例措置として一定の要件を満たせばデジタルでもできるような整備が決まった
条件は次の通り
債権譲渡通知等をした者及びこれを受けた者が当該債権譲渡通知等がされた日時及びその内容を容易に確認することができること。
債権譲渡通知等がされた日時及びその内容の記録を保存し,及びその改変を防止するために必要な措置として主務省令で定める措置が講じられていること。
また、以下の通知・承諾も同様に特例措置の対象になるとのこと
債権を目的とする質権の設定(現に発生していない債権を目的とするものを含む。)の通知又は承諾
民法第500条において準用する同法第467条第1項の弁済による代位の通知又は承諾
信託法(平成18年法律第108号)第2条第7項に規定する受益権の譲渡の通知又は承諾
負債ベースのポートフォリオとそれを裏付ける規約やデューデリの証拠をブロックチェーンで管理
タイのSET (Stock Exchange of Thailand) がKBTGの提供するブロチェベースのアセット取引を下半期で開始すると宣言
トークンには3つの要件を設定し、アセットは少なくとも1つの要件を満たさなければならない
トークンはアセットに裏付けされなければならない
経済活動を支えるvaluable productでなければならない(多分、アセットの話)
トークンは社会・環境を利するproductを表現?しなければならない
既に一定ニーズが顕在化している業界で、この規模が必要となるので、個人的にはAPI利用料=ランニングFeeだけで儲けを出すのは厳しく、初期費用やコンサル/カスタマイズといったSI費用で儲けを出す必要があると感じます
わかりみぷんぷんある。
融サービスと相性の良いシーンでは、大手Brandは大手企業同士の座組で既にやってるよね
これもわかる。
行政/会社/団体
googleによるGo library and CLIs for working with container registries
BoxがSignRequestってとこを買収して、電子署名機能を付与するぜ宣言
OPAがCNCF Graduation
GitHubのRest APIでgitイベントを取得可能に
GitHub Enterprise Cloudだけ...
こちらもGitHubの新機能
LastPassがTOTP保存に対応してた。GUIはしょぼい...が、あるとありがたい
GoogleによるOSS「Sqlcommenter」
ORMで生成されたsql文は意識しなくていい分、問題の発生箇所がわかりにくいという問題があった
本ツールは、そのトレースを可能にする。具体的にはどのコードから実行されたか、などのログが吐き出される
イベント/勉強会/発表資料
開催のおしらせ。2/26
JDD CTOの経験をもとにした多重下請けの構造的問題
一方、業務データ持ち出しが金銭的モチベだけで解決出来るとは、個人的には思ってない
内部不正のトライアングルの動機が金銭とは限らないという意味(そして、それがマジョリティかも不明)
サイボウズのリリースの深化
issueをロック -> ロック自動化 -> キューに
自動車分野における秘匿化とデータ利活用の両立、と日本公認会計士協会による「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」を解説
後者は「ブロックチェーンを活用した受託業務」に対する実務指針で、ブロックチェーンを実務に利用する話ではない
が、参考になる
Driveではなくメールに添付したところから情報漏えい
Google Groupのデフォ設定は外部の人間も自由に参加できるので危ない
こちらは日本大学理工学部
5.原因:クラウド型営業管理システムのセキュリティ設定の不備
Salesforceかな
139名の個人情報漏洩の疑い
約1万件のメアドとニックネームの流出
27日深夜から28日朝にかけて、ウェブサイトにアダルトサイトへの不審なリンクがあるのを確認。1万365件の情報流出が判明した。
コンテンツ改ざんもされてるから、サーバーそのものが乗っ取られた?
その他
Elastic-Stack実践ガイド[Logstash-Beats編]なんてものがあったのか。すごい