忙しい人のためのセキュリティ・インテリジェンス - 2021/02/01

#2021021st #202102 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー

今週のおすすめ/一言所管

今週の目玉は「債権譲渡通知」における特例措置。債権自体は、譲渡可能な権利なのですが、その所有などのstateを第三者に証明できなければなりません。その証書が民法で定められた確定日付のある物理的証書じゃないと駄目だったのですが、それが特定の要件を満たすのであれば情報システム化できるような特例措置を整備することが、法務省レベルできまった、というところです。ブロックチェーンを始めとした技術を実務利用するための法整備が整ってきた形です。

Microsoft #microsoft #ms

AzureAD #idp

Defender #xdr #edr

Extending threat and vulnerability management to more devices

Defender for Endpointの脅威・脆弱性管理のサポート対象が増えた

mac: ga

また、対象の脅威脆弱性があった場合のメール通知がpublic preview

Sentinel #siem

What’s new: Managed Identity for Azure Sentinel Logic Apps connector

Azure Sentinel でplaybookにservice principalをつけられるようになった

Azure Sentinel can now Analyze All Available Azure Active Directory Log Files

Azure AD Connectorで以下のデータを連携可能に

Non-interactive user sign-in Log, Service principal sign-in logs, Managed Identity Sign-in logs, Provisioning logs

Compliance

他

AWS #aws

Introducing Amazon CloudFront Security Savings Bundle

CloudFront のセキュリティバンドル（saving plan）。commitmentすることで30%オフ。

lambda edge容量 + wafリクエスト（commitmentの10%まで）がカバーされるのが更に美味しい

AWS App Mesh now supports mutual TLS authentication

AWS App Meshが mTLSをサポート

k8sクラスタであればEnvoy’s Secret Discovery Service APIでSPIREも使える

AWS LambdaがNodeJS14をサポート

AmazonベゾスCEO退任へ　クラウド担うジャシー氏昇格

トラスト/ガバナンス #trust

Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について

NISCも取り上げてやっとまずいとなったか？

地方自治体との契約に利用できる電子署名の要件が大幅緩和

「電子署名法第2条第1項に定める電子署名」を用いれば、地方自治体との契約を電子化可能

ブロックチェーン #blockchain

脅威/脆弱性 #vulnerability #threat #security

OAuth2.0 Pwn to Win

URL Pathの完全一致やImplicit周りがないのでうむむ？と思いつつスタートポイントとしてはいいかも

https://gyazo.com/4198ffb2ec898cdcda8d3d18dd7dc81b

JWT Pirate Map

こっちもkidやらexpがない脳、とお見つつスタートポイントとし（以下略

* https://gyazo.com/28856596224e3c1d8dc968d37e586e7c

OAuth Misconfiguration | Working of OAuth | Types of vulnerabilities in it and how you can exploit OAuth Misconfigurations To Takeover Accounts

Token Stealing, Code Stealing, CSRF(Missing State Param)をおもなOAuth Misconfiguration(?)として列挙

FTC: ID Theft Doubled in 2020

2020年のIdentity窃取が2019年に比較して2倍に

金融 #financial

債券のデジタル化が進む理由

債権の株式と比較がわかりやすい。

債権のが発行前にロジックを組みやすいというのが理由の1つ。ブロチェのスマコにしやすい

が、主体がたくさんいて状態がわかりにくい。これもブロチェにするとわかりやすくなる

また、資本コスト（資金調達に伴うコスト）が再建のが低い

産業競争力強化法に基づく新たな規制の特例措置の内容の公表について

債権譲渡における第三者対抗要件は、債務者への通知等を確定日付のある証書（物理）でしかできなかった

債権譲渡通知等、という

確定日付: 民法（明治２９年法律第８９号）第４６７条第２項に規定

そういうのもあってブロックチェーン（笑）だったが、その特例措置として一定の要件を満たせばデジタルでもできるような整備が決まった

条件は次の通り

債権譲渡通知等をした者及びこれを受けた者が当該債権譲渡通知等がされた日時及びその内容を容易に確認することができること。

債権譲渡通知等がされた日時及びその内容の記録を保存し，及びその改変を防止するために必要な措置として主務省令で定める措置が講じられていること。

また、以下の通知・承諾も同様に特例措置の対象になるとのこと

債権を目的とする質権の設定（現に発生していない債権を目的とするものを含む。）の通知又は承諾

民法第５００条において準用する同法第４６７条第１項の弁済による代位の通知又は承諾

信託法（平成１８年法律第１０８号）第２条第７項に規定する受益権の譲渡の通知又は承諾

SIA（Securities Industry Association）とEthrereumネットワークに強みのあるWizkeyによる取り組み

負債ベースのポートフォリオとそれを裏付ける規約やデューデリの証拠をブロックチェーンで管理

Stock Exchange of Thailand plans 2021 digital asset trading launch

タイのSET (Stock Exchange of Thailand) がKBTGの提供するブロチェベースのアセット取引を下半期で開始すると宣言

トークンには３つの要件を設定し、アセットは少なくとも１つの要件を満たさなければならない

トークンはアセットに裏付けされなければならない

経済活動を支えるvaluable productでなければならない（多分、アセットの話）

トークンは社会・環境を利するproductを表現?しなければならない

Embedded Finance(組み込み金融)の型と日本での展望

既に一定ニーズが顕在化している業界で、この規模が必要となるので、個人的にはAPI利用料=ランニングFeeだけで儲けを出すのは厳しく、初期費用やコンサル/カスタマイズといったSI費用で儲けを出す必要があると感じます

わかりみぷんぷんある。

融サービスと相性の良いシーンでは、大手Brandは大手企業同士の座組で既にやってるよね

これもわかる。

「まだフロッピー」の現実　地銀、現状維持が改革阻む

行政/会社/団体

ツール/サービス/OSS #tools

go-containerregistry

googleによるGo library and CLIs for working with container registries

Introducing the content cloud: Box announces intent to acquire e-signature innovator SignRequest

BoxがSignRequestってとこを買収して、電子署名機能を付与するぜ宣言

Cloud Native Computing Foundation Announces Open Policy Agent Graduation

OPAがCNCF Graduation

Audit Log Git events and REST API are now in public beta

GitHubのRest APIでgitイベントを取得可能に

GitHub Enterprise Cloudだけ...

Dependabot: Dependabot alerts for a given vulnerability

こちらもGitHubの新機能

パブリックなGithub Advisory Databaseから、自分が管理するリポジトリどれが対象になっているかがリンクされるようになった

How do I create a time-based one-time passcode (TOTP) for site entries as a LastPass business account user?

LastPassがTOTP保存に対応してた。GUIはしょぼい...が、あるとありがたい

Introducing Sqlcommenter: An open source ORM auto-instrumentation library

GoogleによるOSS「Sqlcommenter」

ORMで生成されたsql文は意識しなくていい分、問題の発生箇所がわかりにくいという問題があった

本ツールは、そのトレースを可能にする。具体的にはどのコードから実行されたか、などのログが吐き出される

イベント/勉強会/発表資料

第6回情報セキュリティ事故対応アワード

開催のおしらせ。2/26

GitHubでの業務ソースコード流出背景にIT業界の二極化と多重下請け構造

JDD CTOの経験をもとにした多重下請けの構造的問題

一方、業務データ持ち出しが金銭的モチベだけで解決出来るとは、個人的には思ってない

内部不正のトライアングルの動機が金銭とは限らないという意味（そして、それがマジョリティかも不明）

インフラのリリース自動化戦略とその行き着く先

サイボウズのリリースの深化

issueをロック -> ロック自動化 -> キューに

キュー方式はGitHubもとってるそうな -> https://speakerdeck.com/yuichielectric/how-github-builds-and-deploy-software

LayerX Labs Newsletter for Biz (2021/01/27-02/02) #中の人

自動車分野における秘匿化とデータ利活用の両立、と日本公認会計士協会による「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」を解説

後者は「ブロックチェーンを活用した受託業務」に対する実務指針で、ブロックチェーンを実務に利用する話ではない

が、参考になる

インシデント #incident

【独自】病歴情報をネットに「放置」…メール共有範囲を誤設定、聖マリ医大病院など複数施

Driveではなくメールに添付したところから情報漏えい

Google Groupのデフォ設定は外部の人間も自由に参加できるので危ない

「Googleグループ」を通じた情報漏洩につきまして（お詫び）

こちらは日本大学理工学部

Bandai クラウド型営業管理システムの第三者による不正アクセスについて

5．原因：クラウド型営業管理システムのセキュリティ設定の不備

Salesforceかな

139名の個人情報漏洩の疑い

東京ガスの｢ふろ恋　私だけの入浴執事｣に不正アクセス　不審メールに注意

約１万件のメアドとニックネームの流出

２７日深夜から２８日朝にかけて、ウェブサイトにアダルトサイトへの不審なリンクがあるのを確認。１万３６５件の情報流出が判明した。

コンテンツ改ざんもされてるから、サーバーそのものが乗っ取られた？

その他

Logstashを愛して5年、370ページを超えるガチ本を書いてしまった男の話.

Elastic-Stack実践ガイド［Logstash-Beats編］なんてものがあったのか。すごい