忙しい人のためのセキュリティ・インテリジェンス - 2021/02/15

今週のおすすめ/一言所管

銀行になりすまして認証情報を窃取 -> 不正送金まで1m44secという短時間で実行されるデータがでている。実際のExecutionの時間は短く、それまでのPersistencyは長い。それを踏まえると、実行までに検知したいところであり、そのためには各種シグナルでいまどの段階（MITRE ATT*CKのtactics）にいるか可視化せねばならず、また不審なアクセスを検知せねばならない。そのために、今回のMicrosoft Defender for Endpointのリリースはなかなか嬉しい.

Defender for EndpointのAlert系イベントのタイムラインにMITRE ATT&CKのカテゴリ、サブカテゴリが表示されるように

Compliance

わかりやすいのでオススメ。Defender for Endpointのntegrationについては理解したほうがいい。

今後は、EDR <-> CASBは避けられない....というかCASBにEDRは不可欠

他

Google

対象グループ（Target Group）を使ったGoogle Driveファイルの共有が可能になった

複数追加できないから超使いにくい

動的グループがGAに

便利そうだけど、多分Business Plus以上じゃないとダメそう

3rdパーティのアプリに渡した組織の範囲で渡した権限一覧をCSVでダウンロードできるように

なんで、まだ旧GSuiteのプラン名のままなん？ｗ

第一弾の「法とアーキテクチャのリ・デザイン」を踏まえた、ガバナンスイノベーションに関してパブコメ

様々な社会システムにおいて、「環境・リスク分析」「ゴール設定」「システムデザイン」「運用」「評価」「改善」といったサイクルを、マルチステークホルダーで継続 的かつ高速に回転させていくガバナンスモデル

CPSを踏まえたSociety5.0におけるガバナンスの話

CSPとはなにか、Society5.0のゴール及び価値とはなにか、そこから逆算するガバナンスとは。

それなんてブラッド・ダイヤモンド

鉱物は紛争にもなるので、EU紛争鉱物規制などの規制で国際的に管理されrている

規制で年次報告の義務とサプライチェーンのデューデリが取り決められている

ブロックチェーンに、採掘場・精錬所・出荷・加工・製品出荷の流通工程を追跡・記録することで、透明性と運用の効率化を図る

銀行になりすまして認証情報を窃取 -> 不正送金まで1m44sec

要は入金されなければいいので、カウリスは金融機関間で不正送金 -> 通報・口座凍結のネットワークを構築中

プレイブックは、これまでの手順書とは異なり、自社に発生し得るインシデントシナリオに沿って、その状況ごとに何を行い、どのように判断するのかを整理した手順書の集合体を指す。調査手順、判断基準、実行手順といった詳細を記した1つ1つの手順書の中から、シナリオの場面ごとに必要なものを呼び出し、一連の対応手順を形成する

想定するインシデントの把握 -> 影響対象の情報やデバイス -> 攻撃の起点・検知とアラート -> アクション

日本はサプライチェーン（含む委託先）のセキュリティ状況把握や定期的な確認ができてない

どんなポートフォリオなんだろ

トロント証券取引所への上場。。。へー、単なる暗号資産取引所じゃなくて日本でいうと東証みたいなところ...

↑の検索ポータルを開いた、という話。LIFULL自体は以前からセカンダリ取引の不動産STO事業をやっている

DCビジネスは、レコードキーパーへの手数料支払などや利率が低いことから、意外と苦戦している模様

手数料から資産管理ビジネスへ

「マーカス・インベスト」というETF銘柄を選べるロボアドをGSが開始。

手数料は預かり資産の0.35%。やっす...

顧客ロイヤルティ（記事中ではファン）と株式市場を結びつけるサービス

アプリに加盟店を登録して、その買い物をするとポイントがたまる

一株分たまったら、株式と交換するやつ

特定のジャンルがある加盟店とかが嬉しいかも？

基本的なCBDCの仕組みや導入の狙いを整理したレポート

人民元CBDCは、銀行のポジショニング、金融リスク管理等の金融戦略が見られるものである

p.7 でシュッと読めるのでどうぞ

CBDCだけでなく、短命な決済トークンもつかうとのこと

実証実験んでは、債務証明書および債権の決済で使われる

結果は政策決定や規制に反映される

デロイトやアクセンチュアがコンサルに入り、まずはCordaでやる模様。将来的にインオペは確保する

行政/会社/団体

成果主義の導入の失敗を踏まえた、ジョブ型雇用へのシフトについて

銀行口座を介さずに、資金移動業者の口座に入金する形式

いまいち、何が嬉しくなるのかがわからない...

ただ、明日にもすぐ入金して欲しい、という人には嬉しいのか？

銀行とことなり規制がかかる。また、上限額が設定されるかも

CrowdWorksがSmartHRに引き続きIE11のサポートを打ち切ると発表

(GitHub Enterpriseから使える）Code Scanning APIが機能更新

機能更新自体はおいといて、SARIF File（Static Analysis Results Interchange Format）というのがあるみたい。へー

Pixel for Businessの特設ページ

Titanチップ、FIPS 140-2対応が売り

プラットフォーマーは、文字通りハードウェアから抑えてくるよね

GitHubのEnvironmentで特定のブランチしかActionの対象にできなくすることができるように

cliツールで、テンポラリのメアドを生成して、そのメアド宛にきたOTPを自動的に抽出するツール

Filesystemかコンテナイメージ内にシークレットがないか調べるツール

イベント/勉強会/発表資料

メンバーシップ理論を使って標的AIの学習データを特定・推定をする

標的AIのコピー（代替AI）を使って敵対的サンプルを作ると、転移性が生じ、オリジナルにも効果があることがある

代替AIと標的AIのデータセットやアーキテクチャなどが近似すればするほど、二つのAIが持つ決定境界も近似します。この場合、代替AIを騙すことができる敵対的サンプルは、高確率で標的AIをも騙すことができます

オンラインもあるみたい

個人情報の提供に消極的なユーザー、消極的なユーザーは双方いる

個人と企業間で仲介する機構を、株式・債権市場にならって集中処理するアイディア

3/8~3/12

ここらへんはみたい

Security Automation and Continuous Monitoring

teep - Trusted Execution Environment Provisioning

secdispatch - Security Dispatch

その他

GSのマネージングディレクターの大学講演

Intangible Skill （ソフトスキル）

生徒であれ（Be a Student）

システム（フレームワーク？）をもて（Have a System）

舵取りをしろ（take a control）

クライアントに共感する（Empathy）

最初の10年は「徹夜、帰らない、出張しまくり」で、ワークライフバランスはやってなかったとか

get grounded