情報収集 - 2020/11/02

#2020111st #202011 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー

今週のおすすめ/一言所管

AWS Fargate1.4のアプデで、今までEC2版でしかつかえなかった、Secrets ManagerのJSON型がサポート + S3からのenvファイル読み込みが可能になった。ところでSecrets ManagerがJSON型サポートするなら、s3におかなくてもいい気はするけどどうだろう

re:inventでec2 on WAFで顧客データをひっこぬかれたCapitalOneが話すそうな。公益性の高いサービス on IaaSに対する捉え方などで、みておきたい

総務省が主宰している「組織が発行するデータの信頼性を確保する制度に関する検討会（第6回」の添付資料である「トラストサービスの現状と課題」がトラストサービスの概要の把握にベストかも

Microsoft #microsoft #ms

What's new in Microsoft Intune

特筆事項なし

MFAの見える化 #azuread #idp #kql

MFAチェック用KQLがちょっと参考になる

AWS #aws

AWSがDocker Hubの代替サービスを発表予告。パブリックにコンテナイメージを公開可能で50GBまで無料、AWSからなら何度でもプルし放題に

GHCRより容量がめちゃくちゃでかい。しかし、プライベートリポにはAWSアカウントでログインしないといけないなら、それは実質ECRでは？という気もしなくはない

AWSの「Nitro System」（ナイトロシステム）とは？　ベアメタルサーバ実現の裏側 #nitro

https://www.hotchips.org/hc31/HC31_T1_AWS_Nitro_Hot_Chips_20190818-2.pdf

NitroにはNitro Cards, Nitro Security Chip, Nitro Hypervisorがある

Nitro Cards: EC2を実現するネットワーク、ストレージ、管理ツール、監視ツールがオフロードされているシステム

Nitro Security Chip: マザボに組み込まれたHW Root of Trust, UEFI Secure Boot。非揮発性領域の書き込みはHW的にブロック

Nitro Hypervisor: 軽量ハイパーバイザ

How to implement password-less authn with Amazon Cognito and WebAuthn

Cognito + LambdaでFIDOを使ったパスワードレス、パスワード + FIDO認証をする

コードはこちら -> https://github.com/aws-samples/webauthn-with-amazon-cognito

aws for fluent bit v2.9.0リリース

nested partition_keyのサポートが嬉しそう

AWS Fargate 1.4アプデ

AWS Secrets ManagerのJSONオブジェクト

envファイル on S3参照

あと、container insightsでtx・rxバイトが取れるようになった

トラスト #trust

組織が発行するデータの信頼性を確保する制度に関する検討会（第6回

データ流通を旨とするCSP化な Society5.0 では、データの信頼性を確保することが重要

その仕組みがトラストサービス。本検討会は、組織が発行するデータの信頼性に主眼をおいている

信頼性: データそのもの信頼性と、流通基盤の信頼性

信頼性を高めることで、電子化を促進し、DX（改革や生産性工場）を狙う検討会

デンマークのデジタル・ガバメントー「一貫性」と「透明性」、「利用者中心」の視点が特長

日本総研によるデジガバ化における先駆者から参照すべきこと。（一元的な推進体制とガバナンスを前提にした）国と地方自治体間の一貫性ある取り組み、自治体への技術支援、進捗や評価の透明性。同時に新しい法案は原則デジタル対応したり、基本データを共同利用する基盤の整備

ブロックチェーン #blockchain

プログラミング・ビットコイン――ゼロからビットコインをプログラムする方法

続々登場、デジタル証券を担う新たなプレーヤーの戦略とは

Securitize, Boostry, LayerX

Trust over IP Foundation Introduces a New Tool for Interoperable Digital Trust #ssi #sovrin

ToIPの各レイヤーにおける（未定のも含めた）標準化推進ツール。相互互換性の強化が目的。ユースケース、設計原則、技術標準、テストケースが入ってる。また、実装による標準への近似値もスコア化可能

Ten Spanish companies join forces to promote digital identity using blockchain technology #ssi

Etherum-consortium/Quorumベースのdigital identity

脅威/脆弱性 #vulnerability #threat #security

金融 #financial

決済の限界、高速ブロックチェーンで打ち破る

MUFJとAkamaiブロックチェーンによる新決済NW会社の展望

プライベートブロックチェーン

10万件処理/sec,

2021/02~03: クレカ決済NW接続サービス、電子商取引のオーぞリザーションに使う与信枠管理サービス

2021夏: 少額決済。まずは自動販売機のタッチ決済から

CAFISに対抗するつもりはない。

東証集中緩和へ私設取引の利用促す　金融庁

東証の障害で質問があったとおり、公共性の高い証券取引機能を大きく東証荷依存している

そこで、証券会社に施設取引システム(PTS)の利用を促し、競争を後押しする

金商法は顧客が最良の条件で有価証券を売買できるよう、証券会社に「最良執行方針」をつくることを義務づけていたが、具体的な内容はなかた。

今後は、最も有利な価格で顧客に注文をつなぐことを求める

という、有識者会議を設ける

中小の無形資産を一括で担保に　金融庁、融資改革で支援

銀行による中小企業の事業支援を、不動産担保や経営者の個人保証から、機械・設備・技術・ノウハウ・・顧客基盤など無形資産を一括で担保にできる制度づくりをめざす

銀行が企業の将来性を評価して資金を出しやすくする

電子マネー資金洗浄が急増　届け出3913件、警察庁 #kml

多額の入金直後に「多数の者へ頻繁に送金」、「短期間に繰り返し海外へ送金」がよく見られるとのこと

「APIは21世紀のATM」、電子マネーの安全確保に向けてさらなる整備

電子マネーのインオペにcbdcが一石を投じるだろうとしつつ、その前に銀行apiが必要だとするやつ。ただ昨今の不正引き出しは、設計時点でのポカであるため、法的な制限でも書けない限り銀行apiが役に立つかは個人的には疑問（認証に金ケチった地銀がやるだろうか？）

銀行・クラウド・セキュリティ ― Capital One事件とは何だったのか

責任共有モデルとトラストにおける重要なポイント、reinventでcapital oneが講演するの知らなかった。見なければ

Meta service疲れたSSRFだった気がする

そもそもCapital Oneはなんで自前WAF on EC2をやったのか...AWS WAFに我慢ならなかったのだろうか

行政/会社/団体

オープンソースによる自治体向け住民情報システムの開発に着手

サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）が設立されます #security #supplyChain

昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性を公表

企業が取るべきアクション

Share: サプライチェーンを共有する企業間における高密度な情報共有

Report: 機微技術情報の流出懸念がある場合の方国

Announcement: 多数の関係者に影響するおそれがある場合の公表

ということを、協同で取り組むためのコンソーシアム

LayerX、つくばスマートシティ協議会に加入 -透明性と秘匿性を両立した電子投票の実現に向け地方自治体への技術提供を積極化-

スマートシティの肝となる個人情報の活用とプライバシー保護の両立のため、秘匿化・匿名化技術の研究開発を推進

多様な人々が快適に過ごせるまち作りに貢献

デジタル庁創設の課題(上) 20年先見据えた戦略を

#2020105th の #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー　で紹介した内閣官房 IT総合戦略室データ戦略タスクフォース「データ戦略の策定について」について

「分野間データ連携基盤」の確立が最重要とした上で、優先度としては、多くの社会活動から参照される情報を、標準化されたデータである「ベースレジストリ」として整備すること、というのがわかりみ。この過程で必然的にID体型も整備されるだろう

マイナンバーカード発行組織、デジタル庁所管の独法化案

かなり思い切った法案。総務省的にはもう推進しんどいし、手放したいのかしら

まずはマイナンバー利用用途の限定をはずさないとね★

マイナンバーカードの機能のスマートフォン搭載等に関する検討会

まだ開催告知だけ。これから

ツール/サービス/OSS #tools

イベント/勉強会/発表資料

Sansanの成長を支えるセキュリティログの活用とAmazon Elasticsearch #siem

Advanced testing with Go #golang

Go testについて各種パターンと実装があってわかりやすい。ハシコープ社のMichelle Hashimotoが書いてる

インフラ障害対応演習

AWS AZ障害の演習

時系列DBの書き込み障害想定の演習

というのを11月のWeb+DBで書いてるという内容

インシデント #incident

Capcom hit by Ragnar Locker ransomware, 1TB allegedly stolen

CapcomのインシデントはRagnar Lockerランサムっぽい

その他

日銀システムエンジニアの募集について

日銀のシステムエンジニア募集。半年watchしたけど初めてかも？

基本プロマネ業っぽい