今宵のサイバーセキュリティについて気になること:DigitalIdentity Guidelines, Data Privacy Framework, Trojanized Windows 10 Operating System Installers Targeted Ukrainian Government, Critical Infrastructure Defense Project, Citrix CVE-2022-27518, passkey, IIJ CDP

NIST SP 800-63-4 (Draft) Digital Identity Guidelines

https://csrc.nist.gov/publications/detail/sp/800-63/4/draft

NIST は、SP 800-63 のデジタル アイデンティティ ガイドライン ドラフト第 4 版に対するコメントを求めています。

このガイドラインは、各章で指定されたデジタル ID 管理の保証レベルを満たすためのプロセスと技術的要件を示しています。また、デジタル ID ソリューションとテクノロジのプライバシー、公平性、使いやすさを向上させるための考慮事項も提供します。

NIST は、すべてのコメントを 2023 年 3 月 24 日の午後 11 時 59 分 (東部時間) までに提出することを要求しています。コメントは dig-comments@nist.govに提出してください。

Data protection: 欧州委員会は、米国との安全なデータ フローに関する十分性認定を採用するプロセスを開始

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631

欧州データ保護委員会  、欧州議会に承認されれば、欧州の事業者は、米国のデータプライバシーフレームワーク参加企業に個人データを転送できるようになります。

Microsoft すべての EU データ境界サービスに適用される継続的なデータ転送

Microsoft担当者が、EU データ境界内のMicrosoftシステムに格納されている顧客データに境界外からアクセスする必要がある場合 (データは EU データ境界内Microsoftデータセンター インフラストラクチャ内に残りますが、欧州のプライバシー法に基づくデータの転送と見なされます)、この種類の転送が安全であり、アクセスが制御され、アクセスが禁止されていることを保証するテクノロジに依存しています リモート アクセス ポイントの永続的なストレージ。 このようなデータ転送必要な場合、Microsoftは最新の暗号化を使用して、保存中および転送中の顧客データを保護します。 詳細については、「暗号化とキー管理の概要」を参照してください。

顧客データへのアクセスは、Microsoftによってログに記録され、監視されます。 Microsoftは、Microsoftの契約上のコミットメントを含め、アクセス管理対策がポリシー要件に従って機能していることを確認し、確認するために定期的な監査を実行します。

詳細については、次のリソースを参照してください。

https://learn.microsoft.com/ja-jp/privacy/eudb/eu-data-boundary-transfers-for-all-services

AWSは新しい大西洋横断データプライバシーフレームワークを歓迎します。

現在、AWSのお客様は、AWS Data Processing Addendum(DPA)に含まれる新しい標準契約条項(SCC)に依拠することで、欧州経済領域(EEA)外へのデータ転送も可能です。これは、EU法と矛盾する法執行要請に挑戦するなど、お客様データを保護するための契約上の約束事を強化したことによって補完されています。

また、グローバルサービスをご利用のお客様には、国境を越えたデータ転送のセキュリティを強化するためのさまざまなツールをご用意しています。例えば、AWS  Cloud HSMAWS Key Management Service(AWS KMS)により、お客様は転送中および静止中のデータを暗号化し、暗号鍵を安全に生成して管理することができます。また、専用ハードウェアと関連ファームウェアにより、処理中のお客様のコードやデータを外部アクセスから保護するコンフィデンシャルコンピューティングを実現する「AWS Nitro System」により、処理中のデータをより安全に保護し、機密性・プライバシー性を向上させることが可能です。

https://aws.amazon.com/jp/blogs/news/new-trans-atlantic-data-privacy-framework/

米国と EU 間でのデータ移転の新たな枠組みに関する発表を踏まえた EU 域内のビジネスに対する Google Cloud の取り組みの最新情報

Google Cloud Platform

Google は最近、EU 向けの Assured Workloads の一般提供について発表しました。このプロダクトでは、以下によって Google Cloud Platform(GCP)のお客様がデータを保護する際のサポートを行っていきます。

  • 任意の EU 内の Google Cloud のリージョン内にデータを保存
  • データへのアクセスとカスタマー サポートを EU 域内ユーザーに制限
  • 顧客が管理する暗号鍵など、データアクセスの暗号化による制御をデプロイ
https://cloud.google.com/blog/ja/products/identity-security/how-google-cloud-helps-eu-companies-under-new-data-transfer-rules

Google Workspace

Google Workspace(Workspace for Education を含む)のお客様は、対象となるデータを欧州に保存することを選択できます。さらに、クライアントサイド暗号化では、お客様が暗号鍵と、鍵にアクセスするために選んだ ID サービスを直接コントロールできる方法を提供しています。クライアントサイド暗号化を使うと、Google はお客様のデータを解読できなくなりますが、ユーザーは Google ネイティブのウェブベースのコラボレーション、モバイル デバイス上のコンテンツへのアクセス、暗号化されたファイルの外部との共有を引き続き利用できます。クライアントサイド暗号化は、現在のところ Google ドライブ、ドキュメント、スプレッドシート、スライドで公開ベータ版として使用できます。今後、Gmail、カレンダー、Meet にも拡大される予定です。加えて、お客様は特定の Google Workspace サービスで、同様の暗号化機能を提供するサードパーティのソリューションを選ぶことでもメリットが得られます。

https://cloud.google.com/blog/ja/products/identity-security/how-google-cloud-helps-eu-companies-under-new-data-transfer-rules

個人データの保護のEUレベルへの準拠を確実にするために転送ツールを補足する措置に関する勧告

EU一般データ保護規則(GDPR)は、個人の基本的な権利と自由、特に個人データの保護に対する権利を維持しながら、欧州連合内での個人データの自由な流れを促進するという2つの目的を果たすために採用されました。

トロイの木馬化された Windows 10 インストーラー

https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government

ウクライナ政府を標的にしたサプライ チェーン攻撃、トロイの木馬化された Windows 10 インストーラーが torrent サイト経由で配布されました。

Win10_21H2_Ukrainian_x64.iso (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4)

ロシアによるウクライナ侵攻に対応した重要インフラ防衛プログラム

https://criticalinfrastructuredefense.org/

世界中の重要インフラを担う中小企業・組織に無償でゼロトラストセキュリティを提供する「Project Safekeeping」今後、サポート範囲をグローバルに拡大することを見据え日本、オーストラリア、ドイツ、ポルトガル、英国から提供を開始します。

また、米国を拠点とする特定の病院、水道および電力会社、その他の重要インフラ組織に無償でCrowdStrikePingOne Cloud Platformを提供。

これらは、ロシアによるウクライナ侵攻に対応して、米国のインフラを保護するために創設された「Critical Infrastructure Defense Program」を土台にしています。

Citrix GatewayおよびCitrix ADCのCriticalな脆弱性 CVSS非公表 ゼロデイ CVE-2022-27518

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

Citrix ADC または Citrix Gateway は、SAML SP または SAML IdP として構成されている場合、認証を必要とせずに任意のリモートコードを実行できます。なお、この脆弱性を利用した標的型攻撃が実際に行われていることを確認しています。

以下のCitrix ADC および Citrix Gateway がこの脆弱性の影響を受けます:

  • 13.0-58.32 より前の Citrix ADC および Citrix Gateway 13.0
  • 12.1-65.25 より前の Citrix ADC および Citrix Gateway 12.1
  • 12.1-55.291 より前の Citrix ADC 12.1-FIPS
  • 12.1-55.291 より前の Citrix ADC 12.1-NDcPP

Citrix ADC および Citrix Gateway バージョン 13.1 は影響を受けません。
できるだけ早くアップデートすることをお勧めします。

確認方法

ns.conf ファイルで次のコマンドを調べることにより、Citrix ADC または Citrix Gateway が SAML SP または SAML IdP として構成されているかどうかを判断できます。

add authentication samlAction

– アプライアンスが SAML SP として構成されている

add authentication samlIdPProfile

– アプライアンスは SAML IdP として構成されている

Chromeの最新バージョンにPassKeyを導入

https://blog.chromium.org/2022/12/introducing-passkeys-in-chrome.html

Chrome の最新バージョンでは、Windows 11、macOS、Android でPassKeyが有効になっています。Android で passkey はGoogle パスワードマネージャー、将来的には passkey をサポートするその他のパスワードマネージャーを介して安全に同期される模様です。

オンプレミスとマルチクラウドのデータ連携を容易にする「IIJクラウドデータプラットフォームサービス」(IIJ CDP)

https://japan.zdnet.com/article/35197266/

クラウドマイグレーションで過渡的に発生する、マルチクラウドは責任分解点を熟知しSLAを確保、アカウントの管理とIAM連携、ネットワーク設計を俯瞰しながら行う属人的なものです。システムの複雑化と高コスト化の要因となりますが、そこへCDPがリリースされた模様です。

ご参考:いざという時のために国内のクラウドサービス候補を選定しておくことや、さまざまなプラットフォームごとの特性を考慮して最適な、オンプレミス、プライベート クラウドサービス、パブリッククラウドなどを選択して構築するハイブリッドクラウドの移行を検討下さい。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ