今宵のサイバーセキュリティについて気になること:東京電力福島第一原子力発電所の処理水におけるハクティビストの射程-名古屋港運協会 NUTS システム障害、情シス部門のゼロトラスト導入に向けて#4など

東京電力福島第一原子力発電所の処理水におけるハクティビストの射程-名古屋港運協会 NUTS システム障害

東京電力福島第一原子力発電所の「処理水」の海洋放出を巡り、偽情報が拡散してます。重要インフラ事業者はアノニマスに対して、更なる警戒が必要です。なお、アノニマスが「処理水」について言及することが、2023年1月13日頃から度々観測されています。

情シス部門のゼロトラスト導入に向けて#4 動的ポリシーについて考えてみよう

LACWATCH 「情シス部門のゼロトラスト導入に向けて#4 動的ポリシーについて考えてみよう」執筆致しました!
微力ですが情シス部門や一人情シス、セキュリティ担当者の方に届けられたらと願っております。どうぞよろしくお願い致します。

今回は、NISTによるゼロトラストの考え方の中で最も難しい「リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する」について、ラックの考えるゼロトラストをお伝えいたします。

お役に立ちましたら幸いです。

出典 NIST SP 800-162 ACLトラストチェーン

オープン前のビッグモーターになぜか「高評価」

OSINT:オープンソースインテリジェンス、このスキルは軍事的にも活用されており、収集、分析だけでなくソックパペットを用いてコントロールすることも可能です。日本国内でも様々な分野で観測されております。

ビッグモーターのような競争原理が生むレモン市場は、業界全体を腐敗させてしまう。根本的なレベルで市場の課題を解決する必要があると考えます。

ソックパペットとは何ですか?

便利なリサーチ アカウント、それらを使用する利点、およびそれらを設定するためのベスト プラクティスについて

ソックパペットの利点

OSINTリサーチャーは、プライバシーとセキュリティを守り、調査の完全性を確保するために、調査目的で個人のソーシャルメディアアカウントを使用しないことを推奨します。調査を行う際、個人用と仕事用のアカウントを分けておくことは、Operations securityの観点から慎重に匿名で情報を収集するために非常に重要です。

ソックパペットの機能とは?

ほとんどの OSINT リサーチャーはパッシブ・リサーチを行います。そのため、パッシブ(受動的)な調査とアクティブ(能動的)なオープンソースの調査と収集の違いを理解することが重要です。

パッシブとは、ターゲットに関与しないことを意味します。しかし、あなたのプロフィールは “友達候補 “や “フォローすべき人 “などの結果に表示されるかもしれないので、少し紛れ込むようにした方がいいかもしれません。ターゲットグループに溶け込む名前を選ぶのは良いアイデアです。

アクティブ・リサーチとは、何らかの形でターゲットと関わること、つまりターゲットをフェイスブックの友達として追加することです。ターゲット・グループに溶け込むことは、アクティブ・リサーチの場合はさらに必須です。ターゲットと関わるのであれば、異なるプラットフォームでいくつかのアカウントを作成し、実在する人物であるかのように見せかけたほうがよいでしょう。

公益通報者保護制度

ビックモーターは、早い段階で内部告発(器物損壊、保険金不正請求)することで、社長が辞任することもリストラも、風評リスクも未然に防ぐことができました。
公益通報者保護制度を活かし、企業の自浄能力を示す時代が来ると予測します。

「諫言の士」の不在

“日本企業は昨今、数々の不祥事に見舞われてきました。東芝の不正会計や、神戸製鋼のデータ改ざんなど、数えればきりがありません。社長の周りにイエスマンしかいないからでしょう。私が社長だった時代は諫言の士が側にいてくれました。

伊藤忠元会長・丹羽宇一郎氏が語る

米証券取引委員会サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示義務

米証券取引委員会 サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示義務採択(2023年7月26日) しました。最終規則は、Federal Registerで採用リリースの公表から30日後に発効します。

インシデントが重要であると判断されてから4営業日以内に提出されなければならない。

  • 性質、範囲、時期、および
  • 影響またはその可能性

Form 8-K Item 1.05 – Material Cybersecurity Incidents

デジタル庁の組織体制見直しへ

戦略のミスは、戦術でカバーできない。 失敗の本質を見極め、戦略(仕組み)へのアプローチが必要だと感じます。
大規模なプロジェクトを実施する際、全体の利害調整や最終的な意思決定を行うステアリングコミッティーが必要です。よって「経営会議」を創設した模様です。
次は会議体が空気で支配されないアカウンタビリティが必要になってくると予測します。

具体的には、組織の意思決定を担う「経営会議」などの会議体を新たに設置。システム開発やリリースの意思決定の仕組みを明確化したという。また、これまで「プレイングマネージャー」のようにマネジメントと作業を1人が担うことがあったが、これをプロジェクトごとにマネージャーとプレーヤーの役割分担を明確にするように体制整備を進めるとした。

マイナンバーカードのトラブルに透ける、デジタル庁組織の「しんどい」状況

サイバー防衛人材育成へ新団体 元次官ら調整役に

サイバー防衛人材育成へ新団体

既存の高度人材を活かすため、どのようなスキームになるか注目したいと思います。

”経済産業省などの元幹部らが発起人となり一般社団法人を設立する。今後、設置されるサイバー防衛の司令塔などの政府機関と連携し、産業界が高度な人材を育成できるよう支援する。主な取り組みとしては、サイバー攻撃への対処に必要なスキルを調査し、統一的な育成カリキュラムの要素を整理。認証制度の創設を検討するほか、将来的には民間登用しやすいように人材を登録しておく人材バンクとして機能することも想定する。

団体を設立するのは、自衛隊制服組トップの統合幕僚長を務めた斎藤隆氏のほか、鈴木茂樹元総務次官▽安藤久佳元経産次官▽島田和久元防衛次官▽中村格前警察庁長官-の計5人。”

サーバー移行計画におけるDNSについて

浸透いうな」そして、利用者側もjprsさんのコレを読んで「浸透待ちするな」へ 正しく設定すれば浸透待ちは無く、古いデータの消滅待ちのはずです。

https://jprs.jp/tech/material/iw2011-lunch-L1-01.pdf

一人情シスの頃にWADAXへ移行することがあり、JPNICを参考に、引っ越し元のゾーンデータを書き換えTTLを短くして、親の権威DNSサーバーの委任先を変更すること、更にプロパゲーションが発生するため、引越し元と引越し先の並行稼働期間を設けるなど移行計画を作成しました。初見で難しいと感じます。

7/24 Worldcoin発売

生体認証装置であるOrbを訪れると、World IDが発行され、完全なプライベート性を保ちながら、オンライン上であなたが実在するユニークな人物であることを証明することと、公平な分配を保証します。

Source:  A New Identity and Financial Network

Worldcoin 発売3 日目、世界中で熱狂的な行列

しかし、日本にOrbは一箇所しかなく、地域格差によるコールドスタート問題は解決されていないと感じます。

Twitterの新たな商標について

ユニコードから用いたロゴが被ってしまった模様。

なお、米国では、使用主義を採用しているため、未登録商標であっても先に使用していれば権利が発生すると思います。

なお、出願しても登録にならない商標として、極めて簡単で、かつ、ありふれた標章のみからなる商標(商標法第3条第1項第5号)ローマ字(AからZ)の1字又は2字というのがあります。Xが商標登録できるのか疑問です。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ