今宵のサイバーセキュリティについて気になること:アノニマス 処理水抗議、EU デジタルサービス法の施行開始、JMARI サイバー事故に関しシステムベンダーが負う責任、テスラ情報漏洩7万5000人など

アノニマス イタリア処理水抗議のメッセージ

アノニマス イタリアは、 東京電力福島第一原子力発電所の「処理水」の海洋放出について、 日本政府に抗議のメッセージを送りました。重要インフラ事業者はアノニマスに対して、更なる警戒が必要です。

なお、NTTセキュリティは、日本政府が2021年に東京電力ホールディングス株式会社の福島第一原子力発電所からの処理水を放出することを正式に決定したことを受けて、アノニマスが「標的リスト」を公開したことを明らかにしました。

アノニマスがこちらの記事をポストしています。

”NTTセキュリティは、日本政府が2021年に東京電力ホールディングス株式会社の福島第一原子力発電所からの処理水を放出することを正式に決定したことを受けて、アノニマスが「標的リスト」を公開したことを明らかにした。”

#OPFUKUSHIMA: ANONYMOUS GROUP PROTESTS AGAINST THE PLAN TO DUMP FUKUSHIMA RADIOACTIVE WASTEWATER INTO PACIFIC

なお、アノニマスが 「処理水」について言及することが、2023年1月13日頃から度々観測されています。

EU デジタルサービス法のインパクト – 2023/8/25施行開始

「毎月4,500万人以上のユーザー」を持つ大手プラットフォームを対象として罰則は8/25から適用されます。DSA法の規則を遵守しなかった場合、企業は全世界で最高「売上高の6%」の罰金を科される可能性があります。

先ずは「毎月4,500万人以上のユーザー」を持つ大手プラットフォームが、違法コンテンツ対策として強化された義務の対象となり 2024年2月17日 以降はすべてのプラットフォームが対象となります。

JMARI サイバー事故に関し システムベンダーが負う責任: 医療DXを推進するために

半田病院では、保守契約を結ばなくとも請け負ったベンダーが、その後も厳しく善管注意義務を問われました。これにより日本のIT産業は、今後も影響を受け続けます。

よって、私の考えるアーキテクトはシステムベンダーを導き、不具合があった時にこそ顔を出して自らその責任を果たせる実力があることだと考えます。

サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために

事例として半田病院を挙げ説明されております。

サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために

徳島の電子カルテベンダーも22期決算公告で1億4405万円 (赤字転換)しており、様々な影響があったと思います。その経営者、従業員や家族も含め社会的制裁を受けたと思います。

こちらは、JMARI の記事で事例として取り上げられた、半田病院の調査報告書です。

調査報告書にベンダーの善管注意義務が記されています。

医療情報の管理業務を受託していなければ定義上事業者は対象外であり…「通常運用における責任」および「事後責任」を果たす当事者は半田病院だけである

徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について

これから… Microsoftがロビー活動を行い、ユーザー会で助け合い、パートナーがシェアを拡大していく方式に、日本のシステムベンダーが傘下になっていくことが垣間見えます。

【インタビュー】クラウド型電子カルテの信頼を支える、「3 省 3 ガイドライン」への対応リファレンスを公開する意義

AWSも同様に3 省 2 ガイドラインのもとで、従来のオンプレミス型の医療情報システムから、サーバ室からハードウェア機器の管理まで、AWS を活用し、これらをオフロードし、運用上の負担の軽減を提言しています。 日本のシステムベンダーのあり方が変わっていくと思います。

医療情報ガイドラインをクラウド上で実践する – ネットワーク編 Part 1

つまり、JMARIによれば、医療機関等が患者に対する安全管理義務を履行するため、システムベンダーが医療情報システムに設置するアプライアンスの脆弱性などを考慮し信義則に応えるには、3省2ガイドラインに準拠するクラウドに移行する流れかと。 アーキテクトの選択が重要な役割を果たすと考えます。

医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)

テスラで発生した情報漏洩は7万5000人以上に影響を与えた模様

テスラで発生した情報漏洩は7万5000人以上に影響を与えた模様です。

「調査の結果、2人の元テスラ従業員がテスラのITセキュリティとデータ保護ポリシーに違反して情報を流用し、メディアに共有したことが明らかになった。」

テスラの従業員7万5千人の個人情報および社会保険番号を含む内部犯行による情報漏洩は、テスラ従業員が車載カメラで記録されたビデオや画像を含む顧客情報を内部メッセージングシステムを介して非公開で共有していたとロイターが4月に報じた後に発生しました。

テスラから公式のアナウンス:従業員7万5千人の個人情報および社会保険番号を含む内部犯行による情報漏洩。悪用は見つからず。元従業員を提訴。個人情報漏洩対策を実施。

Maine Attorney General | Data Breach Notifications
総数:75,735人
発生日: 05/10/2023
発見日: 05/10/2023
違反の説明:内部関係者の不正行為
取得される情報 – 名前または個人識別子と社会保障番号

Maine Attorney General | Data Breach Notifications

JNSA標準化部会セミナー「ゼロトラストと標準化」

公演資料が公開されました。

  • デジタル庁におけるゼロトラストアーキテクチャへの取り組み
  • ゼロトラストと標準化部会の活動の関係について
  • ゼロトラストとISMS
  • ゼロトラスト環境実現に必要なIGA(アイデンティティガバナンス管理)とPBAC(ポリシーベースアクセス制御)について
  • ゼロトラストにとってのデジタル署名 vs. 電子署名にとってのデジタル署名
  • Always Verifyの実装となるリモートアテステーションI

GPT-3.5ターボ ファインチューニングによりGPT-4に匹敵

GPT-3.5ターボ ファインチューニングが利用可能になりました。
このアップデートにより、開発者はモデルをカスタマイズして、より良いパフォーマンスを発揮でき、これらのカスタムモデルを大規模に実行することができます。
初期のテストでは、GPT-3.5ターボの微調整されたバージョンは、特定のタスクでGPT-4に匹敵するか、さらには上回ることができることが示されています。なお、今秋にGPT-4 ファインチューニングが予定されています。

ファインチューニングガイドはこちら

Fine-tuning

Python in Excelリリース

アナリスト向けに構築されたExcelのPythonは、ネイティブに統合されます。開始するには、Python コードを Excel セルに直接入力できる新しい PY 関数を使用するだけです。

Announcing Python in Excel: Combining the power of Python and the flexibility of Excel.

VBAとの違い、scikit-learnやstatsmodelsなどといったPython ライブラリを活用して機械学習、予測分析、回帰分析、時系列モデリングなどが利用できる模様です。

Announcing Python in Excel: Combining the power of Python and the flexibility of Excel.

リモートワークについて

会社のような中央集権的な組織はリモートワークと相性が悪く、DAOのような分散型自立組織ではリモートワークが前提となります。 これから高度なスマートコントラクトをAIが維持管理するDAOのプラットフォームが整うことで、居住地域に依存せず収入を得る時代がやってくると思います。

既存のPlay to Earnは収益モデルが脆弱でしたが、GAFAが自社のサービスにP2Eを持ち込むのは時間の問題だと考えます。 例えば、Youtubeから更にX(Twitter)の広告収益配分はP2Eへと進化し、もはやメディアとエンターテイメントとビジネスの垣根を越え、あらゆるものへと拡大していくと思います。

私はWeb3.0がGAFAにとって新たな大陸だと感じております。 そして、TwitterからXへThink differentしたElon Muskのように、日本がGAFAを超えるような新たなサービスを作ることを期待しております。

伝えるから伝わるへ

クールな客室乗務員、カリオストロの城で手品を魅せたルパン、お笑いセキュリティ芸人達 、大事なサイバーセキュリティを伝えるのに必要なものは何かと考えさせられます。 伝えるから伝わるへ

相手に勝ちたがっているのか、良い仕事をしたとほめられたいのか、目立ちたいのか、尊敬を得たいのか、自身が優位に立ちたいのか、早く済ませてしまいたいのか、ラクしたいのか、などなど。これらは、誰でももちうる個人的な目標です。

そして、本来の目標より優先してしまうのです。

アラン R.コーエン

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ