《TOPIC》
- セキュリティのさじ :攻撃者側の情報流出/デジタル庁発足
- NIS-Be最新情報 :SP 800-53の和訳登録他
- コラム :「エヴァ・エッセンシャルズ」の挑戦
- One TERM(用語解説) :SP 800-53その1(オーバーレイ)
【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】
●ランサム攻撃は引き続き被害が発生しているようですが、一方で大手RaaS(ランサムウェア攻撃を支援する闇のクラウドサービス)が利用者(ハッカー)に提供しているマニュアル(虎の巻)が、利用者以外に流出との報道が流れました。
以前このコーナーでもご紹介したように、サイバーセキュリティ分野の攻防が高度化し攻撃側の技術的難易度やコストが上昇する中で、それに対抗するようにダークサイド内における効率的なwin-winの関係(共犯関係)を成立させる為のビジネス化が進展してきていました。
今回の事例は、その関係性が何らかの理由で破綻した一例といえますが、その一助になっているのは、米国務省が21年7月に発表したサイバー攻撃に関する情報提供への「報奨金制度」の適用かも知れません。
しかし、そういった内輪揉めで攻撃側の完全な自滅を期待出来るような状況では全くありません。ある調査では、今年上半期のランサムウェア被害件数は昨年の下半期より2割増加、日本でも警察庁の報告では同期間で被害は3倍に増加しているとのことです。
特に最近増加している、ITツールの未知の脆弱性を狙った攻撃(ゼロデイ攻撃)や、テレワークで急拡大しているVPN機器からの情報流出(検知済の脆弱性も未対応の為)事件では、影響範囲が拡大して、従来はあまり攻撃対象になっていなかった中小企業でも多くの被害が発生しており、そのような事態が発生するリスクを考慮した事後対策も進めていく必要性が増大していると報じられています。
参考 | ランサムウェア、取分不満の攻撃者が「虎の巻」流出 | :日経新聞 9/3 |
サイバー攻撃情報に最大11億円の報奨金 | :日経XTECH 8/16 | |
ランサム攻撃、中小の脆弱性が標的 取引先に波及リスク | :日経新聞 9/9 | |
サイバー攻撃、手口「国家並み」 未知の脆弱性つく | :日経新聞 9/11 | |
VPN認証情報また流出 日本は1000社、中小企業中心 | :日経新聞 9/13 |
●デジタル庁が、9月1日に発足しました。従来からも多くの報道がされ当通信でも取り上げてきましたが、これを機に改めて見ていきました。
残念なことに内容的には8月までの報道から大きな進展はなく、最初の記者会見でも「ワクチン接種証明をマイナカードで」という、デジタルの活用を押し出したものにとどまりました。今後のサイバーセキュリティ戦略面でも新しい内容も見当たらず、菅総理の総裁選不出馬により様子見になっていた感もあります。
誰が総裁になるかで当然政策の方向性は大きく異なっていたと筆者は思いますが、先日、岸田さんが総裁に決定したことでひとまずの決着を見ました。デジタル庁の創設という機会を捉えて、様々な課題を解決する施策が展開されるとの期待には是非応えてもらいたいところです。
参考 | デジタル改革、官民一丸 データ活用へ基盤整備 | :日経新聞 9/1 |
ワクチン接種証明、スマホで即発行 マイナカード活用 | :日経新聞 9/17 |
【NIS-Be最新情報:更新情報、活動報告、海外最新情報等】
- 更新情報
NIS-Beサイト最新情報
6月1日にリニューアルしたNIS-Beサイトは、順次内容の充実を図っています。
今回、防衛省および米国のセキュリティ動向について「情報セキュリティ動向レポート」がBSKにおいて作成され、NIS-Be通信の別紙としてお送りすると共に、NIS-Beサイトにも登録いたしましたので、合わせてお読みいただければと思います。
- 活動報告
新規翻訳文書公開のお知らせ
当通信の発行にも携わっているエヴァアビエーション社が、そのホームページ(8月25日付)で、IPA様から委託されたセキュリティ関連NIST文書【SP 800-53,53B、172】の翻訳完了を報告いたしました。
<エヴァ社コメント>
今回は、特に翻訳用語の使い方に細心の注意を払って翻訳を行いました。これまでの翻訳で理解に労力を要した箇所も、大きく改善された訳文になっているものと考えます。米国の情報セキュリティ対策における最も重要な文書類ですので、ご活用ください。
- その他
年会費(一部)改訂のお知らせ
おかげ様をもちまして、NIS-Beはサービスを開始して2年が経過しました。会員のみなさまにおかれましては、日頃のご愛顧、誠にありがとうございます。
この度、より多くの方に活用いただけるよう、個人会員の年会費を2万円(学生会員は1万円)に改定いたしました。引き続き、内容の充実や利便性の向上に努めてまいります。興味のある方は、ぜひ気軽にお問い合わせください。
- 海外情報(ヘッドライン)※記事の詳細はNIS-Beサイトを参照ください。
NISTが、ITベンダー等との会合で「新しいフレームワーク作成」と語る | NextGov 8/25 |
有識者が「CMMCでは多くの重要な進展がある一方で改善の必要性もある」と語る | FNN 8/27 |
C3PAOに認定されたのは現在4社で、DoDが必要としている評価者が大幅に不足 | CSO Magazine 9/8 |
NISTが、ランサムウェアに対抗するリスク管理フレームワークの改訂草案を発表 | NIST 9/8 |
防衛産業の請負業者の団体が、「CMMCに関するDoDの沈黙を懸念」と表明 | FCW 9/9 |
防衛産業界の不安の表明に、DoDは「早急にCMMCの改善を報告」と発表 | FNR 9/14 |
NDAA(国防権限法)の改定案で、「中小企業のサイバーセキュリティコスト」に言及 | FedScoop 9/17 |
「DoDはCMMCをオーバーホール中」とレポート | NextGov 9/17 |
【コラム:サイバー対策にエッセンシャル(最小限ルール)は見出せるか
~エヴァ・エッセンシャルズの挑戦~】
筆者:エヴァアビエーション(久野)
我々がここ数年フォローしているCUI保護の施策根拠は、米国国防総省のDFARS 252.204-7012が呼び出しているNIST SP 800-171であり、ほぼ同レベルのもの(約20の項目が追加されています)がCMMC Level 3として有名になっています。これは、「厳守すれば、連邦政府の重要情報であるCUIを渡してもその秘匿性は確保される」と判断出来るという契約条件を規定するものです。
しかし、その米国でも現在では費用問題が燃え上がり、DoDの思惑通りの進捗をしているとはとても思えない状況が伺えます。防衛産業に関わる企業は米国だけで30万社あるそうで、その内70~80%は中小企業です。それらの全てがCUIを扱うわけではないにせよ、NIST SP 800-171の110項目レベル(以下、「CUIレベル」という)を実装したシステムを自社で構築するには相当な費用がかかるということで、施策の見直しも取りざたされる事態となっています。
一般論としては・・・・・・・
【One TERM(用語解説)】
- その1(オーバーレイ)
活動報告で紹介した通り、NIS-Be運営に携わるエヴァアビエーション社がSP 800-53(rev.5)の和訳をIPA様から委託され、その成果物がIPAサイトに登録されています。翻訳作業を進める中で、日本ではあまり使われていない用語や、日本での使われ方と意味が異なる用語の翻訳に苦労したと聞き及んでいます。
この「One Term」では当面、SP 800-53に関連する用語についての解説を実施していく予定で、今号では「オーバーレイ」について見ていきます。
【オーバーレイ】
SP 800-53(rev.5)についてはNIS-Be通信(第5号)のコラムで紹介していますが、最新のIT技術やサイバー攻撃形態の動向を受け、管理策ファミリーの見直し・追加がされるとともに、従来のSP 800-53(rev.4)では記載されていた「連邦政府」という記述が消え、民間を含めたより広い分野で活用されることを目指すという明確な意思表示がなされました。また、「オーバーレイ」という概念が強調され、多くの箇所で言及されています。
特に・・・・・・
以降をご覧になるには、NIS-Beサイトを参照ください。
--------------------------------------------------------------------------------------------------
【編集後記】
NIS-Be通信の今回の最新号(第12号)で、初回(2020年9月30日:第0号)の発行からちょうど1年経ち、コラムの執筆者も今号で一回りして再び久野が担当しております。
改めて過去のNIS-Be通信を読み返してみると、手前味噌ながら編集方法や表現について成長も感じ取れ、みなさまのお役に立てる情報を提供出来ていれば幸いです。
これからも、タイムリーかつ分かり易い情報提供に努めていきたいと決意しておりますので、引き続いてのご愛読をよろしくお願いします。
(佃)