Loading...
----------------------------------------------------------------------
米国NSAら、運用技術および産業制御システム環境のOSSセキュリティベストプラクティスを発表(10/17配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISAと英国NCSC、市民社会のサイバーセキュリティについて戦略対話を開始
・米国NSAおよびCISA、サイバー攻撃に悪用される誤設定トップ10を発表
・米国サイバー軍、敵対的なプロパガンダを特定する方法を公開
・米国NSAら、運用技術および産業制御システム環境のOSSセキュリティベストプラクティスを発表
・オマーン、中国Huaweiと共同でアラブ地域のサイバーセキュリティ産業強化プログラムを発表
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年9月29日 米国CISAと英国NCSC、市民社会のサイバーセキュリティについて戦略対話を開始
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)と英国国家サイバーセキュリティセンター(UK-NCSC)は、国境を越えた脅威にさらされている市民社会のサイバーセキュリティに関する戦略対話の初会合を開催した。
戦略対話では、8カ国(米国と英国に加えて、オーストラリア、カナダ、エストニア、日本、ニュージーランド、ノルウェー)が集まり、市民社会のサイバーセキュリティを推進する方法を議論した。特に高リスクコミュニティ(HRC)のサイバーレジリエンスを支援する将来の取り組みの優先順位を議論し、各参加国が取り組んでいくことを確認した。
https://www.cisa.gov/news-events/news/cisa-and-uk-ncsc-hold-inaugural-meeting-strategic-dialogue-cybersecurity-civil-society-under-threat
2023年10月5日 米国NSAおよびCISA、サイバー攻撃に悪用される誤設定トップ10を発表
米国国家安全保障局(NSA)およびサイバーセキュリティ・インフラセキュリティ庁(CISA)は共同で、サイバー攻撃に悪用される誤設定トップ10を発表し注意を促した。
今回の勧告は、成熟したサイバー態勢を持つ組織も含め、多くの大組織における体系的な弱点の傾向を示したもの。ソフトウエアメーカーに対しては、セキュア・バイ・デザインやセキュア・バイ・デフォルトの原則をソフトウエア開発手法に組み込むことで誤設定の生じる余地を減らし、顧客の保護を強化するよう求めた。
今回選ばれたトップ10は次の通り。
(1)ソフトウェアとアプリケーションのデフォルト設定(2)不適切な権限分離(ユーザーと管理者)(3)不十分な内部ネットワーク監視(4)ネットワークセグメンテーションの欠如(5)パッチ管理の不備(6)システムアクセス制御のバイパス(7)多要素認証の強度が不十分または設定ミス(8)ネットワーク共有およびサービスへのアクセス制御リストの不備(9)認証情報の衛生管理が不十分(10)無制限のコード実行
また、これらの設定ミスに対してユーザー組織に対してはデフォルトの認証情報を削除や使用していないサービスの無効化といった対策を、セキュア開発やデフォルトパスワード廃止といった対応を推奨対策として示した。
https://www.cisa.gov/news-events/alerts/2023/10/05/nsa-and-cisa-release-advisory-top-ten-cybersecurity-misconfigurations
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a
2023年10月5日 米国サイバー軍、敵対的なプロパガンダを特定する方法を公開
米国サイバー軍は、敵対的なプロパガンダを特定する方法に関する記事を公開した。敵対的な偽情報キャンペーンや影響力作戦は、その起点を知ることで特定できると説明している。
偽情報を広めるためにはボット、サイボーグ、トロール、ソックパペット、アンプリファイアなどと呼ばれる偽情報アクターが使われる。これらのアクターを特定するためには、最近作成したアカウントで繰り返し投稿が行われていること、フォロワーが100人未満のアカウントで個人的な更新がないこと、実在のユーザーを模倣しているかどうかといった観点で特定が可能だとしている。
また、偽情報を特定する方法としてプロパガンダのエコシステムを検出することを挙げ、そのことが信頼できる情報源を検証することにもなるという。Global Engagement Center が公開したウェブサイト Disarming Disinformation (www.state.gov/disarming-disinformation/) には、すでに特定されているプロパガンダエコシステムを説明するリソースが公開されている。
https://www.cybercom.mil/Media/News/Article/3551070/dont-be-a-target-how-to-identify-adversarial-propaganda/
2023年10月10日 米国NSAら、運用技術および産業制御システム環境のOSSセキュリティベストプラクティスを発表
米国国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、DoT(財務省)は共同で、運用技術(OT)および産業制御システム(ICS)環境におけるオープンソースソフトウェア(OSS)のセキュリティ懸念事項に対処するためのベストプラクティスを発表した。
基本的な考え方として、OT/ICS環境におけるサイバーセキュリティリスクを低減するために、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトの原則の採用を奨励している。その上で、重要インフラを所管する組織や開発運用に携わるベンダーのシニアリーダーが利用するのに適した推奨事項と関連資料が用意されている。
推奨事項には以下のポイントが挙げられている。
(1)ベンダーによるOSSの開発・保守を支援
(2)脆弱性の管理(共通識別子の利用、脅威への露出を減少、脆弱性の調整への参加)
(3)パッチ管理(OT/ICS環境へのパッチ展開プロセスの理解、OSSを含む包括的な資産台帳の維持、緊急パッチ適用手順の確立)
(4)認可・認証ポリシーの改善(ユーザを一意に識別可能なアカウントの使用、ハードコーディングされた認証情報やパスワードの使用を回避、MFAの実装、集中型ユーザー管理ソリューションの使用)
(5)共通フレームワークの確立(NIST CSFのような標準の利用、オープンソースオフィスプログラム、安全なOSS利用フレームワークなど)
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3552309/nsa-and-us-agencies-issue-best-practices-for-open-source-software-in-operationa/
https://media.defense.gov/2023/Oct/10/2003316369/-1/-1/0/CSI-IMPROVING-OSS-IN-OT-ICS.PDF
2023年10月12日 オマーン、中国Huaweiと共同でアラブ地域のサイバーセキュリティ産業強化プログラムを発表
オマーンのアラブ地域サイバーセキュリティセンター(ITU-ARCC)は、アラブ地域のサイバーセキュリティ産業を強化するための新しいプログラム「サイバーセキュリティ産業開発戦略成熟度モジュール(CIDSMM)」を中国企業ファーウェイ(Huawei)と共同で開始した。ITU-ARCCは、アラブ世界のサイバーセキュリティ分野における知識移転、能力開発、協力関係を促進するために2023年5月に設立された機関で、今回の発表はアブダビで行われた地域サミットで行われた。
CIDSMMは、アラブ地域のサイバーセキュリティ業界向けに特別に設計されたガイドで、アラブ地域のサイバーセキュリティを強化するための世界初の手引書と説明されている。アラブ地域の規制当局、産業関係者、学術研究者がサイバーセキュリティ能力を評価・改善するための包括的なガイドとして作成されている。デジタルインフラ保護、データセキュリティ、クラウドコンピューティングセキュリティ、新興技術、通信セキュリティなど、デジタルエコシステムに関わる様々な領域の成熟度測定・強化が範囲に含まれる。
https://arcc.om/?GetLang=en
https://arcc.om/topics/1
https://rcssummit.com/
----------------------------------------------------------------------
【3】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年10月3日 KPMGカナダ、IDアクセス管理サービス拡大のためIMagosoftを買収
2023年10月4日 米国Magna5、マネージドサービスプロバイダのAdvanced Network Systemsを買収
2023年10月10日 セキュリティ監視サービスのArctic Wolf、SOAR製品を提供するRevelstokeの買収計画