★☆★JNSAメールマガジン 第202号 2020.12.25☆★☆
2020/12/25 (Fri) 15:30
★☆★JNSAメールマガジン 第202号 2020.12.25☆★☆
こんにちは
JNSAメールマガジン 第202号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはJNSA社会活動部会 唐沢勇輔様にご寄稿いただきま
した。
【連載リレーコラム】
JNSA記者懇談会「どう考える?フィンテックのセキュリティ」振り返り
JNSA社会活動部会 副部会長
唐沢 勇輔(Japan Digital Design)
社会活動部会では、記者の皆様向けに不定期で「記者懇談会」というイベント
を開催しています。大きなニュースになった事案について、その背景にある
課題や必要となる技術情報の解説を目的としたものです。
過去には年金機構事案に関連したものや、「認証について」といったテーマで
開催してまいりました。その一環で、10月23日に開催したものが、ドコモ口座
問題に端を発した表題のテーマです。
3名の方に登壇いただき、トップバッターとしてお話いただいたのが
Japan Digital Designの楠正憲氏です。ドコモ口座やSBI証券の事案について
概略や問題点を解説いただき、「NIST SP800-63-3」を引き合いにしつつ
各サービスで求められるAssurance Levelについて提言をいただきました。
事業者に対して当面求められる対応としては、資金移動業者については身元確
認の強化、口座振替登録における認証レベルの強化、ネット証券における多要
素認証など当人認証の強化といったことが照会をされてきました。また、制度
的にも犯罪収益移転防止法による本人確認規制が強化されていくのではないか
ということでした。
また、携帯電話不正利用防止法の規制強化についても議論がなされていくよう
です。
2番手としてお話いただいたのがEGセキュアソリューションズの徳丸浩氏です。
パスワード認証に対してどういった攻撃がありうるか架空の事例を交えながら
大変分かりやすく解説をいただき、不正ログインの事象ごとに事業者側、利用
者側どちらに責任があるかという点についてお話いただきました。特に金融関
係ではパスワードリスト攻撃やフィッシングについても事業者側の責任になり
つつあるのでは?という興味深いお話をいただきました。
例えば「安全なパスワードがつけられない」「認証を突破できる脆弱性があ
る」「サイト管理者による悪用」というのは当然に事業者側の責任なわけです。
「パスワードリスト攻撃」も本来であればパスワードを使いまわす利用者の責
任ですが、特に金融サービスでリスト型攻撃があった場合、「リスクベース認
証は入っていたのか」等追加的な対策がなされているかが問われるようになっ
ています。
フィッシングについても銀行などでは被害者の救済が行われていて、事業者と
して一定の責任を取っている形になっているわけです。
(責任論については、もちろん攻撃者が一番悪いというのが前提です)
最後は匿名で金融機関関係の方にご登壇いただき、金融機関のお立場として今
回の事案についてどういった問題があったのか、その本質は何かといった点に
ついて解説をいただきました。
内容については非公開ですので私の感想だけ書かせていただくと、eKYCの推進
は期待したいところで、Web口振のような形で一部だけデジタル化するという
のは本質的なデジタル化ではなく、サービスの利用開始から安全にデジタル化
できるように設計していくべきなのではないかと感じた次第です。
なお、記者懇談会にはJNSA会員の皆様も参加いただけます。
社会活動部会では今後もこうした会を企画して何かご希望がありましたら本
メールマガジンのアンケートでお知らせいただくか、事務局までご連絡をいた
だければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第202号の感想をお寄せください。
https://ux.nu/7zOrR
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★標準化部会主催セミナー「デジタル社会に不可欠なサイバーセキュリティ
標準化動向-巧妙化、高度化、多様化するサイバー攻撃に備えて」
ご参加お待ちしております。
日時:2021年1月15日(金)13:00~18:00
https://www.jnsa.org/seminar/2021/0115/index.html
★【会員限定】会員交流部会主催「ゼロトラスト質問会|ゼロトラストに
ついてみんなで聞いてみよう」の録画を配信します。
配信日:2021年1月21日(木)14:00から15:00
ご参加ご希望の方は事務局まで。
【事務局からのお知らせ】
★2020年の「セキュリティ十大ニュース」を公開しました!
「JNSA2020セキュリティ十大ニュース」
~コロナが見せつけた大変革時代の幕開け~
https://www.jnsa.org/active/news10/
★「JNSAソリューションガイド」では、「情報セキュリティサービスに関する
審査登録機関基準」適合サービス登録企業の紹介ページを準備しています。
掲載を希望される会員企業のご担当者方は事務局までお問合せ下さい。
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
↓ 以下、 JNSA会員企業からのご案内です
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
‥‥…━━━━━━━━━━━━━━━━━━━━━━…‥‥・
セキュリティに関わるみんなのための認定資格
セキュリスト(SecuriST)認定脆弱性診断士とは?受講内容に迫る
https://www.gsx.co.jp/academy/WebAppNWSecurityTesting.html
‥‥…━━━━━━━━━━━━━━━━━━━━━━…‥‥・
GSXはこの度、トライコーダ上野宣氏による全面監修、 認定試験レ
ビュアーにEGセキュアソリューションズ徳丸浩氏を迎えて、認定脆
弱性診断士の資格制度をリリースしました。認定脆弱性診断士公式
トレーニングは、どこに攻撃されるリスクがあるかを会得するトレ
ーニングとして、ITエンジニア全般に有効な研修です。
認定脆弱性診断士の公式トレーニングの内容に関しては、受講者か
らご感想をいただいておりますのでインタビュー詳細をご紹介させ
ていただきます。
/// GSX /// グローバルセキュリティエキスパート株式会社 ///
============================================================
~NISTゼロトラスト・アーキテクチャの解説と日本語訳を公開~
PwCコンサルティング合同会社
PwCコンサルティングでは、NISTから翻訳の許可を取得し、
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と
日本語訳を公開しました。
本書のポイントとして、ゼロトラストの定義や7つの理念を紹介
している点が挙げられます。この定義と理念をNISTが整理した
ことで、ゼロトラストに関する共通認識形成が大いに促進される
ことが期待されます。
また、本書の筆頭執筆者であるScott Rose氏に執筆にかける想い
をインタビューで伺いました。
本書の構成やゼロトラストの考え方、アーキテクチャのイメージ
を理解した上で、本書をご活用いただけると幸いです。
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
============================================================
◇◆--------------------------◆◇
「標的型・暴露型ランサムウェア」ウェビナー公開中!
株式会社FFRIセキュリティ
◇◆--------------------------◆◇
SNAKE(EKANS)、Maze、Ragnar Lockerなど、日本企業も被害を受
けているランサムウェア。報道などでも取り上げられる感染被害実
例が増加しています。
昨今のランサムウェアは、メールの添付ファイルなどでいきなり飛
んでくるわけではなく、攻撃者の入念な下準備を経て実被害に至る
ケースが多く確認されています。
今回は、特に注意が必要な暴露型および標的型のランサムウェアの
実態と対策における留意事項を解説します。
↓↓ウェビナーはコチラ↓↓
https://www.ffri.jp/special/Targeted-ransomware.htm
============================================================
2月17日,18日,19日,25日,26日の5日間、(ISC)2 CCSPの
公式トレーニングセミナーをオンラインにて開催いたします。在宅
でもオンラインで参加が可能、180日間は録画済み講義にアクセス
しての補習/復習が可能など、オンライン特有のメリットがあります。
CCSP(Certified Cloud Security Professional)は、クラウドサー
ビスを安全に利用・運用するために必要な知識、スキル、知見を
世界で初めて体系化した資格認定制度で、組織のクラウド戦略や
DX化戦略を支える高度専門人材の育成で、世界的に高く評価され
ているプログラムです。奮ってご参加ください。
参考および申込先URL:
https://www.ntt-at.co.jp/product/ccsp/
申込締切:1月29日(金)
本件問合せ先:
NTTアドバンステクノロジ(株)セキュリティ事業本部
ccsp_exec.scm@ml.ntt-at.co.jp、044-589-6920
============================================================
SANS Tokyo January 2021 Live Online のご案内です。
産業分野(制御システム)のサイバーセキュリティ基礎知識を学ぶ
ICS410、DevOps環境をクラウド上で実現する際のセキュリティ
対策を学ぶSEC540、ネットワークフォレンジックを実践的に学
ぶFOR572、OSの深いフォレンジックスキル取得に最適な
FOR500を、日英同時通訳付きのLive Online形式で開催します。
●開催期間:2021年1月18日(月)~2021年1月23日(土) 6日間
※SEC540は、2021年1月22日(金)までの5日間
●コース、受講料 ICS410779,000円(税抜)
SEC540722,000円(税抜)
FOR500,FOR572769,500円(税抜)
※JNSA会員様特別価格、定価の5%OFFとなります
●詳 細:https://www.sans-japan.jp/events/sans_tokyo_jan_2021
【NRIセキュアテクノロジーズ】
============================================================
(ISC)²が認定する、国際的なクラウドセキュリティ
資格「CCSP」のチャレンジセミナーをオンデマン
ドで配信しています。
本セミナーでは 、通常は5日間で行っている公式
トレーニングの概要を紹介するとともに、重要な
ポイントをピックアップして解説しています。
(ISC)² CCSP CBK公式トレーニングは以下の日程で
開催します。
2021年2月17日(水)~19日(金), 25日(木), 26日(金)
※申込締切:1月29日(金)
詳細:https://www.ntt-at.co.jp/product/ccsp/
============================================================
BBSecでは独立行政法人情報処理推進機構によるランサムウェア注
意喚起の再発出を受け、疑似マルウェアを用いたランサムウェア感
染リスクを可視化する、「今、そこにあるリスク」を明確にしてラ
ンサムウェア攻撃への不安を軽減する総合的なサービスのご提供を
開始いたしました。本サービスにより、感染したPCより接続可能な
他のクライアントPCおよびサーバにどれほどランサムウェアの影響
が及ぶか、実態に即した確認ができます。
▼詳しくはこちらをご参照ください。▼
https://www.bbsec.co.jp/campaign/202012_ransomware/
◇本サービスに関するお問合せ
株式会社ブロードバンドセキュリティ セキュリティサービス本部
TEL:03-5338-7417 E-mail:sales@bbsec.co.jp
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第202号
発信日:2020年12月25日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第202号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはJNSA社会活動部会 唐沢勇輔様にご寄稿いただきま
した。
【連載リレーコラム】
JNSA記者懇談会「どう考える?フィンテックのセキュリティ」振り返り
JNSA社会活動部会 副部会長
唐沢 勇輔(Japan Digital Design)
社会活動部会では、記者の皆様向けに不定期で「記者懇談会」というイベント
を開催しています。大きなニュースになった事案について、その背景にある
課題や必要となる技術情報の解説を目的としたものです。
過去には年金機構事案に関連したものや、「認証について」といったテーマで
開催してまいりました。その一環で、10月23日に開催したものが、ドコモ口座
問題に端を発した表題のテーマです。
3名の方に登壇いただき、トップバッターとしてお話いただいたのが
Japan Digital Designの楠正憲氏です。ドコモ口座やSBI証券の事案について
概略や問題点を解説いただき、「NIST SP800-63-3」を引き合いにしつつ
各サービスで求められるAssurance Levelについて提言をいただきました。
事業者に対して当面求められる対応としては、資金移動業者については身元確
認の強化、口座振替登録における認証レベルの強化、ネット証券における多要
素認証など当人認証の強化といったことが照会をされてきました。また、制度
的にも犯罪収益移転防止法による本人確認規制が強化されていくのではないか
ということでした。
また、携帯電話不正利用防止法の規制強化についても議論がなされていくよう
です。
2番手としてお話いただいたのがEGセキュアソリューションズの徳丸浩氏です。
パスワード認証に対してどういった攻撃がありうるか架空の事例を交えながら
大変分かりやすく解説をいただき、不正ログインの事象ごとに事業者側、利用
者側どちらに責任があるかという点についてお話いただきました。特に金融関
係ではパスワードリスト攻撃やフィッシングについても事業者側の責任になり
つつあるのでは?という興味深いお話をいただきました。
例えば「安全なパスワードがつけられない」「認証を突破できる脆弱性があ
る」「サイト管理者による悪用」というのは当然に事業者側の責任なわけです。
「パスワードリスト攻撃」も本来であればパスワードを使いまわす利用者の責
任ですが、特に金融サービスでリスト型攻撃があった場合、「リスクベース認
証は入っていたのか」等追加的な対策がなされているかが問われるようになっ
ています。
フィッシングについても銀行などでは被害者の救済が行われていて、事業者と
して一定の責任を取っている形になっているわけです。
(責任論については、もちろん攻撃者が一番悪いというのが前提です)
最後は匿名で金融機関関係の方にご登壇いただき、金融機関のお立場として今
回の事案についてどういった問題があったのか、その本質は何かといった点に
ついて解説をいただきました。
内容については非公開ですので私の感想だけ書かせていただくと、eKYCの推進
は期待したいところで、Web口振のような形で一部だけデジタル化するという
のは本質的なデジタル化ではなく、サービスの利用開始から安全にデジタル化
できるように設計していくべきなのではないかと感じた次第です。
なお、記者懇談会にはJNSA会員の皆様も参加いただけます。
社会活動部会では今後もこうした会を企画して何かご希望がありましたら本
メールマガジンのアンケートでお知らせいただくか、事務局までご連絡をいた
だければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第202号の感想をお寄せください。
https://ux.nu/7zOrR
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★標準化部会主催セミナー「デジタル社会に不可欠なサイバーセキュリティ
標準化動向-巧妙化、高度化、多様化するサイバー攻撃に備えて」
ご参加お待ちしております。
日時:2021年1月15日(金)13:00~18:00
https://www.jnsa.org/seminar/2021/0115/index.html
★【会員限定】会員交流部会主催「ゼロトラスト質問会|ゼロトラストに
ついてみんなで聞いてみよう」の録画を配信します。
配信日:2021年1月21日(木)14:00から15:00
ご参加ご希望の方は事務局まで。
【事務局からのお知らせ】
★2020年の「セキュリティ十大ニュース」を公開しました!
「JNSA2020セキュリティ十大ニュース」
~コロナが見せつけた大変革時代の幕開け~
https://www.jnsa.org/active/news10/
★「JNSAソリューションガイド」では、「情報セキュリティサービスに関する
審査登録機関基準」適合サービス登録企業の紹介ページを準備しています。
掲載を希望される会員企業のご担当者方は事務局までお問合せ下さい。
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
↓ 以下、 JNSA会員企業からのご案内です
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
‥‥…━━━━━━━━━━━━━━━━━━━━━━…‥‥・
セキュリティに関わるみんなのための認定資格
セキュリスト(SecuriST)認定脆弱性診断士とは?受講内容に迫る
https://www.gsx.co.jp/academy/WebAppNWSecurityTesting.html
‥‥…━━━━━━━━━━━━━━━━━━━━━━…‥‥・
GSXはこの度、トライコーダ上野宣氏による全面監修、 認定試験レ
ビュアーにEGセキュアソリューションズ徳丸浩氏を迎えて、認定脆
弱性診断士の資格制度をリリースしました。認定脆弱性診断士公式
トレーニングは、どこに攻撃されるリスクがあるかを会得するトレ
ーニングとして、ITエンジニア全般に有効な研修です。
認定脆弱性診断士の公式トレーニングの内容に関しては、受講者か
らご感想をいただいておりますのでインタビュー詳細をご紹介させ
ていただきます。
/// GSX /// グローバルセキュリティエキスパート株式会社 ///
============================================================
~NISTゼロトラスト・アーキテクチャの解説と日本語訳を公開~
PwCコンサルティング合同会社
PwCコンサルティングでは、NISTから翻訳の許可を取得し、
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と
日本語訳を公開しました。
本書のポイントとして、ゼロトラストの定義や7つの理念を紹介
している点が挙げられます。この定義と理念をNISTが整理した
ことで、ゼロトラストに関する共通認識形成が大いに促進される
ことが期待されます。
また、本書の筆頭執筆者であるScott Rose氏に執筆にかける想い
をインタビューで伺いました。
本書の構成やゼロトラストの考え方、アーキテクチャのイメージ
を理解した上で、本書をご活用いただけると幸いです。
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
============================================================
◇◆--------------------------◆◇
「標的型・暴露型ランサムウェア」ウェビナー公開中!
株式会社FFRIセキュリティ
◇◆--------------------------◆◇
SNAKE(EKANS)、Maze、Ragnar Lockerなど、日本企業も被害を受
けているランサムウェア。報道などでも取り上げられる感染被害実
例が増加しています。
昨今のランサムウェアは、メールの添付ファイルなどでいきなり飛
んでくるわけではなく、攻撃者の入念な下準備を経て実被害に至る
ケースが多く確認されています。
今回は、特に注意が必要な暴露型および標的型のランサムウェアの
実態と対策における留意事項を解説します。
↓↓ウェビナーはコチラ↓↓
https://www.ffri.jp/special/Targeted-ransomware.htm
============================================================
2月17日,18日,19日,25日,26日の5日間、(ISC)2 CCSPの
公式トレーニングセミナーをオンラインにて開催いたします。在宅
でもオンラインで参加が可能、180日間は録画済み講義にアクセス
しての補習/復習が可能など、オンライン特有のメリットがあります。
CCSP(Certified Cloud Security Professional)は、クラウドサー
ビスを安全に利用・運用するために必要な知識、スキル、知見を
世界で初めて体系化した資格認定制度で、組織のクラウド戦略や
DX化戦略を支える高度専門人材の育成で、世界的に高く評価され
ているプログラムです。奮ってご参加ください。
参考および申込先URL:
https://www.ntt-at.co.jp/product/ccsp/
申込締切:1月29日(金)
本件問合せ先:
NTTアドバンステクノロジ(株)セキュリティ事業本部
ccsp_exec.scm@ml.ntt-at.co.jp、044-589-6920
============================================================
SANS Tokyo January 2021 Live Online のご案内です。
産業分野(制御システム)のサイバーセキュリティ基礎知識を学ぶ
ICS410、DevOps環境をクラウド上で実現する際のセキュリティ
対策を学ぶSEC540、ネットワークフォレンジックを実践的に学
ぶFOR572、OSの深いフォレンジックスキル取得に最適な
FOR500を、日英同時通訳付きのLive Online形式で開催します。
●開催期間:2021年1月18日(月)~2021年1月23日(土) 6日間
※SEC540は、2021年1月22日(金)までの5日間
●コース、受講料 ICS410779,000円(税抜)
SEC540722,000円(税抜)
FOR500,FOR572769,500円(税抜)
※JNSA会員様特別価格、定価の5%OFFとなります
●詳 細:https://www.sans-japan.jp/events/sans_tokyo_jan_2021
【NRIセキュアテクノロジーズ】
============================================================
(ISC)²が認定する、国際的なクラウドセキュリティ
資格「CCSP」のチャレンジセミナーをオンデマン
ドで配信しています。
本セミナーでは 、通常は5日間で行っている公式
トレーニングの概要を紹介するとともに、重要な
ポイントをピックアップして解説しています。
(ISC)² CCSP CBK公式トレーニングは以下の日程で
開催します。
2021年2月17日(水)~19日(金), 25日(木), 26日(金)
※申込締切:1月29日(金)
詳細:https://www.ntt-at.co.jp/product/ccsp/
============================================================
BBSecでは独立行政法人情報処理推進機構によるランサムウェア注
意喚起の再発出を受け、疑似マルウェアを用いたランサムウェア感
染リスクを可視化する、「今、そこにあるリスク」を明確にしてラ
ンサムウェア攻撃への不安を軽減する総合的なサービスのご提供を
開始いたしました。本サービスにより、感染したPCより接続可能な
他のクライアントPCおよびサーバにどれほどランサムウェアの影響
が及ぶか、実態に即した確認ができます。
▼詳しくはこちらをご参照ください。▼
https://www.bbsec.co.jp/campaign/202012_ransomware/
◇本サービスに関するお問合せ
株式会社ブロードバンドセキュリティ セキュリティサービス本部
TEL:03-5338-7417 E-mail:sales@bbsec.co.jp
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第202号
発信日:2020年12月25日
発 行:JNSA事務局 office@jnsa.org
*************************************