Smart Card Guy

Smart Card, Java Card, IoT Device Security, Root of Trust, 標準化

情報セキュリティ10大脅威 2021 - 日本語・英語 (2021/07)

www.ipa.go.jp


f:id:blog-guy:20210802171816p:plain

*[情報セキュリティ10大脅威 2021.pdf]からの抜粋

10大脅威リスト(日本語・英語)

「個人」向け脅威 : Threats for Individuals

  1. スマホ決済の不正利用 : Fraudulent Use of Smartphone Payment
  2. フィッシングによる個人情報等の詐取 : Phishing Fraud for Personal Information
  3. ネット上の誹謗・中傷・デマ : Cyberbullying and Fake News
  4. メールやSMS等を使った脅迫・詐欺の手口による金銭要求 : Extortion of Money by Blackmail or Fraudulent Methods with E-mail, SNS, etc.
  5. クレジットカード情報の不正利用 : Fraudulent Use of Leaked Credit Card Information
  6. インターネットバンキングの不正利用 : Unauthorized Use of Internet Banking Credentials
  7. インターネット上のサービスからの個人情報の窃取 : Personal Information Theft from Services on the Internet
  8. 偽警告によるインターネット詐欺 : Internet Fraud by Fake Warnings
  9. 不正アプリによるスマートフォン利用者への被害 : Malicious Smartphone Applications
  10. インターネット上のサービスへの不正ログイン : Unauthorized Login to Services on the Internet

「組織」向け脅威 : Rank Threats for Organizations

  1. ランサムウェアによる被害 : Ransomware Attacks
  2. 標的型攻撃による機密情報の窃取 : Confidential Information Theft by APT
    • APT : Advanced Persistent Threat、標的型攻撃
  3. テレワーク等のニューノーマルな働き方を狙った攻撃 : Attacks on New Normal Work Styles such as Teleworking
  4. サプライチェーンの弱点を悪用した攻撃 : Attacks Exploiting Supply Chain Weaknesses
  5. ビジネスメール詐欺による金銭被害 : Financial Loss by Business E-mail Compromise
  6. 内部不正による情報漏えい : Information Leakage by Internal Fraudulent Acts
  7. 予期せぬIT基盤の障害に伴う業務停止 : Suspension of Business due to Unexpected IT Infrastructure Failure
  8. インターネット上のサービスへの不正ログイン : Unauthorized Login to Services on the Internet
  9. 不注意による情報漏えい等の被害 : Unintentional/Accidental Information Leakage
  10. 脆弱性対策情報の公開に伴う悪用増加 : Increase in Exploitations following the Release of Vulnerability Countermeasure Information

書籍 - 情報セキュリティ白書2021 (by IPA)

www.ipa.go.jp


目次

序章 2020年度の情報セキュリティの概況

第1章 情報セキュリティインシデント・脆弱性の現状と対策

  • 1.1 2020年度に観測されたインシデント状況
    • 1.1.1 世界における情報セキュリティインシデント状況
    • 1.1.2 国内における情報セキュリティインシデント状況
  • 1.2 情報セキュリティインシデント種類別の手口と対策
    • 1.2.1 標的型攻撃
    • 1.2.2 新たなランサムウェア攻撃
    • 1.2.3 ビジネスメール詐欺(BEC)
    • 1.2.4 DDoS攻撃
    • 1.2.5 ソフトウェアの脆弱性を悪用した攻撃
    • 1.2.6 ばらまき型メールによる攻撃
    • 1.2.7 個人をターゲットにした騙しの手口
    • 1.2.8 情報漏えいによる被害
  • 1.3 情報システムの脆弱性の動向
    • 1.3.1 JVN iPediaの登録情報から見る脆弱性の傾向
    • 1.3.2 早期警戒パートナーシップの届出状況から見る脆弱性の動向

第2章 情報セキュリティを支える基盤の動向

  • 2.1 国内の情報セキュリティ政策の状況
    • 2.1.1 政府全体の政策動向
    • 2.1.2 経済産業省の政策
    • 2.1.3 総務省の政策
    • 2.1.4 警察によるサイバー犯罪対策
    • 2.1.5 CRYPTRECの動向
  • 2.2 国外の情報セキュリティ政策の状況
    • 2.2.1 国際社会と連携した取り組み
    • 2.2.2 米国の政策
    • 2.2.3 欧州の政策
    • 2.2.4 アジア太平洋地域でのCSIRTの動向
  • 2.3 情報セキュリティ人材の現状と育成
    • 2.3.1 情報セキュリティ人材の状況
    • 2.3.2 産業サイバーセキュリティセンター
    • 2.3.3 情報セキュリティ人材育成のための国家試験、国家資格制度
    • 2.3.4 情報セキュリティ人材育成のための活動
  • 2.4 組織・個人における情報セキュリティの取り組み
    • 2.4.1 企業における対策状況
    • 2.4.2 中小企業に向けた情報セキュリティ支援策
    • 2.4.3 教育機関・政府及び地方公共団体等法人における対策状況
    • 2.4.4 一般利用者における対策状況
  • 2.5 国際標準化活動
    • 2.5.1 様々な標準化団体の活動
    • 2.5.2 情報セキュリティ、サイバーセキュリティ、プライバシー保護関係の規格の標準化(ISO/IEC JTC 1/SC 27)
  • 2.6 安全な政府調達に向けて
    • 2.6.1 ITセキュリティ評価及び認証制度
    • 2.6.2 暗号モジュール試験及び認証制度
    • 2.6.3 政府情報システムのためのセキュリティ評価制度(ISMAP)
  • 2.7 情報セキュリティの普及啓発活動
    • 2.7.1 恒常的な対策等に関する普及啓発活動
    • 2.7.2 Withコロナにおける普及啓発活動
    • 2.7.3 今後の課題
  • 2.8 その他の情報セキュリティ動向
    • 2.8.1 営業秘密保護の動向
    • 2.8.2 暗号技術の動向
    • 2.8.3 情報セキュリティ市場の動向

第3章 個別テーマ

  • 3.1 制御システムの情報セキュリティ
    • 3.1.1 インシデントの発生状況と動向
    • 3.1.2 脆弱性及び脅威の動向
    • 3.1.3 海外の制御システムのセキュリティ強化の取り組み
    • 3.1.4 国内の制御システムのセキュリティ強化の取り組み
  • 3.2 IoTの情報セキュリティ
    • 3.2.1 継続するIoTのセキュリティ脅威
    • 3.2.2 IoTセキュリティのサプライチェーンリスク
    • 3.2.3 脆弱なIoT機器とウイルス感染の実態
    • 3.2.4 セキュリティ対策強化の取り組み
  • 3.3 テレワークの情報セキュリティ
    • 3.3.1 テレワークの広がりと推進活動
    • 3.3.2 テレワークに関連した問題
    • 3.3.3 テレワークのセキュリティ実態調査
    • 3.3.4 テレワークのセキュリティ対策
    • 3.3.5 今後のテレワークのセキュリティ
  • 3.4 NISTのセキュリティ関連活動
    • 3.4.1 NISTの活動概要
    • 3.4.2 成果紹介

付録 資料・ツール

  • 資料A 2020年のコンピュータウイルス届出状況
  • 資料B 2020年のコンピュータ不正アクセス届出状況
  • 資料C ソフトウェア等の脆弱性関連情報に関する届出状況
  • IPAの便利なセキュリティツール

参考情報

情報セキュリティ白書2020情報はこちら

smartcardguy.hatenablog.jp

Common Criteria (ISO/IEC 15408) 仕様書

ポイント

  • ちょーわかりづらいCommon Criteria (ISO/IEC 15408)
  • しかし一度、実際の仕様書に目を通さないで解説ばかり読んでも、ますますわからなくなるので(実際の映画を見ずに映画評論ばかり読んでるようなもん!?)、勇気を出してみてみよう!
  • 下記のIPAのサイトで日本語・英語両方見れる!

仕様書リンク

www.ipa.go.jp

CC仕様書の構成

評価基準 (CCのメインドキュメント - Common Criteria for Information Technology Security Evaluation)

  • Part 1: Introduction and general model : CC概要
  • Part 2: Security functional components : SFR詳細
  • Part 3: Security assurance components : SAR詳細

評価方法 (CEM - Common Methodology for Information Technology Security Evaluation)

  • Evaluation methodology

Common Criteria (ISO/IEC 15408) SFR、SAR一覧

ポイント

  • Common Criteria (ISO/IEC 15408)ってそもそも理解するのが難しいし、特に略語が多すぎ・・・
  • いろんな説明資料でもSFR, SARに英語3文字の略語が多く(AVA_VANとか!)、なんの略なのか想像できないものが多すぎ・・・
  • 下記にCCのSFR、SARを網羅

Common Criteria SFR、SAR一覧

Security Functional Requirements (SFRs)

Class名の最初のFが「Function」?

CLASS FAU: SECURITY AUDIT
  • Audit requirements in a distributed environment
  • Security audit automatic response (FAU_ARP)
  • Security audit data generation (FAU_GEN)
  • Security audit analysis (FAU_SAA)
  • Security audit review (FAU_SAR)
  • Security audit event selection (FAU_SEL)
  • Security audit event storage (FAU_STG)
CLASS FCO: COMMUNICATION
  • Non-repudiation of origin (FCO_NRO)
  • Non-repudiation of receipt (FCO_NRR)
CLASS FCS: CRYPTOGRAPHIC SUPPORT
  • Cryptographic key management (FCS_CKM)
  • Cryptographic operation (FCS_COP)
CLASS FDP: USER DATA PROTECTION
  • Access control policy (FDP_ACC)
  • Access control functions (FDP_ACF)
  • Data authentication (FDP_DAU)
  • Export from the TOE (FDP_ETC)
  • Information flow control policy (FDP_IFC)
  • Information flow control functions (FDP_IFF)
  • Import from outside of the TOE (FDP_ITC)
  • Internal TOE transfer (FDP_ITT)
  • Residual information protection (FDP_RIP)
  • Rollback (FDP_ROL)
  • Stored data integrity (FDP_SDI)
  • Inter-TSF user data confidentiality transfer protection (FDP_UCT)
  • Inter-TSF user data integrity transfer protection (FDP_UIT)
CLASS FIA: IDENTIFICATION AND AUTHENTICATION
  • Authentication failures (FIA_AFL)
  • User attribute definition (FIA_ATD)
  • Specification of secrets (FIA_SOS)
  • User authentication (FIA_UAU)
  • User identification (FIA_UID)
  • User-subject binding (FIA_USB)
CLASS FMT: SECURITY MANAGEMENT
  • Management of functions in TSF (FMT_MOF)
  • Management of security attributes (FMT_MSA)
  • Management of TSF data (FMT_MTD)
  • Revocation (FMT_REV)
  • Security attribute expiration (FMT_SAE)
  • Specification of Management Functions (FMT_SMF)
  • Security management roles (FMT_SMR)
CLASS FPR: PRIVACY
  • Anonymity (FPR_ANO)
  • Pseudonymity (FPR_PSE)
  • Unlinkability (FPR_UNL)
  • Unobservability (FPR_UNO)
CLASS FPT: PROTECTION OF THE TSF
  • Fail secure (FPT_FLS)
  • Availability of exported TSF data (FPT_ITA)
  • Confidentiality of exported TSF data (FPT_ITC)
  • Integrity of exported TSF data (FPT_ITI)
  • Internal TOE TSF data transfer (FPT_ITT)
  • TSF physical protection (FPT_PHP)
  • Trusted recovery (FPT_RCV)
  • Replay detection (FPT_RPL)
  • State synchrony protocol (FPT_SSP)
  • Time stamps (FPT_STM)
  • Inter-TSF TSF data consistency (FPT_TDC)
  • Testing of external entities (FPT_TEE)
  • Internal TOE TSF data replication consistency (FPT_TRC)
  • TSF self test (FPT_TST)
CLASS FRU: RESOURCE UTILISATION
  • Fault tolerance (FRU_FLT)
  • Priority of service (FRU_PRS)
  • Resource allocation (FRU_RSA)
CLASS FTA: TOE ACCESS
  • Limitation on scope of selectable attributes (FTA_LSA)
  • Limitation on multiple concurrent sessions (FTA_MCS)
  • Session locking and termination (FTA_SSL)
  • TOE access banners (FTA_TAB)
  • TOE access history (FTA_TAH)
  • TOE session establishment (FTA_TSE)
CLASS FTP: TRUSTED PATH/CHANNELS
  • Inter-TSF trusted channel (FTP_ITC)
  • Trusted path (FTP_TRP)

Security Assurance Requirements (SARs)

Class名の最初のAが「Assurance」?

CLASS ASE: SECURITY TARGET EVALUATION
  • ST introduction (ASE_INT)
  • Conformance claims (ASE_CCL)
  • Security problem definition (ASE_SPD)
  • Security objectives (ASE_OBJ)
  • Extended components definition (ASE_ECD)
  • Security requirements (ASE_REQ)
  • TOE summary specification (ASE_TSS)
CLASS ADV: DEVELOPMENT
  • Security Architecture (ADV_ARC)
  • Functional specification (ADV_FSP)
  • Implementation representation (ADV_IMP)
  • TSF internals (ADV_INT)
  • Security policy modelling (ADV_SPM)
  • TOE design (ADV_TDS)
CLASS AGD: GUIDANCE DOCUMENTS
  • Operational user guidance (AGD_OPE)
  • Preparative procedures (AGD_PRE)
CLASS ALC: LIFE-CYCLE SUPPORT
  • CM capabilities (ALC_CMC)
  • CM scope (ALC_CMS)
  • Delivery (ALC_DEL)
  • Development security (ALC_DVS)
  • Flaw remediation (ALC_FLR)
  • Life-cycle definition (ALC_LCD)
  • Tools and techniques (ALC_TAT)
CLASS ATE: TESTS
  • Coverage (ATE_COV)
  • Depth (ATE_DPT)
  • Functional tests (ATE_FUN)
  • Independent testing (ATE_IND)
CLASS AVA: VULNERABILITY ASSESSMENT
  • Vulnerability analysis (AVA_VAN) <= 出た!一番よくみるやつ!^^
CLASS ACO: COMPOSITION
  • Composition rationale (ACO_COR)
  • Development evidence (ACO_DEV)
  • Reliance of dependent component (ACO_REL)
  • Composed TOE testing (ACO_CTT)
  • Composition vulnerability analysis (ACO_VUL)

www.ipa.go.jp

Common Criteria Quick Reference Card

Common Criteria (ISO/IEC 15408) - CCRA vs. SOG-IS MRAとは

略語

  • CCRA : Common Criteria Recognition Arrangement. 国際承認アレンジメント
  • SOG-IS : Senior Officials Group – Information Systems Security. EUのCommon Criteriaアドバイザリー団体
  • MRA : Mutual recognition agreements. 相互承認アグリーメント
  • cPP : Collaborative Protection Profiles

ポイント

  • ざっくりいうとCCの国際間相互認証がCCRA、そのCCRAのEU版がSOG-IS (Agreement)若しくはSOG-IS MRA。
  • CCRA
    • CC認証に対して、全世界の国が対象の相互承認。CC認証が国ごとにばらばらだと意味がないので、このような国際承認アレンジメントを策定
    • The primary goal of the arrangement is to ensure that IT products and protection profiles which earn a Common Criteria certificate can be procured or used without the need for further evaluations.
  • SOG-IS MRA
    • EU加盟国のみが対象。ざっくり言うと、CCRAのEU版。CCRAの後にCCRAの足りない部分等を修正する形で、このようなスキームを策定
    • SOG-IS mainly focusses on coordinating evaluation activities around Common Criteria among European Certification Bodies (also to gain a strong standing within CCRA) and to coordinate the development of Protection Profiles. I

Link

www.linkedin.com

www.commoncriteriaportal.org

www.ipa.go.jp

smartcardguy.hatenablog.jp

MRTD / eMRTDとは

ポイント

  • 国際民間航空機関(ICAO)が策定した標準
  • MRTD : Machine Readable Travel Document (機械可読旅行文書)。ICチップ入りパスポートで使われる規格。
  • eMRTD : Electronic MRTD (電子機械可読旅行文書)。上記MRTDに非接触機能を追加したもの(非接触通信でISO / IEC 14443標準プロトコル)。

Link

Basic concepts of MRTD and eMRTD

https://www.icao.int/meetings/tag-mrtd/tagmrtd22/tag-mrtd-22_wp24.pdf

その他

www.positive-one.com