3 脆
3. クラウドセキュリティに関わる標準化
・クラウド関連の情報セキュリティマネジメント規格の発行、策定作業が進む。
ISO/IEC 27018:2014(データ保護)は発行済み、 ISO/IEC DIS 27017(クラウドセキュリティ)、ISO/IEC WD 27036-4(供給者関係)は策定中
・クラウドセキュリティ監査に関する技術ガイドを日本からISOに新たに提案 ISO/IEC 27008 Annex C として策定中
・ 経産省が「クラウドセキュリティ監査制度の見直し」に着手
ISO/IEC 27001、27002の2013年改訂を踏まえ、「情報セキュリティ管理基準」および「クラウド情報セキュリティ 管理基準」の改訂を検討
2014年 7 月 2014年 7 月 2014年10月 2014年10月
経産省 平成26年度サイバーセキュリティ経済基盤構築事業 (クラウドセキュリティ監査制度の見直し)の公告 ISO/IEC 27018:2014 パブリッククラウドにおける個人識別情報(PII)の保護のための実施基準が発行 ISO/IEC 27017(クラウドセキュリティ)のDIS(Draft International Standard:国際規格原案)への移行 が決定
Cloud security Assessment and Audit Based on ISO/IEC 27017が提案され、WD(Working Draft: 作業原案)への移行が決定、ISO/IEC 27008 Annex Cへ
クラウドセキュリティに関わる標準化動向
ISOを軸に進むクラウドセキュリティの標準化
【総務省】 【ISO】 【経済産業省】
クラウドサービス利用のための 情報セキュリティマネジメントガイドライン
情報セキュリティ管理基準(2008年改訂)
情報セキュリティ管理基準
(2015年改正版) クラウドサービス利用のための情報 セキュリティマネジメントガイドライン
(改訂版)
JASA クラウド情報セキュリティ 管理基準(2012)
JASA クラウド情報セキュリティ 管理基準(2014)
JASA クラウド情報セキュリティ 管理基準(2015年改訂版) クラウドサービス提供における
情報セキュリティ対策ガイドライン
2003年策定、2008年改訂 2011年4月
2014年3月
2012年9月
2014年5月
2015年10月以降? 2015年夏以降?
2015年10月予定 2013年10月
2014年4月
ISO/IEC 27001:2005 ISMS Requirements
ISO/IEC 27017:2015 Cloud Services ISO/IEC 27002:2005
Code of Practice
ISO/IEC 27001:2013 ISMS Requirements ISO/IEC 27002:2013
Code of Practice
ISOに提案
2. AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
5 2
0 1 4 年 度 の サ イ バ ー セ キ ュ リ テ ィ 関 連 ト ピ ッ ク
【調査AとBの結果】
・1,000件中、JavaScript連携機能が含まれたアプリケーションは292件(29.2%)であった。
・JavaScript連携機能が含まれたアプリケーション292件のうち、アノテーションが付与されいなかったアプリケー ションは193件(66.10%)であった。
・前述の通り、アノテーションが付与されていない場合は、設定されたパーミッションを最大限に利用できてしまう。
しかし、悪意がないにもかかわらずアノテーションを付与できない理由としては、以下が想定される。
・Android 4.2以前の端末も動作対象としており、アノテーション機能が利用できない。
・アプリケーションの修正が追い付いていない。
・JavaScript連携による脆弱性を認識していない。
【調査Cの結果】
・WebViewを使ってWebサーバから情報を取得するという機能であるため、インターネット接続パーミッション が設定されていたのは290件(99.32%)であり、非常に多い。
・利用者情報(高い精度で利用者を一意に特定できる情報およびそれに紐づいた個人的な履歴、趣味嗜好などの情報)
を取得可能とするパーミッションが設定されていたのは233件(79.79%)であり、多い。
・WebViewの接続先が不正サイトであった場合、利用者情報が漏えいしてしまう可能性がある。また、最初の接続先 が正規サイトであった場合でも、リダイレクトにより同様の被害が起こる可能性がある。
・WebViewを用いたアプリケーションは非常に便利である一方、脆弱性も生み出しやすい。特に、パーミッションが多 く設定されているアプリケーションについては、アノテーション機能が必須であると言える。 また、開発元である Googleは、旧バージョン(Android 4.3以下)におけるWebViewの脆弱性は、以後修正しない旨を2015年1月24日 に発表している*3。
・以上から、 WebViewを用いたアプリケーションを利用する際は、可能な限りAndroid4.4以降の端末を使うことが 推奨される。
調査結果と考察
まとめ
■JavaScript連携機能とアノテーションの有無
*3:Adrian Ludwig Google+ 参照:https://plus.google.com/+AdrianLudwig/posts/1md7ruEwBLF
JavaScript なし:708連携機能
JavaScript あり:292連携機能
アノテーション あり:99
アノテーション なし:193
3. クラウドセキュリティに関わる標準化
・クラウド関連の情報セキュリティマネジメント規格の発行、策定作業が進む。
ISO/IEC 27018:2014(データ保護)は発行済み、 ISO/IEC DIS 27017(クラウドセキュリティ)、ISO/IEC WD 27036-4(供給者関係)は策定中
・クラウドセキュリティ監査に関する技術ガイドを日本からISOに新たに提案 ISO/IEC 27008 Annex C として策定中
・ 経産省が「クラウドセキュリティ監査制度の見直し」に着手
ISO/IEC 27001、27002の2013年改訂を踏まえ、「情報セキュリティ管理基準」および「クラウド情報セキュリティ 管理基準」の改訂を検討
2014年 7 月 2014年 7 月 2014年10月 2014年10月
経産省 平成26年度サイバーセキュリティ経済基盤構築事業 (クラウドセキュリティ監査制度の見直し)の公告 ISO/IEC 27018:2014 パブリッククラウドにおける個人識別情報(PII)の保護のための実施基準が発行 ISO/IEC 27017(クラウドセキュリティ)のDIS(Draft International Standard:国際規格原案)への移行 が決定
Cloud security Assessment and Audit Based on ISO/IEC 27017が提案され、WD(Working Draft: 作業原案)への移行が決定、ISO/IEC 27008 Annex Cへ
クラウドセキュリティに関わる標準化動向
ISOを軸に進むクラウドセキュリティの標準化
【総務省】 【ISO】 【経済産業省】
クラウドサービス利用のための 情報セキュリティマネジメントガイドライン
情報セキュリティ管理基準(2008年改訂)
情報セキュリティ管理基準
(2015年改正版)
クラウドサービス利用のための情報 セキュリティマネジメントガイドライン
(改訂版)
JASA クラウド情報セキュリティ 管理基準(2012)
JASA クラウド情報セキュリティ 管理基準(2014)
JASA クラウド情報セキュリティ 管理基準(2015年改訂版)
クラウドサービス提供における 情報セキュリティ対策ガイドライン
2003年策定、2008年改訂 2011年4月
2014年3月
2012年9月
2014年5月
2015年10月以降?
2015年夏以降?
2015年10月予定 2013年10月
2014年4月
ISO/IEC 27001:2005 ISMS Requirements
ISO/IEC 27017:2015 Cloud Services ISO/IEC 27002:2005
Code of Practice
ISO/IEC 27001:2013 ISMS Requirements ISO/IEC 27002:2013
Code of Practice
ISOに提案
2. AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
サ イ バ ー セ キ ュ リ テ ィ
年 次 報 告 書
6 外部動向
第6章では、外部の動向として、国内および海外のサイバーセキュリティ政策関連動向について報告する。
2014年度は、世界各国でサイバー攻撃の脅威に対する認識が進み、サイバーセキュリティに関する国家戦略の策定が 行われた。日本においても、内閣官房情報セキュリティセンタ(NISC)による「サイバーセキュリティ戦略」の決定、
国家安全保障局、通称「日本版NSC」の誕生、防衛省・自衛隊によるサイバー防衛隊新編などがあった。
サイバーセキュリティ基本法の成立
●サイバーセキュリティ基本法
関係官庁の取り組み(総務省)
●内閣官房サイバーセキュリティセンター設置などの組織改編
サ イ バ ー セ キ ュ リ テ ィ
年 次 報 告 書
6 外部動向
第6章では、外部の動向として、国内および海外のサイバーセキュリティ政策関連動向について報告する。
2014年度は、世界各国でサイバー攻撃の脅威に対する認識が進み、サイバーセキュリティに関する国家戦略の策定が 行われた。日本においても、内閣官房情報セキュリティセンタ(NISC)による「サイバーセキュリティ戦略」の決定、
国家安全保障局、通称「日本版NSC」の誕生、防衛省・自衛隊によるサイバー防衛隊新編などがあった。
サイバーセキュリティ基本法の成立
2014年、サイバーセキュリティ法制に関する最大のトピックは、サイバーセキュリティ基本法の成立である。
それに伴い、内閣官房サイバーセキュリティセンタが設置され、わが国のサイバーセキュリティ推進体制が強化された。
サイバーセキュリティ基本法は、サイバーセキュリティの確保が国家戦略として喫緊の課題になった状況をふまえ、
2014年秋の臨時国会、参議院で10月29日に可決された後、11月6日の衆議院本会議においても賛成多数で可決され、
成立した。
サイバーセキュリティ基本法は、以下のような構成である 第1章 総則
第2章 サイバーセキュリティ戦 略 第3章 基本的施策
第4章 サイバーセキュリティ戦略本部
●サイバーセキュリティ基本法
関係官庁の取り組み(総務省)
通信の秘密などに配慮した適切な最新のサイバー攻撃対応検討のための研究会を開催
官公庁・大企業などのLAN管理者のサイバー攻撃への対応能力向上を狙い実践的なサイバー防御演習実施
・ 2014年4月4日 総務省が2013年11月から開催していた「電気通信事業におけるサイバー攻撃への適正な対処の 在り方に関する研究会」での結果報告書が公表され、それに伴う意見募集の結果が公表された。 サイバー攻撃が巧妙 化、複雑化する中で、電気通信事業者が通信の秘密などに配慮した適切な対応を行うことが可能となることを目的とし ており、優先的に対応すべき課題とその対策を洗い出し、これらについて集中的に、技術的・制度的な観点から議論を 行った。具体的には、以下の課題の検討を行っている。
・ マルウェア感染駆除の拡大
・ 新たなDDoS攻撃であるDNSAmp攻撃の防止
・ SMTP認証の情報(IDおよびパスワード)を悪用したSPAMメールへの対処
参照 : http://www.soumu.go.jp/menu̲news/s-news/01ryutsu03̲02000074.html
この研究会報告書をふまえ、インターネットの安定的な運用に関する協議会では、「電気通信事業者における大量通信 などへの対処と通信の秘密に関するガイドライン」の改定第3版を発行した。
*電気通信事業者における大量通信などへの対処と通信の秘密に関するガイドラインの改定について 参照 : http://www.jaipa.or.jp/topics/?p=695
また、サイバーセキュリティ基本法に基づき、2015年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時 に、内閣官房に「内閣サイバーセキュリティセンター(NISC)」が設置された。
従来のわが国情報セキュリティ政策は、官民の統一的セキュリティ対策を推進する情報セキュリティ政策会議と、基本 戦略の立案をなどを担当する内閣官房情報セキュリティセンター(NISC)が中心であった。しかし、法的な根拠、権限が 不明確というような指摘もあり、今回のサイバーセキュリティ基本法成立により、サイバーセキュリティ戦略案策定や 政府機関の基準作成を行うサイバーセキュリティ本部と、GSOCに関する事務、原因究明調査に関する事務、監査など に関する事務のほか、サイバーセキュリティに関する企画・立案、総合調整を行う内閣官房サイバーセキュリティセン ターの緊密な連携により、わが国のサイバーセキュリティ戦略は推進されることとなったのである。
●内閣官房サイバーセキュリティセンター設置などの組織改編