2015年12月22日火曜日

Happy Holidays from Sightline 2015

HAPPY HOLIDAYS FROM SIGHTLINE

We wish you a Merry Christmas and a happy and healthy New Year.



---

2015年12月1日火曜日

CEO Brandon Witte緊急来日

米国サイトラインシステムズからCEO Brandon Witteが緊急来日。挨拶をさせていただきます。
会場でお会いしましょう。

http://blog.sightlinesystems.co.jp/2015/11/Stratus-Seminar-cdm-eE.html


CEO Brandon Wjtte


---

2015年11月9日月曜日

DHS CDM(2/)

DHS(米国国土安全保障省)/CDM(Continuous Diagnostics and Mitigation)(継続的な診断と緩和)


継続的な診断と緩和(CDM)


DHSはCDMプログラムの目的を以下のように述べています。

CDMプログラム策定の目的

重要な情報の提供、政府サービスへのアクセスの有効化、機密情報の格納/保存など情報通信技術は基本的な政府活動にますます必要不可欠になっています。
社会インフラのコネクティビティ(接続性)の高度化により、政府へのアクセスが改善された一方で、共通のサイバーセキュリティ・リスクの範囲や複雑さもまた増加しています。
米国連邦政府のネットワークへのサイバー攻撃は、より洗練されダイナミックに成長しつづけています。継続的にプライバシー保護、公民権、市民の自由に不可欠なサービス提供し、政府がネットワーク、システムや情報を、不正アクセスから保護することが非常に重要となります。
継続的な診断と緩和(CDM)プログラムは、政府のネットワークとシステムのサイバーセキュリティを強化するためのダイナミックなアプローチです。CDMは継続的にサイバーセキュリティのリスクを特定する機能やツールを連邦省庁や政府機関に提供し、潜在的影響に基づいてこれらのリスクの優先順位を決定し、サイバーセキュリティ担当者が最も重要な問題を緩和できるようにします。
アメリカ連邦議会は、適切でリスク・ベースで費用対効果のよいサイバーセキュリティを提供し、さらに効率的にサイバーセキュリティのリソースを割り当てるために、CDM プログラムを設立しました。
(DHS CDM homeより翻訳引用)


CDMプログラム策定の背景


DHS CDMプログラムのトレーニング資料に記載されている、CDMプログラム策定の背景となる、米国連邦政府ITネットワークシステムにおいて、3日、3か月、3年毎に発生しているイベント紹介します。

毎3日

  • 数兆単位のサイバー・イベントの発生
  • 数億単位のシステム障害の可能性、ハードウェア、ソフトウェア、およびアカウントの変更
  • インターネットスピードにおける数百万単位のサイバー攻撃
  • 数千単位の新規障害/脆弱性/欠陥の告知
  • 数百単位のサイバー攻撃の成功

毎3ヶ月

  • 10,000以上のサイバー攻撃が成功
  • これらの攻撃に対しての修復の数は未知数
  • テラバイト単位のデータの盗難
  • 7,200以上のレポート作成
  • 何百もの労働時間が浪費

毎3年

  • 数千のアセスメント等の様々なレポートが作成され発行
  • ITシステム修復に3から9ヶ月は必要
  • レポートが印刷された時点では時代遅れ

コスト

我々のコスト見積の結果、マニュアルのプラン、レポートと監査のコストは1年で$600Mから$1.9B、1ページあたり1400ドルとなります。
We estimate that these manual plans, reports, and audits cost between $600M and $1.9B a year, at a cost of $1,400 per page.
(DHS CDM Training Manualより引用)

DHS CDM Training Manualより



DHS US-Cert CDM home:
CDM(Continuous Diagnostics and Mitigation)


---

2015年11月8日日曜日

SOX-サーベンス・オクスリー法

上場企業会計改革および投資家保護法(Public Company Accounting Reform and Investor Protection Act of 2002:サーベンス・オクスリー法、企業改革法、SOX法)


2000年代に入ってから続発したエンロン事件(2001)やワールドコム事件(2002)等の巨額の粉飾決算事件を機に、投資家に対する不信感に陥った証券市場に対して信頼を回復するために、米国で2002年に策定された、投資家保護を目的とした企業会計の不正対処のため、上場企業の財務報告と、そのプロセスに関して厳格に規制を定義した法律です。

名称からも分かるように、投資家保護を最大の目的として、企業会計の不正に対処するため、上場企業の財務報告と、そのプロセスに関して厳格に規制した法律です。
  • コーポレート・ガバナンス(企業統治)の強化
    • 企業の内部牽制(コンコンプライアンス)を行う仕組みや不正行為防止する機能
  • 正確な財務情報の提供
    • 最高経営責任者であるCEOと最高財務担当責任者であるCFOは、自社の財務情報に関する開示が適正であることを宣誓する。(302条)
  • 会計監査制度の改革
    • 独立した外部の公認会計士や監査法人は、財務情報の監査だけでなく、内部統制に関する監査も要求可能。(404条)

監査人の独立性(201~209条)、財務ディスクロージャーの強化(401~409条)、証券アナリストの独立性と行動規範(501条)、 ホワイトカラー犯罪に対する規制強化(901~906条)などの規定があります。


---

Basel III

Basel III(バーゼル3)


バーゼル3とは、バーゼル銀行監督委員会が2010年に発表した、グローバルな銀行の自己資本比率や流動性比率等に関する国際統一基準のことです。

  • 1988年: バーゼル合意
    • 銀行の自己資本比率に関する規制
  • 2004年: バーゼル2
    • バーゼル合意の内容を見直しと金融機関のリスクを反映
  • 2004年: バーゼル3
    • グローバルに業務を展開している銀行の自己資本の質と量の見直
バーゼル3では、2008年-2009年の世界的な金融危機を教訓に、仮に銀行が経営危機に見舞われても、返済不要の普通株などによる資金を十分に 持っていれば、損失を穴埋めできて危機を回避できるという考え方となっている。

バーゼル銀行監督委員会


G10諸国の中央銀行総裁会議をもとに、現在では日本を含む27の国・地域の銀行監督当局および中央銀行により構成された、
銀行を対象とした国際金融規制を議論する委員会(第1回会合は1975年)です。

財務省: 国際金融規制(バーゼル規制)


---

DHS CDM(1/)

DHS(米国国土安全保障省)/CDM(Continuous Diagnostics and Mitigation)(継続的な診断と緩和)

米国政府により、2002年に策定された、FISMA(FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)と呼ばれる法律を策定し、それにしたがNIST(米国国立標準技術研究所: National Institute of Standards and Technology)が、「FISMA導入プロジェクト (The FISMA Implementation Project)」 を立ち上げ、情報セキュリティに関連する様々な標準規格(FIPS)、ガイドライン(SP800シリーズ)の策定を行いました。

CDM(Continuous Diagnostics and Mitigation)(継続的な診断と緩和)とは、DHS(米国国土安全保障省)が、それらの成果物を活用し米国政府のサイバーセキュリティ問題に対してプロアクティブな対策を施すことが目的で2013年に策定された、FISMAに適合した米国連邦および関連組織に対してのサイバー・セキュリティ・対策プログラムです。

多くのサイバー攻撃は、ITシステムの基本的な脆弱性(Vulnerability)に着目して攻撃を行います。CDMプログラムは、この点に着目して一時的な脆弱性診断レポートを行うことで対策をするのではなく、継続的に脆弱性診断を行い、その対策を常に継続し続けることを目的としています。

DHSとGSA(米連邦調達局)は、CDMプログラムを連邦政府機関に導入するために多大な予算を計上し、最終的には、何十億ドルという規模で州や地方の公共機関に展開する目標を掲げています。

DHS CDM サイトより


DHS US-Cert CDM home:
CDM(Continuous Diagnostics and Mitigation)

DHS CDM(2/)

---

2015年7月2日木曜日

NIST(米国国立標準技術研究所)

NIST(National Institute of Standards and Technology: 米国国立標準技術研究所)

NIST(National Institute of Standards and Technology: 米国国立標準技術研究所)とは、科学技術分野における計測と標準に関する研究を行う米国の国立の計量標準研究所で、米国商務省配下の技術部門の非監督(non-regulatory)機関です。

ミッションとして、
米国の技術革新や産業競争力を強化するために、経済保障を強化して生活の質を高めるように計測学、規格、産業技術を促進すること。
Promote U.S. innovation and industrial competitiveness by advancing measurement science, standards, and technology in ways that enhance economic security and improve our quality of life.
としています。

日本における同等の機関としては、総務省所管の国立研究開発法人である国立研究開発法人情報通信研究機構(NICT: National Institute of Information and Communications Technology)が相当します。

NIST配下には、情報技術に関する研究を行っているITL(Information Technology Laboratory)と呼ばれる研究部門が存在します。ITLの中で情報セキュリティに関して研究を行い、FISMA推進プロジェクト関連のFIPSやSP800シリーズのドキュメントを発行しているのが、CSD(Computer Security Division)と呼ばれる部門です。

NIST SP(Special Publications)800シリーズ

SP800シリーズは、米国の政府機関および関連機関がセキュリティ対策を実施するために利用するドキュメントです。、 内容は、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関して広範囲を網羅します。

FIPS(Federal Information Processing Standards)

米国商務長官の承認を受けて、米国政府および関係機関を対象とする情報セキュリティ関連のドキュメントです。推奨するマネジメントや要求事項、暗号化やハッシュ化、認証、デジタル署名およびLANのセキュリティなど、分野別に、詳細な基準や要求事項、ガイドラインを示し、政府機関のみならず、民間企業にとっても、情報セキュリティ対策を考える上で有用なドキュメントです。


NIST(National Institute of Standards and Technology: 米国国立標準技術研究所):
http://www.nist.gov/ 
NIST ITL:
http://www.nist.gov/itl/
NIST FIPS:
http://csrc.nist.gov/publications/PubsFIPS.html
NIST SP800シリーズ:
http://csrc.nist.gov/publications/PubsSPs.html
FISMA(Federal Information Security Management Act):
http://www.dhs.gov/federal-information-security-management-act-fisma
NICT(国立研究開発法人情報通信研究機構)
http://www.nict.go.jp/


---

2015年6月28日日曜日

DHS(米国合衆国国土安全保障省)

DHS(The Department of Homeland Security: 国土安全保障省)

アメリカ同時多発テロ事件(9.11事件)(2001年9月11日)において、数多くの有益な情報が、FBI、CIA、軍の諜報機関等の多数の連邦政府機関により収集されたにもかかわらず、その情報を連携利用することができずに9.11事件を未然防止することができませんでした。

この事実を問題視したアメリカ合衆国議会の主導によって起案され、
ジョージ・W・ブッシュ第43代アメリカ合衆国大統領が署名し、2002年11月25日に、22の国内関連組織や機関を統合し、総勢17-18万人(現在は20万人以上)の人員を有する巨大組織が設立されました。近年50年の国家安全保障法以来の規模での政府関連機関再編の結果、アメリカの行政機関の内、3番目に巨大な省として設立しました。
ちなみに1番は国防総省であり、2番は退役軍人省です。

“Preserving our Freedoms, Protecting America”
"我等の自由を保ち、アメリカを守る"

上記をモットーとし平時・戦時にかかわらず24時間体制で活動し、大統領の命令配下に存在するとされます。

サイバーセキュリティに関係する部局は、National Cybersecurity and Communications Integration Center のUS-Certです。

DHS:
http://www.dhs.gov/

DHS Cyber Security Topic:
http://www.dhs.gov/topic/cybersecurity

DHS National Cybersecurity and Communications Integration Center U-Cert:
https://www.us-cert.gov/



---

米国サイバーセキュリティ対策の転換点

FISMA(連邦情報セキュリティマネジメント法)

米国の情報システムセキュリティ対策(サイバーセキュリティ対策は)、2001年9月11日にアメリカ合衆国で発生した、米国同時多発テロ事件(9.11)の以前と以後では大きく変貌しました。もちろん、2001年以前から情報セキュリティ対策に関しての規格等の策定を行っていたのですが、9.11以後に質と量を伴い加速しました。

これは米国政府がFISMA(FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)と呼ばれる法律を策定し、連邦政府機関とその納入業者に情報セキュリティを順守することを義務づけたためです。この法律にしたがいNIST(米国国立標準技術研究所: National Institute of Standards and Technology)が情報セキュリティに関連する様々な標準規格(FIPS)、ガイドライン(SP800シリーズ)の策定を行いました。
“Each federal agency shall develop, document, and implement an agency-wide information security program to provide information security for the information and information systems that support the operations and assets of the agency, including those provided or managed by another agency, contractor, or other source…” --- Federal Information Security Management Act of 2002 (Title III of the E-Government Act)

FISMA導入プロジェクト

NISTでは2003年1月に「FISMA導入プロジェクト (The FISMA Implementation Project)」 を立ち上げ、情報システムのセキュリティを強化し安全に運用するための様々な規格やガイドラインを策定
目的:連邦政府の情報セキュリティ強化に寄与する(FISMAへの準拠)
フェーズI :FISMA関連のセキュリティ規格(FIPS: Federal Information Processing Standardization)およびガイドライン(SP-800シリーズ(Special Publication-800))の開発・策定、FIPS, NIST SP800シリーズ2007年8月おいてFISMA導入プロジェクト関連文書は、ほぼ策定済み。(2003-2007)
フェーズII : セキュリティ評価機関を認定するプログラムの開発(2007-2009)
ISAP, SCAP
フェーズIII: セキュリティ評価ツール検証プログラムの開発(2007-2009)
(フェーズIIIは,単独のフェーズとしてではなく,フェーズIIに組み込まれ、既存のIT製品のテスト,評価や検証プログラムを利用します)

FISMA(Federal Information Security Management Act):
http://www.dhs.gov/federal-information-security-management-act-fisma
NIST:
http://www.nist.gov/
NIST FIPS:
http://csrc.nist.gov/publications/PubsFIPS.html
NIST SP800シリーズ:
http://csrc.nist.gov/publications/PubsSPs.html

IPA 独立行政法人情報処理推進機構へのリンク
情報セキュリティ向上のための米国の取り組み


---

2015年6月23日火曜日

アライドテレシス ユニファイド・ソリューションセミナー広島6月16日

6月16日に開催されたアライドテレシス ユニファイド・ソリューションセミナー広島はたくさんのお客様に参加していただきました。


.Net Monitorご紹介


教育ICTインフラへの適応




---