Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

オーストラリア宇宙司令部は敵の衛星を破壊する「ソフト・キル」機能を推進ならびに米国宇宙軍トップはオーストラリアがロシア等による宇宙戦争作戦を実施するための主要な場所になる可能性を指摘

2023-03-04 15:35:04 | 宇宙軍事利用

 3月3日付けのABC newsによると、オーストラリア国防軍(ADF)の防衛宇宙司令官キャサリン・ロバーツ(Catherine Roberts)航空副中将は、オーストラリアは、宇宙に危険な破片を作成せずに敵の衛星を破壊する「ソフト・キル(soft-kill)」(非破壊)機能を取得する計画が進んでいると述べた。

Catherine Roberts氏

  ところで、果たしてここに引用された「非破壊」(ソフト・キル)とは宇宙軍事的に見ていかなる概念か?筆者なりに専門外であるが関係レポートを検索してみた。その中で興味深く読んだのはインドの大手シンクタンクORF(Observation Research Foundation)上級フェローであるカルティック・ボンマカンティ(Kartik Bommakanti)氏の論文「『ソフト・キル』または『ハード・キル』?インドの宇宙および対宇宙能力の要件(‘Soft Kill’ or ‘Hard Kill’?The Requirements for India’s Space and Counter-Space Capabilities)」であった。

Kartik Bommakanti氏

 その冒頭を読むと、宇宙兵器はその能力に基づいて「ソフト・キル」と「ハード・キル」の 2 つのグループに分類できる。ハード・キル宇宙兵器には運動エネルギー兵器(KEW)が含まれ、ソフト・キル宇宙兵器には電子戦手段(ジャミングなど)やレーザーなどの直接エネルギー兵器(DEW)が含まれる。

 中国は 2007 年 1 月に最初の KEW をテストした。これは、改良型の DF-21 二段式中距離弾道ミサイル (MRBM) である。北京はこの武器を配備して、運用されていない気象衛星である Fengyun-1C (FY-1C) を地表から 863 km の高度で破壊した。それ以来、中国は一連のハードキルおよびソフトキル能力の開発に着手してきた。それに比べて、インドの宇宙兵器開発への取り組みは限定的だ。2019 年 3 月 27 日、ナレンドラ ・モディ政権は KEW を使用して対衛星 (ASAT) テストを実施し、Microsat-R と呼ばれる小型の地球観測 (EO) 衛星を破壊した。このテストの前に、動的迎撃能力をテストして取得することのとのメリットについて、インドの軍関係者、戦略家、科学者、技術者の間で広範な議論があった。以下は略すが、大国インドにとって中国に宇宙兵器をコアとする宇宙軍事能力の問題は極めて重要な問題であることは間違いない。

 同論文はかなり大部(全46頁)であり、かつ専門的である。機会を見て取り上げたい。

 また、ABC newsやAFP記事を読む中で、もうすでに宇宙戦争が始まっているという警告が出ていることも明らかとなった。この問題はさらに重要かつ緊急性がある問題であり、別途ブログをまとめる。

**********************************************

 以下で、ABCnews記事2本をもとに仮訳する。

1.オーストラリアの宇宙司令部は、敵の衛星を破壊する「ソフト・キル」機能を推進している

2023.3.3 ABC news「オーストラリアの宇宙司令部は、敵の衛星を破壊する「ソフト・キル」機能を推進している」を仮訳する。

【キーポイント】

・ADF宇宙軍司令官は、攻撃を抑止したり、敵の衛星を妨害したりする「非破壊」(ソフト・キル)機能を迅速に確保する必要があると述べている。

・改善された宇宙能力は、国防戦略レビューの中心的な勧告であると考えられている。

・防衛宇宙司令部の発足以来、宇宙の衛星の数は 2 倍以上になり、約 8,000 になっている。

 宇宙軍司令部が設立されてから 1 年が経ち、宇宙司令官のキャサリン・ロバーツ氏は、その初期の活動と、宇宙におけるオーストラリアの不動産資産にもたらされた予言について最新情報を提供した。

 ロバーツ司令官は、2022年3月に防衛宇宙司令部が発足して以来、宇宙の衛星の数は2倍以上になり、約8,000になったといわれている。

 「攻撃を抑止したり、確実に干渉したりできる電子戦能力をどのように持つことができるかを検討することは、我々が行おうとしている場所の非常に重要な部分だと思う 」

 オーストラリアの宇宙司令官は、アバロン航空ショーで講演し、彼女の組織(宇宙軍司令部)は敵の衛星を破壊するための「ソフト・キル」または「非破壊」能力を迅速に検討する必要があると述べた。

 「衛星への攻撃を抑止できるレベルの能力を想定していることにお答えしたい…非動的な手段を通じて、ある程度の影響を与えることができる」

提供: Pexels/Space X

 2022年、 米国宇宙軍のトップメンバーはオーストラリアを「虹の果てにある金の壺」と表現し、同国の地理は将来の宇宙作戦にとって「素晴しい」ものであると述べた。

 ロバーツ中将は「地理は本当に重要である。私は保護するために見ることができる必要があり、ここから多く見ることができる。そして、それは地面からの非動的効果にも当てはまる。なぜなら、それはあなたが見ることができ、どこに影響を与えることができるからである。それは私たちがどこへ行くかの非常に重要な部分だと思う…攻撃を抑止したり、[敵の衛星と]確実に干渉したりできるようにするために、そのような電子戦タイプの能力をどのように持つことができるかを検討している」と語った。

中国は2022年、米国より多くの人工衛星を立ち上げた

  宇宙能力の向上は、国防戦略レビューの中心的な問題であると考えられており、豪州政府は今後数日または数週間以内に正式に対応する予定である。

  ロバーツ中将は「精密誘導兵器の『精密誘導』を行うには、宇宙へのアクセスが必要である。情報、監視、偵察に必要である。また、衛星通信システムを介した指揮統制にも必要である。私が言えることは、私が必要とする能力の多くにとって、オーストラリアの公共の範囲からも防衛の限界からも、スペースが絶対に明確であるという事実である。

 宇宙司令官は、中国は2022年,米国よりも多くの衛星起動を行ったと述べ、クリスマスの直前にサブネットワークにブリーフィングしていたのを覚えている。 「先週、40機以上の [中国の] 人工衛星が起動された」と語った。そのため、中国は定期的に打ち上げている。軌道上には非常に多くの衛星があり、そこにある8,000個の衛星の大部分を融合している」と述べた。

********************************************************

*防衛宇宙司令官キャサリン・ロバーツ航空副中将の経歴

 Air Forceサイトの解説を仮訳する。

 空軍副中将のキャサリン・ロバーツ氏は、初代防衛宇宙司令官である。

 防衛宇宙司令官として、 ロバーツ氏は100人以上のチームを率い、彼女の役割を使用して“スペース・ドメインの重要性に関する国の理解”を高めることを目指す。ただし、宇宙司令部の設置は挑発的な行為と見なされ、宇宙を戦闘空間と見なすべきではないという懸念がある。2022年オーストラリア連邦政府は投資する。今後10年間で70億豪ドル(約6440億円)の宇宙機能強化があり、最新の更新では 2036年までに170億豪ドル(約1兆5600億円)が投資され、宇宙能力の主要なギャップに対処すると発表した。

 しかし、宇宙の商業化が進むにつれ、宇宙資産はより重要になり、そのような国々は宇宙産業を管理するためにより積極的なアプローチを取る必要があるすが, おそらく、協力と研究についての議論をかき消している宇宙と軍事/争われた活動についての議論が増加している。(SPACE AUSTRALIA のSpace Commnder解説から抜粋)

 ロバーツ副中将は、1983 年にオーストラリア空軍に航空機研究開発部門の航空宇宙工学のスペシャリストとして入隊し、空軍でのキャリアを通じて 20 以上の役職を歴任してきた。

 ロバーツ副中将は、航空宇宙システム部門の責任者および空軍能力の責任者としての功績により、オーストラリア勲章のオフィサーであり、航空および宇宙の力の進歩にキャリアを捧げている。

 ロバーツ副中将は、主力戦闘機たるClassic Hornet、Hawk Lead-in FighterF/A-18E/F Super Hornet Growler(EA/18G)F-35A  の材料取得と維持を担当し、最近では Loyal Wingman と  M2 Cubesatプログラムを率いた。 2001 年に、同氏は初の合同指揮参謀大学に着手し、続いて合同耐空性調整機関に配属され、主要な航空能力の導入と、運用上の耐空性に関する規制と枠組みの確立における功績により、著名なサービスクロスを受け取つた。

 ロバーツ副中将は、キャリアの大部分を英国で過ごした。2005 年に彼女はロンドンの空軍顧問補佐に任命され、2007年に戦術戦闘機システム・プログラム オフィスを指揮し、2009 年から2011年に練習用航空機システム プログラム オフィスを指揮した。

 2013 年に ロバーツ副中将は F-35A 共同攻撃戦闘機プロジェクトに配属され、政府のプログラム承認を取得し、2014 年 12 月にアリゾナ州のルーク空軍基地で最初の 2 機のオーストラリア機が就役した。

 2016 年 3 月、ロバーツ副中将は航空宇宙システム部門の責任者に任命され、空軍のすべての固定翼資産の取得と維持を担当し、その後 2018 年に空軍機能の責任者として就任し、統合力のための空と宇宙軍事力のニーズと将来の要件の想像、設計、形成を担当した。

 ロバーツ副中将は、オーストラリア・エンジニア(Fellow of Engineers Australia)のフェローであり、オーストラリア企業取締役協会(Australian Institute of Company Directors)のメンバーであり、オーストラリア宇宙庁の諮問グループの防衛部門代表(Australian Space Agency Advisory Group Defence representative)でもある。 彼女は空軍 AFL の議長であり、防衛研究管理の修士号と航空宇宙工学の学士号を取得している。

*************************************

2.米宇宙軍幹部が宇宙軍の作戦上、オーストラリアの地理に注目

 2022.12.2 ABC news「米宇宙軍が作戦上、オーストラリアの地理に注目」を仮訳する。

 米国宇宙軍ニーナ・アルマーニョ中将(Lieutenant-General)は、オーストラリアは米国が宇宙作戦を実施するための主要な場所になる可能性があると語った。

 オーストラリア訪問中の上級米軍将校は、将来の宇宙作戦のためにこの大陸の「主要な」地理に目を向けているため、オーストラリアは「虹の果てにある金の壺」であると信じていると述べた。

【キーポイント】

・オーストラリアを訪問している米軍当局者は、今後数年間の宇宙での紛争は非常に現実的な見通しであると語る。

・彼らは、ウクライナでの戦争が、新たな戦闘領域として宇宙の重要性が増していることを示していると信じている。

・オーストラリアは南半球に位置し、赤道に近い潜在的な打ち上げ場所は、将来の宇宙軍の運用にとって魅力的な見通しである。

 米宇宙軍のトップランクのメンバーは、防衛関係者や地元の業界代表者と会い、新たな軍事領域における中国の能力の向上について警告している。

 米宇宙軍のニーナ・アルマーニョ中将はキャンベラで記者団に対し、「私は同盟国を訪問し、将来のパートナーシップについて話し合っている」と語った。

 「オーストラリアは宇宙領域の認知度が最も高い国である」と、米国宇宙軍のスタッフのディレクターは、オーストラリア戦略政策研究所(Australian Strategic Policy Institute)での講演中に付け加えた。 

 3つ星のニーナ・アルマーニョ中将は、地球上のアメリカの戦闘能力を担当する米国宇宙軍の副司令官であるジョン・ショー中将とともにキャンベラに旅行した。

 ショー中将は、「今後数年間の宇宙での紛争は非常に現実的な見通しであると警告し、潜在的な敵対者は衛星を首尾よく撃墜できることをすでに示している。

John Shaw氏

 それは、私たちが諜報(intelligence)、監視、偵察プラットフォームにおける衛星通信などの電波妨害(jamming)、または眩惑(目くらまし)の可逆的効果と呼んでいるものから始まる指向性エネルギー戦略の可能性がある」と彼は述べた。

 さらに、宇宙システムとアーキテクチャに対するサイバー攻撃である可能性がある。つまり、衛星だけでなく、リンク、地上ノード、およびユーザーアーキテクチャです。[そして]最終的には、ある種の運動活動につながる可能性がある」と述べた。

 オーストラリア訪問中の両軍将校は、ウクライナでの戦争が、新たな戦闘領域として宇宙の重要性が増していることを示していると信じている。

米国の新しい宇宙部門

 新しい宇宙軍宇宙司令部が戦争を行うためのものではないのなら、なぜ軍の一部なのか?

 2021年、ロシアは、自国の老朽化した衛星資産の 1 つを破壊するために、直接上昇する対衛星破壊実験を実施した。ショー中将は、別の潜在的な敵対者として、中国がこの分野で急速な進歩を遂げていると述べている。

 「ロシアや中国は確かに宇宙技術能力を非常に急速に進歩させた。正確な数字はわからないが、20 年前には衛星がほとんど有していなかったが、現在は数百の衛星を持っている。彼らは非常に急速に進歩した」とショー中将は述べた。

 オーストラリアの防衛宇宙司令部は2022年3 月に正式に発足したばかりであるが、アルマーニョ中将は、この国は南半球の地理と赤道に近い潜在的な発射場所という自然な利点をすでに持っていると述べている。

********************************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国FTCのセキュリティ原則:複雑なシステムにおけるリスクの根本的な原因に対処する具体施策の対応状況を解説

2023-03-04 07:44:25 | 情報セキュリティの新課題

 筆者の手元に米連邦取引委員会(FTC)(注1)から セキュリティ原則:複雑なシステムにおけるリスクの根本的な原因に対処するための具体的施策についてのレポート(Tech@ FTC)が届いた。

 FTCはその救済策を強化するためにどのように取り組んできたかを説明すること、さらにデータセキュリティとプライバシーのケースからのFTCが行った最近の命令規定のいくつかを強調し、それらがどのように体系的にリスクに対処しようとしているのかを説明するというものである。

 その内容を概観したが極めて基本的な指摘であることは言うまでもない。しかし、多くの企業の実務はなおこの指摘に応えていないことも事実である。

 今回のブログはFTCレポートを仮訳するとともに、注書きを追加して、わが国の一般読者でも理解できるよう工夫してみた。

*********************************************************************************

 2022 年 12 月 14 日、「チーム CTO (注2)」 の技術者およびFTCの消費者保護局(Bureau of Consumer Protection :BCP )の弁護士と協力して、連邦取引委員会(FTC)の 12 月14日の公開委員会会議で、委員会の命令に見られるセキュリティへの体系的なアプローチについてプレゼンテーションを行った。

1.複雑なコンピュータ・システムにおけるリスクの根本原因への対処

 過去 10 年間、コンピューター・システムの回復力の実践者の中で最も重要な人物の 1 人は、その麻酔科医(anesthesiologist)であった。複雑系の第一人者であるリチャード・クック博士(Richard I. Cook, MD)は、送電網、緊急治療室、航空管制、サーバー・ファーム(注3)に共通するものは何か?などの質問を投げかけた。そして、これらのシステムを操作する人々と、システムを確実に機能させるために彼らが行っていることについて、何を学ぶことができるか? などを論じた。

 それらの教訓の 1 つは、システムは実際の人間によって操作されるように設計されなければならないということである。組織が事故を見て、根本原因を「人的ミス」と宣言することは極めて一般的である。クック氏と彼の同僚は、ヒューマンエラーは実際には調査の始まりに過ぎないと主張している。システムは人間が間違いを犯しやすくしたのだろうか、 人間は、彼らがしていることのリスクについて警告されたか? それらの警告は、人間を疲れさせてメッセージに麻痺させるほどの頻度であったか?

 安全なシステムは、当然これらのことを考慮に入れている。彼らは調査を個人のせいにするのではなく、FTC のデータ セキュリティ命令の目標であったシステムに焦点を当てている。FTC は、クック氏と彼の同僚が複雑なシステムを安全に運用する方法について特定した原則を実現する救済策を作成するよう努めている。

 複雑なシステムと安全工学からこれらの教訓を取り入れた組織・企業等があり、ユーザーのデータを保護するという責任を果たすために、より良い仕事をしている組織がある。しかし、残念なことに、多くの組織等はこれらのアプローチの価値をまだ認識していない。

 これまでのFTC 命令は、このギャップに対処する役割を果たしてきた。FTC の命令は、悪質な行為を是正するだけでなく、ユーザーデータを効果的に保護したいのであれば、これらの教訓を学ぶ必要があるというシグナルを市場参加者に送信するものである。

 本レポートは、最近の FTC 命令から得られた、データ セキュリティとプライバシーに関するケースで、これらの原則が組み込まれている 以下の3 つの実務慣例を紹介するものである。

①消費者に多要素認証 (MFA) を提供し、従業員にもそれを要求する。

②企業のシステム内の接続が暗号化され、認証されている必要があることを要求する 。

③データ保持スケジュールを作成し、それを公開し、それを遵守するよう企業に要求する。

 これらは、FTC が効果的なセキュリティ・プログラムに期待するすべての総計ではないが、根本的な原因を攻撃して独自の効果的な結果を生み出すという考えに直接言及している、最近目にした規則のサンプルである。

(1) 消費者に多要素認証 (Multi-factor authentication :MFA) を提供し、従業員にもMFAを要求する

 多要素認証は、侵害されたパスワードだけでは誰かのアカウントを乗っ取るのに十分ではないことを意味するため、重要なセキュリティ実践として広く認識されている。テキスト・メッセージ、ローテーション・ コードを生成する携帯電話アプリ、プッシュ通知を使用するモバイル・アプリ、セキュリティ・キーなど、消費者や企業が利用できるさまざまな形式の MFA がある。これらのうち、セキュリティ・キーだけがフィッシングやその他のソーシャル・エンジニアリング攻撃に耐性がある。ユーザーがだまされてユーザー名とパスワードを入力できる場合、だまされて電話からコードを入力するように仕向けられる可能性リスクがある。

 消費者のアカウントの場合、好みに基づいてさまざまな MFA タイプから選択できることは理にかなっている。また、企業独自の IT システムについては、従業員が最も強力な形式の MFA を使用する必要があるという決定を下すことができる。

 したがって、最近時の FTC の命令には、次の条項が含まれている。

①企業は、消費者が自分のアカウントで MFA を有効にする機能を提供する必要がある(注4)、 (注5)、(注6)、 (注7)

②セキュリティ・キーなどのフィッシング耐性のある MFA を自社の従業員に使用することを企業に要求する(注8)、 (注9)、 (注10)

 さらに、FTC 命令は、消費者アカウントを保護するために MFA をどのように使用する必要があるかについて、さらに進んだいくつかのことを実践する。

 このFTC命令により、企業は「セキュリティの質問」の使用などの従来の認証慣行を MFA に置き換える必要があった。例えば、セキュリティに関する質問 (たとえば、あなたの母親の旧姓は?) には、企業にさらに多くの個人情報を提供するなど、多くの弱点があった。さらに、これらの質問が要求する多くのデータが公開されているため、攻撃者にとっては破ることは簡単である。(注11)

 このFTC命令は、企業が電話番号を提供する必要のない形式の MFA を提供することも要求している。これにより、プライバシーが保護され、より安全な形式の MFA が利用できるようになる。(注12)

 最期に、この命令は企業が MFA のために収集した情報を他の目的で使用しないことを要求しており、業界の他の場所で見られる悪い慣行を防ぎ、セキュリティ・メカニズムがより多くのデータ収集の口実ではないという消費者の信頼を高める(注13)、(注14)

 (2) 企業のシステム内の接続は暗号化と認証の両方が必要であることを要求する

 FTC が最近の命令に含めたもう 1 つの要件は、企業のシステム内の接続は暗号化と認証の両方が必要であることである(注15)。この重要性を理解するには、従来の技術と比較する必要がある。長年にわたり、ほとんどの企業がセキュリティに対して採用していたアプローチは、企業ネットワークの外側に強力なファイアウォールを設置することであったが、攻撃者はいったん内部に入ると、自由に移動できた。拡大し続けるシステムでは、これは攻撃者がどこにでも 1 つの脆弱性を見つけただけで、王国への鍵を手に入れたことを意味する。

 「ゼロ・トラスト(Zero Trust)」とは、企業ネットワークに接続しているからといって、自動的に信頼されてすべてにアクセスできるという意味ではないという単純な考え方である。代わりに、「ゼロ [暗黙の] トラスト」をベースラインにする必要がある。システムにアクセスするには認証(authenticated)承認(authorized)が必要であり(注16)、攻撃者が正当な接続を簡単に詮索できないように接続を暗号化(encrypted)する必要がある。

 このアプローチは、企業のシステムにおける脆弱性に基づく爆発範囲を劇的に制限するのに役立つ。さらに、ゼロトラスト・システムは、フィッシング耐性のある MFA などの保護手段によって提供される強力なID に基づいて構築されるため、企業ネットワーク内のシステムが外部と同じ保護を受けるようにすることができる。

(3)データ保持スケジュールを作成し、公開し、それを遵守するよう企業に要求する-

 最終規定は、データ保持スケジュールを策定し、それを公開し、それを遵守するための要件である(注17)(注18)。これは、最も安全なデータはまったく保存されていないデータであるという前提を取り入れている。さらに、この要件を実装するには、必然的に、企業が保存するすべてのデータの強力な内部カタログ(注19)を用意する必要がある。これにより、ユーザーからのデータ削除要求に包括的に対応できるようになり、保存しているデータの種類に基づいて保護の優先順位を付けるために必要な情報を入手できるようになるなど、他の利点も得られる。

結論

 これらの原則は、技術の発展に歩調を合わせ、過去の経験から学び、技術が進化しても根本原因に対処するための改善策を強化することに同委員会が重点を置いていることを反映している。今後、委員会内の技術者は、セキュリティ・コミュニティとの関わりを継続し、最新の開発に遅れないようにすることを約束する。

 FTCの消費者保護局(Bureau of Consumer Protection)、特にプライバシーおよび個人情報保護部門と執行部門の専門スタッフが、この作業の多くを主導してきた。我々の技術者チームは、監督機関全体のスタッフと引き続き協力して、進化する技術と脅威に対応できるようにする。

 この投稿の作成に貢献してくれた方々に感謝する。

 12 月の公開委員会会議セッションの完全な記録を聞くには、https: //www.ftc.gov/media/open-commission-meeting-december-14-2022 にアクセスされたい。

*******************************************************

(注1)連邦取引委員会、連邦司法省、州の法執行機関の権限についての一覧がFTCの「 連邦取引委員会の調査、法執行、および規則制定機関の概要」付録 A

「FTC、クレイトン、およびシャーマン法に基づく反トラスト法執行機関の概要」で以下のとおり、整理されている。参照されたい。

(注2) リチャード.I.クック(Richard I. Cook,)、MD(シカゴ大学 認知技術研究所)著「複雑なシステムの失敗」

(注3) サーバファームとは、ネットワークを通じて外部に情報やサービスを提供するサーバコンピュータを大量に集積している施設。また、そのように一箇所で集中管理された大量のサーバ群そのもの。(IT 用語辞典から抜粋)

(注4) 最終更新日 2022年5月25日

・ケース・ステータス 保留中

・裁判:原告:アメリカ合衆国、v.被告:Twitter、Inc.

・FTCファイル番号: 2023062

・法施行タイプ: 民事罰

・係属裁判所: カリフォルニア州北部地区連邦裁判所

【ケースの概要】

FTCは、Twitterによるユーザーのメールアドレスと電話番号の不正な使用がFTC法と2011年委員会の命令に違反したと主張した。

(注5) 最終更新日 2022年6月24日

ケースステータス 保留中

・被告:Residual Pumpkin Entity, LLC, a limited liability company, formerly (商号 CafePress);およびPlanetArt LLC, a limited liability company( 商号 CafePress)

・FTCファイル番号: 1923209

【ケースの概要】

FTCは、CafePressが、プレーンテキストの社会保障番号、不適切に暗号化されたパスワードなど、ネットワークに保存されている機密情報を保護するための合理的なセキュリティ対策を実装できなかったと主張し、 パスワードへの回答は質問をリセットしていた。同委員会の提案された命令は、被告会社にデータセキュリティを強化することを要求し、以前の所有者に中小企業を補償するために50万ドルを支払うことを要求した。

(注6) 最終更新  2023年1月10日

・事案状況:  保留中

・有限責任会社 Drizly, LLC と Drizly, LLC の役員個人として James Cory Rellas

・FTCファイル番号:  2023185

【ケースの概要】

連邦取引委員会は、オンラインのアルコール市場である Drizly とその CEO である James Cory Rellas に対して、共同のセキュリティの対策失敗が約 250 万人の消費者の個人情報を漏えいさせたデータ侵害につながったという問題に対して、告訴行動を起こしている。

(注7) 最終更新  2023年1月26日

事案状況: 保留中

被告・:法人であるCHEGG, INC.

【ケースの概要】

FTC は、社会保障番号、電子アドレス、パスワードなど、何万人もの顧客と従業員に関する機密情報を漏洩したとして、教育テクノロジーのプライバシー Chegg Inc. に対してその手ぬるいデータセキュリティ慣行に対して告訴行動を起こした。

(注8) これらは、実装する標準の名前である「パスキー」、または WebAuthn または FIDO と呼ばれることもある。

(注9) 最終更新  2023年1月26日

事案の状況: 保留中

被告:法人であるCHEGG, INC.

【ケースの概要】

FTC は、社会保障番号、電子アドレス、パスワードなど、何万人もの顧客と従業員に関する機密情報を公開した、教育テクノロジーのプライバシー Chegg Inc. に対してそのぬるいデータセキュリティ慣行に対して告訴。

(注10) 最終更新  2023年1月10日

・事案状況:  保留中

・有限責任会社 Drizly, LLC と Drizly, LLC の役員個人として James Cory Rellas

・FTCファイル番号:  2023185

【ケースの概要】

連邦取引委員会は、オンラインのアルコール市場である Drizly とその CEO である James Cory Rellas に対して、共同のセキュリティの対策失敗が約 250 万人の消費者の個人情報を漏えいさせたデータ侵害につながったという問題に対して、告訴行動を起こしている。

(注11) 最終更新日 2022年6月24日

ケースステータス 保留中

・被告:Residual Pumpkin Entity, LLC, a limited liability company, formerly (商号 CafePress);およびPlanetArt LLC, a limited liability company( 商号 CafePress)

・FTCファイル番号: 1923209

【ケースの概要】

FTCは、CafePressが、暗号化していないプレーンテキストの社会保障番号、不適切に暗号化されたパスワードなど、ネットワークに保存されている機密情報を保護するための合理的なセキュリティ対策を実装できなかったと主張し、 パスワードへの回答は質問をリセットしていたのみであった。同委員会の提案された命令は、被告会社にデータセキュリティを強化することを要求し、以前の所有者に中小企業を補償するために50万ドルを支払うことを要求した。

(注12) (注4)と同一内容。

(注13) (注10)と同一内容。

(注14) (注9)と同一内容。

(注15) (注10)と同一内容。

(注16) 認証とは、ユーザーが本人の主張どおりの人物であることを検証する行為である。これは、セキュリティプロセスの最初のステップである。

 認証の例には、サーバー上の特定のファイルをダウンロードする許可を特定のユーザーに付与したり、個々のユーザーにアプリケーションへの管理アクセス制御を提供したりすることが含まれる。

 認証プロセスは、次の手順で行われる。

パスワード:ユーザー名とパスワードは、最も一般的な認証要素です。ユーザーが正しいデータを入力すると、システムはそのアイデンティティが有効であるとみなし、アクセス権を付与する。

ワンタイムPIN: 1つのセッションまたはトランザクションに対してのみアクセス権を付与する。

認証アプリ:アクセス権を付与するサードパーティ経由でセキュリティコードを生成する。

バイオメトリクス:ユーザーは、指紋または網膜スキャンを使用して認証、システムにアクセスする。

 システムによっては、アクセス権を付与する前に、複数の要素の検証を完了する必要がある。多くの場合、パスワード単体の機能を超えてセキュリティを強化するために、この多要素認証(MFA)要件が配備される。

 一方、システムセキュリティにおける承認とは、特定のリソースまたは機能にアクセスする許可をユーザーに付与するプロセスをいう。この用語は、アクセス制御やクライアント特権と同じ意味でしばしば使用される。

安全な環境では、承認は必ず認証の後に行われる。最初にユーザーが自分のアイデンティティが本物であることを証明し、その後に組織の管理者が要求されたリソースへのアクセス権を付与する。(Oktaサイト解説から抜粋 )

(注17) (注10)と同一内容。

(注18) (注10)と同一内容。

(注19) セキュリティチーム向けのセキュリティサービスカタログの作成は、説明責任とサービスの範囲を確立することにより、ビジネス全体の価値を高め始める。セキュリティ・サービスカタログは、情報セキュリティチームが提供するビジネス・カスタマーサービスを明確に表現しながら、特定された各領域に対してサービスと責任者のレベルを提供することにより、戦略を可能にする。このケーススタディは NIST 800-35 "「ITセキュリティサービスのガイド」"参照。(https://trustsds.com/cyber-security-services-catalog-enables-strategy/から抜粋、仮訳)

***********************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする