「海の向こうの“セキュリティ”」第182回公開

今月分が公開されました。

Amazon、Google、Microsoftらが発表した「信頼できるクラウドの原則」とは
https://internet.watch.impress.co.jp/docs/column/security/1364882.html

MIT Kerberos5 1.19.2 で LibreSSL 3.4.1 を使うためのパッチ

MIT Kerberos5 1.19.2 で LibreSSL 3.4.1 を使うためには以下のパッチをあてれば良さそう。

diff -ru ../krb5-1.19.2.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c
--- ../krb5-1.19.2.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-07-23 00:50:07.000000000 +0900
+++ ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-07-29 07:50:37.984361221 +0900
@@ -185,7 +185,7 @@
     (*_x509_pp) = PKCS7_cert_from_signer_info(_p7,_si)
 #endif

-#if OPENSSL_VERSION_NUMBER < 0x10100000L
+#if (OPENSSL_VERSION_NUMBER < 0x10100000L) || defined(LIBRESSL_VERSION_NUMBER)

 /* 1.1 standardizes constructor and destructor names, renaming
  * EVP_MD_CTX_{create,destroy} and deprecating ASN1_STRING_data. */

「海の向こうの“セキュリティ”」第181回公開

今月分が公開されました。連載開始から丸15年が過ぎ、今回で16年目に入りました。今後とも宜しくお願い致します。

マネージドサービスプロバイダーを踏み台にする攻撃、利用企業がリスクを減らすためにできることは？
https://internet.watch.impress.co.jp/docs/column/security/1356460.html

MacPorts の ClamAV 0.104.0 以降で experimental features を有効にしてビルドする方法

先日リリースされた ClamAV 0.104.0 からビルド方法が従来の GNU Autotools（configure スクリプト）から、CMake に変更されました。

Building ClamAV with CMake (v0.104 and newer)
https://docs.clamav.net/manual/Installing/Installing-from-source-Unix.html

従来は experimental features を有効にしてビルドする場合は configure スクリプトに --enable-experimental を付ければよかったのですが、CMake の場合は -D ENABLE_EXPERIMENTAL=ON を付ける必要があります。

そこで、パッケージ管理システムとして MacPorts を利用している場合は、Portfile に

--- Portfile.ORG	2021-09-17 05:59:32.000000000 +0900
+++ Portfile	2021-09-17 18:41:21.000000000 +0900
@@ -62,6 +62,10 @@
                        configure.args-append -D OPTIMIZE=OFF
                }

+variant exp description {build with experimental features} {
+			configure.args-append -D ENABLE_EXPERIMENTAL=ON
+			}
+
 variant clamav_milter description {build with libmilter support} {
                        depends_lib-append port:libmilter
                        configure.args-append  -D ENABLE_MILTER=ON

のようなパッチを当て、以下のように実行してビルド&インストールします。

sudo port install clamav +exp

Vivaldi で PWA（Progressive Web Apps）をインストールする方法

Chromium ベースの Web ブラウザ Vivaldi は標準では PWA（Progressive Web Apps）をインストールできないようですが、以下のようにすればインストールできます。

2021年10月7日追記
Vivaldi 4.3 からは標準でサポートされるようになりました。

(1) vivaldi://experiments/ を開き、一番下の「Menu entries for installing Progressive Web Apps.」にチェックを入れる。

(2) PWA に対応したサイトにアクセス。

(3) タブで右クリックして表示されたメニューから「「○○○」をインストール...」を選択。


Vivaldi 4.2 ではまだ試験的な機能で動作の保証はなさそうなので、あくまで自己責任で。少なくとも、インストールしたアプリ（Macの場合は $HOME/Applications/Chrome Apps.localized/○○○.app）を直接起動すると、ブラウザの1ウィンドウとして開いてしまい、本来は表示されないはずのアドレスバーなどのブラウザのヘッダ部分が表示される不具合があります。まずは一旦ブラウザで対象サイトにアクセスした後、タブで右クリックして表示されたメニューから「○○○で開く」を選択すれば想定通りに動作するようです。

2021年10月7日追記
Vivaldi 4.3 からは直接アプリを起動しても正常に動作するようになりました。

「海の向こうの“セキュリティ”」第180回公開

今月分が公開されました。

「サプライチェーン攻撃」に備えるために供給元と顧客が注意すべきこと
ENISAが報告書を公開、攻撃は昨年比4倍増になる見込み
https://internet.watch.impress.co.jp/docs/column/security/1347531.html

ENISAによる中小企業向けサイバーセキュリティガイドの参考訳

ENISA（欧州ネットワーク情報セキュリティ機関）が6月末に公開した「Cybersecurity guide for SMEs - 12 steps to securing your business」を翻訳してみました。あくまで参考訳にすぎませんので、正式な場では必ず原文を参照してください。

Cybersecurity guide for SMEs - 12 steps to securing your business
https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes

なお、このガイドについては、INTERNET Watchで連載中の「海の向こうの“セキュリティ”」でも紹介しています。

海の向こうの“セキュリティ”
中小企業のシステムやビジネスをセキュアにするための12のステップ
「サイバーセキュリティガイド」をENISAが公開
https://internet.watch.impress.co.jp/docs/column/security/1341091.html

---

中小企業のためのサイバーセキュリティガイド
ビジネスをセキュアにするための12のステップ

STEP1 優れたサイバーセキュリティ文化の構築

管理責任の割り当て

優れたサイバーセキュリティは、あらゆる中小企業の継続的な成功のための重要な要素である。この重要な機能に対する責任は、組織内の者に割り当てられるべきであり、担当者の時間、サイバーセキュリティ・ソフトウェア、サービス、ハードウェアの購入、スタッフのトレーニング、効果的なポリシーの策定など、適切なリソースがサイバーセキュリティに与えられるようにする必要がある。

従業員の同意の獲得

経営陣がサイバーセキュリティに関する効果的なコミュニケーションを行い、経営陣がサイバーセキュリティの取り組みを率直に支持し、従業員に適切なトレーニングを実施し、サイバーセキュリティポリシーに記載された明確で具体的なルールを従業員に提供することで、従業員の同意を得る。

サイバーセキュリティポリシーの発表

会社のICT環境、機器、およびサービスを使用する際に、従業員がどのように行動することが期待されるかについて、明確かつ具体的なルールをサイバーセキュリティポリシーで説明する必要がある。また、これらのポリシーは、従業員がポリシーを遵守しなかった場合に直面し得る結果を強調する必要がある。ポリシーは定期的に見直し、更新する必要がある。

サイバーセキュリティ監査の実施

定期的な監査は、適切な知識、スキル、経験を有する者が実施すべきである。監査人は、外部の契約者または中小企業の内部の者で、日常のIT業務から独立した者でなければならない。

データ保護を忘れずに

EU一般データ保護規則（GDPR: General Data Protection Regulation）に基づき、EU/EEA居住者の個人データを処理または保存する中小企業は、そのデータを保護するために適切なセキュリティ管理が行われていることを確認する必要がある。これには、中小企業に代わって業務を行う第三者が、適切なセキュリティ対策を講じていることも含まれる。

STEP2 適切なトレーニングの提供

すべての従業員がさまざまなサイバーセキュリティの脅威を認識し、対処できるように、定期的にサイバーセキュリティの意識向上のためのトレーニングを実施する。これらのトレーニングは、中小企業向けにカスタマイズされ、実際の状況に焦点を当てるべきである。

企業内でサイバーセキュリティを管理する責任者に、サイバーセキュリティに特化したトレーニングを提供し、職務遂行に必要なスキルとコンピテンシーを確実に身につけさせる。

STEP3 効果的なサードパーティ管理の徹底

すべてのベンダー、特に機密なデータやシステムにアクセスできるベンダーが積極的に管理され、合意されたセキュリティレベルを満たすようにする。ベンダーがこれらのセキュリティ要件をどのように満たすかを規制するために、契約上の合意が必要である。

STEP4 インシデント対応計画の策定

正式なインシデント対応計画を策定する。この計画では、明確なガイドライン、役割と責任が文書化されており、すべてのセキュリティ・インシデントがタイムリーかつ専門的で適切な方法で対応されることを保証する。セキュリティ上の脅威に迅速に対応するために、不審な活動やセキュリティ侵害が発生した場合に監視して警告を発するツールを調査する。

STEP5 システムへのアクセスのセキュア化

パスフレーズの使用を全員に奨励する。パスフレーズとは、一般的な単語をランダムに3つ以上組み合わせたフレーズのことで、覚えやすさとセキュリティのバランスが非常に優れている。一般的なパスワードを使用する場合は以下の点に注意すること。

• 小文字と大文字、可能であれば数字や特殊文字も使って長くする。
• 「password」のようなわかりやすいもの、「abc」のような文字や数字の羅列、「123」のような数字は避ける。
• ネット上で見つけられるような個人情報の使用は避ける。

また、パスフレーズやパスワードのどちらを使う場合でも以下の点に注意すること。

• 他のところで再利用しない。
• 同僚と共有しない。
• 多要素認証を有効にする。
• 専用のパスワードマネージャーを使用する。

STEP6 デバイスのセキュア化

デスクトップPC、ノートパソコン、タブレット、スマートフォンなど、スタッフが使用するデバイスをセキュアに保つことは、サイバーセキュリティプログラムの重要なステップである。

ソフトウェアにパッチを適用して最新の状態に保つ

パッチを管理するには、集中管理されたプラットフォームを利用するのが理想的である。中小企業には以下のことが強く推奨される。

• すべてのソフトウェアを定期的に更新する。
• 可能な限り自動アップデートを有効にする。
• 手動でのアップデートが必要なソフトウェアやハードウェアを特定する。
• モバイルデバイスやIoTデバイスを考慮に入れる。

アンチウイルス

集中管理されたアンチウイルスソリューションは、継続的に効果を発揮するために、すべての種類のデバイスに導入し、最新の状態に保つ必要がある。また、海賊版ソフトウェアにはマルウェアが含まれている可能性があるため、インストールしない。

電子メールとウェブの保護ツールの採用

スパムメール、悪意のあるウェブサイトへのリンクを含むメール、ウイルスなどの悪意のある添付ファイルを含むメール、フィッシングメールなどをブロックするソリューションを採用する。

暗号化

データを暗号化して保護する。中小企業は、ノートパソコン、スマートフォン、タブレットなどのモバイル機器に保存されているデータを確実に暗号化する必要がある。ホテルや空港のWiFiネットワークなどの公共ネットワークを介して転送されるデータについては、VPN（Virtual Private Network）を採用するか、SSL/TLSプロトコルを使用したセキュアな接続でウェブサイトにアクセスするなどして、データが暗号化されていることを保証する。自社のウェブサイトに適切な暗号化技術を採用し、インターネット上を流れる顧客データを保護することを保証する。

モバイルデバイス管理の実施

スタッフのリモートワークを促進するために、多くの中小企業ではスタッフが自分のノートパソコン、タブレット、スマートフォンを使用することを許可している。この場合、これらのデバイスに保存されている機密性の高いビジネスデータについて、いくつかのセキュリティ上の懸念が生じる。このリスクを管理する1つの方法として、モバイルデバイス管理（MDM）ソリューションを採用することで、中小企業は以下のことが可能になる。

• 自社のシステムやサービスへのアクセスを許可するデバイスを管理する。
• デバイスに最新のアンチウイルス・ソフトウェアがインストールされていることを徹底する。
• デバイスが暗号化されているかどうかを判断する。
• デバイスに最新のソフトウェアパッチがインストールされているかどうかを確認する。
• デバイスがPINおよび/またはパスワードで保護されていることを徹底する。
• デバイスの所有者がデバイスの紛失や盗難を報告した場合、またはデバイスの所有者が中小企業との雇用関係を終了した場合、デバイスから中小企業のデータを遠隔操作で消去する。

STEP7 ネットワークのセキュア化

ファイアウォールの採用

ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業のシステムを保護するための重要なツールである。ファイアウォールは、すべての重要なシステムを保護するために導入する必要がある。特に、中小企業のネットワークをインターネットから保護するためにファイアウォールを採用する必要がある。

リモートアクセスソリューションの見直し

中小企業は、あらゆるリモートアクセスツールを定期的に見直し、セキュアであることを保証する必要がある。その際には特に以下の点に注意する。

• すべてのリモートアクセスソフトウェアにパッチが適用され、最新の状態になっていることを徹底する。
• 不審な地理的位置または特定のIPアドレスからのリモートアクセスを制限する。
• スタッフのリモートアクセスを業務に必要なシステムやコンピュータに限定する。
• リモートアクセスに強力なパスワードを設定し、可能であれば多要素認証を有効にする。
• 攻撃の疑いや通常とは異なる不審な活動を警告するために監視とアラートが有効になっていることを徹底する。

STEP8 物理的セキュリティの改善

重要な情報が存在するところでは、適切な物理的管理を行う必要がある。例えば、会社のノートパソコンやスマートフォンを車の後部座席に放置してはいけない。また、ユーザーがコンピュータから離れる際には常にロックをかける必要がある。もしくは、業務目的で使用するデバイスではオートロック機能を有効にする。また、機密性の高い印刷文書も放置せず、使用しない時はセキュアに保管する。

STEP9 バックアップのセキュア化

重要なフォーメーション（組織編成）の復旧を可能にするためには、ランサムウェア攻撃などの大惨事から復旧するための有効な手段であるバックアップを維持する必要がある。以下のバックアップルールを適用すること。

• バックアップは定期的に行い、可能な限り自動化する。
• バックアップは中小企業の本番環境とは別に保持する。
• バックアップは、特に拠点間で移動する場合は、暗号化する。
• バックアップからデータを定期的にリストア（復元）できるかテストする。理想的には、最初から最後までのフルリストアのテストを定期的に行うべきである。

STEP10 クラウドとの連携

クラウドベースのソリューションには多くの利点がある一方で、いくつかの固有のリスクがあり、それらを中小企業はクラウド事業者と連携する前に検討する必要がある。ENISAは中小企業がクラウドに移行する際に参考にすべき「中小企業のためのクラウドセキュリティガイド」を発行している。

ENISA (2015-04-10)
Cloud Security Guide for SMEs
https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes

クラウド事業者を選定する際には、中小企業は、データ、特に個人データをEU/EEA域外に保存しても、いかなる法律や規制にも違反しないことを保証する必要がある。例えば、EUのGDPRでは、EU/EEA域内の居住者の個人データは、よほど特殊な事情がない限り、EU/EEA域外に保存・送信しないことが定められている。

STEP11 オンラインサイトのセキュア化

中小企業は、自社のオンラインウェブサイトをセキュアな方法で設定・維持し、且つ個人データやクレジットカード情報などの財務情報を適切に保護することが極めて重要である。そのためには、ウェブサイトに対して定期的にセキュリティテストを行って潜在的なセキュリティ上の弱点を洗い出すとともにサイトが適切に維持・更新されているかを定期的に確認する必要がある。

STEP12 情報の収集と共有

サイバー犯罪との闘いにおける効果的なツールは情報の共有である。中小企業が直面するリスクをよりよく理解するためにはサイバー犯罪に関する情報を共有することが重要である。サイバーセキュリティ上の課題とその克服方法を同業他社から聞いた企業は、業界レポートやサイバーセキュリティ調査で同様の内容を聞いた場合よりも、自社のシステムをセキュアにするための措置を取る可能性が高くなる。

「海の向こうの“セキュリティ”」第179回公開

今月分が公開されました。

中小企業のシステムやビジネスをセキュアにするための12のステップ
「サイバーセキュリティガイド」をENISAが公開
https://internet.watch.impress.co.jp/docs/column/security/1341091.html

MIT Kerberos5 1.19.2 で LibreSSL 3.3.3 を使うためのパッチ

MIT Kerberos5 1.19.2 で LibreSSL 3.3.3 を使うためには以下のパッチをあてれば良さそう。

diff -ru ../krb5-1.19.2.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c
--- ../krb5-1.19.2.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-07-23 00:50:07.000000000 +0900
+++ ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-07-29 07:50:37.984361221 +0900
@@ -185,7 +185,7 @@
     (*_x509_pp) = PKCS7_cert_from_signer_info(_p7,_si)
 #endif

-#if OPENSSL_VERSION_NUMBER < 0x10100000L
+#if (OPENSSL_VERSION_NUMBER < 0x10100000L) || defined(LIBRESSL_VERSION_NUMBER)

 /* 1.1 standardizes constructor and destructor names, renaming
  * EVP_MD_CTX_{create,destroy} and deprecating ASN1_STRING_data. */

「海の向こうの“セキュリティ”」第178回公開

今月分が公開されました。

「PSIRT」の認知度の低さが浮き彫りに
EUにおけるPSIRTの実態に関する調査結果をENISAが公開
https://internet.watch.impress.co.jp/docs/column/security/1335152.html

「海の向こうの“セキュリティ”」第177回公開

今月分が公開されました。

クラウドで発生したインシデントに対応するためには
クラウドセキュリティの非営利団体CSAがガイドを公開
https://internet.watch.impress.co.jp/docs/column/security/1328159.html

MIT Kerberos5 1.19.1 で LibreSSL 3.3.3 を使うためのパッチ

MIT Kerberos5 1.19.1 で LibreSSL 3.3.3 を使うためには以下のパッチをあてれば良さそう。

diff -ru ../krb5-1.19.1.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c
--- ../krb5-1.19.1.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-02-19 01:35:16.000000000 +0900
+++ ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-05-13 11:32:57.486561687 +0900
@@ -185,7 +185,7 @@
     (*_x509_pp) = PKCS7_cert_from_signer_info(_p7,_si)
 #endif

-#if OPENSSL_VERSION_NUMBER < 0x10100000L
+#if (OPENSSL_VERSION_NUMBER < 0x10100000L) || defined(LIBRESSL_VERSION_NUMBER)

 /* 1.1 standardizes constructor and destructor names, renaming
  * EVP_MD_CTX_{create,destroy} and deprecating ASN1_STRING_data. */

「海の向こうの“セキュリティ”」第176回公開

今月分が公開されました。

アプリに含まれるライブラリが原因で“脆弱性あり”に判定される「偽陽性」問題
米セキュリティ企業Contrast Securityが報告書を公開
https://internet.watch.impress.co.jp/docs/column/security/1321965.html

「海の向こうの“セキュリティ”」第175回公開

今月分が公開されました。

CSIRTが倫理的に行動するために必要なこと
CSIRTの倫理ガイドライン ほか
https://internet.watch.impress.co.jp/docs/column/security/1316623.html

「海の向こうの“セキュリティ”」第174回公開

今月分が公開されました。

産業用制御システムの脆弱性調査市場が成長、研究者たちの関心集まる
イスラエルのセキュリティ企業が報告書を公開
https://internet.watch.impress.co.jp/docs/column/security/1309585.html

MIT Kerberos5 1.19.1 で LibreSSL 3.2.4 を使うためのパッチ

MIT Kerberos5 1.19.1 で LibreSSL 3.2.4 を使うためには以下のパッチをあてれば良さそう。

diff -ru ../krb5-1.19.1.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c
--- ../krb5-1.19.1.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-02-19 01:35:16.000000000 +0900
+++ ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-02-25 12:14:50.663519650 +0900
@@ -185,7 +185,7 @@
     (*_x509_pp) = PKCS7_cert_from_signer_info(_p7,_si)
 #endif

-#if OPENSSL_VERSION_NUMBER < 0x10100000L
+#if (OPENSSL_VERSION_NUMBER < 0x10100000L) || defined(LIBRESSL_VERSION_NUMBER)

 /* 1.1 standardizes constructor and destructor names, renaming
  * EVP_MD_CTX_{create,destroy} and deprecating ASN1_STRING_data. */

MIT Kerberos5 1.19 で LibreSSL 3.2.3 を使うためのパッチ

MIT Kerberos5 1.19 で LibreSSL 3.2.3 を使うためには以下のパッチをあてれば良さそう。

diff -ru ../krb5-1.19.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c
--- ../krb5-1.19.ORG/src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-02-02 04:49:04.000000000 +0900
+++ ./src/plugins/preauth/pkinit/pkinit_crypto_openssl.c	2021-02-06 11:24:59.433039366 +0900
@@ -185,7 +185,7 @@
     (*_x509_pp) = PKCS7_cert_from_signer_info(_p7,_si)
 #endif

-#if OPENSSL_VERSION_NUMBER < 0x10100000L
+#if (OPENSSL_VERSION_NUMBER < 0x10100000L) || defined(LIBRESSL_VERSION_NUMBER)

 /* 1.1 standardizes constructor and destructor names, renaming
  * EVP_MD_CTX_{create,destroy} and deprecating ASN1_STRING_data. */

FSFの翻訳プロジェクト

FSF（Free Software Foundation）の「翻訳プロジェクト（Translation Project）」があまり知られていないようなので簡単にまとめておくことにしました。

Translation Project
https://translationproject.org/

これは主にGNUプロジェクトのソフトウェア（ライブラリを含む）のメッセージを様々な言語に翻訳するプロジェクトです。

Textual domains
https://translationproject.org/domain/

メンバーになるのに特に資格などは必要なく、誰でもなれますが、disclaimer（権利放棄）の手続きが必要になります。

The translation disclaimer
https://translationproject.org/html/whydisclaim.html

日本からのメンバー、つまり日本語への翻訳を担当しているメンバーは多くない状況なので、興味のある方は是非ご参加ください。特に「オープンソースのプロジェクトに何か貢献をしたいけれど、プログラミングは…」という方には「第一歩」としてちょうどよいのではないかと思います。

Translation team for Japanese
https://translationproject.org/team/ja.html

なお、言語によるメッセージの表示切替は GNU gettext が使われることが前提になっているので、gettext の使い方や文法は理解しておく必要があります。

GNU gettext
https://www.gnu.org/software/gettext/

また、翻訳したメッセージファイルを提出する前に、そのメッセージファイル（例: hoge-x.x.x.ja.po）に対して msgfmt コマンドを以下のように実行して全てのメッセージが適切な形式で翻訳されていることを確認する必要があります。

$ msgfmt -c -v -v -v --statistics hoge-x.x.x.ja.po
hoge-x.x.x.ja.po: xxx translated messages.

「海の向こうの“セキュリティ”」第173回公開

今月分が公開されました。

新型コロナの影響で「バグバウンティ」に参加する人は本当に増えた?
バグ報奨金プラットフォームの米Bugcrowdがレポートを公開
https://internet.watch.impress.co.jp/docs/column/security/1304291.html

「海の向こうの“セキュリティ”」第172回公開

今月分が公開されました。

「FOSS」に貢献している人の多くはセキュリティに関わることに消極的?
フリー/オープンソース・ソフトウェア開発者の実態調査
https://internet.watch.impress.co.jp/docs/column/security/1296694.html