フィッシングメールを受け取らない

1. ISPメールボックスを使わない
2. docomo や au、softbank のキャリアメールを使わない
3. 強力なSPAMフィルター、メールサンドボックスに頼り切る
4. Chrome、Firefox に頼り切る

セキュリティ対策にリソースを使っている大手サービスを利用する。最も情報が集まっているのは、ブラウザ開発をしている組織である。まぁ、ありていに言えば Gmail に頼ってしまえよ!!という身も蓋もない主張。

他人から送り付けられたリンクを開かない

1. SPAM、フィッシングに限らず広告等も含めて、知らん人から届いたURLをそのまま開かない。
2. パスワードマネージャーに保存したURLから開く。
3. 怪しいメール、すなわち初めての URL、ドメインはレピュテーションサイトで調査する。
   • OSINTツール Mitaka でディグってみよう | ninoseki.github.io
4. 謎のフォームには入力しない。
   • 知らん人から渡されたフォームは偽物だと思え。

上記のことは、要するに「裏取りしろ！」ということである。

金融系サイトは予めアプリを入れておく

• 銀行
• クレジットカード
• 電子決済
• ショッピング

サービスにユーザー登録時に、公式アプリをインストールしておく。 PCではパスワードマネージャーに登録しておく。

正しいサイトだけを使う。

• パスワードマネージャーを使うことで、不要なサイト（騙しサイト）で入力をしない。

情報を入力しない

• 取られて困る情報は（なるべく）入力しない。
• （信頼出来ない）ネットでは、プリペイドカードを使う。
  • Vプリカ / ANA JCBプリペイドカード / WebMoney プリペイドカード など
  • PayPal を使う

盗られた時に、実生活で困るものは影響範囲を最小に絞って日常生活をすると良いかもね。

(2022/02/02 追加) 絶対死守するアカウントを決める

絶対に守りたい、盗られたくないアカウントを決めておくことで、守りに掛けても良いコストを想像する。

そして、ここで決めた 絶対死守アカウントは、メールやSMSで受け取ったリンクを開いて入力することは絶対にしない。 絶対死守アカウントにログインするときには、必ず自分のブックマークやパスワード管理ツールからログインすると決める。

• スマホやパソコンなどの自分にとって大事なデバイスのアカウント
  • Google アカウント
  • Apple ID
  • Microsoft アカウント
• SNSアカウント、ネット上の自分の人格
  • Twitter アカウント
  • Facebook アカウント
  • LINE アカウント
  • 等々
• 銀行、クレジットカード、電子マネーなどのアカウント
  • 犯罪者が狙っているのは換金できる情報なので、普段は扱う頻度が少ないかもしれないがリスクは非常に高い。その分、サービス提供している事業者はセキュリティに配慮した機能（ログインお知らせ、決済お知らせ、２要素認証などなど）を提供している。すべての機能を活用すること。
• 認証情報を管理するアカウント
  • すなわちパスワード管理マネージャーのアカウント

さらに意識高い系になる

以前の日記に書いたように、ハードキー（USB/NFCキー）で FIDO2/WebAuthn に対応した認証を使えるようになる。 kt-nk.hatenadiary.jp

FIDO2認証にすれば、フィッシングによるワンタイムパスワード破りにも対抗出来るようになる。 FIDO2/WebAuthn はスマホをキーにすることも出来るので USB/NFCキーをわざわざ買わなくても使えるようにはなるのだが、鍵となるハードウェアを喪失してしまうと自分のアカウントを取り戻すのが困難にもなるので、USB/NFCキーとスマホを併用することで鍵の喪失に備える事が出来ると思う。 www.nikkei.com

その他、各事業者からのフィッシング詐欺対策のアナウンス

• フィッシング詐欺への対策 | お知らせ | NTTドコモ

フィッシング対策ガイドライン 2021年度版 フィッシング対策協議会2021年6月1日 を読んでみました。

概要

https://www.antiphishing.jp/news/techwg_openday2020_online_TOPPANFORMS.pdf

• フィッシング対策協議会 Council of Anti-Phishing Japan
  • 目的: フィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進
  • 会長: 岡村久道 岡村久道 (@Lawcojp) | Twitter
  • 運営委員
    • トッパン・フォームズ / Japan Digital Degisn / ソースネクスト / リクルート / JPRS / セブン銀行 / カリウス / 日立システムズ / アルプスシステムインテグレーション / NTTコミュニケーションズ / トレンドマイクロ / bitFlyer / ACSiON / ラック
  • 活動
    • フィッシングに関する情報収集・提供
    • フィッシングの動向分析
    • 技術・制度的対応の検討
    • 海外機関との連携: 米国APWG 等
    • フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシング対策協議会について | WG 活動
  • メンバー: https://member.antiphishing.jp/about_ap/member.html
  • コンテンツ
    • フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
      1. ソフトウェアはアップデートをして最新の状態を保つ
      2. 不審なメールに注意しましょう
      3. メール内のリンクは見た目と実際のアドレスが異なります
      4. 不審メールや不審サイトは「フィッシング対策協議会 info@antiphoshing.jp」に報告して下さい
      5. 詐欺や窃盗に遭ったときに備えて、連絡先をリストアップしておく
         • サービス事業者（銀行やクレジットカード会社など）
         • 警察
         • フィッシング対策協議会

利用者向けフィッシング詐欺対策ガイドライン2021年度版

先ずは「利用者向け」要するにコンシューマ向けのガイドラインを読んでみました。

• 目次
  1. フィッシングとは
  2. フィッシング対策3つの心得
  3. いますぐできるフィッシング対策
  4. フィッシング対策協議会と本ガイドラインの位置づけ
  5. 付録
     1. フィッシング事例
     2. パスワードの考え方（「フィッシングレポート2015」より）

1. フィッシングとは

• 2012年3月に不正アクセス行為の禁止等に関する法律が改正され、2012年5月に法改正が施行されたことにより、フィッシング詐欺行為が処罰対象となりました。
  • 不正アクセス罪
  • 不正取得罪
  • 不正助長罪
  • 不正保管罪
  • 不正入力要求罪 << 主にコレに当たる
    • 類型: サイト構築型
    • 類型: メール送信型

フィッシングとは Phishing であり魚釣りではありません。

• フィッシング(Phishing) ≠ 魚釣り(Fishing)
• 様々なサービスの利用者（消費者）のパスワードを詐取（だまし取る）することを狙いとしています。

2. フィッシング対策3つの心得

1. STOP 立ち止まって理解する
2. THINK 何が起こるか考える
3. CONNECT 安心してインターネットを楽しむ

stopthinkconnect.jp

3. いますぐできるフィッシング対策

1. 正しいURLにアクセスする
   • オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
     • バナー広告や検索結果などのリンクから直接パスワード等の入力を求められてもそこでは入力しないで、自分で登録したブックマークからログインなどを経てアクセスする等の工夫をする。
   • 電子メールのリンクはクリックしない。
   • 本物のウェブサイトであるかを確認する。
     • ドメイン名が正しいか？ / ウェブサイトを運営している組織は正しいか？ / アドレスバーの鍵マークをクリックして証明書を確認する
     • （感想）↑コレを全部確認しても本物か偽物かなんてワカランだろ!? 本物のサイトでもサテライトサイトやプロモーションサイトは .com とか .io とか .tv とかワケワカランし。証明書も Let's などを使うのが当たり前になっていて、企業サイトが総べて EV を使っているとは限らない!!
   • モバイル端末では、URLが総べて表示されないので ドメイン をみて確認する。
     • （感想）↑無理やろ、マジ無理やろ、アホちゃうか、お前は区別出来るんか？
2. なりすましメールに注意する
   • SNSやSMSのメッセージにも注意する。事前に銀行やショッピングサイトからどのようなタイミングでメールが届くかを事前に把握する。
     • （感想）↑ムチャクチャ言うとる。不可能やろ、大量のデータを記憶して多変量解析出来る頭脳を持っておるのか？
   • 電子署名の確認
     • 多くの銀行は電子メールに S/MIME を採用している。電子署名を確認するようにする。
     • （感想）いや、それ、みんながみんな S/MIME 使っているわけじゃない所が狙い目になっているので...、これを対策というのはバカなのでは？
   • SMSの発信者番号の確認
     • （感想）それは偽装出来るし、本物でもさ見覚えが無い番号からメッセージが届くじゃ無いか...。バカかな？
3. パソコンやモバイル端末を安全に保ちましょう
   • ソフトウェアを最新の状態にする
   • パスワードのしっかりとした管理 （後段の フィッシングレポート2015 で触れるらしい）
   • サービス事業者のセキュリティ機能を活用する
     • ワンタイムパスワード
     • アプリ生体認証
     • メール認証、SMS認証
     • 利用状況メール通知（ログイン通知や決済通知など）
     • ソフトウェアキーボード << （感想）流石に嘘やろ
     • ウイルス対策ソフト <<（感想）🤔確かにURLフィルター機能が付いているAVもあるな...
     • フィッシングサイト検知ソフト << （感想）↑のURLフィルターのレピュテーション機能やな...
   • 正しいアプリを使う
     • Google Play か App Store 以外の野良アプリをインストールしない（サイドローディングしない）。

4. フィッシング対策協議会と本ガイドラインの位置づけ

フィッシング対策協議会は、2005 年 4 月に、フィッシング詐欺をはじめとするオンライン犯罪の増加を予見し、関係者が情報交換を行い、また被害況に応じた対策を推進するという目的で発足いたしました。

• 関係者が誰なのか？
• 設置者は誰なのか？
• 誰が権威を与えているのか？

謎の団体なんだけど...、どうしたら「フィッシング対策協議会」の素性が分かるのだろうか？

5. 付録

1. フィッシング事例
   • ショッピングサイトを騙る事例
   • 銀行を騙る事例
   • クレジットカードを騙る事例
   • SNSを騙る事例
   • オンラインゲームを騙る事例
2. パスワードの考え方（「フィッシングレポート2015」より）
   • 情報セキュリティ大学院大学 内田勝也 名誉教授のコラムを紹介している。
   • パスワード管理ツール
   • 手書きメモ、手書きノート
   • 認証サービスの利用 <<（感想）組織のシステム管理者による一元化された認証管理サービスは、個人利用者向けではないですね。

フィッシング対策ガイドライン2021年度版

• 目次
  1. はじめに
  2. フィッシングに関する基礎知識
  3. フィッシング対策ガイドライン重要5項目
  4. WEBサイト運営者におけるフィッシング詐欺対策
  5. 利用者におけるフィッシング詐欺対策
  6. 付録
  7. 検討メンバー

1. はじめに

1. 想定読者と目的
   • 対象:
     • フィッシングによって被害を受けるウェブサイト運営者と利用者
   • 目的
     • フィッシングへの対策を整理して提示する。
2. このガイドは何であって何でないか
   • フィッシング対策に絞っている。
   • 機密性、完全性、可用性について解説・提言はしない。
   • EUCを対象として AV の話はしない。（フィッシングにつながるものは考慮する） << （感想）何を言っているかワカラナイ...
3. 用語解説
   • フィッシング（phishing）
     • 実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATM の暗証番号、クレジットカード番号といった個人情報を詐取すること。
   • フィッシャー（phishier）
     • フィッシング行為は、おとりとなる電子メールを起案する者、電子メールを送信する者、フィッシングサイトを設置する者など、複数の行為者で構成される。フィッシャーとは、それら一連の行為者の全体を意味する。
   • フィッシングサイト（phishing site）
     • 金融機関、クレジットカード会社など、金銭に関連するアカウント情報を持つサイトを模倣して設置されたおとりサイトのこと。
   • フィッシング被害
     • 事業者がその社名やサービス名などブランドを不正に第三者に騙（かた）られたり、そのログイン画面などを真似られたりすることによりフィッシング行為に悪用されること。または、そのフィッシング詐欺により利用者や従業員が個人識別情報を詐取されること。または、そのフィッシ ング詐欺により利用者や事業者が金銭的な損害を被ること。
   • テイクダウン（take-down）
     • フィッシングサイトを閉鎖することを指す。シャットダウンまたはサイトクローズともいう。
   • CSIRT（シーサート、Computer Security Incident Response Team）
     • コンピューター およびコンピューター ネットワークで発生したセキュリティインシデントに関する報告を受け取り、精査した後に、適切な対応を行うことを目的に組織されたチームのことを指す。特定の企業、大学など比較的大規模な教育機関、地域あるいは国家、研究ネットワークなどのために組織される。
   • SMS（Short Message Service）
     • 携帯電話同士で電話番号を宛先にして短いテキスト（文章）によるメッセージを送受信するサービス。開封率の高さから企業から利用者への連絡手段として利用されている。
   • 錠前マーク
     • Web ブラウザーのアドレスバーの近くに表示されるアイコンのことで、Web ブラウザーと、アクセスしている先の Web サーバーとの間でやり取りされる通信データが暗号化されていることを示している。途中で盗聴されてもデータの内容を読み取られないが、安価なもしくは無料のサーバー証明書を使ったフィッシングサイトが増加しており、錠前マークが表示されているだけではフィッシングに対して安全とは言えなくなりつつある。鍵マークと呼ばれることもある。

2. フィッシングに関する基礎知識

1. フィッシング詐欺の手口（利用者の認証情報を取得する迄）
   • （フィッシャー）正規のウェブサイトを模した偽サイトを準備する。
   • （フィッシャー）利用者に偽サイトのURLへ誘引するメッセージ（メール、SMS）を送り付ける。
   • （利用者）メッセージにより偽サイトに誘導される。
   • （利用者）正規のウェブサイトと混乱し、利用者自身の正規ウェブサイトの認証情報を入力してしまう。

   • 

     • 防弾ホスティング(Bulletproof Hosting) を利用して偽サイトを公開する。
     • マルウェアや漏えいアカウント情報(Anti Public Combo List)、フィッシングキット、認証情報コーミング(Credential Stuffing Attack Tool)等々の悪用ツールを売買し活用する。
     • ボットネット等を利用しフィッシングメールをバラ蒔く。
     • これら全体がサイバー犯罪のサービス(Crime as a Service)として闇で売買されている。
2. SMSを利用したフィッシング詐欺
   • SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
     • （注釈）SMSフィッシングのことを「スミッシング」と呼んでいるのも耳にする。
       • www.janog.gr.jp
   • （注釈）SMSでは、一般ユーザー（回線契約利用者）が送信者偽装を見抜く術を持たないことが最も大きい難問であった。国際PSTN網を経由することで発信や番号を偽ってSMS送信する事が出来る。
     • （注釈）正規のSMSと同一スレッドに偽装SMSを紛れ込ませるフィッシングについて 2021年3月4日 NTTコム オンライン(PDF 1,151KB)
     • （注釈）[送信元を偽装するSMS――注意すべき点とキャリアの対策は？] - ケータイ Watch
     • （注釈）SMSでは簡単に送信元を偽装できる | スラド セキュリティ
   • Web サイト運営者においては、フィッシングに利用される可能性が低い国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが対策としてあげられる。
     • （注釈）しかし、国内の携帯電話番号でSMSフィッシング・メッセージが送信される事例が多発している。これはフィッシャーが用意した回線を利用している事例もあると推測出来るが、偽アプリをインストールされた（乗っ取られた）悪意の無い第三者のスマートフォンから発信されている事例が有ることが知られている。

3. フィッシング対策ガイドライン重要5項目

• 利用者に送信するメールには「なりすましメール対策」を施すこと
• 複数要素認証を要求すること
• ドメインは自己ブランドと認識して管理し、利用者に周知すること
• すべてのページにサーバー証明書を導入すること
• フィッシング詐欺対応に必要な組織編制とすること

1. 利用者に送信するメールには「なりすましメール対策」を施すこと
   • 外部送信用メールサーバーには、SPF と DKIM の送信ドメイン認証と送信元アドレスの偽証検知のヒントを仕込む。さらに DMARC を活用し送信者偽装を施したフィッシングメールを利用者に届けない。
   • メールに使用していないドメインに DNS の MX レコードと DMARC レコードを記述し、DMARC の受信制御ポリシーを reject にすることはスパムやフィッシングメールの未然防止に繋がる。
   • SMS の配信には、国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが必要である。
2. 複数要素認証を要求すること
   • フィッシャーの狙いは、認証情報（ログインアカウント情報、クレデンシャル）である。フィッシングによって詐取した認証情報を使用して正規ユーザーになりすまして資産の移動をする事を最終目的としている。（不正送金や商品の購入）
   • 詐取した認証情報だけでは、ログインアカウントを使用できない仕組みにしておく事でフィッシャーに目的を達成させない。それにより被害を抑えることになる。
     • 複数要素認証の利用: ワンタイムパスワード、FIDO2/WebAuthn デバイス
3. ドメインは自己ブランドと認識して管理し、利用者に周知すること
   • 使用するドメイン名と用途の情報を利用者に周知すること
   • ドメイン名の登録、登録、利用、廃止にあたっては、ドメイン名を自己のブランドとして認識して管理すること
4. すべてのページにサーバー証明書を導入すること
   • 常時SSL化（ウェブサイトの総べてのページで SSL/TLS 化する）
     • （注釈）EV証明書であれば、ドメインの持ち主が実在し登記されていることも証明することになるが DV証明書であること、そして、フィッシングサイトもSSL化されていることを考慮しても、これがフィッシング対策とはならない。
5. フィッシング詐欺対応に必要な組織編制とすること
   • フィッシング詐欺に関する報告窓口を設けること

4. Web サイト運営者におけるフィッシング詐欺対策

利用者保護および信頼確保の視点を持ち、Web サイト運営者においても、十分なフィッシング詐欺対策を実施すべきであろう。

本ガイドラインで提示する対策事項では、実施必要性について以下のような優先度を設定している。 * ◎：実施すべきと考えられるもの * ○：実施を推奨するもの * △：必要に応じて実施すべきもの

• 4.1〜4.4 対策
  • 【要件1】 ◎：利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること。
  • 【要件2】 ◎：外部送信用メールサーバーを送信ドメイン認証に対応させること
  • 【要件3】 ◎：利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
  • 【要件4】 〇：Web サイト運営者が利用者に送信するメールはテキスト形式とすること
  • 【要件5】 ◎：利用者に送信するSMS には国内直接接続の配信を利用すること
  • 【要件6】 ◎：利用者に情報発信する手段および内容を周知すること
  • 【要件7】 ◎：Web サイトの正当性に係る情報を十分に提供する画面とすること
  • 【要件8】 ◎：すべてのページにサーバー証明書を導入すること
  • 【要件9】 ○：認証システムが許容するポリシーを利用者に示すこと
  • 【要件10】 ○：色々なチャネルで利用者に対する脅威の状況を提供する
  • 【要件11】 ◎：利用者に端末を安全に保つよう、注意を促すこと
  • 【要件12】 ◎：複数要素認証を要求すること
  • 【要件13】 ◎：ポイントや資産の移動に限度額を設定すること
  • 【要件14】 ◎：ポイントや資産の移動時に利用者に通知を行うこと
  • 【要件15】 ○：利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
  • 【要件16】 ○：登録情報を変更するページへの移動には再度認証を要求すること
  • 【要件17】 ○：重要情報の表示については制限を行う
  • 【要件18】 ○：認証情報は厳格に管理すること（アカウントは不必要に発行しない）
  • 【要件19】 ◎：アクセス履歴の表示
  • 【要件20】 ◎：利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
  • 【要件21】 ◎：使用するドメイン名と用途の情報を利用者に周知すること
  • 【要件22】 ◎：ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
  • 【要件23】 ◎：フィッシング詐欺対応に必要な機能を備えた組織編制とすること
  • 【要件24】 ◎：フィッシング詐欺に関する報告窓口を設けること
  • 【要件25】 ◎：フィッシング詐欺発生時の行動計画を策定すること
  • 【要件26】 ◎：フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
  • 【要件27】 ◎：フィッシングサイト閉鎖体制の整備をしておくこと
  • 【要件28】 ○：フィッシングサイトアクセスブロック体制の整備をしておくこと
  • 【要件29】 ◎：利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
  • 【要件30】 ◎：フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
  • 【要件31】 ○：Web サイトに対する不審なアクセスを監視すること
  • 【要件32】 △：フィッシング詐欺検知に有効なサービスを活用すること
  • 【要件33】 △：端末の安全性を確認すること
  • 【要件34】 △：バウンスメールを監視すること
• 4.5 フィッシング詐欺被害が発生してしまった際の対策
  1. フィッシング詐欺被害の発見
  2. フィッシング詐欺被害状況の把握
  3. フィッシング詐欺被害対応の活動
     • フィッシングサイトテイクダウン活動
     • フィッシングメールに対する注意勧告
     • 関係機関への連絡、報道発表
  4. 生じたフィッシング詐欺被害の回復措置
  5. 事後対応
     • 

5. 利用者におけるフィッシング詐欺対策

6. 付録

7. 検討メンバー

フィッシング対策について

テイクダウンについて

• サービスプロバイダー（フィッシングサイトを見つけ出して停止させる）
  • Malicious Site Takedown & Counter­measures | Netcraft
  • Appgate | Phishing Protection
  • フィッシング対策サービス｜株式会社ACSiON（アクシオン）
  • Website Takedown Service And Phishing Protection | PhishFort
  • Takedown-As-A-Service | Domain Takedown Service | ZeroFox
  • Phishing Takedown < Anti-Phishing < Phishing Protection | PhishLabs
  • Automated Website Takedown | Online Fraud & Phishing Prevention | Bolster
  • Phishing - Digital Brand Protection – FraudWatch
• フィッシング疑惑のあるサイト報告
  • Netcraft フィッシングサイト報告受付フォーム: Report Phishing, Malware and Suspicious URLs
  • Googleフィッシングサイト報告受付フォーム: Report a Phishing Page
  • NCSC(英国): GCHQ
  • 警視庁 フィッシング110番: フィッシング１１０番
  • Firefoxブラウザから報告する: 偽装サイトとマルウェアからの防護機能の動作 | Firefox ヘルプ
  • フィッシング対策協議会 報告フォーム: フィッシング対策協議会 Council of Anti-Phishing Japan | 報告
  • フィッシングサイトを停止させる手順書: Phishing: How To Take a Phishing Site Offline | Phishing Defined | Core Sentinel

• 令和3年7月5日朝日新聞 夕刊 （現場へ！）富士山麓はだれのもの：１ 別荘地「貸せない」、山梨の乱：朝日新聞デジタル
  • www.asahi.com
  • 
• ザックリ言うと
  • 山梨県山中湖村にある「富士急山中湖別荘地」の土地は山梨県が保有している。
  • 「富士急山中湖別荘地」は、1927年から富士急行が山梨県から賃貸借契約で借り受けている。
  • 富士急行は別荘地やゴルフ場を開発し、一般顧客に転貸してきた。
  • 山梨県は住民訴訟で「賃料が不当に安い」と訴えられた。
  • 2020年11月10日、山梨県は訴えを受け現在の賃料は安過ぎると認め、原告・被告の主張が合致したとして和解（した？）。
  • 富士急行は、これまで安く借りられていたがいきなり値上げされることとなるため納得がいかないという状況。
• 実はこの背景には...
  • 長崎光太郎 山梨県知事 VS. 堀内家(富士急) の対立の歴史がある。
  • 堀内光雄(故人)が山梨2区当選 => 自民党離党。
  • 長崎氏は郵政民営化の際の小泉純一郎からの刺客として送り込まれ、比例復活当選。
  • その後も、堀内詔子（岸田派）と長崎光太郎（無所属・二階派）として選挙を戦うなど...。
  • 2019年1月の山梨県知事選で長崎光太郎氏が当選し、県有地の賃料是正に乗り出した。
    • 2017年衆院選 岸田vs.二階の代理戦争の時点で、長崎氏は「県有地の賃料是正」は訴えていたが落選していた。
• で、どういうこと？
  • 県が住民から訴えられた形は取っていたが、実際には長崎(山梨県)県知事による仕掛けで、富士急に賃料値上げを迫る企てだったということになる。
  • 実際、県有地を90年にわたって独占的に割安の価格で借り受けて稼いでいたことは批判を受けていた。

こうした山梨県事情が、朝日新聞の連載記事「現場へ！」で語られる事となる。

www.asahi.com

AWS Artifact を参照したいがどうすんねん...

AWS Artifact は、AWSのコンプライアンス関連の情報を集約したポータルです。 このポータルサービスから、AWSを監査したレポート等々を参照することで、運用透明性などなどを確認し信頼に足るかを判断する事が可能です。

ただし、各種レポートを参照するにはNDA含む契約をする必要がある為、AWS Console アカウントを作成してログインする。

また、レポートによって個別の契約(BAA、NDA)が必要となるため、IAM権限を持つアカウントのみが AWS Artifact を利用する事が出来る。

レポートを参照するためのIAMポリシー設定

こちらのユーザーガイドにある通りです。

AWS Artifact での IAM 〜AWS Artifactユーザーガイド〜

1. IAMポリシーを作成する
2. Artifact用のグループを作って、上記ポリシーをアタッチする
3. ユーザーを上記グループに所属する

レポートを参照するだけの権限を与えるポリシー例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:Get"
            ],
            "Resource": [
                "arn:aws:artifact:::report-package/*"
            ]
        }
    ]
}

IAMポリシーウィザードを使って、実際に割り当てたポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "artifact:Get",
                "artifact:DownloadAgreement"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        }
    ]
}

AWS Artifact へのアクセス方法

• AWS Console にログインして Artifact にアクセスするだけです。
  • https://console.aws.amazon.com/artifact/home
  • 
  • ページ右上の辺りにある白枠「AWS Artifactの使用を開始る」内の「レポートの表示」をクリックすれば、各種のコンプライアンス関連レポートのリストが表示されます。
  • レポートによっては、開示に当たって別途契約が必要になるものも有ります。
  • 例えば SOC2 に関しては、利用者にのみ公開というもののようですのでフルオープンでは有りませんので、ここでの例示は出来ません。
    • SOC3については、誰でも参照することが出来ます(PDF)。
• しかし、レポートを読むのは意外に面倒くさい
  • ダウンロード出来るPDFにはウォーターマークが入っているので、Adobe Reader で開くことを求められてしまう...。
  •