赤坂タロウの日記: 2020/05

ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表 (05/01)

https://gigazine.net/news/20200501-nsa-security-report/

レポートから製品を勝手に選んで「N（No）」の個数を単純計数。少ない方が良い。
・N 2個: Webex, G Suite, MS Teams
・N 3個: Skype (4 biz), Zoom

◇　Zoomは、数々の脆弱性報告が記憶に新しいが、N個数は他社製品と遜色無い。
－　Slackはデータを自由に削除できないのが問題。
－　TeamsやG Suiteは高水準だが個人データがサードパーティや開発会社と共有している点を留意との事。

レポートの『9. Is the service developed and/or hosted under the jurisdiction of a government with laws that could jeopardize USG official use?』について『サービスホスト国や開発国に注意すべき』としながらも、レポート中に本件の調査結果は無い。

例えば、Zoomは中国では中国内サーバを使用するので、暗に注意喚起していると思われる。

同レポートに登場するITベンダー・製品を中心に、以下、各脆弱性統計、製品数や脆弱性個数をメモしておく。カッコ内は、製品あたりの脆弱性個数。

プロダクト自体をクラウドサービス化して、エンドユーザデバイス・アプリを持たない方が、少ないリソースで安全性を高められそう。

MSが意外に健闘。Googleは案外大変そう。

Microsoft : 全6,814個/529製品（≒ 12.9）

https://www.cvedetails.com/vendor/26/Microsoft.html

Microsoft » Skype : Vulnerability Statistics 6個
https://www.cvedetails.com/product/35646/Microsoft-Skype.html?vendor_id=26
Microsoft » Skype For Business　: Vulnerability Statistics 27個
https://www.cvedetails.com/product/32612/Microsoft-Skype-For-Business.html?vendor_id=26

Google : 全4,572個/84製品（≒ 54.4）

https://www.cvedetails.com/vendor/1224/Google.html

Apple : 全4,512個/119製品（≒ 37.9）

https://www.cvedetails.com/vendor/49/Apple.html

Amazon : 全39個/24製品（≒ 1.6）

https://www.cvedetails.com/vendor/12126/Amazon.html

wickr

wickr : cvedetails.com に該当なし

Signal : 全6個/4製品（ ≒1.5）

https://www.cvedetails.com/vendor/17912/Signal.html

Cisco : 全4,167個/3,676製品（≒1.1）

https://www.cvedetails.com/vendor/16/Cisco.html

Cisco » Webex : Vulnerability Statistics　9個
https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16

最新脆弱性（以下か?）については cvedetails.comには未だ無いみたい
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerability (04/15)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-player-Q7Rtgvby

Zoom : Vulnerability Statistics 全5個/4製品（≒ 1.3）

https://www.cvedetails.com/vendor/2159/Zoom.html

Zoom » Zoom : Vulnerability Statistics 4個
https://www.cvedetails.com/product/56977/Zoom-Zoom.html?vendor_id=2159

Whatsapp　» Whatsapp　: Vulnerability Statistics 8個
https://www.cvedetails.com/product/54433/Whatsapp-Whatsapp.html?vendor_id=19851

Facebook : 全46個/15製品（≒ 3.1）

https://www.cvedetails.com/vendor/7758/Facebook.html

近未来の世界は、神戸大岩田教授風に言えば、グリーンゾーンとレッドゾーンに二分されるかもしれない。
・グリーンゾーン経済圏: 早期に感染を収束させ経済活動を再開、相互交流
・レッドゾーン経済圏: 度々封鎖し孤立

半分冗談ではあるが、「中国を中心とするアジア対欧米の差異がひろがる」と言えば、現実味もあろう。
ムーディーズの 2020-21 G20国 GDP成長予測（下図）とも重なる。

Ref　https://www.moodys.com/PublishingImages/creditview/topics/Coronavirus/resized-CORONA-GDP.png

だが、上図で日本に対する辛口予測については、異を唱えたい。
というのも「（人口百万人当たりの）死者を最小にする」という目標に対して、日本は素晴らしい実績をあげてきたからだ（下図）。

Ref. https://ourworldindata.org/grapher/total-covid-deaths-per-million?tab=chart&yScale=log&year=2020-04-25&country=BEL+CHN+FRA+DEU+ITA+JPN+KOR+ESP+SWE+GBR+SGP+IND+BTN+PAK+VNM+TWN+THA+MYS+MMR

ここで、その目標達成は、政府や地方首長の手腕によるものだったのだろうか?

下図は政治家の「宣言」と、その効果が表れる時期とされる二週間後を示したものである。

Ref. https://toyokeizai.net/sp/visual/tko/covid19/

直感的には「政治アクションと成果に相関は無い」と言えそうだ。
（全国の数字に、東京都知事分を混ぜるのは、ややフェアでなく除外して考えるとしても）
むしろ市民の自覚によって新規患者数を減らせていると考えられ、それがアジアでも特にユニークで素晴らしいと考える。

また「コロナ警察」は、息苦しい社会を生む割に、効果は少ない? と思われ、その検証報道もしてほしいところである。
他に、今日も「感染増加が続いている」とTVは言っていたが、累計値が減るわけないので、「感染者の増加ペースが鈍ってきた」と言うのが正しい。

さらに、TVで報じていない事にも触れておこう。
財政出動金額で日本は世界第二位（下図）の点にも注目されたい。

Ref. https://en.wikipedia.org/wiki/Coronavirus_recession#Black_Monday_I_(9_March)

諸外国から揶揄されるマスクの件も、私の知る狭い範囲であるが届き始めており不良品は無い。これが転売ヤーに『良品による市場飽和』の危機感を生じさせ、転売活動抑制～早期損切～安値で市場放出を促すという効果があったのではないか。結果的に執筆時現在で小売店に商品が適正価格で戻ってきているではないか。

政権擁護する気は無いのだが、冒頭の成果とも併せて政府はもう少し評価されても良さそうに感じるのは私だけだろうか。自己PRが下手なのではないか。

さて、科学的に検証可能な数字の話をしたい。
各都道府県の実行再生産数（一人が何人に感染させるか。1未満で収束に向かう）は、軒並み1未満になってきている（下図緑色）。
東京、千葉、神奈川、埼玉はベスト10入りの上、執筆時点で3週間以上減少傾向が続いている。

Ref. https://rt-live-japan.com/

従って、それらの地域でも緊急事態宣言維持と報じられているのは少々意外な感じもする。政治と科学は別物という事だろう。（どんなに優れた政策を実施しても、死亡0はあり得ないだろう。そこをマスコミ・野党は取り上げ、責任を追及するだろう。だから「票」を意識するなら現状維持がベスト、との判断が働く。）

しかし一方で、長引く自粛による経済への悪影響が懸念されている。科学に立脚するなら①ベスト10地域くらいはGW明けには自粛を緩め当該地域間の移動は認める、②病床確保のため二類感染症の扱いを変更する、③高齢者などリスクのある人々を隔離する、といった方針・施策の必要性を論者中心に声を上げ、世論喚起してはどうか。

また一方でグラフ右端の赤く表示された北海道、香川、島根、鳥取は、厳しい状況だ。自粛を緩めてはいけない厳重注意地域である。親族会いたさに帰省して、都市部よりも脆弱な医療資源の崩壊リスクを高めてはいけない。

帰省したい人は今しばらく辛抱を。オンライン帰省に切り替えよう。

赤坂タロウの日記

May 3, 2020

NSAが会議ツールを評価～各社の脆弱性統計

ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表 (05/01)

Microsoft : 全6,814個/529製品（≒ 12.9）

Google : 全4,572個/84製品（≒ 54.4）

Apple : 全4,512個/119製品（≒ 37.9）

Amazon : 全39個/24製品（≒ 1.6）

wickr

Signal : 全6個/4製品（ ≒1.5）

Cisco : 全4,167個/3,676製品（≒1.1）

Zoom : Vulnerability Statistics 全5個/4製品（≒ 1.3）

Whatsapp

Facebook : 全46個/15製品（≒ 3.1）

May 1, 2020

ポストコロナ

Labels

Pageviews last month

May 3, 2020

NSAが会議ツールを評価～各社の脆弱性統計

ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表 (05/01)

Microsoft : 全6,814個/529製品 （≒ 12.9）

Google : 全4,572個/84製品 （≒ 54.4）

Apple : 全4,512個/119製品 （≒ 37.9）

Amazon : 全39個/24製品 （≒ 1.6）

wickr

Signal : 全6個/4製品 （ ≒1.5）

Cisco : 全4,167個/3,676製品 （≒1.1）

Zoom : Vulnerability Statistics 全5個/4製品（≒ 1.3）

Whatsapp

Facebook : 全46個/15製品 （≒ 3.1）

May 1, 2020

ポストコロナ

Microsoft : 全6,814個/529製品（≒ 12.9）

Google : 全4,572個/84製品（≒ 54.4）

Apple : 全4,512個/119製品（≒ 37.9）

Amazon : 全39個/24製品（≒ 1.6）

Signal : 全6個/4製品（ ≒1.5）

Cisco : 全4,167個/3,676製品（≒1.1）

Facebook : 全46個/15製品（≒ 3.1）