NRI Secure SANS NewsBites 日本版

Vol.1 No.20:2006年12月22日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
No.20 2006年12月22日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。

本号では、12月13日に発表された「セキュリティトレンド予測」をご紹介しま
す。これを見る限り、来年以降も情報セキュリティを取り巻く環境はますます
厳しさを増すように思えます。皆様はどう思われますか。

SANSトレーニングの東京開催情報もありますので、最後までお読みください。

----- The Ten Most Important Security Trends of the Coming Year -----
~専門化が予測する10大セキュリティトレンド~

【モバイルデバイス】

1. 政府機関や、顧客情報、患者情報を保有する多くの企業・組織において、
携帯PCの暗号化が必須となり、新規に携帯PCを導入する際には、暗号化機
能が事前にインストールされることになる。情報漏えいが公になることを
危惧する経営層の人々が、携帯端末の機密情報を保護するように要請する
ようになるだろう。

2. PDAスマートフォンの盗難件数が大幅に増加する。デバイス自体の再販価値
だけでなく、デバイス内の保存情報の価値にも目をつけた多くの窃盗犯が
狙うようになるだろう。

【政府のアクション】

3. 議会や州政府は、今後一層、顧客情報保護を統制する法律を可決していく。
現在予想されるように、米国議会が、各州に課されている「情報漏えいを
通知しなければならない場合の要件」を著しく縮小させてしまった場合、
州検事や州議会は、個人情報を紛失した組織に対して厳しい懲罰を実行で
きる方法を見出すだろう。

【アタックのターゲット】

4. ターゲットを特定した攻撃(特に政府機関をターゲットにしたもの)が、
より一般的になる。過去3年間、敵対国によるサイバーアタックが米国政府
システムに向けて行われてきたが、それらは至極成功している。つまり、
連邦政府のサイバーセキュリティに関する取組みが失敗していることを意
味する。脆弱性を把握している敵対国やテロ集団は、攻撃回数を大幅に増
やしてくるだろう。民間組織を狙う攻撃では、軍の契約業者や、有益な顧
客情報を有する企業がターゲットになるだろう。

5. 携帯電話を介して拡散するワームが少なくとも10万台の携帯電話に感染し、
ワイヤレスデータネットワークを介して電話から電話に飛び火する。携帯
電話は、フル機能OSや即使用可能なソフトウェア開発環境を搭載するほど
高度化している。アタッカーは、携帯用アドウェアを巧みに使いながら、
携帯電話を格好の餌食とするだろう。

6. Voice over IP (VoIP) システムが、サイバーアタックのターゲットになる。
VoIP技術は、セキュリティ上の課題を完全に理解されないまま、急速に展
開されてしまった。

【攻撃技術】

7. スパイウェアがますます深刻かつ重大な問題となる。スパイウェアの作成
者は、先進国や途上国に開発や流通のための拠点を築くなど、あらゆる手
法を使って収益を稼ぎ出すだろう。

8. 0-dayの脆弱性が、世界中で膨大な台数のPCが侵される主な原因になる。脆
弱性のリサーチャーの中には、自らが発見したセキュリティホール情報を
ベンダーに売る前に、しばしばそれらを悪用する者もいる。

9. ボットのほとんどが、ルートキットとバンドルされるようになる。ルート
キットは、攻撃の存在を隠すようにOSを変更して、クリーンなOSを再インストー
ルしない限り、マルウェアの消去をほとんど不可能にしてしまうだろう。

【防御戦略】

10. ネットワークアクセスコントロールが一般的になり、より高度化する。携
帯PCの防御がますます困難になるため、大規模組織は、内部ネットワーク
に接続しようとするコンピュータをテストし、内部ネットワークやユーザー
を保護しようとするだろう。テスト内容は、現在あるような、簡単な設定
チェックやウィルスのパターンファイル検証から、悪意あるコードの形跡
を探索し、より深く分析を行うものにまで進化する。

<項目の選定方法>

①サイバーセキュリティにおいて先駆的活動をする専門家20人が、各自が最も
重要だと考える今後のトレンドを2-3ずつ提示。
②集まった40以上の項目について、「起こる可能性が高いもの」と「実際に起
きた場合に影響が大きいもの」という観点から投票し、上位の10項目を最終リ
ストとして決定。
③この最終リストを検証するために、ワシントンDCで開催されたSANSFireの参
加者960人に、当初集まった40以上の項目の順位付けを依頼。
④960人中340人が最終リストと同様の順位を付け、これが最多。

---セキュリティに携わる人々の創意と賛同の結果が、このリストである。---

<本プロジェクトに携わったエキスパート>

-Stephen Northcutt, President of the SANS Technology Institute
-Johannes Ullrich, CTO of the Internet Storm Center
-Marc Sachs, Director of Internet Storm Center
-Ed Skoudis, CEO of Intelguarians and SANS Hacker Exploits Course
Ddirector
-Eric Cole, Author of "Hackers Beware" and SANS CISSP Preparation
Course Director
-Jason Fossen, SANS Course Director for Windows Security
-Chris Brenton, SANS Course Director for Firewalls and Perimeter
Protection
-David Rice, SANS Course Director for Microsoft .Net Security
-Fred Kerby, CISO of the Naval Surface Warfare Center, Dahlgren
Division
-Howard Schmidt, President of ISSA
-Rohit Dhamankar, Editor of the SANS Top 20 Internet Security
Vulnerabilities and @RISK
-Marcus Ranum, Inventor of the Proxy Firewall
-Mark Weatherford, CISO of Colorado
-Clint Kreitner, CEO of the Center for Internet Security
-Eugene Schultz, CTO of High Tower Software
-Koon Yaw Tan, Security Expert for the Singapore Government
-Brian Honan, Irish Security Consultant
-Roland Grefer, Security Consultant
-Lenny Zeltzer, Security Practice Leader at Gemini Systems.
-Alan Paller, Director of Research at the SANS Institute
=====================================================================

<SANSトレーニング 東京開催のご案内>

■■開催コース■■
───────────────────────────────
★SEC401:Security Essentials Bootcamp Style
───────────────────────────────
・6日間コース・定員50名
・講師:Matthew Luallen(SANS認定インストラクター)
本コースは、情報セキュリティの全分野を履修するコースです。
組織のシステム管理や情報セキュリティに必要な理論、本質的な
要素技術について学びながら、すぐに実践できるパフォーマンス
の高いスキルを身につけられるよう、座学と演習で構成されてい
ます。
※本コースは、GIAC Security Essentials Certificationの認定試験
対象コースです。
※本コースは、米国家安全システム委員会(CNSS)から「情報セキュ
リティトレーニング標準(NSTISSI 4013)」として認定されていま
す。
┏━━━━━ 受講対象者 ━━━━━━━━━━━━━━━
┃・情報セキュリティに関する知識を整理したいと考えて
┃いるシステム管理担当者
┃・各種のセキュリティ対策を組織に適用する方策を学び
┃たいと考えているセキュリティ推進部門の方
┣━━━━━━前提知識━━━━━━━━━━━━━━━━
┃・情報セキュリティに関する基礎的な知識を有している
┃・TCP/IPに関する基本的知識を有している
┗━━━━━━━━━━━━━━━━━━━━━━━━━━
詳細情報http://sans-japan.jp/SJ/tokyo2007_spring/track1.html

┌───────────────────────────────
│※本コースの受講により、CISSP認定維持のための継続教育単位が
│1日当たり6ユニット与えられます。
└───────────────────────────────

───────────────────────────────
★AUD507:Auditing Netwoeks, Perimeters & Systems
───────────────────────────────
・6日間コース・定員30名
・講師:David Hoelzer(SANS認定インストラクター)
本コースは、情報セキュリティ監査の上級コースです。各デバイ
スやITシステム・アプリケーションの監査手法を具体的に習得し
ます。演習では、講義で取り上げたツールを用いて、実際に試験
用サーバの監査を行います。本コースを履修することによってシ
ステム上の脆弱性や欠陥を発見するスキルが身につきます。監査
を担当する方はもちろん、システム設計開発に従事される方にも
有益なコースです。
※本コースは、GIAC Systems and Network Auditor(GSNA)の認定試
験対象コースです。

┏━━━━━ 受講対象者 ━━━━━━━━━━━━━━━
┃・システム監査に従事し、技術的なスキル習得を目指し
┃ている方
┃・監査業務を理解する必要性のある情報セキュリティ担
┃当部門の方
┃・被監査部門のシステム管理者やネットワーク管理者、
┃システム開発者の方
┃・セキュリティアセスメント(脆弱性診断)に関する技
┃術・スキルの習得を目指している方
┣━━━━━━前提知識━━━━━━━━━━━━━━━━
┃・ネットワークやシステムに関する一般的な事項を理解し
┃ている
┃・UNIXのコマンドについて基本的な知識がある
┗━━━━━━━━━━━━━━━━━━━━━━━━━━
詳細情報http://sans-japan.jp/SJ/tokyo2007_spring/track7.html

┌───────────────────────────────
│※本コースの受講により、CISSP認定維持のための継続教育単位が
│1日当たり6ユニット与えられます。
└───────────────────────────────

■■開催日:2007年2月19日(月)~24日(土)

■■開催会場:新宿野村ビル44F(野村マネジメントスクール)

■■受講料:早期申込み割引(2007年2月12日まで)
SEC401:472,500円(税込み)<通常価格:540,750円>
AUD507:420,000円(税込み)<通常価格:451,500円>

※英語版教材(通訳なし)で受講される方は、以下の価格にてご提供
いたします。
SEC401:404,250円    ┏━━━━━━━━━━━━━━
AUD507:388,500円    ┃早期割引き申込み受付中!
                 ┃   今すぐお申込みを!
                 ┗━━━↓↓↓↓↓↓↓↓━━━
          https://wbt.sans-japan.jp/sans/rules

■■受講形態:SANS認定インストラクターによる集合研修
同時通訳
教材は日本語教材もしくは英語教材のどちらかを選択
(AUD507は英語教材を使用します)

■■お問合せ:SANS JAPAN事務局(NRI セキュアテクノロジーズ内)
eMail:info@sans-japan.jp
TEL.03-5220-2298FAX.03-5220-2039
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
────────────────