NRI Secure SANS NewsBites 日本版

Vol.6 No.3 2011年1月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.3 2011年1月18日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
Stuxnet出現後のSCADAセキュリティ:
米国・カナダのSCADAセキュリティサミット(2月末にオーランドで開催)のプロ
グラム情報を掲載した。ユニークかつ有意義なセッションが複数あり、これら
のセッションには即座に使える情報が満載である。

例:
国土安全保障省が公共事業のサイバーセキュリティを調査してわかったこと、
FBIとカナダ連邦警察(RCMP)がコントロールシステムに対するサイバー犯罪と
戦う際に行っていること、北米電気信頼度協議会(NERC)のCSOによるサイバー
セキュリティ・コンプライアンスの年次更新などの情報が提供される。そして、
Stuxnetのアタックから学んだことや、コントロールシステムの侵入テストで
用いられる最新の技術についての情報も公開される。これはSCADAセキュリティ
の調査プロジェクトの中で最も重要で有益な情報になるだろう。このカンファ
レンスの直前に、実戦的なSCADAセキュリティin-Depthの5日間コースにも参加
できるようになっている。
カンファレンスについて: http://www.sans.org/north-american-scada-2011/
アジェンダ: http://www.sans.org/north-american-scada-2011/agenda.php

カリフォルニア州、ロードアイランド州、メリーランド州、デラウェア州は、
州をあげてサイバーセキュリティ分野で有能な人物の発掘を始めた。この有能
人物発掘へ通ずる高校生を対象とした教育・コンペのプログラムはサイバー基
金と称され、米国サイバーチャレンジと参加企業らが後援している。高校生ら
はまず、セキュリティの視点からのネットワーキングやOS、システム管理につ
いて、オンラインのチュートリアルやビデオを見て、その後オンラインの小テ
ストで競うようになっている。学校は2月18日までに、在学生がプログラムに
参加できるようにするコードを獲得しなければならない。SANSの卒業生のみな
さんが、自分の子供たちの学校やその他の地域の学校に対し、このプログラム
に参加するように働きかけてくれるとありがたい。プログラムに参加した子供
たちは、勝てば商品券やその他の賞品を獲得できる。また、プログラムで勝利
をおさめた者は、連邦議会議員や知事、その他の州政府高官に認めてもらえる。
さらに、勝者は、サイバー分野で有能な若者にだけ与えられる大学の奨学金を
受ける資格を得ることもできる。次回発行のNewsBitesに詳細情報を掲載するつ
もりだが、一歩先のスタートを望む方は、こちらのサイトから。
http://www.sans.org/cyber-foundations
■■SANS NewsBites Vol.13 No.2-Vol.13 No.3
(原版:2011年1月7日、2011年1月11日配信)

◆連邦政府局 月末までに機密情報管理報告書の提出を義務付けられる
(2011.1.5-6)
米国の連邦政府局は、国家のセキュリティデータ管理・保護の方法についての
報告書を、3週間以内にホワイトハウスに提出しなければならない。盗まれた
極秘外交文書がはじめてウィキリークスに掲示された際に、ホワイトハウスは
全政府局に対して機密指定の情報のセキュリティを確立する手順を評価するよ
うに指導したメモを発行している。2011年1月3日にも、行政予算管理局(OMB)
からメモが発行されたが、このメモには、政府局に対するコンプライアンスガ
イダンスのほか、不満を抱いている職員が未承認で情報を開示しようとするの
を防ぐために、各局が何を行っているのかという質問も書かれている。各局は、
最初のメモで求められている内部評価の結果概要と、1月3日のメモの質問に対
する答えを1月28日までに提出しなければならない。
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=229000137&subSection=Security
http://www.computerworld.com/s/article/9203746/WikiLeaks_fiasco_prompts_new_Fed_effort_to_boost_data_security?taxonomyId=17
http://www.whitehouse.gov/sites/default/files/omb/memoranda/2011/m11-08.pdf

【編集者メモ】(Pescatore)
現政権は政府局に対し、機密情報を少なくしてより多くの情報を公表するよう
になるまで2年を費やしてきた。OMBのメモには、「情報漏えい」ではなく「ウィ
キリークス」というフレーズが使われ、「ウィキリークス事件後の時代」とさ
れているが、これは問題である。政府局は「知る必要性」をダシに「共有する
必要性」を過度に強調してきた。そしてそれが今日のデータセキュリティの手
順やコントロールを政府局が施行しない主な理由となっている。
────────────────

◆カリフォルニア州最高裁判所 「警察は令状なしに携帯電話を検査してもよ
い」 (2011.1.4)
カリフォルニア州最高裁判所は、「警察は令状なしで、逮捕した人間の携帯電
話を検査し、そこで発見した情報を証拠として使用できる」との裁定を下した。
このケースには、警察の情報提供者からドラッグを買った男、Gregory Diazが
関係しているという。同人の逮捕後、警察はDiazの携帯電話を捜査し、彼が別
件の売買にも関係していることを示すテキストメッセージを発見した。Diazと
彼の弁護団は、合衆国憲法修正第4条の権利が侵害されたという主張を維持し
ているが、裁判所は、携帯電話は洋服と同様、個人の所持品の一部であるとい
う見解を示した。
http://redtape.msnbc.com/2011/01/court-cops-can-search-cell-phone-without-warrant.html

【編集者メモ】(Schultz)
この判決が法的前例にならないことを願うばかりだ。携帯デバイスは、極めて
個人的な情報をたくさん含んでいるため、法的承認なしで押収されるべきもの
ではない。それに、令状なしの捜査というのは、民主主義というよりむしろ独
裁的な政権の特徴を呈している。
────────────────

◆米国商務省 身元情報の信頼性確立の取り組みを支援する国家推進室の設立
へ (2011.1.7-10)
米国商務省はインターネットのユーザーに対して、信頼性のあるオンラインの
身元情報(ID)を作成・推進することに焦点を絞って業務を行うNational
Program Officeを設立する見込みだ。この取り組みによって、相互運用可能な
技術の開発やオンライン認証の基準の作成が促進され、現政権の「サイバー空
間で信頼できるID導入の国家戦略(NSTIC)」を支援できるようになる。ユーザー
は、シングルオンラインIDを設けることが可能になり、自信をもってそれを複
数のサイトで使用することができるようになるため、多数のパスワードを覚え
ておく必要性がなくなる。NSTICは、集中型のデータベースに依存しないIDエ
コシステムの構築に努めるが、IDエコシステムの使用は必須化しない意向だ。
NSTICの最終版が、今後数カ月でリリースされる見込みである。
http://www.whitehouse.gov/blog/2011/01/07/national-program-office-enhancing-online-trust-and-privacy
http://www.commerce.gov/news/press-releases/2011/01/07/us-commerce-secretary-gary-locke-white-house-cybersecurity-coordinato
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=229000404&subSection=Security
http://news.cnet.com/8301-31921_3-20027800-281.html
────────────────

◆Twitter ウィキリークスに関連した人間に関する情報を求める国家安全保
障書簡を開示 (2011.1.8-9)
Twitterは、米国政府がウィキリークスに深い関係のあるユーザーの個人情報
の詳細を求める召喚令状を発行したという情報を暴露した。バージニア州の米
国地方裁判所はこの関連で、氏名や住所、接続記録、電話番号、決済情報など
を求めているという。問題の裁判所命令は2010年12月14日に発行された。その
当時、ウィキリークスは召喚状が発行されたことや、捜査が行われていること
を一切口外しないように命令されていた。しかしながら裁判所は先週、この制
限を解いた。求められていた情報の対象となった名前の中には、Julian
Assange、米国陸軍上等兵のBradley Manning、アイスランド議会議員で
Assangeの同僚だったBirgitta Jonsdottirなどがあった。Assangeは、この一
連の行為を「裁判所命令による嫌がらせだ。」と指摘している。
http://www.bbc.co.uk/news/world-us-canada-12141530
http://www.nytimes.com/2011/01/10/business/media/10link.html
http://www.icelandreview.com/icelandreview/daily_news/?cat_id=40764&ew_0_a_id=372293
http://www.guardian.co.uk/media/2011/jan/08/wikileaks-calls-google-facebook-us-subpoenas
http://www.wired.com/threatlevel/2011/01/birgitta-jonsdottir/
http://www.wired.com/images_blogs/threatlevel/2011/01/Twitter_Unsealing_Order.pdf

【編集者メモ】(Honan)
米国政府によるこの動きは、欧州議会の議員らの間で国際的に大きな動揺を巻
き起こしている。その動揺の大きさは「データプライバシーに及ぼす影響」に
ついて議員らが討論してしまうほどである。
http://euobserver.com/9/31614.
アイスランドの外務大臣Oessur Skarphedinssonは、米国大使を呼び出し「理
由なく、アイスランド議会の議員が米国の刑事事件で捜査を受けている」訳を
説明するように求めている。
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃いまだけのお得なキャンペーン実施中!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
WEBからの脅威防止に役立つサービスをいまだけのお得な料金でご提供
<1>セキュアWebアプリケーション構築のためのハンズオントレーニング
<2>Webアプリケーションを安全に設計・開発するためのガイドライン
<3> PCI DSS準拠に必要なASVスキャン

詳細・お問い合わせは
http://www.nri-secure.co.jp/whats_new/2010/1210.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃近日開催予定のセミナー
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2011年1月24日<名古屋>・25日<大阪>・28日<福岡>
特権ID管理・ログ管理ソリューション セミナー
http://www.nri-secure.co.jp/seminar/2011/0119.html?xmid=30&xlinkid=03
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。掲載されている情報は、e-mailを介して自由に他
の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日
本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申
込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000
このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお
書きいただき、info@sans-japan.jpまで返信してください。