NRI Secure SANS NewsBites 日本版

Vol.6 No.50 2011年12月14日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.50 2011年12月14日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.95-96
(原版:2011年12月3日、12月7日)

◆FBI ハッカーがSCADAを利用し、3都市のインフラにアクセスしたことを公表 (2011.11.29)
FBIサイバー部門の副長官補によると、ハッカーがSCADAシステムを利用して、 3都市のインフラにアクセスをしたという。これにより、ハッカーはこの3都市 のシステム制御、未処理汚水の湖への放出、ショッピングモールの動力装置の 停止など、様々なことが実行可能であったが、実行はされなかった。ゆえに、 今回のハッキング行為は実質的に、ハッカー当人のひとりよがりの自己満足だっ たようだ。

http://www.information-age.com/channels/security-and-continuity/news/1676243/hackers-accessed-city-infrastructure-via-scada-fbi.thtml

────────────────

◆GAOの報告書 サイバーセキュリティの浪費や乱用を引き起こす原因に (2011.12.1)
政府関係者らに届けられたGovernment Executive誌12月号の中に、米国政府説 明責任局(GAO)の報告書が、連邦政府のITマネジメントやサイバーセキュリティ の効率性を向上させるよりも、むしろ浪費を引き起こしているように思われる 実態に関して注目を浴びせる記事がある。同報告書は、効率性向上技術の導入 を遅らせるために使用され、その結果、継続のために毎年3億以上の浪費を許 している。また、継続的なセキュリティ監視の導入については評価を行ってい るが、3年、年次、四半期レポートと差し替えになる、「継続的な監視のアプ ローチ」については比較がされていなかった。その代わりに、GAOは「継続的 な監視」の範囲を拡大し、適用できる分野の探求を行った。同報告書では、重 要な比較が行われていなかったため、運営セキュリティを向上させるために利 用価値があるものではなく、報告書作成を行うことで利益を得ている者にとっ て利用価値のあるものと化してしまい、報告書を作成することでお金を稼ぎ続 けられるようになってしまった。

http://www.govexec.com/features/1211-01/1211-01adan1.htm

────────────────

◆米国下院議会 サイバー上の脅威に関する情報共有法案を可決 (2011.11.30-12.1)
米国下院情報委員会は、「サイバーインテリジェンス 共有・保護対策2011年 法」を17対1で承認した。この法案は、公共部門と民間部門との間でサイバー 脅威について情報共有を促進する役割を果たすとされている。提案されている この法案のもとでは、民間企業は、政府と情報を共有する責任や、ネットワー クセキュリティの向上のための情報の使用方法を誤った場合も責任を免除され る。企業側は、情報共有を要求されないほか、情報を共有する政府局を選んで もよいとされている。同法案に対する批判の声によれば、「この法案には、市 民のプライバシーを保護する条項がない」という。そのため、同法案の文言の 一部が、「サイバーセキュリティ関連のデータは、きちんと明記され、国家の セキュリティ情報は共有するよう」修正された。

http://www.bloomberg.com/news/2011-12-01/verizon-supported-cybersecurity-bill-advances-in-u-s-house.html
http://www.politico.com/news/stories/1211/69583.html
http://www.washingtonpost.com/world/national-security/cybersecurity-bill-promotes-exchange-of-data-white-house-civil-liberty-groups-fear-measure-could-harm-privacy-rights/2011/11/30/gIQAD3EPEO_story.html
http://gcn.com/articles/2011/12/01/cybersecurity-bill-info-sharing-no-privacy.aspx

【編集者メモ1】(Murray) 「情報共有」の妨げになっているのは、単に、それによって生じる「責任」だ けではない。共有を行うこと自体が基本的に危険なのである。「情報共有」を 過剰に行えば、情報の漏えいは避けられない。政府が民間部門に対し、「どう して共有を行わないのか」と問えば、企業らは、「共有すれば責任が生じる」 ことを口実として掲げるだろう。と言うのも、「あなた方(政府)は、情報を漏 えいしてしまうので信頼できない」と口にするのは失礼だからだ。

【編集者メモ2】(Honan)
情報共有の構想は、紙面上で見栄えがよい。しかし、政府局が「共有とは、二 方向に行われるもの」だということを理解していないために、このような構想 はとん挫することが多い。大抵、民間部門が情報を共有する場合は、フィード バックがなければ実行されない。政府が情報を用いる方法を明白にしていない 場合も然りだ。

【編集者メモ3】(Ranum)
「情報共有」は、情報の行き交う方向が二方向であり、関係のある事柄に絞っ て共有が行われ、共有によって何か実用的なことが成し得るのであれば、筋が 通っている(そうでなければ、それは、「情報共有」ではなく、「情報収集」 と言うべきだ。)歴史的に見ても、政府局の情報源から発せられたセキュリティ 警告が、「ハッキング攻撃がないか警戒する」ことよりも大幅に役に立った試 しはない。このような情報共有のイニシアチブは、広報活動の枠からなかなか 抜けられないようだ。

────────────────

◆Wyden上院議員 IP保護法(PIPA)の代替案に関する議論を提案 (2011.12.2)
Ron Wyden米国上院議員(オレゴン州民主党)は、政界全体から議員を呼び集め、 IP保護法(PIPA)で提案されている厳格な停止措置の代替案に関する議論を行う 意向だ。彼はすでに、同法案が上院議会の議場にたどり着いた場合には、議事 進行妨害を行うと断言している。PIPAには、一般市民が激しく抗議している下 院議会のオンラインの著作権侵害防止法案(SOPA)との類似性がある。Wyden上 院議員は、すでに物の所有権の監督を行っている米国国際貿易委員会に対し、 監督の範囲を広げ、デジタル化されているもの所有権も含めるように説得した いと考えている。

http://www.wired.com/threatlevel/2011/12/internet-blacklist-alternative/all/1
http://www.wired.com/images_blogs/threatlevel/2011/12/itcdraftwyden.pdf

────────────────

◆スイス連邦参事会 ファイル共有に関する懸念を重要視せず (2011.12.5)
スイス議会の要請で同国の連邦参事会がとりまとめた報告書によると、違法な ファイル共有は大きな問題ではないという。この報告書では、この問題に対抗 することを目的に行われた3つの提案(フランスで体系化されている三振アウ トプラン、インターネットフィルタリング、および、一定の料金を支払えば無 制限にファイル共有が行える共同ラインセンスプラン)を退けている。報告書 には、「消費者はまだまだ、娯楽製品にお金を費やしているので、ファイル共 有は、外国の大手制作会社のみが抱えている懸念であると言える。このような 企業は、法の成立を推し進めて時代遅れのシステムを維持しようとする代わり に、現在のビジネスモデルを消費者の行動パターンを反映させて採り入れる形 に変えていく必要がある」と述べられている。

http://arstechnica.com/tech-policy/news/2011/12/swiss-government-file-sharing-no-big-deal-some-downloading-still-ok.ars
http://www.eweekeurope.co.uk/news/swiss-government-rules-downloading-to-remain-legal-48351

【編集者メモ】(Murray) 法というものは、切れ味の悪い道具である。必ずと言ってよいほど、予期せぬ 結果を招くものだ。悪い法ほど、修正が難しいものはない。したがって、法は 遅い段階で慎重に、そして、法以外の措置を全て試した後で用いるべきである。

────────────────

◆豪州・参謀本部国防信号局(DSD) 4つのコントロールで標的型攻撃の阻止を確認 (2011.11)
豪州・参謀本部国防信号局(DSD)は、標的型サイバー攻撃の85%以上に打ち勝 つことのできる4つのセキュリティコントロールを特定し、豪州の民間機関、 および軍関連局に導入したことから、この10月に、米国サイバーセキュリティ 革新賞を受賞した。この4つのコントロールは、35の戦略リストの中の最上位 のコントロールだが、他国のどの政府とも違い、豪州政府は、「先ずこの上位 4つのコントロールを導入し、その後、他のコントロールを導入すべきかを決 定せよ」と述べている。標的型攻撃の影響を軽減する戦略として、内外の政府 の最高幹部が共鳴したものはこれが初めてである。DSDはこのほど、スイート スポットにこの4つのコントロールを導入する方法の詳しい説明を掲載した新 文書を発行している。

http://www.dsd.gov.au/publications/Implementing_Top_4_for_Windows.pdf
http://www.dsd.gov.au/publications/Assessing_Security_Vulnerabilities_and_Patches.pdf
https://www.sans.org/press/australian-defence-signals-directorate-national-cybersecurity-award.php

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1/18(水)・2/10(金)            <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=300&xlinkid=03

○1/20(金)・2/15(水)・3/7(水)  <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=300&xlinkid=02

○1/25(水)・2/24(金)      <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=300&xlinkid=04

※各セミナーともにそれぞれにおける競合にあたる同業他社様のお申込みはご遠慮下さい。



■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年12月3日 Vol.10 No.49)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
1
Linux
2
Novell
1
Cross Platform
7
Web Application - Cross Site Scripting
1
Web Application
12
Network Device
1
Hardware
1
======================================================================


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。