NRI Secure SANS NewsBites 日本版

Vol.7 No.18 2012年5月15日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.18 2012年5月15日発行
**********************************************************************

■■SANS NewsBites Vol.13 No.36-37
(原版:2012年5月4日、5月8日)

◆Langevin議員 CISPA(米国下院・サイバーセキュリティ法案)を「誠実な取り組み」と称す (2012.5.2)
ロードアイランド大学で開催されたサイバーセキュリティシンポジウムにて、 Jim Langevin下院議員(ロードアイランド州民主党)は、CISPA(米国下院・サイ バーセキュリティ法案)を「我が国のサイバーセキュリティの向上にむけて一 丸となる第一歩として、誠実な取り組み」と称した。CISPAについては、プラ イバシー団体が非難しているほか、ホワイトハウスも「法案を拒否する」と脅 していた経緯がある。Langevin議員は、サイバーセキュリティトレーニングを 強く支持しており、サイバーセキュリティ分野で働く人員のトレーニングプロ グラムの作成と、サイバーセキュリティ分野の専門的な職業に就くための教育 進路の支援をDHS(国土安全保障省)に求める法案を支持している。

http://www.fiercegovernmentit.com/story/langevin-cispa-good-faith-effort-address-cybersecurity/2012-05-02
事前に用意されたLangevin議員のコメント:
http://langevin.house.gov/resources/Langevin_Prepared_Remarks_URI_Cyber_2012.pdf

────────────────

◆Mozilla CISPAを声高に反対 (2012.4.30-5.2)
Mozillaは、このほど下院議会で可決されたCISPA(米国下院・サイバーセキュ リティ法案)に反対の意を表明した最初の大手企業である。Mozillaは、 Forbes誌のAndy Greenberg記者に宛てた声明で、「CISPAは、広範、かつ憂慮 すべき範囲にまで権力を及ぼし、それはもはやネットのセキュリティの域をは るかに超えている」と述べている。一方で、Facebook、Symantec、Verizon、 Microsoftなどの他の技術企業は、CISPAの支持を表明している。Microsoftは、 新法案はいずれも「顧客に対して守る、または、確保すると約束したプライバ シーやセキュリティを企業がそのとおりに実行できる」環境を与える法案であ るべきだと言明した。このコメントは、CISPAに対する支持の度合いが弱まっ ていることが伺える内容だが、Microsoftの広報であるChristina Pearsonは、 「同法に対する同社の見方は変わっていない」と述べている。

http://www.forbes.com/sites/andygreenberg/2012/05/01/mozilla-slams-cispa-breaking-silicon-valleys-silence-on-cybersecurity-bill/
http://news.cnet.com/8301-1009_3-57425719-83/mozilla-is-first-major-tech-company-to-denounce-cispa/
http://www.h-online.com/security/news/item/CISPA-Mozilla-distances-itself-from-the-cyber-security-act-1565532.html
http://thehill.com/blogs/hillicon-valley/technology/224587-microsoft-denies-softening-of-cispa-support

【編集者メモ】(Murray)
CISPAで問題となっているのは、「ビッグデータは顧客の権利を尊重しない」 からではなく、同法案によって、「ビッグデータが顧客の権利を侵害した場合、 その責任から免れられる」ようになっていることである。したがって、ビッグ データがこの法案を支持したとしてもさほど不思議ではない。
────────────────

◆NSA(米国国家安全保障局)長官談:重大なインフラ企業にはセキュリティ措置の導入を義務付けるべき (2012.5.4)
NSA(米国国家安全保障局)長官および米国サイバー指令部司令官であるKeith Alexander陸軍大将は、「電力や輸送機関など、同国の重大なインフラの要素 を支えている企業に対し、強化で効果的なサイバーセキュリティ措置の導入を 義務付ける」法を議員らに制定してほしいと考えている。Alexander陸軍大将 は、John McCain上院議員(アリゾナ州共和党)に宛てた書簡で、「最近発生し た事象によって、純粋に自由意思に任せた市場主導のシステムでは、米国の重 大なインフラを支えるネットワークの保護を行うには十分ではない」と述べて いる。産業界に必須要件を課す法案も提案されているが、共和党員らは「この 法案では事業に対する負荷が重すぎる」と述べ、同法案に反対している。

http://www.washingtonpost.com/blogs/checkpoint-washington/post/nsas-gen-alexander-companies-should-be-required-to-fortify-networks-against-cyberattack/2012/05/04/gIQA1Snf1T_blog.html
【編集者メモ】(Pescatore & Murray)
ううむ、「自由意思に任せず、かつ、市場主導型ではない」セキュリティのア プローチ例として、DoD(米国司法省)も含む政府のシステムを見てみても、こ のアプローチを使って、民間産業に見られる「自由意思に任せた市場主導型」 のセキュリティよりも高いレベルに達しているとは言えないようだ。

【編集者メモ】(Paller)
Alexander陸軍大将は、まさしく適切な問題に焦点をあてている。FISMAを基に した現在の政府のサイバーセキュリティも、自由意思に任せた活動を基にした 商用のサイバーセキュリティも、現在、または今後来たる脅威に対して防御を 行うには不十分だという世論が高まっている。誰かが、国家を守る責任を負わ なければならない。Alexander大将は、DoDの調達力を通じ、無駄な報告書作成 業務を取り除くことで(特にオートメーションを用いた20の最も重大なコント ロールの導入を行って、DHS(国土安全保障省)の改革とともに)セキュリティ推 進を主導してきた。彼のリーダーシップがあったからこそ、政府は模範を示し て指導を行うことができるほか、重大なインフラにおけるサイバーセキュリティ の改善を図ろうとする議会の行動が正当であると説くことができるのだ。

────────────────

◆FBI インターネット企業もCALEA(捜査当局による通信傍受の援助法)の対象に含められるように同法の範囲拡大を望む (2012.5.4)
FBIは、GoogleやFacebookなどのインターネット企業のシステムにバックドア を設けて、政府が監視を行えるようにすることを望んでいる。FBIは連邦議会 に対して、通信システムが電話からインターネットに移行していることから、 ますます通信傍受を行いにくくなっており、これに関して不満の意を表してい る。CALEA1994年法(捜査当局による通信傍受の援助法)では、テレコム業者は、 捜査当局が通信傍受を行いやすいシステムにするようにすることが求められて いる。2004年に、連邦通信委員会は、ブロードバンド提供業者も対象に含める ようにCALEA法の適用範囲を拡大したが、インターネット企業はCALEA法への遵 守を義務付けられていない。現在FBIは、CALEA法の適用範囲のさらなる拡大を 望んでいる。遵守が義務付けられる企業は、ユーザー数が規定の人数を超えて いる企業に限られる。

http://news.cnet.com/8301-1009_3-57428067-83/fbi-we-need-wiretap-ready-web-sites-now/
http://www.wired.com/threatlevel/2012/05/fbi-seeks-internet-backdoors/

【編集者メモ】(Murray)
このようなものは、不当な要求だと言えよう。

────────────────

◆DHS(米国国土安全保障省) 一斉サイバー攻撃に注意するよう、天然ガスのパイプライン企業に警告 (2012.5.5)
米国国土安全保障省が発した警告によれば、米国の天然ガスのパイプラインに 責任がある米国企業のシステムが、活発なサイバー攻撃の標的になっていると いう。2012年3月29日以降、DHSは「ガスのパイプラインに対するサイバー侵入 攻撃作戦に関する「黄色」警告を少なくとも3つ発している。「黄色」は「赤」 の一歩手前であり、最も慎重に扱うべき警告レベルである。問題の攻撃は、カ ナダのパイプライン企業も標的にしている可能性がある。数人の議員が、米国 の重大なインフラの要素を担っている民間企業に、効果的なセキュリティ措置 を導入させる権限を政府に持たせることを求めているため、企業にこれらのシ ステムのセキュリティは、米国議会で議論の中心となっている。ICS-CERT(産 業用制御システム・サイバー緊急事態対策チーム)が最近、一般に発した警告 によれば、「これらのサイバー攻撃に関係のあるマルウェアとその影響を分析 したところ、この活動は、単一のソースに端を発する単一の作戦に関連がある と、明白に確認できた」という。この警告では、システム内に足場を得るため に用いられたスピア・フィッシング作戦についても説明されている。

http://www.csmonitor.com/USA/2012/0505/Alert-Major-cyber-attack-aimed-at-natural-gas-pipeline-companies
【編集者メモ】(Pescatore)
Security Weekの記事
https://www.securityweek.com/report-dhs-requested-gas-pipeline-companies-let-attackers-lurk-inside-networks
このなかには、「問題の攻撃はさほど深刻ではなく、DHSはパイプライン会社 に対し・・・(中略)、会社の操業が危ぶまれない限りは、操業を続けるよう に求めた」と書かれている。これは本当にひどい考えである。と同時に、「セ キュリティの任務を情報収集任務とごちゃまぜにするのは、大抵の場合、よか らぬ考えである」ことを示す好例でもある。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5/16・6/15
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=06

○5/23
 今、あらためて見直そう!! 適切なアクセス管理と運用
 ~特権IDの不正利用を防止し、情報漏えい対策から
    内部統制をはじめとした監査に対応した運用環境の実現に向けて~
http://www.nri-secure.co.jp/seminar/2012/0523.html?xmid=300&xlinkid=15

○5/24・6/13 
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=05

○5/29
 クラウドを利用した契約書の管理革命
http://www.nri-secure.co.jp/seminar/2012/sri01.html?xmid=300&xlinkid=13

○5/30・6/27
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2012/gosoushin01.html?xmid=300&xlinkid=11

○6/7(大阪)・6/21(東京)・6/22(名古屋)
 事件から読み解く!企業に求められるセキュリティ対策セミナー
 ~製造業の方必見!あなたの会社の機密情報は守れていますか?~
http://www.nri-secure.co.jp/seminar/2012/motex01.html?xmid=300&xlinkid=18

○6/21
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=04


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7/2・9/10・12/25
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=16

○7/3~4・9/11~12・12/26~27
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃秘密分散技術によって安全なクラウドストレージサービスを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ファイルを所定のフォルダに入れるだけで、非重要情報化して複数のクラウド
に遠隔地分散保管。1ファイルが足りなくても、ダブルクリックで簡単復元!
クラウドバックアップやファイルサーバ、大容量ファイル共有、BCP対策に。
http://www.nri-secure.co.jp/service/pv/secretshare/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情をご説明するとともに、常態化した Webアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイア
ウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2012/online_apt.html?xmid=300&xlinkid=14



Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。