NRI Secure SANS NewsBites 日本版

Vol.7 No.5 2012年2月8日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.7 No.5 2012年2月8日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
数少ない、サイバーセキュリティの全体像が分かる役職に就いている人物によっ て書かれたサイバーセキュリティの本を、さきほど読み終えたところだ。サイ バーセキュリティの事情に精通するにはどうしたらよいかと、常々から私に問 うていた友人らに、この本を送った。この本の著者は、国家情報長官官房の元 ・米国国家対情報局長Joel Brennerである。彼はこの本の中で、様々なコミュ ニティにいる人々から聞いた真実をしっかりと、わかりやすく要約している。 「America the Vulnerable (脆弱な国・アメリカ)」と題されたこの本は、国 家的な論議の具体化に役立つだろう。しかし、それよりもはるかに重要なこと は、この本を読めば、サイバーセキュリティの専門家は、知り得る機会がほと んどない希少な知識を得られるので、一人一人が、今後試みたいことを一層効 果的に行えるようになるであろう。

■■SANS NewsBites Vol.14 No.8-9
(原版:2012年1月27日、31日)

◆EUデータ保護条令改正案 批判を呼ぶ (2012.1.26)
EUデータ保護条令の改正案により発生する法遵守の費用、違反に対する厳しい 罰則、実施の難しさを囁く企業が増えている。改正部分である「忘れ去られる 権利」条項(市民が自分の個人情報の大部分を企業のデータベースから削除す るように要求できるようにする条項)は、プライバシー支持者にとっては朗報 となるかもしれないが、その一方で、組織は、個人情報の削除手順を新たに導 入し、その新手順が適切に実行されるようにしなければならなくなる。また、 このルールの違反が発覚した企業は、その企業の世界的な年間収益の2%を上 限とする罰金が科せられる可能性がある。ほか、セキュリティ侵害が発生した 際の通知を24時間以内に行うことを求めている条項は、「絶対に実行不可能」 な条項と言われている。

http://www.theregister.co.uk/2012/01/25/europe_data_protection_proposal/
http://www.bbc.co.uk/news/technology-16722229
http://www.eweek.com/c/a/Security/EU-24hour-Data-Breach-Notification-Rule-Unworkable-ATandT-Executive-863336/

【編集者メモ1】(Pescatore)
今の時点で、組織が顧客のデータを適切に保護できていないのであれば、手順 を新しく導入し、その手順が正しく実行されるようにしなければならない。産 業界の自主規制は、今のところ、うまく機能していない。機能させる機会こそ あったものの、実行には移されなかった。

【編集者メモ2】(Murray)
24時間という時間枠は、単に訴訟を招いているようなものである。ほとんどの 侵害は、検知に数週間から数か月を必要とするというのに。

────────────────

◆マサチューセッツ州プライバシー保護法 3月1日からサードパーティにも適用(2012.1.25)
2012年3月1日より、マサチューセッツ州の住民についてのデータを保持・保管 する全ての企業は、企業自身と請負業者、サードパーティのパートナーなどが 同州のデータ侵害法に遵守していることを実証できる状態になければならない。 同法は、2010年3月1日に発効となったが、法遵守要件の一部は、段階的に導入 されてきた。法遵守要件の最後の部分であるサードパーティの法遵守が、今か ら1か月ほどで発効となる。そうすると、サードパーティとの契約に、情報を 保護する適切な措置を取るよう義務付ける文言を入れる必要が出てくる。企業 は、法遵守に関してサードパーティのパートナーの監査を行うようには求めら れないものの、契約上で「企業が監査を行うと決めた際には、監査を実施する 権利を留保できる」ことを条件として規定するように推奨されている。また、 契約の文言で、「侵害発生時には、サードパーティは企業に対し、即座に通知 を行う」ことや、「契約終了時にはデータを破壊するか、もしくは、返却する」 ことを規定する必要がある。同法は、企業がマサチューセッツ州をベースにし ているかいないに関わらず、同州の住民のデータを保管している全企業に適用 される。この法は、2009年1月に発効する予定だったが、今までに2度も発効日 を延長している。

http://www.computerworld.com/s/article/9223709/Final_phase_of_Mass._data_protection_law_kicks_in_March_1?taxonomyId=84

────────────────

◆Symantec 盗まれたコードによるpcAnywhereユーザーへの攻撃の危険性を示唆 (2012.1.25)
Symantecは今になって、ソースコードがサイバー侵入者にアクセスされたため に、同社のpcAnywhereのユーザーが、攻撃を受けるリスクが高まると述べてい る。そのため、Symantecは問題のソフトウェアを使用しているユーザーに対し て、その使用が絶対に必要ではない限り、修正プログラムがリリースされるま では同ソフトウェアを、無効にしておくよう勧めている。攻撃者らは、いくつ かのNorton製品の2006バージョンと、pcAnywhereに関係のあるソースコードに アクセスしたようだ。Norton製品に関しては、すでにアップデートされている ので、ユーザーが危険にさらされることはないが、pcAnywhereは危険にさらさ れているという。しかし、pcAnywhereに関しては、「コードの盗用による製品 の脆弱はない」というSymantecの以前の発言とは矛盾した内容になっている。

http://www.scmagazine.com/symantec-admits-stolen-source-code-impacts-pcanywhere/article/224724/
http://www.v3.co.uk/v3-uk/news/2141452/symantec-advises-users-pcanywhere-hack-aftermath
http://news.cnet.com/8301-1009_3-57366090-83/symantec-tells-customers-to-disable-pcanywhere/
Symatecは、pcAnywhereのために、セキュリティ上の推奨事項に関する白書を公開した。
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf

────────────────

◆裁判官 ノートパソコンの暗号の復号を女性に命令 (2012.1.23-24)
コロラド州の地方裁判所判事は、コロラドスプリングスの女性に対し、彼女の ノートパソコンの暗号を復号するように命令した。検察官が彼女のノートパソ コンにある情報にアクセスし、その情報を彼女に不利な証拠として使用するた めである。銀行詐欺の疑いがかけられているこの女性、Ramona Fricosuは、マ シンの暗号の復号を要求されることは、合衆国憲法修正第5条に定められてい る「自己を有罪に貶めないための権利」に違反していると主張している。しか し、コロラド州のRobert Blackburn米国地方裁判所判事は、この主張に異議を 唱えている。問題のコンピュータは、2010年に差し押さえられた。Fricosuは、 暗号を解読したドライブを2月21日までに引き渡さなければならない。

http://www.wired.com/threatlevel/2012/01/judge-orders-laptop-decryption/
http://www.zdnet.com/blog/identity/judge-says-defendant-must-decrypt-files-fifth-amendment-not-at-issue/175
http://www.informationweek.com/news/security/encryption/232500386
【編集者メモ】(Northcutt) これは、Boucherの裁判より前に発生した裁判である。これらの判決は両方と も、今後発生する裁判において、「暗号化ドライブには、高い確率で関連のあ る証拠が存在している」ということを示すための要因になりそうである。しか し、このような裁判によって判例法が確立し始めることのないように願いたい。
http://en.wikipedia.org/wiki/In_re_Boucher

【編集者メモ】(Murray)
この30日の遅延によって、上訴するための時間を与えるのだろう。しかし、こ の判決が上級裁判所でも支持されることを願いたい。この裁判は、「市民の自 由」に関する問題ではないからだ。また、ここでは、警官が情報を探り出そう としているわけでもない。判事が決定を下そうとしているのだ。最も重要なの は、市民の自由には、裁判所から証拠を隠す権利など含まれていないというこ とである。

────────────────

◆ホワイトハウス 包括的なサイバーセキュリティ法を求める (2012.1.27)
ホワイトハウスのサイバーセキュリティ対策責任者Howard Schmidtは議員に対 し、法を速やかに制定し、我が米国に対するあらゆるサイバー上の脅威に対処 するように促進している。Schmidtはホワイトハウスのブログ記事で、この法 案(昨年5月に大統領が議会に送った提案に類似した内容になると思われる)に よって、関係者には「増大するだけでなく、毅然としてますます高度化してい るサイバー上の脅威」に対抗するために必要な権限を与えることになると述べ ている。

http://thehill.com/blogs/hillicon-valley/technology/207025-white-house-cyber-czar-stumps-for-comprehensive-bill
http://www.informationweek.com/news/government/security/232500639
【編集者メモ】(Paller)
今日の午前早朝、私はMac Thornberry(彼は、下院のサイバー法案一式に関し て指導を行っている)とTommy Ross(多数党院内総務Reid議員の参謀)の話を 聞いて過ごしていた。両人とも、これは、選挙年における党派性をよそに、2 党で法制定を行う場合に生じる独特の場面だと、自信を持って述べていた。ま た、彼らは警告として、片側が「こちらのやり方に従わないなら出て行ってく れ」というアプローチで来た場合、この機会自体が消失してしまうだろうとも 言っていた。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中のセミナー(参加費無料)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2/15・3/7・4/20・5/24・6/13       <東京 汐留シティセンター>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2012/mail01.html?xmid=300&xlinkid=02

○2/22                    <東京 丸の内北口ビル>
 標的型攻撃対策セミナー
 ~多層防御で備える入口対策・出口対策~
http://www.nri-secure.co.jp/seminar/2012/0222.html

○2/24・4/26・5/16・6/15         <東京 汐留シティセンター>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2012/label02.html?xmid=300&xlinkid=04

○4/18・5/18・6/21            <東京 汐留シティセンター>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、内部不正対策、PCI DSS、標的型サイバー攻撃対策・・・
  今求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2012/ac03.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
☆┃いまだけの得割キャンペーン!            <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
~クライアント型で、負荷なく楽々導入&運用!従業員の意識向上も~
メール誤送信防止ソリューション「SecureCube / Mail Adviser」
  ◇年度末キャンペーン :ライセンス料を30%OFF!
  ◇乗り換えキャンペーン:ライセンス料を50%OFF!
http://www.nri-secure.co.jp/service/cube/mailadviser.html?xmid=300&xlinkid=09

2011年12月、1万ユーザに導入したお客様のコメント
http://www.nri-secure.co.jp/whats_new/2012/0125_2.html?xmid=300&xlinkid=10

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年1月26日 Vol.11 No.4)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Linux
2
Cross Platform
13
Web Application - Cross Site Scripting
2
Web Application - SQL Injection
1
Web Application
4
Network Device
1
======================================================================
Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。