NRI Secure SANS NewsBites 日本版

Vol.8 No.11 2013年3月19日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.11 2013年3月19日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
今週のサイバーセキュリティ討論:
標的型攻撃を受けた企業は、攻撃的対応をするべきか。
InformationWeekのMathew Schwartzの企画で、Shawn Henry(FBI、元サイバー 警官トップ)とJohn Pescatore(ガートナー社、元サイバーセキュリティアナ リストトップ)が、この問題に対する討論記事を書いている。この記事は非常 によくできており、驚くような視点で書かれている。
http://www.informationweek.com/security/attacks/china-hack-attacks-play-offense-or-defen/240150482

別の公開討論も始まった。行政予算委員会(OMB)がサイバーセキュリティの 規定更新をしないために、500万ドルが毎日無駄使いされているという公表値 は正しいのか?NISTのAdam Sedgewickは、この数値が間違っていると発言した。 Sedgewickは下院に対してFISMAの現状と費用についてOMBの年次報告書の一部 を草案しているが、このような正確な数値は提供していない。彼の発言により 上院議員Carperの信ぴょう性に疑惑が向けられている。 Carper議員の「More security; less waste」と題した冒頭陳述は、 http://www.carper.senate.gov/press/record.cfm?id=319468 に公開されてい る。Carperは、上院国土安全保障・政府問題委員会の新議長だ。この討論を進 めるために、何か実際のデータや逸話を持っている方がいれば、是非にSANSに 送付してほしい。

■■SANS NewsBites Vol.15 No.020-021
(原版: 2013年3月12日、3月15日)

◆米国家安全保障補佐官が中国にサイバースパイ活動を止めるように要求(2013.3.11)

オバマ政権のドニロン米大統領補佐官(国家安全保障担当)は、月曜日に行っ た演説で、米国コンピュータネットワークからのデータの盗難を止めるように 中国に要求した。これに対し中国は「サイバー空間における行動基準を受け入 れる」ことに同意すると発表した。

http://www.nytimes.com/2013/03/12/world/asia/us-demands-that-china-end-hacking-and-set-cyber-rules.html?hp&_r=0
http://www.businessweek.com/news/2013-03-11/china-cyber-attacks-harm-u-dot-s-dot-bid-for-tighter-ties-donilon-says
http://www.whitehouse.gov/the-press-office/2013/03/11/remarks-tom-donilon-national-security-advisory-president-united-states-a

【編集者メモ】(Henry)
公式見解で中国を名指し、対話をするのが、最初のステップだ。これは長いプ ロセスになる。だからこそ、リスクを本当に軽減するつもりがあるなら、スピー ド感を持ってきびきびとしたペースで動くことが求められる。

【編集者メモ】(Murray)
この手の国内向けの「公式」外交で、中国が変わることはないだろう。
逆効果を招くことも考えられる。PLA(中国人民解放軍)を動かす権力は軍で あり、政党のいうことなどに耳を貸さないし、政府に対しては聞く耳を持たな い。この活動が、国、政党、軍から独立していることから考えると、ハッカー の「弾圧」が成功する可能性は(米国より)低いと思う。但し、中国は西側諸 国と比較すると犯罪的ハッキングに対して重罪を課すことには意欲的だ。

────────────────

◆米国防省 サイバー戦争に準備不足(2013.3.12)

本日のワシントンポスト紙の社説には、米国内の技術、政策、産業を指導する 最高権威の集積である国防科学評委員会(DSB:Defense Science Board)の指 摘事項について説明と意見が掲載されていた。DSBは初めてサイバーセキュリ ティおよびサイバー戦争への注力を求めている。DSBの報告書は「冷たい戦争 時代の核の嵐を生き抜くために強化した核兵器のレベルを考えてみれば、サイ バー猛攻撃を受ける(戦闘)準備は整っていない。そして核兵器が存続するよ うに『緊急対応』」を要請した。本報告書によると、公に戦争が勃発すれば、 攻守で「何百」ものサイバーオペレーションが同時進行することになり、米軍 内に設置された部隊は、そのようなオペレーションをする準備が整っていない と、予測している。

http://www.washingtonpost.com/opinions/the-us-is-not-ready-for-a-cyberwar/2013/03/11/782e299a-8838-11e2-98a3-b3db6b9ac586_story.html?hpid=z3

【編集者メモ】(Paller)
DSBの報告書内で想定している破壊的攻撃同時多発の可能性が高いからこそ、 教育の枠組みを構築し世界的なサイバー専門家を育成する必要がある。そうで なければ、米国内全体の応戦処理能力は、最初の一連の攻撃で燃え尽きてしま うだろう。
David BrownのCyberCentersは、ニュージャージー州でクリスティン知事によ り始動(http://www.nextgov.com/cybersecurity/2013/01/new-jersey-invites-vets-compete-cyber-residencies-key-institutions/60632/)し、他州も今後12か月で開始する。これは、 アメリカが今の不足事態を補う最大のチャンスだ。

────────────────

◆米退役軍人省 一部の施設にてインターネット経由で非暗号化データを送信していたと監察官が指摘(2013.3.7-8)

米国退役軍人省のIT事務局は、政府局の監察官により、同省が個人データを暗 号化しないで一般のインターネット経由で送信していたと指摘を受けたことに 対して、異論を唱えた。3か所の退役軍人医療センターが個人データを暗号化 されていないネットワーク経由で送信したという苦情を受けて、監察官が調査 を開始したもの。苦情が起きた医療センターは、退役軍人の中西部医療グルー プに属している。送信されたデータには、社会保障番号、退役軍人本人と扶養 家族の健康情報などが含まれていた。同省の次官補によると、退役軍人省の契 約通信業者は、非公開ネットワークサービスを提供しており、(公の)インター ネット上にトラフィックは流れていない。

http://www.computerworld.com/s/article/9237456/_VA_disputes_charge_that_it_transmits_unencrypted_personal_data_over_public_Internet?taxonomyId=17
http://fcw.com/articles/2013/03/07/va-unencrypted-data.aspx

【編集者メモ】(Shpantzer)
詳細は、同省の監察官の報告書の原本で説明されている
http://www.va.gov/oig/pubs/VAOIG-12-02802-111.pdf)。
「IT事務局の責任者は、このようなデータを暗号化しない通信ネットワーク経 由で送信することを認識している。そして同事務局は、データ損失または悪用 の可能性とそのリスクも受け止めている。同省は、システムセキュリティ免責 項目を作り、暗号化導入の時期を延期したのだ。技術的設定管理の欠如による リスクも認識している。

【編集者メモ】(Paller)
同省の監察局を賞賛しよう。この報告書はNIST(国立標準技術研究所)とOMB (行政予算管理局)主導で作成したリスク管理のアプローチの根本的な問題を 明確に指摘しているからだ。各省が求められているのは、問題を修正すること ではなく「リスクを受容する」ことだけなのだ。リスクに関する知識はほぼ皆 無のまま、システムの利用開始が迫られた状況で承認されてしまうのだ。今回 の報告書から、認定報告書に費やされた大半の予算は、政府のシステムに侵入 主要問題の修復のために費やされていない。スクープを探すジャーナリストが 数か月調べれば、政府請負業者と政府機関の無駄遣いの仕組みがすぐに暴かれ るだろう。この業務に関わっている担当らは、国家サイバーセキュリティの改 善に確保された予算をOMBやNISTの強制で無駄遣いしていると恥じているに違 いない。このような事実を公にするために革新的なアプローチができるジャー ナリズム専攻の学生には、SANSから援助資格を与えるべきだ。

────────────────

◆米大統領 緊急対策室にCEOを招集しサイバーセキュリティ集会開催(2013.3.13-14)

3月13日(水)米国の金融、エネルギー、テクノロジー分野の最高経営責任者 (CEO)は、ホワイトハウスの緊急対策室にてサイバーセキュリティに関し大 統領から状況説明を受けた。この会議は、FBIにより信用調査のWebサイトから 有名人の個人情報が盗まれた件の報告、米国職員が立法委員会の公聴会でサイ バー脅威の危険増加を証言した直後に行われた。今回の目的は、最近のサイバー セキュリティに関する大統領令に対して民間企業への理解を求めるもの。民間 企業は、経営に対する政府の介入と捉えており抵抗がある。CEOたちは、サイ バーセキュリティ法案について政府に「軽めのもの」を求めている。前ホワイ トハウスサイバーセキュリティ補佐官のシュミット氏は、「サイバーセキュリ ティは技術的な問題だけではない。この問題は、政府とビジネスがいっしょに 取り組まずに前進することはない」とし、「役職にCがつくリーダー達は、サ イバーセキュリティに注力する必要がある」と述べた。

http://www.usatoday.com/story/tech/2013/03/14/obama-cybersecurity-ceos-situation-room/1987559/
http://www.zdnet.com/ceos-ask-obama-for-soft-approach-to-cyberattacks-7000012605/
http://www.latimes.com/business/money/la-fi-mo-obama-summons-ceos-to-white-house-to-talk-cyber-security-20130313,0,5341716.story

【編集者メモ】(Pescatore)
大統領とサイバーセキュリティ補佐官たちは、民間企業のセキュリティレベル の向上を阻む障害物を取り除くために政府が何をすべきかの検討に力を入れる べきだ。現在の大統領令の「もう一つのフレームワーク」を作るやり方では、 フレームワークが増えるだけである。

────────────────

◆米情報長官 米国の安全保障問題のトップはサイバー攻撃(2013.3.12-13)

米国インテリジェンスコミュニティの 世界のあらゆる脅威に関する年次報告 書によると、サイバー攻撃が初めて米国が直面する安全保障最大の脅威のトッ プとなった。上院情報特別委員会でクラッパー米国家情報長官は「今後2年間 で、アメリカの重大インフラに長期的且つ広範囲に被害を及ぼす大規模サイバー 攻撃が発生する可能性がある」と話した。クラッパー長官は、ほとんどの攻撃 者には攻撃に必要なスキルが欠如していること、そして制御システムは手動で 再定義が可能であると述べた。さらに、このような攻撃が可能な国家は、現在 のところ攻撃をする十分な動機がないとした。但し、重大インフラに関しては、 国家が関与していない充分なスキルのないハッカーから攻撃される可能性の方 が高く、攻撃によるサービス妨害のレベルは限られているが、「想定外のシス テム設定やミスによって、単純な攻撃でも大きな被害を及ぼす危険がある」と 述べた。

http://news.cnet.com/8301-1009_3-57573902-83/intelligence-chief-offers-dire-warning-on-cyberattacks/
http://www.gsnmagazine.com/node/28722?c=cyber_security
http://www.wired.com/threatlevel/2013/03/no-cyber-pearl-harbor/
http://www.v3.co.uk/v3-uk/news/2254196/top-us-security-chief-warns-of-rising-cyber-threats
http://odni.gov/files/documents/Intelligence%20Reports/2013%20ATA%20SFR%20for%20SSCI%2012%20Mar%202013.pdf
────────────────

◆アレキサンダー陸軍大将 サイバー軍に13の攻撃部隊を設置(2013.3.13)

下院軍事委員会において、アレキサンダー大将、国家安全保障局長官およびサ イバー軍司令官は、13の攻撃部隊を設置すると述べた。部隊はプログラマーな どの専門家から構成され、米国が攻撃された場合に、サイバー攻撃による報復 行為を敵対国に対して行う。他にも27部隊がトレーニングおよび監視に注力す る

http://www.scmagazine.com/dod-creating-cyber-offensive-teams-to-strike-back-against-foreign-attackers/article/284244/
http://arstechnica.com/security/2013/03/for-first-time-us-military-says-it-would-use-offensive-cyberweapons/
【編集者メモ】(Murray) アレキサンダー陸軍大将は、民間企業から必要な情報として、攻撃のメタ― データをISPに求める証言を国会でしている。しかしながら、民間企業による と、要請を受けているのは顧客のコンテンツだという。大将は、さらに国家安 全防衛にデータが必要だとしているが、13の攻撃部隊を設置した。なにかズレ ているようだ。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 3月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 3月号はSNS(ソーシャルネットワーキングサイト)セキュリティについて、
 一般のコンピュータユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月19日(金)・5月21日(火)・6月25日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/スマートデバイス管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=05

○4月23日(火)・5月23日(木)・6月20日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○4月24日(水)・5月30日(木)・6月27日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○5月29日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=07


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション
への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、
アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ
アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。
http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。