NRI Secure SANS NewsBites 日本版

Vol.8 No.2 2013年1月16日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.2 2013年1月16日発行
**********************************************************************


┌──────────────────────────────────
 OUCH! 1月号 発行
  JAVAの脅威・脆弱性、対策を分かりやすく解説
     http://www.securingthehuman.org/ouch
├──────────────────────────────────
 セキュリティ啓発ポスター「You are the Target」
  サイバー犯罪者の手法を紹介。 まもなく日本語版リリース予定!
└──────────────────────────────────
 ※OUCH!は、SANSが発行する一般のコンピュータユーザ向けのセキュリ
  ティ啓発コンテンツです。社員の意識向上ツールとしてお使いください。


■■SANS NewsBites Vol.15 No.002-003
(原版: 2013年1月8日)

◆アナリスト語る 2013年の主流はサイバー戦争(2013.1.7)

2013年はサイバー戦争が激化すると、セキュリティアナリストは予測している。 昨年イラン政府は、大規模なサイバー攻撃の標的となったが、そのイランが近 頃騒がれている米国の主要銀行に対するDDoS攻撃の背後にいるという噂がある。 政府は対サイバー戦争予算を拡大するという予測もある。さらに、電力網をは じめとする重要インフラの一部に対する攻撃は人命にかかわるという意見もあ るし、このような考えは大げさすぎるという意見もある。

http://money.cnn.com/2013/01/07/technology/security/cyber-war/index.html

【編集者メモ】(Assante)
主なサイバーによる妨害をあまり見ない要因は2つある。1つは 妨害対策には予 算がつかない。特にリスクと比較すると。。そしてもう1つは、暴力に関わる組 織が変化する速度は遅いということだ。残念ながら、この後者の要素は、高度 につながっているサイバー世界では消滅しつつある。私自身はサイバー戦争と いう言葉は、誤解を受けやすいので、どうしても好きになれない。これらの予 測からわかるのは、リスクを分析しようとする昔からのやり方(可能性と結果 の予想)は、有能で高度なスキルをもった防衛チームを構築することと比較す ると、あまり重要でないということだ。

【編集者メモ】(McBride)
サイバー攻撃を通じて、特定の動力効果をもたらすことは、知的財産を盗むこ ととは異なるスポーツであるということを覚えておいてほしい。ラグビーとア メリカンフットボールのようなもので、この2つは似ているが必要なスキルや 技術は異なるのだ。産業オートメーションごと、制御システムごとに運用操作 方法を制御するロジックは異なるし、障害発生時の影響を抑制する安全システ ムは異なるのだ。サイバー攻撃エンジニア分野の権限状況は、動力効果が、 「主流」になるところに達していない。しかし、興味の度合いが上昇をしてい ることは、明らかである。

────────────────

◆2013年の国防権限法はサイバー軍事活動 も包括 (2013.1.3-4)

2013年度のNDAA(国防権限法)では、国防総省(DOD)が「次世代ホストベー スのサイバーセキュリティツールと権限」を獲得し、米国連邦議会にサイバー 活動状況を報告する要件が含められる。また、サイバー侵入の報告ガイドライ ンを提供し、軍に対してソフトウェア開発時の新検証ルールや、新「ベースラ インソフトウェア保証ポリシー」を介したライセンス契約の採用を求めている。 このポリシーでは、ソフトウェアの寿命(ソフトウェアの開発フェーズから開 始)がある限り、問題を検証することが必須とされる。

http://www.informationweek.com/government/security/new-defense-budget-aims-to-improve-cyber/240145571
http://fcw.com/articles/2013/01/03/ndaa-provisions.aspx
http://www.nextgov.com/cybersecurity/2013/01/defense-law-aims-preempt-software-supply-chain-attacks/60495/?oref=ng-channeltopstory

【編集者メモ】(Pescatore)
政府の購買規則に変更があると、変更するまでに非常に時間がかかる。しかし 開発者やソフトウェアベンダに対して、自動脆弱性検査ツールの使用をデモさ せることを必須とするのは、本当によいことである。ただし、明確に必要なも のが1つだけある。そんな品質を確認するツールが使用されたことを確認する ために、具体的にどんなツールを使ってテストを行えばいいのだ?「バグに悩 まされた」ソフトウェア標準テストデータベースをメンテするには、NISTのよ うな団体が必要だ。そこでいろんな分野のテストスタンダードをメンテするの だ。

────────────────

◆連邦サイバーセキュリティ法案の提唱者CIA推薦 (2013.1.7)

最近オバマ大統領は、CIA長官にジョン・ブレナンを指名した。ブレナン氏は 連邦サイバーセキュリティ法案支持を公言しており、現国土安全保障省および テロ対策の大統領補佐官である。また、8月には2012年のサイバーセキュリティ 法通過を米国議員に対して奨励した。

http://www.computerworld.com/s/article/9235378/Obama_s_CIA_nominee_an_advocate_for_federal_cybersec_regulations?taxonomyId=17

────────────────

◆CyberCityがサイバー戦争の「動力効果」を再現(2013.1.4)

サイバーセキュリティのシミュレーション訓練の焦点はサイバー環境だが、 CyberCityは物理インフラが受けるサイバー戦争の影響を再現する。

http://www.theatlantic.com/technology/archive/2013/01/the-future-of-cybersecurity-could-be-sitting-in-an-office-in-new-jersey/266849/

【編集者メモ】(Paller)
CyberCityは、シミュレータの最先端であり、サイバースキルを育成方法とし ては革新的な効果をもたらす。それは、航空シミュレータがパイロット訓練 に革新をもたらしたのと同じようなものだ。1,200名以上の「トップガン」と 高度なスキル取得に意欲を持つ者達は、自らのスキルをテストし、学び、そ してまたテストするために継続的にNetWars (CyberCityの基盤)を使用して いる。SANSはNetWarsに関わる新しいコースを作成している。このコースでは、 NetWarsで行っていることがインストラクター経由で学ぶことができ、ハンズ オンの環境で最大限に学ぶことができるのだ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1月23日(水)・2月21日(木)・3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=01

○1月25日(金)
 クラウドを活用した、失敗しない文書管理プロジェクトの進め方
 ~紙や電子といった媒体にとらわれず、継続できる文書管理の秘訣をご紹介
http://www.nri-secure.co.jp/seminar/2013/sri02.html?xmid=300&xlinkid=02

○1月29日(火)・2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=03

○2月8日(金)
 近時の企業不祥事のトレンドとその対応策
 ~スマートフォン&クラウドコンピューティング時代の不正対応~
http://www.nri-secure.co.jp/seminar/2013/0208.html?xmid=300&xlinkid=04

○2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=05

○2月28日(木) 15:00~17:00<東京 汐留>
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=07


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=08


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃「企業における情報セキュリティ実態調査2012」を公開
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュアが企業を対象に情報セキュリティに関するアンケート調査を行い、 そのデータを集計・分析した結果を公開!

      ↓↓↓ 無償ダウンロードはこちらから↓↓↓
http://www.nri-secure.co.jp/news/2013/0109_report.html?xmid=300&xlinkid=09

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。