NRI Secure SANS NewsBites 日本版

Vol.8 No.26 2013年7月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.26 2013年7月2日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
          世界最高レベルのセキュリティトレーニングを東京で!
                  = SANS Tokyo 2013 =

       http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01

     <9月開催コース>9/3-4・9/19-20・9/25-26 [6日間]
       【SEC401】SANS Security Essentials Bootcamp Style (NEW!)

     <10月開催コース>10/21-26 [6日間]
       【SEC504】Hacker Techniques, Exploits and Incident Handling
       【SEC575】Mobile Device Security and Ethical Hacking

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


───────────────────
■■SANS NewsBites Vol.15 No.050-051
  (原版: 2013年6月25日、28日)
───────────────────

◆NSA、情報漏洩防止対策を採用(2013.6.24)

エドワード・スノーデンによる米国の諜報監視プログラム暴露を受けて、国家 安全保障局(NSA)は再発防止策を講じる予定だ。 スノーデンはBooz Allen Hamilton社からシステム管理者として派遣され、業務上ネットワーク全体への アクセスが彼には許可されていたことから、アレキサンダーNSA局長は、「2名 ルール導入」の予定があると下院委員会に伝えた。これにより、機密情報への アクセス権が付与される場合は、もう一人別の担当者から許可を得る仕組みと なる。

http://www.zdnet.com/nsa-instigates-security-measures-to-hamper-future-whistleblowers-7000017207/
http://www.computerworld.com/s/article/9240151/Expanded_2_person_rule_could_help_plug_NSA_leaks
http://www.wired.com/threatlevel/2013/06/nsa-hearing-by-the-numbers/

【編集者メモ】(Pescatore)
2名ルールは、機密性が高い情報などを対象に利用されているが、施錠されて いた資料の変更や資料の破棄など、頻度が少ないものが対象だ。これをシステ ム管理者やデータベース管理者の全作業に適用するのは、車の修理を2名でや るのと同じで、時間がかかるし高価となる。根底にある問題は、特権ユーザが 実行可能な処理を限定することであり、システム管理者の作業を監視すること だ。

【編集者メモ】(Murray)
システム管理者の悪用について非難する度に、「『トップレベルの機密許可証』 を持っているから大丈夫」とか、「女王に宣誓しているから大丈夫」と言われ てきた。政府としては「どんな犠牲を払っても責任回避する」というのが伝統 なのだろう。

────────────────

◆EUがテレコムやISPに対して情報漏洩の通知の義務付け(2013.6.24)

欧州連合(EU)は、通信事業者やISPで情報漏洩が発生した場合の企業責任を 定義する新たな規則を発行した。規則では、インシデントは発見後24時間以内 にデータ保護管轄局へ報告しなければならないこと。各社は、情報漏洩の概要、 規模、漏洩したデータ、インシデントに関する顧客対応などの報告義務を負う こと。および、個人や法人顧客は、「個人データやプライバシーに悪影響を及 ぼす場合」にインシデントの通知を受けることができることなどが定められた。 また、これらの通知の基準は、各国のデータ保護機関が、欧州委員会が提供す る判断基準を使って決定するように定められている。当局への通知義務は数年 前にも義務付けられていたが、今回の規則ではさらに詳細までが特定されたこ とになる。ただし、データが暗号化されている場合には、報告対象外となる。 http://www.zdnet.com/data-breaches-telcos-and-isps-have-24-hours-to-come-clean-says-eu-7000017217/

────────────────

◆US-CERTがデフォルトパスワードに関する警告(2013.6.24)

US-CERTが、「出荷時デフォルトパスワードを変更し、重要なシステムへのネッ トワークアクセスを制限するのは必須である」と警告を発した。今回の警告で は、「特に注意が必要なのは、重要インフラや組み込み系システム、アプライ アンス、およびデバイスである」としている。

http://www.darkreading.com/attacks-breaches/us-cert-warns-of-default-password-risks/240157218
http://www.us-cert.gov/ncas/alerts/TA13-175A

【編集者メモ】(Paller)
US-CERTは警告をリリースするが、フォローはしない。というのは犯罪者に周 知の事実だ。真に緊急な問題なら、DHSはデフォルトパスワードを含むシステ ムをすべて公開するべきだ。DHSが情報を公開しないから、作る側は、安全で ないシステムを出荷することを悪いと思っていないのだ。今回の問題は、緊急 に対応すべき問題なのかDHSの納入業者に「どうにかしろ」と言っているのか、 どっちだろうか。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃(ISC)2公式セミナー(有料/早期割引有)      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)~/11月11日(月)~/2014年1月20日(月)~/
 2014年3月10日(月)~:各5日間 (※連続した日程ではございません。)
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=02

◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆サイバーセキュリティのトレーニングに彷徨うターゲット:重要な技術力とは(2013.6.26)

米国当局はサイバーセキュリティ専門家の育成・採用努力をしているが、国家 の重要なネットワークを守るために必要とされる人材はまだまだ不足している。 サイバーセキュリティ育成プログラムでは、科学・工学・技術・数学分野を学 ばせることに注力しているが、学問やポリシーに関する問題だけでなく現場で 役立つトレーニングも必要とされる。 米国土安全保障省(DHS)は、全国サイバーディフェンス大学選手権 (National Collegiate Cyber Defense Competition)のようなハードルの高 いプログラムを企画し、全国規模で決勝までを争う。サイバーセキュリティに おけるディフェンス分野は、進化し続けるサイバー空間や新技術に適合すべく 常に変化している。重要なのは、トレーニング提供者の技術力であり、それは 国家ネットワークを守るのに十分でなくてはならない。

http://fcw.com/articles/2013/06/26/cybersecurity-training.aspx

【編集者メモ】(Assante)
必要とされる「技術力」の定義を明確にするのに時間がかかりすぎている。そ れが明確にならずに、実践教育はできない。最近のやり方は、学生に本当の状 況下を体験させ、システムの防御と攻撃をさせるというものだ。スキルや能力 の深い知識とこの新しいやり方を結びつけることができれば、より効果がでる だろう。

【編集者メモ】(Pescatore)
大学で学ぶこと(考え方を学ぶ)と、社会人になって現場で学ぶこと(仕事の 仕方を学ぶ)が違うのはみんなわかっていると思う。どちらも必要だが、情報 セキュリティ分野で欠けているのは後者だ。

────────────────

◆元NSA職員、情報漏洩の防止策は、2012年夏の時点では展開されていなかったと証言(2013.6.27)

サイバーセキュリティ担当の元米国家安全保障局(NSA)職員によると、彼が 同局を退職した2012年夏の時点で、情報漏洩防止の技術的対策は局内ネット ワークに導入されていなかった。ブラッドリー・マニング(Bradley Manning) のデータ窃盗事件発覚後、国防総省は同省ネットワーク上で不正行動を検出す るホストベースのセキュリティシステム(HBSS)の導入を開始した。その機能 には、取り外し可能な記憶デバイスの監視も含まれていた。これはマニングだ けではなくスノーデンも利用したとされる。元NSA職員は、HBSSは昨年の夏の 時点でNSAのネットワークには導入されていなかったと述べた。さらに、アレ キサンダーNSA局長が発表した2名ルール採用計画については、業務の効率化を 求められる技術者にとって、作業が煩雑になるだろうとコメントした上で、最 善の安全策はソースから情報をロックすることだ、と述べた。

http://www.nextgov.com/cybersecurity/2013/06/nsa-networks-might-have-been-missing-anti-leak-technology/65708/

────────────────

◆Google、透明性レポートにセーフブラウジングの統計データを追加(2013.6.25-26)

Googleはセーフブラウジング欄を透明性レポートに追加した。追加された統計 データには、マルウェアを提供しているサイト数、またはフィッシングに利用 されたサイト数、Googleが警告を発したサイト数、感染サイトがマルウェアを 駆除するまでにかかった時間などの情報が含まれる。例えば、6月の第一週、 37,000件の正規サイトがマルウェアに感染しており、4,000件はマルウェア配 布用に作成されたサイトであった。今年最初の数ヶ月の統計データによると、 Webサイトのマルウェア感染が報告されてから駆除までには平均50日を要して いる。

http://www.darkreading.com/vulnerability/google-now-sharing-web-security-data/240157304
http://www.eweek.com/security/google-adds-malware-phishing-data-to-transparency-report/
http://news.cnet.com/8301-1009_3-57591008-83/google-hacked-sites-far-worse-than-attack-sites/
http://arstechnica.com/security/2013/06/vast-majority-of-malware-attacks-spawned-from-legit-sites/
http://www.h-online.com/security/news/item/Google-s-Transparency-Report-shows-malware-spread-1897051.html

【編集者メモ】(Pescatore)
ドライブバイダウンロード攻撃と水飲み場攻撃は、仕掛けるのが難しい。正確 に表現するなら、ドライブバイダウンロード攻撃と水飲み場攻撃は、「難易度 が低い攻撃」から「難易度が高い攻撃」に変わった。Webアプリケーションは 全体的に改善されたからだが、Googleのデータや他の公開データにより過去の 失態が白日の下に晒されることになれば、企業経営者も問題に気が付くように なるかもしれない。

【編集者メモ】(Honan)
Googleの新しい方針を歓迎する。(私は)各企業サイトが侵害されている事実 を警告してきたが、問題を問題とも思わない人間が非常に多かった。Googleが ユーザに対して警告することで、対象サイトのアクセス数が減少し、運営者側 も気が付くようになるだろう。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「スピアフィッシング」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 7月号は、スピアフィッシングについて、概要や危険性、防御法について
 一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。

  http://www.securingthehuman.org/ouch
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃その他、申込受付中のハンズオン研修(有料)    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎9月2日(月)・12月16日(月)
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=04

◎9月3日(火)~4日(水)/12月17日(火)~18日(水)
 セキュアWebアプリケーション実習:応用編(Java/Java EE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月18日(木)・8月27日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=06

○7月19日(金)・8月29日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=07

○7月24日(水)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=08

○7月25日(木)
 情報セキュリティ人材育成セミナー&SANS/CSSLP体験セミナー
http://www.nri-secure.co.jp/seminar/2013/isc03.html?xmid=300&xlinkid=09

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。