NRI Secure SANS NewsBites 日本版

Vol.8 No.37 2013年9月18日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.37 2013年9月18日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
サイバーセキュリティ分野でキャリアアップするには?
SANS Technology Instituteの4名の卒業生がセキュリティエンジニアリングで 修士課程を修了する。これは現場で働く人たちへのキャリアアップに直接つな がる学位だ。例えば、こんな違いがある。
 (1) 通信会社で「ファイアウォール担当」から、役員や重役会議の資料を準    備する「技術マネージャ」へ。
 (2) 保険会社で「技術担当」から、経営者層と技術者の調整を行う「シニア    技術マネージャ」へ。
 (3) ソフトウェア会社で「アナリスト」から、「マネージャ」や「ディレク    ター」へ。修士課程中で学んだ技術的コミュニケーションスキルが役    だったため。
 (4) 「情報セキュリティマネージャ」から「CISO」へ、そして軍部のサイバー    セキュリティ開発指揮へ。
もし、サイバーセキュリティ分野に従事していてキャリアアップを考えている ならSANSの修士課程コース(www.sans.edu)がいい。応募条件の確認は、Mary Kay Porter (mkporter@sans.edu) に連絡していただきたい。

追伸:
この修士課程では複数のGIAC認定を取得しなければならない。この認定は現在 存在する61のIT系認定プログラムにおいて最も価値があり必要とされている。
* GIAC Certified Incident Handler
(Foote Partnersによると、需要が22.2%増)
* GIAC Certified Firewall Analyst (20%増)
* GIAC Certified Forensics Examiner(16.7%増)
その他にも以下の2つの認定プログラムの価値が上がっている。
* GIAC Certified Intrusion Analyst(10%増)
* GIAC Certified Forensics Analyst(10%増)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          <開催まであと1か月 -今すぐお申込みを!>
          グローバルで通用するスキル&資格の取得を

               = SANS Tokyo 2013 =
               10月21日(月)-26(土) [6日間]

    【SEC504】Hacker Techniques, Exploits and Incident Handling
    http://sans-japan.jp/courses/sec504.html?xmid=300&xlinkid=01
 
    【SEC575】Mobile Device Security and Ethical Hacking
    http://sans-japan.jp/courses/sec575.html?xmid=300&xlinkid=02
 
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■■SANS NewsBites Vol.15 No.072-073
(原版: 2013年9月10日、13日)

◆インターネット企業、政府データ要請に関する情報開示を求める(2013.9.9)

Facebook、Google、Yahooは、政府からの非公開のユーザデータ提出要請につ いて、より多くの情報を開示するよう米外国情報活動監視裁判所(FISC)に申 請した。各社が申請に踏み切った背景には、過去には成功しなかったものの、 最近になってPRISMなどの政府による監視プログラムの存在が明らかになった ためだ。各社が求めているのは、国家安全保障を理由にFISA(Foreign Intelligence Surveillance Act)の下で作成された情報取得要請を許可した 詳細な統計情報の公表だ。Googleは公開審問を要望している。

http://www.nbcnews.com/technology/after-nsa-encryption-furor-tech-companies-ask-more-transparency-8C11114402
http://news.cnet.com/8301-1009_3-57601988-83/google-facebook-yahoo-seek-permission-to-publish-fisa-requests/
http://www.computerworld.com/s/article/9242262/Facebook_Google_Yahoo_ask_the_feds_to_break_out_more_data_requests?taxonomyId=17

────────────────

◆インド政府が国民を傍受対象に(2013.9.9)

インドの新聞によると、インド政府は国民に対して広範囲でインターネット監 視を行っている。とある調査によると、インドの法に違反した場合、合法的傍 受と監視システム(LIM)が使われている。LIMは、インド政府の中央監視シス テムの一部として行われている通信各社による国内監視システムとは異なると いう。

http://www.theregister.co.uk/2013/09/09/india_surveillance_intercept_isp_covert/
http://www.zdnet.com/in/india-govt-reportedly-monitors-web-activities-without-isp-knowledge-7000020396/

────────────────

◆米政府、憲法の修正第4条への抵触回避に国境警備を利用(2013.9.10)

米国土安全保障省は、令状がない場合に「渡航警報」を使ってデータを閲覧し ている可能性があることが、最近公開された国境警備によるノートパソコンな どの電子機器押収に関する文書より明らかとなった。この文書は、Bradley Manning(現在はChelsea Manning)と親交のあったマサチューセッツ州在住の David House氏の件について述べられていた。連邦当局は、ManningがWikiLeaks に共有したものの未だ公開されていない文書について、House氏の関与を調べ ていた。House氏は、「渡航者注意リスト」に含められていて、2010年にメキ シコでの休暇から帰国した際に、同氏のノートパソコン、カメラ、USBメモリ、 携帯電話などが押収され、当局はそのノートパソコンを7週間保管した。事件 からは1年が経過したとき、米当局は、House氏に違法行為はなく、押収した際 に複製したデータはすべて削除すると約束した。さらに2年後、ついに政府と ACLUの論争に終止符が打たれた(ACLUはHouse氏に代わり政府を起訴していた)。 ACLUは「和解文書から、Houseのパソコン押収は国境警備や通関検査には関係 がなく、疑惑が不十分であるために国内では裁判所が許可しないケースにおい て利用されただけということがわかる」と述べた。

http://www.zdnet.com/no-warrant-no-problem-us-govt-uses-travel-alerts-for-warrantless-electronics-search-7000020487/
http://www.nbcnews.com/technology/feds-target-us-travelers-seize-laptops-border-new-files-reveal-8C11118663
http://www.theatlanticwire.com/politics/2013/09/how-us-government-uses-border-crossing-avoid-privacy-restrictions/69251/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 9月号「個人データのバックアップと復元」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
9月号は、データのバックアップ方法と用途に合わせたバックアップについて
一般のユーザ向けに、分かりやすく解説しています。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Javaの最新版にホワイトリスト機能(2013.9.12)

9月12日(火)に公開されたJavaの更新プログラムにホワイトリスト機能が追加 された。Java 7 Update 40に追加された新機能「デプロイメントルールセット」 を使うことで、企業はエンドポイント端末が実行するJavaアプレットを限定で きる。これは非常によい機能であるが、互換性の問題でJavaのアップグレード ができない企業も多い。ある調査では、Javaを利用している企業の80%がJava 6 を利用しているという結果が出ている。しかし、今年のはじめにOracleは Java 6へのサポートを既に終了している。

http://www.computerworld.com/s/article/9242374/Oracle_finally_adds_whitelisting_capabilities_to_Java?taxonomyId=17 http://www.theregister.co.uk/2013/09/10/java_flash_security_snapshot/
http://arstechnica.com/security/2013/09/security-of-java-takes-a-dangerous-turn-for-the-worse-experts-say/

【編集者メモ】(Ullrich)
署名の確認を厳しくすれば、読み込みエラーが発生するかもしれない。特に 「古い」組込み系デバイスが使うJavaのアプレットだ。
https://isc.sans.edu/forums/diary/Java+and+Old+Hash+Algorithms/16571

────────────────

◆Microsoftが47件の脆弱性に対応、Outlook 2013の安定性の問題に対応(2013.9.10-11)

9月10日、Microsoftは13件のセキュリティ情報を公開し、合計47件の脆弱性を 修正した。修正されたのは、Windows、Office、Internet Explorer、 SharePoint Serverのセキュリティの不具合だ。セキュリティ情報のうち、4件 は「緊急」、その他は「重要」と位置づけられた。Microsoftはセキュリティ の問題以外にもフォルダーペインが空になるというOutlook 2013の安定性と性 能の問題にも対応した。

https://technet.microsoft.com/en-us/security/bulletin/ms13-sep
http://www.scmagazine.com/microsoft-delivers-13-patches-for-47-flaws-including-critical-outlook-bug/article/311089/
Internet Storm Center:
https://isc.sans.edu/diary/Reboot+Wednesday%3A+Yesterday%27s+Patch+Tuesday+Aftermath/16556
https://isc.sans.edu/diary/Microsoft+September+2013+Black+Tuesday+Overview/16538

【編集者メモ】(Pescatore)
今週の火曜日は、久しぶりに「大量の脆弱性が修正された日」になった。 Windows、Adobe、Oracleのパッチが同じ日にリリースされた。対応された脆弱 性には、リモートからのコード実行を可能にするものも多く優先度も高いが、 すでに実攻撃で悪用されているものもある。多くの企業や組織では2014年の予 算の最終段階に入っていると思うが、サーバの保護とパッチ適用については、 このペースにも対応できるように確保しておいた方がいい。

────────────────

◆AdobeがFlashやShockwaveなどのセキュリティ更新プログラムをリリース(2013.9.10)

AdobeがFlash、Shockwave、Acrobat Reader、AIRなどのセキュリティ更新プロ グラムをリリースした。Adobeは、FlashとShockwaveの脆弱性が実攻撃に利用 されていることから、更新プログラムの優先度を高く設定している。

http://www.zdnet.com/update-flash-shockwave-asap-adobe-also-patches-acrobat-and-reader-7000020486/
http://krebsonsecurity.com/2013/09/adobe-microsoft-push-critical-security-fixes-2/
Internet Storm Center:
https://isc.sans.edu/diary/Adobe+September+2013+Black+Tuesday+Overview/16535
【編集者メモ】(Pescatore)
私は秋が好きだ。夏の暑さが終わり、季節の変化を感じることができる。変わ らないのは、実攻撃に悪用されてAdobeやOracleの脆弱性にパッチを適用して いる作業だ。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎10月7日(月)~9日(水)/2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

◎10月28日(月)~11月1日(金)        【特別料金キャンペーン中!】
 CSSLP 8ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/csslp.html?xmid=300&xlinkid=04

◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月20日(金)<東京 銀座>
 ISMS規格改訂セミナー ~改訂の中核メンバーが語る!~
http://www.nri-secure.co.jp/seminar/2013/0920.html?xmid=300&xlinkid=08

○9月25日(水)・10月22日(火)・11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

○9月26日(木)・10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○9月27日(金)                        【NEW!】
 IT-BCPソリューションセミナー
 ~ITセキュリティからみた実行力ある事業継続計画のポイント~
http://www.nri-secure.co.jp/seminar/2013/0927.html?xmid=300&xlinkid=11

○10月10日(木)・11月14日(木)・12月12日(木)          【NEW!】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。