NRI Secure SANS NewsBites 日本版

Vol.8 No.4 2013年1月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.8 No.4 2013年1月29日発行
**********************************************************************


■■SANS NewsBites Vol.15 No.006-007
(原版: 2013年1月22日、1月25日)

◆豪州 国家セキュリティ戦略の焦点はサイバー脅威(2013.1.21)

ギラード豪州首相が、今週後半に、豪州政府における国家セキュリティの5か 年計画を説明する。演説文書は公式には公開されていないが、プレスリリース は「(過去)3年間で急増しているサイバー侵入の脅威にかなり...重点をおい ていると言われている」と伝えている。

http://www.theaustralian.com.au/national-affairs/defence/cyber-war-china-key-to-security-says-julia-gillard/story-e6frg8yo-1226557811625

【編集者メモ】(Paller)
オーストラリアは、脅威を感心して見ているだけではなく実行に移している。 彼らは、標的型攻撃による損害を阻止する4つの具体策を既に特定している。 そして、全政府機関がこの重大コントロールを確実に導入実施するために、 国家リーダーたちが中心となり政府に跨る構想を約束している。この4つのコ ントロールは、RSAカンファレンスで公開予定の新しい20の重大なコントロー ルのベンチマークでも直接強調されている。また、この4つのコントロールは 米国内の官民の組織で試験プログラムの対象になっている。この試験プログラ ムは、導入効果が測定でき、導入時の混乱度合いを判定できるように設計され ている。

────────────────

◆ 米保健社会福祉省 HIPAAの包括規定を公表(2013.1.18-21)

米保健社会福祉省(HHS)が、HIPAA (Health Insurance Portability and Accountability Act) の包括規定を公開し、1996年に制定されたHIPAAの規定 を更新した。今回の更新では、医療サービス提供者および健康保険の支払請求 業務を扱う組織の責任を明確にしており、情報漏洩が発生した場合にHHSへの 報告が義務付けられている。新規定は2013年3月26日に施行される。影響を受 ける団体・組織が、新規定に準拠する猶予期間は、施行日より180日間である。

http://healthitsecurity.com/2013/01/18/hhs-posts-final-hipaa-omnibus-rule/
http://www.medpagetoday.com/PracticeManagement/InformationTechnology/36940

【編集者メモ1】(Henry)
HHSがこの問題を認識し、情報漏洩発生時の報告ルールを普及させる必要性を 認識したのは喜ばしい。残念ながら、実際に情報漏洩が発生したケースでは、 この報告書要件を満たすのは難しい。例えば、「保護されている健康情報が、 実際に閲覧または取得された」というのは、情報漏洩が発生したと分かってい ても特定できない。個人的には、報告すべき情報漏洩に対する厳しい要件を 望む。つまり、敵がネットワーク内に潜伏していて、被害が憶測の域であっ ても、報告するようにしてほしい。

【編集者メモ2】(Murray)
HIPAAは、電子ではなく紙の記録を好む病院や医師には既に高いハードルになっ ている。180日間で、550頁におよぶ新ルールを理解し準拠するように求めるの は、さらにハードルを高くするようなものだ。もっとシンプルで明確なものが 必要である。

────────────────

◆攻撃に弱い重要インフラシステム(2013.1.17)

電力会社で利用されているコンピュータへの攻撃の多くは、スピアフィッシン グから始まる。最近行われた電力システムのソーシャルエンジニアリングに対 する抵抗力テストでは、産業用制御システム関係の業務に携わる26%の社員が、 ソーシャルエンジニアリング攻撃にひっかかった。攻撃にひっかかった社員の 役職には、管制室のスーパーバイザ、パイプラインの管理者、オートメーショ ンオペレータ、プロセス管理エンジニア、運用整備部門の上級副社長<事業本 部長>が挙げられた。

http://bits.blogs.nytimes.com/2013/01/17/critical-infrastructure-systems-seen-as-vulnerable-to-attack/?src=rechp

【編集者メモ1】(McBride)
おもしろい研究結果だ。我々は攻撃後の改善策(FW、AV、IDS)のテクノロジー にばかり注目して、攻撃対象の全体像を忘れがちである。Klingerのチームは、 この思い込みが間違っていることを示している。特に重要インフラのICSシス テムを運用している企業では..

【編集者メモ2】(Assante)
エンジニアやオペレータに対して特別な認知教育/行動改善プログラムを実施 することで、攻撃面を減らし、サイバー攻撃者が彼らの業務や判断に影響を与 えることができることを理解させるべきである。

────────────────

◆2011年情報漏洩事件で英国ICOがソニーに対して罰金命令(2013.1.23-24)

英国のICO:Information Commissioner's Office(情報コミッショナーオフィ ス)は、ソニー・コンピュータエンタテインメント・ヨーロッパに対して、英 国のデータ保護法に違反したとして25万ポンド(39万5千ドル)の罰金を課し た。2011年4月、Sony PlayStation Networkのシステムをハッキングされ、大 量の英国民の個人情報が漏えいされた。ICOの調査によると、ソニーがソフト ウェアのパッチ適用、機密情報のハッシュ化やソルト化などを含むベストプラ クティスの実施など、今回の情報漏洩の防止が可能であったことが判明した。 ICOの副コミッショナー兼データ保護担当ディレクターのDavid Smith氏は、 「Sonyは技術的専門知識により取引をしている企業だ。同社は顧客情報を安全 に保護する技術的知識とリソースを十分に有していたと確信する」と述べた。 Sonyは、この判決を告訴する予定。

http://www.bbc.co.uk/news/technology-21160818
http://www.theregister.co.uk/2013/01/24/sony_psn_breach_fine/
http://www.computerworld.com/s/article/9236148/Sony_fined_396_000_in_U.K_for_2011_PlayStation_hack?taxonomyId=17
http://www.zdnet.com/uk/uk-fines-sony-395k-for-2011-playstation-hack-7000010256/
http://www.h-online.com/security/news/item/Sony-fined-Lb250-000-for-2011-PlayStation-Network-breach-Update-1790549.html
ICOのニュースリリース:
http://www.ico.gov.uk/news/latest_news/2013/ico-news-release-2013.aspx

【編集者メモ】(Honan)
今回の罰金(命令)により、今後Sonyが支払う罰金がもっと膨れ上がる可能性 がある。英国の1988年のデータ情報保護法では、データ保護法違反が発覚した 場合、情報漏洩の結果何らかの被害を被った個人は当該組織に対して、賠償金 を請求することができるという条項がある。
http://www.ico.gov.uk/for_the_public/personal_information/compensation.aspx

【編集者メモ】(Pescatore)
顧客情報を漏洩した際の企業が負担する費用は、あなたの会社が今まで支払っ たいかなるコンプライアンス違反金よりも高い。ソニーが公表している被害総 額は、1億7100万ドルであり、今回の罰金はその0.2%である。ソニーの実際の 被害額は、公表値よりも大きいと考えられる。

────────────────

◆豪州首相 国家セキュリティ戦略を公表、情報機関(2013.1.23-24)

豪州ギラード首相は、国家安全保障戦略を公表した。このなかで、サイバーセ キュリティを強化分野として挙げている。「デジタル環境の安全は政府だけで 整備できるものではない」とし、「産業および国際パートナーとの連携」の重 要性を述べた。また、首相はオーストラリア サイバーセキュリティセンター の設置を発表し、年末までに運用を開始するとした。さらに、首相はその諜報 機関のDefence Signals Directorateを訪問した(同機関を訪問した豪国首相 は2人目)。ギラード首相の豪国家安全保障戦略発表内容は以下のとおりだ。

http://www.pm.gov.au/press-office/australias-national-security-beyond-911-decade
Announcement of Cyber Security Centre:
http://www.pm.gov.au/press-office/australian-cyber-security-centre
Remarks to Staff at Defence Signals Directorate:
http://www.pm.gov.au/press-office/transcript-remarks-staff-defence-signals-directorate
http://www.theage.com.au/opinion/political-news/gillard-visits-top-secret-spy-hub-20130124-2d8vu.html

【編集者メモ】(Henry)
豪首相がサイバー(セキュリティ)を、国家安全保障戦略の中の2番目に重要 な課題としたのは心強い。オーストラリアはサイバー脅威に非常に詳しく、特 に外国の情報収集に優れている。私の経験では、オーストラリア人とのやりと りは、非常に前向きで価値あるものだった。

────────────────

◆Google データ提供要請への対応率減少(2013.1.23)

Googleの2012年下半期の透明性レポートによると、各国政府からGoogleに対す る情報開示要請が増加している。2009年以降、このような要請は世界で約70% 増加した。2012年7月~12月の6か月間で、Googleに対する開示要請は21,389件 で、ユーザアカウント数は33,634件であった。今回のレポートで明らかになっ たのは、Googleが対応した件数が減少したことだ。2012年下期では、Googleが 米国政府からの要請に対応したのは88%だ。2012年上期に対応したのは90%、 2011年下期は93%だった。世界では、Googleの対応が過去2年で76%から66%に減 少している。特定の国では、政府からの開示要請に対するGoogleの対応はゼロ に近い。このレポートでは、開示要請時の法的手続きの種類についても報告し ている。

http://www.wired.com/threatlevel/2013/01/google-says-get-a-warrant/
http://news.cnet.com/8301-1009_3-57565385-83/u.s-leads-the-world-in-requests-for-users-google-data/
http://www.informationweek.com/government/policy/google-sees-growing-government-demand-fo/240146808
Google Transparency Report:
https://www.google.com/transparencyreport/userdatarequests/US/

【編集者メモ】(Murray)
要請数33,000件には、(FBIの)NSL(national security letters)は含まれ ていない。受領者は、日常で使用されているツールの開示を禁止されているか らだ。政府は、Googleが情報開示を拒否した際に同社を法廷に召喚することは していない。つまり、不利になる判決を恐れているだけでなく、世の中が注目 することを恐れているのだ。政府によるインターネットの利用と乱用は、よく なるどころか悪くなっている。今となっては憲法第4条修正の例外が多すぎて、 適切に適用されることは稀である。

────────────────

◆裁判官 保護されていないワイヤレスネットワークにおけるプライバシーを認める(2013.1.23)

警察が提出した証拠は不法に取得されたものとして、証拠および証拠に関連す る被告証言の差し止めを申し入れしていた件で、オレゴン州連邦裁判官は、被 告人の申し入れを受け入れた。被告人John Henry Ahrndtの隣人が、保護され ていない自宅のワイヤレスネットワークに偶然接続。Ahrndtは思いがけずユー ザライブラリを共有していたため、ライブラリ内に違法行為の証拠となるもの が発見され、この隣人が司法当局に連絡した。保安官代理がファイルの一覧を 見て、ファイルを開けたところ、違反行為のコンテンツであることが判明した。 Ahrndtは、児童ポルノ映像の所持で10年の実刑が下された。しかし、米国第9 控訴裁がこの判決を覆した。裁判官は、Ahrndtがワイヤレスネットワークを保 護しなかったのは本人の責任であるが、当人にはプライバシーが認められると いうもの。裁判官は、ファイル名一覧を閲覧するだけでAhrndtのプライバシー は侵害されていないとした上で、ファイル名のみによる捜査状発行の判断は不 適切とした。

http://www.computerworld.com/s/article/9236036/Exposure_of_files_on_unsecured_wireless_no_excuse_to_search_judge_rules?taxonomyId=17

【編集者メモ】(Pescatore)
この事件の背景には、法の長い歴史がある。窓のカーテンを閉めていなかった からといって、覗き見は正当化されない。

【編集者メモ】(Northcutt)
私は、Googleアラートを設定した。これは重要な判例となるからだ。なぜ大人 の児童ポルノの事件が後を絶たないのか。いかなる場合であれ、これは有罪答 弁であり、この記事は何らかの問題を提起するだろう。
http://www.docstoc.com/docs/101576658/pleaded-guilty---Wiredcom
http://www.privatewifi.com/using-unsecured-wifi-networks-could-jeopardize-your-constitutional-right-to-privacy/

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃OUCH! 1月号(日本語翻訳版も)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JAVAの脅威・脆弱性、対策について、一般のコンピュータユーザ向けに、
 分かりやすく解説。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月8日(金)                         【NEW!】
 近時の企業不祥事のトレンドとその対応策
 ~スマートフォン&クラウドコンピューティング時代の不正対応~
http://www.nri-secure.co.jp/seminar/2013/0208.html?xmid=300&xlinkid=01

○2月19日(火)
 電子メール誤送信対策セミナー
 ~暗号化や第三者確認の課題と効果的な対策について~
http://www.nri-secure.co.jp/seminar/2013/gosoushin01.html?xmid=300&xlinkid=02

○2月20日(水)・2月22日(金)
 クラウドを活用した、失敗しない文書管理プロジェクトの進め方
 ~紙や電子といった媒体にとらわれず、継続できる文書管理の秘訣をご紹介
http://www.nri-secure.co.jp/seminar/2013/sri02.html?xmid=300&xlinkid=03

○2月21日(木)                        【NEW!】
 スマートデバイスのセキュリティ対策
 ~スマートデバイスの利用におけるBYODの進め方~
http://www.nri-secure.co.jp/seminar/2013/0221.html?xmid=300&xlinkid=04

○2月26日(火)・3月19日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

○2月28日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=06

○3月7日(木)
 メールセキュリティ×添付ファイル 対策セミナー
 ~メールに起因する情報漏洩を防ぐには~
http://www.nri-secure.co.jp/seminar/2013/mail02.html?xmid=300&xlinkid=07

○3月12日(火)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~PC/モバイル端末管理において、今できること、次にすべきこと~
http://www.nri-secure.co.jp/seminar/2013/ps01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎┃標的型攻撃に対抗するための次世代情報セキュリティを動画で解説
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型攻撃の最新事情を説明するとともに、常態化したWebアプリケーション への攻撃対策、パターンファイルに依存しない標的型攻撃対策ソフトウェア、 アプリケーション識別等の機能によって通信の可視化を実現する次世代ファイ アウォールなど、いま備えるべき最新のセキュリティ対策を動画で紹介。

http://www.nri-secure.co.jp/seminar/2013/online_apt.html?xmid=300&xlinkid=11

────────────────


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。