NRI Secure SANS NewsBites 日本版

Vol.8 No.42 2013年10月22日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.8 No.42 2013年10月22日発行
**********************************************************************


───────────────────

■■SANS NewsBites Vol.15 No.082-083
  (原版: 2013年10月15日、18日)

───────────────────
◆サイバーセキュリティ技術者は世界で不足(2013.10.14)

米国、英国、ブラジル、インドネシアなど世界各国が、基幹ネットワークをサ イバー攻撃から守るためのサイバー部隊を構築している。しかし必要とされる 人材は大幅に不足している。人材の確保においては、給与待遇が高い民間企業 との争奪戦だ。大半の大学からは、必要なスキルを身に付けた卒業生が輩出さ れていない。なぜなら、講義の中心が実践よりも理論中心であるからだ。優秀 な人材を発掘し、サイバーセキュリティに対する注目度を高めるために、ハッ キングコンテストが各国で行われている。

http://www.nbcnews.com/technology/cyber-defenders-are-short-supply-hacking-wars-escalate-8C11390053

【編集者メモ】(Assante)
対応しなければならない脆弱性は増えるばかりで人材が追いつかない。採用す る側は、何を基準に採用すれば良いか判らず困惑している。また、隠れた人材 を獲得するのに、下請けや派遣契約が使われる場合もある。。ICS-CERTの緊急 時即応チーム(原文:fly-awayチーム)やサイバー防衛ユニットなどでは、人 材を発掘するための試験的な試みも行われている。必要な人材を見つけるには 本当に時間がかかるのだ。

【編集者メモ】(Paller)
Cyber Acesは、必要な人材を見つけて育てるプログラムだ。5州より知事の支 援を得て7,500名以上の軍経験者、大学生、転職者が登録している。詳細は、 82号のLeaderboardを参照してほしい。Cyber Acesは隠れた才能を発掘し、必 要とされる職場への輩出を可能にしているプログラムだ。昨年の最優秀グルー プは、現在アドバンスのトレーニングプログラムを受けているが、彼らのスキ ルは正に求められているものであることは明確だ。必要とされるスキルを育成 するには、最初から雇用側が参加しているプログラムが最適だ。参加されたい 団体や企業は、Kate Straus kate@eventsinc.net にメールを送っていただき たい。

────────────────

◆大統領令による任意のサイバーセキュリティスタンダードが今後のベースラインに(2013.10.11-14)

米ホワイトハウスの大統領令を基に推進されるサイバーセキュリティスタン ダードに準拠していない米国企業は、今後責任問題を問われることになってく るようだ。この基準は任意となっているが、準拠していない企業で情報漏洩や 侵害により訴訟問題となった場合、過失責任、株主代表訴訟、契約不履行など に問われる可能性がある。大統領令による基準では、最も重要なデータを特定 し、分類する必要があるとしている。The Information Weekの記事によると、 「『準拠している』状態と、『安全』な状態には雲泥の差があり、データを守 るため導入された防護策は監視されている必要があるなど、データの安全を保 つには終わりがないと指摘している。大統領令の適用は連邦政府閉鎖により延 期されている。基準の草案に対する公開意見の募集は、2014年2月まで行われる。

http://www.computerworld.com/s/article/9243150/New_NIST_cybersecurity_standards_could_pose_liability_risks?taxonomyId=17s
http://www.informationweek.com/government/security/nist-security-standards-fallacies-and-pi/240162600

【編集者メモ】(Pescatore)
NIST(米国立標準技術研究所)が「フレームワーク」をまた作ったのでは何の 効果もない。任意であろうがなかろうが、フレームワークは山ほど存在してい る。ベースラインはすでにある。利用者は企業がデータを守ることを期待して いて、企業がデータを守らないと、とんでもなく高くつくのだ。

────────────────

◆ブラジルが政府のセキュアメールシステムを計画(2013.10.14)

ブラジル政府は、現在運用中のデータ処理サービス(Serpro)に対して、外国 の諜報機関による傍受を不可能にする安全な政府内の電子コミュニケーション システムを開発するように依頼した。暴露されたNSA文書によると、多くの諜 報機関がブラジル国民や政府高官、国営石油企業Petrobrasに対して電子情報 スパイ活動をしているという。

http://www.computerworld.com/s/article/9243200/Brazil_to_fortify_government_email_due_to_NSA_revelations?taxonomyId=17

────────────────

◆基幹インフラの脆弱性、悪用される危険(2013.10.16)

研究者は、変電所や水道システムなどの米国内のインフラを部分的に管理でき る制御システム(ICS)の脆弱性を発見した。発見された脆弱性を悪用するこ とで、サーバをクラッシュさせてDoS状態を発生させ、コードの挿入が可能に なる。これらの脆弱性は、サーバと変電所のシリアル通信またはネットワーク 通信に利用されている機器に影響する。マスターサーバと各機器の間は、無線 ネットワークで接続されており、機器には物理的にアクセスできなくてもこれ らのネットワーク経由でアクセスできる。

http://www.wired.com/threatlevel/2013/10/ics/

【編集者メモ】(Assante)
研究者(ChrisとAdam)は、業界で広く利用されているプロトコル依存の脆弱 性を発見した。彼らが発見した内容は、今までの脆弱性研究よりも包括的であ り、ICS関係者に「気づき」を与えるものだ。彼らの研究により、シリアル通 信のプロトコルとデバイスが問題だという勘違いが払拭することを望んでいる。 ChrisとAdamは今度の3月にOrlandで開催されるSANS ICSサミットで研究成果と ツールを発表する予定。

────────────────

◆NSA局長、来年辞任(2013.10.17)

米国家安全保障局(NSA)のアレキサンダー大将は、来年春にNSA局長(および サイバー軍司令)の職から辞任することを明らかにした。匿名ソースによると、 アレキサンダー体制の副局長(文官)John (Chris) Inglis氏も2014年末に 辞任する。

http://www.theatlanticwire.com/national/2013/10/report-nsa-director-keith-alexander-out-next-april/70625/
http://arstechnica.com/tech-policy/2013/10/nsa-chief-keith-alexander-and-top-deputy-will-abdicate-in-coming-months/
http://www.scmagazine.com/report-nsa-director-keith-alexander-plans-spring-retirement/article/316802/
http://www.zdnet.com/nsas-keith-alexander-to-stand-down-7000022066/

【編集者メモ】(Pescatore)
アレキサンダー大将は、私が記憶する限りNSA局長として最も長く務め、NSAを 単なる諜報収集と暗号開発する部門から、サイバー戦争やサイバーセキュリティ の攻守を担当する役割へと成長させた。ブッシュ大統領の包括的国家サイバー セキュリティ構想や2007年のサイバー軍設置などが主な成果だが、これがとて つもなく大きい統制力になった。スノーデンの暴露事件から想像するに、大き くなりすぎたのかもしれない。

【編集者メモ】(Paller)
アレキサンダー大将は、NSAというディフェンス中心の影のミッションから、 Tony Sagerのような人材を採用して非常に高いレベルにまで押し上げ、新たな 脆弱性を発見するなど攻撃的ミッションを持たせ、ディフェンス側と共有する レベルにしたのは彼である。脆弱性の情報をディフェンスのガイドラインに適 用したのも彼だ。NSAのガイドライン(新NSA Top 10を含む)は、連邦政府の 見せかけのセキュリティガイドラインなどよりレベルが高い。

────────────────

◆Oracleが更新プログラムでJavaの脆弱性51件に対応(2013.10.16-17)

OracleがJavaの脆弱性51件に対応する更新プログラムをリリースした。リモー トから脆弱なシステムの操作を可能にする脆弱性は、10件以上存在する。 Brian Krebsは、Javaを利用しているユーザは可能な限りすぐに更新すること を推奨しているが、Javaを利用していないユーザにはJavaを無効にすることを 推奨している。最新のバージョンは、Java 7 Update 45だ。AppleもOS XのJava の更新を行った。Macの最新バージョンは、OS X 10.6.8で1.6.0_65になる。 今回の更新プログラムでは、他の製品の脆弱性76件も修復されている。

http://www.bbc.co.uk/news/technology-24564745
http://krebsonsecurity.com/2013/10/java-update-plugs-51-security-holes/
http://www.computerworld.com/s/article/9243247/Oracle_plugs_critical_security_holes_that_are_putting_systems_at_risk?taxonomyId=17

【編集者メモ】(Pescatore)
OracleのCEOラリー・エリソンは、ニュージーランドのヨットに勝つために1億 ドル以上を費やしたと聞いた。Javaセキュリティの確保にも同じくらいの投資 は妥当じゃないだろうか。

【編集者メモ】(Shpantzer)
OracleのJavaを置き換えるよりも、Javaをゼロからやり直すべきだ。AmExの古 いコマーシャルがいうとおり「オーナーは特権もあるけど責任もある」のだから。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎11月11日(月)~/2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=05

◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=06

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=07

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月24日(木)・11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=10

○11月14日(木)・12月12日(木)】
 エンドポイントセキュリティセミナー
 ~グローバルセキュリティの推進に向けて~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=12

○11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=09

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     Discount Code:NRI
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。