NRI Secure SANS NewsBites 日本版

Vol.8 No.45 2013年11月12日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                    Vol.8 No.45 2013年11月12日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃開┃始┃
 ━┛━┛━┛━┛━┛━┛
                  = SANS Tokyo 2014 =
                       第一弾
    APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間

   【FOR508】Advanced Computer Forensic Analysis and Incident Response
    http://sans-japan.jp/courses/for508.html?xmid=300&xlinkid=01

              2014年2月17日(月)~22日(土) [6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
11月に、SANSでは米公共分野のセキュリティに特化したイベントを2回行う。 11月6日は、CDMプログラムのワークショップを行った。11月20日には、SANSの John Pescatoreが、FedRAMPクラウドサービス認定プログラムについて説明する。 FedRAMP プログラムマネージャのMatt Goodrichも参加する。貴社で安全なク ラウドサービスを検討されているなら、是非Webキャストに参加してほしい。 登録はこちら
https://www.sans.org/webcasts/fedramp-update-secure-government-cloud-services-96045

──────────────────

■■SANS NewsBites Vol.15 No.088-089
  (原版: 2013年11月5日、8日)

──────────────────
◆米NSAとサイバー軍のリーダーを分担制に(2013.11.4)

米国土安全保障局(NSA)の現局長であるアレクサンダー大将の人事以降、次 期局長が就任したときには、サイバー軍司令官との兼務は行わない模様だ。 2つの役割を分け、権力乱用を防止することが、NSAに対する国民の信頼回復へ の一歩となると軍幹部も議員も考えている。アレクサンダー大将は、2005年に NSA局長、2010年にはサイバー軍司令官を兼務してきたが、来年には辞任する 予定。アレクサンダー局長は、リソースや決定事項に関して対立しないために も、NSA局長とサイバー軍司令官は密接な関係を維持する必要があるとしている。

http://thehill.com/blogs/hillicon-valley/technology/189036-nsa-chief-likely-to-be-stripped-of-cyber-war-powers
http://news.cnet.com/8301-1009_3-57610793-83/nsa-chief-may-lose-us-cyber-command-role/

────────────────

◆スイスの通信会社がスイス領土内ホスティングするクラウドサービスを計画(2013.11.3-4)

スイスの通信会社Swisscomが「スイスクラウド」を構築する計画している。ホ スティング設備は全てスイス国内に設置される。目的はNSAやGCHQの通信傍受 を防ぐことにあるという。Swisscomは国が株式のほとんどを保有する企業であ る。スイスは、厳しいプライバシー保護法が整備されているため、安全な通信 をセールスポイントとするサービスではスイス国内のデータセンターを利用し ている。検察は監視を実施する前に、裁判所命令が必要になる。

http://www.theregister.co.uk/2013/11/04/switzerland_to_set_up_swiss_cloud_free_of_nsa_snooping/
http://www.v3.co.uk/v3-uk/news/2304738/swisscom-plans-swiss-cloud-to-hide-data-from-prism-spies
http://arstechnica.com/business/2013/11/swiss-telecos-cloud-aims-to-draw-customers-who-are-fearful-of-spying/
http://www.reuters.com/article/2013/11/03/us-swisscom-cloud-idUSBRE9A209S20131103

【編集者メモ】(Pescatore)
Swisscomは顧客と会社の機密情報を含んだバックアップ用テープが盗まれ新聞 社に届けられたのを、数か月前に認めたばかりだ。さらに1年前、スイスの情 報局NDBは内部の人間が極秘のテロ対策情報をリークしており、スイス銀行UBS がシステム管理者に対して新しく開設された口座番号などを追跡するための情 報をリークした事実を発見したと認めている。スイスでもデータや銀行の処理 はリスクフリーというわけではない。

【編集者メモ】(Murray)
スイスの銀行が米IRSへの協力を開始した時点で、スイスの独自サービスに対 する歴史的な信頼はなくなった。通信または保存データの機密性を求めるには 独自の暗号が必要だ。信頼できる組織は一日として世の中には存在しない。

【編集者メモ】(Northcutt) NSA事件へ過剰反応しすぎだ。高地
にいれば、世界中の通信を傍受することが できる。しかしクラウドストレージは、プライバシーの観点から深刻に考えら れるべきだ。デラウェア大学のポリシーがよい。微妙なところもあるが、非常 に的を射ている。 http://www.udel.edu/it/security/facultystaff/cloud2.html

────────────────

◆Firefoxの最新ベータから、プラグインのクリック実行がデフォルトに(2013.11.1)

Firefoxの最新のベータ版では、全てのプラグインに対して「クリック実行」 がデフォルトになる。この新機能により、ページを開いても自動的にプラグイ ンが実行されなくなる。プラグインの実行を検出すると、警告メッセージが表 示され、閲覧するページに必要なプラグインの危険性が通知され、ユーザが明 示的にプラグインを許可してからコンテンツが表示される仕組みになる。例外 となるのはFlashの最新バージョンであり、他のブラウザもFlashは例外扱いと している。GoogleはFlashをChromeにバンドルし、更新がリリースされるとプッ シュして、ユーザは常に最新バージョンを利用できる。

http://www.theregister.co.uk/2013/11/01/firefox_plugin_blocking_enters_beta/

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「安全にオンラインショッピングを利用する」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 11月号では、オンラインショッピングの危険性とその危険から身を守る方法
 について、一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Google、Windows版Chromeの拡張機能をChromeウェブストア経由のみに限定(2013.11.7)

2014年1月より、Windows版のChromeユーザに対して、拡張機能のインストール はChrome ウェブストアからに限定される。現在、Chromeストア以外から提供 されている拡張サービスをインストールする場合は、ユーザに対してChromeス トア外からであることを確認できる画面が表示されるが、この確認メカニズム をバイパスする方法はすでに発見されている。

http://news.cnet.com/8301-1009_3-57611380-83/google-to-ban-external-sources-for-windows-chrome-extensions/

【編集者メモ】(Pescatore)
Googleの動きは遅いが、AndroidやGoogle Play App Storeは、利用者とアプリ ケーション間で使われているメカニズムに関して、AppleのApp Storeと同じよ うな仕組みになってきた。iPhoneやiPadの経験から言えることは、ソフトウェ アのホワイトリスト化はセキュリティ上非常に有効であり、利用者もそれを好 むというものだ。Googleがこの仕組みをブラウザのプラグインに広げることは、 すばらしい取り組みだと思う。アプリケーションの総数を競っているのはわか るが、個人的に関心があるのは、一旦App Storeに許可された後に、廃止や削 除された悪意のあるソフトウェアの割合だ。透明性が必要とされるデータであ るが、最初に公開するのはどちらだろう。

────────────────

◆FBIがサイバー犯罪の最重要指名手配者5名を追加(2013.11.6-7)

米FBIはサイバー犯罪に特化した最重要指名手配者リストを公開しているが、 最近になって、このリストに5名が追加され、サイバー犯罪の最重要指名手配 者は合計で17名になった。最近追加された中には、NDSChangerに関係する Andrey Nabilevich Taameや、大手Eコマース会社に侵入しデータベースと暗号 化されたパスワード情報を取得して販売したAlexsey Belanも含まれている。 Belan容疑者の不正行為による被害金額は1億ドルを超えるという。

http://www.nbcnews.com/technology/fbis-most-wanted-includes-hacker-who-helped-catch-cheating-lovers-8C11551655
http://www.theregister.co.uk/2013/11/06/fbi_cyber_most_wanted/
FBIのサイバー犯罪の最重要指名手配者:
http://www.fbi.gov/wanted/cyber
────────────────

◆DHS監察官が、サイバーイベント警告システムの欠如を指摘(2013.11.5)

10月24日に米国土安全保障省(DHS)の監察官室(OIG)が公開した報告書によ ると、米政府にはサイバーインシデントのデジタル警告システムが欠如してい るという。政府各当局間や民間セクターとのコンピュータ侵害を警告する仕組 みがない。イベントの報告書を配信するシステムと、緊急対応情報を配信する システムは存在するが、これら2つのシステムは連動していない。報告書には 7つの推奨項目が記載されており、推奨項目の1つとしてサイバーインシデント の発生状況を確認するツールや技術の開発または購入も含まれている。

http://www.nextgov.com/cybersecurity/2013/11/ig-government-has-no-digital-cyber-warning-system/73199/?oref=ng-channelriver
http://www.oig.dhs.gov/assets/Mgmt/2014/OIG_14-02_Oct13.pdf

【編集者メモ】(Northcutt)
我々が1997年に行った議論が、2013年の今でも同じように繰り返しされている というのは、信じられない。何とかして前に進めないものだろうか。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月14日(木)
 エンドポイントセキュリティセミナー
 ~PCやスマホなどマルチデバイスの一元管理で差がつく情報漏洩対策~
http://www.nri-secure.co.jp/seminar/2013/endpoint01.html?xmid=300&xlinkid=03

○11月15日(金)・12月19日(木)
 ファイル共有・転送サービスの正しい選び方
 ~業務効率化・ユーザ利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2013/file01.html?xmid=300&xlinkid=04

○11月21日(木)・12月18日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2013/ac03.html?xmid=300&xlinkid=05

○12月11日(水)                 <名古屋開催>【NEW!】
 セキュリティソリューションセミナー2013
 ~2013年から見えた課題と次への一手~
http://www.nri-secure.co.jp/seminar/2013/1211nagoya.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎12月16日(月)
 Webアプリケーションセキュリティ:1-DAY ハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=07

◎12月17日(火)~18日(水)
 セキュアJavaプログラミング:2-DAY ワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=08

◎2014年1月20日(月)~/3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=09

◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=10

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
   ■■■Asia Pacific ICS Security Summit & Training■■■
               2013年12月2日~7日
     会場:シンガポール( Grand Copthorne Waterfront Hotel)
     制御システム、スマートグリッドのセキュリティの最新動向をキャッチアップ

     詳細・お申込みはこちら
     http://www.sans.org/event/asia-pacific-ics-security-summit-training/

     ※ディスカウントコードを入力すると1,200ドルの割引が受けられます!
     < Discount Code:NRI >
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。