NRI Secure SANS NewsBites 日本版

Vol.8 No.50 2013年12月25日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.8 No.50 2013年12月25日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
  申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
  ━┛━┛━┛━┛━┛
                 = SANS TOKYO 2014 =
  http://sans-japan.jp/training/event.html?xmid=300&xlinkid=01
 【SEC401】2014年2月24日、25日、3月5日、6日、18日、19日 [6日間]<NEW!>
  :SANS Security Essentials Bootcamp Style
  (SANSトレーニングの中で最もポピュラーなコース)

 【FOR508】2014年2月17日~22日 [6日間]
  :Advanced Computer Forensic Analysis and Incident Response
  (APTを含む標的型攻撃に対抗するデジタルフォレンジックを学ぶ6日間)

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


■はじめに(Alan Paller:SANS Director of Research)
「2013年セキュリティを変えた人物」の受賞者はこちら:
http://www.sans.org/cyber-innovation-awards

ニューオーリンズとオーランドで開催されるSANSトレーニングの登録はこちら:
http://www.sans.org/event/security-east-2014
Orlando: http://www.sans.org/event/sans-2014

電力、ガス、石油における産業制御システムに変化が起きている。Shell、 PG&E、BP、Chevron、ABBなど業界大手各社は、制御システムにおけるサイバー セキュリティの局面を変えた。オーランドで毎年恒例の第9回ICS/SCADA Security Summit & Trainingでその内容がわかるだろう。新しい認定コース ICS410: ICS/SCADA Security Essentialsに参加して、ICSの最先端の声を聴い てほしい。
http://www.sans.org/event/north-american-ics-scada-summit-2014

2014年のセキュリティの測定法をお伝えしよう。100号で伝えているニュース3 件は、米政府局を始めとする今年の侵入事件を象徴している。NIST/FISMA、 HIPAA、GLPなど紙ベースで評価される似通ったコンプライアンスは、予算を費 やすが悪化させるだけで、問題解決にはつながらない。NSAは攻撃の大半を防 ぐ10大コントロールを公開ており、実際に攻撃の大半を防ぐことが証明されて いるオーストラリア政府が公開している4大コントロールと対比させている。
注目すべきは、そのいずれもが、CyberSecurity委員会が提唱している20 Critical Controlsに同調していることだ。来年2月のRSAカンファレンスまで に、主要ベンダー2社から、新しい無料のツールが提供される。このツールを 使うことで各組織は4大コントロールの導入についてベンチマークすることが できる。4大コントロールの導入実施を確認するのに費用はかからないが、実 際にセキュリティ対策の有効性は測定できる。各企業の経営者や役員、国や自 治体の責任者は、情報担当責任者(CIO)に対して、セキュリティ責任者 (CISO)の有能さを確認することができる。4大コントロールは、CSIS(Center for Strategic and International Studies)からも提供されており、CISCOは 当然対策済みであると説明できるはずである。

───────────────────

■■SANS NewsBites Vol.15 No.099-100
  (原版: 2013年12月17日、20日)

───────────────────

◆連邦判事、NSAによる通話記録収集に違憲の可能性(2013.12.16)

米ワシントン州の連邦判事は、NSAによる大量の通話記録収集プログラムは憲 法に違反している可能性があるとする判決を下した。コロンビア地区地方裁判 所のRichard Leon判事は、米国民の電話発着記録を大量に収集しているNSAの 監視プログラムが違憲であるとする申立に対して、原告側に「修正第4条に対 する主張が認められる可能性が十分にある」と回答している。Leon判事は、 NSAの通話記録の収集をすぐに停止する仮差止命令への申請を認めた上で、国 側の控訴を認め申請を保留するとした。

http://www.washingtonpost.com/national/judge-nsas-collecting-of-phone-records-is-likely-unconstitutional/2013/12/16/6e098eda-6688-11e3-a0b9-249bbb34602c_story.html?hpid=z1
http://www.wired.com/threatlevel/2013/12/bulk-telephone-metada-ruling/
http://www.scmagazine.com/federal-judge-rules-nsa-metadata-collection-is-unconstitutional/article/325860/
http://usnews.nbcnews.com/_news/2013/12/16/21925625-federal-judge-says-nsa-program-appears-to-violate-constitution?lite
http://www.computerworld.com/s/article/9244833/Update_Judge_rules_NSA_spy_efforts_may_be_unconstitutional?taxonomyId=17
http://www.theregister.co.uk/2013/12/16/judge_puts_nsa_mobile_record_collection_on_ice/
Leon判事の判決原文:
http://www.wired.com/images_blogs/threatlevel/2013/12/leonruling.pdf

【編集者メモ】(Murray)
今回の判決よりも重要なのは、やっと裁判所が考え始めたということだ。

【編集者メモ】(Honan)
今回の判決は米国の憲法で保障されている国民の権利にしか触れていない。米 国外についてのプライバシーについては今後も変わらない。

────────────────

◆ホワイトハウス特別委員会、通話記録の保存先を第三者にするように推奨(2013.12.13)

ホワイトハウスに発足した特別委員会より、NSAが収集したデータの保管先は、 第三者または電話会社であるべきとする答申がまとめられた。委員会は、デー タ収集プログラム自体の継続については特に触れず、NSAがデータを必要とす る際の収集活動に制限事項を設けるなど、より厳しい基準を適用すべきで点が あると指摘した。さらに、2013年4月以降のアレキサンダー大将の後任に、文 民の採用を推奨した。(ホワイトハウスは、NSA局長はサイバー軍指揮官と兼 任するため軍民であると発表している。(後述のニュースを参照いただきたい)

http://www.wired.com/threatlevel/2013/12/obama-panel-nsa/
http://arstechnica.com/tech-policy/2013/12/obama-panel-says-nsa-phone-spying-records-should-be-held-by-third-party/

────────────────

◆米テレビ特報番組: NSA監視プログラムを擁護(2013.12.15-16)

米国家安全保障局(NSA)局長アレキサンダー大将と同保障局の情報保証担当 ディレクターDebora Plunkettが米国テレビ特報番組「60 Minutes」に出演し、 同保障局の監視プログラムについて弁護した。番組の中で両名は、ある国は BIOSマルウェアを使ったコンピュータ破壊工作の存在や、敵対国がコンピュー タウィルスを使って米国経済を麻痺させる可能性があったことを明らかにした。

http://www.theregister.co.uk/2013/12/16/nsa_alleges_bios_plot_to_destroy_pcs/
http://www.forbes.com/sites/robertlenzner/2013/12/15/some-foreign-nations-have-cyberwar-capability-to-destroy-our-financial-system-nsa-admits/
http://www.wired.com/threatlevel/2013/12/60-minutes/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「タブレット端末の安全な使い方」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 12月号では、タブレット端末の安全な使い方及びその安全の維持について
 一般のユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
  http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ホワイトハウス、NSA局長とサイバー軍司令官の兼任体制を継続(2013.12.13)

ホワイトハウスは、現在のNSA局長とサイバー軍司令官の兼任体制を今後も継 続することを明らかにした。アレキサンダー大将は来年春での辞任が予定され ている。現在の兼任体制を変更し、NSA局長には文民を指名するべきだなどの 議論もあるが、オバマ政権は、今後も兼任体制を継続することで、「迅速な対 応」が可能な体制を維持することとしたと発表した。つまり今後も軍民が兼務 して両組織を率いることになる。

http://www.washingtonpost.com/world/national-security/white-house-to-preserve-controversial-policy-on-nsa-cyber-command-leadership/2013/12/13/4bb56a48-6403-11e3-a373-0f9f2d1c2b61_story.html
http://news.cnet.com/8301-1009_3-57615582-83/white-house-sticks-with-double-duty-for-nsa-director/
────────────────

◆Target社が、大量の情報漏洩について公表(2013.12.18-19)

米小売大手のTarget社は、顧客のカード情報に不正アクセスされたことを公表 した。流出した情報は、11月27日から12月15日の間に各店舗で支払いに利用さ れたカードのカード番号、有効期限、セキュリティコードだという。発表によ るとオンラインで購入した顧客への被害は発生しないとのこと。最終的には、 流出情報が4,000万件にも及ぶという。外部のフォレンジック企業の協力を得 てTarget社は調査を行っている。米シークレットサービスによる調査も行われ ている。

http://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach/
http://www.wired.com/threatlevel/2013/12/target-hack-hits-40-million/
http://www.computerworld.com/s/article/9244900/Breach_could_prove_very_costly_for_Target?taxonomyId=17
http://arstechnica.com/security/2013/12/secret-service-investigating-alleged-credit-card-breach-at-target/
http://www.zdnet.com/target-reportedly-victim-of-security-breach-since-black-friday-7000024476/

【編集者メモ】(Honan)
PCI委員会によると、Targetは流出した時点でPCI DSSには準拠していなかった。
────────────────

◆ワシントンポスト紙のサーバに不正侵入(2013.12.18)

ワシントンポスト紙のサーバが再度の不正侵入を受けた。同紙は中国による攻 撃と考えている。ワシントンポスト紙のネットワークに対してサイバーセキュ リティ監視を行っているMandiant社は、攻撃を検出していた。攻撃者は、まず 同社の海外特班員が利用しているサーバにアクセスし、その後に他のサーバに アクセスした。攻撃者は社員のユーザ名とパスワードを取得していた。2011年 にも同紙のネットワークは、ニューヨークタイムズ紙やウォールストリート ジャーナル紙、ワシントンDCの組織同様に侵入されている。

http://www.darkreading.com/attacks-breaches/washington-post-servers-infiltrated-empl/240164882
http://www.computerworld.com/s/article/9244887/_i_Washington_Post_i_servers_attacked_paper_suspects_Chinese_hackers?taxonomyId=17
http://www.washingtonpost.com/business/technology/hackers-break-into-washington-post-servers/2013/12/18/dff8c362-682c-11e3-8b5b-a77187b716a3_story.html

────────────────

◆米政府閉鎖期間中、連邦選挙委員会のコンピュータが侵入を受ける(2013.12.17)

米連邦選挙委員会(FEC)のコンピュータシステムが10月の政府閉鎖期間中に 侵入されていた。攻撃元は中国と考えられている。攻撃者はシステムをクラッ シュさせたが、FECは「重要でない」機関に分類されていたため、攻撃発生時 に担当者は不在の状態だった。

http://thehill.com/blogs/blog-briefing-room/news/193332-report-fec-system-hacked-during-shutdown
http://www.theatlantic.com/politics/archive/2013/12/another-massive-problem-with-us-democracy-the-fec-is-broken/282404/

【編集者メモ】(Honan)
年末年始の間は、多くの企業が休暇となり従業員が不在の状態になる。自社シ ステムがおかれているリスクを把握してFECの二の舞にならないように気を付 けていただきたい。

【編集者メモ】(Northcutt)
驚くまでもないが、「玄関口をたたいてみて窓をみまわる」ということが行わ れている。

http://talkingpointsmemo.com/livewire/someone-tried-to-hack-the-federal-election-commission-website
http://blogs.rollcall.com/moneyline/hacking-attempts-on-federal-election-commisison-website/]

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2014年1月24日(金)、2月20日(木)、3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○2014年1月28日(火)、2月27日(木)、3月20日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○2014年1月29日(水)
 セキュア開発ライフサイクルセミナー
 ~脆弱性を作り込まない開発プロセス~
http://www.nri-secure.co.jp/seminar/2014/0129.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎2014年2月17日(月)~19日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=08

◎2014年3月10日(月)~:各5日間
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=09

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。