NRI Secure SANS NewsBites 日本版

Vol.9 No.11 2014年3月18日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.11 2014年3月18日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
サイバースキルが不足したソリューション:
技術的なサイバースキルを持つ人材が不足しており、大企業や政府機関が高額 な給与で引き抜きを繰り広げている。その結果として、セキュリティが向上す ることはなく費用ばかりかかることになる。小規模セキュリティベンダ(一部 大規模ベンダも)は、口ばかりで実際に手を動かすことのできない人材を採用 しては政府各局、病院、大企業に派遣しており、派遣先のデータやコンピュー タはまったく守られていない状態になっている。

簡単なソリューションはない:
大学などの高等教育機関は、サイバーセキュリティ分野において、ビジネスの 現場が求めているような最新の情報やスキルを教えることは無理だと述べてい る。そこで朗報だ。7州の知事は、サイバーセキュリティに関するスキルを有 する人材1万名を発掘するプログラムを支援している。多くの大学で優秀な人 材が見つかっており、軍を退職した人々がこれらのプログラムによりスキルを 得ている。SANSとCyberAcesのプログラムでは、優秀な人材を探すビジネスの 現場との橋渡しをしている。SANS Cyber Talent試験は通常2,500ドルかかるが、 このプログラムの中で採用候補になれば無料になる。このプログラムは、サイ バーセキュリティに携わる要員を求める雇用者ならだれでも利用できるので、 気になる方はMax Shuftan( mshuftan@gmail.com )にメールで問い合わせて ほしい。大学のクラブのメンバー、退役軍人、その他才能はあるがまだ参加し ていない人も自由にサイバーセキュリティ関連の求人情報を見ることができる ので、Cyber Talentに登録してほしい。
詳細はこちら:http://nationalcybersecuritycareerfair.com

今週のBusiness Week誌のカバーストーリーでTarget社の流出事件の本当の原因 が明らかになっている。Mike Rileyの調査を読めば、Target社のセキュリティ 部門が特定のアラートを受信していたのにもかかわらず、すぐに流出を止める ことができなかった理由がわかる。このようなアラートを見逃すミスは、CIO がコンプライアンスをセキュリティよりも重視している組織では日々発生する。 セキュリティ部門は、月次レポートに注力するあまり、脅威分析、防止策、迅 速なインシデントレスポンスが二の次になっているからだ。これは危険な管理 ミスであり怠慢だと思う。Target社のCIOはすでに辞職しているが、他社のCIO やCISOもTarget社やニーマンマーカス社の事例を利用して自社のセキュリティ の考え方を改めてほしい。そうでなければ同様の事件を起こして不名誉で辞任 するリスクが残るだけだろう。
http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data

2014年のサイバーセキュリティ給与待遇アンケートが公開された。SANSでは、 実際に給与が上がっているときに公開した方が学生の参考になると思い2008年 以降は行っていなかった。また、このようなアンケート調査によりサイバーセ キュリティに関するスキルの価値を経営者が認めることができる。予備アンケー トの結果では、金額が非常に上がっている。その中には、顕著な伸びを見せて いるスキルもある。最終的な結果は数週間後に公開する予定だが、アンケート 調査に回答した2千名(現在670名が回答済)については、無償で入手できる。 それ以外の方については、報告書代として250ドルかかる。アンケート先はこ ちらだ。
https://www.surveymonkey.com/s/2014SANSSalarySurvey


────────────────────────────

■■SANS NewsBites Vol.16 No.020-021
  (原版: 2014年3月10日、14日)

────────────────────────────

◆サイバーセキュリティ企業の企業価値が上昇(2014.3.9)

CB Insightsの調査によると、昨年、ベンチャーキャピタル会社はサイバーセ キュリティ企業239社に対して合計1億4千万ドルを投資したという。対象企業 はモバイルアプリのセキュリティプラットフォームやオンライン認証インフラ を提供する企業など多岐にわたる。このうち80%のスタートアップ企業は、株 式公開や買収などですでにイグジット(EXIT)しており、平均投資リターンは 10倍となっている。セキュリティ企業に対する取引規模の中央値や、投資前企 業価値(pre-money valuation)も、この5年間で大きく上昇した。

http://www.cnbc.com/id/101468460

────────────────

◆欧米で高度なマルウェアへの感染が広がる(2014.3.7)

Turlaという呼称で知られている高度なマルウェアへの感染が、欧米で広がっ ている。研究者やインテリジェンス職員は、Turlaはロシアが関与していると 考えている。このマルウェアは、UroburosやSnakeとも呼ばれている。また、 このマルウェアが活動を開始したのは、2006年にまで遡るという研究者も存在 する。

http://uk.reuters.com/article/2014/03/07/russia-cyberespionage-idUKL1N0M302H20140307
http://www.scmagazine.com/experts-analyze-snake-uroburos-malware-samples-dating-back-to-2006/article/337403/

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「Windows XPのサポート終了」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2014年4月8日にはWindows XPのEOL(サポート終了)が予定されています。
 今月号では、Windows XPのサポート終了後に考えられるリスクとその対応策
 について、一般ユーザ向けに、分かりやすく解説しています。
 社員の意識向上ツールとしてお使いください。
 http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆Target社流出事件、新たな真実(2014.3.13)

Target社のPoS端末に行われた攻撃に関して新たな記事が公開された。主な点 をまとめると、まずTarget社はシステム活動を監視していた担当者からの警告 に対応しなかった。米下院の証人喚問では、Target社は米司法省から通知を受 け取るまで気が付かなかったと証言している。ログを確認したところ、警告は 出ており、データ流出は防止することができた。また、Target社はFireEye製 品を導入済みで、サンドボックス環境で攻撃ツール機能を実行させることがで き、不審な活動は検出可能な状態にあった。しかしながらTarget社はFireEye 製品で提供されているマルウェア検出時の自動削除機能を無効にしていた。

http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data

【編集者メモ】(Pescatore)
ニーマンマーカスの流出事件の調査においても、警告は多数発生していたが対 応がとられなかった。多くの組織は、SIEMなどの製品を使ってログを収集して いるが、脆弱性や脅威のタイプにより警告の優先順位づけを行うレベルに至っ ていない、またはそのようなスキルやリソースが不足している。コンプライア ンス的にはこれでよいのだが、セキュアな状態ではない。

【編集者メモ】(Murray)
最近明らかになった事実から学ぶことは、警告を誤検出と処理する前に、何が 警告の原因なのか理解する必要があるだろう。

【編集者メモ】(Paller)
PescatoreやMurryのコメントからも、ポリシーを作成する担当者の待遇が停滞 しており、サイバーセキュリティ業界でポリシーやコンプライアンス担当者の 数が減少しているのかを説明している。一方、実際の技術的知識やスキルがあ る担当者への待遇や需要は急成長している。給与待遇アンケート調査に参加し てほしい。 https://www.surveymonkey.com/s/2014SANSSalarySurvey

────────────────

◆小売業者、EMVに移行するだけではセキュリティ不十分と述べる(2014.3.13)

全米小売業協会(NRF)は、マスターカードやビザカードがEMVのICチップ技術 への採用計画に対して、不満を表明した。NRFは、カードによる決済処理にお ける安全性を強化するために、ICチップ技術の採用を強く求める声明を発表し ていた。ICチップを搭載したクレジットカードは世界中で広く採用されている が、米国では未だ採用されていない。

全米小売連盟の声明:
http://www.nrf.com/modules.php?name=News&op=viewlive&sp_id=1781

【編集者メモ】(Murray)
ICチップ(つまりEMV)技術により、通常の使用において発生すると思われる クレジットカード番号の流出を避けることはできるし、PIN(暗証番号)の利 用によりカードの不正利用を防ぐこともできる。EMVの標準仕様では、さまざ まな方法でPINを利用することができるが、アプリケーションによって異なっ ている。例えば、オンライン決済でPINを利用する前に、オフラインでの少額 決済が最大10回許可しなければ機能を有効にできないなどだ。されなければ利 用できないなどだ。EMVを使ったPINの利用は、磁気ストライプを使ったカード と比べて、カード番号やPIN番号がリークすることはなく、安全だと言える。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2013」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より12回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の
計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」
「インシデントレスポンス」の5つの観点で分析。      【閲覧無料】
http://www.nri-secure.co.jp/news/2014/0221_report.html?xmid=300&xlinkid=10
 
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月19日(水)
 クラウド・モバイル時代のエンドポイントセキュリティセミナー
 ~マルチデバイスのグローバル一元管理と、BYOD活用について~
http://www.nri-secure.co.jp/seminar/2014/endpoint02.html?xmid=300&xlinkid=05

○3月20日(木)、4月23日(水)、5月20日(火)、6月24日(火)    【日程追加】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○3月25日(火)                          【NEW】
 電子署名・認証、タイムスタンプ普及増進セミナー
http://www.nri-secure.co.jp/seminar/2014/0325.html?xmid=300&xlinkid=07

○4月18日(金)、5月23日(金)、6月11日(水)           【日程追加】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=08
────────────────


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。