NRI Secure SANS NewsBites 日本版

Vol.9 No.13 2014年4月1日発行

**********************************************************************
          NRI Secure Security Information
           (SANS NewsBitesサマリー版)
                     Vol.9 No.13 2014年4月1日発行
**********************************************************************


■はじめに(Alan Paller:SANS Director of Research)
25号の最初のニュースは、サイバーセキュリティの責任について考え直させる 記事だ。サイバー攻撃を受けた責任をとって辞職した最初の人物は、ニューヨー クの主要銀行の監査主任で、1995年のことだった。その後、監査職員への責任 が追及されることはなくなり、CIO(最高情報責任者)が非難されるようになっ た。攻撃による被害規模が大きくなる中、しかるべきところが責任を取るべき だろう。PCI準拠の取得においては、多くの企業が認定業者を値段で選び、安 くて「偽」の健康診断書を出してくれるところを採用しているが、銀行は、監 査職員への責任を追及する権利がある。さらに、企業の監査部門やリスク管理 委員会も、コンプライアンス重視でPCI認定を推進したセキュリティ責任者に 対して、侵害事件による株価低下の責任を取らせるべきだ。連邦政府において も、対応されない問題がある場合には、監査に関わった人間にも責任を取らせ るべきだというNISTの指導要綱に従うべきだろう。各当局幹部は、監査職員に 対してセキュリティ問題の指摘と対応に責任を課すようにすべきであり、必要 に応じてNISTの指導要綱を変更するか、そもそもの要綱を破棄するべきだ。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:SANS Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────

■■SANS NewsBites Vol.16 No.024-025
  (原版: 2014年3月25日、28日)

────────────────────────────

◆サイバー戦士へのキャリアパスが明確に(2014.3.21)

技術的知識や経験がなくても、認定証があればサイバーセキュリティ専門家に なれるという考え方によって、サイバーセキュリティ産業は苦しんできた。ス キルのあるサイバーセキュリティ専門家への需要は大きく、人材が不足してい る。この問題を解決するには、サイバーセキュリティのキャリアパスを定義す ることだ。システム管理者やテクニカルサービスといった基本的なスキルを ベースとして、継続的なトレーニングとスキルの育成を経て、初めて複雑な仕 事ができるようになるのだから。

http://www.nextgov.com/cio-briefing/wired-workplace/2014/03/why-cyber-jobs-need-career-path/81025/?oref=ng-channelriver

────────────────

◆サイバーセキュリティスキルのある人材増加につながらない理工学系の学位(2014.3.24)

Richard Stiennon氏は、学生に理工学系(STEM:科学、テクノロジー、エンジ ニアリング、数学)修得を推奨する風潮や、現場で役立つ分野の学習過程が不 足していることに対して不満を表明した。一般的に大学は研究が中心であり、 サイバーセキュリティに関する包括的なスキル習得プログラムを学生に提供し ていない。Stiennon氏は、「各州で必要なのは、活気のあるVoTech教育システ ム」で、「セキュリティベンダと協力して、主要なセキュリティ製品やツール についてのトレーニングにより認定を与えることだ」と述べた。

http://www.forbes.com/sites/richardstiennon/2014/03/23/stem-stinks-for-cybersecurity/

【編集者メモ】(Assante)
彼が不満を覚えるのもわかる。テクノロジー好きな若い学生は貴重だが、そこ からスキルを育成し、国が必要とする人材に育てる道筋はできていない。大学 にないのは、職務要件を学ぶ機会、実務的なスキルや一般的なツールを習得ま たはシミュレーションする機会、実務者によるトレーニングに参加する機会だ。 そのような問題を解決した組織は多い(私が関与しているのは、CyberAcesだが) が、才能がある学生をクラブ活動やコンクールといった場から引き上げ、必要 とされるトレーニングを施して、実際の職場に結びつけるには至っていない。
【編集者メモ】(Murray)
最初の仕事のためにさがすなら、2年くらいのプログラムで最新の専門知識や スキルを習得することだ。ただし、これだけでは長持ちしない。長年にわたり 役立つ幅広い知識、スキル、能力を習得する高度なトレーニングを受けて、 キャリアに役立てることが必要だ。雇用する側や幹部も、最初から全てが備 わった人材など期待しないようがいい。例えば、戦術的なことも戦略的なこと もでき、計画策定もできれば実施もでき、リーダーシップもあるが従順である というのは、NCO、技術スペシャリスト、役員しか考えられないではないか。

────────────────

◆サイバー人材の発掘:(2014.3.25)

SANSでは、サイバー人材を多数雇用している4組織の協力を得て、最も必要と されているスキルを向上させることができる試験制度を複数にわたり評価して いる。目的は、雇用者側が、高度な技術力のあるサイバー分野の専門家を採用 するに当たり、その意思決定を支援することだ。今回のプログラムでは、雇用 者30組織の協力を得て、サイバーセキュリティ分野のキャリアパスを描くため の支援も行っている。少なくとも、この春の終わりごろに開始される試験制度 が1件ある。これは、国家サイバーセキュリティキャリアフェア(National Cyber Security Career Fair:http://nationalcybersecuritycareerfair.com/) の一環として行われるものだ。サイバー人材評価の経験があり、協力する意思 をお持ちの方は協力者を求めている。興味があれば、あなたの経験を簡単に添 えて、 cybertalent@sans.org 宛てにメールを送信していただきたい。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2013」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より12回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の
計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」
「インシデントレスポンス」の5つの観点で分析。      【閲覧無料】
http://www.nri-secure.co.jp/news/2014/0221_report.html?xmid=300&xlinkid=10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆銀行がTarget社とPCI認定企業を提訴(2014.3.25-26)

米銀行2行が、Target社とTrustwaveホールディングスを提訴した。Trustwave はTarget社のPCI(Payment Card Industry)基準の認定を行っていた。提訴し たTrustmark National BankとGreen Bank NAによると、TrustwaveはTarget社 のネットワーク内の問題を十分に検出と指摘しておらず、両社は顧客データを 保護するために十分な対策を行っていなかったというのがその理由となってい る。

http://www.computerworld.com/s/article/9247194/In_rare_move_banks_sue_Target_s_security_auditor?taxonomyId=17
http://www.cnet.com/news/security-firm-trustwave-sued-in-connection-with-target-breach-report/
http://www.darkreading.com/risk/compliance/target-pci-auditor-trustwave-sued-by-banks/d/d-id/1127936
http://www.scmagazine.com/banks-file-class-action-against-target-and-trustwave-over-massive-breach/article/339760/
http://www.theregister.co.uk/2014/03/26/banks_lob_sueball_at_trustwave_target/
http://www.scribd.com/doc/214452922/Complaint-against-Trustwave

────────────────

◆ホワイトハウスが、NSAのメタデータ収集終了を下院に要請(2014.3.24-27)

米ホワイトハウスは、NSAの通話データの大量収集を終了する法案を可決する ように下院議会へ要請した。オバマ政権は、収集プログラムの許可を90日間延 長する予定となっている。オバマ大統領は法案可決の期限については言及して いないが、担当官は、「迅速に行動する」ことを推奨していることから、ホワ イトハウスは議会が3か月以内に法案可決することを期待している。

http://www.washingtonpost.com/world/national-security/white-house-pushes-congress-to-quickly-pass-changes-to-nsa-surveillance-program/2014/03/27/1a2c4052-b5b9-11e3-8cb6-284052554d74_story.html
http://www.govinfosecurity.com/plans-would-end-nsa-collection-program-a-6675s
http://www.nytimes.com/2014/03/25/us/obama-to-seek-nsa-curb-on-call-data.html?hp&_r=0
http://arstechnica.com/tech-policy/2014/03/white-house-to-propose-law-to-end-nsa-bulk-collection-of-phone-data/

────────────────

◆脅威情報の共有について企業に義務化するための障壁(2014.3.27)

米国の包括的サイバーセキュリティ法案における最大の論点は、サイバー脅威 情報を共有する組織に付与される賠償責任保護の範囲となっており、依然とし て議論が続いている。賠償責任補償を幅広くすることで、馴れ合いや共謀など に使われる可能性があるといった意見がある。他方、賠償責任補償範囲を狭く すれば、企業に大きな法的リスクが残るため、情報共有に躊躇するという意見 もあるのが現状である。

http://www.govinfosecurity.com/blogs/congress-cant-pass-cyber-law-p-1644

【編集者メモ】(Pescatore)
FTC(連邦取引委員会)と司法省は、「競合組織間の協力」を求めているが、 ビジネス的な情報共有に対して障害物はない。今までも物理的犯罪やカードの 不正利用などが発生すれば通念として行われてきたものであって、情報を共有 することを通じて犯罪被害の可能性を排除してきた実績がある。それよりも、 政府と情報共有する問題点は、民間企業側にメリットがなく、今のガイドライ ンの中では網羅されていない責任問題などが露呈する可能性があることに問題 がある。
【編集者メモ】(Shpantzer)
馴れ合いがあるのは事実であり、情報共有するために中間組織は必要ないはず だが…
http://pando.com/2014/03/22/revealed-apple-and-googles-wage-fixing-cartel-involved-dozens-more-companies-over-one-million-employees/
的確な対応を検討するのに、司法省が関与しすぎているようだ。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月18日(金)、5月23日(金)、6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=08

○4月23日(水)、5月20日(火)、6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中の無料セミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月、9月、11月、2015年1月、2月、3月 [各5日間]
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html

○10月6日(月)~8日(水)、2月16日(月)~18日(水) [各3日間]
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベース に、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報 を希望された方、SANS関連のイベントに参加された方、その他イベント等にお いて弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、 新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致し ます。なお、情報の反映までにお時間を頂戴する場合がございます。