NRI Secure SANS NewsBites 日本版

Vol.9 No.14 2014年4月8日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.14 2014年4月8日発行
**********************************************************************


■メールマガジン名称変更のお知らせ

SANS News Bites日本版のメールマガジン「NRIセキュア Security Info」の名称 を、平成26年4月8日配信分より「NRI Secure SANS NewsBites 日本版」に改めま す。

配信日は、これまで通り毎週火曜日です。 SANS Instituteが発行するSANS News Bitesの翻訳版や、NRIセキュアが提供する人材育成サービスなどのご案内、その他各 種お知らせをお届けします。さらに翻訳内容の充実を図り、皆様に楽しんでいただけ るメールマガジン配信に努めてまいりますので、今後ともご愛顧いただきますようお 願い申し上げます。

■はじめに(Alan Paller:SANS Director of Research)
ペネトレーションテスト、インシデントレスポンス、コアセキュリティエンジニアリ ングのSTI 大学院認定プログラムをチェックしてほしい。これらの認定は、セキュリ ティの専門家がサイバーセキュリティ分野を熟知していることを証明するために必要 な知識やスキルを特定しており、採用基準や昇進基準に利用する組織や会社もあ る。個別のコース修了認定だけを受けて「認定されたハッカー」と主張しているよう な人物に対して不満を抱く組織側の問題を解決している。うまく行けば、組織のト レーニング予算に依存することなく、授業料も回収できるだろう。すでに1科目でも 終えているなら、是非継続してほしい。さらに、修士学位の単位要件も100%満たして いる。SANSのオーランドで開催されるSANSに参加するなら、月曜日の6時から行われ るブリーフィングにも参加してほしい。参加できない場合は、認定プログラムを参照 していただきたい。
http://www.sans.edu/academics/certificates


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html

【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:SANS Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────

■■SANS NewsBites Vol.16 No.026-027
(原版: 2014年4月1日、4日)

────────────────────────────

◆ 米国防総省、サイバーセキュリティ部隊と増強を計画(2014.3.28)

米国防長官チャック・ヘーゲル氏は、サイバーセキュリティについて「サイバー空間 への依存度に追い付いていない」と指摘し、米国防総省のサイバー戦実行部隊の規模 を大幅に拡大する必要があると述べた。同氏は、2016年までにサイバー軍が6,000名 を超える部隊になると見込んでいると述べた。同氏は、国家安全保障局(NSA)と DoDサイバー軍司令官を兼任していたキースoアレクサンダー大将の退任式の演説にお いて、国防総省(DoD)がサイバーセキュリティ部隊の位置づけを現状のままで増強 を予定していることを明らかにしている。

http://www.govinfosecurity.com/dod-looks-within-to-build-cyber-force-a-6691
http://www.stripes.com/wanted-cyberwarriors-no-experience-or-knowledge-necessary-1.275172#.UzoDAEKinjB
http://www.washingtonpost.com/world/national-security/us-cyberwarfare-force-to-grow-significantly-defense-secretary-says/2014/03/28/0a1fa074-b680-11e3-b84e-897d3d12b816_story.html
http://kfwbam.com/2014/03/28/pentagon-to-triple-cyber-staff-to-thwart-attacks/

【編集者メモ】(Murray)
一般的な通念とは異なり、SANSでは、知識、スキル、能力は教育によって身につける ことができることを実証している。DoDは、多くの人材をかかえており、必要な人材 の特定、配置、育成を行って、活用してきた実績がある。航空系やその他の特殊技術 と同様、軍はサイバーセキュリティ業界が必要な人材の輩出元となるのだろう。
【編集者メモ】(Northcutt)
これを実現するには、ビットやバイトに興味があるだけではなく、なすべきことを理 解できることが必要だ。そのような人材は国防総省にもいる。しかし、キャリアパス を示し、どれくらい稼げるようになるのかを示すことができていない。イスラエルで は、軍からの若い男女の離職率がそれなりに高いが、兵役中に十分な訓練ができてい るため、実際にサイバーセキュリティ人材の輸出を始めている。

────────────────
◆ 米国土安全保障省、サイバーセキュリティ人材確保に向け、雇用条件の自由裁量を求める(2014.3.26)

米国土安全保障省(DHS)は、サイバーセキュリティの優秀な人材を確保しその能力 を維持するために、議会に支援を要請している。DHSのサイバーセキュリティ担当副 次官のフィリス ・シュネック(Phyllis Schneck)氏は、上院の国土安全保障・政府 問題委員会に対して、雇用条件を柔軟にし、市場に見合った給与待遇を提供できる制 度とするよう要請した。現在、政府機関の給与待遇は、民間企業の給与待遇と比較に ならない。

http://thehill.com/blogs/hillicon-valley/technology/201802-dhs-needs-help-to-hire-cybersecurity-experts

【編集者メモ】(Murray)
買うよりも、建てた方が安い場合もある。DoDを参考にしてみるのがいい。

────────────────

◆ 銀行が、Target社に対する集団訴訟を取り下げ(2014.3.31)

Trustmark National Bankは、Green Bankと共に提訴したTarget社とTrustwave社に対 する集団訴訟を取り下げた。Trustwave社は、Target社のPCIデータセキュリティ標準( PCI DSS)準拠を認定した企業。Green Bankはさらに、本件に関する申し出を取り下 げており、訴訟における主張において前提内容に誤りがあったことが発覚したためだ と想定されている。

http://www.computerworld.com/s/article/9247309/Bank_abandons_place_in_class_action_suit_against_Target_Trustwave?taxonomyId=17
http://www.scmagazine.com/trustwave-responds-to-target-breach-lawsuit-bank-drops-out/article/340430/

【編集者メモ】(Murray)
実際に発生した事実から学ぶことがなくなるという意味で、悪いニュースだ。

────────────────

◆ Target社の監査会社に対する訴訟、セキュリティ基準への疑問は解消されず(2014.3.28)

Target社の流出事件に関連する訴訟のうち1件は、Trustwave社を被告としてい る。Trustwave社は、流出事件が発生する数ヶ月前にTarget社のシステムをPCI-DSS準 拠に認定した企業。Trustwave社が問題検知できなかったことが原因で大規模な流出 事件が発生したというのが主な訴因となっている。訴訟の主張内容に誤りが発覚する 一方で、外部から課せられたセキュリティ基準や監査は機能しないという「何年もの 間、未解決なままの核心的な問題」も認識されることとなった。

【編集者メモ】(Murray)
コンプライアンス準拠をしているから「侵害されない」ということはないので、侵害 は「コンプライアンス違反している証拠」でもない。つまりPCI DSSは、小売事業者 に対して「侵害されない」ようにするために作成されたわけでもなく、公言もしてい ないということではなく、広く知られている脆弱性を悪用されるシステムリスクを緩 和することが目的だ。Target社の流出事件で発覚したのは、PCI DSSが機能しないと いうということよりも、カード番号の不正な再利用という、システムの根本的な脆弱 性が表面化しただけのことだ。

────────────────

◆ SOC運用に向いている人材は?(2014.4.2)

豊富な経験のあるCSO(最高情報セキュリティ責任者)が、SOC(セキュリティオペ レーションセンター)の運用人員を採用・配属した経験から、SOCの効率的運用に必 要な人材について語っている。それによると、SOC運用業務に向いている人材は、多 岐にわたる分野の経験者が最も適しているという。例えば、ITヘルプデスク、データ センターのサーバ管理、およびセキュリティのスタック管理などだ。資格や認定書の みでSOC運用担当の採用をするのは、よい例とは言えない。最適な人材は、セキュリ ティツールの使い方がわかり、ツールが生成する情報の意味を正しく解釈できる必要 がある。また、優秀な人材は常にコミュニケーションスキルに長けており、さまざま な聞き手に対して説明できる能力を必要とする。

http://www.darkreading.com/operations/careers-and-people/the-right-stuff-staffing-your-corporate-soc/d/d-id/1127873
────────────────

◆ DHSのサイバー脅威情報共有制度(2014.4.2)

米国土安全保障省(DHS)のサイバーセキュリティ情報共有コラボレーション制度( Cybersecurity Information Sharing and Collaboration Program)では、民間企業 と政府機関がサイバー脅威に関する情報共有を可能にするものだ。この制度では、機 械可読形式で掲示板を作成することで、保護対策の適用を可能にすると共に、平文で も推奨項目を作成することができるという。

http://www.nextgov.com/cybersecurity/2014/04/dhs-delivers-hacker-footprints-industry-secret/81784/?oref=ng-channeltopstory

【編集者メモ】(Paller)
「いつもの仕事」のように聞こえるが、参加企業からの早期フィードバックによると 非常に有益な情報が共有される制度だという。データは共有されるが、それに対する 履行義務はない。ただし、送信されてくる情報は非常に貴重なもので、実際に共有さ れている。「政府からの情報を共有」というと矛盾しているように感じるかもしれな いが、もう一度、信頼に値するかを考えてもよいだろう。

────────────────

◆ FFIECが金融機関に対して、ATM不正引き出しとDDoS脅威について警告(2014.4.2-3)

米国連邦金融機関検査協議会(FFIEC)は、中小規模の金融機関に対する攻撃が増加 しているとして警告を発した。具体的な犯行手口は、ATM取引の地域制限や引き出し 制限額を行うコントロールパネルにアクセスして現金を不正に引き出すというもの で、FFIECは、各機関にシステムのセキュリティ対策を見直すように提案してい る。さらにFFIECは、DDoS攻撃と緩和策について、登録金融機関に対して2回目の通達 も行った。

http://www.computerworld.co.nz/article/542008/smaller_banks_warned_hackers_raising_atm_withdrawal_limits/
http://www.bankinfosecurity.com/ffiec-addresses-fraud-ddos-a-6705
ATM and Card Authorization Notice:
http://docs.ismgcorp.com/files/external/FFIEC_ATM_Cash_Out_Statement.pdf
DDoS Notice:
http://docs.ismgcorp.com/files/external/FFIEC_DDoS_Joint_Statement.pdf

【編集者メモ】(Pescatore)
FFIECが参考として言及しているDHSやNCUSA DDoSガイドラインは、緩和策として非常 に弱い。SANSが最近行ったアンケートでは、75%の回答者が専用のDDoS緩和製品を利 用しており、23%が境界に設置される機器との組み合わせ、あるいはISPまたはクラウ ドのDDoS緩和サービスを組み合わせているという回答を得た。このハイブリット方法 は、有効かつコスト効果も高いソリューションであると言える。
【編集者メモ】(Murray)
このメッセージは、検査側ではなく攻撃対象となる銀行に向けたものだ。検査側はす でに認識しており、緩和策の導入が求められているという事実を、銀行側は認識すべ きだろう。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中のセミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月、9月、11月、2015年1月、2月、3月 [各5日間]
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html

○10月6日(月)~8日(水)、2月16日(月)~18日(水) [各3日間]
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html?xmid=300&xlinkid=13

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます