NRI Secure SANS NewsBites 日本版

Vol.9 No.15 2014年4月18日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.15 2014年4月18日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────
■■SANS NewsBites Vol.16 No.028-029
(原版: 2014年4月8日、11日)
────────────────────────────

◆ GAO報告書、政府機関のインシデントレスポンスは一貫性に欠け、効果がないと指摘(2014.4.3 &2014.4.7)

今回の米国会計検査院(GAO)の報告書によると、政府機関は、サイバーインシデン トをほとんどの場合効果的にレスポンス活動が行なわれていないという。GAOの情報 セキュリティ問題担当ディレクターのグレゴリー・ウィルシューセン(Gregory C. Wilshusen)氏が、上院の国土安全保障・政府問題委員会の開催前に証言した。同氏 によると、政府の主要機関24箇所に対して行った調査では、サイバーインシデント発 生時の約65パーセントで十分なインシデントレスポンス活動が実施されていなかっ た、さらに6箇所への集中調査を行なったところ、インシデント対応計画やポリ シー、および手順は確立しているものの、その内容が包括的ではなかったり、連邦政 府の要件に準拠していないことなどが明らかになったという。

http://www.zdnet.com/government-breaches-at-all-time-high-press-blunder-under-reports-by-millions-7000028113/
http://www.govinfosecurity.com/gao-federal-incident-response-erratic-a-6707

【編集者メモ】(Assante):
これは、政府機関だけの問題ではない。多くの組織が常軌を逸したインシデントレス ポンス活動を行なっている。まずセキュリティツールを適切に導入し、それを組織に 最適化することをしていないし、そのための準備や訓練も不足している。多くの組織 では、プロセスを決めても実際に自信を持って遂行できるレベルまで演習をしないの だ。すでに侵害されていたらどうするか?毎回改善が行なわれているのか?インシデ ントから復旧して対策を実施し、事故からの教訓を得ようとすべきではないか?侵入 を検出する能力は充分なのか?自分自身に問うてみるといいだろう

────────────────

◆ DHS、セキュリティ・オペレーション・センター改革へ(2014.4.4)

米国土安全保障省(DHS)は、セキュリティオペレーションセンター(SOC)の立て直 しを進めている。DHS最高情報セキュリティ責任者(CISO)のジェフ・アイセンスミ ス(Jeff Eisensmith)氏は、侵入防御の連鎖(別名キルチェーン)メカニズムを利 用したセキュリティオペレーションセンター(SOC)運用を提案している。この方法 は、侵入者の次のアクションを予測し、そのアクションをステップに細分化して、ス テップ毎の対策を立案・実施するというもの。

http://www.nextgov.com/cio-briefing/2014/04/dhs-prepares-overhaul-internal-security-operations/81937/?oref=ng-channelriver

【編集者メモ】(Paller):
ちなみにUS-CERTもDHSの管轄だが、アイセンスミス氏によるインシデントの監視と対 処に関するの革新が、US-CERTの運用センターにも広がれば、それは米国にとって非 常に価値があることだろう。他の政府機関はUS-CERTが攻撃を分類しているだけでな く攻撃を調査していると勘違いしているが、基本的にだれも細かい調査はしていな い。攻撃の詳細を調査しなければキルチェーン分析も失敗するのだが、高度なネット ワーク分析とマルウェア分析ができる人材がUS-CERTに不足していることが、結果と して傍観者の目を欺くことに成功している。

────────────────

◆ HHS OIG報告書、メディケイドの州事業所でセキュリティ上の深刻な問題が明らかに(2014.4.7)

米保険福祉省(HHS)監査室(OIG)は報告書の中で、州に設置された公的医療制度メ ディケイド(Medicaid)の事業所におけるセキュリティ問題についてリスクの高いも のを項目化した。指摘された問題は、2010年から2012年にかけて行なわれた監査にお いて検出されたもの。79の指摘事項について組織全体のコントロール、アクセスコン トロール、ネットワークオペレーションコントロールといった情報システムにおける 一般カテゴリといった15項目に分けて指摘している。

http://www.scmagazine.com/hhs-reveals-high-risk-security-issues-at-medicaid-agencies/article/341678/
HHS OIG報告書原文:
http://oig.hhs.gov/oas/reports/region7/71400433.pdf

────────────────

◆ EUデータ保護指令に無効判決(2014.4.8)

本日の欧州ニュース速報は、欧州裁判所が2006年のEU(欧州連合)のデータ保護指令 を「無効」とする判決を下したと伝えた。欧州裁判所は、EUデータ保護指令は基本的 権利の二原則であるプライバシー保護と個人情報保護を侵害していると指摘した。

http://www.bbc.com/news/world-europe-26935096
http://www.irishtimes.com/business/sectors/technology/european-court-declares-data-retention-directive-invalid-1.1754150

────────────────

◆ Heartbleedの脆弱性に対応するパッチが公開される(2014.4.10)

OpenSSLは、インターネット上で広く利用されているTLS(Transport Layer Security)プロトコルのうち「Heartbeat」拡張において発見された深刻な問題に対 応するパッチを公開した。この問題により、SSLに関連するパスワード、暗号鍵、お よびソースコードなどの安全性が脅かされている。

http://www.darkreading.com/vulnerabilities---threats/emergency-ssl-tls-patching-under-way/d/d-id/1204282?
From Internet Storm Center: List of vendor statements/patches for OpenSSL: https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

【編集者メモ】(Murray)
この問題は、各企業がベンダに問い合わせて利用している製品が、本脆弱性の影響を 受けるかどうか確認する必要がある。以下のリンクも参考にしてほしい。 http://www.mnemonic.no/en/Andre-sprak/English/Blog/Status-on-products-versus-OpenSSL-vulnerabilityCVE-2014-0160/

────────────────

◆ Heartbleedの脆弱性に対する政府の措置(2014.4.10)

米国とカナダ政府は、Heartbleed OpenSSLの脆弱性による被害から守るために、それ ぞれ緊急対処を取った。カナダの歳入庁は、オンラインサービスを一時停止した。そ のためカナダ国民は税金申告をオンラインからできない状態になっている。米国の国 税庁は、Heartbleedの影響を受けないためオンラインによる申告の受付は継続してい る。米国FDICは、金融機関に対してシステムを保護するようにプレスリリースを出し た。詐欺問題に詳しいガートナーのアナリストAvivah Litanは、脆弱性による影響に ついて「多くの信頼されたマシン間通信に影響するだけではなく、ルータやスイッ チ、OS、および他のアプリケーション」などWebサイトの問題にとどまらないと指摘 している。

http://www.govinfosecurity.com/heartbleed-gov-agencies-respond-a-6737/op-1
http://www.computerworld.com/s/article/9247563/Canada_halts_online_tax_returns_in_wake_of_Heartbleed?taxonomyId=17
────────────────

◆ Webサイト以外にも広がるHeartbleedの影響(2014.4.10)

Heartbleedの脆弱性はOpenSSLのクライアント環境にも影響を与えている。

http://www.theregister.co.uk/2014/04/10/many_clientside_vulns_in_heartbleed_says_sans/
(2014.4.10) ルータにも影響があるようだ。
http://www.bloomberg.com/news/2014-04-10/heartbleed-found-in-cisco-juniper-networking-products.html

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃参加申込受付中のセミナー           <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月、9月、11月、2015年1月、2月、3月 [各5日間]
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html

○10月6日(月)~8日(水)、2月16日(月)~18日(水) [各3日間]
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます