NRI Secure SANS NewsBites 日本版

Vol.9 No.17 2014年4月30日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.17 2014年4月30日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────

■■SANS NewsBites Vol.16 No.032-033
(原版: 2014年4月22日、25日)

────────────────────────────

◆ 米会計検査院の推奨項目が実装されない理由(2014.4.17)

米会計検査院(GAO) 情報セキュリティ担当ディレクターであるグレゴリー・ウィル シュセン(Gregory Wilshusen)氏は、連邦政府のITシステムはダイナミズムにあふ れているだけではなく複雑であることなどを理由に、リスクが常に存在するためにセ キュリティ確保が難しくなっており、政府機関がGAOの推奨項目を無視している理由 も理解できると述べた。しかし、監査官の推奨に従っていない機関は、一貫性のない 不明瞭なルールや予算不足に直面していると、Purdue大学の情報保証教育研究セン ター(CERIAS)のエグゼクティブ・ディレクターであるユージン・スパフォード( Eugene Spafford)氏は述べている。

http://www.govinfosecurity.com/blogs/auditors-infosec-advice-ignored-p-1652

【編集者メモ】(Pescatore)
GAOの監察官に、税金を投入するタイプの報告書は、根本的な問題に絞って報告する べきだという考えを期待するのは無理なのだろうか。GAOの一般的なレポートと同 様、ここで指摘されているのは、「IRS(国税局)における情報セキュリティ管理の 弱点と不備」が中心だ。しかし指摘されている問題の大半は、パッチが適用されてい ない、変更箇所の管理がされていない、あるいはアプリケーションの設定ミスと いったIT運用プロセスの弱点や不備だが、セキュリティ担当部門は、アプリケー ションへのパッチ適用、構成変更、および設定など実施していないのだ。つまりレ ポートではセキュリティ管理の不備が指摘されているが、根本的原因を指摘しておら ず、IT運用プロセスそのものの問題だと思われる。GAOのセキュリティレポートで は、他にも似たような傾向があるので注意が必要だ。例えば、CIOは情報セキュリ ティ面も総括して監視監督することと指摘を行っているが、CIOに対する具体的な推 奨事項には触れられていない。
【編集者メモ】(Murray)
私は「監査官が主導するセキュリティ」に良いイメージをもっていない。監査官は、 自分達が優れていると思い込んでいるだけである。彼らの報告書は、多くの場合不完 全でしかも「一本調子」なのだから。

────────────────

◆ 報告書、Webプログラミング言語別のセキュリティ問題を指摘(2014.4.18)

WhiteHat Security社の報告書によると、ASPの脆弱性は、他のプログラミング言語の 脆弱性と比較してより修正までに長い時間がかかっているという。発見された脆弱性 の件数については、プログラミング言語との比較で大きな差はないが、脆弱性が修正 されるまでの平均日数は、ASPでは139日、PHPでは129.5日、Javaは90.9日と報告され ている。また、同社がリリースしている2014年度Webサイトセキュリティ統計報告書 では、調査対象のプログラミング言語別に、発見された脆弱性の種類も併せて報告し ている。

http://www.scmagazine.com/research-shows-vulnerabilities-go-unfixed-longer-in-asp/article/343357/
https://www.whitehatsec.com/news/14pressarchives/PR_041514_statsreport.html

【編集者メモ】(Pescatore)
SQLインジェクションの脆弱性が最も多いのは、毎度のことながらAdobe社のソフト ウェアであると、同報告書も指摘している。SQLインジェクションの脆弱性の中でも Cold Fusionによる割合が最も高いだけでなく、PerlやPHPと比較して脆弱性が長期間 修正されないままとなっている。

────────────────

◆ ベライゾン社データ漏えい/侵害調査報告書、政府のインシデント報告義務により非対称な結果に(2014.4.22-23)

ベライゾン社が毎年発行しているデータ漏えい/侵害調査報告書によると、公共部門 で報告されたサイバーインシデントの5割以上は職員によるものであるという結果と なった。職員によるインシデントのうち、約3分の1はメールを誤送信するなどの単純 なミスによるものとなっている。約4分の1は、不正なデータ利用(未許可の利用また は意図的な利用)となった。それに対し、エスピオナージ活動やWebサイトの脆弱性 を悪用されるインシデントは、全体の1%以下となった。このように偏りが出た背景と して、公共部門で課されているインシデント報告義務によるものが考えられる。報告 書の共同作成者であるジェイ・ジェイコブ氏は、「Webベースの攻撃やエスピオ ナージ活動の報告件数は多数ある」が、義務化された報告制度の中では埋もれてし まっている。民間企業の調査結果は全く異なるもので、製造業ではインシデントの 30%がエスピオナージ活動。情報産業においては、41%がWebサイトの脆弱性を悪用さ れたものだった。公共部門では最も件数の多い「細かいミス」は、情報産業では1%以 下となっている。

http://www.nextgov.com/cybersecurity/2014/04/government-employees-cause-nearly-60-public-sector-cyber-incidents/82933/

【編集者メモ】(Murray)
報告されているデータ漏えい/侵害事件の大半は、SANSが挙げている悪用されやすい 脆弱性トップ20と相変わらず同じというのは残念な限りだ。さらに、セキュリティの 専門家は、政府から「本当の」脅威データが欠けていると不満を言い続けながら、本 報告書が参考にならないとコメントしているのも、非常に残念な限りだ。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「あなたも狙われています」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PC、携帯端末、オンラインアカウント、メールアドレス、クレジットカードの
いずれかを持っていれば、誰もがサイバー犯罪者に狙われます。
今月号では、なぜ狙われるのか、どのように攻撃されるのか、被害に遭わない
ようにするにはどうすべきかを、一般ユーザ向けに、分かりやすく解説します。
社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 主要テクノロジー企業、OpenSSLなどオープンソースプロジェクトへの資金援助に同意(2014.4.24)

主要テクノロジー企業は、Linux財団(リナックスファウンデーション)に設置され ているコア・インフラストラクチャー対策(Core Infrastructure Initiative)部会 を介してオープンソースプロジェクトに資金援助を行うことを明らかにした。ハート ブリードのバグ問題でOpenSSLプロジェクトが大きな注目を集めている中、OpenSSLの コードは広く利用されているにも関わらず、プロジェクトの運営は2,000米ドルの寄 付金とフルタイムの従業員1名で行われている。資金援助を明らかにしたテクノロ ジー企業13社には、Facebook社、Microsoft社、Google社などが含まれている。各社 とも財団に対して今後3年間にわたり毎年100,000米ドルを拠出することを明らかにし た。

http://www.nbcnews.com/tech/security/after-heartbleed-tech-giants-team-avoid-redux-n88646
http://arstechnica.com/information-technology/2014/04/tech-giants-chastened-by-heartbleed-finally-agree-to-fund-openssl/
http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel

【編集者メモ】(Pescatore)
これは非常に必要な対応とされていたものだが、落とし穴もたくさんある。SSLでは 証明書や秘密鍵は非常に重要な部分であるが、CA/Browserフォーラムの設立当時に参 加していたGoogleやMicrosoftも効果的な役割を担うこともなく、今では「やっては いけないこと」の良い事例になっている。今回参加している企業は、Trusted Computing Platform Alliance(トラステッド・コンピューティング・プラット フォーム・アライアンス)の会員企業でもあったが、このアライアンスはTrusted Computing Groupとして再編成されるまで口ばかりでくだらない争いが何年も続い た。今回の試みでは、マーケティング担当ではなく技術担当が解決に協力し、部外者 から妨害されることなく、本来の目的に集中できるとなれば、よい結果が出るだろ う。これと同様の試みで、「Open Source Core Infrastructure App Store」が誕生 することを期待したい。
【編集者メモ】(Shpantzer)
今回AppleやOracleは参加していないが、両社とも、資金面、技術面でオープン ソースへの支援をすでに実施している。

────────────────

◆ イングランド銀行が各金融機関に対してペネトレーションテスト実施を計画(2014.4.23-24)

イングランド銀行は、英国内の金融機関に対して大規模なペネトレーションテストを 計画している。今回テスト対象となるのは、主要20行となる。2013年11月に、イング ランド銀行はWaking Shark II(サメを起こせ)と呼ばれるサイバー演習を行った が、この演習の結果を受けてペネトレーションテストの実施が決定されたという経緯 がある。ある専門家は、各銀行に対して侵入者防護対策の強度テストを実施すること は有益であるが、内部 による脅威の対策としてデータへのアクセスコントロールを 実施することも重要だと指摘している。

http://www.theregister.co.uk/2014/04/24/ethical_hackers_drafted_to_probe_banks/
http://www.scmagazine.com/report-bank-of-england-to-helm-pen-testing-effort-for-uks-finance-sector/article/343946/

【編集者メモ】(Shpantzer)
この6か月間に私が気付いただけでも、顧客や監査人の要望により、パートナ企業の デューデリジェンスやセキュリティ保証を実施する業務案件が多数ある。

────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月20日(火)、6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○5月23日(金)、6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=08

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=09

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=10

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=11
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます