NRI Secure SANS NewsBites 日本版

Vol.9 No.18 2014年5月7日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.18 2014年5月7日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃注目のセミナー                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月19日(月)
 情報セキュリティ人材育成セミナー&CISSP/SANS体験セミナー
http://www.nri-secure.co.jp/seminar/2014/isc01.html
 サイバー攻撃の進化に伴って、情報セキュリティ対策も多様化・高度化を余儀なく
され、それに従事する人材不足が顕在化しています。この課題にどのように取り組む
か、また、求められる人材とはどのようなスキルを持った人物か、そのスキルを効率
的に習得するかなどについて解説します。
 セミナーでは、グローバルに通用する資格として、(ISC)2やSANSの認定資格をご
紹介するとともに、SANSトレーニングのレモンストレーションやCISSPセミナーの一
部を体験していただきます。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────

■■SANS NewsBites Vol.16 No.034-035
(原版: 2014年月4日29、5月2日)

────────────────────────────

◆ FBIが、医療業界にサイバーリスクを警告(2014.4.23-24)

FBIは医療業界に向けて、利用している機器やシステムに対するサイバー攻撃が今後 増加するという通知を2通発行した。EHR(電子医療記録:日本名-健康情報活用基盤 )への移行が進む中、ブラックマーケットにおける医療データの価値や、利用され ている機器のセキュリティレベルを考慮すると、サイバー攻撃のターゲットにされ やすく、今後も件数が増加すると予測されている。サイバーセキュリティに関して 言えば、医療業界は他業界よりも遅れている。

http://www.darkreading.com/attacks-breaches/fbi-warning-highlights-healthcares-security-infancy/d/d-id/1234889?
http://www.scmagazine.com/feds-warn-health-care-sector-of-looming-cyber-attacks/article/344026/
http://www.govinfosecurity.com/fbi-issues-healthcare-cyber-alerts-a-6779

【編集者メモ】(Assante)
さて、警告を発したのは良いが、適任者に伝わったのだろうか。攻撃の結果により、 その害を被る人は誰なのか。警告に従わない場合、その責任をとるのは誰なのか。次 に病院に行ったときに、自分のセキュリティツールを持ち込んだら、節税なり保険費 用の割引など受けることはできないのだろうか?

────────────────

◆ 医療機器のセキュリティ対策不足(2014.4.25)

米国中西部に展開するの医療施設で、使用されている医療機器のセキュリティにつ いて調査を行ったところ、点滴用ポンプはリモートから投与量を変更できることが わかった。また、Bluetoothが有効になっている除細動器では、ショックレベルを調 整できる状態にあることがわかった。十分な保護がされていない医療データ保存シ ステムは、改ざんされて盗まれる可能性がある。多くの機器が認証要件を満たして おらず、ハードコード化されたパスワードや弱いパスワードが利用されていた。特 に埋め込みのWebサービスでは、機器間の通信が可能で医療電子データの配信も可能 になっていた。

http://www.wired.com/2014/04/hospital-equipment-vulnerable/

【編集者メモ】(Assante)
10年前にICSシステム分野で注目されていた状況と似ている。しかし当時よりも悪 い。これらの機器が設置されているのは出入りが自由なビル内であり、ワイヤレス ネットワークに依存しているのだ。このような機器への攻撃可能箇所は増えてお り、組織だった保護をより困難にしているようだ。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 特集号「ハートブリード(Heartbleed)とは」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4月初頭、OpenSSLに深刻な脆弱性(ハードブリード)が発見されました。SSLは、イ
ンターネット上で使用される重要なセキュリティプロトコルの一つで、インター
ネット経由の通信を暗号化するだけでなく、オンラインショッピングやオンライン
バンキングで接続されるサイトが正規サイトであるかどうかを確認する手段を提供
しています。今回の特集号では、この脆弱性に関する解説と、被害にあわないため
のヒントを一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールと
してお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ DHSが抱えるサイバーセキュリティ人材採用の障害は、その採用プロセス(2014.4.26)

米国土安全保障省(DHS)は、サイバーセキュリティ人材の確保に苦労している。同 省の採用制度では、応募者は採用までに数か月間待つ必要があるほか、民間企業の ような給与待遇でもないため、DHSの方針や手順が採用を困難にしている。DHSが 行っている業務の多くは機密ではないが、機密情報を取り扱う施設で業務が行なわ れているため、区分も機密に分類されている。このような業務が機密区分から除外 されれば、採用プロセスはかなり短縮できる。現在DHSはフォレンジック調査や侵入 検出ができるエンジニアなど、優先的に処理が必要な仕事は外部の下請会社から採 用している。

http://www.reuters.com/article/2014/04/26/usa-cybersecurity-dhs-idUSL2N0NH18920140426

【編集者メモ】(Northcutt)
ロイターの記事が正しければ、残念ながらDHSではなくDHI(国土危険保障省)だ。

────────────────

◆ 個人情報窃盗事件の40%以上は医療関係データという調査結果(2014.4.30)

個人情報窃盗事件に関する調査機関(Identity Theft Resource Center)が行った アンケート調査によると、2013年に米国内で報告された身元情報窃盗事件の43%は医 療関係データであることがわかった。治療や処方薬を受け取るために利用された身 元情報が盗まれていたほか、医療詐欺事件でも患者の医療記録に不正な情報が登録 されていたという。

http://www.studentdoctor.net/2014/04/the-rise-of-medical-identity-theft-in-healthcare/

【編集者メモ】(Pescatore)
医療情報から個人を識別できる情報を盗み出された場合、被害額が大きくなる。なぜ なら、クレジットカードの警告メッセージをチェックしたり、クレジットカード番号 を変更するだけで終わらないからだ。
【編集者メモ】(Murray)
医療システムが電子化されるだけで、古臭くて壊れた医療システムに何か秩序が生ま れるだろうか。電子化への移行速度を考えると、根本的なところが欠落してしまう可 能性もある。我が国の医療システムは修復不可能なレベルまできているのかもしれな い。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ハッキングされてしまったら」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PC、携帯端末、オンラインアカウント、メールアドレス、クレジットカードのいず
れかを持っていれば、誰もがサイバー犯罪者に狙われます。今月号では、コン
ピュータがハッキングされているか判断する確認項目や、ハッキングされた場合の
対応方法を一般ユーザ向けに、分かりやすく解説します。社員の意識向上ツールと
してお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Target社が、2015年までにIC型カードに対応(2014.4.29-30)

Target社は、マスターカード社と共同で同社のREDcardsにICチップとPIN番号を採用 する。Target社が目指すのは支払い処理の安全性向上であり、同社の利用客4000万 人からカード情報が盗難された背景には、磁気ストライプによるカード情報の取得 が非常に容易であったことから、米国外では広く利用されているICカードを採用す ることになった。ICカードは、複製も難しく、さらにPIN番号も必要となる。加盟店 によっては、PINを入力する時間が新技術の採用により追加されること、さらに端末 をアップグレードしカードを再発行する費用などがかかるため前向きでない。 Target社は約1億ドルをかけてアップグレード作業を実施する。ビザとマスター カードは、米国加盟店に対して、2015年10月までにIC型カードに対応するように指 導している。

http://money.cnn.com/2014/04/30/technology/security/target-credit-card/index.html
http://www.computerworld.com/s/article/9248015/Target_looks_to_reassure_consumers_with_move_to_chip_and_pin
http://www.theregister.co.uk/2014/04/29/target_finally_implements_chip_and_pin_card_protections/

【編集者メモ】(Pescatore)
ICカードへの移行はよいことだ。この問題を率先している議員も満足するし、PR活 動としてもよい結果となるだろう。それ以上にTarget社が推進していることは、今 後この規模の流出事件を防止するには非常に重要だと思う。
【編集者メモ】(Murray)
PINの目的は、カードが盗難されたり紛失した場合の不正利用を防ぐことだ。EMV基 準では不正利用による被害金額とバランスがとれるように少額ではPINを必要としな い決済も可能だ。このバランスはカード発行業者と加盟店の間でアプリケーション 毎に調整する必要がある。例えば、EMVカードを利用していてバリューセットを購入 する際にはPINも署名も必要ない。磁気ストライプカードの根本的な問題は情報が何 度も不正利用ができることだ。この問題は、磁気ストライプにICチップを追加して も変わらない。防止策として有効になるのは、POS端末がICカードを読み取る機能が あり、ICカードの利用が必須になる場合のみだ。このような対策はFirst Data Corporationなどの加盟店管理会社により対応されるものだ。

────────────────

◆ トニー・セガール氏:全てが重要なら、何も完了しない(2014.5.1)

ボストンで開催されたSANS Leadership Summitで、SANS Innovation Centerの ディレクターであるトニー・セガールが基調講演を行った。セガール氏は、NSAの情 報保証局で30年以上の経験を持つ。同氏は、サイバーセキュリティに関していえ ば、何をすべきかを知るだけでなく、何をしないべきかを知ることも重要であると 述べた。1970年代、80年代は、冷戦という明確な敵国が存在したことから、サイ バーセキュリティに関心を持っていたのは政府だけであった。現在は、誰もがサイ バーセキュリティに関心を持ち、見えない敵と戦っている。しかも、ツールや情報 が豊富にありすぎることで、視界はますます狭くなり、どのツールや情報を利用す べきか、どのように利用すべきかを知ることが困難になっている。最良の方法は SANSのTop 20 Critical Security Controlsを参照することで、セキュリティ対策決 定における判断材料を明確にすることが期待できる。

http://www.csoonline.com/article/2150300/security-leadership/in-a-world-of-complexity-focus-on-the-basics.html
http://searchsecurity.techtarget.com/news/2240219965/Good-information-security-leadership-demands-focus-on-shared-knowledge

────────────────

◆ FBI、捜査目的であれば脆弱性情報の公開義務なし(2014.4.29-30)

米オバマ政権は、FBIや政府当局が捜査目的であれば、ソフトウェアの脆弱性情報を 非公開のままにすることを認めた。政府機関が脆弱性情報を公開しない状態が問題 視されるようになったのは、国家安全保障局(NSA)が、ハートブリードの問題を認 識しながら悪用していたことを示唆する情報が公開されたためであるが、NSAは、 ハートブリードの情報を事前に取得していたことを否定している。もしNSAが不具合 を非公開のままにしていたのなら、敵国の攻撃に利用していたと考えることもでき る。これとは対照的にFBIが脆弱性情報を公開しない理由は、攻撃者の監視を継続さ せるためで、情報が公開されてしまうと、攻撃者は監視されている事実に気付いて しまう。結果として、監視の継続が困難になると言う点が、NSAの件とは大きく異な る。

http://www.nextgov.com/cybersecurity/2014/04/feds-would-have-hard-time-keeping-zero-days-under-wraps/83479/?oref=ng-channeltopstory
http://www.scmagazine.com/multiple-factors-influence-govt-decision-to-disclose-vulnerabilities/article/344857/
http://www.theregister.co.uk/2014/04/30/white_house_to_world_we_dont_hoard_vulnerabilities/
http://www.bloomberg.com/news/2014-04-30/fbi-keeps-internet-flaws-secret-to-defend-against-hackers.html
http://www.govinfosecurity.com/white-house-policy-on-disclosing-cyberflaws-a-6798

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月20日(火)、6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○5月23日(金)、6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=08

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=09

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=10

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=11
────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます