NRI Secure SANS NewsBites 日本版

Vol.9 No.19 2014年5月14日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.19 2014年5月14日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
                   = SANS TOKYO 2014 =
             http://sans-japan.jp/training/event.html

 【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
 ◆SEC401:SANS Security Essentials Bootcamp Style
   最もポピュラーな情報セキュリティのゴールド・スタンダード
   週2日ずつ無理なく受講できる開催日程

 【11月開催】11月10日~15日[6日間]
 ◆SEC504:Hacker Techniques, Exploits and Incident Handling
   ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   ペンテスター、インシデントハンドラーへの登竜門
 ◆FOR508:Advanced Computer Forensic Analysis and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰が再び東京へ
 ◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
   新たな脅威に対抗するために、制御システムに安心と安全を
   日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃注目のセミナー              <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月19日(月)
 情報セキュリティ人材育成セミナー&CISSP/SANS体験セミナー
http://www.nri-secure.co.jp/seminar/2014/isc01.html
サイバー攻撃の進化に伴って、情報セキュリティ対策も多様化・高度化を 余儀なくされ、それに従事する人材不足が顕在化しています。この課題に どのように取り組むか、また、求められる人材とはどのようなスキルを 持った人物か、そのスキルを効率的に習得するかなどについて解説します。

  セミナーでは、グローバルに通用する資格として、(ISC)2やSANSの認定資格 をご紹介するとともに、SANSトレーニングのレモンストレーションやCISSP セミナーの一部を体験していただきます。

────────────────

■はじめに(Alan Paller:SANS Director of Research)
サイバー分野で有能な人材を探す組織や企業にとって朗報がある。米軍の中でも 退役して社会に戻ろうとしている人たちのうち、約2千名が6月に開催される国家 サイバーセキュリティキャリアフォーラムに登録した。このうち43%はセキュリティ 認定を受けており、24%がセキュリティクリアランスを通過している。このキャリア フォーラムには、JPモルガン、KPMG、プライスウォータハウスクーパーズ、CBS、 およびSolutionaryといった企業が参加する。今、組織で人材を探しているなら、 Max Shuftan (mshuftan@cyberaces.org) に問い合わせてほしい。締め切りは6月1日 で、参加者はSANSのスキル評価ツールを使って応募者のスキルを確認することが できる。より詳細な情報を必要とする場合は、こちらを参照いただきたい:
http://nationalcybersecuritycareerfair.com


────────────────────────────

■■SANS NewsBites Vol.16 No.036-037
  (原版: 2014年5月6日、9日)

────────────────────────────

◆ Target社、CEO辞任(2014.5.5)

Target社が「取締役会とグレッグ・スタインハフェル氏は、社に新しいリーダーを 迎える時期なった」という声明を発表した。スタインハフェル氏はTarget社に 35年間在籍し、2008年からはCEOとして従事してきた。役員の移行期間中、同氏は 顧問として留まることになっている。同社は、昨年、1億1千万件以上の顧客情報 流出が発覚した結果、今年3月には利益が46%減少している。同社への訴訟は12件程 あり、いずれの訴訟も集団訴訟扱いとするように要請されている。

http://www.cnet.com/news/target-ceo-gregg-steinhafel-resigns-after-data-breach-fallout/
http://www.bbc.com/news/business-27283872
http://www.forbes.com/sites/clareoconnor/2014/05/05/target-ceo-gregg-steinhafel-resigns-in-wake-of-data-breach-fallout/
http:/ / www.cnet.com/news/target-ceo-gregg-steinhafel-resigns-after-data-breach-fallout/
http:/ / www.bbc.com/news/business-27283872
http://www.forbes.com/sites/clareoconnor/2014/05/05/target-ceo-gregg-steinhafel-resigns-in-wake-of-data-breach-fallout/

【編集者メモ】(Murray)
公開されている調査報告書によると、Target社のネットワークが最初に侵入された のは、資格情報の不正利用だった。同社が掲げる対策事項に、認証強化が含まれて いないのは、残念でならない。
【編集者メモ】(Northcutt)
CEOの退任で株価に影響が出るのか私にはわからないが、35年にわたる勤務は多大な 苦労があったものであろう。今回の事件は、ビジネスとセキュリティが実際に関連 することを証明する事例となった。これまで多数の企業がデータ侵害されても、 株価や利益への影響は微々たるものだったが、Target社の株価は1年で15%減少し、 経常利益は40%以上も下落している。注目すべきはMasterCardのICチップカード 導入だが、顧客の利用方法が変わるため移行は簡単ではないだろう。ICチップ型 カードを使った決済サービスは開始されるだろうが、「前を歩く者は背中に矢を 射られる」という昔からの格言があるとおり、Target社のRedcardへの移行プロセス は慎重にコントロールする必要があるだろう。移行プロセスにおいて有利な点は、 Target社の顧客層が他の主要小売店と比較すると年齢層が最も低いことであり、 移行プロセスにも柔軟に対応できる可能性があるということだろう。

────────────────

◆ XPとIE8ベースの重要インフラが攻撃される(2014.5.2)

Internet Explorer(IE)の重大な脆弱性を悪用する攻撃が確認されたことで、 先週末、Microsoft社は緊急パッチをリリースした。本脆弱性は、IEの全バージョン に影響する。今回「Operation Clandestine Fox」と名付けられた攻撃により 狙われたのは、Windows XPとIE8が動作する欧米諸国の重要インフラをサポート しているコンピュータだった。これらの攻撃を検出したセキュリティ企業は、 今回の攻撃は特定の国家がバックに関与していると推測している。

http://money.cnn.com/2014/05/02/technology/security/internet-explorer-hack/index.html
http://www.v3.co.uk/v3-uk/news/2342998/hackers-target-windows-xp-users-with-internet-explorer-attacks
http://www.theregister.co.uk/2014/05/02/cyberspies_throw_ie_0day_against_win_xp/

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(水)、10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=08

○6月26日(木)~27日(金)、10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=09

○6月、9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=10

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=11
────────────────

◆ Gartner社:「インターネットにつなぐモノ」がセキュリティの連係を推進(2014.5.2)

Gartner社は、2020年までに、インターネットに接続されるデバイス数が260億を 超えると見込んでいる。大半のデバイスは、環境管理や設備監視、資産管理などに 使用されるもので、セキュリティ面で大きな懸念事項はないのが大半と考えられて いる。Gartner社の調査報告によると、膨大な量のデバイスがインターネットに 接続されることで、ITセキュリティ、物理セキュリティ、産業制御セキュリティに おける取組が相互作用を引き起こすことになるだろうと予測している。

http://www.computerworld.com/s/article/9248069/The_Internet_of_Things_likely_to_drive_an_upheaval_for_security?taxonomyId=17

【編集者メモ】(Murray)
今までの経験から、あまり楽観的にはなれない。つまり大量のソフトウェアが、 経験の浅い開発者により作成されることになるが、機能面を重視するがゆえに、 攻撃可能な側面を無意識に残すことになるのではないだろうか。

────────────────

◆ 今こそ「インターネットにつながるモノ」のセキュリティを考える(2014.5.4)

インターネットに接続可能な機器が最近増加しているが、攻撃による危険度も 被害も大きくなると考えられている。被害をできる限り小さくするためには、 大きな事件が起きてから事後対策としてセキュリティを追加するのではなく、 機器の開発時点からセキュリティが考慮されるべきだ。インターネットに接続 される機器の例として、自動車、テレビ、家電製品、交通制御システムなどがある。

【編集者メモ】(Murray)
個人的に心配しているのは、開発者が機器のセキュリティ機能を実装しないこと よりも、他を攻撃する際に利用される可能性があるさまざまな付加機能を盛り込む ことだ。Windowsに小さなアプリが多数追加されているのをイメージするとわかり やすいだろう。善良な人々はインターネットに弱いシステムを攻撃したりしないし、 アプリケーションで必要のないポートは全て閉じるというポリシーを適用するのは 難しいことではない。もっとも、さまざまな警告メッセージや警告音が出るという ことと、「セキュリティに無頓着なユーザ」の存在は、オタク文化では受け入れ られないものなのだが。
【編集者メモ】(Northcutt)
この手の製品比較は、多機能(または人気機能)であることが良しとされることが 多い。だからセキュリティが問題になるのだし、歴史は繰り返されるのだ。

────────────────

◆ Microsoft社、セキュリティ更新プログラムにXP対応は含めず(2014.5.8)

Microsoft社から、来週リリースされる定期アップデートの事前情報が公開された。 更新プログラムの内容は、セキュリティ情報が8件となっており、対象製品は Windows、Internet Explorer(IE)、.NET Frameworkのほか、Microsoft Server ソフトウェア、およびビジネスソフトとなっている。セキュリティ情報8件の内 「緊急」は2件、Windows 8.1の不具合への対応は4件で、自動的に更新プログラムを 適用するには、Windows 8.1アップデートを先に適用する必要がある。また、今回 リリースされるセキュリティ情報には、先月にサポートが終了しているWindows XP とOffice 2003は対象に含まれていない。

────────────────

◆ Microsoft XP対応への非難(2014.5.7)

先週Microsoft社は、攻撃が確認されているIEの脆弱性に対応するために、緊急対応 のパッチをリリースしたが、その中にXP対応が含まれていたため、同社の対応に 注目が集まった。OSのサポート終了後に修正パッチが提供されたことで、新しい OSへの移行が遅れることを懸念する意見もでている。他方、今回の脆弱性は深刻 度が非常に高いだけではなく、XPのサポートも終了したばかりであることから、 適切な判断であったとする意見もある。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「ハッキングされてしまったら」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PC、携帯端末、オンラインアカウント、メールアドレス、クレジットカードの
いずれかを持っていれば、誰もがサイバー犯罪者に狙われます。
今月号では、コンピュータがハッキングされているか判断する確認項目や、
ハッキングされた場合の対応方法を一般ユーザ向けに、分かりやすく解説しま
す。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/ouch
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月20日(火)、6月24日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○5月23日(金)、6月11日(水)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07
────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます