NRI Secure SANS NewsBites 日本版

Vol.9 No.32 2014年8月12日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.32 2014年8月12日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────

■■SANS NewsBites Vol.16 No.062-063
(原版: 2014年8月5日、8日)

────────────────────────────

◆ Microsoftが脆弱性緩和ツールEMET 5.0をリリース(2014.8.4)

Microsoftは、EMET(Enhanced Mitigation Experience Toolkit)の新バージョン をリリースした。新バージョンの機能の中で、特に言及されているのは、ASR (Attack Surface Reduction)とEAF+(エクスポートアドレステーブルフィルタ リング機能)の強化となっている。

http://www.v3.co.uk/v3-uk/news/2358646/microsoft-releases-hacker-busting-enhanced-mitigation-experience-toolkit-50
http://www.theregister.co.uk/2014/08/04/microsoft_hacks_out_new_emet_spits_out_adobe_flash/
【編集者メモ】(Honan)
ブラウザを狙った犯罪が増加していることから、私はWindows PCを利用している クライアント企業に対してEMETをすぐに適用するように推奨している。

【編集者メモ】(Murray)
EMETは、導入されていれば非常に効果的だ。Microsoft社もWindowsに対する攻撃の 90%をEMETによって守ることができると述べている。しかし、最新ではない環境 への対応はMicrosoft社の互換ポリシーと同様に対応は弱く、EMETがデフォルトで 無効に設定されている。その理由は、既存アプリケーションが動作不良になる 可能性があるからだが、同じような理由でEMETを採用していない企業も多い。
そもそもEMETを知らない企業もあるため、Windowsは脆弱な状態が続き、EMETは これらの攻撃に対して有効でありながらも使われることはない状況が続いている。
私はMicrosoftに対して何度もデフォルトで有効にするように依頼しているのだが。

────────────────

◆ インシデントを公開しないという考え方(2014.8.4)

情報セキュリティ担当役員の中には、インシデントの発見後すぐに公表する必要が ないという意見を持っている人もいる。インシデントを非公開とするグループは、 インシデントの大半は大きな危険を生むものではなく、穏便に対応できるという 事実と、インシデントを報告することで必要以上の手間がかかるという点を指摘 している。さらに、インシデントをすぐに公開することで、スパイ活動を発見した ことを工作員に知らせるようなものだと批判する声もある。ただし、このような 意見を唱える人物たちでさえも、各組織はデータ漏えい対策を確保する必要がある としている。

(以下の記事を閲覧するにはWSJとの購読契約が必要です)
http://online.wsj.com/articles/a-contrarian-view-on-data-breaches-1407194237
【編集者メモ】(Murray)
公開を義務づける法律の前提条件は、消費者に知る権利があるというものであり、 漏えいの対策方法を知るだけでなく、ベンダー選択における指標となるからだ。 その事実だけは変わらないと思う。

────────────────

◆ サイバーセキュリティ専門団体へ呼びかけ(2014.7.28-8.1)

ロードアイランド州のサルヴェレジーナ大学のPell Centerは、「ITの戦略的な 利用に必要な知識、スキル、能力を持ちながら、情報インフラを守り、復旧力を 向上させることができる人材が不足している。」と述べた上で、「国内でサイバー セキュリティ分野の専門家団体を設立する目的は、サイバーセキュリティを専門 分野として確立し、その分野に従事している個人を支援し、スタンダードの確立、 教育体系の作成、トレーニングの実施を通じて社会に貢献することである。」 としている。

原文:
http://pellcenter.salvereginablogs.com/files/2014/07/Professionalization-of-Cybersecurity-7-28-14.pdf

http://pellcenter.salvereginablogs.com/cybersecurity-report-recommends-path-to-professional-standards-in-cybersecurity-industry/
http://www.fiercecio.com/story/pell-study-calls-creation-national-professional-cybersecurity-association/2014-08-01
【編集者メモ】(Assante)
私はかなり以前に、人を中心にしてサイバーセキュリティを強化するアプローチを とる場合、達成すること自体が困難であると理解すること、そしてセキュリティの 文化が組織に定着して継続可能な仕組みにするには、計画、設計、導入段階に おける明確なフレームワークの確立が必要であることを学んだ。インシデントに 対応するために外部が推奨するセキュリティ対策を導入する多くの企業では、実際 のデプロイメント段階や運用段階で失敗することが多いという事実を、多くの人が 認識しているだろう。サイバーセキュリティの強化を確実に実施して、組織を変化 させるには、セキュリティの担当者を雇用して組織の一員として迎え入れると共に、 組織のメンバーに知識を修得させて、実践のトレーニングを行う必要がある。我々 は、意思決定プロセスに携わりながら、事業戦略策定者やエンジニアたちに必要と なる知識とスキルを特定し、それらを伸ばすことに注力している。これを適切に 行うことで、サイバー攻撃に対する回復力と防衛力が劇的に向上するだろう。

【編集者メモ】(Honan)
私も過去にこの点については指摘している
http://www.net-security.org/article.php?id=1842,
問題は、現場で働く個人が取得できる認定が社会的な要請で作られるのではなく、 業界内において流通するサービスや製品ごとに作られた認定であるために信頼が 得られないことだろう。

【編集者メモ】(Paller)
フォレンジック、セキュアコーディング、ペネトレーションテスト、侵入検知、 インシデントレスポンスなどにおいて、技術力の評価は可能だ。ただし、セキュリ ティ担当マネージャやポリシー担当者の能力を評価することは期待はできない。 それは企業のマネージャになるために認定書がないのと同じだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「暗号化機能について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
暗号化と言われると非常に難解そうに思われるかもしれませんが、個人情報
などを適切に守るためには、非常に有用なツールですが、暗号によって全て
が守られるわけではありません。暗号でも守れないものも存在します。今月
号では、暗号とは何かという説明とその必要性、正しい使い方について一般
ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#august2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ デジタル認証情報、10億件以上が盗まれる(2014.8.5-6)

ロシアの窃盗グループが、インターネットアカウント情報をひそかに収集していた ことが明らかになった。収集されたデータは、ユーザ名とパスワードの組み合わせ 情報で12億件、メールアドレスは5億件にもなり、これらは約42万のWebサイトから 取得されたとされている。これらの大量データは、スパム送信に利用されたようだ。 【編集者メモ】(Alan)
この情報は大きく取り上げられているが、記事を読む前にKrebのブログで公開され ている検証内容を読んでみることをお勧めする

http://krebsonsecurity.com/2014/08/qa-on-the-reported-theft-of-1-2b-email-accounts/

http://money.cnn.com/2014/08/05/technology/security/russian-hackers-theft/index.html
http://www.darkreading.com/biggest-cache-of-stolen-creds-ever-includes-12-billion-unique-logins/d/d-id/1297811?
http://www.v3.co.uk/v3-uk/news/2358987/russian-hackers-steal-12-billion-web-passwords
http://www.holdsecurity.com/news/cybervor-breach/
────────────────

◆ 英コミッショナー、法律事務所や特許事務所の情報セキュリティ問題を指摘(2014.8.5)

英国の情報コミッショナー事務局(ICO)は、弁護士事務所においてクライアント 情報が不適切に処理されていたために、この3か月で15件ものインシデント発生の 報告を受けたという。ICOは、法廷や弁護士がクライアント情報の適切な保護注意 を怠った場合、最高50万ポンド (84万米ドル) の罰金を課すと警告している。

http://www.v3.co.uk/v3-uk/news/2358882/ico-sounds-the-alarm-over-legal-professions-shoddy-data-handling
【編集者メモ】(Paller)
米国の弁護士事務所においても、クライアントの重要な情報を大量に紛失している と聞いているし、FBIも、米国の弁護士事務所は2009年に国家が関与する攻撃の ターゲットとなったと報告している。さらにMI5の幹部も、同様の状況であると 前年の報告で明らかにしている。国家間、または競合企業同士において、戦略的に 機密情報の収集を行うには、弁護士事務所や弁理士事務所、元公務員が経営して いるコンサルティング会社から他社の知的財産を入手するのが最も効率が高いこと がわかったからだ。各企業は、弁護士やコンサルタントとその貴重な情報を共有 しているが、共有先も同じように情報を保護していると思い込んでいるのは大きな 誤りだ。


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★ http://www.nri-secure.co.jp/service/si/index.html
────────────────────────────────────


◆ Google、HTTPSサイトの検索順位を押し上げ(2014.8.7)

Google社は、検索表示においてHTTPSサイトの順位を若干押し上げていることを 公表した。Googleの検索結果表示アルゴリズムにおいて暗号への考慮は非常に 少ないものとなっていた。しかし、今後その割合が大きくなる可能性がある。

http://www.zdnet.com/google-confirms-its-giving-https-sites-higher-search-rankings-7000032428/
http://www.nbcnews.com/tech/security/google-give-secure-websites-search-ranking-boost-n175336
【編集者メモ】(Northcutt)
これはGoogleを誉めよう。暗号により全ての問題が解決するわけではないが、 平文の状態とは比較にならない。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月27日(水)、9月18日(木)【東京】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file02.html?xmid=300&xlinkid=07

○9月1日(月)【東京】
 情報セキュリティ人材育成セミナー
 ~SANS Tokyo 2014 プレビューセミナー~
http://www.nri-secure.co.jp/seminar/2014/sans01.html?xmid=300&xlinkid=08

○9月3日(水)【大阪】
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0903.html?xmid=300&xlinkid=09

○9月12日(金)【東京】
 運用改善事例セミナー
 ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju02.html?xmid=300&xlinkid=10

○10月23日(木)、11月19日(水)、12月16日(火)【東京】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=06

○10月29日(水)【大阪】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18

────────────────────────────────────

NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます