NRI Secure SANS NewsBites 日本版

Vol.9 No.34 2014年8月26日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.34 2014年8月26日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────

■■SANS NewsBites Vol.16 No.066-067
(原版: 2014年8月19日、22日)

────────────────────────────

◆ 200病院の患者情報450万件が流出(2014.8.18)

Community Health Systems(CHS)社(本社:テネシー州)は、2014年になって 約3か月にわたり不正アクセスを受け、患者の氏名、住所、社会保障番号を含む 約450万件の情報が流出したことを公表した。また、同社の発表によると医療 情報と決済情報に関しては流出の事実は確認できなかったという。CHSは、米国の 29州で約200の病院を経営する大手医療機関であるが、CHSの証券取引委員会提出 文書8-Kで報告された情報によると、侵入者は中国からだと考えており、医療機器 の開発情報の取得を試みたが成功しなかったとしている。

http://www.darkreading.com/community-health-systems-breach-atypical-for-chinese-hackers/d/d-id/1298095?
http://www.bbc.com/news/technology-28838661
http://bits.blogs.nytimes.com/2014/08/18/hack-of-community-health-systems-affects-4-5-million-patients/
http://www.computerworld.com/s/article/9250464/About_4.5M_face_risk_of_ID_theft_after_hospital_network_hacked?taxonomyId=17
http://www.theregister.co.uk/2014/08/18/hospital_chain_claims_chinese_hackers_stole_45_million_user_details/
CHSがSECに提出した資料の原文: http://regmedia.co.uk/2014/08/18/community_health_systems_8k.pdf

【編集者メモ】(Murray)
450万件というのはかなりの規模だが、eBayの1億4千万件に比べればそれほどでも ない。それにCHSは医療産業であり、適切な罰則が科されるだろうが、eBayは謝罪 すらしていない。
【編集者メモ】(Paller)
Murrayの指摘は正しい。450万件は1億4千万件件よりも小規模だが、医療機関に おける個人情報漏えい関しては、権力をもつ人々も注目するプライバシー領域だと 言える。今回流出した情報は、医療情報ではないが、院内システムのサイバー セキュリティ対策が十分に行われていないことは、Black Hatカンファレンスに 参加している研究者や犯罪者の間では周知の事実だ。病院の中には、搾取された データと引き換えに金銭を支払って流出を防いだ例もある。Ed SkoudisがSANSの トレーニングであるCyberCityにおいて、とある医療機関のシステムをシュミレート する際に、あまりに脆弱であったために事前にセキュリティ対策を適用したことも あった。多くの病院では、セキュリティ対策がコンプライアンス部門の問題である と考えられているため、サプライヤーにセキュリティ機能を要望すらしていない。 また、職員に対して攻撃から守る、あるいは攻撃を発見するために必要なスキルを 身につけるためのトレーニングも行っていない。12月にサンフランシスコで開催 されるHealth ISACとSANSのヘルスケアサイバーサミットは、セキュリティに積極的 で業界の先行者的存在となっている病院のCIOやCISOをはじめとして、技術分野の 著名人も参加し、他病院の事例を共有すると共に、集中型のインタラクティブな トレーニングが受講できるようになっている。このような機会を使えば、病院の 技術スタッフも短時間で知識やスキルを修得できるだろう。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「暗号化機能について」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
暗号化と言われると非常に難解そうに思われるかもしれませんが、個人情報
などを適切に守るためには、非常に有用なツールですが、暗号によって全て
が守られるわけではありません。暗号でも守れないものも存在します。今月
号では、暗号とは何かという説明とその必要性、正しい使い方について一般
ユーザ向けに、分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.securingthehuman.org/resources/newsletters/ouch/2014#august2014
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 豪州議会、インテリジェンス機関に対してコンピュータアクセスを容認(2014.8.18-19)

オーストラリアの司法長官ジョージ・ブランディスは、保安情報機構(ASIO)に 対してコンピュータやネットワークへのアクセス権限を拡大することなどを盛り 込む考えを示した。法律の専門家によると、今回提出された法案により、ASIOは インターネットに接続されている全コンピュータ全てへのアクセスが可能になる 解釈もできると言う。とある人権団体は、リークした文書を受領して公開した ジャーナリストに罰則を与える条項に注目して反発を強めている。

http://www.zdnet.com/au/new-powers-could-give-asio-a-warrant-for-the-entire-internet-7000032715/
http://www.theguardian.com/world/2014/aug/18/counter-terrorism-proposals-greatly-concerning-say-civil-liberties-groups

【編集者メモ】(Murray)
今回の法案は悪法であると言えるだろう。しかし、世界中の国々で、同法案を模倣 した法律が施行される可能性があることも、また事実だ。

────────────────

◆ 米原子力規制委員会のコンピュータへ不正アクセス(2014.8.18)

米原子力規制委員会(NRC)のコンピュータが、過去数年の間、数回にわたって 攻撃されていたことが内部調査によって明らかになった。今回の攻撃では、最初に NRC職員200名に対してログイン情報を確認するフィッシングメールが送信され、 約12名の職員がメール本文中に含まれるURLをクリックした。2回目は、これらの 職員に対してスピア型のフィッシングメールが送信されてマルウェアに感染し、 最終的に職員のメールアカウントが不正アクセスされて、別の職員数名に対して マルウェアが送信されたという。NRCは、攻撃者の目的は兵器転用可能なレベルの 原子力発電所のインベントリ情報を調査することであったと報告している。

http://www.nextgov.com/cybersecurity/2014/08/exclusive-nuke-regulator-hacked-suspected-foreign-powers/91643/?oref=ng-HPtopstory
http://www.cnet.com/news/nuclear-commission-hacked-3-times-in-3-years/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Wired誌、業界の著名人に「インターネットの救済方法」を聞く(2014.8.19)

専門雑誌Wiredが、テクノロジー業界とセキュリティ業界のそれぞれにリーダー として知られる著名人に対して「インターネットが革新の実現とコミュニティの 場であり続け、自由な情報共有ができる場所として存続するにはどうすべきか」 という質問を投げかける特集を組んだ。質問に回答したのは錚々たる面々で、 ブルース・シュナイアー、リード・ヘイスティングス、P・W・シンガーのほか、 ダニー・ヒルズ、ヴィントン・サーフ、ミッチェル・ベーカーなどとなっている。

http://www.wired.com/2014/08/how-to-save-the-net/

【編集者メモ】(Murray)
非常によいタイミングであり、適切な質問であるが故に、すばらしい回答を得た。 経済とテクノロジーに先達される中、設計書などない状態で多くの人が協力し コラボレーションした結果、誰もが想像しなかったような「パブリックスペース」 が創造された。現代人は今や「これ」なくしては生活ができなくなっている中、 「インターネットを救う」唯一の方法を採用するとしたら、混乱は避けられないと 思う。そうなれば利用者の半数が、横暴や欲望の被害者となるだろう。これらの 業界著名人たちが示唆しているように、多少の犠牲は払ってでも「何とかやって いくしかない」のだと思う。

────────────────

◆ Amazon Webサービス、米国防総省の機微情報を取り扱う認定を取得(2014.8.21)

米国防情報システム局(DISA)は、Amazon Webサービス(AWS)に対して仮運用の 認定(ATO)を付与した。これによりAWSは、国防総省(DoD)の「最も機微な公開 データ」を取り扱う最初の民間クラウドサービスプロバイダになった。ATOが付与 されたことで、AWSはセキュリティインパクトレベルが3から5に分類されている システムや組織に対してサービス提供が可能になる。

http://www.nextgov.com/cloud-computing/2014/08/big-win-amazon-first-provider-authorized-handle-sensitive-dod-workloads/92069/?oref=ng-HPtopstory
http://defensesystems.com/articles/2014/08/21/aws-govcloud-disa-security-approval.aspx?admgarea=DS

【編集者メモ】(Paller)
今回の認定でAmazonは2つの勝利を手にした。まずは、長らくIT企業が独占してきた 何十億ドルというDoDの情報システム市場に踏み込んだ。そして、民間企業に対して 「DoDも認めたシステムですよ。貴社の基準に達しませんか?」という営業トーク ができるようになったことだ。
【編集者メモ】(Pescatore)
クラウドコンピューティングにおいて「物理的な場所も重要」ということが改めて 確認された。DoDはAmazonの「GovCloud」を利用するわけだが、政府利用においては AWSリージョンを隔離することになる。また、DISAのクラウドセキュリティモデルと FedRAMPは、クラウドサービスに継続的監視を要件に加えるなど効果的な役割を 果たしている。

────────────────

◆ 米軍契約企業、情報流出や不正侵入の開示義務および手順の締め切り迫る(2014.8.13)

米国防総省(DoD)の契約企業各社は、新しい規則への対応を迫られている。この 規則では情報流出や不正侵入があった場合に、国防総省への報告が義務付けられる ほか、政府は侵害が発生した企業ネットワークへアクセスして、独自調査を実施 することができる。また、対象企業は軽微な侵害も報告する必要があり、政府は 侵害調査において企業秘密や社員情報へのアクセスが可能になる。この規則は すでに、同省の予算の一部として2013年に米下院で承認されたものであり、航空 宇宙産業協会の報道官であるDaniel Stohr氏も、「連邦政府向け事業において サイバーセキュリティ費用が増加している」と述べている。

http://www.bloomberg.com/news/2014-08-13/military-companies-brace-for-rules-on-monitoring-hackers.html

【編集者メモ】(Pescatore)
航空宇宙産業協会の報道官のコメントには落胆した。彼のコメントは、機密情報 扱いの対象となるDoDとの契約において、セキュリティは今まで重要ではなかった と言っているようなものだ。それにしても、DoDにおいてサプライチェーンや防衛 産業全体において追加予算が認められたことは活力になる。非常に良いことだ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月1日(月)
 情報セキュリティ人材育成セミナー
 ~SANS Tokyo 2014 プレビューセミナー~
http://www.nri-secure.co.jp/seminar/2014/sans01.html?xmid=300&xlinkid=07

○9月3日(水)【大阪】
 サイバーセキュリティ2014夏:独自分析レポートが示すセキュリティ攻防最前線
 ~問われる対応力と準備力、サイバー攻撃から組織を守れ!~
http://www.nri-secure.co.jp/seminar/2014/0903.html?xmid=300&xlinkid=08

○9月10日(水)                       【NEW!】
 NRIセキュアが考えるエンタープライズIAM
 ~「ID」を中心としたセキュリティ対策の新しい形~
http://www.nri-secure.co.jp/seminar/2014/0910.html?xmid=300&xlinkid=10

○9月12日(金)                       【NEW!】
 運用改善事例セミナー  ~実際の取り組み事例から探る!運用改善のポイントとは~
http://www.nri-secure.co.jp/seminar/2014/senju02.html?xmid=300&xlinkid=11

○9月18日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○9月26日(金)
 不正アクセス・情報漏洩対策セミナー
 ~事例から学ぶ特権ID管理・アクセス/ログ管理~
http://www.nri-secure.co.jp/seminar/2014/0926.html?xmid=300&xlinkid=12

○10月23日(木)、11月19日(水)、12月16日(火)【東京】    【日程追加!】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)【大阪】
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月6日(月)、12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○10月7日(火)~8日(水)、12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○9月、11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○10月6日(月)~8日(水)、2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18
────────────────


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます