NRI Secure SANS NewsBites 日本版

Vol.9 No.40 2014年10月14日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.9 No.40 2014年10月14日発行
**********************************************************************


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=19


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
         = SANS TOKYO 2014 =
       http://sans-japan.jp/training/event.html
【11月開催】11月10日~15日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
◆ICS410:ICS/SCADA Security Essentials(11月10日~14日までの5日間)
  新たな脅威に対抗するために、制御システムに安心と安全を
  日本初開催! 世界中で受講者急拡大中の注目コース
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


────────────────────────────────────
[TEAM Professor / TEAM Mentor powered by Security Innovation]

セキュアなソフトウエア開発にお悩みのお客様
世界で20万人以上が利用した実績を持つ、セキュアなソフトウエア開発の
eラーニングをお試しになりましたか。

言語に依存しないアウェアネスコースから、C/C++、Java、.netといった
開発言語特有のセキュア開発手法だけではなく、スマートフォンやDB関連の
セキュリティなど、幅広く65以上のコースが用意されています(うち42コース
が日本語化済み)。

管理者向けの進捗管理機能の他、コース終了後の確認テストや修了証の
発行機能など、手軽かつスピーディーにセキュアなソフトウエア開発を
学習させたい場合に、最適なソリューションとなっています。
★今なら、キャンペーン中につき、2週間のトライアル実施中です★
http://www.nri-secure.co.jp/service/si/index.html

────────────────────────────────────


────────────────────────────
■■SANS NewsBites Vol.16 No.080-081
  (原版: 2014年10月7日、10月10日)
────────────────────────────

◆ JP Morgan Chase の情報漏えい (2014.10.3-6)
New York Times 誌によると、JP Morgan Chase で起きた個人情報の漏えいは、 他にも米国の9つの金融機関でも起きたと報道している。

http://www.csmonitor.com/Innovation/Latest-News-Wires/2014/1004/Hackers-hit-bank.-Is-your-money-safe-anywhere
http://www.theregister.co.uk/2014/10/05/report_says_russians_behind_jpmorgan_chase_cyber_attack/
http://www.computerworld.com/article/2691736/jpmorgan-chase-attackers-hit-other-banks.html
http://www.zdnet.com/jpmorgan-chase-bank-hack-it-gets-worse-7000034337/
http://www.scmagazine.com/the-chase-data-breach-has-prompted-a-regulator-to-meet-with-chief-executives-of-regulated-firms/article/375675/

【編集者メモ】(Pescatore)
攻撃者は、金融機関の顧客に対し、SMS を使ったフィッシング攻撃を行っている ようだ。賢明な読者の方であればご承知だと思うが、この場を借りて、金融機関が 重要な情報をショートメッセージ経由で聞きだすことは無いと明言しておく。

────────────────

◆ DOD がサイバー戦略に透明性を (2014,10.3)
米国国防総省(DOD)は、サイバー戦略に抑止的な効果を入れ込む必要があることを 認識しているが、国土防衛およびグローバルセキュリティ担当の国防次官補、Eric Rosenbach 氏は、この戦略に透明性も必要だと考えている。その理由として、 透明性に乏しいとで他国から疑いの目で見られる可能性があることを挙げている。

http://www.federalnewsradio.com/241/3714846/DoD-to-be-more-transparent-about-strategy-to-deter-cyber-attacks

────────────────

◆ 新FISMA、DHS に民間ネットワークをスキャンする許可を与える(2014.10.3)
米国の行政予算管理局(OMB)が国土安全保障省(DHS)に対し、脅威があるかどうかを 特定することを目的として、一部の民間ネットワークをスキャンする権限を与えた。 これは、Heartbleed の脆弱性の有無をスキャンするため、DHSが様々な省庁から 許可を得る必要があったことから、政府機関全体で対応が遅れたことに起因して いる。新しい連邦情報セキュリティマネジメント法 (FISMA) の規則では、各省庁 に対し、DHSによるスキャン行為を許可することを義務付けている。

http://www.federalnewsradio.com/513/3715204/White-House-gives-DHS-new-powers-to-scan-some-civilian-agency-networks-for-cyber-vulnerabilities
http://www.nextgov.com/cybersecurity/2014/10/dhs-no-longer-needs-permission-slips-monitor-other-agencies-networks-vulnerabilities/95807/?oref=ng-HPtopstory

【編集者メモ】(Pescatore)
先月、DISA、DHS および OMB から 2015年度の FISMA指標を発表された。これらの 指標は重要なセキュリティ管理策や DHSの診断・緩和策の実施状況について追跡 できるような仕組みを強化している。今回の新FISMAでは、政府の外向けのウェブ サイトに対し、スキャンとネットワークのIDS監視をDHSが行うことになっており (全面的に一貫してやることは良いことだ)、Multi-State ISACも米国各州の地方 政府ウェブサイトに対し、似たような取り組みを始めている。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「セキュアに保つための5つのステップ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ITが日々の生活で重要な役割を占めてゆく中で複雑さも増しています。
セキュアでいるための手法の詳細部分は変化していますが、自身を保護する
ためにできる基本的なことは、技術や利用場所に関わらず、変わっていない
のが現状です。今月は自身を守るための5つのステップについて一般ユーザ向け
に、分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201410_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 政府が令状無しで外国のサーバにアクセスすることは合法と公言 (2014.10.7-8)
米司法省は、政府が令状無しで外国のサーバに侵入しても良いと変わらず公言して いる。このコメントは、Silk Road の首謀者とされている Ross Ulbricht氏の弁護 団からの申立てを受けてのもの。申立てによると米国政府の活動が、合衆国憲法 修正第4条で定められた顧客の権利を侵害したとして、政府が Silk Road のサーバ から押収した情報を差し押さえるべきとしている。

http://www.forbes.com/sites/katevinton/2014/10/08/feds-say-that-even-if-the-fbi-hacked-silk-road-ulbrichts-rights-werent-violated/
http://www.wired.com/2014/10/feds-silk-road-hack-legal/
http://arstechnica.com/tech-policy/2014/10/us-says-it-can-hack-into-foreign-based-servers-without-warrants/

【編集者メモ】(Honan)
これが支持されるとなると、先行きはとても危険だ。なぜなら、法執行機関に よって、違法行為をしていると「思われる」システムにいつでもアクセスが認め られるからだ。

────────────────

◆ インシデントレスポンスにおいて欠陥があるとブルース・シュナイアー氏が語る(2014.10.9)

ロンドンで行われた IP Expoの基調講演で、ブルース・シュナイアー氏は、攻撃を 未然に防いだり、検知したりすることが必要であるとしたが、攻撃はいつか受ける ものとして、企業はインシデントレスポンスにもっと注力すべきとした。また、 攻撃からの回復を素早く行うことが企業の整合性を保つ意味でも不可欠とした。

http://www.theregister.co.uk/2014/10/09/your_security_defences_are_going_to_fall_get_over_it_schneier/

【編集者メモ】(Paller)
インシデントレスポンスは特殊なスキルだ。必要な時だけブルースが始めた企業や 他の事業者と契約すれば良いと考えている企業は、次のTarget社になることを待ち 望んでいるとさえ言える。財務担当の責任者や有能な企業は、これらのスキルを 持つ従業員を「脅威分析者 (threat analyst)」と呼び、セキュリティ担当者でも 高い給料を支払っている。この講演で、わたしが「なるほど!」と思ったことは、 セキュリティ担当者の中に高度なフォレンジック解析スキルや攻撃手法に関する 高度な知識が無いのにも関わらず、自分のことを脅威分析者と呼んでいることで、 脅威分析をテクニカルでない人に任せるのは危険だということだ。そのためには 組織のセキュリティ担当に、テクニカルなトレーニングを実施して組織に残すか、 解雇すべきだと思う。

【編集者メモ】(Northcutt)
企業は、インシデントレスポンスのグランドデザインを描いたり組織の方向性を マネジメントするような外部コンサルタントを確保することを検討すべきだろう。 そのような企業にはMandiant や Dell Secureworksといった優良な企業がいくつか ある。
http://www.mandiant.com/resources/downloads/
http://go.secureworks.com/lp-incident-response-preparedness


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー             <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月22日(水)、11月18日(火)、12月12日(金)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2014/file03.html?xmid=300&xlinkid=06

○10月23日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac03.html?xmid=300&xlinkid=13

○10月29日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー【大阪】
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2014/ac04.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月20日(木)~21日(金)、2015年2月4日(水)~5日(木)
【セキュアEggs】IT+セキュリティ基礎:2DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=19

○11月、2015年1月、2月、3月
 CISSP 10ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=17

○12月24日(水)
 Webアプリケーションセキュリティ:1-DAYハンズオン
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=300&xlinkid=15

○12月25日(木)~26日(金)
 セキュアJavaプログラミング:2-DAYワークショップ
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=300&xlinkid=16

○2015年2月25日(水)
【セキュアEggs】インシデント対応 :1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=20

○2015年2月26日(木)
【セキュアEggs】フォレンジック:1DAY-ハンズオン
http://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=21

○2015年2月16日(月)~18日(水)
 SSCP 7ドメインレビューセミナー
http://www.nri-secure.co.jp/service/isc2/sscp.html?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃「サイバーセキュリティ 傾向分析レポート2014」を公開<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2013年度に顧客に提供した情報セキュリティ対策サービスを通じて蓄積した
 データを分析し、最新の脅威動向と推奨する対策をまとめています。
http://www.nri-secure.co.jp/news/2014/0820_report.html?xmid=130&xlinkid=25
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます