NRI Secure SANS NewsBites 日本版

Vol.10 No.15 2015年4月30日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.15 2015年4月30日発行
**********************************************************************


[日本版編集担当より]
間もなくゴールデンウィークですね。今年も、情報セキュリティ分野において 最高レベルと言われているSANS Insitituteのトレーニングを今年も開催いたし ます。コース数も倍増したほか、日本初開催のものもございますので、お休み中 にじっくりと内容をご検討いただければと思います。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:SANS Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Computer Forensic Analysis and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.031、032
(原版: 2015年4月21日、4月25日)
────────────────────────────────

◆ 米国政府のサイバー関連要員が不足(2015.4.14)

Partnership for Public Serviceのレポートによると、米国政府は、国のシス テムを攻撃から守るサイバー要員を確保するためにいくつもの障害があると指 摘している。政府が直面する障害の中には、「厳格な採用プロセス」の存在と、 民間事業者が提示するよりも劣る年俸という2つの壁がある。

http://www.washingtonpost.com/blogs/federal-eye/wp/2015/04/14/federal-cyber-workforce-woefully-inadequate-report-says/

【編集者メモ】(Pescatore)
私が大学を卒業した当時、NSAは電気技師の募集をしていたが、この時も民間事業 者に給与面で勝てず、通常のGS-7年俸に20%を加算したボーナスを「スキル手当」 と称して提示していた。セキュリティスキルに対しても同じようなことをするのは 妥当だと思う。ただ、政府は民間事業者と手を組み、セキュリティ人材を増やすこ とに注力した方が良いだろう。

【編集者メモ】(Paller)
スキルを持った人材のプールが小さい以上、政府が設けるスキル手当は、あまり 効果が無いだろう。スキルを持った人材は、様々なことを経験できる人材と仕事 することを望んでおり、政府内に高いサイバースキルを持った人材は少ない(例 外組織もあるが)。だから、政府はこれらの人材の年収が上がる世間一般の傾向 についていけないのだ。このような中で、陸軍と海軍は、人材プールを大きくす る方法を見出した。その方法とは、人材が成長するために必要な技術的素養と、 適切な性格を持っているかを判断するスキルアセスメントを、2~4か月の厳しい トレーニングで実施するというもの。彼らは、この方法を通じて良い人材を確保 できており、規模も大きくなっている。

────────────────

◆ DMCAによる起訴から研究者を免除する法案(2015.4.16,17)

米両院の議会は、セキュリティ研究者をジタル・ミレニアム著作権法(DMCA)に 基づいた起訴から免除することなどを盛り込んだ法案を、それぞれ提出した。DM CAは、デジタル保護されたコンテンツ保護を迂回することを禁止する法律である。 「The Breaking Down Barriers to Innovation Act 」は、時代遅れの法律に改正 を積み重ねていると批判されているが、今回の改正は、ジャーナリズム、研究、 プライバシー権利および発言の自由に利益をもたらすと期待されている。

http://thehill.com/policy/cybersecurity/239235-bill-would-protect-security-research-hacking
http://www.wyden.senate.gov/news/press-releases/wyden-polis-introduce-breaking-down-barriers-to-innovation-act-to-modernize-outdated-copyright-laws

【編集者メモ】(Pescatore)
法案を見る限り、DMCAをねじ曲げて解釈できる部分に変更を加えたようだ。もち ろん、この改正が行われた後でも「飛行機をハイジャックした」という類のツイ ートを公開するのは、*良くないこと* と判断できるようになっている。

────────────────

◆ Stingrayの関連情報を保護するため盗難事件の訴えを取り下げ(2015.4.20,21)
ミズーリ州の検察は、7人に対し強盗を行ったとされる3人の容疑者に対する刑事 事件の訴えを取り下げた。盗難に遭った7人のうち、一人は怪我を負っているほか、 法執行機関による携帯電話を盗聴するためのテクノロジー「Stingray」の利用に ついて情報開示を、法廷においてしなければならないという事態を回避するねら いがあったと見られている。この決定は、警察が容疑者の携帯電話から得た情報 について証言をする予定の前日に報道として流れたもの。

http://arstechnica.com/tech-policy/2015/04/prosecutors-drop-robbery-case-to-preserve-stingray-secrecy-in-st-louis/
http://www.theregister.co.uk/2015/04/21/st_louis_stingray/

【編集者メモ】(Pescatore)
これは、「脅威情報の共有」が政府 *から全体に* ではなく、政府に対してしか 情報共有がされない典型的な例だ。悪者を監視する手法に対して組織が抱いてい る不安と、企業が悪者を退治する現実的なアクションの間に大きな開きと矛盾が あるのだろう。

【編集者メモ】(Northcutt)
$60,000ドルを賭けた質問だ。今回の決定はなぜなされたのだろうか?
法執行機関は、プロバイダとデータを提供したり共有してはいけない法的な取り 決めがあるのかもしれない。2つ目のリンクが参考になると思うが、税金を払って いる一般市民に対して最善の利益を提供していないと思えるのは、言わなくても 判ることだろう。

http://www.nytimes.com/2015/03/16/business/a-police-gadget-tracks-phones-shhh-its-secret.html?_r=0
http://www.businessinsider.com/stingray-phone-tracker-used-by-police-2015-3
http://www.usatoday.com/story/news/nation/2013/12/08/cellphone-data-spying-nsa-police/3902809/


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスフレーズについて」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードは、メールの利用やオンラインショッピングなど、様々な場面で皆さん
の生活に関わっていますが、手軽にパスワードで個人識別ができることが欠点とな
って、勝手に不正送金されたり個人情報を盗み出されてしまう危険性があります。
このような被害にあわないためには、強力なパスワードを設定することが大切です
が、自分のパスワードを覚えられない問題があります。今月は、もっと手軽に強力
なパスワードを設定するパスフレーズについて、一般ユーザー向けに、分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201504_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 米軍が未来のサイバー隊員を選抜する試験を実施(2015.4.24)

米軍は、サイバー隊員として適切な人材と判断するため「ココロの測定」も少し取 り入れている。トレーニングプログラムを実施するためには、多くのお金と時間が 必要とされているため、お金を節約するための政策であるという。SANSのScott Cassity氏によると「軍は、サイバー隊員候補者が適任であろうとそれなりの確信 が欲しいため、このプログラムを実施している。」と語る。ジョージア州にある フォート・ゴードンにあるArmy Cyber Schoolの司令官は、Military Timesの取材 に対し「毎年、数千人もの人材を受け入れているのだから、軍のように巨大な組織 は、小さな(予測値の)変化は、結果として大きな影響を及ぼすのだ。」と、プロ グラムの意義について答えている。

http://www.militarytimes.com/story/military/careers/2015/04/23/cyber-tests/26245187/

【編集者メモ】(Paller)
サイバー隊員としての職務を志願している人たちが、新しい採用試験でどのような 結果を得ることができるか知りたいのであれば、SANSのCyberTalent assessment examの新バージョンを試してみると良いだろう。これは、National CyberTalent Career Fairの一環として無料で提供されているものだ。

https://app.brazenconnect.com/events/SANS-cybertalent-fair
────────────────

◆ 米上下両院が、コンピュータ不正行為防止法の改正案を提出(2015.4.23)

コンピュータ不正行為防止法(CFAA)の改正案が、米の上下両院で提出された。 今回の修正案は、Aaron Swartzによる学会誌のダウンロードに関する一連の訴追を 契機としていることからAaron's Law と呼ばれている。ロン・ワイデン議員(オレ ゴン州選出・民主党)によると、「悪意のないコンピュータ犯罪に対する過度の訴 追事例をきっかけとして、サービス利用規約、雇用契約やウェブサイトの注意書き に対する法解釈に疑問が上がった」としており、「CFAAの適用は一定ではなく、気 まぐれに過ぎない。」とコメントしている。

http://www.theregister.co.uk/2015/04/23/congress_reintroduces_aarons_law/
http://www.wyden.senate.gov/news/press-releases/wyden-lofgren-paul-introduce-bipartisa-n-bicameral-aarons-law-to-reform-abused-computer-fraud-and-abuse-act-

────────────────

◆ 国防総省が攻撃的なサイバー脅威に対し、反撃姿勢を明らかに(2015.4.23)

4月23日に、米国防総省はサイバー防御の姿勢を強化する意向を示すとともに、他 国からの脅威に対しては、攻撃的なサイバー手段で応える意向を示した。

http://www.cnet.com/news/us-to-use-cyber-attacks-to-defend-against-threats-report-says/
http://www.computerworld.com/article/2914372/cyberwarfare/defense-dept-wants-to-rebuild-trust-with-the-tech-industry.html



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月13日(水)~15日(金)
 ソフトウェア開発環境展(SODEC):ブース番号[45-33]
 セキュリティ教育・研修を展示・紹介
http://www.sodec.jp/ja/

○5月21日(木)、6月17日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○5月22日(金) 15:00~15:50
 金融フォーラム2015:【東京/D-4】セッション
 金融機関の為のクラウドサービスの選び方
 ~安全・安心なファイル転送を実現するには~
http://www.finance-forum.jp/forum_2015_tokyo/entry/seminars/view/402

○5月22日(金)、6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=12

○5月27日(水)、6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価とエンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=13


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃「企業における情報セキュリティ実態調査2014」を公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より13回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目
について調査・分析。                  【閲覧無料】
http://www.nri-secure.co.jp/news/2015/0127_report.html?xmid=300&xlinkid=26
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます