NRI Secure SANS NewsBites 日本版

Vol.10 No.20 2015年6月12日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.20 2015年6月12日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃中┃ SANS Tokyo コミュニティ ナイトセッション
 ━┛━┛━┛
今年もSANS Tokyo 2015を開催します(10月19日~31日)。今回は、インシデ
ントハンドリングやデジタルフォレンジックの定番コースに、ペネトレーショ
ンテストの上級コース、Windowsフォレンジックのコース、SOC(セキュリティ
オペレーションセンター)従事者のための上級コースを加えて、豊富なライン
ナップでの開催を予定しています。

コミュニティナイトセッションセミナーでは、SOCの果たすべき役割や、効果
的に機能させるための方法、従事する人材のスキルといった内容を、デモを
交えて解説します。
SANS Tokyo 2015において開催予定の、『SEC511:Continuous Monitorting
and Security Operations』の受講を検討している企業の方は必見です。

●お申し込みはこちら
    https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o004

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【7月開催】7月2日、3日、16日、17日、23日、24日 [6日間]
◆SEC401:Security Essentials Bootcamp Style
  最もポピュラーな情報セキュリティのゴールド・スタンダード
  週2日ずつ無理なく受講できる開催日程

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.043, 044
(原版: 2015年6月2日、5日)
────────────────────────────────

◆ Airbus社が事故の原因をソフトウェアの設定ミスと断定(2015.6.1)

A400M 軍用輸送機がスペインのセビージャ近郊で発生した事故の原因として、 Airbus社の幹部が5月9日、ソフトウェアの設定にミスがあったことを認めた。 A400M は同社の新鋭機であり、この事故は飛行テストの際に発生したという。

http://arstechnica.com/information-technology/2015/06/airbus-confirms-software-configuration-error-caused-plane-crash/
http://www.theregister.co.uk/2015/05/31/airbus_software_config_brought_down_a400m/

【編集者メモ】(Assante)
制御ユニットの誤った設定が事故の主原因だったということは、飛行安全性を保つ ための重要コンポーネントのプログラミングやテストプロセスに対する完全性を求 めることが、サイバーセキュリティの側面で最重要な点になることを示している。 次なる課題は、不正な変更が行われないようにすることである。これができないの であれば、次の飛行の前にすべての変更を検知する仕組みが必要だろう。
【編集者メモ】(Murray)
ここ最近、ソフトウェアの安全やセキュリティ問題の原因として、インストール、 設定、初期化、管理ミスに起因していることが多くみられ、実際の運用に関する問 題よりも多い気がする。

────────────────

◆ 米上院が Patriot Act の規程を失効させる(2015.5.31, 6.1)

米上院が、USA Freedom Act(Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Actの略:米国自由法と表記される場合が多いが、実際は国家の連帯のために一定 の条件の下で情報収集活動を認め、その条件や範囲などを定めた法律)を可決する に至らなかった。この法案が可決された場合、電話のメタデータへ政府がアクセス する条件を厳しく制限するために、米国愛国者法(U.S Patriot Act)のSection 215 が改正される予定となっていた。今週、再採決が行われると予想されている。

http://www.wired.com/2015/05/parts-patriot-act-expire-tonight-senate-fails-pass-reform/
http://www.scmagazine.com/usa-freedom-act-fails-to-pass-and-section-215-sunsets/article/418018/

────────────────

◆ 取締役会は、情報漏えいの責任をCEOに負わせる傾向がある(2015.5.28, 6.1)

Veracode社とニューヨーク証券取引所が行ったアンケートによると、情報漏えいが 起きた場合に取締役会は、その責任を最高経営責任者(CEO)に負わせる傾向があ ることが分かった。この他に最高情報責任者(CIO)、最高情報セキュリティ責任 者(CISO)のほか、取締役会全体という回答もアンケート結果の上位に登場してい る。

http://www.csmonitor.com/World/Passcode/2015/0528/Who-should-take-the-fall-after-a-corporate-hack-It-may-soon-be-the-CEO
http://www.scmagazine.com/boards-members-view-ceo-as-more-responsible-for-breaches-than-ciso-and-it-team/article/418020/
【編集者メモ】(Pescatore)
「取締役会のセキュリティ意識調査」がたくさん行われている。取締役会に対し、 セキュリティについて概要を伝えるメンバーやCISOと話をすると、(多くのCISOは 既に)取締役会から同じようなフィードバックが返ってくると答えたほか、多くの CISOは既にそのようなプレッシャーにさらされているという。ただ、彼らは (1)怖 い話を聞かせるだけじゃなく、今、安全であるかを聞かせてほしい。安全でなけれ ば、安全になるための戦略を聞かせてほしい。 (2)毎回違う数字を見せないでほし い。ビジネスに関連した一貫性のある指標を使って説明してほしい。 (3)我々の指 標が業界内でどの位置にいるのかを聞かせてほしい。といった意見のほか、一番重 要なのは、(4)取締役会は戦略的な問題に関して議論もしないし、リソースを割り 当てることも無いという、一言でまとめれば「役職に「C」という文字が入ってい るのには理由があるのだから、そのような問題をここで挙げないで欲しい。」とい うことだろうか。
【編集者メモ】(Henry)
情報漏えいは、「テクニカルな問題」として扱うのではなく、ビジネスリスクとし て扱うべきであり、最終的な説明責任はトップが持つことになる。企業の長期的な 成功および失敗において、最終的に責任を負うのはCEOなのだから、CISO、CIOおよ びCROは、企業の指揮者であるCEOから適切なサポートとリソースを得なければなら ない。新たな地域への進出で20%の成長を目指しているような場合、CEOは進出に関 する責任を負うことになる代わりに、製品開発による利益で株価が10%上昇すると CEOが評価されることになる。データ漏えいによる顧客データや研究開発の損失、 株価の下落のほか、企業に対する風評被害といった悪影響を企業に与えた場合は、 成功したときにもらえるボーナスと同様に、CEOの失態としてCEOが責任を負うべき なのだ。
【編集者メモ】(Murray)
ここ2年で何かを学べたのであれば、情報漏えいは、「回避」することができない、 ということだ。しかし、情報漏えいは、未然に防いだり、準備を整えたり、限定し たり、検知したり、軽減したり、対策したりすることは可能だ。これらの手順を一 般化するには、事前に合意し、事後に計ることで実現できる。顧客やブランド名に 対する影響が大きかった eBay、SonyおよびAnthem社の役員を咎めたい人もいると 思うが、JPMorgan Chaseの役員を称賛するのはどうだろうか。99%ものサーバ、ア プリケーションおよび顧客データに触れられなかったのだから、彼らは役割に応じ てできることをこなしたのだと思う。



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「子供に教えるインターネットセキュリティ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンライン接続が当たり前となった現代に生きる子供は、いくつかの利益を享受で
きると同時に、リスクも伴います。子供ならではの行動や振る舞いであったり、交
流の仕方を間違えると、自分自身の安全を保つことが難しくなります。しかし、子
供に難しいテクノロジーの話をしても、なかなか真意は伝わりにくくなるのがお悩
みではないでしょうか。このような問題を解決するいくつかの方法があります。今
月は、子供に教えるインターネットセキュリティについて、一般ユーザー向けにも
分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201506_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 米国人事局が2度目となる情報漏えいを認める(2015.6.4)

米人事管理庁(OPM)が、昨年末にネットワークに不正侵入されたことを認め、 元職員も含め、400万人もの連邦政府職員に関する個人情報が漏えいしたという。 このインシデントは、4月に検知されたもので、OPMはここ一年で2度目の情報漏え い事件を発生させたことになる。

http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html
http://thehill.com/policy/cybersecurity/244084-hackers-make-off-with-4-million-federal-employees-data
http://www.zdnet.com/article/as-federal-agency-reels-from-massive-data-breach-chinese-hackers-suspected/
http://arstechnica.com/security/2015/06/federal-agency-hit-by-chinese-hackers-around-4-million-employees-affected/

【編集者メモ】(Pescatore)
この漏えい問題に関する焦点は、何故発生したのかという点と、どのようにして 侵入されたのか、という観点で分析されるべきだが、世間の注目は誰がやったのか になってしまっている。攻撃者がどのように侵入したのか分析することによって、 一年以内に情報漏えい事件が発生したにも関わらずOPMに脆弱性が残っていたのか については、教訓として振り返りをしなければならないだろう。世論も含めて、 サイバーセキュリティの専門家は、システムや体系の問題を解決する方向に導かな ればならない。
【編集者メモ】(Paller)
米・国土安全保障省(DHS)が、政府機関のサイバーセキュリティに関する未然予 防策に着目しないまま防御策の有効性を計り、これらの検討について報告を要さな いことが、簡単に攻撃と情報漏えいに成功している要因になっている。米国防総省 (DoD)は、ようやく重要性に気付き、サイバーセキュリティに関する未然予防の 準備に関する指標について軍用と民用での整備と利用を始めた。DHSもこの仕組み を早いうちに整備しないと、次期大統領は、政府全体のサイバーセキュリティ全般 に関わる責任をDHSから剥奪し、DoDに集約することを検討するだろう。オーストラ リアでは、既に似たような取り組みになっており、上手く機能している(次の記事 を参照)。

────────────────

◆ Top 4 Security Controlsが豪政府のデータを攻撃者から保護(2015.6.2)

シドニーで行われたCheck Pointのセキュリティシンポジウムにおいて、オースト ラリア通信情報部(ASD)のスティーブ・デイ局長は、ここ2年間もの間、サイバー 攻撃者はネットワーク侵入できても政府の機密情報は盗まれていないと発表した。 デイ局長によると、政府がデータを守ることに成功しているのは、政府機関が Top 4 Security Controlsを実践しているからと述べた。

http://www.theregister.co.uk/2015/06/02/patchcrazy_aust_govt_fought_off_every_hacker_since_2013/

【編集者メモ】(Pescatore)
Critical Security Controlsに出てくる "最初の5つ (first five)"とASD のトッ プ4は、(正しく実践されている場合)、侵入を未然に防ぐためにできることとして80 %以上の侵入調査の報告書に書かれている。これらを正しく実践するのは大変だが、 多くの民間企業や政府機関は、これらに焦点を充てており、セキュリティ機構やア クセスコントロールの効果と効率性を上げるための基盤としており、これらからの 恩恵を受けている。最近RSA Conferenceで講演した際も、様々な実体験(オースト ラリアも含む)について話をしている。 https://www.rsaconference.com/events/us15/agenda/sessions/1539/news-flash-some-things-actually-do-work-in

────────────────

◆ NSA の監視権限が民間のインターネット通信も対象に拡大されていた(2015.6.4)

エドワード・スノーデンによって漏えいした極秘ドキュメントによると、2012年に NSAは、海外からのサイバー攻撃を調査する目的で、米国のインターネット通信を 監視する権限を与えられていた。このような監視権限の拡大は、司法省から発行さ れた2つのメモがもたらした結果だったとされているが、NSAは攻撃が海外から行わ れた証拠も無いまま攻撃者を追跡していたとしている。

http://www.computerworld.com/article/2931724/internet/the-nsa-boosted-internet-monitoring-to-catch-hackers.html
http://www.theregister.co.uk/2015/06/04/nsa_warrantless_internet_snooping/
http://www.nextgov.com/defense/2015/06/obama-administration-secretly-expanded-scope-nsa-spying-catch-foreign-hackers/114535/?oref=ng-HPriver

【編集者メモ】(Ullrich)
今回のNewsBites(英語版:原文)には、政府機関が多くのデータを収集したいこ とに関連した記事が二つある(GAOのインサイダー脅威に関する記事とOPMでのデー タ漏えいの記事)。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月17日(水)、7月24日(金)、8月26日(水)、9月17日(木)
事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○6月18日(木)【大阪開催】
クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルな、「エンドポイント・セキュリティ管理」と
  「クラウドとオンプレミスへのBYODでの安全アクセス」~【大阪】
http://www.nri-secure.co.jp/seminar/2015/0618.html?xmid=300&xlinkid=12

○6月19日(金)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/0619.html?xmid=300&xlinkid=13

○6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=14

○6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価と
               エンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=15

○7月15日(水)
 ESC ESECTOR SECURITY CONFERENCE 2015 SUMMER
 ~マイナンバー制度セキュリティ対策ソリューション展示会&説明会~
http://www.nri-secure.co.jp/seminar/2015/esector01.html?xmid=300&xlinkid=16

○7月15日(水)
 SANS Tokyoコミュニティナイトセッション
http://www.nri-secure.co.jp/seminar/2015/sans01.html?xmid=300&xlinkid=17

○7月22日(水)、8月27日(木)、9月18日(金)   ※7月以降、新プログラム
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=18

○7月23日(木)、8月25日(火)、9月29日(火)   ※新セミナー
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=19

○7月29日(水)、8月28日(金)、9月25日(金)   ※7月以降、新プログラム
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Amazon Web Services対応セキュリティリファレンス公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 シンガポールで定められた、基準の厳しい金融情報システム向けの
 MAS-TRMガイドラインに対応することを目標に作成 【無償DL・登録不要】
http://www.nri-secure.co.jp/service/consulting/guideline/aws/index.html?xmid=300&xlinkid=21
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメント が掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信さ れ、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている 情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイ トへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの 以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望 された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演 枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信 不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡 先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の 反映までにお時間を頂戴する場合がございます