NRI Secure SANS NewsBites 日本版

Vol.10 No.22 2015年6月23日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.22 2015年6月23日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃中┃ SANS Tokyo コミュニティ ナイトセッション
 ━┛━┛━┛
今年もSANS Tokyo 2015を開催します(10月19日~31日)。今回は、インシデ
ントハンドリングやデジタルフォレンジックの定番コースに、ペネトレーショ
ンテストの上級コース、Windowsフォレンジックのコース、SOC(セキュリティ
オペレーションセンター)従事者のための上級コースを加えて、豊富なライン
ナップでの開催を予定しています。

コミュニティナイトセッションセミナーでは、SOCの果たすべき役割や、効果
的に機能させるための方法、従事する人材のスキルといった内容を、デモを
交えて解説します。
SANS Tokyo 2015において開催予定の、『SEC511:Continuous Monitorting
and Security Operations』の受講を検討している企業の方は必見です。

●お申し込みはこちら
    https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o004

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.047, 048
(原版: 2015年6月16日、19日)
────────────────────────────────

◆ ホワイトハウスが基本的なセキュリティ対策の即時適用を要求(2015.6.12,13)

OPMのネットワークからデータが漏えいしたニュースを受け、ホワイトハウスは 政府機関に対し、基本的なセキュリティ対策の適用に関するディレクティブ(指 令)を発行した。この対策の中には、影響の大きい問題に対するパッチの即時適 用や攻撃インジケータを発見するためにアンチウイルスの利用することのほか、 ログの検査や2段階認証の適用および権限を与えられているユーザの適切な管理な どが含まれている。

http://www.computerworld.com/article/2935990/security0/stung-white-house-orders-rapid-cybersecurity-fixes.html
http://www.theregister.co.uk/2015/06/13/opm_hack_white_house_recommendations/
http://www.nextgov.com/cybersecurity/2015/06/white-house-tells-agencies-tighten-online-security-immediately/115216/?oref=ng-HPriver

【編集者メモ】(Pescatore)
DHSの Continuing Diagnostics and Mitigationプログラムは、この問題を解決す るために2012年に予算を付けて執行されたが、政府調達という名の魔の三角地帯の 中に消えてしまった。
【編集者メモ】(Weatherford)
今回の事件をショッキングな出来事として捉えておきながら、脆弱性に対してパッ チを適用する、ユーザアカウントの権限を制限する、使える時は2段階認証を使う といった基本的なセキュリティ対策は、あまりにも基本的過ぎて、既にこれらを行 うためのプロシージャがあるのではないかと思ってしまう。しかし、このディレク ティブをポジティブに捉え、良い判断だと称賛したい。どう捉えるかはさておき、 多くの人は、この動きがどれだけ大変なことで、さらに政府機関をこの通りに動か すことが大変かを理解できないだろう。政府機関はこれらの指令を無視する傾向が ある。きちんと対策を取っているかの判断基準は、30日以内に対応しなければなら ないという指令に対し、対応していない機関のトップが責任を取らされるか否かに あるだろう。また、30日以内に対応しきれなかった機関については、何か問題が発 生した時に、同じように短い時間で対応がとれるかどうかの判断材料にもなるだろ う。
【編集者メモ】(Henry)
友人でかつ同僚である Mark Weatherford には悪いが、この件に関しては完全に意 見が割れてしまっている。政府でこの件に関わった人が、「この指令をポジティブ に捉え、良い判断だと称賛したい」とする理由が理解できない。これは、完全にリ ーダーシップの欠如が招いた問題である。ここ10年だけで何億ドルもの税金を情報 セキュリティに投資してきた中で、ホワイトハウスは政府機関に対し、パッチの適 用とアンチウイルスの利用を促しているのだよ。冗談にしては酷い話だ。この指令 はあまりにも基本的すぎて、高校生が提案するレベルのものだ。政府機関を指令の 通りに対応させるのが大変という話や、政府機関はこれらの指令を無視することが 多いという話もあるが、完全にリーダーシップの(欠如している)問題だ。きちん とした計画と、危機感の共有、トップからのサポートおよび責任の所在を明らかに することで、この問題を解決することができるはずだからだ。攻撃者が越えてはな らない一線をきちんと引き、その線を越えた場合の影響を定義しないことについて は、あえて触れない。米国は、2007年に Comprehensive National Cybersecurity Initiative (CNCI)が発行された後、投資、実装された時よりもこの分野において は遅れを取っている。とても恥ずかしいことだ。

────────────────

◆ さらなる投資をしても米国政府のサイバーセキュリティは改善されない(2015.6.10)

ここ数年、米国連邦政府はサイバーセキュリティに対して投資をしてきたが、米国 人事局(OPM)や国税庁(IRS)、国務省など、政府機関のシステムは攻撃を受け続けて いる。サイバーセキュリティに関する問題のいくつかは、プライバシー保護、機器 の紛失・盗難、侵入の試みやインシデント検知ができていないといったことが主な 要因である。最近行われたアンケートによると、政府機関は、変化する脅威への対 応に苦慮しており、レスポンスの時間に変化は無いという。また、政府機関は請負 業者を雇っているが、これらの業者は、各機関が入れているセキュリティツールが アウトプットするデータを正しく解析できていないという。

http://www.csmonitor.com/World/Passcode/2015/0610/Despite-billions-spent-US-federal-agencies-struggle-with-cybersecurity

【編集者メモ】(Pescatore)
これは、民間とほぼ同じ状況だ。垂直的な業界(vertical industry)において、セ キュリティに一番多く投資しているところが、どの指標で計っても一番セキュアで あることは稀だ。成功事例は、IT とガバナンスが同時に対策(設定管理の向上、パ ッチを素早く適用する、IT管理者の権限の制御、安全な開発サイクル、例外処理に おける適切なプロセスなど)されたところにあり、これはセキュリティに対する投 資を「下げる」のだ。連邦政府のCIO側は、これらを無視し続けており、監査・総 括監察官側も同様に無視し続けている。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「子供に教えるインターネットセキュリティ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンライン接続が当たり前となった現代に生きる子供は、いくつかの利益を享受で
きると同時に、リスクも伴います。子供ならではの行動や振る舞いであったり、交
流の仕方を間違えると、自分自身の安全を保つことが難しくなります。しかし、子
供に難しいテクノロジーの話をしても、なかなか真意は伝わりにくくなるのがお悩
みではないでしょうか。このような問題を解決するいくつかの方法があります。今
月は、子供に教えるインターネットセキュリティについて、一般ユーザー向けにも
分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201506_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ データ漏えい事故について OPMの長官が連邦会議の公聴会で証言(2015.6.16)

米国土安全保障省の当局者は、OPMにおけるデータ漏えい事故は、データを暗号化 していてもデータは保護できなかったとしており、その根拠として、攻撃者はユー ザの認証情報を入手していたからだとしている。

http://arstechnica.com/security/2015/06/encryption-would-not-have-helped-at-opm-says-dhs-official/

ジェイソン・チャフェッツ(共和党:ユタ州選出)下院委員長は、「違う結果を得た いのであれば、別の人が必要である」としてOPMの当局者を解雇するよう大統領に 呼びかけた。

http://arstechnica.com/security/2015/06/encryption-would-not-have-helped-at-opm-says-dhs-official/

【編集者メモ】(Pescatore)
「再利用可能なパスワードの利用を避けるというアラームのスヌーズボタンを押そ う」。政府はスマートカードベースのPIVカードの利用について語っているのに、 なぜ重要なアプリケーションは、これを前提とした仕組みに変わらないのか。2014 年9月にOMBから連邦政府に提出されたAnnual FISMAレポートによると、OPMのネット ワークを利用するには、PIVの利用は一切必要としないと報告されている。
【編集者メモ】(Cornelius)
蛇の頭を刈りとることで今回の問題が解決できるとは思えない。よもや、これらの 問題がOPMのみの問題であるとは思っていないだろうか。すべての政府機関のネット ワークにおいて、もっと大きな、しかも代々受け継がれてきた問題が存在するのは 確実だ。中には、人の問題だと言っている人もいる。これは正しい。テクノロジー の問題だと言っている人もいる。これも正しい。また、政府機関におけるややこし いプロセスの問題だと言っている人もいる。これもまた正しい。私の中では、政府 は(俯瞰的に見て。素晴らしいところもあるとは思うが)サイバーセキュリティの基 本的な部分においてすべて破たんしていると思っている。浮かんでくる質問は「政 府の中で素早くセキュリティ意識を高めるためにできることは何だろう」である。 政府に対し、たくさんの良いアドバイスや投資の方向性を説く人がいると思うが、 コミュニティとして政府が実行可能なソリューションを果たして提供できるのだろ うか、甚だ疑問である。
【編集者メモ】(Honan)
これは、暗号が問題のすべてを解決する特効薬ではないと改めて再認識させる良い タイミングだ。暗号は、システムのセキュリティを保つための一つの手段であり、 他の手段と共に利用する必要があることを理解すべきだ。この公聴会はは、ITや情 報セキュリティに対する投資を減らすことは、ゆくゆく組織に対するコストを増や すということを証明する良い証拠だと思う。

────────────────

◆ OPMのデータ漏えいはレガシーシステムだけが原因ではない(2015.6.17)

米国人事管理局(OPM)の当局者は、OPMネットワークに対する攻撃が成功した要因 を、レガシーシステムの利用だと焦点に据えた。古いシステムが適切な暗号やデー タ保護手法をサポートしていないのは事実だが、適切な人材の欠如、不適切なネッ トワーク設計、セキュリティに対して先手はなく後手を打つ姿勢が結果的にデータ 漏えいした原因として挙げられる。

http://www.zdnet.com/article/feds-cyber-security-woes-cant-all-be-blamed-on-legacy-systems/

【編集者メモ】(Assante)
この記事の中で新たに挙げられたのは人材だが、この重要なポイントについて少し 深堀したい。政府機関は、重要と判断する組織や情報に対するサイバー防御に、適 切なテクニカルスキルを持った人材を、適切な人数雇い配置しなければならない。 さらに言うと、人数よりも重要なのは、防御が適切に機能するための役割やスキル が網羅されていることである。今、やらなければならないのはパッシブな防御を実 装し、それを維持しながら防御行為に先手を打ち、攻撃を素早く検知するチームを 配置するという二つのバランスを取りながら実践していくことだ。
【編集者メモ】(Murray)
今後起きる攻撃を防ぐのは必要だが、これだけで十分と言えない。ベライゾン社の Data Breach Incident Reportでは、データ漏えいを検知するのは月単位の時間軸 になるとしている。大きな組織の経営者は、データ漏えいの証拠を素早く見つける ことに注力すべきである。
【編集者メモ】(Pescatore)
たくさんの言い訳があるが、「インターネットから切り離す」という議論には二つ の大きな問題がある:(1)OPMは、一年前にもインシデントを経験しており、その問 題に対し、適切な対応がされていない、(2)内務省の共有データセンターがOPMのア プリケーションをホスティングしていたのだが、攻撃やデータ漏えいが行われてい た証拠はおろか不審な通信も無かったという。過去に連邦判事は内務省に対して、 2001から2004の間にインド事務所との通信や情報を適切に守れなかったとして、シ ステムをインターネットから切り離すよう要請していたことを思い返して欲しい。
【編集者メモ】(Weatherford)
これは、依然としてリーダーシップの問題だ。政府機関を訪れ、IT管理者やセキュ リティエンジニアを問いただせば、問題を把握しているという回答が返ってくるだ ろう。問題を修正するためのスキルは持っていないかもしれないが、問題は把握し ている。政府機関のリーダーシップは、無視し続けており、プライオリティをつけ ていない。また、破たんしているIT調達プロセス(これもリーダーシップの問題で ある)も問題を大きくしている。テクノロジーを把握している人がRFPを書く時、プ ロセスを経るのに2年かかることを承知しており、展開されるものが時代遅れにな ってしまっているのだ。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。

・セキュアEggs(IT+セキュリティ基礎)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=14

○6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価と
               エンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=15

○7月15日(水)
 ESC ESECTOR SECURITY CONFERENCE 2015 SUMMER
 ~マイナンバー制度セキュリティ対策ソリューション展示会&説明会~
http://www.nri-secure.co.jp/seminar/2015/esector01.html?xmid=300&xlinkid=16

○7月15日(水)
 SANS Tokyoコミュニティナイトセッション
http://www.nri-secure.co.jp/seminar/2015/sans01.html?xmid=300&xlinkid=17

○7月22日(水)、8月27日(木)、9月18日(金)    【7月以降、新プログラム】
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=18

○7月23日(木)、8月25日(火)、9月29日(火)    【新セミナー】
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=19

○7月24日(金)、8月26日(水)、9月17日(木)
事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○7月29日(水)、8月28日(金)、9月25日(金)    【7月以降、新プログラム】
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も。
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 「yaraiマルウェア解析サービス」
http://www.nri-secure.co.jp/service/mss/yarai.html?xmid=300&xlinkid=22

●インストール不要で、社内PC内のファイルをスキャンし、マルウェア感染の
 有無を判定。「標的型マルウェア検査サービス」
http://www.nri-secure.co.jp/service/mss/targetedmalware_scan.html?xmid=300&xlinkid=23
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。