NRI Secure SANS NewsBites 日本版

Vol.10 No.38 2015年11月06日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.38 2015年11月06日発行
**********************************************************************


────────────────────────────────
■■SANS NewsBites Vol.17 No.084-085
(原版: 2015年10月27日、30日)
────────────────────────────────

◆ ミレニアル世代はサイバーセキュリティが職業として関心がない(2015.10.26)

世界中の18歳から26歳の若い成人は、サイバーセキュリティを職業として関心を 持ってとらえていないという。その理由として、サイバーセキュリティが職業と して存在することがあまり認知されていないことがあるが、男性よりも若い女性 の方がサイバーセキュリティ分野に関して知識が無いだけでなく、興味も無いと のこと。

http://www.darkreading.com/operations/millennials-not-pursuing-cybersecurity-careers/d/d-id/1322834

────────────────

◆ 火曜に CISA の投票が行われる(2015.10.26)

国会でCybersecurity Information Sharing Act (CISA)と呼ばれる法案に対する 投票を10月27日の火曜日に行う予定である。この法案は、テクノロジー企業から 反対を受けているもの。反対の主な理由として、政府がより多くのデータにアク セスできるようになるが、それによるサイバーセキュリティの向上が見られない ことなどが挙げられる。

http://thehill.com/policy/cybersecurity/257904-week-ahead-cyber-bill-faces-final-vote


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「オンラインショッピングを安全に行うために」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クリスマスなどの贈り物を買い求めるのに、オンラインショッピングを利用する
機会が増える季節になりました。このような時期は、オンライン詐欺を行うよう
な攻撃者にとっても絶好の機会であり、様々な手段を用いて利用者を騙そうとし
ます。今月は、このような被害に遭わないために、オンラインショッピングを利
用する上での注意点について一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201511_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

・セキュアEggs(IT+セキュリティ基礎)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2016年3月2日(水)
・セキュアEggs(インシデント対応)
 2016年3月3日(木)
・セキュアEggs(Webアプリケーションセキュリティ)
 20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ 上院が CISA を可決(2015.10.27,28)

米連邦議会上院が Cybersecurity Information Sharing Act (CISA) を大差で可 決した。しかし、上院と下院で承認されたバージョンが違うため、統一されたバ ージョンを作成するための議論が必要となる。その結果を受けて統一されたもの が大統領によって承認される予定である。

http://www.theregister.co.uk/2015/10/28/senate_passes_cisa/
http://thehill.com/policy/cybersecurity/258305-overnight-cybersecurity-senate-overwhelmingly-passes-cybersecurity
http://thehill.com/policy/cybersecurity/258387-hurdles-remain-for-major-cyber-bill

【編集者メモ】(Paller / Murray)
この法案は、情報共有を行うためのものではなく、法的な責任から免除を受ける ためにある。AT&T/Verizon Protection Act と改名すべきである。この法案によ るセキュリティの向上は一切期待できない。これをセキュリティに関する法案と して米国市民に説明した上院議員たちは、過誤で訴えられるべきだ。
【編集者メモ】(Henry)
個人を特定する情報に関する議論で分からないことが多い。政府は、攻撃者に関 する情報が必要なのだ-攻撃者が利用するツール、攻撃手法、攻撃の痕跡など。 これらの情報を活用して要因などの分析を行い、攻撃者・手法を特定した上で、 商工業を攻撃から守るための対策を立てることができる。民間事業も似たような 情報が必要である。これらの情報を使って、ネットワーク内で攻撃者が活動して いるかを調査し、脅威から守らなければならない。いずれにしても、消費者や立 法者が関わるような顧客情報、機密データを共有する必要性は明らかにされてい ない。米国政府は、どのような情報が必要であるかを特定した上で、どのように 保管利用するかだけでなく、民間事業者に対する見返りも公表する必要がある。 こうすることによって、ようやく正式な情報共有フレームワークが形成される。

────────────────

◆ グーグルがシマンテックに対し証明書の発行プロセス開示を要求(2015.10.28)

今年、グーグルドメインに関わるテスト用の証明書を、シマンテックの従業員に よって誤って公開されてしまったことを受け、グーグルはシマンテックに対し認 証局としてのプロセスを開示するよう求めている。シマンテックが要求に応じな かった場合、グーグルはシマンテックが発行した証明書を使っているサイトはす べからく危険であるとサイトを訪問したユーザに通知するという。グーグルは、 調査の結果、23枚もの不正な証明書が発行されたとしている。グーグルはシマン テックに対し、次の情報開示をもとめている。なぜ、第一次報告に不正な証明書 について記載が無かったのか。今後不正な証明書を発行させない対策と手順。そ して、2016年6月1日以降にシマンテックが発行するすべての証明書がCertificate Transparency (電子透かし入り証明書)に対応すること。 となっている。

http://arstechnica.com/security/2015/10/still-fuming-over-https-mishap-google-gives-symantec-an-offer-it-cant-refuse/
http://www.computerworld.com/article/2998970/encryption/google-threatens-action-against-symantec-issued-certificates-following-botched-investigation.html
http://www.scmagazine.com/google-publishes-blog-post-railing-symantec-over-misissued-certificates/article/450394/

【編集者メモ】(Assante)
門番がドアを開けっぱなしだったらどうするか?手順を直ちに見直し、どこで問 題が起きたのかを特定し、修正するためのトレーニングを行うだろう。セキュリ ティベンダは、「responsiveness (反応性)」 を売り物にして他者との差をつけ ているのだから、今こそマーケティング資料などに書かれている、文字通りの素 早い対応が必要な時である。
【編集者メモ】(Pescatore)
これは名案だ。証明書に頼るのは、主にブラウザを介してアクセスするエンドユ ーザである。ブラウザベンダは、エンドユーザを代表して証明書の品質を上げる 必要があるだろう。なぜなら、CA 側から品質を上げるような動きが無いからだ。
【編集者メモ】(Murray)
TLS の PKI は、はじめての、かつ唯一の PKI である。PKI は基盤であるため、 適切な管理も必要だ。ブラウザベンダが統制を取るということがどこかで決まっ た訳では無いが、気付けばその状態になっているのが現状だ。このような状況下 で安定した基盤を築くためには、ブラウザベンダが権威を振りかざして、残った 我々は従うしかない。

────────────────

◆ 米国防総省が官民サイバーセキュリティ交流プログラムを拡大(2015.10.29)

米国防総省(DoD) は、官民のサイバーセキュリティ人材交流プログラムを策定し た。国防総省CIOのテリー・ハルヴォルソンは、「特定の(分野における) 問題を 解決するために民間からの助けを求めている」と述べた。このプログラムが拡大 すると、10社ものテクノロジー企業からのスペシャリストが招集されることにな る。ハルヴォルソン氏は、このプログラムの目的を木曜日にワシントンDCで行わ れた Christian Science Monitor イベントでも紹介している。

https://fcw.com/articles/2015/10/29/pentagon-cyber-exchanges.aspx
http://www.bloomberg.com/news/articles/2015-10-29/pentagon-creates-cybersecurity-exchange-program-with-industry
http://www.csmonitor.com/World/Passcode/2015/1029/Pentagon-s-top-IT-official-My-money-buys-Silicon-Valley-s-trust

【編集者メモ】(Pescatore)
これは良いプログラムだが、DoD 内でITシステムの調達および管理のプロセス変 更に繋げなければ意味がない。DoD 職員が民間のプロセスを学ぶことはいいこと だが、DoD に戻った時に前と変わらず同じことをするのではいけない。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月12日(木)、12月8日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=12

○11月13日(金)、12月9日(水)
 文書管理・ファイル共有/転送サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file06.html?xmid=300&xlinkid=11

○【東京】 11月17日(火)、12月11日(金)
 【名古屋】12月3日(木)
 【大阪】 12月2日(水)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
 http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=14

○【東京】 11月19日(木)、12月15日(火)
 【名古屋】12月3日(木)
 【大阪】 12月2日(水)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
 http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=13

○11月25日(水)                      【New!】
 改正電子帳簿保存法 規制緩和対策セミナー
 ~契約書や領収書の紙保存から脱却するには~
 http://www.nri-secure.co.jp/seminar/2015/1125.html?xmid=300&xlinkid=14

○11月27日(金)                【ご好評につき日程追加】
 NRIセキュアが考える、これからのアイデンティティ&アクセス・マネジメント
 ~第一話:クラウドIAM編~
 http://www.nri-secure.co.jp/seminar/2015/iam01.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スパムや標的型メール(スピアフィッシング)に対して機械学習技術で検知・排除
 統合型メールセキュリティソリューション「Proofpoint」
 http://www.nri-secure.co.jp/service/others/proofpoint.html?xmid=300&xlinkid=22
 
●FireEye独自の手法で、既知・未知に依存せず、脆弱性攻撃、マルウェアを検知
 「FireEye管理サービス」
 http://www.nri-secure.co.jp/service/mss/fireeye.html?xmid=300&xlinkid=23
 
●C&Cサーバアクセス時の通信内容やDNSクエリを監視し、マルウェアの侵入を検知
 「Palo Alto PAシリーズ管理サービス」
 http://www.nri-secure.co.jp/service/mss/paloaltopa.html?xmid=300&xlinkid=24
 
●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 標的型攻撃対策ソフトウエア「FFR yarai」
 http://www.nri-secure.co.jp/service/yarai/index.html?xmid=300&xlinkid=25
 
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=26
────────────────

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。