NRI Secure SANS NewsBites 日本版

Vol.11 No.13 2016年5月31日発行

■■SANS NewsBites Vol.18 No.041, 042
(原版: 2016年5月24日, 27日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間]
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 連邦政府の人事とサイバーセキュリティ(2016.5.20)
ホワイトハウスは、連邦政府内の人事関連部署に対し、サイバーセキュリティに関 わる人材を雇う上での人事戦略を発行するとしている。サイバーセキュリティに関 する人材を引き付けるために人事戦略を変える必要があると以前から指摘されてい るが、多くの政府機関は、この問題を適切に解決していないのが現状だ。政府機関 内のサイバーセキュリティ幹部にアンケートを取ったところ、人事部はサイバーセ キュリティを「重要ではない」または「非常に重要ではない」と回答しているとい う。

http://www.nextgov.com/cio-briefing/wired-workplace/2016/05/does-your-hr-office-really-get-cybersecurity/128492/?oref=ng-channelriver

【編集者メモ】(Henry)
政府機関内で多くの人事部がサイバーセキュリティを「重要ではない」または「非 常に重要ではない」と評価しているのは、リーダーシップの考えを反映していると 考えて良いだろう。私は24年間、連邦政府内にいたことがあり、さらに組織の幹部 として人事戦略に深く関わっていたこともあるが、人事部だけで機関の人事戦略を 決めることはなく、必ず幹部から優先事項や目的を提示された上で決めるものだ。 もっとも、この戦略は、政権から提示されるべきだったのだが…。サイバーセキュ リティの専門家を雇うために政府内の戦略を 8年前に作ったが、残念ながらきちん と適用されていないのが現実である。

◆ 日本で重要インフラを守るための新しい政府機関が設立される(2016.5.20)
日本は、国内の重要インフラをサイバー攻撃から守るための政府による専門機関を 設立する予定だと発表した。「産業サイバーセキュリティ推進機構」(仮称)は、 2017年から稼働する予定だという。この機関は、2020年に東京で開催されるオリン ピック・パラリンピックまでに重要インフラをサイバー攻撃から守れるようになる という目的で設立されるものであり、この機関は大きく二つの部門に分かれること になる。一つは研究、もう片方は、能動的な対応を行うという。

http://news.softpedia.com/news/japan-to-create-cyber-defense-government-agency-to-protect-scada-infrastructures-504293.shtml

◆ 米下院議員が他の議員に対して、基本的なセキュリティ対策を取るよう呼びかけ(2016.5.23)
テッド・リウ下院議員 (民主党-カリフォルニア州)およびウィル・ハード下院議員 (共和党-テキサス州) は、他の議員に対し、サイバーセキュリティに関する脅威の 警告と情報資産を守るためのアドバイスを綴った、 「Dear Colleagues」と題する レターを送ったという。リウ議員とハード議員は、他の議員に対して、「利用して いるデバイスは常にサイバー攻撃において攻撃対象となる」ことを警告し、強いパ スワードの設定や 2段階認証の利用、そして信頼できるネットワークにしか接続し ないといった具体的な対策を講じるよう呼びかけた。また、立法者に対しては、メ ッセージングのアプリを利用する場合は、エンドツーエンドでメッセージを暗号化 するアプリを利用するように呼びかけている。

http://thehill.com/policy/cybersecurity/280934-lawmakers-urge-colleagues-to-use-encryption
https://fcw.com/articles/2016/05/23/hurd-lieu-cyber.aspx
http://www.zdnet.com/article/congress-is-so-bad-at-cybersecurity-one-lawmaker-is-now-sending-advice/

【編集者メモ】(Pescatore)
リウ議員とハード議員が、他の議員に対し基本的なセキュリティ対策を講じるよう 呼びかけているのは素晴らしいことである。また、ホワイトハウスの CIOにも同様 に呼びかけているらしい。彼らは 15年間もの間、政府機関内のPKIインフラや似た ような事案に投資を続けてきているが、政府内のメールの何割が暗号化されている のか調査していただきたいものだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「モノのインターネット(IoT)」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやスマートフォンだけではなく、日常生活で利用するデバイスがインタ
ーネットに接続できるようになってきました。しかし、スマートフォンのような
モバイルデバイスと同様に、固有のセキュリティ問題を抱えています。今月は、
これらの問題とリスクについて一般ユーザ向けに分かりやすく解説するとともに
、IoTデバイスを安全に利用する方法をご紹介します。 社員の意識向上ツールと
してお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201605_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年6月9日(木)-10日(金) <<満員御礼>>
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ CIOたちは組織的サイバー犯罪が事業運営に対する一番の脅威と理解(2016.5.25)
Nash/KPMG 2016 CIO Survey によると、回答者の1/3が、ここ2年の間でITにおいて 緊急を要する事態の発生やサイバー攻撃を経験したとしている。 また、CIOたちは 組織的サイバー犯罪が事業運営において一番の脅威であると語っている。その他の 調査で明らかになったのは、46%のCDO(Chief Digital Officer) が CEOに直接報告 を行っているが、そのうち21%しかCIOに報告を行っていないこと。さらに回答者の 65%が、テクニカルな人材不足によって、日々 目まぐるしく変化するデジタル環境 に対応できなくなってしまうだろうとしている。調査の対象は、82ヶ国から 3,352 人のCIOにご協力を頂いたもの。

http://www.hnkpmgciosurvey.com/press-release/
http://www.v3.co.uk/v3-uk/news/2459397/cios-list-organised-cyber-crime-as-the-biggest-threat
http://www.v3.co.uk/v3-uk/news/2459136/cdos-twice-as-likely-to-report-to-the-ceo-than-to-the-cio

【編集者メモ】(Pescatore)
調査の詳細はまだ明らかになっていないが、大半の「IT緊急対応事例とサイバー攻 撃」が起きた原因は、ITにおいて基本的なセキュリティ対策が講じられていなかっ たことによるものだと思っている。また、調査対象の Chief Digital Officerに会 うことができたならば、この事実を確かめてみたい。
(CDOが何をしているか(DO)、聞いてからだが…)
【編集者メモ】(Williams)
この調査の中で一番興味深かったのは、アウトソーシングがコストを削減するため に活用されているのではなく、対応を行うための柔軟なスキルを身につけるために 活用されていることだ。多くの組織幹部は、自組織の従業員よりも請負業者の人に 多くのお金を支払う場合、アウトソーシングに消極的になる傾向があるが、自組織 内で適切なスキルを持っている人材がいない場合は、この考えは無効になる。これ は、人材不足が騒がれている情報セキュリティ分野において特に正しいと言える。
【編集者メモ】(Murray)
これは理論上、全て正しい。テクノロジーを有効に活用する限界は、これらを最大 限活用できる人材が不足すると出てくるものだ。市場は、多少なりとも補う役目を 果たしているが、マーケットシグナルに気付いて対応するには時間がかかる。だか らこそ、人材の発掘、教育、そして留保は管理機能として必須なのだ。外部から雇 うよりも、教育して留保する方が、結果的にお金がかからないのである。

【編集者メモ】
この連休に考えるべきことは二つある。この調査が語るようにサイバー犯罪が一番 の脅威である場合、組織内で一番の脅威であるかのように対応はしているのか? そして、どんな対応をしているのか? 二つ目は、テクニカルな人材が不足してい るのであれば、ただ問題を眺めているだけでなく、実際にどのように問題を解決し ようとしているのか? だろう。

◆ SWIFTのセキュリティ戦略(2016.5.24)
Society for Worldwide Interbank Financial Telecommunication (SWIFT) のゴッ トフリード・リーブラント CEOは、メンバー組織に対してサイバーセキュリティ強 化のための詳細な戦略を公開した。 5つのパートに分けられている戦略は、グロー バルな金融コミュニティ内での情報共有の強化、顧客管理のソフトウエアのセキュ リティ要件の強化、顧客のためにガイドラインの強化およびセキュリティ監査のフ レームワーク作成、支払いパターンの制御の推進、そしてサードパーティベンダの 認証要件を策定することが。となっている。

http://www.scmagazine.com/swift-exec-unveils-info-sharing-plan-calls-bangladesh-a-watershed-event/article/498583/
http://ww2.cfo.com/cyber-security-technology/2016/05/swift-launches-plan-brace-networks-security/

SWIFT のプレスリリース:
https://www.swift.com/insights/press-releases/gottfried-leibbrandt-on-cyber-security-and-innovation

【編集者メモ】(Murray)
ここ数年、組織がベンダのせいで攻撃される事例が増えた。つまり、重要度の高い サービスを提供するベンダが顧客によって攻撃されるということである。国際銀行 業務は、信頼の輪の上で成り立っており、銀行は顧客を把握する必要があるだけで なく、譲渡人とコルレス銀行 (編集部注:海外送金などにおいて通貨の中継地点と なる銀行のこと) を把握する必要がある。 SWIFTは、銀行同士がお互い、国際間で 瞬時に把握できるようになるための基盤を提供しているのだから、この基盤を守る 必要がある。なぜなら、破たんした場合、国際貿易と商取引が停滞してしまうから だ。

◆ Bangladesh Central Bankの調査を行っている企業が、さらに他の12行も調査(2016.5.26)
Bangladesh Central Bankで起きた不正取引を調査している企業が、さらに 12の銀 行からコンタクトを受け、同様の調査を行っている。これらの銀行はすべて SWIFT ネットワークを活用しており、バングラデッシュの銀行から約8,100USDを盗むため に悪用された経緯があるとされている。

http://www.computerworld.com/article/3075450/security/up-to-a-dozen-banks-are-reportedly-investigating-potential-swift-breaches.html
http://arstechnica.com/security/2016/05/12-more-banks-now-being-investigated-over-bangladeshi-swift-heist/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月1日(水)~3日(金)
 AWS Summit Tokyo 2016
 http://www.nri-secure.co.jp/seminar/2016/aws_summit_2016.html?xmid=300&xlinkid=09

○大阪:6月10日(金)
 東京:7月15日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

○6月15日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○6月29日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。