NRI Secure SANS NewsBites 日本版

Vol.11 No.19 2016年7月13日発行

■■SANS NewsBites Vol.18 No.053, 054
(原版: 2016年7月5日, 8日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

    = SANS Tokyo 2016 =
    http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間] <<満員御礼・開催中!>>
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------

 「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DHS長官が重要インフラのサイバー再編計画を推進(2016.6.30,7.1)
米国家安全保障省(DHS) のジェイ・ジョンソン長官は、上院司法委員会において、 「連邦議会に対し、DHSの運用部隊として Cyber and Infrastructure Protection Agency の設置を求めたい」と発言した。この新しい部隊は、National Protection and Programs Directorate の後継組織と位置づけられているという。

http://thehill.com/policy/cybersecurity/286277-dhs-head-pushes-cyber-reorganization
https://fcw.com/articles/2016/06/30/johnson-nppd-judiciary.aspx
http://www.judiciary.senate.gov/meetings/06/23/2016/oversight-of-the-department-of-homeland-security
https://www.dhs.gov/news/2016/06/30/written-testimony-dhs-secretary-jeh-johnson-senate-committee-judiciary-hearing

【編集者メモ】(Paller)
これは、DHSにおけるサイバーセキュリティの重要な任務であろう - DHSが保持す るデータでは、電力会社は平均で15か月もの間、侵入されていることに気付かない ことが示されていることが証明するとおり、唯一、DHS は失敗を繰り返しており、 国を危険に晒しているのだ。 - この十分な時間があれば、攻撃者はシステムの奥 まで入り込んで巨大な発電機を破壊したり、混乱を引き起こすといったことが可能 となるだろう。これまでも、DHS のマネージャやスタッフのスキルが産業制御シス テムのセキュリティ対策を行うために必要なスキルとミスマッチしており、あまり よい活動ができなかったのだから、再編成するだけでは何も変わらず、タイタニッ ク号の船上で椅子を並べ替えているだけに過ぎない。長官が本当に問題意識を抱い ているのならば、これらの攻撃を把握しているエキスパートとして外部委員会によ る監視が必要だと考える。 - もちろん、この委員会に対しては、戦略を問いただ し、従業員や請負業者に対するスキルの向上を求めなければならないが。

◆ DoJが連携によりランサムウエアを阻止することが可能と述べる(2016.6.28)
司法省でナショナルセキュリティ担当の次官補を努めるであるジョン・カーリン氏 が、Center for Strategic and International Studies (CSIS) において、法執行 機関と企業間のコミュニケーションを改善することで、ランサムウエアの脅威を阻 止することが可能であると述べた。また、同氏は「ランサムウエアの対応として個 人が支払いを続けている限り、攻撃者に新たなツール開発費用を提供しているのと 同じだ」と話した。

https://fcw.com/articles/2016/06/28/carlin-ransomware-justice.aspx

【編集者メモ】(Ullrich)
ランサムウエアに対しお金を払うのは、誘拐犯にお金を払う理由と同じである:法 執行機関は信用されておらず、脅威に対する対応が遅いと思っているからだ。ラン サムウエアの被害者に対し、法執行機関が力を発揮するためには、被害者のオペレ ーション復旧に協力する必要がある。例えば、(DoJやDHSなどの)法執行機関は、様 々なランサムウエアに対応する復号ツールの開発の手助けをするのが良いだろう。
【編集者メモ】(Honan)
ランサムウエアによる被害は、基本的なセキュリティ対策を行うことで防ぐことが できる。ここまで広がっているということは、企業や個人に対して、業界として基 本的なセキュリティ対策を適用するように啓発できていないということである。

◆ FOIA の改正法案が法律となる(2016.6.30, 7.1)
オバマ大統領が 改正 Freedom of Information Act (FOIA-情報公開法) の法案に 署名して成立させた。改正法では、「開示性について法律上の推定を規定 (訳注: 正当な理由がない限り、全ての政府機関の記録は公開するという原則を強化した) 」することで、政府機関が情報を開示しない理由を明確に述べる必要がある責任を 持たせ、情報を求める側の説明責任を減らしている。この法律では、政府機関に対 し、内部の検討について秘密にできる期間を25年と定めているほか、行政管理予算 局(OMB)に対し、FOIA で規定する単一のアクセス制御を実装したウェブサイトの 構築も求めている。

http://www.scmagazine.com/obama-signs-foia-reform-bill-into-law/article/506958/
http://federalnewsradio.com/omb/2016/06/obama-celebrates-foias-50th-anniversary-signing-update-law/
https://www.whitehouse.gov/the-press-office/2016/06/30/fact-sheet-new-steps-toward-ensuring-openness-and-transparency

【編集者メモ】(Pescatore)
FOIAは50年以上も前からある、「曖昧なセキュリティ」が機能しない初期の事例だ った。機密性の高いものに対し「口にしない」というやり方はもはや通用しない。 - それだけでなく、恥じらいの高いものなども含めた、それ以外のものに対して も同様に通用しなくなっている。100 年以上も前に最高裁判事であったルイス・ブ ランダイスは「日光は最良の消毒剤であり、電灯は最も効率的な警察である」と述 べていたが、紫外線などの新しいテクノロジーは、彼が述べたものより消毒として の効果はさらに高いものになっているが、この原理は変わらないままなのだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「CIO詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたの会社の独特な言いまわしや、連絡先などの署名は正しいのに、なぜか緊
急で送金してほしい、データを送って欲しいといった幹部からのメール。もしか
するとスピアフィッシングかもしれません。サイバー攻撃者は、組織を研究し標
的にもっとも近い担当者に向けて、このような攻撃を仕掛けてきます。今月は、
スピアフィッシングについて一般ユーザ向けに分かりやすく解説するとともに、
これらの攻撃に対する基本的な防御方法をご紹介します。社員の意識向上ツール
としてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201607_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 欧州議会がサイバーセキュリティ法案を承認(2016.7.6)
欧州議会は、「EUのメンバー間でのネットワークおよび情報セキュリティに関して 共通レベルを規定し、メンバー間での協力も強化して、相互接続されているヨーロ ッパ内の重要なインフラに対するサイバー攻撃を防ぐ」ことを目的にしたサイバー セキュリティ法案を承認した。この新たな法律は、金融、エネルギー、輸送やテク ノロジーなど、様々なビジネス分野に影響を与えると見られている。

http://www.zdnet.com/article/european-lawmakers-approve-new-cybersecurity-law/
http://www.bloomberg.com/news/articles/2016-07-06/european-union-s-first-cybersecurity-law-gets-green-light
http://www.europarl.europa.eu/news/en/news-room/20160701IPR34481/Cybersecurity-MEPs-back-rules-to-help-vital-services-resist-online-threats
http://www.europarl.europa.eu/news/en/news-room/20160701STO34371/Cyber-security-new-rules-to-protect-Europe's-infrastructure

【編集者メモ】(Pescatore)
公開されるまでは詳細を見ることはできないが、ヨーロッパ域内をグローバルにビ ジネス展開している企業にとって、EUのセキュリティを調和させる共通したアプロ ーチがあるのは良い事だろう。ヨーロッパ諸国で異なるプライバシーに関する法律 や組合の契約に対する規制に対し、どのような影響があるかは分からないし、英国 は「Brexit」(英国のEU離脱)のため、独自に決断しなければならないので、ウォ ッチしておかなければならない。 - 独自路線で行くのか?はたまた、EUと同じ路 線で行くのか?
【編集者メモ】(Honan)
これはとても歓迎する動きで、EUにおけるサイバーセキュリティに関して大きな影 響を与えるだろう。すべての加盟国で、サイバーセキュリティに関して最小限の要 件が定義され、実装されることとなった。例えば、National CSIRTの設置が上げら れる。この法律のフォーカスは、重要インフラであるが、サプライチェーンの中に いる様々な組織が影響を受けるだろう。

◆ 報告:IRS退職者のアクセスキーなどが失効できてない可能性(2016.7.7)
Treasury Inspector General for Tax Administration (TIGTA) の報告書によると 、米国税庁(IRS) の職員が物理的に建物やコンピュータネットワークにアクセスす るための鍵や職員証などを、退職者から回収したか確認できていないことが明らか となった。TIGTA は、退職した従業員に関するガイダンスを更新することを推奨し ており、さらにセキュリティアイテムの返却に関しては、記録を取り、退職者によ る物理的かつデジタルなアクセス権限が確実に破棄されていることを保証すること を求めている。

http://www.nextgov.com/cybersecurity/2016/07/watchdog-former-irs-employees-might-still-have-access-computers-facilities/129729/?oref=ng-HPtopstory
http://www.accountingtoday.com/news/tax-practice/fired-irs-employees-dont-always-have-access-revoked-78616-1.html

【編集者メモ】(Williams)
定期的な監査で使用されていないアカウントを精査することにより、アクセス権限 を失効させていない元従業員を見付けやすくなる。

◆ Googleが量子コンピュータによる攻撃を防ぐ新たな暗号を検証(2016.7.7)
Googleは、Chromeブラウザに搭載する新しい暗号の試験を開始した。この暗号は、 量子コンピュータによる攻撃から保護するのが目的とのこと。Googleは今後、少数 のGoogleサーバとデスクトップ用のChrome間の接続において、量子暗号を使った鍵 交換アルゴリズムを追加する予定だという。

https://www.wired.com/2016/07/google-tests-new-crypto-chrome-fend-off-quantum-attacks/
http://www.zdnet.com/article/google-is-experimenting-with-post-quantum-cryptography/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月14日(木)、8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月27日(水):名古屋
 8月25日(木)、9月15日(木):東京
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。