NRI Secure SANS NewsBites 日本版

Vol.11 No.20 2016年7月22日発行

■■SANS NewsBites Vol.18 No.055, 056
(原版: 2016年7月12日, 15日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

    = SANS Tokyo 2016 =
    http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間] <<満員御礼>>
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
 [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 「NIST Cybersecurity Framework」実践のための必須ドキュメント
  20のコントロールで飛躍的なセキュリティレベル向上
  ダウンロードはこちらから↓↓↓
  https://www.cisecurity.org/critical-controls.cfm
  ----------------------------------------------------
 「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
  http://sans-japan.jp/courses/sec566.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ EU諸国が Privacy Shield を承認(2016.7.8,9,11 )
EUに加盟する28か国の各代表が、EU-US間のデータ移転協定である Privacy Shield の最終案を承認した。Privacy Shieldは、昨秋に欧州司法裁判所が却下したセーフ ハーバー協定の後継となるものである。今後、欧州委員会がPrivacy Shieldの最終 案を承認した後で発効される見込み。EUのプライバシー権利擁護団体は、この最終 案に対してEU市民のプライバシーが適切に保護されないという理由から、法廷で異 議を唱えることが濃厚とみられている。

http://thehill.com/policy/cybersecurity/287067-week-ahead-eu-set-to-finalize-new-data-pact
http://www.eweek.com/security/european-member-states-approve-privacy-shield-agreement.html
http://www.bbc.com/news/technology-36744928
http://www.scmagazine.com/privacy-shield-gets-nod-from-eu-ripe-for-judicial-challenge/article/508720/

【編集者メモ】(Honan)
この問題は解決しておらず、欧州裁判所でその妥当性が証明されることだろう。 Justice, Fundamental Rights and Citizenship の元欧州委員会委員であるヴ ィヴィアン・レディング氏は、プレスリリースで「米国の公共団体が、EUから 移転されたデータへのアクセスに関して不安はあるが、この Privacy Shield を生きた協定にし、必要に応じて強化し、最終的には監視社会に終止符を!」 と語っている。
【編集者メモ】(Murray)
ようやく事態が動き出した。この協定の鍵を握っているのは、オバマ大統領が 承認した司法是正法 (Judicial Redress Act) である。読者の中に覚えている 方もいると思うが、セーフハーバー協定が却下された理由は、セーフハーバー 協定がEU市民に対し、EUの法律と同レベルの是正が行なわれる見込みがないか らである。この司法是正法は、米国市民に与えられたプライバシー保護法に対 する是正要求の権利を拡大するだけではなく、EU市民にも与えるものだ。この 権利は、政府に対してのみ行使できるもので、通信事業者や ISP、検索企業、 銀行や小売店には適用されないので、訴訟などの乱発も防げるだろう。

◆ SWIFTがサイバーセキュリティの強化を目的に外部の企業と契約(2016.7.11)
SWIFT は、金融取引用通信システムを悪用した不正送金に関する事件が相次い で公開されたことを受け、サイバーセキュリティの強化を目的にセキュリティ 会社 2社と契約をした。この2社は、SWIFT 内のinternal Customer Security Intelligence team と連携する予定だという。

- http://thehill.com/policy/cybersecurity/287208-banking-network-hacked-in-81m-heist-hires-outside-cyber-team
- http://www.computerworld.com/article/3093943/security/swift-brings-in-external-support-as-it-fights-wave-of-bank-hacks.html
- http://www.scmagazine.com/swift-hires-two-cybersecurity-firms-in-wake-of-digital-heists/article/508722/
- https://www.swift.com/insights/press-releases/swift-engages-expert-cyber-security-firms-and-establishes-dedicated-customer-security-intelligence-team-0?

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「CIO詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたの会社の独特な言いまわしや、連絡先などの署名は正しいのに、なぜか緊
急で送金してほしい、データを送って欲しいといった幹部からのメール。もしか
するとスピアフィッシングかもしれません。サイバー攻撃者は、組織を研究し標
的にもっとも近い担当者に向けて、このような攻撃を仕掛けてきます。今月は、
スピアフィッシングについて一般ユーザ向けに分かりやすく解説するとともに、
これらの攻撃に対する基本的な防御方法をご紹介します。社員の意識向上ツール
としてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201607_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)

 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ランサムウエア報告に関するHIPAAのガイダンス(2016.7.14)
米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) に基づく新しい ガイダンスでは、ランサムウエアによる攻撃を受けた場合、直に保健社会福祉省 (HHS) に報告することが規定されている。このガイダンスでは、ランサムウエア による攻撃を防ぐ手法や、医療分野に特化したリカバリ手法だけではなく、ラン サムウエアによる攻撃へのレスポンスとして HIPAAに対する報告プロセスをどの ようにして管理すべきかについても書かれている。

- http://www.scmagazine.com/hhs-healthcare-groups-must-report-all-ransomware-attacks/article/509630/
- http://www.healthleadersmedia.com/leadership/cms-offers-hipaa-guidance-ransomware#
- http://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf

【編集者メモ】(Pescatore) この HHS ガイダンスでは、攻撃者が個人健康情報 (PHI) を含むファイルを暗号 化できた場合、攻撃者がファイルを「入手した」こと(報告が必要)になるだけ ではなく、「情報管理者によるデータへのアクセスに影響を与えたことになるの で、これも報告の対象である」と書かれている。後者の条件においては、事前に データを暗号化した状態で保持していたとしても、ランサムウエアによる攻撃で もう一度暗号化された場合においても報告が必要ということになる! また、ガイダンスによると、「リスクアセスメントを行うことで、報告の不必要 性を証明することができる」としている。 【編集者メモ】(Northcutt) HHS Fact Sheet の 2ページ目に魔法の言葉が書かれている。 それは「バックアップ」だ。頻繁にバックアップを取り、バックアップからの復 元もテストし、オフサイトのバックアップも確保することで、次の脅威への対応 を考えるのだ。

◆ FDICシステムに対する侵入が報告されていない(2016.7.13,14)
Science, Space, and Technology に関する下院委員会へのレポートによると、 中国政府は、米国連邦預金保険公社 (FDIC) 内のコンピュータに対し、2010年か ら 2013年の間に数回不正アクセスをしていたことが書かれている。12台のユー ザ用パソコンと、10台のサーバ内からバックドアが見つかっているとのことだが 、これらのインシデントは当局に報告されていないという。

- http://www.nbcnews.com/tech/security/chinese-government-suspected-hacking-fdic-computers-n609206
- http://thehill.com/policy/cybersecurity/287561-chinese-government-likely-hacked-fdic-report
- http://www.computerworld.com/article/3095295/security/chinese-hackers-blamed-for-multiple-breaches-at-us-banking-agency.html
- http://arstechnica.com/security/2016/07/fdic-was-hacked-by-china-and-cio-covered-it-up/

【編集者メモ】(Paller) 靴職人の子供(身近なものには気が回らないという諺):民間のサイバーセキュ リティを監督する責任がある連邦政府関係機関は、これまでに厄介なパターンを 作り上げてしまった;最初は DHSで、内部では効果の無い弱いセキュリティコン トロールの実装や、対応スキルの低さがある。これは、重要なインシデントに関 する情報を公開しないだけでなく、得られた教訓も公開していないことと重なり 、非常に良くないことである。

◆ フィアットクライスラーがバグバウンティプログラムを開始(2016.7.13)
自動車メーカーのフィアットクライスラーは、自社の自動車ソフトウエアに含ま れる脆弱性の報告に対し、一件につき最大で $1,500USDを支払うことを公表した 。なお、本取組みは自動車メーカーではフィアットクライスラーが初めてではな く、Tesla社が昨年に同様の取り組みを開始している。 GMにも脆弱性報告プログ ラムはあるが、提供された情報に対する報奨金などの支払いは行っていない。

- http://www.nbcnews.com/tech/tech-news/fiat-chrysler-offers-hackers-bounty-report-cyber-threats-n608416
- http://www.theregister.co.uk/2016/07/13/fiat_chrysler_bug_bounty/
- https://www.wired.com/2016/07/chrysler-launches-detroits-first-bug-bounty-hackers/
- http://arstechnica.com/cars/2016/07/bug-bounties-and-automotive-firewalls-dealing-with-the-car-hacker-threat/

【編集者メモ】(Pescatore) 成功事例が増えることで、適切に管理されたバグバウンティプログラムの効率性 と有効性を示すことになるだろう。この中で、強調されるべきは、「適切に管理 されている」ということだ。このような競合が現れたことで、アプリケーション セキュリティテストサービスを提供している業界の反応があると良いと個人的に 感じている。 【編集者メモ】(Assante) 脆弱性検出の作業とシステム統合による攻撃面とパスのレビューは、物理的なサ イバー設計とテストプロセスにおいて重要なツールである。最終的なゴールは、 リリースする前の段階で意図的に考え、減らし、理解し、ソフトウエアプラット フォームのバージョン管理を適切に行うことである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月27日(水):名古屋
 8月25日(木)、9月15日(木):東京
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。