NRI Secure SANS NewsBites 日本版

Vol.11 No.22 2016年8月9日発行

■■SANS NewsBites Vol.18 No.059-062
(原版: 2016年7月26日,29日, 8月2日,5日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全7コースを開催予定!

     = SANS Tokyo 2016 =
     http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門。
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  <<残席僅か>>

 ◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰がまた東京に

 [☆日本初開催☆]
 ◆FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
  マルウェア解析の基本的なツールとテクニックを効率的に習得
  マルウェア解析の専門性を高めたい方は必見のコースです
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
 ◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!

 [☆日本初開催☆]
 ◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
  Critical Security Controlsを真に理解するならこのコース
  CSCの実装や監査に必要となるツールやテクニックを習得できます


 [☆日本初開催☆]
 ◆FOR578:Cyber Threat Intelligence
  インテリジェンスで武装したインシデントレスポンスを求める方に
  攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

【SEC401:Security Essentials Bootcamp Style】
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
  ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------

 「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆SANS Tokyoコミュニティ ナイトセッション
 日時:2016年8月18日(木) 18:15~19:30 (受付開始:18:00)
 会場:大手町サンケイプラザ3F ルーム311, 312
 『Attacking Your Network is Boring』
 ※同時通訳付き

 講演者:
 Tim Medin(SANS認定インストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans03.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 米国の重要インフラとサイバー攻撃対策の備えについて(2016.7.21)
米国土安全保障省(DHS) Cybersecurity and Communicationsのアンディ・オズメン ト次官補は、先週行われた Chemical Sector Security Summitにおいて、昨年12月 に起きたウクライナの電力網への攻撃は、米国内の重要インフラ事業者に対しても 「警鐘を鳴らすべき」出来事であると述べた。 同次官補は、今回の攻撃が 「攻撃 から身を守るためのテンプレートになる」とも語っている。

https://fcw.com/articles/2016/07/21/dhs-cyber-chemical.aspx

【編集者メモ】(Assante)
12月にウクライナで起きた攻撃から学ぶべき教訓はたくさんあるが、インフラ事業 者には「テンプレート」の考え方に対して注意を促したい。攻撃には様々な段階が あり、プロセスや運用を把握したり、プロセスを変更することもできる。さらに攻 撃者は特定の戦術や技術を駆使して ICSを破壊することも可能である。攻撃者は次 の攻撃では適応能力や知性を証明するために異なる手法を用いるだろう。そのため に、我々は E-ISAC (電力ISAC)と共同で防御事例を作成しており、特定の攻撃への 対策だけでなく、今後の攻撃手法の発展についても記載しているのだ。
【編集者メモ】(Honan)
何度「警鐘」を鳴らせば社会はサイバーセキュリティ対策を行うのだろうか? ベンダや企業はシステムをセキュアにし、何か起きた際には自ら責任を負わなけれ ば、セキュリティはプライオリティの低いものとして扱われ続けるだろう。

◆ イリノイ州がStingrayで取得したデータの利用を制限する法律を制定(2016.7.25)
米国自由人権協会 (ACLU) は、イリノイ州知事であるブルース・ラウナー氏が審議 中であった Senate Bill 2343を承認したと発表した。この法律は、Stingray と呼 ばれるセルサイトシミュレーター (携帯電話基地局になり済まし、位置情報や携帯 電話内のデータを取得する機器) を用いた情報収集の制限と「透明性を向上させ」 ることを法執行機関に要求している。また、法執行機関が同シミュレーターを使う 際には、令状を事前に入手することも求めている。イリノイ州の上院議員であるダ ニエル・ビス氏がこの法律の発起人である。

http://www.scmagazine.com/illinois-stingray-bill-praised-by-aclu/article/511666/
http://www.evanstonroundtable.com/main.asp?SectionID=15&SubSectionID=26&ArticleID=12296
http://www.aclu-il.org/statement-governor-bruce-rauner-signs-senate-bill-2343-cell-site-simulator-regulation/

【編集者メモ】(Murray)
令状を事前に入手する条件を追加したことは、人権侵害の懸念があるという問題に 対して解決手段の一つになるだろう。しかし、これは、法執行機関が裁判所から令 状を事前に入手することを避けるために、新たな捜査手法を用いることが考慮され ていないのが気がかりだ。

────────────────
◆ ランサムウエアの被害者を助けるポータルサイトが開設(2016.7.25)
欧州警察組織が、オランダ国家警察、Kaspersky Lab、および Intel Securityと共 同で「No More Ransom」と呼ばれるポータルサイトを開設した。このポータルサイ トは、ユーザに対しランサムウエアに関する教育を行うだけでなく、身代金 (ラン サム) を支払わずにファイルをリカバリするためのツールやリソースを提供するこ とを目的としている。このサイトは、特定のランサムウエアによるファイルロック を解除するためのツールや感染したパソコンからファイルをアップロードし、どの マルウエアに感染したかを特定するための機能も用意されている。

http://www.bbc.com/news/technology-36883056
http://www.zdnet.com/article/this-initiative-wants-to-help-ransomware-victims-decrypt-their-files-for-free/
http://www.darkreading.com/vulnerabilities---threats/new-portal-offers-decryption-tools-for-some-ransomware-victims/d/d-id/1326384?

【編集者メモ】(Murray)
ランサムウエアによる攻撃は、リカバリするよりも防ぐ方が簡単である。必要な対 策 (制限されたアクセス制御) に、周りが思っているほど手間はかからないのだ。
【編集者メモ】(Honan)
これは、サイバー犯罪対策をする上で官民連携が上手くいった事例である。このポ ータルは、ランサムウエアに感染したユーザにとって、とても役に立つものになる だろう。しかし、すべてのランサムウエアが含まれている訳ではないことに注意し なければならない。例えば、Locky とその亜種などが好例だろう。そのため、治療 (対策) よりも防御の方が良いことに変わりはない。また、ここではランサムウエ ア対策において良いリソースが提供されている。その中には、IoC や様々なランサ ムウエアをブロックするための手法が含まれている。

◆ OMBが連邦政府のInformation Policyに関するフレームワークを更新 (2016.7.27)
米行政管理予算局 (OMB) が連邦政府のInformation Policy のフレームワークであ る「Circular A-130」を更新した。このドキュメントが最後に更新されたのは、15 年以上前の 2000年であった。

- https://fcw.com/articles/2016/07/27/omb-a130-update.aspx
- https://www.whitehouse.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf

【編集者メモ】(Paller)
改訂された A-130の中でセキュリティに関する事項は、連邦政府の情報システムを 守ることが難しい原因となる基本的な間違いをさらに強めてしまっている - 政府 機関はセキュリティ脅威に関するレポートを書くことだけに責任があり、守ること ができるシステムを買う責任を負っておらず、プライオリティの高い問題の修正や 侵入者を素早く見つけて追い出すことなどについても責任が無いのである。OMB は 恥をさらしたように思う。連邦政府の優先順位を変えるチャンスがあったが、この A-130 ポリシーの問題を解消するために また 16年間もの間待たなければならない のだろうか?
【編集者メモ】(Pescatore)
新しいドキュメントを眺めても「Chief Information Security Officer」「Chief Security Officer」という単語が見当たらない。必要事項として記載されているの は、CIO が「senior agency information security officer」を任命することだけ である。これは、義務に関する問題は解消されるかもしれないが、政府のセキュリ ティにおける権力の問題は解消されない。 A-130が政府の監査人の基盤となるもの であるため、同じ項目で別の問題を指摘する。政府機関は、セキュリティの要件や ポリシーを、OPM、GSA、DHSやNIST から発行されたものをそれぞれ確認しなければ ならない。これは、Tony Sageer氏が「よりたくさんの霧(fog of more)」と称した ものの続きである。
【編集者メモ】(Murray)
OMB A-130 が発行された当時、コンピュータはとても高価だったがハードウエアを 買うことが全てだった。そして時の試練に耐えた結果 (Ed Springer ありがとう) 陳腐化してしまった。今では「連邦政府の情報、人事、機材、予算、ITリソースと 関連するインフラとサービスの計画、予算編成、ガバナンス、購買、そして管理に 関するポリシーを制定する」ものである。 「Basic Considerations」 を読むこと で方向性を定めている前提条件が分かるだろう。

◆ サイバー攻撃対応に対する大統領指令(2016.7.26)
米国大統領指令において、サイバー攻撃対応に関する指揮系統の明確化が行なわれ た。司法省の National Cyber Investigative Joint Task Force と FBI が、サイ バー攻撃のレスポンスに関する調整の責任を負うことになる。 米国土安全保障省(DHS) は影響を受けている組織のリカバリを支援し、分析やイン テリジェンスに関しては、国家情報長官のオフィスが指揮を執ることになる。

- http://www.computerworld.com/article/3100625/security/fbi-to-lead-nations-cyberattack-responses.html
- http://federalnewsradio.com/cybersecurity/2016/07/white-house-clarifies-agencies-roles-responding-major-cyber-attacks/
- http://www.nextgov.com/cybersecurity/2016/07/obama-establishes-cyberattack-response-chain-command/130232/?oref=ng-HPtopstory
- https://www.whitehouse.gov/the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident

【編集者メモ】(Williams)
ポリシーの観点から見ると、これは一歩前進である。多くの政府機関はサイバーで 行なわれる事案に関して調査や対応機能を構築しているが、どのようにして活用さ れるのか (そしてどの権力の下で動くのか) 、きちんと理解していない。このドキ ュメントは、これらを明確にしている。
【編集者メモ】(Pescatore)
このサイバーインシデントの定義がとても広い。その上、プロセスが国土安全保障 とテロ対策に偏っている。
【編集者メモ】(Assante)
High Consequence Cyber-induced Events (HCCE) は、多角的に得ることができる。 そして、米国政府は、結果的に信用と背景を考慮した上で体制を整える準備ができ ている。このスキームはとても幅が広い。あるべき論に終始するのもわかるが、今 後もきちんと定義することは難しいだろう。

◆ IRSの「Get Transcript」詐欺者に懲役刑(2016.7.27)
米国税庁 (ITRS) の「Get Transcript」ツールの脆弱性を悪用した 2名が懲役刑を 言い渡された。Anthony Alikaと Sonia Alikaの両氏は、IRSのサイトから窃取した 情報を用いて偽の所得税申告書を提出し、不正に税金の払い戻しを受けた罪に問わ れていたもので、合計で100万USDをロンダリングしていたという。Anthony Alika 氏は約 7年、Sonia Alika氏は約 2年の懲役刑を受けることになる。さらに二人は IRSに対して、賠償金200万USDを支払うことになる。

http://www.theregister.co.uk/2016/07/27/sentencing_in_irs_get_transcript_scam/
https://www.justice.gov/opa/pr/georgia-couple-sentenced-prison-stolen-identity-tax-refund-fraud-scheme-involving-irs-get

◆ Citibankの内部ルータを妨害した者に懲役(2016.7.27)
2013年12月に、銀行の内部ネットワークにあるコアルータの設定ファイルの中身を 消去するコマンドを送った Citibank の元従業員に対し、21か月の懲役刑が言い渡 された。Lennon Ray Brownは、意図的にパソコンに損害を与えたことに対し罪を認 めている。この行為によって、Citibank の 9割の支店で機能が停止していた。

http://www.theregister.co.uk/2016/07/27/citibank_network_wipe_man_jailed/
https://www.justice.gov/usao-ndtx/pr/former-citibank-employee-sentenced-21-months-federal-prison-causing-intentional-damage

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「ランサムウエア」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ランサムウエアとは、マルウェアの一種であり、感染するとハードディスク上の
様々なファイルを暗号化してアクセスできなくしてしまいます。さらに、この暗
号化されたファイルを復活させるには、「鍵」が必要であり、感染した被害者に
「鍵」を入手するようにランサム(身代金)を要求してきます。今月は、このラ
ンサムウエアに対抗するために定期的なバックアップと、バックアップデータか
らのリカバリ手順を確認することの重要性について一般ユーザ向けに分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201608_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

・セキュアEggs(IT+セキュリティ基礎)
 2016年9月8日(木)-9日(金)
 2017年1月19日(木)-20日(金)

・セキュアEggs(フォレンジック)
 2016年9月15日(木)
 2017年1月26日(木)

・セキュアEggs(インシデント対応)
 2016年9月14日(水)<満員御礼>
 2017年1月25日(水)

・セキュアEggs(Webアプリケーションセキュリティ)
 2016年9月16日(金)
 2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DoJ当局者:起訴はサイバー犯罪に対して強い抑制効果を持っていると発言(2016.8.1)
コロラド州で開催された Aspen Security Forum にて、ナショナルセキュリティ担 当のジョン・カーリン司法次官補は、外国からのサイバー攻撃を抑制するために起 訴や制裁処置は効果的であると語った。さらにカーリン氏は、Sony Pictures のよ うに攻撃が行われたことを公開することで、攻撃者の行動を変える効果があるだけ でなく、他の攻撃者にも影響を与えるとした。

http://federalnewsradio.com/cybersecurity/2016/08/doj-cyber-indictments-sanctions-tell-nations-get-off-lawn/

◆ ロシア:重要インフラのシステムがマルウエアに感染していると語る(2016.8.1)
ロシアの Federal Security Service (FSB) が、連邦政府とかかわりのあるネット ワークを管理している 20社がマルウエアに感染している形跡があると語った。 そ の中には、国内の重要インフラに関わるものもあるという。このマルウエアに感染 すると攻撃者は、カメラやマイクを起動させ、スクリーンショットを撮ったり、キ ーストロークを記録したりすることができます。最初の感染は、フィッシングメー ルによるものだという。

https://fcw.com/articles/2016/08/01/rockwell-russia-fsb-cyber-hack.aspx
http://www.theregister.co.uk/2016/08/01/russia_reports_rat_scurrying_through_govt_systems_chewing_data/
http://www.computerworld.com/article/3102178/security/russia-says-spies-planted-malware-on-critical-infrastructure.html http://www.bbc.com/news/world-europe-36933239

【編集者メモ】(Williams) この発表は、民主党全国委員会(DNC) への攻撃がロシアによるものだということに 対し疑いを投げかけさせるための戦略的な誤情報を流布させる例である。狙いは恐 らく、十分な情報を持ち得てない一般人に、金融安定理事会(FSB) で使用されたマ ルウエアと DNCで使用されたものと同じであると考えさせたいのだろう。そして、 仮に米情報機関が DNCに対する攻撃がロシアによるものだと結論づけても、ロシア のシステムが誰によって操作されていたか疑いをかけることが可能となっている。

◆ NIST: SMSを活用した2段階認証を段階的に廃止へ(2016.7.27,28)
米国標準技術局 (NIST)は、電子認証ガイドラインを更新した。その中でSMSメッセ ージを活用した 2段階認証については、十分なセキュリティを提供しないことから 段階的に廃止することとしている。このガイドラインは、政府に対しサービスを提 供する事業者に適用される。

- http://www.eweek.com/security/nist-says-sms-based-two-factor-authentication-isnt-secure.html
- http://www.scmagazine.com/feds-nix-sms-based-2fa/article/512108/
- https://pages.nist.gov/800-63-3/sp800-63b.html

【編集者メモ】(Pescatore)
この新しいSP800-63bで、「OOB (out of band) を使用したSMSを廃止し、今後、こ のガイダンスを改定する際にも利用を許可してはならない」と書かれている。 SMS メッセージを 2要素目と活用することで、攻撃を完全に防ぐことはできないが - 完全に防げるものは無い - テキストメッセージを 2番目の要素として活用す るのは、再利用可能なパスワードと PCMCIAを活用した2段階認証よりも遥かに強力 である。
【編集者メモ】(Paller)
NISTは、3つの「P」- Practicality (実用性)、Prioritization (優先順位付け) および Precision (明確さ) を外してしまった。NISTのサイバーに関する責任者は 誰だろう。これがサイバーセキュリティの向上に繋がるとどうやって思ったのだろ うか?

◆ Banner Health社で情報漏えい(2016.8.4)
病院などに医療システムなどの各種サービスを提供する Banner Health 社は、370 万人に対しクレジットカード情報や健康の記録に関する情報が今年すでに行われた サイバー攻撃によって漏えいした可能性があるとして通知を行なっている。影響を 受けると思われるのは、Banner の健康保険に加盟している人、Banner の施設で働 いている人、および Banner の施設で食べ物や飲み物をクレジットカードを使って 購入した人だという。

http://www.computerworld.com/article/3104039/security/banner-health-alerts-37m-potential-victims-of-hack-of-its-computers.html
http://www.bbc.com/news/technology-36976701

【編集者メモ】(Murray)
公表情報は少ないが、Banner社がフラットなネットワークを運用しており、システ ムとアプリ間が高レベルの信用で繋がっていることを想定できる。我々は、それを 「簡単な標的」と呼んでいる。このような企業において想定しているレベルのセキ ュリティとは程遠く、HIPAAガイダンスの中で期待されているレベル(詳細は書かれ ていない) でも無い。

◆ イリノイ州の病院グループが HIPAA違反の罰金で 550万USDを支払う(2016.8.4)
イリノイ州最大の病院グループである Advocate Health Care Network が過去最大 の 550万USDを罰金として支払うことが分かった。 これは、患者データを適切に保 護しなかったことに起因したもので、結果として 400万人もの患者のデータを漏え いした事件についてのものである。この罰金は、医療保険の相互運用性と説明責任 に関する法律 (HIPAA) が制定されて以来、最高の金額となる。

http://www.computerworld.com/article/3104142/healthcare-it/illinois-hospital-chain-to-pay-record-55m-for-exposing-data-about-millions-of-patients.html

【編集者メモ】(Pescatore)
この罰金は、今回のインシデントに関して Advocate 社が支払う総コストの中でも ごく僅かなもので、保健社会福祉省 (HHS) から課される制裁には、Advovate 社に 対して、当面の間外部監査を毎年実施することが義務付けられることになっている 。Advovate 社最大の欠点は、物理的に保護されていないノートパソコンや PCに保 管されているデータを暗号化しなかったことであり、これを泥棒によって窃盗され ているのだが、すべてのノートパソコンと PCで暗号化を有効にするコストは、100 万 USDくらいだっただろう。これは、罰金の 20パーセントに当たる数字になるが、 Advocate 社がこのデータが漏えいしたインシデント対応に関わる総コストのうち1 パーセントにも満たいだろう。
【編集者メモ】(Murray)
今、問わなければならないのは、この業界が単に無関心または能力が無いという事 ではなく、そもそも抵抗という概念があるのかという事ではないか?そして、これ を乗り越えるためには、どれくらいの罰金が必要なのか?ではないだろうか。

◆ Mudgeの新しいソフトウエア評価システム(2016.8.2)
Peiter Zatko と Sarah Zatko の両氏はソフトウエアを評価するシステムを開発し ている。この評価システムは、コンピュータに指示を送るソースコードのバイナリ を分析することにフォーカスしている。 Zatko氏は、Mudge の愛称で知られている が、彼はセキュリティ業界でも象徴的な人物であり、L0pht というグループの中で 一番目立っているメンバーであった。サイバーセキュリティに関しても大統領と初 めてホワイトハウスで行われた公開の会合に招待されており、セキュリティ研究の マネジメントに DARPAで従事した後 2013年に Googleへと転職している。

http://www.reuters.com/article/us-usa-cyber-ratings-idUSKCN10D2EO

【編集者メモ】(Pescatore)
企業と政府機関には、購入するソフトウエアに対し受け入れの基準が必要である。 Veracode からは VerAfied と呼ばれるものがあり、いくつもの企業 (セキュリテ ィ製品ベンダを含む) は、既知の脆弱性があるか否かをテストしてもらっている。 政府では、NIST の SAMATE (Software Assurance Metrics And Tool Evaluation) が 10年以上もこの分野をけん引しているが、連邦政府において進歩は無い状態で ある。
【編集者メモ】(Murray)
ソフトウエアの質に関して研究をすることは急務だ。
「エンジニアリング」 の始まりは部品の強度 (Strength of Materials) からなの だから。
【編集者メモ】(Paller)
Mudge は適任だ。ホワイトハウスで行われた大統領と国家安全保障担当補佐官との ミーティングでも、参加していた複数のテクニカルな CEOたちが詳細なことを語ら ず、これといった価値を提供しなかったが、Mudge は大統領に対し、直接「ハッキ ング用ツールの使用を犯罪行為としないでください」と伝えている。私は、彼がソ フトウエアセキュリティにフォーカスしていることを嬉しく思っている。これは、 セキュリティ問題に対する事前対策としてできることの中で、大きく分けた二つの うちの片方なのだから。今は、攻撃に対してレスポンスをしているだけに過ぎない が、彼の新しいプロジェクトで、企業や政府がソフトウエアを購入する際の契約の 中に、受け入れる「前」にソフトウエアのセキュリティ監査が通ったことをする条 項 (他人受入率に関するものでなく) を入れれば、成功するだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月18日(木)
 SANSコミュニティナイトセッション
 攻撃手法/ペンテストのトレンドテクニック
 http://www.nri-secure.co.jp/seminar/2016/sans03.html?xmid=300&xlinkid=01

○8月24日(水)、9月28日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=02

○8月26日(金)、9月16日(金)、10月14日(金)、11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=03

○9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=04

○9月15日(木)、10月17日(月)、11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=05


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。(DL無料・登録不要)
 http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。