NRI Secure SANS NewsBites 日本版

Vol.11 No.28 2016年9月21日発行

■■SANS NewsBites Vol.18 No.073, 074
(原版: 2016年9月13日、16日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全7コースを開催予定!

            = SANS Tokyo 2016 =
            http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]
 ◆【満席御礼】SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  次回2月開催決定!
  ○2017年2月20日~25日 申込み開始は10月より

 ◆【残席わずか】FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰がまた東京に

  [☆日本初開催☆]
 ◆【残席わずか】FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
  マルウェア解析の基本的なツールとテクニックを効率的に習得
  マルウェア解析の専門性を高めたい方は必見のコースです
 -----------------------------------------------------------------------------------
【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
 ◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!

  [☆日本初開催☆]
 ◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
  Critical Security Controlsを真に理解するならこのコース
  CSCの実装や監査に必要となるツールやテクニックを習得できます


  [☆日本初開催☆]
 ◆FOR578:Cyber Threat Intelligence
  インテリジェンスで武装したインシデントレスポンスを求める方に
  攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
 -----------------------------------------------------------------------------------
 ◆【残席わずか】SEC401:Security Essentials Bootcamp Style】
  最もポピュラーな情報セキュリティのゴールド・スタンダード。
  情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
  ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
-----------------------------------------------------------------------------------
「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ PCI Council がカードリーダーに関する新しい基準を公開(2016.9.12)
Payment Card Industry (PCI) Security Standards Council は、POSターミナルに起因する詐欺を減らすための新しい基準を公開した。 この PCI PIN Transaction Security Point-of-Interaction Modular Security Requirements バージョン 5.0 に準拠するため、POSカードリーダーは、暗号によって認証されたファームウエアのアップデートや改ざん防止、サイドチャネル攻撃による鍵の漏えいを防止する機能の実装が必要である。この新しい基準は、2017年9月から有効になる。

http://www.darkreading.com/vulnerabilities---threats/pci-security-update-targets-pin-system-vendors/d/d-id/1326875?
http://www.theregister.co.uk/2016/09/12/pci_council_wants_upgradeable_credit_card_readers_to_fight_fraud/
https://www.pcisecuritystandards.org/documents/PCI_PTS_POI_SRs_v5.pdf

【編集者メモ】(Pescatore)
この基準のバージョン4 は、2013年6月に公開されており、PCI Standards Council によって現在承認されている 761個のPIN/POI 機器のうち、バージョン4に対するテストが行われたのは186個(24%)のみとなっている。これは、2010年に公開されたバージョン2の約2倍である。最重要事項として、カード会社や小売業者は、購買力を利用してセキュリティに注力するように、機器メーカーにプレッシャーを与える必要がある。関連事項としては、医療・介護業界も医療機器メーカーに対し、同じように経済的な動機を与える必要がある。
【編集者メモ】(Murray)
これらは、とても良いゴールが設定されているが、最初のもののみが実証可能だ。
幸いなことにモバイルペイメントシステム(例: Apply Pay、Samsung Pay、Android Payなど)は、POSデバイスのセキュリティに依存していない。これらは EMVよりも早く、非接触型、カードレス型そして、(クレジットカード)番号不要型の実装が公開されている。この動きはサードパーティの決済代行会社(Acquirer Processors)とそれらの顧客、そして小売業界による動きであり、消費者はセキュリティというおまけまでついてくるモバイルの便利さを気に入っているが、カード会社は PCIを推している。米国にて EMVがもっと早い段階で活用されなかったのは、カード会社と発行会社から「カードが無い」ことによる詐欺を防ぐことができないとされていたことであったが、モバイルシステムは、これに対応しているのだ。
【編集者メモ】(Shpantzer)
最後の要件(サイドチャネル攻撃による鍵の漏えい防止)は、ここ 2-3年で公開されているサイドチャネル攻撃に関する研究を読んでいると、少し行き過ぎの気がしている。上記リンクから参照できるバージョン5.0のPDFに記載されている物理セキュリティの要件において、PCI Council は、HSM と同等の POSシステムを要求しているように読めるが、「attack potential」というメトリックをきちんと理解しなければならないのかもしれない。そのためには 「as defined in Appendix B of the PCI PTS POI DTRs.」を見つける必要がある。これまで PCI関連のものは避けてきたが、これはとても興味深い。

◆ 商品取引所や仲介会社に対するサイバーセキュリティルール(2016.9.8,9)
米国商品先物取引委員会(CFTC)は、米国の商品取引所や仲介会社、情報センターの情報システムに対し、新しいサイバーセキュリティのルールを策定した。要件を満たすためには、システムに対して、脆弱性テスト、ペネトレーションテスト、セキュリティインシデントレスポンスと統制テスト、そして組織のテクノロジーに対するリスクアセスメントを実施する必要がある。

http://www.scmagazine.com/ctfc-to-require-various-cybersecurity-tests-for-us-commodities-derivatives-it/article/521726/
http://www.cftc.gov/idc/groups/public/@newsroom/documents/file/syssafeguard_factsheet090816.pdf

【編集者メモ】(Pescatore)
最初に提案されたものは、外部のコンサルタントによって、脆弱性テストは四半期ごと、侵入テストは一年ごと、セキュリティ統制は 2年に一度実施することが要求されていた。これは、PCI Security Standards Councilがベンダに対する要求とそれほど大差無いものだ。このような商品取引の業界は、より高い基準をもとめるべきだという気がしている。PCI は、「優先順位をつけたアプローチ」に関する詳細なガイダンスを作成しており、この中では、どのセキュリティ要件が最重要なのかを記載している。一方、CFTCのガイダンスでは、「自身でリスクアセスメントをする」こととしており、(例外として、Critical Security Controls を実践しているところはあるが)最終的にはセキュリティや監査の無駄を招くことになるだろう。

◆ 米国が選挙に関してロシアによる攻撃を調査(2016.9.5)
米国のインテリジェンス機関と法執行機関は、11月の総選挙に関連した攻撃がロシアから行われている証拠を調査している。調査の目的は、攻撃の範囲や目的を明らかにすることにあり、ジェームズ・クラッパー国家情報長官が調査に関する調整を行っている。

https://www.washingtonpost.com/world/national-security/intelligence-community-investigating-covert-russian-influence-operations-in-the-united-states/2016/09/04/aec27fa0-7156-11e6-8533-6b0b0ded0253_story.html

【編集者メモ】(Murray)
ジェイ・ジョンソン国土安全保障長官は、日曜日のテレビで米国民に対し 9,000近くの管轄区にあるシステムは、破壊行為に対して非常に耐性があるから安心するように、と呼びかけていた。
【編集者メモ】(Williams)
主に機密情報に頼った調査は、セキュリティコミュニティから厳しい目で見られる傾向がある。たとえば、ソニーに対する攻撃が北朝鮮によるものだったとした FBI調査のように。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「メールのすべきこととすべきではないこと」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールはとても便利なツールですが、不用意に使用すると自分の立場を危う
くする危険性があります。意図しない相手に送信される、共有していることを隠
してメールを送信したはずなのに、発見されてしまった。などがあります。今月
は、このような問題を未然に防ぐため、電子メールを安全に使用する上で必要な
注意点を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとし
てお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201609_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

・セキュアEggs(IT+セキュリティ基礎)
 2016年9月8日(木)-9日(金)<盛況のうちに終了いたしました>
 2017年1月19日(木)-20日(金)

・セキュアEggs(フォレンジック)
 2016年9月15日(木)<開催中!>
 2017年1月26日(木)
・セキュアEggs(インシデント対応)
 2016年9月14日(水)<盛況のうちに終了いたしました>
 2017年1月25日(水)
・セキュアEggs(Webアプリケーションセキュリティ)
 2016年9月16日(金)<盛況のうちに終了いたしました>
 2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ニューヨーク州の金融機関と保険会社に対し、サイバーセキュリティの要件(2016.9.15)
ニューヨーク州で業務を行っている金融機関と保険会社は、年内中に新しいサイバーセキュリティ規制を課せられることになっている。サイバーセキュリティプログラムとサイバーセキュリティポリシーの策定に加え、規制には「サードパーティが保持している、またはアクセス可能な非公開情報と情報システムのセキュリティを確保するためのポリシーと手順」が必要とされている。この規制は、9月 28日にニューヨーク州から公開される予定であり、45日間のパブリックコメント期間が設けられる。

http://www.scmagazine.com/cybersecurity-enhancements-proposed-for-financial-firms-in-new-york/article/522616/
http://www.dfs.ny.gov/about/press/pr1609131.htm

【編集者メモ】(Pescaatore)
この規制は、とても低いハードルを設定している。対象の企業は、明文化されたポリシー、CISOの任命、年次の侵入テストなどが必要になる。いくつかの要件がハードルを少し上げている。例えば、CISOは年 2回経営層に報告する必要がある。しかし、保管されている機密なデータを暗号化する要件には 5年間の例外が設けられており、暗号化せずに同等の措置を取ることが可能である。一番欠けているのは、要件の優先順位である。これは、含めるべき項目で、Critical Security Controlsを参照するような形でも良いと思える。

◆ 米当局が各州に対し投票システムのセキュリティ向上を呼びかけ(2016.9.15)
米国連邦当局は、州や地方の政府に対し、国土安全保障省(DHS) からの支援を活用し、投票システムのセキュリティを向上するよう呼びかけている。最近発生したイリノイ州とアリゾナ州の投票者登録システムに対する侵入を例として上げたが、特定のグループによる攻撃であったことについては触れていない。

http://federalnewsradio.com/cybersecurity/2016/09/feds-press-local-election-officials-accept-cyber-help-decline-identify-hackers/ https://gcn.com/articles/2016/09/15/voting-systems-protection-dhs.aspx?admgarea=TC_SecCybersSec

◆ 英国監査局が英国政府のサイバーセキュリティが不足していることを指摘(2016.9.14,15)
英国監査局(NAO) が公開した報告書によると、英国政府のサイバーセキュリティインシデント報告に関するアプローチが「支離滅裂」であると評価している。英国政府機関内で 2015年に発生した侵入件数は9,000であったが、サイバーセキュリティに関する報告や管理手順が欠けていた。報告書には、「インタビューした全ての機関が、セキュリティに関連する様々な団体が何のためにあるのか把握しておらず、どの標準、ガイダンスに準拠すればよいか分からない状態」であったと記載されている。

http://www.zdnet.com/article/government-is-hit-by-9000-security-breaches-a-year-but-reporting-them-remains-chaotic/
http://www.bbc.com/news/technology-37348019
http://www.theregister.co.uk/2016/09/14/cabinet_office_failing_to_coordinate_ukgovs_infosec_practices_says_national_audit_office/
https://www.nao.org.uk/wp-content/uploads/2016/09/Protecting-information-across-government.pdf

【編集者メモ】(Honan)
EUの現在の法律では、侵入に関する報告を義務付けるものは少なく、そのために、このような侵入が起きた際に何を、どこに報告すれば良いか分からない、という混乱が起きているのだろう。
EU General Data Protection Regulation (GDPR) (2016.9.14,15) と EU Network Information Security Directive (NIS) により侵入に関して報告を行うことが義務付けられる。これらがあることで、UKだけでなく、EU全体で構造化された環境が整い、プロセスも定義される。

◆ DNSSECが新しい Root Zone の鍵署名鍵(KSK)を生成する(2016.8.25,9.15)
Internet Corporation for Assigned Names and Numbers (ICANN) は、新しいトップレベル Root Zoneの鍵証明鍵(KSK) を来年の秋に生成する予定であるとしている。これは、2010年に生成されて以来、始めての更新となる。システム管理者は、システムを更新する必要がある。

http://www.v3.co.uk/v3-uk/news/2470927/icann-prepares-web-world-for-major-dnssec-security-update
http://www.techworld.com/security/dnssec-master-key-securing-dns-is-about-change-should-we-be-worried-3645538/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2016年9月28日(水) 【NEW!】
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化、ネットワーク隔離の新技術~
 http://www.nri-secure.co.jp/seminar/2016/0928.html?xmid=171&xlinkid=04

○9月28日(水)、10月24日(月)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=05

○10月14日(金)、11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○10月17日(月)、11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=02

○10/19(水)、11/17(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
 http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。(DL無料・登録不要)
 http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。