NRI Secure SANS NewsBites 日本版

Vol.11 No.9 2016年4月26日発行

■■SANS NewsBites Vol.18 No.031, 032
(原版: 2016年4月19日, 22日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間]
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

◆FOR610:Reverse-Engineering Malware
Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得
 マルウェア解析の専門性を高めたい方は必見のコースです
 [☆日本初開催☆]

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
 最終日のCTFでご自身の成果測定も行えます!

◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
 Critical Security Controlsを真に理解するならこのコース
 CSCの実装や監査に必要となるツールやテクニックを習得できます
 [☆日本初開催☆]

◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
 [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 60 Minutesでスマートフォンの追跡が容易であることを実証(2016.4.18)
CBS のドキュメンタリー番組「60 Minutes」において、スマートフォンが追跡可能 で、盗聴に対して、いかに脆弱であるかを実証するひとコマがあった。テッド・リ ウ下院議員 (民主党-カリフォルニア州) がこの実証実験に参加したが、Security Research Labs の Karsten Nohl 氏は、通話の発着信だけでなく、正確な位置まで トラッキングできることを実演して見せた。Nohl氏は、ルーティング用のプロトコ ルである Signaling System No.7 (SS7)にある脆弱性を悪用し、リウ議員が利用し ていた電話に対してアクセスしたという。

http://arstechnica.com/security/2016/04/how-hackers-eavesdropped-on-a-us-congressman-using-only-his-phone-number/
http://www.computerworld.com/article/3058020/security/hackers-only-need-your-phone-number-to-eavesdrop-on-calls-read-texts-track-you.html
http://www.theregister.co.uk/2016/04/18/ss7_60_minutes_iphone/
http://thehill.com/blogs/ballot-box/276626-60-minutes-hacks-congressmans-phone-for-security-report

◆ 米露の幹部がサイバーセキュリティ問題について議論(2016.4.17)
今週、米国とロシアのサイバーセキュリティ担当の幹部がジュネーブで会議を行っ ている。米国側は、この議論の目的を「誤ってサイバー戦争に突入しないため」だ と語っている。この会議の中では、2013年に締結したサイバーセキュリティに関す る合意書のレビューも含まれる予定だという。

http://www.cnn.com/2016/04/17/politics/us-russia-meet-on-cybersecurity/

◆ ISISに対し、米国がサイバー攻撃(2016.4.14,18)
米軍の幹部によると、ISISに対し「サイバー爆弾」を投下していることを明らかに した。情報源は不明だが、米サイバーコマンドは、ISISのシステムに侵入して、マ ルウエアを仕込んだり、情報を流出させたり、通信妨害を行っているという。

http://www.cnn.com/2016/04/13/politics/robert-work-cyber-bombs-isis-sucks/index.html
http://www.scmagazine.com/us-cyber-soldiers-hitting-isis-hard/article/490354/
http://www.thedailybeast.com/articles/2016/04/17/u-s-ratchets-up-cyber-attacks-on-isis.html

【編集者メモ】(Ranum)
10年前には予想していたが、米国の戦略はサイバー戦争を「特権兵器」と位置付け ている-つまり、我々は利用しても良いが、我々に対して利用してはいけないとい うことだ。これは、双方が保持する武器が同等のレベルに達するまでは上手くいく 戦略であるが、様々な経済的なプレッシャーはあれど、すぐに達成できるものと思 われる。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「ハッキングに遭ったときの対応策は?」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
どんなにセキュリティ対策をしていても、ハッキングの被害に遭う確率はゼロに
はなりません。サイバー攻撃による被害を最小限に抑えるためには、異常を早く
検知し、素早く対応することが重要です。今月は、ハッキングの被害に遭ったか
を確認する手段と、ハッキングされた場合の対応策を一般ユーザ向けに分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201604_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年6月9日(木)-10日(金) [☆好評受付中です☆]
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)

 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)

 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ NASAがネットワークを蔑ろに:ランキング最下位(2016.3.15,18,2016.4.4)
Federal News Radioが入手したドキュメントによると、NASAのコンピュータシステ ムは攻撃に対し、非常に脆弱な状態であるとのこと。OSやアプリケーションへのパ ッチがIT担当者によって適用されておらず、NASAのデスクトップやエンドユーザ向 けサービスに対して、パッチ適用やセキュリティマネジメント業務を請け負ってい る業者によると、常に最新の状態を保つには、リソースが足りないことを明らかに している。また、あるNASAの技術者は「NASAはサイバーに対し無頓着であり、内部 セキュリティの脆弱性を対応するための戦略も無い」と述べている。さらに別の情 報源によると、サイバーセキュリティよりもミッションをこなすことが優先される のがNASAの文化だと断じている。

http://federalnewsradio.com/cybersecurity/2016/03/widespread-neglect-puts-nasas-networks-jeopardy/

◆ 米エネルギー法案にサイバー攻撃に関する規定が含まれる(2016.4.20)
米上院が、サイバー攻撃が起きた際に、送電網を守るために何をすべきか電力会社 に対し指示を出すことができる権限をエネルギー省(DOE)に与える法案を承認した。 この法案の中には、サイバーセキュリティに関する研究や試験に対する予算だけで はなく、送電網を守る上でのDOEの役割も定義されている。

http://thehill.com/policy/cybersecurity/276979-energy-bill-gives-doe-greater-power-to-fight-grid-hackers

【編集者メモ】(Weatherford)
この中で見落としてはいけない前提とは、DOEが北米 (米国およびカナダ)にある様 々な電力会社に対して、アドバイスできるだけの専門知識と技術力があるというこ とである。おそらく、他の分野においても政府は民間よりも知識を持っているとい う状況が上手く作用して、この取り組みも上手くいくだろう。

◆ 英国の監視に対する法案で、政府が新たな通信技術について事前審査を義務化(2016.4.19)
監視に関わる法案が英国で議論されている。この法案では、ITや電気通信事業者に 対して、新しい製品、サービスや機能について、すべてリリース前に政府に提出す ることを求めている。この政府による審査は、政府が通信を傍受し保存されている データにアクセス可能であることを確認するために必要な手続きであるという。

http://www.zdnet.com/article/uk-spy-bill-will-force-tech-firms-to-disclose-future-products-before-launch/

【編集者メモ】(Honan)
この法案が通ると、英国のIT業界に多大な影響があると予想する。顧客は、これら 製品の利用を避けるだけでなく、政府の審査を待たなければいけないことで他国の 企業と比較して英国企業の競争上の優位性も失われる可能性もある。

◆ 米サイバーセキュリティ幹部が継続した監視の難しさについて言及(2016.4.15)
Security Through Innovation Summitで行われたパネルに、米サイバーセキュリテ ィ政策の幹部二人が登壇し、政府機関は大規模なネットワークを継続して監視する ことに苦労していると語った。国防情報システム局のサイバーセキュリティチーフ であるロジャー・グリーンウェル氏は、国防総省の中では、「各サービスの提供方 法はそれぞれユニークである」とした上で、継続した監視と診断(CDM) を難しくし ている要因にこれらを上げた。また、国土安全保障省(DHS) 税関・国境警備部門の サイバーセキュリティチーフであるショーン・カルファン氏は、「多くのサードパ ーティの顧客がいるだけでなく、サードパーティ組織からの侵入も多く見られるよ うになった」とコメントがあった。

http://fedscoop.com/dhs-disa-cybersecurity-chiefs-cdm-is-still-a-challenge

【編集者メモ】(Murray)
これはとても難しい仕事だが、誰かがやらなければならないのだ。泣き言を言うの を止めて、実行に移すのはいつになるだろうか?全般的にITだが、特にセキュリテ ィは、政府および組織内で一番、定量化できていない分野である。定量化できてい ないものは、管理もできないのが現実である。
【編集者メモ】(Paller)
CDMは、DHS内の善意あるコンサルタントによってハイジャックされ、上位へ報告す るシステムになり、省内のサイバーセキュリティ管理問題が暴かれるだけでなく、 その省庁が恥をかかされるようになってしまった。各省庁の管理者は、このような 間違った方向にハイジャックされた CDMプログラムの実施を遅らせるための理由を いくらでも探す。それに対し CDMが提供できる良い部分を得ながら省庁に恥をかか せないやり方がある。それは CDMが基本としたモデルを単純化することだが、悲し いことに DHSの幹部は CDMのコントロールを失い、気づいたら間違った方向に行っ てしまっていた。その結果は2億ドルの無駄遣いであるが、まだ手遅れではない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月17日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○5月18日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○5月27日(金)、6月29日(水)
 契約書管理がうまくいかない3つの理由とその解決策
~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○6月1日(水)~3日(金)
 AWS Summit Tokyo 2016
 http://www.nri-secure.co.jp/seminar/2016/aws_summit_2016.html?xmid=300&xlinkid=09

○6月16日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。