NRI Secure SANS NewsBites 日本版

Vol.12 No.10 2017年4月4日発行

■■SANS NewsBites Vol.19 No.025, 026
(原版: 2017年3月28日、3月31日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃SANS×セキュアEggsプレビューセミナー
 ━┛━┛━┛━┛━┛~セキュリティ人材の効果的な養成のために~

インターネットを悪用した、特定組織を対象とした標的型攻撃は、どんどん手口を
巧妙化・多様化させ、増加し続けています。身近に迫りくる情報セキュリティ脅威
に対しては、その脅威の変化に応じた組織的対応が重要となってきています。
本セッションでは、組織が限られた時間、資金、リソースを最適にセキュリティ対
策に費やせるよう、必要なセキュリティ業務の洗い出しや、それらを担当する人材
のキャリア形成手法を考察します。
また、SANSやセキュアEggsといった弊社で提供する研修のご紹介と、実際にコース
で行う演習のデモンストレーションをご覧いただき、実践的スキルに対するイメー
ジをつかんでいただきます。

なお、本セミナーは3/24(金)と同内容となりますので、既に参加いただいた方は、
ご遠慮いただきますようお願い申し上げます。

●開催概要
 日時:2017年4月24日(月) 18:00~19:30(受付開始:17:30)
 会場:大手町サンケイプラザ312
 タイムスケジュール:
     17:30~ 開場・受付開始
     18:00 ~ 19:30 セッション

 「実践的スキルを有する実務人材を養成するために」
関取 嘉浩(NRIセキュアテクノロジーズ
サイバーセキュリティ事業推進部長)

 「SANS・セキュアEggsのご紹介とハンズオンデモ」
   上田 健吾(NRIセキュアテクノロジーズ
サイバーセキュリティ事業推進部主任コンサルタント)

 参加費:無料

 ▼お申込みはこちらから▼
 https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o010
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 
 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.1 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 受┃付┃開┃始┃し┃ま┃し┃た┃2017年7月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

         = SANS Cyber Defence Japan 2017 =
  https://sans-japan.jp/training/cyber_defence_japan2017.html

【7月開催】7/10(月)~15(土) ※早割締切5/26(金)まで ━ ━ ━ ━ ━

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   -ペンテスター、インシデントハンドラーへの登竜門-
◆SEC575:Mobile Device Security and Ethical Hacking
-モバイル環境を安全にするためのスキルを構築-
◆SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hackin
★日本初★-過去にSEC560やSEC542を受講された方に特にお勧め!-

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○7/5(水)~7(金)、12(水)~14日(金) ※早割締切5/22(月)まで

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆Core NetWars Experience
     -参加者の経験と技術力を競うCTFチャレンジ-
     7/10~15のSANSトレーニングご受講者は無料で参加いただけます

     ○7/13(木)~14(金) 両日とも18:00~21:00
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 医療関連企業のFTPサーバが攻撃の標的になっているとFBIが警告 (2017.3.27)
FBI は、医療業界に対し、医療機関が使用する匿名でアクセス可能なファイル転送プロトコル(FTP) サーバを、攻撃者が標的にしていると警告した。攻撃者は、保護された健康情報(PHI) や個人識別情報(PII) を狙っているという。FBI は、医療機関に対し、ネットワーク内に匿名でアクセス可能な状態の FTPサーバが無いか確認を行い、動作させる必要があれば、PHI や PIIを保管しないことを推奨している。

http://www.darkreading.com/attacks-breaches/fbi-attackers-targeting-anonymous-ftp-servers-in-healthcare/d/d-id/1328496?
http://info.publicintelligence.net/FBI-PHI-FTP.pdf

【編集者メモ】(Pescatore)
FBIの警告は、ネットワーク上で匿名のFTPサービスを使用することによるデータ漏えいのリスクにフォーカスしている。他にも重要なことは、攻撃者による違法行為や企業にとって恥ずかしいコンテンツをアップロードされることだ。その結果、企業が違法行為に巻き込まれたり、これらのコンテンツをホスティングしていることを明かすと脅迫され、支払いを強要されるなどにつながるおそれがある。機密情報を保管していないからといって、匿名の FTPサーバを稼働させ続けることは止めるべきだ。
【編集者メモ】(Henry)
ここ数年、医療機関に対する攻撃が増加している。PHI データの価値は、犯罪者だけでなく、標的となった人物の「プロファイル」を作成するため、国家による支援があるような組織にとっても年々高まっている。そこに「医療機関という標的」を考慮してみると良いだろう。多くの医療機関は、これらのデータをネットワーク上に保管するようになっている。医療に関連する IoT機器が、これらの機密な情報を収集・保管・送信していることも、これらが攻撃の対象となっている理由が分かるだろう。

◆ Miele製の食洗器にディレクトリトラバーサルの脆弱性 (2017.3.24,26,27)
インターネットに接続された産業利用の食洗器に、ディレクトリトラバーサルの脆弱性があり、機器が接続しているネットワークへのアクセスが可能になるという問題が発見された。この Miele PG 8528食洗器は、レストランやバーで使用するために設計されているほか、病院でも多くが使用されている。この脆弱性は、ウェブブラウザを使って、遠隔から食洗器を操作するために組み込まれているウェブサーバに起因する問題である。

https://www.cyberscoop.com/hackable-iot-washing-machine-provides-channel-breaching-hospital/?category_news=technology
http://www.theregister.co.uk/2017/03/26/miele_joins_internetofst_hall_of_shame/
http://seclists.org/fulldisclosure/2017/Mar/63

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「パスフレーズ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
メールやオンラインバンキング、買い物などでスマートフォンを利用する場合、
パスワードを使って安全な状態を保っていると思いますが、強力なパスワードの
設定方法に苦労していませんか。パスフレーズを使えば、簡単に強力なパスワー
ドを作ることができるだけではなく、覚えやすく、入力ミスも減らせるというメ
リットがあります。今月は、このパスフレーズについて一般ユーザ向けに分かり
やすく解説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201704_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 保険会社の訴訟で、データ漏えいは損害賠償責任の対象でないと主張(2017.3.30)
St. Paul Fire & Marine Insuranceは、Rosen Hotels & Resortsの姉妹企業である Rosen Millennium Technology Groupに対し訴訟を起こした。訴状によると、ホテルの POSシステムに起因するデータ漏えいに関連したコストを、保険会社が負う必要が無いことを確認したいとしている。Rosen 社は、この漏えいに関してクレジットカード会社などから罰金 240万 USDを科せられたことから、St. Paul社に対し、損害賠償責任の下でのコスト負担を申請している。この申請に対しSt. Paul社は、データ漏えいと罰金は損害賠償責任の範囲外であると主張しており、真っ向から双方の意見が対立している状態となっている。

https://www.scmagazine.com/insurer-sues-rosen-hotels-over-data-breach-payments/article/647559/
http://www.orlandosentinel.com/business/brinkmann-on-business/os-rosen-hotels-data-breach-20170329-story.html
https://media.scmagazine.com/documents/291/st_paul_fire___marine_72749.pdf

【編集者メモ】(Pescatore)
多くの損害賠償責任は、サイバーインシデントに関連するコストを対象としていないようである。多くのサイバーセキュリティ保険は、サイバーインシデントのコストを対象としておらず、対象としている場合でも、一部のコストを固定額分だけ負担するようにしているだけだ。これらは、責任が制限されておらず、そもそも責任を移譲してもいない。
【編集者メモ】(Williams)
様々な漏えいに関する案件に関わっているが、企業は毎回、一般的な保険契約やサイバーセキュリティ保険の対象になっていないことに驚いている。この悲惨なケースでは、Rosen 社は、対象となっていると思い込んでいたものが、そうではなかったことが分かった事例である。資産の安全を確保するために利用できるリソースを、保険会社から回収できないであろう資金の回収に時間をかけていることが残念でならない。

◆ 米連邦議会議員がFCCによるISPプライバー法の復活で可決 (2017.3.29)
米下院は、連邦通信委員会(FCC) によるブロードバンドのプライバシーに関する規定を元に戻すことを承認し可決した。これにより、インターネットサービスプロバイダ(ISP) は、顧客の同意なしに閲覧履歴などの顧客に関連する情報を売ることができる。上院では、すでに今月始めにこの変更法案を可決している。

https://www.scmagazine.com/house-votes-to-repeal-fcc-privacy-laws-for-isps/article/647076/

◆ CyberFirst Girls Challengeで8,000人が参加(2017.3.28,29,30)
先日、英国の National Cyber Security Centre が開催した CyberFirst Girls コンテストに、8,000人以上が参加した。1チームは3、4名の女性で構成され、2,000チーム以上が数週間にわたり、オンライン競技に参加し腕を競い合った。 3月27日にロンドンで行われた決勝戦には、37人の学生が10チームに分かれて闘ったが、女性だけを対象にしたイベントは、女性に対しサイバーセキュリティという分野でキャリア形成できるという認識を向上させるために行われたものだ。

https://www.scmagazineuk.com/girls-crack-code-in-cyberfirst-challenge-and-impress-judges/article/647255/
https://www.ncsc.gov.uk/news/girls-impress-judges-national-final-cyber-security-contest
https://www.gchq.gov.uk/news-article/cyberfirst-girls-competition-finds-worthy-winner
http://www.oxfordtimes.co.uk/news/15188954.Talented_schoolgirls_compete_to_stop_online_hackers/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=04

○4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
https://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=05

○4月24日(月)
 SANS×セキュアEggsプレビューセミナー
 ~セキュリティ人材の効果的な養成のために~
https://www.nri-secure.co.jp/seminar/2017/0424.html?xmid=300&xlinkid=06

○4月26日(水)、5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=07

○5月19日(金)、6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=08


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【NEW】独自調査資料 無料ダウンロード      <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・「IoTセキュリティコンサルティングサービス」を提供開始
https://www.nri-secure.co.jp/service/consulting/iot_security.html?xmid=300&xlinkid=12

・消費者向けWebサービスに特化した認証・アクセス管理ソリューション
 「Uni-ID Libra」を2017年6月に提供開始
https://www.nri-secure.co.jp/service/uni-id_libra/index.html?xmid=300&xlinkid=13


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。