NRI Secure SANS NewsBites 日本版

Vol.12 No.23 2017年8月10日発行

■■SANS NewsBites Vol.19 No.058 - 061
(原版: 2017年7月25日、28日、8月1日、4日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全10コースを開催予定!

           = SANS Tokyo Autumn 2017 =
  https://sans-japan.jp/sans_tokyo_autumn2017/index.html

【10月開催第一弾】2017年10月16日~21日[6日間]/ 2017年10月16日~20日[5日間] 
  << 早期割引は 9月1日までです。お早めにお申し込みください >>

◆SEC401:Security Essentials Bootcamp Style
     最もポピュラーな情報セキュリティのゴールド・スタンダード
     情報セキュリティ・ネットワークに関する基本的知識を有している方は
必見です

◆SEC511:Continuous Monitoring and Security Operations
     持続的な監視へのパラダイムシフト
     リアルタイムなインシデント検知、防御戦略が習得可能

◆SEC542:Web App Penetration Testing and Ethical Hacking
     Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
     最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
    マルウェア解析の基本的なツールとテクニックを効率的に習得
    マルウェア解析の専門性を高めたい方は必見のコースです

◆FOR578:Cyber Threat Intelligence
     インテリジェンスで武装したインシデントレスポンスを求める方に
     攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2017年10月23日~28日[6日間] / 2017年10月23日~27日[5日間]
   << 早期割引は 9月8日までです。お早めにお申し込みください >>

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
     ペンテスター、インシデントハンドラーへの登竜門
ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆SEC560:Network Penetration Testing and Ethical Hacking
     すべてのペンテスターの通過点
侵害を受ける前に、自組織のシステムをテストする最良の方法が習得可能!

◆FOR508:Advanced Digital Forensics,Incident Response,and Threat Hunting
     フォレンジックの達人たちも大絶賛!
     フォレンジックトレーニングの最高峰がまた東京に

◆FOR572:Advanced Network Forensics and Analysis ★日本初開催★
     あなたのフォレンジック知識をネットワークへ
     効率的で効果的な事後インシデント対応調査のために必要な
     最もクリティカルなスキルを網羅しているコースです

◆SEC566:Implementing and Auditing
       the Critical Security Controls In-Depth
     Critical Security Controlsを真に理解するならこのコース
     CSCの実装や監査に必要となるツールやテクニックを習得できます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

また、2018年2月にも9コース程開催予定です。今からご検討ください。
https://sans-japan.jp/secure_japan2018/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 10代をサイバーセキュリティのキャリアに向けた準備のために2,500万ドルを用意 (2017.7.23,24)
英国のデジタル・文化・メディア・スポーツ省(DCMS) は、今秋から6,000人の中学生を対象としたオンラインのサイバーセキュリティトレーニングプログラムを開始することを発表した。対象者は、技能と精神測定の評価を組み合わせたサイバーに関する革新的な試験によって選抜される。オンラインで提供される CyberStart ゲームは、インターネット接続が可能な場所であればどこからでもアクセスできる。
また、生徒はこの「中毒性の高い」ゲームを通じて学習ができ、コミットメントを示すことができる。また、CyberStart Essentialsと呼ばれる「pre-cyber」のトレーニングプログラムでは、生徒がサイバーセキュリティ分野で成功するための土台となる知識を習得できる。集中的な講座を提供するCyberAcademiesを通じて、実力ある参加者に高度なテクニックを教え、国内で職に就かせることができるとしている。興味のある生徒は、登録するよう促している。

https://www.gov.uk/government/news/students-urged-to-apply-for-pioneering-cyber-schools-programme
https://www.v3.co.uk/v3-uk/news/3014359/uk-government-plan-to-train-6-000-students-in-gbp20m-cyber-security-programme
http://www.computerweekly.com/news/450423197/UK-government-wants-to-give-6000-teenagers-cyber-security-training
https://hmgcyberschools.com/

◆ エストニアが eVoting に対し強力なセキュリティを実装 (2017.7.19)
エストニアは、選挙に対してより強度の高いセキュリティを実装した。エストニアは、世界で唯一、国民に対してオンライン投票を許可している国である。このシステムは、2005年に初導入されたもので、アップグレードにおいてエンドツーエンド検証と呼ばれる機能が含まれている。エストニアのNational Electoral Committeeの代表である Tarvi Martens氏は、米国の選挙が様々な電子投票デバイスに依存していることを指摘し、「インターネットによる投票では、一つのソフトウエアを管理・制御すれば良い」と語っている。

http://www.irishexaminer.com/business/worlds-most-hi-tech-voting-system-raises-cyber-defences-455138.html

【編集者メモ】(Pescatore)
これは、昔から言われている「単一障害点」対「一つの事に全てをかけて、それを見守り続ける」の議論である。このように制限された環境の中であれば、オンライン投票を安全に行うことができるだろう。国が発行するIDカードが無い国家や、厳しい登録手順を用いた政府が発行する電子アイデンティティを持たない国家は、同時に他の制限も設けつつシステムを導入するのは現時点では不可能であろう。
【編集者メモ】(Murray)
著名なコンピュータ科学者ですら、オンライン投票に反対している。その理由は、汎用的で柔軟に対応できるパソコンが、同じようにアプリケーションにも影響を与えるからである。これらの意見は声が大きく、故に米国で大規模なオンライン投票が実装されないのではないかと推察している。透明性や説明責任を担保しつつ投票者のセキュリティも維持するという矛盾する目標により、非常に難しい問題となっているのが現状である。しかし、オンラインバンキングとあまり変わらない、と言う人もいる。投票に携わる公務員は、エストニアでの出来事に注視すべきである。次の世代は、紙の投票用紙に頼っている様子が奇妙だと感じるだろう。
【編集者メモ】(Williams)
この記事では、エストニアのオンライン投票と米国の電子投票デバイスを比較しているが、大きな違いがいくつかある。エストニアでのオンライン投票は、スマートIDカードが必要であり、それを使って投票の否認防止を実装している。この副作用としては、政府によって、国民がどのように投票をしたかトラッキングできるということである。良くも悪くも、米国では、投票は匿名で行うべき、という考えがある。これは、セキュリティに関する決断が機能的な要件によって制限されている、良い実例である。
【編集者メモ】(Honan)
オンライン投票では、「一つのソフトウエアを管理・制御すれば良い」という意見は、管理している人、または攻撃者もあり得る事を考慮すべきである。

◆ サイバー抑止力が何故、機能しないか (2017.7.19)
シンシナティ大学の政治学部長であるRichard Harknett博士は、氏の論文においてサイバー抑止力は過去にも成功した事例はなく、今後も成功することはないだろうと主張している。同氏は、「抑止力は、運用環境としてのサイバー空間に対応していない。と述べているほか、抑止力の有効な測定方法が欠如している一方で、運用環境においては既に具体的な一定のアクションが存在する。」と判断している。代わりにHarknett博士は、「永続的なサイバー戦略として、運用環境上で起きうることに対し備えること・・・こうすることで、米国が安全なサイバー空間を形成し、敵対する攻撃的な行動も減るだろう」としている。

http://www.fifthdomain.com/home/2017/07/19/meet-the-scholar-challenging-the-cyber-deterrence-paradigm/

【編集者メモ】(Murray)
Harknett博士が「抑止力」と呼んでいるものが「サイバー」脅威に基づいた抑止力なら賛同する。必要なのは、「サイバー」防御と文化、政治、刑事的な制裁が抑止力になることである。
【編集者メモ】(Williams)
サイバー抑止力には信頼できる属性情報が必須である。抑止力が効果を持つには、攻撃者がサイバー空間内で行動を起こした場合に、対応する制裁があると信じさせなければならない。しかし、サイバーの報復攻撃には、パーティの特定を正しく行わなければならない-これは、今日の全てのサイバー攻撃において不確かなものである。

◆ Michele Guel が語るサイバーセキュリティに関わる女性 (2017.7.24)
Cisco の Security and Trust Organization の Chief Security Architectであり、著名なエンジニアでもあるMichele Guel氏は、Cypriane Palma氏と共に、同社のWomen in Cybersecurity Communityを創設した。この組織は、教育、奉仕活動、リーダーシップおよび指導に注力しており、これらをサポートするコミュニティイベントを支持している。Guel氏は、若い女性に対し、STEMやサイバーセキュリティでのキャリアに関する教育を中学校の段階から行うことが重要としている。

https://www.forbes.com/forbes/welcome/?toURL=https://www.forbes.com/sites/georgenehuang/2017/07/24/no-longer-the-only-woman-in-the-room-lessons-from-ciscos-michele-guel/&refURL=&referrer=#57db33154528

【編集者メモ】(Pescatore)
Michele 氏は、サイバーセキュリティの中でも優れた女性の手本となる方である。彼女の言っていることに賛同する -IT人材の 3割近くが女性だが、ITセキュリティの 10%はとても低い。SANSは、トレーニングカンファレンスで、多くの団体のために SANS At Nightセッションをスポンサーしている。そして2014年には、HPとACSAに、Scholarships for Women Studying Information Securityに出資をしたことを称え、SANS Difference Makers Awardを贈っている。
【編集者メモ】(Paller)
25年前にSANSを立ち上げる際、Michele氏は、SANS が提供するコースがサイバーセキュリティに従事する人間にとって必要なテクニカルコンテンツを含むように、誰よりも時間を捧げてくれた方である。彼女が 2016 Anita Borg Institute Women of Vision Awardを受賞したことを非常に喜んでいる。
https://anitaborg.org/profiles/abie-award-winners/leadership/michele-d-guel/
Women in Cybersecurityプログラムが大きくなるに連れ、Michele と数人の女性がサイバーセキュリティに時間を費やし、CyberTalent Immersion Academy for Womenとして形になったあと出資者として参画している:
https://www.sans.org/media/cybertalent/Womens-Brochure.pdf
【編集者メモ】(Murray)
問題は、教育が早い段階から行われていない、ということではなく早く「止めて」しまうことである。「世の中にある全てのことは興味深いのである。面白くないのは、モデルやレッスン、そして教師である。キャリアを決める上で最後に興味を失うものである」-- Ted Nelson

◆ Black Hatの基調講演にて、Facebookの CSOが共感を求める (2017.7.26,27)
Black Hatカンファレンスのオープニング基調講演において、Facebook の CSOである Alex Stamos氏は、サイバーセキュリティ業界は「これまで根本的な問題に取り組むことなく、繰り返し問題を発見する技術を完成させてきた」と述べ、「発見された後のダウンストリームに対して、どのように対処するのかを考えなければならない」と続け、印象的なハッキングを追求するのではなく、「防御に注力しなければならない」とも語った。また、セキュリティコミュニティの狭さも指摘し、「セキュリティコミュニティは不完全な世界で、不完全なソリューションを処罰する傾向にある。」と述べ、続けて「我々は共感しようとしていない。守らなければならない人たちの身になる技量が無い」と語っている。

https://www.technologyreview.com/s/608351/facebook-security-chief-cybersecurity-pros-need-more-empathy-to-protect-us/
https://threatpost.com/facebook-security-boss-empathy-inclusion-must-come-to-security/127038/
http://www.bbc.com/news/technology-40671089

【編集者メモ】(Pescatore)
Stamos氏は、私が指摘したIRTS/GAOの根本的な問題に関する意見を強調している:「これまで根本的な問題に取り組むことなく、繰り返し問題を発見する技術を完成させてきた」。セキュリティプログラムや管理者は、 IT 運用や調達などの変化に対応できないため、大量のお金がセキュリティコンサルティングやセキュリティ製品につぎ込まれている。Critical Security Controlsでは、この点を長年に渡って指摘している-コントロールのTop 5は、ITプロセスの改善についてである。

◆ NIST: 臨界分析によるプロセスモデル (2017.7.24)
米国標準技術研究所(NIST)は、政府機関が情報セキュリティ予算を割り当てる最良の方法を示したドラフト段階のガイダンスを公開した。このガイダンスでは「組織の目標に対する重要性に基づき、プログラムやシステム、コンポーネントが正しく動作しないことによる組織への影響を考慮した上で、優先順位を付ける構造化された方法」を提供している。

https://gcn.com/blogs/cybereye/2017/07/nist-risk-prioritization.aspx?admgarea=TC_SecCybersSec
http://csrc.nist.gov/publications/drafts/nistir-8179/nistir-8179-draft.pdf

【編集者メモ】(Murray)
政府は、すでに分析に追われ過ぎている。Top 20 に注力すべきである。
【編集者メモ】(Paller)
オーストラリアは新しい Top 8を出している。NISTの人たちは、実際の攻撃に対応しているAustralian Signals Directorateに比べると、攻撃の実態について知らないのだろう。
https://www.asd.gov.au/publications/protect/Essential_Eight_Maturity_Model.pdf

◆ Adobeが Flashのサポートを 2020年で停止 (2017.7.25,26)
Adobe が Flash Playerのサポートを 2020年末までに終了することを発表した。セキュリティプロフェッショナルは、このメディアプレーヤーが無くなっても悲しまないだろう。MobileIron社のLead Solution Architect である James Plouffe氏は「Flash は、セキュリティコミュニティの中でも、脆弱性の数と深刻度を持って、伝説的なステータスを獲得した」と語っている。

http://www.darkreading.com/vulnerabilities---threats/adobes-move-to-kill-flash-is-good-for-security/d/d-id/1329472
http://www.theregister.co.uk/2017/07/25/flash_nahuh_internets_screen_door_gone_for_good_by_2020/
https://www.scmagazine.com/flash-ends-two-decade-run-phasing-out-in-2020/article/677760/
https://arstechnica.com/information-technology/2017/07/with-html5-webgl-javascript-ascendant-adobe-to-cease-flash-dev-at-end-of-2020/
https://blogs.adobe.com/conversations/2017/07/adobe-flash-update.html

【編集者メモ】(Murray)
2020年? 私は、82歳なのだ。年寄りを労わって欲しい!
【編集者メモ】(Williams)
Flash が無くなることによるセキュリティの向上は喜ばしいが、この発表の本当の意味は、Flash がサポートされなくなるということだけであり、2020年以降の数年は特に中小企業の業務プロセス中で Flashの利用は続くだろう。違いは、ユーザにパッチが提供されない、ということである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップと復旧」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやモバイルデバイスを使用していると、誤ってデータを削除してしまっ
たり、何かの拍子に故障して使えなくなってしまうことがあります。このような
時に、短時間で復旧できるのはバックアップしかありません。今月は、これらの
基本から解説するとともに、一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201708_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年9月14日(木)-15日(金) <好評受付中!>
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 電力会社がウクライナの発電所に対して行われた攻撃の分析情報を共有(2017.7.30)
ウクライナの発電所を襲った一連の攻撃に関する分析は、攻撃者の標的となっていることを示す偵察行為を認識できるように、世界中の電力会社に共有されている。共有されている情報の中には、攻撃者がウクライナの発電所にあるシステムを乗っ取るために使用したコードやテキストが含まれているという。

http://www.bbc.com/news/technology-40766757

【編集者メモ】(Murray)
我々のインフラの中で弱点になっているのは、送電網である。既に攻撃がされており、今後、どこかのタイミングで攻撃を行うために制御機能が乗っ取られることを考えなければならない。そのためにも、公共のネットワークに繋がっているシステムや制御機能のセキュリティを強化しなければならない。たとえば「コンテンツ制御」(例えば、Tripwire)や攻撃からの耐性、検知、回復ができるようにしなければならないだろう。電力関連のCISOは、すべてのITシステムをこのように運用することを検討すべきだ。このように運用している企業は、コストに見合うだけのパフォーマンスが得られると証言している。

◆ DEF CON Voting Village (2017.7.28,29,30)
先週 DEF CONに参加した人たちは、投票用デバイスや投票者データベースをハッキングする機会が与えられた。DEF CONの「hacker voting village」では、現在使われていない様々な投票用デバイスを主催者がeBayで購入し、参加者が脆弱性を発見できるかどうかのチャレンジが行われた。

https://www.scmagazine.com/election-tech-hacked-within-hours-at-def-con-voting-village/article/678454/
https://www.cnet.com/news/defcon-hackers-find-its-very-easy-to-break-voting-machines/
http://www.darkreading.com/vulnerabilities---threats/def-con-rocks-the-vote-with-live-machine-hacking/d/d-id/1329492?
http://www.eweek.com/security/hackers-demonstrate-voting-machine-vulnerabilities-at-defcon
https://www.wsj.com/articles/hacker-cracks-voting-machine-in-less-than-2-hours-1501357973
http://www.reuters.com/article/us-cyber-conference-election-hacking-idUSKBN1AD1BF

【編集者メモ】(Pescatore)
当時、国土安全保障省の長官であり、現在ホワイトハウスの首席補佐官であるジョン・ケリー氏は「我々の民主主義の最たる基盤は投票である」と発言しており、投票用システムが米国の重要インフラの一部として見なされるためのサポートをしている。このような、公開ハッキングコンテストは一時的な話題作りには適しているが、投票用のシステムを開発しているベンダは、政府による規制から逃れるためのセキュリティ強化ができないことを示している。
【編集者メモ】(Williams)
投票用デバイスのベンダは、これらが古いバージョンのソフトウエアやハードウエアであると主張するだろうが、重要なのは、製造段階から脆弱であったことである。現在使用されているデバイス(独立した検査用に公開されていない)にも脆弱性が含まれている可能性は高い。ベンダがこれらのデバイスを安全にするためには、なんらかの規制が必要になるだろう。

◆ Merck 社の収益報告書にランサムウエアに関する情報が掲載される(2017.7.31)
製薬会社の Merck社は、7月28日に公開した 2017年 第2四半期の収益レポートで、2017年 6月に受けたランサムウエア攻撃がグローバルの製造、研究および販売活動に支障をきたしたと記載している。同社は報告書に「支障がどの程度の影響を与えたのか把握しきれておらず、現在も一部の業務に支障があり、継続して影響を最小限に抑えるために努力している」としている。(リンクされているMerckの報告書にある「Financial Outlook」の項を参照いただきたい)

http://www.darkreading.com/attacks-breaches/ransomware-attack-on-merck-caused-widespread-disruption-to-operations/d/d-id/1329503?
http://www.mrknewsroom.com/news-release/corporate-news/merck-announces-second-quarter-2017-financial-results

【編集者メモ】(Pescatore)
先月、SWIFT もサイバーセキュリティ関連のインシデントが利益に深刻な影響を与えたと報告している。多くの攻撃は、高度なものでは無かった-多くは根本原因が適切なバックアップのプロセスが無い、基本的なセキュリティ対策がされていない、などに起因するものであった。このような財務に関わる発表は、取締役会によるサイバーセキュリティに関する質問が増えることを意味している-そして、戦略的な回答を提供し、何をどのようにして変えればよいのかを提示することができるのでれば、この注目は良い事である。

◆ FireEye は Mandiantが攻撃を受けたことを否定(2017.7.31)
Mandiantのネットワークから情報を盗み、インターネットに公開したと主張している人がいる。これを受けて Mandiant の親会社である FireEyeは、この件について調査し、Mandiantおよび FireEyeのシステムが侵入された痕跡は見当たらなかったとしている。それとは別に、Mandiant従業員のソーシャルメディアのアカウントが漏えいしたことは認めている。

https://www.cyberscoop.com/mandiant-hacked-fireeye-linkedin-2017/?category_news=technology
http://www.theregister.co.uk/2017/07/31/mandiant_fireeye_leak/
https://www.bleepingcomputer.com/news/security/hackers-leak-data-from-mandiant-security-researcher-in-operation-leaktheanalyst/
http://www.reuters.com/article/us-cyber-fireeye-idUSKBN1AG1TP

【編集者メモ】(Williams)
Mandiant の主張は信じるが、攻撃者は、URLと認証情報付きでデータを盗んだとしているJiraサーバに関する情報を示唆している。我々のペネトレーションテストでは、システムに対するユーザ名とパスワードが保管されていることから、Jiraのようなチケットシステムを見ることが多い。いくつかのケースでは、Jiraシステム内から秘密鍵を発見したことがある。デフォルトの設定では、どのデータを閲覧したのか分からないだけでなく、Jiraサーバ上で何を検索したのかも分からない (デフォルト設定のログでは詳細な情報は分からない)。
【編集者メモ】(Pescatore)
ここ数年、業務とプライベートの境目が曖昧になってきたことについて語ってきたが、ソーシャルメディアがこの問題を明らかにしている。ソーシャルメディアへの機密データの漏えいもあるが、もっと大きな問題なのが、FacebookやLinkedInなどを経由したフィッシングやドライブバイ攻撃による業務用アカウントのパスワード漏えいである。自社のセキュリティ意識啓発活動において、このような事象についても触れている事を再確認すべきだろう。特に企業経営や取締役会関係者にはとても重要である。彼らは、ソーシャルメディアにより重点的に狙われることが多いのである。

◆ IoTセキュリティの強化を目的とした規制 (2017.8.1,2)
米議員は、米国政府に IoT デバイスを販売しようとする企業の基準として、Internet of Things Cybersecurity Improvement Act of 2017を提出した。要件として、デバイスにパッチを適用できること、ハードコードされたパスワードが無いこと、ベンダは販売時に脆弱性が無い事を保証しなければならない、などが含まれている。

https://www.cnet.com/news/congress-senate-iot-device-makers-your-security-sucks/
http://www.darkreading.com/iot/proposed-iot-security-bill-well-intentioned-but-likely-hard-to-enforce/d/d-id/1329521?
http://www.eweek.com/security/how-the-federal-government-wants-to-improve-iot-security
http://krebsonsecurity.com/2017/08/new-bill-seeks-basic-iot-security-standards/
https://ja.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017

【編集者メモ】(Murray)
このガイダンスの目的は良いが、内容は単純すぎるかもしれない。長期に渡って使用する高価なデバイス (例えば、プリンタ、ルータ、テレビ、冷蔵庫など) は、「パッチが適用できる」必要がある。しかも、パッチを適用する責任についてベンダにせよユーザ側にせよ、この境界は明確にしなければならない。しかし、「パッチ」を適用する機能は、場合によって不要に攻撃対象の領域を大きく増やすこともある。ベンダからのパッチも、パスワードではなく、公開鍵暗号を使って安全にしたVPN 経由で提供されるべきである。短期間しか使用しない安価なデバイス (例えばAmazonが消耗品の再発注を行うために提供している小さいボタンなど) は、破棄するかリプレースするだけで良い。高度なベンダ (例えば、AdobeやMicrosoftなど)ですら、「販売時に脆弱性が無い事を保証」できていないのだから。最後に、インターネット上に直接接続し、パッチなども適用するデバイス(例えば、カメラなど)とプライベートなネットワークにしか接続しないデバイス (例えば、ベビーモニターなど) のセキュリティ要件は明確に分けた方が良いと思う。このガイダンスに網羅性があり、簡単で、規制できる程安定したものに発展することを祈っている。
【編集者メモ】(Neely)
Forbesは 1月、IoTテクノロジーに関連した支出が 2020年までに2760億ドルにも達すると予想している。そのため、ベンダはこの流行に乗り遅れまいと製品の出荷をセキュリティよりも優先させている。この規制は、脆弱性を探す研究者を保護すると同時に後押しし、バグバウンティプログラムの開始を推奨する目的もある。バグバウンティプログラムの成功には、入念な準備と、大量の報告を分析し、修正するキャパシティが必要であるが、多くのベンダはこれを持ち合わせていない。また、IoT で繰り返し問題とされているのは、パッチの適用を確認することである。デバイスベンダは、アップデートと通知に関して、安定した供給を行う必要があり、インターネットに接続されたデバイスや独立したデバイスに対してもそれらが届くようにしなければ、パッチは適用されない。
【編集者メモ】(Ullrich)
デバイスに対し、確実にパッチを適用すること、およびアップデートがどの程度の期間提供されるか明確にしなければならない、ということが含まれていることは良い事だと思う。法案は悪くはないのだが、政府への調達のみにしか適用されないため、安価で脆弱な一般ユーザ向けのデバイスに関する問題は残る可能性が高い。
3月に出された法案(H.R.1324)では、FCCに対して FCC認証が必要な無線デバイスにセキュリティ標準を要求する権限を与えるのだが、この法案は途中で止まってしまっている。

◆ 米会計検査院(GAO) は、国防総省が IoTセキュリティに対応しなければならないと主張 (2017.7.27.31)
米会計検査院(GAO) が公開した報告書によると、米国防総省(DOD) では IoTデバイスがもたらすセキュリティ脅威に対処するためのルールに問題があると指摘している。DOD は、一部の IoTに関連したリスクに対してポリシーを策定しているが、特定のデバイスに対しては不十分であるとされている。GAO は DODに対して、オペレーションに注目したセキュリティ調査を行い、既存のIoT 関連のポリシーを評価して、注意が必要な箇所を洗い出すことを推奨している。

https://fcw.com/articles/2017/07/31/gao-iot-rogue-apps.aspx
http://www.gao.gov/products/GAO-17-668?source=ra

【編集者メモ】(Neely)
マイクロホンやカメラなど、多くのデバイスに無線や追加することができる様々なオプションがあり、データを外に送出する機能も備わってきている。また、これらの機能が無いデバイスを買うことも難しくなってきている。政府機関は、使用される環境に応じてこれらの機能を見つけ、物理的に無効にしているのが現状である。
【編集者メモ】(Northcutt)
いくつか考えなければならないことがある。1)人々が、そのデバイスを IoTであると認識できていると思わないこと(ヒント:電力とネットワークの使用)、2)デバイスを探索するためにスキャンすること。なぜなら、攻撃者は既に行っているからである。3)開発拠点に対し情報を送っているデバイスを積極的に見つけること。 http://iotdesign.embedded-computing.com/articles/fundamentals-of-iot-device-management/

◆ Black Hat 2017 でセキュリティコミュニティは変わるのか (2017.8.2)
この記事では、Black Hat 2017 で行われた Alex Stamos 氏の基調講演に注目している。その中で「サイバーセキュリティはメインストリームになった。そして、地政学や安全保障、政策決定、人権そして物理的な安全という概念の中心にある」としている。また、セキュリティコミュニティに対し、成長を促し、「本当に重要なことに注力する」ことを呼びかけている。

https://threatpost.com/will-the-real-security-community-please-stand-up/127156/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月23日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~ランサムウェアが添付されたメールを躊躇なく開き、
  危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation01.html?xmid=300&xlinkid=04

○8月24日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=05

○8月29日(火)
 SANSコミュニティナイトセッション「最新の攻撃動向とその防御手法」
 - Cutting Edge Web Attacks:HTTP/2 WebSockets and Meteor -
https://www.nri-secure.co.jp/seminar/2017/sans04.html?xmid=300&xlinkid=06

○8月30日(水)
 セキュリティ専門家が考えるID共通化・API公開の安全策
 ~コンシューマサービスが無視できない不正利用対策と認証連携~
https://www.nri-secure.co.jp/seminar/2017/ciam02.html?xmid=300&xlinkid=07

○8月30日(水)
 次世代テクノロジーで実現するサイバー攻撃対策セミナー
 ~ 多層防御・AI検知・インシデント自動分析 ~
https://www.nri-secure.co.jp/seminar/2017/0830.html?xmid=300&xlinkid=08

○9月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=01

○9月8日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=02

○9月14日(木)
 サイバーセキュリティ2017:
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~拡大するリスク、増え続ける課題、求められる対策~
https://www.nri-secure.co.jp/seminar/2017/0914.html?xmid=300&xlinkid=09

○9月14日(木)、10月18日(水)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=09

○9月27日(水)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバーセキュリティ:傾向分析レポート2017
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=11


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。