NRI Secure SANS NewsBites 日本版

Vol.12 No.31 2017年12月5日発行

■■SANS NewsBites Vol.19 No.090-081
(原版: 2017年11月14日、17日、21日、28日、12月1日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃で┃す┃!┃2018年2月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

【SANS Secure Japan2018】2月開催 全8コース実施
https://sans-japan.jp/secure_japan2018/index.html

開催日:2/19(月)~24(土)
●SEC401:Security Essentials Bootcamp Style
●SEC560:Network Penetration Testing and Ethical Hacking
●FOR500(旧FOR408):Windows Forensic Analysis

開催日:2/19(月)~23(金)
●ICS410:ICS/SCADA Security Essentials

開催日:2/26(月)~3(土)
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
●FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting
●SEC642:Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation Techniques

開催日:2/26(月)~2(金)
●MGT517:Managing Security Operations: Detection, Response, and
Intelligence

開催日:3/1(木)~2(金)
●DFIR NetWars:Tournament
※2018年2月19日~3月3日のSANSトレーニング受講者のみ無料でご招待いたします。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ ガールスカウトアメリカ連盟が 18種類のサイバーセキュリティバッジを導入 (2017.11.13)
ガールスカウトアメリカ連盟 (GSUSA) は来年から新しく、18 種類のサイバーセキュリティバッジを導入する。GSUSAは、Palo Alto networks の協力のもとカリキュラムを作成中だ。Palo Alto networks社による協力は今年6月に発表されている。

http://www.csoonline.com/article/3237025/it-careers/a-rocket-scientist-hacks-the-cybersecurity-labor-crisis.html
http://www.girlscouts.org/en/press-room/press-room/news-releases/2017/palo-alto-networks-girl-scouts-collaborate-cybersecurity-badges.html
http://www.paloaltonetworks.com/company/press/2017/palo-alto-networks-and-girl-scouts-of-the-usa-announce-collaboration-for-first-ever-national-cybersecurity-badges

【編集者メモ】(Paller)
素晴らしいの一言に尽きる! 2018 年は、サイバーセキュリティ分野の若手女性たちにとって転機となる年になるかもしれない。SANSは、若い女性への STEM教育(科学・技術・工学・数学の教育分野を総称する語) の拡充を推進している著名なサイバーセキュリティ関連企業やその他 IT・金融関連企業に加え、9名の州知事による協力のもと、2018 年の女子高校生を対象とした CyberStart プログラム (2月開催予定) を開催する。その直後にガールスカウトの新プログラムが立ち上げられる予定だ。
【編集者メモ】(Henry)
実に素晴らしいニュースだ。卒業後の進路を模索し始める前に、若い女性たちにサイバーセキュリティの世界への興味を持ってもらうことは、より多くの女性がこの業界への就職を希望するきっかけとなる。サイバーセキュリティースペシャリストの数は現在も不足しているし、今後も不足は拡大していくだろう。サイバーセキュリティ業界を、希望する就職先の一つとして考える女性を発掘するためには、全ての女性に対して広く門戸を開放することが必要である。
【編集者メモ】(Pescatore)
良いニュースだ。私はカブスカウトバッジを獲得する過程で鉱石ラジオを作った。その経験から私はアマチュア無線に興味を持ち、アマチュア無線の経験は大学での電気工学専攻、そして卒業後の NSAにおけるセキュリティ関連の仕事へとつながったのだ!

◆ アメリカの各州でサイバー保険を契約 (2017.11.10)
各州の CIO (最高情報責任者) から集めた情報によると、サイバー保険を契約した州は2015年の10件から19件に増加した。保険の対象には多くの場合、調査やデータ復旧、顧客への通知、法律や広報に関するサービス、クレジットモニタリングにかかる費用が含まれている。

http://www.pewtrusts.org/en/research-and-analysis/blogs/stateline/2017/11/10/worried-about-hackers-states-turn-to-cyber-insurance

【編集者メモ】(Pescatore)
私はサイバー保険の価値について懐疑的で、ユタ州における事件は私の考えが正しいことを証明している。ユタ州は100万ドルの免責金額がついた 1000万ドルの損害補償に対し、毎年 23万ドルを支払っている。おそらく 7500万ドルほどの実損があったと考えられている78万人分の市民の情報が流出した事件の後から支払いを始めた。多くの保険には、「現在の状況」やその他の制限事項がある。もし、ユタ州が2012年の個人情報流出前にサイバー保険を契約していたら、その保険は紙くず同然であっただろう。もし仮に効果があったとしても、7500万ドルの費用のうち回収できた額は最大で877万ドルにとどまったはずで、ユタ州が2011年に123万ドル (免責金額と1年間の保険料)を支払っていたら、個人情報流出は避けられていたに違いない。
【編集者メモ】(Henry)
私は、これまで 2年以上保険会社と仕事をしており、市場が大きく変わる様を目の当たりにしてきた。この変化による最大の効果は、より精度の高い保険統計データの蓄積だ。このデータの蓄積により保険業者はリスクをより明確に把握することができるようになり、より良心的な価格で顧客のニーズに合った商品を開発できるようになった。この事実は、特に予算に限りがある中小企業にとって大きなメリットがある。金銭的に余裕が無い州も同様である。
【編集者メモ】(Northcutt)
良く調査されており、一読の価値がある記事だ。保険料と補償範囲の違いについてはメモを取ろう。また、2016年 SANSサイバー保険動向調査 (2016 SANS Cyber Insurance Survey) と、調査と関連のある、リスクマネジメントに関するレポートを読むこともお忘れなく:
http://www.sans.org/reading-room/whitepapers/analyst/bridging-insurance-infosec-gap-2016-cyber-insurance-survey-37062
http://www.sans.org/reading-room/whitepapers/riskmanagement/incentivizing-cyber-security-case-cyber-insurance-37845

◆ Shadow Brokers (2017.11.9 & 2017.11.12 & 2017.11.13)
Shadow Brokersは2016年 8月に、アメリカ政府諜報機関のサイバー兵器であるバッチファイルの公開していた。元アメリカ合衆国国防長官および元 CIA長官であるレオン・パネッタ氏はバッチファイルの流出について、「途方もなくダメージが大きい」と表現している。政府機関内の士気低下が伝えられる中、何名かの NSA (アメリカ国家安全保障局) 職員は退職し、民間の企業や団体に転職したようである。また、Shadow Brokers は盗んだ情報を公開しただけでなく、Tailored Access Operations (TAO) ハッキングチームのエリートメンバーのうち、最低でも1名の素性を特定している。

http://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html
http://thehill.com/policy/cybersecurity/360092-shadow-brokers-probe-hurting-nsa-morale-report

【編集者メモ】(Pescatore)
元国家情報長官であり元国土安全保障局長官であるマイク・マッコーネル氏は「列車事故の発生が迫っていた」と言い、続けて「防衛機能を大幅に強化するべきだったのだ。」と言ったのがこの事件の顛末だろう。攻撃から得た知識を防衛に活用するというのは正しい手法だが、防衛担当の諜報機関は、得てして優先順位の低い防衛策を施しがちである。

◆ イギリス政府が2,500万ドル超を投じ、CyberDiscovery プログラムを立ち上げ (2017.11.15)
イギリスでは、今週立ち上げられた UK CyberDiscoveryプログラムの一環として、Year10 からYear13 までの学生であれば誰でも CyberStart を受講することができる。 CyberStart は、サイバーセキュリティ分野で活躍するために必要な適正や姿勢を備えた人材の発掘と、基礎知識の教育に大きな効果があることを既に証明している。CyberDicovery プログラムのもと、イギリスは CyberStart で発掘された有能な学生に対して、無料で CyberEssentialsトレーニングを提供し、トレーニング中に優秀な成績を収めた学生には奨学金およびインターンシップなどを通じて支援が行なわれるという。国家サイバーセキュリティセンター (National Cyber Security Center) 長官の Chris Ensor 氏によると、これらのプログラムは「世界に良い影響をもたらしたいと考えているモチベーションの高い優秀な学生を発掘し支援する」と述べている。
【編集者メモ】(Paller)
7名のアメリカ州知事と、CyberPatriot に参加した1つのコミュニティカレッジと1つの高校のチームリーダーが、イギリスのツールを先行でテストし大きな成果を挙げている。こちらのサイト (cyberstart.us) に掲載されている7名の州知事によるレポートを見てほしい:
http://www.sans.org/CyberStartUS
各レポートの背表紙には、このプログラムが若い世代にもたらす影響について、彼ら若者たち自身の見解が掲載されている。

CyberDiscovery 人材発掘プログラムについて
http://www.gov.uk/government/news/new-online-challenge-will-test-teenagers-cyber-security-skills
http://www.joincyberdiscovery.com/
http://twitter.com/DCMS/status/930748716889276417
奨学金について
http://www.ncsc.gov.uk/articles/cyber-first-bursary-scheme
インターンシップについて
http://www.gchq-careers.co.uk/early-careers/cyberfirst.html

◆ ホワイトハウスが、脆弱性情報の開示・非開示の判断プロセスを公開 (2017.11.15)
ホワイトハウスは、開発ベンダーに製品の脆弱性を通知するか、アメリカ政府の諜報活動のために情報を機密扱いとするかを決定するガイドライン「Vulnerabilities Equity Policy and Process (VEP)」を公開した。議会議員、民間企業、および市民活動家はVEPの透明性確保を推進している。

http://www.nextgov.com/cybersecurity/2017/11/white-house-discloses-rules-weaponizing-software-vulnerabilities/142554/?oref=ng-channeltopstory
http://www.fifthdomain.com/civilian/2017/11/15/white-house-calls-for-greater-transparency-in-cyber-vulnerabilities-equities-process/
http://www.theregister.co.uk/2017/11/15/us_governments_vulnerability_disclosure_policy/
http://www.cnet.com/news/white-house-trump-administration-hacking-security-flaws-vulnerabilities/
http://thehill.com/policy/cybersecurity/360447-white-house-makes-decision-process-for-stockpiling-hacking-tools
http://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF

【編集者メモ】(Pescatore)
政府機関のみが発見する脆弱性の割合は実際のところ非常に低い。しかし、RAND社が開示されていない脆弱性のデータベースを調査したところ、これらの脆弱性は、一般の研究者が何年もの間、発見できずにいたものであった。VEP プロセスの透明性確保は、「世界をより安全にするためにベンダーに通知をせよ」を脆弱性情報の開示・非開示を判断する際の基準とし、短期的に見た国防や諜報活動における価値が証明できなければ、その基準を覆せないようにするために必要だろう。

◆ AWS S3バケットの設定ミスにより、米軍の収集したデータが外部公開されていた (2017.11.17 & 2017.11.18 & 2017.11.20)
AWS S3の設定ミスにより、ソーシャルメディア上の発言などのデータを収集・記録している米軍のアーカイブが外部から閲覧できる状態となっていた。軍の契約事業者がアーカイブを管理していた。現在、データベースは安全な状態となっている。

http://arstechnica.com/information-technology/2017/11/vast-archive-from-pentagon-intel-gathering-operation-left-open-on-amazon/
http://www.theregister.co.uk/2017/11/17/us_military_spying_archive_exposed/
http://www.bleepingcomputer.com/news/security/us-military-database-holding-web-monitoring-data-left-exposed-online/
http://threatpost.com/centcom-says-massive-data-cache-found-on-leaky-server-is-benign/128944/

【編集者メモ】(Pescatore)
本件と次の記事で紹介しているオーストラリアの一件は、AWS S3のような外部クラウドサービスを利用する政府、企業および団体のシステム管理者が、長年に渡りローカルのデータセンターシステムにおいて、基本的な管理上の過ちをクラウド上でも繰り返しているという実態を示唆している。AWSやAzureには、管理者の仕事を手助けしてくれる様々な機能や有償サービスがある。クラウドベースのセキュリティサービス (最近ではクラウドアクセスセキュリティブローカー (CASB) と呼ばれる) も、設定ミスの発見や修正に有効だ。
【編集者メモ】(Williams)
クラウドの利用は TCOの削減に効果的であるが、セキュリティを確保することが困難である。その上、クラウドベースのプラットフォームは常に変化している。先月に安全だった設定が、翌月には安全ではないかもしれない。この目まぐるしく変化する環境において、政府や民間企業のIT部門の多くは、重要な設定変更をするための予算を早急に獲得することができていない。

◆ AWS S3バケットの設定ミスにより、オーストラリア放送協会のデータが流出 (2017.11.17 & 2017.11.20)
Amazon Web Services S3 リポジトリの設定ミスにより、オーストラリア放送協会(ABC) が所有する情報が外部から閲覧できる状態となっていた。ABC はこの事実を11月16日に把握した。Amazonは最近、AWS S3のセキュリティと暗号化に関する新しい機能を発表した。

http://www.scmagazine.com/australian-broadcast-corporation-data-leaked-from-misconfigured-aws-s3-server/article/708646/
http://www.zdnet.com/article/australian-broadcasting-corporation-confirms-s3-data-leak/

【編集者メモ】(Neely)
AmazonはAWS S3において、セキュリティに問題のあるバケットが作成されることを未然に防ぐために、操作前に大きな赤字で確認画面を表示するといったセキュリティに関わる設定を変更している。これは初めてサーバのセキュリティ設定を試みる者にとって朗報だ。設定が古いサーバが、外部に公開されてないことをダブルチェックする必要がある。

◆テキサス州の事件において発見された iPhoneに対する捜査令状を Apple社に送付 (2017.11.20)
テキサス州の法執行機関であるテキサス・レンジャーが、アップル社に対し、先月初めにテキサス州の教会で発生した銃乱射事件において発見されたiPhoneのロック解除への協力を求める捜査令状を送付した。令状では、iPhoneに保存されたデータとともに、iCloudに保存されたデータも対象としている。連邦の法執行機関がデバイスに対して訴訟を起こすことは無いと見られている。

http://www.cnet.com/news/apple-served-with-search-warrant-over-sutherland-springs-ooters-phone/
http://www.washingtonpost.com/world/national-security/fbi-not-likely-to-seek-a-legal-battle-over-locked-texas-iphone/2017/11/20/f8495c92-ce12-11e7-9d3a-bcbe2af58c3a_story.html

【編集者メモ】(Murray)
この記事は、iCloudが法令順守の対象になるというアップルのクラウドサービス利用者に対する警告である。しかし、このデバイスについては別問題である。アップルは、自身が販売したデバイスに保存されたデータの当事者となるのか、またはその扱いについて責任を問われるべきなのかは不透明だ。場合によっては、とても危険な先例を残すことになるだろう。ストレージのフルディスク暗号化を考えよう。
【編集者メモ】(Northcutt)
この事例は、おそらく進展が遅く、解決までに膨大な時間がかかることだろう。サンバナディーノ銃乱射事件における Apple社の声明は次の通り:
https://www.apple.com/customer-letter/
【編集者メモ】(Neely)
法の適正な手続きのもとであれば、Apple社は iCloudに保存されたデータへのアクセスをサポートすることができるが、現在の iOS暗号化技術と iPhone の組み合わせでは、Apple 社はデバイス内のデータにアクセスできない。モバイルデジタルフォレンジックツールを提供する Cellebrite社やElcomsoft社でさえ、最近のデバイスについては、データの復旧を保証することはできないとしている。デバイスのパスコードをリセットできる MDMを搭載した企業が管理するデバイスであれば、これは大した問題とはならない。バックドアの設定や、MDM のような機能を個人所有のデバイスに搭載するよう、Apple社へプレッシャーがかかることを期待しよう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Microsoft Office 数式エディターの脆弱性が既に悪用されている (2017.11.24)
ハッカー集団であるCobaltは、Microsoft社が2週間前に配信した11月のアップデートにより修正された、Microsoft Office数式エディターの脆弱性を悪用しているという。この脆弱性により、攻撃者は利用者の操作を必要とせず、任意のコードを実行することができる。攻撃は、悪意を持って作成された RTF (リッチテキストフォーマット) 形式の文書によって拡散している。この脆弱性が急速に悪用されたということは、他の脆弱性への攻撃にも利用される可能性がある。利用者は早急に脆弱性のあるシステムをアップデートする必要がある。Cobaltは、銀行や STMネットワークを含む金融機関を狙うことで有名だ。彼らが Microsoft社製品の脆弱性を利用することは、今回が初めてのことではない。

http://www.bleepingcomputer.com/news/security/a-hacking-group-is-already-exploiting-the-office-equation-editor-bug/

◆ Symantec ブログの偽サイトがマルウェア OSX.Proton を配信 (2017.11.20 & 2017.11.27)
Symantecのブログになりすましたサイトが、パスワードを盗み取るマルウェアである OSX.Protonの亜種の拡散に使用されている。この偽サイトは、本物の Symantecブログの内容を掲載している。ドメイン登録情報の一部は正しいように見えるが、関連するメールアドレスには怪しい点があり、偽サイトそのものは、正当な SSL証明書を備えているが、発行元は Symantec社ではなく COMODO社である。

http://www.scmagazine.com/osxproton-spread-via-fake-symantec-blog/article/709695/
http://blog.malwarebytes.com/threat-analysis/mac-threat-analysis/2017/11/osx-proton-spreading-through-fake-symantec-blog/

◆ Uber の情報流出 (2017.11.21 & 2017.11.22 & 2017.11.24)
Uber 社は、2016年秋の大規模な情報流出により、5,700万人分ものアカウント情報が流出したことを認めた。攻撃者は、GitHub上に保管されていた Uber 開発者アカウントの認証情報を発見し、その情報を利用して、流出した情報が保管されていたAmazon Web Servicesのアカウントにアクセスした。その後、攻撃者は Uber社に連絡をして身代金を要求し、Uber社はbug bounty programの一環であるように見せかけて、攻撃者に対しデータ消去のために 10万USドルを支払っている。Uberの現CEO(情報流出が発覚した際はまだCEOではなかった) は、事件の発生から 2か月後に、ようやく影響を受けた利用者に通知した。Dara Khosrowshahi 氏は情報流出が明らかになる前に、調査を完了させるように命じていた。Uber社のセキュリティ部門の幹部2名が、事件の処理の仕方に問題があったとして解雇させられている。Uberは、既に他の案件についても捜査を受けていたにも関わらず、連邦取引委員会(FTC) へ報告をしていなかった。(Wall Street Journalの記事は有料です。)

http://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data
http://www.cyberscoop.com/uber-hack-57-million-customers-joe-sullivan/?category_news=technology
http://www.wsj.com/articles/ubers-hack-disclosure-raises-questions-about-timing-1511462671
http://www.theregister.co.uk/2017/11/22/uber_2016_data_breach/
http://www.darkreading.com/attacks-breaches/uber-paid-hackers-$100k-to-conceal-2016-data-breach/d/d-id/1330487?

【編集者メモ】(Pescatore)
多くの、いやおそらくほとんどの情報流出の開示に関する法律では、情報流出を保護された情報への不正なアクセスと定義しているため、実際に漏えいまたは流出している必要は無い。つまり、本件 (または大抵のランサム攻撃) では、攻撃者に対して金銭を支払っていたとしても、アカウントの保有者に情報流出の事実を通知する必要性がなくなるということではない。

◆ AWS バケットの設定ミスにより、NSA の機密情報が外部に公開されていた (2017.11.28 & 2017.11.30)
またしても、Amazon Web Services (AWS) バケットの設定ミスによる機密情報の流出が発覚した。今回は、アメリカ国家安全保障局(NSA) に属するアメリカ陸軍情報保全コマンドが保有する情報が含まれている。100GB にも及ぶ侵害されたデータには、Red Diskと名付けられた軍の諜報作戦に関する詳細が含まれる。情報の流出は9月に発覚したもの。

http://fcw.com/articles/2017/11/28/nsa-leak-upguard-johnson.aspx
http://www.cyberscoop.com/nsa-army-leak-red-disk-aws-upguard-chris-vickery/?category_news=technology
http://threatpost.com/leaky-aws-storage-bucket-spills-military-secrets-again/129021/
http://www.govtech.com/data/Top-Secret-Cache-Of-Army-Intelligence-Data-Left-Exposed-On-The-Internet.html
http://www.zdnet.com/article/nsa-leak-inscom-exposes-red-disk-intelligence-system/

【編集者メモ】(Pescatore)
短期での対策:全ての AWSアカウントにおいて、Amazonのセキュリティ評価ツールを 90日間無料 (250回のエージェント評価まで) で利用できる。長期での対策:全ての企業レベルの脆弱性評価製品のサポート対象が、主要なクラウドサービスに拡張されている。いつも問題となるのは企業のプロセスが (クラウドにまで) 拡大されていないということだ。
【編集者メモ】(Williams)
またしても機密データが流出してことで、今回の情報流出については説明責任が伴う。我々の敵はほぼ間違いなく、この保護されていない情報を発見しただろう。もし、ドライブイメージ上のデータが敵によって調査されてしまったら、被害は甚大である。本件に関する記事を書いたことで Whittaker氏を非難する者がいるが、記事が書かれなかったとしたら、政府は情報流出の事実を隠ぺいしただろう。本件のような場合において、国家の安全保障を間違いなく懸念すべきであり、本件に関するニュースを伝えたことで、特に諜報機関の契約業者が、機密データの扱いについて建設的な議論を始めるきっかけとなっている。
【編集者メモ】(Paller)
Amazon社は、自身で提供しているサービスを除き、ユーザが管理するデータのセキュリティについては責任を負わない。これは特に設定に関して正しいと言える。
AWS が提供するツールを使用するにあたり、十分な (技術力のともなった) 労力を費やさない限り、AWSのユーザは Best Buy (世界最大手の家電量販店) で購入したパソコンをインターネットに接続し、注意を要するデータを保存していることと同じ危険がある。

◆ NATO 加盟国がサイバー戦争のルールを作成 (2017.11.30)
アメリカ、イギリス、ドイツ、ノルウェー、デンマーク、オランダ及びスペインの7つの NATO加盟国が、NATO軍がサイバー兵器の使用を決定するタイミングの指標となるサイバー戦争における行動原則案を策定している。新たな原則により、NATOはサイバーセキュリティにおいて、ただ防御に徹するだけではなくなる可能性がある。

http://www.reuters.com/article/us-nato-cyber/nato-mulls-offensive-defense-with-cyber-warfare-rules-idUSKBN1DU1G4
http://www.silicon.co.uk/security/cyberwar/nato-cyber-warfare-rules-225475?inf_by=5a013858681db87f488b46c2

【編集者メモ】(Pescatore)
NATOの加盟国は、既に長期に渡って攻撃的なサイバー兵器を使用している。本当の問題は、どのような状況下においてサイバー兵器の使用が正当化されるのかという点について、意見を一致させることだ。例えば、インターネットが広まる前は多くの国において、プロパガンダを放映するテレビ局が、敵国に嘘のニュースを流すために利用されたが、これは戦争として認知されなかった。同様に、諜報機関による非道なやり方での情報収集は、戦争行為として扱われなかった。インターネットを介した同様の行為が、必ずしもサイバー戦争につながるわけではないし、積極的なサイバーセキュリティ対策が予期しなかった結果を引き起こすことも十分に考えられる。

◆ 連邦サイバーセキュリティダッシュボードの採用 (2017.11.28)
国土安全保障省の職員によると、主要な政府機関は、2018年 2月末までに連邦サイバーセキュリティダッシュボードに接続する見込みだという。ダッシュボードの利用により、DHS の職員は、政府機関のネットワーク上でどのソフトウェアが実行されているのか把握できるようになる。現在は 2つの機関がダッシュボードに接続されている。24の主要機関が接続された後、DHS は小規模な機関との接続も開始する予定だという。連邦サイバーセキュリティダッシュボードは、DHS が掲げる、継続的な診断と緩和 (Continuous Diagnostic and Mitigation) プログラムの一環である。

http://www.nextgov.com/cybersecurity/2017/11/all-major-agencies-will-be-federal-cybersecurity-dashboard-february/142838/

【編集者メモ】(Northcutt)
計測の対象をあれこれ指図し、批判をする専門家のことは無視するべきだ。ダッシュボードを利用するということは、ある計測対象が監視され、他の機関の値と比較されるということだ。基準に満たない機関が 1つのみだった場合、その機関にもう逃げ場所はないのだから。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月8日(金)
 Webサイトセキュリティ対策セミナー
 ~グローバルの最新脅威動向とWAF導入による防御効果を最大化する運用監視~
https://www.nri-secure.co.jp/seminar/2017/waf01.html?xmid=300&xlinkid=03

○12月8日(金)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2017/1208.html?xmid=300&xlinkid=04

○12月12日(火)
 企業経営の最重要課題!サイバーセキュリティと生産性向上対策セミナー
https://www.yrl.com/seminar_event_1712/

○12月13日(水)、2018年1月12日(金)、2月9日(金)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=06

○12月13日(水)
 事例で解説!来年こそ導入したい最先端テクノロジ セミナー
 ~はじめての RPA、AI、Web分離・無害化、エンドポイントセキュリティ~
https://www.nri-secure.co.jp/seminar/2017/1213.html?xmid=300&xlinkid=07

○12月14日(木)、2018年1月15日(月)、2月14日(水)、3月9日(金)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=08

○12月14日(木)<大阪>
 NRI 関西ITセキュリティーセミナー2017
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~拡大するリスク、増え続ける課題、求められる対策~
https://www.nri-secure.co.jp/seminar/2017/1214.html?xmid=300&xlinkid=09

○12月15日(金)、2018年1月16日(火)、2月15日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=10

○12月20日(水)、2018年1月19日(金)、2月20日(火)、3月15日(木)
 デジタルビジネス時代の顧客ID管理・認証基盤のあり方
 ~Uni-ID Libraで実現するコンシューマサービスの認証連携と不正利用対策~
https://www.nri-secure.co.jp/seminar/2017/ciam03.html?xmid=300&xlinkid=11

○2018年1月18日(木)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2017/sri02.html?xmid=300&xlinkid=12

○2018年1月10日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac04.html?xmid=300&xlinkid=01

○2018年1月11日(木)、2月8日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○委託元企業へ情報セキュリティ対策状況を的確に伝える
「情報セキュリティ対策レポートサービス」を販売開始
https://www.nri-secure.co.jp/service/consulting/contractor.html?xmid=300&xlinkid=16

○セキュアファイル転送サービス「クリプト便」と「ASTERIA WARP Core」を
 連携した業務自動化ソリューションを販売開始
https://www.nri-secure.co.jp/whats_new/2017/1109.html?xmid=300&xlinkid=17

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=18

○クラウド上で特権IDからのアクセスを適切に統制する
 「Cloud Auditor by Access Check」サービスを提供開始
https://www.nri-secure.co.jp/service/prividmanage/cloud_auditor.html?xmid=300&xlinkid=19


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。