NRI Secure SANS NewsBites 日本版

Vol.12 No.32 2017年12月18日発行

■■SANS NewsBites Vol.19 No.095-096
(原版: 2017年12月5日、8日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃で┃す┃!┃2018年2月開催SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛受付中、ご参加お待ちしております。

【SANS Secure Japan2018】2月開催 全8コース実施
https://sans-japan.jp/secure_japan2018/index.html

開催日:2/19(月)~24(土)
●SEC401:Security Essentials Bootcamp Style
●SEC560:Network Penetration Testing and Ethical Hacking
●FOR500(旧FOR408):Windows Forensic Analysis

開催日:2/19(月)~23(金)
●ICS410:ICS/SCADA Security Essentials

開催日:2/26(月)~3(土)
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
●FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting
●SEC642:Advanced Web App Penetration Testing, Ethical Hacking, and
Exploitation Techniques

開催日:2/26(月)~2(金)
●MGT517:Managing Security Operations: Detection, Response,
and Intelligence

開催日:3/1(木)~2(金)
●DFIR NetWars:Tournament
※2018年2月19日~3月3日のSANSトレーニング受講者のみ無料でご招待いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ Uberのセキュリティマネージャが辞職 (2017.12.1)
Uberのセキュリティチームに所属する 3名が、企業データが大量流出した際に適時に開示しなかったことを受け辞職した。同社はこの事実を隠蔽するため、ハッカー集団に対し10万USドルを支払っている。同社は現在、ライバル社のコンピュータを調査する目的でスパイを雇ったことや、捜査への妨害工作を行ったとする申し立てへの対応にも追われているという(Wall Street Journalの記事は有料です。)。

http://www.cnbc.com/2017/12/01/3-top-uber-mangers-resign-after-data-breach-lawsuit-hearing.html
http://www.wsj.com/articles/uber-security-managers-resign-in-wake-of-hack-surveillance-allegations-1512181541

◆ Googleがセーフブラウジングのルールを修正 (2017.12.4)
Googleは、アプリ開発者に対し、ソフトウェアポリシーに準拠していないアプリケーションについて、今後 2カ月以内に準拠するように要求している。2018年 1月末までにポリシーに準拠できなかったアプリは、Googleセーフブラウジングのポリシーにより、ユーザの承諾を得ずに個人情報を収集するアプリについての警告がアプリやウェブサイトに表示されるようになる。アプリが提供する機能と関係のないユーザデータを収集したり、他のサーバなどに送ったりするようなアプリも、ユーザから積極的に同意を得る必要がある。

http://www.theregister.co.uk/2017/12/04/expanded_google_unwanted_software_policy/
http://www.zdnet.com/article/google-cracks-down-on-apps-that-snoop-on-you-even-if-theyre-not-in-play-store/
http://security.googleblog.com/2017/12/additional-protections-by-safe-browsing.html

【編集者メモ】(Pescatore)
Google Play のアプリストアで販売したいソフトウェアベンダーに対してプライバシーとセキュリティを継続的に引き上げているGoogle社を称賛する。Google社独自のプライバシーとセキュリティに関わる活動は、時間とともに着実に向上していくことだろう。Google社にはそうするべき強力な動機がある:Google社の利益の 90%以上は、ユーザにGoogle社へ情報を共有するよう説明した上で、その情報を検索エンジンとターゲティング広告に活用することで得られている。Google社の新年における解決策として 1つ提言する:Google社のサービスにおいて、強力な認証プロセスを使用するユーザの数を倍増する努力をすることだ。

◆ バージニア州の学生たちに、14万USドルのサイバーセキュリティ奨学金を授与 (2017.11.29 & 2017.11.30)
SANS Instituteが提供する CyberStart によるサイバーセキュリティスキルへのマッチングを目的としたオンラインプログラムを通して、バージニア州の学生に14万USドルの奨学金が授与された。参加登録した 1980名の学生のうち、843名が CyberStart Gameに参加する資格を得た。バージニア州の学生は 10名が 20位以内でプログラムを終了している。 同州の学生 62名は、さらなるサイバーセキュリティ教育とトレーニングのための奨学金を手にした。全部で 7つの州が本プログラムに参加している。

http://governor.virginia.gov/newsroom/newsarticle?articleId=21852

【編集者メモ】(Paller)
15の州知事が、1月に Girls4CyberStartを立ち上げる予定だ。このプログラムは、各州の女子高校生が自身にサイバーセキュリティの才能 (隠れた才能) があるか否か、またサイバーセキュリティ分野での仕事に興味を持てるか否かを判断する機会となる。

州知事たちが進めているプログラムの詳細はこちら:
http://cyberstart.us/

◆ 元NSAのハッカーたちが、相互起訴の可能性に懸念を示している (2017.12.1)
元NSA のエリートハッカーたちは、米国司法省が中国政府の指令を受け活動していたと見られる中国人ハッカー 3名を告発したことから、中国やロシアにおいても同様の動きがあるのではないかとの懸念を示している。 Jake Williams氏は、「連邦政府がアメリカ政府に属する全てのハッカー(現役職員および退職者)に対し、正式かつ公式に、我々を引き渡すのではなく保護する」と宣言するよう要求している。

http://motherboard.vice.com/en_us/article/a3jzke/ex-nsa-hackers-worry-china-and-russia-will-try-to-arrest-them

【編集者メモ】(Williams)
米国のサイバー軍は、要員の確保に問題を抱えており、今後も同じ悩みに頭を悩ませるだろう。我々がサイバー軍で働く最良の人材を募集 (たいていは失敗に終わるが) するにあたり、他国の同業者を告発することは悪手に他ならない。解決が必要な問題がいくつかある:政府からの援助を受けたハッカーをスパイと認識するのか。そうだとすると、彼らハッカーの活動は犯罪なのか、それとも外交問題なのか。米国は自国の人材が告発される前に、こうしたケースの処理について基準を定めることだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック) ☆SANSトレーニング前の腕試しに最適!です
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ NISTがサイバーセキュリティフレームワークの第2案を公開 (2017.12.6)
米国立標準技術研究所(NIST)は、重要インフラのサイバーセキュリティを向上させるためのフレームワークの第2案を公開した。 新たな草案では、サイバーセキュリティリスクの自己評価に関する現行ガイドラインの変更、権限付与、認証、本人確認、そして脆弱性情報公開に関する新たなガイドラインが盛り込まれている。この草案は、2018年1月18日(金)までパブリックコメントに付されている。

http://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_without-markup.pdf
http://www.darkreading.com/cloud/nist-releases-new-cybersecurity-framework-draft/d/d-id/1330579
http://www.scmagazine.com/nist-11-tackles-cybersecurity-metrics-supply-chain/article/712414/

【編集者メモ】(Paller)
素晴らしいタイミングであり、2018年に向けた幸先の良いスタートだ。サイバー衛生(cyber hygiene) における「minimum acceptable practice(MAP)」の定義について、米国、オーストラリア、イギリスがコンセンサスに達したのと同じ週、NISTのフレームワークは米国版のコンセンサスの存在を直接指摘している。それは、CISクリティカルセキュリティコントロール (CIS Critical Security Controls) についてである。NISTは SP800-53 Rev4に加え、CIS クリティカルセキュリティコントロールを参考文献としてリストアップしている。 2018年の初めまで、多国間のMAPコンセンサスに関する文献は出ないだろう。しかし事業単位で、 CISクリティカルセキュリティコントロールのトップ5(加えて10番目も) を実装するための、外部コンセンサスによる強力なサポートを得るということは、サイバー衛生に幅広く重要な改善を施すべく長い間取り組んできたセキュリティ関係の役員にとって、2018年がより収穫のある年になるということだ。

◆ NiceHash社のビットコイン仮想ウォレットが盗まれる(2017.12.6 & 2017.12.7)
仮想通貨のマイニング市場を提供する NiceHash は、今週初めのビットコイン仮想ウォレットの情報流出により、4,700ビットコインまたは 7000万~8000万USドル相当の仮想通貨が盗まれたと発表した。同社は現在、盗まれたビットコインの回復に努めている。同社はユーザに、仮想通貨のマイニングのためのリソースの売買を許可している。

http://www.theregister.co.uk/2017/12/06/nicehash_diced_up_by_hackers_thousands_of_bitcoin_pilfered/
http://www.bleepingcomputer.com/news/security/largest-cryptocurrency-mining-market-nicehash-hacked/
http://www.bbc.com/news/technology-42275523
http://www.wsj.com/articles/millions-may-be-missing-in-bitcoin-heist-1512625176

◆ スタンフォード大学の最高デジタル責任者が辞職 (2017.12.6)
スタンフォード大学の役員が、学生向け財政援助の申請データと大学従業員のデータに影響を与えた情報流出の事実を公開しなかったことにより、ビジネススクールの最高デジタル責任者を辞任した。

http://www.cyberscoop.com/stanford-u-executive-loses-job-after-failure-to-disclose-14-terabyte-sensitive-data-exposure/?category_news=technology

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月20日(水)、2018年1月19日(金)、2月20日(火)、3月15日(木)
 デジタルビジネス時代の顧客ID管理・認証基盤のあり方
 ~Uni-ID Libraで実現するコンシューマサービスの認証連携と不正利用対策~
https://www.nri-secure.co.jp/seminar/2017/ciam03.html?xmid=300&xlinkid=01

○2018年1月10日(水)、2月6日(火)、3月2日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=02

○2018年1月11日(木)、2月8日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2018/proofpoint02.html?xmid=300&xlinkid=03

○2018年1月12日(金)、2月9日(金)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=04

○2018年1月15日(月)、2月14日(水)、3月9日(金)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=05

○2018年1月16日(火)、2月15日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=06

○2018年1月18日(木)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2018/sri02.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○委託元企業へ情報セキュリティ対策状況を的確に伝える
「情報セキュリティ対策レポートサービス」を販売開始
https://www.nri-secure.co.jp/service/consulting/contractor.html?xmid=300&xlinkid=16

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=17

○クラウド上で特権IDからのアクセスを適切に統制する
 「Cloud Auditor by Access Check」サービスを提供開始
https://www.nri-secure.co.jp/service/prividmanage/cloud_auditor.html?xmid=300&xlinkid=18


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。