NRI Secure SANS NewsBites 日本版

Vol.13 No.05 2018年3月20日発行

■■SANS NewsBites Vol.20 No.018-021
(原版: 2018年 3月 6日、9日、13日、16日)


日本版編集担当より:
2週間にわたる SANSトレーニングが終了いたしました。ご参加いただいた皆様
には篤く御礼申し上げます。 今回ご参加いただけなかった方も、6月のスケジ
ュールとお申し込み受付を開始いたしましたので、よろしくお願いいたします。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃開┃始┃し┃ま┃し┃た┃2018年 6月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛申し込み受付開始しました!

【SANS Cyber Defence Japan 2018】6月開催 全7コース実施
https://sans-japan.jp/cyber_defence_japan2018/index.html

開催日:6/18(月)~23(土)
●SEC660:Advanced Penetration Testing, Exploit Writing, and
Ethical Hacking
●FOR572:Advanced Network Forensics:Threat Hunting, Analysis,
and Incident Response

開催日:6/18(月)~22(金)
●FOR578:Cyber Threat Intelligence

開催日:6/25(月)~30(土)
●SEC401:Security Essentials Bootcamp Style
●SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling
●SEC501:Advanced Security Essentials - Enterprise Defender
●SEC560:Network Penetration Testing and Ethical Hacking

開催日:6/28(木)~29(金)
●Cyber Defense NetWars Tournament
※2018年6月18日~30日のSANSトレーニング受講者のみ無料でご招待いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 豪人材サービス省が、新卒者をサイバーセキュリティ人材として育成 (2018.3.5)
経験や資格のある、サイバーセキュリティ専門スタッフの深刻な人材不足を受け、オーストラリアの人材サービス省 (Department of Human Services - DHS) が「大学新卒者を直接採用し、内部で育成するという決定を下した」。DHS は、勤務時間の半分を新卒者の指導に当てることを契約に加えた上で、業務経験のある人材を採用し、12か月もの間に、サイバーセキュリティ人材を 3倍以上に増やした。DHS は、この政策の有効性は 2年以内に判明する想定だ。DHS による新しい採用方法は、Microsoft 社の ”Navigating the new cybersecurity threat landscape”にその詳細が掲載されている。

http://www.zdnet.com/article/microsoft-details-human-services-cybersecurity-hiring-spree-in-new-report/

【編集者メモ】(Murray)
私にはごく当然の取り組みに思える。誰かが新卒者を採用し訓練する。これを誰もやらなかったら、サイバーセキュリティ分野の市場における経験豊富な人材の不足が発生するだろう。
【編集者メモ】(Paller)
英国では、採用する学生には成功に必要な適正と基本的な技術があり、サイバーセキュリティ分野での仕事を始める準備ができていることを確かなものとすることで、この取り組みを次のステップへと進めている。2,500万USドルをかけ実現したHMGCyberDiscoveryプログラムは、英国におけるサイバーセキュリティ技術のパイプラインを新たな形へと進化させつつあるのだ。
http://www.joincyberdiscovery.com/resources

【編集者メモ】(Ullrich)
人材不足の理由の一つは、雇用者が、特定の職において必要な技術全てを兼ね備えた人材の雇用を期待していることだ。このシナリオは、技術者の訓練と雇用が長い間行われてきた、歴史ある職種では可能だろう。しかしサイバーセキュリティにおいては通用しない。仮に、あなたが使用しているセキュリティ製品と全く同じものに精通している人物が応募してきたとしても、その人物が持っている知識は、数年後には使えないものとなっている可能性がある。実務的な基礎技術を学び、今後も学び続ける意欲と能力を備えた人を雇用するほうが、はるかに効率が良いようだ。

◆ Microsoft社が、Intel社のファームウェア修正を含むパッチを再公開(2018.3.1 & 2018.3.2)
Microsoft社は、CPU脆弱性 Meltdownと Spectre対策である、Intel社のファームウェア修正を含むパッチの再公開を開始した。同修正パッチはこれまでのバージョンにおいて、複数のユーザ環境で問題を引き起こしていたようだ。

http://www.theregister.co.uk/2018/03/01/intel_microsoft_skylake_spectre/
http://www.eweek.com/security/microsoft-resumes-issuing-windows-patches-to-fix-meltdown-spectre

【編集者メモ】(Neely) 適用する前に、これらのパッチの信頼性と影響についてテストするべきだ。

◆ SECが仮想通貨取引の規制に本気で取り組む (2018.2.28 & 2018.3.1)
アメリカ証券取引委員会(SEC) は、仮想通貨取引の規制に本気で取り組む姿勢を見せている。イニシャル・コイン・オファリング(ICO) を始めたフィンテック企業数社に対し、SEC は勾引状を発行し、情報の提供を要求した。フィンテック業界は、仮想通貨は有価証券であり、連邦規則集による規制の対象であるとする考え方に、全面的に反対している (Wall Street Journalの記事は有料です)。

http://www.zdnet.com/article/microsoft-details-human-services-cybersecurity-hiring-spree-in-new-report/

【編集者メモ】(Neely) 特段驚くような内容ではない。より多くの企業が ICOに参加するようになった今、仮想通貨は本流へと移りつつある。つまり取り締まりの監視対象となったということだ。規制の緩さが仮想通貨の魅力であったが、マルウェアによるマイニングや盗難事件が、消費者保護の必要性を強調しているのだ。

◆ 政府機関はサイバーセキュリティ分野の人材確保に向け、所属する職員の再教育を検討するべきだ (2018.3.8)
Association for Federal Information Resources Managementのサイバーセキュリティサミットにおけるスピーチで、アメリカ国家安全保障会議のサイバーセキュリティ担当ディレクターである Tyson Meadors氏は、国内におけるサイバーセキュリティ分野の人材不足は、各政府機関がそれぞれに所属する職員を再教育することで、一部解消を期待できるだろうと述べた。Meadors 氏はまた、コンピュータサイエンスに留まらない、幅広い教育を実施することが、サイバーセキュリティ分野でのキャリア構築に良い影響をもたらすことにつながると指摘した。「28万 5千におよぶ米国のサイバーセキュリティ分野における欠員は、コンピュータサイエンス学部を卒業した学生で補えるものではない」と Meadors氏は述べ、続けて「この欠員は、様々な要素を組み合わせて、補う必要がある。例えば見習い、コミュニティカレッジの卒業者、単に適正や才能があるという理由で採用できるような人物であり、前例にとらわれない分野からの採用が可能となる。」と述べた。

http://www.fedscoop.com/agencies-can-retrain-employees-get-cyber-talent/
http://www.nextgov.com/cybersecurity/2018/03/it-takes-more-tech-skills-be-strong-cyber-leader/146520/

◆ OIGによる監査:DHSはネットワークの保護を改善する必要がある (2018.3.8)
アメリカ合衆国国土安全保障省(DHS) の監察総監室(OIG) の報告書によると、DHSはネットワークを適切に保護できていないことが発覚した。監査で発覚した内容には、サポート切れOS(Windows Server 2003) の使用のほか、WannaCryやFlash、Shockwave、および Acrobat の脆弱性に対する修正パッチの未適用、共有ドライブへ匿名アクセスの無効化に一貫性がないこと、そしてレジストリ監査の有効化に一貫性がないことが含まれる。報告書は、DHS がサイバーセキュリティ対策を施しきれていない最大の理由として、サイバーセキュリティ分野の人材不足を挙げているのだ。

http://www.theregister.co.uk/2018/03/08/feds_scolded_for_slow_security_patching_and_outdated_operating_systems/
http://www.oig.dhs.gov/sites/default/files/assets/2018-03/OIG-18-56-Mar18.pdf

【編集者メモ】(Pescatore)
良いニュースは、DHS の全体的なサイバーセキュリティ対策状況は改善されていることだ。悪いニュースは、改善された部分が全て、アメリカ合衆国シークレットサービス(私の出身部署) から来ているということだ。全体を見ると、DHSに属する10の機関のうち、 5つで状況が悪化もしくは変化が無かったという。共通のテーマとなっているものは、DHS が管理しているプログラムでもある、継続的な診断と緩和(Continuous Diagnosis and Mitigation:CDM) の導入ついて DHS における進捗がほとんど無いという点だ。

◆ 英政府による、IoTセキュリティガイドライン (2018.3.7)
英政府による報告書 Secure by Design では、IoT製造業者、IoTサービスプロバイダ、モバイルアプリ開発者、そして販売者に向けた行動基準の提案が記載されている。提案されている行動基準には、共通のデフォルトパスワードを許可しないこと、機密なデータを安全に保管すること、消費者が容易に機器の設定をできるように設計すること、ソフトウェアをアップデートすること、そして脆弱性情報公開ポリシーを導入することが含まれていることが明らかになった。

http://www.gov.uk/government/uploads/system/uploads/attachment_data/file/686089/Secure_by_Design_Report_.pdf
http://www.gov.uk/government/news/new-measures-to-boost-cyber-security-in-millions-of-internet-connected-devices
http://www.zdnet.com/article/new-iot-security-rules-stop-using-default-passwords-and-allow-software-updates/
http://www.v3.co.uk/v3-uk/news/3027929/government-to-demand-security-by-design-in-new-measures-to-tackle-iot-security

【編集者メモ】(Ullrich)
IoT以外の分野にも適用できる、良くできたガイドラインである。Cisco社が今週、「デフォルトの資格情報」の脆弱性に対し修正パッチを公開した件は見るべきだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「ソーシャルメディアを安全に利用するために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ソーシャルメディアには様々なのものがありますが、どれもが素晴らしいリソー
スであり、世界中の人々と交流することができます。しかし使い方によってはあ
なただけではなく、あなたが所属する会社にも影響を与えるようなリスクがあり
ます。今月は、ソーシャルメディアを安全に利用する方法について一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-03/201803-OUCH-March-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ GAO:DHSは、サイバーセキュリティ人材の雇用促進策を導入していない(2018.3.7 & 2018.3.8)
米国会計検査院(GAO) の報告書によると、国土安全保障省(DHS) が、サイバーセキュリティ人材の雇用について二の足を踏んでいる。議会は2014年、DHS に対して雇用促進の権限を認めた。下院国土安全保障小委員会における合同聴聞会において、この問題が議題となった。Bennie Thompson議員(民主党・ミシシッピ州)は、DHSが2019年春までは、雇用権限の導入を完了する予定がないことを指摘し、本件に関して時間を浪費する余裕は無いと述べたのだ。

http://www.gao.gov/products/GAO-18-430T
http://www.fifthdomain.com/civilian/2018/03/08/gao-homeland-security-too-slow-in-hiring-cyber-workers/

◆ 上院において、送電網にアナログ式のサイバーセキュリティ対策の追加を求める法案が提出される (2018.3.9)
米国上院議員 2名が、送電網の冗長性を調査する試験プログラムと、デジタル技術に依存しないサイバーセキュリティ対策を含む法案を提出した。この法案は、2015年に発生したウクライナの送電網へのサイバー攻撃において、作業員がアナログ式のバックアップによって電力を回復させたことに着想を得たようだ。Securing Energy Infrastructure Act (S.79)は、「エネルギー分野の重要部分における、脆弱性を発見するための試験プログラムを創設すること」を目的としているのだ。

http://www.nextgov.com/cybersecurity/2018/03/senators-want-dumber-tech-energy-grid-cybersecurity/146555/

◆ 石油化学製品工場へのサイバー攻撃は、物理的なダメージを与えるよう計画されていた (2018.3.15)
昨夏、サウジアラビアの石油化学製品工場が標的となったサイバー攻撃について、調査員らは工場の操業を妨害し、爆発を引き起こすよう計画されたものであったと考えているようだ。調査員らは攻撃を受けた企業名や、企業が本拠地とする国をまだ明らかにはしておらず、また攻撃を企てた犯人の名前も公表していない。爆発が発生しなかった理由は、コードの記述に間違いがあった為だ。本事件は、Mandiant社、Shneider Electric社、NSA、FBI、アメリカ合衆国国土安全保障省(DHS)、国防高等研究計画局(DARPA) が調査を担当しているところだ。

http://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html

◆ FBIとDHS:ロシアのハッカー集団が米国の重要インフラを標的にしていた (2018.3.15)
米国国土安全保障省(DHS) と FBIは、ロシアのハッカー集団が、米国の重要インフラの一部を担う企業や団体を標的とし、サイバー攻撃を展開していたと指摘している。「多段階式の侵入攻撃」はスピアフィッシング攻撃によって拡散し、小規模な商用施設のネットワークへの侵入に利用されたのだ。ハッカーらは侵入したネットワークから横方向に移動し、別のネットワークに侵入。その後、重要インフラで使用されている産業用制御システム(ICS) に関する情報を採取したようだ。

http://thehill.com/policy/cybersecurity/378627-homeland-security-fbi-say-russian-hackers-of-targeted-us-energy-assets

◆ 米国がロシアに対して制裁措置を実施 (2018.3.15)
米国は、選挙妨害、マルウェア NotPetya によるサイバー攻撃、またその他の悪意のあるサイバー活動について、ロシアに対し新たな制裁措置を実施した。米国財務省は、5つの団体と 19の個人に対して制裁措置の実施を通告したのだ。

http://www.scmagazine.com/trump-administration-imposes-sanctions-on-russia-for-election-interference-notpetya/article/751235/
http://www.zdnet.com/article/us-drops-sanctions-on-russia-over-notpetya-cyberattack-election-meddling/
http://www.cnet.com/news/russia-faces-us-sanctions-for-election-interference-cyberattacks/
http://www.washingtonpost.com/world/national-security/trump-administration-sanctions-russian-spies-trolls-over-us-election-interference-cyber-attacks/2018/03/15/3eaae186-284c-11e8-b79d-f3d931db7f68_story.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月23日(金)
 クラウド時代の次世代認証セミナー
http://www.nri-secure.co.jp/seminar/2018/oss01.html?xmid=300&xlinkid=05

○4月13日(金)、5月11日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=06

○4月20日(金)
 事例に基づく電子化文書管理セミナー
 ~効率・コスト・セキュリティを考える~
https://www.nri-secure.co.jp/seminar/2018/da02.html?xmid=300&xlinkid=07

○4月24日(火)
 「ユーザーエクスペリエンス」と「セキュリティ」を両立するために
 ~Uni-IDで実現するコンシューマサービスの
              アイデンティティ管理と不正アクセス対策~
https://www.nri-secure.co.jp/seminar/2018/ciam03.html?xmid=300&xlinkid=03

○4月26日(木)、5月18日(金)、6月20日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=08

○5月17日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file01.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月
 SANS Cyber Defence Japan 2018
https://sans-japan.jp/cyber_defence_japan2018/index.html?xmid=300&xlinkid=11

○7月、8月、10月、11月、2019年1月、3月
 セキュアEggs
(IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=12

○5月、10月、2019年3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ対策を支援するWebプラットフォームサービス「Secure SketCH」
 を4月から無料で提供開始。開始通知登録受付中。
https://www.secure-sketch.com/?xmid=300&xlinkid=11

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=12

○「PCI 3DS準拠支援コンサルティング/審査」サービスを提供開始
https://www.nri-secure.co.jp/whats_new/2018/0223.html?xmid=300&xlinkid=13

○文書管理ソリューション「Contents EXpert / Digital Document」の情報漏えい
 防止機能を強化
https://www.nri-secure.co.jp/whats_new/2018/0313.html?xmid=300&xlinkid=14

○新刊本「ITロードマップ2018年版」でNRIと共同執筆
https://www.nri-secure.co.jp/whats_new/2018/0312.html?xmid=300&xlinkid=15

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。