NRI Secure SANS NewsBites 日本版

Vol.13 No.26 2018年10月24日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.26
(原版: 2018年 10 月 16 日、19 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 大┃阪┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 2┃コ┃ー┃ス┃開┃催┃決┃定┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Osaka 2018】11月開催 全2コース実施
https://sans-japan.jp/sans_osaka2018/index.html

開催日:11/12(月)~17(土)
★SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
☆★SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリにおけるセキュリティ上の課題を徹底理解!
SEC542は、今年度開催は大阪のみです。
首都圏在住の方もぜひこの機会をご検討ください。


 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 受┃付┃開┃始┃し┃ま┃し┃た┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
★SEC401:Security Essentials Bootcamp Style ★SEC560:Network Penetration Testing and Ethical Hacking ★FOR585:Advanced Smartphone Forensics ★FOR500:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
★ICS410:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
★SEC504:Hacker Tools, Techniques, Exploits and Incident Handling ★SEC511:Continuous Monitoring and Security Operations ★SEC642:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
★FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting ★FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ サードパーティの契約業者における情報漏洩が発端となり、DOD職員の旅行データが窃取される(2018.10.12 & 2018.10.13 & 2018.10.15)
米国防総省(DOD)のサードパーティ契約業者が保有するシステムにおける情報漏洩により、約3万人に及ぶ、DODの軍関係者や一般職員の支払いカードや旅行に関する情報が窃取された。DODはインシデントの発生について2018年10月4日に通知を受けた。攻撃者は、契約業者のシステムへ侵入後DODのシステムにアクセスし、データを窃取した。

- http://www.zdnet.com/article/pentagon-discloses-card-breach/
- http://www.reuters.com/article/us-usa-pentagon-cyber/pentagon-investigating-cyber-breach-of-some-travel-records-idUSKCN1MM2ML
- http://www.scmagazine.com/home/security-news/pentagon-data-breach-exposed-30000-travel-records/

【編集者メモ】(Henry)
敵は最大の標的のネットワークにアクセスするため、継続的にサプライチェーンを狙っている(「The Rest of the Week’s News」に掲載しているTony Sager氏のインタビューを読んでほしい)。各組織は、接続しているネットワークに適切なセキュリティプロトコルを確保し、実際にそのプロトコルを実装していることを明確にする必要がある。これを実行するには、セキュリティポリシーを調査し、ビジネス上のやり取りをしているサイトにおいて、実際にテストを実施することが求められる。最重要ではないが、契約上の義務によって、契約業者が責任を負う可能性に気付いた時、彼らが義務に従う動機を与えることができる。

【編集者メモ】(Williams)
DODはデータの提供者となるため、サードパーティの業者と契約したが、業者は提供された情報を保護することができなかった。DODはおそらく、契約内容にサイバーセキュリティに関する要求事項を盛り込んでいたと考えられるが、サードパーティの業者を審査していなかった(広く知られているとおり、これは非常に難しいことだ)。この問題はまたしても、データを外部業者に委託することはできても、データを保護する責任を委託することはできないということを示している。あなたの情報漏洩は、今でもまだあなたの情報漏洩と見なされる。
────────────────

◆ 上院議員が、選挙システム所有者の透明性に関する法案を提出(2018.10.11)
米上院議員であるChris Van Hollen氏(民主党・メリーランド州)が、米国内で使用されている選挙システムの所有権に関する、透明性の確保を目的とした2つの法案を提出した。Protect Our Elections Actは、外国の個人や企業による選挙システムの所有を禁止し、選挙関連サービスを提供する業者に対し、外国の個人や企業が持つその企業の所有権や支配権限について公表することを要求する。Election Systems Integrity Act(選挙システム保全法)は、前述の法案の縮小版であり、選挙システムや選挙関連サービスを提供する企業に対し、外国の個人や企業による所有権を公表することを求めている。

- http://www.cyberscoop.com/two-bills-seek-transparency-in-ownership-of-election-vendors/

【編集者メモ】(Pescatore)
サプライチェーンのセキュリティには、購入している製品のリスクを理解することが含まれる。ベンダの財政状況と所有権に関する信頼性と信用性は、中でも重要な要素として挙げられる。長い目で見ると、ビジネスはグローバルに展開し続けることが予想されるが、購入の際の意思決定には、安価な製品を実際使用した時に、高価な買い物ではなかったことを実証するためのコストを含める必要がある。選挙システムにおけるリスクコストは膨大なものだ。

【編集者メモ】(Murray)
およそ60年前、私は投票マシンに対抗して、せん孔カードを用いた投票システムを販売しようとした。業界には2社の競合企業がいたが、どちらも米国の企業で腐敗していた。そして現在も腐敗が続いている。
────────────────

◆ ダークウェブにおいて、投票者記録が販売されていることが判明(2018.10.15)
ダークウェブにおいて、米国内の19州における投票者記録が販売されていることが判明した。全部で3500万件以上の記録が売りに出されている。データには氏名、住所、投票履歴、その他の投票に関わる記録が含まれている。データを販売している人物は、データは毎週アップデートされていると話しており、データベースへの恒久的なアクセス権を保有しているか、情報源となる人物から情報を受け取っている可能性があることを示唆している。

- http://www.scmagazine.com/home/security-news/35-million-voter-records-from-19-states-found-for-sale-on-dark-web/
- http://www.zdnet.com/article/us-voter-records-from-19-states-sold-on-hacking-forum/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「Eメールでありがちな失敗と防止策」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
仕事やプライベートで頻繁に使われる Eメール、便利なツールですが、その特徴
をきちんと理解をしておかないと、思わぬところから足をすくわれてしまう失敗
をしてしまいます。今月は、この Eメールでありがちな失敗とその防止策につい
て、いくつかの例を挙げながら、同じようなことを繰り返さないようにする手段
を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.sans.org/sites/default/files/2018-10/201810-OUCH-October-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ DHS長官が、米国は「選挙当日の妨害工作に対抗する準備が整っている」と述べる(2018.10.8)
Nielsen米国土安全保障省(DHS)長官は、史上最速の成長スピードを見せているISACとして、Election Infrastructure Information Sharing and Analysis Center(EI-ISAC)を取り上げ、ISACによって設置されたセンサネットワークがあり、これまでに1000の行政組織が加盟している情報共有ネットワークが存在すると述べた。

- http://securityboulevard.com/2018/10/secretary-of-homeland-security-were-ready-for-election-day-interference/
- http://www.cisecurity.org/ei-isac/ei-isac-services/
────────────────

◆ Facebook社の選挙対策戦略室(2018.10.18)
今週初め、Facebook社は、2016年の大統領選挙で注目を浴びた、詐欺行為や妨害工作から同社のネットワークを防護するために開設した戦略室に、報道関係者を招待した。ブラジル大統領選挙が始まり、1か月後に米中間選挙を控える中で、戦略室は先月開設された。戦略室は24のチームから構成されており、「脅威情報、データサイエンス、工学、調査研究、運営、法政策、コミュニケーションなどそれぞれの専門家が名を連ねている。」

- http://www.wired.com/story/inside-facebooks-plan-to-safeguard-2018-election/
────────────────

◆ フロリダ州の選挙セキュリティ(2018.10.17)
米国の各州が、間もなく開催される中間選挙に向けて、サイバーセキュリティ上の脅威に対してどのような対策を取っているのかを取り上げた、連載記事の3本目において、TechRepublicはフロリダ州の取り組みを紹介している。ロシアのハッカー集団が、2016年にフロリダ州の投票者登録データベースを標的とし、いくつかの郡がフィッシング攻撃の標的となった。フロリダ州は、選挙セキュリティ向上のため、1900万USドルを超える資金を、Help America Vote Act(HAVA)を通して議会から受け取った。同州は物理セキュリティ、投票システムのアップグレード、リスクアセスメントと選挙後の審査にこの資金を活用している(過去2回の記事では、ウェストバージニア州とオハイオ州の取り組みが取り上げられていた)。

- http://www.techrepublic.com/article/how-florida-is-bolstering-election-security-after-being-targeted-by-russian-hackers/
────────────────

◆ カリフォルニア州の郡において、連邦政府の職員と協力し、投票システムのセキュリティを向上させる取り組みが進められている(2018.10.18)
カリフォルニア州インヨー郡の選挙対策委員長であるKammi Foote氏が、2016年の大統領選挙前に連邦政府職員から、何か通常とは異なることが発生したら教えてほしいと連絡を受けた際、詳細の提供に消極的だった同氏には、答えよりも多くの疑問が残された。それ以降、連邦政府職員と地方行政府間のコミュニケーションや協調の機会が増えたことで、Foote氏はインヨー郡の投票システムを保護するための対策を前向きに取ることになった。

- http://www.wbtw.com/news/politics/states-and-feds-unite-on-election-security-after-16-clashes/1533772689
────────────────

◆ ダラス郡における選挙システムセキュリティ強化(2018.10.18)
ダラス郡(テキサス州)は来月の中間選挙に備え、選挙セキュリティの強化に取り組んでいる。セキュリティ強化では主に、怪しいメール、フィッシング攻撃、侵入行為、そして投票システムの全体的なセキュリティに焦点を当てる。ダラス郡のClay Jenkins判事は、「私たちは選挙に関わる機械をインターネットに接続することは絶対にないため」電子投票のセキュリティについては心配していないと述べた。

- http://www.fox4news.com/news/dallas-county-to-approve-additional-security-measures-on-voting-system
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月24日(水)、11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=01

○10月25日(木)~26日(金)FIT2018(金融国際情報技術展)[主催:ニッキン]
 [B7(2)-04]
 【事例で解説】
  金融システムのサーバアクセス制御・ログ監査の負荷を最小にする方法
https://fit.nikkin.co.jp/seminar/1/647

 [B7(1)-07]
 【金融セキュリティ最前線】
  注目集めるサイバー攻撃対策「人」を中心とした新たな手法
https://fit.nikkin.co.jp/seminar/1/646

○10月31日(金) 金融サイバーセキュリティフォーラム2018[主催:GMAC]
  [B-2]金融サービスの利便性と安全性を両立する最新認証技術動向
  [B-3]【実例で解説】BEC(ビジネスメール詐欺)の最新の攻撃手法と対策
https://www.gmac.jp/frcf/2018/agenda.html

○11月7日(水)
 Webアプリケーション開発における「DevSecOps」の推進
 ~「Contrast Security+VEX」による
   アジャイル、高速開発に対応したセキュリティ対策の実現 ~
https://www.nri-secure.co.jp/seminar/2018/devsecops01.html?xmid=300&xlinkid=02

○11月7日(水)大阪 / 11月15日(木)福岡 / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=03

○11月14日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=04

○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=05

○11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=10

○11月12日(月)~17日(土):大阪
 SANS Osaka 2018
https://sans-japan.jp/sans_osaka2018/index.html?xmid=300&xlinkid=11

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○コミュニケーションと情報収集の悩み、協働作業で解決しよう
https://www.secure-sketch.com/blog/communication-and-collaboration-tool?xmid=300&xlinkid=13

○多要素認証とは?パスワードだけでは守りきれないクラウドのセキュリティ
https://www.secure-sketch.com/blog/multi-factor-authentication?xmid=300&xlinkid=14

○EDRでセキュリティの現場が変わる
https://www.secure-sketch.com/blog/edr-security-for-cyber-attack?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/download/insight2018-report-01?xmid=300&xlinkid=17

○セテレワーク時代のサーバーセキュリティ
 ~エンドポイントセキュリティの重要性~
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアの認証基盤ソリューション「Uni-ID Libra」が生体認証に対応
 し、パスワードレス認証を実現
 ~第一弾として、NECの「FIDO機能認定プログラム」適合製品と連携開始~
https://www.nri-secure.co.jp/news/2018/1009.html?xmid=300&xlinkid=21

○新メニュー「サイバー攻撃対応机上演習サービス」を
 「CSIRT総合支援サービス」に追加
https://www.nri-secure.co.jp/news/2018/1005.html?xmid=300&xlinkid=22

○セキュリティ対策状況可視化サービス「Secure SketCH」の認定パートナー制度
 を開始
https://www.nri-secure.co.jp/news/2018/1002.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!あなたの会社に必要なセキュリティ対策 <登録無料>
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。