NRI Secure SANS NewsBites 日本版

Vol.13 No.30 2018年11月22日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.30
(原版: 2018年 11 月 13 日、16 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 米国防総省が、契約内容に新たにサイバーセキュリティに関する文言を追加する考え(2018.11.2 & 2018.11.9)
今後、米国防総省(DoD)の契約文書には、サイバーセキュリティに関する要求を定義する新たな文言が含まれる。取得・維持担当の国防次官Ellen Lord氏は、「DoDは全てのサービスで使用する約款を公開する」と述べた。提案を検討する際、サイバーセキュリティに関する普段の行いが、サービスの質やコストと同等に扱われるようになる。

- http://www.stripes.com/news/us/pentagon-bolstering-cybersecurity-demands-for-future-contracts-1.555931

【編集者メモ】(Pescatore、Williams)
記事の内容が意味のあるものとなるか否かは、追加される文言が何かによる。サイバーセキュリティが、RFPにおける重要な評価基準となることは喜ばしいことである一方、本当の成果は、契約業者がセキュアな行動をとっていることを実際に示し、製品のセキュリティ状態を実際に検証するよう要求することによってのみ得られる。文書のページ数を増やしただけでは、セキュリティの強化にはつながらない。

【編集者メモ】(Paller)
正しい文言を追加すれば、連邦政府のサイバーセキュリティ政策に大きな影響を与えるだろう。
────────────────

◆ 送電網に対する攻撃の模擬演習(2018.11.9)
10月31日から11月6日にかけて、政府と企業の研究者は、ロングアイランド湾内にある、政府所有の立ち入りが制限された島において、送電網に対するサイバー攻撃の模擬演習に参加した。この模擬演習は、サプライチェーンへの攻撃、ランサムウェア、誤って設定された機器を含む、送電網における大事故や事件に対して、現在用意されている対応策がどれほど通用するかを試す機会であった。Defense Advanced Research Projects Agency(DARPA)のプログラムマネージャであるWalter Weiss氏が先導したこの演習は、シナリオでは数週間停止していたとされる送電網を復旧させる命令から始まった(Wall Street Journalの記事は有料です)。

- http://www.wsj.com/articles/federal-researchers-simulate-power-grid-cyberattack-find-holes-in-response-plan-1541785202
────────────────

◆ イングランド銀行が、金融セクターの抵抗力を検証するサイバーセキュリティ演習を主催(2018.11.8 & 2018.11.9)
11月9日金曜日、イングランド銀行は規制当局と大蔵省との共同で、サイバー攻撃発生時における金融機関の抵抗力を検証する「机上」演習を実施し、40の組織が参加した。イングランド銀行はウェブサイト上の発表で、「演習は関係当局や企業が、金融セクターの抵抗力を全体的に向上させるような、共同でサイバー攻撃に対応する際の取り決めを改善する上で役に立つだろう」と述べている。

- http://www.bbc.com/news/business-46149667
- http://www.bankofengland.co.uk/news/2018/november/sector-resilience-exercise
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「ハッキングされているかも」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
どんなにセキュアな環境であっても、車の事故と同じように問題が発生する場合
があります。自身が原因ではなくても巻き込まれてしまうこともあるかもしれま
せん。ハッキングをされてしまったことを早期に察知することは、問題を修正で
きる可能性を高めることになるます。今月は、ハッキングされているかどうかの
見極め方やハッキングをされている場合にすべきことについて、一般ユーザ向け
に分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-11/201811-OUCH-November-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米NPPDはサイバーセキュリティとインフラセキュリティの担当機関であり、強化された権限を持つ。(2018.11.14)
11月12日月曜日、米下院は、上院で作成されたCybersecurity and Infrastructure Security Agency Actを承認した。法律化が期待されているこの法案は、National Protection and Programs Directorate(NPPD)をCybersecurity and Infrastructure Security Agency(CISA)に改名する。また法案により、CISAは任務が拡大され、運輸保安庁(TSA)や他の機関と並ぶ戦略的な構成部門となる。CISA 長官Christopher Krebs氏は、DHS長官に直接報告を上げる。

- https://fcw.com/articles/2018/11/14/cisa-not-nppd-bill-rockwell.aspx%E2%80%8B:
- https://www.nextgov.com/cybersecurity/2018/11/congress-passes-long-sought-bill-rename-dhs-cyber-agency/152821/

【編集者メモ】(Henry)
私は長きに渡り、米政府機関間のサイバーセキュリティに関する調整の必要性を主張してきた。攻撃の防止や抑止においては一定の成功を収めてきたが、そうした対抗措置を取る際に、「インターネットの速さで」攻撃を分析し行動できるようにするために、さらなる協調体制が必要だ。新しい機関にはより大きな責任と義務が求められるが、そのためには権力が必要だ。CISAが、これまで以上に同時性を高めた形で各組織を束ね、同機関の権力や能力、専門性を行使できれば、価値を見出すことができるだろう。もしまた別の官僚社会を生むものであれば、CISAは「これまでとほとんど同じ」ものとなるだろう。私は前者であることを望む。時が答えを導くだろう。
────────────────

◆ 米マサチューセッツ工科大学Internet Policy Research Initiativeのセンター長が、オーストラリアのAssistance and Access法案は、研究活動に悪影響を及ぼす可能性があると指摘(2018.11.16)
オーストラリア政府は、同政府が提唱する「Assistance and Access」暗号化法案への批判を受けている。マサチューセッツ工科大学(MIT)Internet Policy Research Initiative(IPRI)のDaniel Weitznerセンター長は、オーストラリアの国家諜報セキュリティ統合委員会(Parliamentary Joint Committee on Intelligence and Security:PJCIS)に対し、法案が法律化された場合、研究活動に悪い影響を及ぼす可能性があると指摘した。2018年10月11日付けのIPRIによる意見書には、「この法案について我々が理解するところでは、技術的な告知文であるか、技術能力に関する告知文であるかに関わらず、システムの設計や実装における必要な変更に関する情報を公開した場合、相当な罰が科せられる。このような罰は、サードパーティであるセキュリティ研究者が脆弱性を発見する上で一役買っている、広く一般に使用されているソフトウェアを可能な限り多くの人々に監視させるという、昨今重要性が増しているプロセスを妨害することとなる。」と記されている。(IPRIによる意見書は、以下APHのリンクより、#32を参照)

- https://www.theregister.co.uk/2018/11/16/oz_cryptobusting_laws/
- https://www.aph.gov.au/Parliamentary_Business/Committees/Joint/Intelligence_and_Security/TelcoAmendmentBill2018/Submissions

【編集者メモ】(Williams)
セキュリティ研究の一般公開を妨害することは、アンダーグラウンドでの公開を助長するだけだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=01

○11月29日(木)、12月19日(水)、2019年1月25日(金)、2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=02

○12月4日(火)
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=03

○12月4日(火)
 CISSPチャレンジセミナー in 東京
 ~CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方~
https://www.nri-secure.co.jp/seminar/2018/cissp06.html?xmid=300&xlinkid=04

○12月6日(木)
 [Cofenseユーザー来日講演]
 フィッシングから組織を守る革新的なアプローチ
 ~チューリッヒ社のグローバル情報セキュリティ責任者が考えるベストプラクティスとは~
https://www.nri-secure.co.jp/seminar/2018/cofense01.html?xmid=300&xlinkid=05

○12月18日(火)
 テレワークのセキュリティ課題を解決!
 ~情報漏洩を気にせず、利便性を損なわず、すぐはじめられるテレワークとは~
https://www.nri-secure.co.jp/seminar/2018/telework01.html?xmid=300&xlinkid=06

○12月20日(木)
 【オンラインセミナー】
 国内最高レベルのセキュリティ環境で実現するファイル共有とは
 ~「クリプト便」にファイル共有オプションが登場~
https://www.nri-secure.co.jp/seminar/2018/file04.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○RPAの普及がもたらすメリットとセキュリティリスク
https://www.secure-sketch.com/blog/robotic-process-automation?xmid=300&xlinkid=14

○クラウドのセキュリティ評価の勘所|責任範囲の「ポテンヒット」を防げ
https://www.secure-sketch.com/blog/points-of-cloud-service-security-assessment?xmid=300&xlinkid=15
○【図解でわかる】サイバー攻撃の種類と対策
https://www.secure-sketch.com/blog/types-of-cyber-attack?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/download/insight2018-report-01?xmid=300&xlinkid=17

○セテレワーク時代のサーバーセキュリティ
 ~エンドポイントセキュリティの重要性~
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ブロックチェーン技術を用いるスマートコントラクトを対象に、
 セキュリティ・モニタリングサービスを提供開始
 ~日本で最初の米国ConsenSys社の開発パートナーに~
https://www.nri-secure.co.jp/news/2018/1108.html?xmid=300&xlinkid=20

○セキュアなファイル交換クラウドサービス「クリプト便」に
「ファイル共有オプション」を新規に追加
~ 国内最高レベルのセキュリティ環境で、ファイル共有が可能に ~
https://www.nri-secure.co.jp/news/2018/1105.html?xmid=300&xlinkid=21

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。