NRI Secure SANS NewsBites 日本版

Vol.14 No.01 2019年1月8日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.01
(原版: 2018年 12 月 28日、1 月 4日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃ま┃だ┃受┃付┃中┃で┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
  https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)★早期割引締切日は今週金曜です★
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ SANS Holiday Hack Challengeを、2019年1月14日まで開催中
毎年無料で開催しているSANS Holiday Hack Challengeを、現在開催中!。今年はサンタクロースが、北極でバーチャルカンファレンスKringleConを主催する。参加者は、サンタクロースのバーチャル城内を歩き、12 ~18分間の、今すぐに使える技術が詰まった最高の動画を、22本観賞する。そしてブラウザ上でサイバーディフェンスやDFIR、ペンテストの問題を解きながら、サンタクロースの城内を歩いていくと、徐々に楽しい休日の陰謀が明らかになっていく。特別にカスタムされた休日用の音楽を聴きながら、悪党と知力比べをしよう。何歳でも楽しめる、SANSがサイバーセキュリティに関わる皆さんに贈るプレゼントです。これまでに1万5千人以上が参加している。こちらから無料で参加可能:https://holidayhackchallenge.com/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「インターネットで自分自身を検索する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自分自身のプライバシーや共有する情報の保護が大切だという話を耳
にしたことがあるはずです。しかし、実際にインターネット上から取得できる情
報にどのようなものがあるのかを調べたことがある方は少数かもしれません。
今週は、インターネット上に公開されている情報から、どのような情報を入手す
ることができるのか、その検索テクニックなどについて一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-01/201901-OUCH-January-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米保健福祉省がサイバーセキュリティガイドラインを公開(2019.1.2)
米保健福祉省(HHS)が、ヘルスケア業界向けのサイバーセキュリティガイドラインを公開した。このガイドラインは、ヘルスケア関連の企業や団体向けに、患者のデータを保護する際に必要なサイバーセキュリティ上の一貫した慣行例を提示し、2015年サイバーセキュリティ法の要求事項を満たすことを目的として作成された。The Health Industry Cybersecurity Practices: Managing Threats and Protecting Patientsは、「サイバーセキュリティへの関心を高め、綿密な調査の下厳選されたサイバーセキュリティ上の慣行例を提示し、ヘルスケア業界に最も関わりの深いサイバーセキュリティ上の脅威軽減において、関連企業や団体が一貫性のある行動を取るようになることを目標としている。」ガイドラインは本編、技術情報に関する二編の文書、リソースやテンプレートに関する文書で構成されている。このガイドラインによる拘束力は無い。

- http://fcw.com/articles/2019/01/02/hhs-cyber-johnson.aspx
- http://www.phe.gov/Preparedness/planning/405d/Documents/HICP-Main-508.pdf

【編集者メモ】(Murray)
このガイドラインは過去の習慣を断ち切るものだ。「脅威」ではなく、「良い行い」をベースに作成されている。ヘルスケア企業や団体の多くは、「脅威」を評価するために必要な知識、技術、能力、経験が不足しているが、どのような行いが効果的で効率的であったかは判明している。その上で言うと、2019年の良い行いは、2018年ましてや2015年の良い行いとは相当な違いがある。「最小権限」によるアクセス制限、強力な認証、アプリケーション層におけるエンドツーエンドの暗号化など、奇抜である必要はないが、性能の高いバックアップや復旧の方法、そして早期の攻撃や侵入の検知が、2019年における高度に組織化された、敵意の強い脅威の全体
像を把握するために必要だ。

【編集者メモ】(Neely)
このガイドラインは、ヘルスケア企業や団体による、現在ある脅威に見合ったより良いセキュリティ体制構築の手助けをするため、CSFの活用を目指したものだ。現在の脅威や影響、軽減方法に関する素晴らしい入門書であり、さらに中小企業や大企業が実施するべき行動案を提示している。しかしガイドラインには、監査担当者が調査するであろう必須項目の記載が欠けている。

【編集者メモ】(Pescatore)
法律によって義務付けられた多くのガイドラインのように、既に公開されている長文の手引きを要約したに過ぎない部分が多い。しかし小規模のヘルスケア企業や団体にとっては、ヘルスケアシステムが抱える一般的な脅威に対処する際、必要な改善の正当性を示す上で、技術情報に関する文書と、リソースやテンプレートに関する文書が役に立つだろう。
────────────────

◆ CenturyLink社のデータセンターにおいて発生した停電により、911緊急通報サービスが不通となる(2018.12.28)
米国やヨーロッパに存在する、15か所のCenturyLink社のデータセンターにおける停電により、米国内複数の州とカナダの複数地域で、911緊急通報サービスが不通の状態となっていた。問題は東部時間12月27の正午頃から発生し、12月29日には完全に復旧した。この停電により、インターネットや電話、テレビ関連のサービスも影響を受けた。CenturyLink社の広報担当者は、「サードパーティベンダ製のネットワーク管理カードに欠陥があり、無効なネットワークが複製されたことにより停電が発生した」と述べた。米連邦通信委員会(FCC)は、停電についての調査を進めている。

- http://www.theverge.com/2018/12/28/18159110/centurylink-internet-911-outage-fcc-investigating
- http://www.zdnet.com/article/centurylink-outage-takes-down-several-911-emergency-services-across-the-us/
- http://www.meritalk.com/articles/fcc-chairman-pai-investigates-centurylink-outage/

【編集者メモ】(Northcutt)
私は自殺防止ホットラインの担当者である男性と、教会へ行った。彼が考える最悪の状況は、ホットラインに電話を掛けても、ビジー状態でつながらないことだった。今回の事故について、CenturyLink社の経営陣は危機感を持っていなかったようだ。FCCが人命を尊重していることを示すような、多額の罰金が同社の経営陣に科されないようであれば、911は価値が無いも同然だ。

【編集者メモ】(Neely)
911のような重要なサービスには、実証や試験が済んでいるバックアップとなるサービスが存在し、フェイルオーバーにかかる時間と、求められているサービス可用性の高さに関する評価が完了していて然るべきだ。例えばアイダホ州ボイシ市では、地元の図書館が通常のインターネット回線に加え、サービスが停止した際、影響を受けた住民にインターネットへのアクセスを提供するための、バックアップ用WiFiホットスポットを備えている。

【編集者メモ】(Shpantzer)
ポジティブフィードバック・ループは最良のループだ。あなたの組織から今回の問題が発生したと考えてみよう。限られた時間内で、どのような遠隔からの情報収集方法を用いて、原因究明を行うことが可能なのか。今回の問題が、事故か悪意のある事件かをどのような方法で判断するのか。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月18日(金)、3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=01

○2019年1月25日(金)、2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation03.html?xmid=300&xlinkid=02

○2019年1月28日(月)
 【監査人が語る】内部不正からの情報漏洩を防ぐためのポイントとは
https://www.nri-secure.co.jp/seminar/2019/audit01.html?xmid=300&xlinkid=03

○2019年2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○どうする?海外拠点のセキュリティ対策状況評価
https://www.secure-sketch.com/blog/security-assessment-of-overseas-bases?xmid=300&xlinkid=14

○サイバー攻撃の新たな流れ|攻撃者が狙う「お金儲け」の最新手法
https://www.secure-sketch.com/blog/cryptojacking?xmid=300&xlinkid=15

○セキュリティ会社の人事が語る、すぐにでも採用したい人材の特徴
https://www.secure-sketch.com/blog/interview-with-ubsecure-recruitment?xmid=300&xlinkid=16

○パスワード不要の認証「WebAuthn」とは?|「FIDO」の構成技術を解説
https://www.secure-sketch.com/blog/what-is-webauthn?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方-
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

○セキュリティの勘所~上流設計編~
https://www.secure-sketch.com/download/upstream-design?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアとユービーセキュア、ガートナー社
 「日本におけるアプリケーション/データ・セキュリティと
  IAMのハイプ・サイクル」に、関連プレーヤーとして掲載
https://www.nri-secure.co.jp/news/2018/1220.html?xmid=300&xlinkid=21

○セキュリティログ監視サービス(NeoSOC)が、クラウド型Webセキュリティ
 ソリューション「Zscaler Internet Access」の監視に対応
https://www.nri-secure.co.jp/news/2018/1217.html?xmid=300&xlinkid=22

○情報セキュリティの監視やインシデント対応の自動化・高度化を支援する
 サービスを提供開始
https://www.nri-secure.co.jp/news/2018/1205.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。