NRI Secure SANS NewsBites 日本版

Vol.14 No.04 2019年1月30日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.04
(原版: 2019年 1 月 22日、25日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 開┃催┃ま┃で┃残┃2┃週┃間┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃間┃に┃合┃い┃ま┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
  https://sans-japan.jp/secure_japan2019/index.html

■◇とくにおすすめコース◇■

★FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
本コースは、SANS界にとどまらず世界のマルウェア解析といえば、Mr.Zeltserとい
われるほど世界的に有名なインストラクターが担当します。
日本初来日、Mr.Zeltserの講義が受けられる最高のチャンスです。

ぜひご検討の程よろしくお願いいたします。

https://www.sans.org/event/secure-japan-2019/instructors/lenny-zeltser


開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ Google社が、GDPR違反により5千万ユーロ超の罰金を科される(2019.1.21)
フランスのデータ規制当局であるCNILは、EU一般データ保護規則(GDPR)に違反したとして、Google社に対し5千万ユーロ(5700万USドル)の罰金を科した。CNILによるとGoogle社は、同社のデータ収集ポリシーを容易に閲覧可能な状態にしておらず、サービスにおける広告の個人カスタマイズ(パーソナライゼーション)について、十分かつ明確な承諾を得ていなかった。

- http://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
- http://www.bbc.com/news/technology-46944696
- http://arstechnica.com/tech-policy/2019/01/google-fined-57m-after-france-finds-violations-of-new-eu-privacy-law/
- http://www.zdnet.com/article/gdpr-google-hit-with-eur50-million-fine-by-french-data-protection-watchdog/

【編集者メモ】(Pescatore)
Google社に対する決定は、どのデータを収集し販売しているのかを、ユーザにとってわかりにくくすることや、サービス利用開始の際に、自動的にユーザが個人データを提供する仕組みにつながる「方法がわかるのであれば、オプトアウトする」という、GDPRにおいて禁止されている基本的な考えに焦点を当てたものだ。規制当局だけでなく、ユーザがプライバシーの侵害に対して反発を強めている。GDPR違反による罰金はGoogle社が出す利益の3時間分に満たないが、アップデートされた同社の行動規範には、同社が「現在ある中で最も厳しい経営管理倫理の基準に従っている」と記載されているが、文言が足りていないため、Google社は行動規範を修正する必要がある。

【編集者メモ】(Honan)
5千万ユーロという金額が注目されがちだが、ここで重要なポイントは、Google社がユーザの個人情報を収集するために用いた方法に違法性があったとするCNILの発見だ。これは、Google社やその他の組織にとって、GDPRに従って合法的に個人データを収集、使用しているかを保証する方法に関して、より大きな意味を含んでいる。

【編集者メモ】(Neely)
今回の決定と今後のGDPRに関わる決定には、2つの可能性がある。1つ目は、データの使用用途を明らかにするための、Google社やFacebook社といったサービスプロバイダによるプライバシーポリシーや設定の変更であり、2つ目は、GDPR遵守のための、専門家によるアドバイスの正当性を検証する機会となることだ。

【編集者メモ】(Shpantzer)
GoogleやFacebook利用者だらけの世の中でも問題はないし、2社はEU当局の規制に対処する余裕がある。私が心配しているのは、会社のネットワークを保護するための行動を、全て正当化する必要があり、ユーザデータをサードパーティに販売するビジネスモデルとは関係が無いブルーチームだ。プライバシーを商品としている業者がGDPRを引き合いに出しているために、正当なセキュリティ強化の拒否や遅れが発生していることを踏まえると、GDPRの著者が、企業を守る上でセキュリティログ監視が良い行いであることを明確にしなかった(情報漏洩は結局のところ、プライバシーが全く保証されていない)ということ、さらにプライバシー保護に取り組んでいる人たちが、この事実を理解していないということが明らかだ。サイバーセキュリティに携わる者では、自社のネットワークを保護し、GDPRとプライバシー保護に取り組む人たちのGDPRに対する理解(誤り)を正すことはできない。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「インターネットで自分自身を検索する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自分自身のプライバシーや共有する情報の保護が大切だという話を耳
にしたことがあるはずです。しかし、実際にインターネット上から取得できる情
報にどのようなものがあるのかを調べたことがある方は少数かもしれません。
今週は、インターネット上に公開されている情報から、どのような情報を入手す
ることができるのか、その検索テクニックなどについて一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-01/201901-OUCH-January-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ DHSが、DNSインフラストラクチャ改ざんに対処するための緊急対策命令を発表(2019.1.22 & 2019.1.23)
2019年1月22日火曜日、米国土安全保障省(DHS)は、「複数の行政機関のドメインが、DNS改ざん攻撃キャンペーンによる影響を受けている」とする緊急対策命令を発表した。DHS 緊急対策命令(Emergency Directive)19-01には、攻撃からシステムを保護するための、各機関が「取るべき対策」が明記されている。各機関は、今後10日以内にDHSが発表した対策を実施する必要がある。

- https://cyber.dhs.gov/ed/19-01/
- https://cyber.dhs.gov/assets/report/ed-19-01.pdf
- https://www.scmagazine.com/home/security-news/government-and-defense/dhs-issues-emergency-directive-to-protect-federal-domains-from-dns-hijacking-campaign/
- https://fcw.com/articles/2019/01/22/cisa-dns-hack-johnson.aspx
- https://www.nextgov.com/cybersecurity/2019/01/agencies-have-10-days-review-secure-critical-it-weakness/154372/

【編集者メモ】(Pescatore)
最初FireEye社とCisco社が、.govドメインに対するDNSハイジャック攻撃を、北アフリカとヨーロッパで観測したと発表し、US-CERTがその後米国の政府機関に対しても攻撃が観測されたと発表した。DHSが発表した対策は明確でわかりやすいものだが、政府がいまだにPIVカードやCACカード、スマートカードを使用した二要素認証の実施を試みている事実が、政府自ら発表している対策完結を困難なものとしている。

【編集者メモ】(Neely)
DNS改ざん攻撃は、軽減可能な脅威だ。命令に記載されている対策(自組織のDNS検査、既存の使い回しパスワードの変更、DNS管理ユーザや管理アカウント向けのMFA(多要素認証)実装、そして監視)は、公共部門のみならず、民間部門においても有効なものだ。
────────────────

◆ ワシントン州サマミッシュ市が、ランサムウェア攻撃による非常事態を宣言(2019.1.23)
「サマミッシュ市は水曜日、同市のコンピュータシステムがランサムウェア攻撃を受けたことへの対応として、非常事態を宣言した。臨時市政担当官Larry Patterson氏による非常事態宣言により、通常の契約プロセスを経ずに、第三者のセキュリティ専門家を招聘することが可能となった。」

- https://www.seattletimes.com/seattle-news/sammamish-declares-emergency-in-response-to-ransomware-attack/

【編集者メモ】(Northcutt)
ランサムウェア攻撃に対する最大の防御は、優れたバックアップの仕組みを持つことだ。バックアップの仕組みを整えることで、外部の専門家を招くためのコストを抑えることが可能だ。
────────────────

◆ 2019年米国家情報戦略は、サイバーセキュリティに重点を置いている(2019.1.22 & 2019.1.23)
1月22日水曜日、米国家情報長官室は、4年に1度となる国家情報戦略の公開を行った。戦略には、「米国に対する敵は、新しい脅威や進化し続けている脅威をもたらすため、特に宇宙、サイバー空間、コンピューティング、その他の新興かつ破壊性の高い技術分野において、急速な技術革新への投資をこれまで以上に積極的に行っている」と記されており、サイバーセキュリティが最重要項目として挙げられている。

- https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
- https://www.fifthdomain.com/dod/2019/01/23/nearly-all-american-networks-will-be-susceptible-to-cyberattacks/
- https://www.nextgov.com/cybersecurity/2019/01/national-intelligence-strategy-warns-technological-threats-us/154370/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=02

○2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation03.html?xmid=300&xlinkid=01

○2月28日(木)
 SANSコミュニティナイトセッション
 - Malware Vaccination: Its Potential and Limitations -
 (マルウェア感染予防の可能性と限界)
https://www.nri-secure.co.jp/seminar/2019/sans01.html?xmid=300&xlinkid=03

○3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策
https://www.secure-sketch.com/blog/case-of-gdpr-penalties?xmid=300&xlinkid=14

○セキュリティ対策の考え方<前編>|全体俯瞰で「バランス」を取る
https://www.secure-sketch.com/blog/concept-of-security-measures-part1?xmid=300&xlinkid=15

○IoTセキュリティは『脅威』の分析から|現場で使える実践ステップを解説
https://www.secure-sketch.com/blog/iot-threat-analysis-method?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方-
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=17

○テレワーク時代のサイバーセキュリティ
 -エンドポイントセキュリティの重要性-
https://www.secure-sketch.com/ebook-download/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、米大手独立系調査会社のレポートでアジア太平洋地域の
 代表的なマネージドセキュリティサービスベンダーとして紹介
https://www.nri-secure.co.jp/news/2019/0124.html?xmid=300&xlinkid=21

○ガートナー社のレポート
 「マーケットガイド:デジタルフォレンジック調査/インシデントレスポンス」
 において代表的グローバルベンダーの1社として掲載
https://www.nri-secure.co.jp/news/2019/0121.html?xmid=300&xlinkid=22

○NRIセキュアとユービーセキュア、ガートナー社
 「日本におけるアプリケーション/データ・セキュリティと
  IAMのハイプ・サイクル」に、関連プレーヤーとして掲載
https://www.nri-secure.co.jp/news/2018/1220.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。