NRI Secure SANS NewsBites 日本版

Vol.14 No.11 2019年4月17日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.11
(原版: 2019年 4月 9日、12日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃に┃て┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施予定
  https://sans-japan.jp/cyber_defence_japan2019/index.html

◆◆◆◆とくにおすすめコース◆◆◆◆

SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
~真のパープルチームを編成するために~

攻撃「レッドチーム」と防御「ブルーチーム」を効果的に融合させ、
高度かつ持続的な攻撃に対応するための「パープルチーム」編成に必要な知識と
スキルが習得可能。ぜひご検討ください。

SEC599詳細:https://sans-japan.jp/cyber_defence_japan2019/sec599.html

開催日:2019/7/1(月)~2019/7/6(土)
[ SEC542 ]:Web App Penetration Testing and Ethical Hacking
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ SEC599 ]:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting

開催日:2019/7/8(月)~2019/7/13(土)
[ SEC401 ]:Security Essentials Bootcamp Style【日本語】
[ SEC504 ]:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
[ SEC555 ]:SIEM with Tactical Analytics
[ FOR572 ]:Advanced Network Forensics and Analysis

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ ヘルスケア業界におけるサイバーセキュリティの向上(2019.4.3)
ヘルスケア業界の企業や団体が、同分野におけるサイバーセキュリティを向上させる方法を提案するよう求めた、米上院議員Mark Warner氏(民主党・バージニア州)の要求に応えている。Warner氏の事務所は、受領した提案を公開していないが、回答した組織のいくつかがそれぞれの考えを公開している。Health Information Sharing and Analysis Center(H-ISAC)はHealth Sector Coordinating Councilのサイバー作業部会とともにWarner氏の事務所職員と面会した。両者は政府に対し、多要素認証、HDD暗号化、最小特権アクセス、ネットワークのセグメント化、定期的な修正パッチ適用を含む、ヘルスケア業界におけるサイバーセキュリティ上のベストプラクティスを採用することを勧めている。American Hospital Associationは、Warner氏への返答の中で、医療機器のセキュリティに重点を置くことを提案している。

- http://www.govinfosecurity.com/groups-offer-ideas-for-improving-healthcare-cybersecurity-a-12336

【編集者メモ】(Pescatore)
ベンダによるマーケティングにおいて、私は常に無意味な言葉(「全体的:holistic」や「発見的:heulistic」など)を探し、実際の意味(「存在しない:non-existent」や「明文化されていない:undocumented」)に置き換えている。政府が発行する記事において「推奨する:encourage」という単語は一般的に、「より多くの文書や報告書を発行する」ことを意味する。政府が高度なセキュリティを「推奨する」ためにできる唯一意味のある方法は、全ての調達過程においてセキュリティを何よりも重要な要素とするか、サイバーセキュリティ関連の規制を強制することだ。それを達成できて初めて、新しい規制に関する議論を始めるべきであり、「推奨」についても同じことが言える。

【編集者メモ】(Murray)
「医療保険の携行と責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)は置き去りにされている。」上手く作られている一方、意図していたセキュリティを広めることができなかっただけでなく、ヘルスケア業界におけるデジタル技術使用とヘルスケアに関する記録の「携行性」への反発という、意図しない、またひねくれた結果を生んでいる。「処方」となることを避けるため、この法律はヘルスケア業界の企業や団体に対して、大半の関係者が作成に必要な知識や技術、能力、経験を有していない、リスクアセスメントを作成し使用することを求めた。これまでに環境は変化し、HIPAAによるセキュリティガイドラインが発行された時に想定されていたものよりもはるかに好ましくない状況となってしまった。ヘルスケア関連企業や団体は、まず効果があり、効率的であることがはっきりしている基本的な慣行に従うべきであり、例外的な決定や高価な対策を正当化する際に「リスク管理」を用いるべきだ。規制当局はHIPAAのプライバシーに関するルールを改正する必要がある。
────────────────

◆ GAO:現行のID盗難時のサービスは情報漏洩のリスクに適切に対処できていない(2019.4.1)
米会計監査院(GAO)は、議会が、個人情報盗難時の保険適用における「適切な填補範囲を決定する権限を、関係機関に許可することを検討するべきだ」とする立場を繰り返し主張した。情報漏洩には広範に及ぶリスクが存在し、個人情報盗難時のサービスは、自身の情報を悪用された可能性のある人々が直面するリスクに適切に対処できていない。GAOはまた、個人情報盗難時のサービスは、消費者を保護するよりも、企業や団体の責任を軽減するために提供されていることが多いと述べた。

- http://www.gao.gov/assets/700/697985.pdf
- http://www.nextgov.com/cybersecurity/2019/04/identity-theft-services-inefficient-addressing-data-breach-risks-watchdog-says/155929/

【編集者メモ】(Pescatore)
GAOが発表した数字は、これらのサービスがいかに使えないものであるかを示している。米連邦人事管理局(OPM)における情報漏洩の影響を受けた2200万人のうち、300万人は個人情報盗難時の保険適用を申請し、61人が合計11万USドルの補償金を受け取った。OPMには4億2100万ドルの補償義務があり、被害者1人換算で20ドル以下という額であった。これはつまり、11万ドルの補償金支払いのために少なくとも6000万ドルを費やしたということであり、膨大な額を無駄にしているということだ。

【編集者メモ】(Neely)
昨今のサイバー攻撃が日々高度なものになっていることを鑑みると、サービス利用者数の少なさに関わらず、個人情報公開の監視と信用情報の凍結は重要だ。より情報公開に合わせた保護を提供することで、関係機関は、不要なサービスに割り当てられた、巨額だが使われることのない予算を抱えるというOPMのジレンマを回避することができる。
────────────────

◆ 大学機関に対するペネトレーションテストにおいて、脆弱な防御体制が明らかとなる(2019.4.4)
英国内50以上の大学に対するペネトレーションテストは、全てのケースが成功し、2時間以内に完結した。参加したペンテスターは職員と学生の情報、財政システム、研究データベースへのアクセスに成功した。最も効果的な手法はスピア型攻撃であった。

- http://www.bbc.com/news/education-47805451
- http://www.hepi.ac.uk/wp-content/uploads/2019/03/Policy-Note-12-Paper-April-2019-How-safe-is-your-data.pdf

【編集者メモ】(Murray)
一方で米国の大学機関は、インターネット上の攻撃トラフィックのうち75%が、コミュニティカレッジや4年制大学から送られていることをクリントン政権が発見した一世代前に比べ、劇的によりセキュアな環境となっている。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスワードとその管理を容易なものにする」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードはアカウントを保護するために重要だと聞かされているでしょうが、
パスワードの安全な作成方法や管理方法について教わることは少ないかもしれま
せん。今月は、覚えるのが難しいパスワード設定から卒業するパスフレーズの導
入方法について解説すると同時に、複数のサービスで同じパスワードを使い回す
ことがないようにするパスワードマネジャーについて、一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-04/201904-OUCH-April-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 2016年にハッカーが、50州全ての選挙システムを標的としていた(2019.4.10)
各州や地域の当局に向けて米国土安全保障省(DHS)と連邦捜査局(FBI)が発表したJoint Intelligence Bulletinによると、2016年大統領選挙の選挙期間中、ハッカーが50州全ての選挙システムを標的としていた。該当の告示には、「FBIとDHSは、おそらくロシア政府の支援を受けたサイバー活動家が2016年大統領選挙までの間、米国全州の選挙システムネットワークに対する調査と偵察行っていたと判断した。」と記載されている。

- http://arstechnica.com/information-technology/2019/04/dhs-fbi-say-election-systems-in-50-states-were-targeted-in-2016/
────────────────

◆ カナダのオタワ市が、ビジネスメール詐欺による攻撃を受ける(2019.4.9)
2018年7月、オタワ市(カナダ)の出納役が、ビジネスメール詐欺による攻撃を受け、10万USドル(13万カナダドル)近くの金額を詐欺グループに電送していた。市議会への報告書において、オタワ市の監査総監は、市の財政を管理する職員が、送金ルールに従わなかったと述べた。報告書ではまた、振込による支払いに関する正式な明文化されたルールが存在しないことを含む、詐欺を可能にした複数の問題点を指摘している。

- http://www.itworldcanada.com/article/how-the-city-of-ottawa-was-stung-by-email-fraud/416840
- http://www.ctvnews.ca/canada/ottawa-city-treasurer-transfers-130k-of-taxpayer-funds-to-email-fraudsters-1.4371900

【編集者メモ】(Pescatore)
管理部門や取締役会向けの机上演習の基礎として利用できる良い資料だ。標的型攻撃を仕掛ける攻撃者がどのような人物か、どれほど容易に認証不要のメールがなりすましに利用されてしまうか、さらにどれほど頻繁に慎重を期したはずのマニュアル操作やフォームを用いた作業が、仕事を早めるために回避されているかを明示している。DMARCを有効化しその使用を要求するために彼らの支持を得ることができれば、なりすましに対する防御を劇的に向上させることが可能だ。

【編集者メモ】(Murray)
マルチパーティコントロールと帯域外認証に一体何が起きたのか不思議に思わざるを得ない。管理者は人間の騙されやすさを修正するため、そのような制御の使用を推進するべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇5月16日(木)、7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=01

〇5月22日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月、6月、7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=05

〇5月、8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=06

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【徹底解説】IoTセキュリティ|必要不可欠な「全体視点」とは?
https://www.secure-sketch.com/blog/overall-view-of-iot-security?xmid=300&xlinkid=12

〇クレジットカード情報を守りぬく|ECサイトに必要なセキュリティとは?
https://www.secure-sketch.com/blog/security-measures-to-protect-credit-card-information?xmid=300&xlinkid=11

〇コンサルタントが覗いたセキュリティ最前線|RSAカンファレンスレポート
https://www.secure-sketch.com/blog/rsa-conference-2019-report?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇中堅・中小企業のためのセキュリティ対策を進めるキーポイント
https://www.secure-sketch.com/ebook-download/key-points-for-promoting-security-measures?xmid=300&xlinkid=13

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=14

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、セキュリティ対策実行支援プラットフォーム「Secure SketCH」
 に新機能を追加
 ~情報セキュリティに関するガイドラインへの遵守状況の把握と、
  レポート出力が可能に~
https://www.nri-secure.co.jp/news/2019/0417.html?xmid=300&xlinkid=16

〇高速でセキュアなリモートアクセス・拠点間ネットワーク・インターネット
 アクセスを実現する「CATO Cloud」の運用支援サービスを提供開始
https://www.nri-secure.co.jp/news/2019/0412.html?xmid=300&xlinkid=17

〇NRIセキュアとKDDI まとめてオフィス、中堅企業・中小企業の
 情報セキュリティ実態調査に関するホワイトペーパーを公開
https://www.nri-secure.co.jp/news/2019/0411.html?xmid=300&xlinkid=18

〇NRIセキュア、イスラエルSCADAfence社製品の販売・導入支援を開始
 ~工場・ビル内のインダストリアルIoTシステムに対するサイバー攻撃を
  監視・検知~
https://www.nri-secure.co.jp/news/2019/0409.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。