NRI Secure SANS NewsBites 日本版

Vol.14 No.13 2019年5月7日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.13
(原版: 2019年 4月 23日、26日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃に┃て┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施予定
  https://sans-japan.jp/cyber_defence_japan2019/index.html

◆◆◆◆とくにおすすめコース◆◆◆◆

SEC555:SIEM with Tactical Analytics
~SOC構築も可能に~

本コースでは、SIEMを活用して日々大量に出力される複数のシステムログを有効に
相関的に分析、評価を行います。これにより、攻撃成功の未然防止と有事の際に可
及的速やかな事象の収束施策を習得することが可能になり、攻撃者と戦うための準
備を整えます。ハンズオンではSOF-ELK SIEMを用い、実際の攻撃手法を含んだログ
の分析を行います。ぜひご検討ください。

SEC555詳細:https://sans-japan.jp/cyber_defence_japan2019/sec555.html

開催日:2019/7/1(月)~2019/7/6(土)
[ SEC542 ]:Web App Penetration Testing and Ethical Hacking
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ SEC599 ]:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting

開催日:2019/7/8(月)~2019/7/13(土)
[ SEC401 ]:Security Essentials Bootcamp Style【日本語】
[ SEC504 ]:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
[ SEC555 ]:SIEM with Tactical Analytics
[ FOR572 ]:Advanced Network Forensics and Analysis

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ モラー捜査報告書によると、2016年大統領選挙以前にロシアのハッカー集団がフロリダ州内のコンピュータに侵入していた(2019.4.18 & 2019.4.19)
モラー特別検察官による、2016年米大統領選挙へのロシア介入に関する捜査報告書には、「ロシア政府は、広範に及ぶ組織的な方法で2016年大統領選挙に介入していた」と記載されている。報告書によると、ロシアのハッカー集団はフロリダ州内の少なくとも一つの郡政府が保有するコンピュータシステムに侵入し、投票マシンを製造する企業のシステムにマルウェアを移植していた。報告書ではどちらの事件についても、選挙結果の改ざんに結びつく証拠は示されていない。

http://www.politico.com/story/2019/04/18/mueller-report-russian-election-plot-1365568
http://www.nytimes.com/2019/04/18/us/florida-russia-2016-election-hacking.html
http://www.darkreading.com/risk/russia-hacked-clintons-computers-five-hours-after-trumps-call/d/d-id/1334484

【編集者メモ】(Pescatore)
米選挙支援委員会は、選挙システムがようやく重要インフラとして定義された2017年1月から始まった、選挙システムのセキュリティ向上に注力している9つの組織を公開している。これらの組織による活動は主に、ベストプラクティスの定義や、一般に広く知られているベストプラクティスとのギャップを特定することだ。これは、少なくとも道路のくぼみを補修するための緊急対応を取らず、重要インフラ上のくぼみを避け、既存のくぼみを特定するためのベストプラクティスを研究するようなものだ。

【編集者メモ】(Murray)
米国の選挙システムの強みは、使用されているテクノロジーよりもその多様性にある。とは言え、透明性が高く、使用前に検査され、使用後に監査を受けるテクノロジーを好んで使用するべきだ。私たちの半数以上が紙の投票用紙を用いて投票することは有益なことだ。投票を記録する新しい手法は、データ集計を容易にし、結果を早く伝えたいという要望がきっかけとなった。また不正行為は多くの場合、記録のプロセスよりも、開票や結果報告のプロセスにおいて発生している。
────────────────

◆ 米エネルギー省が電力事業者向けに、公開されているテクノロジーの「ブラックリスト」を作成(2019.4.18)
米エネルギー省(DOE)と国家防諜セキュリティセンター(National Counterintelligence and Security Center)は、セキュリティ上のリスクを抱えるテクノロジーについて、より透明性を確保するための方法を模索している。DOEのCenter’s Office of Cybersecurity, Energy Security and Emergency Response(CESER)は国内の電力事業者向けに、「購入してはいけない」海外製品やテクノロジー・インテリジェンスのリストを作成している。

http://www.eenews.net/stories/1060176111

【編集者メモ】(Pescatore)
政府による「購入してはいけない(Don't Buy)」リストに掲載される製品はほとんどの場合、悪意のある機能を示す証拠やテスト結果よりも、製造されている国が掲載理由となっているため、より透明性の確保が必須だ。一方で、政府が毎度重要インフラ用に購入し、国内の業者から導入する(選挙マシンなど)多くの製品は、外国から容易に悪用される可能性が高い脆弱性を多数抱えている。全ての重要インフラ用の製品が調達前に毎回検査されるのであれば、検査結果の透明性を確保するための「訂正」や機密指定の解除は不要となる。

【編集者メモ】(Neely)
これらのリストはサイバーセキュリティではなく、防諜活動を元に作成されており、実際に存在する欠陥よりも、企業や製品の製造を管理する者による評価が基準となっている。彼らは「この企業とのビジネスを進めるべきか」という質問に答えている。これはまた、消極的な決定の背後にある研究や証拠が、機密性やNeed to know(知る必要がある者にのみ知らせること)の原則を理由に完全に公開されない可能性があるということだ。理想としては、ブラックリストの決定を支えるためのより柔軟な選択が可能となるように、特定された製品の欠陥もサポートするべきだ。
────────────────

◆ 製造業において、サイバーセキュリティ専門家が運用技術を管理する機会が増えている(2019.4.18)
2018 Gartner Reportによると、35%の大規模製造業者がCISOや同等の人物を、運用技術(OT)とも呼ばれる物理プロセスを管理するネットワークの担当者に任命していた。数値が低い理由の一つは、製造業者が、サイバーセキュリティ専門家が製造工程の妨害となる可能性を危惧していたという点である。この数値は2021年までに2倍になることが予想されている。数値上昇の背景には、数年前主要な製造業者において重大な問題となったNotPetyaやWannaCryの存在があると考えられる。

http://www.axios.com/cybersecurity-officers-hacking-db38f870-b02a-4ee8-a52a-94171f52b9f8.html

【編集者メモ】(Pescatore)
2018年初頭における35%という推測値は、私には高く見える。おそらくより的確な質問は、「何パーセントのセキュリティプログラムにおいて、確実にOTシステムを保護するための人材、技術、構造を確保できているか?」だろう。Visioで作成した組織図を、ボックスの下に新しい機能が表示されるように変更することは容易だが、監視やセキュリティPC、サーバとルータについて熟知しているセキュリティ組織でさえ、必ずしもOTシステムを効率的にセキュアにできるわけではなく、既存システムに新しい機能を組み込むことについても同様だ。

【編集者メモ】(Neely)
多くのサイバーセキュリティ専門家にとって、パッチを修正できず、数十年のライフサイクルを持つコンポーネントをセキュアにする方法を理解することは、難しくなるだろう。OTは汎用のITではないが、サイバーセキュリティの専門知識を有効活用することで、適切で実証された境界保護が機器に実装され、その存在と目的がサイバーセキュリティ戦略全体に組み込まれていることを確実なものとすることができる。そうすることで、ITシステムとのよりセキュアな統合やシステムへのアクセスが可能となる。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスワードとその管理を容易なものにする」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードはアカウントを保護するために重要だと聞かされているでしょうが、
パスワードの安全な作成方法や管理方法について教わることは少ないかもしれま
せん。今月は、覚えるのが難しいパスワード設定から卒業するパスフレーズの導
入方法について解説すると同時に、複数のサービスで同じパスワードを使い回す
ことがないようにするパスワードマネジャーについて、一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-04/201904-OUCH-April-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ワシントン州がデータ漏洩に関する法案を可決(2019.4.23 & 2019.4.25)
米ワシントン州議会は、データ漏洩を消費者に通知する際の要件を拡大する法案を可決した。この法案により、データ漏洩の当事者が消費者と州司法長官に漏洩の事実を通知するまでの期間が、45日から30日に短縮される。また、漏洩の際に消費者への通知が必要となる、個人の特定が可能な情報の種類が増える。これまでデータ漏洩が発生した組織は、消費者に対し、それらの名前とともに「社会保障番号、運転免許証の番号、ステート(州)ID、もしくは金融口座の情報」が漏洩したか否かを通知する必要があった。通知が必要な情報の種類が増え、「誕生日の完全な情報、健康保険ID、既往歴、学生ID、軍の身分証明ID、パスポートID、ユーザ名とパス
ワードの組み合わせ、生体情報」が含まれるようになる。

http://www.scmagazine.com/home/government/washington-state-legislature-passes-data-breach-law-but-punts-on-privacy-law/
http://www.tripwire.com/state-of-security/government/washington-state-legislature-passes-new-data-breach-law/
http://www.atg.wa.gov/news/news-releases/ag-ferguson-bill-strengthening-data-breach-laws-passes-legislature

【編集者メモ】(Neely)
追加された情報の種類は、現在標的とされていて、消費者が気にかけているプライバシーデータの種類とより良く整合性が取れている。消費者の一人として、短い通知ウィンドウの表示はありがたいと思う一方、漏洩の範囲を特定するための正確な法科学による分析ができるよう、十分な長さを確保する必要がある。消費者への通知が必要となるデータの種類を増やすことに加え、ワシントン州は、十分に強力なものではないとして廃案となったが、GDPRに類似した広範に影響が及ぶプライバシー法の可決を試みていた。2020年の会期において、この法律が再び議論される可能性が高い。

【編集者メモ】(Williams)
他の州におけるプライバシー法と同様、これはワシントン州のみにおける問題ではない。大半の電子取引業者は、ワシントン州でビジネスを展開しているため、彼らにも記事の法案は適用される。私たちが支援している組織の大半は、45日以内で適切な情報を報告することに苦労を強いられている。報告までに与えられる時間を短縮することは、企業や組織により大きな困難を強いる結果となるだろう。
────────────────

◆ サイバー技術アカデミーの二期生募集を開始(2019.4.23)
米連邦サイバー技術アカデミーは現在、二期生の出願を受け付けている。一期生の募集は、IT関連の仕事に従事していない連邦職員を対象に行われた。二期生の募集は、行政部門に属する全ての連邦職員を対象としている。1500名以上が一期生に出願し、選出された30名が、4月15日に3か月に及ぶ訓練を開始した。二期生への出願は5月15日まで受け付けている。出願者は5月22日までに2つの評価テストを受ける必要がある。二期生として選出された者は、2019年6月10日から順次通知を受ける。
http://www.fedscoop.com/applications-open-second-federal-cyber-reskilling-academy-cohort/
http://www.nextgov.com/cybersecurity/2019/04/federal-cyber-reskilling-academy-announces-second-class/156486/
http://www.cio.gov/reskilling/
────────────────

◆ ペンタゴンがデジタルの堀を準備(2019.4.25)
米国防情報システム局(DISA)は、ペンタゴンの職員がインターネットにアクセスできる環境を残しつつ、ペンタゴンの内部ネットワークをその他のネットワークから隔離することを目的として、クラウドベースでデジタルの「堀」を構築するための複数の契約を結んだ。

http://www.nextgov.com/cybersecurity/2019/04/disa-awards-two-contracts-build-moat-around-pentagons-internet/156540/

【編集者メモ】(Murray)
アプリケーション層におけるエンドツーエンドのセキュリティが望ましい。
────────────────

◆ マイクロソフト社:強制的なパスワードリセットは、セキュリティの向上に繋がらない。(2019.4.25)
Microsoft社は、強制的にパスワードを期限切れにし、ユーザに新しいパスワードを設定させる行いが、セキュリティの向上に繋がらないということを認めた。ブログ記事Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903においてMicrosoft社のAaron Margosis氏は、ベースライン変更の一つとして、「定期的なパスワード変更を促すパスワード期限切れポリシーの廃止」だと述べている。同氏はさらに、最近の研究では、禁止されたパスワードのリストや多要素認証の強制が良い方法だとされているが、「Microsoft社が推奨するセキュリティ設定基準では、これらの方法を明示したり強制したりすることはできない」と続けている。

http://www.cnet.com/news/microsoft-admits-expiring-password-rules-are-useless/
http://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

【編集者メモ】(Neely)
これは、組織がリスクの許容範囲に合ったポリシーを実装できるようにすることを目的としている。再利用可能なパスワードを使用している所では、NIST SP 800-63-3で示されている通り、悪用時にのみ変更する長いパスフレーズの方が、強制的な変更よりも優れている。より良い環境を整えるためには、多要素認証の導入を進めることで、再利用可能なパスワードを「最終手段」としてのみ使用できるようにするべきだ。

【編集者メモ】(Murray)
ユーザは90日間に1度か2度しか使用しないパスワードの変更を求められることを嫌うが、この要求事項を切り離して考えることはできない。ここでの目的は、詐欺行為で漏洩したパスワードの再利用を制限することだ。しかしながら、パスワード悪用の証拠が無い状況においては、この行為は過剰なものとなる可能性がある。強力な認証のためにモバイルコンピュータの使用によって、ワンタイムパスワードのコストが下がったため、この方法を詐欺行為によるパスワード再利用への対策として推奨するべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇5月16日(木)、7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=01

〇5月22日(水)、7月11日(木)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=02

〇5月23日(木)、6月12日(水)
 クラウド時代における社外とのデータ授受のあるべき姿
 ~ファイル転送・共有サービスの正しい選び方~
https://www.nri-secure.co.jp/seminar/2019/file03.html?xmid=300&xlinkid=03

〇6月21日(金)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp03.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月、6月、7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=08

〇5月、8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=09

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
https://www.secure-sketch.com/blog/nist-cybersecurity-framework?xmid=300&xlinkid=11

〇知っておきたいAWSのセキュリティ機能|S3編
https://www.secure-sketch.com/blog/aws-s3-security?xmid=300&xlinkid=12

〇【徹底解説】IoTセキュリティ|必要不可欠な「全体視点」とは?
https://www.secure-sketch.com/blog/overall-view-of-iot-security?xmid=300&xlinkid=13

〇クレジットカード情報を守りぬく|ECサイトに必要なセキュリティとは?
https://www.secure-sketch.com/blog/security-measures-to-protect-credit-card-information?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇中堅・中小企業のためのセキュリティ対策を進めるキーポイント
https://www.secure-sketch.com/ebook-download/key-points-for-promoting-security-measures?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、日本プルーフポイント株式会社の「プラチナム・パートナー」
 に認定
https://www.nri-secure.co.jp/news/2019/0422.html?xmid=300&xlinkid=21

〇ITRの調査で「Vex」がWebアプリケーション脆弱性管理市場において
 シェアNo.1を獲得
https://www.nri-secure.co.jp/news/2019/0419.html?xmid=300&xlinkid=22

〇NRIセキュア、セキュリティ対策実行支援プラットフォーム「Secure SketCH」
 に新機能を追加
 ~情報セキュリティに関するガイドラインへの遵守状況の把握と、
  レポート出力が可能に~
https://www.nri-secure.co.jp/news/2019/0417.html?xmid=300&xlinkid=23

〇高速でセキュアなリモートアクセス・拠点間ネットワーク・インターネット
 アクセスを実現する「CATO Cloud」の運用支援サービスを提供開始
https://www.nri-secure.co.jp/news/2019/0412.html?xmid=300&xlinkid=24

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。