NRI Secure SANS NewsBites 日本版

Vol.14 No.19 2019年6月19日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.19
(原版: 2019年 6月 11日、14日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ト┃レ┃ー┃ニ┃ン┃グ┃開┃催┃ま┃で┃あ┃と┃2┃週┃間┃!┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施!
  https://sans-japan.jp/cyber_defence_japan2019/index.html

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

トレーニング開催まであと2週間切りました!!
お申込みまだ間に合います。
みなさまのご参加お待ちしております。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

◆1週目◆
開催日:2019年7月1日(月)~2019年7月6日(土)
開催コース
 SEC542:Web App Penetration Testing and Ethical Hacking
SEC560:Network Penetration Testing and Ethical Hacking
SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain 
Defenses
FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting

◆2週目◆
開催日:2019年7月8日(月)~2019年7月13日(土)
開催コース
 SEC401:Security Essentials Bootcamp Style【日本語】
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
SEC555:SIEM with Tactical Analytics
FOR572:Advanced Network Forensics and Analysis

◆トレーニング費用(税抜)◆
通常価格:760,000円

◆お申込みについて◆
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/cyber_defence_japan2019/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ GAOの監査において、TSAが管理するパイプラインのセキュリティ計画を更新する必要性が露呈(2019.6.5)
米政府監査院(GAO)が実施した監査において、米国の石油や天然ガスパイプラインを監視し、安全を保つ役割を担っている運輸保安庁(TSA)が、セキュリティインシデントに対する現在の適切な計画を保有していないことが判明した。パイプラインのセキュリティに関するインシデント発生時の責任を、連邦政府機関と民間部門に割り当てるTSAのPipeline Security and Incident Recovery Protocol Planは、2010年以降更新されていない。またTSAと運輸省配下のパイプライン・危険物安全局(PHMSA)間の協定である同様の計画は、2006年以降更新されていない。

https://fcw.com/articles/2019/06/05/tsa-pipeline-security.aspx
https://www.gao.gov/assets/700/699511.pdf

【編集者メモ】(Neely)
重要インフラに対する脅威モデルが急速に進歩している昨今、石油、天然ガス、企業の資産、サプライチェーンに関わらず、定期的な、できれば年次での対応計画の更新や見直しによって、変更すべき量を減らすことができるだろう。

【編集者メモ】(Murray)
インフラにおける事故対応計画の策定は継続的な活動であるべきで、書類の山に埋もれながら引っ張り出して読むような文書「ではない」。
────────────────

◆ 旅行者の写真とナンバープレートの画像が、税関・国境警備局の契約業者が保有するネットワークから窃取される(2019.6.10)
米税関・国境警備局(CBP)は、ハッカー集団がサードパーティ契約業者のシステムに侵入し、旅行者の写真やナンバープレートの画像を窃取したことを認めた。CBPは、空港や国境検問所において、カメラや録画機能を使用している。CBPによると、同局が情報漏洩に気づいたのは5月下旬であり、まだ社名が公開されていない契約業者は、自社のネットワークに画像をコピーした後、ネットワークに侵入されたもよう。

https://www.wired.com/story/hackers-stole-traveler-photos-border-agency-database/
https://www.washingtonpost.com/technology/2019/06/10/us-customs-border-protection-says-photos-travelers-into-out-country-were-recently-taken-data-breach/
https://www.theregister.co.uk/2019/06/10/us_custom_border_patrol_contractor_hacked/

【編集者メモ】(Neely)
本件は、サードパーティのセキュリティ管理が適切でなかっただけでなく、契約業者が契約上のデータ取り扱い範囲を超えていた事例でもある。自社の能力向上のため、使用可能なデータを探求していたことは素晴らしい姿勢だが、新たなデータの使用という変更点が許容できるものであったか、またデータが適切に保護されていたかの確認は必要だった。サードパーティの契約業者にデータの処理を依頼する場合、データ保護が実装されていることと、使用許諾が守られていることを確かめるための継続的な監視を契約に盛り込む必要がある。

【編集者メモ】(Murray)
政府が情報漏洩の責任を「無名の」サードパーティ業者に転嫁することを私たちが許容している限り、同様の情報漏洩事件は続くだろう。政府はデータを収集している以上、そのデータを保護する責任を負うということに気づかなければならない。
────────────────

◆ メリーランド州の高校2校と、テキサス州の高校1校が、Girls Go CyberStartプログラムにおいて賞金を獲得(2019.6.11)
今年2月に27名の州知事がGirs Go CyberStartプログラムの開始を宣言した後、11,250名の女子高校生がCyberStart Assessに挑み、本人が所属する高校の学生が使用できるCyberStart Gameへのアクセス権を獲得した。4人1組で構成されるチームのうち、120チームが国内選手権に駒を進めた。さらに3校が賞金を獲得し、20校がプログラムの中で10,000ポイント以上を獲得している。高額の賞金を獲得した3校は次のとおり。
第1位:Montgomery Blair高校、メリーランド州
第2位:Potomac高校、メリーランド州
第3位:Clements高校、テキサス州

https://medium.com/girls-go-cyberstart/the-winners-of-the-national-championship-for-girls-go-cyberstart-2019-d8586d9f2d37
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「ダークウェブ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ダークウェブとは、一般のユーザがインターネットを使用してアクセスできるも
のではなく、特殊なツールなどを使ってアクセスするネットワークの総称です。
ダークウェブにあるコンテンツには、違法なものも含まれるため、これらのネッ
トワークへのアクセスはお勧めしません。ダークウェブには、あなたの個人情報
があるかもしれませんが、これらの情報を入手するのではなく、個人情報を適切
に守るようにしておくことが重要です。今月はダークウェブについて一般ユーザ
にも分かりやすく解説します。社内のセキュリティ意識向上ツールとしてご利用
ください。
https://www.sans.org/sites/default/files/2019-06/201906-OUCH-June-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ NISTによる、セキュアなソフトウェア開発のためのガイドライン草案(2019.6.12)
NISTは、「組織内の経営者、ソフトウェア開発者、サイバーセキュリティ専門家間の、セキュアなソフトウェア開発の実践に関する会話を促進するための草案文書Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework(SSDF)を公開した。同文書へのコメントは、2019年8月5日まで受け付けている。

http://www.nextgov.com/cybersecurity/2019/06/nist-asks-input-building-secure-software/157648/
http://csrc.nist.gov/CSRC/media/Publications/white-paper/2019/06/07/mitigating-risk-of-software-vulnerabilities-with-ssdf/draft/documents/ssdf-for-mitigating-risk-of-software-vulns-draft.pdf

【編集者メモ】(Neely)
SSDFは、ISOやOWASP、PCI、BSA、BSIMM、その他の既存の開発基準を参照しており、適切な業務への関連付けや、均衡を取る際に組織間のやり方の違いを比較することが非常に容易なものとなる。さらに本文書は、共通の理解を得る前に大量の基準を咀嚼せずとも、セキュアな開発習慣の実装に関する会話を促進できるように構成されている。

【編集者メモ】(Murray)
私たちは長きに渡り、良質な製品を作る方法を蓄積してきたが、ソフトウェアにおいてはそれが為されておらず、いまだに一般性、柔軟性、容易さが好まれている。私たちはエラーが頻発する言語やプロセスを好んで使用する。ユーザは見かけ倒しのソフトウェアをただ許容するだけでなく、受け入れるよう訓練され、企業は定期的に修正やパッチ適用を実施するよう組織を整えてきた。元の開発者が「最初に正しく物事を進める」のではなく、皆何度となく繰り返している。私たちは本当にやるべきことを放棄し、最もコストのかかる道を選択したということだ。
────────────────

◆ データストレージ機器の設定ミスについてSECがアラートを発表(2019.6.13)
2019年5月23日、米証券取引委員会(SEC)は、証券業者や投資助言業者に対し、クラウドストレージのアカウントやデータベースサーバ、その他のネットワークストレージにおける、セキュリティリスクに関するアラートを発表した。アラートには、「法令遵守調査局(Office of Compliance Inspections and Examinations)による最近の調査において」、企業はネットワークストレージのセキュリティ機能を活用できておらず、「ネットワークストレージ機器の脆弱な、もしくは誤った設定が、機器に保存された情報への不正なアクセスにつながる可能性がある」という事実が判明したと記されている。SECはまた、ベンダーが提供するサードパーティサ
ービスにおける適切な監視の不足や、データの不適切な機密性分類も確認したと述べている。

http://www.zdnet.com/article/sec-security-alert-warns-about-misconfigured-nas-dbs-and-cloud-storage-servers/
http://www.scribd.com/document/413264377/OCIE-Risk-Alert-Network-Storage

【編集者メモ】(Pescatore)
この良くある問題は、OWASPがソフトウェアの10大脆弱性として公開しているOWASP Top 10の、カテゴリーA6 誤ったセキュリティ設定(Security Misconfigurations)の一つとして取り上げられている。SANSでは最近、この分野に関するウェビナーを実施した。

http://www.sans.org/webcasts/missing-information-about-security-misconfiguration-explore-often-used-vulnerability-category-data-1000-plus-pentests-111055

【編集者メモ】(Neely)
外注やクラウドサービスを利用する際の大きな問題の一つが、データに対する適切な保護を適用するための、そのデータの分類だ。歴史的に、自社で構築したシステムは、組織における全ての種類のデータを適切に保護し処理するよう設定されてきており、ユーザは特定のサービスを使用する前にデータの保護範囲を確認するという作業に慣れていなかった。保護の範囲が明確になったら設定を確認し、適切な設定が常に施されていることを確実なものにするための監視機能を用意するべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月21日(金)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp03.html?xmid=300&xlinkid=02

〇7月11日(木)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=04

〇7月18日(木)
 高速開発×セキュリティなら「Contrast Security」
 ~DevOpsからDevSecOpsへ~
https://www.nri-secure.co.jp/seminar/2019/devsecops01.html?xmid=300&xlinkid=05

〇7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=06

〇7月24日(水)
【令和元年】進化するMenlo Security
 ~Webの分離・無害化と、メールの無害化はどこまでできるのか~
https://www.nri-secure.co.jp/seminar/2019/menlo01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング

https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=08

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=09

〇8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)

https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇CSIRT(シーサート)とは?セキュリティ事故が起きる前提の組織体制

https://www.secure-sketch.com/blog/cyber-security-insident-response-team?xmid=3
00&xlinkid=11

〇シングルサインオンとは?~今求められる背景と導入効果~
https://www.secure-sketch.com/blog/single-sign-on?xmid=300&xlinkid=12

〇【図解】情報漏洩でユーザー数増加?Timehopの事例から考える
 理想のインシデント対応
https://www.secure-sketch.com/blog/case-study-timehop?xmid=300&xlinkid=13

>>ブログ記事一覧
https://www.secure-sketch.com/blog?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -

https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=16

〇EDR導入ガイド
 - インシデント前提社会の最適解 -

https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=17

〇中堅・中小企業のためのセキュリティ対策を進めるキーポイント

https://www.secure-sketch.com/ebook-download/key-points-for-promoting-security-measures?xmid=300&xlinkid=18

>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、「ブロックチェーン診断」が 米独立系調査会社のレポートに掲載
https://www.nri-secure.co.jp/news/2019/0614.html?xmid=300&xlinkid=21

〇NRIセキュア「クリプト便」がシェアNo.1を獲得
https://www.nri-secure.co.jp/news/2019/0611.html?xmid=300&xlinkid=22

〇NDIAS、イエラエセキュリティ社と自動車のサイバーセキュリティ分野に
 おける技術を共同開発
 ~車両・車載電子機器のセキュリティ評価サービスの強化へ~
https://www.nri-secure.co.jp/news/2019/0605.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料

https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。