NRI Secure SANS NewsBites 日本版

Vol.14 No.34 2019年11月18日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.34
(原版: 2019年 11月 5日、8日)
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃2┃0┃年┃1┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃込┃み┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo January 2020】全4コース実施予定 ★早期割引 2019年12月6日ま
で★
https://www.sans-japan.jp/sans_tokyo_january2020

開催日:2020/1/20(月)~2020/1/25(土)

SEC642:Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation
Techniques Style FOR500:Windows Forensic Analysis (旧:FOR408)
FOR572:Advanced Network Forensics: Threat Hunting, Analysis, and Incident
Response ICS410:ICS/SCADA Security Essentials (5日間)

◆トレーニング費用(税抜)
早期割引価格:760,000円 通常価格:810,000円

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_tokyo_january2020

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃2┃0┃年┃3┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃込┃み┃開┃始┃い┃た┃し┃ま┃し┃た┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Japan 2020】全10コース実施予定 ★早期割引 2020年1月17日ま
で★
https://www.sans-japan.jp/sans_secure_japan2020

開催日:2020/3/2(月)~2020/3/7(土)★早期割引 2020年1月17日まで★

SEC504:Hacker Tools, Techniques, Exploits and Incident Handling◆日本語◆
SEC511:Continuous Monitoring and Security Operations SEC760:Advanced Exploit
Development for Penetration Testers FOR610:Reverse-Engineering Malware:
Malware Analysis Tools and Techniques SEC545:Cloud Security Architecture and
Operations(5日間)

開催日:2020/3/9(月)~2020/3/14(土)★早期割引 2020年1月24日まで★

SEC401:Security Essential Bootcamp Style◆日本語◆
SEC501:Advanced Security Essentials - Enterprise Defender SEC560:Network
Penetration Testing and Ethical Hacking FOR508:Advanced Incident Response, Threat
Hunting, and Digital Forensics SEC540:Cloud Security and DevOps Automation(5日
間)

◆トレーニング費用(税抜)
早期割引価格(6日間コース):760,000円 通常価格:810,000円
早期割引価格(5日間コース):710,000円 通常価格:760,000円
早期割引価格(SEC760):830,000円 通常価格:880,000円

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_secure_japan2020

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 米国で選挙のセキュリティ確保に向けた立法を推進 (2019.11.1)
主要両政党の現役および元米国立法者と政府高官の100人近くが、現在の上院議員に対し、選挙を外国の干渉から保護することを目的とするいくつかの法案に対して対応を進めることを求める書簡に署名した。またこの書簡には、「議会は、州および郡が選挙に関連した脆弱性に対処するために必要な追加の財政的支援を確保するべきである」と記述されている。

- https://www.govinfosecurity.com/call-for-action-election-security-national-emergency-a-13340
- https://www.issueone.org/wp-content/uploads/2019/10/Letter-to-the-US-Senate_Defend-Americas-Elections.pdf

【編集者メモ】(Pescatore)
米国は、議会で多数派を占めていた政党に関わらず、10年もの間対応をしてこなかったために、国家のデータプライバシー法が確立できていない。連邦法を向こう10年間推進する代替案として、各州の地元の有権者およびサイバーセキュリティ活動家たちは、各州の代表者に州の選挙のセキュリティ向上を要求する必要がある。私たちが見てきた(それなりに実在している)進捗のほとんどは、州の選挙制度に責任がある知事と副大臣から推し進められてきたものである。
────────────────

◆ 米国の地方自治体のサイバーセキュリティを改善するための立法案
(2019.10.30,31)
超党派の米国上院議員グループは、国土安全保障省(DHS)に、地方自治体が電子メールとWebサイトを.govドメインに切り替えることを支援するためのリソースを利用できるようにする法案を提出した。

- https://thehill.com/policy/cybersecurity/468210-senators-introduce-bill-to-strengthen-cybersecurity-of-local-governments
- https://www.scmagazine.com/home/security-news/bipartisan-bill-would-have-local-governments-use-gov-to-strengthen-cybersecurity-defenses/
────────────────

◆ カナダの官民パートナーシップが国家サイバー人材プログラムを開始
(2019.10.31)
ライアソン大学のロジャーズサイバーセキュリティカタリストは、カナダ初の大規模なサイバーセキュリティ人材育成プログラムを開始した。Accelerated Cybersecurity Training Programと呼ばれる取り組みは、さまざまなバックグラウンドの人材に、サイバーセキュリティのキャリアを開始するために必要な技術スキルと認定資格を提供する。2020年2月と2020年4月から始まるプログラムの申請は公開されている。候補者は、女性、新しいカナダ人、または現離職者向けの枠に対して応募が可能となっている。このプログラムは、カナダ政府、ロジャースコミュニケーションズ社、カナダ王立銀行、ブランプトン市のパートナーシップである。

- https://www.ryerson.ca/cybersecure-catalyst/training-program/
- https://www.sans.org/press/announcement/2019/10/31/1
- https://www.newswire.ca/fr/news-releases/le-sans-institute-s-associe-a-rogers-cybersecure-catalyst-de-l-universite-ryerson-pour-offrir-une-formation-en-cybersecurite-aux-femmes-aux-nouveaux-canadiens-et-aux-travailleurs-deplaces-814966683.html

【編集者メモ】(Paller)
サイバーセキュリティ人材を大量に抱える 3つの組織(ロジャーズコミュニケーションズ社、カナダ王立銀行、カナダ政府)が積極的に関与していることと、卒業生が雇用主が求める技術的なスキルを証明することが必須であることは、このプログラムが国規模のサイバー人材開発モデルになる可能性があることを示している。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「安全なオンラインショッピング」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
年末年始はクリスマスなどオンラインショッピングを使う機会が増える時期です
。このようなタイミングは、攻撃者にとっても活発に活動する機会でもあり、残
念なショッピングをしないためにも、安全にオンラインショッピングをできるよ
うに注意しなければいけないことが多々あります。今月は、攻撃者の典型的な手
口を紹介すると共に、被害に遭わないための方法について Lenny Zeltserが一般
ユーザにも分かりやすく解説します。社内のセキュリティ意識向上ツールとして
ご利用ください。
https://www.sans.org/sites/default/files/2019-11/201911-OUCH-November-Japanese-P1_0.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ツイッターの元従業員がサウジアラビアに対するスパイ容疑で起訴
(2019.11.6,7)
2名のツイッターの元従業員がサウジアラビアに対するスパイ容疑で起訴されたことが明らかになった。起訴状によると、2人はサウジアラビアの王室と政府に批判的な人々に関する個人情報を見つける目的でツイッターの内部システムにアクセスしたと記されている。

- https://www.washingtonpost.com/national-security/former-twitter-employees-charged-with-spying-for-saudi-arabia-by-digging-into-the-accounts-of-kingdom-critics/2019/11/06/2e9593da-00a0-11ea-8bab-0fc209e065a8_story.html
- https://www.theregister.co.uk/2019/11/07/twitter_employees_saudi_spy/
- https://www.zdnet.com/article/saudi-arabia-allegedly-recruited-former-twitter-employees-to-access-user-data/
- https://arstechnica.com/information-technology/2019/11/former-twitter-employees-charged-with-spying-on-users-for-saudis/
- https://www.washingtonpost.com/context/read-the-criminal-complaint-involving-former-twitter-employees/1e7768f8-36fd-4c66-8de0-3f94489673d6/

【編集者メモ】(Neely)
内部犯行の脅威を完全に防止するのは困難だ。主な緩和策に職務の分離と特権アカウントの使用に関する定期的なレビューがある。また、最新の身辺調査を実施しなければならないような間隔や出来事の発生があるかどうかも考慮しなくてはならないだろう。
────────────────

◆ 病院へのサイバー攻撃があった後の対策が患者へのケアに悪影響を与えたとい
う研究結果 (2019.11.7)
ヴァンダービルト大学のオーウェン経営大学院の研究者が実施した研究は、データへの侵害を受けた後に病院が実施するセキュリティ対策が患者のケアに悪影響を与えることを示している。レポートによると、「対策は、医療ITおよび患者ケアプロセスを遅延、複雑化、または混乱させるような変更を導入する可能性がある。」としている。侵入を受けた病院では、心臓発作患者が病院に到着してから通常よりも数分長く心電図検査を待っていたことが明らかになっている。この研究では、以前にサイバー攻撃を受けた病院を訪れた心臓発作患者の30日間の死亡率の増加が確認されている。

- https://krebsonsecurity.com/2019/11/study-ransomware-data-breaches-at-hospitals-tied-to-uptick-in-fatal-heart-attacks/
- https://onlinelibrary.wiley.com/doi/pdf/10.1111/1475-6773.13203
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
--------------------------------------
▼ PICK UP
--------------------------------------
〇12月12日(木)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
 https://www.nri-secure.co.jp/seminar/2019/cissp06?xmid=300&xlinkid=01

--------------------------------------
▼ その他、申込受付中の無料セミナー
--------------------------------------
〇11月19日(火)、12月19日(木)、2020年1月28日(火)、2月25日(火)
 【事例で解説】マルチクラウド時代に必要な「CASB」とは
 ~CASBで安全なクラウドサービスの活用を実現~
 https://www.nri-secure.co.jp/seminar/2019/casb01?xmid=300&xlinkid=02

〇11月21日(木)、2020年1月16日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
 https://www.nri-secure.co.jp/seminar/2019/isolation04?xmid=300&xlinkid=03

〇11月21日(木)、12月10日(火)【ユービーセキュア主催】
 高速開発とセキュリティ両立を実現するには?
 ~DevSecOpsを強力に推進するContrast Security、デモを交えてご紹介~
 https://www.nri-secure.co.jp/seminar/2019/devsecops02?xmid=300&xlinkid=04

〇11月26日(火)、12月24日(火)、2020年1月30日(木)、2月26日(水)
 「貴社の情報資産がダークウェブに漏れていませんか?」
 ~脅威インテリジェンスサービスIntSightsでデジタルリスクを調査~
 
 https://www.nri-secure.co.jp/seminar/2019/threat-intelligence01?xmid=300&xlinkid=05

〇12月12日(木)
 クリプト便&Boxサービス紹介・体験セミナー
 ~お客様に選ばれ続けるセキュアなファイル送受信・共有サービスご紹介~
 https://www.nri-secure.co.jp/seminar/2019/file04?xmid=300&xlinkid=06

〇12月12日(木)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
 https://www.nri-secure.co.jp/seminar/2019/cissp06?xmid=300&xlinkid=07

〇2020年1月14日(火)、2月13日(木)
 今後のサイバーセキュリティ対策の要諦
 ~情報セキュリティ実態調査2019からひもとく~
 https://www.nri-secure.co.jp/seminar/2019/insight01?xmid=300&xlinkid=08

〇2020年2月20日(木)
 【実機で体験】特権ID管理 SecureCube / Access Check ハンズオンセミナー
 https://www.nri-secure.co.jp/seminar/2019/hundson_ac01?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○東京開催:12月、2020年1月、2月、3月
 沖縄開催:12月
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?xmid=300&xlinkid=10

〇2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
 https://www.nri-secure.co.jp/service/learning/secureeggs?xmid=300&xlinkid=11

〇2020年1月20日~25日
 SANS Tokyo January 2020
 <SEC642 / FOR500 / FOR572 / ICS410>
https://www.sans-japan.jp/sans_tokyo_january2020?xmid=300&xlinkid=14

〇2020年3月2日~14日
 SANS Secure Japan 2020
 <SEC504 / SEC511 / SEC760 / FOR610 / SEC545 / SEC401 / SEC501 /
  SEC560 / FOR508 / SEC540>
 https://www.sans-japan.jp/sans_secure_japan2020?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~
 
 https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=14

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
 
 https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=15

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
 
 https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=16

>>ダウンロード資料一覧
 https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【検証】PHPのコマンド実行の脆弱性を悪用する攻撃通信の検知
  (CVE-2019-11043)
 
https://www.secure-sketch.com/blog/verify-php-command-execution-vulnerability?xmid=300&xlinkid=18
〇PCI DSS改訂ポイント解説|PCI SSCイベントから見る決済セキュリティの行方
 
https://www.secure-sketch.com/blog/points-of-pcidss-revision?xmid=300&xlinkid=19

〇WAFがあるから大丈夫? ~今求められる、WAAPとは~
 
https://www.secure-sketch.com/blog/web-application-and-api-protection?xmid=300&xlinkid=20

>>ブログ記事一覧
 https://www.secure-sketch.com/blog?xmid=300&xlinkid=21

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇「Vex」がWebアプリケーション脆弱性検査ツール市場で
 4年連続シェアNo.1を獲得
 https://www.nri-secure.co.jp/news/2019/1114?xmid=300&xlinkid=22

〇野村総合研究所、NRIセキュアとJCBが、“デジタルアイデンティティ”の
 最新動向レポートを共同で発行
 https://www.nri-secure.co.jp/news/2019/1105?xmid=300&xlinkid=23

〇NRIセキュアテクノロジーズとユービーセキュア、 ガートナーの
 「日本におけるセキュリティのハイプ・サイクル」に関連プレーヤーとして掲載
 https://www.nri-secure.co.jp/news/2019/1024?xmid=300&xlinkid=24

>>ニュース一覧
 https://www.nri-secure.co.jp/news/?xmid=300&xlinkid=25

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?xmid=300&xlinkid=26

〇Secure SketCHサービス紹介資料
 
 https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=27

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。