──────────────────────────
■■SANS NewsBites Vol.15 No.05
(原版: 2020年 2月 4日、7日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2┃0┃2┃0┃年┃3┃月┃東┃京┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃!┃
━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Secure Japan 2020】全9コース実施予定 ★絶賛お申込み受付中★
https://www.sans-japan.jp/sans_secure_japan2020
開催日:2020/3/2(月)~2020/3/7(土)
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling◆日本語◆
SEC511:Continuous Monitoring and Security Operations
SEC760:Advanced Exploit Development for Penetration Testers
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques
SEC545:Cloud Security Architecture and Operations(5日間)
開催日:2020/3/9(月)~2020/3/14(土)
SEC401:Security Essential Bootcamp Style◆日本語◆
SEC560:Network Penetration Testing and Ethical Hacking
FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics
SEC540:Cloud Security and DevOps Automation(5日間)
◆トレーニング費用(税抜)
6日間コース:810,000円
5日間コース:760,000円
SEC760:880,000円
◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_secure_japan2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ ハッカーが脆弱なスマートビルディングアクセスシステムを乗っ取りDDoS攻撃を開始 (2020.2.3 & 4)
攻撃者たちが脆弱なスマートビルディングアクセスシステムを乗っ取り、それらを利用して分散型サービス拒否(DDoS)攻撃を仕掛けている。既知の重大なコマンド
インジェクションの脆弱性に対して脆弱なNortek Security&Control(NSC)Linear eMerge E3システムへのスキャンが増加した。
- https://cyware.com/news/attackers-exploit-security-flaws-in-smart-building-systems-7ef60ec9
【編集者メモ】(Pescatore)
2013年後半、SANSはInternet of Things Security Summitを開催し、そこで私たちはスマートビルディングシステムが他の攻撃と対比して、実際のビジネス上の損害
になり得る最も可能性の高い将来の攻撃経路であると指摘した。組み込みの有線および無線ネットワーク、そしてエレベーター、それらすべてのシステムへのリモー
トアクセスを備えたネットワーク上のHVACシステムで発展した商業用不動産は、多くの企業が社内システムを極めて低いレベルのセキュリティ衛生状態で、非常に頻
繁に稼働している建物のネットワークを構築していることを意味している。
────────────────
◆ 米国国防総省がサイバーセキュリティ成熟度モデル認定基準を公開 (2020.1.30, 31, 2.1 & 3)
米国国防総省(DoD)は、サイバーセキュリティ成熟度モデル認定基準バージョン1.0をリリースした。この枠組みは、DoD請負業者が契約を獲得するために満たす必
要があるサイバーセキュリティ基準を記述している。CMMCは、今年後半に開始される一部の契約に適用され、2026年までに、すべてのDoD契約にはCMMCが含まれ
る予定。
- https://fcw.com/articles/2020/01/31/dod-releases-cmmc-standards.aspx
- https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「ソーシャルメディアのプライバシー」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
街中で自分のプライバシーに関することを叫ぶことはないように、デジタル世界
においてもプライバシーを守ることを意識しておかないと、思わぬところで足を
すくわれることになります。特に、気軽に世界中の人と情報を共有できるソーシ
ャルメディアは、プライバシー設定などがあって便利な反面、公開した情報を完
全にコントロールすることは不可能だということを理解してください。今月は、
ソーシャルメディアのプライバシーについて、一般ユーザにも分かりやすく解説
します。社内のセキュリティ意識向上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2020-02/202002-OUCH-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ コロナウイルス、サイバーセキュリティの準え (2020.2.3 & 4)
最近のコロナウイルス(2019-nCoV)の流行により、ビジネスに影響を与えるエピデミックまたはパンデミックに関する話題が、仮説から起こる可能性のあるものへ
となった。25,000にもおよぶ感染と増加で、今回のような病気によるビジネスおよびサイバーへの影響を検討するのによい時期となる。主なリスクは2つのカテゴリ
に分類され、(1)詐欺やその他の方法で、犯罪者が偽の寄付サイト、マルウェア、フェイクニュースなどの状況を利用したり、(2)リモートアクセス能力評価、生体
認証の制限の理解、サプライチェーンの考慮事項、緊急時のコミュニケーション計画、そして可能であれば事業停止計画などの事業継続性対策基準を利用する事など
である。SANS ISC diaryで詳細を読む:isc.sans.edu/:コロナウイルスの準備に関するネットワークセキュリティの観点
- https://www.cdc.gov/flu/pandemic-resources/pdf/businesschecklist.pdf
【編集者メモ】(Ullrich)
現在、コロナウイルスに関連する詐欺とマルウェアがアジアで見られる。壊滅的な出来事は、ニュースがそれらに焦点を当てているため詐欺に利用されてしまう傾向
があり、米国では弾劾と予備選挙がニュースを支配した。ニュースメディアがより焦点を当てるにつれてウイルス関連の詐欺が増えるだろう。また、もし何か見つけ
たら問い合わせフォームから知らせてほしい。
【編集者メモ】(Neely)
コロナウイルスは、まだ治癒法が確立していない病気をもたらし、時には予期していない、ビジネスに直接影響を及ぼす可能性のある隔離やその他の制限をもたらし
ている。Johannes Ullrich氏は、ISC diaryの日記で、あなた方の災害復旧計画を熟考して再検討するために状況をまとめる素晴らしい仕事をしている。
────────────────
◆ アイオワ州の党員集会がアプリの問題を報告 (2020.2.4)
アイオワ州の民主党代表党員集会のために作成されたバグのあるモバイルアプリは、期待どおりに機能しなかった。一部の選挙区の代表らにはアプリのダウンロード
とインストールにトラブルが起きた。そのアプリはアイオワ州の選挙区が党員集会の集計を報告できるように設計されていた。アプリはデータを正しく記録したよう
に見受けられるが、レポート機能のコーディングの問題により、部分的な集計だけしかレポートしなかった。ネバダ州民主党は、今後の党員集会ではアプリを使用し
ないと述べている。(WSJの記事は有料版なので注意)
- https://www.wired.com/story/iowa-democratic-caucus-app-tech-meltdown-warning/
- https://www.wsj.com/articles/iowa-caucus-results-delayed-by-apparent-app-issue-11580801699
【編集者メモ】(Pescatore)
アイオワ州党員集会の予備選挙を、経営陣にとって重要な役割をもっていると見なされ、他のすべての事業部門とは少し異なる方法ですべてを実行することが許可さ
れている、厄介な社内事業部門として考えてほしい。ここでのセキュリティ上のアプローチは、「この新しいアプリを徹底的にテストするのではなく、土壇場でユー
ザーにリリースするだけだ。これにより、ハッカーは脆弱性があったとしてもハッキングする時間がない。」ということだ。これはいかなる場合でもセキュリティに
とって悪いアプローチになるだけでなく、他の皆が従っているすべてのポリシーと手順に決して従わない事業部門で採用するのは間違いなく最悪のアプローチだ。こ
れは非常に優れたハーバードビジネスレビューのケーススタディとなるだろう。この次に事業部門が新しいものを徹底的にテストするために必要な時間を前倒しさせ
るように圧力をかけているときは、経営陣に「私たちはアイオワ州党員集会の内部崩壊の危機にさらされてしまいます...」と伝えよう。
【編集者メモ】(Neely)
この問題は、大規模な展開の前に使いやすさと負荷テストの必要性を強調してくれている。党員集会の計画にはバックアップ対策が含まれており、バックアップとし
て呼び出し番号を盛り込んでいた。不運にも、この数字が広範囲にわたって吐き出され、圧迫されてしまい、意図的なサービス拒否を引き起こした。
【編集者メモ】(Murray)
アプリのテストは必要だったが、十分ではなかった。アプリケーションの展開はエンドツーエンドである必要があり、エンドユーザーのトレーニングと参加を盛り込
む必要がある。
【編集者メモ】(Paller)
サイバーセキュリティとアイオワ州党員集会のアプリとのもう一つの繋がりは、極めて上級の政府の政策立案者や政治家を含む多くのアメリカ人が、アイオワ州のア
プリの大失敗をサイバーセキュリティ関連の問題、あるいは少なくともサイバーセキュリティの人々が予期して解決すべき問題として認識していることだ。同時に、
多くのソフトウェア開発組織は、ソフトウェア開発担当者にとって5~15分間のサイバーセキュリティ意識向上トレーニングで十分であると考えている。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2月20日(木)
【実機で体験】特権ID管理 SecureCube / Access Check ハンズオンセミナー
〇2月24日(月)~28日(金):出展(米国サンフランシスコ)
RSA Conference 2020
https://www.nri-secure.co.jp/news/2019/1213?utm_source=sans&utm_medium=mail&utm_campaign=20200212
〇2月25日(火)
【事例で解説】マルチクラウド時代に必要な「CASB」とは
~CASBで安全なクラウドサービスの活用を実現~
〇2月26日(水)
「貴社の情報資産がダークウェブに漏れていませんか?」
~脅威インテリジェンスサービスIntSightsでデジタルリスクを調査~
〇3月12日(木)
特権ID管理ツールの導入検討支援セミナー
~成功の秘訣と導入効果~
https://www.nri-secure.co.jp/seminar/2020/ac01?utm_source=sans&utm_medium=mail&utm_campaign=20200212
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月2日~14日
SANS Secure Japan 2020
<SEC504 / SEC511 / SEC760 / FOR610 / SEC545 / SEC401 / SEC560 /
FOR508 / SEC540>
○3月、5月、6月、9月、10月、11月、12月、2021年1月、2月、3月
CISSP CBKトレーニング
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~
〇生産性の高いセキュリティ
- Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
〇EDR導入ガイド
- インシデント前提社会の最適解 -
>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200212
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○IPAが「情報セキュリティ10大脅威2020」を公開!
順位が上がった注目の脅威を解説
〇【図解】デジタルトランスフォーメーションの光と影と落とし穴
〇DX時代のセキュリティ評価「SRS」とは?
作業負荷ゼロで効率的にサプライチェーン攻撃へ対策
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200212
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、脅威インテリジェンスサービス「Recorded Future」の取り扱いを開始
https://www.nri-secure.co.jp/news/2020/0130?utm_source=sans&utm_medium=mail&utm_campaign=20200212
〇NRIセキュア、クラウドサービスの安全な利用に向けた標準化フレームワーク
「NSF for Cloud」を策定
https://www.nri-secure.co.jp/news/2020/0128?utm_source=sans&utm_medium=mail&utm_campaign=20200212
〇NRIセキュア、「ジャパン マネージドセキュリティサービス プロバイダー
オブザイヤー」を3年連続受賞
https://www.nri-secure.co.jp/news/2020/0109?utm_source=sans&utm_medium=mail&utm_campaign=20200212
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200212
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200212
〇Secure SketCHサービス紹介資料
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。