──────────────────────────
■■SANS NewsBites Vol.15 No.06
(原版: 2020年 2月 11日、14日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2┃0┃2┃0┃年┃3┃月┃東┃京┃開┃催┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃!┃
━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Secure Japan 2020】全9コース実施予定 ★絶賛お申込み受付中★
https://www.sans-japan.jp/sans_secure_japan2020
開催日:2020/3/2(月)~2020/3/7(土)
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling◆日本語◆
SEC511:Continuous Monitoring and Security Operations
SEC760:Advanced Exploit Development for Penetration Testers
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques
SEC545:Cloud Security Architecture and Operations(5日間)
開催日:2020/3/9(月)~2020/3/14(土)
SEC401:Security Essential Bootcamp Style◆日本語◆
SEC560:Network Penetration Testing and Ethical Hacking
FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics
SEC540:Cloud Security and DevOps Automation(5日間)
◆トレーニング費用(税抜)
6日間コース:810,000円
5日間コース:760,000円
SEC760:880,000円
◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_secure_japan2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ GAOレポートにより、CISAの選挙セキュリティ戦略が完了していないことが発覚 (2020.2.6 & 7)
2017年1月、米国国土安全保障省(DHS)は、連邦選挙で使用されている州選挙と地方選挙のインフラを、国全体の重要なインフラから構成するものとして指定した。
この指定により、DHSは州選挙と地方選挙の選挙管理人に、有権者登録データベースや投票機器を含む資産を保護するための支援を提供することが可能となる。米国
会計検査院(GAO)からの報告によると、DHSのサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、「州選挙と地方選挙の選挙管理人が
2020年の選挙を保護、あるいはより重要な課題に取り組む方法を文書化支援するための
戦略および運用計画をまだ完了させていない」ということがわかった。このレポートは、CISAに戦略計画の完了を促すものである。
- https://www.gao.gov/products/gao-20-267
- https://www.cyberscoop.com/election-security-cisa-gao-report/
【編集者メモ】(Neely)
世界の終わりではないが、地方自治体が選挙に先立って戦略的措置を講じる時間はない。CISAは、この選挙年の残された期間に実施できる優先度の高い戦術指針を迅
速に公開する必要がある。
【編集者メモ】(Pescatore)
これは報告書を痛烈に批判するものではないが、予備選挙が行われ、大統領選挙が9か月を切った状態で、戦略計画を立てる時間はもうないと思う。どの火を最初に
消すか優先順位を決めることに集中すべきだ。
────────────────
◆ 州選挙管理人が連邦政府の援助をさらに受け入れる (2020.2.7)
米国の州選挙管理人が、国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)からの支援を以前よりも進んで受け入れ
ている。選挙管理人は当初、選挙システムを重要なインフラストラクチャーとして指定することに抵抗を示していたが、CISAが提供する情報と支援が選挙インフラス
トラクチャーを積極的に保護するのに役立つことを理解した。CISAの局長であるChristopher Krebs氏は、1月にイランのハッカーからの潜在的なサイバー脅威に関す
る2回の電話会議では、それぞれ1,700回および5,900回ものダイヤルインがあったと述べた。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「ソーシャルメディアのプライバシー」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
街中で自分のプライバシーに関することを叫ぶことはないように、デジタル世界
においてもプライバシーを守ることを意識しておかないと、思わぬところで足を
すくわれることになります。特に、気軽に世界中の人と情報を共有できるソーシ
ャルメディアは、プライバシー設定などがあって便利な反面、公開した情報を完
全にコントロールすることは不可能だということを理解してください。今月は、
ソーシャルメディアのプライバシーについて、一般ユーザにも分かりやすく解説
します。社内のセキュリティ意識向上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2020-02/202002-OUCH-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ GAOレポートが米国勢調査局のセキュリティ懸案事項を列挙 (2020.2.12 & 13)
米国勢調査局の準備に関する米国会計検査院(GAO)の報告書により、ITシステムの実装やサイバーセキュリティの問題を含む当局の目標のいくつかに遅れが生じて
いることが発覚した。報告書によると、当局は、自己返答サイトが一度に最大600,000人のユーザーをサポートできるようにするという目標を達成していないという。
GAOはまた、当局がサイバーセキュリティの問題を「タイムリーに」修正し、DHSの推奨事項を実装し、返答者のプライバシーが保護されることを保証する必要があ
ることを指摘している。
- https://www.gao.gov/products/gao-20-368r
────────────────
◆ Microsoftの2月のアップデートで、Internet Explorerのゼロデイ脆弱性を修正(2020.2.11 & 13)
Microsoftの月例セキュリティ更新プログラムには、複数の製品に関する99個の脆弱性に対する修正が含まれている。その脆弱性のうち12個は重大と評価され、それ
らのうちの1つがInternet Explorerのリモートコード実行の脆弱性であり、活発に悪用されている。Microsoft社はIEの脆弱性を1月に開示したが、今週初めまでパッ
チは提供されていなかった。
- https://krebsonsecurity.com/2020/02/microsoft-patch-tuesday-february-2020-edition/
- https://www.zdnet.com/article/microsofts-february-2020-patch-tuesday-fixes-99-security-bugs/
- https://threatpost.com/microsoft-active-attacks-air-gap-99-patches/152807/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674
- https://portal.msrc.microsoft.com/en-us/security-guidance/summary
────────────────
◆ Adobe2月のアップデート (2020.2.11 & 12)
2月のAdobeセキュリティアップデートには、複数の製品に存在する42個の脆弱性に対する修正が含まれている。このアップデートにより、Framemakerに存在する21
個の重大な問題と、ReaderとAcrobatに存在する12個の重大な脆弱性に対処できる。このアップデートは、Flash PlayerとExperience Managerの重大な脆弱性も修正
されている。
- https://www.zdnet.com/article/adobe-addresses-over-40-vulnerabilities-many-critical-in-patch-update/
- https://threatpost.com/adobe-security-update-critical-flash-framemaker-flaws/152782/
- https://www.bleepingcomputer.com/news/security/adobe-releases-the-february-2020-security-updates/
- https://helpx.adobe.com/security/products/framemaker/apsb20-04.html
- https://helpx.adobe.com/security/products/acrobat/apsb20-05.html
【編集者メモ】(Pescatore)
おい、AdobeとMcAfeeよ。AdobeのパッチがユーザーをだましてMcAfeeのソフトウェアをインストールさせようとしてから少なくとも8年が経っている。その行為に
より、両社を安っぽくて低俗なものに見せている。Ford社が「Ford社の自動車にリコールを必要とする欠陥がある度に、私たちはあなた方をだまして衛星ラジオサー
ビスをつけるようにします。」と言っているのを想像してほしい。この取引で得られる収益は本当に価値があるのだろうか???
【編集者メモ】(Neely)
Flash Player EOLの日付は2020年12月31日であるため、私たちはまだパッチを適用していない。Adobe Creative Cloudアプリケーションは、その一連のアプリケーシ
ョンを常に最新の状態に保ち、エンタープライズ機能を強化している。それでも、それらが適用されていることを確認するためにスキャンをすることは堅実なことだ。
【編集者メモ】(Murray)
先月数十個、今月数十個、おそらく来月数十個。この貯水池の深さはどれくらい深くなくてはいけないのだろうか?
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2月20日(木)
【実機で体験】特権ID管理 SecureCube / Access Check ハンズオンセミナー
〇2月24日(月)~28日(金):出展(米国サンフランシスコ)
RSA Conference 2020
〇2月25日(火)
【事例で解説】マルチクラウド時代に必要な「CASB」とは
~CASBで安全なクラウドサービスの活用を実現~
〇2月26日(水)
「貴社の情報資産がダークウェブに漏れていませんか?」
~脅威インテリジェンスサービスIntSightsでデジタルリスクを調査~
○3月3日(火)【オンラインセミナー】【NEW】
『業務』で選ぶクラウドサービスの勘所
~ファイル転送かファイル共有か。サービス選定を簡単にする判断ポイント~
○3月5日(木)【オンラインセミナー】【NEW】
利便性とセキュリティを両立するファイル「転送」サービスとは
~情報セキュリティ専門会社が提供する
クリプト便のファイル転送と業務自動化オプション~
○3月9日(月)【オンラインセミナー】【NEW】
利便性とセキュリティを両立するファイル「共有」サービスとは
~クリプト便 ファイル共有機能のご紹介~
○3月10日(火)【NEW】
Boxの無料アカウントに潜む情報漏えいリスクとは
~取引先からのBox指定に有効なセキュリティ対策を提案!~
〇3月12日(木)
特権ID管理ツールの導入検討支援セミナー
~成功の秘訣と導入効果~
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月2日~14日
SANS Secure Japan 2020
<SEC504 / SEC511 / SEC760 / FOR610 / SEC545 / SEC401 / SEC560 /
FOR508 / SEC540>
○3月、5月、6月、9月、10月、11月、12月、2021年1月、2月、3月
CISSP CBKトレーニング
○5月、8月、2021年2月
セキュアEggs
(基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~
〇生産性の高いセキュリティ
- Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
〇EDR導入ガイド
- インシデント前提社会の最適解 -
>>ダウンロード資料一覧
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○脅威ベースのペネトレーションテスト(TLPT)とは?
金融機関が注目するサイバー攻撃対策
https://www.secure-sketch.com/blog/threat-led-penetration-test
○IPAが「情報セキュリティ10大脅威2020」を公開!
順位が上がった注目の脅威を解説
〇【図解】デジタルトランスフォーメーションの光と影と落とし穴
>>ブログ記事一覧
https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、脅威インテリジェンスサービス「Recorded Future」の取り扱いを開始
〇NRIセキュア、クラウドサービスの安全な利用に向けた標準化フレームワーク
「NSF for Cloud」を策定
〇NRIセキュア、「ジャパン マネージドセキュリティサービス プロバイダー
オブザイヤー」を3年連続受賞
>>ニュース一覧
https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200218
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans
〇Secure SketCHサービス紹介資料
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。