NRI Secure SANS NewsBites 日本版

Vol.15 No.13 2020年4月22日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.13

(原版: 2020 4 14日、4 17日)

──────────────────────────

 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓

 2┃0┃2┃0┃年┃7┃月┃東┃京┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃ !

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 

新型コロナウイルス感染症に関する状況を考慮し、SEC504SEC4012コースに

ついて、日本ローカル講師による日本語でのLive Online形式*で開催することと

いたしました。予定していた他のコースは、本年後半以降に延期とさせていただ

きます。

 

*Live Online形式

専用プラットフォームを使ったオンライントレーニング環境で、インターネット

経由でどこからでもご受講いただけます。通常の教室での講義と同様に質疑応答

(テキスト・ビデオチャット等)も可能で、ハンズオンやCTFの実施もございます。

 

間もなく申込み開始となりますので、ぜひご検討ください。

SANS Japan Webサイト:https://www.sans-japan.jp/

 

◆日本語Live Online

  SEC401  Security Essentials Bootcamp Style

  SEC504  Hacker Tools, Techniques, Exploits, and Incident Handling

 

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 

CISAが一時的なテレワークセキュリティガイダンスを発表 (2020.4.8 & 10)

米国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、在宅勤務する連邦政府職員の増加に伴い、暫定的なテレワークガイダンス「政府機関を支援するために、既存のリソースを活用してネットワークセキュリティを確保する」を発行した。Trusted Internet Connections 3.0暫定テレワークガイダンスでは、「悲劇的問題の管理」「トラフィックの機密性の保護」「トラフィックの完全性の保護」「サービス回復力の確保」「効果的な対応の確保」という5つのセキュリティ目標を掲げている。

 - https://www.cisa.gov/sites/default/files/publications/CISA-TIC-TIC%203.0%20Interim%20Telework%20Guidance-2020.04.08.pdf

 - https://www.fifthdomain.com/civilian/dhs/2020/04/08/dhs-releases-new-network-security-guidance-for-telework/

 - https://fcw.com/articles/2020/04/08/tic-telework-guide-johnson.aspx

 - https://federalnewsnetwork.com/ask-the-cio/2020/04/path-for-agencies-to-more-easily-use-cloud-services-paved-by-tic-pilots/

 - https://www.nextgov.com/cybersecurity/2020/04/cisa-offers-ways-lessen-lag-teleworkers-without-sacrificing-security/164470/

 

【編集者メモ】(Neely)

このガイダンスは2020年末に期限が切れるように設定されており、米国政府に焦点を当てている一方で、業界や正式なTICを持っているかどうかに関わらず、セキュリティとコンプライアンス要件を確実に満たすための十分な可視性を備えたクラウド、およびオンプレミスのサービスにアクセスするためのアプローチを提供している。

【編集者メモ】(Pescatore)

Trusted Internet Connect 3.0の更新はまだ草案の段階だが、政府機関がリモートユーザーアクセスやクラウドサービスを利用し、安全性とコンプライアンスを維持する方法を明確にするために、切望されていた多くの柔軟性が追加されている。政府のEISやその他の契約でTIC ISPが提供するマネージドトラステッドインターネットプロトコルサービス (MTIPS) と、多数のFedRAMP認定クラウドベースSecurity as a Serviceの間で、政府機関はリモートによる労働力のセキュリティと生産性の両方を長期的に改善するためのガイダンスとオプションの両方を手に入れることができそうだ。

────────────────

 

Oracle社:四半期ごとのCritical Patch Update - 405個のバグ (2020.4.13

Oracle社は414日火曜日に、四半期ごとの「Critical Patch Update」を公開する。同アップデートでは、さまざまな製品に含まれる400件以上の脆弱性に対処している。そのうち286件はリモートからの悪用が可能だという。

 - https://threatpost.com/oracle-tackles-405-bugs-for-april-quarterly-patch-update/154737/

 - https://www.oracle.com/security-alerts/cpuapr2020.html

 

【編集者メモ】(Neely)

今回のアップデートにより、テレワーカーシステムを含めたリモートでのリグレッションテストやパッチ適用の能力を検証する機会がまた一つ増えた。現在の強化されたリモートワークの状態では、リグレッションテストが強調されているが、対面での修正支援は不可能ではないにしても、より複雑になってしまう。現状での利用者による不正行為が増加していることから、アップデートを先延ばしにすることは最適ではない。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 4月号「パスワード・マネージャ」について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

たくさんのシステムやオンラインサービスを利用するときに、それぞれのアカウ

ント名やパスワードを覚えるのに苦労していませんか。このような時はパスワー

ド・マネージャの利用がお勧めです。

今月は、パスワード・マネージャについて解説するとともに、自分に合ったパス

ワード・マネージャの選び方についても、一般ユーザに分かりやすく解説します。

社内のセキュリティ意識向上ツールとしてご利用ください。

https://www.sans.org/sites/default/files/2020-03/202004-OUCH-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

GAO報告書:国防総省はサイバー衛生に重点を置く必要がある (2020.4.14)

米国会計検査院(GAO)の報告書によると、国防総省(DoD)は、2015年に同省が自らに設定したサイバー衛生目標の多くを放棄しているか、追い続けることを止めているという。GAODoDに対して7つの勧告を行っており、そのうちのいくつかはサイバー衛生関連業務の実施責任の割り当てに焦点を当てている。

 - https://www.wired.com/story/pentagon-cybersecurity-blind-spots/

 - https://www.fifthdomain.com/dod/2020/04/13/watchdog-finds-the-pentagon-is-behind-on-several-cybersecurity-initiatives/

 - https://www.meritalk.com/articles/gao-rakes-dod-over-cyber-hygiene-implementation/

 - https://www.gao.gov/assets/710/705894.pdf

 - https://www.gao.gov/assets/710/705886.pdf

 

【編集者メモ】(Pescatore)

54 ページに及ぶこの報告書の中の一行には、「国防総省は、主要なサイバー攻撃技術から国防総省のネットワークを保護するためのサイバー衛生対策が、どの程度実施されているかを把握していない」という問題を浮き彫りにしている。重要なことは、国防総省のCIOは、主要なサイバーセキュリティ文化とコンプライアンス・イニシアチブ(DC3I)の実施と監視に責任を負っていることを知らないと述べていることだ。その理由の1つとして、201612月、国防総省は、国防総省のCIOオフィスがサイバーセキュリティの全体的な責任を負うとした201411月の国防総省指令5144.02の実施の一環として、DC3Iの実施と監視の責任を米サイバー司令部から、国防総省のCIOオフィスに移したことにあると報告書は指摘している。国防総省の実務レベルでは多くの進展があったと思うが、大統領政権の変遷の中で、国防総省のサイバーセキュリティに対する責任トップへの移行は実現しなかったように見える。

────────────────

 

◆ テキサス州の判事が要請者のために郵送投票を承認 (2020.4.15 & 16

COVID-19パンデミックへの懸念は、テキサス州での郵送投票を要求する理由にはならないという同州の司法長官の主張にもかかわらず、テキサス州地方判事は、同州の登録有権者が郵送投票を要求することができるようにする仮処分を出すと述べた。テキサス州では、不在者投票は障害がある直接投票できない人に限られている。

 - https://www.scmagazine.com/home/security-news/texas-judge-oks-expanded-mail-in-voting-during-covid-19-pandemic/

 - https://thehill.com/homenews/state-watch/493016-texas-ag-fear-of-covid-19-not-a-qualifying-reason-to-receive-absentee

 

【編集者メモ】(Murray)

いわゆる「コンピュータ科学者」と呼ばれる人たち(あなたは自分がどんな人物であるか知っている)は、オンライン投票に非常に困難なセキュリティ要件を投影している。彼らは完璧であることを良いものの敵にしている。これらの要件のいくつかは、「移動と日付のない」投票のための新たな要件を満たすために緩和されなければならないだろう。リスクのないオンライン投票を実現することはできないが、「十分に良いもの」を実現することは可能であり、おそらく郵便物、署名、ゴム印、二重封筒で現在行っていることと同等である。十分に良いシステムは、登録、投票用紙の配布、投票の記録、投票用紙の返却、早期の集計と報告、そして結果の遅延監査と認証を含む多様で多段階的なものになるだろう。屁理屈はやめて、設計と実装を始める時が来たのだ。

────────────────

 

◆ 空軍のバグバウンティプログラムで460件以上の脆弱性が発覚 (2020.4.15 & 16)

昨年秋に実施された米空軍のバグバウンティプログラムにより、空軍仮想データセンターに460件以上のセキュリティ問題が判明した。リモートチャレンジは20191023日から1120日まで実施され、2019117日には1日だけのライブ要素があった。

 - https://www.hackerone.com/press-release/over-460-vulnerabilities-resolved-tenth-bug-bounty-challenge-us-department-defense

 - https://www.fifthdomain.com/2020/04/15/ethical-hackers-find-hundreds-of-vulnerabilities-during-latest-air-force-bug-bounty/

 - https://www.forbes.com/sites/daveywinder/2020/04/16/us-air-force-successfully-hacked-by-battalion-of-60-hackers/#3703a1ab39f9

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃申込受付中の研修                                 NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

6月:オンライン(ライブ配信)

 9月、10月、11月、12月、20211月、2月、3月:オンサイト(会場型)

 CISSP CBKトレーニング

 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

8月、20212

 セキュアEggs

 (基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)

 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃ebook(無料ダウンロード)                       NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

 https://www.secure-sketch.com/ebook-download/insight2019-report?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

EDR導入ガイド

 - インシデント前提社会の最適解 -

 https://www.secure-sketch.com/ebook-download/recommend-edr-use?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

○新任システム管理者のための特権ID管理入門書

 https://www.secure-sketch.com/ebook-download/privileged-account-management-for-beginner?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

>>ダウンロード資料一覧

 https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○テレワークで情報システム管理を実施する前に考慮すべき3つのこと

 https://www.secure-sketch.com/blog/points-to-manage-systems-with-teleworking?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

○クラウドネイティブ化に伴うセキュリティ課題とその解決策

 https://www.secure-sketch.com/blog/cloud-native-shift?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

SASEとは?オールインワン製品でDX推進に向けた効率的なセキュリティ投資を!

 https://www.secure-sketch.com/blog/secure-access-service-edge?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃Secure SketCH 無料登録受付中 <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

30分でわかる!貴社に必要なセキュリティ対策

 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

Secure SketCHサービス紹介資料

 https://www.secure-sketch.com/ebook-download/tag/secure-sketch?utm_source=sans&utm_medium=mail&utm_campaign=20200422sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。