──────────────────────────
■■SANS NewsBites Vol.16 No.47
（原版: 2021年 11月23日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【12/24までSEC504が5万円OFF】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC504）でキャンペーン価格を設定して
　おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限　2021年12月24日（金）まで+++

〇開催日：2022年1月17日（月）～1月22日（土）　6日間
　SEC501 Advanced Security Essentials - Enterprise Defender
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　FOR500 Windows Forensic Analysis
　ICS410 ICS/SCADA Security Essentials

〇開催日：2022年1月17日（月）～1月21日（金）　5日間
　MGT512 Security Leadership Essentials For Managers

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※トレーニング開始日の24暦日前（12/24）までのお申込みが対象となります
　　SEC504　　　　　　 790,000円（税込 869,000円）
　通常価格
　　SEC504　　　　　　 840,000円（税込 924,000円）
　　SEC501,FOR500　　　880,000円（税込 968,000円）
　　ICS410　　　　　　 930,000円（税込 1,023,000円）
　　MGT512　　　　　　 830,000円（税込 913,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_january_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆FDICルールに対する銀行の報告不履行 (2021.11.19)
財務省通貨監督庁、連邦準備制度理事会、連邦預金保険公社（FDIC）は、銀行に対
するサイバーセキュリティ事故の通知要件をまとめた。新しい規則では、銀行はセ
キュリティインシデントを発見してから36時間以内にFDICに報告することが義務付
けられている。このルールでは、サイバーセキュリティインシデントを「情報シス
テムの機密性、完全性、可用性、またはシステムが処理、保存、送信する情報に実
際または潜在的な危害を加える結果となる事象、またはセキュリティポリシー、セ
キュリティ手順、または許容される使用ポリシーの違反またはその差し迫った脅威
を構成する事象」と定義付けている。この規則は2022年4月1日に発効し、完全準拠
は2022年5月1日からとなる。
- https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf
- https://www.scmagazine.com/news/breach/new-rule-says-banks-now-have-36-hours-to-report-a-security-incident-to-the-fdic
- https://www.darkreading.com/risk/u-s-banks-will-be-required-to-report-cyberattacks-within-36-hours
- https://www.cyberscoop.com/banks-36-hours-reporting-rule-cyber-incidents/
- https://www.govinfosecurity.com/regulators-banks-have-36-hours-to-report-cyber-incidents-a-17959

【編集者メモ】(Williams)
この36時間の報告期限に期待する人もいるだろうが、IRの実務担当者としては純然
たるプラスにはならないと確信している。第一に、違反行為の隠蔽は公共の利益に
反するのは明白だが、36時間という期限がもたらす顧客保護の効果が、5日では実
現できないのかは明らかではない。第二に、このように情報開示のタイミングを早
めると、何をもってしてインシデントとするのか、法律の針に糸を通すように組織
が対抗してくる。このケースの定義はかなり包括的で、何が報告義務に該当しない
かを想像するのは困難になる。このような過度に広い定義は、公共の利益のために
はならず、むしろ組織が「些細なことでも報告する」ことを避けるべく規則を解釈
するための都合の良い言い訳になってしまうだろう。
【編集者メモ】(Honan)
特に報告の義務化に関して、EU域外の規制当局がGDPR型の規制を採用することは興
味深いことである。しかし、GDPRが導入されたときに経験したいくつかの問題を教
訓に、FDICが大量の報告に対応するための十分なリソースを確保し、何をもって違
反を報告すべきかを判断するための明確なガイダンスを実施することに期待してい
る。そして、報告された違反を追跡して被害に遭った組織が適切に調査・修復し、
報告義務を単なるチェックリストとして扱わないようにすることも重要である。
【編集者メモ】(Pescatore)
当初の表現には、批評に応じて削除された多くの曖昧な文言（「good faith estimate
」など）があったが、これは望ましいことである。しかし、「通知インシデント」
の基本的な定義はまだかなり広いものとなっている。例えば、サービスプロバイダ
ーのSLAに違反していないにも関わらず、サービスプロバイダーのダウンタイムが
原因で発生した停電は「通知インシデント」とみなすことができてしまう。もう一
つの問題は、財務省庁がこれらのデータを使って銀行機関に攻撃の可能性を事前に
警告するのか、それとも単なるデータ収集の努力なのかということである。
【編集者メモ】(Neely)
規制当局と協力して、今後6ヶ月間で改善され明確になる最終命令を理解してもら
いたい。金融機関にとっての通知基準の意味を明確に理解し、誰にどのように通知
を行うべきかを正確に把握しておくように。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「オンラインショッピングを安全に進めるには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンラインショッピングは、クリスマスのプレゼントに限らずとても便利で、
私たちの生活に欠かすことができないサービスとなりました。でも、悪意ある
攻撃者は、オンラインショッピングの楽しみを奪ってしまうような詐欺的行為
をしやすい季節でもあります。今月は、電子メールを使うにあたってよくある
間違いと回避方法について初心者にもわかりやすく解説します。
社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltacce9da7e59dcdec/617979d75ae6d31579c1c072/ouch!_november_2021_Japanese_shopping_online_securely.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆Skyルーター、脆弱性公開から17ヶ月後にパッチ適用 (2021.11.19)
Sky Broadband社は、英国内600万台のSkyルーターに影響を及ぼすとされているDNS
リバインディングの重大な脆弱性に対する修正プログラムを提供した。この欠陥を
悪用して、ルーターのホームネットワークにアクセスしたり、設定を変更したり、
ネットワークを横断して他の機器にアクセスしたりすることができる。この脆弱性
は、2020年5月に初めてSky社に開示され、当初は2020年11月までに対策されるとし
ていたが、同社によると2021年10月22日時点で対象となるルーターの99％がアップ
デートを受け取っている。
- https://threatpost.com/6m-sky-routers-exposed-18-months/176483/
- https://www.bleepingcomputer.com/news/security/six-million-sky-routers-exposed-to-takeover-attacks-for-17-months/

【編集者メモ】(Ullrich)
消費者は、ISPが提供する機器にパッチが適用されるのを待つしかないことが多い
。ISPはパッチを提供してユーザーの利便性を高めるために、パッチ適用していな
い機器をユーザー放置しないよう責務を果たすべきである。
【編集者メモ】(Williams)
これはかなり複雑な攻撃であり、大量に利用される可能性はなかったものの、パッ
チの実装に時間がかかりすぎた。しかし、それだけでは脆弱性の深刻さに変わりは
ない。組織が調査員と明確な期限を設定し、その期限を守らせることですべての人
の安全が保たれる。Google Project Zeroでは情報公開のスケジュールが義務付け
られていることが問題視されているが、しかしそのおかげで1年以上も今回のよう
なバグにパッチを充てないで済んでいる。
【編集者メモ】(Neely)
このような重要な更新を待っているルーターを交換していない場合は、ルーターが
更新されていることを確認し、システムが悪用されていないかをチェックしたいも
のである。また、Sky社はよりタイムリーにバグ修正を提供してもらいたい。
─────────────

◆バイオ製造業界のISAC、マルウェア「Tardigrade」に関する問題提起
(2021.11.22)
The Bioeconomy Information Sharing and Analysis Center (BIO-ISAC)は、バイ
オ製造企業を標的としたマルウェアについて警告した。「Dubbed Tardigrade」と
名付けられたこのマルウェアは、ランサムウェア攻撃をきっかけに初めて検出され
たものである。トロイの木馬のような機能を持っている上に高度な検知回避技術を
用いており、バイオ製造業界で活発に拡散している。
- https://www.isac.bio/post/tardigrade
- https://www.wired.com/story/tardigrade-malware-biomanufacturing/
- https://thehill.com/policy/cybersecurity/582648-biomanufacturing-companies-getting-hit-by-hackers-potentially-linked-to

【編集者メモ】(Williams)
この報告書は確かに興味深いが、このNewsBitesの発行時点では、CTIコミュニティ
においてBioISACの報告書に対して大きな疑問があることに留意する必要がある。
私はまだ、個人的にサンプルを確認していないが、BioISACの報告書を確認し、サ
ンプルを直接分析した人と一緒に仕事をしている。この件については次回のNewsBites
でご紹介しよう。もし、この記事が全米の主要メディアで注目されていないのであ
れば、独自取材に対する疑いからこの記事を掲載することはなかったであろう。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇12月 6日(月)
　CISSPオンラインチャレンジセミナー
　「CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2021/cissp1206?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇12月8日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2021/ac_id1208?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇12月8日(水)　NRI主催
　atlax Forum 2021 Online
　https://atlax.nri.co.jp/forum/20211208/
　※セッションC-2（15:25～）にてゼロトラストセキュリティについて講演

〇12月13日(月)
　DX時代のサービスリスク・データ保護対策セミナー
　～サービス事業者に求められるリスク対応と
　　　　国内外のプライバシー保護法対応とは～
　https://www.nri-secure.co.jp/seminar/2021/servicerisk_privacy1213?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇12月16日(木)
　セキュリティの第三者評価をDXで迅速に実現する方法とは
　～ファストセキュリティアセスメント解説セミナー～
　https://www.nri-secure.co.jp/seminar/2021/fast_security_assessment1216?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇12月22日(水)
　テレワーク時代のメール誤送信体質改善セミナー
　～最短、今日できるメール誤送信対策の現実解～
　https://www.nri-secure.co.jp/seminar/2021/mail-missending1222?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【New！】M365/Google Workspaceユーザー必見！
　mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
　https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

＞＞過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年1月
　SANS Tokyo January 2022
　https://www.sans-japan.jp/events/sans_tokyo_january_2022?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇2022年2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇2022年1月、3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア ソリューションガイド 2021年度 3版【New！】
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

〇マイナンバー収集ガイドブック
　法人が使える　マイナンバー受け渡し手段とは？
　https://www.nri-secure.co.jp/download/my-number-collection-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○AI 原則とは？｜信頼できるAI のために世界各国が注目する基本理念
　https://www.nri-secure.co.jp/blog/ai-principle?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

○セキュリティガイドライン活用法｜運用上の課題と解決策
　https://www.nri-secure.co.jp/blog/first-step-of-security-measures?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

○COTSデバイスを活用したキャッシュレス決済の新潮流
　｜　新たなセキュリティー基準が登場
　https://www.nri-secure.co.jp/blog/cashless-payment-using-cots-devices?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●m-FILTER MailAdviserにて、お得な年度末キャンペーン実施中
　https://www.nri-secure.co.jp/service/solution/mailadviser?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョン（5.5.0）を発売
　～「マスタ管理支援ツール」「申請テンプレート機能」を追加～
　https://www.nri-secure.co.jp/news/2021/1124?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

○NRIセキュア、グループ会社・委託先のセキュリティ対策状況を評価する
　「Secure SketCH」GROUPSプランを大幅刷新
　～主要ガイドラインに沿った設問テンプレートを標準で提供～
　https://www.nri-secure.co.jp/news/2021/1118?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20211201sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。