┏━━ セキュリティマガジン Scan Security Wire ダイジェスト版 ━━━┓
"企業のセキュリティ担当者のための総合情報誌" [水曜発行／国内情報版]
┗━━━━ https://www.netsecurity.ne.jp/ ━━━━2009/11/11 Vol.546┛

----------〔AD〕--
★★ 11/19開催「Webアプリケーション脆弱性対策セミナーのご案内」 ★★
★★ IPSで出来ること、WAFで出来ること。必要に応じて適切な対策を ★★
＝＝システム改修？IPS導入？WAF導入？対策でお悩みの開発者・管理者様へ＝
＝＝攻撃手法の種類と傾向を分析・最適な防御方法を解説します。＝＝＝＝＝
＝＝ http://www.nttdata-sec.co.jp/headline/2009/091119.html ＝＝＝＝＝
-----
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━╋ Scan Security Wire ダイジェスト版 目次 ╋━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】今週のニュース＜2009-11-11＞
----------
【02】今週の製品・サービス情報＜2009-11-11＞
----------
【03】今週のセキュリティトピックス＜2009-11-11＞
----------
【04】セキュリティホール情報 ＜2009-11-04〜2009-11-10＞
----------
【05】SANS InfoSec Report 第5回
「IT関連資格の価値が低下する中で、真に求められるセキュリティ人材は」
----------
【06】Internet Week 2009 特集 (6)
インターネットルーティングセキュリティへの理解を深める
----------
╋ 編集部からのお知らせ（登録変更・解除はこちら）

----------〔AD〕--
「具体的な気づきが沢山あった」「今までの知識が予防策に使えるとわかった」
　↑こんな感想が続出のセキュリティ教育なら『リスク脳トレーニング』
────────────────────────────────
■□■□　 無料体験セミナー 11/25、12/8 ■□■□
JMCリスクソリューションズ 詳細は⇒ http://rs.jmc.ne.jp/risk_nou.html
----
━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【01】今週のニュース ＜2009-11-11＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
-----
●コンピュータフォレンジック調査とセキュリティ強化で提携
（RSAセキュリティ、UBIC）
-----
　RSAセキュリティ株式会社と株式会社UBICは11月5日、情報漏えいや不正アク
セスなどにおけるコンピュータフォレンジック調査とセキュリティ強化に関し
て提携したと発表した。今後、両社は、セミナーなどの活動を通じて、コン
ピュータフォレンジック調査とセキュリティ強化の必要性と対応を紹介してい
く予定。

　UBICは、情報漏えいや不正取引などに起因するインシデントの調査大手で、
国内最大規模のフォレンジック調査士部隊を有する企業。RSAセキュリティは、
国内で170社の導入実績を持つ統合ログ管理製品「RSA enVision」や認証強化
製品などのセキュリティ対策製品・サービスの大手。異なる分野で強みを持つ
両社が提携することにより、UBICの顧客は、RSAセキュリティの統合ログ管理
の導入や各種リスクに対応したセキュリティポリシーの見直し・策定支援によ
り、インシデント発生の危険性を低減できる。一方、RSAセキュリティの顧客
は、UBICによる危機管理体制の構築やインシデント発生時の初動対応、調査な
どを速やかに依頼でき、ダメージの軽減と企業価値の向上につながるとしてい
る。

http://japan.rsa.com/press_release.aspx?id=10521
-----

●Adobe ReaderおよびAcrobatの脆弱性に関する検証レポートを発表
（NTTデータ・セキュリティ）
https://www.netsecurity.ne.jp/1.html
●TrueCryptに対するEvil Maid攻撃に関する検証レポートを発表
（NTTデータ・セキュリティ）
https://www.netsecurity.ne.jp/1.html
●情報漏えいリスクを根本的に回避する対策を紹介（NRIセキュア）
https://www.netsecurity.ne.jp/1.html

(※各URLはリリース本文または記事カテゴリのトップページにリンクします)

-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【02】今週の製品・サービス情報 ＜2009-11-11＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
-----
●メッセンジャー、メール、社内ポータルなどのセキュリティ対策をセットで
提供（トレンドマイクロ）
-----
　トレンドマイクロ株式会社は11月9日、マイクロソフト社が提唱するコラボ
レーション環境全体のセキュリティ導入を促進する製品「Trend Micro
Collaboration Security」を12月18日より発売すると発表した。

　同製品は、社内リモート会議、インスタントメッセンジャーのセキュリティ
対策を行う「IM Security for Microsoft Office Communications Server」、
メール統合環境のセキュリティ対策を行う「InterScan for Microsoft
Exchange」、社内ポータル、ワークフロー、その他の社内業務システムのセキ
ュリティ対策を行う「PortalProtect」の3製品で構成されるセット製品。これ
ら3製品を利用することで、社内のコミュニケーションについて、総合的にセ
キュリティを強化することが可能となる。

　参考価格は1アカウントあたり1,860円（税別）。なお、既存の単体製品ユー
ザは、本製品を半額で購入することができる。

http://jp.trendmicro.com/jp/about/news/pr/article/4.html
-----

●アクセス管理ソリューションに特権ユーザ・パスワード管理機能を追加
（CA）
https://www.netsecurity.ne.jp/10.html
●法人向けセキュリティ管理・対策ソリューションの最新版をリリース、
Windows 7に完全対応（Kaspersky Labs Japan）
https://www.netsecurity.ne.jp/10.html
●最大50％の時間短縮を実現した中小企業向けAVG製品を発売開始
（AVG Technologies）
https://www.netsecurity.ne.jp/10.html

(※各URLはリリース本文または記事カテゴリのトップページにリンクします)

-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【03】今週のセキュリティトピックス ＜2009-11-11＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●情報セキュリティコンサルティングサービス市場の現状と展望について発表
（ミック経済研究所）
http://www.mic-r.co.jp/mr/00341/
●ウイルス対処状況レポート[2009年10月]を発表（フォーティネット）
http://www.fortinet.co.jp/news/pr/2009/pr110909.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【04】セキュリティホール情報 ＜2009-11-04〜2009-11-10＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
＜2009-11-04＞ https://www.netsecurity.ne.jp/6_14248.html
＜2009-11-05＞ https://www.netsecurity.ne.jp/6_14260.html
＜2009-11-06＞ https://www.netsecurity.ne.jp/6_14277.html
＜2009-11-09＞ https://www.netsecurity.ne.jp/6_14282.html
＜2009-11-10＞ https://www.netsecurity.ne.jp/6_14285.html

(※上記Webページでのセキュリティホール情報の掲載はヘッドラインのみです。
全文は有料会員制セキュリティホール情報配信サービスScan Daily Expressに
て利用可能です https://www.netsecurity.ne.jp/14_3683.html )

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】SANS InfoSec Report 第5回
「IT関連資格の価値が低下する中で、真に求められるセキュリティ人材は」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　SANS Instituteでは、数年おきに「Salary & Certification Survey」とい
うレポートを公表している。これは、セキュリティ関連業務に従事する人材の
給与や資格に関する調査結果をまとめたもので、最新のレポートは2008年11月
にオンラインアンケートに回答した2,120人のデータをもとに集計・分析され
ている。

SANS 2008 Salary & Certification Survey
http://www.sans.org/security-resources/salary_survey_2008.pdf

・81％の組織が、人材採用時の選考要件として認定資格を考慮する。
・41％の組織が、昇給の加点要素として認定資格の取得を考慮に入れている。
・Top15の最も重要な認定資格の中に、11のGIAC認定がランクされた。
・20年以上のキャリアをもつセキュリティプロフェッショナルが有用と考える
認定資格のTop15は、すべてGIACで占められた。
・1年間で研修に費やす時間は平均64時間。
・デジタルフォレンジック、侵入検知、ペネトレーションテスト（脆弱性診断）
が、今後知見を深めたい分野のTop3。

など、ここでは調査結果のごく一部しかご紹介できないが、このほかにも興味
深いデータが掲載されているので、ぜひご覧いただきたい。

　また、「IT関連資格保有者全体では報酬額が4%低下する中、情報セキュリ
ティ関連資格保持者に対するそれは2％上昇した」という調査結果も公表され
た。これは、米国フロリダ州に本拠を置くFoote Partners, LLCという調査会
社が、2,000社に所属する84,000人のIT専門職者の回答をまとめたものである。

　企業が資格保持者に対する報酬を戦略的に用いて、重要なスキルを持つ人材
の獲得・囲い込みを行っていることを踏まえると、この調査で判明した報酬格
差は、セキュリティスキルが企業からますます重要視されていることを示して
いるといえるだろう。実際、Foote Partnersが作成した高需要資格リストによ
ると、上位10資格のうち6つがセキュリティ関連資格だった。首位はGIACの
GCIH（GIAC Certified Incident Handler）。意外だったのは、CISSPもCISMも
24位までのリストに上ってこなかったことだ。ホットな資格と見なされたのは
GIACやCheckpoint、Ciscoによる実務スキルベースのセキュリティ資格である。
前述の「Salary & Certification Survey」でも、これと同様の結果が出てい
る。

　現在、グローバルに認知されているセキュリティ関連の認定資格は、実に
190以上存在する。しかし、組織に求められるものとそうでないものの乖離が
鮮明になってきているように思う。「セキュリティプロフェッショナルとして
の最低限の知識」があるかどうかを問う総論的な認定資格は、明らかに淘汰の
時代に入ってきているようだ。

　対象的に、組織に求められる実務ベースのスキルを確実に身につけ、それを
認定資格取得によって証明できる人材への需要が、急速に高まっているのは間
違いない。

　さて、セキュリティ業務従事者の関心が高い分野の一つにペネトレーション
テスト（脆弱性診断）があることは前述した。攻撃が行われる前にシステムの
脆弱性を発見し、対策を施すことによってリスクを軽減することは、ネット
ワークからアプリケーションのどのレイヤーにおいても極めて重要であること
は共通の認識だ。数年前までは、セキュリティベンダーの脆弱性診断サービス
の提供を受けることが中心であったが、最近では専門チームを設置し、ある程
度のテストであれば自組織で対応できるようにしているところもある。

　しかし、専門的なテストを系統立てて実行でき、実際に組織のセキュリティ
強化に貢献できるような人材はまだまだ稀であり、今後ますます需要が高まる
であろう。この技術の習得を目指す目的で開発されたのが、「SEC560 Network
Penetration Testing and Ethical Hacking」である。コース開始から1年も経
たないうちに、人気コースの1つに数えられるようになった。

　ペネトレーションテストやエシカルハッキング（倫理的ハッキング）の技術
を教えるコースはいくつかあるが、SANSが提供するこのコースは、そ...