──────────────────────────
■■SANS NewsBites Vol.15 No.37
（原版: 2020年 10月20日、23日）
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃１┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃締┃切┃間┃近┃で┃す┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo November 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_nov_2020
　
◆開催日：2020年11月9日(月)～2020年11月14日(土)
　SEC401:Security Essentials Bootcamp Style<日本語>
　SEC501:Advanced Security Essentials - Enterprise Defender
　SEC542:Web App Penetration Testing and Ethical Hacking
　SEC599:Defeating Advanced Adversaries & Purple Team Tactics & Kill Chain Defenses

◆トレーニング費用
　810,000円(税抜)
　
◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_nov_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃０┃年┃１┃２┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
お┃申┃込┃み┃受┃付┃中┃！┃
　━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo December 2020 Live Online】　★日英同時通訳付き★
　https://www.sans-japan.jp/sans_tokyo_dec_2020
　
◆開催日：2020年11月30日(月)～2020年12月5日(土)　終日×6日間
　SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling<日本語>
　SEC560:Network Penetration Testing and Ethical Hacking
　FOR508:Advanced Incident Response, Threat Hunting and Digital Forensics

◆開催日：2020年11月30日(月)～12月4日(金)、12月7日～11日(金)　半日×10日間
　FOR578:Cyber Threat Intelligence

◆トレーニング費用
　FOR578以外のコース　810,000円(税抜)
　FOR578　　　　　　　760,000円(税抜)
　
◆お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/sans_tokyo_dec_2020
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　２┃０┃２┃１┃年┃１┃月┃開┃催┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛
Ｓ┃Ａ┃Ｎ┃Ｓ┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃オ┃ン┃ラ┃イ┃ン┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
間┃も┃な┃く┃お┃申┃込┃み┃を┃開┃始┃し┃ま┃す┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo January 2021 Live Online】　★日英同時通訳付き★
　
◆開催日：2021年1月18日(月)～2021年1月23日(土)　終日×6日間
　SEC540:Cloud Security and DevOps Automation（5日間）
　FOR500:Windows Forensic Analysis
　FOR572:Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
　ICS410:ICS/SCADA Security Essentials　

◆トレーニング費用
　SEC540　　　　　760,000円（税抜）
　FOR500、FOR572　810,000円（税抜）
　ICS410　　　　　820,000円（税抜）
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ ミシシッピ州の学区、ランサムウェア攻撃後のファイル回復を民間企業に委託
(2020.10.19)
ミシシッピ州のヤズー郡学区は、暗号化されたファイルを取り戻すため民間企業に
依頼、委託料の30万ドルを支払った。同学区がランサムウェア攻撃に気づいたのは
10月12日(月)。ITシステムをオフラインにし、ファイルの復旧支援をサイバーセキ
ュリティ会社に依頼することとなった。
- https://www.infosecurity-magazine.com/news/cyberattack-on-mississippi-schools/

【編集者メモ】(Pescatore)
30万ドルは、セキュリティの向上とデータ復旧の両方に使われると見られる。つま
り、家の火事を消すために放火犯にお金を支払うのではなく、家の中に煙探知機や
スプリンクラーなど、必要な安全装置を設置し、既存の防災基準を再構築するため
に請負業者にお金を支払うことと同じだ。
【編集者メモ】(Neely)
企業にお金を支払ってファイルを復元するだけでなく、再発防止のための予防策を
導入するのは良いアプローチである。攻撃される前に防御策を実装する方が、費用
対効果は高い。しかし、攻撃がまだ起きてもいない時に、経営陣から費用とリソー
スのサポートを得るのは難しい。今回のヤズー学区の件は、そんな苦労を抱える人
たちの立場を強化するためのケーススタディとして活用できるのではないか。
─────────────

◆ マイクロソフト、RCEの欠陥に関するアップデートをリリース(2020.10.15 & 16)
Microsoftは、Windows Codecs LibraryとVisual Studio Codeにおけるリモートコ
ード実行の脆弱性に対処する修正プログラムを公開。修正版は、Microsoftが毎月
定期的に行っているセキュリティアップデートの数日後にリリースされた。米国サ
イバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ユーザー
や管理者に対して勧告を確認すること、また必要に応じてパッチを適用するよう促
している。
- https://www.zdnet.com/article/microsoft-releases-emergency-security-updates-for-windows-and-visual-studio/
- https://threatpost.com/microsoft-rce-flaws-windows-update/160244/
- https://www.securityweek.com/cisa-warns-remote-code-execution-bugs-visual-studio-windows-codecs-library
- https://www.bleepingcomputer.com/news/security/microsoft-issues-out-of-band-windows-security-updates-for-rce-bugs/
- https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/microsoft-releases-security-updates-address-remote-code-execution
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

【編集者メモ】(Ullrich)
特に気になるのがVisual Code Studioの欠陥だ。このエディタは開発者に人気があ
り、前にも標的にされたことがある。Visual Code Studio で json ファイルを開
くことはある程度一般的で、開発者をうまく騙して悪意のあるファイルを開かせる
ことは可能だろう。この脆弱性は、より多くの標的型攻撃の有効なベクトルとなり
うる。
─────────────

◆ SharePoint の脆弱性に関する警告 (2020.10.16 & 19)
英国の国家サイバーセキュリティセンター（NCSC）は、Microsoft SharePointの脆
弱性について警告を発した。概念実証済の悪用コードが公開されている。米サイバ
ーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、NCSCの警告に注
意を向け、脆弱性のあるシステムにパッチをあてるようユーザーに促している。
- https://healthitsecurity.com/news/proof-of-concept-prompts-alert-on-sharepoint-remote-execution-flaw
- https://www.infosecurity-magazine.com/news/government-spooks-urge-firms-patch/
- https://www.ncsc.gov.uk/news/sharepoint-vulnerability-uk-organisations

【編集者メモ】(Ullrich)
前回の火曜日のパッチアップデートの際、この脆弱性には注意すべきだと指摘した
。この脆弱性は、何度も報道されたICMPv6 の問題よりも深刻だ。いくつかの州が
過去に SharePoint サイトを介して早期選挙結果を共有していたという事例証拠が
あることにも注意が必要だ(州が報告した早期選挙結果を「おかしい」と思わせ、
不確実性と恐怖心を植え付けるには、うってつけの方法だといえる)。この脆弱性
は、悪の可能性を秘めている。
【編集者メモ】(Neely)
10 月のアップデートを、オンプレミスの SharePoint (ホスト型/M365 と比較) サ
ーバーに適用すること。Microsoftはこのアップデートを「クリティカル」として
おり、脆弱性に対する一番の緩和策であると言える。次に、IOCとラテラルムーブ
メント（横方向移動）の監視を行う必要がある。
【編集者メモ】(Murray)
概念実証コードは、攻撃者のコストを削減する手法である。コードの作者は非常に
賢く、攻撃者が特別な知識を持つ必要がない上、攻撃者の作業量を削減することが
できる。特に脆弱性が曖昧であったり、悪用が困難であったりする場合など、脆弱
性の存在を攻撃によって証明しない限り気づかれないようなケースに当てはまる。
─────────────

◆ SonicWall、VPNに影響を与える重大な欠陥を修正 (2020.10.14 & 16)
SonicWallネットワークセキュリティアプライアンスのスタックバッファオーバー
フローの脆弱性が悪用され、任意のコードを実行したり、サービス拒否（DOS）状
態を引き起こしたりする可能性がある。先週末、「Shodanは脆弱性のあるSonicOS
ソフトウェアバージョンを実行している80万台以上のVPNデバイスを公表した。」
SonicWallは、この問題に対処するためのアップデートをリリースした。
- https://duo.com/decipher/sonicwall-fixes-critical-flaw-in-firewall-appliances
- https://threatpost.com/critical-sonicwall-vpn-bug/160108/
- https://www.zdnet.com/article/800000-sonicwall-vpns-vulnerable-to-new-remote-code-execution-bug/
- https://www.securityweek.com/critical-vulnerability-allows-hackers-disrupt-sonicwall-firewalls
- https://www.theregister.com/2020/10/16/sonicwall_firewall_vuln/
- https://www.bleepingcomputer.com/news/security/critical-sonicwall-vulnerability-affects-800k-firewalls-patch-now/
- https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/

【編集者メモ】(Ullrich)
また境界セキュリティデバイスの脆弱性が話題だ。この脆弱性は、類似のデバイス
の欠陥に比べると、悪用が難しそうに見えるが、すでに何者かがこの脆弱性の悪用
に取り組んでいることは間違いない。
【編集者メモ】(Neely)
今のところ、この脆弱性が悪用されている証拠はないが、依然としてリスクの高い
脆弱性であり、持続的なサービス拒否（DOS）を引き起こすために使用される可能
性もある。必要な更新の優先順位を決める際には、リモートで更新を試みる場合の
複雑さを考慮することも忘れないようにしてほしい。
【編集者メモ】(Honan)
パンデミック中にファイアウォールやその他多くのデバイスを更新する場合、リモ
ート作業となることが多いため、多くの IT チームにとって困難を極めることにな
るだろう。現在、多くのランサムウェア攻撃が脆弱なリモートアクセスポイントを
経由して開始されていることを考えると、変更管理プロセスを見直し、パンデミッ
ク中にITチームがどのように動作するかを明確にし、重要なパッチをリモートで適
用するためのツールとトレーニングを確実に実施することが不可欠だ。
【編集者メモ】(Murray)
エンド・ツー・エンドの暗号化は、境界線やオペレーティングシステム上ではなく
、アプリケーション上で完結するものを選ぶべき。どう呼ぶかはさておき、「ゼロ
・トラスト」は時代錯誤の古い考え方となってしまったかも知れない。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「フェイクニュース」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
世界中で発生するニュースも、今の私たちにとっては一瞬で共有される情報の一
つですが、このニュースに偽物があるとしたらどうでしょうか。このようなニュ
ースはフェイクニュースと呼ばれ、単なるいたずらの場合もあれば、何らかの意
図を持った組織・人物によるものであったりするため社会問題となっています。
今月は、そもそもフェイクニュースとは何なのかという点から、SNSなどで共有
する場合の注意点などを、初心者にもわかりやすく解説します。社内の意識啓発
資料としてご活用ください。

https://www.sans.org/sites/default/files/2020-10/OUCH%21%20October%202020%20-%20Fake%20News%20%28Jason%20Jordan%29_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 国家安全保障局（NSA）が勧告：中国が悪用する脆弱性に、今すぐパッチ適用を
(2020.10.20 & 21)
米国国家安全保障局（NSA）は、中国の国家が支援しているハッカーが最も頻繁に
悪用している25の脆弱性をリストアップしたサイバーセキュリティ勧告を発表した
。ハッカーが狙っているのは、自国にとって有益な機密性の高い知的財産、経済、
政治、軍事情報を保持するネットワークである。25の欠陥はすべて既知で、修正プ
ログラムが用意されている。
- https://threatpost.com/bug-nsa-china-backed-cyberattacks/160421/
- https://www.zdnet.com/article/nsa-publishes-list-of-top-25-vulnerabilities-currently-targeted-by-chinese-hackers/
- https://duo.com/decipher/enterprises-should-fix-these-25-flaws
- https://www.scmagazine.com/home/security-news/vulnerabilities/nsa-releases-list-of-25-vulnerabilities-targeted-by-china/
- https://media.defense.gov/2020/Oct/20/2002519884/-1/-1/0/CSA_CHINESE_EXPLOIT_VULNERABILITIES_UOO179811.PDF

【編集者メモ】(Ullrich)
本レポートから、国家ぐるみの攻撃者も、誰もが悪用しているのと同じ欠陥を狙っ
てネットワークを危険にさらしていることがわかる。このリストには、境界セキュ
リティデバイスにおける欠陥が主に挙げられている。これらの欠陥は、ランサムウ
ェア集団、暗号コイン採掘者、そして企業ネットワークの侵害に興味を持つすべて
の人に悪用されている。まずは、脆弱性スキャンを見直すことを勧める。もしこれ
らの25の欠陥が見つかった場合は、たとえ自分が中国の国家ぐるみの攻撃者の標的
になっていなくても、すでに悪用されていると考えた方が良いかもしれない。
【編集者メモ】(Neely)
リストには2015年と2018年の脆弱性が含まれていることは興味深いが、悪用された
特定の脆弱性に目を向けるのではなく、一般的なサイバー衛生の推奨事項に目を向
けよう。定期的にパッチを当てて製品のセキュリティを検証し、古い製品や時代遅
れの製品を交換すること。また内部で信頼・隔離された管理ネットワークを使用し
て、境界で非推奨のサービスをブロックし、ログの記録、アラート、監視を可能に
すること。更新前のインターバル中にシステムに危険の兆候がないかどうかを確認
し、発見された問題に対処することを忘れてはならない。
【編集者メモ】(Honan)
優れたリソースだ。
─────────────

◆ Oracleの四半期パッチ・アップデートには、400を超える脆弱性の修正が含まれ
る（2020.10.20 & 21)
Oracleは、2020年10月に予定されている四半期ごとのCritical Patch Update（CPU
）を公開した。CPUには、複数の製品ラインに影響を及ぼす400以上のセキュリティ
上の欠陥の修正が含まれている。脆弱性の半数以上は、認証なしでリモートから悪
用可能なものとなっている。
- https://threatpost.com/oracle-october-patch-update/160407/
- https://www.theregister.com/2020/10/21/oracle_october_patches/
- https://www.darkreading.com/application-security/oracle-releases-another-mammoth-security-patch-update/d/d-id/1339240
- https://www.oracle.com/security-alerts/cpuoct2020.html

【編集者メモ】(Pescatore)
今回のNewsBitesには、重要度の高いパッチが満載だ。Oracleのメガパッチは、サ
ーバーやアプライアンス側の多くのパッチの中の一つである。今ITオペレーション
グループは在宅勤務サポートに追われており、ExchangeやVPNサーバーなど活発に
悪用されている重要な脆弱性のパッチが適用されておらず、今まで以上に長期間放
置されてしまっている可能性がある。NSAの警告は、CIOや上層部の経営陣に対し、
変更の時間を十分にとる重要性を説得する際、役立つだろう。
【編集者メモ】(Neely)
更新は、27の製品に対して適用される。Oracleが実施する更新の間隔が長くなるこ
とで、ビジネス・アプリケーションやサービスへの更新プログラムの適用を、中断
を減らしながら、リグレッションテストを増やして行うことができる。Oracleが今
後も成長を続けることで、コモディティ製品へのアップデートがより頻繁に利用で
きるようになり、毎回リリースされるアップデートの数が減ることが期待される。
【編集者メモ】(Murray)
次の四半期には、さらに400件ほどの脆弱性が発生すると予想される。四半期ごと
のスケジュールはメンテナンス担当者にとってはより効率的だが、脆弱性の寿命が
長くなり、中には3ヶ月を超えるものも出てくる。400件ということは、既知の脆弱
性と未知の脆弱性の両方が大量に存在することを示唆している。
─────────────

◆ GoogleがChromeのゼロデイ脆弱性を修正(2020.10.20 & 21)
Googleは、活発に悪用されていたChromeの脆弱性を修正した。ヒープバッファオー
バーフローのメモリ破損の欠陥は、FreeTypeフォントレンダリングエンジンに影響
を与える。この問題は Chrome 86.0.4240.111 およびFreeType 2.10.4 で修正され
ている。
- https://duo.com/decipher/google-patches-bug-used-in-active-attacks-against-chrome
- https://threatpost.com/google-patches-zero-day-browser/160393/
- https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/

【編集者メモ】(Neely)
脆弱性が積極的に悪用されており、緊急性が高まっている。すでにMac、Windows、
Linuxの各システムにこのアップデートが適用されているはずだ。また、ChromeOS
および Android プラットフォーム (それぞれ 86.0.4240.112 および 86.0.4240.114
) 向けの更新プログラムもリリースされたが、これらのシステムは今後数日の間に
通常の更新プロセスを経て配信される予定である。ブラウザに埋め込まれていない
FreeType を使用している場合は、同様にアップデートをプッシュするように。
【編集者メモ】(Murray)
ブラウザは機能が豊富で拡張が容易であるため、実は穴だらけであることで知られ
ている。ブラウザは定期的にメンテナンスされ、業務の遂行に不可欠なミッション
クリティカルなアプリケーションから分離されるべきだ。
─────────────

◆ Cisco、ネットワークセキュリティ製品の修正版をリリース (2020.10.21)
Ciscoは、Cisco Adaptive Security Appliance (ASA)、Firepower Threat Defense
(FTD)、Firepower Management Center (FMC)に含まれる重要度の高い欠陥に対処
するため、17の勧告を公開した。脆弱性のほとんどは、認証なしのリモートで悪用
され、サービス拒否状態を引き起こす可能性がある。
- https://threatpost.com/cisco-dos-flaws-network-security-software/160414/
- https://www.securityweek.com/cisco-patches-17-high-severity-vulnerabilities-security-appliances
- https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-74302

【編集者メモ】(Neely)
今のところ積極的な悪用の証拠はないが、DOSの条件が成立した場合、防御するに
はデバイスの再起動が必要なため、アップデートの方がより確実な選択肢だと言え
る。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼【緊急開催】多要素認証の正しい取り入れ方
　　～ガイドラインと実装例から見る、
　　　BtoCサービスにおける認証強度のあるべき姿～

＜10月28日（水）＞
　https://www.nri-secure.co.jp/seminar/2020/uni-id1028?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

＜11月6日（金）＞
　https://www.nri-secure.co.jp/seminar/2020/uni-id1106?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

▼Secure SketCH

＜11月5日（木）＞
経営層が納得するセキュリティ報告
　https://www.nri-secure.co.jp/seminar/2020/sketch1105?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

＜11月19日（木）＞
省力的かつ効率的なセキュリティ実行サイクルの回し方
　https://www.nri-secure.co.jp/seminar/2020/sketch1119?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

▼Withコロナで求められるIT環境をIDaaS×SASEで実現
　～境界防御モデルからゼロトラストモデルへ～

＜11月24日（火）＞
　https://www.nri-secure.co.jp/seminar/2020/idaas_sase1124?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

▼テレワーク時代に求められるBoxのファイルセキュリティ対策とは
　～Governance/Shieldでファイル共有ミス・不正持出しを防ぐ最新手法～

＜11月17日（火）＞
　https://www.nri-secure.co.jp/seminar/2020/box1117?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の有料研修 ※一部オンライン　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇12月、2021年1月、2月、3月
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇11月
　SANS Tokyo November 2020
　https://www.sans-japan.jp/sans_tokyo_nov_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇12月
　SANS Tokyo December 2020
　https://www.sans-japan.jp/sans_tokyo_dec_2020?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇2021年2月
　セキュアEggs
　（基礎／インシデント対応／フォレンジック／Webアプリセキュリティ）
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○クラウドサービスを安全に利用するためには
　～CASBをいかに活用するか～
　https://www.secure-sketch.com/ebook-download/casb-guide_202009?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇テレワークのセキュリティ対策パンフレット
　https://www.secure-sketch.com/ebook-download/telework-202008?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇大規模ユーザを管理する「顧客ID統合プロジェクト」成功の秘訣
　～失敗に学ぶ3つのポイント～
　https://www.secure-sketch.com/ebook-download/points-for-integrating-customer-id?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

＞＞ダウンロード資料一覧
　https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム（Secure SketCH ブログ）　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ゼロトラスト入門｜テレワーク環境から始める新時代のセキュリティ対策
　https://www.secure-sketch.com/blog/benefits-of-introducing-a-zero-trust-model-in-telework?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇CSPMとは？クラウドの設定ミス防止ソリューション｜
　選定で失敗しない３つのポイント
　https://www.secure-sketch.com/blog/preventing-cloud-configuration-mistakes-with-cspm?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇【提言】ゼロトラスト実現の鍵は「段階的な移行」｜必要なのは中間地点のアーキテクチャ
　https://www.secure-sketch.com/blog/the-key-to-realizing-the-zero-trust-model?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

＞＞ブログ記事一覧
　https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、米国のガイドライン「CIS Benchmarks」 を用いた
　情報システムの堅牢化サービスを提供開始
　～システムを構成する製品・サービスごとに、設計から運用段階までの安全性を評価～　https://www.nri-secure.co.jp/news/2020/1007?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

〇NRIセキュアのセキュリティ対策実行支援プラットフォーム「Secure SketCH」が、
　米国の2ガイドラインに対応
　～米国防総省CMMCとNIST SP800-171への準拠状況が把握可能に～
　https://www.nri-secure.co.jp/news/2020/0924?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

○NRIセキュア、ファイル転送／共有サービス 「クリプト便」がシェアNo.1を獲得
　https://www.nri-secure.co.jp/news/2020/0925?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20201028sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。