──────────────────────────
■■SANS NewsBites Vol.16 No.50
（原版: 2021年 12月14日、17日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【12/24までSEC504が5万円OFF】2022年1月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Tokyo January 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_tokyo_january_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC504）でキャンペーン価格を設定して
　おります。トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限　2021年12月24日（金）+++

【お知らせ】
　本イベントで開催を予定しておりましたSEC501/MGT512は開催中止となりました。

〇開催日：2022年1月17日（月）～1月22日（土）　6日間
　SEC504 Hacker Tools, Techniques, Exploits, and Incident Handling <日本語コース>
　FOR500 Windows Forensic Analysis
　ICS410 ICS/SCADA Security Essentials

〇トレーニング価格
　日本語コース応援キャンペーン価格
　※トレーニング開始日の24暦日前（12/24）までのお申込みが対象となります
　　SEC504 790,000円（税込 869,000円）
　通常価格
　　SEC504 840,000円（税込 924,000円）
　　FOR500　　880,000円（税込 968,000円）
　　ICS410　　930,000円（税込 1,023,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_tokyo_january_2022

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【お申込受付中です】2022年3月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_secure_japan_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC401,SEC504）でキャンペーン価格を設定して
　おります。各トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限+++
SEC401：2022年2月4日（金）、SEC504：2022年2月11日（金）

〇開催日：2022年2月28日（月）～3月5日（土）　6日間
　SEC401 Security Essentials - Network, Endpoint, and Cloud <日本語コース>
　SEC503 Intrusion Detection In-Depth
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇開催日：2022年3月7日（月）～3月12日（土）　6日間
　SEC504 Hacker Tools, Techniques, and Incident Handling <日本語コース>
　SEC460 Enterprise and Cloud | Threat and Vulnerability Assessment
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR585 Smartphone Forensic Analysis In-Depth

〇開催日：2022年3月14日（月）～3月19日（土）　6日間
　SEC488 Cloud Security Essentials
　FOR578 Cyber Threat Intelligence
　※FOR578は、SANS Secure Singapore 2022との共同開催となります

〇トレーニング価格
　日本語コース（SEC401,SEC504）
　　日本語コース応援キャンペーン価格　790,000円（税込 869,000円）
　　通常価格　　　　　　 　　　　　　 840,000円（税込 924,000円）

　日本語コース（SEC401,SEC504）を除く、全てのコース
　　通常価格　　　　　　　　　　　　　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_secure_japan_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆CISA、Log4Jを悪用される可能性がある既知の脆弱性カタログに追加
　(2021.12.13)
週末、Cybersecurity and Infrastructure Security Agency (CISA) のディレクタ
ー、Jen Easterly氏は、「我々はこの脆弱性を既知の悪用される可能性がある脆弱
性カタログに追加した。」と声明を出した。 連邦政府の文民機関、および連邦政
府以外のパートナーへのシグナルは、この脆弱性のパッチまたは修正を緊急に行う
ことを余儀なくされている。GitHubのリストには、影響を受ける数百のサービスが
含まれており、各サービスへセキュリティ勧告のリンクが掲載されている。
- https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability
- https://www.scmagazine.com/analysis/policy/cisa-adds-log4j-to-critical-vulnerabilities-list-warns-industry-to-follow-similar-guidelines
- https://arstechnica.com/information-technology/2021/12/the-critical-log4shell-zero-day-affects-a-whos-who-of-big-cloud-services/
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

【編集者メモ】(Ullrich)
CVE-2021-44228…log4shellと名付けられた脆弱性は、この週末、私たちをかなり
忙しくさせている。これは、この脆弱性から身を守るため膨大な努力のほんの始ま
りに過ぎない。現在、ほとんどの攻撃は、頻繁にログに記録されるフィールドに、
ごく単純にエクスプロイト文字列を「スプレー」することを試みている。時間の経
過とともに、攻撃者は特定のソフトウェア・パッケージを標的とした攻撃に特化す
るようになるだろう。VMware vCenterで多少見たことがある。感染したセキュリテ
ィツールは、攻撃者にとって見逃せない巨大なターゲットとなり得る。log4shell
の対処に関するメモは必ず保存してほしい。このような注目度の高い脆弱性が見つ
かると、人々は他のツールでも同様の問題を探し、また影響を受けたライブラリを
より深く調べるようになることが歴史的に示されている。JNDIはlog4j特有のもの
ではなく、よく知られた問題である。今もなお進化を続けるこの問題のもう一つの
「教訓」、それは安全な構成が重要であることだ。この脆弱性は、危険なJNDI機能
を無効にすることで軽減できる可能性があり、log4jはデフォルトでそれを無効に
して出荷を開始するらしい。しかし、現時点ではパッチ...パッチ...パッチ...を
。
【編集者メモ】(Neely)
Log4J 1.xを使用している場合、サポートが終了しているためLog4j 2に移行する必
要がある。Log4J 2.16 以降にアップデートするように。それでも、安全性を確保
するための対策が必要になる。log4jがインストールされている外部機器を列挙し
、SOCがそれらからのアラートをすべて監視していることを確認、そして攻撃対象
とアラートの量を減らすためにWAFを構成する。Javaで開発したアプリケーション
を他のテクノロジーに移行することを検討している場合…特にJavaの専門知識がな
い場合は、その計画を実行に移すことをお勧めする。
【編集者メモ】(Spitzner)
この脆弱性の特徴は、ユビキタスであること（システム、アプリケーション、デバ
イスがログを取得していれば脆弱である可能性がある）、そして攻撃対象が異色な
ことである。この攻撃では、特定のアプリケーションの特定のポートにリモートで
接続するのではなく、Webサーバーへの接続、電子メールのフィルタリングなど、
ログに記録するあらゆる入力を攻撃する。攻撃と防御の優れた概要については、SANS
と講師陣によるウェブキャストをご覧いただきたい。
https://www.youtube.com/watch?v=oC2PZB5D3Ys：log4j (Log4Shell)の脆弱性につ
いて知っておく必要があることは？
─────────────

◆Log4Shell Exploit、長期に渡って存在　(2021.12.13)
米国のCISA（Cybersecurity and Infrastructure Security Agency）は、Log4Shell
の脆弱性があるデバイスは数億台だと推定している。Rob Joyce氏は、「log4jの脆
弱性はNSAのGHIDRAをはじめ、ソフトウェアのフレームワークに広く搭載されてい
るため、悪用される恐れが大きいとしている。なぜSBOM（Software Bill of Material
）の概念が露出を理解する上で重要なのかを示す事例となる。Jake Williams氏は
、「もしあなたが今日、インターネットに面したサービスで#log4jのパッチを適用
しているなら、インシデントレスポンスも行う必要がある」と述べた。現実は、ほ
ぼ間違いなく誰かに先を越されているのである。パッチを充てても、既存の侵害を
取り除くことはできない。
- https://www.govinfosecurity.com/already-compromised-by-apache-log4j-check-before-you-patch-a-18116
- https://www.cyberscoop.com/log4j-cisa-easterly-most-serious/
- https://www.scmagazine.com/analysis/application-security/log4j-vulnerability-cleanup-expected-to-take-months-or-years
- https://www.wired.com/story/log4j-log4shell/
- https://twitter.com/MalwareJake/status/1470416041281007622?s=20
- https://twitter.com/NSA_CSDirector/status/1469305071116636167?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Etweet

【編集者メモ】(Neely)
Log4jが導入するのは、私たち全員が活用するJavaアプリケーションとサービスに
可視性とロギング機能を提供し、今では多くのパッケージや配布に含まれている。
自分自身を監視し、保護するために積極的な手段を講じるとともに、すでに危険に
さらされていないことを確認する必要があるだろう。アップデートが終わっても監
視を止めないでほしい。
【編集者メモ】(Honan)
この脆弱性をスキャンした結果、システムにパッチが適用されていることが判明し
た場合でも、そのパッチを適用したのが自分であることを確認することが重要であ
る。犯罪者は、侵害したシステムにパッチを適用し、他の者が同じことをしないよ
うにすることが知られている。
─────────────

◆Mozilla Global Privacy Control、全ユーザーへ提供予定 (2021.12.10)
Mozillaがグローバル・プライバシー・コントロール（GPC）を全ユーザーに公開し
、この秋口にはブラウザの設定が限定的に展開された。GPCは、顧客の個人情報を
共有しないよう各ウェブサイトに通知した。欧州連合の一般データ保護規則（GDPR
）ではGPCを義務付けており、米国ではコロラド州とカリフォルニア州の2州だけが
GPCの実施を認める法律を制定している。
- https://www.zdnet.com/article/mozilla-rolls-out-gpc-for-all-firefox-users-but-enforcement-limited-to-two-states/

【編集者メモ】(Pescatore)
多くの企業にとって、オンラインでのプライバシー保護に対する消費者の要求は、
規制の圧力よりも重要となってきている。消費者向けソフトウェア企業の多くのソ
フトウェアアーキテクトは、プライバシーへの対応をセキュリティチームや法務チ
ームが詰め込むのではなく、最優先の製品要件の1つとみなしている。ブラウザソ
フトのベンダーであるGoogleとMozillaは、消費者からのこうした要求の最初の接
点であり、両社はユーザーとそのデータ保護に関する水準を高めるために良い仕事
をしている。
【編集者メモ】(Neely)
これにより、ブラウザは遠端のウェブサイトにGPCオプトアウト信号を送ることが
できるが、そのウェブサイトは信号に応答するコードを実装していなければならず
、この法律が適用されない地域ではその可能性は低い。(例：カリフォルニア州、
コロラド州、EUでは不可)この制御は、ウェブサーバーが制御を実装していること
を前提としているため、GPC信号への対応が普及しても、それが本当に有効なプラ
イバシーコントロールになるかどうかはわからない。
─────────────

◆Apple社、複数のOSに対応するアップデートを公開 (2021.12.13)
Apple社は、macOS、iOS、watchOS、iPadOS、tvOSなど、複数のオペレーティングシ
ステムのアップデートを公開している。新しいiOSおよびiPadOSのアップデートは
42のCVEに対応し、Apple Music Voice Plan、Appプライバシーレポートおよび子供
がヌードを含む写真を受信または送信したときに保護者に通知することを目的とし
た新しい「コミュニケーションセーフティ」設定などの新機能を追加している。
- https://support.apple.com/en-us/HT201222

【編集者メモ】(Neely)
iOS、iPadOS、watchOS、tvOS、HomePodのアップデートでは、多数のRCE、情報開示
、特権エスカレーションの不具合が修正されている。連休前に強調しておきたいと
ころである。新しいiOSアプリのプライバシーレポート（設定の「プライバシー」
）は、どのアプリが写真、連絡先、位置情報などの機密項目にアクセスしているか
、またネットワークアクティビティを表示している。これを利用して、意図しない
アクセスがないことを確認し適宜許可を与える。通信の安全設定は、Screen Time
設定グループの下にあり、別のパスコードで制御できる。また、Screen Timeの設
定はデバイス間で共有することができる。このサービスは、デフォルトでは有効に
なっていない。
【編集者メモ】(Murray)
「コミュニケーションセーフティ」の仕組みは、良かれと思ってやったことだが、
意図しない結果を生む可能性も高い。
─────────────

◆SANS Holiday Hack Challenge (2021.12.15)
今年最も華やかなサイバーセキュリティチャレンジとバーチャルカンファレンス、
SANS Holiday Hack Challengeのプレイが正式に開始されました！

無料で楽しめる高品質で実践的なサイバーセキュリティの課題をクリアして、サン
タがホリデーシーズン全体を裏切りから救うのを手伝います。今年はサンタが城に
帰ってきましたが、おなじみの敵、ジャックフロストも悪ふざけをするために戻っ
てきました。隣には大きな新しい建物があり、KringleConに対抗する新しいカンフ
ァレンスの話も出ています。

年齢、技術レベルは問いません！より安全でセキュアな世界を実現するために、重
要なサイバーセキュリティのスキルを身につけるための気まぐれで素晴らしいチャ
レンジとKringleConの講演を用意しています。また新しいホリデーミュージックの
サウンドトラックもぜひチェックしてください。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「旅行に関するセキュリティのヒント」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
年末年始の休暇に合わせて遠出をする計画はおありでしょうか。実はモバイルの
事故で一番多いのは紛失だと言われています。旅行先で様々なモバイルデバイス
を持っていかれるかもしれませんし、ちょっとした業務連絡を現地ですることに
なるかもしれません。今月は、旅行をする際のセキュリティTipsを初心者にもわ
かりやすく解説します。社内の意識啓発資料としてご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt843e8c2d86179620/61a504df46713833c7539987/ouch!_december_2021_ja_top_cybersecurity_tips_for_vacations.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆CISA、連邦政府機関に対し来週金曜日までにLog4jの脆弱性緩和を指示
　(2021.12.15&16)
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）は、
拘束的運用指令（BOD）22-01に基づき、2021年12月24日までにLog4jの脆弱性（CVE
-2021-44228）など3つのセキュリティ問題を緩和することを決定した。悪用される
危険がある既知の脆弱性の重大なリスクを軽減する。
- https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
- https://www.zdnet.com/article/cisa-orders-federal-civilian-agencies-to-patch-log4j-vulnerability-by-december-24/
- https://www.theregister.com/2021/12/15/log4j_latest_cisa/

【編集者メモ】(Ullrich)
難しい課題だが、このような指令があれば、こういった問題に対処するためのリソ
ースが増えるかもしれない。単純な「スプレー」攻撃を試みるパケットは文字通り
何百万とあり、通常は成功しないが、特定のソフトウェア（vCenterが思い浮かぶ
）を標的とする攻撃であることに注意してほしい。誰もが行う広範なスキャンの洪
水は、標的型攻撃の煙幕になるかもしれない。
【編集者メモ】(Neely)
これは多段階のプロセスであり、Log4jを実行している人は考慮する価値があるだ
ろう。まずは検証方法（scanner、lookup）から、アプリケーションに脆弱性があ
るかどうかを判断する。どちらかに該当する場合は、Log4jの弱点に対処するため
に適用する必要のあるベンダーのパッチがあるかどうかを確認しよう。自家製アプ
リやパッチがないアプリは、Log4jのセキュリティ脆弱性ページにある回避策の適
用を。Log4jライブラリの置き換えだけで不安定にならないように注意してほしい
。
【編集者メモ】(Spitzner)
CISAが米国政府の環境セキュリティやインシデントへの対応に積極的に関与し、リ
ードしていく様子は興味深い。多くの観点でこれは良いことである。サイバー脅威
の主体、特に国家的主体がそのゲームをアップし続ける中、より集中的で協調的な
取り組みが必要だ。
【編集者メモ】(Orchilles)
ランサムウェアグループはこれらを活用し始めており、ホリデーシーズンを通して
悪化していくだろう。これらの脆弱性が悪用された場合に避けられない影響を回避
するため、組織は同様の計画を立てる必要がある。
─────────────

◆Log4J、もう一つのアップデート (2021.12.15)
12月14日（火）、ApacheはLog4Shellの脆弱性に対応した2.15.0をリリースしてか
らわずか数日でLogj4 2.16.0（CVE-2021-45046) をリリースした。CVEによると、
「Apache Log4j 2.15.0のCVE-2021-44228に対応するための修正は、特定のデフォ
ルトでない構成では不完全だった。」という。
- https://www.scmagazine.com/news/cybercrime/second-log4j-vulnerability-found-apache-releases-patch
- https://www.theregister.com/2021/12/14/apache_log4j_2_16_jndi_disabled/
- https://www.darkreading.com/application-security/original-fix-for-log4j-flaw-fails-to-fully-protect-against-dos-attacks-data-theft
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

【編集者メモ】(Ullrich)
脆弱性のあるシステムを発見しアップデートする際は、些細なことでもきちんとメ
モをとってほしい。月曜日のライブストリームで説明したように、このような脆弱
性は、研究者がこのライブラリ（または類似の機能を使用する他のライブラリ）の
関連する欠陥をより詳細に調べるきっかけとなることが多いからだ。
【編集者メモ】(Neely)
確かに、2.15をデプロイするためにがむしゃらに働き、2.16に置き換える必要があ
った。2.16では、デフォルトで全てのJNDIサポートを無効にし、メッセージのルッ
クアップ処理を完全に削除していることに注目してほしい。これは本当に素晴らし
いステップである。JNDIはセキュリティの問題をはらんでいるが、それを排除する
ことは私たちにとっては明白であろう。良いニュースは、あなたがすでにLog4jを
持っている場所を知っていることで、デプロイとテストを簡素化することである。
どのような更新/構成オプションがサポートされているかを知るために、タイミン
グと懸念をベンダーと検証するように。
【編集者メモ】(Orchilles)
log4jへの注目度が高まっており、今後数ヶ月の間に複数の脆弱性が発見されるこ
とが予想される。
─────────────

◆CISAとホワイトハウス、重要インフラへの警戒を呼びかけ (2021.12.16)
米国サイバーセキュリティおよびインフラセキュリティ局（CISA）とホワイトハウ
スは、重要インフラの所有者および運営者に対して、ネットワークをサイバー脅威
から保護するための対策を講じるよう促している。CISAの出版物もホワイトハウス
の声明も、提案された行動をリストアップしている。
- https://www.bleepingcomputer.com/news/security/cisa-warns-critical-infrastructure-to-stay-vigilant-for-ongoing-threats/
- https://www.zdnet.com/article/cisa-white-house-urge-organizations-to-get-ready-for-holiday-cyberattacks/
- https://www.cisa.gov/publication/preparing-and-mitigating-potential-cyber-threats
- https://www.whitehouse.gov/briefing-room/statements-releases/2021/12/16/protecting-against-malicious-cyber-activity-before-the-holidays/

【編集者メモ】(Neely)
何度も言うようだが、重要なインフラは依然として狙われている。業種に関係なく
、Shodanのようなツールでシステムやネットワークなどを探してみてほしい。3389
番ポートを発見したか？システム機の画像は？安全なアクセスゲートウェイ/VPNの
使用、信頼関係の見直し、すべての外部アクセスポイントのMFA、OT/IoTのセグメ
ント化、許可されたシステムとユーザーのみの接続を許可する、といった手順であ
る。もしヘルプやアドバイスが必要な場合は、近くのCISA事務所に連絡するように
。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年1月13日(水)、2月22日(水)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0113?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

〇DX時代のセキュリティ人材育成セミナー
　～アンケート結果から見る人材育成とスキルアップの最適解～
　https://www.nri-secure.co.jp/seminar/2022/human_resource_development0121?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇M365/Google Workspaceユーザー必見！
　mSOARによるメールセキュリティ業務の自動化効率化が人材不足を解決する
　https://www.nri-secure.co.jp/video/proofpoint/sbcr20210827?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

＞＞その他、過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年1月
　SANS Tokyo January 2022
　https://www.sans-japan.jp/events/sans_tokyo_january_2022?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

〇2022年2月
　SANS Secure Japan 2022
　https://www.sans-japan.jp/events/sans_secure_japan_2022utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

〇2022年2月、3月 【キャンペーン料金！】
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

〇2022年1月、3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇PCI DSSに準拠したカード情報の受け渡し方法とは？【New！】
　https://www.nri-secure.co.jp/download/pcidss-filetransfer-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

〇NRIセキュア ソリューションガイド 2021年度 3版
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○MITRE ATT&CKを活用した机上評価の３つのメリット｜フレームワークで防御の穴を可視化
　https://www.nri-secure.co.jp/blog/mitre-attck?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

○セキュリティ診断の実施基準｜脆弱性へ効果的・効率的に対応するための考え方
　https://www.nri-secure.co.jp/blog/security-diagnostic-criteria?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

○AI 原則とは？｜信頼できるAI のために世界各国が注目する基本理念
　https://www.nri-secure.co.jp/blog/ai-principle?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●m-FILTER MailAdviserにて、お得な年度末キャンペーン実施中
　https://www.nri-secure.co.jp/service/solution/mailadviser?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

○NRIセキュア、特権ID管理ソリューション「SecureCube Access Check」の
　新バージョン（5.5.0）を発売
　～「マスタ管理支援ツール」「申請テンプレート機能」を追加～
　https://www.nri-secure.co.jp/news/2021/1124?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

○NRIセキュア、グループ会社・委託先のセキュリティ対策状況を評価する
　「Secure SketCH」GROUPSプランを大幅刷新
　～主要ガイドラインに沿った設問テンプレートを標準で提供～
　https://www.nri-secure.co.jp/news/2021/1118?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20211222sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。