ニュースレター登録
資料ダウンロード
お問い合わせ

Newsletter SANS NewsBites Vol.17 No.04 2022.01.26 発行

更新日 2022. 01. 26

──────────────────────────
■■SANS NewsBites Vol.17 No.04
(原版: 2022年 1月18日、21日)
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【日本語コース5万円OFF!】2022年3月開催 オンライントレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_secure_japan_2022

【日本語コース応援キャンペーン価格のご案内】
 本イベントでは、日本語コース(SEC401,SEC504)でキャンペーン価格を設定して
 おります。各トレーニング開始日の24暦日前までにお申込みをいただいた場合、
 790,000円(税込 869,000円)でのご提供となります。
 +++キャンペーン価格お申込期限+++
SEC401:2022年2月4日(金)、SEC504:2022年2月11日(金)

〇開催日:2022年2月28日(月)~3月5日(土) 6日間
 SEC401 Security Essentials - Network, Endpoint, and Cloud <日本語コース>
 SEC503 Intrusion Detection In-Depth
 SEC542 Web App Penetration Testing and Ethical Hacking
 SEC588 Cloud Penetration Testing
 FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
 FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇開催日:2022年3月7日(月)~3月12日(土) 6日間
 SEC504 Hacker Tools, Techniques, and Incident Handling <日本語コース>
 SEC460 Enterprise and Cloud | Threat and Vulnerability Assessment
 SEC560 Network Penetration Testing and Ethical Hacking
 FOR585 Smartphone Forensic Analysis In-Depth

〇開催日:2022年3月14日(月)~3月19日(土) 6日間
 SEC488 Cloud Security Essentials
 FOR578 Cyber Threat Intelligence
 ※FOR578は、SANS Secure Singapore 2022との共同開催となります

〇トレーニング価格
 日本語コース(SEC401,SEC504)
  日本語コース応援キャンペーン価格 790,000円(税込 869,000円)
  通常価格              840,000円(税込 924,000円)
 日本語コース(SEC401,SEC504)を除く、全てのコース
  通常価格             880,000円(税込 968,000円)

〇お申込みについて
 各コースページのお申込みボタンより、お1人様ずつお願いいたします
 https://www.sans-japan.jp/events/sans_secure_japan_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆米ホワイトハウス、コロニアルパイプライン事件関与疑惑のREvil一味を逮捕
(2022.1.14)
ランサムウェアグループ「REvil」に関連してロシアで逮捕された人物の1人が、20
21年5月にColonial Pipeline社に対して行われたランサムウェア攻撃に関与してい
ると考えられている。この攻撃により、米国の一部で一時的に燃料不足が発生した

- https://www.washingtonpost.com/world/2022/01/14/russia-hacker-revil/
- https://www.zdnet.com/article/white-house-says-person-behind-colonial-pipeline-ransomware-attack-nabbed-during-russian-raid/
- https://www.politico.com/news/2022/01/14/russia-colonial-pipeline-arrest-527166

【編集者メモ】(Pescatore)
検察が少しでも影響力を示すために国際的な協力が不可欠であるが、いまだに政治
が邪魔をしている。2001年くらいから、サイバーセキュリティの国際法について有
意義な進展があったとは思えない。この分野では国連政府専門家会合が数年おきに
開催され、報告書を出していたが、それ以降は何も出ていないのではないだろうか
。国際協力のパンデミック精神は、サイバーセキュリティにも引き継がれるのかも
しれない。
【編集者メモ】(Neely)
コロニアルパイプライン攻撃の背後にいる人物を見つけるために、多くの政治的圧
力があった。ロシアからは、ウクライナでの彼らの活動にアメリカが関知しないこ
とが協力の条件であり、さらにロシアは自国内で活発に活動しているランサムウェ
アグループがいることを認めたくないという圧力もかかっていた。このため国際協
力はややこしく、簡単なことではない。オペレーターが逆恨みされることなく、よ
り余裕を持って活動できるようになるため、この問題を越えていくことに期待した
い。
─────────────

◆米ホワイトハウス、オープンソースソフトウェアセキュリティサミット開催
(2022.1.14)
1月13日(木)、米ホワイトハウスは、オープンソースソフトウェアのセキュリテ
ィとサポートを向上させる方法について議論する「オープンソースソフトウェアセ
キュリティサミット」を開催した。会議には、政府関係者のほか、技術系、インフ
ラ系のオープンソースソフトウェア関係者が参加した。
- https://www.bleepingcomputer.com/news/security/white-house-reminds-tech-giants-open-source-is-a-national-security-issue/
- https://www.darkreading.com/application-security/software-firms-open-source-orgs-meet-with-white-house-on-security
- https://duo.com/decipher/tech-leaders-federal-officials-seek-a-way-forward-for-open-source-security
- https://portswigger.net/daily-swig/white-house-tackles-unique-security-challenges-faced-by-open-source-ecosystem-during-dedicated-virtual-summit

【編集者メモ】(Ullrich)
2014年に発生したHeartbleedという脆弱性をきっかけに、さまざまな取り組みが行
われるようになった。例えば、Linux Foundationは支援を必要としている重要なコ
ンポーネントを特定した。Google、Apple、Facebookどの企業は、すでにオープン
ソースに貢献している。しかし彼らは、サポートを失った古い既存のコンポーネン
トを見逃し、いまだに依存していることがよくある。 Heartbleed発生後、Linux
Foundationは、維持管理者がいなくなった、あるいは支援(セキュリティ評価など
の)を必要としている重要なオープンソースコンポーネントを特定するプロジェク
トを始動した。
【編集者メモ】(Pescatore)
進捗状況を見るのに最適なトピックだが、会議の成果は「今後数週間、これらの取
り組みを支援するための議論を継続する」という合意のみであった。もし民間企業
が自己規制する能力があることを示したいのであれば、参加ベンダーが今後数週間
のうちに、リポジトリとコードの基本的なセキュリティを改善するための実際の変
更点を、2022年のマイルストーンとともに大々的に発表する絶好の機会である。
【編集者メモ】(Williams)
政府は、オープンソースソフトウェアのセキュリティやサポートを向上させるため
に、民間企業を必要としない。もし政権がオープンソースソフトウェアのセキュリ
ティを国家安全保障に対する正当な脅威と見なすなら、業界に求めているメンテナ
ンスに資金を提供することも可能でであろう。だが現実はそう単純ではない。どの
オープンソースプロジェクトをサポートするのか(もちろんこれは推奨とみなされ
るだろう)など、プログラムの管理も含めて何点か問題がある。残念ながらこのよ
うな問題は、オープンソースソフトウェアのサポートを民間企業に押し付けても解
消されないだろう。
【編集者メモ】(Neely)
オープンソースでは、コミュニティからの積極的な貢献が期待されている。オープ
ンソースを改良、拡張、修正した場合は、その変更点を連絡しているはずである。
解決できない問題を発見した場合は、それも報告してほしい。使用するオープンソ
ースのライセンスに目を通し、その他の期待に応えているかどうかを確認してもら
いたい。禁止されているユースケースや、見逃しがちな期待値を見たことがあるか
らである。
【編集者メモ】(Murray)
オープンソースソフトウェアの品質や保護は、購入したコードより悪いとは限らな
いが、明らかに「多くの目」がその直感的な約束を果たしていない。コードのリス
クは、出所による大きな差はないようだ。
【編集者メモ】(Orchilles)
私は問題にお金を投じるのは好きではないが、数百万ドル、数十億ドル規模の企業
によるオープンソースソフトウェアの活用となれば話は別だろう。オープンソース
ソフトウェアのメンテナンスは、報われない面倒な仕事である。log4jはその潜在
的な影響を示した。
─────────────

◆Microsoft社、問題のあるアップデートの帯域外修正プログラムを公開
(2022.1.17)
Microsoft社は、先週リリースしたWindows Serverに対する更新プログラムの問題
を修正する帯域外の更新プログラムを発行した。初期のアップデートでは、Windows
ドメインコントローラの自発的な再起動、Hyper-Vの起動阻止、Windows Resilient
File System (ReFS) ボリュームへのアクセス不能などが発生していた。
- https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fixes-for-windows-server-vpn-bugs/

【編集者メモ】(Ullrich)
この帯域外の修正は、組織が1月の累積アップデートを正しく適用するために緊急
で必要なものだった。Microsoftが、考えられるすべてのDCコンフィギュレーショ
ンをテストするのは容易ではないことは承知している。しかし、確実で手間のかか
らないソフトウェアアップデートは、ソフトウェアを購入する企業が求めているこ
との一つでもある。
【編集者メモ】(Neely)
先週、いくつかのサーバーアップデートを一時停止及び(または)ロールバックし
たので、これらの修正アップデートをテストしてデプロイメントする予定である。
アップデートの修正を信頼しつつ、全社にデプロイする前に検証してもらいたい。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「メッセージ攻撃の検出と停止」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スミッシングという攻撃手法をご存じでしょうか。SMS とフィッシングを組み合
わせた攻撃手法ですが、メールに比べて情報量が少ないことから、違和感を感じ
たり疑問に思うこともなくだまされてしまうため、注意が必要な攻撃のひとつと
なっています。今月は、このメッセージ攻撃の典型的な手口をご紹介して気づく
ヒントを持っていただくとともに、常識が最も有効な解決手段だと感じていただ
くためのTipsを初心者にもわかりやすく解説します。社内の意識啓発資料として
ご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltd3fc601b79be401f/61d2497c9793463f93f43ae1/ouch!_january_2022_Japanese_spot_and_stop_messaging_attacks.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆シンガポール、SMSフィッシング活動に対するインターネットバンキングのセキ
ュリティ対策を推進 (2022.1.19 & 20)
オーバーシー・チャイニーズ銀行を標的としたSMSフィッシング活動を受け、シン
ガポール通貨監督庁(MAS)とシンガポール銀行協会(ABS)は、金融機関にセキュ
リティ対策の実施を求めている。これらの組織は、顧客に送信するテキストメッセ
ージや電子メールからクリック可能なリンクを削除し、デフォルトの資金移動の閾
値を100シンガポールドル(74米ドル)に設定し、モバイルソフトウェアトークン
の有効化に12時間の遅延を課すことを要求している。別件では、フィリピンのユニ
オンバンクも、顧客を詐欺から守るために、より強力なセキュリティ対策を採用し
ている。同行は今後、販促資料にクリック可能なウェブサイトリンクを使用しない
としている。
- https://www.mas.gov.sg/news/media-releases/2022/mas-and-abs-announce-measures-to-bolster-the-security-of-digital-banking
- https://www.theregister.com/2022/01/20/singapores_monetary_authority_requires_banks/
- https://www.zdnet.com/article/singapore-pushed-to-introduce-security-measures-amidst-online-banking-scams/
- https://www.scmagazine.com/news/cybercrime/philippines-bank-will-no-longer-use-clickable-website-links-on-promo-materials

【編集者メモ】(Williams)
これらのセキュリティ対策は、機密性、完全性、可用性の交点にあたるという意味
で興味深い。ここでは、一部の機能の利用を制限することで、アカウントの整合性
を守っている。テキストや電子メールでのクリック可能なリンク問題について、残
念ながらすでに進んでしまっているが、一部のサイバー犯罪は間違いなく阻止でき
る。クリックできるリンクはすべて攻撃対象であるという考えを人々が慣れるには
時間がかかるだろう。とはいえ、これはセキュリティ意識を高めるための金鉱のよ
うなものである。どのリンクをクリックしても安全なのかについてユーザーを訓練
する代わりに(これは大失敗だったことは誰もが認めるのではないだろうか)、エ
ンドユーザーに対して、参加機関からのリンクは〝すべて″攻撃対象であると教育
することができるようになった。このヒューリスティックは、ユーザーにとってよ
り確実で一貫した適用がしやすくなることは間違いないだろう。
【編集者メモ】(Neely)
これらは優れたセキュリティ対策である一方、使い勝手に影響を与え、リスクに応
じた判断を各金融機関から奪ってしまう。金融機関にとっての課題は、現代の銀行
利用者が予想される取引量をサポートするために、SMS以外の認証検証、リスク閾
値を超える取引に対する帯域外の検証など、より安全な代替手段を利用するよう利
用者を訓練することである。
【編集者メモ】(Orchilles)
フィリピンの銀行とともにMAS/ABSが行った措置は、SMSやEメールでクリック可能
なリンクを使用しないようにするというもので、興味深い戦略である。ユーザーの
観点からは不便であるが、URLをコピーして貼り付けるというひと手間な手順があ
ることで、ユーザーがこれから何をしようとしているのか考える時間を与えること
ができるかもしれない。もちろん、習慣化させなければ意味のない話ではある。
【編集者メモ】(Pescatore)
最近の電子メールクライアント(ブラウザを含む)やセキュアWebゲートウェイは
、電子メールに埋め込まれたリンクをクリックする際に、ユーザーにある程度の保
護機能を提供している。SMSメッセージはそのような保護を受けないので、「スミ
ッシング」が増えている。電話番号の偽装がなくなるまで、あるいはそのような保
護が可能になるまで、責任ある機関がテキストメッセージにクリック可能なリンク
を含めないことを明確にするのは非常に良いことである。
─────────────

◆Zoom、ゼロクリック攻撃に繋がる脆弱性を修正 (2022.1.18 & 20)
Google社のProject Zeroの研究者は、ZoomクライアントとMultimedia Router Services
に影響を与える2つのゼロクリック攻撃に繋がる脆弱性を発見した。この欠陥は202
1年10月にZoom社に開示され、11月24日までに対処されている。
- https://googleprojectzero.blogspot.com/2022/01/zooming-in-on-zero-click-exploits.html
- https://www.wired.com/story/zoom-zero-click-vulnerabilities/
- https://thehackernews.com/2022/01/google-details-two-zero-day-bugs.html

【編集者メモ】(Wright)
この記事は、Zoomのゼロクリック攻撃と、クライアントからクライアントへの攻撃
の機会について説明した素晴らしい記事である。Zoomは、これらの脆弱性を修正し
、今後のサーバーへの攻撃に対する防御を大幅に改善した。 この記事は、Google
Project ZeroのNatalie Silvanovich氏によるものであり、Zoomに前向きなセキュ
リティ上の変更を行うよう促してくれたことに感謝している。
【編集者メモ】(Pescatore)
取締役やCEOに8ページにわたるGoogle Project Zeroのブログ記事を読むよう求め
ることはお勧めしないが、一般的に使われているサービス(Zoom)の複雑さと、ツ
ールと時間を持った熟練した攻撃者(またはペンテスター/研究者)がいかにして
弱点を突き続け、発見できるかを示す素晴らしい例だと言える。取締役会で説明す
るにあたり、私が思いついた最も近い例えが、鹿が私の造園を食べ漁ることである
。彼らは空腹で狡猾であり、そして時間がたっぷりある。もし私が定期的に監視し
て脆弱性を軽減しなければ、遅かれ早かれ鹿は侵入して大混乱を引き起こすだろう
。このソフトウェアはハッカーに強いとか、鹿はその種の低木を食べないとか言わ
れても、信じてはいけない。
【編集者メモ】(Neely)
更新されたデスクトップクライアントをユーザーに配信しているか確認してほしい
。Zoomショップでない場合は、アプリがインストールされているエンドポイントも
更新されているかを確認してもらいたい。アプリを削除する方法としてはそそられ
るが、その影響を理解し、ビジネスに及ぼす影響を軽減するため例外処理をする必
要がある。Zoomプロンプトの更新を無視していた場合は、調度、インストールおよ
び再起動を行なう絶好の機会だろう。
【編集者メモ】(Orchilles)
Zoomのセキュリティやそのチームは、脆弱性や脅威への対応プロセスがパンデミッ
ク発生当初から比べるとは大きく変化している。
─────────────

◆病院内のIoTデバイスの半数に重大な脆弱性が存在すると報告 (2022.1.19 & 20)
Cynerio社のレポートによると、病院環境でインターネット接続をした医療機器な
どのIoTデバイスの50%以上に重大なセキュリティ上の問題があることが判明した
という。また、病院のIoTフットプリントの38%を輸液ポンプが占め、その73%に患
者の安全を脅かす、あるいはデータを漏洩する可能性のある脆弱性があることを指
摘している。また、多くの部署でWindows10より古いOSを搭載した端末が稼働して
いる。
- https://www.zdnet.com/article/more-than-half-of-medical-devices-have-critical-vulnerabilities/
- https://www.scmagazine.com/analysis/asset-management/iv-pumps-riskiest-healthcare-iot-while-50-of-medical-devices-hold-critical-flaws
- https://www.cynerio.com/blog/cynerio-research-finds-critical-medical-device-risks-continue-to-threaten-hospital-security-and-patient-safety

【編集者メモ】(Pescatore)
この結果を軽視するわけではないが、2020年にRapid7が行った調査では、Exchange
サーバーの80%が全体的に重要なパッチが不足しており、ヘルスケア分野では60%が
不足しているという結果が出ている。これらの脆弱性は、より簡単に悪用しやすい
。とはいえ、人命に関わることであれば、より高い水準が求められるだろう。最大
の問題は、FDAのガイダンスで何年も前からそうではないとされているにもかかわ
らず、パッチやOSのアップデートが制限されていると主張するベンダーから機器を
購入していることだろう。
【編集者メモ】(Williams)
医療に携わったことのある人ならわかると思うが、これは当たり前のことなのであ
る。そして「多くの医療機器にはパッチが適用されていない脆弱性があり、多くの
医療機関はレガシーOSを使用している」というのはずっと言われている事である。
テクノロジーと患者ケアの現実を考えると、患者ケア機器をオペレーショナルテク
ノロジー(OT)と考え、これらのネットワークを適切にセグメント化することが必
要だろう。これは、多くの公共事業や製造業と同様に、医療機関にも既知の脆弱性
を持つ機器が常にOTネットワーク上に存在することを理解した上で行う必要がある
。患者ケアネットワークにおけるゼロトラストネットワークは、リスクをある程度
軽減するのにも役立つ。私は、患者ケアネットワークにおける脆弱性管理をあきら
めることを推奨しているわけではないが、現実的な影響がないために、このような
話が書かれなくなる日が来ることを心待ちにしている。
【編集者メモ】(Ullrich)
このような衝撃的で畏怖されるような数字は、文脈なしではほとんど役に立たない
。クリック数は稼げるが、変化を促すことはできないからだ。医療ITは、複数のス
テークホルダーが関わる複雑な業務であり、リソースの優先順位をつける必要があ
る。ランサムウェア攻撃は、病院の運営や患者の安全に大きな影響を与えたが、IoT
デバイスに影響を与えたものの、IoTの脆弱性を利用したものではない。
【編集者メモ】(Neely)
OTと同様に、これらのシステムも適切なセグメント化と分離が必要である。パッチ
適用間隔が頻繁ではないため、回帰テストだけでなく、患者に影響を与えないよう
に注意深くスケジュールを組む必要がある。デバイスの接続方法に関係なく、適切
なセグメントに接続するネットワーク層の保護も考慮するべきだろう。これらの保
護機能は、未承認デバイスや不正デバイスの自動検疫にも使用できる。
【編集者メモ】(Medin)
悲しいことに、これは少しも驚くことではない。多くの医療機関と仕事をしてきた
中で、このようなシステムは触れられていないことを実感している。多くの場合、
これらのシステムの更新やセキュリティ(の不備)をチェックする人はいない。例
えアップデートが存在しても、ほとんどの組織ではアップデートを実行するための
サポートや、それを管理するスタッフ(これもサポート)がいない。理想を言えば
、このような状況(アップデートする能力がない)であるのなら、これらのシステ
ムを他のシステムからセグメント化することである。
【編集者メモ】(Murray)
大部分とは言わないまでも、これらの機器の多くはCynerioからは見えていないは
ずだ。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー(無料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇1月26日(水)
 自社セキュリティ対策をより効率的に評価・管理
 https://www.secure-sketch.com/seminar/groups-webinar-form-20220126?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇2月9日(水)
 自社セキュリティ対策をより効率的に評価・管理
 https://www.secure-sketch.com/seminar/groups-webinar-form-20220209?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇2月9日(水)、3月10日(木)
 特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
 ~失敗しない製品選定の3つのポイントと導入効果~
 https://www.nri-secure.co.jp/seminar/2022/ac_id0209?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇2月16日(水)
 内部統制/内部不正対策の第一歩はここから!
 シンプルなアクセス統制をカンタンに実現する「Access Check Essential」とは
 https://www.nri-secure.co.jp/seminar/2022/ac_essential0216?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画                    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【30分でわかる】セキュリティガイドライン 簡単解説!~初心者編~
 https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211124?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇セキュリティ業務改善ウェビナー
 https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211020?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇GROUPSプラン アップデートウェビナー
 https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211208?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

>>その他、過去開催されたウェビナー
 https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング(有料) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2022年2月
 SANS Secure Japan 2022
 https://www.sans-japan.jp/events/sans_secure_japan_2022utm_source=sans&utm_medium=mail&utm_campaign=20220106sans

〇2022年2月、3月 【キャンペーン料金!】
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇2022年3月
 セキュアEggs
 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(お役立ち資料ダウンロード)         <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック【New!】
 https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇PCI DSSに準拠したカード情報の受け渡し方法とは?
 https://www.nri-secure.co.jp/download/pcidss-filetransfer-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
 https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

>>ダウンロード資料一覧
 https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説/コラム(NRIセキュア ブログ)        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ資格一覧|
 セキュリティ資格の解説とその取得メリット・選択ポイント(上)(下)
 https://www.nri-secure.co.jp/blog/security-qualification-1?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans
 https://www.nri-secure.co.jp/blog/security-qualification-2?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

○決済セキュリティ基準の最新動向|PCI DSS バージョン4.0の新情報などを解説
 https://www.nri-secure.co.jp/blog/pci-ssc-global-community-forum?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

○システム開発を「高速」かつ「セキュア」にする方法
 https://www.nri-secure.co.jp/blog/fast-and-secure-system-development?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

>>ブログ記事一覧
 https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、サイバー・セキュリティ・コンサルティングの8分野でシェアNo.1を獲得
 https://www.nri-secure.co.jp/news/2022/0125?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

○特権IDの内部統制に不可欠な機能に特化した「Access Check Essential」を新発売
 https://www.nri-secure.co.jp/news/2022/0117?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

○マネージドセキュリティサービスの名称を「SecurePROtecht」に刷新
 ~マルチクラウド時代に求められる高度なセキュリティ運用・監視を実現~
 https://www.nri-secure.co.jp/news/2022/0112?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

>>ニュース一覧
 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
 業務に役立つ情報を月に3~4回お届けします。
 https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断! Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220126sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。