──────────────────────────
■■SANS NewsBites Vol.17 No.05
（原版: 2022年 1月25日、28日）
──────────────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃【SEC401キャンペーン価格 2/4まで！】2022年3月開催 トレーニング
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【SANS Secure Japan 2022-Live Online】★日英同時通訳★
https://www.sans-japan.jp/events/sans_secure_japan_2022

【日本語コース応援キャンペーン価格のご案内】
　本イベントでは、日本語コース（SEC401,SEC504）でキャンペーン価格を設定して
　おります。各トレーニング開始日の24暦日前までにお申込みをいただいた場合、
　790,000円（税込 869,000円）でのご提供となります。
　+++キャンペーン価格お申込期限+++
SEC401：2022年2月4日（金）、SEC504：2022年2月11日（金）

〇開催日：2022年2月28日（月）～3月5日（土）　6日間
　SEC401 Security Essentials - Network, Endpoint, and Cloud <日本語コース>
　SEC503 Intrusion Detection In-Depth
　SEC542 Web App Penetration Testing and Ethical Hacking
　SEC588 Cloud Penetration Testing
　FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics
　FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

〇開催日：2022年3月7日（月）～3月12日（土）　6日間
　SEC504 Hacker Tools, Techniques, and Incident Handling <日本語コース>
　SEC460 Enterprise and Cloud | Threat and Vulnerability Assessment
　SEC560 Network Penetration Testing and Ethical Hacking
　FOR585 Smartphone Forensic Analysis In-Depth

〇開催日：2022年3月14日（月）～3月19日（土）　6日間
　SEC488 Cloud Security Essentials
　FOR578 Cyber Threat Intelligence
　※FOR578は、SANS Secure Singapore 2022との共同開催となります

〇トレーニング価格
　日本語コース（SEC401,SEC504）
　　日本語コース応援キャンペーン価格　790,000円（税込 869,000円）
　　通常価格　　　　　　 　　　　　　 840,000円（税込 924,000円）
　日本語コース（SEC401,SEC504）を除く、全てのコース
　　通常価格　　　　　　　　　　　　　880,000円（税込 968,000円）

〇お申込みについて
　各コースページのお申込みボタンより、お1人様ずつお願いいたします
　https://www.sans-japan.jp/events/sans_secure_japan_2022

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆FBI、悪質なQRコードに関する警告　(2022.1.24)
FBIのインターネットサイバークライムセンター（IC3）は、「サイバー犯罪者がQR
コードを改ざんして、被害者のログイン情報や金融情報を盗むために悪意のあるサ
イトに誘導している」と警告する公共広告を発表した。このPSAには、QRコードか
らアプリをダウンロードしない、QRコードから遷移したサイトで決済を行わないな
ど、ユーザー自身を守るためのヒントが含まれている。
-　https://www.ic3.gov/Media/Y2022/PSA220118
- https://threatpost.com/fbi-malicious-qr-codes/177902/
- https://www.bleepingcomputer.com/news/security/fbi-warns-of-malicious-qr-codes-used-to-steal-your-money/
- https://www.govinfosecurity.com/fbi-warns-cybercriminals-using-qr-codes-to-steal-funds-a-18367

【編集者メモ】(Pescatore)
QRコード業界はもっと高い数字を示しているが、個別情報からのデータでは、QRコ
ードの使用率はかなり低くユーザーの5～10%程度となっている。もっと重要なこと
は、QRコードを読み取るために適当なアプリをダウンロードしないことだ。端末の
カメラアプリでQRコードを読み取れない場合は、使わなければいいだけの話である
。
【編集者メモ】(Neely)
QRコードは他のクリックできるリンクと同様、信頼できるコードだけをスキャンす
るに尽きる。iOSおよびAndroidの元来のアプリでは、QRコードから参照されるサイ
トがポップアップで表示されるので、そのサイトを知らないようであれば先に進ん
ではいけない。提供されたQRコードを使用する以外の方法もよくある。例えば、多
くのレストランではQRコードによるメニュー提供が主流になっているものの、スマ
ートフォンを持っていない人やリンクに抵抗がある人のために、物理的なメニュー
が提供されている。
【編集者メモ】(Honan)
QRコードは、かなり以前から存在していたが、パンデミック（世界的大流行）が起
きてから、その利用が主流となり、人々もQRコードを使いこなすようになった。こ
れは、サイバー犯罪者がテクノロジーソリューションの普及を利用しているという
良い例であり、サイバーセキュリティ担当者は、テクノロジーがどのように利用さ
れ、その後どのように悪用されるかを常に把握し、適切な管理が行われているか確
認する必要がある。
【編集者メモ】(Ullrich)
QRコードを使ってアプリをダウンロードするなというのは、ユーザーにとって有益
なことだとは思わない。QRコードで提供されるアプリの中には、正規のものも少な
くないからだ。しかし、ユーザーは、何をダウンロードするのか、どこでQRコード
を見つけるのかを考える必要がある。また、短いURLをユーザーに入力させるとい
う方法もQRコードと同じような問題があるだろう。
【編集者メモ】(Orchilles)
パンデミック以降QRコードの普及が進み、レストランでQRコードをスキャンする方
法は誰もが知っている。残念ながら、この利便性を悪用してエンドユーザーを悪意
のあるサイトへ誘導しているのである。ユーザーへの意識付けが重要だと思われる
。
─────────────

◆Rust、アップデートにより深刻度の高い脆弱性に対応　(2022.1.23)
プログラミング言語Rustのアップデートにより、パッチが適用されていないシステ
ムからファイルやディレクトリ削除に悪用される可能性のあるバグが修正された。
セキュリティ勧告によると、この問題はRustバージョン1.0.0から1.58.0までが対
象で、メンテナはこの不具合を修正したRustバージョン1.58.1をリリースしている
。
- https://blog.rust-lang.org/2022/01/20/cve-2022-21658.html
- https://thehackernews.com/2022/01/high-severity-rust-programming-bug.html
- https://duo.com/decipher/flaw-in-rust-could-lead-to-file-directory-deletion

【編集者メモ】(Williams)
この脆弱性は興味深いレースコンディションであり、非特権ユーザーが特権(setuid
/setgidなど)付きプログラムを呼び出している場合にのみ有効である。確かにこれ
で大変な事にはならないが、この例には2つの重要なポイントがある。まず、TOCTOU
（time of check/time of use）脆弱性は、コードの至る所に存在している。Windows
カーネルの脆弱性の多くはTOCTOUである。もし、SDLCプログラムを実行しているな
らば、TOCTOUのバグに強いコードを書く方法を確実に開発者に教育してもらいたい
。システムの処理コア数が増加する中、特にマルチスレッドアプリケーションで問
題が起こる。2つ目は、「脆弱性はなくならない」ということである。Rustは、メ
モリ関連のバグを打ち負かす安全性で広く称賛されている。しかし、どのプログラ
ミング言語もレースコンディションのようなロジックの欠陥とは無縁ではなく、こ
れはその代表的な例でもある。
【編集者メモ】(Neely)
これは、time-of-check/time-of-useのレースコンディションが原因であり、常に
発生するとは限らない。「remove_dir_all」関数を呼び出す前にチェックするコー
ドを追加しても、これらの呼び出しも同じレースコンディションの対象となり問題
は軽減されないため、バージョン1.58.1に更新することで修正される。
【編集者メモ】(Elgee)
ペネトレーションテストでは、このような脆弱性は通常「そんなものがあったのか
！」というカテゴリに分類される。スクリプトと労力をかけて完全なインベントリ
を維持するほど小規模で技術的な余裕がない場合、自動化ソリューションに投資す
る時期に来ているだろう。時間やお金をかける価値があるかどうかわからない？あ
なたの環境にある全てのLog4Jを見つけるのに、どれくらいの時間がかかっただろ
うか？
─────────────

◆IRS、オンライン口座アクセスに顔認証を導入する計画　(2022.1.21)
米内国歳入庁（IRS）は、請求書や本人確認書類の提出を求めるオンライン本人確
認サービス「ID.me」を今年後半から利用予定としている。ID.meは顔写真の提出を
求めないサービスで、IRSは顔認証をデフォルトのオプションとして提示している
。自由人権団体は、この技術がプライバシーやサイバーセキュリティに及ぼす影響
について懸念を表明している。
- https://krebsonsecurity.com/2022/01/irs-will-soon-require-selfies-for-online-access/
- https://www.scmagazine.com/analysis/identity-and-access/irs-plans-for-facial-recognition-draw-scrutiny-from-privacy-cybersecurity-advocates

【編集者メモ】(Ullrich)
IRSではすでに同サービスを活用している。私は先週手続きを行なったのだが、と
ても丁寧な印象を受けたもののあまり便利ではなかった。様々な書類（パスポート
、運転免許証）をアップロードする必要があり、最後にはビデオ通話で情報を確認
することになった。数日後、IRSから私がオンラインでアクセスしたことを証明す
る手紙が届くという不正を防止するための嬉しい工夫がされていた。誰かが代わり
にやる前に、自分でアクセス権を設定するのがベストだろう。
【編集者メモ】(Pescatore)
詐欺師や犯罪者は長い間、IRSのオンラインサービスに群がって税金の還付を盗ん
でいた。なので、ここでようやく強力な認証が求められるようになったのは良いこ
とだろう。政府はID.meのサービスをしっかり審査・検証することが必要である。
【編集者メモ】(Honan)
自由人権団体が、認証手段のためにこのような技術を導入することを懸念するのは
当然である。バイオメトリクスデータは、個人情報の中でも最もセンシティブなデ
ータであり、EUの一般データ保護規則（GDPR）において、その利用が禁止されてい
る理由でもある。
【編集者メモ】(Neely)
ID.meは不正なアカウント作成を防止する目的で、強力な本人確認を行うよう設定
されている。その一環として、本人確認を完璧に行うために生体情報などの機密情
報が必要となる。さらに、ID.meは複数の形式のMFAがサポートをしてる。プロンプ
トが表示されたら、できるだけ強力な形式を選択し、2要素認証でSMSや電話を使用
しないようにする。ID.meのサイトには生体情報を削除できるとあるが、これはア
カウントの削除が必要となる。アカウント開設の際、ヘルプデスクとのやり取りが
大幅に遅延することが予想される。
【編集者メモ】(Spitzner)
IRSのデータベースへのアクセスに強力な検証/認証を要求するというアイデアは素
晴らしい。最終的には、このようなプロセスやソリューションが、政府の機密情報
へのアクセスに使用されるべきだろう。
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「メッセージ攻撃の検出と停止」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スミッシングという攻撃手法をご存じでしょうか。SMS とフィッシングを組み合
わせた攻撃手法ですが、メールに比べて情報量が少ないことから、違和感を感じ
たり疑問に思うこともなくだまされてしまうため、注意が必要な攻撃のひとつと
なっています。今月は、このメッセージ攻撃の典型的な手口をご紹介して気づく
ヒントを持っていただくとともに、常識が最も有効な解決手段だと感じていただ
くためのTipsを初心者にもわかりやすく解説します。社内の意識啓発資料として
ご活用ください。
https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/bltd3fc601b79be401f/61d2497c9793463f93f43ae1/ouch!_january_2022_Japanese_spot_and_stop_messaging_attacks.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆Polkit、12年前のバグにより特権昇格が可能　(2022.1.25 & 26)
Qualys社の研究者は、2009年までさかのぼり、Polkitのpkexecに欠陥があることを
確認した。PwnKitと名付けられたメモリ破壊を起こす脆弱性は、脆弱なマシンにア
クセスしたユーザーがroot権限に昇格することを可能にする。11月に発見されてか
らCVE-2021-4034として追跡され、パッチがリリースされている。以前はPolicyKit
として知られていたPolkitは、ほとんどのUnix/Linuxディストリビューションで特
権を管理し、非管理対象プロセスから特権プロセスへのアクセスを管理している。
- https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
- https://www.theregister.com/2022/01/26/pwnkit_vulnerability_linuix/
- https://arstechnica.com/information-technology/2022/01/a-bug-lurking-for-12-years-gives-attackers-root-on-every-major-linux-distro/
- https://venturebeat.com/2022/01/25/linux-vulnerability-can-be-easily-exploited-for-local-privilege-escalation-researchers-say/
- https://www.darkreading.com/vulnerability-management/experts-urge-firms-to-patch-trivial-to-exploit-flaw-in-linux-policykit
- https://threatpost.com/linux-bug-in-all-major-distros-an-attackers-dream-come-true/177996/

【編集者メモ】(Ullrich)
パッチは主要なLinuxディストリビューションで利用可能なはずであり、パッチ後
の再起動を必要としない。特権昇格の脆弱性は、緊急度が低いことが多い。しかし
、この脆弱性は悪用されやすく、公開されている悪用方法の中にはログに痕跡が残
らないものもある。
【編集者メモ】(Neely)
Polkitのアップデートは、RedHat/CentOSやその他のLinuxディストリビューション
向けにリリースされており、通常のリポジトリから入手することができる。パッチ
が充てられない場合は、pkexecからUIDを設定してroot権限を削除するように。(例
としてはchmod 755 /bin/pkexec)。悪用はログエントリを探すことで検出ができる
し、例についてはQualys社のブログを参照してほしいのだが、システムログに痕跡
を残さずにこの欠陥を悪用することも可能である。
【編集者メモ】(Orchilles)
Unix/Linuxの特権昇格の脆弱性は、特権昇格「だけ」でありCVSSv3スコアも低いた
め、かなりの期間放置されてしまう。この脆弱性は簡単に悪用されるため、システ
ムには必ずパッチを適用するように。
【編集者メモ】(Frost)
私にとってこのバグが興味深い理由はいくつかある。まず、他のSUIDバイナリにも
同様の問題がある可能性を研究者に示しており、今後、このような問題が増えるの
ではないかと思われること。第二に、このバグは悪用するのが非常に簡単であるこ
とである。利用可能なPOCのほとんどが、最初の記述に基づいて書かれたものであ
る。またこのエクスプロイトは、ASLRやメモリ破壊のバグを一切扱っていないため
、カーネルやディストリビューションのバージョンに関係がなく、どこでも普遍的
に動作する。今すぐパッチを適用するように。
─────────────

◆米国ICSサイバーセキュリティイニシアティブ、水道部門を包括　(2022.1.27)
バイデン-ハリス政権は、産業制御システム（ICS）サイバーセキュリティイニシア
ティブを国内の水道部門まで拡大する。環境保護庁（EPA）は、100日間産業制御シ
ステムサイバーセキュリティ構想-上下水道部門行動計画として、サイバーセキュ
リティ・インフラストラクチャセキュリティ庁（CISA）や水部門調整協議会（WSCC
）と共に取り組んでいる。
- https://www.whitehouse.gov/briefing-room/statements-releases/2022/01/27/fact-sheet-biden-harris-administration-expands-public-private-cybersecurity-partnership-to-water-sector/
- https://www.scmagazine.com/analysis/ics-security/white-house-epa-expand-cybersecurity-initiative-to-water-sector
- https://www.zdnet.com/article/white-house-epa-release-100-day-cybersecurity-plan-for-water-utility-operators/
- https://www.cyberscoop.com/industrial-control-system-ics-biden-initiative-vewater/
- https://www.govinfosecurity.com/cisa-epa-issue-100-day-cyber-plan-for-water-utilities-a-18392
- https://fcw.com/security/2022/01/epa-leading-white-house-effort-secure-water-sector-against-cyberattacks/361292/

【編集者メモ】(Neely)
水道部門は何千もの企業で構成されており、その多くは非常に小規模で予算も少な
いため、サイバー対策への取組みは困難な状況である。それでも、CISAはこのギャ
ップを埋めるために、脆弱性スキャンと技術評価を無償で提供している。特に、サ
ービスをアウトソーシングしている場合や、システムのセキュリティが適切に確保
されているかを確認するための専門知識が不足している場合は、これらの情報が役
に立つだろう。
【編集者メモ】(Pescatore)
今回の発表では、上下水道部門は地域性が強いと認識している。上下水道サービス
を提供する地方機関の数と種類が多いという点では、選挙制度と非常によく似てい
る。この部門の過去の折衷案には要注意であり、大規模な電気グリッドやエネルギ
ーシステムで有効なアプローチやソリューションはここでは通用しないだろう。
【編集者メモ】(Murray)
水道はインフラであり、保護する必要があるが、電力供給網のようなカスケード障
害に弱い。バックアップや負荷分散の協定はあっても、それは自動的には切り替わ
らない。
─────────────

◆OMB、ゼロトラスト・アーキテクチャ戦略を発表　(2022.1.26)
米国行政管理予算局（OMB）は、連邦政府のゼロトラスト・アーキテクチャ戦略を
発表した。この戦略は、連邦政府機関に対して「2024年度末までに特定のサイバー
セキュリティ基準と目標を達成する」ことを求めている。その要件には、強力な多
要素認証を使用し「CISAの継続的診断・軽減（CDM）プログラムへの参加による信
頼できる資産目録の作成」、「商用クラウド基盤で静止時に暗号化されたあらゆる
データへのアクセスの監査」などが含まれる。
- https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
- https://fcw.com/security/2022/01/white-house-starts-clock-zero-trust-adoption/361192/
- https://www.govinfosecurity.com/us-omb-releases-zero-trust-strategy-for-federal-agencies-a-18382
- https://www.zdnet.com/article/white-house-rolls-out-zero-trust-strategy-for-federal-agencies/
- https://thehill.com/policy/cybersecurity/591497-white-house-moves-to-boost-cybersecurity-at-federal-agencies

【編集者メモ】(Neely)
コアにあるのはゼロトラストへの原動力であり、出入口が多数定義された強固な境
界線という従来のモデルでは、現代の敵からの攻撃を防ぐには十分ではない。行政
命令（EO 14028）は、ゼロトラストの実施計画を持つことを各省庁に要求している
。この提案書では、各機関は60日以内に計画に基づいて行動することを要求してお
り、30日以内にゼロトラスト戦略を実施することを明らかにしている。さらに認証
だけでなく、より実質的なアプリケーションのテスト、DNSの暗号化、内部HTTP接
続の暗号化、包括的なデータ保護なども要求しており、幅広い影響を及ぼしている
。この提案書には、公共・民間を問わず検討すべきセキュリティ対策がまとめられ
ている。
【編集者メモ】(Elgee)
従来のオンプレミスからクラウド、ゼロトラストへのアーキテクチャの移行に伴い
、防御と検知が進化しているかも確認してもらいたい。パスワードスプレーやIDの
不正利用を検知できなければ、お先真っ暗である。あらゆるものに多要素認証の適
用を!
【編集者メモ】(Orchilles)
非連邦機関はOMBが設定した基準を満たすために同様のガイダンスを検討し、適用
する必要がある。
【編集者メモ】(Frost)
このような見出しを読むと、いつも定義について考えてしまう。MFAだけではゼロ
トラストではないと主張する人も多いことだろう。今日、私たちはどのゼロトラス
ト・アーキテクチャの定義に従うべきか理解しているだろうか？
【編集者メモ】(Murray)
システム間やプロセス間の分離は、最小権限のアクセス制御が必要であり、それは
2年後ではなく今すぐ必要だ。2024年という目標を設定することは、それまでリス
クを受け入れる（例えば、組織のどこかに秘密のバックドアがあれば、組織全体が
リスクにさらされる）という許可を与えることに等しいだろう。
─────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2月16日(水)
　内部統制/内部不正対策の第一歩はここから！
　シンプルなアクセス統制をカンタンに実現する「Access Check Essential」とは
　https://www.nri-secure.co.jp/seminar/2022/ac_essential0216?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇2月16日(水)
　サプライチェーンのセキュリティ評価業務を効率的に実施する方法
　：「Secure SketCH GROUPSプラン」解説ウェビナー
　https://www.nri-secure.co.jp/seminar/2022/securesketch0216?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇2月21日(月)
　DXを成功させるDevSecOpsセミナー
　～SHIFT LEFTによりセキュアな高速開発を実現するには～
　https://www.nri-secure.co.jp/seminar/2022/devsecops0221?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇3月10日(木)
　特権ID管理ソリューション「SecureCube Access Check」紹介セミナー
　～失敗しない製品選定の３つのポイントと導入効果～
　https://www.nri-secure.co.jp/seminar/2022/ac_id0310?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃動画　　　　　　　　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【30分でわかる】セキュリティガイドライン 簡単解説！～初心者編～
　https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211124?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇セキュリティ業務改善ウェビナー
　https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211020?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇GROUPSプラン アップデートウェビナー
　https://www.secure-sketch.com/seminar/ondemand-groups-webinar-form-20211208?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

＞＞その他、過去開催されたウェビナー
　https://www.nri-secure.co.jp/video?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中の研修・トレーニング（有料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月 【キャンペーン料金！】
　CISSP CBKトレーニング
　https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇3月
　SANS Secure Japan 2022
　https://www.sans-japan.jp/events/sans_secure_japan_2022?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇3月
　セキュアEggs
　https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（お役立ち資料ダウンロード)　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇グローバルなセキュリティ資格「CISSP」取得のためのガイドブック【New！】
　https://www.nri-secure.co.jp/download/cissp_domainguidebook2021?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇PCI DSSに準拠したカード情報の受け渡し方法とは？
　https://www.nri-secure.co.jp/download/pcidss-filetransfer-guidebook?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

〇特権ID管理ツールを検討するときに確認するべき50のチェックリスト
　https://www.nri-secure.co.jp/download/privileged_id_50check?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説／コラム（NRIセキュア ブログ）　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ資格一覧｜
　セキュリティ資格の解説とその取得メリット・選択ポイント（上）（下）

【上】https://www.nri-secure.co.jp/blog/security-qualification-1?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

【下】https://www.nri-secure.co.jp/blog/security-qualification-2?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

○決済セキュリティ基準の最新動向｜PCI DSS バージョン4.0の新情報などを解説
　https://www.nri-secure.co.jp/blog/pci-ssc-global-community-forum?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

○システム開発を「高速」かつ「セキュア」にする方法
　https://www.nri-secure.co.jp/blog/fast-and-secure-system-development?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、サイバー・セキュリティ・コンサルティングの8分野でシェアNo.1を獲得
　https://www.nri-secure.co.jp/news/2022/0125?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

○特権IDの内部統制に不可欠な機能に特化した「Access Check Essential」を新発売
　https://www.nri-secure.co.jp/news/2022/0117?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

○マネージドセキュリティサービスの名称を「SecurePROtecht」に刷新
　～マルチクラウド時代に求められる高度なセキュリティ運用・監視を実現～
　https://www.nri-secure.co.jp/news/2022/0112?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
　業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20220202sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテ4ンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。