NRI Secure SANS NewsBites 日本版

Vol.10 No.39 2015年11月22日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.39 2015年11月22日発行
**********************************************************************


────────────────────────────────
■■SANS NewsBites Vol.17 No.086-089
(原版: 2015年11月3日、6日、10日、13日)
────────────────────────────────

◆ 連邦政府のCIOがサイバーセキュリティ戦略と実装計画を発行(2015.10.30)

米国連邦政府CIOのトニー・スコット氏は、サイバーセキュリティ戦略と実装計 画(CSIP) を発行した。大規模な情報漏えいとは何かが定義されており、事故が 起きた際に連邦議会に通知するルールが規定されている。CSIPはOPMでの情報漏 えい発生後、各省庁に対しオンラインセキュリティを強化するために施行する 「サイバーセキュリティ緊急対応」を具体化させたものである。

http://www.nextgov.com/cybersecurity/2015/10/white-house-issues-governmentwide-cyber-action-plan/123302/?oref=ng-HPriver
http://www.nbcnews.com/tech/security/white-house-details-plan-bring-feds-cybersecurity-date-n454861
https://www.whitehouse.gov/sites/default/files/omb/memoranda/2016/m-16-04.pdf
https://fcw.com/articles/2015/10/30/tony-scott-cyber-strategy.aspx

【編集者メモ】(Pescatore)
結婚にまつわることわざを借りるならば、サイバーセキュリティ戦略と実装計画 (CSIP)は古いものも新しいものも含まれているが、借りたものが足りないため、 さらに青ざめるようなことが多すぎる。「価値の高い資産を特定する(Identify -ing High Value Assets)」は、言い方を変えただけで、前から連邦政府機関に 対し求められていたことである。新しい条項の中には良いものもある。例えば、 雇用や教育、各部署内でSOCを定義しなければならないなどだ。EINSTEINや共有 サービスを利用するという議論については、民間で既に利用実績があり、これら を利用することを無視している。そして、一番抜けている部分(青ざめる原因に なっているの)は、「教訓」と様々な連邦政府機関で情報漏えいが起きた原因を 追究していないことだ。 -基本的なセキュリティ対策を行う妨げになっている ものは何か?ということだが、その回答は、ずさんな管理を行っているPCやサー バに新たなセキュリティサービスや製品を追加することではない。

────────────────

◆ 米海軍がサイバーセキュリティ適性テストを開発(2015.10.30)

米海軍のサイバー適正能力診断は、応募者がサイバーセキュリティ分野で活躍す るためのスキルがあるかを評価することができる。このテストは、メリーランド 大学の Center for Advanced Study of Languageが開発する予定で、既に Defen -se Language Aptitude Battery (DLAB) を開発している実績がある。このテスト は、応募者が新しい言語を学べるか否かを示すものであり、Cyber DLAB と呼ばれ る新しいテストは純粋に能力を診断することになるという。

http://www.nextgov.com/cybersecurity/2015/10/pop-quiz-which-navy-n00bs-have-gift-stopping-hacks/123298/

【編集者メモ】(Paller)
これは、とても有意義なことだ。人材のスキルを診断する取り組みという意味で は、米国だと陸軍と空軍、そして英国と他 2国が以前から取り組んできている。 結果として、既に大企業も行っている選考過程がより具体的になり、成功する確 率が高いサイバー人材に投資できるようになってきている。もし、自組織で50人 以上も診断する必要があるなら、SANS の Max Shuftan に連絡をすることでテス トへのアクセスとスコアリングをアレンジしてくれる。 彼への連絡先はこちら Mshuftan@sans.org
【編集者メモ】(Northcutt)
きちんとやれば、これは良い取り組みだ。SANS Seattle の講師陣と一緒に食事 をした際に、陸軍に入隊した時の話をしてくれた。彼は、ASVABテストを受けた という。ASVABを受けた後、別の小さい部屋に移動して別のテスト受け、その後 にまた別のテストを受けた。そして、ブート・キャンプに行ったが、2/3が終了 する頃、彼と6人の受講者は呼び出され、簡単なプレゼンを聴講し、特別トレー ニングを受けるためにブート・キャンプを去るか否かを「その場で」決断させら れた。彼はブート・キャンプを去り、特別トレーニングを受けた後で兵役を務め 今は SANS の講師になっている。応募の段階で経験よりもスキルを診断すること で、海軍は初心者向けの業務を埋めることができ、人員を増やすことができると いうメリットもある。それよりも興味深いのは、実績があり、既に利用されてい るテストを利用しないことだろう。

http://www.nationaldefensemagazine.org/archive/2014/August/Pages/CyberLaborShortageNotWhatitSeemsExpertsSay.aspx
https://www.sans.org/cybertalent/assessment-products

────────────────

◆ 米軍の共通テストにサイバーセキュリティの項が追加されるかもしれない(2015.10.29)

Armed Services Vocational Aptitude Battery(ASVAB)に近々、応募者のサイ バーセキュリティスキルを計るための項が追加されるかもしれない。この試験 は現在、言語能力、数学、機械工学に関する適性を測っている。軍への応募者 は、この試験を受けた上でキャリアパスを考えることになる。ちなみに、この 試験は高校生でも受けることが可能である。提案されているサイバーセキュリ ティの項は、過去のサイバーセキュリティに関する経験から得られたスキルを 診断するものになっている。

http://www.nextgov.com/cybersecurity/2015/10/militarys-sat-could-soon-test-cybersecurity-smarts/123265/?oref=ng-HPtopstory

【編集者メモ】(Paller)
前の記事の繰り返しになるが、自組織で実績のあるサイバースキル診断テスト が必要であり、且つ50人以上も診断する必要がある場合は、Max Shuftan に連 絡することで、テストへのアクセスとスコアリングをアレンジしてくれるだろ う。彼への連絡先はこちらMshuftan@sans.org

────────────────

◆ 米軍の危険なサイバー兵器に関する契約(2015.11.4)

4.6億ドルの予算がある米サイバーコマンドのあるプロジェクトは、危険なサイ バー兵器の開発を行う事業社を探している。ここでの危険なサイバー兵器とは、 インフラや人的な被害を可能にするコードを指している。

http://www.nextgov.com/cybersecurity/2015/11/lethal-virtual-weapons-real/123417/?oref=ng-channelriver

【編集者メモ】(Assante)
歴史を振り返ると、サイバー攻撃はとてもクリーンな感じがする。戦争はとても 汚いもので、その汚さは、従来の戦争行為をサポートするためにサイバー兵器を 有効活用した時やサイバーペイロードが「槍」と化した時に具現化したものにな るだろう。

────────────────

◆ 大規模なサイバーインシデントは誰が対応するか(2015.11.4)

もし、米国が大規模なサイバー攻撃を受け、国のインフラや国民の命に被害が及 ぶ場合、対応のリードを国家安全保障省(DHS)が取るのか、国防総省(DoD)が 取るのか、不明なところが多いという。

http://www.nextgov.com/cybersecurity/2015/11/whos-really-charge-if-massive-cyberattack-strikes-us/123404/?oref=ng-channeltopstory

【編集者メモ】(Assante)
従来のサイバー攻撃を基準に考えると、この議論は複雑になる。外国勢力から物 理的な被害が及ぶサイバー攻撃が起きることで、はじめて明確になると思う。攻 撃元が国外からの場合、軍が対応するのが良いだろう。しかし、攻撃者を追跡し、 捕まえることはできない。インシデントを単独の攻撃として考えるのはとても無 責任だ。この場合、目的を示した脅威を無力化するだけでなく、さらなる攻撃も 行われないようにしなければならないのだから。

【編集者メモ】(Murray)
http://www.c-span.org/video/?400223-1/hearing-future-warfare
にて、上院委員会に対し、キース・アレクサンダー大将が述べた内容によると、この問題は解決しているようだ。

────────────────

◆ 米国連邦政府機関は FITARA 要件の実装ができていない(2015.11.4)

多くの米国連邦政府機関は、Federal Information Technology Acquisition Ref -orm Act(FITARA)の要件を実装できていないことが分かった。下院の監視・政 府改革委員会が入手した報告書によると、省庁の平均が「D (5段階評価の下から 2番目)」だったが、この成績は、「初期調査」としており、調査は改善点などを 特定するために行われたものだという。評価対象となった4つの項目は、データ センター統合;ITポートフォリオをレビューした際の節約;徐々に行われる開発; リスクアセスメントの透明性となっている。

http://www.nextgov.com/cio-briefing/2015/11/what-congress-hopes-agencies-learn-failing-fitara-grades/123439/
http://www.nextgov.com/cio-briefing/2015/11/most-agencies-earn-ds-scorecard-tracking-it-reform/123397/?oref=ng-HPtopstory

【編集者メモ】(Murray)
政府の購買力で、市場にある製品やサービスのセキュリティを強化できるという 議論は捨てるべきだ。

【編集者メモ】(Paller)
Murray氏は、間違っている。FITARA は、大きな効力で連邦政府機関が持つ購買力 を使い、納税者に価値を増やすことができる -特にサイバーセキュリティ分野に おいては、より低いコストでだ。この法律の有効性は、OMBおよび連邦議会内でア セスメントをしている人たちによって価値を損なっているが、 彼らは見るべきと ころを間違えている。「見られたものは終わっている」とは、見られているものが 、必要の無いものなのだから。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「オンラインショッピングを安全に行うために」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クリスマスなどの贈り物を買い求めるのに、オンラインショッピングを利用する
機会が増える季節になりました。このような時期は、オンライン詐欺を行うよう
な攻撃者にとっても絶好の機会であり、様々な手段を用いて利用者を騙そうとし
ます。今月は、このような被害に遭わないために、オンラインショッピングを利
用する上での注意点について一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201511_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年2月25日(木)-26日(金)

 ・セキュアEggs(フォレンジック)
  2016年3月2日(水)
 ・セキュアEggs(インシデント対応)
  2016年3月3日(木)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


◆ Linuxカーネルとセキュリティの問題(2015.11.5)

Linuxが広く使われる中、このオープンソースカーネルのセキュリティが議論の 的になってきています。Linuxの開発者であるLinus Torvalds氏は、完璧にセキ ュリティ対策をすることは不可能で、セキュリティは利便性や速度と天秤にか ける必要があるとしている。また一部では、Linuxカーネルを作り直すべきとし ている。

http://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/
http://www.zdnet.com/article/linus-torvalds-vs-the-internet-security-pros/

【編集者メモ】(Pescatore)
AppleのiOSやGoogleのAndroidは、セキュリティを機能として作り込んだ状態で も利便性や速度に影響を与えないことを証明しているだけでなく、より安全に 速度を上げることも可能にしている。Linuxをサーバ側で利用する場合は、様々 なことを考慮する必要があるが、仮想化やクラウドで利用する場合は、「追加 機能としてのセキュリティ」では時代遅れになっており、セキュリティは作り 込まなければならない。

────────────────

◆ FFIECが銀行に対し、サイバーを使ったゆすり行為に関して注意喚起(2015.11.3)

連邦金融機関検査協議会(FFIEC)は銀行に対し、サイバーにおけるゆすり行為に 関して注意喚起を行った。 金融機関に対し、「サイバーセキュリティのリスク アセスメントを行うことや、情報システムの監視を継続的に行うことで脅威か ら守る」ように呼びかけている。 また、ゆすり行為の標的となった場合は、法 執行機関や政府機関に報告するように銀行に対して呼びかけも行っている。

http://www.foxbusiness.com/industries/2015/11/03/regulator-warns-cyberattack-extortion-targeting-banks/
https://www.ffiec.gov/press/pr110315.htm
────────────────

◆ DHS がサイバーセキュリティ分野の1,000人を対象に雇用プロセスを早める短縮(2015.11.9)

米国家安全保障省(DHS)は、サイバーセキュリティの分野において1,000人を対 象に雇用プロセスを早めることが分かった。DHSは、対象者を2016年6月までに雇 用したいとしている。昨年、政府によってBorder Patrol Agent Pay Reform Act of 2014が可決されたことから、DHSは雇用プロセスを簡素化し、特典などを提示 できるようになっている。

http://www.nextgov.com/cybersecurity/2015/11/homeland-security-fast-track-hiring-1000-new-cyber-personnel/123528/?oref=ng-channeltopstory
https://www.congress.gov/bill/113th-congress/senate-bill/1691

【編集者メモ】(Paller)
(ナポリターノ長官時代に)DHSが似たような改革をした際、DHSは「サイバー職務」 を改めて定義し、サイバー関わるタスクで25%以上の時間を費やす職務としたこと がある。すると、とあるDHS内の部署は、すべてのIT職が定義に当てはまるとして、 割り当てられていた1,000の枠のうち、650を使って特定のサイバースキルを持たな い人を雇っただけでなく、サイバーとは関係の無い職に就かせた経緯がある。その 後、他部署も似たような行動に出た。この行動は確かに斬新だが、サイバースキル を重宝しないマネジメントがいる省庁になってしまい、重要なサイバー職務がアウ トソーシングされる結果となってしまった。
DHSの総括監察官が興味あるのであれば、私は(Jeff Moss氏と共に) DHSタスクフォ ースの共同議長をしていた頃のデータを共有できる。この場でこんなことを言うの は、DHS はとても重要な組織であり、雇われる人間のテクニカルなサイバースキル も重要だと考えているからだ。新たに作られる 1,000のサイバー職を無駄にしては いけない。

【編集者メモ】(Ullrich)
適切な人材を雇うには、お金、きちんと定義されたキャリアパスが必要である。キ ャリアパスの中には、トレーニングや専門知識を養う期間、才能を生かすための職 務と役職を定義されていなければならない。

────────────────

◆ NISTからホワイトリスクに関するアドバイス(2015.11.6)

米国標準技術局(NIST)は、組織がホワイトリスクを実装するにあたりアドバイス を提供するための Guide to Application Whitelisting ドキュメントを公開した。 ホワイトリストは、セキュリティ対策として、NSA のトップ10およびオーストラ リアのSignals Directorate's Top Four Strategies to Mitigate Targeted Cyber Intrusions に掲載されている。

http://www.nextgov.com/cybersecurity/2015/11/nist-releases-how-guide-implementing-automatic-whitelisting/123486/?oref=ng-channeltopstory
http://www.computerworld.com/article/3002516/security/deploying-application-whitelisting-nist-has-some-advice-for-you.html
http://www.theregister.co.uk/2015/11/09/considering_application_whitelist_tryst_nist_will_help_you_clear_the_mist/
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-167.pdf

【編集者メモ】(Paller)
アプリケーションホワイトリストは、米国やオーストラリア内で最も経験がある サイバーディフェンダー(NSA/IADおよびASD)たちが多くの攻撃を防ぐために利 用している。そのため、このドキュメントは大きな貢献をもたらすかもしれない が、そう簡単に行くはずもない! ドキュメント内には、ホワイトリストに関す る紹介と新しい機能の実装について一般的な解説しかされておらず、実装の解説 については、活用するに足りない情報しかない(John Pescatoreが役に立ちそう な部分を一点紹介している)。他のコンテンツは、役に立たないだけでなく、間 違っているものもある。著者は、アプリケーションホワイトリストを大規模で実 装したことが無いだけでなく、米国やオーストラリア内でホワイトリストを実装 した省庁をインタビューもしていないように思える。インタビューすることで、 実装にあたり起きた問題や、それらの解決策も聞き出せたはずなのに、それが見 当たらないのだ。結論として、このドキュメントは読むべきではない。紹介に関 するドキュメントで時間をあまりかけずに読みたい場合は、以下を確認してほしい。
http://www.asd.gov.au/publications/protect/application_whitelisting.htm

【編集者メモ】(Pescatore)
このドキュメントの良いところは、最初のうちは限定的に監視モードで実装する ように勧めていることだ。サーバ側でホワイトリストを実装するのは容易であり、 デスクトップ側のホワイトリスト実装もそれほど大きな問題に当たることはない だろう。Windows 10への移行を考える際に考慮すると良いだろう。

────────────────

◆ ファイスブックの Transparencyレポート(2015.11.11,12)

2015年前半期に、政府からフェイスブックに対しでアカウント情報を提供するリ クエストは41,000件以上あったことが、最近公開されたTransparencyレポートの 記載により明らかとなった。2014年の同期間では、約35,000であり、リクエスト のうち半分は米国の法執行機関から来たものだという。フェイスブックは、80パ ーセント以上のリクエストに応じ、データを提供したという。

http://www.csmonitor.com/Technology/2015/1112/Governments-around-the-world-demand-more-user-data-from-Facebook
http://www.nbcnews.com/tech/social-media/facebook-says-governments-are-making-more-requests-user-data-n461706
Facebook Report:
https://govtrequests.facebook.com

────────────────

◆ 医療機器の脆弱性対応(2015.11)

脆弱性を研究する Billy Rios氏が、病院内で利用されている点滴ポンプに脆弱性 があることを発見し、米国家安全保障省内にあるICS-CERTに通知した。 ICS-CERT は、食品医薬品局(FDA)に連絡し、FDAは製造会社に連絡をしたが、Rios氏がDHS およびFDAに対し、機器がどのようなリスクに晒されるかを実証するコードを送る まで、対策に向けた動きは取られなかったという。FDAからは、この機器を使用し ないようにアドバイザリが発行されたが、既に利用されている機器を修正する義 務は発生していない。 これらの問題に対しても、問題を修正する責任がどこにあ るのかは定義されていないのが現状だとRios 氏はいい、製造会社に直接圧力をか けないとこのような問題は解決されないとしている。

http://www.bloomberg.com/features/2015-hospital-hack/

【編集者メモ】(Pescatore, Paller)
我々は、Healthcare ISACが主導権を握り、メンバーの購買力を使って市場に影響 を与えることで、 製造会社に対して機器のセキュリティを強化するように仕向け ることを望んでいる。ISAC が提供できる最大のメリットは、メンバーの総合購買 力を使って、製品を安全にすることなのだから。

────────────────

◆ 法律によってDoDはすべての攻撃システムのサイバーセキュリティをアセスメントすることに(2015.11.11)

2016 National Defense Authorization Act によって、米国国防総省(DoD)はす べての攻撃システムに対しサイバーセキュリティの問題の有無をアセスメントす るよう義務付けられる。国防省は、政府に対し四半期ごとにアセスメントの進捗 を報告する必要があり、すべてのアセスメントは2019年までに終わらせなければ ならない。法案が可決した後、DoDは6か月以内にアセスメントの対象となるシス テムを列挙し、各システムをアセスメントするためのコストも記載しなければな らない。新たに行われるテストは、既存のテストと被らないようにしなければな らないほか、問題が発覚した場合、DoDは対策と実施プランを考える必要もある。 このイニシアチブに対し、2016年の予算は 2億USDである。

http://www.nextgov.com/cybersecurity/2015/11/congress-demands-200-million-antivirus-scan-connected-weapons/123615/?oref=ng-channeltopstory

【編集者メモ】(Pescatore)
DoD はとてつもない購買力がある。すべての機器やシステムを調達するにあたり、 ベンダがアプリレベルまで行った脆弱性診断の結果を付けなければならなくなるよ うなことになれば、この動きはとても良いことになるかもしれない。復員軍人援護 局や DoDの医療施設に適用されれば、上記で紹介した医療機器のセキュリティ問題 を解決できる方向に動く。しかし、この動きが 2億ドルを使った、単なる資産管理 と対策プランを立てるだけのものだった場合は、セキュリティは強化されない。ア クションを起こすことでセキュリティは強化されるのだ。

────────────────

◆ 31人もの英国人生徒が世界有数のサイバーアカデミーを卒業(2015.11.11)

231人もの生徒が、SANS UK Cyber Academy での厳しいトレーニングをこなし、Glo -bal Information Assurance Certification (GIAC) に合格した。この31人の生徒 は、オンライン上で応募した25,000人もの中から競技会を経て選ばれ、 8週間にお よぶサイバートレーニングプログラムに参加する資格を得た。このプログラムは、 優秀な人材を発掘し、厳しいハンズオントレーニングを通してレベルアップさせる ことを目的とした。その後、それらの人材を英国のサイバーセキュリティ企業が競 争して雇うことまで視野に入れている。

http://www.v3.co.uk/v3-uk/news/2434372/council-worker-and-lecturer-among-those-to-have-successfully-completed-sans-academy-cyber-security-course
http://www.theregister.co.uk/2015/11/11/newcastle_parking_clerk_cybersecurity_genius_sans_academy/

【編集者メモ】(Paller)
試験で一番高い得点を取った人は、公共駐車場の従業員だった。この事実が示すよ うに本当に優秀な人材を発掘するためにこのような Cyber Academy を通じてもっと 行うべきだ。

【編集者メモ】(Northcutt)
これはとても良い話で、公共駐車場の従業員の話を聞くだけで笑顔を浮かべるが、 他の30名の卒業生は、ニュースで散見されるサイバーセキュリティ人材が不足して いる問題を解決するための回答となる。確かに、凄腕で 5年以上の経験を持つ人材 は不足しているが、業務をはっきりと定義した上で、トレーニングを経て理解力の ある人材で問題無いと受け入れるところから始めれば、進展はあるだろう:

https://www.linkedin.com/pulse/cyber-security-workforce-shortage-stephen-northcutt?trk=pulse_spock-articles

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月25日(水)                    【申込受付再開】
 改正電子帳簿保存法 規制緩和対策セミナー
 ~契約書や領収書の紙保存から脱却するには~
 http://www.nri-secure.co.jp/seminar/2015/1125.html?xmid=300&xlinkid=13

○11月26日(木)                      【New!】
 シンガポール・情報セキュリティセミナー
 http://www.nri-secure.co.jp/seminar/2015/sng01.html?xmid=300&xlinkid=14

○11月27日(金)                【ご好評につき日程追加】
 NRIセキュアが考える、これからのアイデンティティ&アクセス・マネジメント
 ~第一話:クラウドIAM編~
 http://www.nri-secure.co.jp/seminar/2015/iam01.html?xmid=300&xlinkid=15

○12月8日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=16

○12月9日(水)
 文書管理・ファイル共有/転送サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2015/file06.html?xmid=300&xlinkid=17

○【東京】 12月11日(金)
 【大阪】 12月2日(水)
 【名古屋】12月3日(木)
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
 http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=11

○【東京】 12月15日(火)
 【大阪】 12月2日(水)
 【名古屋】12月3日(木)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
 http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スパムや標的型メール(スピアフィッシング)に対して機械学習技術で検知・排除
 統合型メールセキュリティソリューション「Proofpoint」
 http://www.nri-secure.co.jp/service/others/proofpoint.html?xmid=300&xlinkid=22
 
●FireEye独自の手法で、既知・未知に依存せず、脆弱性攻撃、マルウェアを検知
 「FireEye管理サービス」
 http://www.nri-secure.co.jp/service/mss/fireeye.html?xmid=300&xlinkid=23
 
●C&Cサーバアクセス時の通信内容やDNSクエリを監視し、マルウェアの侵入を検知
 「Palo Alto PAシリーズ管理サービス」
 http://www.nri-secure.co.jp/service/mss/paloaltopa.html?xmid=300&xlinkid=24
 
●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 標的型攻撃対策ソフトウエア「FFR yarai」
 http://www.nri-secure.co.jp/service/yarai/index.html?xmid=300&xlinkid=25
 
●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=26
  ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。