NRI Secure SANS NewsBites 日本版

Vol.11 No.32 2016年10月25日発行

日本語版編集担当より:
先週からSANS Tokyo 2016が東京・秋葉原で開催しているため配信が遅くなりました。お待ちいただいた方にはお詫び申し上げます。
今年は2週にわたって、インシデントハンドリングやフォレンジック、さらに話題のCyber Threat Intelligenceのコースを大好評開催中です。
2月のSANS Secure Japan 2017も申し込み受付を開始しております。みなさまと会場でお会いできることを楽しみにしております。

■■■■SANS NewsBites Vol.18 No.081-084
(原版: 2016年10月11日、14日、18日、21日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃開┃始┃し┃ま┃し┃た┃2017年2月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
-ペンテスター、インシデントハンドラーへの登竜門-
 ◆SEC503:Intrusion Detection in- Depth
-セキュリティアナリストとしての分析能力の極致へ-
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆【残席わずか】SEC401:Security Essentials Bootcamp Style】
    最もポピュラーな情報セキュリティのゴールド・スタンダード。
    情報セキュリティ・ネットワークに関する基本的知識を有している方必見
     ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ テロ行為と暗号:ロンドンで告訴 (2016.10.5,10)
英国・ロンドン警察は、ある男性をテロリスト行為6件の罪で告発した。うち 2件は暗号を利用したものだという。 Samata Ullah はテロリストトレーニングの罪で告発されており、その内容には以下が含まれている:テロ行為を行う予定と分かっている人物に対する「暗号を使ったプログラムの活用におけるトレーニング」、そして、テロ行為における様々な準備である。この準備には、「暗号化プログラムの研究・調査、暗号化されたバージョンのブログサイト開発、そしてブログサイトにてこの暗号化プログラムの利用法の公開」などテロ行為の手助けが含まれている。

http://www.zdnet.com/article/london-police-charge-man-with-terrorism-over-use-of-encryption/
http://news.met.police.uk/news/man-charged-with-terror-offences-189511

◆ 欧州委員会が IoTセキュリティ要件を準備 (2016.10.8)
欧州委員会は、IoT 製品のセキュリティを向上するための法案を準備している。この法案は、欧州委員会の通信に関する法律の見直しの一環として作成されている。

http://krebsonsecurity.com/2016/10/europe-to-push-new-security-rules-amid-iot-mess/

【編集者メモ】(Pescatore)
医療機器や産業制御システムの業界は、自主規制を行うために 10 年以上も与えられてきたが、上手くいかなかった。これらの業界は、他の企業に対して物を売っている。そして、今の IoTで話題になっている「モノ」は、一般消費者に向けて開発され、そして売られているが、これらの製品開発者は、サイバーセキュリティの「サ」の字も知らない。欧州委員会は、UL または Energy Star が提供している認証プログラムのようなものを目指しているように見える。「基本的なセキュリティ施策」のハードルが高ければ (高さにもよるが)、良いスタートだとは思う。

◆ 米国は、DNCに対するハッキングでロシアを指摘(2016.10.7)
米国土安全保障省(DHS) と国家情報長官室は、共同の声明文を発表し、米国の政治組織および州の投票システムに対する攻撃がロシアによるものだとしている。声明文には「これらの窃盗や漏えいは、米国の選挙プロセスを妨げる目的で行われている」と記載されている。

http://arstechnica.com/tech-policy/2016/10/us-government-russia-behind-hacking-campaign-to-disrupt-us-elections/
http://www.computerworld.com/article/3128877/security/us-lays-blame-on-russian-government-for-election-related-hacking.html
http://www.zdnet.com/article/us-officially-accuses-russia-of-political-cyber-attacks/
https://www.dni.gov/index.php/newsroom/press-releases/215-press-releases-2016/1423-joint-dhs-odni-election-security-statement

◆ IAEA 事務局長が「ある原子力発電所がサイバー攻撃を受けた」と語る (2016.10.10,13)
国際原子力機関 (IAEA) 事務局長が、匿名ながら原子力発電所がここ 3年でサイバー攻撃を受けていたと公表した。天野之弥氏は、攻撃を受けた発電所は、オペレーションを停止しなかったが、「原子力に関連する施設はサイバー攻撃による問題を深刻に捉えるべきだ」としている。天野氏によると、IAEAは世界中の原子力施設に対しサイバーと物理的なセキュリティに関する支援をしているという。

http://www.scmagazine.com/iaea-director-cyberattack-against-a-nuclear-power-plant-occurred-years-ago/article/548192/
http://in.reuters.com/article/nuclear-cyber-idINKCN12A1P1

【編集者メモ】(Assante)
IAEA 事務局長が言及しているのは、恐らく Korea Hydro & Nuclear Power (KHNP)施設に関連したインシデントだろう。そして、ドイツから出ている発電所のプロセス制御機器で起きた古い感染に関する調査結果も問題である。原子力業界は、早くから安全なネットワーク設計を導入していたため、インターネットで起きる拡散型の攻撃に対しては耐性が強いが、人間による攻撃 (例えば感染したUSBによる攻撃)や標的を絞ったサイバー脅威に対しては問題を抱えている。この業界の次のステップは、サイバー防御を阻止型のものから、先を見越した防御へと変えていくことである。この先を見越した防御とは、侵入されることを前提とした策で、効果的な防禦策は、障害などを素早く検知し、攻撃者に攻撃可能な時間を可能な限り短縮するものである。

◆ データ収集業者から 5,800万件の情報が窃取される (2016.10.13)
データ収集業者、Modern Business Solutions がデータベース侵入の被害に遭い、5,800万件ものデータが漏えいした。 Modern Business Solutions は、主に自動車および不動産の業界にサービスを提供している。

http://www.scmagazine.com/iaea-director-cyberattack-against-a-nuclear-power-plant-occurred-years-ago/article/548192/
http://in.reuters.com/article/nuclear-cyber-idINKCN12A1P1

【編集者メモ】(Liston)
このような侵入や漏えいに関する大きな問題は、顧客がデータ収集業者と直接の関係を持っていないことである。頻繁に利用するコーヒーショップのチェーンが影響を受けたと発表された場合、自分のデータが漏えいしたことが分かるが、このケースの場合、どうやって知ることができるだろうか?

◆ 6,000あまりのオンラインショップがスキミングマルウエアに感染している (2016.10.13)
データ窃盗者は、6,000 ものウェブサイトにクレジットカードのデータをスキミングすることを目的としたスクリプトを注入しているという。このマルウエアが窃取した情報の一部はロシアにあるサーバに送られているとみられ、オランダの開発者、Willem de Groot氏が本件に関して調査をしている。

http://www.computerworld.com/article/3131085/security/thousands-of-online-shops-compromised-for-credit-card-theft.html
http://www.theregister.co.uk/2016/10/13/hackers_pop_6000_sites_on_active_18month_carding_bonanza/

【編集者メモ】(Liston)
以前から多くの組織に対して、ハッキングされていると報告をしてきたが、侵入や漏えいに関して、どれだけの問題が発生するか、把握していないことにびっくりしている。Willem氏は、このスキミングのスクリプトがどれだけの悪影響を与えるか把握していない企業が多いことも調査の中で発覚している。
【編集者メモ】(Murray)
業者および消費者は、リスクを軽減するために、PayPal、MasterPassやVisa Check out のようなプロキシを使うことが可能である。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「安全を保つための4つのステップ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
テクノロジーが進歩するのに伴い、セキュリティに関するガイドラインも新しい
ものが次々に出てきます。そのため、セキュリティに関するアドバイスで結局何
をしなければならないのか混乱するかも知れませんが、自分自身を守るためにで
きる基本的な対策は存在します。今月は、普遍的に通用するセキュリティ上の注
意事項について一般ユーザ向けに分かりやすく解説します。社員の意識向上ツー
ルとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201610_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Sierra Wirelessの製品が Miraiマルウエアの影響を受けると ICS-CERT のアドバイザリが注意喚起 (2016.10.14,17)
一部のSierra Wireless製品が Mirai マルウエアによりハイジャックされボットネットの一部となってしまう可能性がある。Sierra Wirelessは、顧客に対しAirLink ゲートウェイ製品のデフォルトパスワードを変更するよう呼びかけている。
米国土安全保障省 (DHS) の ICS-CERT が影響を受ける Sierra Wireless 製品に関するアドバイザリを公開している。

http://www.zdnet.com/article/mirai-ddos-botnet-powers-up-infects-sierra-wireless-gateways/
http://arstechnica.com/security/2016/10/beware-of-all-powerful-ddos-malware-infecting-cellular-gateways-feds-warn/
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-16-286-01

【編集者メモ】(Skoudis)
これはビッグニュースだ。そして、2016年になってもマルウエアがデフォルトパスワードを悪用し、重要なシステムに対し感染が広がっているのは残念である。ArsTechnica の記事では、これらの機器で Telnetの利用が続いていると指摘している。とても残念だ。
【編集者メモ】(Ullrich)
デフォルトパスワードが実装されているすべての製品が影響を受ける。ここ数年で、似たような攻撃の傾向を確認したところ、様々なベンダー (ZTE、Huaweiなど)が提供する「3G」の無線ゲートウェイが大半のスキャンの対象となっていることが判明した。
【編集者メモ】(Shpantzer)
Sierra Wireless の一部顧客は、支払いシステムなどへのアクセス制限や提供するサービスの質を保つことを考慮した上で、自主的にデフォルトパスワードを変更を行い、サービスが乗っ取られないようにすると思うのだが。

◆ パッチが提供されている脆弱性に対し、IBMが公開されている攻撃コードの公開を止めさせる (2016.10.17)
IBMは、とある研究者に対し、公開されている WebSpere バージョン、7, 8, 8.5および9の脆弱性に対する攻撃コードの公開を止めさせた。Maurizio Agazzini氏は、IBMとこの脆弱性の公開を調整している。この脆弱性は、WASPPostParam Cookie が存在する際にアプリケーションが信頼できないデータをシリアライズ解除した際に攻撃が可能となる。 この問題を悪用することで、サービス運用妨害 (DoS) 攻撃や任意のコード実行が可能となる。IBMは、脆弱性の修正を公開した後 Agazzini氏に対し、攻撃コードの公開を止めるよう求めていた。IBM は、一部のユーザがパッチを適用していないことを懸念している。

http://www.zdnet.com/article/ibm-pressures-security-researchers-vulnerability-exploit-code-pulled/
http://www.theregister.co.uk/2016/10/14/ibm_asked_security_researcher_to_pull_exploit_code/

【編集者メモ】(Williams)
この動きは、今後調整を行った上での脆弱性情報の公開(coordinated disclosure)をしようとする独立している研究者に大きな影響を与えるだろう。しかし、「独立している」研究者は、注意しなければならない。私は、情報セキュリティエンジニアが不適切な方法で脆弱性情報を開示し、所属している会社に恥をかかせてしまったことから過去に解雇された人を見ている。この研究者は、自身の時間を使い、脆弱性を発見したことから、公開はどのようにしても良いと判断していた。

◆ データ窃盗者が、共和党の上院委員会のウェブサイトを攻撃 (2016.10.17)
オランダの開発者が提供した情報によると、サイバー犯罪者は、National Republi-can Senatorial Committee (NRSC)のウェブサイトから購入または寄付をした人たちのクレジットカード情報を盗んでいるという。

http://krebsonsecurity.com/2016/10/hackers-hit-u-s-senate-gop-committee/
http://arstechnica.com/security/2016/10/hacked-republican-website-skimmed-donor-credit-cards-for-6-months/

◆ 「サイバーニンジャ」の取り込みと引き止め:高給が一番の要件ではない (2016.10.19)
熟練されたサイバーセキュリティのプロが、今の職場にずっといるモチベーションは、管理職への昇進やより高い給料をもらうことではない、ということを Center for Strategic and International Studies (CSIS)の新しい調査が明らかにした。
技術力の高いサイバーセキュリティのプロは、やりがいがあり、多様性に富んだ職務を望んでいる。その他に、高度なトレーニングやキャリア形成、同様に技術力が高いセキュリティのプロと一緒に業務ができることも望んでいる。これらのプロは、高い需要を持っており、ペネトレーションテスト、ネットワークやイベント解析、デジタルフォレンジックやセキュアコーディングで優れた実績を残せる技術力を持っている。

http://www.darkreading.com/vulnerabilities---threats/kevin-durant-effect--what-skilled-cybersecurity-pros-want-/d/d-id/1327215?
http://www.csoonline.com/article/3132416/it-careers/cybersecurity-ninjas-value-challenges-training-and-flexible-schedules-over-pay.html
http://csis-prod.s3.amazonaws.com/s3fs-public/publication/161011_Reeder_CyberSecurityNinjas_Web.pdf

【編集者メモ】(Skoudis)
このレポートは、サイバーセキュリティに関連したテクニカルな人材を管理している人たちは読むべきである。ここでは、技術力の高いエンジニアに対し、どのようにインセンティブを与えれば良いのか、様々な観点でまとめている。また、読者に対し、どのようにして、このような組織に重要な人材を雇い、そして雇用し続けるためのヒントが記載されている。とても良いレポートである。

◆ NSA と契約していた事業者が 50テラバイトのデータを盗んだ疑い (2016.10.20)
NSA と契約していた事業者の従業員であった Harlod T. Martin III 氏が、ドキュメント、パソコンやデータ記憶装置などを NSAから盗んだとされているが、米国司法省 (DoJ)によると、その他にも 20年かけて 50テラバイトものデータを政府のパソコンから盗んでいたという。連邦検事は10月21日 Martin 氏を Espionage Act違反の罪で告発する予定である。

https://www.washingtonpost.com/world/national-security/government-alleges-massive-theft-by-nsa-contractor/2016/10/20/e021c380-96cc-11e6-bb29-bf2701dbe0a3_story.html
http://arstechnica.com/tech-policy/2016/10/feds-nsa-contractor-stole-at-least-50tb-worth-of-highly-classified-data/
http://www.zdnet.com/article/contractor-allegedly-steals-50-terabytes-of-nsa-data/
http://www.eweek.com/security/nsa-contractor-committed-breathtaking-thefts-doj-alleges.html

【編集者メモ】(Williams)
Martin氏の自宅から50TBものデータを保持しているメディアを押収したと記載はされているが、裁判所に提出された書類によると、50TBものデータを盗んだとは記載されていない。多くの報道機関が、保持されているデータがすべて機密性の高いものだと勝手に推測して報道してしまっているが、裁判所にはそのような事実は届けられていない。その中で3つの気がかりな事実が記載されている。まず、Martin 氏は、印刷された機密ドキュメントに関して手書きのメモを取っており、そのメモはドキュメントの内容を外部の第三者に説明しているものであったこと。二つ目は、フォレンジックのよって得られたアーティファクトによると、Martin氏は自身のパソコンを使ってロシア語で誰かと通信していたことが疑われている。最後に、調査官は、Martin氏が2007年に書いた同僚宛の手紙に、とても不満であるようなことが綴られていたこと。これらの証拠があれば、裁判前に監禁を要求する目的で政府が動くための裏付けとなるだろう。

◆ FedRAMPの改善 (2016.10.20)
FedRAMP (the Federal Risk Authorization and Management Program) は、クラウドサービスが認定を受けるためのプロセスを整備し、認定されているサービスの数が増えたほか、政府機関にとって使いやすい、新しいダッシュボードを実装している。

- http://federalnewsradio.com/cloud-computing/2016/10/fedramp-overhaul-begins-paying-dividends/

【編集者メモ】(Pescatore) 政府機関、州の機関、地方自治体の従業員を合わせると 2,200万人がおり、そのうちMicrosoft と Google の FedRAMP認定サービスのユーザは 800万人で、割合にすると既に 36パーセントがユーザとなっている。これは、3年後には必須ではない、クラウドに置き換えられるサービスやシステムに対し、無駄なお金が認証のために使われるだろう。このお金は、他の政府システムをよりセキュアにするために使われるべきだ。

◆ 米国銀行の規制機関は、サイバーセキュリティ標準に対するコメントを求める (2016.10.19)
米国連邦準備制度理事会、米国通貨監督庁および米国連邦預金保険公社は、国の相互に繋がっている大手銀行とそれらが使うサードパーティサービスに関するサイバーセキュリティ標準案のドラフトを公開した。コメント期間は、2017年 1月17日まで受け付けている。

http://www.reuters.com/article/us-usa-banks-cyber-idUSKCN12J1Q6
https://fcw.com/articles/2016/10/20/banks-cyber-regulations.aspx
http://www.federalreserve.gov/newsevents/press/bcreg/bcreg20161019a1.pdf

【編集者メモ】(Pescatore)
この規制案は、サイバーセキュリティ標準ではない。ほとんどが、リスクの報告に関するもので、セキュリティの向上については、少し散りばめられている感じである。このドキュメントでは、「これらの機関は、金融業界の中でサイバーリスクを管理するためにサイバーリスクを相対的に計測するための方法を知らない」ことを認めており、その中でリスク計測する方法を探っているのである。私は、前回の金融危機を招いた「リスク」のモデルが利用価値の無いサイバーセキュリティのリスクレポートを作成するために使われることだけは避けて欲しいと願っている。
【編集者メモ】(Honan)
私が単に歳を取っただけなのか、疑い深くなったのか、なぜ世界中の様々な団体からセキュリティ標準が出ているのだ?既に、多くの優れたリソースがあるのにだ。
例えば、SANS Critical Controlsだが、すべての企業がこれを実践することで、サイバーセキュリティは飛躍的に向上するだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月27日(木)
 SANSコミュニティナイトセッション
 攻撃は最大の防御?
 -The best cyber defence is a strong cyber offence - or is it?-
 http://www.nri-secure.co.jp/seminar/2016/sans04.html?xmid=300&xlinkid=01

○11月7日(月)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
 http://www.nri-secure.co.jp/seminar/2016/cissp01.html?xmid=300&xlinkid=02

○11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=03

○11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=04

○11/17(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=05

○12月8日(木)大阪
 NRI関西 ITセキュリティセミナー
 独自調査レポートから見るセキュリティ最前線
 ~サイバー攻撃を迎え撃つ・企業のサイバー攻撃対策 現場の実態~
 http://www.nri-secure.co.jp/seminar/2016/1208.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
 http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。【DL無料・登録不要】
 http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。