NRI Secure SANS NewsBites 日本版

Vol.12 No.08 2017年3月22日発行

■■SANS NewsBites Vol.19 No.019 - 022
(原版: 2017年3月7日、3月10日、3月14日、3月17日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 残┃席┃わ┃ず┃か┃情報セキュリティ人材育成セミナー
 ━┛━┛━┛━┛━┛
日々悪質・高度化するサイバー攻撃・インシデントから企業・組織を防御するため
には、それを担う「情報セキュリティ人材」の育成が、喫緊の課題となっています
。IT技術者をどのようにして育成し、課題を克服できるかについて、育成担当の方
々の疑問にお答えするセミナーを企画しました。また、SANSやセキュアEggsといっ
た弊社で提供する研修のご紹介と、実際にコースで行う演習のデモンストレーショ
ンをご覧いただき、実践的スキルに対するイメージをつかんでいただくセミナーで
す。

●開催概要
 日時:2017年3月24日(金) 18:00~19:30(受付開始:17:30)
 会場:大手町サンケイプラザ312
 タイムスケジュール:
     17:30~ 開場・受付開始
     18:00 ~ 19:30 セッション

 「実践的スキルを有する実務人材を養成するために」
    関取 嘉浩(NRIセキュアテクノロジーズ 事業推進部長)

 「SANS・セキュアEggsのご紹介とハンズオンデモ」
    上田 健吾(NRIセキュアテクノロジーズ 事業推進部主任コンサルタント)

 参加費:無料

 ▼お申込みはこちらから▼
 https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o010
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.1 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 米国防科学委員会のタスクフォース:米国はロシアや中国によるサイバー攻撃に適切な対応ができないと指摘(2017.3.3)
米防科学委員会が公開したサイバー抑止力に関する最終報告書によると、米軍は、ロシアや中国による金融システム、通信システム及び他の重要インフラに関連したシステムへのサイバー攻撃に対して、適切なサイバー機能を有していないと指摘した。さらに、米軍のITへの依存は、このような攻撃を受けた際に、対応能力が低下する恐れがあるといった脆弱性がある。このタスクフォースは、国防総省に対し、サイバー的に回復力の高い、反撃機能の開発を進言している。

https://www.cyberscoop.com/defense-science-board-cyber-deterrence-task-force/?category_news=technology

【編集者メモ】(Murray)
今、必要なのは、生存性と回復力に関する基準と測定指標である。「測定できないものは、存在の有無を確認することができない」のだから、向上させることすらできない。このような基準や測定指標のためにNISTがいるのだ。組織名が、米国立標準局だった時の方が分かりやすかったかもしれない。

◆ 送電網の回復力を調査中(2017.3.1)
監視制御・データ収集(SCADA) システムに対する攻撃は、ますます洗練され、攻撃の標的となっている。多くの攻撃では、システム内に侵入し、ネットワークの構造を偵察するところから開始される。そこから、システム内を移動し、接続を継続させ、最終的には標的となったシステムを乗っ取るのだ。この際、複数のシステムが何かしらの被害を受けていることが多い。データ分析と機械学習を使うことで、侵入を検知し、送電網を守ることができるかもしれない。

http://www.afcea.org/content/?q=Article-girding-grid-cyber-attacks

【編集者メモ】(Paller)
送電網のサイバーセキュリティの現状について、最も包括的に良く書けている記事である。
【編集者メモ】(Murray)
「眠っている」攻撃を発見することはできないだろうが、誰でもその機能は欲しいだろう。能動的な攻撃を発見するために数週間から数か月かかる中、眠っている攻撃はよほど入念にやらない限り発見できないだろう。Tripwireなどのコンテンツ制御ツールを使うことで、攻撃者が隠れる場所を減らすことができるかもしれない。

◆ DoJがTorハッキング技術を保護するために児童ポルノ容疑者に対する訴訟を取り下げる(2017.3.5,6)
米国司法省(DOJ) は、連邦裁判所に対し、児童ポルノの容疑者に対する訴訟を棄却するよう請求した。理由は、DOJ がダークウェブにある特定のサイトにアクセスした人を特定するために使用した「ネットワーク調査のテクニック」の詳細を明らかにしたくないからだという。昨春、Mozilla は簡潔な声明を出し、ユーザのセキュリティを脅かすことから、FBI に対してこのテクニックがどの問題を悪用するのかを秘密裏に教えて欲しいとしていた (Tor Browserは、Firefoxと多くのコードを共有している)。

http://www.zdnet.com/article/justice-dept-asks-to-drop-playpen-child-porn-case-to-prevent-releasing-tor-exploit/
https://arstechnica.com/tech-policy/2017/03/doj-drops-case-against-child-porn-suspect-rather-than-disclose-fbi-hack/
http://www.bbc.com/news/technology-39180204
http://computerworld.com/article/3176541/security/us-drops-child-porn-case-to-avoid-disclosing-tor-exploit.html
http://news.softpedia.com/news/doj-wants-to-keep-tor-hack-code-used-secret-dismisses-playpen-child-porn-case-513597.shtml

◆ WikiLeaksがテクノロジー企業に対しCIAハッキングツールへのアクセスを提供(2017.3.9)
Julian Assange 氏は、漏えいしたCIAの機密文書のキャッシュに残された、ハッキングツールの技術的な詳細に関する情報を、テクノロジー企業に提供すると発表した。この情報を提供することで、ツールが攻撃する脆弱性に対処してもらうことを目的としている。これに対し企業は、盗まれた機密なデータを受け取ることを危惧している。

https://www.scmagazine.com/wikileaks-promises-to-leak-vault-7-code-archive-to-tech-firms-first/article/643046/
http://www.zdnet.com/article/wikileaks-we-will-work-with-tech-companies-to-fix-cia-hacking-holes/
https://www.nytimes.com/2017/03/09/us/wikileaks-julian-assange-cia-hacking.html
https://www.wsj.com/articles/wikileaks-assange-says-group-will-help-tech-firms-defend-against-cia-hacking-1489074870

【編集者メモ】(Williams)
ホワイトハウスの報道官であるショーン・スパイサー氏は「現在も機密情報を利用する個人または組織」は、事前に弁護士に相談することを推奨している (明らかに遠回しな脅迫である)。 機密情報の取り扱いが許可されている人の中には、このデータを閲覧したくないと話している人もいる中で、この態様はとても危険である。
機密情報の取り扱いが許可されている人は、国の一番セキュアなネットワークに対し、サイバー脅威のインテリジェンスに関する業務を行っているのだから、CIA から漏えいした情報により新たな知見を得ることが攻撃者はできるだろう。防御側に対し遠回しな脅迫を行い、データへのアクセスを妨げることは無謀であり、米国の国家安全保障をさらに損なう問題である。

◆ Apache Struts 2 に深刻な脆弱性-直ちにパッチ適用を!(2017.3.9)
攻撃者は、脆弱なWebサーバをコントロールするために、Apache Struts 2ウェブアプリケーションフレームワークの、重大なコード実行に関する脆弱性を活発に利用しているようだ。これまでに少なくとも 2つの攻撃コードが公開されている。開発者は週の始めに、この問題を修正するパッチを公開したが、影響を受ける全てのウェブサーバがパッチを適用していないことが予想されるため、Apache Struts 2 を使用している組織は、可能な限り早くバージョン 2.3.32 または 2.5.10.1 へのアップグレードを推奨している。

http://computerworld.com/article/3178689/security/hackers-exploit-apache-struts-vulnerability-to-compromise-corporate-web-servers.html
https://arstechnica.com/security/2017/03/critical-vulnerability-under-massive-attack-imperils-high-impact-sites/
https://cwiki.apache.org//confluence/display/WW/S2-045

【編集者メモ】(Ullrich)
この問題にパッチを適用することが一番の優先事項であるべきだ。この問題が公開された直後から攻撃活動を発見している。攻撃は容易であり、問題を悪用するツールが公開されている。Struts2は、多くのJavaベースのWebアプリのコンポーネントであることに注意してほしい(JBOSS、HipChat)

https://isc.sans.edu//forums/diary/Critical+Apache+Struts+2+Vulnerability+Patch+Now/22169/

◆ 下院委員会に対し、政府によるサイバー脅威情報の共有が不足していると指摘(2017.3.9)
テクノロジー業界の関係者は、下院の国土安全保障委員会にあるサイバーセキュリティパネルにて、民間と政府におけるサイバー脅威情報の共有が平等ではないと指摘した。2015年に可決された法律により、企業はサイバー脅威情報を政府と共有する際に法的責任から保護されるようになっている。しかし、政府は、民間企業のITシステムを保護するための脅威情報をあまり提供していない状況にある。Intel Security の副社長、Scott Montgomery氏は、政府がサイバーセキュリティのイベントを分類する際、「手助けする人に制限をかけ、攻撃者は罰を受けずに何でもできる」ようにしてしまっていると述べている。証言者は、脅威情報から識別に関する情報を剥奪されているが、機密情報の取り扱いの許可を得ている民間企業のメンバーに共有すれば、類似の問題に対し、適切な対応が取れるとしている。

http://cdn.nextgov.com/nextgov/interstitial.html?v=2.1.1&rf=http%3A%2F%2Fwww.nextgov.com%2Fcybersecurity%2F2017%2F03%2Fgovernment-isnt-sharing-cyber-threats-promised-private-sector-says%2F136035%2F%3Foref%3Dng-channeltopstory

【編集者メモ】(Pescatore)
これは、10年以上前から政府のインテリジェンス「共有」の取り組みに対する一般的な苦情である。政府は、情報源や収集手法に関する情報が明かされることを危惧しており、これを打開するための提案はいくつもされているが、政府側からの提案も動きも無い。企業側から見て、これが近い将来変わることは無いだろう。
【編集者メモ】(Williams)
サイバー脅威に関するデータを細かく分類し過ぎるのは問題である。私は、連邦政府の法執行機関と脅威データを共有したインシデントの対応を行ったことがあるが、一部のデータのみが限定された範囲で簡潔なメッセージとして共有されたに留まっている。政府に共有したデータの中で一番重要なデータが共有されなかった理由を問いただしたら、機密扱いされているから、と回答をもらったものだ。
【編集者メモ】(Northcutt)
これは複雑だが歴史もある。25年もの間、米国政府のポリシーは「あなたのデータを提供せよ。そして、1%を共有するかもしれない」である。パートナーシップの話をしたいのであれば、「このプランは最初から上手くいかない」のである。

https://en.wikipedia.org/wiki/Cybersecurity_Information_Sharing_Act
https://www.dhs.gov/topic/cybersecurity-information-sharing

◆ Google 3月度のAndroidのアップデートで、105個の問題を修正(2017.3.8)
Googleは、月例のAndroidセキュリティアップデートを公開し、105個の脆弱性を修正した。そのうち35個は深刻と判定されている。深刻と判定された脆弱性のうち、9個は mediaserver コンポーネントにあるコード実行の脆弱性であった。また、アップデートには、Qualcomm コンポーネントに含まれる 35個の脆弱性に対する修正も含まれている。

http://www.eweek.com/security/google-patches-android-for-105-vulnerabilities-in-march-update.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「モバイルアプリを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどのモバイルデバイスが万能な理由は、利用可能
なアプリが無数に存在するからです。このアプリによって、あなたのモバイルデ
バイスは、勉強用のツールにもなれば、ゲームを楽しむ端末にも変わります。こ
のように様々な可能性を秘めたモバイルアプリですが、不用意に使用するとあな
たの個人情報や大事なデータを盗み取られてしまう可能性があります。今月は、
モバイルアプリを安全に使用する方法について一般ユーザ向けに分かりやすく解
説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201703_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Android サプライチェーンで、出荷前のデバイスがマルウエアに感染(2017.3.10,12,13)
一部の Androidスマートフォンが、サプライチェーンの中でマルウエアに感染している。影響を受けているブランドは、Samsung、Xiaomi、Asus、LG、ZTEとLenovoである。デバイスには、いくつものデータ窃取、悪意ある広告を表示およびランサムウエアなどが見つかっている。

https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/
http://www.v3.co.uk/v3-uk/news/3006392/samsung-asus-and-lenovo-smartphones-come-with-pre-installed-malware-check-point-software-has-warned

【編集者メモ】(Williams)
これは、今日サプライチェーンのセキュリティがいかに重要かを示している事例である。これらの攻撃は、感染した電話が見つかった組織を標的にしているわけではなさそうだ。サプライチェーンの精査には、新たに入手したハードウエアやソフトウエアのセキュリティを定期的に確認することも含まなければならない。
【編集者メモ】(Ullrich)
古くからある「利用前にイメージを新たにインストールする」は通常コンピュータに適用されてきたが、モバイルデバイスにも適用すべきであろう。
【編集者メモ】(Murray)
これは、若者、高齢者、うぶな人たちは避けることができているが、Android のようなオープンシステムを利用する企業において管理しなければならないリスクである。コミュニティは Appleの「ウォールド・ガーデン」戦略を批判するが、言うまでもなく必要な仕組みであり、歓迎されるべきものなのだ。

◆ VA長官が市販されているソフトウエアへの移行を示唆(2017.3.13)
米退役軍人庁長官は、今後は自国で開発されたソフトウエアを使用するのではなく、市販されているソフトウエアの使用も検討すると議員に語った。また、デービッド・シャルキン博士は、下院の退役軍人委員会に対し、当局は「退役軍人が必要としていることに注力し、ITシステムをより良くする方法を知っている企業と連携すべきだ」とも語っている。

https://fcw.com/articles/2017/03/10/shulkin-commerical-it.aspx

【編集者メモ】(Pescatore)
適切に管理もされておらず、セキュリティも担保されていないネットワークやサーバ上において、パッチが適用されていない市販のソフトウエアを使用したとしても、政府が開発したソフトウエアよりもセキュリティが向上するわけではない。これは、天井にある水あかの上にペンキだけを塗って、水漏れの原因を修理しないことと同じである。ほとんどの政府システムでは、最初に基本的なセキュリティ対策を改善する必要がある。

◆ WikiLeaksでの情報漏えいに対し 調査団はCIAの契約事業者を調査(2017.3.11)
CIA のハッキングツールが漏えいした件に関して、調査団は漏えいの原因を調査しており、調査は CIAの請負業者に向けられている。また、海外で働く請負業者の中には、米国内での業務に再配属されないことを知り、不満を持っている者もいるという。CIAは、WikiLeaksから漏えいしたドキュメントの信憑性について、まだコメントをしていない。

https://www.wsj.com/articles/authorities-questioning-cia-contractors-in-connection-with-wikileaks-dump-1489283964

◆ ロブ・ジョイス氏がホワイトハウスのサイバーセキュリティコーディネーターに任命される(2017.3.13,15)
ホワイトハウスは、連邦政府のサイバーセキュリティ政策を管理・統括するため、現在 NSA の Tailored Access Operationsの責任者であるロブ・ジョイス氏を任命することを明らかにした。同氏は、ホワイトハウスのサイバーセキュリティコーディネーターとして、国家安全保障会議に参加する予定。

http://thehill.com/policy/cybersecurity/324086-white-house-to-bring-on-nsa-hacker
http://www.nextgov.com/cybersecurity/2017/03/trump-cyber-czar-brings-deep-expertise-maybe-some-baggage-too/136127/?oref=ng-channelriver
https://fcw.com/articles/2017/03/15/joyce-white-house-cyber.aspx
http://www.irongeek.com/i.php?page=videos/bsidesaugusta2016/keynote-robert-joyce

【編集者メモ】(Paller)
ロブは、NSAの知識を共有するリーダーの一人であった。9か月前に NewsBitesの小さな記事内でこれを証明している。
「驚くべきことです!国家主体で攻撃を行う NSAで、最もスキルのある人たちのリーダー(TAOのロブ・ジョイス氏) は、自分たちが行うような国家への攻撃を食い止めるテクニックを共有したのだから。これは、要約された35分間の YouTube動画である。これは、今まで見てきた中で防御側に攻撃側のことについて一番情報が多いものだ。」この動画の中で、最初に「これから私は、私のような国家関連のハッカーを食い止める方法をお教えする。」と語っているのが大変に興味深い。

https://www.youtube.com/watch?v=bDJb8WOJYdA

◆ サイバーセキュリティ関連業務に就く女性の割合はわずか11%(2017.3.15,16)
2017 Global Information Security Workforce Studyによると、サイバーセキュリティ関連業務に就く女性の割合は、わずか 11%だという。一方北米では、サイバーセキュリティに関する労働者のうち女性の比率が一番高く、14% であった。また、このレポートの中で、女性の方が男性よりも給与が低かったと記載されている。

https://fcw.com/articles/2017/03/15/cyber-women.aspx
https://www.cyberscoop.com/women-in-cybersecurity-wage-gap-report/?category_news=technology
http://www.darkreading.com/careers-and-people/women-still-only-11--of-global-infosec-workforce/d/d-id/1328409? http://iamcybersafe.org/GISWS/

その他、関連記事:
https://www.cyberscoop.com/2017-top-women-in-cybersecurity/

◆ RANDのゼロデイ脆弱性に関する調査(2017.3.9)
RAND Corporationのゼロデイ脆弱性に関する調査において、ゼロデイや同攻撃で悪用される脆弱性は、平均で 6.9年もの間、有効であることが判明した。有効期間を示す脆弱性の特徴は無いという。また、「一部のゼロデイ脆弱性は、一年後には約5.7%が発見され、別の人または組織によって公開される」としている。

http://www.rand.org/pubs/research_reports/RR1751.html
https://www.cyberscoop.com/study-hoarded-zero-days-last-seven-years-and-are-rarely-discovered/

【編集者メモ】(Pescatore)
このレポートは、ポリシー策定者を対象としており、「政府が発見したゼロデイ脆弱性について民間に知らせるべきか?」を問うている。これは、2002年から2016年の間に、ホワイトハット研究者によって発見された 207個のゼロデイ脆弱性が調査の対象となっていたが、このデータによると、政府が何も言わない場合のリスクはとても低く、他のホワイトハッカーは94.3% の割合で脆弱性を発見しないという。
しかし、ブラックハッカーが発見した脆弱性に関するデータは無い。これは、米国がスキルの高いホワイトハッカーやブラックハッカーを独占していないことを示していると考える。悪意ある人たちが把握しているゼロデイ脆弱性の数は、想像以上に多いだろう。これは、国家のセキュリティとしては難しい問題だが、セキュリティの観点から見れば簡単である。素早く発見された脆弱性は、素早く修正されるのだ。しかし、良く作られたソフトウエアは、最初から修正されているのだが。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月24日(金)
 情報セキュリティ人材育成セミナー
https://www.nri-secure.co.jp/seminar/2017/0324.html?xmid=300&xlinkid=04

○4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=05

○4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
https://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=05

○4月26日(水)、5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=06

○5月19日(金)、6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・「IoTセキュリティコンサルティングサービス」を提供開始
https://www.nri-secure.co.jp/service/consulting/iot_security.html?xmid=300&xlinkid=11

・消費者向けWebサービスに特化した認証・アクセス管理ソリューション
 「Uni-ID Libra」を2017年6月に提供開始
https://www.nri-secure.co.jp/service/uni-id_libra/index.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。