NRI Secure SANS NewsBites 日本版

Vol.14 No.25 2019年8月20日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.25
(原版: 2019年 8月 6日、9日、13日、16日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 1┃0┃月┃東┃京┃開┃催┃お┃申┃込┃み┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 絶┃賛┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

今週8月23日は、10月開催SANSトレーニング(東京)2週目5コースの、
早期割引のお申込み締切日でございます。
SANSトレーニングご検討中の方は、お急ぎください。
その他のコースも絶賛受付中です。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

SANS Tokyo Autumn 2019

◆9/30~10/5

SEC401:Security Essentials Bootcamp Style★日本語
SEC501:Advanced Security Essentials - Enterprise Defender
FOR500:Windows Forensic Analysis

◆10/7~10/12
SEC511:Continuous Monitoring and Security Operations
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
FOR508:Advanced Incident Response,Threat Hunting, and Digital Forensics
SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking


◆10/7~10/11
SEC545:Cloud Security Architecture and Operations

◆トレーニング費用(税抜)
早期割引:720,000円※
通常価格:760,000円
※各コース45日前までのお申込みで適用となります。

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ LookBack RATを用いたスピア型攻撃キャンペーンにより、米国の複数の電力業者が標的となる(2019.8.1 & 2019.8.2 & 2019.8.5)
Proofpoint社の研究チームによると、米国の電力業者3社がスピア型攻撃の標的となった。送付されたメッセージは、あたかもエンジニアリングライセンス委員会から発せられたものに見える内容だった。Proofpoint社によると、これらのメッセージは7月19日から25日にかけて送付され、「マルウェアLookBackをインストールするためのVBAマクロが組まれたMicrosoft Word文書が添付されていた」。LookBackは、「プロセスやシステム、ファイルデータの閲覧、コマンド実行、スクリーンショットの取得、マウスポインタの移動やクリック、機器の再起動と感染した機器からの自身の削除」といった機能を備えるリモートアクセスが可能なトロイの木馬である。研究チームは、国家が攻撃に関与していると考えている。

- http://www.proofpoint.com/us/threat-insight/post/lookback-malware-targets-united-states-utilities-sector-phishing-attacks
- http://threatpost.com/nation-state-apts-target-u-s-utilities-with-dangerous-malware/146910/
- http://www.cyberscoop.com/apt-10-utilities-phishing-proofpoint/

【編集者メモ】(Murray)
アプリケーションのエスケープ機能は、デフォルトで有効化するべきではない。プログラムへのアクセスコントロール権限は、「実行のみ」に設定することが望ましい。これらのルールは企業においてデフォルトとなるべきである一方、国家インフラの一翼を担う電力業者のような企業においては、徹底されるべき基本的なものだ。
────────────────

◆ WPA3セキュリティ基準に、さらなる脆弱性(2019.8.3 & 2019.8.5)
今年初め、WiFi Allianceが定めるセキュリティ規格WPA3のDragonflyハンドシェイクにおける複数の脆弱性を発見した研究者が、新たに2つのDragonflyハンドシェイクに関する脆弱性を発見した。最初4月に公開された複数の脆弱性は、ダウングレード攻撃やサイドチャネル攻撃による悪用が可能なもので、総称してDragonbloodと呼ばれている。新たに発見された脆弱性は、WiFi AllianceがDragonbloodの軽減策として推奨していたBrainpool楕円曲線に存在する。研究者は、WiFi規格と、こちらもDragonflyを使用しているEAP-pwdプロトコルは、「現在よりセキュアなプロトコルにアップデートされている。このアップデートは現在使われているWPA3の実装と上位互換性が無いものの、私たちが発見した攻撃方法の大半を防ぐことが可能だ」と述べている。

- http://wpa3.mathyvanhoef.com/#new
- http://duo.com/decipher/new-weaknesses-found-in-wpa3
- http://www.zdnet.com/article/new-dragonblood-vulnerabilities-found-in-wifi-wpa3-standard/

【編集者メモ】(Pescatore)
古くてセキュアではないプロトコルとの上位互換性をもつ、新しいセキュアなプロトコルの開発は、結果として新たなセキュアではないプロトコルを生み出しているように思う。セキュリティ研究者は、このようなセキュアではない機能に照準を合わせる方法を培ってきた。WiFi Allianceは、今こそ新しいバージョンを公開する「前に」同様の手法を取るようにするべきだ。

【編集者メモ】(Neely)
公開されているWiFiスポットでさえ通信が暗号化されていることや、CNSA(Commercial National Security Algorithm)といったWPA3における強化されたセキュリティは上位互換性が無いリスクを考えても新しい機能を入手したいと思わせる。

【編集者メモ】(Murray)
電波が届く範囲に数人しか攻撃者がいない無線側の脆弱性は、あまり注目されていない。脅威は有線側に存在する。その上で、隣人によるネットワーク侵入は拒否するべきだ。彼はWPA3を破壊しているわけではない。Ari Shamir氏が主張している通り、「大抵の場合、暗号化技術は侵攻ではなく、バイパスを許している」。
────────────────

◆ 法案により、国土安全保障法にCDMを含む修正が加えられる
(2019.7.31 & 2019.8.5)
複数の米上院議員は、継続的な診断と緩和(CDM)プログラムを公式に2002年国土安全保障法の一部とする法案を再提出した。この法案はまた、国土安全保障省(DHS)長官に対し、各州や地方政府へのCDMプログラムの提供を進めさせるものである。CDMプログラムは、ネットワークトラフィックの監視に役立つツールを各政府機関に提供する。さらにこの法案により、「CDMに基づいたサイバーリスクやインシデントの報告に関するポリシーの作成、プログラムを継続的に発展させるための、DHS長官へのCDMに関する新しいテクノロジーの実装命令、常にサイバー脅威の状況に適応し続けるためのDHSに対する戦略策定義務」が追加される。

- http://www.congress.gov/bill/116th-congress/senate-bill/2318
- http://fcw.com/articles/2019/08/05/codify-cdm-senate-johnson.aspx
- http://www.meritalk.com/articles/bill-to-codify-cdm-into-law-introduced-in-the-senate/
────────────────

◆ 複数のバックエンド選挙システムが、インターネットに接続されていることを研究チームが指摘(2019.8.8)
選挙セキュリティを研究しているチームによると、米国の10の州における30以上の選挙システムと考えられるシステムが、インターネットに接続されていることが判明した。このうちの複数は、1年以上に渡ってインターネットに接続されていた。研究チームは管轄機関に連絡を取り、複数の機関が該当するシステムをインターネットに接続しないよう対処を施したが、その他の機関は何も反応を示していない。複数の選挙担当者は、ベンダーがシステムをインストールし、そのプロセスに管轄機関は関与していないため、システムはインターネットに接続されていないと語っていた。

- http://www.vice.com/en_us/article/3kxzk9/exclusive-critical-us-election-systems-have-been-left-exposed-online-despite-official-denials

【編集者メモ】(Pescatore)
私たちは20年前に、電力業界の企業が、SCADAシステムやそれに類するシステムがインターネットに接続されていることはあり得ないと主張していたにも関わらず、その後全てのペンテストにおいてインターネットへの接続が確認されるという記事の内容と同じことを経験していた。記事における恐ろしくかつ現実味を帯びている文言は、ES&S社のエンジニアリング管理責任者(VP of engineering)が、システムは「インターネットからのpingによる疎通や、場所の特定が不可能」であり、そのため「悪意のある攻撃者や未認証のユーザからは見えない」ようになっていたというものだ。ES&S社による選挙システム保護へのアプローチが、海に泳ぎに行く時に財布をビーチに置いたままの運動靴に隠す人たちのそれと同程度であることは明らかだろう。
────────────────

◆ Microsoft社の研究チームによると、ロシアのハッカー集団が企業のネットワークにアクセスするためIoT機器を標的としている(2019.8.5)
Microsoft Threat Intelligence Centerの研究チームは、今年初め、企業ネットワークへの接続とより高い管理権限を持つアカウントの捜索を目的とした、ロシア政府の支援を受けたハッカー集団による企業内のIoT機器に対する攻撃を検知したと発表した。複数のケースでは、ハッカー集団が出荷時のデフォルトパスワードを用いてIoT機器にアクセスしていた。

- http://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to-intrusion/
- http://www.scmagazine.com/home/security-news/apts-cyberespionage/russian-hacking-group-strontium-attacking-corporate-iot-devices-microsoft-says/
- http://www.cyberscoop.com/russian-apt-iot-device-security/
- http://www.zdnet.com/article/microsoft-russian-state-hackers-are-using-iot-devices-to-breach-enterprise-networks/
- http://arstechnica.com/information-technology/2019/08/microsoft-catches-russian-state-hackers-using-iot-devices-to-breach-networks/

【編集者メモ】(Murray)
大抵の場合、機器に実装されている無償の機能は、意図した必要最低限の能力を超えた能力を備えている。これにより、攻撃を受ける可能性のある箇所やリスクが大幅に増加している。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップを取得していますか」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたのパソコンやモバイルデバイスが突然壊れてしまったり大事なファイルを
誤って削除してしまったことはありませんか。バックアップを取得していれば、
このような時でも安心です。また、昨今話題になったランサムウエアの被害から
も身を守ることが期待できます。今月はバックアップについて取得のタイミング
や考え方などを一般ユーザにも分かりやすく解説します。社内のセキュリティ意
識向上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-08/201908-OUCH-August-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 複数のセキュリティ専門家が、ブロックチェーンは投票行為を確実にセキュアにするテクノロジーではないと指摘(2019.8.12)
米国内32の州が、オンライン投票を特定の投票者に許可している。これは大抵、海外に住んでいる米軍の軍人やその家族が、不在者投票を行うためのものである。複数の州は、ブロックチェーンを用いたモバイル機器による投票試験(モバイル投票)を立ち上げた。これに対し、セキュリティ専門家は、モバイル投票にブロックチェーンを用いることはトラブルを招く可能性があるとして、警鐘を鳴らしている。問題点として挙げられたのは、ブロックチェーンの利用において、投票操作中の機器にマルウェアが存在しないことが前提とされていることである。複数の専門家は、ブロックチェーンが連邦政府によって認可しているテクノロジーではないことを述べた上で、使用しているテクノロジーについて「技術的に詳細な説明」が提供されていないとして、ブロックチェーンを用いた3つのモバイル投票試験において技術提供を行っているVoatz社を非難している。

- http://www.computerworld.com/article/3430697/why-blockchain-could-be-a-threat-to-democracy.html
- http://cse.sc.edu/~buell/blockchain-papers/documents/WhatWeDontKnowAbouttheVoatz_Blockchain_.pdf

【編集者メモ】(Pescatore)
現実世界においては、「ブロックチェーン」という単語を用いることが、セキュリティに関する事柄を暗示していると信じる人はほとんどいなくなった。州政府の大半は、選挙関連製品のセキュリティレベルを判断できずにいるため、2002年Help America Vote Actにおいて投票製品の認可に関するフレームワークが策定された。認可リストには多くのシステムが名を連ねている。必ずしも認可されている製品が高いセキュリティ
レベルを維持しているということではないが、投票システムを検討する上では、認可を受けていることを最低限の要件とするべきだ。

【編集者メモ】(Murray)
ブロックチェーンの使用は、記録済みの票を最新の変更から保護する上で有用だ。投票者の意図を正確に反映させる目的でブロックチェーンを用いる方法は、思いつかない。
────────────────

◆ ウィスコンシン州の地方選挙事務所におけるセキュリティ向上計画(2019.8.12)
ウィスコンシン州選挙管理委員会の選挙セキュリティ責任者による文書によると、州内の地方選挙担当者は、Windows XPやWindows 7を含む既にサポートされていない、あるいは間もなくサポートが終了するOSを搭載しているコンピュータから、有権者登録システムや選挙管理システムにアクセスしている。文書では、小規模の管轄区で利用できるレンタル用コンピュータの購入や、担当者への技術サポートを提供する新しい職員の雇用が提案されている。ウィスコンシン州の選挙は、地域レベルで管理されており、複数の村では有権者数が50人未満となっている一方、中心部では30万人程度の有権者を抱える都市が存在する。

- http://statescoop.com/hundreds-of-wisconsin-elections-offices-use-expired-operating-systems-election-security-official-says/
- http://elections.wi.gov/sites/electionsuat.wi.gov/files/2019-08/8_13_19%20Commission%20Materials%20Open%20Session.pdf

【編集者メモ】(Pescatore)
HAVA(Help America Vote Act)の下2018には、投票システムのセキュリティ問題を解決するため、各州に総額で3億8000万USドルが支給され、50州全てが資金を受け取った。ウィスコンシン州の地域という細かいレベルでの選挙管理手法は、仕事をより複雑にしてしまうものだ。

【編集者メモ】(Neely)
システム入れ替えのための資金と、新しいシステムを実装するための技術リソース用の資金は、古いOSから手を引く上での二大障壁となっているのだ。現在導入しているOSやアプリケーションをアップデートし、エンドポイントのセキュリティを強化することで、攻撃に対する耐性を高めることができる。しかし、セキュアではないエンドポイントによるリスクを避けるため、集中管理システムを保護することにも注意を払う必要があるのだ。

【編集者メモ】(Murray)
データベースサーバの完全性は、クライアントの完全性に頼るものであってはならない。とは言え、セキュアなクライアントはお金をかけずに提供可能だ。
────────────────

◆ iNSYNQ社に対するランサムウェア攻撃に関する続報(2019.8.9)
QuickBooksのクラウドホストであるiNSYNQに対するランサムウェア攻撃について、ランサムウェアの感染経路に関する新たな事実が判明した。攻撃者はまず、フィッシングメールを介して同社のネットワークへアクセスしたことが明らかになった。iNSYNQ社は、7月16日に同社のネットワークをオフラインに切り替えた。同社は身代金を支払っておらず、いまだ顧客ファイルへのアクセス復旧に努めている。iNSYNQ社のCEOはバーチャル「公会堂」での説明会において、8月2日時点で90%以上の顧客ファイルへのアクセスを復旧したと発表した。

- http://krebsonsecurity.com/2019/08/insynq-ransom-attack-began-with-phishing-email/

【編集者メモ】(Murray)
コミュニティ全体が、ユーザ1人への攻撃を介した企業全体への攻撃に対して、脆弱な状態であり続けている。これは無視できるものではない。この問題の原因の一端は、フラットな企業ネットワークにある。私はアプリケーション層におけるエンドツーエンドの暗号化を推奨しているが、最低限のセキュリティ対策として、メールやインターネット検索で使用するデスクトップは、インフラや業務上重要なアプリケーションから隔離されたネットワークセグメント上に配置するべきだ。
────────────────

◆ サイバーパンデミックが発生した場合、米国内のサイバーファーストレスポンダーの数が限られるため、問題に対処しきれなくなる可能性がある(2019.8.14)
Virginia Cybersecurity Education Conferenceにおいて、Alan Paller氏は、サイバー犯罪者や国家による大規模な攻撃に対抗できる、高度なサイバー技術を有した女性や男性の発掘および教育を目的とした、国家的なプログラム立ち上げへの支援を既に個人的に表明している25名の州知事への賛同者を募るため、高校や大学の教育者に対して想定される事例を説明した。過去の主要な軍事紛争に類を見ない破壊的なサイバーパンデミックに備え、断続的に仕掛けられる犯罪的な攻撃を検知し、それらの攻撃による被害から復旧するために、米国の攻撃検知ハンターやツール開発者の数を現在の1000人以下から5~6万人にまで増やさなければならない。これは企業と軍両方のシステムを保護するために必要な数で、第二次世界大戦が近づくにつれ、10万人のパイロットを養成した時と変わらない大規模な挑戦となる。州知事が立ち上げたCyber FastTrackとGirls Go CyberStartプログラムには、今年23,000人以上の学生が参加し、来年は2倍以上の参加者数が見込まれている。

- http://edscoop.com/us-cybersecurity-workforce-shortage-cyberstart-sans-institute/
2019年の大学生向けプログラム: http://cyber-fasttrack.org/
2019年の高校生向けプログラム: http://girlsgocyberstart.com/
プログラム立ち上げ時の18名の州知事による発表: http://www.sans.org/press/announcement/2019/02/25/1
────────────────

◆ 米国防総省の契約業者向けサイバーセキュリティ要求事項が、混乱を招いている(2019.8.12)
米国防総省(DOD)の契約業者がサイバーセキュリティ要求事項を理解し、遵守する手助けとして用意された二つのプログラムが、契約業者に対し答えよりも多くの疑問をもたらしている。国立標準技術研究(NIST)が発表した草案「 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations(連邦政府外のシステムや組織における、重要だが機密ではない管理が必要な情報の保護」には、費用や適応性、その他の問題に関する質問を含む600以上のコメントが寄せられた。DODの Cybersecurity Maturity Model Certificationプログラムでも、サードパーティによる監査がどの様に行われるのか、成熟度レベルをどの様に判定するのかといった内容が質問された。

- http://fcw.com/articles/2019/08/12/dod-contractor-cyber-johnson.aspx
- http://csrc.nist.gov/CSRC/media/Publications/sp/800-171b/draft/documents/sp800-171B-draft-ipd.pdf
- http://www.acq.osd.mil/cmmc/index.html

【編集者メモ】(Pescatore)
DODとNISTはセキュリティ要求をそこまで高く設定してはいないが、契約業者から不満が出る程度に高いということは評価できる。2018年に発生した情報漏洩の統計(Identity Theft Resource Centerが発表している統計など)を見ると、件数が増えた分野の一つが、下請け業者における情報漏洩であることがわかる。税金で儲けることは非常に割の良いビジネスだ。契約に通常含まれる製造間接費の配賦率は、基本的なサイバーセキュリティ対策を実施するのに十分なものであるべきだ。鍵となる問題は、この基本的なサイバーセキュリティ対策がさらなる報告の負担となってしまうのか、それとも高度なセキュリティを実現するための積極的なテストや検証を含むものとなるのかという点だ。

【編集者メモ】(Neely)
NIST SP 800-171は、CUI(Controlled Unclassified Information)の保護に必要なセキュリティ制御の手引きを提供し、連邦政府のシステムや各システムの優先順位と照らし合わせて、NIST SP 800-53で定義されている制御のうちどれが契約業者に適用されるのかを特定している。NIST SP 800-171Bは、何をどの様に実装するか決定する上で大きな役割を果たすことになる、どの制御が問題の修正に役立つか、そしてその制御がどのようにして成立したかを理解するためのより詳細な議論と背景を提供している。制御を実装することと、制御を検討した上で正式にリスクを受け入れることの比較が、時折見逃されている。

【編集者メモ】(Murray)
私たちは、サイバーセキュリティに対する意識に比べれば、さほど手引きを欠いてはいない。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月22日(木)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp04.html?xmid=300&xlinkid=01

〇8月29日(木)【沖縄開催】
 CISSPチャレンジセミナー沖縄
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp05.html?xmid=300&xlinkid=02

〇9月10日(火)
 クラウド時代における社外とのデータ授受のあるべき姿
 ~ファイル転送・共有サービスの正しい選び方~
https://www.nri-secure.co.jp/seminar/2019/file03.html?xmid=300&xlinkid=03

〇9月12日(木)
 特権ID管理ツールの導入検討支援セミナー
 ~成功の秘訣と導入効果~
https://www.nri-secure.co.jp/seminar/2019/ac07.html?xmid=300&xlinkid=04

〇Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)

https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=06

○東京開催:9月、10月、11月、12月、2020年1月、2月、3月
 沖縄開催:12月
 CISSP CBKトレーニング

https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=07

〇9月、10月
 SANS Tokyo Autumn 2019
https://sans-japan.jp/sans_tokyo_autumn2019/index.html?xmid=300&xlinkid=08

〇10月28日~11月2日【大阪開催】
 SANS Osaka 2019
https://sans-japan.jp/sans_osaka2019/index.html?xmid=300&xlinkid=09

〇11月25日~11月30日
 SANS Tokyo November 2019
https://sans-japan.jp/sans_tokyo_november2019/index.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇セキュリティ対策が遅れる日本企業、経営層のリーダーシップが挽回のポイント
 |NRIセキュア調査結果

https://www.secure-sketch.com/blog/insight2019-security-measures?xmid=300&xlinkid=11

〇日本企業の人材不足、課題の本質は「頭数」ではない|NRIセキュア調査結果

https://www.secure-sketch.com/blog/insight2019-human-resource?xmid=300&xlinkid=12

〇サプライチェーンリスク管理の重要性|情報は「委託先」から漏れる

https://www.secure-sketch.com/blog/supply-chain-risk-management?xmid=300&xlinkid=13

>>ブログ記事一覧
https://www.secure-sketch.com/blog?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -

https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -

https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、電子ファイルを安全に交換する「クリプト便」サービスに、
 ファイル共有の事前承認機能を追加
https://www.nri-secure.co.jp/news/2019/0815.html?xmid=300&xlinkid=20

〇NRIセキュア、デジタルサービスの潜在リスクを複合的に分析し、
 対策を支援するサービスを提供開始
https://www.nri-secure.co.jp/news/2019/0808.html?xmid=300&xlinkid=21

〇NRIセキュア、グループ会社やサプライチェーンのセキュリティリスクを
 Web上で一元管理できるサービスを提供開始
 ~セキュリティ対策実行支援プラットフォーム「Secure SketCH」の新プラン~
https://www.nri-secure.co.jp/news/2019/0806.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料

https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。