【転載】CIS パスワードポリシーガイド。パスフレーズ、監視など - CIS

CIS パスワード ポリシー ガイド: パスフレーズ、監視、その他 - CIS:



ホーム • リソース • ブログ • CISパスワードポリシーガイド:パスフレーズ、モニタリング、その他
それらを愛するか、それらを嫌うが、パスワードは間違いなく時間テストされ、不完全な 正しく使用された場合、サイバー攻撃から組織を保護することができるユーザー認証のための方法でした. しかし、組織のパスワード ポリシーを本当に有効にするには、不正アクセスを防止するための追加の防御戦略を含める必要があります。

新しいパスワード ポリシーの標準は、現実世界の攻撃データを活用し、それを 、ユーザー 、パスワードの作成と記憶を容易にするという 2 つの主要な原則に基づいています。

組織は、これらの新しい標準に準拠するために、更新されたツールとポリシーを採用する必要があります。これには、パスワード作成、多要素認証 (MFA)、アカウント ロックアウト、およびその他の保護対策に対する新しいアプローチが含まれます。

2020 年 7 月に公開された CIS パスワード ポリシー ガイドでは、この新しいパスワード ガイダンスを 1 つのソースに統合します。このわかりやすいガイドでは、ベスト プラクティスを提供するだけでなく、推奨事項の背後にある理由を説明します。最も一般的なパスワード ハッキング手法に関する情報と、攻撃を防ぐためのベスト プラクティスの推奨事項が含まれています。このガイドは、CIS ベンチマークと CIS コントロールの開発に使用される、コミュニティ主導のコンセンサス ベースのプロセスを通じて開発されました。
ユーザーがパスワードを作成して記憶するのを支援するために、このガイドには次のようなヒントが用意されています。
  • パスワードの代わりに「パスフレーズ」を使用する   -- 長さは、良いパスワードの最も重要な側面です。しかし、一つの長い単語は覚えておくのが難しいだけでなく、綴るのも難しいです。CapeCodisaFunPlaceのような多くの単語を含むパスフレーズは、覚えやすく、クラックするのが難しくなります。
  • 個人情報に関連する言葉を使用しないでください  - 攻撃者がインターネット上であなたについて調べることができるものを避けてください。あなたは地元のマスタングカークラブの会長である場合は、パスワードとして「マスタング」を使用しないでください。
  • 辞書語の使用を制限する:  一般に、敵対者がパスワードを攻撃する方法は、最初に辞書内の単語のさまざまな組み合わせを試みることによって行われます。これは多くの言葉ですが、可能なすべての文字の組み合わせを試すよりもはるかに少ないです。パスフレーズに非辞書代替を使用する:  Th3F0rdMust@ngis #1
このガイドには、パスワードおよびアクセスシステムの管理責任者のためのオプションも含まれています。

  • 多要素認証 (MFA)  -- MFA (2 要素認証 (2FA) とも呼ばれる) を使用すると、ユーザーはアカウントにログインする際に 2 つ以上の evidence  を提示できます。MFA は、現在市場で入手可能な最も安全なユーザー認証方法であり、ユーザビリティへの影響は最小限です。
  • 提供パスワードマネージャ - パスワードで作成されたシステム生成パスワード managerは、人間が作成したパスワードよりもはるかに強力です。しかし、ユーザーは結果を覚えていないでしょう:   GHj *65%789JnF4$#$68IJHr54^78 . パスワードマネージャーはユーザーのパスワードの保存と管理を担当します。
  • より高度なアクセス ロックアウト手法を使用する -- 5 回連続して失敗した後に一時的なロックアウト(15分以上)を強制するか、ログインスロットルの失敗と組み合わせてログインの監視に時間を費やしたりすることは、パスワードだけに焦点を当てるよりもはるかに効果的です。
「CIS パスワード ポリシー ガイド」には、さらに詳しい推奨事項が記載されています。これには、次のようなものがあります。

  • システム・ベースのパスワード作成を支援
  • 役に立つポリシー
  • 広範な参照
これらの推奨事項を適用することで、組織が現在利用可能なパスワード管理に関する最新の制御を実装できるようになります。
Download
著作権© 2020

インターネット セキュリティセンター®



ーー以下原文ーー



Home • Resources • Blog • CIS Password Policy Guide: Passphrases, Monitoring, and More




Love them or hate them, but passwords have undeniably been a time-tested and imperfect method for user authentication that can protect organizations from cyber-attacks if used correctly. To be truly effective however, an organization's password policy must include additional defensive strategies to prevent unauthorized access.

New password policy standards are based on two primary principles: leveraging real-world attack data and making it easier for users to create and remember passwords.

Organizations need to employ updated tools and policies to conform to these new standards. These include new approaches to password creation, multi-factor authentication (MFA), account lockouts, and other safeguards.

The CIS Password Policy Guide released in July 2020 consolidates this new password guidance into a single source. This easy-to-follow guide not only provides best practices but explains the reasoning behind the recommendations. It includes information on the most common password hacking techniques, along with best practice recommendations to prevent attacks. The Guide was developed through the same community-driven, consensus-based process used to develop the CIS Benchmarks and CIS Controls.
To assist users with creating and remembering passwords, the Guide offers tips, some of which are:
  • Use "passphrases" instead of passwords -- Length is the most important aspect of a good password. However a single long word is not only difficult to remember, it's also difficult to spell. A passphrase containing a number of words, such as CapeCodisaFunPlace, is both easier to remember and harder to crack.


  • Don't use words related to your personal information -- Avoid things that attackers can look up about you on the internet. If you are the president of the local Mustang car club, you shouldn't use “Mustang” as a password.
  • Limit using dictionary words: In general, the way adversaries attack passwords is by trying various combinations of words in the dictionary first. This is a lot of words, but a lot fewer than trying all the possible letter combinations. Use non-dictionary alternatives for passphrases, for example: Th3F0rdMust@ngis#1
The Guide also includes options for those responsible for managing password and access systems:

  • Use Multi-Factor Authentication (MFA) -- MFA, sometimes referred to as Two-Factor Authentication (2FA), allows the user to present two, or more, pieces of evidence when logging in to an account. MFA is the most secure user authentication method available on the market today, and has minimal impact on usability.
  • Offer Password Managers -- System generated passwords created by a password manager are much stronger than human-created passwords. Users will likely not remember the result however, which will look something like this: GHj*65%789JnF4$#$68IJHr54^78. So, the password manager takes care of the storage and management of that password for the user.
  • Use more sophisticated access lockout techniques -- Enforcing temporary lockouts (15 minutes of more) after five consecutive failed attempts, or using time doubling login throttling techniques, combined with failed login monitoring can be much more effective than focusing solely on the password
There are many more detailed recommendations contained in the CIS Password Policy Guide. These include:

  • System-based assists for password creation
  • Helpful policies
  • Extensive references
Applying these recommendations will ensure an organization implements the most up-to-date controls regarding password management available today.
Download

【転載】ハッカー事典 v2.0 をリリースしました。

Masafumi Negishi retweeted:





Threat Group Cards: A Threat Actor Encyclopedia v2.0 is released.

Download: thaicert.or.th/downloads/file…
:

Masafumi Negishi retweeted:

Threat Group Cards: A Threat Actor Encyclopedia v2.0 is released.



Download: thaicert.or.th/downloads/file…

EcZW6IAUEAE5wG5.jpg:largeEcZW7TeVcAAaFPG.jpg:large
バックアップ

【転載】本日(28日)観測されている日本語メールを参考程度に追記しました。/ マルウェア「Emotet」が再度、日本の組織を標的に


Emotet」に感染させるばらまき型メールに注意、9月から拡散活動が再び ...



本日(28日)観測されている日本語メールを参考程度に追記しました。/ マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。 

:

watoly retweeted:

本日(28日)観測されている日本語メールを参考程度に追記しました。/ マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。

sugitamuchi.hatenablog.com/entry/2020/07/…



マルウェア「Emotet」が再度、日本の組織を標的に


どうも@sugimuです。 ※Twitterでも情報を共有しています。
つい先日、Emotetの拡散活動が再開されたということで以下のブログを更新しました。
sugitamuchi.hatenablog.com
そして、本日(07/23)の8:30頃から日本語の件名、本文、添付ファイル名のメールを観測し始めましたので共有します。

f:id:SugitaMuchi:20200723100614p:plain
観測した日本語メール


目次

日本語のEmotetへ感染させる目的のスパムメール

Twitter上でも注意喚起をしています。
僕以外にも、ばらまきメール回収の会のbom氏が注意喚起情報を発信しているので、注意して確認する必要があります。(2020/07/23 10:20時点)

7/28 追記分

28日、朝から日本語メールを多数観測しており、複数組織が受信していることも確認しています。
参考として、観測したメールの一部(全体では数万通ほど)を紹介します。
以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。

f:id:SugitaMuchi:20200728122112p:plain
メール1

以下は記載されているリンクをクリックすることでEmotetに感染させる目的の悪意ある文書ファイルがダウンロードされます。

f:id:SugitaMuchi:20200728120100p:plain
メール2

以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。
過去に拡散が確認されたハッキングを騙るメールを悪用しているものと考えられます。

f:id:SugitaMuchi:20200728120547p:plain
メール3

以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。

f:id:SugitaMuchi:20200728122634p:plain
メール4

以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。

f:id:SugitaMuchi:20200728121601p:plain
メール5

以下はいわゆる返信型と呼ばれるメールで、Emotetに感染させる目的の悪意ある文書ファイルが添付されています。
過去のメール等のやり取りに返信する形で送られてくることが特徴で、件名や本文などは決まっていないため、注意が必要です。

f:id:SugitaMuchi:20200728124338p:plain
メール6

上記以外にも多数観測していますが、現在確認されている件名はbom氏がまとめてくれていますので参考にしてください。
(こちらに記載されている件名は全て観測しています...)

上自分のメールアカウントに上記のような件名もしくはファイル名のメールなどが届いた場合や、
本文においても、内容が途中で内容が切れている、英語を直訳したような文面、日常会話で使わないような文面、何か違和感を感じる(人によりけりですが・・・)などのメールは注意が必要です。
なお、上記以外のメールも多数存在することを確認しております。
観測したメールに話を戻しますが、メールにはEmotetに感染させる目的の悪意あるドキュメントファイル(Maldoc)が添付されています。

f:id:SugitaMuchi:20200723110346p:plain
添付ファイル

この添付ファイルを開きマクロを有効にしてしまうと、悪意あるマクロが実行されてしまいます。
以下はサンドボックスで実行した結果です。

f:id:SugitaMuchi:20200723110557p:plain
サンドボックスでの実行画面

その後、この検体ではPowerShellが実行されて外部からEmotetがダウンロードされ、実行されてしまいます。

f:id:SugitaMuchi:20200723110701p:plain
プロセス遷移

実行されるPowerShellの通信先は以下のようにCyberChefで取り出すことができます。

f:id:SugitaMuchi:20200723111424p:plain
CyberChefでのデコード結果

今回はbom氏がブログで紹介している以下のCyberChef レシピ実装済URLを活用しています。
bomccss.hatenablog.jp気になる方はbom氏のブログを参照して活用ください。
現時点では、添付ファイルは以下の拡張子を確認しています。
.doc
.rtf
.pdf
pdfに関しては、リンク先が記載されており、リンク先を開くことによって悪意あるドキュメントファイル(Maldoc)がダウンロードされます。
ダウンロードされたドキュメントファイルは開かないように注意しましょう。
加えて、添付ファイルは存在せずにメール本文にリンクが記載されているパターンも存在します。
リンク先を開くことによって悪意あるドキュメントファイル(Maldoc)がダウンロードされるため、ドキュメントファイルは開かないように注意しましょう。

現在の日本国内での感染状況は?

上述したように、7/17の深夜からEmotetの拡散活動が再開されてからというもの、メール本文や添付ファイル、件名などの一部に日本語が混じることはSNS上で何度か確認はしておりましたが、
今回のように全て日本語が含まれているメールは前回の攻撃(2019年10月頃~2020年2月まで)以来かと思います。
メールのFromについても日本のドメインからのものであることから、日本の組織に属する端末が既にEmotetに感染しているものと考えられます。
観測している限りでは、200メールアドレス近くの国内のアカウントが侵害されており、20以上の国内組織がラテラルムーブメントしている可能性があります。
以下は関連する業種です。
化学工業
建設
福祉
食料品
運輸
不動産(7/28追記)
法律(7/28追記)
比較的取引やメールの頻度が多い同業種間での感染被害が多いと考えられるため、現状これらの業種の方々は注意が必要であると考えます。

まとめ

前回の攻撃(2019年10月頃~2020年2月まで)を振り返ると、日本語メールが確認され始めてからの日本国内の感染数の増加は異常であったと感じています。
今回においても、既に数十の組織で数百の端末が感染している可能性が考えられ、十分な注意が必要であると考えています。
Emotetに感染すると、メールの認証情報をはじめ、過去にやりとりしたメールの内容も不正に収集されます。
不正に収集された情報は攻撃者に渡ってしまうだけではなく、悪用されて世界中へばらまかれる危険性も孕んでいます。
過去には不動産系の企業が感染し、引っ越し者の個人情報が悪用されて配信されていたケースも知っています。
また、TrickBotやQBot、最終的にはランサムウェアのRyukなどに二次感染する可能性もあり、さらなる二次被害を受けることもあります。
マルウェア(コンピュータウイルス)はよくわからないと思うのではなく、ほんとにこれは身近な問題であると認識してほしいです。
感染しないために適切な対策を行ったり、仮に感染しても早急に適切な対処を行うことで感染被害を減らすことができます。
感染していない組織も含め、以下のような公開されている情報を一読し、感染する前から対応方法の検討や相談するべき組織等を把握しておくだけでもよいと思います。
ばらまきメール回収の会のにゃん☆たく氏のブログです。
mkt-eva.hateblo.jpタイトルはふざけてますが、中身は「Emotetに感染しないためにはどうすれば良いか」が紹介されていますので、こういう情報を活用するとよいでしょう。
また、JPCERT/CC EyesやIPAも対応方法等について情報を出しているため、しっかり確認しておくとよいでしょう。blogs.jpcert.or.jp
以上

<更新履歴>
7/23 公開
7/28 日本で観測されている日本語メールに関して追記

【転載】その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには

その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには | ハフポスト日本版:

©ザ・ハフィントン・ポスト・ジャパン株式会社
漏洩防止のため、重要なファイルをメールを送付する際、こんなやり方で送っていませんか。ファイルをパスワードを使って暗号化ZIPファイルにして送信。そのあとに、ファイルを開けるための、パスワードを同じメールアドレスに送るーー。銀行や弁護士、大企業なども使っている方法だ。

これは「意味がないだけではなく有害だ」。そう指摘するのは、アイデンティティ管理とプライバシー保護に詳しい「NATコンサルティング」代表の崎村夏彦さんだ。

多くの企業でセキュリティ強化の目的で、ZIPファイルを添付したメールとパスワードの通知をそれぞれ別のメールで送信することを内規などで推奨している。だが、ZIPさえ使っていればセキュリティ強化だと思い込む「盲信」に警鐘を鳴らす。

パスワードを送るのに同じ流通経路のメールを使うと、セキュリティは担保されない。同じ通信経路であるメールでパスワードを送ると、攻撃者がいた場合、同じ通信経路に流れるものは一挙に盗み見られるので、セキュリティは担保されないのだ。

また、ZIPファイル自体は問題ないとされているが、ZIPファイルの暗号化には複数の方式があり、一般に使われている方式は弱い暗号であるため、悪意のある攻撃者に対しては、脆弱だという指摘もある。

パスワードをSMSで送ったり、事前のオフラインで共有したりするなど、メール以外の流通経路を使えば問題はない。ただ、現状そのように周知徹底されることはほとんどないという。

情報処理学会2020年7月号の「さようなら,意味のない暗号化ZIP添付メール」の小特集の中で、ZIPファイルの使い方について、崎村さんらはこのように疑義を唱えた。

実は、ZIPファイル方式の無効性は以前から言われてきたことだ。このやり方が、過去にも様々なところで指摘されても、メールでパスワードを送ることが続いている。崎村さんは「セキュリティやプライバシーの監査基準で、メールなどのデータ転送の際に重要なデータは暗号化するようにと書いてあることを表面上満たすための最も安易な方法として実施されている可能性はある」と指摘する。この日本のZIPファイルをめぐる慣習は、もはや「おまじない」を信じているに過ぎない、という。

さらに崎村さんが「有害」と言う点。それは、メールの添付ファイルを使った攻撃に対して、暗号化されたZIPファイルは、中身がわからないが故に、企業が有害な中身がないかチェックする「マルウェア対策」を無効にしてしまう。そのため、かえって受信者のセキュリティリスクを高めている。

さらに、テレワークが増える今、会社支給のiPadやパソコン以外で仕事をすることも多くなっている。そんな中、デバイスによってはZIPファイルが開かないこともあるという。

受信者にとっては、開けるのに一手間かかるため面倒で、さらに、デバイスによっては開けられない状況に陥る可能性があるZIPファイルは業務の生産性の阻害にもなる。

今多く使われているZIPファイル方式では、2度メールを送るため、誤送信防止の効果があるという見方もあるが、「(2度の送信を)ツールで自動的にやっていたら意味ないですし、誤送信対策であったら、より効果的な方法が他にありますからそちらを採用すべきです」と崎村さんは指摘する。

情報処理学会誌などによると、識者の間ではこのZIPファイル方式を揶揄して、“PPAP”方式と呼ぶ。それは、
PasswordつきZIPファイルを送る

Passwordを送る

Aん号化(暗号化)する


Protocol (データ通信の手順)

だからだ。

識者の間では、PPAP方式が変わらない状況に危機感を覚えているという。「意味のない対策にお金を使ってしまって、本来やるべき対策が疎かになっています。干ばつに備えるには、貯水池と灌漑設備を作らなければいけないのに、そのお金を使って神殿をつくって祈りを捧げるようなもの」と崎村さんは懸念する。

新しい動きも一部にはある。セキュリティ改善のため、ある企業では、外部からの暗号化のファイルは見られなくしたり、ファイルはDropboxやGoogleDriveで利用者認証付きで共有するなど、メール添付ではない方法で受け取るよう指導するところも出てきている。

【転載】VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点:

1594206459

本日、日課にしているTwitterを眺めていたら、気になる投稿が目に留まりました。

ちょっと扱いこまるやつなので。
標的型メール訓練、開封、報告率とか「だけ」にフォーカスするのは訓練として足らない。そういった不審なモノが送られてきたら、それを約款に基づく外部サービスに対して提供をしない、といった社内リテラシ徹底がむしろ重要です。https://t.co/6fQrROEeBH

— hiro_ (@papa_anniekey) July 8, 2020
ANY.RUNにとある企業で利用したと思われる標的型訓練のファイルがアップロードされていたようです。

ANY.RUNやVirusTotalなどのオンライン検査サイトの使い方を誤ると重大な情報漏洩が発生してしまいます。

そこで今回は、この問題を簡単にですがまとめてみました。

【目次】

VirusTotalやANY.RUNとは大雑把に言ってしまうと、無料でファイル・サイトが危険なものかどうかを判定してくれるオンラインのサービスになります。

以下にいくつかのサービスを紹介します。

VirusTotalはWebサイトにファイルをアップロードすることにより、複数のアンチウイルス製品(記事投稿時には73種)による検査を行ってくれるサービス。

ファイルの検査のほかにドメイン/IPを指定するとウェブサイト検査製品による検査も行ってくれる。
ANY.RUNはアップロードした検体を操作してファイルの挙動を見ることができるオンライン型のサンドボックスサービス。
ANY.RUN
HybridAnalysisはアップロードしたファイルの挙動情報などの詳細な解析結果が得られるサービス。
Hybrid Analysis
指定したウェブサイトを代理アクセス・スキャンし、分析してくれるサービス。過去のページや現在のライブ映像を確認することができる。
昨今、標的型メールやランサムウェア、フィッシングサイトについてセキュリティの専門家やTV・新聞などのメディアが取り上げてきたことにより、セキュリティに詳しくない人にも少しずつ認知されてきました。そして、より一歩進んだ人はVirusTotalやANY.RUNといったファイルを上げるだけでマルウェアかどうかを判定してくれる無料のオンラインサービスがあることを知っています。

そのため、不審なファイルがメールに添付されていたり、ダウンロードしたりすると安全を確認するためにVirusTotalにファイルをアップロードしてマルウェア判定が出ないことを確認したのちにファイルを開くことが考えられます。(VirusTotalマルウェア判定が出ないからといって安全とは限りませんが今回は言及しません。)

しかしながら、このサービスについての仕組みを理解していないと企業の機密情報の漏洩につながりかねません。

というのも、上記に示したサービスの大半はアップロードしたファイルの結果だけを残しているのではなくアップロードしたファイルもデータベースに残されているのが大半です(ANY.RUNに至っては、動画としても残っているためファイルを開いたら中身も映像・画像として記録される)。そして大半のサービスでは、セキュリティ研究のために有償のサービスを提供しており、各サービスに保存された検体ファイルをダウンロードすることができます(VirusTotalではVirusTotal Intelligence)。

つまり、企業の社外秘の資料などをアップロードしてしまうと有償サービスを利用している人はダウンロードできてしまい企業の情報が漏洩してしまいます。
じゃあ、上記のサービスは使用しない方がいいのでしょうか。

私は、オンラインの検査サービスの仕組みと利用するリスクをきちんと理解したうえで利用する分にはとても便利なサービスだと思っています。

以下の意見を述べる専門家の方もいらっしゃいました。

(続き)大事なことは3つだと僕個人は思っていて、①『個人の判断でファイルを外部の調査サイトで調べない』②『不審なものだと感じた時に組織内のどこに連絡すれば良いか知っておく』③『組織に所属している人間が②をしたいと思った時にすぐ知れる状態にしておく』だと思っています。

(続く)

— にゃん☆たく (@taku888infinity) July 8, 2020
私の上記サービスの利用方法について記します。

  1. 不審なファイルのハッシュ値を取得(Windows:certutil -hashfile、Unix:md5sum)
  2. 1.で取得したハッシュ値を各サービスで検索
  3. 検索結果がなかった場合、組織内のセキュリティ対策部門などの対策・通報先に連絡
  4. 対策部門の指示に従う
ファイルのアップロードは本当に最後の手段であり、対策部門や上司などの許可を取ったうえで、行うべきであります。

明らかにマルウェアとわかるものであっても安易にアップロードすることはお勧めしません。なぜなら、標的型攻撃に使用されるマルウェアの場合、組織の内部NWに合わせて調整している可能性もあるため、アップロードして第三者がダウンロードしてしまうと、攻撃者しか知らない内部NW情報が知られてしまい。また別の攻撃者に利用されることも考えられるからです。
というか、VTとかanyrunとかそういうサービス紹介するんだったら併せてそういうリスクも紹介して欲しい(自分はいつもそうしてる

— ほよたか (@takahoyo) July 8, 2020
VirusTotal でやってしまった事例 (想定) より 3例

(事例1) 標的型メール攻撃訓練において、被験者が騙されやすいように実在の社内組織、担当者個人名、連絡先を記載した攻撃メールを送付したところ、受信者のうち 1名が VirusTotal に提出してしまった。

— Neutral8✗9eR (@0x009AD6_810) June 13, 2018
(続き)しかし、こういったVTや最初の引用ツイートで使われているAnyrun等はアップロードされたファイルを自分以外の誰かに確認されてしまう(ダウンロードされてしまう)可能性が十分にあるので注意が必要です。ではこういう事態にならないためにはどうすれば良いのでしょうか。

(続く)

— にゃん☆たく (@taku888infinity) July 8, 2020
「怪しいメールを受け取った・開いたと思ったらどうしたらよいか?」が社内に浸透してないのに、なんで標的型メール訓練やろうとするんだ?避難経路とか避難時の手順とか知らないのに避難訓練やるようなもんだろ。

— Sen UENO (@sen_u) July 8, 2020
VirusTotalやANY.RUNなどのマルウェアを判定してくれるオンラインサービスは便利である反面、情報漏洩のリスクが伴います。
各サービスの特徴や仕組み、リスクを調査したうえで利用しましょう。

また、安易に企業のファイルなどをオンラインサービスに上げないように社内リテラシーを上げることも重要になります。

拙い文章になりますが、ここまで読んでくださりありがとうございました。

【更新履歴】

2020/07/08 PM 公開