セキュリティ情報，あなたはどこから入手していますか？

みなさんはセキュリティに関する情報をどこから入手しているだろうか。筆者はよく，セキュリティ情報の情報源について取材先と話すことがある。そのようなときには，有用な情報源の一つとして「SANS Institute」を挙げている。IT Pro読者の中にはご存じの方は多いだろうが，相手がセキュリティにあまり詳しくない場合には「聞いたことない」と言われることが少なくない。

筆者としてはSANS Institute（以下，SANS）を広く知ってもらって，できるだけ多くの人にSANSの情報を活用してほしいと思っている。IT Proでは，SANSの情報を基にしたニュース記事を今までに何本も掲載している。しかしながら，SANS自体を説明する機会はなかった。そこで本稿では，SANSについて簡単に紹介したい。今までSANSを知らなかった方は，セキュリティ情報の入手先の一つとしてぜひ活用していただきたい。

SANSでは，毎日更新されるブログや週刊のメール・マガジンなどで最新のセキュリティ情報を提供している。情報は基本的にすべて英語である。だが，一部のコンテンツは日本語化されている。後述する「TOP20 リスト」については，NRIセキュアテクノロジーズとSANSが日本語版を公開している。また，両者は「SANS JAPAN プロジェクト」という日本向けサイトを2005年から立ち上げている。今後は，SANSが公開する他のコンテンツについても日本語化されることが期待される。

“本業”はセキュリティ・トレーニング

SANSとは「SysAdmin，Audit，Network，Security」の略。米国で1989年に設立された情報セキュリティ専門の民間組織である。組織の目的は，政府機関や企業，教育／研究機関を対象に，情報セキュリティの調査／研究／教育を行うこと。同組織の主なメンバーは，政府機関や企業，教育／研究機関などに所属するセキュリティの専門家である。

同組織のトップ・ページを見てもわかるように，SANSのメインの活動は，システム管理者やセキュリティ技術者，CIOなどを対象したトレーニング（セミナー）である。主に全米各地で実施されているが，国内でも2003年からNRIセキュアテクノロジーズと共同でトレーニングを開催している（関連記事）。オンラインでのトレーニング・メニューも用意している。

また，セキュリティに関する技術や知識に優れていることをSANSが認定する「GIAC（Global Information Assurance Certification）」と呼ばれるプログラムを1999年から実施している。

とはいえ，トレーニングや認定試験だけを提供している組織ではない。無償で利用できるセキュリティ・コンテンツを多数用意している。これらを利用しないのはもったいない。 [全文]