クリップボード機能が乗っ取られる

（今日は「CSO/CISOの人材像」シリーズはお休みです。シリーズの続きは、明日以降で･･･）

ITmediaの記事「URLをコピペしたら悪質サイトに――乗っ取り被害が続出」からです。

この記事によると、以下のような現象が起きているようです。

「URLを選択して“ctrlとc”でコピーし、ペーストしようとするたびに、ウイルスと思われるリンクが出てくる」「例えば、http://www.google.com/というURLをWindowsのクリップボードにコピーして、ペーストすると問題のURLになる。ウイルス対策ソフトでスキャンしても何も見つからない」

そして、それはなぜなのかは、

攻撃者はトラフィックを稼ぐ狙いでユーザーのクリップボードを上書きし、自分たちのサイトのURLをペーストさせている。Javascriptなどのスクリプト言語を使って、自動的にデータをシステムのクリップボードにコピーする技術はよく知られている。
今回の現象は、被害者が正規サイトを閲覧した後に発生しており、不正スクリプトを仕込んだFlashが使われている模様。

とのことです。

ということで、どこに不正なスクリプトが仕込まれるかわかりません･･･

「CSO/CISO」の人材像(4)

またまた、前回の続きです。

過去の記事からかなり大雑把にまとめると「CSO/CISO」の人材像とは、「その組織において経営+ITの管理的責任を持つ人」ということになるでしょうか。

それから求められるものとしては、高度な知識だけでなく適切な判断ができる実践的スキル、さらにコンピテンシー、というところになりますね。

そして、これらの人材が「あまり多くないのが現状」ということです。

次回からは、その原因を私なりに考えてみます。(今日は肉体的にも精神的にもヨレヨレなので、このへんで・・・)

「CSO/CISO」の人材像(3)

さて、前回の続きです。

日本ITガバナンス協会のHP、メンバーズオピニオンに「期待されるCSO/CISOとは？」という記事がありました。
（寄稿された、北野さんご本人に教えていただきました。まことにありがとうございました!）

私も、とても参考になりました。
皆様にも、この機会にご紹介したいと思います。

この記事によると、CSO/CISOの一般的役割は、

１） 社内の情報セキュリティの現状を把握し、適切なセキュリティ戦略を立案・計画する。
２） 自らリードしたセキュリティ戦略を企業全体の経営戦略に照らし合わせて整合性を取り、適切な投資と事業リスクのバランスを検討しつつ、経営陣の合意を得る。
３） 情報セキュリティを管理するためのフレームワーク、ポリシー、具体的対策・統制を策定し、リスクと優先順位に従って実施する。またそのコストと効果についても責任を負わなければならない。
４） 継続的な改善活動を含めPDCAサイクルを管理する。そのためには必要に応じて社内のセキュリティ状態を内部監査する必要がある。
５） 組織内のビジネスオーナーやビジネスの現場に対してセキュリティの必要性などを説明し、理解を得て協力を要請する。
６） 社会的な説明責任（CSR=Corporate Social Responsibilityの一部）を果たすために自らスポークスパーソンとなって情報発信を行う。

ということです。

うん、なるほど･･･

そして、CSO/CISOに求められるものは、

・セキュリティ関連技術だけではなく法律、政府のガイドラインやISMSなどの情報セキュリティマネジメント、COBITのような管理フレームワーク、監査、リスク管理、危機管理などの広範な知識と経験
・ビジネスと経営の視点を持つこと
・セキュリティ管理を組織内で推進するためのコミュニケーション能力や内部調整力

ということです。

そして「CSO/CISOに適した人材というのはあまり多くないのが現状」とあります。
「私と同じ意見」というよりも、やはりこれが事実ということ。
事実は、動かせませんね･･･

「CSO/CISO」の人材像(2)

さて、前回の続きです。

CSO/CISOという人材がいない、という問題については、いくつか要因があると考えています。
その最大の要因の1つが、日本においては職位・職務内容と経験や資格が結びついていないことが多い、ということです。もちろん、結びついている組織や人もありますが、結びつかないことが多いので「CSO/CISOという人材がいない」ということになるのでしょう。

人材不足は、その量の問題と捉えられがちですが、それ以上に質の問題が大きいと考えています。
いくらICT人材、情報セキュリティ人材を量産しようが、要求される職務内容と合致しないのでは、人材不足はいつまでたっても解消されません。

ICT人材、情報セキュリティ人材の中でも、特に育成が難しいのはいわゆる「高度人材」（個人的には、この用語についても、あまり良いものと思っていません）であり、その中の1つがこの「CSO/CISO」であり、（現状は）育成するのが最も困難なものになっています。

その理由は、また次回。

※ （諸般の事情で）今週は、更新頻度が落ちるかもしれません。予め、ご了承ください。

「CSO/CISO」の人材像(1)

（ちょっと前の記事なのですが、取り上げるのを忘れてましたので、いまさらですけど…）

japan.internet.comの記事「企業セキュリティの専門家CSOに掛かる期待」からです。
※ この場合の「CSO」には、いわゆる「CISO」も包含される、という前提でこの記事を書きます。

この記事によると、(CIOだけでなく)CSOが必要となってきた背景は、

1.企業の IT への依存の増大に伴って CIO の職務が大きくなり過ぎた
2.企業がインターネットを使うことでセキュリティ対策がより重要になった
3.個人情報や機密情報保護が成熟した
4.企業のガバナンスが重視されるようになってきた

とのこと。

「では、どんな人材像か」、ということで、ある企業の募集広告が引き合いに出されています。
それによると、

■職位
Chief Security Officer

■職務内容
セキュリティポリシーに基づいたセキュリティ対策を組織内で実現するために、技術力と経営管理スキルを併せ持ち、積極的にグループ内の関連会社とも協業しながら、ビジョンを持ったリーダーシップを発揮する

■経験
・ 情報セキュリティ、リスク管理、などを中心とした15-20年の職務経験
・7-10年の上位管理職、役員への業務報告
・2-5年の障害回復・事業継続計画分野での指導的役割
・ISO17799、COBIT、COSO、ITIL などセキュリティ管理フレームワークの知識

■学歴
・Information SystemかComputer Science の学士
・経営管理か Computer Science の修士

■資格
・CISSP、CISM、CISA などの情報セキュリティに関連した専門資格

ということです。

「なるほど、そりゃそういう人材が望まれるよね」と思いながらも、「日本では『経験』『学歴』『資格』は、そうなってない（できない）んじゃないの？」とも思って読んでしまう内容ですね。
「この募集広告では、誰も来ないか、来ても(募集要件に合わなくて)採用できないんじゃないの？」
うん、その通り…

さて、この件に関する、私なりの意見は、次回以降で。（例によって、「なるはや」で！）

武力衝突、サイバー戦争へ発展？

ITmediaの記事「グルジアへのDoS攻撃は“サイバー戦争”か」「グルジアの紛争、サイバー戦争に発展か」
からです。

ロシアのISP、Russian Business Network（RBN）によって、グルジアにある多数のインターネットサーバが7日夜以降、外部からコントロールされ、RBNの制御下にあるサーバへトラフィックがリダイレクトされる状態になっている、ということです。
※RBNは、マルウェアや悪質サイトをホスティングしているとして悪名高いISP

これは言わば、ISPというよりもサイバーな武装集団ですね。
停戦協定、武装解除、兵器廃絶、などが、リアルな戦争（武力衝突）ではありますが、サイバーな世界ではどうなのでしょうか。
やはり、リアルな世界より、見えにくい（逆に言えば、隠しやすい）ということになりますよね。

ウイルス対策ソフトのスキャン処理が停止する

IPAセキュリティセンターのHP「「ウイルスセキュリティ」および「ウイルスセキュリティZERO」におけるセキュリティ上の弱点（脆弱性）に関する注意喚起」からです。

この脆弱性は、

細工されたファイルを何らかの方法(メール添付、ウェブ上からのダウンロード、ファイル交換ソフトなど)で取得したユーザのコンピュータ上で、当該ファイルが「ウイルスセキュリティ」および「ウイルスセキュリティZERO」にスキャンされた場合、スキャン処理が停止します。以降ウイルスが検知できなくなってしまうため、ウイルスに感染しやすくなる可能性があります。

とのことです。

IDS/IPSに対しては、よく「撹乱」攻撃が使われますね。
ウイルス対策ソフトにも、このような「撹乱」攻撃が有効であるという実例になりそうです。

●関連情報
・JVN#66077895「ウイルスセキュリティおよびウイルスセキュリティZERO におけるサービス運用妨害 (DoS) の脆弱性」～JVN

スパムもバイリンガル

日経ITproの記事「「2カ国語スパム」出現、日本語と英語でオンラインカジノに誘う」からです。

このバイリンガルスパムは機械翻訳を使っているようで、日本語の精度があまり高くないようです。
ということで、今のところ大きな脅威ではないようですが、ただ将来機械翻訳の機能が向上すれば、かなりの脅威になる可能性がありますね。

それから、相変わらず「全メールの78％がスパム」ということのようで。
今のところは、こちらのほうが脅威ですね。

「失敗学」的人材育成論

日経ITproの記事「システム開発は20年縮退している，“むしり取る”型の人材育成が必要」 からです。

「失敗学」でおなじみの畑村先生が、人材育成について語っておられます。

　「自分は，システム開発30年のベテランです」という方に実際に会ってみると，素人がただ30年経験してきただけのように思えることがあります。逆に若い人でも，課題設定と制約条件を見抜くスキルを備えた意欲のある人ならば，3年で30年分の経験に相当するレベルまで達することができるでしょう。そういう人をきちんと育てることが重要です。

　ただし，何かをやる手順や規則を効率的に覚えるといった，従来型の教育や研修，訓練だけではダメだと思います。自分で決めて自分の責任で実行し，評価するといったPDCA（Plan Do Check Action）のサイクルを何度も実行すると頭に残るものがあります。その頭に残った考え方が力を持ちます。

　「おまえの責任でこれをやるんだ！」「そこで学んだことを次のレベルでやってくれ！」と責任を持たせながら，最初は小規模のシステムを，次に中規模，大規模といった具合にやらせていくわけです。多くの仕事を任せながら，そこで抜きんでる能力を持つ人材を育成しなければなりません。

直接「失敗学」と結びつく内容ではありませんが、私が日ごろ主張している「経験は必要であり財産であるが、逆に作用している場合もある（経験を生かしスキルになっている人と、経験がスキルの維持向上を邪魔している人がいる）」「継続的トレーニングの重要性・有効性」ということが書かれていて、まさに共感できました。（正直、うれしくなってしまいました）

ということで、また少し自信ややる気も出てきたような気がするので、夏バテ気味ながら今週もがんばります！

「こんな個人サイトはイヤだ」ワースト20

CNET Japanの記事「こんな個人サイトはイヤだ」ベスト20からです。

この調査は、gooランキングの結果であり、それによるとそのベスト20（困ってしまうことなので「ワースト20」と言うべきでしょうね…）

●個人のウェブサイトで困ってしまうことランキング(順位,内容)
1 画像が多くて、重い
2 ポップアップがどんどん開く
3 アフィリエイトバナーがたくさん貼られている
4 「準備中」「作成中」のコンテンツだらけ
5 なにかあったら音が鳴る
6 よく分からないプラグインを勝手にインストールしようとする
7 リンクが切れているところが多い
8 なんのためらいもなくPDFファイルへのリンクが貼られている
9 トップページからFlash
10 目に優しくない背景色（黄色や赤色など）
11 過激な主義・主張（差別、原理主義的な思考など）
12 マウスカーソルになにかキャラクターがくっついてくる
13 文字が小さすぎる／大きすぎる
14 ブラウザのサイズを勝手に変えられる
15 サイトを見ても何を伝えたいかがわからない
16 右クリック禁止
17 エイプリルフールネタは「サイトを閉鎖しました」「管理人は死亡しました」
18 ほかのページが新規ウインドウで開く
19 機種依存文字を多用している
20 個人の顔写真、タレント写真など無許可の画像を掲載

なるほどね…

ちなみに私はこのブログだけで、個人ウェブサイトは開設していません。（手段や権利は持ってますが）
上記で該当しそうなのは、「8 なんのためらいもなく、PDFファイルへのリンクが貼られている」ですかね。
※ とにかく「15 サイトを見ても何を伝えたいかがわからない」でなければ、まずは良いのですが…

＜関連記事＞
「こんな企業サイトはイヤだ」ベスト20～CNET Japan