セキュリティ対策と法律の調査報告書、公開

IPAのHP「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査」からです。
海外5カ国（アメリカ、イギリス、フランス、ドイツ、オーストラリア）における情報セキュリティ活動と法律の関係を調査し、日本における法律のあり方に対する提言をまとめた報告書が公開されました。

さっと読んでみましたが、日本における法律の整備の相当な遅れを感じました…

報告書は、こちら。
●「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査 報告書」

＜目次＞
●はじめに
●概念
　・情報セキュリティ活動の概念
　・本調査の対象
●リバースエンジニアリング に関する法的問題
　・リバースエンジニアリングの手法と情報セキュリティ活動
　・日本におけるリバースエンジニアリングを用いたセキュリティ活動と著作権の問題について
　・諸外国における脆弱性調査のためのリバースエンジニアリングの適法性をめぐる議論
　・検討
●セキュリティ修正ソフトウェアと法律
　・セキュリティ修正ソフトウェア
　・第三者における修正ソフトウェアの提供
　・我が国における第三者によるセキュリティ修正ソフトウェアの開発・提供に関する法的問題
　・諸外国における議論の状況
　・検討
●著作権技術的保護手段等の脆弱性調査について
　・技術的保護手段とは
　・諸外国における技術的保護手段と法律の解釈の交錯
　・技術的保護手段、権利管理情報に関する法律上の規定と検討
●提言
　・提言の趣旨
　・脆弱性調査目的のデコンパイル の適法性の確認
　・第三者による脆弱性修正プログラム作成の適法性と確認
　・ソフトウェア利用契約における禁止条項の効力
　・技術的保護手段と暗号研究

日本のホルダー数(ISSAP/ISSEP/ISSMP/ISSJP/SSCP)

最新のデータ(2008年4月末)が、ここに出てました。

日本のCISSPのホルダー数は、以前の記事でも、ちらっと書きましたが、もうじき1000名の大台の980名。

さて、それ以外はというと、

・ISSAP：3
・ISSEP：1
・ISSMP：3
・ISSJP：43
・SSCP：1

ということでした。
ISSJP以外は、英語試験しか提供されてませんからね…

事業継続マネジメントシステム(BCMS)関連文書・対訳版

事業継続マネジメントシステム(BCMS)関連文書・対訳版の提供が始まったようですね。(有料です。個人で購入できる金額ではないです・・・)

●事業継続マネジメントシステム(BCMS)関連文書について～JIPDEC

提供される文書は、以下の通り。

・対訳版　BS25999-１
　事業継続マネジメント－第1部：実施規範。
・対訳版　BS25999-2
事業継続マネジメント－第2部：仕様   
・対訳版ISO　PAS22399
　社会セキュリティ－緊急事態準備と業務継続マネジメントガイドライン

BCMS制度の開始、規格化がいよいよ始まるということなんでしょうね。

スパムメール誕生から30年

ITpro「「最初はコンピューターの売り込みだった」、迷惑メールが30周年」からです。

最初の迷惑メールは、米ディジタル・イクイップメント（DEC）の営業部門の代表者が1978年5月3日に送ったものとされているそうです。

えっ、もしかしてコンピュータウイルスよりも古いのか？！
私の記憶では、確か「パキスタンブレイン」が最初で、まだ30年はたってないはず…、と調べてみました。（ググりました）

多くの文献で、コンピュータウイルスは、1986年の「パキスタン・ブレイン」がその始まり、とされていますね。

よって、コンピュータウイルスよりスパムのほうが歴史が長い、ということになります。   

偽のブログも自動作成

COMPUTER WORLDの記事「グーグルのBloggerでスパミングが急増――偽のブログを自動作成」からです。

パッチから攻撃ツールが自動生成されるという記事を、最近取り上げました。

「CAPTCHA」破りの記事も、以前取り上げました。

そして、今度は「CAPTCHA」を破って偽のブログも自動作成、ということです。
このプロセスの成功率はおよそ8～13％、ということですが、そうなると「スパム・ブログ」も増えるのでしょうね。

そういえば、ブログの4割がスパムという記事も、以前取り上げました。

しばらくすると、スパムブログが全体の5割を超えるんでしょうか。

発想力

以前から、情報セキュリティのプロフェッショナルに必要と考えているスキルです。
最近、私がよく講習や講演で話す内容で「準拠性・適合性から、実効性と合理性のセキュリティへ」とか「リアクティブ（事後対応）からプロアクティブ（事前対応）のセキュリティへ」などというのがあります。

そのためにも、この「発想力」は必要だと思っています。
発想できないと「準拠性・適合性」に留まる、「リアクティブ（事後対応）」しかできない、ということになるのだと考えています。
しかし、この差はかなり大きいですし、この「発想力」を身につけるのはかなり難しいことです。
そして「発想力」を身につけるためには、知識の習得だけでは不十分です。

それでは、どうすればいいのか。
やはり、実戦的な学習(演習・ケーススタディ)しかありません。

今日は連休明けなので、調子が出ないのでこのあたりで。（すいません、尻切れ気味で…）

連休控えての、ひとりごと

かなり溜まってます。疲れと原稿が･･･

大型連休中の方もいらっしゃるでしょうが、私は暦通りに働いております。
5/1と2も講習業務です。（5/3～6は休みます）
ちなみに、5月は10日間の講習があります。

これを無事にこなして、溜まっている各種原稿を書きあげれば、しばらくは楽になるかな？（なるといいなぁ～）

ところで、日本のCISSPホルダーはもうじき1000人になりますね。（こちら）

CISSP認定試験、申込手順変更

CISSP及びCISSP-行政情報セキュリティ認定試験を2008年6月以降に、受験される場合の申し込み方法が変更になっています。
これから受験予定の方は、参考にしてください。

●CISSP認定試験申込手順

・申込書　（記入例）

申込書が4枚から24枚になっています。
記入するところが増えたというわけではなく、認定試験の時にアナウンスされていた注意事項などが事前に知らされることになった、ということのようです。

それにしても、読むのは大変そう…

グーグル新入社員はコードを書く前にセキュリティ教育を受ける

@ITの記事「グーグル新入社員はコードを書く前にセキュリティ教育を受ける」からです。

これは、「RSAカンファレンス2008」の米グーグルのスコット・ペトリ氏（エンタープライズセキュリティおよびコンプライアンス担当ディレクター）の基調講演での発言のようです。(諸般の事情で「RSAカンファレンス2008」は参加できませんでした)

この記事によると、

従来の情報システムは、何が起こるか把握できる「ホワイトボックス」だった。しかし自社のものだけでなく、サードパーティのツールやサービスが普通に利用できるようになったいま、どのユーザーがどのリソースを使い、何をするのか、予測も把握も難しい「ブラックボックス」の時代になっている。こうした環境の変化に対応するには、新しいハードウェアやソフトウェアの追加といったやり方ではなく、トレーニングをはじめとする地道な取り組みを通じて、基盤の中にセキュリティを取り込んでいくべきだという。

とのこと。

その通りですね。いわゆる「視えない化」は、一般的なネットの脅威だけでなく、こういうところにもあるわけです。
どこに「ブラックボックス」があるのか、それがわからなかったり、検出も想定もできなかったり、これもセキュリティ上の綻びなのです。

いろんなところで「視える化」という言葉が使われていますが、このような概念もアプローチもない「視える化」は怪しいもんだと思っています。
（特に、人間の目での「視える化」しか、考えてないような場合は）

そこでグーグルでは、この記事の表題のようなことをして、「セキュリティが内面的な文化となるよう、自助努力を促している」というらしいです。
なるほど…

御礼、100,000アクセス突破

ついに、このブログのアクセスが100,000を突破しました。

「情報セキュリティ」というニッチな話題にも関らず、多数の皆様よりアクセスをいただき、心より御礼申し上げます。

これからもよろしくお願いします。

といいながら、もうすぐ連休なので、更新頻度は落ちると思います・・・