« 2006年11月 | トップページ | 2007年1月 »

2006年12月の記事

2006年12月30日 (土)

セキュリティ重大(十大)ニュース

このブログで「今年を何で締めくくろうか」と考えた結果、やはり重大(十大)ニュースにすることにしました。

日経ITproの12/28の記事「『Security』分野の2006年重大トピックス」
-Winny問題が話題,脅威の“見えない化”も進む-


では、2006年にITproで公開したセキュリティ記事のアクセス数ランキング・トップ10を公開しています。

1位 「早く入金してください!」,“ワンクリックウエア”に注意---ウェブルート [3/14]
2位 Windows XP/2003のTCP同時接続数制限とその回避 [8/12]
3位 YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロード [11/07]
4位 記者も体験,偽セキュリティ・ソフトのだましの手口 [6/29]
5位 14歳少年が使ったフィッシング詐欺の手口 [5/30]
6位 「それでもあなたは使いますか?」,Winnyの危険性をIPAが再警告 [3/3]
7位 8月の修正パッチにIEが不正終了する問題,Windows 2000とXP SP1が影響 [8/12]
8位 「動画好きのユーザーは注意」,コーデックに潜むスパイウエアが脅威に [8/23]
9位 検出ツールの開発者が語る,「Winnyを検出する方法」 [4/12]
10位 マスコミと情報収集家が悪化させる「Winny問題」 [4/4]

不正プログラム(ワンクリックウェア、スパイウェア):1位、3位、8位
Winny:6位、9位、10位
フィッシング:4位、5位
Windowsの脆弱性:2位、7位
の、4つに分類できそうですね。ちょっと偏りが大きい気がします。

せっかくですので、もう1つ。
少し前ですが、ネットワークリスクマネジメント協会でも、NRAのメルマガの記事の中から選んだ「2006セキュリティ十大ニュース」を公開しています。

■2006 セキュリティ 十大 ニュース       
【第1位】3月15日 Winny経由の情報漏えい事件多発
 ~ 求められる本質的な対応 ~
【第2位】11月21日 J-SOX 内部統制実施基準案 発表される
 ~ 財務報告の信頼性を担保する ~
【第3位】8月2日 MSの狙われた第2火曜日
 ~ ゼロデイ攻撃に注意 ~
【第4位】11月24日 個人情報保護法に過剰反応
 ~ ギスギスした関係を改善していこう ~
【第5位】11月30日 航空自衛隊員個人PCから機密情報流失
 ~ 境目が無くなる、個人と組織 ~
【第6位】11月7日 増え続けるスパムメール
 ~ ウイルス付メールは減少傾向にあるものの、犯罪目的のメールは増大 ~
【第7位】10月28日 SoftBank Mobile MNPの受付で基本的なIT障害
 ~ 情報インフラを担う事業者としての自覚が求められる ~
【第8位】9月19日 NTT東西 ひかり電話が長時間トラブル
 ~ ライフラインとしての信頼性の確保が急務 ~
【第9位】5月22日 米国でも大規模な重要個人情報の漏えい!流出元は職員の自宅
 ~ 現場管理は万国共通の組織課題 ~
【第10位】10月25日 政府「情報セキュリティの日」を2月2日と制定
 ~ 日本の情報セキュリティ文化の醸成に向けて ~

こちらは項目がバラエティに富んでますね。
個人的には、こちらのほうが2006年の日本のセキュリティを表している気がします。

年末年始はこのブログもお休み、更新しない予定です。
本日の更新のあと、再開は1/4を予定しております。

皆様、本年は大変お世話になりました。
また、年明けにこのブログでお会いしましょう。
良いお年を。

| | コメント (0) | トラックバック (0)

2006年12月29日 (金)

(幻の)MSのプレゼンテーションマウス

11月23日の記事「ワイヤレスマウス」を書いた後、Microsoftからこのようなマウスが発売されました。

Microsoft Presenter 3000Mspresen3000

Microsoft Presenter 3000 は、2.4 GHz ワイヤレスを採用したプレゼンターです。スライド ショーのページ送り以外に、レーザー ポインタ、ブランク スクリーン、タイマー機能を搭載しています。また、プレゼンテーションの残り時間が本体の小型ディスプレイに表示され、カウントダウンタイマー機能により、残り時間が 2 分になると本体が振動して知らせます。レシーバからの電波受信範囲は半径約 15 m と広く、会議室内を歩きながらのプレゼンテーションにも対応します。さらに、プレゼンター モードからマウス モードへ切り替えると、本体中央の十字キーがマウス カーソルとして機能し、ディスプレイ下の左右のボタンがマウスのクリックボタンとして機能します。

■ 製品の特徴
*2.4 GHzワイヤレスを採用
レシーバからの電波受信範囲は半径約 15 m と広く、パソコンから離れて行うプレゼンテーションも可能です。
*プレゼンター機能
プレゼンテーション資料をスライド ショー表示にし、スライドを前後にページ送りすることができます。パソコンから離れた場所から資料を操作することができるため、会議室を自由に歩きながらフリー スタイルでプレゼンテーションをすることができます。
*振動タイマー
プレゼンテーションに割り当てられた時間を本製品に登録し、タイマーを開始させると残り時間が本体の小型ディスプレイに表示されます。また、カウント ダウンタイマーが残り 2 分になると、本体を振動させて知らせます。手元で残り時間を確認することができ、大変便利です。
*マウス機能 : マウスモードに切り替え、本体中央にある十字キーを上下左右に動かせば、マウス カーソルを操作することができます。また、本体の小型ディスプレイの下にある 2 つのボタンでクリックと右クリックができます。
*レーザー ポインタ機能 : レーザーポインタ専用ボタンを押すだけで、プレゼンテーション スクリーンなどにレーザーの光を照射することができ、プレゼンテーションの際に効果的です。
*簡単セットアップ : レシーバをパソコンの USB ポートに接続するだけですぐに使い始めることができます。
*持ち運びに便利な携帯用ケース付き
*3 年間の製品保証付き

(現在私が使用しているワイヤレスマウスにない機能もあるので)実物を見てから、このブログで紹介しようと思ってたら・・・

『マイクロソフト、高機能マウス2製品を販売停止---PSC法に抵触』

「販売停止、流通在庫も回収」だってさ。理由は「レーザー光について、消費生活用製品安全法(PSC法)に基づく『携帯用レーザー応用装置技術基準』の認証を得ていなかった」とのこと。

後継機種を出してくれると思うので、それに期待しよう。

| | コメント (0) | トラックバック (1)

2006年12月28日 (木)

「TIME HACKS!」

最近、読んだ仕事術の書籍です。

TIME HACKS!Timehacks
商品の説明

出版社 / 著者からの内容紹介
ヒット作『IDEA HACKS!』の著者が贈る時間管理のノウハウ集。個人の予定管理から、チームの行動管理、中長期の目標管理まで、ワンフレーズでわかる時間管理のコツが満載!

内容(「BOOK」データベースより)
携帯電話でTo Doを管理する。やらないことリストを作る。中長期の目標は習慣化で達成する。月曜日に人とは会わない。スケジュールを2週間の単位で眺める。トランス状態でメールを打つ。午後2時に人と会う。自分コストを計算する。家計簿をつけるように時間簿をつける。ルーチン化できる仕事はできるだけ外部に任せる。「七人の侍」を社内から集める。知らない分野の本を10冊斜め読みする。人生計画に年度を入れる。夢をmixiに書く。同じ努力で3倍効果が出る、時間を生み出す89のマル秘テクニック。

内容(「MARC」データベースより)
時間はストックできない、ただただ減り続ける一方…。そこで有効なのが、同じ努力で3倍効果が出る、時間を生み出す89のマル秘テクニック。ToDo、スケジュール、時間効率、時間投資、チーム、計画の6分野にわたり紹介。

タイトルだけだと「時間管理(タイムマネジメント)」だけに焦点を当てた書籍のように見えますが、それだけではありません。仕事の生産性を向上させる様々な「ハック」、仕事だけではない人生のための「ハック」、つまり「ライフハック」という全体の「ハック」の一部としての「タイムハック」が書かれている本だと思います。

私の場合はこの手の本を読むと、とてもしっくりくるか、または全然響かないか、の両極端なのですが、この本はとても共感できて、ためになり、しっくり来た本でした。

「時間の使い方次第で、人生も仕事も変わる」ってことですね。

| | コメント (0) | トラックバック (1)

2006年12月27日 (水)

第三回 東大CCR情報セキュリティシンポジウム

(CISSPコミュニティにも多大なご協力をしていただいている)東大CCRのセキュリティシンポジウム、その第3回の開催概要が本日発表され、申し込みも始まりました

私も今回は参加できそうです。CISSPホルダーの方は、Trusted CPEイベント(6クレジット)です。懇親会もありますので、また多くの皆様(特にCISSPホルダーの方)にお会いできることを楽しみにしております。

----------------------------------------------------------------------
東京大学 情報セキュリティコミュニティ主催
第三回情報セキュリティシンポジウム開催要領
~ITガバナンス時代に求められる情報セキュリティ~
  

日    時:  2007年2月9日(金) 10:30-18:00
場    所:  東京大学 駒場Ⅱリサーチキャンパス 駒場コンベンションホール
        東京都目黒区駒場4-6-1 生産技術研究所 An棟(総合研究実験棟)2階 
       (キャンパス案内: http://www.iis.u-tokyo.ac.jp/map/index.html
申込方法: 下記URLよりお申し込みください。締切日は 1月31日(水)です。
                 *定員200名となっており、定員になり次第締め切りとさせていただきます。
                 *法人会員は1口5名まで参加可能
                 (URL: http://www.sp.ccr.u-tokyo.ac.jp/
参 加 費:  東京大学CCR情報セキュリティコミュニティ会員: 無料    
        非会員:10,000円(平成19年度年会費に充当し、個人会員として登録いたします。)
懇親会:  1,000円(当日徴収)

◆プログラム

[午前の部(10:30~)]
(1)10:30 主催者挨拶
(2)10:35 特別講演 最近のネット犯罪の傾向と将来への課題-地方の視点から(40分)
  坂明氏 青森県警察本部 本部長
(3)11:15 講演 日本版SOX法がいよいよ始動へ(40分) 
  町田祥弘氏 青山学院大学大学院 教授
---休憩---

[午後の部(13:00~)]
(4)13:00 基調講演  情報セキュリティ政策会議を受けて(40分)
     伊藤毅志氏 内閣官房 情報セキュリティセンター(NISC) 内閣参事官
(5)13:40 講演 ネットワークセキュリティの現状と将来(仮題)(50分)
   下村正洋氏 NPO日本ネットワークセキュリティ協会 事務局長
(6)14:30 講演 インシデント対応の最前線 (50分)
   早貸淳子氏 有限責任中間法人JPCERTコーディネーションセンター            (JPCERT/CC) 常務理事
---休憩---

(7)15:30 講演  失敗学・危険学のすすめ(50分)

       原秀夫氏 (財)工業所有権協力センター 
(8)16:20 講演 ガバナンスとリスクマネージメント(50分)
       指田朝久氏 東京海上日動リスクコンサルティング株式会社 グループリーダー
(9)17:10 講演 多面的対応が求められるリスクマネージメントの実際(50分)
        伊藤潤氏 株式会社インフォセック テクニカルディレクター

[懇親会(18:00~)]

----------------------------------------------------------------------

| | コメント (0) | トラックバック (0)

CISSPコミュニティ ML登録受付開始

CISSPホルダーには、本日(ISC)2Japanよりメールで案内があったかと思います。

(私も設立準備には関わっています)CISSPコミュニティのMLが立ち上がります。その登録受付が、本日より始まりました

今後は、このMLを使ってホルダー間のバーチャルなコミュニケーションができるようになります。どんな話題が飛び交い、どんなホルダーとコミュニケーションできるか、今から楽しみです。年明け早々から、投稿・閲覧ができるようになります

CISSPホルダーなら誰でも登録できますので、ぜひご登録を。(迷わず、すぐに!)

| | コメント (0) | トラックバック (0)

セキュリティ研修のケーススタディ(2)

12/15の記事「セキュリティ研修のケーススタディ(1)」の続きです。
(すいません、しばらくほったらかしで。続き書くのを忘れてました・・・)

前回は提案書を作成するまでのことを書きました。
提案書を作成すると、これを使って顧客を相手に提案プレゼンを始めます。
(もちろん、顧客は講師が演じています)
その提案内容に、顧客が質問をしたり、図に書かせて説明させたりします。

提案が終わると講師や他の受講者からフィードバックを行います。
ここでのフィードバックは、
・プレゼンの内容が顧客の要求(RFP)に合っていたか
・プレゼンの仕方(コミュニケーションスキル)はどうだったか
・セキュリティに関する知識を適切に使っていたか
などを指標にコメントしてもらうようにします。

これによって「自身の課題を発見してもらう」というのがこのケーススタディの目的なのです。
ですから研修の冒頭では「このケーススタディは、うまくいく必要はありません。というより、うまくいく人には必要がないのです」と説明しています。つまり、失敗から成功の要素を導く、ということです。

いかがですか、面白そうですか。
受講者には概ね好評のコースなんですが、その周辺の方(上司など)なかなか目的や効果が理解されにくいようです。

私としては、「わかる」と「できる」の違いを体験を持って理解するとても重要で意義のあるコースだと思っています。

| | コメント (0) | トラックバック (0)

2006年12月26日 (火)

JASA HPリニューアル

日本セキュリティ監査協会(JASA)のHPが昨日リニューアルされました
特に、以下のページのコンテンツが充実してきました。
ぜひ、ご覧ください。
そのリニューアルされたページのどこかに、私も掲載されています。
(こちらは、お時間があれば探してください・・・)

| | コメント (0) | トラックバック (0)

2006年12月25日 (月)

2006 検索語年間ランニング

まずインターネットサイト全体では、以下の通りらしいですよ。

グーグルは2006年12月20日、米国本社に続いて、2006年の検索語年間ランキングを発表した。www.google.co.jpで検索された日本語キーワードの上位10語は以下の通り。

 1位「地図」
 2位「翻訳」
 3位「辞書」
 4位「動画」
 5位「ほしのあき」
 6位「天気予報」
 7位「au」
 8位「価格」
 9位「郵便番号」
 10位「倖田來未」

なぜ、「ほしのあき」が5位で、「倖田來未」が10位なんでしょう?(どうでもいいですけど・・・)

ということでせっかくですから、このブログの2006年の検索語年間ランキング(どんな検索ワードでこのブログに訪問したか)も発表しましょうか。

 1位「CISSP」
 2位「hase」
 3位「難易度」
 4位「CISA」
 5位「資格」
 6位「セキュリティ」
 7位「情報セキュリティ」
 8位「COBIT」
 9位「ブログ」
 10位「試験」

やはり「CISSP」が1位で全体の40%弱を占めています。「CISA」も、結構多いんです。あとは、当然のように「セキュリティ」「情報セキュリティ」があります。さらに「難易度」とか「資格」とか「試験」など、このブログの特色をよく現していますね

| | コメント (0) | トラックバック (0)

2006年12月23日 (土)

「仕事術」、誰から学ぶか?

最近だけでもないですが、よく「仕事術」の本を読みます
で今週、買ったのは、この2冊。

「評伝シャア・アズナブル 《赤い彗星》の軌跡 上巻」

「評伝シャア・アズナブル 《赤い彗星》の軌跡 下巻」4063646750_01__aa240_sclzzzzzzz_v3437320

「それって、『仕事術』の本か?!」って思われるかもしれません。
この本の帯には「ビジネスマン必読!」「龍馬じゃないでしょ、シャアでしょ!」なんて書かれているのです。

さらに、以下のような記事もありました。

シャアの名言に学ぶ、仕事術(上)
シャアの名言に学ぶ、仕事術(下)

ということで、無理やり(?!)「仕事術」の本に分類、っと。
※ 後日、最近読んだ他の「仕事術」の本の話も書きますね。

今週は、シャアから「仕事術」を学んでおります

それに、一昨日amazonから「機動戦士ガンダムDVD-BOX Vol.1」が届きました

ということで、すっかりガンダムモードになってしまっている今日のごろです。

「認めたくないものだな、若き日の自分の過ちというものを」(もう、若くないって!)

| | コメント (2) | トラックバック (0)

2006年12月22日 (金)

NISCへのパブコメに関するディスカッションにて

12月20日にJNSA教育部会で、NISC「人材育成・資格制度体系化専門委員会報告書(案)」へのパブコメを出すためのディスカッションが行われました。集まった方々もそうそうたるメンバーで活発な意見交換が行われました。なかなか中身が濃く私としては満足度も高く、とてもためになりました。

そこで私が出したコメントが、昨日の記事のような「『情報セキュリティ』という仕事に魅力がない」ということなどです。

とにかく「情報セキュリティに係る人材」自体とその育成の必要性や重要性を訴えても、「そうなりたい」と思われなければ、「あるべき姿」は実現できないと考えています。
そのためには、育成の対象者に「動機付け」を行い、そのための「機会」や「手段」を与えなければならない、と考えているのです。
昨日の記事の通り、「ITエンジニア離れ」が起こっているような状況では尚更です。

そのためには、「情報セキュリティに係る人材」の地位向上やさまざまな支援の政策が必須条件と考えています。

そのためにも、仕事のこのブログもがんばっていこう、と思っております。

| | コメント (0) | トラックバック (0)

2006年12月21日 (木)

2007年版「いる資格、いらない資格」(2)

以前の記事、2007年版「いる資格、いらない資格」(1)の続きです。

2007年版「いる資格、いらない資格」
~有力ITサービス会社に聞いたIT資格の価値~

■第1回:社員に取らせたいIT資格 
■第2回:営業効果がある公的資格 
■第3回:営業効果があるベンダー資格 
■第4回:高額の報償金が出るIT資格 
■第5回:進む個人のIT資格離れ
 

「営業効果」というのはその会社が主力としている製品やサービスと直接関連しているから、当然そういう結果になるはずです。その資格のホルダーが増えるほど、会社としてはステイタスがあがる、という資格ですね。(そうならなければ投資もしないはずだし、そういう指標であれば評価もしやすいわけで)
ということで第1回から第3回は、そういう読み方だったのでおいといて、残りの2回についてコメントします。

(以前、他のブログでも書いたのですが)「報奨金」について、個人的には魅力を感じていません

「報奨金」がモチベーションにならない理由なんですが、私の場合はこうです。
「報奨金」とは「一時金」であるということ。
資格取得までに費やしたコストと時間に対してのわずかながらの補填程度(または、次のスキルアップのための準備金、かな)にしか考えられません。
それから資格を取った後に維持のためのコストがかかる、ということも重要な要素です。
これが「資格手当て」とか「能力給」などとして、給与のベースに乗っかってくるならそのようなコストに対しての補填にもなるので、話は変わりますが。
ということで「元が取れない」ということです。

確かに維持するのにほとんどコストのかからない資格もあります。(維持教育ポイント;CPE、の不要な資格のこと)
ただしそのような資格の場合は、その知識や能力が維持及び発揮される保証がないということになり、別のコストがかかる、または資格取得によって期待される効果や利益が得られない、ということにもなります。

私の周囲でも実はこの一時金としての「報奨金」制度があるのですが、結果として資格マニアチックな賞金稼ぎや自己啓発という大義名分による暇つぶしになってしまっている人もいます。(もちろん、そうでない人もいます)

ということで考えなければならないことは、資格を取ると維持のためのコストがかかるということ。(かけないと肩書きは維持できるが、知識や能力は維持できない)
コストがかかるということは、使わないと意味がないということになります。

使うには、その効果やパフォーマンスを考えて、適切な方法や手段を選ぶべきということになります。

それから「IT資格離れ」ですが、これは「ITエンジニア」という仕事に魅力がないってことでしょうね。
いわゆる「3K」(この場合の「K」は何でもいいですが)と見られているようです。
う~ん、そのとおりかも・・・

| | コメント (0) | トラックバック (0)

2006年12月20日 (水)

20000アクセス御礼

本日の14:00過ぎに、20000アクセスを超えました
このブログの10000アクセスの突破が、10/10でした。
それから、わずか10週ほどでさらに10000アクセスを上積みし、累計20000アクセスを記録しました。

このアクセス数にも驚きなのですが、何よりブログを続けられている自分に驚いています
日記なんぞ書いたこともありませんが、(先代のブログから数えると)かれこれ10ヶ月も続いております。
(このブログは、開設7ヶ月弱ですが)

まずはアクセスしていただいた皆様に厚く御礼申し上げます

そしてこれからも「サボらず、無理せず」(しばらくは、これをスローガンにします)書き続けたいと思います。

| | コメント (0) | トラックバック (0)

デジタル・フォレンジック・コミュニティ2006

2004年から開催されているデジタル・フォレンジック・コミュニティの3回目。
今年のテーマは「J-SOX時代のデジタル・フォレンジック -信頼される企業・組織経営のために-」です。

主催するデジタル・フォレンジック研究会は、3つの分科会(技術、法務・制度、経営・監査)から構成されています。
12月18日(月)は、この中で「技術」というよりは「法務・制度」や「経営・監査」などの側面からの話がほとんどでした。

12月19日(火)も、分科会発表を除くと、やはり「技術」の話は少ないようで、ちょっと全体のバランス的には「どうかな」という内容でした。

面白くて有益な話も聞けましたが、「もう少し『手法』とか『実務』寄りの話がほしかったなぁ」というのが個人的な率直な感想です。あとは、ちょっと何度も聞いた話が多かった。(特に「内部統制」もの)

それから、ついに「デジタル・フォレンジック事典」が、併設の展示会場で発売されていました。
ハードカバー・ケース入りで500ページ弱、とずっしり重く、価格は21,000円(税込み)・・・
とても欲しかったのですが、さすがに買っては帰れませんでした。(中身はのぞきましたが)

それに他の方々の執筆の書籍のことより、自分たちの執筆の書籍の心配をしないといけませんので。
(ということで、原稿書かなくっちゃ・・・)

| | コメント (0) | トラックバック (0)

2006年12月19日 (火)

CISO向け教育コース

情報セキュリティ大学院大学にて、2007年4月から、「情報セキュリティ管理者(CISO)向けコース」が開講されます
概要は、以下の通り。(本日12/16現在、HPに情報なし)
●育成する人材育成イメージ
・情報セキュリティを総括して考えることができ、企業や自治体において、経営トップに情報セキュリティ政策を具申できる知識・能力をもった管理職(役員補佐)
・大規模なセキュリティインシデント発生時に、経営者を補佐し関連部門を総括するとともに、組織外部への対応も含め、適切な指揮ができる専門人材
・個人としての知識・技術の追求にとどまらず、全体最適の観点からリーダーシップを発揮し、着実にプロジェクトを遂行できる情報セキュリティ管理者
・高い倫理観を備え、情報セキュリティに関する実践的な知識・技術に習熟した専門人材
●付与資格等
情報セキュリティ管理者(CISO)向けコー修了証
●修了要件
必須科目+選択科目の履修に加え、以下のいづれかを満たすこと
・情報セキュリティ大学院大学認定CISO資格(IISEC CCISO)に合格
・SANS GIAC(GSEC) Silverに合格
CISSPに合格
●受講科目について
・必須科目:セキュアシステム実習
・選択科目:
 セキュリティ管理と経営
 セキュリティの法律実務
 セキュア法制と情報倫理
 暗号・認証と社会制度
 プレゼンテーション技法
 情報セキュリティマネジメントシステム
 リスクマネジメント
 セキュリティシステム監査
 個人識別と個人情報保護
 インターネットテクノロジー
・特別講座:
 ①プロジェクト・マネジメント講座(PMP資格対応)
 ②情報セキュリティエッセンシャル講座(CISSP/GSEC資格対応)
CISOがCISSPって組織にとって急務であり理想的なんですけど、そういう考えの組織がどれくらいあるのか。現実的には、優秀なCISO補佐を育成することになるんでしょうね。

| | コメント (0) | トラックバック (0)

2006年12月18日 (月)

「声」は大切

12月15日の講習で、昼過ぎから声がでなくなってしまいました
どうやら原因は風邪だったようです。
「少し、風邪気味かな」という自覚はあったのですが、重症だとは思っていませんでした。

何とか最後まで講習はつとめあげたものの、受講をされた皆様にはまさに「お聞き苦しく、ご迷惑をおかけいたしました」ということになってしまいました。
(こういう事態は、3度目か4度目です)

講師をしているときに、「体調が悪い」というのは何度もあることです。
実際に多少の発熱くらいはなんとかなっていますが、「声が出ない」というのはどうにも苦しい。
説明の内容がよく伝わらなくなります。メリハリ・トーン・テンポ・リズム・・・
そのほか、あらゆる表現力はほとんど「声」によるものです。

講師など人前で話すことが多い仕事では、「体調管理、特に声は大事にしないといけない」ということを再度、肝に銘じる機会となりました

ちなみに、声はまだ完全復活しておりません。
あと2~3日で、いつもどおりになる予定です。
時節柄、皆様もくれぐれもご自愛を。

| | コメント (0) | トラックバック (0)

2006年12月16日 (土)

ボット対策ポータルサイト オープン

12/12(火)にオープンしています。
「サイバークリーンセンター」という名称になっています。総務省と経済産業省の連携プロジェクトとして開設されたサイトです。

とにかく「ボット」とか「ボットネット」という言葉とその脅威に関するユーザーの意識・理解が低いことが、いろいろなところで問題視されていました。そこで注意の喚起と意識の向上を目的として、開設されたサイトと思います。(あとは情報の収集と分析ですかね)

最近の同じようなサイトでは、フィッシングポータルサイト「フィッシング対策協議会」
というものがありましたが、こちらのネーミングはちょっと固いですね。

開設の主体の違いがあるからなのでしょうが、これらのサイトの連携がほとんどないようです。
今回も上記の2つのサイトとも、相互にリンクが張られていません。
どちらも「ポータルサイト」なのですが、さらに上位の「ポータルサイト」が必要なのではないでしょうか

| | コメント (0) | トラックバック (0)

メールの8割以上はスパム

12/15の日経ITProの記事「メールの8割以上はスパム,「トロイの木馬」を使う産業スパイも急増」からです。

この記事によると、

全メールの86.2%がスパム
ウイルス:メール67.9通に1通の割合
フィッシング:274.2通に1通の割合

らしいです。

確かにスパムメールは増える一方です。
(他の調査結果では、90%超との報告もあり)

また、この記事では「スパム・メールの80%はボットネットから発信された」とされており、ボットネットが大きな脅威であることを物語っています。

私のところにも毎日スパムはやってきます。会社のアドレスにも、個人のアドレスにも。
とにかく切りのない厄介ものですが、大きな害もありません。
しかし、そういうこともここまで増えた大きな要因だと思います

| | コメント (0) | トラックバック (0)

2006年12月15日 (金)

セキュリティ研修のケーススタディ(1)

12月12日から14日まで3日間、社内研修でケーススタディの講師をしておりました。

よく聞かれるのが「セキュリティで『ケーススタディ』って、何をするんですか?」ってことです。
この業界の場合は、研修やトレーニングといえば、たいてい「座学」と「実機演習」と相場が決まっております。確かに多いですけど。
ということで、何度かに分けて「セキュリティ研修のケーススタディ」について書いてみたいと思います

今回の研修では、仮想の顧客企業から仮想の「提案要求書(つまり、RFP)」が出されます。
それに対して、4~5名のチームでセキュリティ対策の提案をする
、という内容になっています。

まずこの「提案要求書」が不完全なもの(実際、素晴らしいRFPなどなかなか出てきませんので)で、これをもとに正しい要求を定義するために情報収集をする、というのが演習の前半の段階です。情報収集は、ネットを使ったり、書籍や過去の研修資料を使ったりという方法が主ですが、仮想の顧客企業に確認する、という内容も含めています。つまり、ヒアリング・インタビューの機会を与えます。この際のヒアリング・インタビューはロールプレイとして実施され、講師は仮想の顧客企業側の担当者や経営者などを演じます

簡単なようでそうでもなく、受講者も苦心しながら「提案要求書」を読んだり、情報収集をしたり、ヒアリング・インタビューの準備や実施をしたりしています。

これが前半の内容で、後半はこの内容を基に提案書を作成していく段階に移ります。

さて、この続きは次回に。(時間がなくなったので・・・)

| | コメント (0) | トラックバック (0)

WiiリモコンでPowerPointを操作できるか

「WiiリモコンでPowerPointを操作できるか」~ITmediaという記事からです。

まず念のため、書いておきますと「Wii」とは先日発売開始されたばかり任天堂のゲーム機です。
現在は、大人気で入手困難。

ということで、タイトルの件に戻ります。
結論からするとできるらしい

WiiリモコンをBluetoothでPCと接続できるようにして、「GlovePIE」、または「WiinRemote」というソフトをインストールすれば使えるらしい

となるとワイヤレスマウス(以前の記事をご参照ください、こちらです)のかわりに、これが使えるということになりますね。

「Wii」が業務目的で購入できる日も近い。
んなわけないか・・・

| | コメント (0) | トラックバック (2)

2006年12月14日 (木)

情報処理技術者試験改革のゆくえ

12月13日の日経ITProの記事「落としどころはどこに?見えてきた『情報処理技術者試験』改革のゆくえ」からです。

12月8日に開催された、経済産業省による人材育成ワーキンググループ(WG)の第3回会合で「新ITスキル標準(新ITSS)」の案が示されています

レベル1:初級IT技術者・・・教育機関を卒業する段階で、これから情報産業(含むユーザー企業)で働くものとしての必要最低限な予備知識・技能を習得した者。
レベル2:基礎IT技術者・・・情報産業(含むユーザー企業)で高度IT人材として成長するための基礎的知識・技能を習得した者。
レベル3:開発系/業務系IT技術者・・・それぞれの領域において、チームリーダーとして相当程度の業務を処理できる知識・技能を習得した者。
レベル4:ミドル/シニアIT技術・・・営業やコンサル、開発マネジャ、運用管理、クリエータなど、より細分化された職種分野で高度IT技術者として職務を遂行できる知識・技能を習得した者

つまり、レベル1をエントリ、レベル2を基礎共通、レベル3を高度共通、レベル4を高度分野別、というように再区分するという案です。
現在の7つのレベルから4つのレベルにし、さらにエントリーレベルのハードルを下げたような内容ですね。

さらに、レベルの説明の記述は以下のようになっています。

レベル1:要求された作業について、指導を受けて遂行することができる。
レベル2:要求された作業について、その一部を独力でできる。
レベル3:要求された作業がすべて独力でできる。スキル開発においても自らのスキルの研鑽を継続することが求められる。
レベル4:社内において、プロフェッショナルとして求められる経験の知識化とその応用(後進育成)ができる

一方、資格化に関しては、経済産業省が

(1)資格者登録型(例:中小企業診断士)・・・資格者名称、住所、勤務先などを登録。その所在を明確にし、資格者からサービスを受ける機会を提供する。
(2)名称独占型(例:技術士)・・・資格者以外の名称使用を禁止。名称の詐称を防止することで、社会的な信用を確保する。
(3)必置規制(例:防災管理者)・・・一定の業務において資格者の配置を義務づけ。安全を確保する。
(4)業務独占(例:弁護士、建築士)・・・資格者しかサービスを提供できない。国民の権利、安全などを確保する。

という4タイプに整理し、WGに提示しました。この内容で、今後WGで検討されるということですね。

この分類と考え方について、この記事では「特にセキィリティ関連の人材に関しては、(3)必置規制の意味は大きいだろう」と締めくくっています。
確かにその通りだと思いますが、その規制を情報処理技術者試験だけで行ってはいけないと思いますし、実質上不可能だと思います

今後のWGの検討の結果を待ち、またこのブログでコメントしたいと思います。

| | コメント (0) | トラックバック (0)

2006年12月13日 (水)

初物・黒板で講習

今週は月曜以外が、すべて講師業務です

12/12 社内研修(ケーススタディ)+CISSP CBKマスター講座(某大学)
12/13 社内研修(ケーススタディ)
12/14 社内研修(ケーススタディ)
12/15 CISSPレビューセミナー(アクセスコントロール、アプリケーションセキュリティ、運用セキュリティ)

今月は、これ以外は12/7のCISSPレビューセミナー(情報セキュリティマネジメント、セキュリティアーキテクチャー)だけ。
見事に今週に集中、しかも12/12はダブルヘッダーでした。
日中が社内研修で、夕方からが社外でCISSP CBKマスター講座だったのですが、そこで使用した某大学の教室がホワイトボードではなく、黒板だったのです
(学校の教室は初めてではないのですが)私が記憶する限り、黒板は始めてだと思います。

ホワイトボードに慣れてしまっているので、黒板というのは懐かしくもありながらやや違和感もありで・・・
(ちなみにプロジェクターはありましたので、すべて黒板を使用しての講習というわけではありません)

でも、以前は黒板とチョークの環境で授業を受けてたんですよね。
黒板とチョークというのは、ホワイトボードよりも書いたり消したりの時に力が要ります
現在はプロジェクターがありますが、以前はそれもなかったわけですし。
それが自分が使う立場になってみると、けっこう大変なんだな、と思いました

講師として、またひとついい経験をさせてもらいました。

| | コメント (0) | トラックバック (0)

2006年12月12日 (火)

2007年版「いる資格、いらない資格」(1)

本日の日経ITProの記事からです。

2007年版「いる資格、いらない資格」

~有力ITサービス会社に聞いたIT資格の価値~
 公的IT資格の受験者数が減少する中、逆にソリューションプロバイダの公的IT資格への評価は大きく高まった。主要企業75社の人材開発担当者の大半が、取らせたいIT資格として公的IT資格を挙げた。ベンダー系のIT資格も、営業効果に対する評価は高い。その半面、資格取得時の一時金は公的資格より減額する企業が増えるなど、ベンダー系資格の拡大に警戒感も出てきた。案件が増加局面を迎えたことを反映して、IT資格にメリハリを付けようとする実態が浮き彫りになった。

本日から、金曜(12/15)まで5回に渡って連載されるようです
以下のような記事も本日掲載されています。

「情報処理技術者試験は,存在価値がなくなったのか?」

情報処理技術者試験の受験者がピーク時の3/4まで減少し、その存在価値が薄れてきいます。(確かに、このままでは存在価値はなくなってしまうでしょう)
「情報処理技術者試験の改革論議」という記事でも書きましたが、経済産業省産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループが、情報処理技術者試験の改革についても2007年3月までにその検討結果を出すことになっています。

ITSSとの対応付けで、何とかもう一度その存在価値を取り戻そうというような意図が見えます。
私としては、今まで育成した情報処理技術者を生かしつつ、知識やスキルを維持でき、またそれを実証できるような仕組みにして欲しいと思います。(期待が大き過ぎる気がしますが)さらには、ベンダーやNPO資格への展開も見据えたものを期待します。
そのためには、やはり資格の更新制度(もしくはそれに準ずる制度)は必要と思います

まずは今週のこの連載を読んでみたいと思います。
(そのうえで、もう一度何か書いてみます。たぶん・・・)

| | コメント (0) | トラックバック (0)

2006年12月11日 (月)

ITガバナンス協会 HP開設

ITガバナンス協会(ITGI, IT Governance Institute)のホームページが、開設されました。

COBIT Ver.4.0の日本語翻訳版は、ISACAではなくこちらから公開されることになったようです。(年内に公開されるのかな?)

ISACAといえば、12/9(土)のCISA認定試験は相当数の方が受験した模様
「内部統制」の影響でしょうか。(間違いなく、そうですけど)
来年の2月くらいには、一挙にCISAの認定者数が増えるのでしょうね。(いきなり、倍増?!)

CISA認定試験については、増田さんのブログ(こちら)も、ぜひご参照ください

| | コメント (0) | トラックバック (0)

2006年12月 8日 (金)

「双方向コミュニケーション」とは?

コミュニケーションが「双方向」なのは当たり前なのですが、最近しみじみこの「双方向性」の大事さを実感しています。
特に「子育て」と「講習」ですね。

「子育て」は、娘を育てている、幸せにしようとしている、ということなのでしょうが、逆に「幸せにしてもらっているなぁ」と思うことのほうが多くなってきました。娘から、発見することや教えられることも本当に多いのです。そして自分自身を見つめなおす機会ももらっている気がします。

「講習」でも同様ですね。講師とは「教える」立場なのですが、受講されている方々からいただく質問やコメント、受講者アンケートなどから、発見することや教えられることも本当に多いのです。

そのような機会や環境に恵まれていることを、本当に幸せだと思います。
「自己研鑽」という言葉がありますが、これは独学で知識を蓄積していく、ということではなく、このように他の人に自分を晒して発見や見直しの場を持ち、スキルに磨きをかける、という意味でもあると、私は解釈しています。

| | コメント (0) | トラックバック (0)

2006年12月 7日 (木)

ライブ感覚で話せ

これは、講習やプレゼンテーションで心がけていることです。
私がよく読む斎藤孝先生の本では「授業はライブだ」という主張が何度かでて来ますが、全く同感です。
このことは、講習やプレゼンテーションにも当然あてはまることです。

用意したテキストやスライド、ハンズアウトの通りにスラスラと、まさに「立て板に水」のごとく話す講師やプレゼンテーターが優れているとは思いません。「我ながら、うまく話せました」という自己評価はほとんど意味がないと思っています。講習やプレゼンテーションで重要なことは、聞き手の満足度でしかありません。聞き手が聞きたいことを聞けたのか、ためになったのか、おもしかったのか、それが重要なのです。
ですから、聞き手の反応(そういうサインを見落とさないことも重要)を見ながら、時には予定していた内容を変更したり、脱線してみたり(これは得意です)、臨機応変に対応していく、まさにライブ(と言っても、本当にライブをしたことはないですけど)のように話すことが優れた講師やプレゼンテーターの1つの要素と思っています

でも、実際のライブとの最大の違いがあります。さて、それは何?
講習やプレゼンテーションには「アンコール」ってないんですよね、ですから同じ話を同じ人に何度もするわけにはいかない、ってことです。

さぁ、では今日もライブ感覚で講師してきます。

| | コメント (0) | トラックバック (0)

2006年12月 6日 (水)

認定試験対策(ホルダーからのアドバイス)

今週土曜(12/8)は、CISA/CISM認定試験です。
そして12/24は、CISSP認定試験ですね。

私は今月、「10ドメインオフィシャルレビューセミナー」を2日間担当します
(今月の担当は、情報セキュリティマネジメント、セキュリティアーキテクチャ、アクセス制御、アプリケーションセキュリティ、運用セキュリティです)

そこで今回は、あるところで集めたCISSPホルダーからのアドバイスを、いくつかここで公開してみます。
(ちなみに、すべて「10ドメインオフィシャルレビューセミナー」受講した方々です)

●学習方法
・(テキストだけでなく)「CISSP認定試験公式ガイドブック」を良く読む。
・10ドメインのうち、不得意分野を中心に学習する。
・「暗記」ではなく「判断力」を磨くことに注力する。
・演習問題を何度かやり直し、独特の試験の問題になれる。(ガイドブックの章末の演習問題や英語サイトの演習問題なども含む)

●認定試験対策
・6時間、250問の長期戦を集中力を維持して戦い抜くための戦略を立てる。
・一定数の問題が終わったら、休憩を取る。 (トイレ、喫煙)
・1つの問題に時間をかけ過ぎない。(迷った問題は、あとで見直す)
・700点以上取れば良い、と割り切る。
・高額な試験費用(68,250円)であることを肝に銘じ、真剣に取り組むようにする。

増田さんのブログの記事(12/3)「CISA/CISM試験、頑張って下さい」も、ぜひご参照を。

ついでに、このブログの「レビューセミナーと認定試験」のカテゴリー」も、参考にしてください。

| | コメント (0) | トラックバック (0)

2006年12月 5日 (火)

バランス取れてる?(3)

「バランス」について考える、その3回目です。

よく「できる」人、「(頭が)切れる」人、などという褒め言葉があります。
そのような評価を受けることはプロフェッショナルを目指すものとして重要と思いますが、それ以上のものがあると思っています。

私の場合は、特に以下の3点です。

・好かれること
・信頼されること
・(明るく)前向きであること

いくら「できる」と評価されても、この3点に欠けてはならないと思っています。(詳しくは、また別の機会に)

人間的に魅力があり、「また、会いたい」「もっと話をしてみたい」「一緒に仕事をしたい」などと思われることが大事と思っています。私は「お互いにそう思える間柄の人脈を作りたい、いや作るんだ」と、常に心がけています

| | コメント (0) | トラックバック (0)

2006年12月 4日 (月)

セキュリティ要件検討支援ツール

ちょっと遅くなりました(書くの忘れておりました)が、IPAセキュリティセンターのサイトで11/20に以下のような資料が公開されています。(または、公開準備中)

「セキュリティ要件検討支援ツール ~地方公共団体における情報システムのセキュリティ検討の手助けに!~」

概要
 「セキュア・ジャパン」の実現に向けて、第1次情報セキュリティ基本計画、セキュア・ジャパン2006が決定され、地方公共団体でも情報セキュリティの意識向上と基盤強化を取り組む必要が出てきています。その中で、情報システムに関係するシステムの調達者は、必要なセキュリティ機能を適格に検討してまとめることが要求されてきました。
 IPAでは「調達におけるセキュリティ要件研究会」を設置し、情報システムの要件を検討する際の指針と参考となるように、セキュリティ要件の検討法と地方公共団体で使用されている代表的な情報システムを例としたセキュリティ要求仕様例をまとめる活動を実施して来ました。  

セキュリティ要件支援ツール
調達におけるセキュリティ要件研究会活動で、セキュリティ要件検討の際に参考となるガイド情報を表示できるセキュリティ要件検討支援ツールを作成しました。本ツールは、情報システム調達や現状の情報システムのセキュリティ要件を見直す場合などの手助けにご活用ください。

・地方公共団体等における機器等の購入マニュアルのためのセキュリティ機能調査報告書
・調達におけるセキュリティ要求仕様作成マニュアル

・セキュリティ要件検討支援ツール 【準備中】
・セキュリティ要件検討支援ツール取扱いマニュアル
・セキュリティ要件検討支援ツールの使い方、活用に関する質問と回答 【準備中】

かなりのボリュームでびっくりするやら、感動するやら・・・
素晴らしい資料なのですが、最大の心配は想定されている読者が理解し活用できるのかどうか。

そのための教育や研修が必要のような気がします。(やはり、「講師」なのでそういう発想と心配になります)

| | コメント (0) | トラックバック (2)

2006年12月 2日 (土)

酸素入りミネラルウォーター

講習中(と言っても、主に休憩中ですが)に補給するものとして、最近の私のブームのものがあります。

それは、酸素入りミネラルウォーター。よく飲んでいるのは、コンビニで販売されていることもあり、以下の2つ。

K123320h_l Img10542115205

世の中では、いろんな水がブーム(酸素入りミネラルウォーターも、そうらしい)ですが、私はこれです。

講習していると喉が渇きますし、体力も消耗してきます。

そんなこともあり、講習のときにはだいたい酸素入りミネラルウォーターを買っていきます。

もし持っていなかったら・・・

「近くに売ってなかったんだ」と、思ってください。

| | コメント (0) | トラックバック (0)

2006年12月 1日 (金)

ブログの書き方

「ブログで育てる自分戦略」~@IT、という記事からです。

キャリア戦略という視点からの記事ですが、ブログを書く人(これから書こうかな)には参考になりそうです。

ここでは「テーマとポジションの選び方」として、4つに分類されています

1.「専門家」として主張する。
2.「解説者」として解説する。
3.「研究者」として考察する。
4.「傍観者」として話す

「自分はどうだろう?」と考えてみました。1.と3.が中心でしょうね。そして、時々4.かな。

書き方としては、「客観と主観をセットで、テーマに結び付けて」としたうえで、以下の2つのタイプに分類しています

書きたくなるネタを見つけた(ネタ系=情報重視)
書きたくなる何かを考えついた(つぶやき系=主張重視)

自分の場合、これはどちらもありです。

(この記事でも書かれていますが)そして何といっても、ブログは続けることが大切です。

| | コメント (0) | トラックバック (0)

Tokyo Intersec 2006 2日目

東京国際セキュリティ ・カンファレンス 2006(Tokyo Intersec 2006) の2日目のお話。

2日目(11/30)のセッション内容は、以下の通りでした。

●「ネットワーク・フォレンジクスの最新動向 - インシデント・トレーサビリティを実現するネットワーク技術、システム技術と暗号技術」
今日、脅威の多様化・先鋭化にともない、組織内におけるインシデント・レスポンス・チーム (IRT) の役割がこれまでになく高まってきています。本セッションではインシデントレスポンスの効率化、カバレッジ向上、解析能力向上の3つの側面から、IRT におけるインシデントの遡及能力(トレーサビリティ)の重要性について述べ、またインシデント・トレーサビリティを向上させるためのネットワーク技術、システム技術および暗号技術それぞれの役割について考察します。

●「ウィルス、スパイウェアの最新アップデート情報
同氏が現在活躍中であるシマンテック社「ディープサイト脅威分析チーム」における経験に基き、最新スパイウェアの動向について講演します。全世界で利用されているウイルス対策ソフトウェア会社の立場から、最新のマルウェア対策をわかりやすく説明します。

●「複合的なWebアプリケーション分析手法」 
Webアプリケーションの脆弱性診断はシステム開発の一部と考えられています。しかし従来の自動診断の方法では、Webアプリケーションの安全性を総合的かつ正確に診ることは不可能です。その対処策として、ソースコード分析とブラックボックス(対象に依存しない)診断の長所を組み合わせた診断方法によって、精度の高い診断結果を導くことが可能になることを解説します。

●「自治体におけるテロリズム対策」

●パネルディスカッション「ホームランドセキュリティ -サイバーテロに対する国家安全保障-」

率直な感想を書きますと、個人的には昨日よりかなり物足りなかったです。
最初のセッション「ネットワーク・フォレンジクスの最新動向」は、興味深く聞けましたがそのあとは内容も特に目新しい感じもしませんでしたし、単調なスピーカーだったりと、すっかりだれてしまいました。

あとは「ホームランドセキュリティ」って言葉、今後は日本でも浸透させたいですね。やはり、アメリカはセキュリティの本場で、日本は立ち遅れていると実感しました・・・

今日は休憩時間を中心に内職(締め切りに追われているので!)をしていたら、面識のある方に見つかってしまいました!(お恥ずかしい・・・)

Tokyo Intersec 2006に関しては、ぜひ以下のページも参照してみてください。

tksmsmyuさんのブログ「目指せ!SS」(1日目、2日目とも記事あり)
INTERNET Watch「非公式パッチの作者が語る「WMF脆弱性」の脅威」

| | コメント (2) | トラックバック (0)

« 2006年11月 | トップページ | 2007年1月 »