« 2007年3月 | トップページ | 2007年5月 »

2007年4月の記事

2007年4月30日 (月)

「ISSJP公式ガイドブック」、webで買えます

amazon.co.jp、Yahoo!ブックスにも載りました。
書店だけでなく、こちらからも買えます。

「CISSP-行政情報セキュリティ認定試験 公式ガイドブック」(amazon)
「CISSP-行政情報セキュリティ認定試験 公式ガイドブック」(Yahoo!ブックス)

レビューセミナーは、6月中旬に開始。
こちらも着々と準備中です。

| | コメント (0) | トラックバック (0)

2007年4月28日 (土)

1g純金名刺、いただきました

4/24(火)のCISSPフォーラム2007Springの際に、(ISC)2の皆様より贈っていただきました。(これが、先日の記事で「明日以降、書きます」のうれしかったこと)
デジカメで撮ろうとしたのですが、キラキラ光っていてどうしても反射してしまい、うまく写りません。(カメラマンの腕も悪いし・・・)

仕方がないので、製品のHPで、ご覧ください。

すごいでしょ、桐箱入りです
名刺には、もちろん私の名前と「(ISC)2認定主任講師」の肩書きを入れていただきました。

でもこの名刺は、配れません。
大事にしまってあります。

| | コメント (0) | トラックバック (1)

2007年4月27日 (金)

情報処理技術者試験制度とITSSの改革、最終報告案

日経ITproの記事「情報処理試験制度やITSSはこう変わる!人材育成WGの最終報告案まとまる」からです。

何度かこのブログでも取り上げた(こちらこちら)、情報処理技術者試験制度とITSSの改革について最終報告案が出たようです。(5/21まで、パブコメ募集)

「高度IT人材の育成をめざして(案)」に対する意見募集について

ここでは(1)情報処理技術者試験の意義・役割(官民の役割分担)、(2)試験制度改革のあり方、(3)ITSSと試験の整合性確保、(4)3つのスキル標準(ITSS、ETSS、UISS)の整合性確保、(5)産学官連携施策のあり方、という5項目について取り上げられています。

複数乱立だったスキル標準も一本化のようで。

現在の情報処理技術者試験の下のレベルとして「エントリー試験」というものを作ってCBT(コンピュータ試験)化する、など新たなアイディアが加わっています。現在の試験は「基礎試験」「ミドル試験」「高度試験」という呼び方になるようですね。

よく読むと課題の先送り・積み残しが多いような・・・
ちなみに「更新制」も先送りにされたようです。(かなり重要で緊急の課題だったはずですが)

これでいいのかぁ~?(相当いろんなコメントが寄せられるだろうなぁ)

| | コメント (0) | トラックバック (0)

2007年4月26日 (木)

JVNリニューアル

「JVN」(JPCERT/CCとIPAが共同で運営する脆弱性情報サイト)がリニューアルしましたね。

名称も「JP Vendor Status Notes (JVN)」 から、「Japan Vulnerability Notes (JVN)」 と変更されました。

あわせて、「JVN iPedia」(脆弱性情報データベース)もオープンしています。

日常的な脆弱性対策に役立ちそうですね。(情報収集は欠かさずに!)

| | コメント (0) | トラックバック (0)

2007年4月25日 (水)

ISSJP公式ガイドブック(速報)

正式名称は「CISSP-行政情報セキュリティ認定試験 公式ガイドブック」です。

とりあえず、アスキーのサイトに載りました。5月23日(水)発売、定価:本体10,000円+税、です。

レビューセミナー受講の方には、いっしょに配布される予定です。

| | コメント (0) | トラックバック (0)

NISCのロゴマーク

内閣官房情報セキュリティセンター(NISC)のロゴマークが公開されています。

予想していたより、かっこいい。(と、私は思った・・・)

| | コメント (0) | トラックバック (0)

","との再会と出会い

本日は、CISSPフォーラムが開催されました。
多数のCISSPホルダーの皆様との再会と出会いがありました。
(CISSPは名前のあとに”,CISSP”と名乗ります。だから”,”ということで)

個人的には、とにかくうれしい再会と出会いでした。
こんなことがあるのが、この資格(称号)の良さですね。

CISSPホルダーのみなさん、ありがとうございました&お疲れ様でした。

他にもうれしいことがあったのですが、それは明日以降書きますね・・・
(もう、眠いので)

| | コメント (2) | トラックバック (0)

2007年4月24日 (火)

「セキュア・ジャパン2007(案)」ほか、公開

昨日4/23に、内閣官房情報セキュリティセンター(NISC)から、意見募集が3件でています。

「セキュア・ジャパン2007」(案)に関する意見の募集
「政府機関の情報セキュリティ対策のための統一基準(第2版)」(案)に関する意見の募集
「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」の改定案に関する意見の募集

情報セキュリティ政策会議も開催されたようで、その資料も公開されています

「セキュア・ジャパン2007」のサブタイトルは、「ITを安心・安全に利用できる環境づくりのための情報セキュリティ対策の底上げ」になってますね。情報セキュリティ人材育成関連では「客観的な高度人材(情報セキュリティ人材を含む)評価メカニズムの構築」「(高度IT人材育成に係る)産学官協議会の設置」「情報処理技術者試験制度の改革」「情報セキュリティに関する資格制度の体系化」などが挙げられています

ちなみに2008年度の重点施策は、「情報セキュリティ基盤の強化に向けた集中的取組み -情報セキュリティ人材の育成・確保、情報セキュリティ政策の国際展開、電子政府の情報セキュリティ強化を中心に-」となっています。

最近、NISCは資料の公開など更新があまりなかったのですが、今回は一気にリリースされました。
あぁ、また読むべき資料が溜まっていく・・・

| | コメント (0) | トラックバック (0)

2007年4月23日 (月)

VAL-IT日本語版、公開

VAL-IT日本語版が、4/17にITガバナンス協会から公開されています。

VAL-ITは、「IT投資のための企業価値ガバナンス」というのが正式文書名です。
組織におけるIT投資のガバナンスを行ううえで、経営戦略、投資効果をポートフォリオとして分析する手法を紹介しています
(経営陣や管理者向けですね)

下記の3つの文書が、無償でダウンロード可能です。

VAL IT フレームワーク

VAL IT フレームワーク ING社ケーススタディ

VAL IT フレームワーク ビジネス・ケース

合計109ページで、なかなか読み応えがありそう。
時間があるときに、私も目を通しておきます。
(そんなことばかり言っていて、そういう文書が山のように溜まっていく、今日この頃・・・)

| | コメント (0) | トラックバック (0)

2007年4月22日 (日)

40000アクセス、御礼

昨日、このブログの開設(2006年5月22日)以来のアクセスが、40000を超えました。
開設から、ちょうど11ヶ月ですね。
30000アクセス超えが2月23日でしたから、あれから2ヶ月で10000アクセスということになります。

ご覧頂いている皆様、まことにありがとうございます。
これからも今の調子(でいいのか?!)で続けます。

| | コメント (0) | トラックバック (0)

2007年4月21日 (土)

DNS Serverの脆弱性修正パッチは米国時間の5月8日メド

ITmediaの4/19の記事「DNS Serverの脆弱性修正パッチは米国時間の5月8日メド」からです。

DNS Serverのこの脆弱性に関するマイクロソフトからの警告が出されたのが、4/12ですから修正の見通しの報告まで1週間、修正手段の提供まで約4週間ということになります。(MSから「回避策」が公表されてはいますが・・・)

もちろん、この脆弱性に対していわゆる「ゼロデイ攻撃」がすでに行われているわけで、影響や被害が広がっています。
まだ、WMF問題の時のように、白馬の騎士(サードパーティの修正パッチ)も現れていません。
この警告も、然るべき情報収集をしていない組織では、結構知らないようですし、ソフトウェアの脆弱性に関わる「ゼロデイ攻撃」問題は深刻です。
(なんどか書いてますが)「早期警戒態勢」は、重要ですね。

こちらも、ご参照を・・・

| | コメント (0) | トラックバック (1)

2007年4月20日 (金)

「ネットワークのIP化に対応した安全・信頼性対策(案)」

昨日4/19に、総務省よりパブコメ募集がでています。(期間は、5/18まで)

「ネットワークのIP化に対応した安全・信頼性対策(案)」に対する意見募集(IPネットワーク設備委員会報告案に対する意見募集)

ICTセキュリティ対策のこれからのあり方を示すものになりそうです。総務省情報通信政策局が出所だけあって、特に通信障害に対する対応が大きな課題に挙げられていますね。

| | コメント (0) | トラックバック (0)

2007年4月19日 (木)

ISSJP、続報

CISSP-行政情報セキュリティ(ISSJP)が、ASCII.jpで取り上げられてました。

日本独自の国際セキュリティ資格『CISSP-行政情報セキュリティ』が新設される

記事によると「5月25日にはCISSP-行政情報セキュリティの公式ガイドブックが刊行される予定となっている」とのこと。
(「そうなの?」なんて、ボケはやめといて、と)このガイドブックは、ASCIIから刊行されます。
だから取り上げてくれたんですね。

不詳、私も執筆に関わりました。
少しでもCISSPホルダーの皆様のお役に立てれば幸いです。

今回は、ちょっと宣伝させていただきました。

| | コメント (0) | トラックバック (0)

2007年4月18日 (水)

日本コンピュータセキュリティインシデント対応チーム協議会発足

japan.internet.comの記事「日本コンピュータセキュリティインシデント対応チーム協議会発足」からです。

日立製作所、インターネットイニシアティブ、JPCERT/CC、ラック、NTTおよびソフトバンクBBの6社は、2007年4月17日、日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)を共同で設立したことを発表した。

日本シーサート協議会は、国内におけるコンピュータのセキュリティを脅かす事態への対応を行うCSIRT(シーサート:コンピュータセキュリティインシデント対応チーム)活動の推進ならびに各社の有する関連組織との間の緊密な連携体制の構築などを目的としたもの。
日本国内の企業事情を巧みに利用した攻撃手法などによるコンピュータセキュリティインシデントや、対応ノウハウの蓄積が難しい標的型攻撃への迅速な対応など、単独のCSIRTでは困難な場面が増加したことが、設立の背景とされる。

<中略>

日本シーサート協議会が行なう活動内容は、コンピュータセキュリティインシデントが発生した場合に、CSIRT間で連携し、被害を最小限に食い止める体制作りや、早期警戒情報の共有や広域にわたる脅威度の高いインシデント対応の共同演習の実施などの防衛策が中心。
また、新規にCSIRTを構築する組織を支援する活動や、各種ワークショップの開催、コンピュータセキュリティに関する提言なども行う予定。

日本シーサート協議会の事務局は、JPCERT/CCが担当する。

新しい早期警戒態勢の形ですね。
日本の全体的なセキュリティレベルを向上させるためには、このようなインシデントや脆弱性に関わる情報の提供や共有が重要です
今後もこのような取り組みが活性化されることを望みます。(「セキュア・ジャパン2006」などに書かれている「CEPTOAR」とか・・・)

| | コメント (0) | トラックバック (0)

2007年4月17日 (火)

ISSJP、ニュースリリース

ついにというか、ようやくというか、リリースされました。(ホッとしてます・・・)
こちらです。

正式名称は「CISSP-行政情報セキュリティ」で、「ISSJP」は通称ってことになります。
ドメインは以下の通りです。

CISSP-行政情報セキュリティ CBK 4ドメイン
・「組織と政策・制度」
日本国の情報セキュリティに関わる政府や関連機関などの組織、およびそれら組織に対応する政策や制度などを対象としています。
・「法」
情報セキュリティに関わる日本国の法令を対象としています。
・「倫理と慣行」
日本国独自の文化に根ざしたビジネス上の倫理・慣行、及び、日本国独自の規制・基準に則ったシステムの見積・運用・保守の手法、ならびに、日本国の法制度の枠組みを理解するための基礎知識を対象としています。
・「技術」
主に政府機関・地方公共団体の情報セキュリティにおける日本特有の技術インフラと内容を理解するための基礎知識を対象としています。

私もISSJPに関してはCBKの検討からずっと参加をしており、教材開発まで関わりました。
「えっ、講師は?」って。はい、もちろん(CISSPだけでなく)こちらも担当します。

詳しくは、また明日以降(の、いつか)書きます・・・

| | コメント (0) | トラックバック (0)

アクセス解析ランキング表示

新機能です。さっそく、サイドバーに追加してみました。
過去30日間の、検索フレーズ、記事、アクセス元の地域のランキングです。
(記事は、トップページを除くランキングのようです)

ランキングは見ればわかるのですが、明日以降変わってしまうので、記念として第1回の表示を記録しておきます。

●検索フレーズランキング
 1位:CISSP hase
 2位:IT資格 難易度
 3位:CISSP
 4位:ISSJP
 5位:CISSP 合格率
 6位:CISSP 難易度
 7位:CISM トレーニング
 8位:cissp 難易度
 9位:CISSP 試験
 10位:グローバル情報セキュリティ戦略

●人気記事ランキング
 1位:CISSPフォーラム 2007 Spring
 2位:IT資格の難易度2007年2月版
 3位:IT資格の難易度
 4位:「CISSP CBKオンライン・セルフアセスメント」提供開始
 5位:久しぶりの遠出
 6位:公認情報セキュリティ監査人資格制度が改正
 7位:個人情報事故要請処分
 8位:検索キーワードランキング 2007年3月版
 9位:WEPを1分足らずでクラック
 10位:情報処理技術者試験改革のゆくえ

●アクセス地域ランキング
 1位:東京
 2位:静岡
 3位:茨城
 4位:神奈川
 5位:福島
 6位:大阪
 7位:埼玉
 8位:沖縄
 9位:京都
 10位:兵庫

| | コメント (0) | トラックバック (0)

情報処理技術者試験、情報セキュリティ人気なし?

IPAから「平成19年度春期情報処理技術者試験の受験状況(速報)について」がプレスリリースされています。

 IPA 情報処理技術者試験センターでは、経済産業省の国家試験である「情報処理技術者試験」の平成19年度春期試験を2007年4月15日(日)に実施しました。「平成19年度春期情報処理技術者試験」の受験者の総数は174,854人でした。
 前年同期に比べ、テクニカルエンジニア(情報セキュリティ)試験を除く全試験区分で受験率が上昇、全体の受験率も上昇しました(前年同期63.8%→65.8%)。
 入門的な試験の内、利用者側の初級システムアドミニストレータ試験の受験率は、71.5%と前年同期(70.3%)に引き続き70%以上を維持し、開発者側の基本情報技術者試験の受験率(前年同期66.9%→69.4%)は、2.5ポイント上昇し、約70%の水準となりました。
 テクニカルエンジニア(エンベデッド)試験は、応募者について増加の傾向(前年同期4,913→5,420)があり、受験率も大きく上昇(前年同期63.5%→68.2%、4.7ポイント上昇)しています。

ということで、テクニカルエンジニア(情報セキュリティ)は受験者は減るわ、受験率も下がるわ、で散々な感じです。
それでも、14.741名が受験しているわけですから、他のテクニカルエンジニア(データベース、システム管理など)と比較すると絶対数は多いんですね。

(詳細は、こちら

ところで、このプレスリリースは何が言いたいのでしょう。
数字は事実として「受験率が上がったから、どうなの?」と、ツッコミたくなります。
このプレスリリース文だけ読むと、いいことの報告みたいに見えますが、IT技術者が不足しているのに、受験者数は24,000名以上も昨年から減っているのですから、この試験の本来の目的やIT人材育成の目標などから考えると、分析の方向や出すべきコメントが違うと思うのですが・・・

| | コメント (0) | トラックバック (1)

2007年4月16日 (月)

情報処理技術者試験でしたね・・・

今日(正確には、昨日4/15)は情報処理技術者試験でしたね。(私は今年も受験していませんが・・・)
ネットで記事検索をすると、この試験の受験者の方ばかり。

アイタックあたりでは、もう午後の解答例も即日で出てましたね。

受験された皆さん、お疲れ様でした。

受験者数は減っているとはいえ、まだこれだけ多くの方が受験しているんですから、皆さんのその努力に報いるためにも、情報処理技術者試験制度の改革は進めないといけないのですが・・・

その後、ほんとにどうなってんの?どうすんの?(特に「更新制」について)

※ この件は、こちらをご参照ください。
・このブログの記事:12/14「情報処理技術者試験改革のゆくえ」

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第1回)
議事要旨 配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第2回)
議事要旨 配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第3回)
議事要旨 配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第4回)
議事要旨 配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第5回)
議事要旨 配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第6回)
議事要旨 配布資料

この話題については、またいづれ書きます。(例によって、「なるはや」で!)

| | コメント (0) | トラックバック (0)

2007年4月14日 (土)

mixiのCISSPコミュ、200名突破

久しぶりにふと、mixiのCISSPコミュを見たら、200名を突破してました。

(ISC)2のHPによると、4/11現在の日本のCISSPホルダーは783名。全世界では、48598名。

増えましたねぇ~。(しみじみ)
年内に1000名の大台は、間違いなさそう。

| | コメント (0) | トラックバック (0)

2007年4月13日 (金)

「TCP/IPに係る既知のぜい弱性に関する調査報告書 改訂第2版」

昨日4/12に、IPAより「TCP/IPに係る既知のぜい弱性に関する調査報告書 改訂第2版」が公開されています。

この報告書は「既に公表されているTCP/IPに係る既知のぜい弱性について情報を収集分析し、詳細な解説書としてとりまとめました。また、ソフトウェアのプログラマ向けの実装ガイド、システムエンジニアやサーバ運用者向けの運用ガイドなども、個々のぜい弱性の問題ごとに記載しております」というものです。

トータル156ページで、かなり豊富で以下のような詳細な内容。

<TCP( Transmission Control Protocol )関連>
(1). TCPの初期シーケンス番号予測の問題
(2). TCP接続の強制切断の問題
(3). SYNパケットにサーバ資源が占有される問題 (SYN Flood Attack)
(4). 特別なSYNパケットによりカーネルがハングアップする問題 (LAND Attack)
(5). データを上書きするフラグメントパケットがフィルタリングをすり抜ける問題(Overlapping Fragment Attack)
(6). 十分に小さい分割パケットがフィルタリングをすり抜ける問題(Tiny Fragment Attack、Tiny Overlapping Fragment Attack)
(7). PAWS機能の内部タイマを不正に更新することで、TCP通信が強制的に切断される問題
(8). Optimistic TCP acknowledgementsにより、サービス不能状態に陥る問題
(9). Out of Band(OOB)パケットにより、サービス不能状態に陥る問題

<ICMP( Internet Control Message Protocol )関連>
(10). パケット再構築時にバッファが溢れる問題 (Ping of death)
(11). ICMP Path MTU Discovery機能を利用した通信遅延の問題
(12). ICMPリダイレクトによるサービス応答遅延の問題
(13). ICMPリダイレクトによる送信元詐称の問題
(14). ICMP始点抑制メッセージによる通信遅延の問題
(15). ICMPヘッダでカプセル化されたパケットがファイアウォールを通過する問題(ICMPトンネリング)
(16). ICMPエラーによりTCP接続が切断される問題
(17). ICMP Echoリクエストによる帯域枯渇の問題  (Ping flooding, Smurf Attack, Fraggle Attack)

<IP( Internet Protocol )関連>
(18). フラグメントパケットの再構築時にシステムがクラッシュする問題 (Teardrop Attack)
(19). パケット再構築によりメモリ資源が枯渇される問題 (Rose Attack)
(20). IP経路制御オプションが検査されていない問題 (IP Source Routing攻撃)

<ARP( Address Resolution Protocol )関連>
(21). ARPテーブルが汚染される問題
(22). ARPテーブルが不正なエントリで埋め尽くされる問題

これは、すばらしい解説書。(書籍にして売ったほうがいいんじゃないのかな?)
情報セキュリティプロフェッショナルを目指すなら、ぜひじっくり読んでください。

| | コメント (0) | トラックバック (0)

2007年4月12日 (木)

「デジタル社会推進シンポジウム2007」

今日は「デジタル社会推進シンポジウム2007」(主催:NPOセキュアなデジタル社会を推進する会)に参加してきました。
今回のテーマは「重要インフラ、テロ・サイバーテロの動向と対策及び国際協調」です。

まずは、スピーカーがかなり豪華です。
菅義偉総務大臣、石原信雄元官房長官、小池百合子国家安全保障担当内閣総理大臣補佐官、ウィリアム・シュナイダー米国国防総省科学技術委員会議長、リンカーン・ブルームフィールド米国務省安全保障担当次官補・・・

(予想はつきましたが)配布資料が、ほとんどありません。(PPTなど資料の投影も、ほとんどなし)
「資料だけもらって帰る」という方もシンポジウムなどでは、よくいらっしゃいますがそれが通用しないわけですね。
メモを取るにしても、スピードが速く追いつきません。キーワードだけで精一杯です。
(やはり、講演はライブなのです。聞かなきゃ、ダメ)

米国のスピーカーの方々の講演を聴いて感じたのは、セキュリティということに関するスケールの大きさ(「データ」とか「システム」とかそういう規模ではない)、実戦的で先鋭的な視点や取り組みなどです。
以前ある講演で、軍事評論家の小川和久さんが「日本は技術面では、世界に対し2年程度の遅れだが、他の面(考え方とか、体制とか)で10年以上は遅れている」と言われていました。
今日も、それをあらためて実感した気がします。
また、セキュリティの本質に触れた気もします。

そういえば、小池さんが「国家安全保障会議(仮称;いわゆる日本版NSC)」について話されていました。
すでに本国会に法案も提出済み、中間報告書も公開されているそうです。
近日中に、目を通しておこう、っと。

| | コメント (0) | トラックバック (0)

2007年4月11日 (水)

検索ワードランキング・2007年4月

4月の検索ワードランキングです。
(前回3月は、こちら

1(→)CISSP 
2(→)難易度   
3(→)資格
4(→)CISA 
5(↑)情報セキュリティ 
6(↑)hase 
7(↑)CISM
8(↑)合格
9(↓)セキュリティ
10(↑)IT資格

11位に「ISSJP」があります。(↑)

そういえば、「ISSJP」情報は、最近なにもありませんでしたね。
近いうち(来週くらいに)に、何かご報告します。

| | コメント (0) | トラックバック (0)

2007年4月10日 (火)

セキュリティ名言・その1

不定期(あくまで)で、様々なところで見つけたセキュリティに関する名言を書いていきます。

「セキュリティ・システムは常勝を義務付けられ、攻撃者は一度勝つだけでいい」「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

「だったら、オペレーターよりクラッカーになろうか」と思うかもしれない。
それよりも、私個人的には「だから、オペレーターは辛いのだ」と思ってしまう。(責任の重さに、処遇が見合わない)
「何もないことが『義務』」とは、動機付けが何もないに等しい

| | コメント (0) | トラックバック (0)

2007年4月 9日 (月)

新年度、講習はじめ

実は先週の木曜まで、今月は「講習」の予定がありませんでした。(「講演」の予定は入っていましたが)
およそ3年ぶりに講習なしの月になるのかな、と思っていたら、急遽先週金曜に無事「講習」の予定が入りました。

仕事やスケジュールとしては、きつくなるのですがなぜかホッとしております。
「講習が好き」なのもありますが、ブランクが空かないことに安心しているのもあります。

ということで、来週今年度の「講習」始めがあります。
まずはいつも通り、無事に務めてきたいと思います。

| | コメント (0) | トラックバック (0)

2007年4月 6日 (金)

WEPを1分足らずでクラック

4/5の@ITの記事「104ビットのWEPを60秒足らずで破る」論文が公開からです。

もともとWEPで使われているストリーム暗号のRC4の脆弱性は、かなり広く指摘されていました。にも関わらず、無線LANではよく使われている暗号方式です。

私もよく講習では、「RC4は数時間でクラックされる」と話しているんですが、この論文によると
「クラッキングにかかる時間が大幅に短縮され、54~58秒の間に104ビットのWEPキーを、50%の確率でクラッキングできた」とのことらしい。

これが本当だと、RC4はもはや暗号としては使い物にならないわけですね。
それにしても、最大の興味はどのような理論で飛躍的にクラック時間を短縮(ショートカット)したのか、ってこと

英語も数学も得意ではないので、原文があるんですが、よくわかりません・・・

誰か教えて!

| | コメント (0) | トラックバック (0)

2007年4月 5日 (木)

公認情報セキュリティ監査人資格制度が改正

昨日、JASAのHPで「公認情報セキュリティ監査人(CAIS)資格制度が改正されます」
ということで、公開されています。

私もこの資格制度に(も、か・・・)、関わっております。

以下は、日本セキュリティ監査協会(JASA)からの案内です。

「情報セキュリティ」の実施状況を公正・公平に評価する「情報セキュリティ監査」の重要性が飛躍的に高まりつつあるという認識のもと、「公認情報セキュリティ監査人」の資質を向上させ、またより多くの方に当資格にチャレンジしていただくことを可能とするため、以下の制度改定を2007年4月に実施(施行は5月)行います。

(1) 情報セキュリティ監査人補(以下「監査人補」)の 「専門分野」要件の見直し

 これまで、監査人補の資格申請要件として、「情報技術分野で少なくとも4年以上」 等の条件を求めていました。
 しかしながら、「情報セキュリティ監査に関するOJTを経ながらさらに上位の資格を目指す」という監査人補の位置づけを再認識した結果、当要件を廃止することとなりました。

(2) 試験の見直し
:「小論文試験」の①「トレーニング修了試験」、②「監査経験確認試験」への再編

   監査人補、公認情報セキュリティ監査人(以下「監査人」)、公認情報セキュリティ主監査人(以下「主任監査人」)、とも同一の「小論文試験」(制度に関する基礎知識と経験の両方を問う)の合格が要件とされていました。
   今般、各資格の区分に応じて、要件とする試験を見直すこととしました。

①「トレーニング修了試験」
   情報セキュリティ監査制度の基本知識を問う試験です。
 (現在の小論文試験の【問1】を踏襲し、基礎知識を多角的に問う試験としました)。
  当試験の合格が、監査人補、監査人、および主任監査人のいずれの資格申請に求める共通の要件となります。

②「監査経験確認試験」
 監査人、および主任監査人志望者の、「監査経験」を問うための試験(現在の小論文試験の【問2】に相当)です。
 当試験の合格をこれら2資格に申請する際の要件となります。

大きな改正点は、以下の2点です。

監査人補の資格要件のうち、業務経験が不要となりました。
(従来は、情報通信分野で4年以上、情報セキュリティ分野で2年以上の業務経験が必要でした)

小論文試験が、「トレーニング修了試験」「監査経験確認試験」の2つに分かれました
従来は、監査人補でも小論文試験の受験が必要でしたが、新制度では「トレーニング修了試験」という記述式試験だけを受験すればよくなりました。
監査人及び主任監査人を受験したい人は、「監査経験確認試験」という従来の小論文試験も受けなければなりません。

エントリー条件が緩和され、受験の機会が拡大しました。今までこの資格の認定要件に合わなかった方も、この機会に検討してみてください。

| | コメント (0) | トラックバック (1)

2007年4月 4日 (水)

「守・破・離」

『守(しゅ)』『破(は)』『離(り)』とは、指導者から何かを学び始めてから、ひとり立ちしていくまでの段階を示しています。(自信はないので、今度調べておきますが)確か、世阿弥の言葉だったかと。

プロフェッショナルを目指す方々には重要な考え方と思いますので、以下に示しておきます。

『守』最初の段階:指導者の教えを守る。 できるだけ多くの話を聞き、指導者の行動を見習って、指導者の価値観をも自分のものにしていきます。 学ぶ人は、すべてを習得できたと感じるまでは、指導者の指導の通りの行動をします。 そして、指導者が「疑問に対して自分で考えろ」と言うことが多くなったら、次の段階に移っていきます。

『破』次の段階:指導者の教えを守るだけではなく、破る行為をする。 自分で独自に工夫して、指導者の教えになかった方法を試してみます。 そして、自分なりの発展を試みていきます。

『離』最後の段階:指導者の教えから離れ、自分自身で学んだり試した内容を発展させる。

受け継いだものを守り、現在に合わなくなったものは捨て去り、そこに新しく独自の工夫を加え、それを繰り返す。そして今までの型を越える、新たな世界(オリジナリティ)を創り出していく、ということ。

やはり、最後の『離』の段階まで来ないと「プロフェッショナル」とは言えないでしょうね。ということで、今日もがんばろう・・・

| | コメント (0) | トラックバック (0)

2007年4月 3日 (火)

「保証型情報セキュリティ監査概念フレームワーク」

日本セキュリティ監査協会のHPで「保証型情報セキュリティ監査概念フレームワーク」が、正式公開されています。

同時に既にPDFとして公開済みだった「情報セキュリティ監査助言型監査マニュアル」
「情報セキュリティ監査保証型監査マニュアル」も公開されています。

先日の記事でご紹介した、経済産業省産業構造審議会「情報セキュリティ基本問題委員会報告書(案)」(グローバル情報セキュリティ戦略)の、「新しい三つの戦略」の中の「戦略1:情報セキュリティ先進国の実現」で(2)企業の領域で、「保証型情報セキュリティ監査の普及」として、「取引先や顧客等に対して、自らの情報セキュリティについての信頼性を高めるためには、助言型監査にとどまらず、監査人が一定の「保証」を与える保証型監査を活用することが重要である」とあります。さらにこの施策については、3年以内に実現する項目の1つに挙げられています。

「保証」や「保証サービス」「保証型監査」に関しては、また後日改めて記事として書きます。
まずはこの「保証型情報セキュリティ監査」を、注目しておいていただきたいと思います。

| | コメント (0) | トラックバック (0)

2007年4月 2日 (月)

NIST SP800-70日本語翻訳版公開

NIST SP800-70「IT 製品のためのセキュリティ設定チェックリストプログラム - チェックリスト利用者と開発者のための手引き」 の日本語翻訳版が、3/30(金)に公開されています。

SP800-18の改訂版の日本語翻訳版「連邦情報システムのためのセキュリティ計画作成ガイド 改訂第1版」も公開されています。

CISSPホルダー、CISSPを目指される方は「CISSP的な考え方」を理解するために、ぜひNIST SP800シリーズは目を通していただきたいと思います。

あと、予定が示されているSP800シリーズの日本語翻訳版は、以下の通りです。
SP800-37「連邦政府情報システムのセキュリティに対する認証および認定ガイド」
SP800-40「パッチ及び脆弱性管理プログラムの策定」
SP800-65「ITセキュリティの資本計画及び投資管理プロセスへの統合」
SP800-83「悪意のソフトウエアによるインシデントの防止と対処のためのガイド」

どれも楽しみにしているのですが、特にSP800-37を注目しています。
2006年9月公開予定になってますが、まだ出ませんね。
そんなに待ち遠しいなら、自分で翻訳しろって話もありますが・・・

| | コメント (0) | トラックバック (0)

2007年4月 1日 (日)

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の公表

経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」が3/30(金)に、プレスリリースされていました。(ここでいう「システム管理基準」には「情報セキュリティ管理基準」も含まれています。念のため・・・)

ファイルは以下からダウンロードできます。(パブコメ募集版とどこが変わったのか、わかりません・・・)

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」概要版
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」

| | コメント (0) | トラックバック (0)

« 2007年3月 | トップページ | 2007年5月 »