« 2007年5月 | トップページ | 2007年7月 »

2007年6月の記事

2007年6月30日 (土)

NISC技術戦略専門委員会報告書

6/29内閣官房情報セキュリティセンター(NISC)から、「技術戦略専門委員会報告書2006」が公開されています。

日本国における情報セキュリティ戦略とそれに沿った技術動向、を理解することができます。

これによると

日本国における情報セキュリティ技術戦略の基本とは、IT基本法にいう「高度情報通信ネットワークを安心して利用可能」な環境とすること。
そのためには、以下の3つの条件が満足させる環境として構築されるべき。

条件1.そもそも「高度情報通信ネットワークが安全である」こと。

条件2.利用者が「高度情報通信ネットワークが安全である」とわかる(認識・体感できる)こと。

条件3.万が一事故が起こった場合でも、その局限化や救済等が図られるとともに業務の継続性が保たれること。

と、されています。

これらに基づいての情報セキュリティ技術の戦略ということですね。

情報セキュリティプロフェッショナルを目指す方は、技術専門書だけでなく、ぜひこういう報告書も読んでください。

| | コメント (0) | トラックバック (0)

2007年6月29日 (金)

新種の攻撃ツール「MPack」

6/28のJPCERT/CCのレポート「複数の脆弱性を使用する攻撃ツールMPackに関する注意喚起」からです。

まず「MPack」とは、

既存の攻撃ツールと比較して管理プログラムの機能が多く、最新の脆弱性を攻撃するための攻撃コードを後から追加可能。海外のWebサイトで販売されており、入手が比較的容易。

というものだそうです。
「rootkit」とも違うようですね。

「MPack」の構造は、

A: Webサーバ上で稼働するMPackの管理プログラム
B: 被害者のコンピュータ上で実行される攻撃コード

攻撃者はBの攻撃コードをWebサーバ上に配置し、何らかの手段で被害者をそのWebサーバに誘導します。

というもの(「ボット」っぽい、かな?)で、以下が攻撃の主な例としては

ステップ 1:
攻撃者は何らかの手段でWebサーバに侵入する

ステップ 2:
攻撃者はHTML文書にMPackの攻撃コードを読み込ませるためのiframeを記述する

ステップ 3:
ステップ2でiframeが記述されたHTML文書を閲覧した被害者は、自動的にMPackの攻撃コードを開いてしまう

ステップ 4:
MPackの攻撃コードは被害者がアクセスした際にOSやブラウザを判別し、被害者のコンピュータの脆弱性を攻撃する

ステップ 5:
被害者のコンピュータにMPackが対象とする脆弱性が存在する場合、攻撃者が準備した悪意のあるプログラムが実行される

他に、スパムによる誘導やWebサイトのクロスサイトスクリプティング脆弱性を使用する等の手法が考えられる、このこと。

ますます、脆弱性関連情報の取扱い、早期警戒は重要になってきますね。

| | コメント (0) | トラックバック (0)

2007年6月28日 (木)

「2005年度情報セキュリティ市場調査」実施報告書

(私も関わったのですが)以下のかなり前の成果物が、なぜか最近公開されました。(時間がたっているので、記憶が薄れつつあります・・・)

「2005年度情報セキュリティ市場調査」実施報告書~経済産業省

情報セキュリティの製品・サービスに関する調査結果をジャンル別に整理し、報告書としてまとめたものです。参考になる内容も多いと思いますので、よろしければご覧ください。
結構ボリュームもあります。(120pあります)
とりあえず、調査会社と違って無料でダウンロードできますよ

| | コメント (0) | トラックバック (0)

2007年6月27日 (水)

50000アクセス突破

昨日6/26、このブログのアクセスが50000の大台を突破しました
開設(2006年5月22日)から約1年1ヶ月で、このアクセス数はまったく予想しませんでした。

この間に私も情報セキュリティプロフェッショナルとして成長できたような気がします(気のせい?)し、皆様が情報セキュリティプロフェッショナルとなるお役に立てていれば幸いです。

アクセス数を伸ばしたいというより、多くの方に読んでいただいてるということが、ブログを書き続ける大きな励みにもなります。
それから、見ていただくだけではなくコメントやトラックバックをしていただけると、さらに励みになります。
遠慮せず、どしどしお寄せください。
ということで、明日からもがんばって更新続けます。

| | コメント (0) | トラックバック (0)

2007年6月26日 (火)

(ISC)2 ISLAを受賞しました

ISLA(Information Security Leadership Achievements)は、(ISC)2がアジアパシフィックのITセキュリティのプロフェッショナルを表彰するというアワードです。実は今年が第1回であるのに、私のようなものをノミネートしていただき、受賞いたしました。(日本人は私を含め、今年は4名が受賞)
CISSPをはじめとする日本のセキュリティ教育(CISSP-ISSJP資格、公認情報セキュリティ監査人資格、SEA/Jなど)に貢献した、ということでノミネートしていただきました。

対象は以下の3つに分かれています。

・Senior Non-IT Security Professional
・Senior IT Security Professional
・IT Security Practitioner 

このうちの「Senior IT Security Professional」で、賞を頂きました。
まさに「身に余る光栄」とはこのこと、頂いていいのでしょうか、本当に・・・。
CISSPホルダーで良かったなぁ、とも実感していますが。

これからは、CISSPの名とISLAの名に恥じぬよう、がんばらなければなりませんね。
はい、これからもずっとがんばります。いや、がんばらないといけませんね!

それから、来年も日本のCISSPホルダーがノミネート、受賞できますように・・・

※ 「ISLA」の詳細は、こちらです。
※ (恥ずかしながら私も含め)受賞者のプロフィールが、こちらに掲載されています。

| | コメント (0) | トラックバック (0)

合格率100%の教育と資格?

つい最近のことですが、某NPOでのセキュリティ教育の調査で「NISM(ネットワーク情報セキュリティマネージャー)」の、以下のホームページを見ておりました。

・資格体系/カリキュラム

そこを見ると、資格体系と合格率が以下のように出ています。

●NISM資格体系と合格率
・ネットワークセキュリティ基礎:100%
・ネットワークセキュリティ実践:99.4%
・サーバセキュリティ実践:98.9%
・不正アクセス監視実践:100%
・セキュリティポリシー実践:97.8%
・セキュリティ監査実践:100%

このページによると、NISMとは、

ネットワーク情報セキュリティマネージャー(略称:NISM)は、ハッカーやサイバーテロの脅威に対処し、情報通信ネットワークの安全性・信頼性を確保するために、情報通信サービスを提供する事業者に配置する専門家を育成することを目的として創設されました。主催団体が実施する資格認定のための講習(認定講習)を受講し、一定のレベルに達すると、有資格者として認定されます。

ということなのですが、「合格率100%で『専門家』と呼んでいいの?」というのが疑問であり、気にかかりますね。
資格というのは「その人に必要な役割や能力があると求められれば認定、認証する」というもので、難易度とか合格率が重要なのではない、というのが私の持論です。(「難易度が高い、合格率が低い=資格としての価値・有効性、ではない」ということ)

しかし「本当にこの教育で育成でき、認定、認証してよいのか」はどうなのでしょうか。

それからもう1点、この教育と資格が主催団体の会員に限定されていることも気にかかります。
そのようなあり方(クローズな方針)で、いいのでしょうか。

NISM推進協議会の方などと、一度伺ってみたい気がしています。

| | コメント (0) | トラックバック (0)

2007年6月25日 (月)

「標的型攻撃」、「ボット」に関する調査資料

6/21にJPCERT/CCより、「標的型攻撃」(いわゆるスピア攻撃)、「ボット」に関する調査資料が3点公開されています。
「見えない脅威」の実態とその対策という内容で、とても参考になります。

ただ「ボット」関係の2点は、「非公開」という部分がかなりあります。
「悪用を避けるため」とのことですが、物足りない感じとストレスが残りました。

標的型攻撃についての調査
近年急増していると言われる標的型攻撃 (Targeted Attack) について、JPCERT/CC が行った国内企業へのアンケートから標的型攻撃に関する実情の紹介およびそれら攻撃に対して企業・組織が取り得る対策についてまとめたものです。

マルウェアの最近の傾向とウェブアプリケーションの脆弱性を狙うボットの実態

2005年から 2006年に出現した単機能化されたマルウェアの特徴および傾向を調査し、作成された背景や目的についての考察と、ボットの実態の継続調査として Web アプリケーションの脆弱性を利用するボットの調査を行いまとめました。

P2P 型ボット分析レポート
命令の受信に P2P 型の通信を使用するボットや、既存の P2P ファイル共有ネットワークと関連するボット・ボットネット(以下、P2P 型ボット)の実態や、その特徴などについて調査を行い、それらが今後さらなる脅威となるかを考察しまとめました。

<参考資料>
ボットネット概要

| | コメント (0) | トラックバック (0)

2007年6月23日 (土)

共通脆弱性評価システムCVSSの新バージョンの公開

6/21にIPAセキュリティセンターより「共通脆弱性評価システムCVSSの新バージョンの公開について」が出されています。

ところで、CVSSとは”Common Vulnerability Scoring System”の略

CVSSは、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の枠組みで議論できるようになります。CVSSは、FIRSTのCVSS-SIG(Special Interest Group)が管理母体となりversion 1が2005年6月に公開されました。

というものです。

IPAでは、ソフトウェア製品の脆弱性の深刻度評価にCVSSを適用しており、脆弱性対策情報の公表ページでCVSS基本値の評価結果を公表しています。さらに脆弱性対策情報データベース「JVN iPedia」(JPCERT/CCとの共同運営)でもCVSS基本値を公表しています。

ソフトウェア製品の脆弱性の深刻度評価をこのCVSSという共通の手法で実施することができ、その結果製品利用者やSI事業者が脆弱性への対応などへの活用が期待できます。

詳しくは、こちらで。

共通脆弱性評価システムCVSS v2概説

| | コメント (0) | トラックバック (0)

2007年6月22日 (金)

講師は優遇?

よく聞かれることとして、「(教えている資格において)講師は優遇されるんですよね?」というのがあります。

結論は「No」なのです。

そういうことはありません。どちらかというと「より厳しい」というのが実情です。

試験を免除されるとか、そういうこともまずありません。むしろ、どちらかというと「講師をするんだから、よりいい成績をとれ」ということがほとんどです。たとえば、一般受験者は75点で合格ですが、講師になる人は90点以上取りなさい、とかです。(詳しくいえませんが、とにかく条件はより厳しいのです・・・)

というとこで、納得とか同情していただけますか?

| | コメント (0) | トラックバック (0)

2007年6月21日 (木)

「CISSP-行政情報セキュリティレビューセミナー」開催

昨日6/20から、「CISSP-行政情報セキュリティレビューセミナー」が開催されています。
今回は記念すべき第1回の開催です。(講師してまいりました)
全部で4ドメイン、テキストも1冊にすっきりまとまりました。(CISSPの1日分のテキストより薄かったりして・・・)
CISSPレビューセミナーに比べると、時間的にも余裕があります。(それでも、それなりにボリュームはあります)
そうそう、公式ガイドブックも配布しています。

「CISSP-行政情報セキュリティ(CISSP-ISSJP)」は、「CISSP10ドメインの他に、日本の情報セキュリティプロフェッショナルに必要な知識項目は何か」の検討から始まり、CBK(共通知識分野)の策定、書籍(公式ガイドブック)の執筆、レビューセミナーのテキスト開発、セミナーでの講習実施まで、約3年間関わってきました。

ようやく、この「CISSP-行政情報セキュリティ(CISSP-ISSJP)」に関する業務(「事業」と言ってもいいくらいですね)も一段落した気がします。
「長かったなぁ~」(しみじみ・・・)

おっと、まだ2日目が残っているぞ。
がんばります・・・

| | コメント (0) | トラックバック (0)

2007年6月20日 (水)

(ISC)2 Japanホームページ、リニューアル

(ISC)2 Japanホームページが、リニューアルされました。

見た目も変わりましたが、コンテンツも増えています。
CISSPホルダー、およびCISSPを目指される方は、ぜひアクセスしてみてください。

それからトップページには、最新のホルダー数が表示されるようになっているようです。
最新の情報は2007年6月15日現在で、世界では49,818名、日本では813名となっています。

| | コメント (0) | トラックバック (0)

2007年6月19日 (火)

"nicter"って、ご存知ですか?

"nicter"って、ご存知でしょうか?
意外と知られていないので、この機会に簡単にご紹介します。

独立行政法人 情報通信研究機構(NICT)情報通信セキュリティ研究センター
で、プロジェクトとして研究が進められているインシデント分析システムが"nicter"です。

独立行政法人 情報通信研究機構(NICT)の紹介によると、

nicter (Network Incident analysis Center for Tactical Emergency Response) は、インターネットで発生する様々なセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合的なシステムです。ネットワーク攻撃の観測や不正プログラムの収集などによって得られた情報を分析し、その原因を究明します。

と、されています。

"nicter"の概要 ← こちらも、ご参照ください。

先週まで開催されていたInterop(昨年もだけど)、先月のRSAカンファレンスなどでも、デモンストレーションが行われていました。
インシデントをマクロ的に解析して、3Dで可視化して詳細分析し、インシデントハンドリングの情報として提供しています。
ご存知なかった方は、ぜひチェックしてみてください。

ちなみに、NICTの情報通信セキュリティ研究センター及び"nicter"は、「CISSP-行政情報セキュリティ」でも取り上げています。

| | コメント (0)

2007年6月18日 (月)

「スパム通り」は実在した。

「スパム通り」(SPAM BLVD.)なる通りが、実在していたようです。
ちなみに、この通りはかなりトラフィックが多いようです。
くれぐれも、ご注意を。

Sn310587 このネタは、以前スパムネクタイ(こちらの記事をご覧ください)をご披露いただいたCISSP仲間のYさんから、提供していただきました。

| | コメント (0) | トラックバック (0)

2007年6月16日 (土)

「CISSP-行政情報セキュリティ(英語名称:CISSP-ISSJP)」が、(ISC)2のUSのサイトで・・・

「CISSP-行政情報セキュリティ(英語名称:CISSP-ISSJP)」が、(ISC)2のUSのサイトで紹介されています!

(ISC)²® RELEASES FIRST OFFICIAL GUIDE BOOK TO THE CISSP®-ISSJP® CBK®

う~ん、なんか不思議。
そして、感動した・・・

| | コメント (0) | トラックバック (0)

2007年6月15日 (金)

「セキュア・ジャパン2007」公開

パブコメ募集のその結果を受け、内閣官房情報セキュリティセンター(NISC)のサイトで公開されています。(こちらの記事もご参照ください)

情報セキュリティプロフェッショナル、CISSP-行政情報セキュリティ資格を目指す方は、ぜひじっくり読んでください。

「セキュア・ジャパン2007」

(サマリーは、こちらで)

併せて、以下の2つの資料も同様にパブコメ募集のその結果を受け、公開されています。

「政府機関の情報セキュリティ対策のための統一基準(第2版)」

「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」

この領域で情報セキュリティに関わられている方は、ぜひじっくり読んでください。
そうでない方(「企業」の領域)も、今後のためにぜひご一読を。

そういえば、来週は記念すべき第1回の「CISSP-行政情報セキュリティCBKレビューセミナー」です。
(私も講師を担当いたします)

| | コメント (0) | トラックバック (0)

「組織内CSIRT構築支援マテリアル」公開

6/14にJPCERT/CCから、「組織内CSIRT構築支援マテリアル」が公開されました

ちなみに「CSIRT」とは、"Computer Security Incident Response Team"の略。つまり、情報セキュリティのインシデント対応体制のことです

ここのマテリアルは、組織的なインシデント対応体制である「組織内 CSIRT」 の構築を支援する目的で作成したものです。「認知」で組織内 CSIRT の必要性を把握し、「理解」で全体的なイメージをつかみ、「実践」で実際に構築活動を行なえるように 3つのカテゴリで構成しました。

ということで、以下の文書が公開されています。
(かなり、充実してます)

■認知
「組織内 CSIRT の必要性」
インシデント対応活動の必要性やその対応体制の設置の意義を説明し、組織内 CSIRT 構築を推奨しています。

■理解
「組織内 CSIRT の役割」
組織内 CSIRT の基本かつ重要なポイントから、その役割について説明し、具体的な例をあげながら、組織内 CSIRT の役割について説明をしています。
「組織内 CSIRT の活動」
組織内 CSIRT の活動に必要なフレームワークと活動内容を定めるにあたっての考察ポイントを説明しています。
「組織内 CSIRT の要員」
組織内 CSIRT の要員に必要なヒューマンスキルとテクニカルスキルを説明しています。
「組織内 CSIRT の形態」
組織内 CSIRT の形態の種類と組織の実情に合わせた選択の説明をしています。

■実践
「組織内 CSIRT の構築プロセス」
組織内 CSIRT の全体的な構築プロセスを説明しています。
「組織内 CSIRT の実作業」
組織内 CSIRT を構築の実作業のマイルストーンとそれぞれの成果物を説明しています。
「構築活動のためのプロジェクト憲章」:フォーム、作成例
構築活動を開始するにあたって、構築活動全体の定義について明記する文書です。
「構築活動のためのスコープ記述書」:フォーム、作成例
構築活動を進めるにあたって必要なマイルストーン、見積もり、制限等を記述する文書です。
「構築に必要な現状把握」:フォーム、作成例
組織内 CSIRT に必要な定義事項(役割、位置づけ、活動内容など)を検討するために必要な情報を記述する文書です。
「CSIRTの基本的な枠組み」:フォーム、作成例
組織内 CSIRT の活動に必要な基本的な枠組みの定義を記述する文書です。
「CSIRT 記述書」:フォーム、作成例
組織内 CSIRT の活動に必要な定義を記述する文書です。(RFC 2350 の CSIRT テンプレート に準拠した記述書)

■参考資料
「インシデント対応マニュアルの作成について」
組織内 CSIRT 構築活動におけるインシデント対応マニュアルの作成のポイントについて説明しています。
「組織内CSIRT の情報管理と設備について」
組織内 CSIRT の情報管理のポイントとその設備の例を説明しています。
「組織内CSIRT における電話応対について」
組織内 CSIRT における電話対応のポイントについて説明しています。
「PGP の説明に役立つデータ」
CISRT 間で必要になることが多い PGP について、その説明に役立つデータを提供していすます。

■関連する公開文書
「コンピュータセキュリティインシデント対応チーム (CSIRT) のためのハンドブック」

ダウンロードは、こちらのページから。

| | コメント (0) | トラックバック (0)

2007年6月14日 (木)

情報セキュリティ早期警戒パートナーシップガイドラインの改訂について

6月11日に、IPAとJPCERT/CCからプレスリリースされています。

独立行政法人 情報処理推進機構(東京都文京区、理事長:藤原 武平太、略称:IPA)および有限責任中間法人 JPCERT コーディネーションセンター(東京都千代田区、代表理事:歌代 和正、略称:JPCERT/CC)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、2007年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。

JPCERT/CC プレスリリース
IPAセキュリティセンター プレスリリース
JNSAのお知らせ

今回が3回目の改訂、つまり「V.4」ってことですね。これまで以上に、よりいっそうの普及が期待されます。

・本文はこちら(「情報セキュリティ早期警戒パートナーシップガイドライン」2007年度版

| | コメント (0) | トラックバック (0)

2007年6月13日 (水)

テクニカルエンジニア(情報セキュリティ)が1788名誕生

6/11にテクニカルエンジニア(情報セキュリティ)の合否が発表されていますね。(こちらです)

今年は、14,649名(申し込みは、24,477名)で、合格者は1,788名、合格率12.2%でした。
ちなみに昨年は、18,128名(申し込みは、29,403名)で、合格者は1,227名、合格率6.8%でした。
すなわち、累計で3,000名を超えた(3,015名)わけですね。


またまた、ちなみに情報セキュリティアドミニストレータは、累計で19,371名です。
ということは、情報処理技術者試験だけで、(重複がどれくらいあるかは不明ですが)延べおよそ22,400名の「情報セキュリティ技術者」を養成(正確には「認定」)したことになります。
でも、「情報セキュリティ技術者」は質・量ともに不足している、ってことです。

だいたい、延べおよそ22,400名の認定者は、情報セキュリティの「現場」で活躍できているのでしょうか。
だとすれば、情報処理技術者試験の認定資格だけでできているうでしょうか。
そのあたりの有効性も知りたいところです。

延べおよそ22,400名の「情報セキュリティ技術者」がいて、2つの資格体系が運営されていて、それでも、「情報セキュリティ技術者」は質・量ともに不足している。
その原因は何なんでしょうか?そして、その解決策は?
このあたりの検討なくして、IT人材(「ICT人材」とか、「情報セキュリティに係る人材」と言い換えたほうが良いかもしれません)の育成や活用は実現しませんね。

で、どうすんだろう?この制度の改革は?(こちらこちらを、ご参照ください)

<参考情報>平成19年度春期試験までの統計情報

| | コメント (0) | トラックバック (0)

2007年6月12日 (火)

「情報セキュリティ標語2007」

昨日6/11に入選作品が発表されています。(こちらです)

大賞は「忘れずに、ネットと心のファイアーウォール」です。

「ネットのファイアーウォール」の運用は難しいけど、「心のファイアーウォール」は設定も運用も、もっと難しいね。

| | コメント (0) | トラックバック (0)

2007年6月11日 (月)

CISSPの認定要件の変更

既に英語のサイト(こちらと、こちらと、こちらを参照ください)では先月から公開されていますが、CISSPの認定要件が変更になります。(2007年10月1日から)

現在の認定要件は、以下の通りです。(日本の(ISC)2のサイトより)

1.試験料を支払うこと。
2.CBK10ドメインのうち、少なくとも1つの情報セキュリティ分野における最低4年間の「プロフェッショナルとしての」経験があること。
 ※大卒者は3年間の経験で可。(1年分の経験免除)
3.また、(ISC)2が認める資格の取得者は、さらに1年分の経験が免除。
4.対象資格についてはwww.isc2.org/credential_waiver参照。
5.上記の経験が事実であることの証明書(申込書に記述)に合意し、「倫理規約(Code of Ethics)」の堅持を法的に誓うこと。
6.犯罪に関連した履歴に関する4つの質問事項(申込書に記述)に正しく答えること。

上記のうち、2.が

2.CBK10ドメインのうち、少なくとも2つ以上の情報セキュリティ分野における最低5年間の「プロフェッショナルとしての」経験があること。
 ※大卒者は4年間の経験で可。(1年分の経験免除)

となります。

また、3.は以下の資格が対象となります。

CERT Certified Computer Security Incident Handler (CSIH)
Certified Business Continuity Planner (CBCP)
Certified Computer Crime Investigator (Advanced) (CCCI)
Certified Computer Crime Prosecutor
Certified Computer Examiner (CCE)
Certified Fraud Examiner (CFE)
Certified Information Systems Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Internal Auditor (CIA)
Certified Protection Professional (CPP)
Certified Wireless Security Professional (CWSP)
CompTIA Security+
Computer Forensic Computer Examiner (CFCE)
GIAC Security Essentials Certification (GSEC)
GIAC Certified Firewall Analyst (GCFW)
GIAC Certified Intrusion Analyst (GCIA)
GIAC Certified Incident Handler (GCIH)
GIAC Certified Windows Security Administrator (GCWN)
GIAC Certified UNIX Security Administrator (GCUX)
GIAC Certified Forensic Analyst (GCFA)
GIAC Information Security Officer (GISO)
GIAC IT Security Audit Essentials (GSAE)
GIAC Security Expert (GSE)
GIAC Certified ISO-17799 Specialist (G7799)
GIAC Security Leadership Certification (GSLC)
GIAC Systems and Network Auditor (GSNA)
GIAC Certified Security Consultant (GCSC)
Microsoft Certified Systems Administrator (MCSA)
Microsoft Certified Systems Engineer (MCSE)
Master Business Continuity Planner (MBCP)
System Security Certified Practitioner (SSCP)

CISSPを取得するため、体系的な準備として先に取得しておくなら、CompTIA Security+がいいでしょう。(こちらの記事をご参照ください)

| | コメント (0) | トラックバック (0)

2007年6月 9日 (土)

セキュリティ落語

セキュリティ川柳セキュリティ標語などがありましたが、今度はセキュリティ落語ですか。

(ここのサイトでは「セキュリティかるた」「セキュリーマン検定」などのコンテンツもありますが)

次はセキュリティ漫才しかないかな。

| | コメント (0) | トラックバック (0)

2007年6月 8日 (金)

(ISC)2、第1回ISLS開催

昨日6/7、(ISC)2で第1回のISLSが開催されました。
多くのCISSPが集まりました。
4月24日のフォーラム以来のCISSP同窓会という感じでした。
(何名かのホルダーの方とは、歓談することができ楽しかったです)

概要は、以下の通り。

……………………………………………………………………………………………

(ISC)2 Japanでは、日本在住のCISSP認定保持者の皆様の情報発信、情報共有、
スキルアップ等を目的として、(ISC)2 Information Security Leadership Series
(ISLS)をスタートいたします。
本シリーズでは、毎回数名のCISSP認定保持者の方に、
得意分野に関するトピック、日常の業務から得られた事例など、
皆様のスキルアップや業務に役立つ発表を行って頂きます。
参加者には、CPEクレジット 2ポイントが付与されます。

第一回開催を6月7日(木)に実施します。ぜひふるってご参加下さい。

┏★【開催概要】
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
……………………………………………………………………………………………
▼名称: (ISC)2 Information Security Leadership Series 第1回

▼会期: 2007年 6月 7日(木) 18時30分~20時00分
     ▽受付 18時00分より

▼会場: 東京大学 駒場リサーチキャンパス 駒場コンベンションホール
         東京都目黒区駒場4-6-1 生産技術研究所 An棟(総合研究実験棟) 2階
    (キャンパス案内: http://www.iis.u-tokyo.ac.jp/map/index.html
  
▼主催: (ISC)2 Japan

▼対象来場者: CISSP認定保持者

▼記念すべき第1回の発表者は、下記3名のCISSP認定保持者です。

   ―アイ・ビー・エム ビジネスコンサルティング サービス(株)
     アプリケーションイノベーション e-セキュリティソリューション
     シニア・コンサルタント
     小熊 慶一郎氏

     発表テーマ:グローバル情報セキュリティにおける課題と推進のポイント

   ―マイクロソフト(株)
   コンサルティングサービス統括本部
   シニアコンサルタント
   河野 隆志氏

   発表テーマ:IPsec を使用したサーバーおよびドメインの分離の概要

   ―(株)ラック
   SNS事業本部 コンサルティング事業部 カスタマーサービス部
   システムエンジニア
   富田 一成氏

   発表テーマ:情報セキュリティトレーニング講師になって

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━     

ISLSは海外ではすでに開催されていますが、日本では今回が初開催でした。
このようなイベントがあるものCISSPならではのことです。

第2回以降も、楽しみです。
(秋のフォーラムも楽しみですが)

| | コメント (0) | トラックバック (0)

2007年6月 7日 (木)

セキュリティ名言・その3

「セキュリティ技術者は永遠に不滅。でもずっと(最新動向に)ついていけるとは限らない」


昨日のNPO日本ネットワークセキュリティ協会(JNSA)での、佐々木会長(東京電気大学教授)のお言葉です。

だから、継続的な教育とか活動(すなわち、CPE対象のもの)が必要、ってことですね。
セキュリティ対策には終わりがないけど、セキュリティ専門家にも終わりがないわけです。
つまり、「専門家」を名乗りたいのであれば、生涯学習が必要ですね・・・

| | コメント (0) | トラックバック (0)

2007年6月 6日 (水)

内部統制と情報セキュリティ(2)

さて(めずらしく、2日つづけて)昨日の続き。

「内部統制では、『文書化』が重要」などという話もよく聞きます
そこで、懸命に『文書化』を始めるということですが、「規程」ばかり作っていたりする組織もあります。

さらに「内部統制では、『見える化』が重要」という話もよく聞きます。
そこで、懸命に『見える化』を始めるということですが、「報告書」ばかり作らせていたりする組織もあります。

文書化=規程類の作成、見える化=記録の作成、という極端に短絡的なのですが、実際にあった例です。
情報セキュリティマネジメントでも、そういう組織が多かったのですが、そのままの理解で内部統制に取り組んでもそうなってしまうということですね。

『文書化』では、まずは定義をすることが大事です。何が意図した通りの業務や情報処理なのか。特にその中でどの「完全性(インテグリティ)」を確保しねければならないのか。(データ、トランザクション、ソース)
『見える化』では、評価・確認できるということが大事です。何で評価・確認できるのか。その基準や指標、方法・手段は何なのか。

それができなければ、内部統制の仕組みなど構築できません。
構築できたとしても「ガバナンス」が確立されていない組織であれば、内部統制の仕組みも情報セキュリティマネジメントの仕組みも機能しません。(あいまいな仕組みは、結局機能しないということです)

| | コメント (0) | トラックバック (0)

2007年6月 5日 (火)

内部統制と情報セキュリティ(1)

最近は講演をする機会がそれなりに多いのですが、その内容で多いのが「内部統制」です。
(あまりこういう表現は使いたくないのですが)時節柄、当然といえば当然でしょうか。

そこでよく話をするのが「内部統制と情報セキュリティの関係」です。
「よく『最近の情報セキュリティは、内部統制の領域まで広がってきた』と、降って沸いたように言われる方がいらっしゃいますが、本当にそうでしょうか?」と言って、以下のような引用を見ていただいています。

企業が自身の被害の局限化や法令遵守の観点に加え、社会的責任の観点も踏まえた形で情報セキュリティ対策に積極的に取り組むようになるためには、「情報セキュリティに絶対はなく、事故は起こりうるもの」との前提に立ち、対策をその場しのぎの対症療法的対応で済ませるのではなく、自律的・継続的に改善・向上する仕組みを導入することが必要となる。つまり、社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること、すなわち「情報セキュリティガバナンス」の確立が求められる。

(中略)
このような取り組みを推進していくには、情報セキュリティ対策を、単なるコストではなく、企業価値を高めるために積極的に取り組むべき投資対象として位置づけることが重要であり、そのための新たな環境整備が不可欠である。

なお、情報セキュリティガバナンスの確立に際しては、IT事故の影響を懸念するあまり、ITの利便性を犠牲にするのではなく、利便性と安全・安心の両立を目指していくことが重要である。

「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」より抜粋    ~2003,経済産業省

この報告書は2003年3月に公開されています。
ということで、実はもう4年以上も経っているのです。

見落とされたのか、無視されたのか・・・
とにかく、真剣に取り組んだ組織はほとんど無かった、ということですよね。

(ちなみに『情報セキュリティは、昨年くらいから内部統制の領域まで広がってきた』というプレゼンをしているセキュリティ専門家らしき方に遭遇してことがあります。「そりゃ、ないでしょ・・・」って感じでした)

さて、またいづれ第2回も書きます。(明日か、ちょっと先かはわかりませんが・・・)

| | コメント (0) | トラックバック (0)

2007年6月 4日 (月)

模擬記者会見演習

財団法人情報処理開発機構(JIPDEC)で、以下のようなコースが9月に開催されます。

危機管理と模擬記者会見演習コース~経営者・管理者に役立つ緊急時の危機管理~

本研修は、危機と危機管理の基本から、緊急事態発生時の初期対応とメディア対応(緊急記者会見)の過程をロールプレイの過程を通して、体得して頂きます。

ってコースなんですが、演習で「模擬記者会見準備」「模擬記者会見」などを実施するというのが興味深いですね。

このコースの特徴のところに「緊急記者会見に必須のマスコミ記者の特性を実感して頂く」「緊急記者会見を本番さながらに体験」と書いてありますが、臨場感・緊迫感があり過ぎるのも怖いような気がします。
とにかく、このような「記者会見」に出たい人はいないわけですし、「そういうことにならないように危機管理するんだろう」という人がほとんどでしょうから、どのような人が何人くらい申し込むのか、果たして人は集まるのか・・・

開催されたら見学したい気がするのですが、無理でしょうね・・・

| | コメント (0) | トラックバック (0)

2007年6月 1日 (金)

IPA「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」等の公開

5/30に、IPAより「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」
などが公開されています。

このドキュメントの目的は、IPAのサイトによると、

過去にリリースした製品に脆弱性が存在することを知りながら、脆弱性対策情報を公表せず、被害が生ずる可能性を隠したり、不十分な内容の公表にとどめたり、虚偽の内容を公表することは、利用者の情報資産や社会活動を危険にさらす結果を招きかねません。製品開発者は速やかに脆弱性対策を施し、利用者に的確な脆弱性対策情報を提供することが望まれます

という趣旨からによるものです。

公開されている主なものは、以下の通り。

・ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル(全12ページ、98KB)

「情報システム等の脆弱性情報の取扱いに関する研究会」 報告書 本編(全38ページ、1.9MB)

・情報セキュリティ早期警戒パートナーシップガイドライン改訂案(全36ページ、107KB)

脆弱性関連情報の取扱に関する整備が進んできましたね。
あとはこれを使う側の体制の整備や理解などが進んでくることが望まれます。

| | コメント (0) | トラックバック (0)

« 2007年5月 | トップページ | 2007年7月 »