« 2007年6月 | トップページ | 2007年8月 »

2007年7月の記事

2007年7月31日 (火)

『Black Hat Japan 2007 Briefings & Training』

今年で4回目になった「Black Hat Japan」です。
私も毎年興味深々なのですが、1度も行けてません。
今回も参加は難しそう・・・(参加したいなぁ~、特にトレーニング)

ちなみに、CISSPのCPEになりますよ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Black Hat - CMP Media
世界トップクラスのセキュリティ専門家から直接講義&実習が受けられる
『Black Hat Japan 2007 Briefings & Training』
- 世界トップクラスの専門家による国際セキュリティカンファレンス -
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

デジタルディフェンスに特化したセキュリティシンクタンク「Black Hat」(代表:Jeff Moss、本拠地:米国シアトル、現CMP社デジタルセキュリティ部門)は、世界トップクラスのセキュリティ専門家から直接講義&実習が受けられ、最新セキュリティ情報の交換ができる国際セキュリティカンファレンス『Black Hat Japan 2007 Briefings & Training』を10月23日-26日に開催する。4年目の開催となる今年も財団法人インターネット協会(IAjapan、理事長: 矢野薫)と共同開催する。参加者約300名強を予定。

『Black Hat Japan 2007 Briefings & Training』の詳細は次のとおり。

==開催概要===
日    程:トレーニング   10月23日(火)-24日(水)
     ブリーフィングス 10月25日(木)-26日(金)
場    所:東京新宿 京王プラザホテル
事前登録:トレーニング   7月17日(火)より受付開始(※座席数限定)
     ブリーフィングス 7月 1日(日)より受付中
     早期割引〆切は9月21日(金)、最終〆切は10月19日(金)
参加費(税込):
     ブリーフィングス 早期76,650円/通常88,200円/当日92,400円
     トレーニング   各コースにより異なるため、詳細は各コース詳細              を参照ください
============

■Black Hat Japan の特徴
・セキュリティ系の国際カンファレンスとして世界トップレベル
・Black Hat は、米国(2箇所)・ヨーロッパ・アジア(東京)の世界4箇所で開催
・講師陣は世界トップレベルのセキュリティエキスパート
・実践に即した最新セキュリティ事情、攻撃・およびその対策情報の共有・発信
・厳選された充実のハンズオントレーニング
・講演終了後にスピーカーと通訳付で直接話せる「スピーカーテーブル」付

ブリーフィングス(Briefings)について
2トラック同時進行で12の講義と1つの基調講演を予定。海外から世界トップクラスのセキュリティ専門家が来日し、コンピュータセキュリティに関する最新の技術トレンドや、新たに発見された脆弱性と保護対策技術が発表される。スピーカー申込(CallForPaper)は8月15日〆切。検討後に厳選トピックが発表される。

トレーニング(Training)について
最近増加傾向にある内部者による個人情報等のデータ窃盗の証拠確保や捜査、巧妙化する詐欺やウイルスに利用されるマルウェアソフトに対抗する技術、導入シェアの高いシスコ製品への攻撃すなわちイントラネット攻撃に対する防衛技術、Webアプリケーションの脆弱性対策などについて学べるコースを用意。Black Hat修了証が全コースで発行される。10月23日と24日の2日間修了で、全コースが同時進行する。参加費は各コースによって異なるため、詳細は各コース詳細を参照。(★近日アップデート予定)

<<トレーニングコースリスト>>
【ライブワイアー・デジタル・フォレンジック】
“稼動中の” 企業のコンピュータを捜査するテクニックを学習するハンズオンコース
概要:
受講者は、この2日間の講座を修了することで、稼動中のネットワークと怪しいターゲットから、『稼動させたまま』証拠を確保し、分析し、事件調査を行うための、最新の方法とテクニックを習得する。怪しいネットワークとユーザの行動を点でつなぎ、犯罪組織や悪意を持ったインサイダーによって雇われたソース、メソッド、テクニックを特定する。企業のセキュリティ担当者やIT担当者、コンピュータシステム監査人、フォレンジック調査官、捜査官、検察官、私立探偵など、ITシステムで起きうる事件の解決に関わる幅広い職務にとって、有益なコースである。基準を満たした受講者には[ライブ捜査官]認定証が別途発行される。

【米国国家安全保障局(NSA)INFOSECアセスメント方法論(IAM):レベル1】
必須事項を満たす受講者に米国国家安全保障局(NSA)認定書が発行されるコース
概要:
本講座では、安全米国国家保障局(NSA)が、組織における情報セキュリティについてアセスメントを行う際に使用している方法論を紹介する。ここでは、顧客組織の任務、その任務を支える重要情報、それらの情報がどのように保護されるべきかに関する規制や法制度、などに焦点を絞る。InfoSecアセスメント方法論(IAM)は、どのような組織でも適用できる柔軟性があり、特定の法規制などからも独立したものである。IAMはレベル1評価を行うベースラインとして使われるよう作られている。日本を含む世界5カ国の受講者のみNSA認定書が発行される。

【Windowsのマルウェア検出と分析、リバースエンジニアリング】
総合的マルウェア検出と分析、現実のウイルスサンプルを使ったリバースエンジニアリング技術のハンズオンコース
概要:
このコースは、x86アセンブリとリバース・エンジニアリングの入門的知識と基本的な理解を持つ受講者を対象として設計されているが、さらに先に進んだ受講者にとっては技能の復習とよく知られた問題への新しいアプローチを学ぶことができるようになっている。このコースでは、x86アセンブリの基本とパターンの認識、Windowsプロセスのメモリーレイアウト、IDA ProやOllyDbg のような実用的ツール、ワームがターゲットシステムに侵入する際に悪用するPEファイル形式とスタックやヒープのオーバーフロウなど基本的なエクスプロイットの方法論をカバーする。このコースは悪意があるコードの分析に焦点を当てるが、その際受講者にはリバース・エンジニアリングするために実際のウィルスサンプルが与えられる。また、実行ファイルのパッキング、obfuscation(不明瞭化)の方法、アンチ・デバッグとアンチ・逆アセンブルなどの詳細が解説され、学習の補強としてハンズオン実習で実際に使ってみる。

【インフラへのAttacktecsとDefentecs:Ciscoネットワークの攻撃と防御】
毎年USAで非常に人気の高いシスコの脆弱性とその対策、イントラネットへの攻撃と防御が学習できるハンズオンコースです
概要:
本講座では一般に入手可能なエクスプロイトツールの数々を網羅し、ことにCiscoインフラに対してこれらのツールがどのように使用されうるかを学ぶ。講義時間の大半は実践的なハンズオン実習ラボに割かれる。それゆえ、Ciscoに関する一定レベルの専門知識が要求される。トレーニングではこうした攻撃に対して可能な防御法も網羅する。
本講座のラボの時間中、受講者は2600シリーズルータと、2950Tスイッチを使用する。ラボの中心となるのは、シスコ3750シリーズ、2800シリーズ、様々なサーバである。受講者はラボのネットワークに(適切な注意を払った上で)接続するためのラップトップを持参すること。本講座は内部インフラ (Ciscoルータとスイッチ等を含む)の脆弱性に主眼をおくもので、ファイアーウォールやVPNコンセントレータ、IPSツールは網羅しない。

【Web Application (In)security】
Web Application とその "insecurity(危険な状態)" について真剣に考えている方のためのハンズオンコース
概要:
NGS Software社は、インターネットでも知名度の高いいくつかのサイトのペネトレーションテストはもとより、アプリケーションテストに一般的に使用される多くのツールを開発してきた。この講義では、クロスサイトスクリプティング、SQLインジェクション、LDAPインジェクション、JAVAアプレットの逆アセンブル、コマンドインジェクション、共有ホスティングのセキュリティバイパス、IDS回避、および市販製品の脆弱性について網羅する。受講生は、これらのすべてを実務的なエクササイズで試みる機会を得られる。

【Hacking by Numbers:Bootcamp Edition(ブートキャンプ版) 】
毎年USAでも非常に人気の高い、攻撃者の思考・技能・テクニックをメソッド+ハンズオン実習で学習する非常に実用的なコース
概要:
「Hacking By Number Bootcamp Edition(ブートキャンプ版)」は、HBNシリーズの中心である。攻撃者の考え方、スキル、テクニックがメソッドベースで講義されるとても高度で実務的なコースである。米国ではすでに5年も講義が継続されており、全世界からの受講生から高く評価を受け続けている講義である。

【セキュリティ脆弱性のためのソフトウェア・アナリシス】
本年USAですぐに完売。バイナリーアナリシス、リバースエンジニアリング、バグの調査結果を包括するC/C++を中心としたソフトウェアセキュア分析を学習するコース
概要:
C言語には気をつけないと自分の首を絞めてしまうロープのような落とし穴がいくつかあり、さらにC++はその可能性を拡大することが起こりうるより豊富な機能が存在する。両言語には多大なる隠れた落とし穴が存在しており、優秀な攻撃者はこれらの脆弱性を巧みに使って対象となるコンピューターに攻撃を仕掛ける事ができる。多くの人がこういったプログラミング上の問題点に気がついてはいるもの、セキュリテーの観点からのコードの解析を行う人は意外に少ない。このワークショップはではソースコード、バイナリーともにセキュリティ的な立場からのコード解析の手法と考えにフォーカスしていく。

【IDA Proを使ったリバースエンジニアリング】
効果的なリバースエンジニアリングの必須知識を米海軍大学院(NPA)にて長年講義を担当する講師によるBlack Hat でも人気のハンズオンコース[英文]
概要:
ウイルス、ワーム、トロジャン、Rootkitなど悪意があるソフトウェアの分析、代替プラットフォームのオープンソースドライバの開発をするためのバイナリードライバーの分析、セキュリティ脆弱性を発見するためのクローズドソースソフトウェアの分析、レガシーシステムのソースコードリカバリーなど、バイナリーソフトウェアのコンポーネントをリバースエンジニアリングする必要性はますます大きくなっている。一般に、そうした分析における第一歩はバイナリーコンポーネントの質の高い逆アセンブルの習得である。Ida Pro は現在利用できるもっとも良い逆アセンブラとして認識されており、特にIda Pro は多くのマイクロプロセッサとマイクロコントローラのマシン語を逆アセンブルが可能であり、WindowsとLinuxの実行ファイルに強い特徴がある。Ida Proの特徴の詳細に入る前に、この講義では、効果的なリバースエンジニアリングのために不可欠な基礎知識を網羅する。

■■ Black Hat とは
Black Hat(ブラックハット、現CMP社デジタルセキュリティ部門)は、世界規模の企業や政府関連機関のセキュリティ専門家に高度な教育を提供しつづけているセキュリティシンクタンクである。
Black Hatの使命の核はコンピュータアンダーグラウンドの優秀な頭脳とセキュリティ専門家をミックスさせることであった。それは世界トップレベルのセキュリティ技術者による最新のセキュリティ情報を提供し続けることで有名なカンファレンス『Black Hat Briefings』にいたる。特定企業に依存しないベンダー中立の立場から常に最新の脅威と対応策が議論される場所として機能している。
1997年より米国にて毎夏開催される『Black Hat USA』では、2006年の参加者数は4000人を超えた。毎春の『Black Hat Europe』、毎秋の『Black Hat Asia』として定着し、全世界でのセキュリティ情報の発信源でもある。Black Hat はカスタマイズトレーニングも提供している。Amazon.com社、マイクロソフト社、NSA(米国国家安全保障局)他と仕事経験を有す。

| | コメント (0) | トラックバック (0)

2007年7月30日 (月)

CISSP 10ドメインの名称

(ISC)2のHPをご覧いただいた方は、すでにお気づきでしょうが、10ドメインの名称がいくつか変わっております。

情報セキュリティとリスクマネジメント
セキュリティアーキテクチャと設計
法、規則、コンプライアンス、捜査
事業継続と災害復旧の計画
物理(環境)セキュリティ

暗号学
通信とネットワークのセキュリティ
アクセス制御

アプリケーションセキュリティ
運用セキュリティ

※ 赤字が名称が変わったもの。
(英語の名称は、こちら

「倫理」が消えてますね。
どこに行ったかといううと「情報セキュリティとリスクマネジメント」のドメインに引っ越しました。

| | コメント (0) | トラックバック (1)

2007年7月28日 (土)

ハードトークンが来た

口座のある証券会社から、ホームトレード用のハードトークンが郵送されてきました
よくDMでお知らせがきてましたが、ほとんど読まず利用せずでした。

20070728005908

しかし、今度ばかりは興味がわきました。(いちおう、情報セキュリティプロフェッショナルのはしくれとして)

説明をHPで読んでみると、

「ソフトウェアキーボード」も、使ってますし、以下のようなこともしているようですね。

「安全性・サポート」

「秘匿性」の確保

128bitSSLによる世界最高水準の暗号化技術の導入によって、個人金融資産に関わるデリケートな情報を、お客さま以外の第三者に盗み見されたり、データを改ざんされたりすることを防止します。

「なりすまし」の防止

「電子証明書による認証方式」や「セキュリティコードによる認証方式」により、第三者による不正利用を排除します。お客さまに合った認証方式を自由にお選びいただけます。

<認証方式について>

セキュリティコードによる認証方式

お客さまが独自に設定可能なセキュリティコード(最大32文字)をログイン画面に入力することにより、本人認証を行うものです。

電子証明書による認証方式

電子認証局の発行する「電子証明書」をお客さまのパソコンにインストールいただき、アクセス時に電子証明書の内容をもとに、正しいユーザーであるかどうかの認証を行います。

「じゃぁ、興味ついでにホームトレードでもおっ始めるかぁ~」と思ったのですが、先立つものがない!

先立つものとは?
「資金」と「金融取引」の知識です。(ついでに「セキュリティ」の知識も怪しかったりして?!)

| | コメント (0) | トラックバック (0)

2007年7月27日 (金)

さらに「情報セキュリティ格付け」

今日も「情報セキュリティ格付け」ねたです。

昨日7/26の日経ITproに「『あなたの会社はBB+』,情報セキュリティの格付けが始まる」 というのがありました。

ここでは実験(昨年らしいです)に使われた指標なども公開されています
※ これらは、今後の検討で変更になる可能性があります。

評価の対象は、以下の11分野

1 組織風土の醸成,リーダーシップの発揮
2 リスク・コミュニケーション1(共通概念化)
3 リスク・コミュニケーション2(情報開示)
4 リカバリー力(脆弱性が顕在化した場合のリスク耐久力)
5 第三者評価(監査・検査・認証など)
6 情報セキュリティ・マネジメント・システムの確立
7 教育・訓練,認識および力量
8 リスクアセスメント
9 情報セキュリティ・マネジメント・システムの導入および運用
10 コンプライアンス1(個人情報保護法)
11 コンプライアンス2(不正競争防止法)

格付けレベルは、以下の6段階

レベル5(AAAISM) 最適化
統合されたプロセスを用いて,高水準の管理状態を維持発展している状態
レベル4(AAISM) 目標管理
客観的な指標を用い,品質を高めるための目標管理を実施している状態
レベル3(AISM) 組織的管理
明確に定義した手順書などに基づき,組織的な管理を実施している状態
レベル2(BBBISM) 静的管理
文章化した手順に基づく計画策定や結果追跡が
可能な管理を実施している状態
レベル1(BBISM) 簡略的管理
特定の人員に依存して,イベント対応型の管理を実施している状態
レベル0(BISM) 初期段階
プロセスを確立していない初期段階,など

昨日の記事で「なぜ、制度の中にプライバシーマークとISMSがないのか」という質問も受けました。
その答えが、この記事にも書かれています。

プライバシーマークやISMSだけでは,企業のセキュリティ対策の実態が見えにくくなってきたことがある。プライバシーマーク取得企業は,6月末時点で約8000社に上る。

ISMS認証取得企業は2200社を超えた。これだけ取得企業が増えると,取り引きするほとんどの企業がプライバシーマークやISMSを取得している,といったケースも生まれる。その場合,いずれの企業も一定水準以上の情報セキュリティ対策を講じていることは分かっても,どの企業がより高いレベルにあるか,は分からない。
そこで重要になるのが,情報セキュリティ対策のレベルを測る“物差し”である

(他にも理由があるのですが)とにかくプライバシーマークとISMSでは「比較可能」にならないのが最大の理由です。

| | コメント (0) | トラックバック (0)

2007年7月26日 (木)

「情報セキュリティ格付け」は、いかにして行われるか?

7/19の記事「情報セキュリティ格付け制度研究会」設立の続きです。

これ以降、いちおう「公認情報セキュリティ主任監査人」という肩書きも持っているので、「『情報セキュリティ格付け』は、どのように行われるんでしょうか?」というようなご質問を多数受けております。

7/19の記事「このようなことはNISCの「第1次情報セキュリティ基本計画」「セキュア・ジャパン2007」、経済産業省の「情報セキュリティグローバル戦略」あたりにも書かれてますよね」なんてことを書きましたが、中でも経済産業省の「グローバル情報セキュリティ戦略」の【報告書】のP.29~、をご覧いただくのが一番わかりやすいと思います。

ここでは、以下のような記述があります。

4.1 戦略1:情報セキュリティ先進国の実現
(2)企業の領域
a)情報セキュリティ対策状況にかかる情報開示を通じた民間格付けの促進等

企業の情報セキュリティに対する取組みが、顧客、取引先、株主など主要なステークフォルダーから適切に評価されるためには、各企業の取組みが比較可能な形式で提示される必要がある。このため、政府及び関係機関は、普及広報活動の強化を通じて、情報セキュリティ報告書を始めとする情報セキュリティに関わる取組み等の自発的開示が進展するような環境を醸成し、民間企業による情報セキュリティ格付けを促進する。

b)企業や製品・サービス等に係る情報セキュリティ関連評価制度の拡充・強化
政府及び関係機関は、情報セキュリティ監査制度、情報セキュリティ対策ベンチマーク、ITセキュリティ評価及び認証制度、JCMVP等の情報セキュリティ関係評価制度の普及を引き続き進めるとともに、ビジネスプロセス、Webサービス、外部委託先等を対象とした情報セキュリティ評価制度の可能性に関して検討を行う。

ここでは他にも「リスクの定量化」などにも触れており、上記の「b)企業や製品・サービス等に係る情報セキュリティ関連評価制度の拡充・強化」に挙げられているような制度を通じての促進が検討されていくであろうことがお分かりいただけると思います

| | コメント (0) | トラックバック (0)

2007年7月25日 (水)

経産省と文科省が足並みを揃え、IT業界の人材育成

昨日7/24の日経ITproの記事からです。

・経産省と文科省が足並みを揃え、IT業界の人材育成に本腰

  経済産業省と文部科学省は7月20日、高度なIT人材の育成を進めるための協議会を共同で推進していくことを発表した。7月末に“産学官”を含むメンバーを確定し、9月に第1回分科会を開催。2008年3月の総会で中間報告を取りまとめる計画だ。

 本協議会は、人材育成を推進する場として設置する予定の「産学人材育成パートナーシップ」の分科会として開催する。主に、「産業界の求める高度IT人材像と個々の人材に必要なスキルの共有」「産業界と教育界との知識・スキル体系のすり合わせ」「産学連携による実践的な人材育成手法のあり方」「産業界と教育界の人材交流促進策」などを検討する。

 具体的には、産業界から教育界への人事交流を活発にすることで、ITの現場で必要となる知識や実践スキルと大学の講義内容をより近付ける。産業界側は、人的および資金面で教育機関をサポートするほか、IT教育を受けた学生を積極的に採用していくなどの施策を検討していく。

とにかく、「社会人になってからがIT人材育成のはじまり」で、IT業界内の競争、国際的な競争で優位性が確立できるはずもありません。(それ自体が、競争における「遅れ」)
この取り組みは非常に重要なのですが、「本腰」になるまでちょっと遅かった感も否めず・・・(2008年3月が「中間報告」ですからね、実施はいつから?)
日本が「IT先進国」になるための、キャッチアッププランとして期待したいところではあります。

| | コメント (0) | トラックバック (0)

2007年7月24日 (火)

「CISA試験ガイドブック&問題集」

週末に紀伊国屋書店で見つけました。
いつの間にか出ていたんですね。(7/20店頭らしい)

「CISA(公認情報システム監査人)試験ガイドブック&問題集」

内容紹介
米国の情報システムコントロール協会(ISACA)が認定する国際資格を紹介する書籍です。日本版SOX法導入に伴い、情報系の内部監査人の能力を証明する試験として、当社既刊のCIA(公認内部監査人)とともに関心が高まっています。本書は、このCISA試験合格のメリット、勉強方法を紹介した後、項目(ドメイン)別の出題のポイント、例題を学習していく構成になっています。

「もしや」と、増田さん(ISACA理事)のブログを覗きに行ったら、やはり載ってました。(さすが・・・)

内容的には、170ページほどでCISAの各ドメインの要点が例題とともに書かれています。
これだけで学習し受験するにはつらいでしょう。
やはり「CISAレビューマニュアル」での学習が必要でしょうね。
そのうえで、この本でまとめかな、という感じです。

ちなみに私はこの書籍は手にとりましたが、購入していません。
今のところ、CISAの受験予定がないので。(受験することになったら、購入して学習します)

| | コメント (0) | トラックバック (0)

2007年7月23日 (月)

「SANS Future Vision 2007 Tokyo」その2

今日はパネルの番外編のお話を。

実は7/18(水)のパネルディスカッションの前の時間に、アラン・パーラー氏スティーブン・ノースカット氏らと直接話しをすることができました。

しかもかなり長い時間でした。パネルディスカッションも含めると合計5時間、ごいっしょさせていただきました。
これもパネラーとしての「役得」ですね。(しかも最高の・・・)

このお2人のような、世界的に著名な情報セキュリティプロフェッショナルの方々のお話は、かなりためになりました。
そしてお2人とも熱心でフレンドリー、(特に通訳の方がいっしょだった時間は)アットホームに楽しく話をすることができました。

スティーブン・ノースカット氏とは、記念撮影もさせていただきました。
「ぜひ来年も、このような機会が持てれば」と、「SANS Future Vision 2008 Tokyo」に、今からかなり期待しています。

今回のSANS Future Vision、(ISC)2のCISSPフォーラムなどのイベントは、このようなネットワークがあります。
本当に貴重な機会です。知識やノウハウだけでなく、活力なども得られる魅力的なイベントです。
(CISSPホルダーの皆様にも、多数お会いできました!)

これからも積極的に参加していきたいと思っています。

<関連記事>

| | コメント (2) | トラックバック (0)

2007年7月21日 (土)

「生体認証導入・運用のためのガイドライン」

7/18にIPAのサイトで、以下の資料が公開されています。

「生体認証導入・運用のためのガイドライン」

「生体認証導入・運用のためのガイドライン」は、近年急速に普及している生体の特徴(指紋、静脈、虹彩等)を利用した生体認証システムのセキュリティに関わる状況について、正しい理解を深め、適切な利用の促進を目的としています。

  生体認証は、「完璧に安全である」や「生体情報の偽造が可能であるとともに、流出の危険があり非常に危ない」等の誤解をされていることが少なくありません。生体認証の利用の際には、生体認証の特徴を充分踏まえた上で、目的に合致したシステムを構築・運用することが重要です。生体認証導入・運用のメリットと生体認証のセキュリティ上の課題を認識し、目的に合った認証方式・技術を選択し、運用時においても適切な設定を行う必要があります。

最近いろんなところで私も言っているのですが、いつまでもパスワード(ユーザーの知識)だけに認証を頼って入られません。
カードやデバイス(ユーザーの所有)、このようなバイオメトリクス(ユーザーの特徴)への移行や、2要素以上の組み合わせをしていかなければ強度は高まりません。

| | コメント (0) | トラックバック (0)

2007年7月20日 (金)

「SANS Future Vision 2007 Tokyo」その1

やっと今日は「SANS Future Vision 2007 Tokyo」(7/17~18)のことを書きます。

1回では書ききれないので、何回かにわけて記事にします。

今回は、7/18(水)のパネルディスカッションの件を
ちなみにこんな内容でした。

「情報セキュリティの近未来展望」

【モデレーター】
・日経BP社 日経パソコン副編集長
 勝村 幸博氏

【パネラー】
・SANS Institute
 アラン・パーラー氏

・JPCERT/CC 常務理事
 早貸 淳子氏 

・JASA幹事、同スキル部会副部会長(株式会社 ディアイティ)
 河野 省二氏

・JNSA 教育部会WGリーダー (日本ユニシス株式会社)
 長谷川 長一氏

以前の記事で書いた通り、人生2度目のパネルディスカッションでした。
私以外のパネラーは、著名な方ばかり。
まずは他のパネラーの皆様、モデレーターの方にはご迷惑をおかけすることなく無事に役目を果たせたと思います。

パネルで話した主な内容は、

●「SANS Future Vision 2007 Tokyo」で取り上げた話題
・標的型攻撃等最新の攻撃動向とその防御対策
・ブラウザベースの攻撃・Zero-Dayアタック・ボットの最新動向と対策
・アクセスコントロールとネットワークプロテクション
・データの暗号化、認証、バックアップの手法と動向
・PC端末・モバイル端末のセキュリティ
・プログラミングにおけるセキュリティ対策

●脆弱性情報の収集と活用
 組織のセキュリティ担当部門として、どのように脆弱性情報を収集し、自社のシステムに適応するのがいいか。また、情報収集の仕組みや組織の枠を越えた情報共有体制の整備は必要か。必要な場合、どのように整備するのがいいか。

●従業員のリテラシー向上と専門家のスキルアップ
・どのようにして向上を図るのがいいか
・セキュリティ管理部門や技術者自身のスキルアップはどうすべきか

●効果的なセキュリティ対策を推進するために
・経営トップの意識改革
・予算獲得のための説得手法

というようなところでした。

パネルディスカッションは、事前の打ち合わせがほとんどありません。(段取り合わせ程度)
にも関わらず、パネラーの皆様がお題にすぐに対応できるのがすごい。(私は思いつくことをコメントしただけ)
モデレーターの勝村さんも、予定された時間通りにピタリと収めるのが、またすごい。

(不謹慎かもしれませんが)登壇している立場からすると、用意されたプレゼンをするよりも、スリルやライブ的臨場感が圧倒的にありますね
私はパネラーとして楽しめましたが、聴講された皆様は楽しめたでしょうか。
また次回という機会があるようであれば、楽しめるコメントができるようがんばりたいと思います。

| | コメント (0) | トラックバック (0)

2007年7月19日 (木)

「情報セキュリティ格付け制度研究会」設立

今日は本当は「SANS Future Vision 2007 Tokyo」のことを書こうと思ったのですが、ちょっと疲れました(とても楽しくてためになりました)し、タイムリーに取り上げたいニュースを見つけましたので、こちらで・・・

・情報セキュリティを格付け、国内4社が制度研究会を設立~日経ITpro

この研究会のねらいは、

マネジメントの成熟度、技術水準、コンプライアンスへの取り組み状況などを定量化、記号や数値などを用いて指標化すること。情報セキュリティ・ガバナンスの改善や、企業間取引において相互のセキュリティ水準の客観的評価につながる。

ということ。

「ISMSの認証」=仕組みがある、ということだけでは、組織間の相対的・客観的な評価や比較はできません。
それが可能になるためには、このような取り組みは重要ですね。

※ このようなことはNISC「第1次情報セキュリティ基本計画」「セキュア・ジャパン2007」経済産業省「情報セキュリティグローバル戦略」あたりにも書かれてますよね。

| | コメント (0) | トラックバック (0)

2007年7月18日 (水)

SANS、日本でもセキュリティ・インストラクターを募集

今日(正確には昨日)から、「SANS Future Vision 2007 Tokyo」でしたが、こんなニュースリリースもあったようで。
「SANS Future Vision 2007 Tokyo」の件は、明日以降書きます。

・日本でもセキュリティ・インストラクターを募集、米SANSがNRIセキュアと共同で~日経ITpro

講師になる条件としては、

・SANSによる認定試験GIAC(Global Information Assurance Certification)の取得者あるいは同資格を受験中であること
・情報セキュリティ関連の業務に従事していること、情報セキュリティ関連のトレーニングでの講師経験があること
・TOIECで600点以上の英語によるコミュニケーション能力を有すること
SANS JAPAN事務局(NRIセキュアテクノロジーズ)が開催するSANSトレーニング・プログラムへの参加が可能であること

以上のすべてを満たす必要があるとのことです。

もちろん興味があるので、条件に当てはまるかどうか考えてみました。
この中で講師経験はもちろんありなので問題ありませんが、残りの条件を満たせるかどうか。
GIACはがんばって受験して合格するとしても、英語が自信がありません・・・(以前はTOEICで600点overでしたが、今の英語力で600点は難しそう)

それに(ISC)2の認定講師でもあるので、掛け持ちは難しいかな。(もちろん、その他の仕事もあるし・・・)

| | コメント (0) | トラックバック (0)

2007年7月17日 (火)

新潟・長野の地震とディザスターリカバリー

昨日の新潟・長野の地震は衝撃的でした。
私は外出中に街頭で、某新聞社から号外を手に入れ知りました。

周知の通り、新潟では4年前に大規模な地震があったばかりです。
それだけに今回の地震はさらに衝撃が大きかったですね。

昨年あるシンポジウムで、新潟県の泉田知事の講演を拝聴する機会がありました。
新潟県の被災とそこからの災害復旧への教訓、というような内容でした。
被災という実例からのケーススタディで、まさに実践的で有益な内容でした。

特に印象的だったのが「災害時には、ほとんどの計画や機能が役に立たない」ということでした。
そのような有事に実行可能な計画はほとんど存在しないし、人間も実施できるという状況ではないということですね。

最近よく「DR」という言葉は耳にするようになったのですが、「それって(ディザスターリカバリーじゃなくって)、データリカバリーなんじゃない」というものが多いような気がします。本当に、機能できるDRはどれくらいあるのでしょうか。見直してみる必要があると思います。

末筆になりましたが、今回災害に遭われた皆様に心からお見舞い申し上げますとともに、1日も早い復旧をお祈り申し上げております

| | コメント (0) | トラックバック (0)

2007年7月14日 (土)

セキュリティ資格保有者の給与水準が上昇?

7/10のComputerworld オンラインで、以下のような記事を見つけました。

「セキュリティ資格保有者の給与水準が上昇―非保有者よりも15%高―高給が期待できるのはCISSPなど3資格」

これは、米国およびカナダ在住のIT専門技術者3万3,800人から得られた給与データからの調査の結果です。

このリポートによると、

正式な資格を持つセキュリティ技術者の平均給与は、同様の職務に就いている資格を持たない技術者よりも10~15%高い。
数ある認定資格の中で最も高い給与が期待できるのは、
CISSP(国際的に認められた情報セキュリティ・プロフェッショナル認証資格)、CISA(公認情報システム監査人資格)、CISM(公認情報セキュリティ・マネジャー資格)の3資格である。(情報セキュリティ以外のIT専門資格を持つ技術者の給与は、この1年間でおよそ2%下がった)

ということらしい・・・

その理由としては、

情報セキュリティ資格保有者の給与水準上昇という最近の傾向について、政府の法規制以外の要因が、有力企業によるセキュリティ投資の増額を促している。給与の上昇傾向は、法令順守と法規制強化の動きに促されているわけではなく(取引関係のある企業から寄せられる)セキュリティ強化という声に促されている。

また、今後5年間で特定の職務に10万人以上のセキュリティ技術者を確保するよう求めるという米国国防総省(DoD)の指示も、セキュリティ認定資格の価値を高めている。

ということだそうです。ビジネス環境の変化・トレンドに政策も後押ししている、ってことですね。

つまり米国とカナダでは、セキュリティ技術者の地位も給与も上がっているんですね。
でも、日本では・・・

嘆いてばかりでも仕方がありませんので、これからもセキュリティ技術者の地位向上のためにがんばります!

| | コメント (2) | トラックバック (1)

2007年7月13日 (金)

IPA「知っていますか?脆弱性」の公開

7/12にIPAより公開されています。
内容は、以下の通り。

「知っていますか?脆弱性(ぜいじゃくせい)」の公開について
-アニメで見るウェブサイトの脅威と仕組み-

本日公開した「知っていますか?脆弱性(ぜいじゃくせい)」は、脆弱性についての理解を広め、対策の普及・向上を図るため、多くのウェブサイト運営者や製品開発者の方々に活用されている「安全なウェブサイトの作り方」等で取り上げている代表的な10種類の脆弱性を、一般の方々にもわかりやすく、アニメーションで解説しています。

■ 「知っていますか?脆弱性(ぜいじゃくせい)」で解説する10種類の脆弱性
1 SQLインジェクション
2 クロスサイト・スクリプティング
3 CSRF(クロスサイト・リクエスト・フォージェリ)
4 パス名パラメータの未チェック / ディレクトリトラバーサル
5 OSコマンドインジェクション
6 セッション管理の不備
7 HTTPヘッダ・インジェクション
8 HTTPSの不適切な利用
9 サービス運用妨害 (DoS)
10 メール不正中継

う~ん、なかなか充実してますね。見やすいですし。

そういえば、昨日の記事「IPA、情報セキュリティに関する新たな脅威に対する意識調査報告書公開」でも書きましたが、「脆弱性」ということばの認知が低いという結果が出てましたね。
そこでこういうコンテンツを作成したのでしょうか。

すばらしい取り組み、いいタイミングだと思います。あとは結果(脆弱性に関わる理解)として、広く浸透してくれるといいのですが・・・
しかし、これでもまだ対象者にとって理解するには難しい内容のような気がします。
このサイトを見る以前の前提となる知識やリテラシー、そういうものが必要だと思います
なかなか大変ですね・・・

| | コメント (0) | トラックバック (1)

2007年7月12日 (木)

IPA情報セキュリティに関する新たな脅威に対する意識調査報告書公開

7/10に、IPAより公開されています。

情報セキュリティに関する新たな脅威に対する意識調査(2006年度第2回)の報告書公開について
(報告書のダウンロードは、こちら


この報告書によると、

(1) 情報セキュリティに関する事象の認知度・理解度
コンピュータ・ウイルス」については、ほぼ100%の人が言葉を認知していた。
 また、「スパムメール」、「フィッシング」、「スパイウェア」、「ワンクリック不正請求」については、8割以上が言葉を認知しており、事象を正しく理解している人は3割を超えた。
 「ボット」、「ファーミング」については、事象を正しく理解している人は数%とごくわずかであった。

(2) 情報セキュリティ対策の実施状況
 セキュリティ対策ソフトの導入は7割以上であるが、約26%は未導入であり、危険な状態でパソコンを利用しているケースが未だに存在している状況が判明した。

 また、「怪しいメールや添付ファイルの削除」、「怪しいウェブサイトにはアクセスしない」など、メール受信やウェブ利用に関してはセキュリティの意識が高い傾向にあった。

 しかし、OS に「パッチをあてて、最新の状態にしておく」という対策は約5割が実施しておらず、「パスワードをパソコンに保存しない」「HTML形式のメールを利用しない設定」という対策もあまり実施されていない状況であった。

(3) データのバックアップやデータの消去方法
「ゴミ箱を空にする」が5割程度、次いで「ハードディスクのフォーマット」(36.3%)と続く。「物理的な破壊」(19.4%)、 「データ消去用ソフトの利用」(18.9%)等、手間のかかる手法でも2割近い実施率に達する。一方、「ゴミ箱を空にする」のみ(19.2%)、もしくは「特に何もしない」(17.1%)等、合わせて3割以上は、データ消去方法が不十分な状態であることが判明した。

というのが、インターネット利用者のセキュリティ対策の現状のようです。
う~ん、(セキュリティに関する「意識」と「リテラシー」の向上が)思った以上に浸透してませんね・・・

| | コメント (0) | トラックバック (0)

2007年7月11日 (水)

「性善説」と「性悪説」・その2

さて昨日の私なりの解答ですが・・・

4.どちらでもない

です。

「人間」とはいえ、情報セキュリティでは「(情報)資産」の1つです。
まずは「(情報)資産」としての評価をしなければなりません。

もともと「人間」は「脆弱性」を持った「(情報)資産」です。
そして他の「(情報)資産」を使用するユーザーとして「脅威」にもなりえる存在です。
さらに「(情報)資産」として、「価値」の高いものでもあります。

つまり、「(情報)資産」として「脆弱性」「脅威」「価値」の評価をするということ、リスクアセスメントをすることが必要なのです。
そして、この3つの要素は、どの「人間」でも同じではないのです。(その人間の「スキル」や置かれている「状況」で異なる)

情報セキュリティは「性悪説」で考えるべきで、だからアクセスコントロールやモニタリングや教育が必要だ、という意見も聞くことがありますが、果たして本当にそうでしょうか?(アクセスコントロールやモニタリングは違反の検出のためだけに実施するのではないし、教育も違反の抑制のためだけに実施するのではない)

ですから「性善説」や「性悪説」ということでは考えるべきではない、というのが私なりの結論です。

しかし、人間には他の「(情報)資産」にはない特性として、「意思」や「感情」があります
だから「性善説」「性悪説」という議論になるのでしょうね。

ではその「意思」や「感情」は、情報セキュリティではどう考えるか?
それは、次回以降に「その3」で・・・

| | コメント (0) | トラックバック (0)

2007年7月10日 (火)

「性善説」と「性悪説」・その1

情報セキュリティでは、「人間」というものをどう考えるのか?
そこで、よく出てくるのが「性善説」と「性悪説」の議論

実は私もよく、たずねられます。

みなさんは、どう思われますか?
私なりの答えをここで書く前に、今日のところは4者択一にしてみましょう。

1.「性善説」
2.「性悪説」
3.「性善説」と「性悪説」の両方
4.どちらでもない

もったいぶる訳ではありませんが、考えてみてください。

| | コメント (0) | トラックバック (0)

2007年7月 9日 (月)

(ISC)2 メンバーズページの使い方

CISSPホルダーの方とお会いする際、多い会話に「CPEは、獲得できてますか?」というのがあります。
「はい、順調に」とか「いいえ、なかなか・・・」とか答えはさまざまなのですが、最近かなり多い答えが「ところで、どうやって申請するんですか?」というもの。
「それじゃ、クレジット獲得しても申請も確認もできないですよね。『メンバーズページ』はご存知ですか?」
「えっ、それは何ですか?」

ってことで、今回は「メンバーズページ」の使い方をご紹介します

(ISC)2 のホームページに「メンバーズページの利用方法」という説明があります。

画面コピーを使って、21ページにもわたる丁寧な解説です。
ここで「メンバーズページ」の使い方とCPEの申請や確認の仕方をマスターしてください。

ここで使う「初期パスワード」は、認定証と一緒にエアメールで送られてきてますので、そちらでご確認ください。

ちなみに、CPEについてはこちらを参照ください。
・「CPEクレジット」

・「CPEクレジット取得モデルのご紹介」

これで、CPE申請と確認はできますね?
(もちろん、対象となる活動は別途必要です、あしからず・・・)

| | コメント (0) | トラックバック (0)

2007年7月 7日 (土)

金融庁 「金融検査指摘事例集」公開

金融庁より 「金融検査指摘事例集」が公開されています

このような事例集は、金融庁では以前から出していますが他の業種ではあまりなかったのではないでしょうか。(私が知らないだけ?)

「事例」というものには、もちろん「成功事例」と「失敗事例」の2種類があり、その両方を見ることが更なる理解や対策の整備に役立つと思います。

情報セキュリティに関わる者としては、特にP.52からの「システムリスク管理態勢」が、参考になります
金融分野の情報システムセキュリティに関係する方(構築、運用、監査など)はもちろんのこと、そのほかの方もぜひ読んでみてください。

| | コメント (0) | トラックバック (1)

2007年7月 6日 (金)

ISLA,、プレスリリース

昨日7/5に、(ISC)2 Asia-PacificからISLA(こちらの記事で書きました)のニュースリリースが出てました

2007-07-05 08:58  (ISC)2 Asia-Pacific 

(ISC)2(R) Announces Honourees for First Asia-Pacific Information Security Leadership Achievements Programme 

えらいこっちゃ。本当に私程度の「馬の骨」がいただいていいアワードだったのでしょうか。
CISSP、ISLAにふさわしい活動をせねば、「名前負け」してしまう。
こりゃ、ますます今まで以上にがんばらねば。
いや、がんばります。

| | コメント (0) | トラックバック (0)

2007年7月 5日 (木)

定点観測システム「MUSTAN」公開

6/29にIPAセキュリティセンターより、公開されています。
定点観測システムMUSTAN(MUlti Sensor Traffic ANalysis;複数センサによるトラフィック分析)


このサイトでは「インターネット上の観測点に到来するトラフィックについて、パケットレベルとアプリケーションレベルの両方における属性情報に基づいて常に順位変動管理を行うことによって、イベントとして異常検知できるようにしたものです。この方式によって、潜在的に、複数観測点における順位等の比較可能性を確保することができます」ということです。

先日、ここで紹介した「nicter」といい、ビジュアルでわかりやすいサイトが増えてきましたね。

それから、7/3に「情報セキュリティ分析ラボラトリー準備室」の設置も公表されています。
詳細は、よくわかりませんが・・・

| | コメント (0) | トラックバック (0)

2007年7月 4日 (水)

久しぶりに、パネルディスカッションに出ます

実はかなり前に決まっていたのですが、このブログで報告しそびれてました。

「SANS Future Vision 2007 Tokyo」(7月17日~18日)のパネルディスカッションにパネラーの1人として登場します

私の出番は2日目、つまり7月18日(水)の16:00~17:30「情報セキュリティの近未来展望」というパネルセッションです。

※ 「SANS Future Vision 2007 Tokyo」セッション情報は、こちらです。

パネルディスカッションでの登場は、2005年12月の「InternetWeek」の「Webセキュリティのここが危ない!」以来、人生2度目。

※ その時の記事が、こちらです。

パネルディスカッションって、ほとんど事前の準備がありません。(というより、できない)
もちろん、テーマは決まってますけど。
ということで、楽しみでもあり、不安でもあり・・・(これも、1つの「スリル」でしょうか)

他のパネラーの方と楽しい話で盛り上げますので、良かったら聞きに来て下さい。
期待に応えられるよう、めいっぱいがんばります。

実は一聴講者として他のセッションも聞きたいし、トレーニングも受講したかったりします。
でも身体は2つないので、残念ですが諦めます。(来年の「SANS Future Vision 2008 Tokyo」で、かな・・・)

| | コメント (2) | トラックバック (0)

2007年7月 3日 (火)

「セキュア・プログラミング講座」新版、公開

6/29にIPAセキュリティセンターより、公開されています。(こちらです)

リリースされてから既に4年が経過しており、その後の新しい内容を反映させたのと「今般の改訂版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました」とのことだそうで。

(以前にも書いたような気がしますが)私はプログラマーだったことはありません。
それでもかなり参考になる内容です。
ということで、プログラマーの方はさらに参考になるでしょう。
ぜひ、読んでみてください。

| | コメント (0) | トラックバック (1)

2007年7月 2日 (月)

講師として、第1四半期を振り返る

6月までが終わりました。
ということで、今年度も早や1/4が終了。

この四半期の講師としての実績を振り返ってみます

まずは、講習回数では
 4月 4回 (前年比+2)
 5月 6回 (前年比+1)
 6月 9回 (前年比+1)
 計 19回 (前年比+4)
でした。

このペースで行くと76回ですか。
毎年、第4四半期は講習が少ないので、そんなにはならないでしょうけど。

ちなみに7月は8回(前年比+4)、8月は3回 (前年比-4)が今のところの予定。

次に内容ですが、ここ1年ほどはCISSP関連にかなり偏ってます
以前に多かった「セキュリティ技術基礎」「公認情報セキュリティ監査人」などが減少傾向にあります。

※ 昨年度の実績は、こちらです。

| | コメント (0) | トラックバック (0)

« 2007年6月 | トップページ | 2007年8月 »