« 2007年9月 | トップページ | 2007年11月 »

2007年10月の記事

2007年10月31日 (水)

TCP/IPの仕組みを学ぶには

「セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた」~@IT
からです。

東京・お台場にある日本科学未来館には、インターネットで情報が伝わる仕組みをボールの動きで視覚的に表現した「インターネット物理モデル」という展示物があるそうです。(2001年から展示されているそうです)

実際に目で見たり、動かしてみたりできるんですね。
こういう学び方も理解を深めるためには、良さそうですね。
しかも、お土産まで売っている!

今度、私も社会見学に行ってみようかな・・・

| | コメント (5) | トラックバック (0)

2007年10月30日 (火)

セキュリティ対策で困ったら・・・

(「書こう、と思っていたのに忘れてた」というネタです)

この方に頼りましょう!
↓↓↓↓↓↓↓↓↓↓↓
「ノートンファイター」

どんな脅威とも戦ってくれるぞ!TM社、M社あたりからのキャラ登場も期待します?!)

ちなみに我が家は、「Norton Internet Security」です。
まだ、「Norton Internet Security 2007」だけど「Norton Internet Security 2008」にしないと「ノートンファイター」は現れてくれないんだろうか・・・

それから、こういうサイトもあるようです・・・

「オオカミと 5 匹のこぶた」

| | コメント (4) | トラックバック (0)

2007年10月29日 (月)

偽サイト「Microsoft AntiSpyware Center」

「偽セキュリティ・ソフト「AntiSpyStorm」:偽サイト「Microsoft AntiSpyware Center」が配布」~日経ITproからです。

このサイトの、具体的な手口は以下の通り。

「Microsoft AntiSpyware Center」という名称でマイクロソフトをかたる偽Webサイトでは,偽ソフトをパソコン内のウイルスとスパイウエアを検査する「オンライン・セキュリティ・スキャナ」と称している。ユーザーがだまされてスキャンを実行すると,終了後にでっち上げられた怪しげなトロイの木馬の一覧が出て,削除用のActiveXコントロールをダウンロードしてインストールするよう指示される。

何も疑わないユーザーは進められた通りActiveXコントロールをインストールし,今度は本当にトロイの木馬に感染する。このトロイの木馬はInternet Explorer(IE)の「ホームページ」を乗っ取って偽りの警告ページを表示し,大げさなセキュリティ警告でAntiSpyStormという対策ソフトの試用版をインストールするよう仕向ける。

AntiSpyStormをインストールすると,無料でマルウエア検査を実行できる。この検査結果には,マルウエア感染を見つけたというオーバーなうその警告が入っている。ユーザーが警告を信じて恐くなったところで,AntiSpyStormは製品版をダウンロードするよう勧め,クレジットカードの詳細情報を入力させる。

「いろいろな手口で来るなぁ~」と思いつつ、「4月1日ならもっと騙されるんじゃないの」とも思いました。
そこまで考えなかったのか、それとも待てなかったのか・・・

| | コメント (0) | トラックバック (0)

2007年10月27日 (土)

新たなPDF攻撃が次々出現

「IEのセキュリティ・ホールを突く新たなPDF攻撃が次々出現」~日経ITproからです。

先日のこのブログの記事「PDFウイルス出現」で取り上げたばかりですが、新たな攻撃が次々出現しているようです。

これらの攻撃は「Adobe Reader」「Acrobat」と、Windows XP/Windows Server 2003用Internet Explorer 7のセキュリティホールをつくものですので、この組み合わせで使用している方は、アップデート・パッチ適用が必要です。

| | コメント (0) | トラックバック (0)

2007年10月26日 (金)

セキュリティ予算の使いみち

CompTIAの最新コラム「セキュリティ予算の増大」からです。

調査対象は日本ではなく米国なのですが、このコラムによると


この調査では、セキュリティに対する経費を1ドルとしたところ、
 ・技術製品の購入 ・・・ 42セント
 ・セキュリティ関連の構築・設置等の導入 ・・・ 17セント
 ・トレーニング・・・ 15セント
 ・セキュリティ診断や脆弱性の検出といったセキュリティ・アセスメント ・・・・ 12セント
 ・認定資格取得 ・・・ 9セント
 ・その他の項目 ・・・ 5セント
に分配されるとしている。

製品の購入以外にかなり使われていることがわかります。
教育も、トレーニング:15+認定資格取得:8で、合計23ってことになります。
(どうでもいいけど、このコラム、セントより、パーセントにしたほうがわかりやすいと思うんだが・・・)

では、日本ではどうでしょう?
(会社や組織によって、もちろん違うのでしょうけど)
「そんなに、コストかけてないよ」と言いたい方、多いんでしょうね。
そのうえに「スキル上げても、資格取っても評価も給料もあがんないよ」と言いたい方も、多いんでしょうね。

そういう風潮や文化を変えていかないと、(特に高度の)人材育成は難しいですよね。

| | コメント (0) | トラックバック (0)

2007年10月25日 (木)

サイモン・シン

「遅ればせながら作家シン氏の力量に唸った」~日経ITproからです。

そのうち、読もう、読まなきゃ、と思い続けて、早や数年・・・
今年は、新潮文庫から文庫版も出ました。

いろんな方(特にCISSPホルダー仲間)から、読後の感想を伺いました。
みなさん、口を揃えて絶賛されます。

私も情報セキュリティ専門家もどきの端くれ(?!)として、かなり、かなり遅ればせながら、読んで唸ってみようかな・・・

●サイモン・シンの主な著作
「暗号解読~ロゼッタストーンから量子暗号まで」上巻
「暗号解読~ロゼッタストーンから量子暗号まで」下巻
「フェルマーの最終定理」

| | コメント (0) | トラックバック (0)

2007年10月24日 (水)

「PDFウイルス」出現

「やはり出てきた、例のアドビの脆弱性を突く「PDFウイルス」」 ~日経ITpro
からです。

ついに不正プログラムの実体がPDFファイル、というものが出てきました。
PDFファイルを開くだけで、不正プログラムが動き出す、ということです。
ウイルス対策ソフトの設定で、PDFファイルをスキャンの対象にしていないという方もいらっしゃるようですが、注意が必要です。

そういえば、以前「セキュリティ確保のため、PDF形式でファイルをお送りします」という方がいました。
この場合は、ウイルス対策というより、機密性と完全性の確保のため、という意味だったようですが、それも違いますぞ・・・

| | コメント (0) | トラックバック (0)

2007年10月23日 (火)

組込みシステム向け情報セキュリティ研究プロジェクト

こういうサイトがあったのですね。(私は本日、知りました)

組込みシステム向け情報セキュリティ研究プロジェクト
~組込みシステムにおけるセキュリティ問題の抜本的な解決を目指して~

我が国における製造業の特徴である高機能かつ高性能な部品の供給能力の源泉は、ハードウェアとソフトウェアが一体となった組込みシステムにあります。最近では、情報家電、携帯電話、ICカード、輸送機器の制御システム等に広く用いられ、社会基盤を構成する中核技術として重大な役割を果たしています。

一方、近年、DVDレコーダ、携帯電話等について踏み台に利用される等の脆弱性の報告が相次ぎ、組込みシステムにおける情報セキュリティ確保が国内外で大きな課題となっています。組込みシステムにおけるセキュリティ問題は、PCとは異なり、身体への物理的危険発生の可能性まで指摘されており、緊急に解決すべき課題です。同時に、組込みシステムにおけるセキュリティ問題は、社会基盤の安全性確保問題のみならず、我が国の製造業の更なる競争力向上という視点からも重要性を増しています。

本研究においては、セキュアな組込みシステムの実現に必要な物理的セキュリティ評価法と対策技術、設計実装法と要素技術の研究開発を行い、これらの有機的結合により組込みシステムのセキュリティ問題の抜本的な解決策を提示することを目的としています。

平成18年度プロジェクト活動報告

1.物理的セキュリティ評価法および対策技術
①サイドチャネル攻撃に対するセキュリティ指標の開発
②サイドチャネルセキュリティに関する研究開発
③能動的攻撃手法に関する研究
④物理的攻撃に対して頑健なコアモジュールの開発
2.設計実装法および要素技術
①型理論に基づいた計算機資源が限られた環境におけるソフトウェアの安全性確保に関する研究
②計算機資源が限られた環境におけるソフトウェアの安全性確保に関する研究
③組込みシステム向け信頼関係のモデリング手法に関する研究
④IC カードの相互接続性の向上に関する研究
⑤ソフトウェアとデータの難読化に関する研究
⑥トラステッドブート・シンクライアント
⑦組み込み向けペアリング暗号に関する研究
⑧匿名軽量認証方式

なかなか、興味深い内容の活動ですね。
いくつか成果も出ていますので、これから読んでみます。

10/26(金)には、イベントもあるようですね。(仕事の関係で、私は参加できませんが・・・)

| | コメント (0) | トラックバック (0)

2007年10月18日 (木)

現在、執筆している本は・・・

もう、そろそろ、ここで書いてもいいのかということで・・・
JASA情報誌「SecurityEye」8号にも広告が載ってますし・・・
現在、ラストスパート中です。

「情報セキュリティ監査公式ガイドブック(仮題)」、11月中旬発売予定、5,250円(税込み)です。

内容は、こんな感じです・・・


本書は、NPO日本セキュリティ監査協会の認定講師陣が、情報セキュリティ監査制度の最新動向から、監査のプロセス、手法、技術などを具体的なノウハウを織り交ぜながら解説します。また、公認情報セキュリティ監査人(CAIS)の資格についての解説も行っています。さらに、情報セキュティ監査に関する用語集を収録し、初心者にもわかりやすいようにしています。現在、情報セキュリティ監査を実施している方々のみならず、情報セキュリティ監査人を目指している方々、内部監査に携わる方々、監査を受ける側の組織の方々にも、役立つ内容になっています。

第1章 情報セキュリティ監査概論
第2章 情報セキュリティ監査制度
第3章 情報セキュリティ監査のプロセス
第4章 情報セキュリティ監査に関する手法と技術
第5章 情報セキュリティに関する国内外の動向
第6章 日本セキュリティ監査協会と公認情報セキュリティ監査人資格制度
付録 用語集、リンク集(収録予定)


JASA会員および会員企業所属の方は、特別価格で購入できます。
JASA情報誌の「SecurityEye」にも掲載されていましたが、すでに予約が始まっております。(こちら、要・会員ID/PW)

| | コメント (2) | トラックバック (0)

2007年10月17日 (水)

CISSP Forum 2007 Autumn開催

(ISC)2 JapanのHPで告知されましたね。
CISSP Forumは、多くのCISSPホルダーがとても楽しみにしているイベントです。
私も参加予定です。
また多くのCISSPホルダーと再会できたり、新たな方とお会いできたり、私もとても楽しみにしております。

第2回ISLS(Information Security Leardership Series)&CISSP Forum 2007 Autumn開催のお知らせ

(ISC)2 Japanでは、日本在住のCISSP認定保持者の皆様の情報発信、情報共有、スキルアップ等を目的として開催する (ISC)2 Information Security Leadership Series (ISLS)の第2回目と、毎年2回開催しているCISSP Forumを11月13日に同日開催いたします。

ISLSでは、11月12日・13日に東京で開催される (ISC)2 Asia Advisory Board(AAB)メンバーによる講演を予定しております。 ISLS参加者には、所定のCPEクレジットが付与されます。

CISSP Forumにおいては、米国(ISC)2本部 代表のEd Zeitler、 (ISC)2 BoardメンバーのCorey Schou氏を迎える特別な会となる予定です。

というわけで、ISLSの第2回も同日開催です。

| | コメント (0) | トラックバック (0)

2007年10月16日 (火)

また、パネルディスカッションに出ます

10/10の記事で「2007 情報セキュリティ人材育成シンポジウム 秋」の紹介をしましたが、こちらのパネルディスカッションにパネリストとして登壇することになりました

【パネルディスカッション】
「日本における人材育成の現状・課題と解決策(仮)」

・内閣官房情報セキュリティセンター(NISC) 
 参事官補佐 川野 真稔 氏
・株式会社NTTデータ ビジネスソリューション事業本部 
 DC-BUセキュリティ担当部長 西尾 秀一氏
・大成建設株式会社
 社長室 理事 情報企画部長 木内 里美氏
・教育事業者連絡会員代表 日本ユニシス株式会社
 セキュリティビジネス企画室 長谷川 長一氏

パネルディスカッションは、7月の「SANS Future Vision2007」以来です。(そのときの記事は、こちら

皆様に参考になり、かつ楽しんでいただけるようなセッションにできるよう、がんばります。

※ 「2007 情報セキュリティ人材育成シンポジウム 秋」の開催概要、プログラムはこちら

| | コメント (0) | トラックバック (0)

2007年10月15日 (月)

@IT「5分で絶対に分かる情報セキュリティ監査」

私が書いた記事「5分で絶対に分かる情報セキュリティ監査」が、本日アップされました。

「情報セキュリティ監査について、手っ取り早く知りたい」という方は、ぜひご覧ください。

実はかなり(はりきり過ぎて?!)書きすぎまして「これでは、とても5分では読めません」ということでかなり削除されてしまいました。
ということで、とてもスッキリと読みやすくなりました。

| | コメント (2) | トラックバック (0)

2007年10月11日 (木)

総務省、高度ICT人材育成に関する研究会

まず、この研究会は何をするのかというと、

1. 背景・目的
  ICT国際競争力懇談会「最終とりまとめ」を受けた「ICT国際競争力強化プログラム」において、「・・・拠点大学院構想を支援するとともに、・・・ナショナルセンター的機能を有する高度ICT人材育成機関の在り方などを含む抜本的な高度ICT人材育成策」を検討することとされている。これを踏まえて、我が国における高度ICT人材の育成の現状について検証し、国際競争力を強化するために求められる高度ICT人材育成機関・機能の在り方などを含む抜本的な高度ICT人材育成策について検討する。 

2. 検討内容
(1) 我が国において求められる高度ICT人材像について
(2) 高度ICT人材育成に必要な育成プログラムについて
(3) 高度ICT人材育成を促進するためのナショナルセンター的機能を有する人材育成機関・機能の在り方
(4) 高度ICT人材育成にあたっての産学官の役割と連携推進
(5) グローバルな観点からの高度ICT人材育成(海外高度ICT人材育成機関との連携等)
(6) 産業界における高度ICT人材育成環境の在り方

(7) その他

ということです。

今年度中には、報告書としてまとめられ公開されることになっています。(2008年3月の予定)

また、少し前(9/19)なのですが、第1回会合の議事が公開されています。

そこでは、以下のような各府省庁の関連資料もリンクがされています。

・高度IT人材育成に向けたIT戦略本部の取組について(内閣官房)
・高度ICT人材育成に向けた総務省の取組について(総務省)
・先導的ITスペシャリスト育成推進プログラムの概要(文部科学省)
・高度IT人材の育成をめざして(経済産業省)

ということで、同じようなものを指すことばが3つもあり、紛らわしいです。「高度IT人材」「高度ICT人材育成」「先導的ITスペシャリスト」・・・

これから、どういう議論や検討がされ、どういう報告書になるのか興味深々です。
第2回が10/19(金)に開催されるようで、(スケジュールが合えば)傍聴も可能なようですので、覗いて来ようと思っております。

| | コメント (0) | トラックバック (0)

2007年10月10日 (水)

「2007 情報セキュリティ人材育成シンポジウム 秋」

昨日の記事で紹介した、情報セキュリティ教育事業者連絡会の最初のイベントが11月に開催されます。

「2007 情報セキュリティ人材育成シンポジウム 秋」
日時:2007年11月14日(水) 13:00~17:50 (12:30受付開始)
会場:ベルサール九段
参加費:無料
定員:300人(事前登録制)
主催:情報セキュリティ教育事業者連絡会
後援:情報セキュリティ政策会議(予定)、総務省(予定)、経済産業省(予定)、独立行政法人 情報処理推進機構(IPA)(予定)、財団法人 インターネット協会(IAjapan) (予定)、財団法人 日本情報処理開発協会(JIPDEC)(予定)、ISSA(Information Systems Security Association)東京支部 (予定)、日経SYSTEMS、アスキー出版、IDG(予定)、工学院大学CPDセンター (予定)、東京大学CCR情報セキュリティコミュニティ(予定) 、情報セキュリティ大学院大学(予定)、カーネギーメロン大学日本校(予定)、サイバー大学(予定)、中央大学(予定)

人材育成に関わる方は、ぜひご参加を。

えっ?私ですか。参加予定です。セッションに登壇などするかどうかは未定です・・・

| | コメント (0) | トラックバック (0)

2007年10月 9日 (火)

情報セキュリティ教育事業者連絡会、発足

「情報セキュリティ教育事業者連絡会」が、10月1日に発足しております。

これは、情報セキュリティ人材育成事業に携わる10団体が発起人となり、業界横断的な人材育成支援体制を整備、関連する情報の発信、などの様々な取り組みを推進する組織です。

ちなみに、参加団体とオブザーバーは以下のとおり。(2007年10月1日現在)

●情報セキュリティ教育事業者連絡会会員団体 (50音順)

ISACA(情報システムコントロール協会)東京支部
(ISC)2 Japan
NRIセキュアテクノロジーズ株式会社 (SANS JAPAN事務局)
CompTIA(コンピュータ技術産業協会)
SEA/J(セキュリティ・エデュケーション・アライアンス・ジャパン)
財団法人ソフトピアジャパン
NPO日本セキュリティ監査協会(JASA)
NPO日本ネットワークセキュリティ協会(JNSA)
財団法人ひょうご情報教育機構
株式会社ラック

●オブザーバー

内閣官房情報セキュリティセンター
総務省情報通信政策局
経済産業省商務情報政策局
ISSA(Information Systems Security Association)東京支部
財団法人インターネット協会(IAjapan)
独立行政法人情報処理推進機構(IPA)
財団法人日本情報処理開発協会(JIPDEC)

私も発起人の1人として、参加しております。
今後も、運営委員会やWGにも参加していく予定です。
また、情報セキュリティ人材育成で、微力ながら貢献したいと考えております。

| | コメント (0) | トラックバック (0)

2007年10月 5日 (金)

東京大学CCR情報セキュリティコミュニティ 第五回情報セキュリティシンポジウム

今回のテーマは「モバイルセキュリティの現状と課題」だそうです。

東京大学CCR情報セキュリティコミュニティ
第五回情報セキュリティシンポジウム

日時: 2007年10月30日(火) 10:30−17:15
場所: 東京大学 駒場リサーチキャンパス 駒場コンベンションホール
     東京都目黒区駒場4−6−1 生産技術研究所 An棟(総合研究実験棟) 2階
参加費: 東京大学CCR情報セキュリティコミュニティ会員: 無料

プログラムは、こちら

| | コメント (0) | トラックバック (0)

2007年10月 4日 (木)

「情報セキュリティ監査における監査手続ガイド(中間報告)」公開

日本セキュリティ監査協会(JASA)のHPで公開されています。

監査人が監査/検証手続を策定する際のガイドになっています。
情報セキュリティ監査の業務に関係する方は、ぜひご一読のほど・・・

※ ちなみに、○監査手続、×監査手続き、です。(HPやドキュメントで、用語がばらついてますので、念のため・・・)

「情報セキュリティ監査における監査手続ガイド(中間報告)」

手続作成ガイド利用の手引き

監査/検証手続

監査/検証手続:技術編

※ 参考  「情報セキュリティ監査における監査手続ガイド」の紹介

| | コメント (0) | トラックバック (0)

2007年10月 3日 (水)

「グミ指」の作り方

@ITの記事「セキュリティ自由研究:この夏、グミ指を作ってみないか」からです。

この記事、読んだときから取り上げようと思っていて時間が経ってしまいました・・・

グミ指を作る手順は、

1.指紋を採取
2.採取した指紋をスキャナーで読み込む
3.指紋をネガポジ反転してフィルムに印刷
4.プリント基板の上に3.のフィルムを重ねて露光
5.露光した基板を現像
6.エッチング処理で基板の銅を溶かす
7.ゼラチンでグミのもとを作る
8.7.のグミのもとを基板の上に流し込む
9.冷蔵庫で冷やす
10.基板からグミをはがして完成

だそうです。

写真が豊富で、上記の10の手順の様子が詳細に書かれており、なかなか興味深い記事です。

(さらなるバイオメトリスクスの自由研究として?!)グミ以外のニセ指にも挑戦して、記事にしてくれないかな・・・

| | コメント (0) | トラックバック (0)

2007年10月 2日 (火)

情報セキュリティ監査における「保証(assurance)」

日経ITpro(日経ガバメントテクノロジー)情報セキュリティ監査の基本とトレンド「第1回 保証型情報セキュリティ監査とは?」からです。

日本では情報システムや情報セキュリティの監査というと、どうしても「改善目的」であるという考え方になっていました。
このような監査は「助言型」と呼ばれてきました。

ですが、海外ではこのような考え方はほとんどありません。
「監査(audit)」とは「保証(assurance)」が目的であるというのが一般的な考え方です。
海外の方に「助言型」という話をしても、「それはコンサルティングではないのか」ということになります。
(そういうものは、auditとは呼ばれず、assessment、inspection、verificationというような言葉になるようです)

とにかく、日本ではこの「保証(assurance)」という考え方がなかなか浸透していないようです
※ 情報セキュリティ監査だけでなく、ISO/IEC15408(CC)も然り・・・

(この記事にも書かれていますが)証型監査は、監査が果たす社会的役割や価値などから、
・社会的合意方式
・利用者合意方式
・被監査主体合意方式

の3つに分けられています。

ぜひ、これをご覧になって「保証(assurance)」について、少し理解を深めてみてください。

| | コメント (0) | トラックバック (0)

2007年10月 1日 (月)

IPA、IT人材育成本部を設立

IPAのHP「独立行政法人 情報処理推進機構(IPA)IT人材育成本部を設立~高度IT人材育成プラットフォームの構築を目指して~」からです。

で、何をするかというと

IT人材育成に関する企画と総合調整を行うほか、以下の具体的な課題に取り組みます。
1) 高度IT人材像の明確化と客観的な評価メカニズムの構築
2) 産学官連携による実践的な人材育成手法の導入
3) IPAの有する資源の活用

ということ。

体制は

現在の「人材育成推進部」、「ITスキル標準センター」及び「情報処理技術者試験センター」を再編・集約し、IT人材育成本部の下に「IT人材育成企画部」、「ITスキル標準センター」及び「情報処理技術者試験センター」を設置

で、全体で80名体制という計画です。
民間からも人を集めてくるようですが、私は別のところでがんばります。(詳しくは、後日ここで)

受講者は、また減少しているようです(今秋の申し込み状況は、こちら)が、さて・・・

| | コメント (2) | トラックバック (1)

« 2007年9月 | トップページ | 2007年11月 »