IPA「リモートアクセス環境におけるセキュリティ」公開

IPAセキュリティセンターから、セキュリティ対策啓発資料として「リモートアクセス環境におけるセキュリティ」が公開されました。
この資料は217ページにわたり、みっちりと解説されております。（ということで、まだじっくり読んでおりません）

【リモートアクセス環境におけるセキュリティ】
オフィス外からオフィス内にある情報システムやシステム内情報にアクセスすることを許可するときのセキュリティ対策に関してとりまとめました。リモートアクセスの仕組みやその応用を最初に解説し、それを実現するときに必要になる不正アクセスや情報漏えいへの対策を強化するための技術や制度をについて記述しています。ご利用になる目的やお持ちの知識に応じて読み進んで頂けるようにコース を設け、それに従って読み進んでいただけるよう配慮しています。

－目次－
第1章 リモートアクセスとは
第2章 リモートアクセスのシステム形態
第3章 ネットワーク技術とその動向
第4章 リモートアクセスにおける セキュリティ対策の概要
第5章 組織としてのセキュリティへの取り組み
第6章 利用者としてのセキュリティへの取り組み
第7章 セキュリティ対策技術とその動向

「情報セキュリティ監査公式ガイドブック」発売になります

今月上旬まで私が執筆や校正をしていた書籍「情報セキュリティ監査公式ガイドブック」 が発売になります。

情報セキュリティ監査制度や基準、情報セキュリティ監査のプロセスや技法を解説したNPO日本セキュリティ監査協会(JASA)の公式書籍です。
ようやく発売になります。とても、ホッとしております。

それにしても1冊の書籍を作るというのは本当に大変なことです。
多くの時間や多くの方々のご協力、ご尽力なくしてはできないということをつくづく実感しました。

ということで、さて次の原稿・・・

「ASP･SaaSの安全・信頼性に係る情報開示指針」公表

昨日の記事に書いた「SaaS向けSLAガイドライン(案)」につづいて、「ASP･SaaSの安全・信頼性に係る情報開示指針(第1版)」が公開されています。

総務省のHPによると、概要は以下の通り。

総務省では、地方公共団体や中小企業など一般の利用者によるASP･SaaSの評価・選択を支援するため、この度、「ASP･SaaSの安全・信頼性に係る情報開示指針」を取りまとめましたので、公表します。
本指針は、総務省で本年６月から開催中の「ASP･SaaSの情報セキュリティ対策に関する研究会」の検討経過を逐次踏まえつつ、総務省とASPIC Japanの合同で設立した「ASP･SaaS普及促進協議会」において策定したものです。

●「ASP･SaaSの安全・信頼性に係る情報開示指針(第1版)」の公表について
・「ASP･SaaSの安全・信頼性に係る情報開示指針(第1版)」

日経ITproの記事によると、

総務省は，ユーザーがASP・SaaS事業者を選択するために，安全・信頼性について認定プログラムを開始する。具体的には，67の必須項目をすべて開示した上で，さらにサービス品質などで一定の要件をクリアすれば認定する。認定事業者の中でも，情報開示の充実度やサービスのレベルを評価して「ランク付け」することも検討するという。

ということで、来年春からこの認定を開始する予定だそうです。
さらに、「ASP・SaaSの情報セキュリティ対策に関する研究会」が近くまとめる予定の報告書案も来年春に出るそうで。

【関連報道発表】
・ASP･SaaS普及促進協議会の設立

・ASP･SaaSの情報セキュリティ対策に関する研究会

・経済財政改革の基本方針2007

「SaaS向けSLAガイドライン(案)」に対する意見募集

CISSP仲間の某氏より教えていただきました。

「SaaS向けSLAガイドライン(案)」が公開されています。
現在、パブリックコメント募集中です。

●SaaS向けSLAガイドライン（案）に対する意見募集

●「SaaS向けSLAガイドライン(案)」

中身を見ると、SLA上の確認事項は、
・情報セキュリティ規格の準拠性に関する確認事項
・機密性に関する確認事項
・完全性に関する確認事項
・可用性に関する確認事項
・運用保守に関する確認事項
・コンプライアンス対応に関する確認事項
ということで、ほとんど情報セキュリティに関係したものなんですね。

「2007 情報セキュリティ人材育成シンポジウム 秋」のセッション資料公開

本日、去る11月14日に開催された「2007 情報セキュリティ人材育成シンポジウム 秋」のセッション資料が公開されました。


当日来場できなかった方、ぜひダウンロードしてご覧ください。

ちなみに、パネルディスカッションは、モデレーターとパネリストの紹介だけです。
中身は「ここだけの話」ってことですね。（載せようもないですが）
それが、「パネルディスカッション」ってものですから･･･

※ ちなみに私は来年早々に某セミナーで、またパネルディスカッションにパネリストとして登壇予定です。

セキュリティ界のヒーロー、がんばってるなぁ～

ITmediaの記事「ショッ○ーではない：メイドさんを操る“怪人”が大阪を侵略 「イイィ！」」 からです。

がんばってるなぁ、ノートンファイターは。

ちなみに、うちの娘に「この人から、お手紙（メッセージ）をもらったんだよ」と自慢したら、「ゲキレンジャーより、プリキュア5がいいもん！」と、一蹴されました・・・

「タイポスクワッティング」攻撃とは

日経ITproの記事「タイプミスを狙う「紛らわしいサイト」に注意、「12万件以上を確認」」 からです。

こういう攻撃を「タイポスクワッティング（typo-squatting）」といい、誘導されるサイトは「タイポスクワッティングサイト」というのですね。

（この記事によると）具体的には

タイポスクワッティングとは、直訳すると「タイプミスの不法占拠」。有名なサイトのドメイン名と似たドメインを取得して“占拠”し、タイプミスしたユーザーが誤ってアクセスしてくるのを待つ。例えば、マカフィーのドメイン名である「mcafee.com」と似た「mcafie.com」ドメインを取得し、このドメインのWebサイトを立ち上げる。

というものだそうです。

タイプミスをすると、被害を受ける可能性があるということですね。
とにかく、ヒューマンエラーは防止しきれません。
そういう(人間固有の)脆弱性への攻撃ということで、対策は難しいですね･･･

打てども、打てども･･･

最近に限ったことではないけれど、ここしばらく夜はとにかくずっーと書き物しています。
書籍の原稿、雑誌の記事、講習のテキスト、プレゼン資料･･･
昨夜も1つ入稿しましたが、今夜からまた新たな原稿に着手しております。

正確には書いているんじゃなくて、打ち込んでるんですけどね。
「しゃべれども、しゃべれども」って映画がありましたが、私の場合「打てども、打てども」って感じです。

この打ち込んだ内容が、どこかでどなたかのお役に立てば、とがんばっております。（本当に役に立っているかなぁ･･･）

ということで、もうひとがんばり！
･････････したら、遅いので寝よう、っと。

また、明日もがんばります。
zzzzzzzzzz･････････

セキュリティ界のヒーローをつくろう

「2007 情報セキュリティ人材育成シンポジウム 秋」で、ISEPA代表の与儀さんから出ていた言葉です。

私がパネリストとして登壇したパネルディスカッションでも、「IT業界の3K」などの話題も出ました。
セキュリティ技術者・専門家という仕事が、なりたい人がいなかったり、なってもその甲斐がない(報われない)仕事であっては、その育成もままなりません。

そこでセキュリティ技術者・専門家の地位向上のため「セキュリティ界のヒーローをつくろう」ということです。（業界全体としては、ヒロインのほうが盛り上がりそうですけどね･･･）
そのためには、そういうスターを発掘し育てる仕組みや育ったあとの活躍の場が必要ですね。
アワード、コンテスト、イベント、などなど。今、いろいろとその仕組みを考え中です。

昨日、ドラマ「ガリレオ」を見ていて「物理学者でもヒーローになれるんだよな」とか、「セキュリティ技術者でもヒーローって、映画もあったよな（ハリソン・フォード主演『ファイアーウォール』）」なんて考えていました。
だったら、セキュリティ界のヒーロー（ヒロイン）、スターも決して不可能ではないのではないか、と。
とにかく、夢や希望の持てる業界や仕事にしたいと思っています。

何かいいアイディア思いついた方、ぜひぜひコメント寄せてください！

CISSPコミュニティ、いろいろ

CISSP Forumにて、(ISC)2 Japanがオフィシャルで運営している「CISSP ML」のアップグレードが発表になってます。
現在はMLだけですが、今後は掲示板機能も追加になるそうです。（リリースは年内予定）

次に、日本ネットワークセキュリティ協会（JNSA）の、CISSP-WGで自主運営している「cisspjp SNS」です。つまり、こちらは非公式のコミュニティです。

●cisspjp SNS

情報セキュリティのいろんな話題、CPE対象のイベント・セミナー情報から、ぜんぜん関係ない話（ラーメン、自転車、サーフィン、ラグビー･･･）など、さまざまなコミュがあります。
いままではテスト運用をしていましたが、CISSP Forumで発表し広く登録を募集することになりました。
ちなみに招待制ですので、すでに登録されているCISSP（またはアソシエイト）からの招待が必要です。(周囲に、CISSPホルダーがいらっしゃらない方は、私までメッセージください)

それから、こちらもありますね･･･

●mixi cisspコミュ

「2007 情報セキュリティ人材育成シンポジウム 秋」を終えて

「2007 情報セキュリティ人材育成シンポジウム 秋」が、11/14(水)に開催されました。

情報セキュリティ教育事業者連絡会(ISEPA)が10月に設立されましたが、その記念すべき第1回のイベントです。
報道関係者を含む多くの皆様にご来場いただき、まずまずの船出だったのではないかと思います。
多くのIT関連のニュースサイトにも、この日のイベントに関する記事が掲載されました。

このイベントを終えて、この連絡会が果たす役割や負っている期待は大きいことを改めて実感いたしました。
私もこの連絡会のメンバーの一員として、がんばりたいと思っております。

基調講演のNISCの山口補佐官のスライドに「それにしても、人材育成ってむずかしいなぁ」というのがありました。
まさに同感ですが、それをやっていかなければならないのですよね･･･

それから、「パネルディスカッションも、むずかしいなぁ」とも。とても楽しいけど。（個人的感想です）

※ このイベントのプレゼン資料等は、後日公開される予定です。

【ご参考】関連情報・ニュース
●情報セキュリティ教育事業者連絡会（Information Security Education Providers Association、略称 ISEPA）

●「必要な教育と資格を可視化する」、情報セキュリティ教育事業者による連絡会が活動指針

●「サイバーテロ対策に終始した従来の政策は失敗だった」，山口情報セキュリティ補佐官が明かす
 

「SecurityDay2007」

昨年までは、InternetWeekの中で開催されていましたが、今年から単独開催となったようです。

●SecurityDay2007
日 時：2007年12月18日 火曜日
会 場：青山TEPIA ４階ホール　（神宮球場側）
参加費： 税込3000円
定 員：120名
対 象：情報セキュリティに関わる方
主 催：
　JPCERTコーディネーションセンター (JPCERT/CC)
　日本インターネットプロバイダー協会 (JAIPA)
　日本データ通信協会 (Telecom-ISAC Japan)
　日本ネットワークセキュリティ協会 (JNSA)
　日本電子認証協議会 (JCAF)

すべてのセッションがパネルディスカッション、チケットはローソン「Loppi」での発売のみ。
セキュリティ関連イベントとしては、なかなか斬新かつ新鮮に感じました。

CISSP漬けの1週間

今週の私は、CISSP関連のセミナーやイベントが目白押し。
金バッジ(CISSPのラベルピンバッジ)つけまくりです。
（CPEもたくさん獲得できますね･･･）

11/12(月) CISSPレビューセミナー講師
11/13(火) CISSPとの座談会（某NPO）、ISLS、CISSPフォーラム
11/14(水) 情報セキュリティ人材育成シンポジウム
11/16(金) CISSPレビューセミナー講師　

そういえば、日本のCISSPホルダーももうすぐ900名になるのですね。
(ISC)2 JapanのHPによると、10月25日現在894名だそうです。

一番最近買った本

「情報セキュリティの法律」です。

「勉強家ですね･･･」なんて言われそうですが、興味1割、（あるタスクでの）必要9割くらいで購入した本です。
本当にいい本で、とてもためになっているのですが、私にとっては読み解くのに苦労の要る内容です。
（実は、サイモン・シン「暗号解読」もまだ上巻までしか、読んでません。下巻も読みはじめたいのだけど･･･）

最近、なんだか今までとは違う意味で、情報セキュリティの世界の深みにはまっているような気がします･･･

なぜ、この本を買ったかという経緯や理由、感想などは、なる早やでここで書きます。

政府機関統一基準適用個別マニュアル群（第２版対応）

11/9付けで、内閣官房情報セキュリティセンターから公開されています。

●政府機関統一基準適用個別マニュアル群

改めてみると、すごい数ですね。

さて、私は･･･
関係のあるものだけ、目を通すとしましょうか･･･

「IT統制の枠組み」(草案)公開

日経ITproの本日の記事「日本公認会計士協会、J-SOX対応で「IT統制の枠組み」の草案を公表」からです。

昨日付けで、日本公認会計士協会（JICPA）から公開されています。（12月14日までパブリック・コメントを受け付け）
日本版SOX法（J-SOX）で、内部統制を確立するうえで欠かせない要素の1つである「ITへの対応」についてのフレームワーク（枠組み）を提示した文書、ということです。

●「ITにかかる内部統制の枠組み―自動化された業務処理統制等と全般統制」（草案）：本文

IT業務処理統制とIT全般統制のそれぞれの具体例、両統制の関係、EUC（エンドユーザー・コンピューティング）、外部委託先の統制の評価、などの解説がされていますね。

ご興味と必要のある方は、（監査する側もされる側も）ぜひご一読を。

「情報技術マップ2007年版」

日経ITproの記事「情報技術マップ2007年版（前編）」 「情報技術マップ2007年版（後編）」からです。

この「情報技術マップ2007年版」は、情報サービス産業協会（JISA）によるもので、会員企業のエンジニア約2000人を対象に実施した調査結果を基にしています。

これによると、情報セキュリティはライフサイクルとしては「普及拡大期」、セキュリティ技術者は「線の下の力持ち」に分類されています。
へぇ～･･･

IT業界不人気の理由は？

@ITの11/5の記事「「帰りたくない人が帰れないだけ」に反発の声が多数」からです。

「帰りたくない人が帰れないだけ」の発言自体は、「IT業界不人気の理由は？ 現役学生が語るそのネガティブイメージ」という記事に出ていました。

この記事は、IT業界の重鎮と理系学生による「IT産業は学生からの人気を回復できるのか」というテーマで行われた討論会のものです。
「帰りたくない人が帰れないだけ」は、いわゆる「IT業界の"3K"」問題（ここのブログでも、以前に「IT業界の「3K」とは？」という記事で書きましたが･･･）に関する発言なのですが、結果として反発を生んでしまったようです。（この発言に関する反応は、本日あちこちのブログなどでいくつか読んでみました。私の個人的なコメントは、ここでは避けます。何卒、ご了承のほど・・・）

今回は、3Kの現場の方がいたわけでもなく、そこからとったデータがあったわけでもないようなので、空中戦的議論になってしまったのでは。
そして、誰もスッキリしないネガティブなままの結果で終わってしまったような気がします。
IT業界の人間、3Kの現場の人間である私にとっては、「こうなれば、人気が回復する」というようなポジティブな締めくくりを期待していましたし･･･

「IT業界にネガティブな印象を持つ学生が多い。その事実は、IT系メディアの片隅に身を置く記者としても他人事ではない。記者にとってITは、今まさに目の前で世界を変えつつあるエキサイティングな分野だ。そうしたITの魅力を少しでも伝えて行ければと思う」というような締めくくり方もされていることだし、今後の企画や記事に期待しましょうか。（そして、これからのIT業界にも期待しましょうか･･･）

「知っておきたい情報セキュリティ理解度セルフチェック」、全国紙で紹介

今年の1月の記事で紹介したサイト「知っておきたい情報セキュリティ理解度セルフチェック」（リンクの「My Work」にもありますけど）が、11/3の朝日新聞の土曜版（「be」）で、紹介されていました。
（何気なく、新聞を読んでいたら見つけました）

以前紹介したときから、アップデートされていますので、ぜひまた寄ってみてください。
アップデート内容の1つとして、誰が作っているのかが掲載されるようになりました。（こちらです）

ご興味のある方は、覗いてみてください。

IT Securityの「EBK」

少し前なのですが「NTTDATA DIGITAL GOVERNMENT」の10/25のレポートからです。

米国国土安全保障省(DHS)が、サイバーテロ防止に必要と考えられるスキルと知識をまとめたフレームワーク「Information Technology(IT) Security Essential Body of Knowledge (EBK)」を発表しています。（原文は、もちろん英語、パブコメ募集中です）

（CISSPの「CBK」と紛らわしいのですが）「EBK」というものです。
目的とスキル・知識分野は、以下の通り。

[フレームワークの目的]
・ITセキュリティ専門家に求められる機能を、官民セクタ等の業務が遂行される状況・背景ではなく、業務を実施する共通フォーマットと言語で明確にすること。
・異なる基準に従って個別に開発されたITセキュリティ認定の内容を比較するための参照(リファレンス)を提供すること。
・既存の認定が、信頼を伴って適切に活用されるように、既存の認定の幅広い承認を進めること。
・費用効果の高いIT人材専門家育成を促進するために利用可能なコンテンツガイドラインを提供すること。

[ITセキュリティ能力分野と代表的な必須知識]
・データセキュリティ：アクセスコントロール、プライバシー
・デジタル科学捜査：科学捜査分析、分析過程の管理
・エンタープライズ継続性：代替施設、業務継続性
・インシデント管理：コンピュータセキュリティ、リスク管理
・ITセキュリティトレーニングと認知：エンドユーザーセキュリティ教育、役割ベーストレーニング
・ITシステム運用管理：アクセス管理、バックアップ
・ネットワークセキュリティ・通信：生体情報による認証、暗号化技術
・人材セキュリティ：人物調査、守秘義務
・物理的・環境的セキュリティ：アクセスコントロール、テロ
・調達：許容リスク、調達ライフサイクル
・規制・標準・遵守：アセスメント、監査
・リスク管理：許容リスク、年間損失予測
・戦略管理：調達管理、予算プロセスと財務管理
・システム・アプリケーションセキュリティ：認定、アプリケーションと技術セキュリティ管理

スキル・知識分野は14分野になっています。「調達」とか「戦略管理」あたりが、今までにあまりなかった分野のような気がします。
現在、英語のレポートを読んでいますが、何しろ英語が得意なもので、なかなか進みません･･･
読み終わったら、（なる早やで）ここで感想など書いてみます。

ノートンファイターからのメッセージ

先日書いた記事「セキュリティ対策で困ったら・・・」に、なんとノートンファイターからコメントが来たよ。

ありがとう、ノートンファイター。

名前:ノートンファイター
メールアドレス: norton_fighter@yahoo.co.jp
URL:http://ameblo.jp/nortonfighter/

内容:
--------
おいおいおいおい・・・・・

そんな事無いんじゃないのか？？

微妙も貫き通せばかっこいいものさ！！

いやいや微妙ではないぞ！！

「ノートンファイター」見参！！！

ブログも書いてたんだね。

mixiにも登録してたんだね。

賞味期限の偽造問題で思うこと

現在、執筆中の書籍「情報セキュリティ監査公式ガイドブック」で書いた記事に「自己宣言は『保証』にあらず」というような内容のところがあります。
最近の一連の事件でも、この言葉を思い出しました。

不正の検出のしくみ、第三者による評価（これが「保証」ですね）がなければ、つまりは「自己宣言」でしかない、ということですね･･･