« 2007年11月 | トップページ | 2008年1月 »

2007年12月の記事

2007年12月29日 (土)

2007アクセス解析 検索ワードTOP10

2007年の締めくくりとして、このブログの検索ワードTOP10をまとめます。

1.CISSP
2.セキュリティ
3.難易度
4.資格
5.CISA
6.合格率
7.試験
8.CISM
9.情報セキュリティ
10.受験

やはり、資格に絡んだキーワードが多いですね。
資格やイベントについての記事を書いたときは、ほかの日よりアクセス数が多いようです。

最後に年末年始のご挨拶を。(年末年始は、このブログも更新しない予定ですので)

皆様、今年もこのブログにアクセスいただき、まことにありがとうございました。
来年も、同じテーマ、同じ調子、同じような更新頻度で続けてまいります。
これからもよろしくお願いいたします。

| | コメント (0) | トラックバック (0)

2007年12月28日 (金)

失効しても大丈夫?

昨日帰宅したら、財団法人日本規格協会(JSA)のマネジメントシステム審査員評価登録センター(JRCA)から郵便が届いてました。
中には「JRCA NEWS」という冊子が入っていました。
「ISMS審査員資格は、とうに失効しているのに、もらっていいのかな」と思いながら中を読んでみると、「一旦資格が失効しても、移行の条件を満たすことにより、新規登録として資格を復活することができます」との記述がありました。

JRCAの規程「審査員資格の復活申請」を見ると、どうやら私も差分研修を受講すれば、復活できるようです。
「へぇ、復活できるの?」と、ちょっと驚くやら、疑問に思うやら…
もう2年も申請料・登録料とも払ってませんし、書類も何も出してません。
(ちなみに、今回も何もしません)

とっくに失効と思っていても、それから何度も「まだ維持できる」という通知をいただき、さらには「復活できる」という通知をいただきました。
つまり、私のISMS審査員資格は「仮死状態」ってことでしょうか。(CISSPやCISAなどでは、ありえないことでしょうね)
いつまで、この状態は続くのかな。う~ん…

| | コメント (0) | トラックバック (0)

2007年12月27日 (木)

「2007 セキュリティ 十大 ニュース」

NPOネットワークリスクマネジメント協会(NRA)のHPで公開されています。

そういえば、今年の漢字は「偽」でしたね。
この「2007 セキュリティ 十大 ニュース」でも、「偽」が多いようです。
それは来年も変わらないでしょうけど・・・

┏━┳━┳━┳━┓┏━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┓
┃2┃0┃0┃7┃┃セ┃キ┃ュ┃リ┃テ┃ィ┃十┃大┃ニ┃ュ┃―┃ス┃
┗━┻━┻━┻━┛┗━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┛

第1位┃ 1月10日  食品偽装次々と明るみに
━━━┛      ―信頼できる情報が食の安全を支える―
第2位┃ 3月12日  とまらない個人情報漏えい
━━━┛      ―今こそ官民の枠を超えた社会全体の対応を―
第3位┃ 7月5日  消えた年金記録問題
━━━┛      ―ずさんな管理に国民の不信は増すばかり―
第4位┃ 5月27日  今年も起きた社会インフラのシステム障害
━━━┛      ―教訓は活かされたのか―
第5位┃ 10月30日 「迷惑メールへの対応の在り方に関する研究会」
━━━┛      中間とりまとめ案発表
          ―あいかわらず増加するスパムメール、
                      海外発が9割以上―
第6位┃ 8月24日  サイト犯罪増加
━━━┛      ―いまだ有効な対策は見つからず―
第7位┃ 11月6日  おとりにされたYouTube
━━━┛      ―ワンクリックから始まる受動的攻撃―
第8位┃ 2月    サイバークリーンセンター本格稼動
━━━┛      ―本格稼動で評カドウ?―
第9位┃ 12月13日 国家重要機密情報自衛隊内部流出事件容疑者逮捕
━━━┛      ―情報セキュリティには一人一人の意識と牽制が重要―
第10位┃ 12月13日 日本語ワープロソフト「一太郎」に脆弱性
━━━┛      ―広がりつつあるゼロデイ攻撃の脅威―

| | コメント (0) | トラックバック (0)

2007年12月26日 (水)

「情報処理技術者試験 新試験制度」最終報告

12/25にIPAのサイトで最終報告が公開されています。(パブコメは、相当多かったようですね)

「情報処理技術者試験 新試験制度の手引」-高度IT人材への道標-の公表について

最終報告書における中間報告書との主な変更点は、

(1)新試験と現行試験の対応関係について、試験制度改正後も現行試験の合格者が適切に評価されるよう対応関係を明確に整理しました。

(2)平成21年度春期から、すべての試験区分を新試験制度で実施することとしますが、現行試験区分のうち、初級システムアドミニストレータ試験については、十分な周知期間の設定の要望等を踏まえ、平成21年度春期試験まで継続実施することとしました。

(3)ITパスポート試験について、試験の公平性を確保しつつ、確実かつ安定的にCBT方式による試験を実施するためには入念な準備が必要であるため、試験開始当初はペーパ方式で実施した上で、平成23年度を目途に本格的なCBT方式の導入を目指すことにしました。

(4)「共通キャリア・スキルフレームワーク」について、情報処理技術者試験とITSS、ETSS、UISSの各スキル標準との整合性を図る観点から詳細な検討を進め、「産業構造審議会人材育成WG報告書」に示された表の大分類・中分類・小分類(知識項目)に対し所要の変更を行い、特に組込みシステムに関する知識項目を多く追加しました。その他、人材像や出題範囲などの所要の修正を行いました。

だそうです。

試験の名称も「エントリ試験」は「ITパスポート試験」になりましたし、情報セキュリティも「情報セキュリティスペシャリスト試験」に落ち着いたようですね。結局は「プロフェッショナル」は、試験の名称には付かなかったようです。ある意味で妥当だと思います。

| | コメント (0) | トラックバック (0)

2007年12月25日 (火)

ブログを続けるモチベーション

「お忙しいのに、よくブログ更新してますね」と関心されたり、呆れられる(?)ことがあります。
実は本当は忙しくないんですよ(?!)、っていうより、忙しいとは思わないようにしていますし、口に出さないようにしています。

ブログ更新について「実は息抜きなんです」と答えるのですが、そうなると今度こそ呆れられる(?)ことがあります。
まぁ、息抜きの習慣化の結果、ブログが続いているんだろう、というのがとりあえずの自己分析です。
とにかく楽しくなければ続きませんので…
何事も動機(モチベーション)が大事です。

それから、もう1つの動機(モチベーション)は、書く(打つ)ことがトレーニングになっているということです。
(ブラインドタッチのトレーニングではありません、念のため…)
ブログも、何か考えたり、文にしたり、という貴重なアウトプット・トレーニングだと思っております。

ということで、これからも息抜きとトレーニングを兼ねて、このブログを続けてまいります

メリー、クリスマス!

| | コメント (3) | トラックバック (1)

2007年12月21日 (金)

「生体認証導入・運用のためのガイドライン」公開

IPAから12/19に公開されました。

「生体認証導入・運用のためのガイドライン」「生体認証利用のしおり」の公開


「生体認証導入・運用のためのガイドライン」及び「生体認証利用のしおり」は、近年急速に普及している生体の特徴(指紋、静脈、虹彩等)を利用した生体認証システムのセキュリティに関わる状況について、正しい理解を深め、適切な利用の促進を目的としています。

  生体認証は、「完璧に安全である」や「生体情報の偽造が可能であるとともに、流出の危険があり非常に危ない」等の誤解をされていることが少なくありません。生体認証の利用の際には、生体認証の特徴を充分踏まえた上で、目的に合致したシステムを構築・運用することが重要です。生体認証導入・運用のメリットと生体認証のセキュリティ上の課題を認識し、目的に合った認証方式・技術を選択し、運用時においても適切な設定を行う必要があります。

  また、生体認証は、銀行ATMをはじめとした様々な場所で用いられております。生体認証システムを適切に利用するためには、システムの利用方法や生体情報の登録方法を正しく理解することが重要です。また、生体認証システムに登録する生体情報は、個人を特定できる情報であり、取り替えることが出来ませんので、その漏えいには十分気をつける必要があります。これらの注意事項の他にも利用者がよく疑問に思うことをQ&Aの形でまとめました。

  本ガイドラインやしおりが、生体認証の導入・構築・運用を検討する際の参考となることを期待しています。

「生体認証導入・運用のためのガイドライン」


「生体認証利用のしおり」

個人的には、できれば「生体」ではなく「バイオメトリクス」と言ってほしい気がします。

大変面白そうですし、参考になりそうなのですが、(あっちの原稿が!)読んでる場合じゃないので後回し…

| | コメント (0) | トラックバック (0)

経産省が個人情報保護法ガイドライン改正

日経ITproの記事「個人情報保護法ガイドライン改正へ,経産省が業務委託に関する内容を強化する案」からです。

この記事によると、改正点は主に以下の2つらしい。

 主な改正点は2つある。1つは,個人情報取扱事業者が外部に業務を委託する際に,委託する業務内容に必要がない個人データの提供を禁じることを明記したこと。個人データとは,容易に検索できるように構成されたデータベースなどに含まれる個人情報を指す。

 もう1つの改正点は,業務委託の際に実施することが望ましい監督内容を明確化したこと。
(1)業務委託先は個人情報保護水準を合理的に確認して適切に選定し,適宜評価を実施すること。
(2)委託契約には個人データの安全管理措置内容および委託元が個人データ取り扱い状況を把握することを盛り込むこと。(3)個人データ取り扱い状況把握のために,委託契約内容を相互に確認すること。
---の3点を「実施することが望ましい」と明記した。

個人情報保護は必要なのですが、これではいわゆる過剰反応対策にはならないような気がします。
それどころか、過剰反応対策としては逆効果に思えます。

そういう側面にも着目し、具体的に示してほしいと思います。「活用」あっての「保護」ですから・・・

| | コメント (0) | トラックバック (0)

2007年12月20日 (木)

SaaSにおける情報セキュリティ対策ガイドライン(案)、公開

日経ITproの記事「SaaSのセキュリティ対策を見極める指針,総務省がガイドライン案を公開」からです。

総務省は12月19日,ASPサービスやSaaS(ソフトウエア・アズ・ア・サービス)を提供する事業者向けのセキュリティ対策ガイドラインの草案「ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)」を公開した。事業者がセキュリティ対策をする際の指針として利用するほか,サービス企業が事業者やサービスを選定する指標として活用することを想定したものである。
ASPサービスやSaaSがどのようなセキュリティ対策を実施すべきかを,「組織・運用編」と「物理的・技術的対策編」に分けて示す。提供されるサービスの内容によって,実施すべき対策が異なる場合がある。そこでガイドラインでは,ASPサービスやSaaSを,サービス内容に応じ6パターンに分類し,パターンごとに実施すべき内容に言及する。

公開された報告書(案)、ガイドライン(案)は、総務省のHPからダウンロードできます。

ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集
ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)
ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)
意見提出期限: 平成20年1月18日(金)17時

SaaSセキュリティもの、次々出てきますね。
だんだん、自分のブログが目を通すべき資料の備忘録になりつつあります。

ちなみに、このブログの過去の関連記事は以下の通りです。

過去の関連記事
「SaaS向けSLAガイドライン(案)」に対する意見募集 (2007/11/27)
「ASP・SaaSの安全・信頼性に係る情報開示指針」公表 (2007/11/28)

| | コメント (0) | トラックバック (0)

高度ICT人材育成ナショナルセンター構想

日経ITproの記事「経団連、高度ICT人材の育成を政府が後押しする「ナショナルセンター」構想を発表」からです。

つまりは、産学官の3者が連携してICT人材育成をする政策立案・推進機関を作ろう、というわけです。

とにかく、現在の産学官がばらばら、さらに官も文部科学省、経済産業省、総務省もばらばらに予算化や戦略を立て、実施していて効果が上がらない、というような現状を可及的速やかに打開しなければなりません。
この提言では、2009年度からとなっていますが、できる限り早期に実現して欲しいと思っております。

| | コメント (0) | トラックバック (0)

2007年12月19日 (水)

パネルディスカッションはお好き?

最近、「パネルディスカッションが面白い」という意見を良く聞きます。
私もパネルディスカッションは好きですね。
テーマは1つでも、パネリストは複数ですから、複数の意見が聞けます。
どんな展開になるのか、期待感とスリル感で楽しんで聞くことができます。
ここだけの話、パネリストの本音、そんなことが聞けるのもパネルディスカッションならではでしょう。

実際に、情報セキュリティ関連の最近のイベント・セミナーでは、パネルディスカッションが増えています。
昨日、開催された「SecrityDay」はパネルディスカッションのみでしたし、本日開催の「JASA情報セキュリティ監査セミナー」も最後のセッションはパネルディスカッションです。

一方、セミナーでは手元に資料が残らないと何だか損した気になる、という意見を聞くこともあります。
場合によっては、資料がよければそれだけでもいいです…、という意見も。
わかるような気もしますが、私はセミナーはライブと思っていますから、資料よりも話のほうが大事と考えてます。
ですから、資料があるにしても、スピーカーの話はやはり聞きたいと思っています。

私自身は、年明けに1月、2月とパネルディスカッションでの登壇が決まっております。
面白いディスカッションにできるように、がんばります。

| | コメント (0) | トラックバック (0)

2007年12月18日 (火)

セキュアド、22000名

昨日、IPA(JITEC)から情報処理試験・秋期の合格発表があったようですね。
そして、いままでの受験者・合格者の集計がでていました。(こちらです)

それによると、情報セキュリティアドミニストレータは、今回の合格者2807名を加えて、22178名になっていました
皆様、ご存知の通り、この資格はなくなってしまうわけですが、この22178名はどうにかならないのか、とまた考えてしまいました。
資格を名乗ることはもちろんできますが、時間が経てば情報セキュリティアドミニストレータという名前も知識も陳腐化してしまいます。
新たな資格もできますが、何も策がないと今までと同じことを繰り返していくことになるでしょう。

やはり、維持更新制は必要と思います。
CPE取得が大変だ、ということになってくるのでしょうが、そうして知識やスキルの維持ができるのであれば、やはり必要です。
そして、CPE取得の機会は、ホルダーどおしのコミュニケーションの機会でもあります。
いろんなセミナーやイベントが増えれば、CPE取得が苦労ではなく、楽しみになるようになるのでは、と考えております。

| | コメント (2) | トラックバック (0)

2007年12月17日 (月)

話し納め

本当の仕事納めはまだだけど、今日は講師としての仕事納め、つまり「話し納め」です。
とにかく、最近は話すのと書く(打つ)仕事が多くて…
(来年も、そうでしょうけど)

ところで、原稿書きとしての仕事納め、つまり「書き(打ち)納め」はというと…
12月30日かな。

| | コメント (0) | トラックバック (0)

2007年12月14日 (金)

第15回 情報セキュリティ政策会議

12/12付けで、NISCのHPで公開されています。
いっぺんに、たくさんの資料が出てきましたね・・・

第15回 情報セキュリティ政策会議を開催

個人的に特に注目したのが、以下の資料です。

政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果について~2007年度第2回重点検査の評価結果~

「情報セキュリティの観点から見た行政情報システムの望ましいあり方」と「行政情報システムの企画・設計段階からのセキュリティ確保に向けた取組み(セキュリティ・バイ・デザイン[SBD])」について【NISC素案】

「政府機関の情報セキュリティ対策のための統一基準(第3版)」(案)に関する意見の募集

※パブコメ募集中です。提出期限は、2008年1月10日(木)12:00

次期情報セキュリティ基本計画(仮称)の検討について
基本計画検討委員会の設置について(案)
 

「セキュリティ・バイ・デザイン[SBD]」という言葉は、今後の情報セキュリティ政策・戦略文書ではキーワードの1つになってくると思います。
「第1次情報セキュリティ基本計画」も2008年度で終わりなんですね。2009年度からは「第2次…」ですか。

| | コメント (0) | トラックバック (0)

2007年12月13日 (木)

トロイの木馬2.0

ITmediaの記事「2008年は「トロイの木馬2.0」が攻撃開始」からです。

記事の内容は、以下の通り。

 セキュリティ企業のFinjan Softwareは12月10日発表したWebセキュリティに関する四半期報告書で、Web2.0技術を悪用した「トロイの木馬2.0」について解説した。

 報告書によると、トロイの木馬2.0は、RSS対応のブログやマッシュアップといったWeb2.0技術を活用した強化型のトロイの木馬。コマンド&コントロール用のプラットフォームとしてWeb2.0技術を悪用し、企業などから重要情報を盗み出す。ボットネットからの命令は正規のWebサイトとドメインを使って出されるため、既存のセキュリティソフトでは検出されにくいという。

 Finjanでは、来年はこうした「トロイの木馬2.0」攻撃が始まる年になると予想している。

 このほか2007年10~12月期の動向として、ウィジェットやガジェットが攻撃に利用されるケースが出てきたことなどを報告。攻撃側は、セキュリティベンダーの技術を注意深く観察して新しい攻撃の手口を次々に採用し、従来のセキュリティベンダーの上を行っていると警鐘を鳴らしている。

トロイの木馬だけでなく、rootkit 2.0、MPACK 2.0、ボット 2.0…、と、様々な脅威が「2.0化」してくるのでしょうね。
最新技術は、攻撃側にとっても魅力的であり、もちろん最大限に利用してくるということです。

| | コメント (0) | トラックバック (0)

2007年12月12日 (水)

CISSP認定継続要件変更

既にホルダーには、メールで連絡が来ていますが、認定継続要件が変更されます。

認定継続要件変更のご連絡およびFAQ
(ISC)2理事会(Board of Directors of (ISC)2)は、 2008年4月30日から有効となる、CISSP・SSCP・CAP認定保持者の継続教育単位(CPEクレジット)の新取得要件を承認しました。

現状においては、認定継続のためには、3年毎に取得要件を満たすことのみが必要となっています。今回の変更により、2008年4月30日以降は、CISSP・SSCP・CAP認定保持者は、 CPEクレジットの年間最低取得要件を満たすことと、年会費(AMF)を支払うという、1年毎の要件を満たさなければなりません。

前述のCPEクレジットの年間最低取得要件に関しての注意点として、 3年間の資格更新期間に、必要とされているクレジット数よりも多いCPEクレジットを取得している認定保持者であっても、毎年、年間最低取得CPEクレジットを取得し、申請しなければなりません。

ということで、CPEは3年間120クレジット以上の取得、かつ1年間で20クレジット以上の取得が必要となりました
これで、ISACAのCISA、CISMなどと同じ条件になりました。

最後の1年で追い込みCPE取得、というのは通用しなくなりましたので、毎年コツコツCPE取得のための活動をしましょうね

| | コメント (2) | トラックバック (0)

2007年12月11日 (火)

JASA 情報セキュリティ人材育成セミナー 2007 in Winter

来年1/18(金)に開催されます。昨日(12/10)、セミナーのページがオープンしました。(申し込みも、こちらのページから)

今回、私は講演とパネルディスカッションとダブルで登壇いたします。

●開催要項
開催日時:2008年1月18日(金) 13:00~17:30
会  場:株式会社リコー i-Salon
 東京都中央区銀座8-13-1 リコー本社ビル2F
対  象:情報セキュリティ監査などに係わる資格を目指している方、或いはその上司・人材育成担当者など
主  催:特定非営利活動法人日本セキュリティ監査協会(JASA)
共  催:リコー・ヒューマン・クリエイツ株式会社
協  賛:株式会社リコー
後  援(予定):
 情報セキュリティ政策会議
 総務省
 情報セキュリティ教育事業者連絡会
 株式会社ケーケーシー情報システム
 株式会社富士通ソーシアルサイエンスラボラトリ
参加費:無料(事前登録制)
定  員:120名

| | コメント (0) | トラックバック (1)

2007年12月10日 (月)

(ISC)2メンバーズコミュニティ、12/25開設

(ISC)2 Japanより告知されていますね。
今までMLだけだったのですが、掲示板形式になり機能追加で新たなサイトとして生まれ変わります。

(ISC)2メンバーズコミュニティについて
(2007年12月25日開設予定)(ISC)2メンバーズコミュニティは、会員管理・コミュニティ管理機能と、情報の書き込み・蓄積・検索に有効な掲示板機能を統合した、CISSPの皆さまのためのコミュニティサイトです。2007年12月25日より、現在のCISSPコミュニティメーリングリストより移行いたします。CISSPの皆さまの情報や知識を、交換、共有し、また蓄積する場として、 (ISC)2メンバーズコミュニティをご活用ください。

(ISC)2メンバーズコミュニティの特徴
・掲示板機能
テーマごとにサブェクト(=掲示板)を設定し、体系的に情報を交換して議論することができます。また、情報を体系的に整理することで、議論された情報の効率的な検索が可能です。

・メール機能
サブジェクト(=掲示板)に作成されたトピックを、ご登録のメールアドレスに配信するように設定することができます。

・カレンダー機能
掲示板で設定された様々なスケジュールを反映させることができます。

アンオフィシャルサイトである、cisspjp SNSも、ほとんど口コミだけでメンバーが100名を超えました。

CISSPホルダー間のコミュニティが充実してきて、また楽しみが増えてきました。

他のセキュリティ資格でも、こういうコミュニティが充実すればいいのになぁ、と思う今日この頃です。

| | コメント (0) | トラックバック (0)

2007年12月 8日 (土)

「SIPに係る既知の脆弱性に関する調査報告書」、公開

IPAから、12/5付けで公開されています。

さまざまな通信が、IPベースに移行しつつあります。
今後の情報セキュリティでは、このSIPやVoIPにおけるセキュリティはますます重要になってきますね。

「SIPに係る既知の脆弱性に関する調査報告書」の発行について
 ~コンピュータをはじめ、情報家電などの組込み機器のセキュリティ品質向上のために~

●概要
 SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの
組み込み機器へも使用が広まっています。
 SIPを実装したソフトウェアは、これまで多くの脆弱性が発見、公表され、機器ごとに対策が実装されてきました。しかし、こうした脆弱性の詳細な情報を
とりまとめた資料がなかったことから、新たに開発されるソフトウェアで既に公表されている脆弱性の対策が実装されておらず、脆弱性が「再発」するケースが見受けられます。
 このような課題に対応するため、IPAでは、SIPに関する既知の脆弱性を取り上げ、SIP実装時の情報セキュリティ対策の向上を目指して調査を実施しました

 本報告書は、一般に公表されているSIPに関する既知の脆弱性情報を収集分析し、詳細な解説書としてまとめました。具体的には、次のような脆弱性の詳細
と、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載しています。

(1)「SIP(Session Initiation Protocol)/SDP(Session Description Protocol)に係る脆弱性」
 通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの。
(2)「RTP(Real-time Transport Protocol)/RTCP(RTP Control Protocol)に係る脆弱性」
 音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの。
(3)「コーデックに係る脆弱性」
 音声、ビデオなどの符号化方式そのものに関するもの。
(4)「ソフトウェアの実装に係る脆弱性」
 不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの。
(5)「管理機能に係る脆弱性」
 機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの。
(6)「ID、構成情報に係る脆弱性」
 機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏洩するなど、機器の構成情報に関するもの。

| | コメント (0) | トラックバック (0)

2007年12月 7日 (金)

架空請求に、4%が支払い

IPAから12/4付けで公開されている「情報セキュリティに関する脅威に対する意識調査(2007年度第1回)の報告書公開について」 からです。

この報告書を見ながら「ボット」もまだ6割以上の方が聞いたこともないという状況ということもわかったのですが、もっとも興味を引いたのが架空請求に対し、3.8%もの方が支払い経験があるということでした。二十数名に1人は払ってくれるということですから、攻撃をする側としてはかなり採算性が高いということになります。もしかすると「振り込め詐欺」より、だまされる率は高いのかな?(データがないので定かではありませんが、ネットの架空請求のほうが手間もコストも少ないのは確かですね)

脅威に関する認知度は高まっているが、被害も出ているということが報告されています。
つまり、認知だけでは被害は防げないってことですから、わかってるだけでは効果がないということですよね。
新たな詐欺行為で被害がでるのは、サイバーな世界だけではありませんが、認知を広めるだけでなくさらなる普及啓発施策も必要ってことですね。

たとえばネットには、こういうムービー形式のコンテンツもありますよね。、
「インターネット安全教室」~JNSA

「情報セキュリティ対策ビデオ」~警察庁

●過去の関連記事:「攻撃者の採算性」

| | コメント (0) | トラックバック (0)

2007年12月 6日 (木)

「企業における情報セキュリティ実態調査2007」、公表

NRIセキュアテクノロジーズより、11/29に公表されています。

調査項目そのものも含め、個人的に毎年気に入って読んでいるレポートです。
「その年のトレンドに関する事項」というのが入っているところがいいですね。
ちなみに今年のトレンドに関する事項では、「情報セキュリティ格付け制度」が入ってます。
(トレンドというより、先取りではないかと思いますが・・・)

●「企業における情報セキュリティ実態調査2007」の結果を公表

NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:増谷 洋、以下「NRIセキュア」)は、2007年10月に、東証1部・2部上場企業を中心とする企業約3,000社を対象に情報セキュリティに関するアンケート調査を行い、688社から回答を得ました。
本調査は2002年から毎年実施しており、今回で6度目になります。毎年質問している定点観測的な事項とその年のトレンドに関する事項の計56の項目について質問し、回答を集計・分析した結果、以下の傾向が明らかになりました。

→あとは、リンク先のページをご覧ください。

| | コメント (0) | トラックバック (0)

2007年12月 5日 (水)

NISC、第12回重要インフラ専門委員会

12/3に実施され、資料が公開されています。

私は、特に以下の資料を注目して見てみました。

「重要インフラ連絡協議会(CEPTOAR-Council)」(仮称)の創設促進に関する報告について
静的相互依存性解析の総括について(案) 
2007年度における分野横断的演習について(案)

いよいよ、出たかと期待したのですが・・・
重要インフラ連絡協議会(CEPTOAR-Council)も、相互依存性解析もまだ時間がかかりそうですね。
中でも相互依存性解析は、かなり注目していましたし、いろいろと参考にしたいと思っていました。

しかし、道のりは長くとも行かねばならぬのです。
行けばわかるさっ!(アントニオ猪木?)

| | コメント (0) | トラックバック (0)

2007年12月 4日 (火)

事業継続マネジメントシステム(BCMS)適合性評価制度

JIPDECのホームページによると、BCMの適合性評価制度化が検討されているようですね。

「事業継続マネジメントシステム(BCMS)適合性評価制度について検討を開始」

今後、組織における事業活動を継続的に維持及び改善するためには事業継続マネジメントシステム(BCMS)を普及させることが必要であるとの結論に達し、その普及活動の一環として、わが国の事業継続管理の信頼性の向上に貢献することを目的としてBCMS適合性評価制度について検討を進めていくことといたしました。

ということなんですが、普及のためには「適合性評価制度」っていうのが、日本ならではというか、また同じパターンの繰り返し(ISMS、PMS、ITSMS・・・)のような気がします。

他に普及の方法は、本当にないんでしょうか。

| | コメント (3) | トラックバック (1)

2007年12月 3日 (月)

2008年版「いる資格、いらない資格」

日経ITproの記事からです。

2008年版「いる資格、いらない資格」
第1回 【総論】PMPとITCが評価を落とす、「営業効果」と「一時金」でオラクルが首位
 
第2回 営業効果で見る「役立つ資格」(公的/非ベンダー系資格) 

第3回 営業効果で見る「役立つ資格」(ベンダー系資格) 

第4回 一時金から探る「取るべき資格」(公的/非ベンダー系) 

第5回 一時金から探る「取るべき資格」(ベンダー系)

これは「日経ソリューションビジネス」が2007年10月に実施したアンケート調査から、営業から開発工程まで広範囲に人材の育成を強化しようとするソリューションプロバイダ各社の姿勢が明確になった。本調査は、主要ソリューションプロバイダ150社にアンケートを送付。人事部門や教育部門などの担当者を中心に89社(有効回答率 59%)の回答を得た。

というものだそうです。

内容をご覧いただければ、すぐお分かりいただけると思いますが、公的/非ベンダー系資格では、CISSP、CISA、GIACなど、グローバル資格はいっさい登場しておりません
それから、ランキングの指標が「営業効果」と「一時金」なのですが、「一時金」で測定するというのはいかがなものでしょう。
私には、まったく納得感がありませぬ・・・

| | コメント (3) | トラックバック (0)

« 2007年11月 | トップページ | 2008年1月 »