« 2008年1月 | トップページ | 2008年3月 »

2008年2月の記事

2008年2月29日 (金)

「ウェブサイト運営者のための脆弱性対応ガイド」公開

IPAのHPのサイト「ウェブサイト運営者のための脆弱性対応ガイド」などを公開からです。

「情報セキュリティ早期警戒パートナーシップ」を理解し、脆弱性対策を実践・強化するために、ぜひ目を通しておきたい資料です。
それから、「情報セキュリティ早期警戒パートナーシップガイドライン」も改訂されるんですね。改訂案も同時に公開されています。

■ 報告書の主旨及び目的
 グローバルネットワークが社会・経済を支えている現在、我が国の安全性・信頼性を高めるためには、国内にとどまらず、国際的な連
携が不可欠である点が挙げられます。

 その一方、国内で利用される日本製ソフトウェア製品でも脆弱性の発見が相次いだほか、ウェブサイトにおいても、クロスサイト・スクリプティングやSQLインジェクション等の脆弱性が多数発見・届出されており、攻撃を受けるケースも後を絶たちません。

 このような状況において、「情報セキュリティ早期警戒パートナーシップ」は、脆弱性関連情報の取扱い・公表という従来の役割はもちろん、我が国の企業等に向けて脆弱性対策に係る周知・啓発を推進する役割も期待されています。

 本報告書は、「情報システム等の脆弱性情報の取扱いに関する研究会」が、そうした先導役としての社会的ニーズを踏まえ、具体的なアプローチや課題、啓発ツール等について議論し、今後の情報セキュリティ早期警戒パートナーシップの目指す方向性を示すものとしてとりまとめたものです。

■ 報告書の構成(目次)
第1章 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1 背景
 1.2 運用の状況
 1.3 普及啓発の状況
 1.4 本年度研究会における検討

第2章 ウェブサイト脆弱性の対策促進に関する検討
 2.1 対策促進に関する課題
 2.2 ウェブサイト脆弱性に関する普及啓発

第3章 JVNの方向性に関する検討
 3.1 JVN の目標と課題
 3.2 JVN コンテンツの拡充

第4章 情報サービス事業者へのアプローチに関する検討
 4.1 情報サービス事業者の脆弱性対策に係る課題
 4.2 方向性の検討

第5章 情報セキュリティ早期警戒パートナーシップの強化に資する検討
 5.1 関係者・専門家から得られた事
 5.2 違法・有害サイトであった場合の対応の検討
 5.3 取扱期間が長期化したウェブサイト脆弱性案件の取扱方針に関する検討
 5.4 情報セキュリティ早期警戒パートナーシップガイドラインの修正に関する検討
 5.5 今後の課題

報告書は、こちら
「情報システム等の脆弱性情報の取扱いに関する研究会」報告書
「情報セキュリティ早期警戒パートナーシップガイドライン」改訂案

| | コメント (0) | トラックバック (0)

2008年2月28日 (木)

変形文字「CAPTCHA」はもう無意味?

ITmediaの2/27の記事「変形文字「CAPTCHA」はもう無意味?」からです。

個人的には、「これって、本当に有効なメカニズムなのかなぁ」とずっと気になっていたものなのですが・・・
Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている、ということです。

この記事によると、すでにMicrosoftのWindows Live Mail、GoogleのGmailのCAPTCHAを破るボットが出現しクラックされたとのことです。そして攻撃をする側では、フリーメールのアカウントを作成してスパム送信に使うため、CAPTCHA破りに力を入れているようです。

そして、自動CAPTCHA破り機能を組み込んだ攻撃ツールが、すでにネットで広く提供されているということです。

この「CAPTCHA」という仕組みは、ネットのいろんなところ(SNS、掲示板、ブログ、など)で使用されていますが、これからどうするんでしょう?

| | コメント (0) | トラックバック (0)

2008年2月27日 (水)

情報セキュリティ人材のあり方を考える(7)

またまた、前回の続きです。

「考える」の次は、「やってみる」ことです。
実機を使用したり、ケーススタディやロールプレイをしたり。
実際に「やってみる」ことで、実施できるスキルを習得します
。(それから演習では失敗ができます。実戦では失敗が許されない場合が多いでますが)
演習では、自分がやってみることが重要なのですが、他人がやっていることを観察することもできる貴重な場でもあります。

さて、米国国土安全保障省(DHS)の「HSEEP」によると、「演習」とは

組織への脅威に対して、①未然に防止する、②リスクを低減させる、③的確に対応する、④迅速に復旧する、といった能力を仮想環境で検証するもの。


脅威が顕在化する前に、組織の上記能力を向上させるために、演習は極めて有効な手段であり、以下のような効果が期待される。
・ポリシー、プラン、プロシージャ、教育、技術、組織間の規則の検証
・参加者の役割と責任の明確化
・組織間の情報共有体制の向上
・人的リソース、経済的リソースの最適化
・参加者個人の能力向上

とされています。

このような文章を見ると、やはり情報セキュリティ人材に「演習」は欠かせないものだと思います。
合理的かつ実践的なスキルは、このような学習方法でないと身に付かないからです

しかし、日本においてはこのような学習が重視されていなかったり、提供されるコースが少なかったり、教えられる講師がいなかったり…
こういう問題も、解決していかなければなりませんね。

| | コメント (0) | トラックバック (0)

2008年2月26日 (火)

情報セキュリティ人材のあり方を考える(6)

前回のつづきです。
実践的かつ合理的な知識を身につけるためには、受講する側が「考える」ことが必要と書きました。
そのためには、講習をする側、つまりカリキュラム作成をする人や講師は、そのような環境を作ることが重要になります。
受講者を考えさせるような場面を作ったり、質問や発言しやすい機会を設けたり、ということです。
よく講習の合間に「ここまでで、質問はございませんか?」と講師から、受講者の皆さんに問いかけをすることがあると思います。
こういう際に、受講者側としては、積極的に質問や発言をして欲しいと思っています。
逆に講師側としては、その際の質問や発言にできる限り、具体的に対応してほしいと考えています。
また「質問がないなら、十分理解している」と考えず、そのような場合でも講師から受講者へ問いかけたり、話しかけたりして、反応を見ながら進めて欲しいと思っています。
とにかく、教える側も教わる側も受身になることなく、積極的にコミュニケーションを取ってもらいたいと思います。
より良い理解をするためには、このような双方での姿勢が重要だと考えております。
ということなので、私が講師の際はどうぞ積極的に質問や発言をしてください。それから、話しかけたら、相手をしてあげてくださいね・・・

| | コメント (0) | トラックバック (1)

2008年2月25日 (月)

情報セキュリティ人材のあり方を考える(5)

では、理論やメカニズムを理解するだけでなく、それを体系的・構造的にして、さらに応用し、状況に応じて適切な判断をするための合理的かつ実践的な「知識」を習得するためには、どうするか…

今回は、それについて書いてみます。
まずは、そのような知識の身に付く教育コースを選択し、受講する、ということになりますが、それだけでは十分ではありません。
それ以上に重要なことは、受講する側が考えることです。(受講中だけでなく、受講した後も)
学習した内容を、今までの業務やこれからの業務など、実際の場面にあてはめて考えてみる
ことが重要です。

たとえば、アクセスコントロールでは「最小特権」「知る必要性」などの原則ができてます。
これを、実際の業務にあてはめ、どうアクセス許可をするのかを考えたり、アクセスコントロールのリストを見て、これらの原則の通りに実装されているのか、されていなければそうすればよいか、などを実際に考えてみることです。
さらに、「特権」とは具体的にどのような権限なのか、「知る必要性」とは何を基準に決められるのか、など発展的に考えていくのが良いでしょう。

とにかく、理論やメカニズム、用語の定義を覚えるだけでは、本質的な理解はできません。
まずは考えて、さらにそれを体系的に整理してみましょう

| | コメント (0) | トラックバック (0)

2008年2月22日 (金)

情報セキュリティ人材のあり方を考える(4)

(1日、間が空きましたが)さて、今回は情報セキュリティ人材に必要な知識やスキルについて、私の意見を書いてみます。

「情報セキュリティ人材には、どんな知識が必要でしょうか?」というような内容に対し、だいたい私は以下のように答えています。

理論やメカニズムを理解するだけでなく、それを体系的・構造的にして、さらに応用し、状況に応じて適切な判断をするための合理的かつ実践的な「知識」

つまりは、まず実際の業務で使えなければ何もならない、ということです。
そして、実際の業務では様々な状況が出てきます。それによって判断を変えなければならないことになります。
同じ状況は2度はありえない、ということです。
さらにほとんどの場合、いくつかの選択肢が存在し、絶対的な答えはありません。
そのような中で、合理的かつ実践的な判断をする知識が必要
だと考えています。

まだ、続く(と思います)。

| | コメント (0) | トラックバック (0)

2008年2月21日 (木)

「ダウンローダー型マルウエア」の脅威

日経ITproの2/20の記事「「本当に怖いのは、ウイルスの“二次攻撃”」――専門家が解説」 からです。

これは、2/20の「重要インフラ情報セキュリティフォーラム2008」でのIPA研究員である鵜飼氏の講演です。
私も聴講してきました。

どういうことかというと、

従来、ウイルスは単体で動作するものがほとんどだった。感染機能を持つウイルスに、例えば「情報を盗む」といった悪質な機能も実装されていた。この場合には、感染したウイルスを解析すれば、その危険性や被害の程度を調べること(脅威分析すること)ができた。

 ところが最近では、感染後に、攻撃者が用意したサーバーから別のウイルスコードをダウンロードして展開し、実行するタイプのダウンローダーが増えているという。

 「何が起こるかは、攻撃者が用意したサーバー上の(ウイルス)コード次第。3日たったら別のコードに変わっている可能性がある。コードの中には、(感染パソコンなどの)状況に応じて変化するものもある。ダウンロードされるウイルスの詳細は、ダウンローダーをいくら調べても分からない」。

 こういったダウンローダーに感染したら、そのダウンローダーを削除しても手遅れ。ダウンローダーは別のウイルスをダウンロードおよび実行しているので、「既に、“第二次のウイルス攻撃”が成立してしまっている」。どういったウイルスがダウンロードされているのかも分からないので、対処方法や被害の規模などが簡単には分析できない。

ということです。

ファイアウォールとウイルス対策システムを導入していれば、ウイルスは防げる(検出・駆除)、ということではないわけです。

それから、「ウイルス」という言葉の使い方も考えたほうがいいでしょうね。
今までの定義(「コンピュータウイルス対策基準」などにあるもの)とは、明らかに内容が違っています。
(ということもあり、私は最近「ウイルス」という言葉をほとんど使っておりません)

| | コメント (0) | トラックバック (0)

2008年2月20日 (水)

情報セキュリティ人材のあり方を考える(3)

またまた、前回の続きです。

さて今回で、「情報セキュリティの仕事は、貧乏くじ」の私なりの結論を出しておきます。
「貧乏くじ」の最大の理由は、役割や責任が重いのに、それに見合う評価が得られていないということだと思っています。
ITエンジニア、オペレータ、情報システム担当者、これらすべて同様のことが言えると思いますが、情報セキュリティ業務はそのなかでもこの傾向が顕著なのでしょう。

このような問題を解決するには、情報セキュリティに関わる人たちの地位の向上がまず必要です。
さらに、評価が可能になるためには、そのための相対的・客観的な基準が必要になるわけです。

実際にそのような考え方や基準らしきものは存在するのですが、結果として「貧乏くじ」となってしまうのは、それらの効果がない(または、使われていない、実効性がない、普及していない、など)ということにもなります。

ということで、このあたりを何か変えていかなければ、と考えております。

まだ、続く(と思います)。

| | コメント (0) | トラックバック (0)

2008年2月19日 (火)

情報セキュリティ人材のあり方を考える(2)

前回の続きです。

「『情報セキュリティの仕事』イコール『火消し』、というイメージの払拭」「『(事後対応)リアクティブ』中心から『事前対応(プロアクティブ)』視点への移行」というのは、どういうことかというと…

NISCの「第2次情報セキュリティ基本計画」(仮称)の検討の視点(例)では、

-「不祥事」「恥」の意識から、原因究明による「再発防止」優先への転換
-100%事前防止意識の払拭

というように書かれていることと、(おそらく)同様のことを言っております。

つまり、まずは「インシデント発生」が前提であるということ。
そのうえで、それを事前防止するために何をしたか(これが『事前対応(プロアクティブ)』の活動)、発生したインシデントに対してどのように対応したか(適切かつ十分か)、そのインシデントの分析による原因究明と再発防止策が実施できたか、というような活動に移行していくべきであり、そのような内容で評価をできるようにする
ことだと思っています。

とにかく、業務内容の測定と評価ができないと、現状では「貧乏くじ」であることも「重要な業務」であることもわかりません。

ただ、このような視点への移行や仕組み作りは、かなり大変です・・・
しかし、やっていくべきことなのだと思っております。

(まだ、次回以降につづく・・・)

| | コメント (0) | トラックバック (0)

2008年2月18日 (月)

情報セキュリティ人材のあり方を考える(1)

去る2/15(金)の「東大CCR情報セキュリティコミュニティ シンポジウム」で、パネラーとして登壇してきました。
そこでのテーマが「早期警戒、インシデントレスポンスにおける、組織と人のあり方」というものでした。
パネルディスカッションの90分というのは、長いようで短いですね。
(いつものことですが)話したいことが、すべて話せずに終わってしまいました。

ということで、そこで話したこと、他のパネラーの方から聞いたことで特に印象的だったこと、話そうと思っていたことなどを何回かに分けて書いてみたいと思っています。(私もいろいろ勉強になりました)

まずは「情報セキュリティの仕事は、貧乏くじなのか」ということです。
この内容はパネルディスカッションの際、会場からも意見としていただきました。

つまり、情報セキュリティの仕事、たとえばインシデントレスポンスであれば、インシデントが起こらないことがあたり前とされていて、起こってしまったら仕事をしていなかったように思われる、そしてそのインシデントの対応ができて当たり前であり、それが自分がインシデントを起こしてしまった後始末みたいに思われる…

確かにそうであれば、間違いなく「貧乏くじ」の仕事ですね。
では、そうでないようにすればどうするべきなのか。

私の答えとしては、「『情報セキュリティの仕事』イコール『火消し』、というイメージの払拭」「『(事後対応)リアクティブ』中心から『事前対応(プロアクティブ)』視点への移行」というところです。

(長くなってしまうので)くわしくは、また次回。

| | コメント (2) | トラックバック (1)

2008年2月16日 (土)

じわじわと増えてます。

CISSP関連のメンバー数を調べてみました。

CISSPホルダー:936名(1/31現在)
mixi CISSPコミュ:277名(2/15現在)
cisspjp SNS:115名(2/15現在)

昨日現在の数字です。
じわじわと増えていますね…(ドーンとではなく)

| | コメント (2) | トラックバック (0)

2008年2月15日 (金)

セキュリティ上の理由のため、PDFファイル?

ここ2日ほど、ちょうど同じ話題が出たので、今日はそのお話です。
「セキュリティ上の理由で、PDFファイルでお送りしています」と言って、添付ファイルをPDFにしてメールで送られる方がいらっしゃいます。さて、この場合の「セキュリティ上の理由」とは、何でしょうか?

考えられるのは、

・機密性:情報漏洩の防止
・完全性:改竄の防止、または検出
・真正性:送信者の身元の証明
・否認防止:送受信のやりとりの事実を否認させない

あたりです。

しかし、(暗号化、デジタル署名、パスワードによる保護などもなく)PDFファイルにしているだけであれば、このどれにも該当しません。
どうもユーザーレベルでは、「完全性:改竄の防止、または検出」ができると誤解されていることが多いようです

少し前の話ですが、あるユーザーの方から普通のWordファイルを、わざわざPDFファイルにしてメールが送られてきたことがありました。
そこで「なぜ、わざわざPDF形式で送ってこられたのですか?」とたずねたところ、「セキュリティコンサルタントの方から『セキュリティ対策になるから、メールに添付する場合はPDFファイルで送ったほうがいい』と言われたので・・・」という答えが返ってきた、ということがあったのを思い出しました。

そんなセキュリティコンサルタントがいるとは、困ったもんだ…

| | コメント (4) | トラックバック (0)

2008年2月14日 (木)

IT教育の目的

今回は、増田さんのブログの記事からです。

IT教育の目的について、個人的見解を・・・

教育の目的が「資格の取得」で終わってしまってはいけないと考えています。
「資格の取得」は、目的の1つではあると思います。
ですが、最終的な目的はそこにあるとは考えていません。

その先に知識や資格の使い道があるはずで、そこが最終的な目的であるべきです。

ということは「実務教育」は必要であり重要なのですが、そういう理解が不十分です。
そして、その供給も十分ではありません。
そのあたりが、大きな問題であり解決すべき課題と考えております。

| | コメント (0) | トラックバック (0)

2008年2月13日 (水)

「脆弱性情報共有フレームワークに関する調査報告書」公開

2/12にIPAのHPより、公開されています。

各国の脆弱性対策の取り組みが報告されています。
非常に興味深い内容ですね。

さっと読んだだけですが、日本はまだまだこれから、という感じがしました。

脆弱性情報共有フレームワークに関する調査報告書
~中小規模組織における脆弱性対策促進への各国の取り組み~

独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、脆弱性対策の促進に向けて、各国の中小規模組織における脆弱性対策の現状、組織内で脆弱性情報を共有するためのフレームワーク(情報共有の枠組み)や脆弱性対策確認作業の自動化に向けた取り組みに関して調査を行い、調査報告書を2008年2月12日(火)より、IPAのウェブサイトで公開しました。

●概要
1.脆弱性対策の現状と情報共有の枠組み
(1) 国内中小規模組織における情報セキュリティ対策の現状
(2) 英国の取り組み状況
 英国政府がCPNI(Centre for the Protection of National Infrastructure:国家インフラ防護センター)を中心として推進している、中小規模組織向けのセキュリティ情報共有サービスのフレームワークWARP(Warning, Advice and Reporting Point)の状況
(3) EU(European Union:欧州連合)の取り組み状況
 EUの情報セキュリティ専門機関であるENISA(European Network and Information Security Agency:欧州ネットワーク情報セキュリティ庁)が推進する、多言語でのセキュリティ情報の流通及び活用促進のための試験的プロジェクトEISAS(European Information Sharing and Alert System)の状況
(4) 韓国の取り組み状況
 韓国の情報通信部の外郭団体であるKISA(Korea Information Security Agency:韓国情報保護振興院)が推進する、情報セキュリティ政策の状況

2.脆弱性対策確認作業の自動化に向けた取り組み
(1) 米国の取り組み状況
 米国政府がNIST(National Institute of Standards and Technology:国立標準技術研究所)を中心として推進している、情報セキュリティ管理の自動化と標準化を規定した仕様・規格SCAP(Security Content Automation Protocol)の状況

<報告書のダウンロード>
脆弱性情報共有フレームワークに関する調査報告書(全124ページ)

(参考)

調査報告書 概要(全4ページ)

調査報告書 概要詳細(全13ページ)

| | コメント (0) | トラックバック (0)

2008年2月12日 (火)

ブログの“相性”“話題・気分”判定サービス

ITmediaの記事「「ふたりは感動を分かちあっています」――ブログの“相性”判定サービスからです。 

「きざしカンパニー」がこのほど、ブログ同士の“相性”が分かるというサービス「Myピース」(β版)を始めたそうです。それから、ほかにも「My Boo」というサービスも見つけました。

Myピース ベータ版
2つのブログのURLを入力すると、RSSフィードの内容をもとに分析。記事に使われているキーワードから、共通する話題や感情を抽出し、相性を判定する。ブログを更新すると、判定結果も変わる。

MyBoo ベータ版
「どんな話題」が多いのか、「どんな気分」で書かれているブログなのか。また最近の特徴的なブログ話題をリコメンドします。

ということで、まずはこの「My Boo」でこのブログを判定してみました
結果は、以下の通り。

「怪しいと疑っていること」がブログからにじみ出ています。

話題に関しては「経済」について多く書かれているみたいです。


「怪しいと疑っていること」:
判定ワード・・・特別だ、 必要だ、 情報、 記事...

その他の感情:
「悲しい気持ち」「怒ってる感」「経済」
判定ワード・・・動向、 市場、 制度、 重要だ、 調査、 技術、 必要だ...

その他の話題:
「株」「資格」

だそうです。

しばらくしたら、また判定してみます。

| | コメント (0) | トラックバック (0)

2008年2月10日 (日)

JASA広報誌「Security Eye」がWeb化

2/7にJASAのHP(こちら)で発表されています。

Security Eyeが創刊されてから3年・・・・情報セキュリティ監査を取り巻く状況も大きく変化してきました。
情報セキュリティ監査を取り巻く最新動向をタイムリーに情報をお届けし、さまざまなツールをダウンロードできるように、Security EyeはWebマガジン化することになりました。

☆すべての方に・・・・情報セキュリティ監査に関連する最新情報、有識者の意見などをお届けします
☆情報セキュリティ監査を受ける側の方に・・・今まで以上に監査の実施事例や監査人からのアドバイスをお届けします
☆情報セキュリティ監査を実施する側の方に・・・技術情報、JASAの成果物の利用方法、監査を行う上でのヒントなどお届けします

併せて、ニュース配信サービス『Security Eyeニュース』も始まるようですね。
こちらは、配信の申し込みが必要になっています。

2月末までに申し込みをした中なら、抽選で「ニンテンドー Wii」もあたるらしいです。

| | コメント (0) | トラックバック (0)

2008年2月 9日 (土)

パネルディスカッション=CISSP×5

以前このブログの記事でも書いた「東大CCR情報セキュリティコミュニティ第六回情報セキュリティシンポジウム」プログラムが確定しました。

その中の最後のセッションのパネルディスカッションは、登壇者5名(モデレータ×1、パネラー×4)がすべてCISSPホルダーということになりました。そのうちの1名は、私です。今年度4回目のパネラーです。

パネルディスカッションのテーマは「早期警戒、インシデントレスポンスでは、どのような組織作りと人材作りをしていくべきか」です。

CISSPだけのパネルディスカッションは、おそらく史上初。
個人的にも、とても楽しみです。

| | コメント (0) | トラックバック (0)

2008年2月 8日 (金)

IT技術者の人月単価は?

IT技術者の「値ごろ感がある」人月単価は?~NIKKEI NET(2/4)からです。

これは、日経マーケット・アクセス誌が企業の情報システム担当者を対象に行った「IT技術者の職種、スキル・レベル別に見た“値ごろ感がある”人月単価」の調査です。

この調査での設定は、以下の通り。

この設問での「技術者の職種、専門分野とスキル・レベル」の定義は、2006年10月末にIPA(情報処理推進機構)が発表した「ITスキル標準(ITSS)V2 2006」での「キャリアフレームワーク」(旧称スキルフレームワーク)の定義に沿って、「ハイレベル」(ITSSでのレベル5~7)、「ミドルレベル」(同レベル3~4)、「エントリレベル」(同レベル1~2)の3等級に分けて回答を求めた。

 需要者(企業の情報システム担当者)側に対して「妥当な対価」を聞く、という設問であるため、ITSSで定義している職種の一部は調査対象から除外している。具体的には、顧客がそのスキルに対価を支払わない「マーケティング」と「セールス」、製品の開発に従事する職種の「ソフトウェアデベロップメント」および「プロジェクトマネジメント」職種中の「ソフトウェア製品開発」専門分野、対価の根拠としてITスキル以外の要素のウエートが大きいと思われる「エデュケーション」職種を除外した。

 本来、ITSSはIT技術者のサービスの単価や質の基準として使用することを意図した標準ではない。しかし、所属企業の特殊性に依存しない「IT技術者の市場価値」の基準として、現在の日本では最も認知され信頼されている尺度として、本調査ではITSSのフレームワークを基準に採用した。


ところで「セキュリティ」は、ハイレベルで109.7万円、ミドルレベルで80.4万円、エントリーレベルで60.8万円、だそうです。
ふ~ん・・・

ところで、私は「人月単価」という考え方が、好きではありません、あしからず。

| | コメント (0) | トラックバック (0)

2008年2月 7日 (木)

IPA、「TCP/IPに係る既知の脆弱性検証ツール」を公開

「TCP/IPに係る既知の脆弱性検証ツール」を公開
~脆弱性の再発防止のため、TCP/IP実装製品の開発者向けに無償貸出~

コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれています。 近年では、情報家電や携帯端末などの組込み機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。

 TCP/IPを実装したソフトウェアは、これまで多くの脆弱性が発見、公表され、機器ごとに対策が施されてきました。しかし、こうした脆弱性を体系的に検証するツールが整備されてこなかったことから、新たに開発されるソフトウェアで、既に公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが見受けられます。

 このような課題に対応するため、IPAでは、TCP/IP実装製品の開発者向けに「TCP/IPに係る既知の脆弱性検証ツール」を開発し、2008年2月6日(水)よりCD-ROMでの貸出を開始しました。

 本ツールは、2008年1月8日に公開した「TCP/IPに係る既知の脆弱性に関する調査報告書(改訂第3版)」に記載している23項目の脆弱性のうち、18項目の脆弱性を体系的に検証できるツールです。

 TCP/IPを実装する製品開発者は、本ツールを使用することにより、検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できます。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断ができます。

●検証ツールの貸出方法

1.貸出対象
 原則として、次の条件を満たす開発者へ検証ツールを貸出します。
 (1)TCP/IPを実装する製品開発ベンダーであり、法人格を持つ事業体であること。
 (2)不正使用禁止の「利用許諾条件合意書」に合意していただくこと。
 (3)場合によって、会社経歴書などの提出を求めることがあります。

2.費用および期間
 費用は無償です。貸出期間は1年間(更新可能)です。

(些細なことですが)ところで、なぜ貸し出しなのでしょう?
提供でいいような気がしますが・・・

| | コメント (0) | トラックバック (0)

2008年2月 6日 (水)

在宅勤務不向き度チェックリスト

1/29のZDNetの記事「あなたはいくつ当てはまりますか?在宅勤務不向き度チェックリスト」からです。

ワークスタイルも多様化しています。
ライフワークバランス、業務効率などの事情から、在宅勤務というワークスタイルは、今後検討すべき選択肢の1つでしょう。

以下に当てはまると、在宅勤務には不向きということですが、

#1:割り込みをかけられると、仕事の能率が落ちる
#2:仕事とは無関係の誘惑に負けやすい
#3:作業に必要な機器やサービス、インフラを整えることができない
#4:オフィスとの十分なつながりを積極的に維持することができない(あるいはまったく維持できない)
#5:しっかりした管理体制がないと仕事がはかどらない
#6:あなたの上司は離れた場所にいる部下を管理できない、あるいは管理しようとしない #7:友人や家族、隣人との間に垣根を築くことができない
#8:今日の仕事はここまでだときりをつけることができない
#9:独りで働くことができない
#10:コラボレーションのチャンスを逃がすことがとても悔しい

私の場合、当てはまるものがほとんどありませんでした。
#8、ちょっと微妙で△というところかな・・・

といことで、在宅勤務に不向きではないようです。

| | コメント (0) | トラックバック (0)

2008年2月 5日 (火)

NISC、一挙にいろいろ公開

これでもか、というぐらい2/4に多くの成果が公開されています。
2/2が情報セキュリティの日だったからでしょうか。

とりあえず、公開されている文書と個人的に注目しているものを、以下に・・・

「政府機関の情報セキュリティ対策のための統一基準(第3版)」(案)に関する意見の募集の結果

「政府機関の情報セキュリティ対策のための統一基準(第3版)」解説書

「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)に関する意見の募集

「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)

第16回情報セキュリティ政策会議を開催

最近の国際的な動向と国際協調・貢献に向けた取組みの進捗状況

「重要インフラ連絡協議会(CEPTOAR-Council)」(仮称)創設に向けた検討状況について

2007年度分野横断的演習の実施について

「情報セキュリティの日」功労者表彰 受賞者一覧

「情報セキュリティの日」功労者表彰で、お世話になっている安田先生、佐々木先生、JNSAが入っているのが個人的にはとてもうれしいです。

| | コメント (0) | トラックバック (0)

2008年2月 4日 (月)

「重要インフラ情報セキュリティフォーラム2008」

IPA、JPCERT/CCとも、2/3現在告HP等での知がないのですが、以下の通り「重要インフラ情報セキュリティフォーラム2008」が開催されます。トラック・セッションの詳細も不明なのですが、申し込みは始まっております。

私は幸いなことにスケジュールが空いておりましたので、参加予定です。(昨年は行けませんでした・・・)

-------------------------------------------------------------------------
IPAは、JPCERT/CCとともに、2月20日(水)に「重要インフラ情報セキュリティ
フォーラム2008」を、千代田区外神田の秋葉原コンベンションセンターにて
開催いたします(参加費無料)。

重要インフラ事業者(情報通信、金融、電力、航空、鉄道、ガス、政府・行政サービス、医療、水道、物流等の事業に係わる者)に対しての情報セキュリティに関する管理的対策や、重要インフラ事業者にシステムを提供するベンダーに対しての情報セキュリティに関する技術的対策等の啓発活動を目的として、本フォーラムを開催いたします。

情報セキュリティに関する対応方策などについてご理解いただけるよい機会と存じますので、ぜひご参加いただきたく、ご案内させていただきます。

お申込みにつきましては、下記の申込みフォームに必要事項をご記入の上、
重要インフラ情報セキュリティフォーラム2008事務局まで電子メールにてご
返信ください。
なお、お申込みの際ご入力いただきました個人情報は、本フォーラムの運営及び来年度の開催案内のみに利用し、他の目的で利用することはございません。

※ 参加証はお申込みいただき次第、順次電子メールにてお送りいたします。
参加証の送信をもって、お申込みの受付完了といたします。

-------------------------------------------------------------------------
       「重要インフラ情報セキュリティフォーラム2008」
       2008 年2 月20 日(水) 秋葉原コンベンションホール

■□■ 申込みフォーム ■□■
会社名:
所 属:
お名前:
ふりがな:
連絡先メールアドレス:

ご出席のトラックのカッコ内に○をお願いいたします。
1. 午前の部-全体トラック 10:00-12:15 ( )
<午後の部はいずれかを選択>
2. 午後の部-技術トラック 13:45-17:00 ( )
3. 午後の部-マネジメントトラック 13:45-17:00 ( )
-------------------------------------------------------------------------

■□■ 申込みフォーム送付先 ■□■
「重要インフラ情報セキュリティフォーラム2008」事務局
   (株式会社オキアルファクリエイト内)
E-mail:alpha-doc2@oki.com
                                                             以上
-------------------------------------------------------------------------

| | コメント (0) | トラックバック (0)

2008年2月 3日 (日)

GmailのSSLモードにも危険性が・・・

2/1のZDNet Japanの記事「GmailのSSLモードにもサイドジャックの危険性」
からです。

この記事によると

SSLを使っていても、Graham氏のツール『Hamster』や『Ferret』を使えば(あるいは手順は難しくなるが、『Wireshark』とMozillaのクッキーエディタを使っても)、Gmailのセッションを乗っ取ることができる。

らしい。

『Wireshark』でもできるということは、私でもがんばればジャックできるとういことになるかな。

それから、さらにこの記事では、

現時点では、データリンク層のセキュリティを備えた安全な無線LANを使っているか、VPNを使っていてすべてのトラフィックをVPNゲートウェイ経由で流しているのでなければ、暗号化されていない無線LANではクッキーを使うどんなウェブアプリケーションもサイドジャックの対象になるということだ。

と書かれています。

(以前にこのブログでも書きましたが)WEPクラックも、もはや容易だし、上記のような対策(データリンク層のセキュリティ、VPN)をしてない無線LANはセキュアではないと考えるべきですね。

| | コメント (0) | トラックバック (0)

2008年2月 2日 (土)

今日は「情報セキュリティの日」

本日2月2日は「情報セキュリティの日」ですね。
今年は、その2回目です。

特別に何かイベントをするという予定はなかったのですが、某所で情報セキュリティを学んでいらっしゃる方々との懇親会に誘っていただきました。
これが、私にとっての「情報セキュリティの日」イベントになりそうです。
大いに情報セキュリティについて、語り合ってくるとしますか。

ということで、行ってきま~す!

| | コメント (0) | トラックバック (0)

2008年2月 1日 (金)

「ISMS認証取得の必要性」って?

JIPDECの情報セキュリティマネジメントシステム適合性評価制度のパンフレットが新しくなったとのことで、さっと見てみました。
その中に「ISMS認証取得の必要性」という内容があり、個人的にかなり引っかかってしまいました。(以前から、この内容は書かれていたので、正確にいうとずっと引っかかっていたのですが)

いきなり「必要性」と言われても話が飛躍しているし、それは本来それぞれの組織が決めることだし。
情報セキュリティの信頼性の確保、事業競争力の強化、と書いてありますが、それもどうなのかな、と。

いわゆる「セールストーク」でもあるので、このような書き方にはなるのでしょうが、行き過ぎている気がします。
「期待される主な効果」くらいなら、まだ理解できますけど
う~ん・・・

その辺を、ぜひ改訂して欲しかったな。

「情報セキュリティマネジメントシステム適合性評価制度の概要」

| | コメント (2) | トラックバック (0)

« 2008年1月 | トップページ | 2008年3月 »