CISSP的ECO

（ネットの別のところでも書いたねたなのですが、こちらにも載せてみます）

先日、ちょっとした所用があり、蒲田に行きました。
帰りにおつかいをしようと、東急ストアに入りました。

レジに並んでいると、私の前の女性（一般的には「おばちゃま」、みのもんた的には「お姉さん」という年齢の方）の番になりました。
そしてお会計になったときに、その女性は「あ、レジ袋はいりません。これ持ってますから」と、取り出したのは、なんとただのエコバッグではなく・・・

（ISC）2 CISSPのロゴマークの入った、レビューセミナー受講者に配られている、あのトートバッグだったのです。

大根やネギ、ニンジンなどを購入されていたのですが、あのちょっと縦長のトートバッグには入れやすいようですね。
（ISC）2 CISSPのロゴマークの入ったトートバッグから、大根やネギが顔を出しているショットは、目に焼き付いて離れなくなりました。

よくレビューセミナーの講師の時に「このトートバッグは、エコバッグとしてもいいですよ」と冗談半分で言っていたのですが、本当にそういう光景に遭遇するとは思ってもみませんでした。

いやぁ、しかし素晴らしい！
あの女性にCPEあげたいくらいだけど、間違いなくホルダーではない（おそらく、バッグはレビューセミナーを受講した息子さんあたりから譲り受けたのでしょうから）ので必要ないでしょうね・・・

ISEPAイベント「公開討論！ これからのセキュリティ人財育成」報告

（諸般の事情ということで）超遅レスならぬ、超遅レポになっていますが…
去る3/26に開催したイベント「公開討論！ これからのセキュリティ人財育成」の報告が、JNSAサイトに掲載されています。（こちら）

当日行われたBoFとパネルディスカッション、集まったコメントなどが掲載されています。
私がコーディネータを務めさせていただいたパネルディスカッションは、簡単な議事も掲載されています。

イベントの雰囲気などはなかなか伝わりにくいのですが、いろいろと参考にしていただける部分も多いと思います。
ご興味のある方、ぜひご一読ください。

「IT人材育成 iPedia」公開

IPAのサイトで、IT人材育成情報データベース「IT人材育成 iPedia（IT人材育成　アイペディア）」が公開されました。

このサイトは、

　IT人材育成iPediaは、高度IT人材の早期育成を図る上で重要となる高等教育機関における実践的なIT教育の拡充・普及を促進するための情報提供サイトです。
　まず、シリーズ1として産学協同による実践的IT人材の教育事例やそのシラバス1 、教材などの資料やIT人材育成を取り巻く状況などの関連情報、IT人材教育に関わるニュースなどを掲載しています。

　また、近年、わが国の高度IT人材の育成を促進するために、高等教育機関における実践的IT教育の重要性が認識されつつあります。そのような認識をふまえて、高度IT人材を育成するための教育基盤を形成する取り組みが、産官学の間で本格化しており、経済産業省、文部科学省なども、積極的な施策を展開しています。「IT人材育成iPedia」は、このような施策の一環として、高等教育機関における実践的IT教育に関する有用な情報を提供する基盤として、産学連携による実践的IT教育に関するワンストップ情報提供サイトを目指しています。

とのことです。

これから多くの情報や事例が蓄積されていくと、役に立つサイトになりそうですね。
期待しましょう。

「情報セキュリティ白書2008 第II部」公開

IPAのHP「情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開」からです。

この白書は、

IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめたものです。「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択、分析し、今後の対策をまとめました。

というものです。

そして、「その10大脅威」とは…

■10大脅威 ますます進む『見えない化』

第１位 高まる「誘導型」攻撃の脅威
第２位 ウェブサイトを狙った攻撃の広まり
第３位 恒常化する情報漏えい
第４位 巧妙化する標的型攻撃
第５位 信用できなくなった正規サイト
第６位 検知されにくいボット、潜在化するコンピュータウイルス
第７位 検索エンジンからマルウェア配信サイトに誘導
第８位 国内製品の脆弱性が頻発
第９位 減らないスパムメール
第１０位 組み込み製品の脆弱性の増加

そして、「情報セキュリティ白書2008」は、この第II部のみが公開。
そのほかは、今年から書店での販売（定価1,200円）での提供ということになったようです。
（下記、参照ください）

ダウンロードは、こちらから。
●情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」

＜参考記事＞
●「情報セキュリティ白書2008」出版について

「情報セキュリティに関するインターネット利用者意識調査 2008」

NRIセキュアのHPで「情報セキュリティに関するインターネット利用者意識調査 2008」
が公開されています。

さて今回の調査では、
・回答者の過半数がスパムメールをトラブルと認識
・8割以上が「企業の社員の情報セキュリティ教育をきちんと行うべきである」、7割以上が「情報セキュリティ教育の研修の機会をもっと増やすべきである」と回答
ということで、「情報セキュリティに関する自らのリテラシー向上を企業などの組織に求めている状況」とのこと。

教育をする側が、
・ワークスタイルやICT技術などの環境変化に対応できていない
・教育コンテンツがマンネリ化していて手詰まり感がある
などが原因でこのような状況を生んでいるのではないか、と個人的には考えております。

この調査は今回で5回目ということですが、ずっと継続してほしいものです。

＜参考記事 NIKKEI NET＞

ソーシャルエンジニアリングへの対策

ケビンねた、ソーシャルエンジニアリングねたのつづきです。

前回の記事では、ソーシャルエンジニアリングをする側の話でしたが、今回はソーシャルエンジニアリングへの対策をする側の話です。

と、この記事を書こうとググったら、以下の記事が出てきました。
この講演の記事がないのかと思ったら、あったのですね。良かった…
（ちなみに、講演の日の夜にTBSの「ニュース23」では、取り上げられていましたけど）

＜参考記事＞
「ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説」～InternetWatch

この記事によると、（というより、わたくしの講演のメモでも、です…）

　1）上級管理職の参画 (必須)
　2）具体的な事例を挙げての啓発
　3）社員が自らの問題と意識して参画できる仕組みの確立
　4）何が機密情報であり、行動指針となるかを定義する単純なルールの整備
　　（ヒューリスティック＝発見的問題解決）
　5）「No」を代わりに言ってくれる仕組みの導入

が、ソーシャルエンジニアリングへの対策として重要だということです。

そして、ソーシャルエンジニアリングで騙されやすい人は、

　1）自分だけは騙されるようなバカではないという幻想を抱いている
　2）人は何となく他人を信じやすいものである
　3）セキュリティの手続きに従うのは時間の無駄と思っている
　4）情報の価値を過小評価している
　5）人は他人 (同僚) を助けたい気持ちを持っているものである
　6）自らの行動がもたらす結果をわかっていない

ということです。

この中の1)と2)は、詐欺を含め、騙されやすい人全体的な特徴でもありますが･･･

さて、ここまでわかってきたとしても、実際の対策も教育もかなり難しいですね。
といいながら、ソーシャルエンジニアリング関連の教育の内容を考えていたりします。

ソーシャルエンジニアリングの戦略

今週の月曜に、ケビン・ミトニック氏の講義を拝聴してきました。
講演のタイトルは「The Art of Deception」、著書（日本では「欺術」）と同じでした。

ソーシャルエンジニアリングの手口とその脅威を、わかりやすく伝えようと、かなり苦心していたように見受けられました。
でも、その本質的なことが伝わってない人も多かったような気がします。

やはり、ソーシャルエンジニアリングを教えるのは、難しいのですね。
もちろん、検出も対応も難しいですが･･･

さて、その講演で「ソーシャルエンジニアリングの戦略」の話がありました。
つまり、ソーシャルエンジニアリングをしようとする者が取る行動です。
ちなみに、以下の3つとのこと。

(1) なりすます人のアイデンティティを確立する
(2) 情報を入手しようとする理由を明確にする
(3) だます相手の信頼や共感を得る

なるほど…
これをもとにシナリオを描くわけですね。
そのために、事前に情報収集（やはり、ごみ箱あさりが効果があるらしい。「ある人のゴミはある人の宝物」と言ってました）をするわけですね。

Webカメラと望遠鏡を用いたハッキング・ツール

COMPUTER WORLDの記事「遠くからPCをスパイする、データ窃盗の新たな手口 Webカメラと望遠鏡を用いた意外なハッキング・ツールにご用心」からです。

米・独のセキュリティ研究チームが開発したハッキング手法とのことです。

まずは、よくこのようなことを発想するものだ、と感心しました。
それから「やはり、情報セキュリティプロフェッショナルのスキルとして、「発想力」は必要なのだ」と確信もできましたが･･･
（こちらもご参照ください、このブログの過去の記事「発想力」）

そしてこのような記事を読むと、（この記事でも挙げられていますが）電磁信号傍受攻撃「TEMPEST」、サイドチャネル攻撃、なども含め、情報セキュリティ対策には、「物理セキュリティ」の知識も必要だとも確信できますね。

CISSPレビューセミナー、キャンペーン

7～8月限定になってますが、かなり割引きされるようです。

●(ISC)2公式CISSP10ドメインレビューセミナー「1,000名突破目前！チャレンジキャンペーン」
5日間561,750円→399,000円(税込み)に、なってます。

割引きになっても、中身はもちろん変わりません。
（認定講師が言うのだから、間違いないです）

「JNSA 2007年度活動報告会」

「JNSA 2007年度活動報告会」の申込みサイトがオープンされました。

＜JNSA 2007年度活動報告会＞
■ 日　時： 2008年6月13日（金）9：30～15：30
■ 場　所： ベルサール八重洲 ３Ｆ
(中央区八重洲1-3-7八重洲ファースト　フィナンシャルビル)
■ 主　催： 特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
■ 定　員： Room１　定員：72名、Room２＋Room３　定員：144名
■ 料　金： 参加費無料

ご興味のある方、ぜひご来場ください。ちなみに、私は以下の2つのセッションで登壇いたします。

＜ISEPA・パネルディスカッション＞
「人財育成マップとキャリアパスの現状と今後について」9:30-11:20〈110分〉
ディスカッションテーマ：「情報セキュリティのキャリアパス　～現状と未来～」

モデレータ：衣川俊章氏／(ISC)2 JAPAN
パネリスト：
　増田聖一氏／三井物産セキュアディレクション
  長谷川長一氏／日本ユニシス
　米澤一樹氏／日興アセットマネージメント
　田野広季氏／あおぞら銀行

＜教育部会＞
「情報セキュリティ教育の基礎情報と教育の拡散への試行」11:25-11:40
（長谷川長一 氏／日本ユニシス）

最近、すっかりパネルディスカッションづいてます。(2008年になって、すでに4回目…)

ウイルスの売買の相場

日経ITproの記事「ウイルスの売買、「特注品は500万円、リサイクル品なら2万円」」からです。

この記事ではセキュリティ対策ソフトを開発販売するドイツのベンダーが、ウイルス売買の現状などについて解説しています。
そのほかにも、ウイルス以外の「アンダーグラウンドの相場」についても語られていて、かなり興味深い記事です。

売買されているウイルスの相場は、
・特定の企業を狙うために作った特注品なら、日本円では500万円程度。
・リサイクル品は、「例えば、リサイクルしたウイルスと500万件のメールアドレスをセットした『スターターセット』と呼ばれるパッケージが2万2000円で販売されていたのを確認している」
らしい。

※リサイクル品とは、2006年や2007年に出回った古いウイルス（例えば「Netsky」）を、「パッカー」と呼ばれるツールなどで改変したもの。

盗んだと思われる情報も売買されていて、その相場は、
・メールアドレスは、1000万件分で1万6000円程度（安っ！）
・クレジットカード情報なら200円から800円程度（セキュリティコード付きの場合には4000円から6000円程度）
・オンラインゲームのアカウントは、1000円ぐらいから
らしい。

さらにボットネットは、
・「ボットネット」のレンタルサービスは、5000台から1万台のウイルス感染パソコンで構成されるボットネットなら、1日あたり1万円程度。
とのことで、ご丁寧にも数時間のトライアルサービスを用意していることが多いらしい。

また、いわゆる「ネット恐喝」（DDoS攻撃などをターゲット組織に仕掛け、攻撃をやめてほしければお金を支払うように脅迫する）も増えているとのこと。
※ 参考記事・日経ITpro「攻撃を仕掛けて金銭を要求、国内企業への「ネット恐喝」が相次ぐ」

攻撃者は、（興味本位の愉快犯ではなく）さらに金銭目的へと向かっていることということですね。

改訂だらけ

なんだか、最近「改訂」にばかり関わってます。
あの試験、この試験、あのテキスト、この書籍…

ということで、計4つの改訂に同時に関わってます。
（もちろん、すべてセキュリティ関連のものです）

ところで、何か忘れてないよね？
4つだよね？
（忘れてたら、やばい）

さて、何を改訂しているのかは、書けるようになったら順次ここでご報告します。

「Security Eye」、Webで公開

NPO日本セキュリティ監査協会(JASA)の情報誌「Security Eye」が、最新号の第10号からWebマガジンとして公開されています。（こちらより、閲覧・ダウンロードできます）

これからは、より多くの方に読んでいただきたいですね。
まだ「Security Eye」を読んだことがない方は、この機会にぜひ読んでみてください。
（今回、私はどこにも出てきませんが）

ケビン・ミトニック氏、初来日&講演

このブログで書き忘れていたのですが･･･

5/19に、特定非営利活動法人日本ITイノベーション協会(JITA)のイベントがあります。

そこではなんと、あのケビン・ミトニック氏の講演もあるのです。

ちょうど、スケジュールが空いていたので、行ってきます。
とても。楽しみです･･･

感想などは、またこのブログで書きます。（たぶん）

＜参考＞
●プロフィール：ケビン・ミトニック
・JITAのHP
・Wikipedia

●このブログの過去の記事
・「欺術」
・「ザ・ハッカー」
・「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

日本企業におけるCISSP取得の現状

Scan NetSecurityの記事「日本企業における情報セキュリティ国際資格CISSP取得の現状」からです。

この記事はISEPA代表でもあるLAC/(ISC)2 Japanの与儀さんへの、日本企業におけるCISSP認定資格取得状況や課題についてのインタビューです。

ここでは、日本のCISSPフォルダーのTOP10が出ています。

●CISSP資格者数ランキング 順位と企業名(略記)
1 …… NTTコミュニケーションズ
2 …… hp
3 …… LAC
4 …… UNISYS
5 …… CSK
6 …… CTC
7 …… KDDI
8 …… Microsoft
9 …… Oracle
10 …… NTTデータ

1位はダントツで250名以上、2位は80名ほどだそうです。
ちなみに、私の所属会社も出ていたりして…

セキュリティ対策と法律の調査報告書、公開

IPAのHP「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査」からです。
海外5カ国（アメリカ、イギリス、フランス、ドイツ、オーストラリア）における情報セキュリティ活動と法律の関係を調査し、日本における法律のあり方に対する提言をまとめた報告書が公開されました。

さっと読んでみましたが、日本における法律の整備の相当な遅れを感じました…

報告書は、こちら。
●「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査 報告書」

＜目次＞
●はじめに
●概念
　・情報セキュリティ活動の概念
　・本調査の対象
●リバースエンジニアリング に関する法的問題
　・リバースエンジニアリングの手法と情報セキュリティ活動
　・日本におけるリバースエンジニアリングを用いたセキュリティ活動と著作権の問題について
　・諸外国における脆弱性調査のためのリバースエンジニアリングの適法性をめぐる議論
　・検討
●セキュリティ修正ソフトウェアと法律
　・セキュリティ修正ソフトウェア
　・第三者における修正ソフトウェアの提供
　・我が国における第三者によるセキュリティ修正ソフトウェアの開発・提供に関する法的問題
　・諸外国における議論の状況
　・検討
●著作権技術的保護手段等の脆弱性調査について
　・技術的保護手段とは
　・諸外国における技術的保護手段と法律の解釈の交錯
　・技術的保護手段、権利管理情報に関する法律上の規定と検討
●提言
　・提言の趣旨
　・脆弱性調査目的のデコンパイル の適法性の確認
　・第三者による脆弱性修正プログラム作成の適法性と確認
　・ソフトウェア利用契約における禁止条項の効力
　・技術的保護手段と暗号研究

日本のホルダー数(ISSAP/ISSEP/ISSMP/ISSJP/SSCP)

最新のデータ(2008年4月末)が、ここに出てました。

日本のCISSPのホルダー数は、以前の記事でも、ちらっと書きましたが、もうじき1000名の大台の980名。

さて、それ以外はというと、

・ISSAP：3
・ISSEP：1
・ISSMP：3
・ISSJP：43
・SSCP：1

ということでした。
ISSJP以外は、英語試験しか提供されてませんからね…

事業継続マネジメントシステム(BCMS)関連文書・対訳版

事業継続マネジメントシステム(BCMS)関連文書・対訳版の提供が始まったようですね。(有料です。個人で購入できる金額ではないです・・・)

●事業継続マネジメントシステム(BCMS)関連文書について～JIPDEC

提供される文書は、以下の通り。

・対訳版　BS25999-１
　事業継続マネジメント－第1部：実施規範。
・対訳版　BS25999-2
事業継続マネジメント－第2部：仕様   
・対訳版ISO　PAS22399
　社会セキュリティ－緊急事態準備と業務継続マネジメントガイドライン

BCMS制度の開始、規格化がいよいよ始まるということなんでしょうね。

スパムメール誕生から30年

ITpro「「最初はコンピューターの売り込みだった」、迷惑メールが30周年」からです。

最初の迷惑メールは、米ディジタル・イクイップメント（DEC）の営業部門の代表者が1978年5月3日に送ったものとされているそうです。

えっ、もしかしてコンピュータウイルスよりも古いのか？！
私の記憶では、確か「パキスタンブレイン」が最初で、まだ30年はたってないはず…、と調べてみました。（ググりました）

多くの文献で、コンピュータウイルスは、1986年の「パキスタン・ブレイン」がその始まり、とされていますね。

よって、コンピュータウイルスよりスパムのほうが歴史が長い、ということになります。   

偽のブログも自動作成

COMPUTER WORLDの記事「グーグルのBloggerでスパミングが急増――偽のブログを自動作成」からです。

パッチから攻撃ツールが自動生成されるという記事を、最近取り上げました。

「CAPTCHA」破りの記事も、以前取り上げました。

そして、今度は「CAPTCHA」を破って偽のブログも自動作成、ということです。
このプロセスの成功率はおよそ8～13％、ということですが、そうなると「スパム・ブログ」も増えるのでしょうね。

そういえば、ブログの4割がスパムという記事も、以前取り上げました。

しばらくすると、スパムブログが全体の5割を超えるんでしょうか。

発想力

以前から、情報セキュリティのプロフェッショナルに必要と考えているスキルです。
最近、私がよく講習や講演で話す内容で「準拠性・適合性から、実効性と合理性のセキュリティへ」とか「リアクティブ（事後対応）からプロアクティブ（事前対応）のセキュリティへ」などというのがあります。

そのためにも、この「発想力」は必要だと思っています。
発想できないと「準拠性・適合性」に留まる、「リアクティブ（事後対応）」しかできない、ということになるのだと考えています。
しかし、この差はかなり大きいですし、この「発想力」を身につけるのはかなり難しいことです。
そして「発想力」を身につけるためには、知識の習得だけでは不十分です。

それでは、どうすればいいのか。
やはり、実戦的な学習(演習・ケーススタディ)しかありません。

今日は連休明けなので、調子が出ないのでこのあたりで。（すいません、尻切れ気味で…）

連休控えての、ひとりごと

かなり溜まってます。疲れと原稿が･･･

大型連休中の方もいらっしゃるでしょうが、私は暦通りに働いております。
5/1と2も講習業務です。（5/3～6は休みます）
ちなみに、5月は10日間の講習があります。

これを無事にこなして、溜まっている各種原稿を書きあげれば、しばらくは楽になるかな？（なるといいなぁ～）

ところで、日本のCISSPホルダーはもうじき1000人になりますね。（こちら）