« 2008年5月 | トップページ | 2008年7月 »

2008年6月の記事

2008年6月30日 (月)

フィッシング防止Webブラウザの公開テスト始まる

ITmediaの記事「フィッシング防止Webブラウザ、ヤフオクで公開テスト」からです。

ヤフーと独立行政法人・産業技術総合研究所(産総研:AIST)が共同開発していた、フィッシング防止Webブラウザが2008年6月25日~2008年11月30日の期間、公開テストが始まっています。(公開テストサイトは、こちら)

このフィッシング防止Webブラウザは、Yahoo! JAPAN IDとパスワードの新しい認証技術(HTTP相互認証プロトコル)をブラウザ「Lunascape」に組み込んだもの、だそうです。ブラウザのアドレスバー領域にパスワード入力欄を設けることで入力欄の偽装を防ぎ、さらにサーバとブラウザが相互認証する仕組みのようです。
これから普及する技術になるのでしょうか。注目してみたいと思います。

まだ公開サイトには行きましたが、テストには参加してません。
時間があるときに、テストに参加してみようかな…

<参考URL>
フィッシング対策のためのHTTP相互認証プロトコル~産総研

「パスワード入力はアドレスバー領域から──フィッシング防止の新技術、産総研とヤフーが実装例公開」~ITmedia

| | コメント (0) | トラックバック (0)

2008年6月28日 (土)

新しいレーザーポインターが欲しい

NIKKEI BP Netの記事「仕事にすぐ効く!ITサプリ」からです。

仕事上、ポインターは重要アイテムなので、気になります。
現在もっているポインター(プレゼンテーションマウスにポインター機能がついたもの)もそろそろ古くなったので、新しいのが欲しくなってきました。

やはり、これからはグリーンのレーザーポインターが主流になっていくんでしょうね
とにかく、見やすい。

ここで取り上げられている「LP-400」(PLUS)は、なかなか良さそうですね。
しかし、価格が「ヨドバシの通販で4万2800円」らしい。
今のところ、高くて買えませ~ん!

| | コメント (2) | トラックバック (0)

2008年6月27日 (金)

東京大学CCR「第7回情報セキュリティシンポジウム」

東京大学CCR情報セキュリティコミュニティの「第7回情報セキュリティシンポジウム」が開催されます。

確か、今回が最後の開催だったと思います。
イベントが減ってしまうのは、ちょっと寂しいですね。

■■■■ 第7回情報セキュリティシンポジウム ■■■■
日時:2008年7月15日(火) 10:30-17:45
場所:東京大学 駒場IIリサーチキャンパス
      先端科学技術研究センター4号館2階「講堂」
  東京都目黒区駒場4-6-1(キャンパス案内
 
主催:東京大学CCR情報セキュリティコミュニティ 
後援:情報セキュリティ政策会議/経済産業省
参加費: 東京大学CCR情報セキュリティコミュニティ会員:無料
*プログラム終了後(17:45~)に、会員交流会(3号館2階207号室)を予定

プログラム詳細

| | コメント (0) | トラックバック (0)

2008年6月26日 (木)

BS25999認証、本格化?

日経ITproの記事「BSIジャパンが事業継続の国際規格を“正式審査”可能に」
からです。

BSIジャパンが2008年6月25日、事業継続計画の国際規格「BS25999」のグローバル認定を受けたそうで、これによってBS25999の審査機関として正式な認証を発行できることとなったようです。

いよいよ、BCMSの認証が本格化するのでしょうか。
(JIPDECでも、来年にはBCMS適合性評価制度のパイロット運用が始まる予定ですし)

| | コメント (2) | トラックバック (0)

2008年6月25日 (水)

『経営とITの融合』宣言、「IT経営憲章」採択

日経ITproの記事「企業トップ9人と経産相が『経営とITの融合』宣言、一堂に会して「IT経営憲章」採択」からです。

経済産業省で開かれた、第1回IT経営協議会で「IT経営憲章」が採択されたようです。

そして、「IT経営憲章」とは以下の10の原則からなっています。

【IT経営憲章】~ITを我が国の競争力の糧とするための10原則~ 
出典:経済産業省IT経営協議会資料(前文は割愛) 
経営者は、グローバル化する経済の中で、国際競争力を獲得し、社会に有用な価値を提供し続けるために、次の10原則に基づき、ITを駆使した企業経営を実践する。

1.【経営とITの融合】経営者は、自らの経営判断に基づき、企業改革や業務改革の道具として常にITを戦略的に活用する可能性を探求する。

2.【改革のリード】経営者は、企業改革にITにおける技術革新の成果を生かし、日々の細かな改善を含め、中長期にわたり、取組みをリードする。

3.【優先順位の明確化】経営者は、取り組むべき企業改革や業務改革の内容を明らかにして、その実現に向けたIT投資の優先順位を常に明確に現場に示す。

4.【見える化】経営者は、ITを活用し、競争優位の獲得に必要な情報や業務を可視化し、かつステークホルダーへの情報開示や透明性の確保に取り組む。

5.【共有化】経営者は、「見える化」した情報や業務を「共有化」し、企業内での部門を超えた業務間連携、業種・業態・規模を超えた企業間連携を促す情報基盤構築やバリューチェーンの最適化に取り組む。

6.【柔軟化】経営者は、ITを活用し、個々の企業の枠にとらわれず、業務やシステムの組み替えや、必要な情報を迅速かつ最適に活用できる事業構造への転換に取り組み、経営環境の急速な変化に柔軟に対応する。

7.【CIOと高度人材の育成】経営者は、最適なIT投資・IT活用を実現するために、CIOを任命し、ともに企業改革や業務改革に取り組む。また、産学官、ユーザー・ベンダの垣根を越えて、ITを駆使した企業改革を推進できる高度人材の育成・交流を推進する。

8.【リスク管理】経営者は、IT活用がもたらすリスクと、問題が発生した際のステークホルダーや社会に及ぼす影響を正しく認識し、その管理を徹底する。

9.【環境への配慮】経営者は、環境に対する企業責任を認識し、IT活用によるエネルギー効率向上や省資源化に取り組む。

10.【国内企業全体の底上げ】経営者は、IT投資から最大限の効果を引き出すためにも、中小企業等企業規模や業種の如何を問わず、企業の枠を超えて我が国企業全体のIT経営の改善・普及に取り組む。

「IT」(個人的には「ICT」にしたほうが良いと思いますが)と「経営」は、かなり以前から企業経営の効率化や競争力強化のために、一体として戦略を立案すべきものとされていました。ですが、なかなかそのような考えが普及しません。(名ばかりのCIO、形骸にすぎないITと経営の統合、内部統制もコーポレートガバナンスではなくコンプライアンス上の課題としかとらえられない…、などの状況)

これを機に、こうした考えも普及すると良いのですが…

| | コメント (0) | トラックバック (0)

2008年6月24日 (火)

「企業における戦略的な情報セキュリティガバナンスの確立に向けて」公表

経済産業省の報道発表「産業構造審議会 情報セキュリティ基本問題委員会中間とりまとめ~企業における戦略的な情報セキュリティガバナンスの確立に向けて~の公表について」からです。

産業構造審議会情報セキュリティ基本問題委員会が「企業における戦略的な情報セキュリティガバナンスの確立に向けて」の中間とりまとめを公開しています。

「情報セキュリティガバナンス確立」、なかなか浸透しませんね…
何が課題で、どういう方向に向かうべきなのか、私もこれを読みながら考えてみます。

●本件の概要
産業構造審議会情報セキュリティ基本問題委員会(委員長:寺島実郎 株式会社三井物産戦略研究所所長)では、平成19年5月に策定したグローバル情報セキュリティ戦略」等を受けた経済産業省における検討の進捗状況を踏まえつつ、企業の経営者が情報セキュリティガバナンス確立のために考慮すべき事項とそれを支援するために必要な施策について平成19年10月より審議を重ねてまいりました。このたび、当委員会において中間とりまとめを行いましたので、公表します。

<発表資料>
産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ~企業における戦略的な情報セキュリティガバナンスの確立に向けて~の公表について

中間とりまとめ

| | コメント (0) | トラックバック (0)

2008年6月23日 (月)

「次期情報セキュリティ基本計画に向けた第1次提言」公開

内閣官房情報セキュリティセンター(NISC)のHPで「次期情報セキュリティ基本計画に向けた第1次提言」が公開されています。

また意見募集が、平成20年(2008年)7月18日(金)18:00期限で行われています。
さらに、今回は以下のような意見募集もしています。

・今後、より具体的な調査検討を進めていくに際しての意見。具体的には、
対策実施4領域(政府機関・地方公共団体/重要インフラ/企業/個人)
横断的な情報セキュリティ基盤(技術戦略/人材の育成・確保/国際連携・協調/犯罪の取締り及び権利利益の保護・救済)
における、情報セキュリティの観点からの課題と今後の政策への要望

・その他自由意見(政府以外の主体に求めたいこと、等)

私もまずは何度か読んでみて、検討してみます。

<参考URL>
「次期情報セキュリティ基本計画に向けた第1次提言」の概要
   
「次期情報セキュリティ基本計画に向けた第1次提言」 

| | コメント (2) | トラックバック (0)

2008年6月22日 (日)

航空自衛隊、「週刊秘密保全」を創刊!?

産経ニュースの記事「空自の“自虐ポスター” 情報漏洩防止に効果!?」からです。

このポスターは「週刊秘密保全」という架空の週刊誌のつり広告、という設定のようですね。
なかなか強烈です。(個人的には、気に入りました)

ちなみにこのポスター、航空自衛隊では好評だが、陸上自衛隊では「われわれの組織では(このポスターの採用は)考えられない」とのこと。
やはり、縦割りなんですね…

| | コメント (0) | トラックバック (0)

2008年6月21日 (土)

「セキュア・ジャパン2008」決定

内閣官房情報セキュリティセンター(NISC)のHPで「セキュア・ジャパン2008」が公開されています。

個人的に注目・期待している施策は、
・情報セキュリティを企画・設計段階から確保する(SBD:Security by Design)のための方策の強化
・政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)の本格運用・能力強化
・「重要インフラ連絡協議会(仮称)」創設の促進
・情報セキュリティ人材の重点確保

あたりです。

今年度は、「情報セキュリティの政策・戦略が浸透してきた、着実に成果があらわれてきた」という実感ができるような年度になってほしいですね…

<参考URL>
「セキュア・ジャパン2008」

「セキュア・ジャパン2008」の決定について
   
「セキュア・ジャパン2008(案)」
   
「セキュア・ジャパン2008」(案)に対する提出意見の概要及び御意見

| | コメント (0) | トラックバック (0)

2008年6月20日 (金)

国内IT投資は堅調に推移、というけれど…

ITproの記事「法令順守や環境対策で2008年の国内IT投資は堅調に推移」からです。

この記事によると、

2008年の国内IT投資は法令順守対応などがけん引し,前年比2.6%増の12兆7032億円になるという。
2009年以降はハードウェア製品の低価格化や運用コストの見直しなどが影響し,成長率は平均年率1.7%増になると分析。2012年の国内IT市場規模は,2008年と比べて約7900億円増加(6.2%増)の13兆4928億円になると予測している。

ということです。

これだけ見ると、「IT市場、悪くないんじゃない?」と考えられそうです。

しかし、投資が「堅調」でも、「健全」とは限りません
「法令順守や環境対策で…」というところに、積極的な投資ではなさそうな意味合いが見られます。
それに日本のITランキングは落ちる一方だし、経営陣のIT投資マインドはあがってないし、生産性も上がってないし。

あるべき企業経営、経済発展のためには、決していい傾向とは思えません。

| | コメント (0) | トラックバック (0)

2008年6月19日 (木)

「安全なウェブサイト運営入門」公開

IPAのサイト「安全なウェブサイト運営入門」が公開されています。

ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイング形式で体験的に学習できるソフトウェアです。

「安全なウェブサイト運営入門」で体験する7つの事件

1. 電子メールの誤送信
2. クロスサイト・スクリプティング
3. SSL(Secure Socket Layer)サーバ証明書の期限切れ
4. ウイルス感染
5. サービス運用妨害 (DoS: Denial of Service)
6. セッション管理の不備
7. SQL(Structured Query Language)インジェクション

ロールプレイング形式というのが、いままでのIPAのサイトにはない工夫(!?)ですね。
より実戦的に学習でき、業務に応用できる、という効果が期待できます。
(というより、期待したい…)

| | コメント (0) | トラックバック (0)

2008年6月18日 (水)

情報処理技術者 平成20年度春期試験の結果

IPAのサイトで、4月に実施された情報処理技術者試験の結果が公開されていますね。(こちら

テクニカルエンジニア(情報セキュリティ)は、1,899名の合格者が出たようです。
合格率は、全3回の中でもっとも高かったようです。(難易度が下がった?、傾向と対策が普及した?)

ところで、これが改訂前の最後の試験ですよね。
来年は制度が変わるわけですから

テクニカルエンジニア(情報セキュリティ)は、たった3回で終了するのですね。
こんなに多くの合格者を出したのに、他の資格も含め来年はすでに過去のものとなってしまいます

人材を育成することが目的のはずの制度ですから、このあたりの問題(教育や資格が陳腐化する)を残したままで新制度に移行するのは、個人的には今だに理解できません…

| | コメント (0) | トラックバック (0)

2008年6月17日 (火)

情報セキュリティ教育事業者連絡会(ISEPA)のサイト、リニューアル

情報セキュリティ教育事業者連絡会(ISEPA)のサイトがリニューアルオープンしました。

コンテンツもかなり増えています。
(各団体からのご案内、与儀代表のコラム、など)

その中に、例の「スター育成プロジェクト」のページ(ブログ)もあります。

まだ準備中(すいません…)なのですが、もうすぐオープンします。
もう少々お待ち&ご期待ください。

| | コメント (2) | トラックバック (0)

2008年6月16日 (月)

「内部統制におけるアイデンティティ管理解説書」公開

JNSAのHPで「内部統制におけるアイデンティティ管理解説書」が公開されています。

この解説書は「アイデンティティ管理製品」の導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した効果が出ないといったことが続出した…
ということで「アイデンティティ管理システム」の導入における標準的な上流工程作業についてのガイドラインを示すことにより、ユーザ、SIer、ベンダーの誤解を解き、健全なシステムの導入と効果の創出の一助とするという目的のために作成されたものです。

※解説書は、こちら

ところで、同時にJNSAのHPがリニューアルされています。

また、情報セキュリティ教育事業者連絡会(ISEPA)のサイトもリニューアルオープンしてます。
※ 詳細は後日、ここで。

さらに、JNSA下部組織として「日本セキュリティオペレーション事業者協議会(Information Security Operation provider Group Japan、略称:ISOG-J)」のサイトがオープンしてます。
※ こちらも詳細は後日、ここで。

| | コメント (0) | トラックバック (0)

2008年6月14日 (土)

犯行予告収集サイト「予告.in」公開

ITmediaの記事「犯行予告収集サイト「予告.in」公開 「0億円、2時間で作った」」からです。

「総務相が、ネット上の犯行予告を検知できるソフトの開発費を来年度予算の概算要求に盛り込むと発言した。費用は数億円」という報道を受け、開発者の矢野さとるさんは、犯行予告収集サイトを1人で2時間で構築・公開した。

矢野氏は「総務省が犯罪予告検知のソフトを数億円かけて開発する」との報道を見て,「そんなに費用がかかるはずはない」と考え開発したという。開発時間は2時間程度。Perlなどのオープンソース・ソフトウエアや,無料のWeb APIなどのサービスを利用することで,無料で開発できたという。

 2ちゃんねるの情報は2ちゃんねる検索から取得。タイトルに「殺人予告」「通報」「爆破」「殺す」「殺します」などの単語を含むスレッドを表示する。ブログの情報はブログ検索サイトのテクノラティからTechnorati APIを通して取得し,2ちゃんねると同様に殺人予告を示す単語を含むものを表示。はてなブックマークからも同様に収集する。

 自動収集,またはユーザーから投稿された犯罪予告はメーリング・リストおよびTwitterに自動的に投稿される。メーリング・リストまたはTwitterを購読すれば,集まった犯罪予告を随時受け取ることができる。

個人的には、数億円という開発の予算以上に、「来年度予算の概算要求に盛り込む」という対応が理解できませんが・・・
それに適切な発注ができるかどうかも疑問ですし。

■参考URL
予告.in 
satoru.netの自由帳 
「犯罪予告を2ちゃんねるやブログから自動収集,投稿もできるサイト「予告.in」公開」~日経ITpro

| | コメント (0) | トラックバック (0)

2008年6月13日 (金)

「青少年ネット規制法」成立

ITmediaの記事「「青少年ネット規制法」成立」からです。

この法律は、青少年をネットの有害情報から守ることを目的としたものです。

さて、具体的な「有害情報」の例としては、
・犯罪若しくは刑罰法令に触れる行為を直接的かつ明示的に請け負い、仲介し、若しくは誘引し、又は自殺を直接的かつ明示的に誘引する情報
・人の性行為又は性器等のわいせつな描写その他の著しく性欲を興奮させ又は刺激する情報
・殺人、処刑、虐待等の場面の陰惨な描写その他の著しく残虐な内容の情報
が示されています。

これらを規制するために、ISP、携帯電話各社、PCメーカーなどに、フィルタリングサービスの提供を義務付けたものです。(罰則はなし)
「表現の自由を阻害する」などの懸念が各方面から表明されています。

私はそれ以上に「この法律には、実効性があるのか」という疑問を抱いています。
また、様々な過剰反応や(業務や生活に)ボトルネックを作るであろう、と。
このような規制が始まることに、過剰反応が起こりボトルネックが発生するのでは、なんのための技術なのかわからなくなります。

| | コメント (0) | トラックバック (0)

2008年6月12日 (木)

Webサイトへの攻撃をチェックするツール、無償提供

日経ITproの記事「Webサイトへの攻撃をチェックするツールの新版,ラックが無償提供」からです。

Webサイトの脆弱性を狙った攻撃の有無を確認できる「SecureSite Checker Free(セキュアサイト・チェッカー・フリー)」の新バージョンが公開されたようですね。
このツールでは「SQLインジェクション」などの攻撃の情報を、Webサーバーのログから解析できるようです。

このツールは、以前の記事「IPA「ウェブサイトの脆弱性検出ツール」公開」のツール(iLogScanner)より、高機能ということでしょうね。

| | コメント (0) | トラックバック (0)

2008年6月11日 (水)

「2008年度 情報セキュリティ監査シンポジウム in Tokyo」開催

「2008年度 情報セキュリティ監査シンポジウム in Tokyo」が開催されます。

JASAのHPで申し込み受付が始まっています。
今回、注目したいのは「情報セキュリティ管理基準Ver2.0」、そしてやはり「保証型情報セキュリティ監査」(特に「監査主体のためのガイド」や利用例)です。

「2008年度 情報セキュリティ監査シンポジウム in Tokyo」

開催日:2008年7月9日(水)10:00~17:30(開場:9:30~)
会場:大手町サンケイプラザ
〒100-0004 東京都千代田区大手町1-7-2 Tel 03-3273-2257

主催:経済産業省、特定非営利活動法人 日本セキュリティ監査協会(JASA)
参加費:無料(事前登録制)
定員:500名

| | コメント (0) | トラックバック (0)

2008年6月10日 (火)

ウイルス対策の歴史

日経ITproの記事「ウイルス対策の歴史をひもとく」の「第1回 1989年~1998年:牧歌的だった愉快ウイルスが次第に牙をむきはじめる」からです。

以前の記事「スパムメール誕生から30年」でも書いた「パキスタン・ブレイン」も書かれてますね。

この記事では、そういう牧歌的なウイルスから始めて、現在のようなウイルス(厳密には「ウイルス」と呼ぶべきではありませんが)までどのように変化が連載で書かれるようです。

このように背景や歴史から理解していくというのは、本質的な理解をするためにはとても重要で有効なことです。
ということで、次回も楽しみです…

| | コメント (0) | トラックバック (0)

2008年6月 9日 (月)

「COBIT 4.1 日本語版」公開

ITGI/ISACAのHPで公開されています。
4.0の日本語版が公開されたのが、つい先日だったような錯覚さえしております。

その際にも、すべてダウンロードして印刷したのですが、たぶん全てに目を通し終わってません。
とにかく、最近はこういうもののリリースに追いつけていません。
(なので、どこが改訂されたのか、よくわかりません)
まずは、自分の中で優先順位をつけなければ…

<ダウンロードURL>
ITGI Japan

COBIT 4.1 日本語版(2008年6月)
-COBIT エグゼクティブオーバービュー、COBIT フレームワーク
-計画と組織 [PO]
-調達と導入 [AI]
-サービス提供とサポート [DS]
-モニタリングと評価 [ME]
-付録

取締役会のためのITガバナンスの手引(69ページ)
情報セキュリティガバナンス - 取締役会と役員に対するガイダンス(48ページ)
同サプルメント(2ページ)

| | コメント (0) | トラックバック (0)

2008年6月 7日 (土)

もうすぐ、大台

(ISC)2 JapanのHP
を見ると、5/30現在で、CISSPホルダーは990名。
シンガポールに、ほぼ並んだのですね。

もうすぐ、1000名の大台。
勝手に何かお祝いしようかな…

| | コメント (2) | トラックバック (0)

2008年6月 6日 (金)

攻撃のターゲットはネットワーク機器へ

日経ITproの記事「標的はブラウザからネットワーク機器へ」からです。

ここでのネットワーク機器とは組み込み機器を指しています。ルータ、レーザープリンタ、複合機など…
通信の経路を変えられたり、踏み台にされたりされているようです。

(以前にもそういう攻撃がありましたね。確かDVD/HDDレコーダが踏み台にされていたように記憶しています)

今後、組み込み機器はますます増えるでしょうし、そこにある脆弱性はサーバやクライアントPCより、さらに放置される率が高いでしょう。
ということで、この状況は一時的なものでは終わらないと思います。

| | コメント (0) | トラックバック (0)

2008年6月 5日 (木)

ずーっと悩みながら考え中

さて最近、読んでいるものは…
会計監査の書籍や資料です。

以前の記事「電子的監査証拠」という書籍の紹介をしました。

この本も含めて、「監査論テキスト」とか、「監査のための統計的サンプリング入門」とか…

別に、業界を変わろうとか、(いまさら)公認会計士試験を受けようとか、そういうことではありません。
主に情報セキュリティ監査のため、そのほかにもエビデンスを扱う業務(インシデントレスポンスなど)へ活かすために読んでおります

それにしても、監査というのは大変で難しいです。
マネジメントシステムの監査や、セキュリティの検査(侵入テストや脆弱性スキャン)などと同じとか、その延長などという理解をされていることも多いのですが、それは明らかに違います。
それらと会計監査、これからの情報セキュリティ監査の方向性、それとの乖離状況がとにかく大き過ぎます。
しかし、情報セキュリティの実効性の評価をするためには、解決しなければならない課題とも考えております。
(その詳細は後日書きます。私の頭の中でも整理しきれてませんので)

さて、それでどうすればいいのか。
それを、何度もこのあたりの資料を読みながら、ずーっと悩みながら考え中なのです。
はぁ~…

| | コメント (0) | トラックバック (0)

2008年6月 4日 (水)

「ITSMSユーザーズガイド~導入のための基礎~」公開

「ITSMSユーザーズガイド~導入のための基礎~」が、公開されてました。(公開されてたのは、先月末かな…)

これは「ITSMS導入における基礎的な事柄を説明しているガイド。ITIL/QMS/ISMSとITSMSとの相違点についても言及している」というもののようです。
まだ斜め読みでなので、さっとしか読んでませんが、詳細な導入の指針になっているようです。

すでに「ITSMSユーザーズガイド-JIS Q 20000(ISO/IEC 20000)対応-」が公開されていますが、こちらは「JIS Q 20000-1の要求事項について一定の範囲でその意味するところを説明しているガイド。主な読者は、ITSMS認証取得を検討もしくは着手している事業者において、実際にITSMSの構築に携わっている方及び責任者を想定している」というものでした。

つまり、こちらのガイドだけでは構築は難しいということですね。それから、(個人的には)読者は認証取得が目的でなくてもよいと思います。

とにかくマネジメントシステムというと、「技術的な知識や理解がなくとも構築できる」という方もいらっしゃいます。
しかし、それは明らかに違いますね。

情報セキュリティマネジメント(ISMS)もそうですが、このITサービスマネジメント(ITSMS)を見るとなおさらそう感じます。

| | コメント (0) | トラックバック (0)

2008年6月 3日 (火)

「SANS Future Visions 2008 Tokyo」申し込みサイトオープン

「SANS Future Visions 2008 Tokyo」申し込みサイトがオープンしてますね。

「SANS Future Visions Tokyo」は、昨年から始まりました。
ということで、今回で2回目です。

昨年も今年も2日間の開催ですが、会場が白金からお台場に変わってます。
それから、1日目の夕方に展示会場内で「ウェルカムレセプション」が開催されることになったようです。

もちろん、CISSPの方はCPE対象イベントです。

| | コメント (0) | トラックバック (0)

2008年6月 2日 (月)

「特定電子メール規制法」改正でスパムは減るのか

「特定電子メール規制法」の改正案が、5/30に参議院で可決されましたね。
いままでの法規制の実効性がかなり低かったことを踏まえて、罰金を大幅に引き上げオプトイン方式が導入されました
これにより抑止効果が働き、いわゆる迷惑メールが減少することを期待しているわけです。
(現在のメールトラフィックのの80%以上が迷惑メールと言われております)

さて、そうなると情報セキュリティの専門家としては「これで迷惑メール(スパム)は本当に減るのか?」と考えてみる必要があります。
まずは私なりの見解としては「それほど、減らない」ということになりました。

既に迷惑メール(スパム)の規制は、欧米などで同様の規制が実施されています。
にも関わらず、減っていないわけですよね。(それどころか、増えている)
メールは、いわゆるバケツリレーで送られているものですから、規制のないところから発信されたり経由されてくると、このようなものも効果がありません。
それから、法人に対する罰金はかなり高いが、個人に対する罰金は低い。「スケープゴート」を作られるだけ、の気もします。

とにかく、法規制だけでは効果は薄いと思われます。
(ISPなどが中心になるでしょうが)技術的な規制やコントロールも併せて、対策をしないと、やはり実効性はあがらないでしょう。

<参考URL>
特定電子メール法の平成20年改正について(総務省) 
総務省 迷惑メールへの対応の在り方に関する研究会

<参考記事>
「特定電子メール法の改正案が可決、事前の送信同意が必須に」日経ITpro
「迷惑メール送信、全面禁止に 改正法成立」ITmedia

| | コメント (3) | トラックバック (1)

« 2008年5月 | トップページ | 2008年7月 »