« 2008年6月 | トップページ | 2008年8月 »

2008年7月の記事

2008年7月31日 (木)

ビジネス・コミュニケーション・スキル診断(BCSA)

資格ではないのですが、CompTIAで「ビジネス・コミュニケーション・スキル診断(BCSA)」という診断テストがあります。

BCSAは、ビジネスに必要なコミュニケーション・スキルを、「論理性」「共感性」「信頼性」の3つの要素で示し、診断するものです。
そして、診断にとどまらず、スキルアップや実践への活用の仕組みが、ハンドブックやワークショップとしても用意されています。

スキルアップには「理論」だけでなく、「実践」することが重要ですね。(正確には、「理論」と、その「実践」を継続的に繰り返す、ということでしょうか)

ちなみに、スター候補生も挑戦しましたよ。

<参考URL>
「BCSA活用ハンドブック」~アイ・シー・イー

「BCSA Workshop -BCSA活用講座-」~アイ・シー・イー

「ビジネス・コミュニケーション・スキル診断(BCSA)に挑戦!!」~セキュリティでつむぐハルカな未来!

| | コメント (0) | トラックバック (1)

2008年7月30日 (水)

「Windows無償セキュリティツール10選」

ZDNetの記事「Windows必携の無償セキュリティツール10選」からです。

ここで紹介されているツールは、

#1:Secunia Personal Software Inspector
#2:OpenDNS
#3:Active Virus Shield (無償のウイルス対策ソフトウェア)
#4:Haute Secure
#5:GMER(rootkit対策ツール)
#6:Netcraft Toolbar
#7:File Shredder
#8:CCleaner
#9:PC Decrapifier
#10:NoScript(Firefox用プラグイン)

の10点です。(すべてユーザー向けということです)

正直なところ、知らないツールだらけ。
近いうちに、いくつか試してみようと思います。

| | コメント (0) | トラックバック (0)

2008年7月29日 (火)

「BCMSユーザーズガイド -BS 25999-2:2007対応-」公開

「BCMSユーザーズガイド -BS 25999-2:2007対応-」が、JIPDECのHPで公開されています。

BCMSユーザーズガイド -BS 25999-2:2007対応-

BCMSの構築を検討もしくは開始している組織において、実際にBCMSの構築に携わっている担当者あるいはその責任者、そして経営者を対象としたガイド。
BCMSの規格であるBS25999-2に則して解説をしており、BCMSを理解する上での一助となり、BCMSを構築・運用する上で参考となる解説書。

しかし、公開されているのは「抜粋版」だけです。
正式版は購入しなければならないのですね。
ISMSITSMSのユーザーズガイドは、無償なのになぜなのでしょう?

ISMSやITSMSのユーザーズガイドも、これからは購入しなければ入手できなくなるのでしょうか。

| | コメント (0) | トラックバック (0)

2008年7月28日 (月)

IPAセキュリティセンターの暗号に関する報告書×2、公開

IPAセキュリティセンターのHPで、暗号に関する報告書が2つ公開されています。

「MD5の安全性の限界に関する調査研究」に関する報告書
概要資料
調査報告書

「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
調査報告書
ガイドライン(案)

先日の記事で書いた「ハッシュ関数安全性評価手法の開発」に関する報告書もほとんど目を通せておりません。(じっくり読んでも、私の暗号技術や数学の知識では理解できそうにない内容のようでしたが・・・)

WEPだけでなく、MD5ももはや利用に堪えない技術になったようですね。

| | コメント (0) | トラックバック (0)

2008年7月26日 (土)

ハードディスクを処分する方法

ZDNetの記事「フォトレポート:ハードディスクを処分する方法」からです。

ハードディスクに限った話ではありませんが、廃棄処分の十分な知識がなく適切な方法で実施されていないことが多いです。
ときどき、講習や講演で話す事例で「あるユーザー企業の女性社員が、ハードディスクやUSBメモリなどを10分間、水につけていた」というものがあります。消磁装置などがなく、さらに物理的に破壊するというには、女性なので力が足りないということでの処分方法だったようです。
確かに水には弱いのですが、この程度では最近のハードディスクやUSBメモリからデータを消去できません。

つまり、「これで処分できているだろう」という思い込みだったわけです。(実際にデータが消えているかどうかの確認はされていませんでした)

※ 不適切な廃棄処分の事例は他にもありますが、ここではこれだけでやめときます。

このような記事(最後は、ちょっとした「オチ」になってますが)を読んで、適切な処分方法を知っておくもいいですね。

| | コメント (0) | トラックバック (0)

2008年7月25日 (金)

「正しい」情報セキュリティとは?

以前の記事(いつ、どの記事だったかは思い出せません…)で、情報セキュリティで「正しい」とか「大丈夫」なんて言葉は使っちゃいかん、などという趣旨のことを書きました。
しかし、多くの書籍や記事などで、今だにそのような表現を目にします。

特に私が目にしているのが多いのは、「正しい」の方ですね。(実は今日も…)
もし、「正しい」情報セキュリティがあるなら、そうでないのは「間違った」情報セキュリティ?、「悪い」情報セキュリティ?、「邪道な」情報セキュリティ?

ということで、「適切な」「十分な」「正確な」「(目的などに)合致した」…、などの表現にしていただきたいと思います。(資格試験などの問題は「正しいものを選べ」ではなく、「適切なものを選べ」ですよね)

※ 今回の記事は他の方の文章の言葉尻を捉えて、非難・批判をしたいのではなく、読み手に書き手の意図通りに伝えるために、という観点で書いております。念のため・・・

| | コメント (0) | トラックバック (0)

2008年7月24日 (木)

IPAセキュリティセンターのe-Learning教材×2、公開

IPAセキュリティセンターのサイトで、e-Learning教材が2つ同時に公開されています。

暗号技術に関するe-Learning教材

【初心者編】
 初心者編は、暗号技術に関する基本的な知識を習得することを目標としています。

【初級・中級者向け教材】
 初級・中級者向けの教材は、「技術編」と「社会編」の2つの教材から構成されています。「技術編」は、暗号技術の数学的な基礎から暗号技術の応用までの知識を習得することを目標にしています。また、「社会編」では、暗号技術を応用したシステムを利用したり、設計したりする際に必要となる標準化の動向や認証制度などの周辺知識を習得することを目的にしています。
また、自己学習での利用だけでなく、大学や専門学校での専門教育にも活用いただくため、教員の皆様が必要に応じて、簡単にコンテンツを追加していただけるように考慮しています。

ITセキュリティ評価・認証に関するe-Learning教材

・情報セキュリティ評価及び認証制度の概要
・ISO/IEC15408(CC)概説
・ISO/IEC15408(CC)評価証拠資料の概要
・ST の構成と作成手順の概要
・ST 作成のポイントと事例紹介(その1)
[ST 概説・適合主張]
・ST 作成のポイントと事例紹介(その2)
[セキュリティ課題定義・セキュリティ対策方針]
・ST 作成のポイントと事例紹介(その3)
[拡張コンポーネント定義・セキュリティ要件・TOE 要約仕様]
・CEMによる評価の概要

「はぁ、なるほど、IPAセキュリティセンターだもんね…」という2つの教材です。
なかなか良い教材というか試みなので、いろんなねたで出して欲しい気がしますが、そういう制約があり無理でしょうね。
ということで、他の機関や団体にも期待します。

| | コメント (0) | トラックバック (0)

2008年7月23日 (水)

ドラマ「監査法人」を観て…(3)

NHK土曜ドラマ「監査法人」が、7/19(土)の放送をもって、完結しました。
ドラマ自体は「最後は、(良くも悪くも)うまくまとめられちゃったなぁ」というのが率直な感想です。
しかし、かなり興味深い全6回を観ることができました。

さて、このドラマでつくづく考えさせられたのは「なぜ、不正は起こるのか/なくならないのか」ということ。
そして、「どうしたら、不正は検出できるのか/どうして、できなくなるのか」ということ。

そう考えているうちに、以前から読もうか読むまいか、迷っていた書籍を購入してしまいました。

それは、「会計不正 ‐ 会社の「常識」監査人の「論理」」という本です。
(タイトルを見ると、一瞬小説のようにも見えますが、ビジネス書です)

最近読んでいる書籍は情報セキュリティというより、どんどん会計とか経営とかそちらの世界に最近向かいつつあります。(他には、畑村洋太郎先生の「失敗学」の本とか、「CIO学」とか…)
私は、もともとそちらの畑(経営学)の人間なのですが、情報セキュリティの本質とは、こういう視点から考えていくべきだ、と個人的には確信しています。

この本を読んでの感想やコメントは、また後日…

| | コメント (0) | トラックバック (0)

2008年7月22日 (火)

暗号化されたHDDからデータ漏洩の危険性

Computerworld.jpの記事「暗号化されたHDDからデータ漏洩の危険性――大学の研究チームが明らかに」からです。

これは、「「Microsoft Office Word」や「Google Desktop」などの一般的なアプリケーションが暗号化ファイルを扱う際、HDD内の非暗号化セクションへデータを格納している」ということによるもののようです。

最近いろんなところで「まずは、(漏洩対策は)暗号化」とか「暗号化していれば…」などという表現をよく耳にします。
これは、情報セキュリティの考え方としては、適切ではありません。

「まずは、アクセスコントロール(認証)」であるべきで、「さらに、暗号化」なのです。
そして、暗号化が万能のセキュリティ機能のように思っていてはいけません。

| | コメント (2) | トラックバック (0)

2008年7月20日 (日)

セキュリティ狂歌(強化)川柳

NPO 日本ネットワークセキュリティ協会(JNSA)のトップページで連載?(今週の…、と書いてあるので、毎週変わるのでしょう)が始まりました。

実はこれらの川柳は。とあるネットのコミュニティで、いくつか作品が披露されていました。
その作品がかなり素晴らしいので、こういう場でも公開しようということで始まりました。

初回は、その道場の師範いけねっとさんの作品です。
来週からの作品も期待してくださいね。

で、私はというと…
ぜんぜん浮かんでこないのです。今のところ、作品なし。
いつかは、お披露目したいとは思っているのですが、いつになるやら…

| | コメント (0) | トラックバック (0)

2008年7月19日 (土)

「ハッシュ関数安全性評価手法の開発」に関する報告書の公開

IPAセキュリティセンターのページ「「ハッシュ関数安全性評価手法の開発」に関する報告書」が公開されています。

さて、この報告書は…

 現在、暗号学的ハッシュ関数のデファクトスタンダードは、1995年に米国連邦情報処理標準FIPS180-1(Secure Hash Standard)として制定された「SHA-1」と呼ばれるアルゴリズムです。しかし、2004年に中国山東大学王 小云(シャオユン・ワン)教授(現北京清華大学教授)により、その解読方法が発表されたのを契機に研究が活発化し、SHA-1 の安全性の低下が指摘され始めています。

SHA-1 の安全性低下に対応して、米国立標準技術研究所(NIST:National Institute of Standards and Technology)では2012年を目標にSHA-1の後継となる新たなハッシュ関数の公募が行われています。また、欧州の暗号技術に関する研究開発プロジェクトECRYPTにおいても、新たなハッシュ関数の研究開発が行われたりするなど、世界的に活発な研究開発活動が展開されています。

(中略)

 今回の調査内容は、新しいハッシュ関数の安全性を客観的に評価する手法に関する初期検討です。検討した安全性評価手法は、SHA-1のような算術演算を基本関数として利用するタイプのハッシュ関数と、共通鍵ブロック暗号の安全性評価技術を利用したタイプの二通りのハッシュ関数に対する安全性評価手法を対象としました。

というものです。

今後のハッシュ関数の技術動向を知る上でとても興味があるのですが、(ボリューム的にも内容的にも)読む込むのは大変そう…。

「ハッシュ関数安全性評価手法の開発」に関する報告書

・共通鍵暗号をベースとしたハッシュ関数安全性評価手法の調査
 -概要版
 -調査報告書

・算術演算をベースとするハッシュ関数安全性評価手法に関する調査
 -概要版
 -調査報告書

| | コメント (0) | トラックバック (1)

2008年7月18日 (金)

「Black Hat Japan 2008」

「Black Hat Japan 2008」の登録が始まってましたね…

<Black Hat Japan 2008>

・日程
 トレーニング - TRAINING: 10/5(日)- 8(水) / October 5 - 8
 ブリーフィングス - BRIEFINGS: 10/9(木)-10(金)/ October 9 - 10
・会場
 新宿 京王プラザホテル

今年で、もう5回目の開催になるんですね。
私は、まだ1度も参加できたことがありません。

参加費をどうするか、ということ以前にスケジュールが合うかどうか。
(すでに、何か予定が入っているような気がします・・・)

| | コメント (0) | トラックバック (0)

2008年7月17日 (木)

セキュリティ教育は役に立たない

日経ITpro「「セキュリティ教育は役に立たない」 米SANSインスティチュート アラン・パーラー代表」からです。この記事によると

- 企業が犯罪者や国家から情報を盗まれないようにするためにどうすればいいのか。ユーザーを教育して底上げするしかないのか。

 ほとんどの攻撃では,思わず添付ファイルを実行して(開いて)しまうような内容のメールを送るなど,ソーシャル・エンジニアリングの手法が使われる。ソーシャル・エンジニアリング攻撃を教育で守るのは不可能だ。

 以前,米国の陸軍士官学校で「添付ファイルを絶対クリックするな」と徹底的に教え込んだことがある。ところが5週間後にソーシャル・エンジニアリングの手法を使ったメールを送ったところ,3000人のうち85%の学生が添付ファイルを開いた。一般の企業でも結果は同じだろう。

- ではどうすればいいのか。

 まず,添付ファイルはサーバー側ですべてPDFに変換する,HTMLメールを禁止するといった処置を取ることだ。さらに,パソコンに自由にアプリケーションをインストールできないように,ユーザーから管理者権限を取り上げてしまう。

 今,米国政府は「Secure Configuration」というポリシーを定め,このポリシーに対応したパソコンを調達することにしている。不要なサービスをあらかじめ停止し,管理者権限でのログオンができず,端末管理のために必要なソフトウエアがすべて入った状態のパソコンだ。既に50万台のシステムがSecure Configuration対応になり,400万台が導入を待っている状態だ。

 効果も上がっている。政府のシステム部門のヘルプデスクの仕事が激減したほか,パッチ・リリースから適用までにかかる時間の平均が57日から72時間に減った。企業もこうした取り組みをすることで,攻撃を防御することができるようになるだろう。

つまり、ソーシャルエンジニアリングに対して「セキュリティ教育は役に立たない」、ということです。
さらに、ソーシャルエンジニアリングは、防止も検出も難しいものです。
このほかのヒューマンエラーと合わせ、「人間」という資産の脆弱性と機能的限界、とでも考えるべきなのでしょう

| | コメント (0) | トラックバック (0)

2008年7月16日 (水)

「2008年度 全国縦断 情報セキュリティ監査セミナー」

「2008年度 全国縦断 情報セキュリティ監査セミナー」のスケジュールが公開されています。
(恒例になりつつありますね…)

申し込みは、札幌会場が既にオープンしています。
他の会場については、順次オープンの予定です。

情報セキュリティ監査の最新情報は、ぜひここで…

2008年度 全国縦断 情報セキュリティ監査セミナー

・会場/開催日
札幌 2008年08月25日(月)   
高松 2008年09月26日(金)   
仙台 2008年10月02日(木)   
福岡 2008年10月21日(火) 
大阪 2008年11月11日(火) 
名古屋  2008年12月19日(金) 
広島 2009年01月23日(金)   
富山 2009年02月13日(金) 

・主催:経済産業省、特定非営利活動法人日本セキュリティ監査協会(JASA)

・後援(予定):
情報セキュリティ政策会議
総務省
特定非営利活動法人 ITコーディネータ協会
システム監査学会
社団法人 情報サービス産業協会
ISACA (情報システムコントロール協会)大阪支部
ISACA (情報システムコントロール協会)東京支部
ISACA (情報システムコントロール協会)名古屋支部
日本内部監査協会
特定非営利活動法人 日本ネットワークセキュリティ協会
特定非営利活動法人 ネットワークリスクマネジメント協会
特定非営利活動法人 デジタル・フォレンジック研究会
社団法人 電子情報技術産業協会
財団法人 日本科学技術連盟 
財団法人 日本規格協会
特定非営利活動法人 日本システム監査人協会
財団法人 医療情報システム開発センター
社団法人 日本情報システム・ユーザ協会
情報システム・ユーザ会連盟
特定非営利活動法人 みちのく情報セキュリティ推進機構
財団法人 地方自治情報センター

・参加費:無料(事前登録制)
・定員:約100名~150名

| | コメント (0) | トラックバック (0)

2008年7月15日 (火)

「CompTIA Breakaway Japan 2008」開催

「CompTIA Breakaway Japan 2008」開催の情報が公開されています。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
CompTIA Breakaway Japan 2008 開催!
- 人材育成のソリューションを一日に凝縮 -
<日時:2008年8月29日(金)10:00~17:00(受付・展示コーナー開始 9:00)>
━━━━━━━━━━━━http://www.comptia.jp/event/breakaway2008/

【日  時】2008年8月29日(金)10:00~17:00(受付・展示コーナー開始 9:00)

【場  所】ホテルメトロポリタンエドモント「2F悠久」http://www.edmont.co.jp/
東京都千代田区飯田橋3-10-8 問い合わせ先03-3237-1111
         (JR・東京メトロ・都営地下鉄飯田橋駅下車徒歩5分)

【参加費】無料(ランチセッションのみ、1,000円)

【定  員】各セッション 100名(定員となり次第、受付を終了とさせて頂きます)

【後 援】総務省(申請中)/(社)日本コンピュータシステム販売店協会
(社)コンピュータソフトウェア協会/(社)日本画像情報マネジメント協会
NPO日本ネットワークセキュリティ協会/NPO日本セキュリティ監査協会
----------------------------------------------------------------

申し込み
----------------------------------------------------------------

私は、この中の以下のセッションで登壇いたします。

----------------------------------------------------------------
パネルディスカッション「仕事におけるモチベーション維持の3つのキーワード」
----------------------------------------------------------------

人材育成の成長を確かなものにするポイントの一つが「モチベーション」です。パネルディスカッションでは、様々な
立場で人材育成をご担当されている皆様からモチベーションの維持と向上のキーワードについてお話をいただきます。

<モデレータ>
日本SGI株式会社 アドバンスドテクノロジーコミッティ チームLinuxコンサルタント 高澤 真治 氏
<パネリスト>
特定非営利活動法人日本ネットワークセキュリティ協会 教育部会WGリーダー 長谷川 長一 氏
日立電子サービス株式会社 コンピュータシステム技術学校 校長 山田 保 氏
横河フィールドエンジニアリングサービス株式会社 フィールドエンジニアリング本部 オープンシステムサービス部 部長 丸茂 晴晃 氏
----------------------------------------------------------------

ということで、またパネルディスカッションで登壇します。
最近、2か月に1度のペースでパネルディスカッションに出てますね…

皆様に参考にしていただけるコメントをしたいと思いますので、ご期待ください。(いつもの調子で…)

| | コメント (0) | トラックバック (0)

2008年7月14日 (月)

ドラマ「監査法人」を観て…(2)

「『監査』って、地味な仕事なんだけど、ドラマになるとそう見えないなぁ」と思いました。

私自身も監査をしたことがあります(もちろん、会計監査ではありません)し、知人に公認会計士をはじめ監査法人に勤務されている方も多くいらっしゃいます。他の方から、コメントを直接聞いたことはないのですが、おそらくほぼ同様の感想なのではないかと思っています。

ドラマになることによって、会計監査をする公認会計士という職業に関するイメージもかなり上がるでしょう。
でも、情報システム監査、情報セキュリティ監査については、どうなんでしょうねぇ?
それよりもIT業界というイメージのほうが上回るでしょうから、こちらのイメージ向上にはつながらないでしょう…
(他力本願はいけませんね、自分たちで頑張らなければ)

| | コメント (0) | トラックバック (0)

2008年7月11日 (金)

フィッシングの被害に気付かない企業が83.3%

nikkei BPnetの「フィッシングの被害に気付かない企業が83.3%」 からです。

だから、フィッシングは減らないわけですし、他の攻撃からシフトしてくるのですね…

この記事や報告書ですと、フィッシング対策としては「フィッシングサイトのすばやい検出と閉鎖」「送信ドメイン認証(SPF)」とされていますが、このような状況が続く限りは、攻撃者の動機の排除はできないわけです。
ということで、まだまだ当分はフィッシングは大きな脅威であり続けるでしょう。

<参考URL>
「フィッシングに関する事業者調査報告書」の掲載

| | コメント (0) | トラックバック (0)

2008年7月10日 (木)

「平成19年度情報セキュリティ市場調査報告書」公表

経済産業省のHPで公表されてました。

「平成19年度情報セキュリティ市場調査報告書の公表について」

【調査方法】
(1)調査方法:アンケート調査、各種統計資料調査、ヒアリング調査、サンプリング調査
(2)調査対象:国内で情報セキュリティツールを販売、あるいは情報セキュリティサービスを提供していると思われる企業
(3)調査期間:平成19年11月~12月
(4)アンケート回収数:129件(発送:1,096件 回収率:約12%)

【調査結果概要】

 今回調査の基準年度とした平成18年度の市場規模は、5,887億円であり、平成17年度にはじめて5,000億円の大台に乗ったものと見られる市場は、15%弱の高い伸びを示している。また、平成19年度以降も6,562億円、6,938億円と比較的高い成長を続けるものと予測される。

「平成19年度情報セキュリティ市場調査報告書」

ちなみに、私はこの報告書の執筆メンバーの1人なのですが、公表されていることは他の方から教えていただきました
このことを、その方に言ったら、「まぁ、良くあることです」と…

確かに、そうかも。

| | コメント (0) | トラックバック (0)

2008年7月 9日 (水)

セキュリティと競争力向上の両立

日経ITproの「山口英情報セキュリティ補佐官インタビュー(後編)」を見ていて、ここには思わず反応しました。

このインタビューによると、

具体的にどうやってセキュリティと企業の競争力向上を両立させるのか。

三つのことに取り組む必要がある。

第1に技術の開発。これまでは,これなら絶対に守れるという技術だった。しかし,これからはリスクはあるものという前提に立ち,問題が発生したときに想定の範囲内で被害をとどめるといった技術の開発が必要になる。

第2がコンプライアンス(法令順守)について見直すことだ。現状では企業がコンプライアンスに過剰反応して身動きが取れなくなっていたり,企業の力関係によって一方が他方に対して責任をかぶせるということがある。

 ここに対しては,レベル感を合わせるために,政府がコンプライアンス関連の知恵を集めて提供していく必要がある。ガイドラインだったり,コンプライアンスに伴ういくつかの契約書の雛形(ひながた)を出すといったものだ。

自社で専門家を雇う余裕がない中小企業も含めて考える必要がある。業務をアウトソーシングする際,秘密保持協定や免責の協定がサービス提供者側に有利になっている。ここを是正するように働きかけていかないと,いつまでたっても中小企業にコンプライアンスが定着しない。

第3にマネジメントの強化が必要だ。ここがだめだと,企業が活性化しないし,セキュリティ・レベルも向上しない。利益とリスクを把握した上で決断をする,経営の検証を自分たちで実施し,必要があれば外部の第三者にも見てもらう。企業には,こうした当たり前のことをやっていってほしい。

ということでした。

とにかく、過剰反応を避け、適切な組織運営としてのセキュリティの判断、特に「リスクテイク」ができるようにならなければならないということです。そのためには、マネジメントの強化(というよりガバナンスの確立が先決と、個人的には思ってますが)が不可欠ということですね。

<参考URL>
「山口英情報セキュリティ補佐官インタビュー(前編)」

| | コメント (0) | トラックバック (0)

2008年7月 8日 (火)

「次世代の情報セキュリティ政策に関する研究会報告書」公表

総務省「次世代の情報セキュリティ政策に関する研究会報告書の公表」からです。

パブコメ募集をしていましたが、正式な報告書として確定したようです。
ICTの利活用と保護の「あるべき姿」を考えるためのリファレンスとなりそうです。

「次世代の情報セキュリティ政策に関する研究会報告書」

「次世代の情報セキュリティ政策に関する研究会報告書」のポイント

ところで、ここでの「次世代」とはそんなに先のことではないですね。
かなり近い将来のこと、そう読むべきです。

| | コメント (0) | トラックバック (0)

2008年7月 7日 (月)

スター育成プロジェクト、候補生のブログがオープンしました

日本ネットワークセキュリティ協会(JNSA)/情報セキュリティ教育事業者連絡会(ISEPA)
で、始めた「情報セキュリティのスター育成プロジェクト」の候補生のブログ「セキュリティでつむぐハルカな未来!」がオープンしました。
(サイドバーにも、リンクつけました。すでにお気づきの方もいらっしゃるでしょうが・・・)

先週開催された「SANS Future Visions 2008 Tokyo」から、スキルアップのための本格的な活動を始めています。

ちなみに、受講したのは以下のコース。

SECURITY401「SANS Security Essentials -Defense In-Depth(多層防御)-」
講師:James Tarala (SANS認定シニアインストラクター)

皆様、暖かく見守り、応援してあげてください。

| | コメント (2) | トラックバック (0)

2008年7月 6日 (日)

「ITサービス継続ガイドライン(案)」公開

「ITサービス継続ガイドライン(案)」が公開されています。
BCP/DRPの中でも、ITサービスに絞って書かれているガイドラインです。
ここから実効性のあるBCP/DRPを策定し、IT以外の資源に拡大していくという段階的な導入・展開というのもよいかもしれません。

<参照URL>
「ITサービス継続ガイドライン(案)」に対する意見募集について
「ITサービス継続ガイドライン(案)」

| | コメント (0) | トラックバック (0)

2008年7月 5日 (土)

ドラマ「監査法人」を観て…

NHK土曜ドラマ「監査法人」を、第1回から毎週観ています。(6/28(土)で第3回でした。今週も観ます!全6回ですから、あと3回ですね)

このドラマを観ながら「情報セキュリティの監査とはどうあるべきか」など、少し真面目に考えてみたりしています。
それから「監査(audit)」と言っても、いろいろな「監査」があります。
まず概念として、かなり違います。

ISMS適合性評価制度の監査(審査)と、情報セキュリティ監査における保証型監査も概念的にかなり違います。
それをどう教育するか、個人的には今まさにそれを悩んでいたりしますが・・・

そういえば、学生のころは、一応「財務会計論」と「会計監査論」の単位取ったんですよ。
ここだけの話ですけど…(ここだけになってないけど)

| | コメント (2) | トラックバック (0)

2008年7月 4日 (金)

ブログの8割以上、更新されず

ITmediaの記事「国内ブログ総数は1690万、8割以上は更新されず」からです。

我ながら、よく頑張ってるなぁ~、なんて…
(そういえば、1つ更新してないブログあるけど)

この記事によると、ブログの開設動機は、

自己表現(30.9%)
コミュニケーション(25.7%)
自分の情報を整理・蓄積するアーカイブ(25.0%)
収益(10.1%)
社会貢献(8.4%)

の順になってます。

私の場合の最大の動機は「自分の情報を整理・蓄積するアーカイブ」、次に「自己表現」「コミュニケーション」ですね。
アフィリエイトやってないので、「収益」はありません…

| | コメント (0) | トラックバック (0)

情報セキュリティのための「ITルネサンス」

内閣官房情報セキュリティセンターのメルマガ【NISC NEWS】第21号からです。
ここで使われているある用語が気にかかりました。

●第2次基本計画の基本理念について
第2次基本計画の下での取組みにおいて、我が国のあり方として重要なことは無謬性の追求ではなく、『冷静で迅速な対応、最適な水準の対策の効果的・効率的な実施と説明責任の明確化、主体ごとに求められる最適なセキュリティ水準を達成できる高品質や高信頼性、利用者にとっての安心・安全の確保』という概念です。検討委員会では、こうした概念のもと、より現実に即した実効的な情報セキュリティ対策が冷静に実現される「成熟した情報セキュリティ立国」を目指すべきとの結論を得ました。
そして、成熟した情報セキュリティ立国を実現するためには、ITに係る技術や制度の側面での対策に加えて、社会や国民の意識改革として「ITルネサンス」※が不可欠です。その上で、我々は自国の取組みに自信を持って世界と協調し、IT先進国として相応しいイニシアティブを発揮していくべきと考えられます。

※ITルネサンス:(1)人間が必要以上にセキュリティ問題に振り回されず、むしろ、冷静かつ主体的にITを使いこなせるようになること(=「ITからの人間性解放」の実現)、(2)結果、最適な水準のセキュリティ対策を実施することで、人間が可能化装置であるITを最大限使って、人間の英知に基づく様々なアイデアの実現が可能化・容易化されること(=「ITによる人間性解放」の実現)

この「ITルネサンス」という用語です。言葉からはその意味することがピンとこなかった(正確に言うと、聞き覚えはあったのですが

「さて、どういう意味だっけ?」といこと)のですが、その概念や思想としてはかなり共感・納得できるものがあります。

「ITのための企業経営(組織運営)」ではなく、あくまで「企業経営(組織運営)のためのIT」なのですよね…

<参考記事>
「ITルネッサンス」~日経ITpro(2002年)

| | コメント (0) | トラックバック (0)

2008年7月 3日 (木)

情報セキュリティ管理基準改正案、パブコメ募集

情報セキュリティ監査制度の「情報セキュリティ管理基準」が改正されます。
8/1期限でパブコメ募集が行われています。

「情報セキュリティ管理基準改正案に対する意見募集について」

情報セキュリティ管理基準(改正案)

情報セキュリティ管理基準(現行版)

改正案の現行版との最大の違いは、基準がマネジメント基準(JIS Q 27001:2006 の本文に基づく)と管理策基準(JIS Q 27001:2006 の詳細管理策に基づく)に分かれたところです。

これで、情報セキュリティ監査や情報セキュリティマネジメントは、現状から変わっていくのでしょうか。
ぜひ、良い方向へ変わってほしい…

| | コメント (0) | トラックバック (0)

2008年7月 2日 (水)

SANS、セキュア・プログラミング試験を開始

日経ITproの記事「SANSとNRIセキュア,日本でセキュア・プログラミングの試験を開始」からです。

昨日から(7/1~2)開催されている「SANS Future Visions 2008 Tokyo」において発表されてました。(ちなみに、私も聴講してました)

セキュア・プログラミングのスキルを測る「GIAC Secure Software Programmer試験」(GSSP試験)を日本で開始すると発表した。(第1回目の試験は2008年12月13日の予定)

なお、試験内容は

・ソースコードの中からセキュアでない部分を探す。
・試験は100問、途中退出ありの6時間
・試験は言語別(現時点では)Java/Java Enterprise Edition,C言語(PHP、C#やVisual Basicなど.NET関連の試験も用意する予定)
・受験料は、5万7000円。

ということのようです。

セキュア・プログラミングは、いわばセキュリティ資格のいわば空白地帯だったので、この試験の提供は期待も想定される成果も大きいと思います。

<関連記事>
「セキュアなプログラミングが必要とSANS「ほかの誰のせいにもできない」Webアプリの脆弱性」~@IT

| | コメント (2) | トラックバック (0)

2008年7月 1日 (火)

CompTIA Security+改訂

CompTIAのHP「CompTIA Security+改訂について」で、公開されています。

新しい出題範囲は、2008年10月から適用されます。
この改訂、実は私も関わっております。

CompTIA Security出題範囲(日本語版)

<CompTIA Security+ 認定試験分野 出題比率>
第1章 システム セキュリティ 21%
第2章 ネットワーク インフラストラクチャ 20%
第3章 アクセス制御 17%
第4章 アセスメントと監査 15%
第5章 暗号技術 15%
第6章 組織面でのセキュリティ 12%

ちなみに、現在の出題範囲と比率は、以下の通り。

1. セキュリティの一般概念 30%
2. コミュニケーションセキュリティ 20%
3. インフラストラクチャセキュリティ 20%
4. 暗号技術の基本 15%
5. 業務・組織面でのセキュリティ 15%

| | コメント (0) | トラックバック (0)

« 2008年6月 | トップページ | 2008年8月 »