« 2008年8月 | トップページ | 2008年10月 »

2008年9月の記事

2008年9月30日 (火)

新たな攻撃「クリックジャッキング」

ITmediaの記事「「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か」からです。

この記事によると「クリックジャッキング」とは、

クリックジャッキング攻撃では、ユーザーがWebページ上でほとんど気付かないリンクやボタンなどをクリックさせられる恐れがある。つまり、ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。

ということのようです。

CERT/CCなどで報告されているのですが、詳細は未公表。
今後の情報を待ちたいと思いますが、かなりインパクトの強い脅威です。

<関連記事>
「「クリックを乗っ取る」攻撃が報告、ほとんどのブラウザーに影響」~日経ITpro

| | コメント (0) | トラックバック (0)

2008年9月29日 (月)

攻撃する側もメンテナンス

日経ITproの記事「フィッシング詐欺が半減、原因は犯罪組織「Rock Phish」のインフラ整備」からです。

RSAセキュリティの観測によると、2008年8月のフィッシング詐欺が、ここ最近では「記録的な少なさ」とのこと。
その原因は、「オンライン犯罪組織「Rock Phish」が、攻撃用のインフラ(ボットネット)をアップグレードしている最中であるため」と推測している。

つまり、攻撃する側もメンテナンスをしているということ。メンテナンスが終われば、いつも通りに攻撃は行われ、今まで以上にフィッシング詐欺が記録される、ということになるのでしょう。

| | コメント (0) | トラックバック (0)

2008年9月26日 (金)

「情報セキュリティ技術動向調査(2008年上期)」報告書、公開

IPAセキュリティセンターのHPで公開されています。
例によって、これから読みます。

内容は、以下の通り。
※ 目次を見ると、最新動向というのはわかりますので、期待できそうです。

「情報セキュリティ技術動向調査(2008年上期)」
・目次
序 2008年上期の技術動向 - 今日のセキュリティエンジニアリングの課題
1 多様な文脈をもつセキュリティエンジニアリングの課題
2 イントラネットセキュリティをめぐる技術動向
3 検疫ネットワーク技術の標準化動向
4 インシデント対応・災害復旧
5 Linux用の新しいセキュアOS:SMACK
6 仮想化ソフトウェアのセキュリティ
7 PKI 関連の動向(RFC 5280)
8 インターネット経路制御のセキュリティ動向
9 アイデンティティ管理技術
10 Cコンパイラの最適化の問題
11 Debianのopenss
l

・報告書のダウンロードは、こちら

| | コメント (0) | トラックバック (0)

2008年9月25日 (木)

CompTIA「インストラクター・トレーナー スキルコンペ 2008」開催

「CompTIA Japan ITSC 2008(CompTIA日本支局 インストラクター・トレーナー スキルコンペ 2008)」が開催されてます。

講師(インストラクター・トレーナー)としてのスキルを試してみたい方、自信のある方もない方も参加されてはいかがでしょうか。

●参加概要
対象者:高等教育機関及び社会人対象の教育・トレーニングを担当するインストラクター、トレーナー
講習内容:技術教育、ヒューマンスキル教育、マネジメント教育
評価対象:講習内容ではなく、講習スキル(講習の進め方、受講者とのやり取りなど)のみが評価対象
参加方法:講習を収録したビデオもしくはDVDと提出ドキュメントフォームを郵送
※詳細については下記「参加要項」をご確認ください。

各種書類については、こちらからダウンロードしていただけます。
※「提出ドキュメントフォーム」:ビデオ/DVDと共に提出が必要です。
※「コンピテンス評価ガイド」:評価の基準となる項目が明記されています。
参加費用:無料 (ビデオもしくはDVDの郵送料は自己負担)
提出期間:2008年9月16日(火)~12月26日(金)
郵送先:CompTIA日本支局 CompTIA Japan ITSC 2008事務局宛
選考:CompTIA CTT+ VBT採点委員による採点と選考
発表:「CompTIA人材育成サミット2009」(2009年1月予定)
CompTIA日本支局Webサイト
表彰:
 Gold 1名(表彰状、盾、副賞5万円)
 Silver 2名(表彰状、盾、副賞2万円)
 Bronze 3~10名程度(表彰状)

| | コメント (0) | トラックバック (0)

2008年9月24日 (水)

「指示」は、教育ではない

また、ユーザー教育ねたです。
特に最近私が遭遇することについて、書いてみます。

ユーザー教育だけでなく、社内研修なども特に多いのが、教育が「指導」ではなく「指示」になってしまっていることがあります。
「ああ、しなさい」「こうしてください」という教育になってしまっているということです。

「指導」と「指示」は、明らかに違います。
「指示」の場合は、教育を受けている側が考えることをしなくなります。
その結果、応用がきかなくなり、状況に応じて判断することができなくなります。

それから教育している側が「指導」と思っていても、いわゆる「見下し目線」になってしまうと結果が「指示」になっているということがあります。

こうして、結果的に「期待した効果がでない」ということが多くなってしますようですね。

| | コメント (0) | トラックバック (0)

2008年9月22日 (月)

NIST SP800-83「マルウェアによるインシデントの防止と対応のためのガイド」公開

IPAセキュリティセンターのHPで、NIST SP800-83「マルウェアによるインシデントの防止と対応のためのガイド(Guide to Malware Incident Prevention and Handling)」
が、公開されました。(116ページも、ありました)

NIST SP800シリーズの翻訳版も、かなり出揃ってきましたね。
もともと、IPAセキュリティセンターのHPでリストアップされていないものを除くと、あとはNIST SP 800-37「連邦政府情報システムのセキュリティに対する承認および運用認可ガイド(Guide for the Security Certification and Accreditation of Federal Information Systems)」くらいでしょうか。まだでしょうかね、この翻訳版・・・ 

| | コメント (0) | トラックバック (0)

2008年9月20日 (土)

「セキュリティ検定」公開

日経ITproの「ITpro EXPO検定」で「セキュリティ検定」の公開が始まっています。

今年は「Webアクセスに関連した検定問題」だそうです。
(まだチャレンジしてませんので、これから見てみます)

ちなみに「セキュリティ検定」以外では、以下のような検定が公開または公開予定になってます。

■プログラミング検定
■メンタルヘルス検定
■グリーンIT検定
■モバイル検定 
■Windows管理者検定
■クラウド・コンピューティング検定
■Ruby検定 
■仮想化検定 
■ネットワーク検定
■プロジェクトマネジメント検定

| | コメント (0) | トラックバック (0)

2008年9月19日 (金)

社会保険庁、年金記録改ざん問題で

また「不正」に関わる話です。やはり、これも情報セキュリティに通じる問題だと思っています。

新聞やニュースで、約69,000件の厚生年金のデータが改ざんされている疑いがあることが報道されています。
まだ未調査のデータも多く、この約69,000件も「氷山の一角」である可能性が高いようですので、これから出てくるものもあるのでしょうけど。
ここで私が深刻だと思うのは、改ざんの主体が社会保険庁職員であり、さらに組織的関与があったと認められていることです。
つまり「特権」を持つものが、日常的に共謀していたということです。
人間もデータも信頼できないわけですから、このシステム全体が信頼できないことになります。

そうなると、改ざんされていない時点のデータに遡り、そこから記録の復元…、ということが急務になりますが、それも困難を極めているようです。
まずは、どこからが改ざんされていない時点のデータなのかがわからない、ということです。どこから改ざんが始まったのかが特定できなければ、もちろん、これは究明できません。そして、社会保険庁職員が口を閉ざし、事実が隠ぺいされている可能性が高いことです。

外添厚生労働大臣は「関わったことがわかった職員は、全員解雇する」と繰り返しており、これがこのような状況にさらに拍車をかけているようです。最優先の問題は真相の究明であり、職員の処罰ではないと思うのですが・・・(というより、真相を究明しなければ、職員の処罰も適切にも十分にもならないと思います)

| | コメント (2) | トラックバック (0)

2008年9月18日 (木)

不正はなぜ起こるのか

最近の巷を騒がせている事故米の不正流通のニュースを見ながら、「不正はなぜ起こるのか」とその防止と検出のあり方ということを考えています。

今までも、食品では産地偽造や原料の偽造、そして会計では粉飾決算、と同様の問題が起きてきました。
これらの「不正」とその防止や検出というメカニズムは、情報セキュリティにも通じるものだと思っています。(畑村先生の「失敗学」でも同じことを感じましたが)

そうしたこともあり、ニュースや新聞を熱心に注目しております。

| | コメント (0) | トラックバック (0)

2008年9月17日 (水)

悪質なFlashリダイレクタ

日経ITproの記事「悪質なFlashリダイレクタ」からです。

この記事によると、以下のような手口のようです。

悪人は,Flashアプリケーションを作り,無料Webホスティング・サービスを使って配布用Webサイトを開設し,スパム・メールでそのサイトのURLをばらまく。このURLは直接Flashアプリケーション(SWF形式のファイル)を指すことが多く,クリックしたユーザーを自動的に別の場所へ誘導する。悪人から見ると,Flashアプリケーション内のコンテンツは読むことが困難で,さらにJavaScriptと同じく難読化できる点がメリットとなる。そのため,リアルタイムに解析することが難しい。

私が読んだ印象では「悪質」というより「巧妙」という感じがしました。
JavaScriptは警戒しているけど、Flashはあまり…、という人が多いと思います。
でも、JavaScriptと同様の脅威であるということですね。

| | コメント (0) | トラックバック (0)

2008年9月16日 (火)

ふと、「バランス」について考えた

以前の記事「仕事のモチベーション」でも、「バランス」が大事と書きました。

その中の1つが「WLB(ワークライフバランス)」です。
そう言いながらも、(何事もですが)実践は難しいですね。
最近、かなり「ワーク」に偏り「バランス」が崩れていたような気がしたので、この3連休はほとんど仕事とそれに近いことはしませんでした。ということで、仕事のバッファはたまったままなのですが、精神的にも体力的にも「バランス」を取り戻したような気がします。(このようなことは「リフレッシュ」というのとは、また違うと思っています)

自分なりの感覚なので、うまく表現できませんが、全体の「バランス」を保つというのは「ワーク」「ライフ」ともに重要なことだと思っています。

ところで、「WLB(ワークライフバランス)」(一般的にはこちらの呼び方らしい)、個人的には「ライフワークバランス」と呼びたいのです。私はどうしても、「ライフ」>「ワーク」としか考えられないので…

| | コメント (0) | トラックバック (0)

2008年9月12日 (金)

IP電話への攻撃多発

日経ITproの記事「IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃」からです。

このような攻撃があることはすでに知られていましたが、いよいよ顕在化してきたということですね。
IP電話に限らず、近い将来IPベースで使用される機器(家電も含め)は、すべて攻撃の対象になりうるということです。

| | コメント (0) | トラックバック (1)

2008年9月11日 (木)

フィッシング対策ガイドライン、公開

フィッシング対策協議会のHPでフィッシング対策ガイドラインが公開されています。
ユーザーだけでなく、事業者も対象に書かれているようですね。

フィッシング対策ガイドラインの公表について

1.サービス事業者におけるフィッシング詐欺対策
・フィッシング詐欺被害を抑制するための対策
・フィッシング詐欺被害の発生を迅速に検知するための対策
・フィッシング詐欺被害が発生してしまった際の対策
2.消費者におけるフィッシング詐欺対策
・フィッシング詐欺への備え
・フィッシング詐欺に遭ってしまった時

「フィッシング対策ガイドライン」

| | コメント (2) | トラックバック (0)

2008年9月10日 (水)

ユーザーへの教育(3)

今回は、ユーザーへの注意喚起があったので、そちらから。

IPAのHP「【注意喚起】ワンクリック不正請求に関する相談急増!」からです。

ここでは「パソコン利用者にとっての対策は、まずは手口を知ることから!」とあります。
確かに「手口」を理解してもらうことは重要です。
その他には、敵の「動機」や「目的」、これも併せて理解してもらうことです。

そのうえで、「○○○をする」という次のステップが必要になる、というのが私の考えなのですが、そこまでのユーザー教育をしていない、できないということが多いようです。

「手口の理解」だけで教育が終わってしまうということは、十分な理解があっても対策が「パターンマッチング」で終わってしまうことがほとんどだからです。そうなると、応用が利きません。このような、手を変え品を変えの詐欺行為を含め、新たな脅威には効果がないことになります。

| | コメント (0) | トラックバック (0)

2008年9月 9日 (火)

ユーザーへの教育(2)

昨日の記事の続きです。

「判断や行動ができるようにする」というためには、前提条件があると考えています。
まずは、判断や行動のための基準や尺度が必要ということになります。

それから、情報セキュリティのために必要な判断や行動はすべての人が同じとは限りません。
それぞれの人の役割や責任、権限によって異なるはずです。まずはこれらが明確にされ、認知されていること、これが重要です。
そのうえで教育をされているか否か、それによっての効果は全く違います。

| | コメント (0) | トラックバック (0)

2008年9月 8日 (月)

ユーザーへの教育(1)

この頃、ユーザーへのセキュリティ教育について聞かれたり、話したりする機会が多くなっています。
皆さん、いろいろ苦労されているようですね。
先週も、ユーザー教育系の記事が多かったので、せっかくですから何回かにわけて私なりに意見など書いてみます。

そこで、話すことで最も多いのが「判断や行動ができるように、という配慮をする」ということです。
(ユーザーへの教育に限ったことではありませんが)単なる知識のインプットになってしまっている場合が多いということです。
実際に、よく「覚えておいてください」とか「知っておいてください」という話し方がされています。
この場合、本当に「覚えておけばよい」、「知っておけばよい」という意味で話させていることも、そうでないことも両方あるようですが、単なる知識のインプットで、そのあとの内容がないと結果的には同じことになってしまいます。

「知識のインプットだけで、何かできるようになる」という人間はそう多くありませんし、教える側はそれに期待したり、そうなるものだと誤解してはいけません。
それから「覚えておけばよい」、「知っておけばよい」というような知識があるとしたら、それは役に立つ知識ではないということです。

| | コメント (0) | トラックバック (0)

2008年9月 5日 (金)

「心当たりのないメール」と言われても…

日経ITproの記事「ワンクリック詐欺の相談が「1カ月で545件」に、「過去最多」を更新中」からです。

「振り込め詐欺」もですが、「ワンクリック詐欺」も減少するどころか、増加しているということです。

今月のIPAのサイトでも、引き続き以下のような呼びかけがされています。

「心当たりのないメールは、興味本位で開かずにすぐ捨てよう!」
― 迷惑メールから始まる様々な被害が増えています ―

こういう呼びかけを見るたび、思うことは「心当たりのないメール」と言われて、見ているほうは理解できてるの?ということです。それに、実際にメールを開いた人の多くはこのような呼びかけを知っていたか、またはリスクがあることも知っていたということもデータとしてあったりします。

それから、IPAのサイトでは以下のような「迷惑メールの見分け方」も公開されています。

●迷惑メールの見分け方
 迷惑メールなど、注意が必要なメールはその性質などにより概ね4つの種類に分類されます。以下に4種類それぞれの主な特徴を挙げます。このような特徴を持つメールを見つけたら、本文を開いて見ることをせず、すぐに削除してください。

(a) 無差別広告などのメール
 ・同じところから繰り返し送られてくるメール

(b) 差出人はいろいろ変わっているが本文が同じ内容のメール
 ・差出人は異なっているが、同じ件名で本文が同じ内容のメール
 ・差出人も件名も異なるが本文が同じ内容のメール

(c) 差出人が見知らぬ人で、内容にも覚えがないメール
 ・自分のアドレスを登録した覚えのないところから来る広告などのメール
 ・懸賞に当選したなどの件名で届くメール

(d) 差出人は知り合いであるが、件名が妙なものや普段と何か違うと感じられるメール
 ・普段日本語でしかやりとりをしていない人から届いた本文が外国語のメール
 ・普段添付ファイルを送ってこない人から届いた添付ファイルありのメール

内容にケチをつけるわけではありませんが、呼びかけ(啓蒙、注意喚起)の仕方もそろそろ工夫が必要な気がします。

このブログの最近の記事「セキュリティ教育、ユーザーを脅かすだけでは逆効果」を読んでいただければ、その理由もお分かりいただけると思います。

| | コメント (0) | トラックバック (0)

2008年9月 4日 (木)

仕事のモチベーション

去る8/29(金)に開催された「CompTIA Breakaway」のパネルディスカッションで、私はパネラーとして登壇いたしました。
パネルディスカッションのお題は「仕事におけるモチベーションの維持 3つのキーワード」でした。

そこで、私が挙げたものとその理由は、以下の通りです。

●Active(能動的、積極的)
与えられるものを待つのではなく、自ら目標を設定し、高いモチベーションやマインドを持って、行動していくべき。また、業務やコミュニティなどにも積極的に参加していくべき。これらの要素とモチベーションは、表裏一体のものであると思う。

●Balance(バランス、最適化)
WLB(ワークライフバランス)、理論と実践のバランス、など。これらのバランスをとりながら、自分のスタイルや環境に合った、最適のスキル・キャリアプランにすること。スキル・キャリアプランも、業務や生活の中にあり、知識やスキルも理論として持っているだけでなく、実践で使えることに意義がある。そうしたバランスの中でモチベーションが形成され、維持される。

●Challenge(挑戦)
いくら、手段や機会が与えられても、それを生かし「目標」を持って、スキルやキャリアを積み上げていこうという「Challenge(挑戦)」の姿勢がなければ、モチベーションの維持もできないし、成果にも結びつかない。チャンスもやってこない。(悪い意味で)守りに入っては、何も生まれてこない。(維持≠保身)

3つのキーワードをABCできれいにまとめてみました。

時々「ちょくちょく、パネルディスカッションに出てますけど、どんなこと話してるんですか」と聞かれます。
ということで、今回は「たまには…」ということで書いてみました。

パネルディスカッションでは、このあといろいろと討論したわけですが、それはここでは書きません。
ご来場された方のみのお楽しみ、ということで。(「えっ、忘れただけじゃないの?」というツッコミが聞こえてきそうですが・・・)

| | コメント (0) | トラックバック (0)

2008年9月 3日 (水)

ICT人材不足の要因

@ITの記事「IT人材不足の要因は「産業構造」「育成環境」「育成機会」」からです。

これは、去る8/29の「CompTIA Breakaway Japan2008」での総務省・平林氏の基調講演からですね。
(「CompTIA Breakaway Japan2008」では、私もパネルディスカッションで登壇しましたが)

さて、この記事によると「ICT人材の現状は「50万人ほど不足している。特に、高度ICT人材の不足数は約35万人」だという。高度ICT人材は技術系(プロジェクトマネージャ、上級システム設計・開発など)とマネジメント系(CIO、CTO、システム企画など)に分かれるとし、特にマネジメント系の不足が著しい」とのこと。

そして、その人材不足の要因は「産業構造」「育成環境」「育成機会」であり、具体的には以下の通りとのことです。

■産業構造 
●ICT企業
・国内企業からのオーダーメイド型の受託開発中心
・人月単価主義
・分化・分業が不十分
・多重下請け構造
・オフショア化の進展

●ICT利用企業など
・新たな付加価値を創造するようなICT利活用が不十分
・人材の質的な不足による、ICT投資の高コスト化

■人材の活躍の場(人材育成環境)
●ICT企業
・長時間労働の慢性化などにより、人材育成のための時間確保が不十分
・OJT、OFF-JT機会の減少
・能力に応じた適正な処遇が不十分
・キャリアパスが不明確

●ICT利用企業など
・マネジメント層のICT部門、ICT人材への理解・評価が不十分
・ICT部門の子会社化などにより、企業内人材の不足および質の維持が困難

■人材の育成の場(人材育成機会)
●中等教育まで
・ICTの社会的意義・魅力・ICTリテラシーの習得が不十分
・ソフトスキル(コミュニケーション能力など)の不足

●高等教育機関
・産業界側のニーズとのミスマッチ(実務上必要なICTに関する基礎知識・スキルなどの習得が不十分)
・研究重視の風潮
・産業界出身の人材受け入れ体制が不十分

●研修事業者
・地方・中小事業者における講師の不足

つまり、ここでの結論としては、主にインフラと機会の問題、ということですね。
おおよそ、その通りと思います。

人材不足というと(ここでもそうですが)、まずは「量」、次に「質」の問題だとされているんですが、それ以外に「ミスマッチ」という問題もあるはずなのです。
それから「産業構造」というよりは「社会構造」の問題ではないか、と思っていますけど…
また、本来は「ICT人材」という切り口ではなく「社会に必要な人材のうち、ICTに関連する人材」という切り口であるべき、とも思っています。

| | コメント (0) | トラックバック (0)

2008年9月 2日 (火)

セキュリティ教育、ユーザーを脅かすだけでは逆効果

日経ITproの記事「セキュリティ教育、オオカミ少年になってませんか? 「ユーザーを脅かすだけでは逆効果」と米の専門家が警告」からです。

つまり、「情報セキュリティ対策をしないと、こんな影響や被害が…」という教育はもちろん効果があるが、それを続けると「オオカミ少年(嘘をつく子ども)の寓話(ぐうわ)と同じように、ユーザーは信用しなくなって、耳を貸さなくなる」というものです。
さらに「回避策や緩和策を示さずに、危険性だけを強調すると、ユーザーはどうしたらよいのか分からなくなる。その結果、ユーザーは話を聞かなくなるか、自分には関係のない話だと思い込もうとする」ということです。

そうならないためには、以下の2つが重要だとされています。

事実のみ話すこと、ユーザーから求められたら、話が本当であることを実証できるようにしておくこと。
脅威を回避あるいは軽減(緩和)する方法を分かりやすく説明すること。

うん、同感ですね…
私も「「脅迫」と「べからず」の教育はほとんど効果がない」といろんなところで言っています。

| | コメント (0) | トラックバック (0)

2008年9月 1日 (月)

「明日解雇されるなら、機密情報を持ち出す」

日経ITproの記事「大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」」からです。

この記事によると「回答者の88%は「明日解雇されるとしたら,会社の機密情報を持ち出す」という衝撃の事実が判明した」とのこと。そして、持ち出すであろうとされた機密情報は「最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなど」だそうです。

この記事から「何が価値の高い情報なのか」がわかります。それから、それを特権である管理者が知っているということも。
そして、「持ち出そう」と思ってしまうということは、抑止機能が働いていない、ということでもあります。
「抑止」というと、すぐに教育だ、罰則だということになりますが、それだけでは実効性がほとんどないということです。
それ以前に、適切なアクセスコントロール、そのモニタリングと監査(つまり適切かつ十分な「検出」)が必要です。
結局、「持ち出そう」という動機、「持ち出せる」という手段と機会、これらを排除できなければ、「抑止」などできんということです。

| | コメント (2) | トラックバック (0)

« 2008年8月 | トップページ | 2008年10月 »