なぜ社員はセキュリティ・ポリシーを無視するのか

COMPUTER WORLDの記事「なぜ社員はセキュリティ・ポリシーを無視するのか」 からです。

タイトルを見た瞬間に「そりゃ、そうだろう」と中身も見ないで、なんとなく自分勝手に納得しました。

この記事では、セキュリティ・ポリシー無視の具体例として「例えばセキュリティ・ポリシーでWebメールの使用を禁止しているが、社内から米国Googleが提供する『Gmail』が使える環境だったとしよう。もし、大容量ファイルを送信しなければいけない状況が発生し、会社のメールで大容量ファイルが送信できなければ、わたしなら（禁止されていても）Gmailを使用するだろう」などという状況を挙げています。
これは「思い当たる」という人も多いと思います。

この記事でも「社員はしばしば、セキュリティ・ポリシーが生産性を低下させるものであると考えてしまう。そして、実際その通りであることも多い」「セキュリティ・ポリシーが業務の足かせになっている」というようなことが書かれていますが、それ以前に、多くの組織でセキュリティ・ポリシーが形骸になってしまっていて、それが認識されていない、または放置されているというのが、まずは根本的問題ではないかと考えています。

キーワードは「信頼」

最近の講習や講演では、「信頼」という言葉を良く使っています。
情報セキュリティ対策は「コスト」ではなく「投資」ということ（これが私の主張にもなるわけですが）を合理的に説明するには、この言葉を使うしかないと思っています。

信頼できるデータ、信頼できるシステム、そして信頼できる組織、それを実現するための投資、ということです。
（その組織自身が自らを信頼できる、ステークホルダーから信頼される、社会的に信頼される、そのための投資）
そのためには保証サービスや情報セキュリティ対策の有効性評価が必要、ということになると考えています。

こういうことを特に情報セキュリティの専門家を目指す方や経営に関わる方に伝えようと、いろいろ苦労しております。

「落ちた」理由

落ちました・・・
と言っても試験に不合格になったとか、ではなく、昨日はブログを更新しなかったということです。
（作家とか漫画家で言えば「落ちた」ということになるので）

先週から今週は公私ともいろいろありまして、その結果「落ちた」わけです。
こういう場合は、「忙しかった」というのが簡単だと思いますが、私はこの言葉を使うのが個人的に好きではないので・・・

実は2006年2月に別のところ（先代のブログ）で、こんなこと書いてました。

「忙しい」をなんとなく口癖、または万能の言い訳にしている、というのはプロフェッショナルとしては失格と思っています。

プロフェッショナルとしては、それは何かができないことに対する詭弁、負け惜しみのようなものと考えるべきです。
どう仕事（だけではないですが）に優先順位をつけるか、どのように準備・段取りを行い、自身の知識や能力を使って効率的に片付けるか・・・
（あと「時間泥棒」に付き合わない、付き合わされない、というのもありますが・・・）
タイムマネジメントは、情報セキュリティプロフェッショナルになるためにも、もっとも重要なスキルの1つであると思います。

「はい、すいません・・・」
って、自分で自分に説教されているかのようです。
（私にとっては、こういうのもブログを書いている効果の1つなんですけど・・・）

この考え方は、今でも変わっていませんね。
「忙しい」というのは、「他に優先することがあった」ということです。
「忙しい」といって言い訳したり、断るのは「他よりも優先順位が低い／低かった」ということです。
（何かほかにしているということですから、論理的にそうなります）

ということで、今回落ちた理由は「他に優先することがあった」ということです。
明日からは、またちゃんと更新する予定です。

「最後の授業」(1)

現在読んでいる本です。
といっても、すでに1回読んでいるので2回目ですが･･･

カーネギーメロン大学教授のランディ・パウシュ氏の「最後の授業」
です。

何度かに分けて、この本を読んだ感想など書いてみたいと思います。

●ランディ・パウシュ氏
カーネギーメロン大学教授（コンピュータサイエンス、ヒューマン・コンピュータ・インタラクション、デザイン）。1988～1997年はバージニア大学で教鞭をとる。教師としても研究者としても評価が高く、アドビ、グーグル、エレクトロニック・アーツ、ウォルト・ディズニー・イマジニアリングで働いた経験ももつ。ストーリーテリングやゲームを通じて初心者がプログラミングを簡単に学べる革新的な3Dグラフィクス作成環境「Alice（アリス）」の生みの親の１人。カーネギーメロン大学のドン・マリネリ教授とともにエンターテインメント・テクノロジー・センター（ETC）を設立。

この本は、最後の授業の映像を収録したDVD付きのものもあり、私はそちらを購入しました。
ちなみに最後の授業の映像は、YouTubeでも見ることができます。

実は購入したのは、今月に入ってからです。
ランディ・パウシュ氏のことも、この本のことも知っていましたが、仕事が立て込んでいたこともあり、あえて購入を見送っていました。（買ってしまうと、読みたくなるのはわかり切っていたので）

ところが、ある日旧友とランチの約束をし、待ち合わせをした書店で「少しだけ、中身をのぞいてみよう」と手に取ってしまったのです。そして、たまらずに購入してしまいました。

まずは「同じ教育をする立場」ということで興味があったのですが、この本は教育をする方々だけではなく、広くいろんな方々に読んでもらいたい本です。

とても感銘を受けました。前向きに生きることの大切さ、謙虚に生きることの偉大さ、多くの大事なことを胸に刻むことができました。

「ヘルプ」を悪用して攻撃

ITmediaの記事「「Microsoftヘルプ」を悪用する新たな手口が発覚」からです。

これは「攻撃者がMicrosoftの正規アプリ「Help and Support Center Viewer」を利用し、被害者のシステムで直ちに悪質なコードを実行させる」という手口です。
さらに具体的には「まずファイル上書きの脆弱性を突く不正なWebページを作成し、ユーザーをおびき寄せる。ユーザーがこのページを閲覧すると、Help and Support CenterのHTMLファイルが上書きされ、不正動作を実行するスクリプトコードに書き換えられてしまう。続いて攻撃側は「window.location =hcp://system/sysinfo/sysinfomain.htm」などのwindow.locationメソッドを使い、被害者のブラウザをリダイレクトさせる。「hcp://」リンクを処理するHelp and Support Center Viewerで攻撃スクリプトを処理させ、悪質コードを実行させる」ということです。

その結果、「これまでの攻撃では、悪質なファイルをユーザーにダウンロードさせても直ちに実行させるのが難しかったが、攻撃側はその問題を解消した」ということになるわけですね。

ボット専門店の価格表

TECH WORLDの記事「ボット専門店の価格表【ロシア】」からです。

この記事によると、ロシアのサイトで以下のようなボットを始めとするマルウェアの価格、様々な情報の価格のリストが出ているようです。

DDoS機能を備えたボットビルダー：250ドル
ボットビルダ：35ドル
ボット：25ドル
ダウンローダ（サイズ5KB～6KB）：10ドル
フォームグラバー：350ドル
キーロガー：20～30ドル
Downloader-BW：60ドル

WebサイトとWeb掲示板への侵入：50ドル
mail.ruおよびyandex.ruのメールボックスへ侵入（保証付き）：45ドル
トロイの木馬およびスパイウェアの大量展開：100ドル
スパムメール配信：70ドル

企業40万社ぶん：55ドル
個人180万人ぶん：100ドル
サンクトペテルブルクの企業9万社ぶん：30ドル
ウクライナ在住の個人45万人ぶん：50ドル
ロシア国内の個人600万人ぶん：150ドル
@mail.ruのメールアドレス400万件ぶん：200ドル

なるほど、サイバーな地下経済が少しわかったような気がします。

キーボード打鍵時の電磁波で情報漏えい

INTERNET Watchの記事「キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証」 からです。

この記事によると、スイスの研究者によって、「キーボードを叩く際に放射される電磁波を傍受することによって、情報が実際に漏えいすることが実験によって証明された」とのこと。

具体的には「キーを打つ際に電子部品からは微弱な電磁波が放射される。この電磁スペクトルを傍受・解析することにより、最大で20メートルの距離から、また隣室で壁によって隔てられていてもキーボードで打った文字を再現できることがわかった」らしいです。

ディスプレイからの電磁放射から情報を読み取れる、ということは以前から知られていましたが、キーボード打鍵時というのは初めてですね。

IPA「共通キャリア・スキルフレームワーク 第一版」を公開

昨日10月21日に、パブリックコメントを経て正式版として公開されました。
このフレームワークでは、IT人材の人材類型と人材像を、

　・基本戦略系人材
　　-ストラテジスト
　・ソリューション系人材
　　-システムアーキテクト
　　-プロジェクトマネージャ
　　-テクニカルスペシャリスト
　　-サービスマネージャ
　・クリエーション系人材
　　-クリエータ

に分類しています。

そして、3つのスキル標準（ITSS、ETSS、UISS）の整合性をはかり、情報処理技術者試験との対応関係を示した、ということですね。

さて、このフレームワークで、IT人材育成はどう変わるのでしょう。
※ これから考えてみますので、また後日ここでコメントすることにします。（たぶん）

・「共通キャリア・スキルフレームワーク　第一版」

GSSP認定試験、12/13に実施

SANS Japanのホームページで、GIAC Secure Software Programmer（GSSP）認定試験が、日本で12月13日(土)に実施されることが発表されていました。(このブログでも、7月で紹介しました)

(ISC)2のCSSLPと併せ、セキュア開発の教育や資格が出てきたのは、様々な意味で大きいですね。

●開催概要
GIAC Secure Software Programmer（GSSP）認定試験は、SANS Institute、US CERT/CC、米国政府機関と、米国、日本、インド、ドイツのリーディング・カンパニーの尽力によって開発されました。この試験は、急激に増加するアプリケーションの脆弱性を突いたターゲテッドアタック（標的型攻撃）に対する本質的な対抗策です。
本試験は、アプリケーションやソフトウェアを開発する組織が行うべき以下の4つの事項に対して有効に作用します。

自組織のアプリケーション開発者やプログラマーのセキュリティに関する知識の不足部分を洗い出し、組織全体としてのセキュアプログラミング開発能力のレベルを、客観的指標として把握することができる。
アプリケーション開発をアウトソースする場合において、業務委託先の開発者やプログラマーにセキュアプログラミングのスキルがあることを確認することができる。
セキュアプログラミングに関して十分な知識・スキルのある従業員を把握でき、スキルの不足する従業員のギャップを埋めるための対策を検討することができる。
アプリケーション開発プロジェクトに、セキュアプログラミングのスキルを持った適正な人材をあてることができ、開発手戻りの発生によるロスの防止やセキュリティ品質の向上が期待できる。

●GSSP Overview
アプリケーション開発者やプログラマーは、GSSP試験に合格することによって、開発途中で生じるセキュリティ上の欠陥が発見できること、およびその問題を回避・対処する知識・スキルがあることを証明することができます。 ブループリント（必要とされる知識・スキルの内容）、試験のサンプル問題等については、各言語のハンドブックをご覧ください。

・C言語

・Java/JEE

＜参考記事（このブログの過去記事）＞
・「SANS、セキュア・プログラミング試験を開始」

・「新資格「CSSLP(Certified Secure Software Lifecycle Professional）」創設」

「第4回IPA情報セキュリティ標語・ポスター」入選作品決定

IPAのHPで発表されています。

ちなみに標語の大賞は、
「相手は四角い箱じゃない。ネットの向こうの何億人」
という作品でした。

サイバーな世界は、目に見えているものだけではない、ということです。
それがわからないと、インターネットで起こること、脅威も見えない、想定できないということですね。

実はその引用として、昨日ある講習で話してきました。

セキュリティ対策ソフトウェアの大半がエクスプロイトを満足に検知できない

TECHWORLDの記事「大半のセキュリティ対策ソフトはぜい弱性を突くプログラムを検知できない」からです。

この記事によると「10数種類のインターネットセキュリティスイートを用いて、ソフトウェアの脆弱性を突く攻撃をどの程度検知できるか、既知の脆弱性に対応する作業用のエクスプロイトを300種類作成し調査した」ということです。

その結果はというと「このテストで最もよい成績を収めたのは米国Symantecの製品だったが、それでも決して優秀とは言えなかった。同社の「Internet Security Suite 2009」は、300種類のエクスプロイトのうち64種類を検知した（検知率は21.33％）」となっています。

う～ん、最高で21.33％ですか･･･
以前の記事(下記の参考記事)にも書きましたが、パターンマッチング方式は限界に近づいているのかもしれません。

＜参考記事＞
・「世の中に存在するプログラムの65％はウイルス」

WEPは、いよいよ終わったか

Gigazineの記事「一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定」からです。

「CSS2008」において、神戸大学大学院の森井教授から、WEPを瞬時にして解読する方法が発表されたようです。

今まで発表されてきた解読方法は特殊な環境が必要なものでした。しかし、今回発表された方法は、以下のような環境で実現したものであり、大きなインパクトがあります。

OS：Windows XP SP2
CPU：Athlon 64 X2 4600＋ 2.41GHz
メモリ：1GB
使用言語：C

この環境で「20MBの通信を盗聴、解読した時間はわずか10秒で、104bit WEP鍵を解読することに成功。つまり、通常のWEP無線LAN環境において、任意のIPパケットからWEP鍵を一瞬で導出できることを証明した」ということなのです･･･

さらに、PCI DSSではWEPの使用を禁止する旨の変更もありました。（下記、参考記事参照）

いよいよ、ついにWEPは終焉を迎えた気がします。

＜参考記事＞
・「CSS2008において，WEPを一瞬にして解読する方法を提案しました」～「情報の世界」ブログ：森井個人ブログ （森井昌克 神戸大学大学院教授）

・「WEPを一瞬で解読する方法．．．CSS2008で「WEPの現実的な解読法」を発表」～神戸大学 教養原論「情報の世界」講義（大学院工学研究科　森井昌克教授）

・「WEPを禁止する新基準、クレジットカード業界が作成」～ITmedia

・「WEPを1分足らずでクラック」

「ガリレオ」に学ぶセキュリティ

今日も、物理学ネタです。（ひとまず、このネタはこれで終わりになると思います）

「容疑者Ｘの献身」が公開中ですが、その予告編で主人公のガリレオこと湯川准教授曰く、「すべての現象には理由がある」と･･･
そして、「仮説は検証しなければ意味がない」とも･･･

確かにそうだよねぇ～、と納得しています。

「すべての現象には理由がある」は、「すべての事象には原因がある」などという言い方で、フォレンジック、インシデントレスポンス、監査などの業務で言ってみたいですねぇ～。
そう言ってみたものの、「さっぱり、わからない」(これも予告編でガリレオが言っている)となりそうですが･･･

ブルース･シュナイアー氏も物理学

さて、また物理学ねたです。
『暗号技術大全』、『暗号の機密とウソ』、『セキュリティはなぜやぶられたのか』
の著書で知られるブルース･シュナイアー氏は、実は物理学博士。

暗号というと、数学または情報工学というイメージが大きいでしょうし、実際に専門家のほとんどは数学博士だったりします。

物理学と情報セキュリティ、何か通じるところがあるのでしょう。それが何か、最近ひしひしと知りたいと思っています。それから専門外と思われるところから得られることも多いことも改めて思い知っている今日この頃です。

＜参考記事など＞
・「Bloggers On Blogging: ブルース・シュナイアー」（Bloggers On Blogging: Bruce Schneier の日本語訳）

・「CRYPTO-GRAM日本語版」

・『セキュリティはなぜやぶられたのか』

今度は化学だ

南部博士、小林博士、益川博士の3人がノーベル物理学賞を受賞しましたのに続き、下村博士がノーベル化学賞を受賞しましたね。

この下村博士、ご子息は「テイクダウン」（邦題：ザ・ハッカー）で有名な、かのツトム・シモムラ氏です。

分野は違えど、親子で凄いことです･･･

＜参考記事＞
「ザ・ハッカー」

このところ、何かと物理学…

7日に南部博士、小林博士、益川博士の3人がノーベル物理学賞を受賞しましたね。
研究テーマは「素粒子」。
なんとなく「難しくて、わからなさそうなテーマだなぁ～」と思ってたら、本当に難しいらしく、このテーマの3人の著書（新書）は事実上の絶版になっていたそうです。（急きょ、重版が決定したそうですが）
ITの世界だと、「素粒子」という単位ではなく、「量子」までですよね。（それでも、よくわかりませんが）

それから、4日から公開された「容疑者Ｘの献身」のガリレオこと、湯川学准教授も物理学ですね。
（映画は見ていませんが、ドラマは見てました。原作も読みました）

ということで、世の中は「このところ、何かと物理学」という感じがしています。

個人的にも、最近は物理層あたりのセキュリティが重要だと考えていたりします。
これから到来する(というより、すでに到来している)ユビキタス時代は、この層のセキュリティが必須と考えているからです。

第5回デジタル・フォレンジック・コミュニティ2008 in TOKYO

デジタル・フォレンジック・コミュニティも、今年で5回目になるんですね。
すっかり、とっくの昔に申し込みが始まってました。

（今週の越後湯沢も参加できませんが）過去1回だけ参加できましたが、今年も無理そうです。

第5回デジタル・フォレンジック・コミュニティ2008 in TOKYO

開催日：2008年12月15日(月)～16日(火)
主　 題：「グローバル化に対応したデジタル・フォレンジック」
副　 題：「ＩＴリスクに備え、信頼社会を支える技術基盤」
会　 場：「ホテル　グランドヒル市ヶ谷」（東京都新宿区市ヶ谷）
参加費：IDF会員　\10,000- ／ 一般参加　\15,000- ／ 学生（社会人を除く）　\5,000-

後援（申請中）：
警察庁／総務省／厚生労働省／経済産業省／防衛省／情報セキュリティ政策会議／(財)社会安全研究財団／(財)日本情報処理開発協会／(独)情報処理推進機構／JPCERT/CC／日本セキュリティ･マネジメント学会／警察政策学会／法とコンピュータ学会／情報ネットワーク法学会／NPO日本ネットワークセキュリティ協会／NPO日本セキュリティ監査協会／日本公認不正検査士協会(ACFE JAPAN)／情報セキュリティ大学院大学／慶應義塾大学法学研究科／中央大学研究開発機構／(株)日本政策投資銀行　

「世の中に存在するプログラムの65％はウイルス」

日経ITproの記事「世の中に存在するプログラムの65％はウイルス」からです。

これが本当だとすると、この記事の通り、定義ファイルによるパターンマッチング方式はいよいよ限界なのでしょう。

そして、（以前に、このブログでも書いた通り）
世の中のメールのほとんど(8割以上)はスパム。
世の中のブログの4割はスパム。

そうなるとメールフィルタリング、URLフィルタリングも含め、様々なパターンマッチング方式は従来の技術からの転換期を迎えているのかもしれません。

＜参考記事＞
・ブログの4割は「迷惑ブログ」

新資格「CSSLP(Certified Secure Software Lifecycle Professional）」創設

(ISC)2で「CSSLP(Certified Secure Software Lifecycle Professional）」という新しい認定資格が創設されるようですね。
試験は2009年6月開始、となってます。
CSSLPのCBKは、以下の7分野のようです。（業務経験は、SDLC分野で4年以上が必要）

ところで、日本語化については、まったく不明…

●CSSLP CBK

・Secure Software Concepts - security implications in software development
・Secure Software Requirements - capturing security requirements in the requirements gathering phase
・Secure Software Design - translating security requirements into application design elements
・Secure Software Implementation/Coding - testing for security functionality and resiliency to attack, and developing secure code and exploit mitigation
・Secure Software Testing - testing for security functionality and resiliency to attack
・Software Acceptance - security implication in the software acceptance phase
・Software Deployment, Operations, Maintenance and Disposal - security issues around steady state operations and management of software

＜参考記事＞
・CSSLP

ITセキュリティ予防接種

JPCERT/CCで「ITセキュリティ予防接種 実施協力企業の募集」をしています。

ところで「ITセキュリティ予防接種」とは･･･

　標的型攻撃を模した無害なメールと添付ファイルを複数の従業員に宛てて送信し、従業員のコンピューターセキュリティに関する意識と適切な対応方法の理解を促進させる訓練です。

ということです。

費用は無料。
非常に面白い試みですね。
何社くらい集まるでしょうか。

第2回ISLAプログラム受賞者、発表

(ISC)2のニュースリリース「第2回ISLAプログラム受賞者を発表」からです。

（ISC）2は、昨年より始まったISLA（Information Security Leadership Achievements）を通して、アジア・パシフィック地域において、高度情報セキュリティ人材育成のための継続的な取り組むに大きな役割を果たし、情報セキュリティの向上と発展に貢献したセキュリティ・リーダーを顕彰しており、第2回目となる本年の審査では、以下3つのカテゴリーから日本人5名を含む15名が選ばれました。

ということで、15名中、日本勢が5名(1/3)です。
すばらしい！おめでとうございます！
ホルダーの数では、アジア・パシフィックでは日本より多い国（韓国、香港）もあるんですけどね。
来年以降も、継続的に日本から受賞者を出していきたいです。

実は日本以外の他国では、このISLAはもっと扱いが大きいらしいのですが…（授賞式もTV局が来たり、とか）

ちなみに、私は昨年の第1回の受賞者であります。（恥ずかしながら）

＜参考記事＞
・ISLA～(ISC)2

・「(ISC)2 ISLAを受賞しました」～このブログの過去記事

こんなところにCISSPが！（2）

すごい久し振りに、このタイトルを使います。
ちなみに前回は「こんなところにCISSPが！（1）」でした。（2007年1月以来です）

ところで、今回ですが…
ここでCISSPを発見です。

●朝雲ニュース「プロ管隊員・佐藤多江子２尉世界的なセキュリティー管理者資格を取得空自から２人目「非常に心強く、誇り」と上司」

ちなみに、佐藤さんは国内1000人目のホルダーです。
いろんなところにニュースで出てますので、ご存じの方も多いはず。
（私もレビューセミナー講師だったので、実は面識があるのですが･･･）

空自にCISSPホルダーがいることは、私はホルダー仲間としても「非常に心強く、誇り」に感じます。