« 2008年11月 | トップページ | 2009年1月 »

2008年12月の記事

2008年12月30日 (火)

情報セキュリティ人財アーキテクチャー

JASA広報誌「Security Eye」Vol.12にて、「情報セキュリティ人財アーキテクチャーと情報セキュリティ監査人のスキル」というタイトルで記事を書きました。

「情報セキュリティ人財アーキテクチャー」は、情報セキュリティ人材育成の新たな枠組みとして発表したものです。
(詳しくは、記事をご覧ください)

去る12/18のNSF2008での講演でも、このようなことを話しました。
その際の資料は近日公開予定で、コメント募集をする予定です。

今後、様々な活動や試みをしていく予定ですので、ご意見やアイディアなどありましたら、ぜひお寄せください。

なお、今年は今回が最後の記事となります。来年は、1月5日くらいから更新を再開します。(「情報セキュリティ人財アーキテクチャー」に関わる内容も来年にこの続きとして書く予定です)

皆様、今年もお世話になりました。来年もよろしくお願いいたします!

| | コメント (0) | トラックバック (0)

2008年12月29日 (月)

「2008セキュリティ十大ニュース」発表

NRA(特定非営利活動法人ネットワークリスクマネジメント協会)のHPで「2008セキュリティ十大ニュース」が発表されていました。

===■2008セキュリティ十大ニュース■===

【第1位】11月4日  裏ビジネス化するサイバー攻撃~カネ目当ての犯罪が激増~
【第2位】6月11日  青少年ネット規制法が成立~割れ窓理論という規制強化のネット社会へ~
【第3位】11月13日 問われる認証制度の在り方~繰り返される「お客様情報流出に関するお詫び」~
【第4位】8月5日  日本でGoogleストリートビュー開始~新サービスがもたらす波紋の行方~
【第5位】8月    偽セキュリティソフトの氾濫~狙いはソフト売り上げにあらず~
【第6位】8月21日  総務省 地方公共団体ICT部門のBCPガイドライン公表~今にも必要な「その時」のための備え~
【第7位】10月20日 悪用される有名企業のWebサイト~崩れる信頼、歯止めはないのか~
【第8位】12月15日 情報漏えい いまだ尽きず~リスクにあったセキュリティ対策の必要性~
【第9位】12月1日  改正・迷惑メール対策法が施行~抑止力はどこまで高まったのか、対策の実効性に期待~
【第10位】3月12日  SQLインジェクション猛攻~絶えない悪と絶え間ない対策のせめぎ合い~

個人的は、第1位、第5位、第7位、第8位、第10位あたりに興味がありますね・・・

| | コメント (2) | トラックバック (0)

2008年12月28日 (日)

マルウェアサイト誕生は4.5秒に1件

ITmediaの記事「Webの脅威が明確に:マルウェアサイト誕生は4.5秒に1件、Sophosが年間リポート」からです。

この記事によると、

 Sophos社の解析センターが検知した新規のマルウェア感染サイトは1日当たり約2万サイトで、4.5秒に1サイトのペースで増加していることが分かった。2007年は平均で14秒に1サイトだった。

 感染サイトの大半は、SQLインジェクション攻撃などによって不正な改ざんを受けた正規サイトで、アクセス数の多い著名なサイトや大手企業サイト、ニュースサイトなどが標的になっていた。また、マルウェアに感染しているとユーザーを脅して個人情報の搾取や金銭を脅し取る偽ウイルス対策ソフトウェアによる感染被害も拡大した。同社の観測では、1日当たり5種類登場し、多い日には20種類以上も登場した。

ということです。

特に「SQLインジェクション攻撃などによって不正な改ざんを受けた正規サイト」が増えています。
ますます「信頼できない正規サイト」が増えているということになります。

| | コメント (0) | トラックバック (0)

2008年12月27日 (土)

【速報版】2008年上半期 情報セキュリティインシデントに関する調査報告書(Ver. 1.0)、公開

「【速報版】2008年上半期 情報セキュリティインシデントに関する調査報告書(Ver. 1.0)」が、JNSAのHPで公開されています。

この報告書は「新聞やインターネットニュースなどで報道された個人情報漏えいインシデント(以下、インシデントとする)の情報を集計し、分析」したものです。今までも多くの記事やサイトで引用されていますので、ご存知の方も多いでしょう。

さて、この速報版は、2007年度版とは大きく構成が変わっているようです。
(特に、誤操作18.2%→34.4%)
原因は、ほとんどヒューマンエラー(誤操作、紛失、管理や設定のミス)ということですね。

インシデントの多くは、意図的なものではなく誤謬(エラーや障害)です。
こうしたものへの防止、検出、対応が、情報セキュリティ対策としては重要ということです。

報告書

| | コメント (2) | トラックバック (0)

2008年12月26日 (金)

仕事納めが話し納め

(来週も出勤という方もいらっしゃると思いますが)私は本日が仕事納めです。
そして、同時に今年の話し納めになります。
つまり、仕事納めの日まで、講習なのです。(講師の鑑かな?)

ちなみに内容は「物理セキュリティ」です。
年末にピッタリのネタですね。

ちなみに、ブログの書き納めは、来週の予定です。

| | コメント (0) | トラックバック (0)

2008年12月25日 (木)

私の今年のキーワード(情報セキュリティ編)

やはり「限界」でしょうか。
今年は、この言葉を良く使いました。
システムやメカニズムなどの「機能的限界」、人間の「能力的限界」。

来年はこの「限界」を理解したうえで、どう情報セキュリティを考えていくのか、そのような新たな概念やアプローチを講習などで伝えていけるようにしたいと思っています。
それがなかなか難しいんですが・・・

| | コメント (0) | トラックバック (0)

2008年12月24日 (水)

このところ、攻撃増加中・・・

日経ITproの記事「悪質業者の「ネット遮断」で減った迷惑メールが増加、遮断前の8割に」「SQLインジェクション攻撃急増,「1日当たりに従来の1カ月分の攻撃を観測」」からです。

SPAM、SQLインジェクション攻撃が、この12月増加しているようです。
SPAMのほうは、ISP業者によって遮断されたボットネットを構築し直し送信を再開したようです。
SQLインジェクション攻撃のほうは、詳しい原因は今のところ不明。

「年末年始における注意喚起」なども既に出ていますが、このような呼びかけとは別に注意が必要でしょう。

| | コメント (0) | トラックバック (0)

2008年12月22日 (月)

CompTIA Network+改訂

CompTIA Network+の改訂が発表されています。(こちら
日本語試験の配信は、来年夏くらいの予定のようです。

CompTIA Security+の改訂版の日本語試験の配信も、来年早々に予定されています
(参照・このブログの過去記事「CompTIA Security+改訂」

CompTIAの試験は、日本のネットワークやセキュリティの試験の内容とちょっと違っています。
具体的なツールやコマンド、メカニズムなどについても出題されます。
個人的には、このような出題内容が実業務に合っているし、役立つと考えています。

CompTIA Network+ (2009 年版)認定資格試験出題範囲
<出題範囲と比率>
第1章 ネットワーク技術 20%
第2章 ネットワークメディアとトポロジー 20%
第3章 ネットワークデバイス 17%
第4章 ネットワーク管理 20%
第5章 ネットワークツール 12%
第6章 ネットワークセキュリティ 11%

<参考URL>
CompTIA Security+改訂について

CompTIA Security+ (2008 年版)認定資格試験出題範囲

| | コメント (0) | トラックバック (0)

2008年12月19日 (金)

「応用知識」と「詳細知識」は違う

「知識」と言っても、もちろん種別があります。
まずは「基礎知識」がありますが、そのあとの知識の分類とその意味するところでは、人によって解釈が違うのだな、と、最近改めて思い知らされております。

よく私が使う用語は「応用知識」です。これは、構造化・体系化された知識を指します。
ですが、人によっては、この「応用知識」は、より詳細な知識を指しているようです。(どうりで話がかみ合わないはず・・・)
用語の解釈はさておき、「知識」は最終的には「実践知識」(実業務で使うための知識)にならなければならないはず。
そうなると、「(その前の段階で)構造化・体系化された知識は、必ずいるはず」と、私は考えています。
詳細な知識があっても、構造化・体系化されていなければ、いきなり「実践知識」とはなりえないはずですので。

| | コメント (0) | トラックバック (0)

2008年12月18日 (木)

キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」

日経ITproの記事「キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」--CSI 2008にて」からです。

先日の記事「さて、来年はどうなることやら」の続きということになりそうですね。

特に今回は「Man-in-the-Middle(中間者)攻撃」に注目したいと思います。
(「Webセキュリティ」「クラウド」は、先日と重複していますので)

この記事によると「Man-in-the-Middle(中間者)攻撃は進化しており,手口が一段と攻撃目標に合わせてカスタマイズされ,攻撃の矛先はWebブラウザにシフトしている」とのことです。

今後のWebやPCの利用環境の変化(ユビキタス、クラウド・・・)を考えると「Man-in-the-Middle(中間者)攻撃」は大きな脅威であることは間違いないでしょうね。 (「Meet-in-the-Middle攻撃」と呼ばれる中間者攻撃も含めて)

| | コメント (0) | トラックバック (0)

2008年12月17日 (水)

マルウェア検出手法、刷新へ

COMPUTERWORLDの記事「セキュリティ・ベンダー各社、来年は「マルウェア検出手法の刷新を図る」」からです。

マルウェアの急増に対して、シグネチャ・ベースの検出技術(定義ファイルによるパターン・マッチング)はもう限界、ということで、ベンダー各社が手法の刷新を図っていくということです。

この記事によると、(このまま、シグネチャ・ベースの検出技術を中心としていくと)「2015年には、マルウェアの増殖に追いつくためだけでも、1時間ごとに2万5,000件以上の新たなシグネチャが必要になる」とのこと。
今後は「ビヘイビア検出、ヒューリスティクス、評判分析、さらにはホワイト・リスト/ブラック・リストといった技術とのハイブリッド化が進む見込み」ということで、シグネチャ・ベースの検出技術よりもこれらの技術のウエイトが上がっていくようです。

多様化する攻撃に対抗するには、防御する側も多様化していかなければならない、ということですね・・・

| | コメント (0) | トラックバック (0)

2008年12月16日 (火)

最後の「情報セキュリティアドミニトレータ」

昨日、合格者が発表されましたね。

「平成20年度 秋期 合格者受験番号一覧」

来年からは新試験になり、「情報セキュリティアドミニトレータ」はなくなってしまいます。
およそ半年で、過去のもの扱いされてしまうことになりそうです。

何度かこのブログにも書きましたが、「何か他に方法はなかったのかな」「また、制度が変更されるのでは」ということをどうしても考えてしまいます。

| | コメント (0) | トラックバック (0)

2008年12月15日 (月)

さて、来年はどうなることやら・・・

まだ来年の話は早いかもしれませんが、今後の情報セキュリティ動向を予想する上で重要な記事が2つほど・・・

●ITmediaの記事「犯罪者にも魅力的:2009年は「クラウド攻撃元年」に?」

クラウドサービスやWebアプリケーションを悪用した攻撃の発生、ブログやSNSの悪用増加などを見込んでいるようです。

●日経ITproの記事「2008年のウイルスは150万種類、たった1年で過去21年分の2倍」

2008年中に検出したウイルス(悪質なプログラム)はおよそ150万種類で、1987年から2007年までに検出した総数75万種類の2倍に該当するということです。そして、今後もこの傾向は続くと予想されています。

ということで、来年もがんばんなきゃ。

| | コメント (2) | トラックバック (0)

2008年12月14日 (日)

CISA、922名受験

昨日(12/13)のCISA試験は、日本では史上最大922名が受験したそうです。
ちなみに6月の試験の倍以上だそうです。

現在のCISAのホルダー数が、約1900名なのですが、今回の試験で新たに400名ほど(最近の合格率が定かではないので、適当ですが)のホルダーが誕生し、来年初めには約2300名ほどになるのではないでしょうか。

CISAもかなり認知度は上がりましたが、それも業界内というところまでです。
今後は、さらに広い範囲(一般の方々)まで、認知度が拡大して欲しいと思います。
そうして、情報セキュリティの専門家や監査人の価値や地位も向上していって欲しいと思っています。

| | コメント (0) | トラックバック (0)

2008年12月12日 (金)

「第2次情報セキュリティ基本計画」(案)公開

内閣官房情報セキュリティセンター(NISC)のHPで公開されています。

テーマは「IT時代の力強い「個」と「社会」の確立に向けて」になってますね。
パブコメ募集(期限:平成21年(2009年)1月13日(火)18:00)もされています。

「第2次情報セキュリティ基本計画」(案)に関する意見の募集について~内閣官房情報セキュリティセンター(NISC)

「第2次情報セキュリティ基本計画」(案)

(参考)「第2次情報セキュリティ基本計画」の下での政策推進及び「第2次情報セキュリティ基本計画(案)」について 
 

ちなみに、「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)と、「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)の公開とパブコメ募集(期限も同じ)も同時に行われています。

<参考URL>
(報道発表)第19 回情報セキュリティ政策会議の開催について-「第2次情報セキュリティ基本計画」パブリックコメント案の決定等- ~内閣官房情報セキュリティセンター(NISC)

| | コメント (3) | トラックバック (1)

2008年12月11日 (木)

「経営リスクと情報セキュリティ~CSIRT:緊急対応体制が必要な理由~」

JPCERT/CCのHPで「経営リスクと情報セキュリティ~CSIRT:緊急対応体制が必要な理由~」が公開されました。

これは、「CSIRTマテリアル」「構想フェーズ」にあたるものですね。

これで既に公開済みだった「構築フェーズ」 「運用フェーズ」と併せ、全フェーズのマテリアルが出そろったということになりますね。

一度、通しで読んでみるとしますか…

| | コメント (0) | トラックバック (0)

2008年12月10日 (水)

「ウイルスの感染経路、過半数はWeb経由」

ITmediaの記事「ウイルスの感染経路、過半数はWeb経由」からです。

この記事によると、

 ワールドワイドでは、悪質なWebサイトへのアクセスや、迷惑メール中のリンクのクリックによる「インターネットからのダウンロード(Downloaded from the Internet)」が最多で、全体の53%。既に感染しているウイルスが、別のウイルスを生成(あるいはダウンロード)するケースが2番目で43%だった。

 そのほか、メール経由での感染は12%、USBメモリーなどの外部記憶メディア経由が10%など。なお、複数の感染方法(感染経路)を備えるウイルスが多数存在するため、数字の合計は100%以上になっている。

 同社は、地域別の集計データも公表。例えばアジア・オーストラリア地域では、「他のウイルスによる生成(Dropped by other malware)」が最も多く43.33%(図2)。次いで、「インターネットからのダウンロード」が41.67%。USBメモリーなどを経由した感染は15%で、ワールドワイドよりも高い割合を示した。

だそうです。

インターネットからのダウンロード(Downloaded from the Internet)、他のウイルスによる生成(Dropped by other malware)が圧倒的に多いということですね。ますます進んだ「脅威の見えない化」を裏付けるようなデータとなっている気がします。

| | コメント (0) | トラックバック (0)

2008年12月 9日 (火)

「社内プロフェッショナル」って・・・

なんだか揚げ足を取っているようで、取り上げるのに気が引けていたのですが、やはり気になるので・・・

「社内プロフェッショナル」って何なんでしょう?
「プロフェッショナル」とは、広い範囲でその高度な専門性が認められた人物を指すのではないでしょうか。
よって、その評価や認定は第三者によって客観的・相対的に行われるべきもののはずです。
それを「社内」で行って「プロフェッショナル」と宣言して良いものなのでしょうか。
いくら、そこでの基準が客観的・相対的なものであっても、第三者への信頼性は付与できないですよね・・・

<参考URL>
【入札公告】「社内プロフェッショナル認定の手引き」の改訂に関する調査事業

| | コメント (0) | トラックバック (0)

2008年12月 8日 (月)

「情報セキュリティ総合的普及啓発シンポジウム」

今年度のメインテーマは「事業継続マネジメントの新たなる出発」とのことです。

1日目のテーマ:国内外における事業継続マネジメント
2日目のテーマ:事業継続マネジメントを取り巻く動向

「情報セキュリティ総合的普及啓発シンポジウム」

開催日、時間:平成21年1月28日(水)~29日(木)

 1日目:午前10時00分~午後5時10分
 2日目:午前9時30分~午後5時20分
 (受付は30分前より開始予定です。)
会場:日経ホール
 東京都千代田区大手町1-9-5(日本経済新聞社内8F)

参加費:¥10,000-(2日間)

定員:各日500名(予定)

申込み(こちら

| | コメント (0) | トラックバック (0)

2008年12月 7日 (日)

DHCPサーバー機能を持ったマルウェアの続き

昨日のねたの続きです。
CISSP ホルダーにしてSF者であるいかちょーさんのブログに注目したい記事があります。

「本当にDHCPサーバからIPアドレスを取得しなければ、単にPCをつなぐだけならウイルスは拡散しないのか」ということ。

さぁ、みんなでよく考えよう!

よく考えなくても、答えは「No」かな・・・
いかちょーさんとネットの別のところでやりとりしたんですが、プロトコルやプログラムでできる可能性のあることを、「ありえない」なんて思い込んでいると、こういう脅威が想定できなくなるんじゃないかと思っています。

<参考記事・いかちょーさんのブログ>
「DHCP サーバから IP アドレスを取得しなければ、ウィルスは拡散しない?」

「情報処理技術者試験 平成20年度 秋期 「情報セキュリティアドミニストレータ」 午後問題 解答 発表」

| | コメント (0) | トラックバック (0)

2008年12月 6日 (土)

続・マルウェア、いろいろ

昨日の記事「マルウェア、いろいろ」のつづきです。

今度は、DHCPサーバー機能を持つウイルスだそうです。
ProxyサーバーやSMTPサーバー機能を持つものは、今まであったのですが・・・

<参考記事>
「DHCPサーバー機能を持つウイルス出現、非感染パソコンを悪質サイトに誘導」~日経ITpro

| | コメント (6) | トラックバック (2)

2008年12月 5日 (金)

マルウェア、いろいろ

McDonald'sとCoca-Colaのクリスマスキャンペーンと称し、割引クーポンや懸賞ゲームを装ってマルウェアに感染させようとするスパムメール。
Firefoxブラウザのプラグインを装ってインターネットバンキングのパスワードを盗み出す新手のトロイの木馬。
スキルのないユーザーでも、複数(約50種)の機能を備えた新種ウイルスを、短時間で作成できる
ようになっていたり・・・

手を変え品を変え、いろいろ出てきますね。
マルウェアだけではなく、ネットの「騙し」全般に言えることですけど。
「USBメモリ型ウイルス」の件も含め、まずは本質の理解ができるユーザー教育が必要ですね。

<参考記事>
「割引のはずがマルウェア感染:今度はマクドナルドの偽クーポン出現」~ITmedia

「銀行情報を盗む:Firefoxプラグインを装うマルウェア出現」~ITmedia

「「お好みの“機能”を選ぶだけ」、簡単操作のウイルス作成ツール出現」~日経ITpro

| | コメント (0) | トラックバック (0)

2008年12月 4日 (木)

悪いのは「行為」

昨日の記事(「USBメモリ型ウイルス」と呼ばないで欲しい・・・」)の反響が結構大きかったので、補足を含めて続きで私の考えを書いてみます。

とにかく「技術」や「道具」は意思を持ちませんし、使用をするのは「人間」です。そこに、一般に不適切とされる意思(悪意)、使用(不正使用・誤使用)などの「行為」があった場合に影響が起こるということですよね。ということで「善・悪」は、あくまで(「人間」でもなく)「行為」のはずです。

「技術」や「道具」を「悪者」扱いすることは、この部分への対応が及ばないことが多くなります。対応できたとしても「技術」や「道具」、つまり「手段」への対応ができるに過ぎません。「動機」や「機会」を排除できません。ここが規制できない限りは、(特に、悪意の場合は)同じ目的で「技術」や「道具」という「手段」を変更されるだけのことです。

この「USBメモリ型ウイルス」という表現には「わかりやすく伝えよう」、という意図があろうこともわかりますが、その結果として、事実や本質が伝わらないのでは、意味がないどころか逆効果です。(詐欺的な行為のほとんどは、そうしたユーザー側の不十分な知識や思い込みをついてきているわけですし)
悪いのはあくまで「行為」であり、そこを「コントロール」するしかないと考えています。

| | コメント (0) | トラックバック (0)

2008年12月 3日 (水)

「USBメモリ型ウイルス」と呼ばないで欲しい・・・

IPAセキュリティセンターのHP「コンピュータウイルス・不正アクセスの届出状況[11月分]について」から。

ここでの「今月の呼びかけ」「外部記憶メディアのセキュリティ対策を再確認しよう!― USB メモリ、便利のウラに落とし穴 ―」なのですが、そこで「USB メモリ型ウイルス」という表現を使っています。

メディアの記事でも同様に「USB メモリ型ウイルス」または「USBメモリウイルス」という名称で呼ばれております。
こういう呼び方は適切ではないので、ぜひ変えていただきたいと、以前から思っておりました。

何が悪用され、どういうことが起こるのか、その事実や本質というものがわからない、または誤解されるからです。
実際は自動実行機能(Autorun)が悪用されるわけですが、それがわからないのです。
これでは「USB メモリ」が原因であり、「悪者」に見えることでしょう。

「悪者」といえば、USBメモリは情報漏えいの元凶のように言われることも多く、それもその事実や本質というものがわからない、または誤解されることの典型例のように思います。

だいたい「技術」や「道具」を「悪者」扱いするのが、根本的な誤りなのです。
そうして、合理的・実効的な対策ができなくなっていくのです。

<参考記事>
「USBメモリウイルスが猛威、感染ペースが爆発的な勢いに~ITmedia

「自動実行機能を悪用したマルウエアが急増」~日経ITpro

| | コメント (2) | トラックバック (0)

2008年12月 2日 (火)

ボットネットの“アップグレード”が完了

ITproの記事「ネットの犯罪組織が活動再開、フィッシング詐欺が再び増加」からです。

この記事によると、

 RSAセキュリティの観測によれば、月間のフィッシング攻撃数は、2008年4月にここ最近のピークとなる1万5002件に達したものの、その後減少。2008年8月には、過去1年間で最低となる7099件まで減った。

 この原因として同社では、通常はフィッシング攻撃の過半数を仕掛けているRock Phishが、インフラ整備のために手を緩めているためだと推測した。

 Rock Phishは“正体不明”のオンライン犯罪組織。RSAセキュリティの観測によれば、Rock Phishはいくつかのボットネットをフィッシング詐欺のインフラとして利用。ボットネットに偽サイトを構築したり、ボットネットを使ってフィッシング目的の偽メール(フィッシングメール)を送信したりしている。

 だが、Rock Phishは2008年8月にインフラの整備を完了。さらに2008年9月以降は、ボットネットに加え、悪質なホスティング業者が提供するネットワークを使ってフィッシング攻撃を開始。それにより2008年9月以降は、フィッシング攻撃数が増加し、2008年8月以前の水準に“回復”しつつあるという。

とのことで、やはり推測は当たっていたようです。

<参考記事・このブログの過去記事>
「攻撃する側もメンテナンス」

| | コメント (0) | トラックバック (0)

2008年12月 1日 (月)

「SecurityDay2008」

申し込みページが、オープンしてましたね。
「SecurityDay」は、今年で2回目。すべてのセッションは、パネルディスカッションで最後に懇親会という形式です。

「Network Security Forum 2008」の前日の開催です。(開催場所も同じ)
つまり、同じ場所でセキュリティイベントが3日間連続で開催されるわけです。
(参考記事:「Network Security Forum 2008」開催

さらに、「デジタル・フォレンジック・コミュニティ2008」と重なってたりもしますが・・・

名 称:SecurityDay2008 (セキュリティ・デイ 2008)

日 時: 2008年12月16日(火曜日)
 午前9時30分開場、午前9時50分開始
会 場: ベルサール八重洲 2F (→会場アクセス)
 東京都中央区八重洲1-3-7八重洲ファースト フィナンシャルビル
 地下鉄日本橋駅 A7出口直結 JR東京駅八重洲北口徒歩3分
参加費:税込5000円(事前申し込みが必要)
定 員:120名
対 象:情報セキュリティに関わる方
主 催:
 JPCERTコーディネーションセンター (JPCERT/CC)
 日本インターネットプロバイダー協会 (JAIPA)
 日本データ通信協会 (Telecom-ISAC Japan)
 日本ネットワークセキュリティ協会 (JNSA)
 日本電子認証協議会 (JCAF)

| | コメント (0) | トラックバック (0)

« 2008年11月 | トップページ | 2009年1月 »