「セプターカウンシル(CEPTOAR-Couciel)」創設

日経ITproの記事「国家レベルで情報インフラの安全性強化目指す団体、産官で発足」からです。

この記事によると、

　政府と重要インフラ事業社各社は2009年2月26日、情報システムの障害を防ぐためにセキュリティ情報を分野横断で共有する任意団体「セプターカウンシル」を創設した。年1回の総会などで各分野ごとに蓄積した情報や対策事例を共有していくことで、サービスの停止や低下を防ぐ。日本で初めての試みであり、各分野で培ったノウハウや対策を共有する狙い。

　「セプター」とは重要インフラ10分野（情報通信、金融、航空、鉄道、電力、ガス、政府・行政、医療、水道、物流）の分野ごとに事業者が集まって情報セキュリティの情報共有や分析を行う集まりだ。事業範囲の広さを勘案して、情報通信分野は二つ、金融分野は四つのセプターに分かれており、合計で14のセプターがある。06年から2年をかけて整備が進んだ。

　今回、カウンシルは11のセプターで構成する。07年に整備された鉄道、医療、物流のセプターはオブザーバーとして参加する。

オブザーバーには経団連や日銀、監督官庁などが名を連ねており必要に応じて政府機関とも意見交換を行う。

とのこと。

整備からここまで、足掛け3年かかったということです。（計画からは、足掛け4年）
ようやく、発足したという感じですね。
今後、政府と重要インフラ事業社間での活発な情報共有がされることを期待したいともいます。

※注：セプター（CEPTOAR: Capability for Engineering of Protection, Technical Operation, Analysis and Response）

＜参考資料＞
・「セプターカウンシルの創設について」～セプターカウンシル

「NIST SP 800-84 IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド」公開

「NIST SP 800-84 IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド(Guide to Test, Training,  and Exercise Programs for IT Plans and Capabilities)」が公開されています。

この文書では、いわゆる「TT&E（Test, Training and Exercise：テスト、トレーニング、演習）」についての指針を示しています。

「できる」と「わかる」は違います。「わかる」になるためには、このように「TT&E」が必要ということです。また 、マネジメントやコントロール（対策）も準拠性だけではなく、実効性のためには「TT&E」が重要です。

さて、この文書には時間がある時に目を通したいと思います。
（でも、それはいつになるんだろう…）

「退職社員の6割が社外秘情報を持ち出し」

ITmediaの記事「退職社員の6割が社外秘情報を持ち出し」からです。

この記事によると、

　持ち出した情報は電子メールアドレス一覧、従業員情報、顧客情報など。持ち出しの形態はCDまたはDVDへのコピーが53％、USBメモリへの保存が42％、自分の個人メールアカウントへの送信が38％を占めた。情報持ち出しを認めた従業員のうち61％は、勤務先に対して良い印象を持っていなかった。

　回答者の82％は、辞めるときに勤務先から書類や電子文書を検査されることはなかったと回答。辞めた後に会社のコンピュータシステムやネットワークにアクセスしたとの回答も24％に上った。

とのこと。

「辞めるときに勤務先から書類や電子文書を検査されることはなかった」が82%、「辞めた後に会社のコンピュータシステムやネットワークにアクセスした」が24%というのが、個人的にはインパクトが大きいです。

ところで、以前の記事（下記の＜参考記事・このブログ＞をご参照ください）では、情報の持ち出しについて、私はこんなことを書いてました。

適切なアクセスコントロール、そのモニタリングと監査（つまり適切かつ十分な「検出」）が必要です。
結局、「持ち出そう」という動機、「持ち出せる」という手段と機会、これらを排除できなければ、「抑止」などできん、ということです。

うん、その通り。（自分で自分の主張に納得して、どうする！？）
やはり、アクセスコントロール、モニタリングと監査ですね。

＜参考記事・このブログ＞
「明日解雇されるなら、機密情報を持ち出す」

「THE SECURITY INSIGHT 2009」

「THE SECURITY INSIGHT 2009」のHPがオープンし、事前申し込みが開始されていますね。
かなり、（ISC）2色（CISSP色というべきか）が強いイベントです。
（もちろん、CPE対象です）

ちなみに、私も「CIO/CISOの必要性－求められるものとそのキャリアパスへの考察」というセッションで登壇いたします。

「THE SECURITY INSIGHT 2009 情報セキュリティの“実行力”を高めるために」

日時：2009年3月17日（火）9:30～19:10
会場：ベルサール神田 2階ホールAB
主催：IDGジャパン
（月刊CIO Magazine、Computerworld、TECH WORLD）
定員：300名
受講料：有料（￥5,000/税込み）
対象：企業のCxO、経営者、ネットワーク/情報システム管理者、ITプロフェッショナル（ハード/ソフトエンジニア、インテグレータ）など
共催：（ISC）2 Japan

「6つの人間の脆弱性」

今回も人間の特性、つまり「人間性」についてです。

いろいろ調べていたら、「情報セキュリティ心理学の提案」という資料が出てきました。

この中で「ソーシャル・エンジニアリング」と、そこで利用される「6つの人間の脆弱性」について述べられています。

人間の性質を利用してある行動へと誘導するといった分野については、多くの研究が行われているが、Robert. B. Cialdini はそれらを体系的にまとめた。
Cialdini はその中で承諾誘導の戦術として「返報性」、「コミットメントと一貫性」、「社会的証明」、「好意」、「権威」、「希少性」の6つをあげているが、それはまさにソーシャルエンジニアが利用する人間の性質そのものである。
この6つの要素について、Mitnick等はソーシャルエンジニアたちが利用する「6つの人間の脆弱性」と述べているが、この6つの要素について、もう少し詳しく述べる。

(A) 返報性： 親切や贈り物、招待等を受けると、それを与えてくれた人に対して将来お返しをせずにいられない気持ちになること。
(B) コミットメントと一貫性：自由意志によりとった行動がその後の行動にある拘束をもたらすことで、代表的なものに以下のような手法がある。
① ローボールテクニック：最初にある「決定」をさせるが、決定した事柄が実現不可能である事を示し、最初の決定より高度な要求を認めさせる方法。例えば、特売の商品を購入しにきた客に、購入の手続きの最中に在庫がなく当該の商品は購入できないが、色違いの少し高いものならあると言って高い商品を購入させてしまうというようなこと。
② ドア・イン・ザ・フェィス テクニック：
最初に実現不可能な要求を行い、対応できない状況の中で、それに比べて負担の軽い要求をしてそれを実現させる方法。
例えば、法外な借金の依頼を最初に行い、断られたら少額の借金を申し出てそれを承諾させるようなこと。
③ フット・イン・ザ・ドア テクニック： 最初に誰もが断らないようなごく軽い要求を行ってもらい、次のより重い要求の承諾を得る方法。例えば、最初に簡単な署名を依頼し、その後時間がかかる調査に協力してもらうといったこと。
(C) 社会的証明： 他人が何を正しいと考えているかによって、自分が正しいかどうかを判断する特性。
(D) 好意： 好意を持っている人から頼まれると、承諾してしまうというもの。パーティを開いて、商品を購入させる場合、好意を持っている隣人がホスト役として販売を行うと、そうでない場合に比べて簡単に購入してしまうといったこと。
(E) 権威： 企業・組織の上司等権威を持つものの命令に従ってしまうこと。
(F) 希少性： 文字通り、手に入りにくい物であるほど、貴重なものに思え、手に入れたくなってしまう特性。

ソーシャル・エンジニアは、このような人間の特性(「6つの人間の脆弱性」)を利用して正当なアクセス権を持つ人間を騙し、内部機密情報への正当なアクセス権などを手に入れる、ということですね。
そういえば、「欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法」に、こんなことが書いてありました。

近いうちに、もう1度読み直してみるとします。

＜参考記事・このブログ＞
・「人間の特性 8か条」

・「欺術」

「人間の特性 8か条」

2/20(金)の「重要インフラセキュリティフォーラム2009」の「ヒューマンエラーと情報セキュリティ」がテーマのパネルディスカッションで紹介されていました。

高橋秀俊 東京大学名誉教授、慶應義塾大学工学部教授の言葉だそうです。

●人間の特性 8箇条
1. 人間は気まぐれである
2. 人間はなまけものである
3. 人間は不注意である
4. 人間は根気がない
5. 人間は単調を嫌う
6. 人間はのろまである
7. 人間は論理的思考力が弱い
8. 人間は何をするかわかならい

～高橋秀俊, ヒューマン・ファクターと信頼度,コンピュータにおけるヒューマン・インターフェース

活用を考えるにしろ、保護（セキュリティ）を考えるにしろ、人間とコンピュータの特性を理解することは大事だと考えています。
その中の、文字通り「人間の特性」を理解するために、とても参考になる資料です。

＜参考URL＞
「インタフェース設計論§２ 日常物のインタフェースとユーザ中心設計」～高橋秀俊

改訂CompTIA Security+ 日本語試験、スタート

「改訂CompTIA Security+（試験番号：SY0-201）日本語試験」が2009年2月23日（月）配信スタートするようです。

以前に、このブログの記事でも書きましたが、私もこちらに関わっています。
ぜひ、ご利用ください。

そして、今年はNetwork+の改訂（こちらの記事）もありますね。

●CompTIA Security+改訂について

・CompTIA Security+改訂の背景
CompTIA認定資格は、資格ごとの出題範囲を定期的に改訂することで、試験の内容が最新技術を取り扱い、業界のニーズに満たしているように維持されています。新しいバージョンのCompTIA Security+試験は、2008年10月に配信が開始される予定です。
改訂版CompTIA Security+で出題範囲とされる分野には、現行版の試験から継続されるもの、新たに追加されるものがあり、最新のセキュリティに関連した問題や必須知識が反映されています。

・改訂試験の分野とアップデートの焦点
現行版の試験では、「アクセス制御」の分野が追加されていましたが、改訂版の試験では、新たに「アセスメントと監査」が独立した分野として追加され、リスクアセスメントや緩和の重要性について、また、このようなリスクを取り扱う際に重視すべき事柄、ツール、テクニックについて問われます。

・CompTIA Security+の特徴
CompTIA Security+は、セキュリティ概念について、「知っている」「理解している」だけではなく「How to(どのようにするべきか)」を理解することにより重点が置かれています。従って、新しい出題範囲では「適切な手順を実行する」「異なる認証モデルを展開する」といった表現が見られます。

＜参考URL＞
CompTIA Security+2008Edition出題範囲（日本語版）

ソーシャル・エンジニアリングの起源

TECHWORLDの記事「ソーシャル・エンジニアリングの起源」からです。

TECHWORLDから、またソーシャル・エンジニアリング関連の記事です。
個人的には、うれしいかぎりです。

この記事によると、古代よりソーシャル・エンジニアリングチックなことは行われていたようですね。
まずは、ギリシャ神話のプロメテウスが出てきたりしています。

というよりも、ソーシャル・エンジニアリングとは人をだますことなので、昔からあってあたりまえでしょうし、現代の人をだます行為は環境や手段が変わっているだけに過ぎないわけですから。

この記事を読んで、やはり人間の持つ「人間性」は変えようがない、ということが確認できました。

「データベースセキュリティガイドライン 第2.0版」ほか、公開

データベース・セキュリティ・コンソーシアム (DBSC)のHPで、以下の資料が公開されています。

●『データベースセキュリティガイドライン 第2.0版』（PDF版)

・「【付録１】情報資産の重み-対策レベル対応表」（PDF版)
・「【付録２】データベースセキュリティガイドライン-他フレームワーク対応表」（PDF版)

「データベース」「セキュリティ」それぞれの分野を包括した「データベースセキュリティ対策」が求められる中、日本国内において 「データベースセキュリティについての指針、考え方」をまとめたガイドラインはこれまで存在しませんでした。
本ガイドラインは、「データベースセキュリティ対策の必要性その有効性（対策、範囲、効果等）」を記したものであり、 各企業・団体の「データベースセキュリティ対策」の導入の為の参考となることを目的とするものです。

これに併せて、以下のサイトもオープンしてますね。

●データベースセキュリティ安全度セルフチェック

「データベースセキュリティガイドライン」を基に、WEB上でデータベースのセキュリティレベル（安全度）をセルフチェックします。

各企業が自身のデータベースのセキュリティ状態を客観的に把握することができ、更には弱点が見えることで適切に要件を作成できる様、簡単な設問に答えていくことで、データベースのセキュリティレベル（安全度）をセルフチェックできる仕組みを提供します。

これらは、2/17(火)に開催された「第4回データベース・セキュリティ・コンソーシアム(DBSC) セミナー」で、発表され公開されたもののようです。

私は残念ながら行けませんでしたが…（1日中、セキュリティ教育の講師業務でしたので）

CAPTCHA、もう限界か？

ITmediaの記事「CAPTCHA破り対策も効果なし、Hotmailで繰り返される攻撃」からです。

CAPTCHAとは、この記事の言葉をそのまま借りると「相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字」のこと。
スパマーなどが使うツールによるなりすましなどで、不正にアカウントを登録されたり乗っ取られたりを防ぐために導入されているものです。

しかし…

　Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応する。CAPTCHAを破ってメールアカウントを登録し、大量にスパムメールなどを送ってユーザーのマシンをマルウェアに感染させ、情報を盗み出しているという。

　CAPTCHA破りの手口も高度化している。攻撃側はマルウェアに感染させた被害者のマシンからLive Hotmailサービスにアクセスし、スパマーが運営するボットサーバと暗号を使って交信しながらCAPTCHAを破ってアカウントを登録するプロセスを繰り返しているという。

CAPTCHAという技術は、もう限界なんでしょうか・・・

＜関連記事＞
・「またも破られたマイクロソフトの画像認証、Live IDを不正取得される」～日経ITpro

・「変形文字「CAPTCHA」はもう無意味？」～このブログ

フィッシングサイトの多い国 日本は8位

nikkei BPnetの記事「フィッシングサイトの多い国 アメリカが1位、日本は8位」からです。

この調査は、米IBMの2009年2月2日のインターネットのセキュリティについての調査報告書「IBM Internet Security Systems X-Force 2008 Trend & Risk Report」（英文）によるものです。

この記事によると、

フィッシング詐欺サイトの多い国は、1位がアメリカで20.2％、2位はシンガポールで18.9％、3位は韓国で17.1％、日本は8位で、2.3％。

フィッシングメールの送信国（送信したメールサーバーの設置国）の1位はスペインで15.1％、2位はイタリアで14.0％、3位は韓国で10.8。日本は10以内には入っていない。

とのこと。

また、この記事では、以下のような仮説が立てられています。（今回の調査結果やフィッシング対策協議会への届け出結果などから）

（a）フィッシング犯は、他国の人を騙すためのフィッシングサイトを日本に設置している。
（b）日本はフィッシングサイトをチェックする対策が遅れている。あるいは、警察などの捜査が行き届いていない。

ということで、フィッシング送信者が少ないのと、フィッシングサイトの数が違うこと、つまり他国の攻撃者により、サイトが設置され利用されていることが確認できるデータだと思います。（そして、フィッシングの脅威や影響の度合いも、またこれらとは合わない）

なぜ人はソーシャル・エンジニアリングにだまされるのか(5)

今回もTECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

今回は、人に対する教育についてです。

　2007年に米国連邦捜査局（FBI）が行った「CSI/FBI Computer Crime and Security Survey」（コンピュータ犯罪とセキュリティ調査）によると、「ソーシャル・エンジニアリングに対する社員教育の効果が確認できている」と答えたのは全体の13％に過ぎなかった。この13％という数字は低いように見えるが、この調査では、ソーシャル・エンジニアリングに関する教育をまったく行っていないという回答はなかった。

　ソーシャル・エンジニアリング対策としてまず行うべきことは、セキュリティ・ポリシーを構築し、ユーザーに対する教育を強化することだ。科学的な裏付けがあれば、ソーシャル・エンジニアリング対策の説得力も増す。社員研修の資料で、ソーシャル・エンジニアリングが悪用する認知的偏向を取り上げ、それを悪用した実例をビデオなどで見せれば、より効果的になるだろう。

　人の持つ“人間性”を変えることはできない。人は、感情と理性の両面を持ち、心理的な誤りを犯しがちな生き物である。これは当然のことかもしれないが、ソーシャル・エンジニアに悪用されると危険な状況を引き起こす可能性がある。攻撃から身を守るためには、ソーシャル・エンジニアリングの手口と特性をユーザーによく理解させることが重要だ。

「ソーシャル・エンジニアリングに対する社員教育の効果」ということでは、「効果が確認できている」が13%もあるというのは驚いていますし、信用してよいかどうか難しいと思っています。まずは、何を持って「効果」としているかです。それが単に理解度であるなら、ソーシャル・エンジニアリング対策の実効性はほとんどないからです。教育は、単なる「理解」ではほとんどの場合、効果がないと考えています。実際に判断や行動ができるようになること、それが目指すべき効果であると思うからです。
そのためにも、まずは「ソーシャル・エンジニアリングの手口と特性をユーザーによく理解させる」こと。そして、どうすればよいか考えさせ、適切な判断や行動ができるようにすること、それがソーシャル・エンジニアリング対策（に限らずですが）の教育のおるべき形ということです。

しかし、その教え方が難しいのですね。現在、トライ中です。（可能なら、近いうちここでご報告します）

なぜ人はソーシャル・エンジニアリングにだまされるのか(4)

今回もTECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

　社会心理学では、自身を取り巻く環境について結論を出す際に使用する知識の枠組みのことを「スキーマ」と呼ぶ。例えば、わたしたちは子どものころ、「他人に親切にすることはよいことだ」と教えられる。今では、こうして教えられたことを基に、人へ親切を行おうとする。それがスキーマだ。
　悪名高いクラッカーであるケビン・ミトニック（Kevin Mitnick）氏によると、攻撃者たちはこの点をよく理解しており、「相手の信頼を最大限に利用しながら、疑いの余地がまったくない要求」を行うという。ソーシャル・エンジニアは、わたしたちの社会的スキーマを悪用しているのだ。

悪用される「社会的スキーマ」として、以下の3つが挙げらている。

●基本的な帰属の誤り：わたしたちは、“他者の行動には当人の内面的な特性が反映されている”と考える傾向がある。つまり、誤った第一印象を持ちやすいということだ。そこでソーシャル・エンジニアは、好感度の高い第一印象を熱心に作り上げる。そのほかの攻撃者も、何かを画策したり、相手に何かをさせようとするときには、相手に好印象を与えようとする。被害者は、相手が演技をしていることも、目的を達成するために攻撃者が状況に応じて態度を変えることにも、まったく気付かない。

●顕著性の効果：集団では、最も影響力の大きい人物、あるいは最も影響力の小さい人物に注目が集まるものである。ソーシャル・エンジニアは、周囲に溶け込む能力に長けており、自身に優位に働くように“顕著性の効果”を最大限に利用する。つまり、ビジネス・スーツを着こなして顧客を装ったり、作業服を着て作業員に成り済ましたりするのだ。竹馬に乗って曲芸師の真似をするようなことはしない。外見に限らず、ターゲットの社内で使われている専門用語を使ったり、イベントや従業員の情報に詳しくなったり、地方の方言を使ったりすることもある。
　例えば、カリフォルニア州のソーシャル・エンジニアが、ボストンにある企業Aに侵入しようとする。彼はまず、赤ん坊の生まれた社員やライバル会社に転職した元社員のことなと、その会社の従業員でなければ知り得ない情報を入手する。そして、受付でこの話題をボストンなまりで話し出し、情報機器の修理を行うために事務所に入る必要があると訴えるのだ。

●協調、従順、服従：人は自身の振る舞いを変えることで、協調・従順・服従から来る圧力に対応している。ソーシャル・エンジニアリングの多くは、このような圧力に対する被害者の対応を予測する。
　ある女性が、取引先の重役に成り済まし、若い警備員に対して入館許可証がなくても社内に入れてくれるように頼んだとしよう。警備員に何か謝礼をしたり、脅しをかけたりするかもしれない。不慣れで圧力に弱い警備員であれば、これに応じてしまうこともあるだろう。

この「社会的スキーマ」から、「信頼」という「先入観」が生み出されているわけです。そのために、騙されているということに気がつかない。
このようなことに対応できるには「懐疑心」が必要と私は考えています。しかし、「懐疑心」を常に使うわけにはいかないですし、これを持って適切に使うこと自体が難しいのです。何より、「懐疑心」を持つことは、ある意味でこの「社会的スキーマ」という枠組みに矛盾していて、人間の思考や感情としては葛藤を起こすからです。

また、次回以降にこのつづきを書きます。（あと1回、たぶん）

なぜ人はソーシャル・エンジニアリングにだまされるのか(3)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

　ソーシャル・エンジニアは、感情以外のものを悪用することもある。それは、人が情報を処理するときの心理的な傾向─つまり、経験として得られている知識である。

　経験があまり当てにならないことは認識しておくべきだが、われわれは経験がなければ何もすることはできない。経験を持たず、物事に対してその都度対応しなければならないとすれば、生きていくのは容易ではない。心理学者であるロバート・チャルディーニ（Robert Cialdini）氏は、経験の必要性を次のように述べている。
われわれは、個人、出来事、たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできない。人は、そうする時間もエネルギーも、能力もない。その代わり、ステレオタイプ─つまり常識を使い、それらを幾つかの特徴的なグループに分類し、それらの動機要因を認識して無意識のうちに反応するのである。

　ソーシャル・エンジニアは、このような「被害者の無意識の反応」を引き出し、だます。その1つが心理的な誤り「認知的偏向」であり、この記事では以下の4つの例が挙げられています。

●選択支持偏向：わたしたちは、過去に行った「選択」を覚えている。特に、ネガティブなものよりは、ポジティブな選択をよく記憶しているものだ。例えば、オンライン・ショッピングを利用する人が、口コミで特売情報を知り、商品を格安で購入できたことを覚えているとしよう。そこでソーシャル・エンジニアは、あたかも口コミ情報のようなスパム・メールを被害者に送り、不正なWebサイトに誘導してクレジット・カード番号を入力させる。

●確認偏向：人は、自分の考えに合致する証拠を集めて、都合よく解釈しようとする。例えば、A社がオフィスのプリンタの保守契約をB社と結んだとしよう。B社の作業員は、全員グレーの長袖シャツを着用し、胸に名札を付けている。時間が経つにつれ、A社の社員は、B社の制服（グレーの長袖シャツと名札）を着用している人物を、すべてB社の作業員だと思い込むようになる。するとソーシャル・エンジニアは、B社の制服を盗み出したり偽装したりしてB社の作業員に成り済ませば、身分を疑われることなくA社に侵入できるようになる。

●接触効果：人は、親近度によって物事や人物を判断する。天災や事故に関するニュースは、人の親近感につけ込むフィッシング詐欺サイトの格好の材料となる。つまり、話題の事件に関する情報が得られると称するフィッシング詐欺サイトに、疑いもせずに訪問してしまうのだ。

●アンカリング：人は、何かを決断する際に、最初に触れたものに意識が集中してしまう傾向がある。例えば、銀行のWebサイトを偽装する不正なサイトは、銀行の本物のロゴを表示してユーザーをだまそうとする。ほかの個所をよく見れば、容易に偽装サイトと判断できるにもかかわらず、最初に目に付いたロゴによってだまされてしまうユーザーが少なくない。

ここでの重要なキーワードとして、「経験」「常識」「無意識」というものが挙げられると思います。
「経験」はあてにならない（特に「年数」）ことも多い。「常識」は昔のものや特定の狭い範囲のものは、ほとんど通用しない。
これらが「思考」を停止させ、「判断」や「行動」を誤らせる。そして「たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできない。人は、そうする時間もエネルギーも、能力もない」のも事実（人間としての能力的限界）です。
しかし、われわれはソーシャル・エンジニアリングにも対抗しなければならないのです。

また、次回以降にこのつづきを書きます。（あと2回くらい、かな）

なぜ人はソーシャル・エンジニアリングにだまされるのか(2)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

　感情は、脳内の小さな部分から生まれるものではない。感情は湧き出るものである。それはむしろ、皮質の前頭葉や側頭葉などの多くの部分が、入り組んだ相互作用の結果として生まれ出てくるのである。
　感情と論理的思考を司る脳の部分が、互いに反目する場合もある。これが理性と感情を分けることが難しい理由だ。これらの部分が衝突すると、感情が論理を圧倒してしまう。

　例えば、人が恐怖に対してどのように対処するかを考えてみよう。サイエンス・ライターであるSteven Johnson（スティーブン・ジョンソン）氏は、目前に迫る危険に対する人の反応を調べ、恐怖に対する反応を「瞬間的かつ精巧な生理学的機能の複合」であると指摘している。闘争・逃走反応とよく言われるが、この反応を見れば、脳と身体が意識とは独立して機能する自律システムであることがよくわかる。

　人は、以前に闘争・逃走反応を起こした状況に再び遭遇すると、感情的反応に支配される。このような反応が何の得もないと論理的に感じていても、感情的な反応をしてしまうのだ。
　悪徳政治家やスパイ、詐欺師などは、感情──特に恐怖に訴えることで感情的反応を引き出すことが有効な手段であることを知っている。ソーシャル・エンジニアも同様だ。

（中略）

　多くのソーシャル・エンジニアは、人の恐怖、好奇心、欲そして同情心につけ込む。これらは普遍的な感情であり、だれもが恐怖を抱いたり、興味を持ったり、貪欲になったり、同情的になったりするためである。

　もちろん、恐怖と好奇心が役に立つことも少なくない。燃えさかる家から逃げるのは当然のことであるし、好奇心は自分に目標を課したり、新しいことを学ぶのに役立つ。しかし、その反面、恐怖心や好奇心に駆られて危険な行動に出たり、好ましくない結果を引き起こしたりする。

（どこかの論理的思考の本のオビにも書いてあったような気がするが）論理的思考の最大の阻害要因は「感情」と「先入観（思い込み）」だとされています。これは私も同感しています。これらにより論理的思考（理性）が圧倒され、本来できるべき判断や取るべき行動もできなくなってしまう、ということですね。

そして、これらを巧みに操り、自分の意図するように相手の行動を誘導するのが、ソーシャル・エンジニアリングです。この記事にあるように「恐怖と好奇心が役に立つことも少なくない」わけで、これは人間が日常生活をする上で、重要な能力でもあるわけです。しかし、これ（感情）を時と場合によっては制御し、論理的思考（理性）を優先させて判断や行動をする…、ということはかなり困難なことです。

だから、騙されやすいし、不正も見抜けなくなる、そうなるのです。これは、まさに人間としての能力的限界でもあると思っています。

また、次回以降にこのつづきを書きます。

なぜ人はソーシャル・エンジニアリングにだまされるのか（1）

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」

からです。

もう少し早く、この記事については取り上げようと思っていたのですが、何度か読み返しているうちに書くのが遅くなってしまいました。
このネタは何度かに分けて書いてみたいと思います。

まずは、今回はその1です。

この記事によると、「どのようなセキュリティ・システムも“人”が最大の弱点となる」とのこと。

　ある有名な情報セキュリティ理論では、「どのようなセキュリティ・システムでも、人が最大の弱点となる」と定義されている。

  サイバー攻撃が巧妙化するに従って、その防御策も進化しているが、人間の性質そのものは変わらない。攻撃者にしてみれば、総当たり攻撃で暗号化パスを解読したり、ソフトウェアの新しい脆弱性を発見したり、複雑なマルウェアを作成するよりも、ソーシャル・エンジニアリングの方がはるかに効果的で簡単なのだ。前述した事件の詐欺師は、トロイの木馬を顧客にインストールさせるだけで、堅牢な金庫室に侵入することなく大金を手にしている。

　人はだまされやすく、欲深で、好奇心の強い存在である。ソーシャル・エンジニアリングの手法は、このような人間の感情や理性を巧みに利用して、犠牲者からさまざまなものを詐取する。しかし、なぜ人はだまされてしまうのだろうか。

　著名なセキュリティ専門家であるブルース・ シュナイアー（Bruce Schneier）氏は、セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域があり、これらを研究することでセキュリティに対する人の意識のズレを解明できるとしている。

「どのようなセキュリティ・システムも“人”が最大の弱点となる」という言葉は様々なところで何度も見ています。そのたびに考えてみるのですが、やはり「その通りだ」と言わざるを得ません。このようなことを考えるにあたっては「論理的かつ科学的アプローチが必要」と以前から考えていたのですが、そこに（さすが、ブルース・ シュナイアー氏）「セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域」というこの記事を読み、納得し、共感し、感激してしまいました。「セキュリティ」と「人」というと、「性善説と性悪説」というような議論や記事ばかりで、私としては納得も共感もできていなかったからです。

次回以降では、この続きの記事を書いていきたいと思っております。

「重要インフラ情報セキュリティフォーラム2009」開催

IPAセキュリティセンターのHPで、申し込みが始まっています。
私は、すでに申し込みました。（予定が空いていて、良かった･･･）

「重要インフラ情報セキュリティフォーラム2009」

開催日時： 2009年2月20日(金)　10：00～（受付開始　9：30）
会場： ベルサール八重洲
主催： 独立行政法人　情報処理推進機構
有限責任中間法人　JPCERT コーディネーションセンター 
対象：  主に国内の重要インフラ事業者等のコンピュータ・システムを担う者 
(注)： 「重要インフラ事業者」：情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス （地方公共団体を含む。）、医療、水道、物流等の事業に係わる者 
費用：  無料 

「JASA情報セキュリティ人材育成セミナー2009」

日本セキュリティ監査協会(JASA)のHPで、開催の告知と申し込みが開始されました。

当日は私も登壇いたします。内容としては、情報セキュリティ監査人に求められるスキルやキャリアパスの考え方などについてお話する予定です。皆様のお役に立てる話ができるよう、頑張ります。

●JASA情報セキュリティ人材育成セミナー2009　in Winter
　情報技術への依存度が高まるのにつれ、情報技術を安心・安全に利用・活用するための、情報セキュリティへの取り組みがますます重要視されています。同時に、情報セキュリティ第二次基本計画においても、情報セキュリティを担う人材の重要性が認識され、企業においてもガバナンスの強化、人材の育成が大きな課題となりつつあります。
　こうした認識のもと、情報セキュリティ人材教育の現状や情報セキュリティ監査に係わる資格制度などについて有効な活用方法をお知らせする機会を設けました。
　景気の低迷している現在を新たなビジネスの準備期間・人材教育の時期と捉え、いかに有効な教育を施すかについて、情報セキュリティのプロフェッショナルとして今後のキャリアプランをお考えの方々、および、企業内における情報セキュリティ人材育成に関わる方々とご一緒に考えたいと思います。


開催日時：2009年3月5日（木） 13:00～17:00
会　　場：時事通信ホール
　　　　　東京都中央区中央区銀座5-15-8
対　　象：情報セキュリティ監査などに係わる資格を目指している方、或いはその上司・人材育成担当者など
主　　催：特定非営利活動法人 日本セキュリティ監査協会（JASA）
共　　催：リコー・ヒューマン・クリエイツ株式会社
後　　援（予定）：
　　　情報セキュリティ教育事業者連絡会
　　　株式会社ケーケーシー情報システム
　　　株式会社富士通ソーシアルサイエンスラボラトリ
　　　株式会社日科技連出版社
参加費　：無料（事前登録制）
定　　員：300名

「第2次情報セキュリティ基本計画」ほか、決定

昨年末よりパブコメ募集が行われていた、以下の3つの文書と解説書が公開されました。

●「第2次情報セキュリティ基本計画」

●「重要インフラにの情報セキュリティ対策に係る第2次行動計画」

●「政府機関の情報セキュリティ対策のための統一基準(第4版)」

・「政府機関の情報セキュリティ対策のための統一基準（第４版）」解説書

それぞれパブコメの際に読んではいるのですが、また読み直さねば…

日本のCIO、データ保護は“内向き”志向

ITmediaの記事「データ保護は“内向き”志向、日本のCIO意識」からです。

　米国と英国、ドイツ、日本、中国、インド、ブラジル、ドバイで従業員500人以上の企業のCIO約800人を対象に、知的財産など重要情報の保管、移動、流出などの状況について尋ねたという調査でのものです。

この記事によると、

　重要情報を自国で保管しているという回答は平均で39％だったが、日本は97％だった。また、情報セキュリティ監査による外部からの指摘に対応する企業は平均で60％だったが、日本は25％だった。セキュリティ対策を実施する理由として、日本と英国の多数のCIOが「ネガティブな評判や世間体から会社を保護するため」としたのに対し、ほかの6カ国では「自社の利益や価値を保護するため」という回答が目立った。

とのこと。

「CIOの意識」というより、組織としてのITとセキュリティに対する投資のマインドやアプローチ自体が「内向き」だと思いますけどね。何とかせねば・・・

「情報セキュリティガバナンスシンポジウム2009」

今年のテーマは「グローバル化するIT基盤と企業競争力・価値向上を担う情報セキュリティガバナンス」だそうです。

残念ながら、私は仕事が入っていて行けません･･･

「情報セキュリティガバナンスシンポジウム2009」 開催概要

●テーマ：グローバル化するIT基盤と企業競争力・価値向上を担う情報セキュリティガバナンス

●会期：2009年3月6日(金)　10:00～16:10

●会場：東京ビッグサイト 会議棟7階 国際会議場 ※地図はコチラ
(東京都江東区有明3-21-1)

●主催：経済産業省、日本経済新聞社

●受講料：無料　（定員800名、申し込み多数の場合は抽選）

やはり、特権管理が重要

日経ITproの記事「管理者権限の制限がセキュリティ向上に効果的」からです。

この記事によると、

　Microsoftが公表した深刻度「Critical（緊急）」のセキュリティ・ホールのうち92％は，ユーザーに管理者権限を与えなければ脅威の緩和が可能であると分かった。特定種類のセキュリティ・ホールをみると，遠隔コード実行に悪用可能なセキュリティ・ホールの87％がこの対策で緩和できそうだ。影響を受けるソフトウエア別だと，この対策は「Microsoft Office」「Internet Explorer（IE）」関連セキュリティ・ホールの4分の3以上，「Windows」関連セキュリティ・ホールの半数以上に効果がある。

　BeyondTrustのCEOであるJohn Moyer氏は「当社の調査から，こうした脅威の対抗手段として，管理者権限を制限することの重要性が浮き彫りになった。必要最低限の権限だけを与える，という簡単なセキュリティ戦略1つで実施可能な対策」と述べる。

だそうです。

講習などでも、特権管理の重要性、「最少特権の原則」などの話を私も頻繁にしますが、この調査データはその裏づけとなるものですね。

現実と仮想の組み合わせ

日経ITproの記事「新手口！駐車違反の警告ビラでウイルスに感染させる」からです。

この手口は「駐車している乗用車に、駐車違反を警告する偽のビラを置く。ビラには、当局のサイトに見せかけた偽サイトのURLを記載。偽サイトにユーザーを誘導し、ウイルスをダウンロードおよび実行させようとする」というものです。具体的には、　

　
　ダウンロードされるのは、偽ソフトをインストールさせようとするウイルス。ここでの偽ソフトとは、大した機能を持たないにもかかわらず、ウイルス対策などの機能を備えていると偽って配布されるソフトのこと。インストールすると勝手に動き出して「ウイルスが見つかった」といった偽の警告を表示。駆除するには有料版が必要だとして購入サイトに誘導し、クレジットカード番号を入力させようとする。

　ダウンロードされたウイルスに感染すると、Internet Explorerの警告に見せかけた偽のダイアログを表示（図2）。「Antivirus 360」という偽ソフトの配布サイトへ誘導し、インストールするよう迫る。

偽サイトに誘導してからは、ありがちな手口ですが、ビラ（現実社会）と偽サイト（仮想社会）との組み合わせという手口は珍しいでしょう。今後はさらに巧妙な手口が出てくるかもしれません。

フィッシングで盗んだデータの送信方法

日経ITproの記事「フィッシングで盗んだデータの送信方法」 からです。

この記事によると、フィッシングで盗んだデータの送信方法は、

　動的言語で作られたフィッシング・キットは，偽Webサイトをホスティングしているサーバー上にテキスト・ファイルを作り，そこに被害者から集めた情報を書き込む。情報をメールで外部に送信することも可能だ。なお，情報をメールで送信する場合は，フィッシング・キットに組み込まれた自前のPHPメール・エンジンを使う。これに対し，前述のWebフォームは，フィッシング・キットと無関係の外部メール送信「サービス」に頼っていた。

　集めた個人情報を送信する手段として，メールを使う方法は現在でも主流だ。状況によっては，サーバー上のテキスト・ファイルも利用される。ただし，テキスト・ファイル方式は，別の詐欺師や，標的であるはずの金融機関そのものといった他者にもデータを読まれかねない。これは，詐欺師にとってリスクであり，受け入れがたい欠点だろう。個人情報の送信にぜい弱なメール送信Webフォーム用プログラムを悪用する旧式の攻撃でさえ，いまだ現役である。

（中略）

　外部から自由に使用可能なメール送信Webフォーム用のCGIプログラムは見かけなくなってきたが，同じ目的に利用できるWebアプリケーションの各種ぜい弱性が存在する状況は変わっていない。これら新たなセキュリティ・ホールの悪用事例はまだないが，攻撃手段として実際に使われるのは時間の問題だと思う。

ということです。

思ったよりも攻撃側の技術が進んでいないように感じましたが、技術が進むのは時間の問題なんでしょうね。
それから、攻撃側のリスクを大きくすること、つまり「動機の排除」が「手段の排除」以上に（フィッシングに限らず）重要だと考えております。

そう言えば、2月2日は･･･

昨日2月2日は、「情報セキュリティの日」だったんですよね。
（今年で3回目でした）

私は忘れていたわけではないけど、仕事中でも特に話題にもならず。
何の変哲もない、普段どおりの1日でした。
新聞でもニュースでも「今日2月2日は、情報セキュリティの日･･･」というのも見ることなく聞くことなく、ただ静かに1日が終わりました。

何のための、誰のための「情報セキュリティの日」なんでしょうね。
このまま、忘れ去られるのでしょうか･･･

「NIST SP800-61 コンピュータインシデント対応ガイド」公開

「NIST SP800-61 コンピュータインシデント対応ガイド（Computer Security Incident Handling Guide）」 が「海外情報セキュリティ関連文書の翻訳・調査研究（NIST文書など）」
のページで公開されています。

とても参考になりそうな文書なのですが、159ページもあります。

それから、このページをよく見ると、以下の文書が翻訳対象の追加になっているようですね。

・SP 800-81 セキュアなドメインネームシステム(DNS)の配備ガイド（Secure Domain Name System (DNS) Deployment Guide）
・SP 800-84 IT計画およびIT能力のためのテスト、トレーニング、演習プログラムのガイド（Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities）
・SP 800-86 インシデント対応へのフォレンジック技法の統合に関するガイド（Guide to Integrating Forensic Techniques into　Incident Response）
・SP 800-88 媒体のサニタイズに関するガイドライン（Guidelines for Media Sanitization）
・SP 800-92 コンピュータセキュリティログ管理ガイド（Guide to Computer Security Log Management）
・SP 800-94 侵入検知および侵入防止システム(IDPS)に関するガイド（Guide to Intrusion Detection and Prevention Systems (IDPS) ）