「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」ほか、公開

IPAのHPから怒涛のように、一挙に4つの資料(調査報告書)が公開されています。
資料が充実してくるのは、うれしいですが読むのが追いつきません。

あぁ、年度末だなぁ。（私自身の納品物も追い込みをかけないと・・・）

●重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書

・目次
　表紙・目次
　第一章：はじめに
　第二章：重要インフラの制御システムセキュリティに関する調査
　第三章：制御システムと情報システムとの連携でのサービス継続とセキュリティの調査
　第四章：調査結果から明らかになった制御システムセキュリティの特徴と課題
　第五章：今後に向けた低減

　委員名簿
　付録

・「調査報告書」

●「欧州における情報セキュリティ関連動向調査報告書(Study on EU Information Security Situation)」

(1) 欧州における公開鍵暗号基盤（PKI）の移行計画に関する調査報告書

(2) 欧州委員会における暗号技術に関わる研究開発動向調査報告書

●イスラエルにおける情報セキュリティ関連動向調査報告書(Survey on Information Security Situation in Israel)

(1) イスラエルにおけるボットに対する取組み状況調査報告書　（英文）

(2) イスラエルにおけるファイル保護技術に関する動向調査報告書　（英文）

●2008年度第2回 情報セキュリティに関する脅威に対する意識調査の報告書公開

・「情報セキュリティに関する脅威に対する意識調査　報告書」

※ 参考
・「情報セキュリティに関する脅威に対する意識調査（2008年度第1回）」

ファイルを勝手に暗号化して「人質」に

ITmediaの記事「ファイルを勝手に暗号化して人質に、有料ソフトの購入迫る」からです。

ファイルだから「人質」ではなく「モノ質」だけどね。
それはおいといて・・・

この記事によると、

  問題のマルウェア「Vundo」はユーザーのシステムに感染すると、PDF、Word、JPGなどのファイルを暗号化してしまい、暗号を解除するために有料プログラム「FileFix Pro 2009」を購入するよう迫る。ユーザーは、脅しの手に乗るのは馬鹿げていると分かっていても、ファイルを人質に取られている以上、言われた通りのソフトを購入するしか手がなくなるという。

　しかしFileFix Proを入手しても、復旧できるのは一部のファイルのみ。システムに感染したままのマルウェアによって、再び暗号化される悪循環に陥るという。このマルウェアがファイル共有サービスのLimeWireでMP3ファイルに見せかけて配布されているという情報もある。

というのが今回の手口らしい。

人間よりもモノのほうが「さらう」手間もリスクも少ないでしょう。要求できるお金も高いかもしれない、なんてことを考えてしまいました。

「情報システムの信頼性向上に関するガイドライン第2版」公表

「情報システムの信頼性向上に関するガイドライン第2版」が、3/24に公表されてました。

「情報システムの信頼性向上に関するガイドライン第2版」公表について

・「情報システムの信頼性向上に関するガイドライン第2版」公表について
・（別紙１）情報システムの信頼性向上に関するガイドライン第2版（案）の改訂概要
・（別紙２）「情報システムの信頼性向上に関するガイドライン第2版」の変更点一覧
・【本文】情報システムの信頼性向上に関する　ガイドライン第2版

ちなみに、以下も中間報告書が公開&パブコメ募集中です。
システムの信頼性だけではなく、ソフトウェアの信頼性ということです。
こちらのほうが、圧倒的にボリュームがありますね・・・

●「高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会の中間報告書（案）」に対する意見公募

・中間報告書（案）の概要
・中間報告書（案）

「信頼性」という言葉よりも「保証(assurance)」という言葉を使って欲しい気もしますが、まだ時期尚早でしょうか。

「CISSP Forum 2009 Spring開催報告」

(ISC)2 JapanのHPで「CISSP Forum 2009 Spring開催報告」がされています。

名刺交換会や記念撮影など、いつもの「CISSP Forum 2009」にはない盛り上がりで、とても楽しかったです。

2次会も楽しかったのですが、その様子は「CISSP JP　SNS」でご確認ください。
（CISSPホルダーでない方、どうかご容赦のほど・・・）

＜参考記事＞
「CISSP Forum 2009」

CPUのSMM攻撃

ITmediaの記事「Intel製CPUのSMM攻撃、研究論文で手法公開」からです。

　セキュリティ研究を手掛けるInvisible Things Labは3月19日、Intel製CPUのキャッシュポイズニングを使ったシステムマネジメントモード（SMM）攻撃に関する論文を発表した。

　この攻撃ではSMMベースのマルウェアを簡単に作成し、Intel CPU搭載システムのSMMを制御することが可能になる。論文では、SMMの保護措置が簡単に回避できてしまうかを説明しているという。

　SANS Internet Storm Centerによれば、一部ではSMM rootkitがリリースされたとのうわさも出回ったが、そのような事実はないという。リリースされたコンセプト実証コード（PoC）は、「まったく無害なシェルコードだ」と、Invisible ThingsのCEOで著名なセキュリティ研究者のジョアンナ・ルトコウスカ氏は強調している。

ちなみに「SMM攻撃」というのは、この記事ではじめて知りました。
よく講習で「今後は（アプリケーション層、ネットワーク層だけでなく）物理層の攻撃も増えるだろう」と話しております。
その場合は、ケーブル結線に対する盗聴、サイドチャネル攻撃あたりの話なのですが・・・

この記事ですと、どの程度の脅威なのか読み取りにくいのですが、今後「SMM攻撃」は注目しておきたいと思います。

「Safari」が約10秒で陥落

CNET Japanの記事「Pwn2Ownセキュリティカンファレンス開催--「Safari」が約10秒で陥落」からです。

2008年に「MacBook Air」を2分未満でハッキングして1万ドルの賞金を得たセキュリティ専門家が、「MacBook」を使用して今度は「Safari」に存在するセキュリティホールの攻撃に10秒ほどで成功し5000ドルの賞金を獲得した、とのことです。さらにこの際に使用したMacBookを手にしたとのこと。

この専門家は以前、2007年に「iPhone」が発売された直後に、Safariのモバイル版のセキュリティホールも発見しているそうです。

とにかく「秒殺」とは恐れ入りました。高度な技術を持つ専門家にかかれば、この程度の時間で十分だということなのですね。

このコンテストでは他に、ドイツのオルデンバーグ大学でコンピュータサイエンスを専攻する25歳の学生が、「IE 8」、「Safari」、「Firefox」におけるエクスプロイトを示し、1万5000ドルを獲得した。さらに、エクスプロイトを示すのに用いた「Sony Vaio」を与えられたそうです。

ということで、1つの脆弱性とそれを攻略するエクスプロイトごとに、5000ドルの賞金だったようです。
思ったよりは高額ではないような気もしますが、「秒殺」ということは「自給でいくら？」などとも考えてしまいました。

＜関連記事＞
「Pwn2Own 2009：Safari/MacBookが秒殺」～ZDNet

「10大脅威 攻撃手法の『多様化』が進む」公開

IPAの「10大脅威 攻撃手法の『多様化』が進む」が公開されました。
これは、「情報セキュリティ白書2009」の第2部となる予定になっています。

-組織への脅威
第1位 DNSキャッシュポイズニングの脅威
第2位 巧妙化する標的型攻撃
第3位 恒常化する情報漏えい

-利用者への脅威
第1位 多様化するウイルスやボットの感染経路
第2位 脆弱な無線LAN暗号方式における脅威
第3位 減らないスパムメール
第４位 ユーザIDとパスワードの使いまわしによる危険性

-システム管理者・開発者への脅威
第1位 正規のウェブサイトを経由した攻撃の猛威
第2位 誘導型攻撃の顕在化
第3位 組込み製品に潜む脆弱性

この中で、昨年までなかったのは「DNSキャッシュポイズニングの脅威」「脆弱な無線LAN暗号方式における脅威」「ユーザIDとパスワードの使いまわしによる危険性」の3つ。特に「DNSキャッシュポイズニングの脅威」は、初登場でいきなり1位。（オリコンチャートみたいな言い回しですが）

ちなみに、昨年までの「10大脅威」は以下の通り。

・情報セキュリティ白書2008 第2部「10大脅威 ますます進む『見えない化』」
・情報セキュリティ白書2007年版「10大脅威 「脅威の“見えない化”が加速する！」」
・情報セキュリティ白書2006年版「10大脅威「加速する経済事件化」と今後の対策」

「情報セキュリティ技術動向調査（2008年下期）」

IPAセキュリティセンターから「情報セキュリティ技術動向調査（2008年下期）」が公開されました。

興味深い項目が多いですね、じっくり読んでみたいと思います。（おそらく、来週以降）

目次
序 2008 年下期の技術動向 - 今日のセキュリティエンジニアリングの話題
1 セキュリティ機能の移行技術
2 DNSSEC技術動向
3 SYSLOG技術動向
4 セキュアOSの動向
5 テンポラリファイルの扱い
6 コンピュータウイルスの動向
7 ダークネット観測の技術動向と観測事例
8 IPsec関連技術の標準化動向
9 Resource PKIの動向
10 アイデンティティ管理技術の動向

・「2008年下期タスクグループ報告書」

ATMを狙うマルウェア

日経ITproの記事「ATMからカード情報を盗むウイルス出現、ただし感染させるのは困難」からです。

ATMで使われているプログラムがWindows上で動いているものが多いので、そのうち「あると思います」（天津木村風）だったのですが・・・

　ウイルスのプログラムを詳細に解析すると、いずれも、ATMで処理されるカード情報や暗証番号を盗むために作成されたことが判明した。ATMのOS上で実行されたウイルスは、別のウイルスを生成。このウイルスは、ATMに挿入されたカード情報や、キー入力された暗証番号などを記録する。

　このATMに、ある細工を施したカードを挿入すると、ウイルスはそれまでに記録したカード情報などを暗号化した上で、そのカードに書き込むという。この情報を悪用すれば、攻撃者はカードを偽造できる。

実際に、日本のATMでもけっこうWindows上で動いているものが多いですよね・・・
（一度、私が使っていたATMがフリーズして、Windows NT 4.0の画面が出てきたことがありました）

この記事では「ただし実際には、今回のウイルスを悪用することは難しいだろうという。ウイルスを感染させるには、ATMに物理的にアクセスする必要があるからだ」とされていますが、個人的には「そう言いきれるのかな？」と思っております。

＜参考記事＞
「ATMを狙うマルウェア、暗証番号を盗む仕組みを搭載」～ITmedia

「悪意あるサイトの識別情報及び対策情報提供システム（TIPS）」

IPAのHP「「悪意あるサイトの識別情報及び対策情報提供システム（TIPS）」を利用したウェブサイト情報提供サービスを開始」からです。

・利用方法
(1) 利用者はIPAに対し、利用者がアクセスしたいウェブサイトのURLをメールに記述して、調査依頼を行います。
(2) IPAでは、調査依頼のメールを受け取ると、そこに記述されているURLを「悪意あるサイトの識別情報及び対策情報提供システム(TIPS)」に入力します。
(3) TIPSは、入力されたウェブサイトのURLにアクセスし、ウェブサイトを記述するためのプログラムの一種であるHTML(Hyper Text Markup Language)等の情報を収集します。
(4) 収集した情報を基に、入力されたウェブサイトにマルウェア等が含まれているかの解析を行い、どんな悪意があるウェブサイトなのかを以下の区分で判定します。
  ・フィッシング詐欺サイト
　・ワンクリック不正請求の詐欺サイト
　・マルウェア等のばら撒きを行っているサイト
　・偽装セキュリティソフトウェアを配布しているサイト
　・攻撃コードが仕込まれているサイト
  TIPSの解析の結果、上記の区分に該当するようなマルウェア等が発見されなかった場合は、正常なウェブサイトと判定します。
(5) IPAでは、TIPSの解析結果等を基にして、利用者が調査依頼したウェブサイトの判定結果や対策情報等を回答します。

つまり、悪意のあるサイトかどうか判断できないときに、かわりに調べてくれるサービスということでしょうか。

「中小企業の情報セキュリティ対策ガイドライン」公開

IPAから「中小企業の情報セキュリティ対策ガイドライン」が公開されています。

　従来の情報セキュリティ対策の進め方では、リスク分析を基にして、自社に合った対策基準や実施手順を策定することが必要であり、対策未実施の中小企業にとって導入に着手することは容易ではなく、「何をすれば良いか分からない」という状況になる場合がありました。
　 そこでIPAは、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項を選択抽出し、「中小企業の情報セキュリティ対策ガイドライン」としてまとめました。その中でも、特に最初に取り組むべき項目を、下記2種類の別冊ガイドラインとしてまとめました。
　　　・5分でできる自社診断シート
　　　 （「中小企業の情報セキュリティ対策ガイドライン」別冊3）
　　　・中小企業における組織的な情報セキュリティ対策ガイドライン
　　　 （同 別冊2）

　また、個人情報や営業秘密など、情報管理の重要性への意識が高まってきており、中小企業であってもサービス業や製造業などは、取引先より情報セキュリティ対策の実施を求められることが多くなってきています。しかし、守るべき機密情報そのものや、その取り扱い方が業務委託時に明確にされていない場合も多く、発注者と受注者それぞれの対策事項が明確でない取引が行われていることから、IPAは「業務委託契約に係る機密保持条項（例）」および「委託先における情報セキュリティ対策事項」についても、下記の別冊ガイドラインとしてまとめました。
　　　・委託関係における情報セキュリティ対策ガイドライン
　　　 （「中小企業の情報セキュリティ対策ガイドライン」別冊1）

つまり「予算も時間もかけずに、セキュリティ対策をはじめられるパック」ですね。
よく「PDCA」といわれますが、この場合は「P」はこのパックでやっちゃったことにして、すぐに「D」に行こう・・・、という使い方ができるわけです。
考える前に、まず行動できるということですね。
あとは、そのあとの「C」や「A」につなげられるか、それが問題だ。

＜資料＞
・中小企業の情報セキュリティ対策に関する研究会報告書（全28ページ、412KB） 
・中小企業の情報セキュリティ対策ガイドライン（全8ページ、80KB） 
・別冊1：委託関係における情報セキュリティ対策ガイドライン（全10ページ、333KB） 
・別冊2：中小企業における組織的な情報セキュリティ対策ガイドライン（全49ページ、803KB） 

・別冊3-1：5分でできる自社診断シート（全2ページ、156KB） 
・別冊3-2：5分でできる！自社診断パンフレット（全8ページ、2.67MB） 

＜参考記事＞
「IPAが中小企業向け情報セキュリティ対策ガイドライン」～日経ITpro
「セキュリティ対策が分からない中小企業にアドバイス、IPAが指南書提供」～ITmedia

CISSP Forum 2009

今日は、「CISSP Forum 2009 Spring」でした。

多くのCISSPフォルダーの方との出会いと再会があったので、とても楽しかったです。
このあたり（こういうコミュニティがあること）が、他の資格との違いであり大きなメリットでもあります。

ちなみに写真のようなバッジ：(ISC)2の20周年記念バッジもいただきました。

本日、お会いした皆様。
これからもよろしくお願いします。

たくさんのパワーをいただきました。
明日からもがんばります。

ということで、締め切り間近かの原稿をこれから書きます。orz

アクセス場所で見出しを変える偽ニュース

日経ITproの記事「「世田谷で爆発事故！？」アクセス場所で見出しを変える偽ニュース」 からです。

この記事によると、

　今回確認された手口も、偽のニュースメールでユーザーを誘導する。従来の手口と異なるのは、アクセスしたユーザーによってニュースの内容（見出し）を変えること。偽サイトでは、アクセスしたユーザーのIPアドレスから、おおよその場所を突き止め、その都市名を見出しに盛り込む。

　悪質サイトで表示される偽ニュースは「Powerful explosion burst in ○○○ this morning.（今朝、○○○で大爆発事故発生）」。この○○○部分が、アクセスした場所によって変わってくる。ソフォスの情報によれば、カナダのバンクーバーオフィスからアクセスした場合には「Vancouver（バンクーバー）」と表示されたが、別のオフィスからアクセスしたときにはオランダのアムステルダム（Amsterdam）が表示されたという。

というのが今回の手口です。

人間の心理を読み、Webの技術を使ってだます。
今後も、このような手口は次から次へと出てくるでしょうね。

＜参考記事＞
「「あなたの街で爆発」：ユーザーの居場所を突き止めるカスタマイズ攻撃が横行」～ITmedia

「「あなたの街で爆弾」，ユーザーの地名使った偽ニュースでマルウエア配布」～日経ITpro

中小企業情報セキュリティ対策促進事業ホームページ、オープン

3/16に「中小企業情報セキュリティ対策促進事業」のホームページがオープンしました。

「情報セキュリティ対策中小企業向け指導者育成セミナー」(現在、全国で開催中。私も浜松会場での講師を務めました)で使用されているコンテンツも公開されており、盛り沢山の内容です。
このセミナーを受講された方の専用ページも用意されていますね。

eラーニングなどは準備中で、後日公開されるようです。

3割のユーザーは同じパスワードを使い回す

日経ITproの記事「3割のユーザーは同じパスワードを使い回す」からです。

これは英ソフォス社の調査による結果ですが、この記事によると、

「2～3のパスワードを使い回す」で48％を占めた。次いで、「どのWebサービスでも、同じパスワードを使う」が33％、「同じパスワードは使わない」が19％だった。

とのことでした。

個人的な感想としては、「困ったもんだ」というよりも「ほんとに19%もの人が、違うパスワードを使っているの？」という疑わしい気持ちでした。

さらにこの記事では、

3年前に実施した同様の調査では、「同じパスワードを使う」が41％、「同じパスワードは使わない」は14％だったので、状況はそれほど変わっていないという。

とのこと。

これを「ユーザーのセキュリティ意識が上がっていない」と考えるか、「人間の特性や能力上、この程度がそろそろ限界点では(別の認証手段が必要なのでは)？」と考えるか…
ユーザー教育や普及啓蒙の観点からは前者なんでしょうけど、コントロールの実効性の観点からは後者のような考え方も必要だと思っています。

「情報セキュリティプロフェッショナル教科書」が届いた

本日、出版元のアスキーメディアワークスさんより「情報セキュリティプロフェッショナル教科書」が届きました。
通称「情報セキュリティの新赤本」です。（とりあえず、私が勝手に命名）
私が執筆者の1人なので、見本として贈呈いただいたものです。
書店の店頭には来週末くらいに並ぶようです。

カバーには「研修教材として最適」と書かれてますね。
ぜひ、副読本として使ってください。

ちなみに旧版はこんな本でした。

2009年度のIT予算、国内企業の62％で「減少」

COMPUTERWORLDの記事「2009年度のIT予算、国内企業の62％で「減少」」 からです。

もともと、IT投資マインドが低いのに、さらに投資抑制傾向が強まるのですね。

ですが、この記事では、

　IT予算の削減・保留対象となる製品についての質問では、前回調査ではPCを中心とするハードウェア分野が全般的に高い回答率となっていたが、今回の調査では、これに加えてソフトウェア分野、ITサービス分野でも回答率が高くなっている。そうしたなか、セキュリティやコンプライアンスといった、企業の危機管理にかかわる製品については、予算を削減することなく継続して投資する企業が多い。

とのことです。

ということは、セキュリティ製品や情報セキュリティプロフェッショナルは不況に強いのか？

（個人的な感想ですが）「強い」とは思いませんが、弱くはないと思ってます。
皆様はいかがでしょう？

＜参考記事・このブログ＞
「不況だから、当然セキュリティ・コストは削減される？」

「国内IT投資は堅調に推移、というけれど…」

「NIST SP800-92 コンピュータセキュリティログ管理ガイド」公開

「NIST SP800-92 コンピュータセキュリティログ管理ガイド(Guide to Computer Security Log Management)」 が公開されました。

ログ管理に関するさまざまなアプローチ（生成および格納、保護、分析、廃棄など）が示されています。

ログ(デジタルエビデンス)に関わるところが、（特定の領域に専門性がないことが自慢の私ですが）辛うじて専門性の発揮できるところ（たぶん･･･）ですので、よく読んでみたいと思います。
ちょっと後になりそうですけど。(原稿、たまってますので)

ボットネット運営者に4年の懲役刑

COMPUTERWORLDの記事「ボットネット運営者に4年の懲役刑」 からです。

この記事によると、

　ジョン・シーファー（John Schiefer）被告は3月4日、ハッキング、詐欺および盗聴容疑について有罪を認め、連邦裁判所から刑を言い渡された。被告は、連邦捜査局（FBI）がボットネット運営者を検挙するために実施した「Operation Bot Roast II」の網にかかり2007年に逮捕された。

　ボットネットを運営している人物が連邦盗聴法に基づいて起訴されたのは、この裁判が初めてとなる。本件でシーファーは、最長5年の懲役刑が科せられる可能性があった。

とのこと。

「ボットネットを作って、何の法律に抵触し何の罪にあたるのだろう」ということに個人的興味があったのですが、「連邦盗聴法」(あとは、詐欺)なのですね。

そして、この記事は最後に「検察によれば、シーファーは出所後、情報セキュリティ分野で職に就くことを希望しているという」という文で締めくくられています。「その通りに、どこかで雇用されちゃうんだろうな･･･」と、思ってしまいます。
こういう就活目的の売名行為が成り立つことも、サイバー犯罪の動機の排除の阻害要因だと思います。

情報セキュリティガバナンスの確立で、PDCAからDMERへ

先週3/5(木)の「JASA情報セキュリティ人材育成セミナー2009 in Winter」からです。

大木先生の基調講演「情報セキュリティガバナンスに必要な人材育成」で、情報セキュリティガバナンスの枠組みについて「DMER」というキーワードのお話がありました。

Direct(方向付け)：目的・目標の設定
Monitor(モニター)：PDCAのモニタリング
Evaluate(評価)：ガバナンスの評価、方向付けの評価
Report(開示・報告)：利害関係者への説明

で、「DMER」です。

「情報セキュリティガバナンス」は「社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」（「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」経済産業省、2005年3月）とされており、「情報セキュリティマネジメント」よりも上位の概念として用いられている言葉です。
（ちなみに、さらに「情報セキュリティマネジメント」＞「情報セキュリティマネジメントシステム」です）

「情報セキュリティガバナンス」が確立されていない（または、重大な欠陥がある）組織の「情報セキュリティマネジメント」や「情報セキュリティコントロール」は、適切であると言えません。そこで「情報セキュリティガバナンス」の確立が重要ということになるわけです。そのキーワードである「DMER」には注目したいと思います。

徐々に減っています

（お気づきの方もいらっしゃると思いますが）日本のCISSPホルダーの数がここ2か月減っています。

CISSPホルダーの数は、(ISC)2 Japanのトップページで確認できます。

ここ3か月は、

　2008年12月末：1100
　2009年1月末：1096
　2009年2月末：1093

となっています。

さて、原因は…

（おそらくCPE不足による）失効者が認定者を上回ったことによるようです。

「もったいない…」（矢沢永吉風）

情報セキュリティ系勉強会ポータルサイト

「情報セキュリティ系勉強会ポータルサイト」というサイトがあります。

少し前に見つけていたのですが、このブログで紹介しそびれてました。

北海道から沖縄まで、さまざまな勉強会が開かれています。
こういう勉強会やコミュニティ活動が、もっともっといろんな地域で広がって欲しいと思っていますし、今後の私の活動の中で支援していければなぁ、なんてことも考えています。

あとは、これが（CISSPやCISAなどの）CPEなると、さらに良かったりしますよね･･･

不正アクセス、「動機は金銭」が8割以上

日経ITproの記事「2008年の不正アクセス検挙数は過去最多、「動機は金銭」が8割以上」からです。

この記事によると、

　不正アクセスに使ったパスワードなどの入手方法として最も多かったのは、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が1368件。次いで、「識別符号を知り得る立場にあった元従業員や知人等によるもの」が163件、「フィッシングサイトにより入手したもの」が88件。2007年は、フィッシング詐欺によるものが1157件だったので、大幅に減少したことになる。

　不正アクセス行為で検挙された人物と、パスワードなどを悪用された人物の関係は、「元交際相手や元従業員等の顔見知り」が最も多く60名。次いで、「交友関係のない他人」は55名、「ネットワーク上のみの知り合い」が22名だった。

　不正アクセスの動機は、2007年と同様に「不正に金を得るため」が最多で1498件。次いで、「オンラインゲームで不正操作を行うため」が120件、「嫌がらせや仕返しのため」が52件、「好奇心を満たすため」が17件。

　不正アクセス後の行為としては、ネットオークションの不正操作（他人になりすましての出品など）が最多で1559件。次いで、オンラインゲームの不正操作が457件、Webページの改ざんや消去が152件、情報の不正入手（メールの盗み見など）が46件だった。

とのこと。

動機は金銭が8割以上、ということですが、個人的感想としては「もっと、多いんじゃないの」というところです。

とにかく「動機」の解明は重要ですね。
「動機」が排除できなければ、適切な「抑止」はできません。
それから、不正アクセスは「手段」であり、「目的」ではないからです。（なので、不正アクセス後の行為の「動機」も解明しないといけないはずなのですが・・・）

「平成21年度春期情報処理技術者試験」の応募者数

IPAのHP「「平成21年度春期情報処理技術者試験」の応募者数について」で、発表されていますね。

　平成21年度春期情報処理技術者試験の応募者数は、7年ぶりに増加に転じ、292,842名（前年同期比(2) 12.1％増、31,670人増）となりました。
　新たに創設した「ITパスポート試験」は、46,802名の応募となり、新規創設の試験区分としては、過去最高の応募者数となりました（これまでは平成6年度秋期に実施した初級システムアドミニストレータ試験の40,316名が最高）。
　また、基本情報技術者試験、応用情報技術者試験及び高度試験のいずれの段階においても、応募者数が増加しています。

==============================================
合計
292,842
261,172
112.1%

※データは、
(応募者数)
(前年同期応募者数)
(前年同期比)
の順。
==============================================
ITパスポート試験
46,802
―
―
==============================================
基本情報技術者試験
90,724
90,065
100.7%
==============================================
応用情報技術者試験
56,132
52,539
106.8%
==============================================
高度（プロフェッショナル）試験
71,320
68,512
104.1%
----------------------------------------------
プロジェクトマネージャ試験
16,248
14,610
111.2%

データベーススペシャリスト試験
18,529
17,849
103.8%

エンベデッドシステムスペシャリスト試験
5,876
5,964
98.5%

情報セキュリティスペシャリスト試験
25,356
22,742
111.5%

システム監査技術者試験
5,311
7,347
72.3%
==============================================
初級システムアドミニストレータ試験
27,864
50,056
55.7
==============================================

情報セキュリティは、前年比111.5%の25,356名。注目度と人気は、それなりにあるようです。

初級システムアドミニストレータ試験の受験者数が減っているのはやむを得ないとしても、エンベデッドシステム、システム監査も減少しています。
「増加」といっても、このデータだけではそれが良い方向なのかどうかは評価が難しいところです。
この辺は、前々回の記事（「IT人材市場動向調査　調査報告概要版No.1」公開）とも考えてみたいところです。

「技術メモ－クリックジャッキング対策」公開

JPCERTコーディネーションセンター（JPCERT/CC）が「技術メモ － クリックジャッキング対策」を公開しました。

この資料では「X-FRAME OPTIONS」機能(IE8に搭載予定)を活用するために必要なWebサイト側の対策方法についてを解説しています。

中身は、これから読んでみます。

＜参考記事＞
「JPCERT/CC、クリックジャキング対策の技術資料を公開」～ITmedia

「新たな攻撃「クリックジャッキング」」～このブログの過去記事

「IT人材市場動向調査 調査報告概要版No.1」公開

IPAから「IT人材市場動向調査　調査報告概要版No.1」が公開されました。

●プレス発表「IT人材市場動向調査　調査報告概要版No.1」の公開について

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、このたび、2008年度に実施した調査の報告書「IT人材市場動向調査　調査報告概要版No.1」を公開しました。IPAでは、2007年度に実施しました「IT人材市場動向予備調査」の結果を踏まえ、IT人材の育成施策検討に向けた基礎情報を収集するための調査として「IT人材市場動向調査」を実施しました。

　本調査は、日本国におけるIT人材の職種やレベルなどの偏在状況やオフショア活用状況および産学におけるIT教育の状況などの調査を定点的、継続的に行い、今後のIT人材育成施策の立案などの基礎資料とすることを目的として実施したものです。

　本調査報告は、「調査報告概要版」として4回に分けて公開します。また、調査報告完全版は「IT人材白書2009」として5月中旬ごろを目途に出版する予定です。

■　調査概要
「IT人材市場動向調査」では、以下の調査を行っています。

－ No.1 －
【IT企業向け】　IT人材動向調査
【ユーザー企業向け】　IT人材動向調査

－ No.2 －
【大学向け】　情報系学生・教育動向調査／情報系学科在籍学生数調査
【卒業生向け】　情報系専門学科のカリキュラム評価

－ No.3 －
【学生向け】　情報サービス産業のイメージ分析調査
【IT・その他産業社会人】　他産業との就業満足度比較調査

－ No.4 －
【IT企業向け】　オフショア動向調査
【ユーザー企業向け】　海外ITサービス利用動向調査

今回はNo.1ということで、今後No.2～4が公開されるとのことです。
個人的にはNo.2とNo.3が楽しみです。

下記の参考記事(@IT)にもある通り、今回は「量は十分、質が足りない」という調査結果になるようです。
もう1つ「適材適所でない（ミスマッチ）」というのもありそうですが…

※ 報告書は、こちら。
「IT人材市場動向調査　調査報告概要版No.1(H21.2.26)」

＜参考記事＞
「IT人材市場動向調査 第1弾IT人材「量は十分、質が足りない」」～@IT

「情報セキュリティプロフェッショナル教科書」、3/23発売

「情報セキュリティプロフェッショナル教科書」が発売されます。
※2005年に発売された「情報セキュリティプロフェッショナル総合教科書」の改訂版という位置づけです。

この本は、「日本ネットワークセキュリティ協会(JNSA)の教育部会が執筆」なのですが、私も共同執筆者の1人です。

実は企画から出版まで、約1年かかりました。
情報セキュリティの知識分野を広く扱っています。
皆様に役立つ書籍だと思いますので、ぜひ手にとって、いや･･･、ご購入ください。
※ ちなみに、このブログはアフィリエイトはやっておりません。

書名：情報セキュリティプロフェッショナル教科書
      佐々木良一 監修、日本ネットワークセキュリティ協会教育部会 著
内容：
「日本ネットワークセキュリティ協会」(JNSA)の教育部会が執筆。スキルマップを元に、情報セキュリティ技術者に必要な技術要素を網羅し、専門家としての初学者が一通りの知識を得られるように構成。

ISBN：ISBN978-4-04-867782-0
サイズ：B5変型判／ページ数：720
価格：4,935円 (本体4,700円)
発売日：2009年3月23日
出版社：アスキー・メディアワークス