« 2009年3月 | トップページ | 2009年5月 »

2009年4月の記事

2009年4月28日 (火)

GoogleのCAPTCHAを破る新ワーム

ITmediaの記事「GoogleのCAPTCHAを破る新ワームが現る」からです。

この記事によると、「CAPTCHAを破る新ワーム」とは

 感染したマシンで自動的にInternet Explorer(IE)を開いてGoogleのCAPTCHAを破り、Gmailの新規アカウントを登録してその情報を「clitcommander.110mb.com」というサイトに送り続ける。Gmail側に感染マシンからのアクセスを遮断されると、ワームはその時点で自らを消去する。
 しかし、このマシンのユーザーはアクセスを遮断されているため、以後Gmailアカウントの新規登録ができなくなる。

というものらしい。

「なお、このビデオは自動的に消滅する・・・」なんてセリフを思い出しました。
「やっぱり、ぐるぐる回す新手法(参考記事をご覧ください)でないとダメなのか、それもいつまで通用するのか」などとも考えてしまいました。

<参考記事・このブログ>
「CAPTCHAの新手法」

| | コメント (0) | トラックバック (0)

2009年4月27日 (月)

タスポが“失敗”した理由

Yahoo!ニュースの記事「タスポが“失敗”した理由 普及進まず」からです。

タスポについては、導入当初から様々な意見がありましたが、その普及がいまだ33.7%にとどまっているとのこと。
さらに、未成年者の喫煙防止のために導入されたものの、中学生にたばこを販売した業者が摘発されたり、年齢をごまかしてコンビニエンスストアなどで購入というケースが多かったり、と多くの問題が起こっています。

(ネットの別のところでも議論になったのですが)そもそも、このタスポがたばこを購入するという「権限」のための「識別」と「認証」になっているのかどうか、ということを考えてみるべきだと思っています。そして、その運用が実質的にユーザー側とたばこを販売する側にゆだねられているということがどういうことなのかも考えてみるべきでしょう。

それを考えれば、合理的でも実効的でもないというのがわかりそうなものですが…

ちなみに、情報システムの認証でも同じようなケースはありますね。

| | コメント (2) | トラックバック (0)

2009年4月25日 (土)

「大江戸セキュリティ戯画(ギガ)」公開

「大江戸セキュリティ戯画(ギガ)」第1話が、公開されました。

かるた、検定、落語、といろんなコンテンツで楽しませてもらってますが、今回は「戯画(ギガ)」でした・・・

「時代劇っぽい感じではありますが、繰り広げられているのは、現代のオフィス事情を反映した情報セキュリティ問題。進化し続ける情報環境、現代を人情味あふれる江戸の町に置き換えて、わかりやすく解説します。時代のギャップ感もお楽しみください」とのこと。

ということで、カタカナ言葉が以下のように置き換えられていたりします。

 電算箱=パソコン
 電網=インターネット
 断裁機=シュレッダー

第2話以降では、どんな言葉が出てくるのでしょうか。

| | コメント (0) | トラックバック (0)

2009年4月24日 (金)

SIPの脆弱性に関する検証ツール、公開

IPAセキュリティセンターのHPで「SIPの脆弱性に関する検証ツール」と「SIPに係る既知の脆弱性に関する調査報告書 改訂第2版」が公開されています。

※ SIP(Session Initiation Protocol):セッション開始プロトコル。IP電話、テレビ電話、インスタントメッセージなどで使用されているプロトコル。

「SIPの脆弱性に関する検証ツールを公開」
SIPに係る既知の脆弱性検証ツール V1.0

「SIPに係る既知の脆弱性に関する調査報告書 改訂第2版」

・目次
1. はじめに
2. SIP仕様解説
3. SIP関連システムの利用形態
4. 本報告書記載における前提等
5. 脆弱性項目解説

<SIP/SDPに係る脆弱性>
項目1. SIPリクエストの偽装から起こる問題
項目2. SIPレスポンスの偽装から起こる問題
項目3. SIP認証パスワードの解読
項目4. SIPメッセージボディの改ざんから起こる問題
項目5. 保護されていないトランスポートプロトコルを選択させられる問題
項目6. DoS攻撃によるSIPのサービス妨害
項目7. その他SIP拡張リクエストの脆弱性

<RTP/RTCPに係る脆弱性>
項目8. RTPメディアの盗聴から起こる問題
項目9. RTPメディアの偽装から起こる問題
項目10. RTCPの偽装から起こる問題

<コーデックに係る脆弱性>
項目11. コーデックの脆弱性

<実装不良に係る脆弱性>
項目12. 不具合を起こしやすいパケットに対応できない問題
項目13. Call-IDを予測しやすい実装の問題
項目14. 認証機能の不十分な実装の問題
項目15. 送信元IPアドレスを確認しない実装の問題
項目16. 不適切なIPアドレスを含むSIPメッセージに関する問題
項目17. デバッガ機能へ接続可能な実装の問題

<管理機能に係る脆弱性>
項目18. 管理機能に関する問題

<ID、構成情報に係る脆弱性>
項目19. 登録IDと構成情報の収集に関する問題

<SIP/RTPの暗号化に係る脆弱性>
項目20. SIPにおけるTLSの不適切な利用から起こる問題
項目21. SRTPの暗号に用いる共通鍵が盗聴される問題
項目22. 暗号化されたSRTPが共通鍵なしで解読される問題

※ 報告書は、こちら

今回のツールで検証可能なのは、上記の1、12、14、15、16、19の各項目のようです。
使ってみたいのですが、私に当面その機会がなさそうなので・・・
使ってみた方は感想・意見などをいただければ、とてもうれしいです。

| | コメント (0) | トラックバック (0)

2009年4月23日 (木)

良心に反しても指示に従う

Yahoo!ニュースの記事「新入社員意識調査、「良心に反しても指示に従う」4割で過去最高」からです。

この記事によると、

「良心に反する手段でも指示通りの仕事をするか?」の設問は、07年から聴取しており【指示の通り行動する】人は、07年が37.2%、08年が37.5%と推移し、今年は前年を3.1%上回る40.6%だった。また、仕事に関して「法律に反しないことであれば、どんな方法をとっても問題はないと思うか?」の質問でも、【そう思う】と回答した人が22.2%で過去最高となった。

とのこと。

「良心」とか「倫理」とか、そのあたりには意識や理解が低いようで。
ただ、これは新入社員に限ったことではないような気がします。

その結果、組織ぐるみの不正行為なったり、ということにもつながってくるんでしょうね。
こうなると、「情報セキュリティ以前の問題」ってことになると思います。

その他には、以下のような結果も出ているようです。

1.担当したい仕事は「チームを組んで成果を分かち合える仕事」が過去最高(83.5%)
2.「今の会社に一生勤めようと思う」が昨年に比べ大幅に増加、過去最高(55.2%)
3.「良心に反する手段でも指示通りの仕事をする」が過去最高(40.6%)
4.「仕事を通じてかなえたい『夢』がある」が4年連続で増加、過去最高(71.6%)

ちょっと、意外な結果だった気がします。

<参考URL>
「第20回 2009年度 新入社員意識調査」~(財)日本生産性本部

※ 報告書は、こちら

| | コメント (0) | トラックバック (0)

2009年4月22日 (水)

CAPTCHAの新手法

ITproの記事「この絵をぐるぐる回して下さい---Googleの3氏がCAPTCHAの新手法」
からです。

以前、何度か取り上げたCAPTCHA破りへの対応策です。
どのようにして、人間か否かを識別するかということですが、以下のような方法のようです。

 米GoogleのRich Gossweiler,Maryam Kamvar,Shumeet Balujaの3氏は米国時間2009年4月16日,Webサイトにアクセスしているのが人間かどうかを確認するための技術「CAPTCHA」の新しい手法を発表した。ランダムに回転した画像を正しい向きに直せるかどうかで,人間を識別するというものだ。

(中略)

 今回3氏が発表したのはこれに代わる新たな技術。物や風景などの画像をランダムに回転させて提示し,正しい向きに直してもらうことで,人間かどうかを判別する。このシステムに採用する画像は,Web検索で得られるような大量の画像になるという。

 ただし,どんな画像でもよいわけではない。例えば,人間の顔,青い空,文字などが写った画像は不正プログラムが向きを判別できる可能性があるので,自動的に採用の対象から除外するという。また,抽象的な画像や平面的な画像など,人間にも向きの判別が難しいタイプの画像もある。こうした画像を除外するために,ユーザーに複数の画像を回転してもらい,大勢の人間の回答が一致しないような画像を対象から外すという。

なるほど、考えましたね・・・
これなら、人間以外は破れない、ってことになるんでしょうか。

今後の情報にも注目したいです。

<参考記事・このブログ>
「変形文字「CAPTCHA」はもう無意味?」

「偽のブログも自動作成」

「CAPTCHA、もう限界か?」

| | コメント (0) | トラックバック (0)

2009年4月21日 (火)

「人間工学に基づく設計戦略」

日経ITproの記事「セキュリティ人間工学と,バックオフィス詐欺防止テクニック」 からです。

まず、この記事の背景は以下のようなこと。

Web開発者が基本的にはユーザーを理解せずアプリケーション開発に従事している,ということである。特に,クライアント側での「保護」を強調するあまり,エンドユーザーに「セキュリティ」の責任を押しつけている。

(中略)

Web環境におけるこれら保護技術は万能の解決策ではなく,むしろWebアプリケーション自体のセキュリティ対策が不十分である。

そして、「セキュリティ人間工学」と題した講演を行そうで、その概要が以下の通りということです。

アプリケーションの高度化や高機能化が進んでいるせいで,セキュリティの脅威や攻撃手段はますます増えている。「必要なことはやった」としてユーザーにセキュリティの責任を押し付けるのではなく,こうした状況を改善するには何ができるだろうか。現状から前進するには,アプリケーションの設計/開発でセキュリティに関する人間工学を考慮する必要がある。

IT業界は,クライアント側に綿密なセキュリティ戦略を導入することで,セキュリティの責任を最終的なユーザーに押しつける傾向が強まっている。よく見てみると,これらセキュリティ保護策の多くはバックエンド・システムに移管可能だ。
移管すれば,改ざんやユーザー側での侵入の可能性が減るうえ,「フォールス・ポジティブ」(正当な行為を不正と誤判断すること)や「フォールス・ネガティイブ」(不正行為を正当と誤判断すること)に陥る可能性も少なくなる。企業の事業継続において,最大のリスクは自社のユーザーや顧客だ。企業はこの新たな脅威と向き合わざるを得ないため,人間工学に基づくアプリケーション設計戦略は今後ますます必要不可欠になるだろう。

うん、うん、その通りですね。
Webアプリケーションだけではなく、他のセキュリティ対策でも「エンドユーザーに「セキュリティ」の責任を押しつけている」というケースは多いですよね。
ということで、「人間工学に基づく設計戦略」は他でも必要不可欠だと思います。

| | コメント (0) | トラックバック (0)

2009年4月20日 (月)

平成21年春期の情報処理技術者試験

昨日は、平成21年春期の情報処理技術者試験でしたね。
新しい制度になっての初回の試験です。
既に、IPAのHPに問題が掲載されていました。(午後Ⅰ・Ⅱの解答は、例によって後日らしい)

ちなみに私は受験しておりません。
出題傾向は変わったのでしょうか。(変わってなさそうですが)
時間があるときに見てみるとします。

「情報セキュリティスペシャリスト試験(SC)」

午前Ⅰ
問題

解答

午前Ⅱ
問題

解答

午後Ⅰ
問題

午後Ⅱ
問題

| | コメント (10) | トラックバック (1)

2009年4月18日 (土)

スパムのインパクト

ITmediaの記事「スパムが地球温暖化に与えるインパクトは?」からです。

この記事は、スパムメール送受信に伴う温室効果ガス排出量について試算(11カ国でスパムメールの作成、保存、閲覧、遮断のために使われる電力消費量を計算し、地球全体に与える影響を試算)した報告書を発表した、というものです。

この記事によると

 スパムメール1通当たりの二酸化炭素(CO2)排出量は平均0.3グラム。年間のスパム流通量に換算すると、車で地球を160万周するのと同じ排出量になるという。

 電力消費の80%近くは、ユーザーがスパムを削除して正規のメールを探し出す作業のために使われていたという。スパム対策フィルタを使えば、年間で135テラワット時の電力が節約でき、約1300万台の車を減らすのと同じ量のCO2が削減できるといい、スパムはサイバー犯罪につながるだけでなく、環境にも悪い影響を与えるとことが分かったと結論付けている。

とのこと。

情報セキュリティの影響や損失を考えるとき、今後はこういう要素も考えるべきなのかなぁ、と考えてしまいました。

| | コメント (0) | トラックバック (0)

2009年4月17日 (金)

イベントレポート「THE SECURITY INSIGHT 2009」

COMPUTERWORLDに「THE SECURITY INSIGHT 2009レポート」が載りました。

去る3月17日に「THE SECURITY INSIGHT 2009」で「CIO/CISOの必要性-求められるものとそのキャリアパスへの考察」というセッションで登壇したのですが、そのときのレポートも掲載されています。

たくさん話したんですけど、記事になるとあっけないですね・・・(しかたないですけど)

それから、3月5日の「JASA情報セキュリティ人材育成セミナー2009 in Winter」のレポート
も出てました。
(こちらはイベントレポートが出るとは思ってませんでした)

そのうち、ここで他にどんなことを話したかなども書きたいと思います。

| | コメント (0) | トラックバック (0)

2009年4月16日 (木)

難易度?、合格率?

(今日は疲れ気味なので、短めにします)

試験制度関連の質問で、かなり頻繁に聞かれることです。
しかし、聞かれる側からすると「なぜ?」ということでもあります。
このブログでも検索キーワードの上位には、必ずこれらの言葉があります。

難易度や合格率によって、学習内容や受験する資格を変える(選択する)のでしょうか?
難易度が高く、合格率が低い資格はその価値が高いのでしょうか?

違いますよね・・・
いくつかの試験制度に関わっていますが、そのような考えではやっておりません、はい。

| | コメント (0) | トラックバック (0)

2009年4月15日 (水)

セキュリティイベント・メモ 5月~7月

て、私が参加しようとしているセキュリティ関連のイベントです。
個人的な備忘録も兼ねて、メモっておきます。

第6回 情報セキュリティEXPO

会期:2009年5月13日(水)~15日(金)
会場:東京ビッグサイト
同時開催展:
 ソフトウェア開発環境展
 データウェアハウス & CRM EXPO
 組込みシステム開発技術展
 データストレージEXPO
 RFIDソリューションEXPO
 ダイレクト マーケティングEXPO
 Web2.0マーケティング フェア
 グリーンIT EXPO

RSAカンファレンス2009

会期:
 カンファレンス: 2009年6月8日(月)~12日(金)
 展示会:6月10日(水)~12日(金)
会場:幕張メッセ
同時開催展:
  Interop TOKYO 2009
 IMC TOKYO 2009
  DSJ TOKYO 2009

オフィスセキュリティEXPO 2009

会期:2009年7月8日(水)~10日(金)
会場:東京ビッグサイト

この機会に、多くの方々とお会いできますように。(特に「RSAカンファレンス2009」)

ちなみに、こちらは、参加できませぬ・・・

| | コメント (0) | トラックバック (0)

2009年4月14日 (火)

ノートPCの持ち出し禁止問題

日経ITproで「ノートPCの持ち出し禁止問題を考える」という連載が始まりましたね。

ここでの「ノートPCの持ち出し禁止問題」とは「“いつでも、どこでも”利用するために生まれたノートPC。それが今、内部統制や情報漏洩対策の強化を理由に、持ち出しを禁止されたり制限されたりしている」ということです。

つまりこの方法は「リスク回避」であり、そのトレードオフとして何か失っているわけです。
それが組織にとって合理的判断なのか、まずそこを考えて欲しいものです。

これ以上の私の個人的な意見などは、この連載をもう少し見てから後日書きたいと思います。

といいながら、1つだけ感想を。
本当は、ノートPCだけでなく「情報の持ち出し禁止」を取り上げて欲しかったです。

| | コメント (0) | トラックバック (0)

2009年4月13日 (月)

「CIOいらない」

@ITの記事「「CIOいらない」、経営者の6割強が回答」からです。

このデータは、JUAS(社団法人日本情報システム・ユーザー協会)の「企業IT動向調査2009」 からのものです。

この記事によると、

 IT部門が経営層から期待されている領域」としては、「ビジネスプロセスの変革」が約8割、その期待に答えている企業は約7割という結果が出た。ただ、大企業の8割がCIOまたはIT担当役員を設置していながら「CIO」という役職を明確に定義している企業はわずか14%にとどまった。

 その理由としては「経営者がCIOを必要としていない」とする大企業が実に65%を記録。今後のCIO設置希望についても「社内に適任がいれば設置したい」が39%、「社外に適任がいれば設置したい」「外部コンサルタントなどにCIOの役を担わせたい」とする回答は極めて少数であり、CIOという役職そのもの、またIT経営におけるCIOの重要性に対する認知度の低さが浮き彫りとなった。

という結果が出たようで。

この結果の背景としては、多くの企業では、IT経営よりもさらに先立つ問題があるから、というのもあるのでしょう。
しかし、経営の効率化、経済先進国、IT先進国への道は険しそうですね。

<参考資料>
「企業IT動向調査2009」 ~JUAS

| | コメント (0) | トラックバック (0)

2009年4月11日 (土)

JPCERT/CCサイト、リニューアル

JPCERT/CCのサイトがリニューアルされています。

がらっと変わりましたね。

見やすくなったと思います。

<参考記事>
「脅威情報がすぐに分かるWebサイトに、JPCERT/CCがリニューアル」~ITmedia

| | コメント (0) | トラックバック (0)

2009年4月10日 (金)

「重要インフラ情報システム信頼性研究会報告書」公開

IPAのHP「重要インフラ情報システム信頼性研究会報告書の公開について」
で公開されています。

重要インフラ事業者以外にも、かなり参考になりそうな報告書です。

「重要インフラ情報システム信頼性研究会報告書」

・概要
 社会インフラとして広く国民生活に関係する情報システムの信頼性を確保するため、経済産業省の指導の下、IPAではJUAS(社団法人日本情報システム・ユーザー協会)と連携し、2者を共同事務局とする「重要インフラ情報システム信頼性研究会」(委員長:中尾 政之 東京大学大学院・工学研究科教授)を平成20年度に発足しました。
 今回、本研究会の活動成果としてまとまりましたので、「重要インフラ情報システム信頼性研究会報告書」として公開しました。
 本報告書では、情報システムの故障が国民生活に与える影響度を4つに分類したシステムプロファイル を定義し、それに対応すべき事項を提言しています。

※ 報告書は、こちら。
part1:重要インフラ情報システム信頼性研究会報告-総論

part2:システムプロファイリングの基本的な考え方

part3:システム障害事例の分析と対策指針

part4:情報セキュリティ対策の分析と検討

part5:信頼性向上に向けたシステム開発共通リファレンス

| | コメント (0) | トラックバック (0)

2009年4月 9日 (木)

セキュリティ・コスト削減「3つのキーワード」

COMPUTERWORLDの記事「セキュリティ・コストを削減に導く「3つのキーワード」」 からです。

「3つのキーワード」とは、
 ・統合
 ・SaaS
 ・セキュリティ・サービス

だそうです。

具体的には、以下の通り。

 「統合」とは、複数のセキュリティ機能を1つの機器に収めること、すなわちセキュリティ・ゲートウェイやUTM(統合セキュリティ管理)のことを指す。これまでばらばらに存在し、それぞれに運用コストが必要だったセキュリティ対策を、1つにまとめて管理性を高める。それが、「統合」の目指すところだ。

 2番目の「SaaS」は“Security as a Service”のことである。昨今注目されている“Software as a Service”のセキュリティ版ととらえると、わかりやすいだろう。SaaSのメリットは主に3つある。単体の機器などでは実現できないパフォーマンス、セキュリティ専門家の管理下にあるという安全性、そして直接管理する必要がないという管理効率である。

 最後の「セキュリティ・サービス」は、セキュリティ・ベンダーが提供するサービスをもっと活用しようという意味だ。例えば、前述した“脆弱性の解消”を実践するためには、どこに脆弱性が潜んでいるかを発見し、高度なセキュリティ知識と多くの人員を投入して、発見した脆弱性を解消する必要がある。また、セキュリティ対策で重要とされるPDCA(Plan-Do-Check-Act)サイクルを的確に回していくうえでも、ベンダーが有する知識は必須だ。高度なセキュリティ対策を適切なコストで施すための方策と考えていただきたい。

「統合」は「大きなトレードオフもあるよね」というところ。
「統合」というのは、単一障害点を作り出すことでもあるので・・・

「SaaS(Security as a Service)」は前回の記事で取り上げた「仮想化技術を利用したセキュリティソリューション」とともに、個人的に注目しているサービス(技術)です。

<関連記事>
「国内中堅・中小企業のIT予算、2009年度は約4割の企業で「減少」」~COMPUTERWORLD

| | コメント (0) | トラックバック (0)

2009年4月 8日 (水)

未来のセキュリティ技術

ZDNetの記事「シマンテック研究所が開発する、未来のセキュリティ技術」からです。

1つは「VIBES」という、仮想化技術を利用したセキュリティソリューション。もう1つは「DeepClean」という、ホワイトリストを作成するための技術、

の2つの技術が紹介されています。

まず、1つ目は・・・

 VIBESは、ユーザーのコンピュータ上にセキュリティレベルの異なる複数の仮想コンピュータ(VM)を設定し、ユーザーが利用しているアプリケーションやサービスに応じて、自動的にVMを切り替えるというものだ。

 例えばECサイトで商品を買うために個人情報を入力する場合は、「Trustedモード」と呼ばれるセキュリティレベルの高いVMに切り替わる。

Trustedモードではコンピュータが高い頻度でスキャンされ、不審なプログラムなどがインストールされている危険がないかを常に検査しているという。逆に、新しいソフトをインストールする場合などは「Playground」と呼ばれるVMに切り替わる。ここでは、万が一問題のあるプログラムをインストールしてもほかのデータやアプリケーションに影響が及ばないように、システム自体を切り出しているのだという。

続いて、2つ目は、

 DeepCleanは、世界中のユーザーがダウンロードしたソフトのデータを元に、安全なソフトウェアのリスト(ホワイトリスト)を作り上げる技術だ。

 (中略)

 具体的には、それぞれのソフトがどの開発元から配布されているかを見て、問題ない開発元であればソフトをホワイトリストに追加する。DeepCleanの導入企業は、それぞれのユーザーがどんなソフトをインストールしたかを管理画面で一覧できる。DeepCleanで集めた情報は、Symantecが企業向け製品の開発に利用するという。現在は実験段階で、米国、欧州、アジアの一部で試運用を始めているとのことだ。

どちらも面白そうな技術ですね。
これらの技術を現在のウイルス対策システムやフィルタリングシステムなどに、将来的には搭載してくるということでしょうか。
今後も注目したいと思います。(特に、仮想化技術を利用したセキュリティソリューションに)

| | コメント (2) | トラックバック (1)

2009年4月 7日 (火)

無料セキュリティソフト10選

CNET Japanの記事「無料でコンピュータの安全を守る、セキュリティソフト10選」
からです。

ここで紹介されているのは、以下の10製品。
※ (J)は、日本語版があるものです。

1.アンチウイルス:「AVG Anti-Virus Free Edition 8.5」(J)

2.スパイウエア・ボット対策:「Spybot-Search & Destroy」(J)

3.アンチウイルス:「avast! Home Edition」(J)

4.ファイアウォール:「ZoneAlarm Free Firewall」(J)

5.ファイアウォール:「Online Armor Free」(E)

6.ファイアウォール&アンチウイルス:「COMODO Internet Security」(E)

7.アンチウイルス:「Avira AntiVir Personal」(E)

8.スパイウエア対策:「Spyware Terminator」(E)

9.アンチウイルス:「PC Tools AntiVirus Free Edition」(J)

10.USBメモリ経由マルウェア対策:「Panda USBワクチン」(J)

「AVG Anti-Virus」や「ZoneAlarm Free Firewall」は、かなり有名な製品ですね。

実は、上記10製品を私ははすべて触ったことがありません。
いくつか試してみようかな・・・

| | コメント (0) | トラックバック (0)

2009年4月 6日 (月)

ISMSユーザーズガイド改訂版、調査報告書、公開

3/31に、JIPDECから以下の3つの文書が公開されていました。

「クレジット産業向け“PCI DSS”/ISMSユーザーズガイド 改訂版」

「法規適合性に関するISMSユーザーズガイド 改訂版」

「ISMS適合性評価制度に関するアンケート調査報告書」

この3文書の中で「ISMS適合性評価制度に関するアンケート調査報告書」の「審査員の力量」に注目してみました。

・コミュニケーション能力不足
・得意分野に集中した審査
・専門知識の不足
・審査の基準や評価のばらつき
・規格との整合性にばかりこだわる

などが気に掛かりました。

27000シリーズの規格やユーザーズガイドなどは充実してきましたが、現在の教育や試験では力量を担保するのは難しいと思います。
ここの問題を解決できなければ、制度的にもかなり苦しくなってくるのではないかと思っております。(あくまで、個人的見解です)

| | コメント (0) | トラックバック (0)

2009年4月 5日 (日)

「Cloud Security Alliance」が近く発足

ZDNetの記事「Cloud Security Allianceが近く発足--クラウドのセキュリティ確保を目指す」からです。

これは、米国で3/31に設立が発表された業界団体で「クラウドコンピューティングのセキュリティを確保するために最適な方策の普及促進と、クラウドコンピューティングを利用してそれ以外の種類のコンピューティングを保護する方法を提示していく」ということです。
詳細は、4/21にサンフランシスコで「RSA Conference」にて発表されるようです。
今後の活動に注目したいと思います。

ところで、日本ではこのような業界団体や研究会などは立ち上がらないんでしょうか。

<参考URL>
「Cloud Security Alliance」

| | コメント (0) | トラックバック (0)

2009年4月 3日 (金)

テキスト改訂×2

やっと4月になりました・・・
3月はいろいろと忙しかったです。来週からは少し落ち着くので、ホッとしております。

私が関わっているセキュリティ資格の2つのテキスト改訂が、この3月にほぼ終わりました。
どちらも夏にはお披露目になる予定です。
さらには新たな資格教育のテキスト作成にも近日着手します。

その際にはまた改めて、ここで紹介記事など書いてみたいと思います。

| | コメント (0) | トラックバック (0)

2009年4月 2日 (木)

世界規模のスパイ・ネットワーク「GhostNet」

日経ITproの記事「世界規模のスパイ・ネットワーク「GhostNet」,トロント大学らが報告」からです。

この記事によると、

 世界103カ国のパソコン計1295台以上がすでにGhostNetに取り込まれている。さらにその3割が外交機関や国際組織,報道メディア,非政府組織(NGO)といった,機密性の高い情報を扱うことの多い組織で使われているという。

 GhostNetはさまざまな機能を持っており,取り込んだパソコンを通じて政治的な機密情報にアクセスできる状態にあると同プロジェクトは指摘する。例えば,GhostNetに取り込まれたチベットのパソコンは,チベット仏教の最高指導者ダライ・ラマ14世の事務所から文書を取得可能な状態になっていたという。悪用されているパソコンは,中国からの攻撃により諜報ネットワークに組み込まれたと考えられる証拠もあるとしている。

とのこと。

機密性の高い情報を扱うPCを取り込んでいるというところに、個人的に興味深々です。
しかし・・・「ただし,このレポートでは攻撃の首謀者や動機についての明言を避けており,GhostNet用マルウエアがいかにして感染するかについても,明らかにしていない」とも書かれており、「肝心(知りたい)なのは、そっちなのに」とちょっと消化不良気味です。

| | コメント (0) | トラックバック (0)

2009年4月 1日 (水)

「国際情報セキュリティ調査2008」報告

CIO Onlineの記事「「国際情報セキュリティ調査2008」報告」からです。

なかなか興味深い調査報告ですね。
3/17の「THE SECURITY INSIGHT 2009、「CIO/CISOの必要性-求められるものとそのキャリアパスへの考察」というセッションをやったばかりなので、なおさら興味深いです。

この記事では、サマリーとして

結論から言えば、“企業の情報セキュリティ対策は、いまだに受動的で、能動的ではない”ということである。情報セキュリティの先進企業を目指すならば、監視ツールから得たデータを分析し、セキュリティ侵害の発生を予測・防止できるようにならなければならない

と書かれております。

つまり「やらされ情報セキュリティ対策」、かつ「対症療法的情報セキュリティ対策」にとどまっているということですね。

| | コメント (0) | トラックバック (0)

« 2009年3月 | トップページ | 2009年5月 »