「スマート・クラウド研究会」、7月にも立ち上げ

日経NETの記事「「クラウド」官民研究会、総務省が7月にも立ち上げ」からです。

　総務省は、ネットワーク経由でソフトやサービスを提供する「クラウドコンピューティング」事業の国内での拡大に向け、7月にも民間企業などとともに研究会を立ち上げる。この分野では米グーグルや同アマゾン・ドット・コムなどが独走し、日本の利用者は米国勢に取り込まれている。クラウド事業を育成していくことで、国内通信関連企業などの事業拡大を後押しする。

　「スマート・クラウド研究会」の座長には、大阪大学の宮原秀夫名誉教授が就く。日本IBMの大歳卓麻会長や、インターネットイニシアティブの鈴木幸一社長などもメンバーに入る予定だ。

日本でも、ついにというか、やっとというか、とにかく始まるようですね。

ところで、この記事で「クラウドコンピューティング事業の国内での拡大」がこの研究会の立ち上げ目的に見えますけど、ほんとにそれだけじゃないでしょうねぇ？
「セキュリティ」入ってますよね？？

ちょっと、心配になってきました・・・

＜関連記事・このブログ＞
・「Cloud Security Alliance」が近く発足

CIOの業務内容

CIO Onlineの記事「「CIO実態調査2009」に見る米国CIOの実像」からです。

いろいろな実態調査の結果が出ていますが、特に「CIOの業務内容」という項目が気になりました。

■CIOの業務内容

1．ITとビジネスの目標を調整
2．ITとビジネスのパートナーシップを育成
3．ITオペレーションとシステム・パフォーマンスの改善
4．リーダーとして変革を推進
5．新しいシステムとアーキテクチャの導入
6．業務革新の推進
7．ビジネス・プロセスの刷新
8．ITコストの抑制
9．ビジネス戦略の策定
10.競合他社との差別化
11.ITの危機管理
12.セキュリティ管理
13.ベンダーとの交渉
14.事業戦略と技術の開発
15.市場動向と顧客ニーズの調査

なるほど･･･

さらに、ITリーダーの最も重要な資質として、「長期的な戦略思考／プランニング」を挙げた回答者が、70%（前回は56%）ということです。

ということで、やはり「ITガバナンス」「エンタープライズアーキテクチャー（EA）」というようなところが落とし所になるのでしょうね。

「セキュア・ジャパン2009」正式公表

「セキュア・ジャパン2009 ～すべての主体に事故前提の自覚を～」が、すでに公表されていましたね。

さて、どうすれば自覚できるのか、自覚してくれるのか、それが問題だ…

＜関連資料＞
資料1-1 「セキュア・ジャパン2009（案）」に対する意見募集の結果の概要について 
   
資料1-2  「セキュア・ジャパン2009（案）」に対する提出意見の概要及び御意見に対する考え方
   
資料1-3  「セキュア・ジャパン2009（案）」の概要について 
   
資料1-4  「セキュア・ジャパン2009（案）」

金融庁が三菱UFJ証券に業務改善命令

ITmediaの記事「三菱UFJ証券、情報漏えいの再発防止について表明」からです。

今回、金融庁が三菱UFJ証券に出した業務改善命令は、以下のような内容です。

●業務改善命令の内容
1.情報が流出した顧客などの保護や被害拡大の防止に向けて、必要な措置を講じること
2.大量の顧客情報などを流出させ、顧客などに被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
3.今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
4.例えば以下の観点から、情報セキュリティ管理態勢の充実、強化を図ること。「部門間の牽制機能の確保」「外部委託先を含めた各種手続の運用実態の検証とその実効性の確保」「不正行為を可能とする一連の権限などの特定職員への集中状況の検証と、当該権限などの分断または幅広い権限などを有する職員への管理、牽制の強化」「不正行為の隠ぺい防止」
5.不正行為の未然防止に向けて、人事管理などの改善を図ること。特に、職業倫理の強化などを図る観点から教育、研修のあり方を見直し、適切に実施すること
6.3ないし5への対応状況を含めた情報セキュリティ管理などのあり方について、内部監査の充実、強化や外部監査の活用などにより検証し、その結果を踏まえてさらなる改善を図ること
7.1ないし6への対応状況について、2009年7月3日までに（および必要に応じて随時）に、書面で報告すること。併せて、これらの対応状況について、顧客などへの周知を図る観点から、その概要を公表すること。

●個人情報保護法律に基づく勧告内容
1.個人データの安全管理のための実効性のある措置を確保すること
2.個人データの安全管理を図るための従業者に対する監督を徹底すること
3.1および2への対応として行った措置について、2009年7月3日までに、書面で報告すること

逮捕された元社員が特権を持ちながら監視対象外だったというのが、「内部管理態勢が不十分」の最大の理由ということになるのでしょうね。

今までの報道記事などからの個人的な意見と感想ですが、「業務改善」以前に「組織改革」が必要な気がします。

＜関連記事＞
「三菱UFJ証券の元部長代理を逮捕　5万人分の顧客情報売却」～ITmedia

「「内部管理態勢が不十分」、金融庁が三菱UFJ証券に業務改善命令」～日経ITpro

「弊社元社員の逮捕について」～三菱UFJ証券株式会社 プレスリリース（2009.6.25）

「金融庁による行政処分について」～三菱UFJ証券株式会社 プレスリリース（2009.6.25）

「三菱ＵＦＪ証券株式会社に対する行政処分について」～金融庁

「組込みシステムのセキュリティへの取組みガイド」公開

IPAのHPで「組込みシステムのセキュリティへの取組みガイド」が、公開されています。

最近、「組込みシステム」「制御システム」のセキュリティが重要視されていますね。
（数年後には「組込みシステム」などという用語は使われなくなっていくような気がしていますけど）

●概要
　近年、産業機器や家電製品等は、これらの機器を制御するために機器の内部に組み込まれたコンピュータシステム、「組込みシステム」によって、高機能化や、ネットワークへの接続がなされています。このため、これらの機器に利用される組込みシステムもパソコンと同様、不正な利用を試みる第三者の攻撃ターゲットになりつつあります。
　しかし、組込みシステムの開発現場では、市場競争の激化による開発期間の短縮化やリソースの不足、開発途中での要求仕様や制約条件の変更等のために、セキュリティへの対応が後回しにされやすい現状があります。開発の最前線にいるエンジニアをはじめとして、責任者や経営陣がセキュリティに対してどのように取り組んでいくべきかが課題となっています。
　そこでIPAでは、開発プロジェクトの開発者・開発責任者・意志決定者（経営層）を対象として、組込みシステム開発関係者のセキュリティ意識向上と、よりセキュアな組込みシステムの実装を行うことを狙いとした、「組込みシステムのセキュリティへの取組みガイド」をまとめました。
　
【組込みシステムのライフサイクルにおける課題、対策等】
　本ガイドでは、組込みシステムのライフサイクルを「企画」、「開発」、「運用」、「廃棄」の4つのフェーズに分けると共に、組織としてライフサイクルを確実に実施するための重要な要素を「マネジメント」フェーズとして、それぞれについて説明しています。組込みシステムは製造メーカーにより企画・開発され、小売業者を経てユーザの手に渡り実際に運用されたのち、リサイクル業者等によって廃棄されます。組込みシステムに対する脅威は、運用フェーズだけでなく、その他のフェーズにおいても存在するため、それらのセキュリティ課題はあわせて解決しなければなりません。
　また、ライフサイクルの各フェーズにおける脅威と対策について述べるだけでなく、経営層・現場の双方が組込みシステムに関わる脅威を正しく認識し、「何をすべきか」を具体化するため、各フェーズにおけるセキュリティへの取組みの方針と、詳細な取組み内容を提示しています。

　具体的な項目は、以下の通りです。
１．マネジメント：セキュリティルール，セキュリティ教育，セキュリティ情報の収集
２．企画：予算
３．開発：設計，開発プラットフォーム選定，ソフトウェア実装，
　　　　　開発の外部委託における取組み，セキュリティ評価テスト・デバッグ，
　　　　　ユーザーガイド，工場生産管理
４．運用：セキュリティ上の問題への対応，ユーザへの通知方法と対策方法，
　　　　　脆弱性情報の活用
５．廃棄：機器廃棄方法の周知

・「組込みシステムのセキュリティへの取組みガイド」

EUがセキュリティ政策「CIIP」を推進

COMPUTERWORLDの記事「EUが対サイバー攻撃に本腰、セキュリティ政策「CIIP」を推進」からです。

この記事によると、EUのセキュリティ政策の推進は以下の通り、進むらしい。

　欧州連合（EU）がサイバー攻撃への対応力強化に取り組んでいる。「Critical Information Infrastructure Protection（CIIP）」と呼ばれる一連の政策計画が目指すのは、コンピュータ・セキュリティ危機への対応力の強化と、EU加盟国におけるインターネット・インフラの回復力向上だ。

　CIIPは、EUの行政執行機関である欧州委員会で今年3月下旬に採択された。同委員会の政策責任者であるアンドリー・グロリオーソ（Andrea Glorioso）氏は、6月18日にエストニアのタリンで開催された「Conference on Cyber Warfare」でプレゼンテーションを行い、大規模なサイバー攻撃やネットワーク・トラブルの発生時における加盟国の対応力強化をCIIPの大きな目的に挙げている。

　CIIPには幅広い施策が盛り込まれている。その1つは、EU加盟各国の政府系コンピュータ・セキュリティ機関、Computer Emergency Response Team（CERT）が果たすべき役割の設定だ。

　また、攻撃を受けたネットワークの迅速な復旧に向けて、民間セクターと政府の密接な協力を促進すると同時に、EU加盟国間の情報共有を強化する機関の創設も計画されている。

　さらには、欧州全体でのネットワーク・セキュリティ訓練の実施を視野に入れ、EU加盟国に国レベルでサイバー・セキュリティ訓練を行うよう呼びかける計画も含まれている。

　欧州委員会では、インターネットの安定性に重点を置き、ネットワークの堅牢性確保や、重要インフラの特定を目的とした原則とガイドラインの定義に取り組む方針も明らかにした。そのほか、サイバー攻撃情報を企業に配信するEuropean Information Sharing and Alert System（EISAS）のロードマップを整備するとしている。

米国オバマ政権もサイバーセキュリティは優先事項であり、対策を強化すると声明しています。
日本でも、もちろんセキュリティ政策が推進されているのですが、「どうもスピード感や本気度が違うなぁ」と思ってしまいます。(実際は、そうでもないのかもしれませんが)
つまり、そのように感じないように、もっと「本腰」にならないといけないのでしょうね。

＜関連記事・このブログ＞
・「米政府、サイバー攻撃対策を強化」

・「サイバー・セキュリティは優先事項」～オバマ政権

「IT統制の保証ガイド」日本語版、公開

ITGIのHPで「IT統制の保証ガイド（IT Assurance Guide）」日本語訳が公開されています。

あまり、「IT保証」という概念が普及していないので、この文書が少しでもそのきっかけになると良いのですが…

ところで、この文書は300ページを超えてますね。
じっくり読みたいのですが、それはいつの日になることやら…

併せて、「IS0/IEC 38500:2008 Adoption」日本語訳も公開されています。

こちらは薄いので、すぐ読めそうです。

ボットネットがデジタル資産に

ITproの記事「ボットネットは複数回売買できるデジタル資産に変化」からです。

この記事によると、つまり以下のような実態らしいです。

　マルウエアに感染したパソコンを売買するGolden Cashネットワークでは，感染したパソコン1000台を5～100ドルで購入して，これらを25～500ドルで販売している。購入価格は地域によって異なり，香港，台湾，日本，中国を含む極東地域では1000台当たり5ドル，オーストラリアでは100ドルとなっている。

　Finjanによれば，これらのパソコンは，新しい“オーナー”に購入されるごとに別のマルウエアに感染させられている可能性があるという。

なるほど・・・
つまり、ボットネットを作った側は直接手を下さなくても（ボットネットを使ってDDoS攻撃やスパムの大量配信などの行為をしなくても）儲かる、ということですね。
つまり、（地下市場では）これだけで立派なビジネスと動機になっている、ということ。

ワームや攻撃コードを作るというのも同じことですね。直接手を下さなくても、売れればいいわけです。
「作っただけでは、罪にならない」という法規制や考え方は見直さなければなりません。
ただし、「悪意を持って作った」ということが立証できないといけませんが・・・

「ITセキュリティ予防接種調査報告書」公開

JPCERT/CCのHPで「ITセキュリティ予防接種調査報告書」が公開されました。いっしょに「USBメモリ経由の感染機能を持つマルウエア調査報告書」も公開されています。

●ITセキュリティ予防接種調査報告書

JPCERT/CC では、2006年度および2007年度に、標的型攻撃についての調査を行いました。それらの調査から、「ITセキュリティ予防接種」は、比較的小規模な企業・組織にとって、電子メールに起因する情報セキュリティ上の脅威に対する適切な対応方法のみならず、情報セキュリティ上の脅威情報を組織内で共有する必要性に関する意識の向上を図る上でも、有効な教育手法であることがわかりました。

2008年度は、2007年度の基本的な予防接種実施手順を踏襲した上で、より幅広い業種と企業規模を対象に、2600人に予防接種を実施しました。

その結果から、企業の組織形態や従業員の属性に応じたITセキュリティ予防接種の効果を高める実施方法を考察し、報告書にとりまとめました。

・IT セキュリティ予防接種実施調査報告書 概要 

・IT セキュリティ予防接種実施調査報告書

●USBメモリ経由の感染機能を持つマルウエア調査報告書

近年、USBメモリをはじめとするリムーバブルメディアを経由して感染を広げるマルウエアが観測されるようになりました。

2008年末頃から世界的な話題になったDownad(あるいはConficker, Kido) と呼ばれるマルウエアも、変化の過程でリムーバブルメディアを経由して感染する手段を持ち、さらに感染を広げてきたと言われています。

このようなリムーバブルメディアを経由して感染するマルウエアに対して効果的な対策を実施していただけるように、マルウエアの特徴や被害実態を事例や分析結果の紹介をまじえて調査報告書にまとめました。

・USBメモリ経由の感染機能を持つマルウエア調査報告書

ITセキュリティ予防接種調査では、2回目のメール送信時に開封する者が減っていることから「学習効果あり」とされています。
確かにその通りなんですけど、これがどれだけ持続するのか、それでも開封する者はどうするか、そこが問題ですね。
（何度もこのブログで主張していますが）意識向上にも限界がありますので、これ以上は技術（こちらにも限界がありますが）を使う必要があると思います。

つまり、技術だけでも意識だけでも防げない、これらをうまく組み合わせ補完しながら、有効性を高めることが必要ということですね。

＜参考記事＞
「企業で起こる2つのセキュリティ脅威を知る――JPCERT/CCの報告書から」～ITmedia

「JPCERT/CCが報告書USBメモリ経由のマルウェア対策は？」～@IT

「「標的型攻撃」対策には“予防接種”が効果的、JPCERTが2600人で実証」～日経ITpro

パスワードを盗むつもりが盗まれる

日経ITproの記事「盗むつもりが盗まれる」――偽のパスワード解析プログラムに注意」からです。

この記事によると、以下のようなプログラムと手口のようです。

　プログラムの名称は「Gmail Hacker」。自分のGmailアドレスとパスワードを入力し、パスワードを盗みたい相手のGmailアドレスを入力すれば、そのパスワードが表示されるとしている。

　しかしながら、これらの情報を入力してスタートボタン（「Hack Them」ボタン）を押しても、最終的には「問題が発生しました。後で試してください」といったダイアログが表示されるだけ。目的とするパスワードが表示されることはない。

　解析したところ、このプログラムには攻撃者のメールアドレスが登録されていて、入力したGmailアドレスとパスワードは、そのアドレスに送信されるようになっていたという。

悪意を持ったやつが別の悪意を持ったやつにだまされる、ということですね。
「だったら、注意呼びかけなくてもいいんじゃない」と、ちょっと思ったりしましたが、そういうわけにも行きませんね。(これを使おうとしている人がすべて悪意を持っているわけではないので)

この記事を読んで、「『クロサギ』（漫画、映画、ドラマ）みたいな話だな・・・」と思ってしまいました。（詐欺師をだます詐欺師の話です）

約9割がフィッシング・サイトを見抜けない

日経ITproの記事「フィッシング・サイトを見抜けない米国ネット・ユーザーは約9割」からです。

この記事によると、

　米VeriSignは米国時間2009年6月15日，フィッシング・サイトに関する調査結果を発表した。それによると，米国のインターネット・ユーザーのうち，企業が運営するWebサイトそっくりのフィッシング・サイトを見抜けないユーザーは88％に達した。

　ブラウザの鍵マークがないことに気づかないユーザーが68％にのぼり，URLに正規のドメイン名ではなく数字を用いていることを見落としたユーザーは42％。また，本来なら不要であるはずの詳しいアカウント情報を要求されても不審に思わないユーザーは33％だった。

とのことです。

この記事では、対策も示されていて、「フィッシング・サイトでないことを確認するために，URLが「https://」で始まっていること，鍵マークがWebページ内ではなくブラウザのインタフェース上に表示されていること，正規のドメイン名であることなどをチェックするように」と書かれています。

また、こういう記事になると「教育や啓蒙が足らん・・・」という話になりそうなのですが、果たしてそれでよいのでしょうか。
「対策を知らない」というよりも、「いちいちチェックしてないよ（できないよ）」というのがこの結果だと思っています。
フィッシングやファーミングの手口も、今後さらに巧妙化と多様化していくことでしょうから、ユーザーだけに対策を押し付けるのではなく、ほとんどは技術（対策ソフトなどで検出する）でやっていかないと無理だろうと思っています。

パスワードの記憶の限界

日経ITproの記事「ネットユーザーの9割以上がID・パスワードを違うサイトで使い回し」からです。

この記事は、ユーザー1000人を対象にしたインターネットで使用するIDとパスワードに関する調査の結果です。

　ID・パスワードの設定方法では、回答者の25.8％が「ひとつに統一する」と回答。「いくつかのID・パスワードの中から選ぶ」を合わせると、と92.5％がID・パスワードを“使い回し”ていた。IDとパスワードを使ってログインするサイト数は、「ほぼ毎日使うサイト」が平均で6.7サイト、「たまに使うサイト」も平均6.7サイトで、合わせると平均13.4にも上る。

　一方、記憶可能なID・パスワードの数は、「2～3組」が54.5％で最も多く、「4組以上」可能な人は32％。平均では3.1組だった。また「1組」は8.8％で、「1組でも自信がない」も4.7％あった。ID入力が必要なサイトを「いつも使用する」頻度からみると、Webメール（42.5％）、ネットショップ（33.3％）、ネットバンキング（30.1％）の順だった。

ということで、およそ3.1組がパスワードが記憶できて使い分けられる限界ということのようですね。
ここに「定期的に変更」という条件がついたら、どうなるんでしょうね・・・
やはり、人間としてはここらが能力的限界ということでしょう。

ということで、世の中のほとんどのパスワードに関するガイドラインには実効性がない、ということにもなりますね。

＜関連記事・このブログ＞
・「3割のユーザーは同じパスワードを使い回す」

クラウド事業者に確認すべきこと

COMPUTERWORLDの記事「クラウド・プロバイダーと契約するときに確認したい“5つのポイント”」からです。

その5つのポイントとは、以下の通り。

＃1：現在利用しているアプリケーションは使えるか？

現在利用しているアプリケーションが、部分的に修正すればクラウド環境でも使えるのか、それとも完全に作り直さなければならないのかを見極めるのがいちばん大切だ

＃2：データの“地理的な”保管場所はどこか？

論理的な場所だけではなく、“地理的な”データの保管場所も教えてくれるクラウド・プロバイダーとつきあうのが望ましい

＃3：データ保護のための対策は？

クラウド環境においてセキュリティ要件を満たすためには、データの転送や保管の際にセキュア・プロトコルを用いた暗号化を適用したり、クラウド・プロバイダの提供するアクセス制御機構を入念にチェックしたりすべきだ

＃4：どんなサポート・メニューを用意しているか？

クラウドへの移行時には多くの問題が発生する。だが、大半のIT部門にはそれらすべてに対処している時間はないだろう。そこで、外部からの手助けが必要になる

＃5：サービスを解約した後はどうなる？

契約を解除した場合はどうなるのか。
クラウド導入の検討時には、アプリケーションのポータビリティ（移植性）も考慮すべきである。「データをクラウドに置く場合、それを“取り戻す”方法についてもあらかじめ検討しておく必要がある。

さらに、もう1つ、こういう記事もありました。

ITmediaの記事「クラウド事業者に聞くべき15の質問」です。

ここで挙げられている15の質問の項目と、これの対策が講じられている場合のメリットは以下の通りでした。

●必須項目
1.だれがIDを管理するのか
2.目的に沿ったほかのサービスとの連係をどのように実現しているのか
3.データをどのように利用し、どのように守るのか
4.ユーザーが利用するすべてのインフラをどのように知ることができるか
5.利用者やデータ、アプリケーションが信頼できるということをどうやって確認するのか
6.クラウド型アプリケーションを、法規制などに適切に従って利用するにはどうすべきか
7.クラウドと従来の情報システムをどのように相互利用すればいいか
8.問題があった場合、だれに連絡をすればいいのか

●特に懸念すべきセキュリティ上の課題
1.サービス提供者のリスク管理手腕がどのようなものか
2.アプリケーションをクラウド化する際のセキュリティへの影響
3.信頼できるクラウドスタックが構築されているか
4.セキュリティ要件と法規制などに準拠しているか
5.実データはどこに存在しているのか
6重要データと実施可能なセキュリティ対策の影響度
7.サービス事業者の障害対策に柔軟性があるか

　クラウドサービス事業者が適切なセキュリティ対策を講じている場合、以下のようなメリットをユーザーは享受できるという。

・セキュリティとデータ管理がサービスの基本に位置付けられている
・セキュリティが考慮された拡張性のある共有サービスを利用できる
・コンプライアンスがサービスに組み込まれている
・クロスドメイン環境である
・IDとアクセス権が統合されている
・構成や変更の管理、アップデート管理が適切に行われる
・個人情報の保護プロセスが透明である
・事業継続性が提供される

リスクの見直し、SLAの締結（まずは水準の決定）、第三者による保証・・・、これらが必要ということになる、と私は考えてます。

＜関連記事・このブログ＞
・「クラウドへの移行は、IT資産の制御権を手放すこと」

・「クラウド・コンピューティングのリスク」

ワイヤレス・ネットワークを脅かす新手のDoS攻撃

COMPUTERWORLDの記事「ワイヤレス・ネットワークを脅かす新手のDoS攻撃に注意せよ」からです。

この記事では、以下の5つがワイヤレス・ネットワークへの新手のDoS攻撃として挙げられています。
今後は、有線ネットワークからのDoS攻撃よりも、大きな脅威になるかも・・・

●シグナリングDoS
　この攻撃は、ネットワーク内のアクティブなモバイル・セッションを悪用するものである。この攻撃では、セッションの切断後に少量のデータを送信して、セッションを再開させる。これによって、RNC（Radio Network Controller）上で輻輳が発生して大きな負荷がかかるろ、加入者向けサービスが不能になってしまう。

●バッテリー消耗
　この攻撃も、ネットワーク内のアクティブなモバイル・セッションを悪用するものだ。モバイル・デバイスにパケットを送信し続けてセッションを保ち、デバイスをスリープ・モードに入らせない。例えば、10秒ごとに40バイトのデータを送りつけるといった具合だ。これによって無線リソースを浪費させ、モバイル端末のバッテリーを消耗させる。

●ピア・ツー・ピア（P2P）アプリケーション
　Bell Labsでは、ある1人の加入者がP2P Webサイトを過度に利用した結果、北米のあるキャリアの3G（第3世代）携帯ネットワークのパフォーマンスに悪影響を与えていたことを発見した。この加入者は、5,000のeDonkeyサイトおよび3万7,000のGnutellaサイトと通信しながら、1GBのデータをアップロードし、3.5GBのデータをダウンロードしていた。

●無線カードの不正使用
　上述した北米の携帯キャリアでは、無線カードの不正使用に起因する過負荷によって、サービス・トラブルに見舞われたこともあった。Bell Labsが不正なデバイスを突き止めるのに数人月を要した。

●頻繁なポート・スキャン
　Bell Labsは、上述のキャリア・ネットワーク上で、ワームとポート・スキャンによって大量のリソースが浪費されていたことも発見した。このワームは、ポート135番、137番、1026番、5900番に対する攻撃を行っていた。

コラム「人的セキュリティと従業員の教育」

u-Kanagawa推進協議会のHPの情報セキュリティコラムで「人的セキュリティと従業員の教育」というタイトルで書かせていただき、先日掲載されました。

とにかく、最近は非技術的な領域も、科学的かつ体系的に分析していこう、というアプローチをしております。
杓子定規なセキュリティから脱するためには、必要かつ重要なアプローチだと思っています。
今回もそうした視点で書いてみました。

そういえば、「そういう視点が、もはや文系出身者とは思えないよね」と先日も言われました。
文系＝杓子定規で体系的でない、というイメージは一般的にあるようで。
それより、「文系」「理系」という分類で違う人種、というような見方自体、「もう、やめましょうよ」と、私は言いたいのですけど。

＜関連記事・このブログ＞
・非技術的領域こそ、科学的に・・・

セキュリティ川柳大賞、決定

2008年度JNSA川柳大賞が決定しました。

大賞は、
「フィッシング　サケマス釣らず　カモを釣る（セキュ老人）」　
でした。

ちなみに、私もこの作品に投票しました。

詳しくは、以下をご覧ください。（他にもたくさんの川柳が載っています）

●セキュリティ強化川柳 作品一覧～JNSA

ソーシャル・ウェブで注意すべき4つのポイント

COMPUTERWORLDの記事「Web 2.0時代のセキュリティ――ソーシャル・ウェブで注意すべき4つのポイント」からです。

私も、このブログをはじめ、いくつかソーシャル・ウェブを使っていますので、以下の4つのポイントは納得できるものですね。
そういえば、「インターネットの脅威の最新動向」というような話をする際、最近はこの4つはすべて話しているような気がします。

1. ブログやフォーラムの投稿は、ほとんどが迷惑コンテンツと考えよ

ブログやフォーラムに投稿された85％が迷惑コンテンツ（スパムやマルウェア）で、そのうちの5％がマルウェアや詐欺、フィッシングの被害につながっていることが判明している。

2. Google検索結果の上位サイトでも疑ってかかるべし

検索サイトの検索結果の上位に、悪意あるコードやスパムをばらまくWebサイトを表示させるSEOポイズニングが、サイバー犯罪者の間で広く用いられるようになってきている。

3. 偽ウイルス対策ソフトウェアには要注意

ユーザーからクレジットカード番号などの個人情報を手に入れるために、いわゆる「偽ウイルス対策ソフトウェア」を使うサイバー犯罪者が増えている。

4. ソーシャル・ネットワーク上だけの“トモダチ”を信用するな

「Twitter」上において、「Web 2.0系技術を利用したWebサイトにおいて、パーソナルなソーシャル・ネットワーキングを介して広がる脅威が深刻化している。“トモダチ”からでも、不審なメッセージは真に受けるべきではない」

ボットネットISPを遮断、スパムが一時的に減少

COMPUTERWORLDの記事「FTCが悪名高いボットネットISPを遮断、スパムが一時的に減少」からです。

つまり、遮断が一時的にしか効果がなかった、ということです。

この記事によると、

　米国の連邦地裁は6月2日、FTCからの申し立てに応え、「Pricewert」という悪名高いISPに対する業務停止命令を下した。
　FTCによると、Pricewertはウイルスはスパイウェア、フィッシング、児童ポルノといった犯罪の温床になっていたという。「Pricewertはオンライン・セキュリティ・コミュニティからの度重なる業務改善要求を無視したうえ、捜査の目をごまかすために犯罪行為が行われているIPアドレスを変更するなどして、犯罪者を積極的にかくまっていた」（FTCの声明より）。
　Pricewertは「3FN」や「APS Telecom」といった別名義でもISP事業を展開していたが、複数の上流ISPが同社へのサービス提供を停止したことで、インターネットから完全に遮断されることとなった。
　電子メール・セキュリティ・ベンダーである英国Marshal8e6によると、Pricewertの遮断により、先週のスパム・メールの流量は約15％減少した。「先週半ばから週末にかけてかなり減少した。以前と比べてずいぶん静かになった」と、Marshal8e6のアナリスト、フィル・ヘイ（Phil Hay）氏は証言している。

（中略）

　昨年11月には、ボットネット運営者にサービスを提供していた米国のISP、McColoが同じようにインターネットから遮断されている。このケースでは、スパムの流量は最大で50％近くも減少し、元の水準に戻るまでには数カ月かかった。　だが、今回のPricewertのサービス停止では、McColoほど劇的な効果は見られなかった。米国Cisco Systemsの調査データによると、スパム件数は先週末に30％ほど減少したものの、6月7日から8日にかけて早くも元の水準に戻っているという。

　セキュリティ専門家の間では、スパマーがMcColo事件を教訓として、ボットネットを制御するサーバの“バックアップ・システム”を用意したのではないかと見られている。非営利のスパム対策組織、Spamhaus ProjectのCIOを務めるリチャード・コックス（Richard Cox）氏は、「McColoのときとはまったく異なる結果だ。スパマーたちはサービス停止を予期していたのだろう」と述べている。

とのことです。

McColoと時には数ヶ月かかったのが、今回は4～5日。
すでに想定されていて、あらかじめ対応もされていたということですね。(事業継続性、高い・・・)

＜参考記事＞
「米連邦地裁が悪徳ISPに業務停止命令、FTC発表」～ITmedia

会社のセキュリティルールは破って当たり前

ITmediaの記事「会社のセキュリティルールは破って当たり前、実態調査で明らかに」からです。

　この記事によると、「多くの企業で、従業員が社外秘情報をUSBメモリにコピーして持ち出したり、同僚と同じパスワードを使ったりするなど、会社のセキュリティポリシーを無視した行為が日常化している」とのことで、以下のような調査結果が出たようです。

　従業員の69％が社外秘などの情報をUSBメモリにコピーしていると回答。しかし、会社のポリシーでこのような行為が認められているのは13％のみで、48％がポリシーに従っていないことが分かった。
　USBに記録した情報を、会社のネットワークに所属しない別のコンピュータにコピーしているとの回答も61％に上った。

　「個人で使うインターネットソフトを会社のコンピュータにダウンロードしている」という従業員は53％、「職場のコンピュータのセキュリティ設定やファイアウォールを無効にしている」は21％、「同僚と同じパスワードを使っている」は47％。「情報を記録したリムーバブルメディアを紛失したことがある」と答えた43％のうち、72％はすぐには会社に届け出なかったと打ち明けた。

　58％は「情報セキュリティポリシーについて、会社が適切な研修を実施していない」と答え、約半数では「従業員や管理職はセキュリティポリシーをほとんど無視している」という実態にあることが分かった。

ある程度は、そうだろうとみんな思っているのでしょうが、実際に調査データがでてくると、やはりインパクトありますね。
「破って当たり前」という記事ですが、「破られて当たり前」という読み方もあると思います。

さらに、以下のような記事もありました。

「ITスタッフの3分の1が機密データのぞき見」～ITmedia

　データセキュリティ企業Cyber-Arkが米国と英国の上級ITスタッフ400人を調査したところ、35％が機密情報ののぞき見を認め、74％は仕事に関係のない情報にアクセスできると答えた。
　12カ月前の同様の調査では、のぞき見を認めたITスタッフは33％だった。

　Cyber-Arkによると、のぞき見が最も多かったのは人事記録で、それに顧客データベース、M＆Aの計画、レイオフリスト、マーケティング情報が続く。

　「もしも解雇されたらどのようなデータを持ち出すか」という質問に対しては、「機密データ」「競争上のアドバンテージや企業セキュリティの維持に欠かせない情報」という回答が1年前に比べて大幅に増えたという。
　財務報告書やM＆A計画を持ち出すと答えたITスタッフは6倍に増え、CEOのパスワードや研究開発計画を挙げたスタッフは4倍に増えた。

形式的なルールとありきたりな従業員教育（まず、それも不十分ということ）だけでは、対策になってないってことが、またまた確認された記事でした。

＜関連記事・このブログ＞
・「退職社員の6割が社外秘情報を持ち出し」

・「明日解雇されるなら、機密情報を持ち出す」

オンライン犯罪のサプライ・チェーン

ITmediaの記事「役割分担で効率化：オンライン犯罪で形成されるエコシステム」
からです。（RSAセキュリティの報告会の記事）

　オンライン犯罪で、「攻撃者の組織化や分業化によってエコシステムが形成され、犯罪の手口がますます巧妙化している」とのことです。

　さらに具体的には「攻撃者の集団は役割に応じて犯罪の企画・指揮、換金などを行うグループと、実際に個人情報やクレジットカード情報を盗み出す2つのグループに分かれる。2つのグループは、インターネット掲示板やチャットを介して綿密に連絡を取り、情報の売買を行う。しかし、実際のやり取りはオンライン上でのみ行われ、直接相対するようなことはない」　「掲示板にはいくつものコミュニティーがあり、数千もの犯罪者が参加している。コミュニティーに入るには管理者の承認が必要で、例えば盗んだ個人情報で実際に金銭を引き出せることを証明し、管理者の信頼を得るといったことで参加できる」ということです。

   表の世界では、情報セキュリティ専門家のコミュニティつくりに苦労しているのに、裏の世界（アンダー・グラウンド）では攻撃者のコミュニティやさサプライ・チェーンがしっかり確立できているなんて、皮肉なことで。

それから、このサプライ･チェーンのプロセスは、以下の通りのようです。

・掲示板に「クレジットカード情報がほしい」などと企画者グループが書き込み、犯罪を持ちかける
・実際に情報を盗み出すグループが、トロイの木馬などのマルウェアや詐欺ツール、攻撃サーバなどを用意
・対象先を選定し、攻撃する
・盗み出した情報を企画者グループに売り込み（もしくは共有化）
・企画者グループは、「Mules」（運び屋）を介して送金を繰り返し、第三国で現金化する

なるほど・・・

（個人的には）まずは、表の世界のコミュニティつくりとサプライ・チェーンの確立が必要だな、と再認識しました。
裏（アンダー・グラウンド）でできることが、表ではできないなんて言ってられませんよね・・・

＜参考記事＞
・「「CEOのアドレスは50ドル」---オンライン不正行為のサプライ・チェーンを認識せよ，RSAが説明会」～日経ITpro

SSCP、日本での試験開始

本日(ISC)2 Japanのサイトで、SSCPの日本での試験開始がリリースされています。
「RSAカンファレンス2009」の会場でも展示されています。

ちなみに、この件は私も(かなり)関わっております。

●取得して欲しい層
•非セキュリティ専門家でセキュリティ知識を必要とされる職種の方々（情報システム監査人、アプリケーションプログラマー、システム・ネットワーク・データベースアドミニストレーター、システムアナリスト、システム・ネットワークオペレーターなど）
•セキュリティ専業経験1－3年のセキュリティアドミニストレーター、ネットワークセキュリティエンジニア、セキュリティシステムアナリストの方々で、自身のセキュリティ知識をより体系化、グローバル標準で理解をしたい方々

●SSCP CBK 7ドメイン
・アクセス制御 (Access Control)
・分析とモニタリング (Analysis and monitoring)
・暗号学 (Cryptography)
・不正なコード (Malicious code)
・ネットワークと通信 (Networks & Communications)
・リスク、対応、復旧 (Risk, response & recovery)
・セキュリティの運用と管理 (Security operations and administration)

●認定試験
•出題形式：125問多肢選択式（四者択一）
•試験時間：3時間
•受験料金：52,500円（消費税込）

レビューセミナーも9月から開催されます。

それから、「CISSP-行政情報セキュリティ（ISSJP）」が、「日本行政情報セキュリティプロフェッショナル（JGISP）」に移行することも同時にリリースされています。

「SANS Future Visions 2009 Tokyo」

「SANS Future Visions 2009 Tokyo」の申し込みが始まっています。

今年のテーマは、「情報セキュリティパラダイムの次なる変革に向けて」です。
（情報セキュリティのパラダイムシフトは、これから加速していくでしょう）

開催日程が、「CSR/内部統制ソリューション2009」と重なってしまっているので、私は参加できないかも。
（会場が近所なので、ゆりかもめに乗って掛け持ち可能？）

●「SANS Future Visions 2009 Tokyo」
会　期：2009年7月16日（木）～17日（金）
会　場：ホテル日航東京
主　催：SANS Institute
後　援：NPO　日本ネットワークセキュリティ協会 （JNSA）
特別協賛：NRIセキュアテクノロジーズ株式会社 
協　力：株式会社IDGジャパン

「ウェブサイト構築事業者のための脆弱性対応ガイド」など、公開

IPAのHPで、「ウェブサイト構築事業者のための脆弱性対応ガイド」「情報システム等の脆弱性情報の取扱いに関する研究会2008年度報告書」などが公開されました。

関連文書まで含めると、かなりたくさんあって、適切な対応以前に、体制や基準など全体像を理解するのが大変です。
まず、そのためのガイドということですね、たぶん。
ということで、このガイドから読んで段階的に理解を進めましょう。

●概要
　IPAでは、情報サービス事業者、セキュリティベンダー、セキュリティに関する有識者など約20組織に対して、昨年10月から本年3月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。

　このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予算が十分に確保されていないケースが少なくないことが判明しました。また、「情報セキュリティ早期警戒パートナーシップ」への届出の半数を占めるクロスサイト・スクリプティングやSQLインジェクション脆弱性に関しては、ウェブサイト構築時の原因も多く、ウェブサイト構築者が脆弱性対策への意識をいっそう高める必要がある、などの課題が浮き彫りとなりました。

　このような問題に対応するため、「情報システム等の脆弱性情報の取扱いに関する研究会」では、ウェブサイトの責任者向けに、脆弱性対策の重要性を簡潔に記したパンフレット「情報システムを安全にお使いいただくために」を作成しました。また、情報サービス企業の技術者やウェブデザイナー、企業内でウェブサイト構築・運用を担当する技術者向けに、JISAガイダンスを補足する資料として、システムの納入前や納入後に考慮すべきことをまとめた「ウェブサイト構築事業者のための脆弱性対応ガイド」を作成しました。

・「情報システムを安全にお使いいただくために」(全4ページ、273KB）」
・「ウェブサイト構築事業者のための脆弱性対応ガイド(全20ページ、1.32MB）」
・別添：「研究会2008年度報告書」

■報告書の構成（目次）
1. 情報セキュリティ早期警戒パートナーシップの現状と課題
　1.1. 背景
　1.2. 運用の状況
　1.3. 普及啓発の状況
　1.4. 本年度研究会における検討

2. 脆弱性対策の普及・啓発に係る検討
　2.1. 対策促進に関する課題
　2.2. 情報サービス事業者等が活用可能な普及・啓発資料の策定
　2.3. 普及・啓発に係る方策の検討

3. 組込みシステムの脆弱性に係る検討
　3.1. 対策促進に関する課題
　3.2. 組込み製品の情報セキュリティ機能に係るユーザ向け普及啓発資料の策定
　3.3. 組込み製品の情報セキュリティ機能のユーザ向け説明記載等のあり方の検討
　3.4. 組込み製品における脆弱性の検討

4. パートナーシップの強化・浸透に係る検討
　4.1. パートナーシップ関係者間の関係強化
　4.2. 脆弱性発見から対策適用までの分析・検証能力の強化
　4.3. 暗号アルゴリズム及びプロトコルの脆弱性の取扱い

5. JVN/パートナーシップの目指すべき方向性と展開に係る検討
　5.1. 海外の関連研究動向を踏まえたJVN機能の方向性
　5.2. 長期化案件への対応方針の検討
　5.3. 情報セキュリティ早期警戒パートナーシップガイドラインの修正に関する検討
　5.4. 今後の課題

別紙1. 「情報システム等の脆弱性情報の取扱いに関する研究会 名簿」

別紙2. 「情報セキュリティ早期警戒パートナーシップガイドライン 改訂案」

「CSR/内部統制ソリューション2009」

「CSR/内部統制ソリューション2009」が、来たる7月15日(水)～17日(金)で開催されます。

●CSR/内部統制ソリューション2009
・テーマ：企業価値を高めるコンプライアンス経営 
・目的：社会から要請される高度な倫理観と法令遵守を確立し、継続的な企業活動とリスクに対応できる経営をつくり、もってわが国産業界の発展に貢献する
・主催：社団法人日本経営協会、東京商工会議所
・後援：経済産業省、法務省、環境省、金融庁
・協賛：株式会社東京証券取引所、社団法人経済同友会、
社団法人日本内部監査協会、日本公認会計士協会、
日本税理士会連合会、日本取締役協会、日本CFO協会、
社団法人日本病院会、内部統制・コンプライアンス推進協会、
社団法人日本情報システム・ユーザー協会
日本セキュリティ監査協会
・会期：2009年7月15日（水）～17日（金）　3日間
・開場時間：午前10時～午後5時
・会場：東京ビックサイト（東京国際展示場）東展示棟

私は7月16日(木)に、「情報セキュリティ確保のための監査人育成」というセッションで登壇いたします。

ご興味のある方、ぜひお越しください。

タイポ・スクワッティングが多いドメイン

TECHWORLDの記事「入力ミスを攻撃につなげる──タイポ・スクワッティング」
からです。

タイポ・スクワッティングについては、このブログではかなり以前に書きましたが、この記事では「タイポ・スクワッティングが多いドメイン」が示されています。

やはり、ユーザーが多いサイトのドメインが狙われるようで。

＜参考記事・このブログ＞
・「タイポスクワッティング」攻撃とは

クラウドへの移行は、IT資産の制御権を手放すこと

日経ITproの記事「クラウド・コンピューティングによる情報セキュリティの変化」からです。

この記事では、クラウド・コンピューティングによる情報セキュリティの変化を「最高情報責任者（CIO）/最高セキュリティ責任者（CSO）の観点だと，クラウド・コンピューティングへの移行は「コスト削減手段」にとどまらず，「IT関連資産の制御権を優雅に手放す変化」と表現しています。

なるほど・・・
「IT関連資産の制御権を優雅に手放す変化」とは、今までなかった表現ですね。

さらに、

クラウド・コンピューティングへの移行がIT資産の制御権を思い切って手放す行為なら，手放し方をきちんと考えなければならない。我々が「十分な安全性とはどの程度なのか」と「十分な安全性は何らかの確実性の高い情報でどのように予測されたのか」を自問できるようになったことについて，筆者がどう記したか覚えているだろうか。確実性の高い情報は，クラウド・コンピューティングによって失われようとしている。これらの情報は，潔くあきらめなければならない「制御権」の大きな構成要素でもある。そこでどうなれば「十分に安全」なのか理解するために，クラウド・コンピューティング業者に「確実性がどの程度なのか」尋ねることとなる。その結果，確実性が不十分だったら，どの程度の透明性があれば十分だろうか。さらに情報分析を行うとしたら，許容できる不確実性の程度を決めることにしよう。

と続いています。

「透明性」と「不確実性」の程度を決める、これも重要キーワードでしょうね。

＜関連記事・このブログ＞
・クラウド・コンピューティングのリスク

企業PCの9割はセキュリティに不備

ITmediaの記事「企業PCの9割はセキュリティに不備」からです。

英Sophos社の調査の結果です。

まずは、パッチが適用されていない割合が、

Windows OS（59.1％）
Office（36.3％）
Internet Explorer（19.7％）
Media Player（12.7％）
Flash Player（7.1％）

とのこと。

ウイルス対策ソフトとファイアウォールについては

ウイルス対策ソフトが無効になっていたり最新の状態になっていないPCは全体の24％を占め、ファイアウォールが無効になっていたり、まったく検出されなかったりしたPCは49％

とのこと。

「やってます」と「できてます」は、違うということですね。

「セキュリティ取り組み状況に関するチェックシート」公開

JNSAの情報セキュリティランキングWGで策定された「セキュリティ取り組み状況に関するチェックシート」が公開されています。

「セキュリティ取り組み状況に関するチェックシート」

概　要：
このチェックシートは、JNSA情報セキュリティランキングWGで企業評価のために開発されたセキュリティ取り組み状況のチェックシートです

シートのダウンロードはこちら。

個人的には、このシートを使った企業がどんな分布をするのか、興味があります。

米政府、サイバー攻撃対策を強化

NIKKEI NETの記事「米大統領、サイバー攻撃対策を強化　ホワイトハウスに新組織」
からです。

　オバマ米大統領は29日の記者会見で、インターネットを通じてハッカーが国家の機密情報を盗んだり、情報システムを破壊したりする「サイバー攻撃」への安全保障政策を強化すると表明した。「サイバー上の脅威は国家の最も深刻な問題の一つ」と強調。ホワイトハウスに新組織を設置し、調整官を任命すると発表した。

　米政府では通信傍受にあたる国家安全保障局（NSA）や米軍などが対応にあたってきたが、ホワイトハウスで対策を一元化する。大統領はアルカイダなど国際テロ組織によるサイバーテロにも警戒する必要があると指摘した。

　民間企業とも協力すると表明。ただ「インターネットは開放的で自由でなければならない」とも語り、過度な政府規制はしないと明言した。

「サイバー上の脅威は国家の最も深刻な問題の一つ」「インターネットは開放的で自由でなければならない」、このあたりの考え方が日本とは、かなり違うような気がします。

そういえば、日本ではサイトの改ざんが放置されていたようですね。（関連記事をご参照ください）
違うのは、考え方だけではなさそうです。

＜関連記事＞
・「米政府，情報インフラのセキュリティ対策強化に向け“調整役”新設へ」～日経ITpro

・「厚労・国交省、公式サイトのハッカー攻撃を長期間放置」～Yahoo!ニュース

非技術的領域こそ、科学的に・・・

早いもので、もう6月ですね。
5月は、人的セキュリティに関する話や執筆をする機会が何度かありました。

人員の役割と責任、教育と訓練、不正、ヒューマンエラー、ソーシャル・エンジニアリング、詐欺・・・、とそのあたりの話ですね。

そこでも話したり書いたりしたことなのですが、人的セキュリティということになると、どうも精神論とか経験だけに頼った話や記事が多く、私にとっては釈然としなかったのです。（「性善説」と「性悪説」なども、同様ですが）
「こういう非技術的領域こそ、科学的なアプローチが必要」というのが、最近（だけではないのですけど）の私の持論です。
体系的かつ分析的に、それこそが実効性のある人的セキュリティにつながると考えております。

このブログで、何度か「ソーシャル・エンジニアリング」や「人間の特性」を取り上げていたのも、このような理由も大きいのです。

このあたりの話、どこかに掲載された暁にはこのブログでも紹介したいと思いますし、今後もここで何度か取り上げたいと思います。

＜関連記事・このブログ＞
・なぜ人はソーシャル・エンジニアリングにだまされるのか（1）
・なぜ人はソーシャル・エンジニアリングにだまされるのか(2)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(3)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(4)
・なぜ人はソーシャル・エンジニアリングにだまされるのか(5)

・「人間の特性 8か条」
・「6つの人間の脆弱性」