« 2009年6月 | トップページ | 2009年8月 »

2009年7月の記事

2009年7月31日 (金)

利便性と安全性を両立する USBメモリの暗号化

COMPUTER WORLDの記事「管理者必見! USBメモリの暗号化テクニック  利便性と安全性を両立する」からです。

情報セキュリティでは、情報漏えいやウイルス感染などのリスクから悪者または厄介者扱いされがちのUSBメモリです。
しかし、本来は「便利な道具」です。そこで「利便性と安全性を両立する」ことで使いましょう、というのがこの記事ですね。

この記事では、リムーバブル・メディアを暗号化する際の考慮事項として、以下のものが挙げられています。

•リムーバブル・メディアの暗号化製品が、ハードディスクの暗号化にどのような影響を与えるか
•現在使用している暗号化ソフトウェアと互換性に問題はないか。
•どのレベル(ファイルあるいはフォルダ)で暗号化が実行されるか
•OSなどのプラットフォームに依存しない技術をサポートしているか
•パスワードが盗まれた場合に、管理者側でそのパスワードを無効にしてセキュリティ・ロックを外すことができるか
•メディアからデータを完全に除去する機能が搭載されているか

さらに、お勧めの機能として、以下のものが挙げられています

・デバイスに対するアクセス制御
 管理者が明示的に承認したデバイス以外へのアクセスをすべて遮断する。これによって、デバイスの容量を制限したり、私的に持ち込んだデバイスの仕様を制限したりすることができる。

・パーソナル・デバイスへのアクセス制御
 デジタル・カメラやiPodといったストレージを持つデバイスをネットワークにつなぐと、自動的に切断される。

・ファイル・コピー制御
 ユーザーは、管理者が許可したデバイスのみにデータを格納できる。データを転送する際には監査記録が取られる。

・暗号化鍵
 信頼度が最も高いのは、暗号化にデジタル暗号鍵を用いるタイプの製品である。各ユーザーに個別の暗号鍵を与え、その鍵がなければデータにアクセスできないという寸法だ。複数のユーザーでデータを共有したい場合は、グループ暗号化鍵とパスワードを用意すれば、どのコンピュータからでもアクセスできるように設定できる。

・既存のデータに関するオプション
 データがすでに格納されているデバイスを暗号化する場合、事前にデータをバックアップするオプションがあると便利だ。リムーバブル・メディアの場合は、データを暗号化せずに保存することも可能だと利便性は高まる。

・セットアップと実装が容易
 セットアップが容易で、包括的なセキュリティ・インフラを提供し、かつ既存のディレクトリ・サービス(Active Directoryなど)のポリシーを使って実装できる製品が望ましい。ソフトウェアのインストールや運用方法を習得するために、管理者やユーザーが数週間ものトレーニングを受ける必要がある製品はあまり好ましくない。

なるほど・・・
「危険だから、使うな」か、「危険はあるが、適切に使え」か、ここの考え方の差は大きいですよね。

この記事は、最後に運用管理上の留意点として「詳細なデータ・セキュリティ・ポリシーの策定を行っておくべきだ」と締めくくられています。
確かに、その通り。
USBメモリを使うか、使わないか、それ以前に、これ(ポリシー)を決めておけ、ってことです。

| | コメント (0) | トラックバック (0)

2009年7月30日 (木)

2009年度全国縦断情報セキュリティ監査セミナー

「2009年度全国縦断情報セキュリティ監査セミナー」の申し込み(第1回・札幌会場)が開始されています。

今後も全国各会場で、来年2月まで開催されます。

私もどこかの会場で登場する予定です。

CISSP、CISA、CISM、CAISのCPE対象イベントになるようですので、地方の方は獲得の絶好の機会です。

| | コメント (0) | トラックバック (0)

2009年7月29日 (水)

「i-Japan戦略2015」(案)

2009年7月6日(3週間も前)に公開されておりました。
※ 個人的備忘録も兼ね、書いておきます・・・

これからじっくり読んでみます。
e-Japan → u-Japan → i-Japan になるのですね。

それから、「IT」という言葉がほとんど「デジタル」に置き換えられていますね。(「デジタル社会」「高度デジタル人材」・・・)

「世界最先端の情報セキュリティ政策」

「i-Japan戦略2015」(概要)(案)

「i-Japan戦略2015~国民主役の「デジタル安心・活力社会」の実現を目指して~」(案)

| | コメント (0) | トラックバック (0)

2009年7月28日 (火)

犯罪に加担させられる「リシッピング詐欺」

ITmediaの記事「インターネット犯罪に加担させ、だます手口に注意せよ」からです。

どういう手口で犯罪に加担させられるかというと、

 リシッピング詐欺は、盗んだクレジットカードで通信販売事業者などから商品(PCや携帯電話、カメラなど)を不正購入(カーディング)し、その商品を第三者に転売して現金化する。仕組みは、まずクレジットカード情報を盗んだ犯罪者(カーディング実行者)が、「スキャマー」という現金化のプロセスを提供する人物に協力を求める。スキャマーは現金化のキーパーソンになる「ドロップ」という役割を担う一般人を犯罪とは意識させずに雇う。

 ドロップとなる人物を確保すると、カーディング実行者はクレジットカード情報にある住所などの内容をドロップの人物のものに変更し、通信販売事業者に怪しまれないよう商品を購入してドロップの住所に送付させる。ドロップは届いた商品をスキャマーに転送し、スキャマーが現金化する。最後にスキャマーは、手数料を差し引いてカーディング実行者に利益を渡し、ドロップに報酬を渡す。

(中略)

 スキャマーは、都合のいい人物を多数確保することを重要視しており、ドロップをインターネットで募集しているケースもある。「自宅に届いた商品を指定先に送り直すだけで高額収入を得られる」といったメッセージで呼び掛けるケースや、「通信担当マネジャー」といった正規の職種に見せかけるものもある。

つまり「ドロップ」という役割で加担させられるようです。
「ドロップシッピングと同じ?」とだまされてしまうのでしょうか。
今後も、さらに巧妙かつ多様な手口で、犯罪行為に加担させられるリスクは高まりそうですね。

| | コメント (0) | トラックバック (0)

2009年7月27日 (月)

セキュリティは“カッコイイ”仕事?

ITmediaの記事「セキュリティ対策はCOOL!な仕事―SANS代表が語る最新の脅威と人材」からです。

この記事で目に留まったのが、SANSが実施したセキュリティ職に対するイメージ調査の結果です。

SANSでは以前、980人の若年層を対象にセキュリティ職に対するイメージ調査を実施した。若年層が魅力的に感じる職種のトップは情報セキュリティ犯罪調査官で、以下はシステムやネットワーク、Webへのペネトレーションテスター(不正侵入調査テストの実施者)、フォレンジック(科学捜査)解析者などが挙がった

SANS代表のアラン・パーラーさん曰く「セキュリティの職業に対しては、プロバスケットボールの選手やFBI捜査官のように“カッコイイ”というイメージが広がりつつある」とのこと。

本当ですか?本当だったらいいんですけど。
とりあえず、個人的には実感なし。
近い将来には、実感したいですけど。

そうなるように、これからもがんばります。

<参考URL>
「情報セキュリティ分野で最も有望な20の職種」~SANS Japan

| | コメント (0) | トラックバック (0)

2009年7月25日 (土)

パスワード表示の「****」はやっぱり必要?

ITmediaの記事「パスワード表示の「****」はやっぱり必要、管理に問題」からです。

パスワード表示の「****」が必要か否かの議論(参考記事)を受けての調査のようですね。

いろんなことの裏づけになる、面白いデータでした。

さて、その結果ですが、パスワードの表示について、「見えない方がいい」という回答は44.1%、「どちらかというと見えない方がいい」は23.8%、「見えた方がいい」は12.6%、「どちらかというと見えた方がいい」は19.5%、だそうです。

見えないほうがいい理由としては「セキュリティのため」、「他人に見られるから」、「心理的な安心感」、「他人には見せてはいけないものと意識させてくれるが挙げられています。

そして、パスワードの管理方法については、「記憶に頼る」(42.0%)、「紙に書いて残す」(18.3%)、「テキストファイルに残す(パスワードや暗号化しない)」(16.2%)でした。

実は、パスワード表示の「****」の議論ですが、個人的には「どうでもいい」と思っております。
(これを議論した専門家の皆さんには「もっと別の大事なことを議論してください」と言いたいです)

本来、安心とセキュリティは別のものですが、この機能によって安心や意識が生まれるのであれば、それでもいいと思います。
しかし、逆に考えれば、安心や意識を生むのはこの方法でなくても言い訳ですし、十分とも限りません。

あと、結局18.3%がパスワードを紙に書いてしまうわけです。人間とはそういうもの、パスワードとはその程度のものです。
それから、紙に書いてはいけないのではなく(それでも秘密に管理できているのなら適正な運用です)、他人にわかってはいけないだけなのですから。

| | コメント (0) | トラックバック (0)

2009年7月24日 (金)

マルウェアは1日に6000種

ITmediaの記事「犯罪マルウェアは1日に6000種を検出、ビジネスは不況でも衰えず」からです。

この記事によると、以下の通り。

 マルウェアの検出数は2008年にそれまでの年と比べて突出した伸びを示したが、2009年はそれをさらに上回る勢いで増え、上半期だけで比べると2008年の3倍に増加した。平均すると月間20万種類、1日に6000種類のマルウェアが検出されている計算になる。

 マルウェアはユーザーをだましたり、個人情報を盗んだりする目的で使われており、犯罪者が金儲けをするためのビジネスとして成立するようになった今、不況の中でも勢力が衰える気配はない。マルウェアのコードや作成ツールも簡単に手に入るようになっているという。

定義ファイルによる検出、つまり「パターンマッチングも限界」ということをさらに裏付ける記事ですね。

この傾向はさらに顕著になることはあっても、鈍化することはないでしょう。
ということで、次なる技術はどうしても必要、ということになりますね・・・

| | コメント (0) | トラックバック (0)

2009年7月23日 (木)

機密情報を一定時間後に自然消滅させるツール

ITproの記事「ワシントン大,機密情報を一定時間後に自然消滅させるツールを公開」
からです。

Webブラウザから入力したテキストを指定した時間に自然消滅させる技術を用いたツールだそうです。
暗号技術を応用した仕組みのようです。

それにしても「なお、このデータは自動的に消滅する・・・」などと、スパイ小説かのようなツールですね。
現在はFirefoxのみに対応したプロトタイプのようですが、今後注目したい技術です。

| | コメント (0) | トラックバック (0)

2009年7月22日 (水)

「脆弱性を利用した新たなる脅威の監視・分析による調査報告書」公開

IPAのHP「ツールを利用した標的型攻撃の広がり」についての調査結果の公開 -「脆弱性を利用した新たなる脅威の監視・分析による調査」最終報告書-
からです。

この報告書では、脆弱性を狙う攻撃の特徴を解析した結果と対策が示されています。
かなり、攻撃ツールが出回っているということも書かれていますね。

IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「脆弱性を利用した新たなる脅威の監視・分析による調査」を実施し、その最終報告書を、2009年7月21日(火)から公開しました。本報告書では、近年のマルウェア の動向についての調査・分析、今後の標的型攻撃などの新たな脅威に向けた対策方法を検討しています。

「脆弱性を利用した新たなる脅威の監視・分析による調査報告書」

<参考記事>
「マルウェア作成ツールで簡単に攻撃、IPAが解析」~ITmedia

| | コメント (0) | トラックバック (0)

2009年7月21日 (火)

「情報セキュリティ人財サミット」in 横浜

「情報セキュリティ人財サミット」in 横浜が開催されます。

マネジメント、テクニカル、人財育成、と3つのトラックで開催され、なかなか豪華なセッションが目白押しです。
ちなみに私も登壇いたします。

定員も少なめですので、早めにお申し込みを・・・

●開催概要
・開催日:2009年8月20日(木)
・主催:情報セキュリティ大学院大学(IISEC)・情報セキュリティ教育事業者連絡会(ISEPA)
・後援: 情報セキュリティ政策会議(予定)、総務省(予定)、経済産業省(予定)、独立行政法人情報処理推進機構、NPO 日本セキュリティ監査協会、u-Kanagawa推進協議会、社団法人 神奈川県情報サービス産業協会、NPO 情報セキュリティフォーラム
開催場所:情報セキュリティ大学院大学(横浜駅きた西口1分)
(横浜市神奈川区鶴屋町2-14-1 横浜駅きた西口より徒歩1分)

対象:情報システム部門やその他の部門で情報の安全管理やリスクマネジメントを担当されている方、情報セキュリティに関わる資格の保有者、資格を目指す方など
募集人員 基調講演後、3つのトラックに分かれます。
 ・マネジメントトラック  25名(先着順)
 ・テクニカルトラック  25名(先着順)
 ・人財育成トラック   60名(先着順)
※各トラックとも定員に達し次第締め切りとさせていただきます
受講料:無 料
懇親会:参加希望者による会費制懇親会です。会場準備の都合上、事前申込にご協力ください。
会費:2,000円/一人(申込み順の80名限定で、参加者より当日徴収いたします)

| | コメント (0) | トラックバック (0)

2009年7月17日 (金)

「暮らしのセキュリティ検定試験」

「暮らしのセキュリティ検定試験」が、始まるようです。

第1回検定試験は、2009年9月6日(日)のようです。

「生活に役立つ「セキュリティの知識」が身につく、実践的な検定」ということですが、出題内容をみるとかなり、いろんなものが含まれています。

主なキーワードを拾ってみると、いかのようなものがありました。

オークション詐欺、架空請求詐欺、フィッシング詐欺、心の病気、生活習慣病、インフルエンザ、応急手当、転倒・転落、AED、防災袋、食料備蓄、災害用伝言ダイヤル、DV、オレオレ詐欺、還付金詐欺、示談金詐欺、ストーカー、ひったくり、スキミング、消費期限、賞味期限、メタボ、残留農薬、シックハウス症候群、耐震基準、環境ホルモン

個人的には、検定試験の必要はないのではと思いましたが、知識とはして持っておきたいと思いました。

| | コメント (6) | トラックバック (1)

2009年7月16日 (木)

「情報セキュリティ監査手続ガイドライン」公表

経済産業省のHPで、以下の2つが公表されました。

「監査手続」とは、様々な監査技法を使って証拠を入手する一連のプロセスのことです。
その策定に役立つガイドですね。

「情報セキュリティ監査手続ガイドライン」
「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引」

| | コメント (0) | トラックバック (0)

2009年7月15日 (水)

企業のIT統制に関するアンケート調査結果

経済産業省のHPで「平成20年度企業のIT統制に関するアンケート調査結果」が公開されています。

「総括」をみると、以下のような結果となっているようです。
※ 詳細は、これから読んでみます。

 上場企業の多くは、内部統制整備・評価とそれに基づくIT統制整備・評価を、全社単位あるいは企業グループ単位で実施している。
 会計や業務プロセスのシステム化については、企業規模や成熟度レベルの違いはあるが比較的進められている。ただし、パッケージソフトやスプレッドシートのカスタマイズやプログラミング機能の利用は、あまり積極的には実施されていない。
 IT統制の整備・評価の進捗状況は、IT全社的統制、IT全般統制、IT業務処理統制という手順で進められており、大多数の企業はIT全般統制からIT業務処理統制の整備・評価に移りつつあると言える。ただし、この進捗度は小規模企業及び新興市場上場の企業では遅れ気味である。
 IT統制やITガバナンス、システム監査、情報セキュリティ監査などは比較的実施されており、ITに関するリスク管理や経営者のIT統制に対する意識なども向上している。しかし、IT統制の成熟度レベルが低い企業では意識付けは十分ではない。
 企業がIT統制の整備・評価を行うにあたって特に問題となった点は、文書化や職務分掌、基準類の見直しなどにより人的資源が割かれたことといえる。また、調査時点では、企業はIT統制の整備・評価で得たさまざまな成果を経営に生かしきれてはいない。
 IT統制整備・評価の際には、金融庁の財務報告に係る内部統制の評価及び監査に関する基準・実施基準、システム管理基準、システム管理基準追補版等を参考にしているが、多くの企業では監査法人やコンサルティング会社から提供される資料を用いて実際の業務を行っている。
 システム管理基準・システム管理基準追補版は利用した企業にとっては役立つものであった。特に、利用した企業の多くはIT統制の成熟度レベルが高いレベルにあった。また、利用者の多くは全体を確認しているが、追補版の追加付録については認知度が低く、認知度を高めていく必要がある。
 システム管理基準やシステム管理基準追補版については、両者を一体化すること、経営者向け/IT部門向けなど利用者のニーズに合わせた書き方をすること、内容について一部見直してほしいなどの要望が挙げられている。
 2008年度のIT統制の成熟度調査については、全体的なレベルがおおよそレベル3にまで到達している。特に、モニタリングの向上が著しい。
 調査時点において、業種によるIT統制の成熟度に著しい差異は認められない。
 IT統制の成熟度レベルに対して企業規模は大きな影響力を持つ結果となった。特に100人未満の小規模企業の成熟度レベルが低い。同様に、ジャスダック証券取引所等新興市場に上場している企業についてもIT統制の成熟度レベルが低い。

| | コメント (0) | トラックバック (0)

2009年7月14日 (火)

「ワンクリック詐欺」ではなく「ツークリック詐欺」

ITmediaの記事「ユーザーの心理を突く「ツークリック詐欺」手口と対策は?」からです。

ワンクリック詐欺に関する相談数は、先月過去最高になりましたが「最近では手口がより巧妙になり、不正プログラムを併用するなどしたツークリック詐欺が増えた」とのこと。

実は初めて「ワンクリック詐欺」という言葉を見たときに「こりゃ、いかん」と思いました。セミナーや講習でも「この名前から、このような手口と決まっているんだ、というような思い込みをすることは危険」と話してきました。

同じようなものに、「スパム」があります。これを「迷惑なメール」と解説している資料やサイトが多くあります。ということで、くれぐれもスパムはメールだけだと、思い込みませぬよう・・・

| | コメント (0) | トラックバック (0)

2009年7月13日 (月)

公認情報セキュリティ監査人資格制度のカリキュラム、改訂

日本セキュリティ監査協会(JASA)のHP「2009年8月31日より公認情報セキュリティ監査人(CAIS)資格制度のカリキュラムが改訂されます」でリリースされています。

この改訂には、ちょっとどころか、かなり関わりました。

いままで、よく「情報セキュリティ監査とISMS審査の違いがわかりません」と言われていました。
今回の改訂では、それは明確になったと思っているんですが・・・

以下の新カリキュラムをご覧ください。
いかがでしょうか?違いは明確ですよね。
(受講していただければ、もっとわかりますが)

新カリキュラム(概要) 

1.情報セキュリティ監査概論
1.1監査の概念
・監査の一般的性質
・二重責任の原則 など
1.2監査におけるリスク
・監査における「リスク・アプローチ」
・監査リスクと「監査リスクモデル」 など
1.3情報セキュリティ監査の概念と定義
・保証の概念
・設計監査と実装・運用監査 など

2.情報セキュリティ監査の基準
2.1情報セキュリティ監査基準
・独立性、客観性と職業倫理
 ・監査企業としての品質管理 など
2.2情報セキュリティ管理基準
 ・情報セキュリティ管理基準 マネジメント編
 ・情報セキュリティ管理基準 管理策編 など

3.情報セキュリティ監査の技法
3.1監査技法の種類
 ・監査技法
 ・サンプリングによる試査の手順
 ・技術的検証の留意事項 など
3.2監査手続
 ・監査手続ガイドライン
 ・詳細管理策のパターンと監査技法の選択 など
3.3監査証拠
 ・監査証拠と証拠能力
 ・証拠の十分性と適切性
 ・電子的監査証拠 など
3.4リスク分析と成熟度モデル

4.情報セキュリティ監査のプロセス
4.1監査実施まで
 ・保証型監査実施までの流れ
 ・言明(監査手続)の策定~保証 など
4.2契約フェーズ
 ・監査契約の締結
 ・保証型監査の業務契約 など
4.3方針フェーズ
 ・監査基本方針の策定
 ・リスク情報の収集と評価 など
4.4計画フェーズ
 ・監査実施計画の立案
4.5実施フェーズ
 ・監査手続の実施
 ・入手した監査証拠の適切性と十分性の判断 など
4.6意見フェーズ
 ・監査調書の作成
 ・監査意見の形成
4.7報告フェーズ
 ・監査報告書の作成
 ・保証意見の表明方法 など
4.8その他
 ・監査品質管理のための体制とプロセス
 ・監査調書体系整備と保管体制 など 

| | コメント (2) | トラックバック (0)

2009年7月11日 (土)

韓米サイバー攻撃は、対岸の火事か?

JPCERT/CC Alert(2009-07-10)「韓国、米国で発生しているDDoS攻撃に関する注意喚起」からです。

このレポート(注意喚起)によると、

国内での状況:
  2009年7月10日17時現在、ウイルスによるDDoS攻撃の対象に日本のWebサイトは含まれておりません。しかしながら、JPCERT/CCでは、韓国KrCERT/CCより、日本国内にこのDDoS攻撃に用いられたコンピュータが複数あるとの報告を受けています。

  このことから、日本国内に上記のウイルスに感染したコンピュータがすでに複数存在すると考えられます。JPCERT/CCでは、今後国内でのウイルス感染が増加することを防ぐため、本注意喚起を発行いたします。

とのこと。

ということで、日本国内のコンピュータが(ボットに感染し)踏まれているようです・・・

まずは、スキャンとアップデートを。

| | コメント (0) | トラックバック (0)

2009年7月10日 (金)

SSL証明書を使う詐欺サイトが急増

ITmediaの記事「SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営」からです。

つまり、SSL証明書を取得したWebサーバを乗っ取り、そこで多数のフィッシングサイトを運営するという手口のようで、そこで「SSLが使われ鍵のアイコンが表示されるために、ユーザーは正規サイトだと思い込んでしまう」ということのようです。

これを、フィッシングサイトかどうかを見分けるためにはSSL証明書をチェックするか、認証機能を強化したEV(Extended Validation) SSLを使用するしかないようです。「やはり、今後はいよいよEV SSLに移行していくのかなぁ」などと考えてしまいました。

実は今週の講習で、このようなフィッシングの手口があることを紹介したばかりなので、私にとってはかなりホットな話題でした。

| | コメント (2) | トラックバック (0)

2009年7月 9日 (木)

「情報セキュリティ早期警戒パートナーシップガイドライン」改訂

JPCERT/CCのHPと、IPAのHPで公開されています。

付録として、以下の資料が増えたようですね。

 付録5の「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」は、製品開発者による利用者への適切な情報提供の実現を目的として、製品開発者が行うべき脆弱性対策情報の公表手順について、公表すべき項目や公表例、脆弱性対策情報への誘導方法などを記載しているほか、望ましくない公表例なども記載しています。

 付録6の「ウェブサイト運営者のための脆弱性対応マニュアル」は、ウェブサイト運営者の対応手順について、脆弱性に関する通知の受領、セキュリティ上の問題の有無に関する調査、影響と対策の方向性の検討、対策作業に関する計画、対策の実施、修正完了の報告の順に、一つの方針を示しています。

 付録7の「ウェブサイト構築事業者のための脆弱性対応ガイド」は、情報サービス企業の技術者やウェブデザイナー、企業内でウェブサイト構築・運用を担当する技術者向けに、JISAガイダンスを補足する資料として、システムの納入前や納入後の脆弱性への対応に関して、一つの方針を示しています。

<主な公開された資料>
「情報セキュリティ早期警戒パートナーシップガイドライン」

「ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 付録5抜粋編」

「ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編」

「ウェブサイト構築事業者のための脆弱性対応ガイド 付録7抜粋編」

「情報システムを安全にお使いいただくために」

| | コメント (0) | トラックバック (0)

2009年7月 8日 (水)

キャリアパスが描けない

昨年から「人材育成」というと、ほとんどの場合「キャリアプラン」というキーワードで話をしています。
そして、今年公開された人材育成の政策では、以下のように書かれています。

以下、「第2次情報セキュリティ基本計画」より抜粋 ~内閣官房情報セキュリティセンター(NISC)

第3章 今後3年間に取り組む重点政策
第1節 対策実施4領域における取組みの推進と政策目的の着実な実現
(1)対策実施4領域 ③企業
(ウ) 企業における情報セキュリティ人材の育成・確保

 情報セキュリティ人材の目指すキャリアパスを考慮に入れることも重要である。こうしたことを踏まえ、官民の適切な役割分担のもと、客観的な人材評価メカニズムである各スキル標準の整合化を図った共通キャリア・スキルフレームワークとそれに準拠した情報処理技術者試験の活用、及び民間の人材育成に関するフレームワークや各種資格試験の活用を促進する。また、産学連携による高度情報セキュリティ人材を育成するためのカリキュラム整備や教員強化、インターンシップの充実等に取り組むための体制を整備する。
また、技術者向けの情報セキュリティに係るモデルキャリア開発計画の策定や専門家コミュニティへの支援を進めることで、広く企業の情報セキュリティを担うことのできる人材の育成・確保に取り組む。

つまり、これは以下のような現状の評価から課題となったということです。

「セキュア・ジャパン2009」より抜粋 ~内閣官房情報セキュリティセンター(NISC)

第1章 第1次情報セキュリティ基本計画(2006~2008年度)に基づく取組みと評価について
第2節 第1次基本計画の3年間(2006~2008年度)を通じた施策の取組みと評価
(1)施策の取組みによる社会的変化に関する評価・分析・課題

情報セキュリティ人材の育成・確保
(中略)

現在情報セキュリティに携わる人材の一部からは、自らのキャリアパスを明確に描くことができないといった不安の声も上がっている。今後は情報セキュリティ人材を必要とするいわゆる需要側と情報セキュリティ人材を供給する側だけでなく、情報セキュリティ人材そのものからのニーズに着目した施策検討も必要になるものと考えられる。

まずは「「キャリアパス」が見えない、描けない」ということですね。
だから「「キャリアプラン」も立てられない、どうすればいいの?」となるわけです。

ということもあり「キャリアプラン」の話をする機会が増えている気がします。(というより私の場合、こういう人材育成の課題がある、と以前から主張してましたけど・・・)

次回以降で、どんなことを話しているのか、その概要を書いてみます。(例によって)
ただし、もしかすると私の話を楽しみにしてらっしゃるかなり奇特な方がいらっしゃって、あまり書きすぎると「その楽しみがなくなる」と言われるミクロな可能性もあるので、ほどほどにしますね。(今月も、あと2~3回、このテーマで話をする予定があります)

| | コメント (2) | トラックバック (0)

2009年7月 7日 (火)

三菱UFJ証券、業務改善報告書を提出

先週、三菱UFJ証券が金融庁に業務改善報告書を提出していましたね。
改善報告の概要や調査報告の抜粋もプレスリリースされています。

ざっと流し読みしましたが、計画されている改善策の内容はかなりハードルが高いものです。
誰がどのようにして実装や評価(監査)をするのか、それも含め、今後の経過も知りたいですね・・・

「業務改善報告書の提出について」プレスリリース
「業務改善報告書の提出について」(PDF版)
※ 「業務改善報告書(概要)」および「調査報告書(抜粋)」を含む

<関連記事>
「三菱UFJ証券、業務改善報告書を金融庁に提出」~日経ITpro

「金融庁が三菱UFJ証券に業務改善命令」~このブログ

| | コメント (2) | トラックバック (0)

2009年7月 6日 (月)

ディザスタリカバリ、4回に1回は失敗

@ITの記事「ディザスタリカバリの復旧作業は4回に1回は失敗」からです。

日本と世界における災害対策(ディザスタリカバリ)に関する調査の結果です。
(2009年5月から6月にかけて実施。全世界1650社(うち日本企業50社)からの回答)
以下、記事からの抜粋。

 これまでに経験したことのある災害の種類では、コンピュータシステムエラーが最も多く日本で88%、グローバルで79%、ウイルスやハッカーなどの外部からの脅威が同78%/71%、停電や電力障害が同68%/59%と続いた。

 ディザスタリカバリ委員会への参加者では、CIO/CTO/ITディレクタが最も多く日本が70%、グローバルも70%だった。2番目に多かったのは、部門または部署のIT管理者で同64%/49%だった。

 また、ディザスタリカバリの予算は、日本において今後6カ月は減少が14%、横ばいが36%、増加するが50%だが、今後12カ月以降は徐々に増えていく傾向になった。

 IT予算に対するディザスタリカバリへの割合は、日本が22.5%、グローバルが30%で、日本がグローバルに比べて低い数値となった。予算の内訳は、ローカルリカバリへのバックアップやアーカイブが一番多く日本で15%、グローバルで20%、ディザスタリカバリ用のバックアップが同10%/15%、継続的なデータ保護が同10%/14%となった。また、ディザスタリカバリにかかる時間は、基幹業務の復旧が日本が6時間、グローバルが3時間、大部分のバックアップと実行が同6時間、4時間、通常業務の100%の回復が同6時間、4時間とすべての項目で、日本はグローバル平均より2時間以上多くかかることが分かった。

 また、ディザスタリカバリのテストに関しては、クリティカルなデータやアプリケーションを目標復旧時間や目標復旧ポイント内に回復できる確率が、日本が77.5%、グローバルが70%となり、日本・グローバルともに3~4回に1回は失敗していることが判明した。失敗の理由は、「担当者が想定どおりに実施できなかった」が一番多く、日本は54%、グローバルが44%、「プロセスが不適切だった」が同50%/36%、「DRサイトのITインフラが十分でなかった」が同46%/29%となった。

 日本と世界との差が、かなりくっきり出た調査結果です。
 残念ながら、DRでも日本は世界から後れをとっていると言えそうです。

| | コメント (0) | トラックバック (0)

2009年7月 4日 (土)

「情報セキュリティガバナンス導入ガイダンス」公表

正式版がリリースされてました。
週明けにでも、じっくり読んでみます。(ナナメ読みはしてますが)

「情報セキュリティガバナンス導入ガイダンス」等の公表について~経営者のリーダーシップによる情報セキュリティ対策の推進を目指して~

●本件の概要
「産業構造審議会情報セキュリティ基本問題委員会(委員長:寺島実朗 株式会社三井物産戦略研究所会長、以下「基本問題委員会」)」では、企業の経営陣が責任とリーダーシップを持って情報セキュリティ対策を実施すること、すなわち「企業における情報セキュリティガバナンスの確立」について普及・促進を図ることを目的とした「情報セキュリティガバナンス導入ガイダンス」等をとりまとめましたので、公表します。

発表資料名
「情報セキュリティガバナンス導入ガイダンス」等の公表について~経営者のリーダーシップによる情報セキュリティ対策の推進を目指して~

「情報セキュリティガバナンス導入ガイダンス」

「情報セキュリティ関連法令の要求事項集」

「アウトソーシングに関する情報セキュリティ対策ガイダンス」

「情報セキュリティ格付を実施する各種機関の運営に関する一般要求事項」

| | コメント (0) | トラックバック (0)

2009年7月 3日 (金)

「2008年度情報セキュリティインシデント調査報告書」

JNSAのHPで「2008年度情報セキュリティインシデント調査報告書」が公開されています。

情報漏えいインシデントの報告書としては、もう定番ですね。
2009年度からは、情報漏えい以外のインシデントも調査するとか・・・
期待しちゃいます。

「2008年度情報セキュリティインシデント調査報告書」

<報告書「始めに」より抜粋>
JNSAセキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故(以降「インシデント」という)の調査分析は今回で7回目となる。2007年と同様に2008年も2003年に確立した調査方法を踏襲した。
JNSAセキュリティ被害調査ワーキンググループでは、2007年と同様に、2008年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント(以下、インシデントという)の情報を集計し、分析を行った。
この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル(JNSA Damage Operation Model for Individual Information Leak)を用いた想定損害賠償額などを分析した結果を報告書にまとめた。このような結果をもたらした原因分析も含め、以下に2008年のインシデントの集計・分析結果、及び過去5年間の蓄積されたデータを元にした経年変化の分析結果を報告する。

「2008年度情報セキュリティインシデントに関する調査報告書Ver.1.0」

| | コメント (2) | トラックバック (0)

2009年7月 2日 (木)

「平成21年度春期情報処理技術者試験」合格発表

IPAのHP「「平成21年度春期情報処理技術者試験」(応用情報技術者試験及び高度試験)の合格発表について」からです。

情報セキュリティスペシャリストは、2,580名誕生したということですね。

●合格発表概要
(1)応用情報技術者試験は、応募者数が56,141名、受験者数が36,653名、合格者数が9,549名で、合格率は26.1%でした。

(2)プロジェクトマネージャ試験は、応募者数が16,241名、受験者数が9,372名、合格者数が1,187名で、合格率は12.7%でした。

(3)データベーススペシャリスト試験は、応募者数が18,538名、受験者数が11,887名、合格者数が1,912名で、合格率は16.1%でした。

(4)エンベデッドシステムスペシャリスト試験は、応募者数が5,875名、受験者数が4,080名、合格者数が689名で、合格率は16.9%でした。

(5)情報セキュリティスペシャリスト試験は、応募者数が25,377名、受験者数が16,094名、合格者数が2,580名で、合格率は16.0%でした。

(6)システム監査技術者試験は、応募者数が5,313名、受験者数が3,271名、合格者数が455名で、合格率は13.9%でした。

 今回の結果は「旧試験制度下での最終実施と比較し、全ての試験区分で合格率が上昇しました」とのことでした。

しかし、「合格率」が上がるかどうかは、個人的には重要なことではないと思っています。
どういう人(質)をどれだけ(量)育てるか、そちらのほうが重要ですよね…
その目標(あるべき「質と量」)に対して、どうなのでしょう。
特に「量」は、十分とは思えません。

| | コメント (0) | トラックバック (0)

2009年7月 1日 (水)

「セキュアデザインパターン」(日本語版)、公開

JPCERT/CCのHPで「セキュアデザインパターン」(日本語版)が公開されました。

英語版はすでに公開されていましたが、さすがに読む気になれず…
日本語版が出て、良かった。

「ソフトウェア設計工程における脆弱性低減対策~セキュアデザインパターン(日本語)版」

●目次
1 序文
1.1 セキュアデザインパターンについて
1.2 本書の目的
1.3 対象範囲
1.4 形式と規則

2 アーキテクチャレベルのパターン
2.1 Distrustful Decomposition(信頼なしの分解)
2.2 PrivSep(Privilege Separation:特権の分離)
2.3 Defer to Kernel(カーネルに委任)

3 設計レベルのパターン
3.1 Secure State Machine(セキュアステートマシン)
3.2 Secure Visitor(セキュアビジター)

4 実装レベルのパターン
4.1 Secure Directory(セキュアディレクトリ)
4.2 Pathname Canonicalization(パス名正規化)
4.3 Input Validation(入力検査)
4.4 Resource Acquisition Is Initialization(RAII:リソースの確保は初期化時に行う)

5 結論と今後の作業
5.1 結論
5.2 今後の作業

参考文献

デザインパターンは、アーキテクチャレベル、設計レベル、実装レベルに分類されているのですね。
なるほど。かなり参考になります。

| | コメント (0) | トラックバック (0)

« 2009年6月 | トップページ | 2009年8月 »