« 2009年9月 | トップページ | 2009年11月 »

2009年10月の記事

2009年10月31日 (土)

2009年度 情報セキュリティ監査シンポジウム in Tokyo

「2009年度 情報セキュリティ監査シンポジウム in Tokyo」の申し込みが開始されました。
当日は、私も登壇する予定です。

ちなみに、定員は1,000名(!)、参加料は無料ですので、皆様お誘いあわせのうえ、ぜひご来場ください。
(さらに、CPEもつきますし・・・)

■■■■■■■■━━━━━━━━━━━━━━━━━━■■■■■■■■

         2009年度 情報セキュリティ監査シンポジウム in Tokyo
      ~ 企業経営に活かす情報セキュリティ監査 ~

■■■■■■■■━━━━━━━━━━━━━━━━━━■■■■■■■■

<会期/会場>
  ◆日時:2009年11月30日(月) 10:00~17:30(開場:9:30~)
  ◆場所:九段会館 大ホール     

<主  催> 
    経済産業省     
    特定非営利活動法人 日本セキュリティ監査協会(JASA)

<対象者>
    ・民間企業、地方公共団体、公益法人などの、情報処理サービス事業の
     経営者・担当役員・推進責任者・担当者、情報セキュリティ担当役員・
     推進責任者・担当者、内部監査人など
    
<参加費> 無料(事前登録制)

<定員> 1,000名

■■■■■■■■━━━━━━━━━━━━━━━━━━■■■■■■■■

■プログラム
 
9:30~ 開場

10:00~10:10 ご挨拶
特定非営利活動法人日本セキュリティ監査協会会長 土居 範久

10:10~11:00 基調講演
事故前提社会における取り組みの注意と情報セキュリティ監査(仮題)
           JPCERT/CC常務理事    早貸 淳子 氏

11:00~11:45 講演-1  わが国の情報セキュリティ政策について
      経済産省 商務情報政策局情報セキュリティ政策室
                     室長 山田 安秀 氏

11:45~12:30 講演-2  企業活動における情報セキュリティ確保の重要性
           JASA保証型監査促進プロジェクトリーダー
           工学院大学教授
           公認情報セキュリティ主席監査人 大木 栄二郎 氏

12:30~13:40 昼休み(70分)

13:40~14:20 講演-3  既存のマネジメントシステムを活用した
              情報セキュリティ監査の効率的な利用方法
           JASAスキル部会副部会長
           株式会社ディアイティ
           公認情報セキュリティ主任監査人 河野 省二 氏

14:20~15:00 講演-4  サプライチェーンに於ける
           委託先情報セキュリティ管理のフレームワーク(仮題)
           JASA保証型監査促進プロジェクトSタスクサブリーダー
           NTTコミュニケーションズ株式会社 魚脇 雅晴 氏

15:00~15:10 休憩(10分)

15:10~15:50 講演-5  情報セキュリティに係わる人材育成について
           JASA研修・トレーニング小委員会委員長
           JASA認定研修・トレーニング講師
           株式会社ラック
           公認情報セキュリティ主任監査人 長谷川 長一 氏

15:50~16:00 休憩(10分)

16:00~17:30 公開討論セッション ”情報セキュリティ監査の利用促進に向けて”
           司会:普及促進部会 制度促進WGリーダー
              あらた監査法人
              公認情報セキュリティ主任監査人 岸 泰弘 氏

■■■■■■■■━━━━━━━━━━━━━━━━━━■■■■■■■■

| | コメント (2) | トラックバック (0)

2009年10月30日 (金)

ファイルの重要度評価を習慣付けるツール

ITmedia「文書ファイルの重要度評価を習慣付けるツール、NRIセキュアが無償公開」からです。

このツールは、

Microsoft Office 2003/2007のWord、Excel、PowerPointで作成したファイルへ、「極秘」や「社内限定」「公開」といった重要度に応じたラベルを貼付できる。ユーザーに対してファイル保存時に強制的に貼付させるのが特徴で、情報資産の重要性を理解してもらうきっかけになると同社では説明している。

というものです。

人間に依存せず、自動化するということですね。
情報セキュリティでは、重要な考え方です。

「情報資産の重要性」を理解させるより、そっちを理解させるほうが大事だと個人的には考えております。

<参考URL>
「SecureCube / Labeling」

「SecureCube / Labeling Personal版」 ダウンロード

| | コメント (0) | トラックバック (0)

2009年10月29日 (木)

「中小企業における情報セキュリティ対策の実施状況等調査」報告書、公開

IPAセキュリティセンターのHP「プレス発表「中小企業における情報セキュリティ対策の実施状況等調査」報告書を公開」からです。

調査項目と、結果の概要は以下の通り。

● 主な調査項目
(1) 情報セキュリティ対策の実施状況
(ア)  情報セキュリティに対する組織的な取組状況
(イ)  物理的セキュリティ対策
(ウ)  情報システム及び通信ネットワークの運用管理状況
(エ)  情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策の状況
(オ)  情報セキュリティ関連の事故対応状況
(2) IPAガイドライン等の汎用性
(3) IPAガイドライン等の活用効果
(4) IPAガイドライン等の感想、意見
(5) 情報セキュリティ対策の事例
(6) その他情報セキュリティ対策に関する課題等
(ア)  情報セキュリティ対策に関する認識
(イ)  情報セキュリティ投資
(ウ)  情報セキュリティの提案主体、情報収集手段
(エ)  情報セキュリティに関して企業が直面している課題、問題点
(オ)  情報セキュリティ認証、各種資格の取得意向
(カ)  IPAへの認知と期待
(キ)  情報セキュリティ対策ベンチマークへの認知

● 調査結果概要
(1) 対象企業の約7割が入門レベルの合格基準に達せず
(2) 概ね組織全体としての取り組みが弱い
(3) 専門家や情報不在の状況
(4) 低い情報セキュリティ投資意向

(5) IPAガイドライン等の有効性を確認

特に(3)、(4)あたりが原因で、この報告のような状況を招いているように思います。

※ 調査報告書は、こちら

また、以下のコンテンツも公開されています。
105の学習テーマがあり、それを少しづつ学べるようになっていますね。

「5分でできる!情報セキュリティポイント学習~事例で学ぶ中小企業のためのセキュリティ対策~」

| | コメント (0) | トラックバック (1)

2009年10月28日 (水)

ネット検索で危険な日本の有名人

ITmediaの記事「ネット検索で危険なセレブの日本版、マカフィーが報告」からです。

悪意のあるサイトに行き着きやすい有名人は誰か、という報告です。

 マカフィーは、このほどネット検索で悪質サイトに遭遇する確率が高い「最も危険な日本人セレブ」のランキングを発表した。グラビアなどで活躍する女性タレントや女優が上位を占めたという。

 ランキングのトップはタレントの佐藤江梨子さんで、画像や動画、スクリーンセーバーといった語句と一緒に検索することで、マルウェア感染サイトなどに誘導されてしまう可能性が高かった。2位には女優の京野ことみさんや米倉涼子さん、3位にはタレントの相澤仁美さん、井上和香さん、沢尻エリカさん、松浦亜弥さんがランクインした。男性のトップは福山雅治さんだった。

へぇ、佐藤江梨子ですか。(個人的な感想としては)ちょっと意外・・・

| | コメント (0) | トラックバック (0)

2009年10月27日 (火)

DDoS攻撃への対応

日経ITproの記事「DDoS攻撃への対応:パート1」「DDoS攻撃への対応:パート2」からです。

DDoS攻撃への対応方法が示されており、大変参考になります。

この記事で紹介されている対応方法とその概要は、以下の通りです。

トレースバック:IPアドレス偽装対策として使う。攻撃源を絞り込める
封じ込め:主な目的は,攻撃の矛先を本来の目標からそらすこと
ネットワークの構成変更:通信経路を変えることでネットワーク構成を変更し,「認証済み」の良性トラフィックと攻撃用トラフィックを分離する。分離精度が高ければ,攻撃トラフィックを廃棄できる
リダイレクション/ブラック・ホール・ルーティング:ブラック・ホールへトラフィックを転送する処理であり,ここではフィルタリングと同じ対策とみなせる
フィルタリング:攻撃トラフィックの検出精度が高く,攻撃を識別できるなら,条件に一致するトラフィックのフィルタリングは有効な対策だ
・通信帯域制限:フラッド攻撃を受けている際に,ネットワーク輻輳(ふくそう)を回避する最初の対策となる。検出精度が低い場合や,攻撃トラフィックと通常のトラフィックを区別するシグネチャが作れない場合に使う
リソース複製:単にリクエストが集中した場合の対応方法であり,DDoS攻撃対策ではない。リクエストに応じるリソースを増やすことで,大量の正当なサービス・リクエストを処理する
正当性テスト:確認テストでクライアントを認証する。インターネットにこのようなテストを行うホストがたくさんあれば,正当なユーザーはリクエストを実行してもらうために「ゲームのルール」を守るようになる
攻撃者のリソース消費:クライアントのリソースを犠牲にしてもらい,クライアントが本当にリクエストを実行したがっているかどうか確かめる。つまり,攻撃用マシンが提示されたパズルを解こうとしなければ,サーバーは正当なトラフィックとDDoS攻撃トラフィックを区別できる可能性がある。仮に攻撃用マシンが攻撃の都度パズルを解くためのリソースを消費すれば,攻撃速度が低下する。なお,このようなパズル・アルゴリズムはインターネットのホストに普及するだろう

| | コメント (0) | トラックバック (0)

2009年10月26日 (月)

「NIST SP 800-76-1個人識別情報の検証における生体認証データ仕様(改訂版)」日本語版公開

IPAセキュリティセンターのHPで「NIST SP 800-76-1個人識別情報の検証における生体認証データ仕様(改訂版)Biometric Data Specification for Personal Identity Verification(rev.1)」が公開されました。

この文書では、PIV(Personal Identity Verification)システムでのバイオメトリクスによる証明情報の技術的な取得およびフォーマットに関する仕様、PIVカードの仕様を記述されています。

生体認証(バイオメトリクス)に関する資料や書籍は、意外と少ないのでこの文書はぜひ読んでみたいと思います。

NIST SP800シリーズもかなり揃ってきましたね・・

| | コメント (0) | トラックバック (0)

2009年10月24日 (土)

「ITGI Japan カンファレンス 2009」

「ITGI Japan カンファレンス 2009」が開催されます。

かなり前から申し込みは始まっていたようですね・・・

今年のテーマは「Cloudy or fine? It's your decision ~クラウド時代のガバナンスとセキュリティを考える~」のようです。

「ITGI Japan カンファレンス 2009」開催概要

日 時:2009年12月10日(木) 10:00~17:00 (開場 9:00) 
場 所 品川グランドホール
参加:
早期割引-11月10日までにご入金  会員10,000円  非会員12,000円
標準価格-11月11日以降  会員12,000円  非会員15,000円

主 催:日本ITガバナンス協会
共 催:ISACA 東京支部、ISACA 大阪支部、ISACA 名古屋支部
特別後援:社団法人 日本情報システム・ユーザー協会、日本公認会計士協会
一般後援:NPO ITサービスマネジメントフォーラムジャパン、NPO 日本ネットワークセキュリティ協会
 システム監査学会、社団法人日本内部監査協会
 NPO日本セキュリティ監査協会、NPO ITコーディネータ協会

| | コメント (0) | トラックバック (0)

2009年10月23日 (金)

2009年度 情報セキュリティ対策 中小企業向け指導者育成セミナー

昨年度に続き、今年度も「情報セキュリティ対策 中小企業向け指導者育成セミナー」が開催されることになりました。(既に申し込みも始まっていました・・・)
今年度、私はどこかの東京会場の講師を担当する予定です。(昨年度は、浜松会場で講師を務めました)

(特に地方の方は)この機会に、ぜひ受講してみてください。
お土産(参加者特典)もたくさん用意されているようですよ。

「2009年度 情報セキュリティ対策 中小企業向け指導者育成セミナー」

開催概要
・主催:経済産業省、NPO 日本ネットワークセキュリティ協会
・後援:日本商工会議所、全国商工会連合会、NPO ITコーディネータ協会、全国中小企業団体中央会、社団法人中小企業診断協会、開催地の商工会議所・県商工会連合会
・日程:2009年11月~2010年2月末(予定)
・開催地:全国の商工会議所および商工会で計20箇所(予定)
・参加人数:各会場 50~100名  ※会場により異なります。
・参加対象:商工会議所関係者(商工会議所職員、EC実践講師、日商マスター等)、商工会関係者、エキスパートバンク登録者、
中小企業団体中央会関係者、ITコーディネータ、中小企業診断士、その他中小企業へ指導を行う立場にある人
※ITコーディネータの方は本セミナーを受講されると知識ポイント(6時間分)が付与されます。
・内容:中小企業に対して情報セキュリティに関する指導を行う際に、実際に役立つ指導法・基礎知識・指導者が知っておかねばならないことを学習していただきます。 今年はグループディスカッションも実施しますので、ぜひこの機会にご参加下さい。
また、今年は、実体験に基づいた事例についての指導用ビデオを上映し(約20分)皆様にも配布致します。
セミナー参加者の特典:セミナー参加者には、指導用ビデオ・指導者用講習マニュアル・指導用補足教材(IPAテキストなど)、IPA「5分でできる!」ツール(テキスト、ビデオ)などを差し上げます。
なお、セミナー参加後に講習会を実施される場合には、テキストの提供などのご支援ご協力を致します。
また、後日専用サイトにアクセスしていただくことで、その他の補足資料等をご提供する予定です。
・参加費:無料 (事前登録制)

| | コメント (0) | トラックバック (0)

2009年10月22日 (木)

偽セキュリティソフトは、年間250種以上

ITmeidaの記事「偽セキュリティソフトの報告は年間4300万件に」からです。

偽セキュリティソフトの検出や届出に関する報告書です。

 報告書によると、Symantecではこれまでに250種類以上の悪質なセキュリティソフトを検出。この手口について、2008年7月~2009年6月の1年間で4300万件の報告が寄せられた。

 代表的な偽セキュリティソフトの93%は、マルウェア感染などの不安があると脅してユーザー自らが不正ソフトをダウンロードしてしまう手口を利用。一方、ユーザーがWebサイトを閲覧しただけで感染する仕掛けを施すなど、意図せず不正アプリケーションをダウンロードさせる手口も76%が採用していた。

250種類以上とは想像していたより、かなり多い数です。
まだしばらくは、この手口は続きそうですね。

| | コメント (0) | トラックバック (0)

2009年10月21日 (水)

第5回 IPA 情報セキュリティ標語・ポスターコンクール 大賞決定

IPAのHPで発表されています。
主な入選作は、以下の通り。

プレス発表 第5回 IPA 情報セキュリティ標語・ポスターコンクール 大賞決定

・大賞:ポスター部門
「いつの間にか手の内に」

・大賞:標語部門
「ウイルスソフトとパスワード インターネットのパパとママ」

・マイクロソフト賞:ポスター高校生の部
「パソコンにもワクチンを!」

・シマンテック賞:標語中学生の部
「忘れないで あなたのそばの黒い影 対策一つで白い光へ」

・ラック賞:ポスター高校生の部
「大丈夫ですか その一挿し」

・トレンドマイクロ賞:ポスター中学生の部
「明るいネットワーク社会」

第5回 IPA 情報セキュリティ標語・ポスターコンクール 入選作品一覧

ところで、「受賞作品は2009年10月29日(木)に明治記念館で開催する「IPA Forum 2009」で授賞式を行います」とのことなんですが、そこで「情報セキュリティ“レンジャーズ”(振り付けはラッキィ池田氏)が登場し、『Want to be SAFE! ~情報セキュリティの歌~』を披露します」とあります。

この『Want to be SAFE! ~情報セキュリティの歌~』って、どんな歌なんでしょう?
気になります・・・

| | コメント (2) | トラックバック (1)

2009年10月20日 (火)

環境問題を引き起こすスパム・メール

COMPUTOR WORLDの記事「環境問題を引き起こすスパム・メール」からです。

以前も取り上げた(下記、関連記事をご参照ください)スパムが引き起こす環境問題についての記事です。
今回の記事では、かなり具体的にデータが示されています。

●スパム・メールのエネルギー消費とCO2排出量
2008年に世界中で発信されたスパム・メールは、約62兆件であると言われている。これらのスパム・メールによって消費されたエネルギーは、世界全体で330億KWh=33TWhと計算されている。この数値は、米国の240万世帯が1年間に消費する電気量に相当し、310万台の自家用車が約75億リットルのガソリンを消費した場合と同等の温室効果ガス(GHG)排出量になる。

スパム・メール1件当たりのGHG排出量は、平均で0.3gの二酸化炭素に相当する。一般的な自家用車で1メートル進んだ場合と同等の排出量である。年間のスパム・メールは62兆件であるから62兆メートル──すなわち、地球を約160万周した場合と同等の排出量となる。

▼中規模企業において、電子メールの処理にかかる電力消費量は年間5万KWh、その5分の1超がスパム・メールに関わるものである。

現在、スパム・フィルタリングの効果によって、年間で135TWhの電力が節約されている。この数値は、1,300万台の自家用車を削減した場合と同等の効果を生んでいることになる。もし、すべてのインターネット・ユーザーの受信トレイを最新のスパム・フィルタリングで保護すると、スパム・メールに関わるエネルギー消費量を約75%、25TWh削減できるという。これは、230万台の自動車を削減した場合と同等の効果となる。

▼また、スパム・メールに関わるエネルギー消費量の80%が、エンドユーザーによるスパム・メールの削除作業と、誤検知された電子メールの確認によるものである。スパム・フィルタリングによって消費される電力量は、スパム・メール関連エネルギー消費量の16%にすぎない。

▼スパム・フィルタリングは有効な手段であるが、スパム・メールの送信元を排除するほうがより効果的だ。2008年の後半に、顧客のスパム・メール配信を容認していたホスティング・プロバイダー米国McColoのインターネット接続が遮断されると、一時的ではあったがスパム・メールが減少した。これにより、220万台の自動車を削減した場合と同じ省エネ効果が得られたという。

環境問題としても、スパム対策が重要ということですね。
これも「グリーンIT」の取り組みと考えてよいのでしょう。

<関連記事・このブログ>
「スパムのインパクト」

| | コメント (0) | トラックバック (0)

2009年10月19日 (月)

情報処理技術者試験の平成21年度秋期試験

昨日は、情報処理技術者試験の平成21年度秋期試験でしたね。

私は受験しておりませんが、さっそく問題が公開されております。
後ほど、見てみます。
さっと見た感じでは「いつも通り」というところでしょうか。

ところで、情報セキュリティは年2回になったので、秋にも試験があるわけですね。

「平成21年度秋期試験 問題冊子・配点割合・解答例・採点講評(PDF形式)」
●情報セキュリティスペシャリスト試験(SC)

午前Ⅱ 問題解答

午後Ⅰ 問題

午後Ⅱ 問題

※ 午前Ⅰは省略します。

(前にも書いたかもしれませんが)午前Ⅰの試験って、必要なんでしょうか…

| | コメント (2) | トラックバック (1)

2009年10月18日 (日)

逆転無罪判決でWinny増加

@ITの記事「逆転無罪判決でWinnyノードはやや増加」からです。

10月14日に発表された、日本国内におけるP2Pフソフトのノード数の推移についての記事です。

 Winnyのノード数は、判決日当日の10月8日で27万5841ノードに上っており、その前後も26万から29万台で推移している。ノード数が増加する週末と重なっていることもあるが、9月の平均が20万5235ノードであったのに比べると、やや増加が見られる。

<中略>

 なおShareについては、今回の判決に影響されたような動きは特に見られなかった。また、2009年3月以降観測を開始したPerfect Darkでは、常に右肩上がりでノード数が増加しており、今後最も警戒が必要なP2Pファイル共有ソフトウェアだとしている。

この反応は、ある程度は予想できましたけど。
「(P2Pソフト)使うな」は、ソフトの違法性とかそういう問題だと誤解して「無罪なら、使っていいんだ」などという人もいるんでしょうか。
もちろん、判決とP2Pソフトのリスクは関係ありませんので。

| | コメント (0) | トラックバック (0)

2009年10月17日 (土)

「デジタル犯罪コンソーシアム」

ITmediaの記事「IT業界と捜査機関がサイバー犯罪対策で協力、MS本社で初回会合」
からです。

米国では「デジタル犯罪コンソーシアム」なるものが立ち上がったようです。
このコンソーシアムは、「複雑化、巧妙化するサイバー犯罪に対抗するためには、セキュリティ業界と捜査機関、ISPの協力がかつてなく重要になっており、コンソーシアムはその態勢を確立するための基盤として情報共有やツール開発などに取り組む」というものです。

また、同時に米Microsoftが開発したサイバー犯罪捜査支援ツール「Computer Online Forensic Evidence Extractor」(COFEE)を全米の捜査機関に無償提供すると発表もされています。(COFEEは、デジタル科学捜査技術を使って犯罪に使われているコンピュータの生の動きを分析し、証拠を収集するツール。既に国際刑事警察機構(ICPO)との提携を通じ、加盟187カ国の捜査機関には提供が開始されている、ということです)

さて、日本はどうする?

| | コメント (0) | トラックバック (0)

2009年10月16日 (金)

スパム送信者のフィルター回避の手口

ITproの記事「URLを巡るだましの手口」からです。

スパムの新たな手口が紹介されています。(「馴染みの薄い可能性がある」3つ) 
まさに、あの手この手・・・

IDN
 IDNはASCII文字以外の文字を含むドメイン名である。アラビア語や中国語の文字,サンスクリット語のデーバナーガリ文字など,非ラテン系の文字をドメイン名に入れることができる(関連記事:IDN)。

例:「ёxample.com」というドメイン名には,キリル文字の「ё」が入っている。

Punycode
 Punycodeは,IDNをエンコードするアプリケーション向けのアルゴリズムで,(非ASCII文字を含む)IDNをASCII文字だけで表現できる。つまり,Punycodeは非ASCII文字列をASCII文字列に変換するのだ。変換後のドメイン名は,ほかのドメインと重複することなく,元のIDNに戻せる。Punycodeで変換されたドメイン名は,先頭に「xn--」が付く(関連記事:Punycode)。

例:「ёxample.com」のPunycodeは「http://www.xn--xample-ouf.com/

同形異義語スプーフィング
 同形異義語スプーフィングとは,複数の言語を扱えるパソコンで,異なる言語の,見た目ではほとんど(もしくは全く)区別できない形の文字を使ってだます手口だ(関連記事:「paypаl.com」と「paypal.com」,違いが分かりますか?---IDNによるURL偽装問題 )。

例:(ロシア語で使うキリル文字を含む)「ёxample.com」というドメイン名は,ラテン文字で書かれた「example.com」とよく似ている

スパム送信者がだます相手は人間とコンピューターと両方ですが、まずはコンピューターをだます必要があるわけですね。
そうしないと、人間にたどり着かないということ。
そして、人間はコンピューター以上に、これらの識別は難しい。

| | コメント (0) | トラックバック (0)

2009年10月15日 (木)

「セキュリティ検定」2009

今年もITproのHPで「ITpro検定」の1つとして「セキュリティ検定」が、公開されています。

例によって「ITpro EXPO 2009」
と連動していますね。

今年の「ITpro検定」は、以下の10分野です。

●「ITpro検定」

・Windows 7検定
・ネットワーク検定
・クラウド検定
・プログラミング検定
・IFRS検定
・ビジネスマナー検定
・セキュリティ検定
・Ruby検定 (2009/10/15公開予定)
・パンデミック対策検定 (2009/10/16公開予定)
・仮想化検定 (2009/10/19公開予定)

あとで、いくつかやってみるとしますか。
(ちなみに、結果は報告いたしません・・・)

| | コメント (0) | トラックバック (0)

2009年10月14日 (水)

クレジット加盟店向け“情報セキュリティのためのガイド”

JIPDECのHPで「クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)」が公開されていました。

これは「クレジット加盟店の情報セキュリティのため、PCI DSS/ISMS準拠に関して説明しているガイド」とのこと。
業界ごとのガイドどころか、かなり詳細なガイドですね。

他の業界も同様なものが欲しいところですが、クレジット業界における“PCIDSS”のような具体的な基準が存在しないので難しいのでしょうね。

<参考文書>
「クレジット産業向け“PCIDSS”/ISMSユーザーズガイド」

ISMSユーザーズガイドのクレジット産業向け版で、クレジット産業におけるISMS構築を主眼として、関連する規範とISMS認証基準とのマッピングを示し、 ISMSを構築することがこれらの規範を順守する上で非常に有効な手段であることを示したガイド。

| | コメント (0) | トラックバック (0)

2009年10月13日 (火)

母校で講義が実現

早稲田大学の寄附講座「ナレッジマネジメント-国際競争力を高める情報セキュリティ戦略」で、10/30(金)に「セキュアな事業運営のための認証とアクセス管理」というタイトルで話してきます。

大学で講演や講義は何度もしておりますが、ついにというか、ようやくというか、母校での講義となりました。
(現在、講義資料を作成中です。もう少しで完成します)

とにかく、がんばります。

| | コメント (0) | トラックバック (0)

2009年10月10日 (土)

「CERT Cセキュアコーディングスタンダード」

「CERT Cセキュアコーディングスタンダード」が出版されたようです。

(私はコーディングに直接関わる人間ではないのですが)
プログラミングやコード検証などをされる方には、かなり役に立ちそうな本ですね。

ちなみに、Web版は「CERT C Secure Coding Standards 日本語版 Ver 1.0」として、こちらで公開されています。

「CERT Cセキュアコーディングスタンダード」

<内容>
セキュアなコーディングを実践することは、脆弱性を作りこまないためにも重要だが、ソフトウェアの品質向上のためにも考慮すべきである。その考えのもとCERT/CCの上級アナリストによる、実績のあるコーディングルールを体系的にまとめている。

•第1章  本コーディングスタンダートの使い方
•第2章  プリプロセッサ(PRE)
•第3章  宣言と初期化(DCL)
•第4章  式(EXP)
•第5章  整数(INT)
•第6章  浮動小数点(FLP)
•第7章  配列(ARR)
•第8章  文字と文字列(STR)
•第9章  メモリ管理(MEM)
•第10章  入出力(FIO)
•第11章  環境(ENV)
•第12章  シグナル(SIG)
•第13章  エラー処理(ERR)
•第14章  雑則(MSC)
•付録  POSIX(POS)

| | コメント (0) | トラックバック (0)

2009年10月 9日 (金)

スパムの87.9%をボットが送信

ITmediaの記事「スパムの87.9%をボットが送信、メッセージラボ調べ」からです。

この報告書によると、全世界で流通するスパムメールの87.9%がボットネットから送信されているそうです。

そして、以下のような報告も。

 また、報告書ではスパムと連動してマルウェア配布などに関与するサイトの動向も解説。ICANNの報告によれば、登録から3カ月以内のドメインの90%が悪質と判定されて38日以内に閉鎖されていた。一方、3カ月以上経過したサイトでは138日以上にもなり、古いドメインが攻撃に使われる傾向が強まっていることが分かった。

 同社では、新規サイトを開設するよりも正規サイトを改ざんする方が少ないコストで済み、多くの一般ユーザーをマルウェアに感染させることできるため、攻撃者はこうした手口を広く用いるようになったと分析している。

ということで、改ざんされた正規サイトによる攻撃は、まだこれからも増えそうですね。

| | コメント (0) | トラックバック (0)

2009年10月 8日 (木)

大半のユーザーが安易なパスワードを利用

ITmediaの記事「大半のユーザーが安易なパスワードを利用、流出情報を分析からです。

このところ、ニュースになっているHotmailなどのアカウント流出問題。これに関わる分析(8931件のパスワードが対象)の結果、「ユーザーの大半がいまだに弱いパスワードを使っていることが分かった」ということです。

具体的には、以下のような結果だったようです。

 その結果、全体の42%が「a~z」までのアルファベットのみでパスワードを構成していた。「0~9」までの数字しか使っていないパスワードも19%に上った。アルファベットと数字を組み合わせたパスワードは30%を占めたが、大文字と小文字の組み合わせは3%のみ、アルファベットと数字に加えて「$%@」などの記号を組み合わせていたのは6%のみだった。

 パスワードの文字数は平均8文字。Hotmailで定めている下限の6文字のものが22%と最も多く、次いで8文字が21%、7文字が14%。最も長いものは30文字だった。

 最も多く見られたパスワードは「123456」「123456789」「alejandra」「111111」が上位を占めた。このほか「alberto」「estrella」などの単語が上位に来ていることから、パスワード流出の原因となったフィッシング詐欺では主に中南米のユーザーが狙われたようだとAcunetixは分析している。

例によって「安易なパスワードを使わないように呼びかけ」ということになるんでしょうが、こうした認証方法自体がやはり限界なんでしょうね・・・

<参考記事>
「Hotmailの数千のアカウント情報が流出、フィッシング詐欺が原因か」~ITmedia

「Gmailや米Yahoo!メールも情報流出、パスワードの変更を」~ITmedia

| | コメント (0) | トラックバック (0)

2009年10月 7日 (水)

「Internet Week2009」

「Internet Week2009」の申し込みが始まっていました。

「Internet Week2009」開催概要
正式名称:Internet Week 2009
テーマ:インターネットの進化論
開催地:秋葉原コンベンションホール
   東京都千代田区外神田1-18-13 秋葉原ダイビル
開催日程:2009年11月24日(火)~11月27日(金) 4日間
主催:社団法人日本ネットワークインフォメーションセンター(JPNIC)
後援(申請中):
•総務省
•文部科学省
•経済産業省
•IPv6普及・高度化推進協議会
•財団法人インターネット協会(IAjapan)
•仮想化インフラストラクチャ・オペレーターズグループ(VIOPS)
•クライメート・セイバーズ コンピューティング・イニシアチブ(CSCI)
•社団法人コンピュータソフトウェア協会(CSAJ)
•一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
•社団法人情報サービス産業協会(JISA)
•独立行政法人情報通信研究機構(NICT)
•地域間相互接続実験プロジェクト(RIBB)
•社団法人電子情報技術産業協会(JEITA)
•社団法人日本インターネットプロバイダー協会(JAIPA)
•日本DNSオペレーターズグループ(DNSOPS.JP)
•財団法人日本データ通信協会(Telecom-ISAC Japan)
•一般社団法人日本電子認証協議会(JCAF)
•日本ネットワーク・オペレーターズ・グループ(JANOG)
•特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
•日本UNIXユーザ会(jus)
•WIDEプロジェクト(WIDE)

ちなみに「SecurityDay2009」(2007年までは「Internet Week」の中で開催、2008年より単独開催)は、12月16日(水)開催のようです。
申し込み、プログラム内容の公開などは、まだですね。

名 称:SecurityDay2009 (セキュリティ・デイ 2009)
日 時:2009年12月16日 水曜日
12時30分開場、13時00分開始
会 場:工学院大学 28階 第1会議室
 東京都新宿区西新宿1-24-2
 JR新宿駅西口徒歩5分 都営大江戸線都庁前駅 徒歩3分 
参加費:無料
定 員:100名
 *申込みが定員に達し次第受付終了となります
対 象:情報セキュリティに関わる方
主 催:
 JPCERTコーディネーションセンター (JPCERT/CC)
 日本インターネットプロバイダー協会 (JAIPA)
 日本データ通信協会 (Telecom-ISAC Japan)
 日本ネットワークセキュリティ協会 (JNSA)
 日本電子認証協議会 (JCAF)

| | コメント (0) | トラックバック (0)

2009年10月 6日 (火)

人体通信モジュール

日刊工業新聞Business line「アルプス電気、人体通信モジュール開発」からです。

人体に電気信号を通し、通信するという方式です。

 電界通信は人体に微弱な電気信号を流すことでデータを伝送する。人体への影響はない。モジュールを搭載した機器を装着した人が、同様の機器を装着した人や専用の装置に触れることで通信する。複雑な操作が必要ないほか、通信中に情報を読み取られにくいなどの利点がある。

人体への影響はないということですが、ちょっと気持ち悪いですね。
「通信中に情報を読み取られにくい」ともありますが、それでも攻撃はありそうです。
その場合は「人体をクラック」ということになるのでしょう。

| | コメント (0) | トラックバック (0)

2009年10月 5日 (月)

IT史上の重大事件 トップ10

ZDNetの記事「IT史上の重大事件--トップ10」からです。

この記事は、ITの歴史を振り返り重大な事件と思われる出来事を挙げたものです。

さて、気になるトップ10は?
(数字は順位ではなく、時系列で並んでいるものです)

1:COBOLの開発(1959年)
2:ARPANETの登場(1969年)
3:UNIXの創造(1970年)
4:初めての「二枚貝型」ラップトップ(1979年)
5:Linus Torvalds氏のLinuxへの取り組みの開始(1991年)
6:Windows 95の出現(1995年)
7:90年代のドットコムバブル(1990年代)
8:Steve Jobs氏がAppleに再び参画(1996年)
9:Napsterの創造
10:Wikipediaの開始(2000年)

私にとってのインパクトでは、

5:Linus Torvalds氏のLinuxへの取り組みの開始(1991年)
6:Windows 95の出現(1995年)

あたりでしょうか。

これより以前は、私の年齢としては生まれる前だったり、ITとは関係なかったりの時代なので、実感がございません。

| | コメント (0) | トラックバック (0)

2009年10月 3日 (土)

米DHS、1000人のセキュリティ専門家を雇用へ

日経ITproの記事「米国土安全保障省,今後3年で最大1000人の専門家を雇用へ」からです。

 米国土安全保障省(DHS)は米国時間2009年10月1日,今後3年間に同省全体でサイバー・セキュリティの専門家を最大1000人雇用すると発表した。国家のオンライン・インフラ,システム,ネットワークを保護するという同省の使命の遂行に向け,人材を拡充するとしている。

 優秀なサイバー・アナリスト,開発者,エンジニアを採用し,サイバー攻撃のリスクや戦略的解析,サイバー攻撃発生時の対応,ぜい弱性の検出と査定,情報収集と調査,ネットワークおよびシステムの構築などのポジションに配備する。

オバマ政権は、サイバーセキュリティにかなり積極的ですね。(もともと「公約」ではありますけど)
さて、日本は?

| | コメント (0) | トラックバック (0)

2009年10月 2日 (金)

「Microsoft Security Essentials」正式版、提供開始

日経ITproの記事「ついに登場、マイクロソフトの無料ウイルス対策ソフト日本語版」からです。

マイクロソフトのウイルス対策ソフト(無料)の提供が開始されました。(ダウンロードはこちらから)

この記事によると、機能は以下の通りです。

 Security Essentialsは、ウイルス(悪質なプログラム)を検出・駆除するソフト。同社が販売している企業向けセキュリティ対策ソフト「Forefront」と同じウイルス検出エンジンならびにウイルス定義ファイル(パターンファイル)を採用。市販のセキュリティソフトと同様に、パソコンに常駐してリアルタイムでウイルスを検出する。ハードディスクに保存されているファイルを、オンデマンドでチェック(スキャン)する機能も備える。

 ただし、ウイルス対策以外の機能はない。市販のセキュリティ対策ソフトの多くが備えるファイアウオール機能や迷惑メール(スパム)対策機能、URLフィルタリング機能、フィッシング詐欺対策機能などは備えていない。

 対象OSは、Windows XP/Vista/7。Windows XPは32ビット版のみだが、Windows VistaとWindows 7については32ビット版と64ビット版の両方に対応している。

ということで、ウイルス対策以外の機能がないということです。もちろん、Windows以外のOSへの提供もありません。
どれくらいユーザーが増えるかはやや疑問ではありますが、今後市場に広がっていくのは間違いないと思います。

だから、このような攻撃も、既に出てるんでしょうね・・・

ちなみに私は現在のところダウンロード、利用は予定しておりません。

| | コメント (0) | トラックバック (0)

2009年10月 1日 (木)

杜の都仙台に来ております

昨夜遅く、杜の都仙台に到着しました。
今年2月以来の久しぶりの出張です。
金曜まで、こちらにおります。

ちなみに金曜のお仕事は「2009年度情報セキュリティ監査セミナー in Sendai」 などです。

仙台は東北楽天イーグルスの2位争いで盛り上がっていますね。
今日勝てば2位のようですし、ちょうどKスタで試合もあるようです。
(時間的には可能なので)観に行こうか迷っています・・・

とにかく、仙台に着たからには牛タンだけは必ず食べます。

| | コメント (0) | トラックバック (0)

« 2009年9月 | トップページ | 2009年11月 »