« 2009年10月 | トップページ | 2009年12月 »

2009年11月の記事

2009年11月30日 (月)

企業における情報セキュリティ実態調査2009

NRIセキュアのHPで「企業における情報セキュリティ実態調査2009」が公開されています。

この調査の質問は、以下の8つのカテゴリーです。

1.情報セキュリティに対する取り組み
2.情報セキュリティ対策製品・ツールの利用状況
3.私有PCの業務利用における情報セキュリティ
4.社内および社外との通信に関する情報セキュリティ
5.情報セキュリティに関する法律・基準等への対応
6.最近のIT動向に関する情報セキュリティ
7.情報セキュリティに関する事件・事故や内部者による犯行
8.情報セキュリティ対策に関する投資

全体的な感想としては、情報セキュリティ対策がそれほど進んでいなさそうだ、ということと、投資は(やはり)減少傾向だということ。
「景気が景気だから・・・」ということなんでしょうが、そこで投資を控えるということで、負の連鎖(デフレ・スパイラル)に陥る企業が増えそうな気がしております。

それから(現在の事業仕分けもそうですが)、回答する側に「コスト」と「投資」の区別がちゃんとついているのかな、というのが気になったりしています。

<参照資料>
「2009年度 情報セキュリティに関するアンケート」質問票

単純集計結果

| | コメント (0) | トラックバック (0)

2009年11月27日 (金)

サイバー攻撃源の逆探知システム

独立行政法人情報通信研究機構(NICT)の報道発表「サイバー攻撃源の逆探知システムの開発と実験に成功  ~ 世界初、広域インターネット環境下で逆探知を実証 ~」からです。

これは、かなり興味深いシステムですね・・・
今後の展開に注目、そして期待したいです。

「なるほど、トレースバック技術って、こういうメカニズムでこう使うのか・・・」というのが率直な個人的感想です。

 日本電気株式会社、国立大学法人奈良先端科学技術大学院大学、パナソニック電工株式会社、株式会社クルウィット、財団法人日本データ通信協会、株式会社KDDI研究所は、インターネットでのサイバー攻撃源を逆探知するトレースバック技術を開発しました。また、実際に稼働中のインターネット環境(以下「実インターネット環境」)で逆探知実験を行い、有効性と実用性を実証しました。
 不正アクセス等のサイバー攻撃は発信源を隠蔽、詐称することが通常です。本技術では、そのような攻撃であってもパケットの痕跡をたどり、発信源を素早く突き止めることが可能です。また、今回のような実インターネット環境における、複数のインターネット接続事業者(以下「ISP」)にまたがるトレースバック実験は世界初の試みです。
 なお、本研究の成果は、独立行政法人情報通信研究機構(以下「NICT」)の委託研究「インターネットにおけるトレースバック技術に関する研究開発」にて得られたものです。  

【背景】
 近年、コンピュータウイルスやDoS(Denial of Service:サービスの妨害)攻撃、DDoS(Distributed DoS:分散型サービス妨害)攻撃など、インターネット上の犯罪や事故は増大しており、社会インフラとしての安全対策が求められています。しかし、インターネット上の住所であるIPアドレスの書き換えなど、発信源が隠蔽、詐称されている場合には特定が困難であり、対策が望まれています。
 これに対しNICTでは、平成17年度から平成21年度まで「インターネットにおけるトレースバック技術に関する研究開発」を実施しています。IPアドレスが詐称されている状態で攻撃元を特定するには、どこからどのような経路で通信が行われているのかを把握する必要があります。また、セキュリティポリシーやプライバシーポリシーの異なる複数のISPが連携し、通信の秘匿性を確保する必要もあります。 

【今回の成果】
本トレースバックの研究では、以下の技術を開発し、システム構成や運用手順を策定して実験を行いました。
• サイバー攻撃に関連するパケット情報を匿名化するなど、通信の秘匿性を確保しながら、そのパケットの痕跡をたどっていくことを可能とする技術
• 膨大な痕跡の中から追跡すべきパケットの情報を効率良く探し出し、迅速な事案対処を可能とする技術
• 複数ISP間で協力するには運用面や制度面での課題があるが、これらを考慮したシステム構成や運用手順の検討

 今回の実証実験では、北海道から沖縄まで全国に所在する15社のISPの協力を基に、発信源のIPアドレスが詐称されたパケットによる模擬サイバー攻撃を発生させ、逆探知に成功しました。このような実インターネット環境において、複数のISPにまたがるトレースバック実験は、海外においても例がなく世界で初めての試みです。 

| | コメント (0) | トラックバック (0)

2009年11月26日 (木)

「水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に関する報告書」公開

昨日に続き、重要インフラ向けのセキュリティ文書についてです。

IPAセキュリティセンターのHPで「上水道分野用のSCADAセキュリティ グッド・プラクティス」が公開されました。
ここでは、重要インフラ制御システム(SCADA:Supervisory Control And Data Acquisition)におけるウイルスや不正アクセス等への39の対策項目が「グッド・プラクティス」として、全40ページにわたり具体的な対策例で紹介されています。

ちなみに、以下のような項目でした。

●39の対策項目(グッド・プラクティス)

(経営者向け)
・企業のセキュリティポリシーとSCADAセキュリティポリシー
・リスク管理
・セキュリティ意識
・監査
・SCADAシステムとサービスの調達ポリシー

(技術者向け)
・多層防御
・SCADA環境とOA環境の分離
・SCADA環境へのセキュアな接続
・SCADAシステムとネットワーク機器のセキュリティ対策
・SCADA環境の保護
・SCADA環境のパスワードポリシー
・事業継続とSCADAシステム及びネットワーク
・SCADA環境における情報媒体の管理

これは「上水道分野用のSCADAセキュリティ」に関する文書なのですが、「他の重要インフラ分野でも十分に適用可能」ということで公開されています。
確かに、他の重要インフラ分野でも参考になりそうな内容です。

| | コメント (0) | トラックバック (0)

2009年11月25日 (水)

「重要社会インフラのためのプロセス制御システム(PCS)のセキュリティ強化ガイド」公開

JPCERT/CCのHPで「重要社会インフラのためのプロセス制御システム(PCS)のセキュリティ強化ガイド」が公開されました。

プロセス制御システム(PCS:Process Control System)のセキュリティに関しては標準化などが進められているものの、参考となるガイドラインなどの文書は少ないようです。このガイドも原文はスウェーデン語のようです。それを英訳したものを、さらに日本語訳したようですね。

このガイドをさっとナナメ読みしましたが、プロセス制御システム(PCS)でも通常のICTと同じセキュリティが求められてきていることがわかります。

| | コメント (0) | トラックバック (1)

2009年11月24日 (火)

2010年版「いる資格、いらない資格」

日経ITpro「2010年版「いる資格、いらない資格」」の記事が公開されています。

この調査も、今年で8回目になるんですね・・・

この記事によると、

主要なソリューションプロバイダ101社の人材育成担当者にアンケート調査した結果、「営業職に取らせたい資格」で「中小企業診断士」の人気が復活していることが分かった。顧客の経営や業務の課題を的確にとらえ、解決策を提案するスキルが求められているのだ。技術職ではセキュリティ関連資格の人気が、プロジェクトマネジメント関連資格を上回った。

とのこと。

「主要なソリューションプロバイダ101社の人材育成担当者」が調査対象なんですが、個人的には人材側やソリューションプロバイダー以外からの調査結果のほうが知りたいのですが・・・

●2010年版「いる資格、いらない資格」

[取らせたい資格]技術職はセキュリティ、営業職は中小企業診断士が急上昇

「[営業効果・前編]PMが首位を死守、システムアーキテクトと中小企業診断士が上昇」

「[営業効果・後編]今年もオラクルとシスコが上位競う、MS資格が上昇」

「[一時金ランキング]ITILと仮想化の支給額が急増」

「[IT企業の取得支援策]不況でも7割が現状の予算を維持」

| | コメント (0) | トラックバック (1)

2009年11月22日 (日)

「ファイル共有ソフトを悪用した著作権侵害への対応に関するガイドライン(案)」公開

ファイル共有ソフトを悪用した著作権侵害対策協議会(CCIF)で「ファイル共有ソフトを悪用した著作権侵害への対応に関するガイドライン(案)」に対するパブリックコメントが募集されています。募集期間は、2009年12月15日(火)まで。

実は「ファイル共有ソフトを悪用した著作権侵害対策協議会(CCIF)」という団体があることを知りませんでした。(ある方に教えていただきました)
CCIFでは、2010年より、このガイドラインに基づき啓発メールの送付を実施する予定だそうです。

それにしても、団体の名称はちょっと長すぎなくはないかい?

| | コメント (0) | トラックバック (0)

2009年11月21日 (土)

「SecurityDay2009」

「SecurityDay2009」の申し込みが始まっていました。


名 称:SecurityDay2009 (セキュリティ・デイ 2009)
日 時:2009年12月16日 水曜日
12時30分開場、13時00分開始
会 場:工学院大学 28階 第1会議室 東京都新宿区西新宿1-24-2
JR新宿駅西口徒歩5分 都営大江戸線都庁前駅 徒歩3分 
参加費:セミナー無料、懇親会1000円 
定 員:100名
対 象:情報セキュリティに関わる方
※本イベントはCISSP/CPEポイント付与対象です
主 催:
 JPCERTコーディネーションセンター (JPCERT/CC)
 日本インターネットプロバイダー協会 (JAIPA)
 日本データ通信協会 (Telecom-ISAC Japan)
 日本ネットワークセキュリティ協会 (JNSA)
 日本電子認証協議会 (JCAF)

●プログラム
1250-1300 <開会のご挨拶>SecurityDay2009 実行委員長 やすだ なお
1300-1500 <セッション1>「電子認証のあり方」これまでの10年と今後の方向性

 松本 泰(セコムIS研究所)
 手塚 悟 (東京工科大学)
 満塩 尚史 (イマーディオ)
 秋山 卓司 (日本電子認証協議会)

1500-1515 <休憩>
1515-1645 <セッション2>セキュリティの可視化について

 中尾 康二 (Telecom-ISAC Japan)
 金岡 晃 (筑波大学大学院)
 堀 良彰 (九州大学)
 井上 大介 (情報通信研究機構)
 鹿野 恵祐 (JPCERT/CC)

1645-1650 <休憩>
1650-1750 <セッション3>標準化の一里塚

 中尾 康二 (KDDI)
 アンジェリカ・プレート (AEXIS Security Consultants)

1750-1800 <休憩>
1800-1930 <セッション4>情報交換会/懇親会 (会費:1000円)

昨年の「SecurityDay2008」も12/16でした。

| | コメント (2) | トラックバック (0)

2009年11月20日 (金)

スマートフォンのWi-Fiホットスポット利用でデータ漏洩

japan.internet.comの記事「『iPhone』などに Wi-Fi 利用でデータ漏洩のおそれ」からです。

この記事によると、

今回の調査は、『Wi-Fi Protected Access』(WPA) 認証によって保護されていない Wi-Fi ネットワークに接続した場合のスマートフォンの脆弱性に焦点を当てたものだ。パソコンの場合も、同じ脆弱性が広範囲にわたって悪用されている。

SSLを回避することで、攻撃者は攻撃に使用しているパソコン上で、ログインパスワードなどのデータをプレーンテキストで見ることができる。

報告書では、攻撃に使用されるツールの例として、『Arpspoof』や『SSLStrip』などが挙げられている。こういったツールをノートパソコンに搭載し、スマートフォンのSSL暗号を破ることで、ユーザーの名前やパスワードを入手するという。

とのこと。

『Arpspoof』はARPポイゾニングツールで、『SSLStrip』はSSLクラックツールですね。
名前は聞いたこちがあったんですが、詳しくは知らなかったので、これから調べてみます。
(攻撃のメカニズムがわかったような、わからないような状態なので・・・)

<参考記事>
「SSLのクラックを実現するツール」~japan.internet.com

| | コメント (0) | トラックバック (0)

2009年11月19日 (木)

「論理的思考」について考える(3)

さて、今日はひとまず「論理的思考」についての結論的なことを書いてみます。

先日、久しぶりに「容疑者Xの献身」のDVDを観ました。
そこで、帝都大学の湯川学准教授曰く「『論理的思考』とは・・・、思い込みや勘で答えを出そうとするのは誤りだ」。

つまり、「思い込み」や「勘」によって、論理的思考で誤りを起こす、ということ。
先入観や主観が思考や判断を狂わせるということです。
これが起こらないようにすること、それが論理的思考以前に重要なスキルと思っています。

そして、もう1つ。「事実」をベースに「論理的思考」することが重要です。
そのためには、「事実」とそうでないことの見極めができなければなりません。
また、ウソをつかないことが重要です。
「事実でないこと」や「ウソ」が入ってしまうことにより、ほとんどの場合に論理は破綻します。
「事実」を見極めること、ウソをつかないことは、情報セキュリティ専門家として不可欠な倫理観でもあるからです。

論理的思考をするためには、これらのスキルが欠かせないと思っています。

| | コメント (0) | トラックバック (0)

2009年11月18日 (水)

「論理的思考」について考える(2)

「論理的思考」で犯してはならない誤りは、簡単にいうと「本当にそれだけか?(それだけとは限らない)」「どうしてそうなるの?」という2通りです。(ある書籍に、このようなことが書いてあったのですが、書名を失念しました・・・)

「本当にそれだけか?(それだけとは限らない)」という誤りは、他にも選択肢や可能性があるのにそれを見落とすもの。
「どうしてそうなるの?」という誤りは、つまり論理が矛盾したり、飛躍したりというもの。

この2つの誤りを犯さないように、「手段」「道具(ツール)」を使うわけですね。
しかし、それでも誤りは起こるわけです。

(今日は、頭が働かないので、短めにします)

| | コメント (0) | トラックバック (0)

2009年11月17日 (火)

「論理的思考」について考える(1)

最近ちょっと「論理的思考」とか「コンピテンシー」について考えなければならない機会があったので、忘れないうちに自分の考えを書いてみたいと思います。

同じような「論理的思考」をして話しても「論理的でわかりやすい」、「理屈っぽい」と違う評価をされることがあります。
その違いがどこなのか、それが重要だと思っています。

「論理的思考」とは「手段」に過ぎないわけで、それを使い間違えるということがまずその原因でしょう。
最終的にどういうアウトプットにするのか、それにより「論理的思考」のための「道具(ツール)」も変える必要があるはずです。

何でもかんでも、同じ「道具(ツール)」というのは「論理的思考」になっているのでしょうか。
たとえば、どんなときでも「MCSE」などの「ロジックツリー」にする人、「マインドマップ」にまとめる人、など。

以前に「自分の考えをわかりやすくまとめてみました」と言って、A3サイズに小さなフォントで印刷された「マインドマップ」を渡されたことがあります。「これが、最終アウトプットとは・・・」と驚いたことがあります。しかも、その内容は私は理解できませんでした。

「手段」「道具(ツール)」でまとめることは、最終的な目的ではないはずです。
そこを間違えると「論理的思考」もそのメソッドも台無しですね。

| | コメント (0) | トラックバック (0)

2009年11月16日 (月)

セキュリティの教育ネタ(1) 暗号①

これから不定期に、私が教育でよくつかっているネタについて書いてみたいと思います。
このようなことを書くと、「教育ネタがなくなるのでは・・・」などという心配もありますが、もったいぶっていても(いろんな意味で)仕方がないので・・・

さて、まずは「暗号」です。

「コンプリート・シャーロック・ホームズ 全訳版」「踊る人形」を、暗号解読で使っています。

ここで出てくるのは、「頻度分析(Frequency analysis)」という手法です。
文字または文字列の出現頻度によって、暗号文を解読する方法です。

この「踊る人形」では、英語の暗号文をこの頻度分析によって解読したわけです。
英語では、一文字の場合は、e, t, a, o, i, n, ...の順に出現頻度が高いわけです。
そして、二文字の場合は、t-h, h-e, i-n, e-r, ... 、三文字の場合には、t-h-e, a-n-d, i-n-g, i-o-n, ...
、という具合で、これを暗号文と照らしていくわけですね。

<参考>
「頻度分析 (暗号)」~Wikipedia

| | コメント (0) | トラックバック (0)

2009年11月13日 (金)

顧客情報流出で実刑判決

日経ITproの記事「元システム部社員に実刑判決、三菱UFJ証券の顧客情報流出」からです。

 三菱UFJ証券の顧客情報約148万人分を不正に取得したなどとして、不正アクセス禁止法違反と窃盗の罪に問われた同社システム部の部長代理だった元社員(4月8日付で懲戒解雇処分)に対する判決公判が2009年11月12日、東京地裁(江見健一裁判官)で開かれた。同地裁は「会社や周囲の社員の信頼を裏切り、内部からの犯行は悪質。刑事責任は重大」などとして、元社員に懲役2年の実刑判決を言い渡した。

 判決によると、元社員は2009年1月26日、別の従業員のIDとパスワードを使用して顧客情報を管理するサーバーに不正にアクセスして顧客情報を取得。2月4日に顧客情報約148万人分を記録したCD-R1枚を持ち出して盗んだ。また、3月22日には約4439万円相当の企業概要情報を記録したCD-R2枚を持ち出して盗んだ。

 江見裁判官は、元社員の不正アクセス行為について「特定端末を長時間利用しないようにして怪しまれないようにして発覚を防ごうとするなど、知識を悪用した」と指摘。また、秘密保持しなければならない顧客情報や企業概要情報を売却目的で盗んで流出させた点を「相応の考慮をすべき」と判断した。流出した顧客情報については、「勤務先や年収など高度のプライバシーが記載されており、金額に換算するのは困難」と言及し、CD-R1枚分の価値(65円相当)として評価できないとした。

ということで、実刑判決になりましたね。
法律そのものやその解釈の問題もあり、2年という量刑は軽いようにも思いますが、実刑になったということ自体が大きいと思います。

特に「流出した顧客情報については、「勤務先や年収など高度のプライバシーが記載されており、金額に換算するのは困難」と言及し、CD-R1枚分の価値(65円相当)として評価できない」という判断の部分が重要だと思います。
以前ですと、「情報は盗まれてもメディアの価値(=CD-R1枚分の価値(65円相当))」などと言われてましたので・・・

| | コメント (0) | トラックバック (1)

2009年11月12日 (木)

スパム・ボットが「つぶやき」を自動送信

日経ITproの記事「狙われるTwitter:スパム・ボットが「つぶやき」を自動送信」からです。

「スパム・ボットが自動でつぶやく」ということですが、ブログや掲示板にもボットが書き込むわけですから、よく考えてみたら予測し得る脅威のはずなわけです。
キャプチャーも破られているので、つぶやいている相手が人間なのか、ボットなのかを判別するのも難しいということになるのでしょうね。

しかし、チャットならリアルタイムなので、人間だと判別できることになりそうなんですけど、さて・・・

見えない相手を、どう判別(識別・認証)し、信頼するか、難しいですねぇ。

| | コメント (0) | トラックバック (0)

2009年11月11日 (水)

サイバー空間は「仮想地雷原」

ITmeidiaの記事「検索はマルウェアの「地雷原」状態、今度はセサミストリートに便乗」からです。

この記事によると、

 Google検索のロゴにも登場した子供番組「セサミストリート」の40周年に便乗して、検索結果の上位にマルウェア感染サイトを表示させる攻撃が浮上していると、セキュリティ企業の米McAfeeがブログで伝えた。

 セサミストリート40年を記念してGoogleにはビッグバードなど人気キャラクターのロゴが連続で登場したが、偽セキュリティソフトの配布集団がこれに着目。McAfeeが公開した動画では、「Big Bird on Google」というフレーズで検索すると検索結果の上位に「Why is Big Bird On Google」というサイトが表示され、このリンクをクリックすると偽ウイルス対策ソフトの導入を仕向けられる様子が示されている。

というような攻撃が増えてきているようです。

つまり、検索結果をクリック(踏んで)しまうと・・・、ということです。
検索結果が「地雷」になっているわけで、サイバー空間が「仮想地雷原」化しているということです。

攻撃する側は、受動的攻撃としての罠を仕掛け、それをどう踏ませるか、であの手この手で工夫をしているわけです。
対策をする側は、踏まないためにどうするか、それを考えなくてはならないということになりますね。

| | コメント (0) | トラックバック (0)

2009年11月10日 (火)

「情報セキュリティコンサルティングサービス」って・・・

ITmediaの記事「2009年度の情報セキュリティコンサルティングのサービス市場は3.9%増」を見ていたんですが、この記事によると以下のサービスが「情報セキュリティコンサルティング」として調査されていました。

【マネジメント強化系】
1.情報セキュリティポリシー策定支援 2.情報セキュリティ管理・強化コンサルティンティング 3.IT全般統制・J-SOX対策支援 4.セキュリティ教育支援

【システム設計支援系】
5.情報セキュリティシステム設計・構築支援

【監査・分析・診断系】
6.情報セキュリティ監査・分析 7.ネットワーク脆弱性診断 8.Webアプリケーション脆弱性診断 9.データベース脆弱性診断

【認証取得支援系】
10.ISO/IEC15408認証取得支援 11.ISO20000認証取得支援 12.ISMS/ISO/IEC27001認証取得支援  13.プライバシーマーク認証取得支援 14.BCM/BCP構築支援 15.PCIDSS準拠支援 16.情報セキュリティ格付取得支援

【評価サービス】
17.ISO/IEC15408評価サービス

私にとっては、【マネジメント強化系】と【認証取得支援系】以外は、「情報セキュリティコンサルティングサービス」という位置づけではないのですが・・・

だいたい「情報セキュリティコンサルティング」って、人によっていうことが違いますし、「情報セキュリティコンサルティングサービス」と言われても「具体的に何するの?」ということを聞かなければならなかったりします。

「市場は3.9%増」というのも疑問というか実感がないのですが、「情報セキュリティコンサルティングサービス」って何なの?というのも改めて疑問に思ってしまった記事でした。

| | コメント (0) | トラックバック (0)

2009年11月 9日 (月)

総務省「地方自治情報管理概要」公開

総務省のHPで、地方自治情報管理概要「地方公共団体における行政情報化の推進状況調査及び個人情報の保護に関する条例の制定状況(平成21年4月1日現在)等の取りまとめ結果」が公開されました。

この調査は、「平成21年4月1日現在の地方公共団体(都道府県47団体、市区町村1,800団体(特別区を含む。以下同じ。))を対象に「地方公共団体における行政情報化の推進状況調査」及び「個人情報保護対策等制度化調」を実施しました」というものです。

その結果の中の情報セキュリティ関連のものを抜き出してみました。

1 電子自治体の推進状況
○ 情報セキュリティ対策の実施状況
・ 都道府県のほとんど(97.9%)、市区町村の7割弱(68.6%)が職員に対する情報セキュリティ研修を実施
・ 都道府県のすべて(100%)、市区町村のほとんど(95.5%)が委託事業者に対し情報漏えい防止策を契約等により義務付け

2 電子自治体に関する主要な指標の推移
○ 市区町村において、特に進展が著しい項目
・ CIOの任命率(平成17年度60.5%→平成21年度76.1%)
・ 情報セキュリティ研修の実施率(同51.5%→同68.6%)


3 個人情報の保護に関する条例の制定状況
○ 条例の規定内容等
・ 保護の対象とする個人情報の処理形態の範囲の拡大、自己情報の開示・訂正の請求、外部委託先の規制、申請等への措置に関する規定内容の整備は、いずれも、都道府県のすべて、市区町村のほとんど(98%以上)で実施。
・ 都道府県のすべて(100%)、市区町村の7割(69.9%)の団体が条例に罰則規定を設けている。

○ 目的外使用等
・ 都道府県の9割弱(89.4%)、市区町村の9割強(93.6%)の団体が人の生命、身体又は財産の保護のため、緊急の必要があるとき、目的外使用ができることとなっている。

○ 個人情報保護に関する体制整備等
・ 都道府県のすべて(100%)、市区町村の5割強(52%)の団体が職員に対する教育・研修を行っている。
・ 都道府県のほとんど(97.9%)、市区町村の4割強(43.8%)の団体が住民に対しホームページ・パンフレットによる周知を行っている。
・ 都道府県の7割強(72.3%)、市区町村の1割強(16.6%)の団体は「過剰反応」に関する周知も行っている。

さて、個人的な感想ですが、(数字以上に)やらされている感じを強く受けました。
自発的・自立的な活動にするために、改めて何か施策が必要な気がします。

| | コメント (0) | トラックバック (0)

2009年11月 6日 (金)

「2009年度 情報セキュリティの脅威に対する意識調査」報告書、公開

「2009年度 情報セキュリティの脅威に対する意識調査」の報告書が公開されています。

今回の調査は、以下のような項目で実施されたようです。

・インターネットの利用状況
・情報セキュリティの脅威に対する認識
・情報セキュリティ対策の実施状況
・情報セキュリティに関する被害状況
・USBメモリのセキュリティ対策状況
・情報セキュリティに対する意識・情報収集
・組織における情報セキュリティ対策

そして、結果は・・・

●調査結果概要
(1) 情報セキュリティに関する攻撃・脅威の認知状況
 情報セキュリティに関する攻撃・脅威について、その事象をどの程度知っているかを調査しました。
 攻撃・脅威に対する認知の割合をみると、ワンクリック不正請求(94.4%)、フィッシング詐欺(93.7%)、スパイウェア(88.3%)が上位となり、高い認知状況となっています。一方、2008年9月の調査結果と比較するとマルウェアは約5ポイント(31.8%から36.6%)、ボットは約4ポイント(35.3%から39.0%)上昇しましたが、それでも4割に至らない状況でした。また、今回初めて調査した偽セキュリティ対策ソフトは、50.8%の利用者が「名前も概要も知らない」ことが判明しました。偽セキュリティ対策ソフトをインストールすると、パソコンが正常に動作しなくなるといった症状が発生しますので、被害防止に向けて対策を啓発していく必要があると考えています。

 なお、認知状況の高いワンクリック不正請求、フィッシング詐欺、スパイウェアについては、「詳しい内容を知っている」との回答が、それぞれ2割前後となっており、理解度を高めていく活動も必要であると認識しています。

(2) パスワードの設定方法について
 情報システムにおいて本人確認を行うために必要なパスワードの設定方法に関して調査しました。
 「パスワードは誕生日など推測されやすいものを避けて設定している」が49.4%となり、約半数の利用者が安易なパスワードを設定している可能性がある状況が判明しました。また、「複数のサイトでパスワードを併用している」との回答が35.1%となりました。パスワードを併用した場合、1ヶ所でもパスワードが漏えいすると、複数のサイトでサービスを不正使用されてしまう危険性があります。本人になりすまされ、サービスを不正使用される被害が発生していますので、パスワードの設定・管理について見直すことを推奨します。

「偽セキュリティソフト」「ボット」・・・、まだまだこのあたりは認知されていないということですね。
パスワードについては、どこで何年調査しても同じような調査結果になっているので、「パスワードの設定・管理について見直すことを推奨」というのは、ユーザー個人よりも管理する組織側により必要なことだと思っています。

| | コメント (0) | トラックバック (0)

2009年11月 5日 (木)

「MACtimeからわかるファイル操作 (Version 1)」公開

JPCERT/CCから「MACtimeからわかるファイル操作 (Version 1)」が公開されました。

ところで、「MACtime」って?
この資料によると、以下の通り説明されています。

MACtimeとは、ufs、ext3、NTFSなどのファイルシステムに保存されている3つのタイムスタンプmtime、atime、ctimeの総称である。ファイルシステムにおいて個々のファイルやディレクトリは、その名前、属性情報、ファイル本体もしくはディレクトリエントリの情報を持つ。MACtimeは属性情報の一部にあたる。一般的に我々がよく目にするタイムスタンプはmtimeで、最後に更新された時刻が記録されている。この他、atimeには最後にアクセスされた時刻が、ctimeにはタイムスタンプ以外の属性情報の最終更新時刻が記録されている。

ログの分析をする業務の方(フォレンジック、検査・監査等)の方には、役立つ資料と思います。

<関連記事>
「JPCERT/CC、MACtimeを分析するための技術資料を公開」~ITmedia

| | コメント (0) | トラックバック (0)

2009年11月 4日 (水)

地下経済の調査報告書「アンダーグラウンドエコノミー」

ZDNetの記事「DDoS攻撃の価格は1時間あたり1300円~2万円--G Data、地下経済を調査」からです。

地下経済の調査報告書「アンダーグラウンドエコノミー」が公開されています。

なぜ、このようなビジネスが成り立つのか、動機となるのか、それを知るための重要な資料ですね。
実に興味深い・・・

報告書によれば、PCを感染させるサービスを提供する事業者も存在するという。価格は感染したPCの所在国別で値付けされており、人気が高いのは西欧、北米、オーストラリア。一例として、英国が1000台あたり240ドル、米国が同160ドル、カナダが同220ドルとされ、アジアは同32ドルだった。こうしたサービスに加え、昨今はボットネットを1000台単位で提供する業者も現れているとされ、DDoS攻撃は1時間あたり最低10ユーロ(約1330円)~最高150ユーロ(約2万円)で売買されているという。

| | コメント (0) | トラックバック (0)

2009年11月 2日 (月)

「脆弱性対応意思決定支援システムの有効性検証報告書 日本語版」公開

JPCERT/CCのHPで「Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書 日本語版」が公開されています。

この報告書は、以下の通りのものです。

Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム、略称:VRDA、読み:ヴァーダ) は、組織が、脆弱性情報に関し、効率よく、一貫した対応ができるように支援すべく、JPCERT/CC と CERT/CC が共同でデザインした脆弱性対応コンセプトです。

VRDA コンセプトを適用することにより、脆弱性情報と対応履歴のデータベースを基に、新しい脆弱性に対して、その組織にとって最適である可能性が高い対応を導き出すことが可能となります。

本報告書は、VRDA コンセプトを実装したシステムである KENGINE (試行運用中) を用い、各組織において実施すべき脆弱性対応を、どの程度正しく提示することができるかについて、米 CERT/CC 含む 3つの異なる組織の協力を得て評価した結果をまとめたものです。

「意思決定支援システム」である、というところがポイントですね。
報告書の中には、このシステムのロジックの説明として数式がたくさん出ていますが、これがExcelのフォーマットなどファイルやツールで提供されると、もっとうれしかったりします・・・

| | コメント (3) | トラックバック (0)

2009年11月 1日 (日)

SSCPホルダーが日本で誕生!

9月に日本での第1回試験が行われたSSCPの認定試験の結果の通知が、10月30日(日本時間)に送られてきたようです。
(私のところにも、何名かの方々からご報告をいただきました)
これで、SSCPホルダーが日本で誕生したということになります。

新しい(ISC)2ホルダーの仲間が増えて、とてもうれしいです。
そして、9月のSSCPレビューセミナー講師として、ホッとしました。

新しいホルダーの皆さん、ぜひ資格を使って、使って、使いまくってください。
(名刺に書くだけじゃ、使ったことになりませんよ)

ということで、(その使いまくる方法の1つである)リアルおよびバーチャルなコミュニティに、ぜひご参加ください。
そこで、ぜひお目にかかりたいと思っておりますので。

| | コメント (0) | トラックバック (0)

« 2009年10月 | トップページ | 2009年12月 »