« 2010年1月 | トップページ | 2010年3月 »

2010年2月の記事

2010年2月27日 (土)

セキュリティ業界 Twitterおすすめフォローリスト

Hacker Japan Blogの記事で「セキュリティ業界 Twitterおすすめフォローリスト」というのが出ていました。

以下の5つのジャンルで出ています。

・イベント(国内)
・イベント(海外)
・企業団体系
・個人(日本)
・個人(海外)

私がフォローしているアカウントも、たくさん出てました。

ちなみに私のアカウントは出ていません。
悲しいような、うれしいような。(どちらかと言うと、うれしい、というより「ホッとした」かな・・・)

| | コメント (0) | トラックバック (0)

2010年2月26日 (金)

セキュリティ設定共通化手順「SCAP」

IPAセキュリティセンターのHP「セキュリティ設定共通化手順SCAP概説」からです。

さて、まず「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」とは、米NIST(National Institute of Standards and Technology)で開発された、情報セキュリティ対策の自動化と標準化を目指したプロトコルです。

現在、SCAPは次の6つの標準仕様から構成されています。

・脆弱性を識別するためのCVE
(Common Vulnerabilities and Exposures:共通脆弱性識別子)
・セキュリティ設定を識別するためのCCE
(Common Configuration Enumeration:共通セキュリティ設定一覧)
・製品を識別するためのCPE
(Common Platform Enumeration:共通プラットフォーム一覧)
・脆弱性の深刻度を評価するためのCVSS
(Common Vulnerability Scoring System:共通脆弱性評価システム)
・チェックリストを記述するためのXCCDF
(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)
・脆弱性やセキュリティ設定をチェックするためのOVAL
(Open Vulnerability and Assessment Language:セキュリティ検査言語)

脆弱性情報は、収集・提供・共有が(グローバルで)できることが重要です。
そのために、SCAPの利活用が促進されることが望まれるわけです。

しかし、これを理解し、使えるようになるまでは大変そうですね。
その障壁を取り除いていかなければ・・・

また、同時に脆弱性対策情報データベースのソフトウェアインタフェース「MyJVN API」も公開されています

<参考情報>
共通脆弱性識別子CVE概説(2009年1月26日公開)

共通プラットフォーム一覧CPE概説(2008年10月23日公開)

共通脆弱性評価システムCVSS概説(2006年12月26日公開)

セキュリティ検査言語OVAL概説(2009年11月30日公開)

共通脆弱性タイプ一覧CWE概説(2008年9月10日公開)

脆弱性対策情報データベースのソフトウェアインタフェースを公開~さまざまなソフトウェアが脆弱性対策情報を取得できる「MyJVN API」~

MyJVN API とは

| | コメント (0) | トラックバック (0)

2010年2月25日 (木)

官民連携による「情報セキュリティ啓発活動」

IPAセキュリティセンターのHP「官民連携による「情報セキュリティ啓発活動」の実施について」からです。このページの記事によると、以下の通りの活動が行われるようです。

 インターネット上の脅威は近年組織化・ビジネス化が進んでおり、その手口の巧妙化がますます加速しています。例えば、昨今流行しているガンブラー攻撃等や、クラウドコンピューティングを始めとする様々なIT利活用技術に関する課題、セキュリティを取り巻く最新の海外情勢など、情報セキュリティの話題は欠くことがない状況です。

 このような背景を受け、内閣官房が定める「情報セキュリティ月間」を機に株式会社シマンテック、トレンドマイクロ株式会社、マカフィー株式会社、独立行政法人 情報処理推進機構と経済産業省は、官民の壁、企業間の壁を超えて連携し「セキュリティ普及促進委員会」を設立しました。
本委員会では、「企業の情報セキュリティの課題と在り方」をテーマに、緊急セミナーを開催するとともに、併せてご家庭における情報セキュリティ対策を改めて見直していただくため、ポスター(1万枚)を、関係団体を通じ2月25日から配布いたします。

官民連携の「セキュリティ普及促進委員会」が設置されたそうです。
この取り組みは継続して実施されるのでしょうか。(そうあることを願っていますが・・・)

ポスターは、今年もセキュリーナのようですね。

そして、イベントも実施されるようですね。

イベント:★緊急セミナーの概要★
名称 : 企業における情報セキュリティ対策の課題と今後の方策
日時 : 2010年3月9日 13:00~
会場 : ホテル日航東京 1階 大宴会場 「ペガサス」
受講対象者 : 一般企業や官公庁・自治体等のIT管理者及び情報セキュリティへの関与がある方
定員 : 700名
受講料 : 無料
セミナー申し込み方法 : セミナー専用サイトからお申し込みください

セミナーの内容を確認しようとしたら、認証を要求されました。
よく見たら、以下のように書いてありました・・・

※ 上記Webサイトにて25日9:00からお申し込みいただけます。セミナーの詳細は、上記Webサイトにてご確認ください。

| | コメント (0) | トラックバック (0)

2010年2月24日 (水)

「コミュニケーションスキル」について考える(4)

今日も、前回の続きを・・・

「コミュニケーションスキル」ということで、ひとくくりにされていることがありますが、実はいろいろと分類があると思っております。

まずは、「リテラシー」(基本的能力)としての「コミュニケーションスキル」と、「コンピテンシー」としての「コミュニケーションスキル」です。
さらに、「コンピテンシー」が、いくつかの段階に分かれていると考えてます。
※ 「コンピテンシー」については、詳しくはまた別の回(次回?)で。

「コミュニケーションスキル」の教育が、ほとんどの場合「リテラシー」で終わってしまっていることが多いようです。
前回の記事
では、「意思疎通、協調性、自己表現能力(厚生労働省による就職基礎能力の定義)」とされているところですね。

ここで終わってしまっては、「コミュニケーションスキル」が向上しないどころか、ヒューマンスキル自体が向上しないわけです。
「リテラシー」は、主に知識や技術を習得するための能力であり、知識や技術を使いこなすための能力ではないからです。
ということで、(知識や技術を生かすためにも)特に磨くべきは「コンピテンシー」としての「コミュニケーションスキル」ということになります。

まずは「リテラシー」と「コンピテンシー」を区別することから、始めましょう。

<参考記事・このブログ>

「コミュニケーションスキル」について考える(1)

「コミュニケーションスキル」について考える(2)

「コミュニケーションスキル」について考える(3)

| | コメント (0) | トラックバック (0)

2010年2月23日 (火)

「コミュニケーションスキル」について考える(3)

コミュニケーションスキルとともに、よく取り上げられるスキルに英語力があります。
グローバル化を進めるためにも、確かに大事ですね、英語力は・・・

しかし、グローバル人材に必要なコミュニケーションスキル=英語力、ということではないと思っています。
本当に大事なのは、異文化と交流できるスキルです。
まずは、社内だけでなく、社外の同業種(業界)、そして業界外、さらには日本、世界・・・、と広く交流できるスキルです。

会社や業界が違うと、文化や慣行もかなり違います。
そうした方々と交流をできるスキルがないと、広い範囲で活動・活躍ができません。

コミュニケーションスキルとは、そのためのスキルであり、英語とは外国の方と交流するための手段である、と考えています。

<参考記事・このブログ>

「コミュニケーションスキル」について考える(1)

「コミュニケーションスキル」について考える(2)

| | コメント (4) | トラックバック (0)

2010年2月22日 (月)

「コミュニケーションスキル」について考える(2)

前回から、時間が経ってしまいましたが、続きです。

かなり以前より「コミュニケーションスキル」って、人によっていうことが違うなぁ、と思っていました。

で、いろいろ調べてみたら、

「コミュニケーション能力」~Wikipedia
に、以下のような記述が・・・

コミュニケーション能力(コミュニケーションのうりょく、communication ability)とは、一般的に「他者とコミュニケーションを上手に図ることができる能力」を意味する。

これに対してコミュニケーションスキル(communication skill)とは人と人の間でコミュニケーションをとる方法・手法・テクニックを理論付けし、検証を行い技術または知識としてまとめたもの。コミュニケーション能力とコミュニケーションスキルを同義に扱う企業も多い。 なお、「相手の目を見てはきはきと話す」「アフターファイブは同僚と酒を酌み交わして親睦を深める」といった行為の事をコミュニケーション能力とするのは誤用であり、意思疎通が明確に図れるならば電子メールや手紙のみでもコミュニケーションは成立する。

ということなんですね。
やっぱり「コミュニケーションスキル」と「コミュニケーション能力」は、違いますよね。

さらに、ここでは、「定義」として、以下のように書かれていました。

コミュニケーションはラテン語: communicatioに由来しており、「分かち合うこと」を意味している。「コミュニケーション能力」という表現は様々な用いられ方をしており、以下のような意味で使われることが多い。

・言語による意志疎通能力(#言語学用語の「Communicative competence」を参照)。「コミュニケーション能力」という言葉は、元々言語学の分野で用いられた学術的な用語であった。
・感情を互いに理解しあい、意味を互いに理解しあう能力。感情面に気を配って、意味をわかちあい、信頼関係を築いてゆく能力。
非言語的な要素(相手の表情、眼の動き、沈黙、場の空気など)に十分に注意を払うことで、相手の気持ちを推察する能力(非言語コミュニケーション)
・上記の非言語的な要素により知った相手の気持ちを尊重して、相手に不快感を与えないタイミングや表現で、自分の感情や意思を相手に伝える能力
・意思疎通、協調性、自己表現能力(厚生労働省による就職基礎能力の定義)
・社会技能(ソーシャルスキル)。暗黙知。
・上手にコミュニケーションを行うための体系づけられた知識、技術(コミュニケーションスキル)
・合意(コンセンサス)形成能力
・「論理的コミュニケーション能力」(自己の考えを論理的に明確に、相手に表現する能力)
・会話のキャッチボールを上手く行える能力
・企業が求人広告等で応募者に要求している「コミュニケーション能力」は、ビジネスシーンにおいて発揮が期待される精選された「折衝能力」「交渉能力」「説得能力」を指しており、必ずしも対人コミュニケーション一般を円滑におこなうスキルをもって満足するものではない。

う~ん、なるほど、いろいろありますね。
「人によっていうことが違うなぁ」と感じるわけだ。

特に、高度人材で必要と思われるコミュニケーションスキルは、「合意(コンセンサス)形成能力」、「論理的コミュニケーション能力」(自己の考えを論理的に明確に、相手に表現する能力) 、「折衝能力」、「交渉能力」、「説得能力」・・・、この辺りだと考えてます。

| | コメント (0) | トラックバック (0)

2010年2月19日 (金)

「VAL IT Framework Version 2 日本語版」公開

日本ITガバナンス協会のHPで、「VAL IT Framework Version 2 日本語版」が公開されました。(ここで取り上げるのが、かなり遅くなってしまいましたが)

ちなみに、ITGIによると「VAL IT Framework」とは、「肥大化してしまったIT 資をどのように最適化したら良いのか、経済環境の変化にも追随しつつ、ITに係るリスクを最小化しつつ、適切なITガバナンスを行うには何をすればよいのかということについて、管理のサイクルとヒントを提案する」というものです。

このような考え方が、早く多くの組織で理解され、文化として定着し、実践されるようになって欲しいですね。
ですが、まずは「投資」と「費用(コスト)」の違いは・・・、ってところが出発点の組織も多い気がします。
どうしても、「費用(コスト)」の意識が強い組織が多いと思いますので・・・

| | コメント (2) | トラックバック (0)

2010年2月18日 (木)

ネットでIT政策議論

asahi.comの記事「ネット審議会でIT政策議論 経産省、23日スタート」からです。

経済産業省の「アイディアボックス」にて、IT政策議論が2/23~3/15で行われるということです。

「情報セキュリティ」の項目も設けられるとのことで、興味深々です。
それから、ここでの産業構造審議会情報経済分科会で報告されるということです。

事前登録制のようなので、まずはユーザー登録しないといけないんですね・・・

| | コメント (0) | トラックバック (0)

2010年2月17日 (水)

「Web Application Firewall 読本」公開

IPAセキュリティセンターのHPで、「Web Application Firewall 読本」が公開されてます。

さて、まずは「Web Application Firewall(WAF)」とは、

Web Application Firewall(WAF)は、ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく、攻撃による影響を低減する対策となります。WAFは、WAFを導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイトと利用者間の通信の中身を機械的に検査します。WAFを使用することで以下の効果を期待できます。

・脆弱性を悪用した攻撃からウェブアプリケーションを防御する
・脆弱性を悪用した攻撃を検出する
・複数のウェブアプリケーションへの攻撃をまとめて防御する

で、この読本は何を取り上げているかというと、

 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISAやOWASP、WASCなどの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。

  第1章では、「WAFによるウェブアプリケーションの脆弱性対策」として、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介しています。

 第2章では、「WAFの概要」として、WAFに関する概要をまとめています。この章では、WAFとはどのようなものであるかを解説しています。

 第3章では、「WAFの詳細」として、WAFの機能をまとめています。この章では、WAFにはどのような機能があり、その機能にどのような留意点があるかを解説しています。

 第4章では、「WAF導入におけるポイント」として、WAFを導入する際の「事前検討」・「導入」・「運用」の各フェーズにおける検討すべきポイントをまとめています。

 付録では、オープンソースソフトウェアのWAF、および商用製品のWAFを紹介しています。

読本は、こちら。

「Web Application Firewall 読本」

さて、WAFは通常のFirewallやIDS/IPSと機能や目的が違うことは、(いわゆる「内部統制ブーム」により脚光を浴びましたので)理解されてきたのでしょうか。
そして、導入と運用は、まだまだ難しいものではありますが・・・

| | コメント (0) | トラックバック (0)

2010年2月16日 (火)

「CRYPTRECシンポジウム2010」開催

CRYPTRECのHPで「CRYPTRECシンポジウム2010」の開催が告知されていますね。

「CRYPTRECシンポジウム2010」

開催日:2010年3月2日(火)~3日(水)
時間:10:00~16:00
場所:コクヨホール(品川)

(プログラムは、こちら

念のため、「CRYPTREC」とは、

Cryptography Research and Evaluation Committees の略であり、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである。

<参考URL>
電子政府推奨暗号~CRYPTREC

| | コメント (0) | トラックバック (0)

2010年2月15日 (月)

中国政府がハッカー養成サイトを閉鎖

マイコミ・ジャーナルの記事「中国政府がハッカー養成サイトを閉鎖、メンバー3名を逮捕」からです。

この記事によると、

「Black Hawk Safety Net」と呼ばれるWebサイトではハッキング技術の伝授やマルウェアの提供を行っており、その会員数は1万2,000名にも上るという。同サイトでは情報入手において手数料等が発生しており、これが収入源になっていたものとみられる。武漢東部の黄岡市の警察が検挙に乗り出していたという。サイト自体は昨年11月末に閉鎖され、その際に犯罪行為の疑いで3名のメンバーが逮捕されたようだ。

(中略)

Reutersの報道によれば、サイバー犯罪のエキスパートであるJames Mulvenon氏の2008年の米国議会での証言で、武漢はハッカー養成所であるCommunication Command Academyの本拠地だと認識されている。中国のハッカーらは攻撃で国内外の複数のアドレスやサーバを使っているほか、ハッキング行為自体が一般化されており、これが攻撃源の特定を難しくする原因となっている。またBlack Hawk Safety Netのようなサイトや環境が整っていることも、こうしたハッキング行為の助長につながっているようだ。

こういう記事を見るたびに感じますが、この「ハッカー」という言葉、何とかしてほしい。
せめて、悪意のある人とない人は区別してほしいですね。

さて、本日は「情報セキュリティ人材育成シンポジウム」に出撃(登壇)です。(まずは、おやすみなさい・・・)

<参考記事・このブログ>
「土曜夜に、天才ハッカーが2人」

| | コメント (1) | トラックバック (0)

2010年2月13日 (土)

「情報システム調達のための技術参照モデル(TRM)」

経済産業省「「情報システム調達のための技術参照モデル(TRM) 平成21年度版」並びに「情報システム調達のための技術参照モデル(TRM)活用の手引 平成21年度版」に対する意見募集」からです。

パブリックコメントの募集は、3月9日までになっていますね。

ちなみに、セキュリティは以下のような機能やサービスが示されています。
参考にしよう、っと。

6. セキュリティ
6.1. セキュリティ管理

6.1.1. 証跡管理機能
■セキュリティ管理・監査(Audit/Security Administration) サービス
記録(Audit) サービス
アクセスをフィルタしたり、監視したり、記録したりするサービス。
セキュリティ監査(Security Administration) サービス
セキュリティポリシーに従って管理したり、モニタするサービス。

6.1.2. ウイルス対策機能、ウイルスゲートウェイ
■ウイルス監視(Virus Protection) サービス

6.1.3. インターネットコンテンツフィルタリング機能、ファイアウォール機能、侵入検知・防止機能、ネットワ
ーク接続監視機能、証跡管理機能
■ネットワークセキュリティ(Network Security) サービス
ファイアウォール(Firewall)
侵入検知(Intrusion Detection)

■VPN(Virtual Private Network) サービス
(a) IPsec(Security Architecture for Internet Protocol)

6.1.4. スパムメール対策機能

6.1.5. 暗号化機能
■暗号化(Encryption/Cryptography) サービス
公開かぎ暗号(Public Key Cryptography)

秘密かぎ暗号(Private Key Cryptography)
(a) RC4(Ron’s Code 4)

ハッシュ関数/擬似乱数発生(Hash Algorithm,Pseudo Random,Number Generators)
(a) MD5(Message Digest 5)
(b) SHA-1(Secure Hash Algorithm 1)
■AES(Advanced Encryption Standard)
■PKI(Public Key Infrastructure) サービス

6.2. 統合アカウント管理
■ユーザ管理(User/Group Management)

6.3. ディレクトリ連携

6.4. OSアクセス制御
■アクセス制御・認可(Access Control, Authentication) サービス
情報システムリソースへの不正なアクセスとその方法をコントロールするサービス。
(a) SAML(Security Assertion Markup Language)
(b) AVDL(Application Vulnerability Description Language)

6.5. Web シングルサインオン
■認証(Authentication, Identification) サービス
電子商取引における公開かぎ証明などを行う認証機関が行うような、認証方式を提供するサービス。
■個人認証(Personal Authentication) サービス
本人性を確認し、本人であることを証明する認証サービス。
(a) BioAPI

6.6. デスクトップ・シングルサインオン

| | コメント (0) | トラックバック (0)

2010年2月12日 (金)

総務省「スマート・クラウド研究会中間取りまとめ(案)-スマート・クラウド戦略-」公開

総務省のHP「「スマート・クラウド研究会中間取りまとめ(案)-スマート・クラウド戦略-」に対する意見の募集」からです。

「スマート・クラウド研究会中間取りまとめ(案)-スマート・クラウド戦略-」が公開され、パブリックコメントが募集(~3月9日(火)17:00)されています。

ちなみに、この研究会の目的は「クラウド技術の発達を踏まえた様々な課題について包括的に検討するとともに、次世代のクラウド技術の方向性を明らかにすること」です。

中身は、これから(ASAPで)読んでみます。

さて、どこに向かうのか、日本のクラウド・コンピューティング・・・

<参考資料・総務省>
「スマート・クラウド研究会中間取りまとめ(案)-スマート・クラウド戦略-」

別紙資料

| | コメント (0) | トラックバック (0)

2010年2月11日 (木)

暗号の2010年問題

日経ITproの記事「「組み込み機器への影響大、検証が急務」―暗号の「2010年問題」」からです。

本日(正確には昨日)、講習で暗号のお話をしていた際、「はっ」と、暗号の2010問題を思い出しました。(そのまま話の流れで、ちゃんと説明しましたよ。念のため・・・)
そこで、この記事も見つけました。何と素晴らしいタイミング。

さて、この記事によると、「暗号の2010年問題」とは

  米国政府では、現在広く使われている「米国政府標準暗号」の一部は強度が不十分であるとして、2010年以降、利用を推奨しなくなる。専門家によれば、現在と同じペースで計算機の性能が向上すると仮定すると、例えば1024ビットRSAなら、2015年ごろには、現実的な時間内に解読されても不思議はないという。

 米国以外も同様の動きをすることが予想され、古い暗号技術しか実装していない製品では、相互接続性などに問題が生じることになる。これが、暗号の2010年問題である。

 暗号技術を実装しているすべての製品が、2010年問題の影響を受ける。その一つが、SSL通信にかかわるソフトウエアやハードウエア。具体的には、WebサーバーやWebブラウザー、サーバー証明書、携帯電話、組み込み通信機器(例えば、家電やゲーム機)などが該当する。

 サーバー証明書については、その多くが1024ビットRSAを使用している。だが、認証局(サーバー証明書を発行する企業・組織)の多くは、2010年末までに1024ビットRSAを使ったサーバー証明書の発行を中止。以降は、2048ビットRSA以上のサーバー証明書しか発行しなくなる予定だ。

ということなんですね。

あとは、北野さんのブログでも「暗号の2010年問題」について詳しく書かれていました。
ご興味と必要のある方、ぜひご一読を。

<参考記事>
「2010年問題こんにちは。」~Security, time after time

| | コメント (2) | トラックバック (0)

2010年2月10日 (水)

「コミュニケーションスキル」について考える(1)

久しぶりにコンピテンシーねたを取り上げます。
昨年11月に「論理的思考」について、記事を書きました。(参考記事をご覧ください)

今回は、この「論理的思考」とともに、(必ずと言っていいほど)重要なコンピテンシーとして挙げられる「コミュニケーションスキル」です。
何回かに分けて書いてみます。
※ 2/15の「情報セキュリティ人材育成シンポジウム」でも、この内容は少し触れる予定です。

「コミュニケーションスキル」というと、よく「上手に話せるようになりたい」と言われます。
しかし、いわゆる「立て板に水」のように話せれば「コミュニケーションスキル」があると言えるのでしょうか。
(私の場合は、「立て板に水」というより「マシンガンのように」話すと言われますが・・・)

「コミュニケーションスキル」とは、意思伝達の能力です。
いくら「立て板に水」のように話しても、伝わるべきものが伝わらなければ何もなりません。
逆にどちらかというと「立て板に水」で伝わるべきものが伝わらないという場合は、「この人の話はつまらない」とか「この人の話は信用できない」という取られ方をすることが多いはずです。
(少なくとも、私はそう考えます)
実際に、そういう方が多いなぁ、と感じる今日この頃です。

「立て板に水」のように話すというのは、トークのスキルです。
「コミュニケーションスキル」の一部に過ぎません。
ここだけに気をとられて、スキルの本質を見落とし、欠くようなことがないようにしたいものです。

(と、自分への戒めも含めて・・・)

<参考記事・このブログ>
「論理的思考」について考える(1)

「論理的思考」について考える(2)

「論理的思考」について考える(3)

| | コメント (0) | トラックバック (0)

2010年2月 9日 (火)

サイバーセキュリティ法案、米下院を通過

ZDNetの記事「サイバーセキュリティ法案、米下院を通過」からです。

さて、この法案はどんなものかというと・・・

 米下院は、サイバー攻撃に対する政府の備えを充実させるために、訓練、研究、および調整の拡充を掲げたサイバーセキュリティ法案を圧倒的多数で承認した。

 「Cyber Security Research and Development Act of 2009」と題された法案は、422対5で下院を通過した。同法案は、消費者、企業、公務員がコンピュータの安全を確保するのを支援するため、サイバーセキュリティ教育プログラムを作成する権限が米標準技術局(NIST)に与えるものだ。

 法案では、大学生と研究センターを対象としたサイバーセキュリティ奨学金プログラムが創設されるほか、NISTに対して、建物、コンピュータネットワーク、およびデータへのアクセスをコントロールする、ID管理システムの開発促進が求められている。

というもののようです。

これが、上院も通過すると「この法案が法律になると、NISTは国際的なサイバーセキュリティ技術標準の開発に参加する詳細な計画を1年以内に連邦議会に提出する。また、サイバーセキュリティの意識を高める教育の計画案を90日以内に提出する」ということになるようです。

今月は日本では「情報セキュリティ月間」ですが、単なるイベント月間に終わるのではなく、国として具体的なアクションにつながる動きになってほしいと思っております。

| | コメント (0) | トラックバック (0)

2010年2月 8日 (月)

「SP 800-45 電子メールのセキュリティに関するガイドライン」日本語版、公開

IPAセキュリティセンターのHPで「SP 800-45 rev.2 電子メールのセキュリティに関するガイドライン(Guidelines on Electronic Mail Security)」日本語版が公開されました。

翻訳予定で残っているのは、「SP 800-94 侵入検知および侵入防止システム(IDPS)に関するガイド(Guide to Intrusion Detection and Prevention Systems (IDPS))」などだけなので、だいぶ揃った感じになってきました。

しかし、他にもSP 800シリーズで翻訳してほしいものもあります。(SP800シリーズ以外でもありますが)
この翻訳は、いったん終了ってことなんでしょうか。
そうでないといいんですが…

| | コメント (0) | トラックバック (0)

2010年2月 5日 (金)

「アクセス制御」ドメインで求められる知識

Computerworld連載中の「【SSCP資格ガイド 第3回】「アクセス制御」ドメインで求められる知識/スキル 共通知識分野(CBK)詳説(1)」が掲載されました。

今のところ、遅れることなく順調に掲載されております。

今回からがCBKの解説になっています。
求められるスキル、練習問題2題もありますので、知識・スキルのチェックにもご利用ください。

「アクセス制御」は、CISSPとSSCPで共通するドメインです。
求められる知識やスキルは若干異なりますが、SSCPを目指す方だけでなく、CISSPを目指す方にも参考にしていただけると思います。

次回は、今月下旬の掲載予定です。

| | コメント (6) | トラックバック (0)

2010年2月 4日 (木)

「C・I・A」始動(?)

ITmediaの記事「中高生に情報セキュリティを知ってもらおう―MSとTBS、ヤフーが始動」からです。

「C・I・A」といいうのは、情報セキュリティ月間に合わせて中高生へインターネットの安全利用を呼び掛けるキャンペーンで制作されたドラマ「C・I・A(サイバー・インテリジェント・エンジェルズ)」のことです。
内容は「検索サービスやブログなど利用を利用する際に遭遇してしまう可能性が高いトラブルの内容や解決策を、C・I・Aの2人がコミカルに演じながら紹介」というもの。

中高生への啓発活動として、効果が挙がるといいんですが・・・
ところで、セキュリーナは?
新曲の発表とか、ないんでしょうか?

| | コメント (0) | トラックバック (0)

2010年2月 3日 (水)

「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)、公開

内閣官房IT戦略本部「「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)の策定に向けた意見の募集について」からです。

「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)の公開と意見募集がされています。

 内閣官房IT担当室及び情報セキュリティセンターでは、「オンライン利用拡大行動計画」(平成20 年9月12 日IT戦略本部決定)に基づき、同計画においてオンライン利用率の大幅な向上を図るべく重点的に取り組むことと定められた「重点手続」を対象に、手続に応じたセキュリティ確保策の検討を進め、一定の方向性を取りまとめるべく、「電子政府ガイドライン作成検討会 セキュリティ分科会」を設置し、検討を行ってきました。
 今般、当該分科会にて、セキュリティ確保策として適切な認証と電子署名を選択するための「ものさし」として、「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)を作成しましたので、下記の要領で国民の皆様から広く意見を募集いたします。

今月は「情報セキュリティ月間」ということで、いろいろな動きがありそうですね。
とりあえず、時間があるときに「斜め読み」する予定です。(あくまで、予定・・・)

<参考資料>
「電子政府ガイドライン作成検討会セキュリティ分科会報告書」~電子政府ガイドライン作成検討会 セキュリティ分科会

| | コメント (0) | トラックバック (0)

2010年2月 2日 (火)

「証拠保全ガイドライン(案)」公開

デジタル・フォレンジック研究会のHPで「証拠保全ガイドライン(案)」が公開され、意見募集が行われています。

<「技術」分科会WG作成「証拠保全ガイドライン(案)」の意見募集について>
【趣旨】
 昨今のICTの急速な普及と浸透に伴い、組織内の事業活動においてICTに対する依存が進んでいます。その負の影響として、情報セキュティに関係する大規模な事件・事故(インシデント)が多発し、それに対する即時対応が求められています。
 そこで、平成21年度、特定非営利活動法人デジタル・フォレンジック研究会デジタル・フォレンジックスキル認定制度検討会において、組織内において発生したインシデントに対する初動対応及び証拠保全に資することを目的とした、「証拠保全ガイドライン第1版」の案を作成しました。
 つきましては、本件に関し、広く関係者の皆様からご意見を頂くべく、以下の要領にて意見募集を行います。

個人的には、「デジタルフォレンジック」というよりも、「デジタルエビデンス」により興味がありますので、このガイドライン(案)はちょっと見ておこうと思います。

| | コメント (0) | トラックバック (0)

2010年2月 1日 (月)

情報通信セキュリティシンポジウム「クラウドコンピューティング時代のセキュリティ」

独立行政法人 情報通信研究機構(NICT)の情報通信セキュリティシンポジウム「クラウドコンピューティング時代のセキュリティ」の開催、申し込み開始が告知されています。

情報通信セキュリティシンポジウム「クラウドコンピューティング時代のセキュリティ」

・日時:平成22年2月12日(金) 10:30~17:30

・場所:コクヨホール

・主催:独立行政法人 情報通信研究機構(NICT)

・後援:
 総務省(予定)
 情報セキュリティ政策会議(予定)
 電子情報通信学会情報セキュリティ研究会
 電子情報通信学会情報通信システムセキュリティ研究専門委員会

・参加費:無料

今回は「今後の情報通信ネットワークの発展を担うクラウドコンピューティングに注目し、当センターにおける4つの研究グループ(インシデント対策、トレーサブルネットワーク、セキュリティ基盤、防災・減災基盤技術)における異なる切り口から、クラウドコンピューティングとセキュリティの関わりについて最新の動向を紹介します」とのこと。
なかなか興味深い内容ですね・・・

| | コメント (0) | トラックバック (0)

« 2010年1月 | トップページ | 2010年3月 »