« 2010年2月 | トップページ | 2010年4月 »

2010年3月の記事

2010年3月31日 (水)

【SSCP資格ガイド 第6回】「不正なコード」ドメインで求められる知識/スキル

COMPUTER WORLDの連載「【SSCP資格ガイド 第6回】「不正なコード」ドメインで求められる知識/スキル」が掲載されました。

このドメインは、攻撃とその防御に関するドメインです。

連載も、あと4回。(次回は、既に入稿済になので、あと3回)
がんばります・・・

| | コメント (0) | トラックバック (0)

2010年3月30日 (火)

クラウドは、リスクよりもメリットのほうが大きい

CIO Onlineの記事「【米ISACA調査】 ITマネジャー、リスクを認めつつもクラウドの導入を検討、「リスクよりもメリットのほうが大きい」」からです。

この調査は、欧州、中東、アフリカ地域の50カ国、1,500社以上を対象に行われたものだそうです。それによると、「IT関連のビジネス・リスクを取ってもよい」と回答した企業は63%で、「ビジネス・リターンを最大化するためなら大きなリスクでも取る」とした企業が12%、約80%のITマネジャーが「クラウド・コンピューティング利用は、リスクよりもメリットのほうが大きい」と考えている、ということ。

クラウド・コンピューティングを利用することもリスクですが、利用しないこともリスクです。
どちらにせよ、企業は何らかのリスク・テイクはしなければなりません。

そこで、どちらのリスクを取るのか・・・
それが、問題だ。

| | コメント (0) | トラックバック (0)

2010年3月29日 (月)

「欧州における情報セキュリティ関連動向調査報告書」公開

IPAセキュリティセンターのHP「欧州における情報セキュリティ関連動向調査報告書 Study on EU Information Security Situation」からです。

国が違えば、文化も違い、商習慣や慣行も違います。
もちろん、国の戦略も政策も制度も違う訳で、そこから情報セキュリティの違いも出てくる
のだなぁ、と実感している今日この頃です。

この報告書も、そんなことを考えながら読んでみます。
そして、日本の情報セキュリティ戦略、政策や制度は、どう進むべきなのかも。

概要
(1) 欧州主要国政府における情報セキュリティ製品調達と国際標準及びWTO-TBT協定との関連に関する調査
(Survey on International Standards Used in European Governments on Procuring IT Security Products and Relation with WTO-TBT Agreements)
 OECDの暗号政策ガイドラインでは、「Standards for Cryptographic Methods(暗号手法に関する諸標準)」という原則(第4原則)を勧告している。この原則は、WTO-TBT協定とも整合しているが、その一方で、政府機関の扱う情報は、国家セキュリティに関わらなくても、国益を左右する可能性があるため、各国が独自に暗号政策を定め、調達対象の暗号技術を定めている。しかし、実際の調達仕様上の記述は不明である。そこで、欧州主要国における情報セキュリティ製品の調達に関する調査を実施した。

(2) 欧州主要国及びEUにおける組込みシステム及び制御システムのセキュリティ対応状況調査(Survey on Security Countermeasures for Embedded Systems and Control Systems in the European Governments and the European Union)
 IPAでは、自動車や携帯電話、情報家電等の組込みシステムや重要インフラ事業者の制御システムについて、セキュリティ上の新たな脅威やその対策の調査及び普及活動を実施している。現在、日本国内で調査を実施しているが、欧州における本分野のセキュリティへの対応状況を調査した。

<公開資料>
(1) 欧州主要国政府における情報セキュリティ製品調達と国際標準及びWTO-TBT協定との関連に関する調査報告書(概要・日本語版)

(2) 欧州主要国及びEUにおける組込みシステム及び制御システムのセキュリティ対応状況調査報告書(概要・日本語版)

| | コメント (0) | トラックバック (0)

2010年3月28日 (日)

危険を認識していても、ついつい…

ITmediaの記事「スパムメールの危険を認識するも、ついついクリック―業界団体の調査」からです。

この調査は2010年1月に、米国の約1000人と、カナダ、フランス、ドイツ、スペイン、英国のそれぞれ500人を対象にしたものだそうです。
感染したコンピュータを遠隔操作するボットの存在については80%以上が知っていると回答したにもかかわらず、約半数がスパムメールを開いたり、リンクをクリックしたりしてしまうほか、添付ファイルを開いたり、返信・転送したりしたことがあると答えた」ということ。

まぁ、人間そんなものでしょうね。

さらに、「特に、「自分は電子メールセキュリティに詳しい」との意識が強い35歳未満の男性は、スパムを開いたり、リンクをクリックしてしまったりするといった危険行為に出てしまう割合が、ほかの年齢層よりも高かった」そうで、思い込みや自信過剰は何よりの大敵と言えそうです。

ところで、日本ではどうなんでしょうか。
そのデータも欲しいですね・・・

| | コメント (0) | トラックバック (0)

2010年3月27日 (土)

グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開

ZDNetの記事「グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開」からです。

中国撤退を発表したグーグルですが、脆弱性検査ツール「skipfish」も発表していました。

(この記事にもありますが)オープンソースということになると、どうしても「Nessus」あたりと比較したくなります。
「skipfishを用いた場合、テスト対象のサーバの能力によっては、インターネット上のターゲットに対して1秒あたり500件余り、LAN上では1秒あたり2000件余りのリクエストを処理できる」ということで、パフォーマンスと性能の良さがアピールされていますが、実際どうなんでしょうねぇ。

それから、もう1点気にかかるのは「skipfishは、セキュリティ関連団体Web Application Security Consortium(WASC)が規定する「Web Application Security Scanner Evaluation Criteria」(WASSEC:ウェブアプリケーション用セキュリティスキャナ評価基準)の要件の多くを意図的に満たしておらず、さらに、既知の脆弱性を網羅したデータベースも搭載していない」という点。

「まずは、使ってみないとね」ってところなんですが、私には直近でその機会はなさそうなので、どなたか使ってみて感想などいただけないでしょうか。(と、他力本願で今日はおしまい・・・)

| | コメント (0) | トラックバック (0)

2010年3月26日 (金)

最新のTwitterフィッシング攻撃

ITmediaの記事「最新のTwitterフィッシング攻撃のスクリーンショット」からです。

この記事によると、Twitterではダイレクトメッセージ(DM)を使用したフィッシングが進行中、とのことです。
送られてきたダイレクトメッセージ(DM)のリンクをクリックすると、偽のTwitterページが現れ、フィッシングの被害に遭う、という手口のようです。

Twitterでは「既に、これらが投稿されないようフィルタリングを行っている」そうで、さらに「Twitterのビルトインリンク短縮サービス(twt.tlおよびbit.ly)は既に、これらのURLを悪意あるものとして検出している」そうです。つまり、対策が既に実施されていて、かなり効果が挙がっている、とのこと。

実際に、私のところにも過去に何通か、このダイレクトメッセージ(DM)を使用したSPAMが来ていたのですが、最近はまったくありません。
ということで、個人的には「進行中」という実感がなかったりするのですが、まだまだ減ったわけではなかったようです。

<関連記事>
「Twitterのスパム対策、迷惑ツイートの割合が急減」~ITmeida

| | コメント (0) | トラックバック (0)

2010年3月25日 (木)

インターネット治安情勢「情報技術解析平成21年報」公開

警察庁@policeのHPで「情報技術解析平成21年報」が公開されていました。

特に「情報技術解析平成21年報 別冊資料 平成21年のサイバーフォースセンターでの観測結果等について」は、インターネット定点観測の結果など、役立ちそうなデータが満載です。
時間がある時に、じっくり読むことにします。(あくまで、予定ですが・・・)

<公開資料>
「情報技術解析平成21年報~平成21 年中のインターネット観測結果等~」

「情報技術解析平成21年報 広報資料」

「情報技術解析平成21年報 別冊資料 平成21年のサイバーフォースセンターでの観測結果等について」

| | コメント (0) | トラックバック (0)

2010年3月24日 (水)

「原口ビジョン」と「原口5原則」

原口総務相のHPの
3/19(金)の記事「ICT維新ビジョン~これからの情報通信戦略について」、3/20(土)の記事「国民IDに関する考察~原口5原則」からです。

政権交代後、ICT戦略がなかなか進んでいない感がありましたが、先週あたりからかなり活発な動きになって来た感じですね。
「戦略」や「原則」が出てきましたが、次は具体的な行動計画などが出てくることを期待したいです。
あとは、個人的には「ICTは1つのところ(省庁)で」と、最近ますますそう思っていますが…

さて、特に注目は、「原口5原則」です。

「国民IDに関する考察~原口5原則」

原則1 国民の権利を守るためのであること
社会保障給付や所々の行政サービスの提供を適切に受ける国民の権利を守るための番号であり、重複なく、もれなく、正確かつ安全に付番を行う

原則2 自らの情報を不正に利用・ストックされず、確認・修正が可能な、自己情報をコントロール出来る仕組みであること
自らの情報が不正に利用・ストックされることなく、また自らの情報にアクセスし、内容の確認・修正ができる(自己情報コントロール権)

原則3 利用される範囲が明確な番号で、プライバシー保護が徹底された仕組みであること
自らの情報についてどのような行政機関がどのような目的で利用するのか明確な制度とするとともに、最新の暗号化技術により情報漏えい防止に万全を期し、分野をまたがる情報の名寄せを防ぐ。

原則4 費用が最小で、確実かつ効率的な仕組みであること
既存インフラを有効活用し効率的な仕組みを構築する。また、クラウドコンピューティングの手法により、各分野内でのシステムの共同利用を積極的に進める。

原則5 国と地方が協力しながら進めること
より良い行政サービスを提供できるよう、国と地方が協力しながら電子政府を推進する。

そうなると、この「国民ID」の基盤と技術は?、ということになります。
それが、住民基本ネットであり、「JPKI(公的個人認証サービス)」
だったはずなんですが…
その整備が遅れていることが、大きなボトルネックになっています。

政権交代で、その整備が進むのか…
とりあえず、(今年こそは)期待したいです。

<参考資料>
総務省 「原口ビジョン」

総務省 政務三役会議 会議資料

総務省 政務三役会議 議事概要

公的個人認証サービス

| | コメント (0) | トラックバック (0)

2010年3月23日 (火)

「安全なウェブサイトの作り方 第4版」公開

IPAセキュリティセンターのHP「安全なウェブサイトの作り方~改訂第4版を公開。別冊:「安全なSQLの呼び出し方」を公開~」からです。

「安全なウェブサイトの作り方」が改訂され、第4版になったようです。併せて「安全なSQLの呼び出し方」が新たに公開されました。

それそれの主な内容は、以下の通り。

「安全なウェブサイトの作り方」改訂第4版の内容
 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクション、クロスサイト・スクリプティングなど9種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴などを解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。
 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策、フィッシング詐欺を助長しないための対策、WAF(Web Application Firewall)によるウェブアプリケーションの保護など6つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。
 第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から6種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。
 巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。

別冊:「安全なSQLの呼び出し方」 の内容
 第1章では、「安全なウェブサイトの作り方」との関連を記載しています。
 第2章では、SQLインジェクションが発生する原因を説明しています。
 第3章では、アプリケーションがSQL文を組み立てる方法について説明しています。
 第4章では、安全なSQL呼び出しのためには何が必要かを説明しています。
 第5章では、5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、PerlとMySQL、JavaとMySQL、ASP.NETとSQL Server)を取り上げ、SQLインジェクション攻撃に対して安全な実装方法を調査し、安全なソースコードの書き方を解説しています。
 付録では、文字コードに関する問題など、特定のデータベースに関する情報をまとめています。

次回の改訂の際には、「安全なウェブサイトの運用管理のしかた」みたいなものも作成していただきたいな、と・・・(個人的要望)

<公開資料>
「安全なウェブサイトの作り方」改訂第4版

「セキュリティ実装 チェックリスト」

「安全なSQLの呼び出し方」

| | コメント (0) | トラックバック (0)

2010年3月21日 (日)

2009年のインターネット犯罪総被害額は前年の倍以上

COMPUTERWORLDの記事「2009年のインターネット犯罪総被害額は前年の倍以上」からです。

この記事によると、

米国連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)が3月12日に発表した報告書によると、2009年に同センターが苦情を受けたインターネット犯罪の被害総額は5億5,970万ドルとなり、2008年の被害総額2億6,500万ドルの2倍以上に増加した。苦情の件数は、2008年の27万5,284件から22.3%増加した。

とのこと。

詐欺がその代表例ということになるのでしょうが、犯罪もリアルからサイバーに今まで以上にシフトが進んだ、ということになりますね。
サイバーになることにより、犯罪も国境を超え、多様化、巧妙化もさらに進むということになるでしょう。

<参考記事>
「ネット詐欺被害額、2009年に2倍以上に増加」~ITmedia

| | コメント (1) | トラックバック (0)

2010年3月20日 (土)

偽ウイルス対策ソフトのビジネスが急成長

ITmediaの記事「偽ウイルス対策ソフトのビジネス、50社で3億ドル超の規模に」からです。

 偽ウイルス対策ソフト(スケアウエア)が、ますます増えているようです。最近は、Gumblarでもこの偽ウイルス対策ソフト(特に「Security Tools」)をダウンローダーを介して、ダウンロードさせるという手口も出てきています。

この記事によると、

 2004年1月~2009年12月に出現した偽ウイルス対策ソフトは3000種類以上。このうち出現した年が分かっているものだけを見ても、2008~2009年にかけてそれぞれ前年の倍以上に増え、今年は1月と2月だけで既に100件を超えた。

 偽ウイルス対策ソフト本体のほかに、それを手助けする形でコンピュータを攻撃するトロイの木馬も2009年から激増。今年3月1日~10日の間だけでも新たに4万5000種類が見つかったという。

とのこと。

偽ウイルス対策ソフト業界全体の年間売り上げは世界で3億ドル規模を突破」と試算されており、アンダーグラウンドでもかなりの成長市場になっ

たようです。
ついには、サポート・サービス付きなんてのも出現したようで・・・
相変わらず、アンダーグラウンド市場は活況のようですね。

<参考記事>
「オンライン・サポート・サービス付きの偽ウイルス対策ソフト」~日経ITpro

「コンピュータ利用者に知ってほしいGumblar型攻撃の影響、シマンテックの見解」~ITmedia

| | コメント (0) | トラックバック (0)

2010年3月19日 (金)

「IPv6によるインターネットの利用高度化に関する研究会」第二次中間報告書

総務省のプレスリリース「「IPv6によるインターネットの利用高度化に関する研究会」第二次中間報告書の公表及び「ISPのIPv4アドレス在庫枯渇対応に関する情報開示ガイドライン」(案)に対する意見募集」からです。

「IPv6によるインターネットの利用高度化に関する研究会」(つまり、IPv4アドレス枯渇問題に伴なうIPv6の利用を促進するための研究会、ってことですね)の報告書とガイドラインが公開されています。

ちなみに、この報告書で情報セキュリティ確保の必要性としては、「NATを介さない直接通信が可能になり、情報セキュリティ上の脅威が高まる可能性がある」とあります。
技術や利用環境が変われば、セキュリティも変わる、ということですね。

<参考資料>
「IPv6によるインターネットの利用高度化に関する研究会 第二次中間報告書」

 -参考資料
 -概要版

「ISPのIPv4アドレス在庫枯渇対応に関する情報開示ガイドライン」(案)

| | コメント (0) | トラックバック (0)

2010年3月18日 (木)

情報セキュリティEXPOで講演します

来る5/12(水)~14(金)に開催される「第7回情報セキュリティEXPO」で講演をいたします。

タイトルは「企業の競争力を高め、強い組織を作る情報セキュリティ人財戦略 ~その効果的アプローチと事例~」です。

講演資料は、現在作成中です。

有料セミナーなんですが、皆様のお役に立てる話をできるようがんばりますので、ぜひお越しください。

そういえば、このイベントはいくつか同時開催なんですが「クラウド コンピューティングEXPO」も今年から開催なんですね。(時節柄、やはり・・・)

| | コメント (0) | トラックバック (0)

2010年3月17日 (水)

IPA、ウェブサイト情報提供サービスを開始

IPAのHP「「悪意あるサイトの識別情報及び対策情報提供システム(TIPS)」を利用したウェブサイト情報提供サービスを開始」からです。

 IPA(独立行政法人情報処理推進機構)で、ウェブサイトを経由したマルウェア等の感染を未然に防ぐことを目的として、「悪意あるサイトの識別情報及び対策情報提供システム(TIPS:Trap-website Information Providing System)」を利用したウェブサイト情報提供サービスが開始されたようです。

このサイトは、以下のように利用するようです。

<利用方法>
(1) 利用者は IPA に対し、利用者がアクセスしたいウェブサイトの URL をメールに記述して、調査依頼を行います。
(2) IPA では、調査依頼のメールを受け取ると、そこに記述されている URL を「悪意あるサイトの識別情報及び対策情報提供システム(TIPS)」に入力します。
(3) TIPS は、入力されたウェブサイトの URL にアクセスし、ウェブサイトを記述するためのプログラムの一種である HTML(Hyper Text Markup Language)等の情報を収集します。
(4) 収集した情報を基に、入力されたウェブサイトにマルウェア等が含まれているかの解析を行い、どんな悪意があるウェブサイトなのかを以下の区分で判定します。
・フィッシング詐欺サイト
・ワンクリック不正請求の詐欺サイト
・マルウェア等のばら撒きを行っているサイト
・偽装セキュリティソフトウェアを配布しているサイト
・攻撃コードが仕込まれているサイト
  TIPS の解析の結果、上記の区分に該当するようなマルウェア等が発見されなかった場合は、正常なウェブサイトと判定します。
(5) IPA では、TIPS の解析結果等を基にして、利用者が調査依頼したウェブサイトの判定結果や対策情報等を回答します。

フィッシングサイトなど不正なサイトだけでなく、いわゆる正規サイトでも攻撃コードが仕込まれていたりしますので、そのサイトが正常か否かは区別がかなり難しくなっています。

ここで素朴な疑問というか感想なのですが「なんか、怪しい・・・」と気づかないと調査依頼もしないので、(このサービスはそう思った場合には有効ですが)利用者側に何か普及啓発的な活動も必要ではないかと・・・

| | コメント (0) | トラックバック (0)

2010年3月16日 (火)

フィッシング対策を学べるゲーム 「フィッシング フィル」公開

フィッシング対策協議会 (運営事務局 一般社団法人JPCERTコーディネーションセンター) のHPで、フィッシング対策を学べるゲーム「フィッシング フィル」が公開されました。

このゲームは、

「フィッシング フィル」は、ゲームを通してフィッシング詐欺にだまされない「URLの見分け方」を学べる教育用コンテンツです。小さい魚「フィル」が、正しいエサ(正しいサイトURL)を得るために、正しいサイトURLと偽物サイトURLを見分ける冒険をするもので、制限時間内に正しいサイトURLを見分けると、ポイントが加算されていきます。偽物サイトURLについては、どこで偽物と判断するかについての解説が用意されており、ゲームを通して、アドレスバーに表示されるURLが重要であるということ、そして表示されるURL中のドメイン名を見分けるポイントを体得することができます。

というもの。
「フィル」って、このゲームに出てくる小さい魚のキャラなんですね。
(おそらく、「フィルター」から名付けたんでしょうね)

ユーザー向けの啓蒙活動としては、面白そうなサイトです。

| | コメント (0) | トラックバック (0)

2010年3月15日 (月)

【SSCP資格ガイド 第5回】「暗号」ドメインで求められる知識/スキル

ここで取り上げるのを忘れていまして、ちょっと遅くなりましたが…

Computerworld連載中の記事「【SSCP資格ガイド 第5回】「暗号」ドメインで求められる知識/スキル 共通知識分野(CBK)詳説(3)」

が掲載されました。

いつも通り、CBKの解説(練習問題×2題つき)になっています。

次回(「不正なコード」ドメイン)は、今月下旬頃の掲載予定です。

この連載も、ようやく折り返し点になりました。
あと5回、がんばります。

| | コメント (0) | トラックバック (0)

2010年3月13日 (土)

【ねた】「ガンプラー」感染したサイトが復旧

そのサイトが、ここです。

ギャグなので、安心して(?!)アクセスしてください。
「ブ」と「プ」は、(特に小さい文字フォントの場合)一見してわかりにくいぞ、ということ・・・

それにしても、すごい感染ぶり。

ちなみに、我が家にも「ガンプラー」あります(笑)

| | コメント (0) | トラックバック (0)

2010年3月12日 (金)

ITセキュリティ専門家は不況に強い?

YOMIURI ONLINEの記事「不況でもITセキュリティー専門家の給与、増加」からです。この記事によると、

 調査はセキュリティ専門家の非営利団体 (ISC)2 が行なったもので、2980人のセキュリティ専門家を対象に実施した。同調査では回答者の53%近くが、2009年に何らかの形で昇給したと答えた。給与が最大5%増加したとの回答は36%近くに及び、また給与が5%から10%増えたと答えた数は、回答者のおよそ12%だった。さらに、回答者の6%近くが10%以上給与が増えたと答えた。

 とはいえ、IT セキュリティ専門家にとって明るい話ばかりではない。調査対象のうち、およそ5%が2009年に解雇されたという。職を失った人々にとって、2009年に IT セキュリティ関連の新しい仕事を見つけることも困難だった

とのこと。

私のような職種の人間にとっていい話なのか、と思いきや、そうでもないようです。
だいたい、セキュリティ屋さんの給与が上がっている、という実感がまったくありません。

ちなみに、この記事の原文はこちらのようです。

| | コメント (2) | トラックバック (0)

2010年3月11日 (木)

事業仕分け第2弾、ICT関連の法人では・・・

日経ITproの記事「事業仕分け第2弾―選定濃厚な50法人にARIBやTELEC、JIPDECも」からです。

この記事によると、電波産業会(ARIB)やテレコムエンジニアリングセンター(TELEC)、テレコム先端技術研究支援センター、日本データ通信協会(JADAC)、行政情報システム研究所、日本情報処理開発協会(JIPDEC)などが含まれているとのことです。

さらに、

今後290の公益法人から仕分けの対象となる法人を絞り込みする際の基準は、(1)法人収入の半分以上が公費が占めており、天下りを受け入れている、(2)国から権限を付与されており、天下りを受け入れている、(3)地方自治体からの補助金などの交付を受けている、(4)事業を外部に委託している、といったものだという。

とのことです。

ちなみに、今回挙げられている法人では、特に「日本データ通信協会」は、「迷惑メール相談センター」や、「Telecom-ISAC Japan」「日本情報処理開発協会(JIPDEC)」では、「プライバシーマーク制度」や、「ISMS適合性評価制度」「ITSMS適合性評価制度」「電子署名・認証センター」あたりが、特に情報セキュリティに関連する事業ですが、このあたりに影響は出るのでしょうか・・・

| | コメント (0) | トラックバック (0)

2010年3月10日 (水)

サイバー攻撃に無防備、193自治体

YOMIURI ONLINEの記事「サイバー攻撃に無防備、193自治体」からです。

この記事によると

 全国の自治体が管理するサーバーのうち、少なくとも193団体のサーバーが、サイバー攻撃を受けた場合、簡単に不正アクセスを許す恐れがあることが総務省所管の財団法人「地方自治情報センター」の内部資料で分かった。

(中略)

 2008年度は647団体(サーバー3467台)を対象に調査。その結果、問題あるサーバーが全体の3割にあたる193団体で見つかり、うち70団体は特に大量の問題を抱え、「至急改善が必要」とされた。

 中には、住民の個人情報を扱いながら、10年以上前に欠陥が発覚した古い暗号化システムを使っているサーバーが495台もあった。また、5年前にソフトウエア会社のサポート期間が終了し、セキュリティー対策が一切とられていない基本ソフトウエアを搭載するサーバーも27台あった。いずれも、センターは「使うこと自体が問題」と指摘する。

 調査で「安全性に問題がある」と指摘された自治体の28%にあたる54団体は、調査後に実施した自治体へのアンケートでも、「予算がない」「たいしたことではない」などの理由で、今後も対策をとらないと回答していた。

とのこと。

まず、「お金がない」が「やっていないこと」万能の言い訳として使われているような気がします。つまり、「優先順位が低いと考えてます」ってことになるんですよね。
それから、「たいしたことではない」というのが、すごい言い訳ですね。これは、「なぜやらないといけないのか、その必要がない」ということになりますよね。
※ ちなみに、ここでは「理由」と「言い訳」は別の意味で使っています。内容的に合理的なものは「理由」、そうでないものは「言い訳」です。

最後に、この記事ですが「サイバー攻撃に無防備、自治体の3割」のほうが見出しとして、良かったんでは?
数で見てしまうと、それこそ「たいしたことではない」と受け取ってしまわれかねないので…

| | コメント (0) | トラックバック (0)

2010年3月 9日 (火)

【速報版】2009年上半期 情報セキュリティインシデントに関する調査報告書、公開

JNSAのHPで「【速報版】2009年上半期 情報セキュリティインシデントに関する調査報告書」が、公開されています。

2008年度版と比較すると、原因では「管理ミス」(52.5%)、経路では「紙媒体」(71.9%)が圧倒的に増えていますね。

なお、「管理ミス」とは、ルールを守れない、守らせられない、というもの。その代表的なものが、「誤廃棄」です。
これは、マネジメントシステムやポリシーの「形骸化」の現れでしょうね。

経路では「紙」、つまり「書類」がほとんどということです。
組織によっては、媒体の持ち出しはうるさいが、書類はノーチェック、というところも多いようです。
媒体にできるセキュリティと、書類にできるセキュリティを、今一度比較して考えてもらったほうが良さそうです。
とりあえず、書類には暗号をかけられません・・・

| | コメント (6) | トラックバック (0)

2010年3月 8日 (月)

2009年の国内サイバー犯罪は過去最高

ITmediaの記事「2009年の国内サイバー犯罪は過去最高、不正アクセスやメールが増加要因に」からです。

この記事によると、

 2009年のサイバー犯罪の検挙数は前年比5.8%増の6690で、うち不正アクセス法違反での検挙は同45.6%増の2534件、児童ポルノ関連法違反が同99.6%増の507件、著作権法違反が同30.6%増の188件だった。一方、詐欺関連や児童買春、出会い系サイトなどの検挙数は減少した。

(中略)

 サイバー犯罪に関する相談件数は同2.1%増の8万3739件で、特に架空請求メール関連が同17.4%増の2万5856件、迷惑メール関連が同8.3%増の6538件、その他が同4.5%増の9502件と増えた。それ以外の相談件数は減少し、不当請求メール関連やインターネットオークションに関する相談は10ポイント以上減少した。

あくまで、検挙と相談の件数ですので、実際にはもっと多いのかもしれません。
特に、被害にあっている側が気がついていない場合は、絶対に認知されませんし・・・

あとは、警察白書の平成21年度版が出たときに、詳細がわかるのでしょうから、それを待ちたいと思います。

それから、同時に「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」も公開されていました。

<参考資料>
「平成21年中のサイバー犯罪の検挙状況等について」~警察庁

「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」~警察庁

| | コメント (1) | トラックバック (0)

2010年3月 7日 (日)

ソフトウェアパッチは、4.8日ごと

ITmediaの記事「ソフトウェアパッチは年平均75本、4.8日ごとに導入が必要」からです。

ホームユーザーは年間平均でベンダー22社から75本のパッチを導入する必要があり、4.8日ごとにインストールを迫られる」そうです。
へぇ~、覚えておこう。

そして、今後もこの数は増えるんでしょうね。
もはやユーザーに手動でアップデートさせるというのは、かなり無理があると言えそうです。

| | コメント (0) | トラックバック (0)

2010年3月 6日 (土)

「クラウド・コンピューティング社会の基盤に関する研究会報告書(案)」公開

IPAのHP「「クラウド・コンピューティング社会の基盤に関する研究会報告書(案)」に対する意見(パブリック・コメント)の募集について」からです。

IPAから「クラウド・コンピューティング社会の基盤に関する研究会報告書(案)」
が公開され、パブリックコメントの募集が行われています。

意見募集期間は、平成22年3月4日(木)~3月17日(水)18:00になってます。

本報告書(案)の構成は、
  ・クラウドの成り立ちと現状について
  ・クラウドの利用形態や産業・社会への浸透の具体的なイメージ
  ・クラウドの導入事例とユーザ側の意識・懸念材料
  ・ユーザなどの各主体が重視すべきポイント
  ・今後のクラウドの進展に伴う検討課題

となっていますね。

クラウド・コンピューティングに関する研究会は、ほかにもいくつか立ち上がって活動しています。
今後、そのような他の研究会から、様々な報告書や基準などが出てきそうなんですが「それぞれ別のことを言っていたら、どうするんだろう?」と今から心配しております。杞憂に終われば、良いのですが・・・

| | コメント (0) | トラックバック (0)

2010年3月 5日 (金)

情報セキュリティの標準化動向(ISO/IEC27000シリーズ)、おまとめ

セキュリティ教育の資料や、某所での依頼原稿のために、調べてまとめました。
せっかくなので、公開してみます。
情報セキュリティの標準化動向のチェックにお役立てください。

今後、個人的に注目している(しないといけない)のは、27005、27008、27014、27031、27035、27037あたりです。
専門が運用系とか監査系なのでね・・・

ISO/IEC27000シリーズ

・ISO/IEC 27000
概要及び用語
Overview and vocabulary

・ISO/IEC 27001
情報セキュリティマネジメントシステムの要求事項
ISMS requirement

・ISO/IEC 27002
情報セキュリティマネジメントの実践のための規範
Information security management Code of Practice

・ISO/IEC 27003
情報セキュリティマネジメント導入に関する手引き(作成中)
ISMS Implementation guide

・ISO/IEC 27004
情報セキュリティマネジメントの測定
ISM Measurements

・ISO/IEC 27005
情報セキュリティリスクマネジメントに関する指針
ISMS Risk management

・ISO/IEC 27006
認証機関に対する要求事項
Accreditation requirements for certification bodies

・ISO/IEC 27007
監査の指針(作成中)
ISMS Audit guidelines

・ISO/IEC 27008
ISMS管理策に関する監査員のための指針(作成中)
Guidance on auditing ISMS controls

・ISO/IEC 27010
業界間コミュニケーションのための情報セキュリティマネジメント(予定)
Sector to sector interworking and communications for industry and government

・ISO/IEC 27011
電気通信組織のための指針
Information security management guidelines for telecommunications based on ISO/IEC 27002

・ISO/IEC 27012
電子政府サービスのためのISMS指針(中止)
ISMS guidelines for e-government

・ISO/IEC 27013
ISO/IEC20000-1とISO/IEC27001との統合導入についての手引き(予定)
ISMS for service management

・ISO/IEC 27014
情報セキュリティガバナンスフレームワーク(予定)
Information security governance framework

・ISO/IEC 27015
金融及び保険サービスに対する情報セキュリティマネジメントガイドライン(予定)
ISMS for the financial and insurance sector

・ISO/IEC 27031
ビジネス継続のためのICT準備技術(予定)
ICT readiness for business continuity

・ISO/IEC 27032
サイバーセキュリティ(予定)
Cyber security

・ISO/IEC 27033
ネットワークセキュリティ(予定)
Network security

・ISO/IEC 27034
アプリケーションセキュリティの指針(予定)
Guidelines for application security

・ISO/IEC 27035
情報セキュリティインシデントマネジメント(予定)
Information security incident management

・ISO/IEC 27036
セキュリティのアウトソーシングのためのガイドライン(予定)
Guidelines for security of outsourcing

・ISO/IEC 27037
デジタルエビデンス(証拠)の識別,収集,及び/または取得,保存のためのガイドライン(予定)
Guidelines for identification, collection and/or acquisition and preservation of digital evidence

<参考記事・このブログ>
セキュリティ・リスク管理の標準規格「ISO/IEC 27005:2008」

<参考URL>
「ISO/IEC 27000関連規格の最新動向」~NSF2009・JNSA

ISO/IEC JTC 1/SC 27/WG 4の最新動向概要~社団法人 情報処理学会 情報規格調査会

| | コメント (2) | トラックバック (0)

2010年3月 4日 (木)

電子メールソフトのセキュアな設定

JPCERT/CCのHP「電子メールソフトの設定に関する説明」からです。

電子メールの利用者が自分の身を護るための最低限の設定や確認事項」が、以下の7つの項目で挙げられています。

1.受信メール一覧で表示される情報の拡張
2.送信者のアドレス表示
3.S/MIME及びPGP対応
4.迷惑メールフィルタ
5.HTMLメールの取り扱い
6.送信メールの形式
7.開封確認対応

S/MIMEなどがその典型ですが、結局メールソフトごとに実装や設定が違ってくるんですよね。
ここで説明されている項目は、いわばメールソフトを使うための「リテラシー」的なもののはずなんですが、このような事情でなかなか理解が進まず、セキュアな設定や利用ができないのだと思っています。

| | コメント (0) | トラックバック (0)

2010年3月 3日 (水)

【SSCP資格ガイド 第4回】「分析とモニタリング」ドメインで求められる知識/スキル

Computerworld連載中の「【SSCP資格ガイド 第4回】「分析とモニタリング」ドメインで求められる知識/スキル 共通知識分野(CBK)詳説(2)」が掲載されました。

前回に引き続き、CBKの解説(練習問題×2題つき)になっています。

次回(「暗号」ドメイン)は、今月下旬の掲載予定です。

<参考記事・このブログ>
「SSCP資格ガイド」連載、はじめました

SSCPとCISSPの違い

「アクセス制御」ドメインで求められる知識

| | コメント (0) | トラックバック (0)

2010年3月 2日 (火)

システム監査と情報セキュリティ監査の違いと関連

特定非営利活動法人日本システム監査人協会(SAAJ)のHPに「システム監査と情報セキュリティ監査の違いと関連 10のQ&A」が掲載されていました。

システム監査と情報セキュリティ監査について書かれているのですが、個人的には「どうかなぁ~」という内容も、ちらほら。
それから、制度の違いや関連はわかっても、それぞれの文化や慣行などは、ここからはわかりませんね。

それよりも、いつまでもシステム監査と情報セキュリティ監査の違いとか論じている必要があるんだろうか、制度を別々に分けておく必要があるんだろうか、というのが、私の率直な見解です。

| | コメント (0) | トラックバック (0)

2010年3月 1日 (月)

総務省「情報セキュリティ人材育成シンポジウム」、発表資料公開

去る2/15(月)に開催された「情報セキュリティ人材育成シンポジウム」の発表資料が公開されました。

私の発表資料は「高度情報セキュリティ人材育成のアプローチ」です。

この資料だけだと、何を話したか伝わらないので、(書けそうなところだけ)近日中にここで補足したいと思います。

| | コメント (2) | トラックバック (0)

« 2010年2月 | トップページ | 2010年4月 »