« 2010年5月 | トップページ | 2010年7月 »

2010年6月の記事

2010年6月30日 (水)

中小企業の対策の課題は、資産分類と事業継続

IPAセキュリティセンターのプレス発表
「「情報セキュリティ対策ベンチマーク バージョン3.3」と「診断の基礎データの統計情報」を公開~中小企業の対策状況は、4年間を通じて向上。資産分類や事業継続に課題が~」からです。

「情報セキュリティ対策ベンチマーク」が、バージョンアップし3.3になったようです。
同時に対策状況の統計データが公開されています。

<統計データ>
1.参考資料1「診断の基礎データの統計情報」
◦リスク指標4により分類された3つのグループの情報セキュリティ対策状況の比較
◦企業規模別5情報セキュリティ対策状況の比較
◦業種別情報セキュリティ対策状況の比較

2.参考資料2「平均値と望まれる水準の値」
◦リスク指標により分類された3つのグループのスコア平均と望まれる水準
◦企業規模別スコア平均と望まれる水準
◦業種別スコア平均と望まれる水準

3.参考資料3「対策状況の企業規模による経年比較」
◦2006年(1053件)、2007年(1165件)、2008年(930件)、2009年(880件)の4年間の診断データに基づく、企業規模別の情報セキュリティ対策状況の経年比較

大企業と中小企業の情報セキュリティ対策状況の比較では「大企業のほうが中小企業より対策が進んでおり、企業間の対策のばらつきも少ない」とされています。
単純に企業規模で分析してていいんでしょうか、と、その点が個人的に疑問。

それから、ここでいう「望まれる水準」って何なんでしょう。
つまり「情報セキュリティ対策ベンチマーク」が「ISMS認証基準(JIS Q 27001:2006)附属書Aの管理策」をもとに作成されているので、これのことを指しているんでしょうけど、なぜそれが「望まれる水準」として、押し付けられるのかも個人的に疑問。

<関連記事>
「企業の情報セキュリティ対策が向上、資産分類や事業継続に課題も」~ITmedia

| | コメント (0) | トラックバック (0)

2010年6月29日 (火)

「ITホワイトボックスⅡ」、7月のテーマは「セキュリティ」

NHK教育テレビの「ITホワイトボックスⅡ」について。

7月の月間テーマは 『セキュリティ』
簡単・便利なインターネットですが、常に安心・安全とは限りません。
残念なことにコンピューターウイルスやネット攻撃、そしてサイバー犯罪があるもの事実です。
ITの世界で、セキュリティはどうなっているのか?
だれもが気になる『セキュリティ』をホワイトボックスにします!

ということで、4回にわたってセキュリティをテーマに放送。

とりあえず、毎回見ます。(録画予約、と・・・)

| | コメント (2) | トラックバック (0)

情報セキュリティの「倫理」とは、守秘義務だけ?

今日は、日本×パラグライ戦があるため、短めに。(本当は関係ないけど・・・)

昨日に引き続き、「倫理」のお話です。
情報セキュリティの「倫理」(情報倫理も含め)を講習や講演でお話をすることがあります。
その際、「情報セキュリティの倫理とは、何でしょう?」という問いかけをすると、ほとんどの場合「守秘義務」と「(意図的な)攻撃をしない」という回答ばかりが返ってきます。
その他、「『道徳』との区別がつきません」という回答も多いですね。

やはり「倫理教育が十分ではないんだなぁ」と、痛感する今日この頃です。

続きは、またいづれ・・・

| | コメント (0) | トラックバック (0)

2010年6月28日 (月)

「倫理」とは、精神論なのか?

サッカーのワールドカップや大相撲の賭博問題のニュース「スポーツマンにはスポーツマンシップが必要であり、同じように職業専門家であるプロフェッショナルには倫理が必要」なんてことを考えてしまいました。

試合中に相手チームに罵声を浴びせ、試合後には暴徒まがいの行為を繰り返す輩。
プロのアスリートでありながら、他のプロスポーツで賭博を行う輩。
私はそういう輩も「スポーツマンシップ」が欠如していると思います。

「スポーツマンシップなんて、厳しい練習の中で自然に養われる」「倫理なんて、業務の中で自然に養われる」というようなことをいわれる方が多いのですが、本当にそうでしょうか。
「スポーツマンシップ」や「倫理」とは、単なる精神論なんでしょうか?
それは、違います。
「スポーツマンシップ」や「倫理」とは、従うべき「行動規範」の通りに行動できるスキルのことだ
と思うのです。
精神論だという限りは、十分な教育や運用も行われないのでしょうね。

| | コメント (0) | トラックバック (0)

2010年6月25日 (金)

「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」公開

経済産業省から「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」に対する意見公募が出ています。

パブコメの締め切りは、2010年07月21日になっています。

さて、この報告書は「クラウド・コンピューティングと日本の競争力」ということなんですが、サービスを提供する側、サービスを利用する側とも、競争力を持つことができるんでしょうか。

そのためには、(「コスト削減」ではなく)積極的なICT投資が欠かせないと思っております。
日本はICT投資に関するマインドが諸外国と比較して、かなり低いようですので、そのあたりの改革も必要ではないか
と考えています。
(産業構造そのものも、かな・・・)

でも、(国も含め)組織の文化とか慣行を変えるのって、かなり難しいんですよね・・・

<関連資料>
「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」
 
「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案) 概要」
 
「クラウド・サービス・レベルのチェックリスト(案)」  

「技術ロードマップ(案)」  

| | コメント (0) | トラックバック (0)

2010年6月24日 (木)

「RSA Conference JAPAN 2010」

「RSA Conference JAPAN 2010」の事前登録が始まりました。

今年は、9月に赤坂でなんですね。
(時期も場所も、個人的には違和感が・・・)

もちろん、今年もCISSPのCPE(Trusted)対象です。

私も参加したいのですが、費用をどう捻出するか、それが問題です。

  クラウド時代のセキュリティ/テクノロジーとガバナンスを問う
■■■■ RSA Conference JAPAN 2010  ■■■■
 
『RSA Conference JAPAN 2010』は改めて情報セキュリティの重要さに
立ち返り、9月9日(木)~ 9月10日(金)グランドプリンスホテル赤坂で
より専門性を高めたコンテンツを揃え単独開催をすることとなりました。

2010年、IT環境はクライアント・サーバからクラウドコンピューティングへの
変換期となっております。本年度はクラウドコンピューティングを利用する上
で情報セキュリティやネットワークセキュリティ、そして技術者向けだけでな
く経営者向けのビジネスセキュリティを中心に扱っていく方向性です。

ご多忙中と存じますが、皆様の積極的なご参加を心よりお待ちしております。

━┳━━━━━━━━━━━━━━━━━━━━━
■┃ 開催概要
━┻━━━━━━━━━━━━━━━━━━━━━

 ■日  時 2010年9月9日(木)~ 9月10日(金)

 ■会  場 グランドプリンスホテル赤坂 五色の間

 ■申込み:事前登録制(各セッション定員制、事前登録はお早めに)
 詳細・登録はこちらから
    

| | コメント (0) | トラックバック (0)

2010年6月23日 (水)

2010年に需要のある10のスキル

こんな記事がありました。
Siliconindiaの「Top 10 Skills in Demand in 2010」です。

そのTop10とは、以下の通りです。

Top 10 Skills in Demand in 2010

1. PROJECT MANAGEMENT
2. SECURITY
3. NETWORK ADMINISTRATION
4. VIRTUALIZATION - CLOUD
5. BUSINESS ANALYSIS
6. BUSINESS PROCESS IMPROVEMENT
7. WEB DEVELOPMENT
8. DATABASE MANAGEMENT
9. WINDOWS ADMINISTRATION
10. DESKTOP SUPPORT

「セキュリティ」は、2位なのですね。
あと、「仮想化(クラウド)」が、4位ですか。まぁ、そうでしょうね・・・
それから、5位に「ビジネス(事業)分析」が入っているところがポイントだと思いました。
技術や理論だけではなく、ビジネスと結びつけられるスキルは、今後ICT業界の多くの人に不可欠だと思います。

| | コメント (0) | トラックバック (0)

2010年6月22日 (火)

「JNSA 2009年度活動報告会」セミナー発表資料公開

去る6月11日(金)に開催された「JNSA 2009年度活動報告会」の発表資料が公開されました。

私の登壇したセッションの資料は、以下の通りです。(P.15~)

『クラウド時代の人材育成』~JNSA教育部会

何を言ったのか、何が言いたかったのか、は後日改めてここで書くことにします。(あくまで、予定)

さて、私も聴講できなかったセッションがあるので、その資料を読んでみることにします。

| | コメント (0) | トラックバック (0)

2010年6月21日 (月)

NISC、IE6からIE8への移行を推奨

内閣官房情報セキュリティセンター(NISC)の報道発表「旧型ブラウザから新型ブラウザへの移行に係る取組について」からです。

今般、IE6の脆弱性を突いたサイバー攻撃が顕著になり、中央省庁においてIE6のみをブラウザソフトとして利用しているところがあるとして、NISCから各府省庁に以下のような指示をしたようです。

・ IE6からIE8への移行を推奨。
・ 今後、各府省庁においてウェブアプリを利用するシステムの新規構築又は更改する際は、最新ブラウザに対応する設計とすること。
・ 最新の複数ブラウザの利用を検討すること。

情報システムに係るコストを抑えているということが、IE6を使い続けている主な理由のようです。
しかし、コストを抑えていることが、大きなトレードオフを発生させているかもしれないということですね。

さて、この指示はいつからどのくらい効力が発揮されるのでしょうか。
今後の各府省庁の動きにも注目したいです。

| | コメント (0) | トラックバック (1)

2010年6月18日 (金)

知識や技術を生かせない

今回は、ダイヤモンド・オンラインの記事「3Dテレビでサムスン独走か 技術力生かせぬ日本勢の危機」を読んで、思ったことです。

3Dテレビの販売で日本メーカーが韓国メーカーに大きく差をつけられているということ。
その理由として「問題は、日本メーカーのよりどころであるこの技術力が商品力に転化されず・・・」とあります。

「技術力生かせぬ日本」とは、この記事にある家電業界だけではありません。
ICT業界も同じことです。

(ここ2年ぐらい、あちこちで話していますが)私も知識や技術を生かせない人や組織が多いと感じています。
今後、クラウド・コンピューティングの普及などもあり、さらに国際的な競争は激化していきます。
そういう競争に日本のICT企業は生き残れるのか。
それより、まず日本国内で生き残れるのか。
いよいよ、真剣に取り組んでいく必要があると思います。

| | コメント (0) | トラックバック (0)

2010年6月17日 (木)

「セキュア・ジャパン2010(仮称)」(案)、公開

内閣官房情報セキュリティセンター(NISC)から「「セキュア・ジャパン2010(仮称)」(案)に関する意見の募集」が出されています。

「国民を守る情報セキュリティ戦略」に基づいた年度計画という位置づけになっています。

意見募集は、平成22年(2010年)6月28日(月)12:00まで。(うっ、短い・・・)

例年より、公開が遅いような気がします。
まずは、これから読まないと・・・

<参考資料>
「セキュア・ジャパン2010(仮称)」(案) ~内閣官房情報セキュリティセンター(NISC)

| | コメント (0) | トラックバック (0)

2010年6月16日 (水)

IT技術者、全国スキル調査

CNET Japanの記事「IT技術者3万人以上の能力を明らかに--iSRFの全国スキル調査始まる」からです。

ITスキル研究フォーラム(iSRF)が、全国スキル調査を始めたようです。
※ 昨年もやっていたようですね・・・

この調査は、

参加者は、ITスキル標準(ITSS)、組込みスキル標準(ETSS)、情報システムユーザースキル標準(UISS)の中から、自身に合ったスキル標準を1つ選択して設問に回答する。設問はヒューマンスキルなどを含め全160~200問。回答結果はその場で確認できるほか、全国平均と比較することも可能だ。

 スキルに関する設問のほか、仕事のやりがいや給与、研修の日数などの質問も設けられている。また、「働く環境と生活状況実態調査」や「コミュニケーション意識チェック」「行動傾向チェック」「モチベーション診断」を用意しており任意で回答することができる。

というもの。

私は「ITスキル標準(ITSS)」になるんですね。
個人的には、自分の結果がどうなるかよりも質問の項目や分析の方法などに興味があります。
設問数が多いので、週末にでもやってみようかと考えております。

<参照URL>
全国スキル調査~ITスキル研究フォーラム(iSRF)

| | コメント (0) | トラックバック (0)

2010年6月15日 (火)

企業のセキュリティ支出、主目的は?

日経ITproの記事「企業のセキュリティ支出、主目的は「IDとアクセス権の管理」」 からです。

この記事によると、

 Gartnerが企業の最高情報責任者(CIO)を対象にアンケート調査を実施したところ、回答者の20%がセキュリティの最優先プロジェクトに「IDとアクセス権の管理」を挙げた。以下、「侵入防止システム」「パッチ管理」「データ紛失防止」「アンチウイルス」「ID管理」が続いた。

とのこと。

ITの利活用や業務依存度が高まった結果なんでしょうか。その結果、企業の意識も変わったということでしょうか。
フラッシュメモリーなどのメディアの使用禁止ばかりではなく、「まずは、アクセスコントロールを効果的に実施」というのは、適切なアプローチだと思います。

| | コメント (0) | トラックバック (0)

2010年6月14日 (月)

Facebook、全米PTAと協力

日経ITproの記事「Facebook、子供の安全なネット利用で全米PTAと協力」からです。

この記事によると、

  米Facebookは米国時間2010年6月10日、全米PTAと正式に協力し、子供・親・教師の安全なインターネット利用の普及と啓発に取り組むと発表した。オンライン利用を促進するほか、ネットいじめを減らし、インターネットの安全性を高めることを目指す。

 全米PTAは、自身のWebサイトと2万4000にのぼる各地PTA団体を活用し、安全で責任あるインターネット利用に対する意識を高めるための情報やニュース、サポートを提供する。Facebookは、100万ドル相当の資金を投じ、同社が運営するSNSサイト「Facebook」においてこれらリソースの認知度向上を図る。

 また両者は、デジタルデバイドの解消にも取り組み、世帯収入や人種に関係なく、オンラインシステムを使いこなすための各種ツールやリソースを提供する。さらに、児童保護、教育、技術などの専門家の協力を得て、包括的なマルチメディア教育リソースを構築・保守する計画である。

とのこと。

日本では、こういう協力体制というのは考えにくいんでしょうね。
どちらかというと、「掲示板、SNS、プロフは使わせるな」というのが、PTAだったりしますので。

しかし、そうなると「寝た子」はいつ起こすのか、ということも考えなければなりません。

| | コメント (0) | トラックバック (0)

2010年6月12日 (土)

データセンターは、冷やし過ぎ?

ComputerWorldの記事「「データセンターの空調は27℃で十分」―グーグル幹部が語る省電力対策」からです。

この記事によると、グーグル幹部が、

通常、データセンターの室温は21℃以下に設定されていることが多いが、Googleでは27℃に設定されているという「ハードウェアの定格吸込温度をチェックするべきだ。サーバの吸込温度が32℃まで対応できるようなら、27℃あるいはそれよりもう少し高くても大丈夫だ」

と語っているそうです。

データセンターやサーバールームがかなり冷やされていることが多いのですが、それが実は無駄だということですね。
その結果、コストは高くなる、グリーン化(CO2削減)の阻害要因になる、という悪影響を及ぼしているわけです。

ただでさえ、日本のデータセンターのコストは高いのに。(参照資料の「参考資料」をご覧ください)
つまり、クラウド・コンピューティングが普及していこうというこのご時勢に、国際的な競争力確保の阻害要因にもなる、ってことになるんでしょうね。

<参照資料・総務省>
クラウドコンピューティング時代の データセンター活性化策に関する検討会 報告書

 -参考資料

| | コメント (0) | トラックバック (0)

2010年6月11日 (金)

自分の「特性」とは何か

前回に続き、もう1つ。

田坂広志さんの「風の便り 第169便」では、アメリカの初等教育でよく使われる言葉として、

"Find your own uniqueness."
(あなた自身の「個性」を発見しなさい)

が紹介されていました。

「すべては「自己探求」から始まる」と。

まずは自分を知れ、ということですね。
「個性」というよりは「特性」という訳語のほうが、個人的は合っている気がします。

自分の特性を知り、それを生かすこと。
それが大事だと思っています。

| | コメント (0) | トラックバック (0)

2010年6月10日 (木)

「成功」とは何か

少し前にここで書こうと思いながら、時間がたってしまったテーマです。

「成功」とは何か。
それは、その人によって違いますよね。

田坂広志さんの「風の便り 第169便」では、アメリカの初等教育でよく使われる言葉として、

”Define your own success.”
(あなた自身の「成功」を定義しなさい)

が紹介されていました。

以前はよく「勝ち組」「負け組」という言葉が使われていました。(今でも、使っている人がいらっしゃいますが)
私は、この言葉が嫌いです。特に、「人生」とか「キャリア」とかで使われていることが。

「人生」とか「キャリア」とかで、「勝ち」も「負け」もないはず。
あるとすれば、描いた夢や目標を実現できたか否か、だと思っています。

それを初等教育のうちに考えさせている、ということですね。
こどもだけでなく、大人も考えるべきだことだと思います。

| | コメント (0) | トラックバック (0)

2010年6月 9日 (水)

検索結果の3分の1は危険なリンク

COMPUTERWORLDの記事「検索結果の3分の1は危険なリンク――シマンテックが報告」からです。

この記事によると、

 Symantecのリサーチャーらが2週間かけ、最もよく使われる検索ワード300個を検索して上位100件の結果を調査したところ、危険なリンクが全体の3分の1に上ることがわかった。

 ある語句にいたっては上位100件の検索結果のうち、99件がユーザーをマルウェアに感染させたり、ログインIDやパスワードといった個人情報を盗もうとしたりする悪意のあるWebサイトに誘導するためのリンクだった。

 Symantecによると、Googleなどの検索エンジンが判別・除去できているのは、危険なリンク全体のうち約半数にすぎないという。

とのことです。

(この後は、だからセキュリティソフトを使いましょう、と商業的なオチですので省略・・・)

個人的には、検索エンジンが判別・除去できているか否か以上に、危険なリンクを仕掛けている側のサーチエンジンを悪用し誘導する攻撃力の高さが気にかかりました。
何と、ある語句では99%とは・・・

| | コメント (0) | トラックバック (0)

2010年6月 8日 (火)

IPAとCSA、相互協力協定を締結

IPAのプレス発表「クラウドセキュリティアライアンスと独立行政法人 情報処理推進機構の相互協力協定の締結について」からです。

なかなかセンセーショナルなニュースでした。

このリリースによると、

IPA(独立行政法人情報処理推進機構、理事長:西垣浩司)は、クラウドセキュリティアライアンス(Cloud Security Alliance本拠地:米国ワシントン州ファーンデール)と 2010年6月7日、クラウドコンピューティングのセキュリティに関する調査研究、普及啓発、教育、対策・指針策定等を目的とする相互協力協定を締結しました。

とのことです。

日本におけるクラウド・コンピューティングとクラウド・セキュリティの普及促進が加速するんでしょうね。
脱ガラパゴス化もかな・・・

<関連資料>
「クラウド・コンピューティング社会の基盤に関する研究会」報告書~IPA(独立行政法人情報処理推進機構)

<関連記事>
IPA、クラウドのセキュリティに関する国際連携を強化~ITmedia

日本クラウドセキュリティアライアンス、設立~このブログ

| | コメント (0) | トラックバック (0)

2010年6月 7日 (月)

大企業になるほど、YoutubeやTwitterに厳しい

japan.internet.comの記事「大企業になるほど、YoutubeやTwitterに厳しい傾向」からです。

「第3回 企業内Web閲覧環境に関する調査」の結果からですが、今年度の調査から動画共有サイトやSNSなどの利用状況も調査項目に追加されたようです。

さて、その結果は、

YouTubeは企業全体で30%、5,000人以上の大企業では51%が閲覧できず、Twitterは、企業全体で25%、5,000人以上の大企業では38%が閲覧できないことがわかった。

(中略)

Webページ閲覧が「各人の PC から可能」なのは95%、「特定 PC からのみ可能」は2%で、無回答を除くすべての企業でWebページは閲覧できるようだ。ただし、「ドメイン単位」「キーワード単位」「SSL」など、62%が何らかの閲覧制限を行っている。

利用できるWebサービスでは、「個人Blog」は80%以上で、(サービスにもよるが)SNSも80%近くが利用できる。動画共有サービスのうちYoutubeは70%程度の会社で閲覧できる。

しかし、従業員規模が大きくなるに従い、利用できるサービスは少なくなり、5,000人以上の会社では半数以上が動画共有サイトやSNSを利用できない

とのことでした。

Webサービスの利用を制限しているということは、情報の収集・発信が制限されているということにもなります。
制限の理由としては「情報漏えいのリスクがあるので」ということが多いのですが、Web利用の利便性を低下させるだけでなく、業務の生産性を低下させていることも多いようです。

本当にそのリスクはあるのか、必要以上に大きなトレードオフを発生させていないか、制限したつもりが実は抜け道だらけではないか、それを考えてもらいたいものです。(私の経験では、このような状況がかなり多いですが・・・)
情報セキュリティ対策と言いながら、結果的に自虐行為になってしまったりしないようにしたいものです。

<参考資料>
「第3回 企業内Web閲覧環境に関する調査リリース【pdf】」~社団法人日本アドバタイザーズ協会Web広告研究会

| | コメント (4) | トラックバック (0)

2010年6月 4日 (金)

「グッド・プラクティス・ガイド パッチ管理」

JPCERT/CCから「グッド・プラクティス・ガイド パッチ管理」が公開されています。

パッチ管理関連の資料としては、SP 800-40 ver.2(参考資料をご参照ください)などが公開されていますが、この資料は特に重要インフラを対象にしたもののようです。パッチ適用の方法や手順だけでなく、その有効性の測定などにも触れているようです。

パッチ管理は、運用環境への暫定的なソフトウエアリリースの展開と保守を管理するための手順です。事業のためにシステムの実効性と効率を維持しつつ、セキュリティの脆弱性を最小限まで緩和し、実運用環境の安定性を維持するのに役立ちます。本書は、重要国家インフラに関わる組織向けにパッチ管理に関するガイドを示したもので、すべてのシステムにパッチを正しく適用するための4段階の手順と、パッチ適用計画の有効性を測定するための指標について説明しています。

<参考資料>
「SP 800-40 ver.2 パッチおよび脆弱性管理プログラムの策定(Creating a Patch and Vulnerability Management Program)」

| | コメント (0) | トラックバック (0)

2010年6月 3日 (木)

標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」

IPAセキュリティセンターから「脆弱性を狙った脅威の分析と対策について Vol.3」が公開されています。

標的型攻撃メールに対する「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」などが示されています。
そのポイントをまとめると、以下のようになります。

【標的型攻撃メールの特徴】
① メールの受信者が信頼することを狙った、官公庁をかたる送信元と署名
② 宛先は業務用メーリングリスト
③ メーリングリストの用途に合わない件名
④ 添付ファイルはPDFファイル(実態はAdobe Readerに存在する脆弱性を利用し、攻撃を実行するマルウェア)
⑤ 件名と結びつかない本文

違和感に気付くポイント】
・最初、送信者と同名の職員からのメールかと思ったが、その職員が送りそうにない件名である
・業務用のメーリングリスト宛てなのに、件名が「私信」である
・送信者に心当たりがないのに、「先日は…」という書き出しで始まる

【違和感に気付いた後の対策ポイント】
・差出人の所属先が存在するか調査した
・該当メールを読む可能性がある人へ、添付ファイルを開くことなくメールを削除するように連絡した
「不審メール110番」に連絡した

「違和感」を持つためには、まず「セキュリティ意識」が必要ですね。
それを持たせないと「気付く」ということができません。
まずは、その教育が必須となります。

ところで、「不審メール110番」って、知らない方が多いのではないでしょうか。
そのあたりの普及啓蒙活動も必要かと・・・

<関連資料・IPAセキュリティセンター>
「脆弱性を狙った脅威の分析と対策について Vol.1」

「脆弱性を狙った脅威の分析と対策について Vol.2」

| | コメント (2) | トラックバック (0)

2010年6月 2日 (水)

制御システムセキュリティの文書×2、公開

制御(SCADA)システムセキュリティの文書が、JPCERT/CCとIPAからそれぞれ1つづつ公開されています。
制御(SCADA)システムは、昨年あたりから特に重要インフラで使われているものの脆弱性が大きな問題として取り上げられてきています。
今回の2つの文書は、その問題に向けた公開というところですね。

「制御システム環境におけるサイバーセキュリティ文化の支援を目的とした運用セキュリティ(OPSEC)の使用」~JPCERT/CC

大部分の組織は、制御システム領域においても堅牢なアーキテクチャを採用し、外部ネットワーク、業務ネットワーク、制御システムネットワークの統合を推し進めることで業務の強化とコスト削減を図っています。セキュリティは、関係者が形成するサイバーセキュリティ「文化」によって支えられ、運用セキュリティ(OPSEC)の手法を使用することでセキュリティ「文化」の維持・強化への取組みを促進できます。しかし、事務処理領域でのセキュリティを主眼に形成された文化は、制御システムの領域に簡単には持ち込めません。本書は、制御システム領域におけるサイバーセキュリティの開発、配備、改善を担当する管理者およびセキュリティ専門家を対象に、制御システムおよび産業ネットワークのサイバーセキュリティにとって非常に重要な運用セキュリティ(OPSEC)のいくつかの要素を示し、それらがセキュリティ文化の形成をどのように促進しうるかについて述べています。

「制御システムセキュリティの推進施策に関する調査報告書」~IPAセキュリティセンター

・目次
1. はじめに
2. 重要インフラ制御システムの脆弱性低減に向けた取組み
3. 制御システムの脆弱性低減施策に関する検討
4. 制御システムにおける新技術の動向
5. まとめ
6. 調査資料一覧
7. 図表一覧

<参考記事・このブログ>
制御システムセキュリティ関連資料、公開

| | コメント (0) | トラックバック (0)

2010年6月 1日 (火)

人間をコンピューターウイルスに感染させる実験

INTERNET Watchの記事「人間をコンピューターウイルスに感染させる初の実験、英研究者が自身の体で」からです。

具体的にはチップを人体にインプラント技術で埋め込んで、感染させるそうです。
将来は動物にもチップを埋め込むということもあるはずなので、そっちも(そっちが)先のような気もしますが。

こういうチップなどに感染する可能性と、人体への影響などを研究するんでしょうか。
このようなリスクに関しては「人を不安に陥れる最悪のデマでしかない」という非難的コメント(下記、関連記事)も出ています。

とにかく、6月の「IEEE International Symposium on Technology and Society」で研究結果を発表する、とのこと。
さて、どんな結果で報告されるのでしょうか・・・

<関連記事>
「コンピュータウイルスが人体に与える恐怖、「最悪のデマ」と専門家が非難」~ITmedia

| | コメント (0) | トラックバック (0)

« 2010年5月 | トップページ | 2010年7月 »