« 2010年6月 | トップページ | 2010年8月 »

2010年7月の記事

2010年7月30日 (金)

クリックジャッキング対策

日経ITproの記事「クリックジャッキング対策」
からです。

この記事によると、推奨されるクリックジャッキング対策は以下の通り。

 この種の攻撃を防ぐには、注意してWebブラウジングすることが大切だ。ただし、用心したところで効果は知れている。また、現在のWeb環境で重要な役割を担っているJavaScriptを完全に無効化することは非現実的だ。最近のWebブラウザは何らかのクリックジャッキング対策を導入しているものの、攻撃する側は絶えず回避方法を考えている。このような状況で何をしたらよいだろうか。優れた対策の一つとして、ホワイトリスト未掲載サイトでのスクリプト実行を妨げる「NoScript」などのWebブラウザ用アドオンを使う方法がある。こういったアドオンの多くは、クリックジャッキングを狙う行為の阻止に特化した機能を備え、定期的なアップデートで機能強化できる。

「JavaScriptを完全に無効化することは非現実的」とありますが、まさにその通り。
にも関わらず「JavaScriptを無効化しましょう」という資料やそういう話をする人がいらっしゃったりします。
だったら、自分で無効化してみて、仕事や生活ができるか試してみればいい
、と思う。

ちなみに、自分は試してみたことがあります。
その結論は、やはり「JavaScriptを完全に無効化することは非現実的」ということで、この記事と同じです。

※ なお、8月は更新が不定期になるかもしれません。あしからず・・・

| | コメント (0) | トラックバック (0)

2010年7月29日 (木)

「IPv6技術検証協議会」設立

MicrosoftのHP「IPv6技術の安全性、相互運用性を検証する「IPv6技術検証協議会」を設立」からです。

さて、このリリースによると、

 IPv6の使用については、これまで相互接続性確認、プロトコル検証などの基礎的な範囲での検討を「IPv6普及・高度化推進協議会」が中心となって実施してきましたが、IPv6の具体的な利活用を想定したセキュリティ機能、実装手法、性能評価などに関わる実環境検証については、多くの検討の余地を残しています。

 今後ますますIPv6の利用が進む状況の中で、IPv4/IPv6の併用、IPv6への移行を見据えたIPv6ネットワーク環境において、どのようなリスクが内在し、そのための技術的対策をどのように考えるべきかという調査研究により、これまでIPv4で培った安心・安全技術の知見を活かしつつ、IPv6における新たな脅威の発掘、対策の確立が望まれます。こうした背景により、通信、ネットワーク、セキュリティ、ハードウェア、ソフトウェア関連の10社・団体が発起人となり、IPv6技術検証協議会を設立し、IPv6利用環境における安全で安定したIT環境の実現を目指し、特にセキュリティ分野を中心とした技術検証を推進します。

というのが設立の目的、活動の方針らしいです。

IPv6というと、「アドレス枯渇問題を解決するんだよね」「移行といっても、IPv4互換の機器を使えばいいんだろう」というような安易な対応だけ考

えられている方がいらっしゃったりします。
その他にも、多くの課題があるんだよ、という啓蒙活動がまず必要なんでしょうね。

<関連記事>
「IPv6セキュリティの課題を検証する「IPv6技術検証協議会」が発足」~日経ITpro

| | コメント (0) | トラックバック (0)

2010年7月28日 (水)

「情報通信技術者合同会議2010」開催

ICT教育推進協議会のHPで「情報通信技術者合同会議2010」の開催が告知され、申し込みが始まっています。

名称:情報通信技術教育者合同会議2010(英文名ICT Educators Summit 2010)
会期:2010年8月18日(水)
会場:東京大学本郷キャンパス工学部 2号館 213講義室(1階) 
主催:ICT教育推進協議会
共催:Training Center Japan
参加料:無料
対象者:ICT教育に携わるすべての方々
参加人数:300名

しかし、よりによって「情報セキュリティ人財サミット2010」と完全に重なってるんですよね。
ということで、私は参加できない・・・

| | コメント (2) | トラックバック (0)

2010年7月27日 (火)

小悪魔エンジニア・・・

今日、twitterで話題になっていたブログ「小悪魔女子大生のサーバエンジニア日記」です。
絵も内容もゆるい感じで、なかなか良いです。

この方の絵で、「ネットワーク入門」とか「セキュリティ入門」とか、本やテキストにしてみたいですね。
おっと、そういえばあの本の原稿を書かなければ・・・

ということで、今日は短めにここまで!

| | コメント (2) | トラックバック (0)

2010年7月26日 (月)

「情報セキュリティ2010」決定

去る7月22日(木)に第24回情報セキュリティ政策会議が開催され、「情報セキュリティ2010」
が決定、公開されました。

「情報セキュリティ2010」とは、パブコメ募集までは「セキュア・ジャパン2010(案)」という名称でした。
その名称が変わってしまったんですね。個人的には、かなりの違和感があります。

「セキュア・ジャパン」は、2006~2009年度まで日本の情報セキュリティにおける単年度計画の名称として使われ続けて来ました。
何で変えるのかなぁ~。
日本の情報セキュリティにおける単年度計画の名称というより、書籍やTV番組の名称みたいで・・・

| | コメント (0) | トラックバック (0)

2010年7月23日 (金)

回避策適用ツール「Fix It」の提供開始

Microsoftが未解決の脆弱性問題で、回避策(ワークアラウンド)を適用するツール「Fix It」の提供を開始したようです。
「回避策(ワークアラウンド)」とは、解決策(パッチの適用など)がない場合に影響を軽減する手段です。

これを適用する場合に、レジストリーの操作などが必要な場合があり、このあたりの知識があまりない層には現実的に難しい策でした。
それが自動化されたということですね。

「それでも、使うのはちょっと怖いよね・・・」と思ってたら、元に戻す(ロールバック)ツールも用意されているようで。

<関連記事>
「MSが未解決の脆弱性問題で「Fix It」を提供」~ITmedia

「Windowsの「ゼロデイ脆弱性」に回避策、ただし“副作用”に注意」 ~日経ITpro

| | コメント (0) | トラックバック (0)

2010年7月22日 (木)

「情報セキュリティ人財サミット2010」開催

「情報セキュリティ人財サミット2010」の開催が発表され、申し込みが始まりました。

ちなみに、私も講演で登壇し、パネルディスカッションでも、もう一度登壇します。

●「情報セキュリティ人財サミット2010」 開催概要
開催日:2010年8月18日(水) 10:00-17:00(受付開始:9:30)
主催:情報セキュリティ大学院大学(IISEC) 
協力:情報セキュリティ教育事業者連絡会(ISEPA)
後援:
神奈川県情報サービス産業協会(予定)、日本セキュリティ・マネジメント学会(予定)、
NPO 日本ネットワークセキュリティ協会(予定)、NPO 情報セキュリティフォーラム
開催場所:情報セキュリティ大学院大学(横浜駅きた西口1分)  303/304教室

募集人員:80名(先着順)
受講料:無 料
懇親会:参加希望者による会費制懇親会です。会場準備の都合上、事前申込にご協力ください。
 会費2,000円/一人(申込み順の40名限定で、参加者より当日徴収いたします)

申し込みフォーム

※この「情報セキュリティ人財サミット」は、以下の資格の継続教育ポイント対象(5ポイント)となります。(予定)
   ISACA、(ISC)2、JASA、SAAJ (アルファベット順)

| | コメント (0) | トラックバック (0)

2010年7月21日 (水)

情報セキュリティ人材における格差の問題

現在の情報セキュリティ人材における格差の問題は、主に3つあると考えております。
そのうちの1つが男女の格差です。

北野さんのブログ(下記、参考記事)にも「情報セキュリティ業界は、IT業界全体の平均値よりも女性の比率が低いように感じでいます」とありますが、先日のこの記事にある懇親会でも女性は1割以下。はっきり言って、人数的に異常な分布です。
(この懇親会でも言ったのですが)通常はどこにいっても女性用のトイレが混雑するものなのに、情報セキュリティ業界の懇親会場では男性用のトイレばかりが長い行列。

ちなみに、格差の問題の残りの2つは、年齢層の格差(若年層の薄さ)、首都圏と地方の人数の格差です。
※ このあたりの問題については、また後日(たぶん)・・・

このような格差を解消しないと、健全な業界の構造とはならないでしょう。
何より、後進が育成できませぬ・・・

<参考記事>
「ISLSとフォーラム、懇親会」~Security, time after time

| | コメント (0) | トラックバック (0)

2010年7月20日 (火)

すべてのDNSルート・サーバがDNSSECに対応

COMPUTER WORLDの記事「すべてのDNSルート・サーバがDNSSECに対応」からです。

DNS(ドメイン・ネーム・システム)を支える13台のルート・サーバが、7月15日からDNSのセキュリティ拡張仕様「DNSSEC」に対応したそうです。
なかなか、普及しなかったDNSSECですが、これで普及が加速するのでしょうか。

これによって、インターネット全体の安全性が向上するということになるはずですが、「これはスタートであり、このスタートが意味するところは非常に大きい。だが、インターネットの安全向上に直結するというのは誇大な説明だ。DNSSECが効果を発揮するには、ルート・サーバからISPや企業(のDNS)まで、DNSチェーン全体に実装されなければならない。サイバー犯罪者がDNSSECの仕組みを回避する方法を発見するかどうか以前に、DNSSECのメリットが実現されるまでには、まだ多くのマイルストーンがある」(シマンテック/ケビン・ホーガン氏)ということ。

なるほど、「DNSチェーン全体に実装」がゴールなんですね。
ということで、まだまだ道のりは長いようで・・・

| | コメント (0) | トラックバック (0)

2010年7月16日 (金)

日本CISO協会が発足

日本CISO協会が、今年の9月1日に発足するそうです。

Internet Watchの記事によると、以下のような活動を予定しているようです。

 同協会の目的は、セキュリティ管理者の必要性や意義、最新のセキュリティやコンプライアンスを議論し、情報発信すること。具体的なテーマとしては、(1)ITセキュリティの最新動向、(2)内部統制とISMS/Pマークとの関連、(3)導入・維持・運用などの事例紹介、(4)コンプライアンスに関する法律・ガイドラインの最新情報・対応方法、(5)新しいIT技術(Twitter、iPad、クラウドなど)とそのセキュリティ対応など。経営に直結するような情報を発信(Ustreamでも行う予定)するほか、会員交流、部会の場を提供し、各企業の問題解決・方向決定の場としていく。

CIOやCISO(その補佐も含め)の育成がなかなか進んでいません。
そうした課題の解決につながっていく活動を期待したいですね。

<関連記事>
「情報セキュリティの悩みを共有、 日本CISO協会が発足」~@IT

「日本のセキュリティ責任者を一堂に、日本CISO協会が発足」~Internet Watch

| | コメント (0) | トラックバック (0)

2010年7月15日 (木)

画像スパム、難読化が進む

ITproの記事「工夫を凝らす「画像スパム」、難読化で解析を困難に」からです。

この記事によると、

 迷惑メール対策ソフトの多くは、メールの件名や本文に含まれる単語や文章を解析し、その結果を迷惑メールかどうかの判断材料にする。そこで画像スパムは、宣伝文句などをGIFやJPEGなどの画像ファイルに記載して添付する。画像スパムの多くはHTMLメール。HTMLメールに対応したメールソフトなら、画像がメールの本文中に表示される。

 最近では、添付された画像ファイルを解析する迷惑メール対策ソフトもあるという。このため迷惑メール送信者は、解析を難しくするために、画像を難読化している。難読化の一例は、宣伝文句などを記載した画像ファイルをゆがめること。2009年6月以降、画像の背景を幾何学模様にする手口も確認されている。

とのこと。

難読化の手口は、マルウェアやボットなどでもアンチウイルスシステムやフィルタリング回避の常套手段となりつつあります。
スパムでも同様にフィルタリング回避の常套手段となりつつあるようですね。

| | コメント (0) | トラックバック (0)

2010年7月14日 (水)

クラウドのセキュリティ対策、「RAINアプローチ」

COMPUTER WORLDの記事「6人の専門家が指南する「SaaS/クラウドのセキュリティ対策」」からです。

この記事では、6人の専門家がSaaS/クラウドのセキュリティ対策について指南していますが、個人的に特に興味をもったものがあります。
クラウドのセキュリティ対策の計画/分析アプローチとして「RAINアプローチ」というのが紹介されています。
「RAIN」とは、「Requirement(要件)」「Analysis(分析)」「Interface(インタフェース)」「eNsure(検証確認)」のことで、それぞれ詳細は以下の通りです。

Requirement(要件)
 ビジネス要件を理解し、技術的要件、非技術的要件、規制要件、セキュリティ要件を導き出す。

Analysis(分析)
 要件から、どのようなタスクやサービスをアウトソーシングしたいか、あるいはアウトソーシングできるかを分析し、どの組織がどのタスクに責任を持つかを定義して、混乱や衝突を未然に軽減する。さらに、特にクラウドの接続、マルチテナント性、ローカル・データに関するプライバシー規制(プロバイダーに対する)、ビジネス・コンティニュイティについてリスク分析を行う。

Interface(インタフェース)
 システム・インタフェースとヒューマン・インタフェースを明確に定義する。例えば、「サービスやトラブルについて誰がどのようにプロバイダーに連絡するか」、「どのようなAPI(Application Programming Interface)やWebページを使って、どのような処理結果をどのように表示するか」などを定義する。インタフェース/接点が多いほど、障害やトラブルのリスクが高まる。

eNsure(検証確認)
 サービスが契約に従って実行されることを検証しする。プロバイダーから送られてきた結果を検査し、それらのフォーマットが正しく、内容が期待どおりであることを確認すする。そして、テスト・サービスの監査やチェックを行い、プロバイダーと予行演習を行う。

とても分かりやすく、かつ効果的なアプローチだと思います。
このアプローチをもとに、具体的な手順やリストを作ってみたい。(作って欲しい)

| | コメント (0) | トラックバック (0)

2010年7月13日 (火)

米国サイバー軍の紋章の暗号を解読せよ!

WIRED VISIONの記事「「米国サイバー軍の紋章」に隠された暗号」からです。

米サイバー司令部(Cyber Command)の紋章に、「9ec4c12949a4f31474f299058ce2b22a」というコードが刻まれているそうです。
このコードは「これは意味のない数字の羅列ではなく、解読することができる」というものだそうです。

さらに「デザイン段階ではいくつかの異なる提案が出たが、最終的には、どの部隊にとっても必要なものが選ばれた―つまり、組織のミッションだ」とあり、これがこの暗号解読のヒントになるようです。

さて、解けるかな。
暗号解読には、数学と語学(この場合は、おそらく英語)の知識が必要。
どちらの知識も貧弱な私には、かなり難しい・・・

| | コメント (0) | トラックバック (0)

2010年7月12日 (月)

国内企業のIT投資、2010年も減少

COMPUTERWORLDの記事「国内企業のIT投資、2010年も減少が続く―ただし減少幅は縮小へ」からです。

この記事はIDC Japanの調査結果によるものです。

 発表によると、2009年度のIT投資実績が前年比で「減少した」と回答した企業は全体の26.2%で、「増加した」とした企業の12.0%を上回った。なかでも、多くの企業がシステムの新規構築/購入に関する投資額を減少させたと回答したという。

 一方、2010年度のIT予算(計画)を2009年度よりも「増加させる」と回答した企業は全体の15.0%で、2009年度よりも比率が3ポイント上昇している。このことから、IDCでは2010年度のIT投資減少幅は2009年度よりも小さくなり、「国内企業のIT投資が回復に向かう兆しがあるとみている」としている。

 IDCによると、今後IT投資が拡大される領域として多くの企業が挙げたのが「業務プロセス改善のための投資(業務システムの導入、人材育成、災害対策、コンプライアンス強化など)」であり、これらの分野における投資が2010年以降、回復を牽引していくだろうと述べている。

様々な調査データで明らかにされていますが、日本の企業のIT投資マインドは先進国の中でも低いポジションにあります。
今後、国際的な競争はさらに激化します。クラウド・コンピューティングの普及で、それはさらに加速するでしょう。
そんな環境変化の中で、このような実態。日本企業というより、日本は大丈夫なんだろうか、と不安が深まります・・・

ただし、減少幅は縮小、増加と回答する企業も増え始めたということで、明るい兆しがあるようですね。

<参照URL>
「IT投資動向に関する国内CIO調査結果を発表」~IDC Japan

| | コメント (0) | トラックバック (0)

2010年7月 9日 (金)

マルウェアの大部分は「使い回し」

ITmediaの記事「増え続けるマルウェア、大部分は「使い回し」」からです。

この記事によると「マルウェアの流通量が増加の一途をたどっている」とのこと。
しかし、新種が続々作られ、ネットの中にばら撒かれているということでもないらしい。
いわゆる亜種・変種が続々作られ、ばら撒かれているってことなんですね。

この記事には「これは既存のマルウェアが現在でも通用するため、新しいものをわざわざ作る必要がないからだ」というコメントも。
つまり、これが最大の原因なんですよね・・・

| | コメント (0) | トラックバック (0)

2010年7月 8日 (木)

セキュリティルールの浸透させるには

日経ITproの記事「中国文化に合ったセキュリティ教育を考える」からです。

中国の文化・慣習からセキュリティを考えることができて、なかなか興味深い記事です。

文化が違えば、慣行も違い、教育も違う。その通りですね。
異文化を理解すること、これは重要なコミュニケーションスキルです。
外国語をマスターできても、異文化を理解し尊重できないのでは、異国でのコミュニケーションはできないでしょう。
(国内でも、異業種をはじめとする他の組織とのコミュニケーションもできないでしょうが)

そして、「セキュリティルールの浸透は「ルールの明示」と「監視の目」とあります。
つまり、ルールを浸透させるには・・・
まずは、役割と責任を明確にすること、その上でルールの明示(判断の基準とそれに基づく行動の規範を示す)、継続的なモニタリング、ということですね。

| | コメント (0) | トラックバック (0)

2010年7月 7日 (水)

NRIセキュア「サイバーセキュリティ 傾向分析レポート2010」公開

NRIセキュアテクノロジー社のサイバーセキュリティ 傾向分析レポート2010」が公開されました。

実際の診断業務などの生きたデータからの分析なので、毎年参考になります。

さて、レポートの概要を読むと、

重大な欠陥を持つWebサイトが前年度とほぼ同程度の36%存在していることや、新たに現れた脅威、Web感染型マルウェアへの対策が不十分なシステムが31%存在することが判明しました。Webサイトへの攻撃を防ぐためには、従来の方策だけでは不十分であり、組織内部からの脅威への対策を含め、総合的なセキュリティ対策が必要なことが分りました。

とのこと。

2009年度の後半は、Gumblarなどの複合型攻撃による被害の報告が多かった時期ですので、やはりこういう結果になりますね。
そこで、総合的かつ多層のセキュリティ対策が、ますます必要になってきたという結論になるですね。

| | コメント (0) | トラックバック (0)

2010年7月 6日 (火)

SNS禁止の企業が減少、だが・・・

ITmediaの記事「SNS禁止の企業が減少、だが対策は普及せず」からです。

この記事は「職場でSNSを全面禁止する企業が減ったものの、セキュリティ対策のためのポリシー導入は進んでいない」というもの。さらにSNSの普及がもたらす影響は否定できず、SNSへの参加が企業にとってメリットとなることも多い。しかしITセキュリティとの間でバランスを取る必要はあり、そのバランスはポリシー、テクノロジー、従業員教育によって取ることができる」とあります。

つまり、結局は禁止もいつまでもできないものもある、ということです。
禁止、禁止のルールばかりだと、いつしかこういう課題が必ず出てきて、解決しなければならなくなるということ。
いわゆる「寝た子はいつ起こす」の問題です。
この問題は、若年層への禁止をいつ説くか、という場合に使われることが多いのですが、それだけではないということです。

「寝た子はいつ起こす」のか、そして起きたらどうするのか、ルールで規制するだけでなく、それを考えておかなければなりません。

| | コメント (0) | トラックバック (0)

2010年7月 5日 (月)

“うっかりミス”でも、処罰の対象に?

ITmediaの記事「情報管理の“うっかりミス”でも大半の企業が処罰の対象に」からです。

この記事によると、“うっかりミス”、つまり過失でも「7割以上の企業が処分対象にしていた」とのこと。
その効果については、どうやら調査していないようで結果は出ていませんが、あまり効果は出ていないんじゃないかと思います。
過失の抑止や再発防止が、処罰だけでできるものではないからです

処分をする、ということで管理している、という納得感を得ているだけだったり、他の方法が発想できない(発想する気もない)ということだったりはしないんでしょうか。

と、この記事を読んでそんなことが気にかかりました。

| | コメント (0) | トラックバック (0)

2010年7月 2日 (金)

「2009年情報セキュリティインシデントに関する調査報告書」公開

JNSAのHPで「2009年 情報セキュリティインシデントに関する調査報告書 Ver.1.0」が公開されました。

情報漏洩の原因としては「管理ミス」が飛躍的に増えていますね。(50.9%)
相変わらず「誤操作」も多いのですが。

情報漏洩の経路としては、「紙(書類)」が飛躍的に増えていますね。(72.6%)
フラッシュメモリーなどの記録媒体に注意は払っていますが、書類の扱いがおろそかになっているようです。

<参考記事・このブログ>
「【速報版】2009年上半期 情報セキュリティインシデントに関する調査報告書、公開」

| | コメント (2) | トラックバック (0)

2010年7月 1日 (木)

ブラックマーケットでの商売も大変だ・・・

日経ITproの記事「「闇市場」サイトの会員情報が大量に流出、商売敵の犯行か」からです。

この記事によると、

盗んだクレジットカード情報などを売買するWebサイト(闇市場)の会員情報が流出していることを明らかにした。同サイトの評判を下げるために、競合相手が盗んで流出させている可能性があるという。

とのこと。

どこの世界でも商売は厳しいんですね。 。
「闇市場(ブラックマーケット)」でも、もちろん経済原理は働いているわけで、商売相手とは競争をしなければならないのですね。
その競争で、商売相手を攻撃する、ということ。
「闇市場(ブラックマーケット)」だけに、ルール無用の仁義なき闘いになっているということか・・・

| | コメント (2) | トラックバック (0)

« 2010年6月 | トップページ | 2010年8月 »