« 2010年8月 | トップページ | 2010年10月 »

2010年9月の記事

2010年9月30日 (木)

情報セキュリティの支出は微増も、“模様眺め”ムードが多数

ITmediaの記事「情報セキュリティの支出は微増、“付け焼刃”的な対応が課題に」からです。

この記事は、日本企業が対象の情報セキュリティに関する調査の結果ですね。

この記事によると、

 2010年度の情報セキュリティ支出に関する増減傾向について、情報セキュリティ支出が2009年度に比べて「増加する」と見込んでいる企業は、「20%以上の増加(3.8%)」「20%未満の増加(12.4%)」を合わせて約16%だった。一方、「減少する」とした企業は、「20%以上の減少(4.8%)」「20%未満の減少(3.8%)」であり、増加すると見込む企業が減少を上回る結果となった。全体としてはやや増加すると考えられる。
 しかし、回答者全体の約4分の3(75.3%)が「横ばい」と回答しているように、模様眺めといったスタンスに立っている企業も依然として少なくないようである。

ということで、模様眺めという企業が多いようです。「支出の妥当性評価は不十分」というデータも出ていますし、投資マインドも低ければ、その効果測定もしていない、という結果になっています。
日本国内だけしか見ていない「横並び意識」が、未だに多いようですね。
私も未だに「他はどうなんですか?」と、よく聞かれますし。
(あとは、法などの規制による「やらされ意識」のセキュリティも)

こんなことで、日本の企業は生き残れるんでしょうかね。
競争相手は国内だけではなく、海外にもいるわけですし・・・
模様眺めではなく、今こそ積極的に戦略的投資が必要だと思います。

| | コメント (0) | トラックバック (0)

2010年9月29日 (水)

サイバーストーキングの被害

Computerworldの記事「英国の公認団体、サイバーストーキングの被害実態調査に本腰」からです。

ここ2週間ほど、サイバー犯罪や不正の話をする機会が多く、その中でも「サイバーなストーカー行為がある」と話したばかりでした。
サイバーストーキングは、インスタント・メッセージング・サービス、テキスト・メッセージもしくは電子メールなどによりハラスメント行為(ときまとい、いやがらせ)をするものです。この記事によると「2004年に始まった「British Crime Survey」によれば、英国では毎年、女性約100万人と男性約90万人が何らかの迷惑行為やストーキングの被害にあっている」ということらしい。

さらに、この記事では、

 オンライン上では加害者が身元を偽って被害者に近づくのが簡単なため、この手の形態のストーキングおよびハラスメントは被害者に大きなストレスを与えると考えられる。

 「(ネット上の)ストーカーは高い技術スキルを持っている場合が多く、(中略)彼らから逃れるのは非常に難しい」

とあります。

インターネット上では、詐欺なども行為もその実行が簡単になっていますが、この手の行為ももちろん同様ということです。
個人のインターネット利用、特にソーシャルネットワークサービスの利用が増えると、サイバーストーキングもさらなる脅威となることでしょうね。

| | コメント (0) | トラックバック (0)

2010年9月28日 (火)

「情報セキュリティと行動科学ワークショップ」開催

IPAのHPで「第2回 情報セキュリティと行動科学ワークショップ」開催の告知、申し込みが始まっています。

RSAカンファレンスでも聴講したのですが、「情報セキュリティと行動科学」、実に興味深いテーマです。
スケジュールが合うのか、そして同時通訳がつかないのについていけるのか、それが問題か・・・

第2回 情報セキュリティと行動科学ワークショップ開催のお知らせ

開催日時: 2010年10月15日(金) 10:00より
会場: 日本大学 理工学部 駿河台キャンパス 1号館 121号室(200名定員)
対象: 情報セキュリティの学際領域(経済、心理学、経営、政策)等に携わる、実務者、研究者
費用: 無料

●プログラム
10:00~15:00 電子情報通信学会 SITE研究会(併催) 
15:00~16:00 IPA 招待講演 「Frauds, Framing, and Behavioral Biases in Information Security」
カーネギーメロン大学 ニコラス・クリスティン教授
(同時通訳は付きません) 
16:00~16:30 防護動機理論に基づく情報セキュリティリスク解明モデルの高等教育への試適用
奈良先端科学技術大学院大学 情報科学研究科 猪俣 敦夫准教授 
16:30~17:00 「eIDに関するセキュリティとプライバシのリスクの認知と受容の調査報告」(仮称)
IPA 情報セキュリティ分析ラボラトリー 
17:10~18:10 「IPA 情報セキュリティと行動科学研究会 作業部会」活動報告

| | コメント (0) | トラックバック (0)

2010年9月27日 (月)

ITエンジニアが現場で育つためには

日経ITproの記事「ITエンジニアが育つには“ゆとり”が必要」からです。

この記事でいう“ゆとり”とは、時間的なものですね。
確かにそれもありますが、それだけでもないと思っています。

この記事にもありますが、マネジャーやリーダーのフォローがないこと、つまり世話をせず放置、できなければ叱責、など、育成になっていないものが多いですね。記事にも以下のような文があります。

こうしたフォローしないマネジャーやリーダーは、メンバーから「仕事が進んでいない」という報告を受けると、「なぜできない」とメンバーを責めるだけだったり、「とにかく頑張れ」などと具体的な方針を示さずに突き放したりすることが多いという。「こうしたプロジェクトに携わるメンバーが育つことはない。最悪の場合、メンバーが次々と辞めていき、現場でのやりくりが厳しくなる」

知識と技術だけ学ばせて、「OJT」と称してそのまま現場へ投入、そしてほったらかし・・・、人が育つはずありません。
ほったらかしの常套句として、よく「習うより慣れろ」「他人から盗め」と言いますが、具体的にその方法も教えず、フィードバックもしなければ、それは「OJT」ではないんですよね。

| | コメント (0) | トラックバック (0)

2010年9月24日 (金)

マジコン用パッチを装う情報流出プログラム

ITmediaの誇示「「ポケモン」マジコン用パッチを装う情報流出プログラムが出回る」からです。

「マジコン」とは、ニンテンドーDSソフトを不正コピーしたデータを利用できる機器(代表的なマジコンは「R4 Revolution」)ですが、そのパッチを装った不正プログラムが出回っているようです。こうしたものも狙われるんですね。

情報流出の被害者は、違法にアップロードされたソフトのデータの使用者であることから、「ざまあみろ」といった声も多いようですが・・・

<関連記事>
「マジコン」販売禁止命じる 東京地裁、任天堂の訴え認める判決

| | コメント (0) | トラックバック (0)

2010年9月22日 (水)

デジタルエビデンスの取扱い

昨日(9/21)、郵便不正事件における捜査の過程で、証拠(FD)の改ざんがあったことが明らかに、担当の検事が逮捕されました。
さて、証拠の扱いや検証は、適切かつ十分に行われていたのでしょうか。

ちなみに、IOCE (International Organization of Digital Evidence)では、以下のようなルールが挙げられています。

●IOCE デジタルエビデンスの6つのルール

1.電子的証拠を扱うときには、一般的な法科学犯罪捜査における原則と手順の原則のすべてを適用しなければならない
2.電子的証拠を取得する際にとる行為によって、その証拠が変化してはいけない
3.ある人物がオリジナルの電子的証拠にアクセスする必要があるときには、その人物はそのための訓練を受ける必要がある
4.電子的証拠の押収、アクセス、保存、転送に関するすべての活動は、文書化と保存が十分に行われ、検収に利用できなければならない
5.個人が電子的証拠を所有している間に、その証拠に関してとられたすべての行為については、その個人が責任を負う
6.電子的証拠の押収、アクセス、保存、転送を担当するあらゆる政府機関は、これらの原則を遵守する責任がある

今回の事件では、特に4.が(故意か過失かに関わらず)問題になる項目ですね。

<関連ニュース・時事ドットコム>
「前代未聞、根幹揺るがす」=検察に徹底調査求める-村木元局長弁護人

特捜部検事、捜査資料改ざんか=押収FDデータ-最高検、証拠隠滅で捜査・郵便不正

主任検事を逮捕=郵便不正事件データ改ざん-証拠隠滅容疑・最高検

<関連ニュース・YOMIURI ONLINE>
事件の構図破綻、解消狙う?…検事のデータ改ざん

<関連ニュース・asahi.com>
証拠書き換え「想定外」 改ざん疑惑、法曹関係者に驚き

<関連URL>
Scientific Working Group on Digital Evidence

| | コメント (0) | トラックバック (0)

2010年9月21日 (火)

解雇者によるサイバー犯罪が増加

日経ITproの記事「解雇者によるサイバー犯罪が増加、ベライゾンが2009年のデータ侵害事件を分析」からです。

これはベライゾン社の「2010年データ漏洩/侵害調査報告書」からのもの。
このレポートによると

2009年に発生したデータ侵害事件のうち、外部の第三者による犯行は62%、自社の従業員による内部犯行は46%、パートナー企業経由のデータ漏えいが10%を占めた。2009年は、前年調査では17%だった内部犯行の件数が大幅に増加した。

<中略>

内部犯行の実行者のうち、50%は30日以内に退職していた。つまり、内部犯行の半数は、解雇された従業員による犯行であり、解雇者が犯行におよんだ事例の多くで、解雇者の社内ネットワークへのアクセスが退職後即シャットダウンされていなかった。

退職者にはアクセスをさせない、権限は即時抹消、を徹底すべき、ということですね。

また、

外部の犯罪組織や犯罪者による社内システムへの不正アクセスの手法として最も多かったのは、盗んだ認証情報を使った手口だった。特に、VPNなどのリモートアクセスの仕組みを悪用した不正アクセスが増加している。認証情報の盗難手口は、キーロガーやSQLインジェクションなどが多く、IDとパスワードのセットは闇市場で高値で取引されているという。

ともあります。

認証情報の管理も徹底すべき、ということですね。

ある程度、予想できていた結果ではあるものの、データで見ると改めてアクセスコントロールの重要性と管理の不備が明らかになった記事でした。

| | コメント (0) | トラックバック (0)

2010年9月17日 (金)

「暗号検定」はじまる

「暗号検定」なるものが始まっています。

●検定試験の内容
試験形式:
4つの暗号(最初の暗号1が最も難易度が高く、暗号2~4の順に暗号の難易度が下がっていきます)及びその暗号を解く鍵が、次の日程で順次公開されます。
4つの暗号に隠された「言葉」は全て共通です。暗号を解読して、1つの「言葉」と、その根拠(その「言葉」を解読するに至った方法・理由)について120字以内で答えてください。

•9月16日(木)12時  ・・・暗号1(難易度:特A)とそれを解く鍵を公開
•9月21日(火)12時  ・・・暗号2(難易度:A)を公開
•9月22日(水)12時  ・・・暗号3(難易度:B)とそれを解く鍵を公開
•9月24日(金)12時  ・・・暗号4(難易度:C)とそれを解く鍵を公開

4つの暗号に隠された「言葉」(正解)は1つです。したがって、暗号1~4の全てを見た上で解答する必要は全くありません。暗号に隠された「言葉」を解読できた時点で、ウェブ上の解答ページよりできるだけ早く解答してください。正解及びその根拠を正しく解答した受検者の順に、上位者として合格等級の認定をします。したがって、理論的には最後の試験日の9月27日(月)に解答した場合であっても、それまでに正解者が少なければ上位級が認定される可能性があります。 

合否判定基準:
暗号の解読能力としては、「時間的により早く解ける」ことが能力として高いと判定します。そこで、先に正解とその根拠を正しく解答した者順に上位の級を次の通り認定します。

•特級・・・正解者上位1名
•1級・・・正解者上位2名~10名まで
•2級・・・正解者上位11名~100名まで

受検手数料:無料

「さて、挑戦してみるか」ということで、問題を見てみる。
暗号1(難易度:特A)は、「三呂四千七呂六千二耳六千十以」とな。
「呂」「耳」「以」・・・

さっぱり、わからない・・・

| | コメント (0) | トラックバック (0)

2010年9月16日 (木)

「IPv6 Summit 2010」

「IPv6 Summit 2010」の開催が告知され、参加申し込みが始まっています。

■□ 開催概要 □■
1.名 称:IPv6 Summit 2010
2.テーマ:IPv6の現在と未来
3.開催日時:2010年10月8日(金) 10:00~17:30(受付開始:9:30)
4.参加費:無料
5.主 催:財団法人インターネット協会 (IAjapan)
            IPv4アドレス枯渇対応タスクフォース
6.運 営:株式会社イーサイド
7.定 員:500人
8.会 場:慶應義塾 日吉キャンパス協生館
            藤原洋記念ホール

■□ プログラム(予定) □■

10:00-11:00  「IPv6/IPv4変換技術の現状」
11:00-12:00  「IPv4アドレス共有技術詳細」
12:00-13:30  休憩
13:30-13:45  開会挨拶
13:45-15:20 「IPv6時代に向けての現状」
15:20-15:30  休憩
15:30-17:20  パネルディスカッション
   「本格的IPv6利用時代に向けて」~IPv6時代のセキュリティ~
17:20-17:30  閉会挨拶

ちなみに、私は「IPv6 Summit 2009」には参加しました。
さて、今年は参加できるのか。
まず、日程が「情報セキュリティワークショップ in 越後湯沢」と重なっています。
どちらに参加するのか、参加できるのか。(どっちにもできなかったりして)

「IPv6時代に向けての現状」「IPv6時代のセキュリティ」あたり、特に気になりますね。

| | コメント (0) | トラックバック (0)

2010年9月15日 (水)

「ウイルス作成罪」成立?

ITmediaの記事「ウイルス作成罪」成立に向けて 共謀罪創設との兼ね合い、法務省は慎重」からです。

正式な名称は「不正指令電磁的記録作成等の罪(仮称)」とされています。
ウイルス作成罪では、コンピューターウイルスの作成や提供、供用に対し、3年以下の懲役もしくは50万円以下の罰金を科すことにしている。取得と保管には2年以下の懲役もしくは30万円以下の罰金といった罰則も定める予定だそうです。

過去に2回廃案になっている「ウイルス作成罪」ですが、今度こそ法案化されるのでしょうか。
この記事にあるような共謀罪創設との兼ね合い(共謀罪の創設を目指す組織犯罪処罰法改正案とセットで提出されているため)で、かなり慎重になっているようです。共謀罪とは切り離しができるかどうかが、「ウイルス作成罪」成立のかぎのようですね。

日本におけるサイバー犯罪関連法整備のためには、早期で成立してほしいものですが・・・

<参考記事・このブログ>
「ウイルス作成罪」創設へ

| | コメント (0) | トラックバック (0)

2010年9月14日 (火)

ネットでのぼったくられ経験17%

Computerworldの記事「Webユーザーの17%がネット上で「ぼられた」経験あり」からです。

年齢的にも特徴があるようで、「55歳から64歳までの英国人は、それ以下の年齢のユーザーより被害を受ける割合が低く、Web上で「ぼったくり」に遭ったと答えたのはわずかに12%だったと述べている。一方、18歳から24歳までの年齢層では、20%がそうしたトラブルに巻き込まれているという」と記事にあります。「人生経験が豊富なほうがだまされない」という結果に見えますが、そうとも結論付けられない気がします。

それから、この数字が多いのかどうかは、ネットではなくリアルな世界でのぼったくりにあった経験と比較しないと、実感がないですね。

またこの記事では「Webユーザーの3人に1人は、オンライン上で出会った人物をGoogleなどの検索エンジンや「Facebook」をはじめとするソーシャル・ネットワークを使って調べたことがあるという」とあります。
ネットで信用調査をしているのか、それとも興味本位で検索しているのか・・・
とにかく、悪いことはできませんね。

| | コメント (0) | トラックバック (0)

2010年9月13日 (月)

真のプロフェッショナル、10の心得

CNET JAPANの記事「真のプロフェッショナルとは--胸に刻むべき10の心得」からです。

個人的には、とても素晴らしい記事で、共感できることばかりです。
プロフェッショナルを目指される方は、ぜひ繰り返し読んでいただきたいと思います。

この記事では、真のプロフェッショナルの心得として、以下の10の項目が挙げられています。

#1:顧客の満足を第一に考える
 顧客のニーズを洗い出し、満足させてこそプロフェッショナルである。

#2:誰にも負けない専門知識を身に付けるようにする
 必要な専門知識を有していてこそプロフェッショナルである。

#3:期待以上の働きをする
 可能な限り期待に添う、あるいは期待を上回るような働きをしてこそプロフェッショナルである。

#4:口にしたことは実行し、できることのみを口にする
 言ったことを守ってこそプロフェッショナルである。

#5:効果的なコミュニケーションを行う
 明快かつ簡潔、そして漏れのない正確なコミュニケーションを行ってこそプロフェッショナルである。

#6:優れた指針に従う
 高い価値観と理念を実践してこそプロフェッショナルである。

#7:自身ではなく同僚を称賛する
 謙虚な心を持ち、他者への称賛を惜しまないようにしてこそプロフェッショナルである。

#8:知識を共有する
 同僚に手を差し伸べることで尊敬されてこそプロフェッショナルである。

#9:感謝の意を表す
 感謝の意を、相手に最も恩恵をもたらす有意義なかたちで表してこそプロフェッショナルである。

#10:笑顔を絶やさず、常に前向きな態度で臨む
 困難な時でも愛想良く振る舞ってこそプロフェッショナルである。

最後にこの記事では、以下のように結ばれています。

 あなたは、本記事で挙げていることをいくつ実践できているだろうか?いくつかの項目でもっと努力が必要だという場合でも、落ち込む必要はない。ただ、プロフェッショナルらしくない行動は、あなたやあなたの会社の印象を悪くするおそれがあるということは覚えておいてもらいたい。いったん悪い印象を与えてしまうと、なかなか払拭できないものである。自らの至らない点を自覚し、プロフェッショナルとしての印象を向上させるための取り組みを今日から始めるようにしてもらいたい。

知識や技術だけ磨いても、スキルは向上しないし、キャリアも切り開かれない。
この記事に書かれているような取り組みが必要です。
まず、心がけ、実践できるように努力を続けること。それが、習慣となり、成果としてあらわれたら、そのときは「真のプロフェッショナル」として認められるはずだから。

| | コメント (0) | トラックバック (0)

2010年9月11日 (土)

「地方公共団体における情報セキュリティポリシーに関するガイドライン(案)」等、公開

総務省のHP「地方公共団体における情報セキュリティポリシーに関するガイドライン(案)」「地方公共団体における情報セキュリティ監査に関するガイドライン(案)」が公開され、意見募集がされています。(10月8日(金)まで)

どちらも、100ページを超えるボリューム。
読むだけも、大変そうです。
(ということは、地方公共団体で使いこなすのも大変そう、ということ)

| | コメント (0) | トラックバック (0)

2010年9月10日 (金)

2011年1月にJPドメイン名サービスへのDNSSEC導入

INTERNET Watchの記事「JPドメイン名サービスへのDNSSEC導入、2011年1月16日に決定」からです。

2011年1月16日に、JPドメイン名サービスへのDNSSECが導入されることが決まったようです。

DNSSECは、今年7月15日にDNSのルート・サーバー13台に既に導入されています。(参照:下記、参考記事)
しかし、「DNSSECが効果を発揮するには、ルート・サーバからISPや企業(のDNS)まで、DNSチェーン全体に実装されなければならない」」(シマンテック/ケビン・ホーガン氏)、ということで、今回はそれを受けてのDNSSECの導入ということですね。
このあとは、ISPや企業のDNSサーバーへの導入が進められなければならないわけです。

2011年は、DNSSEC導入ラッシュの年になりそうですね。

<参考記事・このブログ>
「すべてのDNSルート・サーバがDNSSECに対応」

| | コメント (0) | トラックバック (0)

2010年9月 9日 (木)

「コンプライアンス」の概念

「コンプライアンス」とは「法令遵守」とよく訳されてきました。(今だに、そう訳されていることもありますが)
しかし、そのような理解では、組織も個人も様々な事柄に対応できなくなっています。
私は「組織内外からの様々な要求や要件に対応すること」と説明してきましたが、「それでもまだ不十分だなぁ」と感じていました。

「情報セキュリティ人財サミット2010」の情報セキュリティ大学院大学の林先生の講演「係長セキュリティと社長セキュリティ」では、以下のように説明されています。

Complianceの誤解(P.13)

 わが国では:「法令遵守」
 ISMSを取得するPマークを取得する
 列車の遅延は取り戻す
 欧米(特に米)では:「環境条件へのしなやかな対応」

この説明で、個人的にはかなりすっきりしました。
「環境条件へのしなやかな対応」、つまり経営環境やIT環境など、変化する様々な環境における条件に柔軟性をもって対応することだということです。

定義や概念は1つではないので、まずは様々な定義や概念があり、それも変化していることを理解しなければなりません。
杓子定規に考えないことが大事ですね。
それから、組織だけでなく個人もコンプライアンス(「環境条件へのしなやかな対応」)が必要ですね。

| | コメント (2) | トラックバック (0)

2010年9月 8日 (水)

「クラウド構築のためのソフトウエアカタログ(案)」公開

IPAのHPで「クラウド構築のためのソフトウエアカタログ(案)」が公開され、意見募集が行われています。

意見募集は、9/17(金)まで。(短い・・・)

紹介されているソフトウエアは、以下の通り。
オープンソースソフトウエア (OSS)が中心ですが、商用ソフトウエアにも触れています。

●仮想化機構に関するソフトウェア
1) Oracle VM VirtualBox
2) KVM
3) Xen
4) Citrix XenServer

●システム監視・管理システムに関するソフトウェア
・物理サーバ、仮想サーバ、ネットワーク機器、アプリケーションなどに対する汎用的な管理・監視ソフトウェア
1) Groundwork Monitor
2) ZABBIX
3) Hinemos
4) Nagios
5) Xymon

・特定の仮想化機構に対する管理・監視ソフトウェア
1) virt-manager
2) oVirt

・クラウドの運用・管理ソフトウェア
1) Eucalyptus
2) Proxmox Virtual Environment
3) ConVirt
4) OpenNebula
5) Nimbus

・シングルサインオンソフト
1) OpenSSO
2) Shibboleth
3) Higgins
4) SimpleSAMLphp

・ディレクトリサービスソフトウェア
1) OpenDS
2) OpenLDAP

●分散処理基盤、分散ファイルシステム・DBに関するソフトウェア
・分散処理基盤
1) Hadoop
2) SkyNet

・分散ファイルシステム
1) Hadoop
2) Gfarm

・分散DB
1) CouchDB
2) HBase
3) Hypertable
4) Voldemort
5) Cassandra

分厚くて(351P)、読むのが大変だ・・・

<参考URL・IPA>
「クラウド構築のためのソフトウエアカタログ(案)」に対する意見(パブリック・コメント)の募集について

「クラウド構築のためのソフトウエアカタログ(案)」

| | コメント (0) | トラックバック (1)

2010年9月 7日 (火)

「情報セキュリティ人財サミット2010」講演資料公開

去る8月18日(水)に開催された「情報セキュリティ人財サミット2010」の講演資料が公開されました。
ぜひ、ご覧ください。

当日の模様は、TwitterのTL(#iisec_summit)でも確認できます。

それから、このブログでもいくつかのトピックスを取り上げてみようと思います。(なるはや、で・・・)

<参考記事・このブログ>
「情報セキュリティ人財サミット2010」開催

| | コメント (0) | トラックバック (1)

2010年9月 6日 (月)

CISOの役割とは?

以前にも、ここで書いた「日本CISO協会」が、活動を始めたようです。(参考記事をご参照ください)

HPには、活動の目的がこのように書かれています。

●目的
企業のセキュリティ責任者、および管理者が集い、最新のIT情報、ITセキュリティ、 ITガバナンス、コンプライアンス、RM(リスクマネジメント)、事業継続等企業経営に直結する情報の発信、 また会員同士の情報交換の場を提供する。
各企業の問題解決、方向決定の場としていく。

●活動のテーマ
・ITセキュリティの最新動向
・IT内部統制とISMS、Pマークとの関連
・導入・維持・運用等の事例紹介
・ISMS、プライバシーマーク、PCIDSS 等の導入、維持、管理
・ISO27001、PCIDSS 等の規格の最新版情報提供・対応方法
・IT コンプライアンスー法律、ガイドラインの最新情報・対応方法
・管理者・推進担当者向けセキュリティの考え方
・新しいIT 技術(ツイッター、iPad、クラウド等)とそのセキュリティ対応
・企業活動とISMS、プライバシーマーク等の意義と有効性
・各種新しい法律・ガイドラインの情報提供
・海外動向

とりあえず、「ガバナンス」言葉はあるものの、「マネジメント」に偏っているように見えます。(ISMS、プライバシーマークという言葉が目立つ)
これも以前にここでも書いたのですが、CIO/CSO/CISOの業務は「マネジメント」ではなく、「ガバナンス」なんですけどね。(参考記事をご参照ください)

ちなみにCOBITだと、こんなことが書いてありますね。

● 情報セキュリティガバナンスの目標
 企業として、ビジネス目標に合致し、かつ、適用される法律と規則に適合した、情  報セキュリティ戦略に関する保証を提供するためのフレームワークを確立し、維持すること。

● 情報セキュリティガバナンスのタスク
・ビジネス戦略・方向性をサポートする、情報セキュリティ戦略の策定
・企業全体の情報セキュリティに対する、経営上層部のコミットメントとサポート
・情報セキュリティガバナンス活動を含めた各自の役割と責任の明確化
・報告と意思疎通のチャネルの確立
・情報セキュリティに及ぼす影響の評価
・情報セキュリティポリシーの確立、維持
・情報セキュリティの手順とガイドラインの制定の保証
・情報セキュリティプログラム投資のサポート

このあたりが、あるべき姿としてのCSO/CISOの業務かと。
この団体には、こうした方向性での活動を期待したいです。

<参考記事・このブログ>
日本CISO協会が発足

「CSO/CISO」の人材像(1)
「CSO/CISO」の人材像(2)
「CSO/CISO」の人材像(3)
「CSO/CISO」の人材像(4)
「CSO/CISO」の人材像(5)

| | コメント (2) | トラックバック (1)

2010年9月 4日 (土)

「第7回デジタル・フォレンジック・コミュニティ2010 in TOKYO」

「第7回デジタル・フォレンジック・コミュニティ2010 in TOKYO」の開催の告知と申し込みの受付が始まっています。

開催日:2010年12月13日(月)~14日(火)
主  題:「生存・成長戦略を支えるデジタル・フォレンジック」
副  題:「事業リスクを低減する技術基盤」
会  場:「ホテル グランドヒル市ヶ谷」(東京都新宿区市ヶ谷)
参加費:IDF会員 \10,000- / 一般参加 \15,000- / 学生(社会人を除く) \5,000-

参加者特典:「日経SYSTEMS」の1年(12冊)無料購読をお申込頂けます。
ポイント対象:
1 公認不正検査士(CFE)の継続的専門教育(CPE)の対象となります。
2 ITコーディネータの運用ガイドラインに準じ、4時間1ポイント(対象10時間40分)付与します。
3 ISACA認定資格(CISA/CISM/CGEIT)は50分1CPE(対象10時間40分)となります。

あれっ?CISSPはポイント対象として挙げられていないんですね・・・

| | コメント (0) | トラックバック (1)

2010年9月 3日 (金)

平成22年度「中小企業向け指導者育成セミナー」開催

NPO日本ネットワークセキュリティ協会(JNSA)のHPで、平成22年度「中小企業向け指導者育成セミナー」の開催が告知され、申し込みの受付も始まっています。

昨年度は、私もこのセミナーの講師を2会場(東京、富山)で担当しました。
今年度も、おそらく2会場ほど担当すると思います。(どこを担当するかは、現在未定です)

今年度は演習にインシデントレスポンスが入ったりで、今まで以上に実践的になっています。

<セミナー開催概要>
・主催:経済産業省、NPO日本ネットワークセキュリティ協会

・後援 日本商工会議所、全国商工会連合会、NPO法人ITコーディネータ協会、全国中小企業団体中央会、社団法人中小企業診断協会、開催地の商工会議所・商工会連合会・中小企業団体中央会

・開催地・日程:全国25箇所で2010年10月~2011年2月に開催予定

・参加人数:各会場 50~100名程度

・参加対象者:
中小企業の経営者等に対して情報セキュリティを指導する立場にある次のような方々。
ITコーディネータ、中小企業診断士、日商マスター、その他中小企業に対して指導的立場にある方々(各団体指導員、IT関連企業の方等)、団体職員

(商工会議所関係者及び商工会関係者、中小企業団体中央会関係者)等
※前年度・前々年度のセミナー参加者の方にも受講をお勧めします。ITコーディネータの方は本セミナーを受講されると知識ポイント(6.5時間分)が付与されます。

・セミナー内容:
中小企業の現場を意識し、グループディスカッションによる以下の内容で講習を行います。
①リスク発見演習:
→事例ビデオを基にグループディスカッションすることで、そこに潜むリスクの発見を行う基礎スキルを磨きます。
②対策方法と優先順位検討演習:
→リスク発見だけでなく、グループディスカッションによって対策方法や優先順位付け等を行い、指導力の向上を図ります。
③インシデントレスポンス演習:
→過去において実際に発生したインシデントをもとにしてロールプレイ形式で演習を行い、対応時の指導の重要性を理解し指導力発揮に役立てていただきます。

・参加者の特典:
指導用ツール(講習用テキスト、指導者用マニュアル、指導用ビデオ教材等)をお渡しします。
本セミナーを受講された方は、配布する指導用ツールを用いて、中小企業の情報セキュリティ講習会を開催いただくことが出来ます。また実施報告レポートを提出いただくことで謝金をお支払します。
セミナー参加者専用サイトにより、その他の指導用の補足資料等をご提供する予定です。
(詳細はセミナー当日にご案内いたします)

参加費:無料(事前登録制)

| | コメント (0) | トラックバック (1)

2010年9月 2日 (木)

「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」公開

内閣官房IT戦略本部から「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」が公開されています。

このガイドラインの目的・範囲、対象となる手続は、以下の通り。

本ガイドラインは、電子政府システムに対するセキュリティ確保策として「認証方式」の導入を検討するにあたり活用可能な対策基準を提供することを目的としている。本ガイドラインの主な規定範囲は、下記の3点である。

(1) オンライン手続に関わる脅威と、脅威から生じる「リスクの影響度」を導出する手法
(2) 上記の手法により導出されるリスクの影響度を踏まえ、オンライン手続に求められる認証方式の「保証レベル」を導出する手法
(3) 上記の手法により導出される認証方式の各保証レベルにて求められる「対策基準」

以上を活用することによって、オンライン手続における脅威に対するリスクの影響度を踏まえた合理的な認証方式の検討を可能とすることを本ガイドラインの目的とする。

<中略>

本ガイドラインにおいて対象とする手続は、オンライン手続のうち、「オンライン利用拡大行動計画」にて対象とされている国民・企業と政府との間の申請・届出等のオンライン手続の全て(以下、「対象オンライン手続」という)とする。
なお、同計画が対象としていない政府機関内部のイントラネットにおいて内部事務等のために各府省の職員が行う手続、国民と企業間で行われる民間のオンラインサービス等は、本ガイドラインの対象外としている。

このガイドラインが利用されることで、電子政府における電子署名・認証の普及や対策の整備が促進されることを期待したいですね。

| | コメント (0) | トラックバック (1)

2010年9月 1日 (水)

「デジタル複合機の脆弱性に関する調査報告書」公開

IPAセキュリティセンターから「MFP(デジタル複合機)の脆弱性に関する調査報告書」が公開されています。

MFP(デジタル複合機)は多機能化が進み、IPネットワークと接続されることが多くなったため、重要な保護対象の資産となりました。
その脅威と脆弱性、約200件がリストとして、まとめられています。

ちなみに、主な脆弱性としては、以下の6つが挙げられています。

①プリンタ、スキャナ、ファクスなどのユニット間でのデータの盗聴
②ドライバ用プロトコルを経由した侵入
③複数配信を一括して実行する機能
④多数のプロトコルに含まれる脆弱性
⑤遠隔保守インタフェースの悪用
⑥着脱式媒体を利用したMFPの構成変更

なるほど・・・

それから、IPAはこの報告書を通じて「ITセキュリティ評価及び認証制度」(ISO/IEC15408)の利用促進も進めたいようですね。

| | コメント (0) | トラックバック (1)

« 2010年8月 | トップページ | 2010年10月 »