« 2010年10月 | トップページ | 2010年12月 »

2010年11月の記事

2010年11月30日 (火)

ISSスクエア水平ワークショップ『情報セキュリティ人材育成-要請と施策-』開催

来年1月21日(金)に開催される「ISSスクエア水平ワークショップ『情報セキュリティ人材育成-要請と施策-』」で登壇いたします。

この「ISSスクエア水平ワークショップ」は参加者が制限されている場合があるのですが、今回はそれがありません。
ぜひ、ご参加ください。
皆様のお役に立つ話ができるよう、がんばりますので。

第20回 ISSスクエア水平ワークショップ『情報セキュリティ人材育成-要請と施策-』

日時: 2011年 1月21日(金)13:30-18:00  (受付開始:13:10-)
会場: 情報セキュリティ大学院大学 3F 303/304
(横浜市神奈川区鶴屋町2-14-1) 
テーマ: 情報セキュリティ人材育成-要請と施策-
参加対象: 第20回はどなたでも参加できます。
参加費: 無料(会場準備の都合上、事前に参加申込をお願いします)
申し込み方法: こちらよりお申込み下さい。

開催概要:
情報セキュリティの人材は求められていますが、必ずしも十分な人材の供給が行われているとは言い難いといえます。その原因はどこにあるのか、企業・社会からの要請、教育体制、支援体制などについて意見を交換するとともに、今後の人材育成のあり方について検討していきたいと思います。皆様のご参加をお待ちしております。

| | コメント (0) | トラックバック (1)

2010年11月29日 (月)

「IPAクラウドセキュリティシンポジウム」開催

「IPAクラウドセキュリティシンポジウム」の開催が告知され、申し込みが始まっています。

クラウドセキュリティも、一般論だけでなく、そろそろ具体的な議論をしなければならない時期ですね。
このシンポジウムは、そうした議論が期待できそうです。

‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
IPAクラウドセキュリティシンポジウム
~クラウドセキュリティ最前線~
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥

○日時:2010年12月16日(木) 13:30 ~ 16:30

○会場:ベルサール八重洲 Room A・B・C
東京都中央区八重洲1-3-7 八重洲ファースト フィナンシャルビル2F

○参加費用:入場無料
※但し事前登録が必要。

○プログラム概要(敬称略)
- 13:30~13:35
【開催挨拶】 仲田 雄作(IPA理事)

- 13:35~14:15
【招待講演】(同時通訳)
「クラウドセキュリティの最新課題と、世界における取組み状況」
Cloud Security Challenges, today and tomorrow: Global perspective
Jim Reavis(ジム リーヴィス)
(Executive Director, Cloud Security Alliance)

- 14:15~14:45
【基調講演】
「日本におけるクラウドセキュリティへの取組みとIPAの国際連携」
Japanese challenges to Cloud Security Issues and IPA's global activities
勝見 勉(IPAセキュリティセンター 研究員) 

- 14:45~16:30
【パネルディスカッション】(同時通訳)
「今、クラウドセキュリティの課題は何か」
モデレータ: 
   勝見 勉(IPAセキュリティセンター 研究員)
パネリスト:
    Jim Reavis(Executive Director, Cloud Security Alliance)
    河野 省二(IPA セキュリティセンター 研究員,経済産業省「クラウドセキュリティ管理基準策定タスクフォース」委員)
    高橋 郁夫(IT法律事務所所長/弁護士,日本クラウドセキュリティアライアンス幹事)
   塩崎 哲夫(富士通株式会社 クラウドCERT室長(兼)クラウドセキュリティ事業部長)

○プログラムの詳細、お申込み等は、こちら

| | コメント (0) | トラックバック (0)

2010年11月23日 (火)

情報セキュリティ管理士認定試験

今週は、あまり更新できない予定です。(いろいろ、ありまして)

「情報セキュリティ検定」(1~3級)って、来年から「情報セキュリティ管理士」と「情報セキュリティ初級認定」という制度に変わるのですね。
もともと、この認定はその制度(昇級試験もあったり)や位置づけ、対象者がわかりにくかったのですが、なおさらわかりにくくなったような気がします。
HPにも、プロフェッショナルとかエキスパートとか管理者とか、表現がバラバラで、よくわかりません。
そのあたり、もう少し明確にしないと、認定もらった方が使い様がないような気がします。

とりあえず、プロフェッショナルが対象ではないと思いますけど。

<参考URL>
情報セキュリティ管理士の試験内容

| | コメント (0) | トラックバック (0)

2010年11月19日 (金)

データベース・セキュリティ・コンソーシアム (DBSC)ワークショップ、開催

データベース・セキュリティ・コンソーシアム (DBSC)のワークショップの開催が告知され、申し込みが始まっています。
今回は、内部犯行と情報管理のあり方、などが主なテーマのようです。

CISSPホルダーの方は、CPEにもなりますね。

<DBSCワークショップ>「転んだ後の杖 ~昨今の事例と情報管理の見直しのポイント~」

開催日:2010年12月17日(金) 16時30分~20時00分
定員:120名
参加費:会員1,500円、一般(非会員)2,000円
※ 参加費は、懇親会費用として使用いたします。懇親会への参加・不参加に関らず、当日、受付時に頂戴いたします。

会場:
東京電機大学(東京神田キャンパス)
11号館17階1702「カシオホール」

主催:データベース・セキュリティ・コンソーシアム(DBSC)

| | コメント (0) | トラックバック (0)

2010年11月18日 (木)

「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」公開

e-Govの「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)に対する意見募集について」からです。

経済産業省から「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」が公開され、意見募集が始まっています。
意見募集は、2010年12月16日までになっています。
このガイドライン、かなり前から「そろそろ、出るよ」と言われていたのですが、ようやく出ましたね。

このガイドラインは、ISO/IEC27002ベースで策定されていて、事業者向けと利用者向けに分けられて見やすいと思います。
また、情報セキュリティ監査への活用についても述べられておりますので、事業者、利用者だけでなく、監査人に向けたガイドラインでもあるようです。

(例によって)時間のあるときに、あとから読みます。

<公開文書(ガイドライン)>
「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」

「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)概要」

| | コメント (0) | トラックバック (1)

2010年11月17日 (水)

「フィッシングレポート 2010」公開

フィッシング対策協議会のHPで、「フィッシングレポート 2010」が公開されています。

主な内容は、

・フィッシングの被害状況の把握
・フィッシングの攻撃サイドの技術・手法
・フィッシングの範疇にとどまらないフィッシングの手口に発展する脅威とその対策
・フィッシング被害を抑制するための法制度に関する検討

です。

攻撃サイドの技術・手法もかなり変化・進歩してきているようです。
最近の傾向としては、特に携帯サイト向けのフィッシング、短縮URL問題、そのあたりが要注意でしょうね。

| | コメント (0) | トラックバック (0)

2010年11月16日 (火)

Gumblarの攻撃手法の分析調査報告書、公開

JPCERT/CC「踏み台にされるWebサイト~いわゆるGumblarの攻撃手法の分析調査~」が公開されています。

さて、この報告書は、

昨今、脆弱性やマルウエアなど様々なセキュリティインシデントに関する情報が、ニュースメディアなどで取り上げられています。その中で、特に2009年4月以降、注目を浴びたのが、Gumblar(ガンブラー)です。Gumblarは、発生当初、他のWebサイト改ざん事例と同列に見られていました。その後、徐々に調査が進むにつれ、Webサイトの改ざん手法やWebサイト改ざんの被害の規模、動作するマルウエアの挙動など、この攻撃の特徴的な実態が浮き彫りになってきました。細部の変化を伴いつつ、2010年10月現在も攻撃活動が継続しています。

本報告書は、Web改ざんの攻撃手法の実態を把握していただくため、JPCERT/CCの活動を通して得られた情報を元に、Gumblarの攻撃手法の流れ、感染するマルウエアの動作などをまとめたものです。

というもの。

報道されることがないと、攻撃が終息したように思われがちです。
しかし、報道とはニュース性がなければされないというだけのこと。
そうした中で、このGumblarのように、継続して活動しているものも多いわけで・・・

私もこれを読んで、Gumblarを再度自分なりに整理してみるとします。

<参考記事>
JPCERT/CCが警告、「Gumblarの活動は終わっていない」 ~日経ITpro

| | コメント (0) | トラックバック (0)

2010年11月15日 (月)

SecurityDay2010

「SecurityDay2010」の開催が告知され、申し込みが始まっています。

名 称: SecurityDay2010 (セキュリティ・デイ 2010)
日 時: 2010年12月22日 水曜日
1 2時30分開場、13時00分開始
会 場: 工学院大学 28階 第1会議室
参加費:無料 
定 員:100名
*申込みが定員に達し次第受付終了となります
対 象:情報セキュリティに関わる方
※本イベントはCISSP/CPEポイント付与対象です
主 催:
JPCERTコーディネーションセンター (JPCERT/CC)
日本インターネットプロバイダー協会 (JAIPA)
日本データ通信協会 (Telecom-ISAC Japan)
日本ネットワークセキュリティ協会 (JNSA)
日本電子認証協議会 (JCAF)

今年は参加できるかな、できるといいな。

| | コメント (0) | トラックバック (0)

2010年11月12日 (金)

特定企業ターゲットのフィッシング攻撃

日経ITproの記事「英国通信事業者の偽Outlook Web Accessサイト見つかる」からです。

特定企業ターゲットのフィッシング攻撃が見つかったということです。

この記事によると、

英国最大手の電気通信事業者である「BT Group plc」(ブリティッシュ・テレコム、BT)のOutlook Web Accessサイトがフィッシング詐欺に利用される事件が発生した。

(中略)

BTが利用しているWebメールサービス「Outlook Web Access」のログインページをまねたフィッシングページが確認され、この英国最大手の電気通信事業者がフィッシング詐欺の対象となっていることが明らかになった。「Outlook Web Access」は、インターネット経由でMicrosoft Outlookの機能を利用できるもので、従業員は外出先や自宅で、自分のメールボックスにアクセスできる。この偽のログインページにアクセスし、通常通りメールアドレスおよびパスワードを入力すると、BTの公式サイトへ誘導される。この段階でユーザーが入力した情報はサイバー犯罪者の手に渡ってしまう。

とのこと。

フィッシングとは、不特定多数に向けた攻撃だったのですが、このように特定企業(特に巨大企業)だけをターゲットにするようになってきたと

いうことですね。まぁ、だまされる側も「まさか、Outlook Web Accessに・・・」ってことなんでしょうけど。

| | コメント (0) | トラックバック (0)

2010年11月11日 (木)

クラウド利用目的は「コスト削減」か、「戦略的投資」か

ZDNet Japanの記事「クラウドへの投資目的、日本は「コスト削減」、他国は「戦略的投資」」からです。

この記事では「オーストラリアの企業では48%が戦略投資と位置づけているのに対し、日本企業では59%がコスト削減策だと回答」とあります。あいかわらず、日本の投資マインドの低さが目立ちます。まずは、「コスト」と考えるか「投資」と考えるか、これは大きな違いだと思っています。戦略がないと、どうしても「コスト」(消極的)になってしまうんでしょうね。
「コスト削減」の意識が強いというのは、やはり経済先進国、IT先進国の発想ではないと思います。
また、諸外国との差が開いていく・・・

| | コメント (0) | トラックバック (0)

2010年11月10日 (水)

スマートフォンによるボットネットの仕組み

日経ITproの記事「スマートフォンによるボットネットの仕組み」からです。

この記事によると、

モバイル機器向けスパイウエアやボットネットがマルウエア制御コマンドをやり取りする際に使う通信手段は、テキストメッセージを送るSMSが多いという。特に、高度なマルウエアはコマンドSMSメッセージを途中で奪い取ってしまうので、ユーザーは感染したことに気付かない。単純なテキスト形式でなく、バイナリー形式のSMSメッセージでコマンドをやり取りするボットネット/マルウエアも存在する。バイナリーコマンドはサイズが小さいので、発見されにくい。さらに、PtoPとHTTPを併用するとより強固なボットネットを構築できる。しかもバイナリー形式のSMSメッセージを使うので、コマンドは単純なテキスト通信プロトコルより解読しにくい。

とのこと。

スマートフォンなどで構成される場合は、HTTP、P2Pと、さらにSMSを使っていることが多いようですね。しかも、解読されにくいということ。
また、新たなボットネットの仕組みができつつあるようです。

| | コメント (0) | トラックバック (0)

2010年11月 9日 (火)

「性善説」とは、アクセスコントロールをしないことなのか(2)

昨日の記事の続きです。

さて、アクセスコントロールとは何のために行うのでしょうか?
不正の検出のためでしょうか。特にユーザーの方はそう思われていることも多いようです。
そのため、「性善説」という言葉が使われるようです。
アクセスコントロールをするのは「性悪説」、ということになるでしょう。

そもそも、アクセスコントロールと「性善説」「性悪説」は直接関係ありません。
まず、アクセスコントロールとは、ユーザー(プロセスのこともある)がシステムにおいて、いつどのような操作を行ったかを明らかにするものです。システムにアクセスするすべてのユーザーはアクセスコントロール(識別と認証)のプロセスを経なければなりません。
アクセスコントロールにより、不正が検出されるだけではなく、適切な操作であったことも証明されるのです。
逆にアクセスコントロールをしていなければ、適切な操作を行ったことの証明手段がないことになります。

そういうことを理解してないので、「性善説」という言葉が使われるんでしょうね。

| | コメント (0) | トラックバック (0)

2010年11月 8日 (月)

「性善説」とは、アクセスコントロールをしないことなのか(1)

「外からの侵入には気をつかっているが、中から漏れることは想定していない。正直、性善説に立った情報管理だと思う」
これは、沖縄・尖閣諸島沖の中国漁船衝突事件のビデオ映像がインターネット上に流出した問題での海保関係者の発言です。
厳重に管理されるべき捜査情報が閲覧制限がされておらず、日常業務の一環として扱われることも多かったようです。

以前にも何度か「性善説」については、私の考えをこのブログで書いてきましたが、この用語が未だにこのような使われ方をすることが残念です。
アクセスコントロールをしないことが、「性善説」の管理なのでしょうか。
それとこれとは全く別の問題です。

だいたい、これで「管理」と言えるのでしょうか。
ルールは存在し、教育らしきものはしているのでしょうけど。

アクセスコントロールをしないということは、不正を防止も検出もできません。
また、偶発的な事象の防止も検出もできません。

また、この続きは明日以降書きます。(時間切れのため・・・)

<参考記事・このブログ>
「性善説」と「性悪説」・その1
「性善説」と「性悪説」・その2

| | コメント (0) | トラックバック (0)

2010年11月 5日 (金)

人気ソフトに便乗する「ピギーバッキングソフト」

日経ITproの記事「人気ソフトに便乗するピギーバッキングソフト」からです。

この記事によると、「ピギーバッキングソフト」とは、

評判のよい無償または有償のソフトウエアをかたって不正販売されるソフトウエアだ。本来のソフトウエアに比べると性能が劣っているもの、全く機能が異なるものなどがある。いずれの場合も、著名なソフトウエアのアップグレード版としてユーザーをだます。例えば、米アドビシステムズが先日発表したPDFファイル作成ソフトの新版「Adobe Acrobat X」などは標的にされやすい。

というもの。

「ピギーバッキングソフト」への誘導(リダイレクト)のために、アフィリエイトがかなり利用されているようですね。

| | コメント (0) | トラックバック (0)

2010年11月 4日 (木)

グーグル、自社Webサイトの脆弱性報告者に報奨金

Computerworld.jpの記事「グーグル、自社Webサイトの脆弱性報告者に報奨金を提供」からです。

グーグルが自社のWebサイトの脆弱性報告者に報奨金を支払うプログラムを発表したようです。

この記事によると、

 新プログラムの狙いは、脆弱性を攻撃者に悪用される前に修正する機会を得ることにある。このため、セキュリティ研究者が報奨金を受ける資格を得るには、新たに発見した不具合を公表する前に、Googleに内密に報告しなければならない。審査で判定された不具合の深刻度に応じて、報告者は500~3,133.70ドルの報奨金を得る。

 Googleは今年1月に開始したChromeに関する同様のプログラムで、これまでに同ブラウザの不具合の報告に対して報奨金を約50回支払った。ただし、Googleは全製品について、不具合の報告者に報奨金を支払っているわけではない。例えば、Android、Picasa、Google Desktopなどの不具合の報告に対しては、報奨金は支払われていない。

とのこと。

脆弱性を放置しないためには、よい仕組みだと思います。
ただ、なんでChromeだけなのかが気になりますけど。
特に、Androidもこの仕組みを取り入れたほうがよいのではないか、と個人的には思ってます。

| | コメント (0) | トラックバック (0)

2010年11月 2日 (火)

「APECサイバーセキュリティ意識啓発の日」制定

総務省のHP「APECサイバーセキュリティ意識啓発の日」の制定からです。

1.「APECサイバーセキュリティ意識啓発の日」について
 本年10月30日~31日に沖縄県名護市で開催されたAPEC電気通信・情報産業大臣会合において、「APECサイバーセキュリティ意識啓発の日」イベントを毎年実施し、APEC域内における意識啓発を推進していくことが確認されました。APEC加盟諸国共通のサイバーセキュリティに係る意識啓発の日が設けられたのは初めてのことです。本イベントはAPEC電気通信・情報作業部会において提案され、今回の大臣会合のサイドイベントとして10月29日に実施されました。

ということで、10月29日が「APECサイバーセキュリティ意識啓発の日」となったようです。併せて、一般ユーザがインターネットを安心・安全に利用する上で推奨される『情報セキュリティ対策(サイバーセキュリティトップティップス)』が公開されています。
それにしても、「サイバーセキュリティトップティップス」って、舌をかみそうで言いづらいです・・・

「推奨される情報セキュリティ対策5カ条 (サイバーセキュリティトップティップス)」(仮訳)

1. 強力なパスワードを使用し、安全に管理しましょう:
 パスワードは最低でも8文字以上とし、数字や記号を混ぜるようにしましょう。また、最低でも90日程度の期間で定期的にパスワードを変更し、パスワードをインターネット、電話及び電子メールなどで知らせたりしてはいけません。

2. セキュリティ対策ツールを使用し、更新を忘れないようにしましょう:
 あなたのコンピュータを保護するために、ファイアウォールやアンチウイルス、アンチスパイウェアといったツールを使用しましょう。また、これらのツールの定期的な更新だけではなく、オペレーティングシステムや導入しているアプリケーションのセキュリティパッチを適用することで、既知のぜい弱性による攻撃に対応することができます。

3. 重要なファイルはバックアップを取りましょう:
 オンライン決済等の記録等の重要なファイルはバックアップを取り、厳重に保護しておきましょう。

4. あなたがネット上で誰とやりとりしているのかを知っておきましょう:
 素性の判らない相手から送られた添付ファイルを開いたり、教えられたリンクを安易にクリックしたりしてはいけません。

5. オンラインでは常に注意を払いましょう:
 不必要に個人情報をインターネット上に公開してはいけません。また子供がインターネット上で、どのようなサイトにアクセスしているかといった活動について、監視をしておきましょう。

| | コメント (0) | トラックバック (1)

2010年11月 1日 (月)

「2009年 国内における情報セキュリティ事象被害状況調査」報告書、公開

IPAセキュリティセンターから「2009年 国内における情報セキュリティ事象被害状況調査」報告書が公開されています。

ちなみに、この調査は、

 「国内における情報セキュリティ事象被害状況調査」は、最新の情報セキュリティ関連の被害実態及び対策の実施状況を把握するための調査で、1989年度から毎年行っており、今回で21回目になります。2009年度は、全国の12,000企業を対象とした郵送によるアンケート調査を行い、1,658社から回答を得ました。

というもの。もう、21回目なんですね。

そして、調査項目と調査結果の概要は、以下の通り。

1.主な調査項目
(1)情報セキュリティ対策の現状
 ・セキュリティ対策ソフト導入状況
 ・2010年のセキュリティ対策への投資額
 ・情報セキュリティ関連製品やソリューションの導入
 ・セキュリティパッチの適用状況
 ・情報セキュリティ対策教育の実施状況
(2)情報セキュリティ対策に対する意識
 ・情報セキュリティ対策に関連して知りたいと思っている情報
 ・情報セキュリティ対策の必要性を感じたきっかけ
(3)コンピュータウイルスによる被害状況
 ・コンピュータウイルス遭遇(感染または発見)経験
 ・感染・発見したウイルスの名称
 ・ウイルスの直接的な被害
(4)サイバー攻撃(ウイルス以外)による被害状況
 ・サイバー攻撃との遭遇経験
 ・遭遇したサイバー攻撃による被害とその手口
(5)その他の情報セキュリティ事象について

2.調査結果概要
(1)中小企業はウェブ関連のセキュリティ対策推進や適切な情報源の理解・認識が必要
(2)ウイルス遭遇率は減少傾向
(3)ウイルス対策ソフトの活用やセキュリティパッチの適用は着実に浸透中

結果概要を見ると、対策が浸透して効果を挙げている、というように読めます。
個人的には、あまり実感がありませんが・・・

<参考資料>
別紙 「2009年 国内における情報セキュリティ事象被害状況調査」参考データ集

「2008年 国内における情報セキュリティ事象被害状況調査」報告書 

| | コメント (0) | トラックバック (0)

« 2010年10月 | トップページ | 2010年12月 »