« 2011年1月 | トップページ | 2011年3月 »

2011年2月の記事

2011年2月28日 (月)

入試投稿「aicezuki」事件について

Yahoo!ニュース「京大入試投稿者 携帯から質問27回 同一名で回答も」からです。

今回の事件は、携帯電話(携帯端末)からのアクセスで、試験時間中に合計27回も入試問題投稿したというもの。
事実は、これから解明されていくのでしょうが、実に不可解かつ興味深い事件です。
単純に携帯電話で打ち込んだのか?
音声認識アプリを使用したのか?
単独犯ではなく、複数犯なのか?

今回は、「ここまでは、時間的にできないだろう」ということだったと思いますが、時間的には可能であることが証明されてしまいました。
不正の手段を排除し、その防止を図っても次々に代替手段を見つけてくるわけです。
不正に対抗する側は、それらに対応した防止と検出ができねかればならないわけです。
不正(攻撃)をする者は、常に一歩先を行っているということです。

情報セキュリティのお仕事する者としては、それを忘れてはいけないと再認識させられる事件でした。
※ 不正の手口が明らかになったら、また改めてここで取り上げたいと思います。

| | コメント (0) | トラックバック (0)

2011年2月25日 (金)

狙われる「情報家電」

日経ITproの記事「狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”」からです。

昨日から開催されている「IPA情報セキュリティ月間シンポジウム2011」での講演の内容ですが、情報家電を含めた組み込みシステムのセキュリティ動向についても取り上げられました。

「組み込みシステムが広く使われるようになっているにもかかわらず、古典的な脆弱性を持つ組み込み機器が多数存在する」アンダーグラウンドにとって、組み込みシステムは次のターゲット」「耐タンパー性(内部の情報を読み取られることに対する耐性)を考慮していないシステムなら、汎用的なツールで容易に解析できる」などのコメントがあり、組み込みシステムにおいて今まで大きなセキュリティ被害がなかったのが不思議であり、いつ攻撃が行われるかわからない状況と感じました。

タイトルにもあるとおり、コーヒーメーカーにも脆弱性があるということ。(薄いコーヒーや濃いコーヒーを無理やり飲まされる可能性があるとか)
ネットワークにつながっていれば、影響を受ける可能性があるということですね。

ちなみに、この記事はコーヒー飲みながら書いています。
私は薄いコーヒーより濃いコーヒーが好きです。

| | コメント (0) | トラックバック (0)

2011年2月24日 (木)

人材育成における課題と悩み

2011年1月27日(木)に開催された「CompTIA人材育成サミット2011」の開催報告からです。

このイベントでは、最後のセッションで受講者の皆様参加による「グループディスカッション」が行われました。
私は、そのコーディネーターを務めさせていただきました。

時間の関係で、2つのテーマだけになりましたが、かなり活発なディスカッションが展開されていました。
そこで出てきた主なコメントは、以下の通り。

1.人材育成における課題、悩み

◆ 現場とトップとの人材に対する要件が不一致/コミットメントが得られない
◆ 制度を作る前に、経営層にコミットされたロードマップと仕掛けを作るべき
◆ 頻繁な配置転換などのためテクニカルスキル育成の前に動機付けとモチベーションをアップさせる必要がある
◆ 以前に比べて、モチベーションの低い人材が多くなった
◆ 研修が場当たり的になってしまい、パフォーマンスに結びつくまで研修のデザインをすることが難しい。
◆  「実践」につながる育成が難しい。「わかるからできる」ように育成することが難しい。
◆ 新入社員の考え方が以前から変化をしてきており、そのギャップを埋めることが難しい。
◆ 1つの分野に特化した人材を育成することはできるが、「マルチ」かつ「ハイレベル」な人材の輩出が難しい
◆ エンジニアが忙しくて、トレーニングを受けるという文化を根づかせることができない

2.人材育成重要ポイント/資格の位置づけ

◆ 「実務」と「資格」をいかにスムーズにマッチングさせられるかが重要なポイント
◆ 単なる技術力だけではなく、2・3次元方向での人材育成モデルが必要であり、その中でうまく認定資格を活用できればよいのではと思う
◆  成長のものさしとして資格は必要 / 顧客を含めた外部に対して専門性を証明するため資格は必要
◆ 知識の底上げとして資格の活用を検討している。社内での勉強会等の開催により、全員で取り組んでいるという一体感を作り、脱落者が出ないようにしたい
◆ 資格を取得することで何が生まれるかということを明確化していかないと資格取得の意味がない
◆ キャリアパスモデルをきちんと作成しなくては、資格を取得させるにも取得者のモチベーションを上げることができない
◆ 資格を取得することが、どんなキャリアパスにつながり、目指す人物像に近づけるかを明確にすることが人材育成の重要なポイント
◆ 資格を取得することは、他社との差別化などの観点から重要ではあるが、費用がかかる
◆ 社内/社外の資格を含め、さらなる発展に結び付けられる「評価」が必要で、取得者自身のスキル向上に結びついている実感を伴った評価が必要である
◆ スキルを身に付けた人に社内研修講師をさせることにより、さらにスキルを自身のものにすることができる
◆ 現場とトップとの間に共通の評価基準として資格を示した。合否に関わらず、何が理解できていて何が理解できていないのかを誰が見てもわかるようにする。

どこも課題や悩みを抱えていらっしゃいますし、それがかなり類似しているんですよね。
その解決のためにも、これらを共有し、今後のこのような機会を設定したいな、と思いました。

<参考URL>
CompTIA人材育成サミット2011 CompTIA日本支局活動報告 / グループディスカッション

| | コメント (0) | トラックバック (0)

2011年2月23日 (水)

英国のサイバー犯罪被害額とその対策への支出

ウォール・ストリート・ジャーナル日本版「サイバー犯罪による被害額、GDPの約2%に―英国」からです。

イギリス政府が同国内のサイバー犯罪の被害額を算出したところ、270億ポンド(約3兆6000億円)で同国の国内総生産(GDP)の約2%となったようです。この直接的な経済的損失推定額は、今後も増え続ける見通し。としています。なお、被害額の4分の3を企業が占め、残りの4分の1は政府と個人が被っている、とされています。
また、キャメロン首相をはじめとする主要閣僚と経済界首脳は、サイバーセキュリティー対策改善について話し合うための会合を開いたとのことで、(昨年末、防衛費やその他支出など予算を削減するなか)、向こう4年間で新たに6億5000万ポンドをサイバーセキュリティーに充てる、としたそうです。

さて、日本の被害額とサイバーセキュリティー対策への支出は・・・。
どこかに、ばらまいている場合ではないような気がしますね。

| | コメント (0) | トラックバック (0)

2011年2月22日 (火)

「2010年 情報セキュリティインシデントに関する調査報告書【上半期 速報版】」公開

JNSAのHPで「2010年 情報セキュリティインシデントに関する調査報告書【上半期 速報版】」が公開されていますね。

今回も、インシデント発生の組織の業種、漏えい人数、漏えい原因、漏えい経路、などについて分析されています。
いつもながら、興味深いデータと分析結果が載っています。

報告書(速報版)は、こちら

| | コメント (0) | トラックバック (0)

2011年2月21日 (月)

ハッキング (クラッキング) 力検定サイト「Hackme」

ハッキング (クラッキング) 力を検定するサイト「Hackme」α版が公開されています。

実践的な Web サイトの攻略方法を基本とした課題を解くことで力量が認定されていき、「素人」から「ハッカー」レベルへと認定が段階を追って進化していくというサイトのようです。
楽しく情報セキュリティ技術が学べるサイトのようですね。

私はこれから登録して挑戦してみようかと・・・。

| | コメント (0) | トラックバック (0)

2011年2月18日 (金)

「2010年度 情報セキュリティ製品の調達等に関する意識調査」報告書、公開

IPAのセキュリティセンターから「2010年度 情報セキュリティ製品の調達等に関する意識調査」報告書が、公開されています。

この報告書では、IT製品調達時の考慮事項と課題、ISO/IEC15408(CC:コモンクライテリア)認証製品の導入理由、などが取り上げられています。

IT製品調達時の考慮事項と課題については、重視するとの回答割合が一番高かった項目は「価格」であり、セキュリティ対策上の課題として「リスクに対する具体的な対応策は分かっているが、予算の制約により実行できない」と回答した企業が約3割存在している状況も報告されています。
つまり、セキュリティへの投資は優先順位が低いということなんでしょうね。

「2010年度 情報セキュリティ製品の調達等に関する意識調査」報告書

| | コメント (0) | トラックバック (0)

2011年2月17日 (木)

「現在の日本のセキュリティ~ブラックハットジャパンその後 東京編~」開催

「現在の日本のセキュリティ~ブラックハットジャパンその後 東京編~」が開催されます。

有料なんですが、参加費が500円。安いねぇ~。

そういえば、アメリカでは現在「RSAカンファレンス」開催中。

日本では、今年開催されるんでしょうか。

「現在の日本のセキュリティ~ブラックハットジャパンその後 東京編~」
◆日 時 : 2011年2月26日(土)13:30~16:45(受付13:15~)
◆場 所 : アキバプラザ 7F EXルーム
 (JR秋葉原駅から徒歩2分)
◆定 員 :70名
※お申込は先着順で、定員となり次第締め切らせていただく場合もございます。
◆参加費 :500円
 参加費は、受付にて申し受けます。
 当日、参加受付票と共に、お釣りのないようにご用意ください。
◆主 催 :財団法人インターネット協会

| | コメント (0) | トラックバック (0)

2011年2月16日 (水)

情報セキュリティ対策ビデオ

警察庁 サイバー犯罪対策のページで公開されている「情報セキュリティ対策ビデオ」
で、新作(第8弾ということになりますね)が公開されていました。

今回は「見えない悪魔」というタイトルで、USBメモリーによるウイルス感染、ニセセキュリティ対策ソフトなどを扱っているようです。
過去にも、出会い系サイト、プロフ、架空請求、ネットオークション、など様々なサイバー犯罪を扱った対策ビデオを公開しています。
ご存知なかった方は、ぜひこの際に覗いてみてください。

| | コメント (0) | トラックバック (0)

2011年2月15日 (火)

「IPA情報セキュリティ月間記念シンポジウム2011」

「IPA情報セキュリティ月間記念シンポジウム2011」の開催が告知されています。

テーマが、具体的に4つに分かれていて、実に興味深いです。
(個人的には、特に1日目が)

「IPA情報セキュリティ月間記念シンポジウム2011」

●2011/02/24
「IPA情報家電セキュリティシンポジウム2011」
「IPA自動車のセキュリティシンポジウム2011」

●2011/02/25
「IPA中小企業クラウドセキュリティシンポジウム2011」
「IPA重要インフラとスマートグリッドのセキュリティシンポジウム2011」

場所:ベルサール飯田橋 1階ホール
主催:独立行政法人情報処理推進機構(IPA)
後援:セプターカウンシル
        ((D)IPA重要インフラとスマートグリッドのセキュリティシンポジウム2011)
定員:各300
参加費:無料(事前登録制)

| | コメント (0) | トラックバック (0)

2011年2月14日 (月)

英国政府、欧州サイバー・セキュリティ計画に参加表明

Computerworld jpの記事「英国政府、欧州サイバー・セキュリティ計画に参加表明」からです。

この記事によると「英国政府はサイバー犯罪対策を最優先すべき国家防衛戦略の1つに認定し、向こう4年間の経費として6億5,000万ポンドを計上した」とのこと。欧州サイバー・セキュリティ計画では、一元的なサイバー・セキュリティ本部を設置することが必要であり、近いうちにその整備が進められることになります。

(周知の通り)すでに米国政府も、サイバー犯罪対策をき国家防衛戦略の1つとして巨額の経費を計上し、サイバー司令部の設置など、積極的な動きをしています。

さて、日本は・・・。
ますます、ICT先進国、情報セキュリティ先進国の道から、遠ざかっているような気がします。

| | コメント (0) | トラックバック (0)

2011年2月11日 (金)

「第5回JSSMセキュリティ公開討論会」開催

日本セキュリティ・マネジメント学会「第5回JSSMセキュリティ公開討論会」の開催が告知されていますね。

今回のテーマは、「新興国における情報セキュリティ~海外進出、オフショア開発等の視点から~」だそうです。
開催が土曜日なんですね。個人的には参加しにくいので、ちょっと困ってます。

「第5回JSSMセキュリティ公開討論会」

主催:日本セキュリティ・マネジメント学会

協賛:情報セキュリティ大学院大学

後援:情報セキュリティ政策会議(予定)、総務省(予定)、経済産業省(予定)

開催日時:2010年2月26日(土) 9:00-17:10 (8:30開場)

場所:東洋大学白山第2キャンパス B棟211教室
(東京都文京区白山2-36-5) 

対象:JSSM学会員 + 一般の方

参加費:無料

定員:200名

| | コメント (0) | トラックバック (0)

2011年2月 9日 (水)

環境が変化すれば、コミュニケーションも変化する

先日のこのブログの記事で、様々な環境が変化していくと書きました。
その結果、企業経営や生活も変化していくわけですが、もちろん情報の伝達(コミュニケーション)も変化していくのです。

今までは、直接の会話や電話、メールなどが中心だったコミュニケーションも、twitterやfacebook、skypeなどに代替されつつあります。
基本的にはその方のコミュニケーション・スタイルの問題だと思いますが、このような変化に対応していかないと、今まで同様のコミュニケーション、情報の伝達・共有・発信、他者との交流の大きな阻害要因になるかもしれません。

ということもあり、twitterやfacebookで何ができるか考えたり、試行錯誤している今日この頃です。
※とりあえず、CISSPのバーチャルコミュニティをfacebookで作り始めました。

<参考記事・このブログ>
クラウド・コンピューティング時代の情報セキュリティって・・・

| | コメント (0) | トラックバック (0)

2011年2月 8日 (火)

Webブラウザと携帯端末のハッキングコンペ

ITmediaの記事「Webブラウザと携帯端末のハッキングコンペを開催―Chromeには賞金2万ドル」からです。

このハッキングコンペは「Pwn2Own」というもので、今年で5回目とのこと。
今年のテーマは2009年と同様、Webブラウザと携帯端末。ターゲットとなるWebブラウザはMicrosoftのInternet Explorer(IE)、AppleのSafari、Mozilla Firefox、Google Chrome。
このうちGoogle Chromeについては、Googleが2万ドルの賞金を用意するなど、賞金の総額12万5000ドル。このほかにもGoogleのノートPC「CR-48」やApple MacBook Airなどが賞品として贈られるらしい。

日本でも、こういうイベントが開らけないでしょうかね。
コンテストやコンペで、いろんな人にチャンスを作って欲しいんですが・・・。
というより、まずはセキュリティイベントが少ない(減った)。

| | コメント (0) | トラックバック (0)

2011年2月 7日 (月)

第6回DBSC早春セミナー、開催

「データベース・セキュリティ・コンソーシアムの第6回セミナー」が開催されます。

今回のテーマは、「日本の情報セキュリティ政策と国内外の情報管理の実際」ですね。
行けるかな・・・。

データベース・セキュリティ・コンソーシアム第6回セミナー
~ 日本の情報セキュリティ政策と国内外の情報管理の実際 ~

開催日:2011年2月22日(火) 13時30分~16時40分
定員:250名
参加費:無料
会場:ベルサール神田「ルーム1+2」
主催:データベース・セキュリティ・コンソーシアム(DBSC)
後援:情報セキュリティ政策会議
CPE認定イベント:2010年CISSP資格取得者向けCPEイベント(3クレジット)

| | コメント (0) | トラックバック (0)

2011年2月 4日 (金)

『次世代の情報セキュリティの在り方と今後の方策』セミナー開催

『次世代の情報セキュリティの在り方と今後の方策』セミナーの開催が告知され、申し込みが始まっています。

このセミナーは、官民連携の情報セキュリティ啓発活動を行っているセキュリティ普及促進委員会によるもの。

そして、啓発活動のポスターに起用されたのは・・・。
今年も、セキュリーナ。

開催概要
名称:『次世代の情報セキュリティの在り方と今後の方策』セミナー
日時:2011年2月22日(火) 13:00 - 17:45 (受付開始:12:30)    
会場:六本木アカデミーヒルズ49 タワーホール
〒106-6149 東京都港区六本木6-10-1 六本木ヒルズ森タワー49階

主催:セキュリティ普及促進委員会
(株式会社シマンテック、トレンドマイクロ株式会社、マカフィー株式会社、
独立行政法人情報処理推進機構、経済産業省) 

参加対象者:一般企業や官公庁・自治体等公共団体のIT管理者及び情報セキュリティへの関与がある方 
参加費:無料(事前登録制) 
定員:300名

| | コメント (1) | トラックバック (0)

2011年2月 3日 (木)

IPv4アドレスの在庫がついに・・・

日経ITproの記事「[速報]IPv4アドレスの自由在庫がついに尽きる、残り5ブロックの割り振りも近日中に実施」からです。

2/1、ついにIPv4アドレスの在庫が事実上枯渇しました。

この記事によると、

 インターネットのアドレス資源を管理する組織であるIANA(Internet Assigned Numbers Authority)は2011年2月1日未明、アジア太平洋地域のIPアドレスを管理する組織のAPNIC(Internet Assigned Numbers Authority)に対して、自由に分配できるIPv4アドレスの最後の在庫である「/8ブロック」(約1678万個のIPアドレスで構成)を二つ分配した。

 これにより、IANAが管理するIPv4アドレスの在庫は/8ブロックが五つとなった。この五つについては、「APNICなど世界に五つあるRIR(地域インターネットレジストリ)に一つずつ分配し、すべての割り振りを終了する」というポリシーが既に決まっている。このポリシーに基づいて近日中に分配が実施され、IANAの在庫が枯渇する見込みだ。

とのこと。

これからは、IPv4アドレスの新規分配を受けられなくなることを前提としていかなければならないのですが・・・。
さて、日本(JPドメイン)では準備は十分だったのでしょうか。そして、対応はできるのでしょうか。

<参考記事>
「本格的IPv6時代に向けて 明日にも枯渇?IPv4がなくなったらどうなる?」~ASCII.jp

「IPv4アドレス枯渇。その意味と恐らくこれから起きること」~Geekなページ

| | コメント (0) | トラックバック (0)

2011年2月 2日 (水)

「情報家電におけるセキュリティ対策 検討報告書」公開

IPAセキュリティセンターから「情報家電におけるセキュリティ対策 検討報告書」が、公開されています。

さて、この報告書の内容は、

(1) 情報家電のセキュリティに対する課題と解決の方向性
(2) デジタルテレビに対するセキュリティ対策検討ガイド

(1)では、情報家電の市場が拡大していくために必要となるセキュリティ上の課題を、
・脅威の共通認識とセキュリティ対策の必要性
・情報家電市場形成の必要性
・業界としての連携と情報共有の必要性
・市場の牽引と発展

の4つの観点から整理し、その解決策として、

・情報家電セキュリティ基準の確立
・マーケットの育成と情報家電リテラシーの向上
・情報データベースの整備
・グローバルデファクトと国際標準への展開

の4つの提言を行っています。

というもの。

まずは、今まで以上にユーザーへの啓発活動が必要ですね。
それから、脅威を認識するだけでなく、対策ができるようにならなければならないわけです。
今まで、PCを使用する機会がなかったり、積極的に対策をして来なかったユーザーがどうなるのか・・・。
それから、家電屋さんもですかね。

<公開資料>
「2010年度版 情報家電におけるセキュリティ対策 検討報告書」

表1.「情報家電の課題と解決の方向性」

表2.「デジタルテレビの機能レベルに応じた脅威/対策一覧」

参考資料

| | コメント (0) | トラックバック (0)

2011年2月 1日 (火)

クラウド・コンピューティング時代の情報セキュリティって・・・

今日から、情報セキュリティ月間ですね。
政権交代もあり、昨年はあまり盛り上がらなかったような気がするので、今年は盛り上がって欲しいと思っています。

1月は、クラウド・コンピューティング時代の情報セキュリティというような話を何度かさせていただく機会がありました。

よくある内容としては、サービス事業者と企業の関係、そこでどうセキュリティを確保していくか、サービス事業者は信頼できるのか(企業は、理由もなく不安だ)、というようなものばかり。(基準とか、ビジネス周りの話)

私は、クラウド・コンピューティング時代で、どのように環境は変化するのか、そこで企業経営や生活はどう変化していくのか、そしてICTはどう利活用され、そのためにはどう保護されるべきなのか、ということばかり考えて話してきました。
仕事の環境にしても、オフィスワークから、在宅ワーク、モバイルワーク、そしてノマドワークへ、と変化していくわけです。
そこで、PCだけではなく。様々なネットワークデバイス(スマートフォン、タブレット端末など)で、様々なサービス(Google、facebook、twitter、Dropbox、Evernote、etc.)を使うようになる、そこでのセキュリティを考えていかなくてはならないと思っています。

こういう時代の流れは変えられないですし、ついていけなくなれば競争力を失い、やがて生き残れなくなる・・・
そのための情報セキュリティ、それがクラウド・コンピューティング時代の情報セキュリティだと思います。

| | コメント (0) | トラックバック (0)

« 2011年1月 | トップページ | 2011年3月 »