「2010年度 バイオメトリクス・セキュリティに関する研究会 報告書」公開

IPAセキュリティセンターから「2010年度 バイオメトリクス・セキュリティに関する研究会 報告書」が公開されました。

今回の報告書では、生体認証による入出国管理について、などが取り上げられています。
それにしても、「バイオメトリクス」「生体認証」と、用語の統一感がないなぁ。

※ゴールデンウィーク中は更新しない予定です。次回は、5/9くらいに・・・。

＜公開資料＞
・「2010年度 バイオメトリクス・セキュリティに関する研究会 報告書」

・報告書 附録

＜参考資料＞
・生体認証システムの導入・運用事例集　改訂版

・生体認証導入・運用のためのガイドライン　改訂版

・生体認証利用のしおり

「2010年度 自動車の情報セキュリティ動向に関する調査」報告書、公開

IPAセキュリティセンターから「2010年度 自動車の情報セキュリティ動向に関する調査」報告書が公開されています。

ここでは、2010年度に発生した自動車の情報セキュリティに関する事件2件と、車載システムの脆弱性を突いた攻撃に関する研究等4件についての調査結果6件についてまとめらています。

　2010年度に発生した自動車の情報セキュリティに関する事件では、日本において自動車の盗難防止装置であるイモビライザーを解除する器具「イモビカッター」が悪用され、36台の自動車が盗難される被害や、米国で遠隔イモビライザーを不正に操作され、100台以上の自動車が使用不能になるなどの被害がありました。このような被害の防止に努めるため、自動車の車載ソフトウェアに関する調査を実施したところ、車載ソフトウェアは高機能化が進む一方で、自動車の操作に影響を与えうる脆弱性の存在も明らかになりました。
　また、今後普及が見込まれる電気自動車についても、車載システムの脆弱性に関する調査を行いました。この結果、電気自動車に関して「インバータの破壊」や「モータをスタートさせない」等、新たに9項目の攻撃手法を確認しました。

　本調査では、自動車の情報セキュリティ上の脅威を低減させるために4つのポイントをまとめました。
（1） 車載ソフトウェアの高機能化に伴い顕在化する、脆弱性への対策
（2） スマートフォン等を介し、外部から自動車へのアクセスが可能となる場合の危険性の認識
（3） 自動車内部の車載システム間の相互通信時のセキュリティの確保
（4） 電気自動車について、エンジン車に比べて増加する脅威の検討

自動車だけでなく、今後は様々な制御システムが脅威にさらされることになります。
そうしたセキュリティ対策も、われわれはやっていかなければならないのですね。

「復興庁」設置よりも・・・

毎日jpの記事「東日本大震災：「復興庁」来年４月設置で調整」からです。

この記事によると「東日本大震災の被災地復興へ向けた実施組織について、まず全閣僚で構成する「復興対策本部」を設置し、１年後の来年4月をめどに各府省の権限を一元化した「復興庁」（仮称）を設置する方針を固めた」とのことです。
実は先週の金曜に、あるイベントで個人的な見解・提言として「『復興庁』よりも日本版DHS、FEMAを！」と話したばかりです。

DHSとは「米国土安全保障省（Department of Homeland Security）」で、FEMAとはDHSの下部組織で「アメリカ合衆国連邦緊急事態管理庁(Federal Emergency Management Agency）」のことです。

この機会に、（期間限定的な組織の設置ではなく）まず国としての包括的・継続的危機管理が必要であり、そのための体制・組織を構築・設置して、復興もその中でやってもらいたいと思っているのですが・・・。

「中小企業のためのクラウドサービス安全利用の手引き」「クラウド事業者による情報開示の参照ガイド」公開

IPAセキュリティセンターから「中小企業のためのクラウドサービス安全利用の手引き」
「クラウド事業者による情報開示の参照ガイド」が公開されています。

この2つの資料の概要は、以下の通り。

・「中小企業のためのクラウドサービス安全利用の手引き」
中小企業が自社でクラウドの利用についての判断やその条件の確認、注意点の点検等が比較的容易にできるように、以下のような構成で、クラウドに関する説明や利用イメージを提供し、利用に際してチェックすべき項目を整理し、解説を加えました。

・「クラウド事業者による情報開示の参照ガイド」
クラウド事業者による情報開示に関して、その項目や開示方法について、中小企業によるクラウドサービスの安全利用の視点から期待される姿を示しています。（「中小企業のためのクラウドサービス安全利用の手引き」に対応）

中小企業の経営の効率化と発展のため、震災からの早期復興のためにも、クラウドサービスはぜひ普及してほしいと思っています。
その参考にできそうな資料ですね。

セキュリティ投資すごろく

「セキュリティ投資すごろく」というページがあります。

このサイトでは、対戦型のゲーム形式で情報セキュリティ対策を体感するというもののようです。
その際に適切な投資をして、自社の損失を防げるか、それで勝敗を争う、というゲームのようです。

情報セキュリティでは、費用対効果／投資対効果の考え方が重要です。
その気づきとアプローチを理解してもらう、ということでとても面白い試みだと思います。

ちょっと、挑戦してみましょうかね。

「IT人材白書2011」概要、公開

IPAから「IT人材白書2011」の概要が公開されています。

主なポイントは、以下の通り。
※個人的に関心のないオフショアの項目は省略。

（1） IT人材の意識と環境、（4） 効果が確認されつつある産学連携による実践的教育、（5） 突出したIT人材の活用に個人的には関心があります。個人的な見解は、来週以降ここで（書ければ）書いてみたいと思います。

今日は1点だけ、（2） IT人材のグローバル化、について。
ここやその他で、何度も書いたり言ったりしてますが、外国語だけの問題じゃないのですよ。むしろ、それ以外がグローバル化における組織や個人の重要かつ本質的な問題なんですけど・・・。つまり外国語ができても、それだけでは国際的な競争優位には立てませんよ、ということです。

●「IT人材白書2011」のポイント

（1） IT人材の意識と環境
1）IT技術者の約半数にしか届かない勤務先の人材育成メッセージ
IT企業の47.3%が人材育成に関する全体方針を発信しているのに対し、それを認識しているIT人材は26.0%に留まる。また、IT企業の36.6%で経営層が個人のキャリア形成に関してメッセージを発信しているのに対し、それを認識しているIT人材は15.3%にすぎない。
 
2）将来のキャリアに不安があってもスキルを磨く行動に至らないIT技術者
「将来のために勉強したほうがいいことがわかっているが、なかなか行動に移せない」との問いに、「あてはまらない」と答えた、将来キャリアに不安を持つIT技術者は20.6%にすぎず、不安を抱えていても行動に至らない割合が高い。一方不安を持たないIT技術者では48.7%と、比較的行動に移していることがうかがえる。

（2） IT人材のグローバル化
1）5,000名以下の企業に勤務するIT技術者にとってグローバル化は不安要因
調査対象の9割に相当する、従業員5,000名以下の企業に勤務するIT技術者の約6割は、グローバル化が自分にとって不利になると考えている一方で、5,001名以上の企業では53%が有利になると考えている。
 
2）IT技術者はグローバル化の流れを認識しているが、外国語習得への取り組みは低い。
・ 今後、業務で外国語を使うようになると考える割合は企業規模にかかわらず55%以上を占める。またその傾向は企業規模が拡大するほど上昇し、5,001名以上の企業で81%となっている。
・しかし実際の外国語習得の取り組み度合いは低く、IT技術者全体の28.0%が余り取り組んでいない、46.7%が全く取り組んでいないと回答している。

＜中略＞

（4） 効果が確認されつつある産学連携による実践的教育
・ 産学連携による実践的教育の受講者のうち、就職後78.9％が「システム開発手法や開発プロセス」の知識・経験が同年代他者と比べて優れていると感じ、またIT分野における幅広い知識・経験についても受講者が同年代他者と比べ、過半数で優れていると感じている。
・実践的教育受講者のうち70.4%が「システム開発手法や開発プロセス」の知識が企業での実務に役立っていると感じている）。

（5） 突出したIT人材の活用
　 本年初めて、IPAのIT人材育成施策の効果検証として、突出した人材の発掘・育成を目指した未踏事業の採択者へのアンケート調査を実施しました。
1）イノベーションを起こす突出したIT人材の活用を模索するIT企業
・ IT企業の49.7%で、突出した能力や技術を持つ人材の必要を感じている。しかし突出したIT人材が必要と答えた企業のうち55.8%が必要な人材を確保できていない。
・ 突出した能力を持つ人材を必要としている企業は「適切な処遇が困難」、「マネジメントする体制が未整備」等の課題を抱えている。
 
2）未踏人材の強みを活かすためには第三者の協力も有効
・ 回答のあった未踏採択者の73.7%が自らの強みを「独創性」、79.1%が「課題解決力」と答えている。
・ 「どのような活動で才能を社会に役立てることができるか」という問いには50.5%が「自らの知恵やアイディアを実現したモノや価値を作り出す」を一番に挙げている。
・「優先して交流したい相手は」という問いには「技術的な知識やスキルを有するパートナー」、「ビジネスの方向性を共有するパートナー」と答えている。

■「IT人材白書2011」概要は、ここからダウンロードできます。

＜参考資料＞
「IT業界におけるダイバーシティ（多様性）～ダイバーシティ（多様性）の観点から考察したIT業界における女性活躍」～（独）情報処理推進機構 IT人材育成本部 女性技術者キャリア改革検討委員会

データセンターで「25％節電」はできるのか

msn産経ニュース「情報インフラ、停止危機　データセンター「25％節電無理」」からです。

夏場に予想される電力不足のため、経済産業省は大手事業者には25%節電を求めています。
データセンターもそれに該当するわけですが、24時間365日の安定稼働が絶対条件のセンターで大きく電力使用を抑制するのはかなり困難なことです。

西日本へサーバーを移設するのも大変ですし、スペースには限界があります。自家発電をするにも「自家発電で稼働は維持できても、燃料費がかさめばセンターの赤字は避けられず、倒産する事業者も出る。そうなれば運用できなくなるのと同じ」ということ。

データセンターは「あらゆる業界で使われている非常に重要な存在」であり、この問題はIT業界だけではなく社会経済全般へ大きな影響を及ぼしそうです。
産業の相互依存性（つまり「サプライチェ－ン」）を考慮せず、節電だけを求めてもどこかで無理が出るわけですし、別の影響を発生させるだけになりそうです。個人的には、現在の節電対策計画はもう一度見直すべきと思ってます。

事業継続計画（BCP）に関する調査結果

あずさ監査法人のHP「事業継続計画（BCP）に関するアンケート調査結果について」
からです。

あずさ監査法人が、3月11日に発生した東日本大震災における企業の対応と今後の課題について把握するために、122社に対し事業継続計画（BCP）に関する緊急アンケート調査を実施した結果を公開しています。

●調査の主な結果

・東日本大震災発生前に、「首都圏地震」を想定したBCPを策定していた企業は3割強、「東海・東南海・南海地震」を想定したBCPを策定していた企業は1割強にとどまっていた。また、今回の地震が含まれる「その他の地震」を想定したBCPを策定していた企業は2割弱にとどまっていた。
・ほぼ半数の企業が3時間未満で緊急対策本部を立ち上げた一方で、1割強の企業は立上げまでに1日以上を要した。
・緊急対策本部立上げについて、約1/4の企業は、「社内の連絡手順の不備」「訓練・演習の不足」「体制・役割分担の不備」の点において課題が発見された。
・就業中の被災であったにも関わらず、役職員の安否確認を1日未満で完了した企業は半数にとどまった。
・緊急対策本部で対策を検討するにあたり不足した情報は、「取引先の被災状況」「被災の規模、影響範囲」「公共インフラの被災状況」であった。
・社内外への情報発信について、役職員への退社、出勤等、社内への情報発信に課題が発見された企業が、約4割となった。
・事業活動の再開について、「社会インフラの機能低下への対策の不備」に課題が発見された企業が、約3割となった。
・今後の改善活動として、「BCPの教育・訓練」「BCPの見直し」を行う予定の企業が、約3割みられ、今回の震災によって災害対策への意識が高まったことがうかがえる。

今回の震災で、かなり多くの企業で課題が明らかになったという結果になっています。
意識の高まりはいい傾向だと思うのですが、そこから本質的な課題解決、そして継続的な取り組みにつながるかどうか、そこが問題です。

※事業継続計画（BCP）に関するアンケート調査結果はこちら
http://www.azsa.or.jp/news/pdf/bcp-result-survey.pdf

「第15回サイバー犯罪に関する白浜シンポジウム」

「第15回サイバー犯罪に関する白浜シンポジウム」の申し込みが始まっています。

今年で15回目なんですね。

同時開催の「危機管理コンテスト」（こちらは第6回）
も、今週予選が始まったようです。
今年から予選の方式が変更になっているようです。

そして「セキュリティ道場 in 白浜」も同時開催ですね。今回は「ドキュメントファイル解析入門」だそうです。　

楽しそうですね、私は行けないけど・・・

「第15回サイバー犯罪に関する白浜シンポジウム」
■　テーマ：「クラウド時代のセキュリティ対策」
■　日　程：平成23年5月26日（木）～28日（土）
■　会　場：「和歌山県立情報交流センターBig・U」
■　主　催：サイバー犯罪に関する白浜シンポジウム実行委員会
　・情報システムコントロール協会大阪支部
　・和歌山大学
　・近畿大学生物理工学部
　・白浜町
　・和歌山県
　・和歌山県警察本部
　・特定非営利活動法人情報セキュリティ研究所

「スマートフォン活用セキュリティガイドラインβ版」公開

JNSAから「スマートフォン活用セキュリティガイドラインβ版」が公開されました。

「スマートフォン活用セキュリティガイドラインβ版」

目 次
はじめに
本ガイドラインの利用のしかた
1． スマートフォントはどのようなものか
1.1  概要
1.2  特徴
2． スマートフォンの利用におけるセキュリティ上の課題
2.1  デバイスの設計に起因する課題
2.2  脆弱性管理における課題
2.3  業務利用における課題
3． スマートフォンの安全な利用方法
3.1 IT 管理者が考慮すべき事項
3.2  スマートフォン利用者が考慮すべき事項
4． スマートフォン端末の管理
4.1  サービス提供者側でのスマートフォン端末管理
4.2  サービス提供者側でのセキュリティ対策
4.3  サービス利用者側でのセキュリティ対策
5． スマートフォンの利用シーンとセキュリティの課題
5.1  リスクの分類とアプリケーション
5.2  その他
5.3  推奨アプリケーションの提示
6． サポート
6.1  情報の提供
6.2  ヘルプデスク

スマートフォンやタブレットPCのセキュリティは、今までの対策ではうまくマッチしないことが多いようです。
携帯電話の対策と同じようにすると不十分になり、ノートPCの対策と同じようにすると行き過ぎになってしまう・・・。
「さて、どうすれば」ということで、このガイドラインが参考になるでしょうね。

「CompTIA SMEコミュニティ」発足

（ちょっと前のリリースになりますが）「CompTIA SMEコミュニティ」発足が発表されています。

この「CompTIA SMEコミュニティ」は、

日本国内で実施されるCompTIA認定資格日本語試験の開発にご協力いただいているSMEの皆様で構成し、ITエンジニアの人材育成への提言や、学校機関を中心に、業界研究やセミナーを通して、業界で求められるITスキルを生の声として伝える活動などを予定しています。

というもので、私もメンバーに入れていただいております。

この取り組みは、産学連携、教育をするものとされるものの間のコミュニケーション、そのひとつの形だと思います。
このような活動を通じて、多くの情報の共有や交換を実現し、そこからまた新たな活動などにもつなげたいと思っています。

＜参考記事＞
・「SMEコミュニティ始動します」 ～＋なブログ

「サイバー空間の安全性・信頼性向上のための課題等について」公開

内閣官房情報セキュリティセンター（NISC）から「サイバー空間の安全性・信頼性向上のための課題等について」が公開されています。

今回は「サイバー空間」という言葉が使われています。この言葉は、概念的に「ネットワーク」や「インターネット」より大きなものを指しています。
米国の政策などでは、「インターネット」ではなく、この「サイバー空間」という用語が使われています。（特に、DHS、DoD、NSAなど）

内容的には、以下のようなことが書かれています。

●主な結論
（１）マルウェアの作成や頒布の抑制について
情報漏えいやデータ消去を引き起こすような凶悪なマルウェアが国内において作成される ケースもある一方で、現時点では我が国においてマルウェアの作成や頒布を直接規制する法律が存在していないことから、マルウェアの 作成や頒布行為を規制するための法律の早期の制定が望まれる。
（２）事故を前提とした対策実施を促す制度設計について
情報セキュリティに係る事故を完全にゼロにする対策は困難であり、事故が起こった際の 被害の発生・拡大を防止するための取組が重要であるところ、暗号化等の技術的手段を用いて情報漏えい時の二次被害の防止等を図るこ とを促すという観点から個人情報保護ガイドライン等が検討されていくことが望まれる。
（３）クラウドコンピューティングについて
国境をまたぐクラウドコンピューティングを利用した場合、海外にデータが移転する可能性 があることから、特に公的分野において、重要なデータを処理する部門がクラウドコンピューティング事業者の提供するサービスを利用する 際には、事業者が適切に情報セキュリティ対策を講じていることを委託元において確認するとともに、適切にリスクアセスメントを行って おくことも重要である。
（４）情報通信技術の利用環境の変化に応じた対応
ネットワーク家電が今後も増加するものとみられることから、我が国において、ネットワーク 家電製品に対して適用される情報セキュリティに関するルールを早急に明確化することが必要である。

＜公開資料＞
・概要資料
・本文

「怪しいサイトに注意」というよりも

今日は短めに書きます。

米国国土安全保障省(DHS)のサイバーセキュリティ啓発活動は、"Stop, Think, Connect"という標語的なもので行われているようです。
「止まって、考えて、そしてつなげ」ということです。
日本では、よく「怪しいサイトに注意」という啓発活動や教育が行われます。
しかし、これではユーザー側がすぐに行動に結びつけにくくなっています。
第一、怪しいサイトとは何なのか、それがわかりません。それを教育するのも大変です。

この単純な"Stop, Think, Connect"のほうが、人間行動学的にも理にかなっている気がします。
（信号を渡るときの「右見て、左見て、また右見て、渡れ」と同じですね）
これからのサイバーセキュリティ啓発活動や教育もこのようなやり方にしていくべきだと思いました。

携帯電話とTwitterやSkypeとの違い

日経ITproの記事「「意外な脆さ」を露呈した携帯電話サービス」からです。

携帯電話による通信サービスは、NTTドコモの場合は震災直後には何と通常の50倍にも上るトラフィックが集中したそうです。その結果が、あのつながりにくさ（通話規制）になったのですね。
今回の震災では、このようにトラフィックの極度の集中に弱いという脆さを露呈した携帯電話とは対照的にに、“災害に強い”と大きな注目を集めたのが「インターネットを使った連絡手段」であり、それがTwitterやSkypeでしたね。

この記事によると、

  TwitterとSkypeは、クラウドや分散キャッシュ型データベースの採用（Twitter）、ユーザーリストや呼制御、通話の中継をするための「スーパーノード」の分散（Skype）などの仕組みによって、ユーザー数の増加にスケーラブルに対応でき、アクセスが集中しても簡単にダウンしないサービスの仕組みを構築している。

　このため、震災の直後でも多くのユーザーが普段と変わらない状態でTwitterやSkypeのサービスを利用できていた。特にTwitterは、携帯電話が使えないため、代わりの連絡手段や情報入手手段として利用したという人も多く、震災直後から驚くべきスピードでメッセージがやりとりされていた。

とのこと。

私の場合は、3月11日からしばらくの間は携帯電話がつながりにくい状態になりました。
その際には、TwitterやFacebookが貴重な代わりの連絡手段や情報入手手段となりました。
（残念ながら、Skypeは通話相手がおらず、利用できませんでした・・・）

携帯電話の通信サービスとTwitterやSkypeのようなサービスは、スケーラビリティと可用性でかなり違いがあるということですね。
今後は、携帯電話の代替の通信手段としてだけではなく、（震災後はユーザーが急増したようですが）さらに利用が進むのでしょう。

経済産業省 サイバーセキュリティと経済研究会/情報セキュリティ人材の育成について

経済産業省の「サイバーセキュリティと経済研究会」の第3回の議事要旨
と配布資料（下記参照）が公開されました。

この回のテーマは、「情報セキュリティ人材の育成について」です。
かなり多くの資料や意見が公開され、興味深く読んでいます。

その中でも、個人的に感じているのは、育成の場が少ないこと、育成する人材の不足・ミスマッチ、産学官の連携の不足・ミスマッチ、という点です。
それから、アメリカや韓国の情報セキュリティ人材の育成についての比較もされています。
本気でやっている国とそうでない国の違い、これは大きいですね。
とにかく、早く次のステップに進んでほしい。調査や検討ばかりでなく、実施のための体制の整備へ、ということです。
（そこまで、議論してほしいものです）
今年こそは、官主導でのそのような動きに期待したいのですが・・・

＜公開資料＞
・サイバーセキュリティと経済　研究会（第3回）‐配付資料

資料1　議事次第（ＰＤＦ形式：80KB）
資料2　サイバーセキュリティと経済 研究会委員名簿（ＰＤＦ形式：127KB）
資料3　人材育成：高等教育機関での取り組みのご紹介（ＰＤＦ形式：1.97MB）
資料4　企業が求める情報セキュリティ人材について（ＰＤＦ形式：903KB）
資料5　ハイエンド人材及び制御システム人材（ＰＤＦ形式：1.75MB）

参考資料1　情報セキュリティの人材等に関するヒアリングの概要（ＰＤＦ形式：287KB）
参考資料2　米国、韓国等におけるハッキングコンテストの概要（ＰＤＦ形式：327KB）
参考資料3　セキュリティ＆プログラミングキャンプの概要（ＰＤＦ形式：420KB）
参考資料4　IT－keys概要、ICT教育推進協議会概要（ＰＤＦ形式：2.22MB）
参考資料5　人材育成事業・プログラム一覧（ＰＤＦ形式：86KB）
参考資料6　セキュリティ人材育成に関わるメモ（ＰＤＦ形式：185KB）

子供がID盗難に遭う確率は大人の50倍以上

日経ITproの記事「子供がID盗難に遭う確率は10.2％、大人の50倍以上狙われやすい」からです。

この記事によると、

社会保障番号を盗用されたことがあり、最も年齢が低い被害者は生後5カ月の乳児だった。盗まれた社会保障番号は、第三者の就職、クレジットカードや銀行口座開設、住宅や自動車購入、運転免許証取得などに使われた。

（中略）

子供がID情報を盗用された場合、大人以上に大きな損害を被ることになる。使用履歴がほとんど空白の子供のID情報は犯罪者に狙われやすいが、親は子供のID情報が盗まれたことになかなか気付かない。

ふだん、（子供のものに限らず）使っていないID情報は管理されていないので、チェックされない、ということですね。
今後は、ID情報を利用する機会も増えるはずですので、注意しなければなりません。

「安全なウェブサイトの作り方 改訂第5版」公開

IPAセキュリティセンターから「安全なウェブサイトの作り方 改訂第5版」が公開されています。

この改訂版では、「かんたんログイン」など携帯サイトについて、追加で取り上げられていますね。

「安全なウェブサイトの作り方」改訂第5版の内容

・第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等9種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。

・第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策やフィッシング詐欺を助長しないための対策等7つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。

・第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から8種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。

・巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。

「安全なウェブサイトの作り方 改訂第5版」の主な改訂内容

1.「携帯ウェブ向けのサイトにおける注意点」を追加
・携帯サイトの開発者・運営者が注意する点として、下記4項目を追加しました。
・携帯IDの使用に関する注意点。いわゆる「かんたんログイン」の危険性と、その代替策。
・セッション管理に関する注意点。セッションIDの格納場所に関する検討事項。
・クロスサイト・スクリプティングに関する注意点。携帯サイトにおける対策の必要性。
・認証情報に関する注意点。短く単純な暗証番号等の危険性。

2.失敗例を2項目追加
・不適切なセッション管理の例
・メールヘッダ・インジェクションの例

＜公開資料＞
「安全なウェブサイトの作り方」 日本語版（2011年4月6日改訂第5版公開）
・安全なウェブサイトの作り方
・セキュリティ実装 チェックリスト

別冊：「安全なSQLの呼び出し方」日本語版（2010年3月18日公開）
・安全なSQLの呼び出し方

「大震災による東日本の電力不足に関する緊急提言」

公益社団法人化学工学会から「大震災による東日本の電力不足に関する緊急提言」が公開されています。

この緊急提言の骨子としては、以下の3点が挙げられています。

1）電力需要の時空間シフト
2）電力需要の詳細データの開示
3）電力供給中期ビジョンの提示

電力は、ICT及びセキュリティ運用には不可欠な要素（相互依存関係にある）であり、物理環境セキュリティ分野でも主要な項目です。
この提言から、自分たちの役割ではどうすべきなのか、考えてみようと思います。

この提言にある通り、ライフスタイルやワークスタイルも変わっていかなければならなくなるでしょう。そうすると、必然的に運用も変わるわけです。そして、この変化は一時的なものには終わらないと思っています。

※ 本文はこちら

「米国連邦政府のサイバーセキュリティ政策を巡る最近の動向」

IPAのニューヨーク便り「米国連邦政府のサイバーセキュリティ政策を巡る最近の動向」からです。

このレポートでは、米国連邦政府のサイバーセキュリティ政策の最新動向について報告されています。
つまり、オバマ政権でのサイバーセキュリティ政策ですね。

「包括的サイバーセキュリティ・イニシアティブ（Comprehensive National Cybersecurity Initiative、CNCI）」、ホワイトハウス・国家安全保障局（NSA）・国防総省（DoD）・国土安全保障省（DHS）・行政管理予算局（OMB）・国立標準技術研究所（NIST）・中央情報局（Central Intelligence Agency、CIA）などの政策・活動・体制について報告されており、非常に興味深い内容になっています。

個人的には、その中でも「サイバーセキュリティ教育に関する国家イニシアティブ（National Initiative for Cybersecurity Education、NICE）」に注目しています。

このNICEとは「サイバーセキュリティ専門家育成のみならず、一般国民に対してもサイバーセキュリティ教育を行い、サイバー空間におけるベストプラクティスの遂行を奨励することで、国家全体でサイバーセキュリティ体制の強化を目指す取り組み」です。
米国におけるサイバーセキュリティ人材教育制度の方向性が紹介されています。
まずは、日本のサイバーセキュリティ政策、人材教育制度と比較してみて、今後のあるべき姿など考えてみるとします。

NIST SP800-94「侵入検知および侵入防止システム（IDPS）に関するガイド」など公開

IPAセキュリティセンターの「海外情報セキュリティ関連文書の翻訳・調査研究」のページで、以下の3つの文書の日本語版が公開されました。

・FIPS200-1「連邦職員および委託業者のアイデンティティの検証
（Personal Identity Verification (PIV) of Federal Employees and Contractors）」

・NIST SP800-37 rev.1「連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド： セキュリティライフサイクルによるアプローチ
（Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach）

・NIST SP800-94「侵入検知および侵入防止システム（IDPS）に関するガイド（
Guide to Intrusion Detection and Prevention Systems (IDPS)）」

NIST文書の日本語翻訳は、これでひとまず終わるのでしょうか。
まだまだ、たくさん翻訳してもらいたい文書があるんですけど。

情報セキュリティ理解度チェックサイトの受講結果分析

JNSAのサイトで「情報セキュリティ理解度チェックサイトの受講結果分析コラム」の第1回が公開されました。

「情報セキュリティ理解度チェックサイト」は、社員や職員（つまり、一般のユーザー）の情報セキュリティのリテラシーレベルの理解度を測定できるサイトです。

私もこのサイトの作成に関わっており、このコラムの執筆もいたしました。
（私の回は、まだ後です。そのうち、掲載されます）

一般のユーザーの情報セキュリティのリテラシーの傾向が、ある程度わかっていただけると思います。
ぜひ、ご覧になって参考にしてみてください。

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」公表

経済産業省より「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が公表されました。

クラウドサービスの事業者と利用者間での信頼関係確立のため、情報セキュリティマネジメントと情報セキュリティ監査を活用する、というような内容になっていますね。

事業者と利用者間での信頼関係確立はかなり大変そうですが、まずはこの資料をダウンロードして読むのが大変そうです。

＜公開資料＞
・クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表～クラウドサービスの安全・安心な利用に向けて～
・クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて
・クラウドセキュリティガイドライン(分轄)http://www.meti.go.jp/press/2011/04/20110401001/20110401001-3.pdf
http://www.meti.go.jp/press/2011/04/20110401001/20110401001-4.pdf
http://www.meti.go.jp/press/2011/04/20110401001/20110401001-5.pdf
http://www.meti.go.jp/press/2011/04/20110401001/20110401001-6.pdf
http://www.meti.go.jp/press/2011/04/20110401001/20110401001-7.pdf

「情報セキュリティインシデントに関する調査報告書～発生確率編～」公開

JNSAのHPで「情報セキュリティインシデントに関する調査報告書～発生確率編～」が公開されています。

この報告書では、以下のようなインシデントの発生確率のデータが示されています。

会社員のうち、１年間に携帯電話を紛失する人、盗難にあう人、紛失しそうになる人の割合は、約6.5%となった。同様に、パソコンの場合は、約3.5%となった。
USBメモリを紛失する人、盗難にあう人の割合は、約4.5%となった。1年間に電子メールやFAXの誤送信を行う会社員の割合は、どちらも約40％となった。

かなり興味深いデータのその分析が行われています。

一般的に脅威の分析は、発生の確率（可能性）と影響度であらわされます。
（良く「脅威マトリックス」と言われている、あの図です）
そのような場合のインプットに利用できますね。

ソーシャルメディアの「限界」と「可能性」

日経ビジネスオンラインの記事「大震災で明確になった～ソーシャルメディア3つの「限界」と4つの「可能性」」からです。

今回の震災では、ソーシャルメディアがコミュニケーション手段としてかなり使われました。

そのソーシャルメディアの限界と可能性として、この記事では以下のようなものが挙げられています。

限界その1：回線がつながらなければ無意味
限界その2：真偽が定かで無いデマ情報が伝播してしまう
限界その3：不特定多数への一斉伝達には向かない

可能性その1：プル型の情報発信（特に安否確認）
可能性その2：当事者自らの情報発信が容易
可能性その3：有益な情報のフィルター機能
可能性その4：利用者によるコラボレーション

野村総合研究所での調査（参考記事）からの分析結果でも「震災関連の情報取得において、ソーシャルメディアの利便性を多くの回答者が実感した一方で、デマやウソの情報に触れる機会も結果として増加した可能性が高かった」とされています。

ソーシャルメディアの普及という現象は、コミュニケーションの一過性のブームではなく、間違いなくパラダイムシフトです。
（どんなツールでも同じですが）その特性から、必ずメリットもデメリットもあるわけで、それを考慮した上でどんどん利活用していくべきだと思います。私自身も、メリットもデメリットも、どちらも実感しておりますが、個人的にはメリットのほうがかなり大きかったと思ってます。

＜参考記事＞
・「東日本大震災で発生したソーシャルメディア上のいくつかの出来事について、プレゼン資料（暫定版）にまとめてみました。」～tokuriki.com

・「「震災に伴うメディア接触動向に関する調査」を実施～NHKへの信頼度が上昇し、ソーシャルメディアも存在感～」～野村総合研究所