情報セキュリティのお国柄

JNSAの「情報セキュリティ理解度チェック」サイトの利用結果からの、都道府県別平均点・点数分布分析をもとにコラムを書いてみました。

この「情報セキュリティ理解度チェック」は私もサイト作りに参加しているものです。
その利用の結果をいろんな角度から分析し、その結果をもとにメンバーが分担してコラムを書いています。
そこで、私に回ってきたのが「都道府県別」の分析結果というお題でした。
悩んで苦しんで書いたのがこのコラムで、結局「県民性（お国柄；おくにがら）」という観点で書いてみました。

このコラムに書いたとおり、ワークスタール、ライフスタイル（身近な社会；経済や産業、社会環境そのもの、文化・慣習など）の違いなどが、情報セキュリティでも差異を生んでいると思っています。
それが、「都道府県」と細かい単位で顕著に表れるかどうかには自信がないのですが、「日本」という単位よりは細かい単位である程度の傾向の違いはあるのではないかと思っています。
いつかどこかで検証したいと思っていますが、まずは私なりの仮説ということでこのコラム読んでいただければと思います。

「後進の育成」の場と機会

先週開催された「第15回 サイバー犯罪に関する白浜シンポジウム」と併催で、「第6回 情報危機管理コンテスト」が行われました。

私は残念ながら白浜には行けなかったので、東京からUstreamで見ておりました。

【情報危機管理コンテスト結果】
優勝(経済産業大臣賞): 同志社大学
準優勝: 情報セキュリティ大学院大学
顧客満足賞: 信州大学
技能賞: 関西大学
新人賞: HAL東京

参加された学生の皆様、スタッフの皆様、お疲れさまでした。

このようにチャレンジできる場や機会があるかないか、これは大きな違いですね。
それがないのに、高度人材育成などできるわけがありません。
その場と機会は、先輩たちが作ってあげなければなりません。

このようなコンテストは目標を持って実戦形式でチャレンジし学べる、これがまさに「後進の育成」の有効な方法だと思います。
そして、「後進の育成」ができれば、人材を育成する人材の育成にもつながるのです。
情報危機管理コンテストも来年以降ももっと盛り上がってほしいと思いますし、同様の場と機会がもっと増えることを切に願います。

「想定外」とは何を指すのか

日経ITpro「ソニー、“想定内”の攻撃を防げず」からです。

いまだに多くの謎を残すこの事件。最大の問題は「既知の脆弱性」があったにも関わらず、結果として放置していたということです。
今回も「非常に高度な攻撃」とか、「想定外」という言葉が使われましたが、専門家ならずともそう受け取ってない人がほとんどなわけです。

この件に限らず、この「想定外」という言葉は「つまり、やってませんでした」という時に都合のいい便利な言い訳などとして(意識的または無意識に)使われている気がします。「このような事象が発生することを想定するのが、極めて困難だった」という意味以外に、

・想定していなかったことにしたい
・（スキル不足、管理不備等で）想定できなかった
・意図的に想定しようとしなかった
・想定の範囲から意図的にはずした
・そんなことを想定とした仕様・設計、運用ではなかった

など、いろんなケースがあり、それをすべて「想定外」と言っているような気がします。(今回は、どの「想定外」かはわかりませんが)
しかし、どのような場合でこの言葉を使おうが、事実は変えられませんし、免責にもなりません。

「想定外」という言葉は、いいかげん使うのをやめませんか。
特に、専門家は（自覚や誇りがあるのなら）使っちゃいけない。そう思います。

「MyJVNバージョンチェッカ」のチェック対象ソフトウェアを拡充

IPAのプレス発表「MyJVNバージョンチェッカ」のチェック対象ソフトウェアを拡充からです。

「MyJVNバージョンチェッカ」の機能が拡充されたようです。

「MyJVN バージョンチェッカ」は、PCにインストールされているソフトウェアが最新のバージョンであるかを簡単な操作で確認することができるツールです。本ツールは、2009年11月から公開しており、毎月平均で約115万件、公開からの累計で約2,000万件のアクセスがあります。昨今ソフトウェアの脆弱（ぜいじゃく）性を狙った攻撃が増加しており、その対策として、利用しているソフトウェアを最新バージョンに保つことは重要です。

＜中略＞

「MyJVNバージョンチェッカ」のチェック対象ソフトウェア

Adobe Flash Player（Active X版） 動画再生ソフト
Adobe Flash Player（Plug-in版） 動画再生ソフト
Adobe Reader PDFファイル閲覧ソフト
JRE Java実行環境
Lhaplus ファイル圧縮・解凍ソフト
Lunascape ウェブブラウザー
Mozilla Firefox ウェブブラウザー
Mozilla Thunderbird メールソフト
Quick Time 動画再生ソフト
★Becky! Internet Mail メールソフト
★OpenOffice.org 文書編集ソフト
★VMware Player 仮想化ソフト

★:今回、追加したソフトウェア

機能が向上したのはいいんですが、もうちょっと対応ソフト増やせないもんなんですかね・・・。

スマートフォンのセキュリティ対策はどこまで･･･

日経ITproの記事「Webフィルタリング機能も搭載、高セキュリティすぎて使いにくい面も」からです。

この記事では、エフセキュアの「エフセキュア モバイル セキュリティ for Android」についてその機能をレポートしています。
タイトルにもある通り「高セキュリティすぎて使いにくい」という気がします。確かに、一般ユーザーではここまでの機能を使いこなすことは期待できないと思います。
というより、ここまで必要ないのではないか、というのが率直な感想です。

私は現在、シマンテックの「ノートンモバイルセキュリティ」を使っているのですが、これで十分だと思っています。（そのほか、トレンドマイクロからも同様の製品がリリースされてます）
スマートフォンでは、携帯電話で実施しているセキュリティ対策では不十分ですが、PCと同じ対策は（今のところ）必要ないと思っています。
また、個人での利用か、ビジネスでの利用か、によってもその必要度合いは違うのではないか、このようなセキュリティソフトによる対策ではなく、別の対策ではないか、などなどの理由もあり「高セキュリティすぎ」と思ったのでした。

震災時、BCPとITは機能したのか

Computerworld.jpの記事「ユーザー企業IT担当者に聞いた「そのとき、BCPとITは機能したか」」からです。

「震災時、BCPとITは機能したのか？」この質問は、3月11日以降いろんなところでされてきました。
それだけに、かなり注目される調査結果です。

この記事によると、

　BCPについて、震災発生以前から策定済みだったと回答した企業は全体の31％。策定中または検討中だった企業も合計でほぼ同率だったが、「自社には必要ないもの」ととらえていたという企業もおよそ17％あった。

（中略）
　　　
　震災後のITプロジェクトの「変化」については、約半数の回答企業が何らかの影響を受けたとしている。短期的な延期、もしくはプロジェクトの見直しという回答が多い。
　ITインフラの災害対策やITサービスの継続計画についても同様に、約半数が何らかの変化があったとしており、20％が対策計画の新規策定／検討、35％が対策計画の見直しに着手している。

災害そのものとその対応を想定できたのか、そして基準や手順の有効性は確かだったのか・・・、などなど、知りたいことだらけです。

しかし、すべてのデータは、登録しないと読めないのですね。
やっぱり、そう来たか。とりあえず、登録してダウンロードしておくか・・・。

日本セキュリティ・マネジメント学会 第25回全国大会

日本セキュリティ・マネジメント学会 第25回全国大会の開催が告知され、申し込みが始まっています。

■名　 称：JSSM 第25回全国大会
　テーマ「知る権利とセキュリティ・マネジメント」
■開催日：2011年6月25日（土）、26日（日）
■主　 催：日本セキュリティマネジメント学会

今回は、初の2日間の開催なのですね。
そして、会場は長岡（新潟県）です。
残念ながら、私は参加できそうにありません・・・。

フィッシングの標的は金融機関からSNSへ

日経ITproの記事「フィッシングの標的は金融機関からSNSに、8割以上を占める」からです。

この記事によると、金融機関のサイトが主な対象だったフィッシングが、2010年後半からはfecebookなどのSNS（ソーシャルネットワーキングサービス）サイトをかたるものが多数を占めている、とのことです。

fecebookは世界で5億人以上、日本でも急激に増え続け310万人以上の登録ユーザーがいます。
ユーザーが増えれば、そこがどうしても狙われるわけですね。

fecebookはスパムアプリも多いですね。しかも、しつこい。皆様、ご注意を。

＜参考URL・日本マイクロソフト＞
・2010 年下半期のセキュリティ脅威の動向

・マイクロソフト セキュリティ インテリジェンス レポート 第10 版 (SIR v10)

情報セキュリティアンテナ

（紹介し忘れていましたが）「情報セキュリティアンテナ」という、情報セキュリティ関連の情報を集約したサイトがあります。

このサイトは、以下の7つのカテゴリーでWebからの情報が集められています。

●情報セキュリティアンテナ

・個人サイト・ブログ
・官公庁・政府機関
・NEWS サイト
・ウイルス対策ソフトベンダー
・Microsoft
・ソフトウェア
・セキュリティ関連企業・団体

「情報セキュリティの情報源ポータル」といったサイトですね。
個人サイト・ブログでは、このブログも載せていただいてますね。

それにしても、情報セキュリティの情報源もかなり多いのだなぁ、としみじみ思うやら、ため息が出るやら…。

なぜ「後進の育成をするのか」・その2

今回は、前回から、間が空きましたが、書き損ねたことを・・・。

前回は、P・ドラッカーの言葉ばかりになってしまったので、今回は私が好きな別の「後進の育成」に関する名言について書いてみます。

元・楽天監督の野村克也さんなどが座右の銘としている言葉に「三流は金を残す、 二流は名を残す、 一流は人を残す」というものがあります。（残念ながら、もともとの出典がわかりません）

また、教育学者ウィリアム・ウォード氏は、「平凡な教師は、言って聞かせる。よい教師は、説明する。優秀な教師は、やってみせる。しかし、最高の教師は、（こどもの）心に火をつける」と言っています。

どちらも、「後進の育成」において重要なことを言い表している名言だと思っています。
「言って聞かせる」「説明する」ではなく、「人を残す」ということ。
私は、いつもそれを肝に銘じ目標としています。

日本スマートフォンセキュリティフォーラム（JSSEC）設立

昨日（5/16）、「日本スマートフォンセキュリティフォーラム（JSSEC）」が設立が発表されました。

この団体は、

個人を中心に急激に普及しているスマートフォンやタブレット型端末（以降スマートフォン）は、 企業や団体でも業務効率化・生産性向上、ならびに新しい事業基盤の中核ツールとしても大きな期待を寄せられています。

しかし、不適切な利用やセキュリティ上の不備、悪意ある行為などにより利用者や事業者へ悪影響などを警戒するあまり、 有効活用への機会を逸することが危惧されています。

そのため、通信キャリア、機器メーカ、システムインテグレータ、アプリケーション開発、サービス提供ベンダなどの 提供者だけではなく利用企業ならびに関連団体などが協調し、スマートフォンの安全な利活用を図り普及を促進するために、 2011年5月25日に設立予定の任意団体です。

目的
1. 企業・団体における利用者が安心して高度なサービスを受けられるようにする。
2. 実装すべきセキュリティレベルの理解を社会に浸透させ、提供者が安心して事業推進を行えるようにする。
3. 利用者のセキュリティリテラシー向上のための活動も行い、さらに高度なサービスを受けられるようにする。
4. セキュリティを切り口とした「信頼できるニッポン！」を確立しグローバル市場へアピールする。

活動内容
1. スマートフォンの利用や技術に関するセキュリティに有益な情報の交換や提供を行う。
2. スマートフォンの利用や技術に関するセキュリティに関係する調査や研究を行う。
3. スマートフォンセキュリティの普及、啓発を促進するための活動を行う。

というものです。

設立は、5/25(水)で同時に総会と懇親会も開催されるようです。

○設立総会
日時：5月25日（水）
場所：TKP八重洲カンファレンスセンター

プログラム:
・設立総会（16:00～17:00）
・設立総会記念講演（17:10～18:00）
・懇親会（18:00～20：00）

なぜ「後進の育成」をするのか

これは私がよく質問を受けることであり、このブログでも検索キーワードの上位にある言葉です。

なぜするのか、という動機については、「自己実現」と「社会や組織に対する貢献」の2つの意欲だと思っています。

まず、「自己実現」については「人に教えることほど、勉強になることはない。人の成長の助けとなろうとすることほど自らの成長になることはない」というドラッカーの名言に言い表されていると思います。
そして、「社会や組織に対する貢献」については、「『（売上や利益など）直接的な貢献』『（イメージやブランドなど）間接的な貢献』『人材の育成』」であると、やはりドラッカーが言っています。

私が「後進の育成」をするのは、このような理由からでもありますが、最大の理由は別にあります。
最大の理由は、「この仕事が好きだから」です。

＜参考記事・このブログ＞
・プロフェッショナル的「後進の育成」

JNSA 2010年度活動報告会

「JNSA 2010年度活動報告会」の開催が発表されています。

「JNSA 2010年度活動報告会」

■ 日　時：2011年6月8日（水）
■ 場　所：アルカディア市ヶ谷 6F
　（千代田区九段北4-2-25）
■ 主　催：特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
■ 定　員：
　トラック1（阿蘇（東）／定員：80名）
　トラック2（阿蘇（西）／定員：80名）
■ 概　要：2010年度活動報告会では、2010年度に活動したワーキンググループ（WG）の活動報告と今後の活動計画などの発表を行います。
■ 参加申込み：本ページ下「申込みフォームへ」ボタンよりお申込み下さい
■ 料　金：参加費無料

ちなみに、私は教育部会のセッションで登壇いたします。

「『暗号をめぐる最近の話題』に関するレポート」公開

IPAから、技術レポート（IPA テクニカルウォッチ第2回）として、「『暗号をめぐる最近の話題』に関するレポート～SSL/TLSや暗号世代交代に関連する話題から～」
が公開されています。

暗号の世代交代では、「改訂された暗号アルゴリズム移行方針SP800-131A」と「新たな米国政府標準ハッシュ関数策定（SHA-3コンペやDRAFT FIPS 180-4）」に関する最新情報について触れられています。

また、SSL/TLSでは、

オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています。しかし、そのSSL/TLSプロトコルに関する事故が最近複数発生しており、一般ユーザーが被害を受ける恐れがあったことが判明しました。

ということで、SSL/TLSの不適切な運用が取り上げられています。

「お客様の情報を守るために“SSLという暗号化技術” を採用」というような記載は、確かによ見かけますね。
SSL/TLSのことをよく理解していれば、このような記載はしにくいと思います。
それから、日本語としても論理的に飛躍していると思います。

「世界サイバー戦争」

ちょっと前に読んだ本「核を超える脅威　世界サイバー戦争 見えない軍拡が始まった」についてです。

内容紹介（徳間書店Webより）

中国は90年代半ばからサイバー戦闘能力を高め、今では世界屈指の能力を保持するに至っている。中国はハッカー集団を養成し、サイバー戦争部隊を創設し、米国の電力網を論理爆弾（ロジック・ボム）で破壊する能力を備えつつある。何も中国だけに限らない。ロシアもイスラエルも北朝鮮もそれぞれにサイバー戦闘能力を磨いている。 本書はいまやサイバー戦争が原発を破壊するほどの威力を備え、主要国の「国力をかけた」戦いとなっていることを警告する。

サイバー攻撃・戦争とその背景（特に米国の政策やサイバーディフェンスの動向）について知るには、（読み物として）良い本だと思います。
セキュリティの技術書ばかりでなく、こういう書籍（他には、下記の参考書籍など）も読んでおくと攻撃の手口その背景、サイバーセキュリティの考え方に関する日本との違い、などがさらに理解が進むでしょう。

それにしても、原題の「Cyber War」に対し、邦題のサブタイトルは煽り過ぎで先入観を与えるだけ。個人的には不要だと思います。

＜参考書籍（私が過去の読んだ主なもの）＞
・「世界ハッカー犯罪白書」

・「欺術」

・「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

「2010年度 制御システムの情報セキュリティ動向に関する調査報告書」公開

IPAセキュリティセンターから「2010年度 制御システムの情報セキュリティ動向に関する調査報告書」が公開されています。

この報告書では、制御システムの情報セキュリティ上の脅威を低減させるための課題として、以下の3つのポイントがまとめられています。

・制御システムのセキュリティ標準及び認証の整備
・制御システムにおける汎用製品や標準プロトコルの利用に伴う脅威の拡大に対する意識向上
・HEMS（Home Energy Management System；スマートメーターやサービスゲートウェイ等との接続により、家庭の消費電力を管理・制御するシステム）のセキュリティ対策普及に向けた検討

制御システムは、近年環境のオープン化（汎用製品や標準プロトコルの利用）が進んでいたため、対策の必要性が言われ始めたものの対応は進んでいませんでした。それが「Stuxnet」以降、脅威がまぎれもない現実となってきました。さらに、3月の震災の影響による、（制御システムが利用されている）電力をはじめとするライフラインにおける対応も必要になってきました。いよいよ、本格的に対応すべき時期だと言えると思います。

知識とスキルの研鑽・維持

ゴールデンウィークも終わり、ブログの更新を再開します。

Computerworld jpの記事「米司法省、国家的サイバー犯罪に対するFBIの捜査力を“酷評”」からです。

この記事を読むと、知識やスキルの研鑽・維持の重要性と難しさを痛感します。
常に最新の情報や動向の収集と理解、それらを維持するための研鑽の時間や機会・体制（情報の共有や交換）等、知識とスキルの研鑽・維持のためには、やるべきことと課題が山積ということですね。
これらは確かに難しいのですが、それができないとセキュリティのプロフェッショナルとしては早晩通用しなくなるわけです。
「だから、頑張らないとね」と、連休明けで調子の上がらない自分自身を叱咤激励しております・・・。