« 2011年5月 | トップページ | 2011年7月 »

2011年6月の記事

2011年6月29日 (水)

「デフコン・キッズ」開催へ

AFP BB News「子ども向けハッカースクール「デフコン・キッズ」開催へ」からです。

この記事によると、

 子どもたちを対象としたハッカースクール「デフコン・キッズ(DEFCON Kids)」は、米ラスベガス(Las Vegas)で8月6日から2日間にわたって開催されるハッカーの年次国際会議「デフコン(DEFCON)」にあわせて開かれる。

<中略>

 その一方で、子ども向けのハッカーセミナー開催については、デフコンメンバー内でも批判の声が上がっている。

 中でもロックピッキングやソーシャル・エンジニアリングなど、不正な手段で個人情報を盗むハッキング技術を教えることへの批判が強い。

 こうした批判に対し、企業にハッカー対策を講じているクリス・ハドナギー(Chris Hadnagy)氏は「僕たちが子どもたちに悪を教えるかのように、皆身構えるが、決してそんなものではない」と力説する。「批評眼をもって思考し、主体的に考える。デフコンが教えるのは、こういうことだ」

 さらにハドナギー氏は、「インターネットの世界は悪意をもったやからの温床となっている。自分の子どもたちに身につけさせたいのは、そうした世界に巻き込まれないための技術だ。相手がクラスメートであろうと、悪意を持った大人であろうとね」と付け加えた。

とのことです。

私個人としては、子供たちにハッキング技術を教えることは悪いことだとは思いません。
そして、こうした内容を子供たちにリテラシーとして教育することの必要性を考えなければならない時代になったのだ、とも感じています。

<参考URL>
「defconkids.org」(英語サイト)

| | コメント (0) | トラックバック (0)

2011年6月28日 (火)

セキュリティ&プログラミングキャンプ2011

「セキュリティ&プログラミングキャンプ2011」の参加者募集が始まってます。

今年で8回目になるんですね。開催場所は、大阪です。

そして今回は「従来のソフトウエア・セキュリティ、Webセキュリティ、ネットワーク・セキュリティ、プログラミング言語に加え、クラウドコンピューティングに対応したデータストアのクラスが新設された。またOSクラスは「セキュアなOSを作ろう」クラスとなった」とのことです。

| | コメント (0) | トラックバック (0)

2011年6月27日 (月)

「セキュリティソフトはネットユーザーを守れるのか?」を体験できるオンラインゲーム

ITmediaの記事「セキュリティソフトはネットライフを守ってくれる?」からです。

シマンテック社は、「ネットの脅威からユーザーを守るセキュリティソフト」というコンセプトの無料オンラインゲーム「ネットライフゲーム」を、本日6月27日(月)午前10時にオープンするようです。

これは、とても面白うそうです。
(見るからに、人生ゲームチックな感じで)
さっそく、アクセスしてみようと思います。

| | コメント (0) | トラックバック (0)

2011年6月24日 (金)

「『スマートフォンへの脅威と対策』に関するレポート」公開

「IPA テクニカルウォッチ『スマートフォンへの脅威と対策』に関するレポート」からです。

「スマートフォン」とありますが、Android端末についてのレポートですね。
ということで、今日もAndroid端末についてのお話です。

このレポートは、

 昨今、このアンドロイドOSにおける脆弱性の存在が指摘されていることから、脆弱性対策の実情と課題を把握する必要があると判断したため、IPA独自で、国内で流通しているアンドロイド端末を入手し対策状況の検査を実施したものです。

 検査時期は今年3月で、対象機種は、3月の時点で市販されていたアンドロイド端末14機種です。検査は、「ドロイド・ドリーム」というウイルスを構成するプログラムの一部を用いて実施しました。この「ドロイド・ドリーム」は、2010年8月に発覚した脆弱性などを悪用するもので、検査では、このウイルスが悪用の対象とする2件の脆弱性への対応状況を確認しました。

 3月の検査時点で、アンドロイドOS自体は対策済みとなっていましたが、検査の結果、3月の実験では、これらの脆弱性に対策できていない機種が、14機種中11機種(約79%)に上りました。間隔をおき、6月に各機種の対策状況をアンドロイド端末販売元に確認したところ、対策できていない機種は、2機種残っています。

というもの。

現在のフローだと、端末を提供しているベンダーに依存してしまうので、どうしても対策が遅れがちになってしまうようです。
別のフローにしていかないと、脅威も影響も増えていくばかりになりそうですね・・・。

<公開資料>
IPA テクニカルウォッチ スマートフォンへの脅威と対策に関するレポート

・テクニカルウォッチ概要全文

別紙資料1

別紙資料2

| | コメント (0) | トラックバック (0)

2011年6月23日 (木)

高まるAndroidのリスク

日経ITproの記事「オープンゆえにリスクも高いAndroid」「Androidユーザーに悪夢再来か」からです。

最近、ますますAndroidのリスクが高まっているようです。
これだけ、急激に利用者が増えると、ターゲットになるのも当然なわけです。
しばらくは、(他の環境よりも)攻撃が先行するんでしょうね。
私もAndroid端末ユーザーなので、注意しないと・・・

この記事は「Androidの魅力は「オープン」であること。OSのライセンス料がフリーで仕様も公開されているため、端末やアプリケーションを開発しやすいのに加え、ユーザーがアプリケーションを自由にインストールできる。それだけに、マルウエア(不正なプログラム)も登場しやすく、パソコンと同等以上のセキュリティ対策が欠かせない」とあります。

Androidは、アプリケーションがつくりやすく、そのため多くのアプリケーションが提供されており、インストールもしやすい。
これは、間違いなく開発者や利用者のメリットなのですが、攻撃者にとってもメリットであるわけです。
開発者も利用者も、まずはそれを理解しなければなりませんね。

| | コメント (0) | トラックバック (0)

2011年6月22日 (水)

DBSC「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」公開

データベース・セキュリティ・コンソーシアムから「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」が公開されています。

いっこうに減らない情報セキュリティインシデント。
その多くがデーターベース周りで起こっています。
そこで、改めてデータベースにおけるセキュリティに対する提言ということですね。あわせて、シンポジウムも開催されるようです。

<データベース・セキュリティ・コンソーシアム主催>
第1回DBSCシンポジウム「その発想では防げない。止まらない情報漏えいへの緊急提言」

◆セミナー日程・会場
開催日:2011年6月24日(金)  14時00分~17時00分
定員:100名
受講料:無料
会場:LAC本社 2階

| | コメント (0) | トラックバック (0)

2011年6月21日 (火)

「復旧・復興に向けたクラウドサービス安全利用に関する資料」公開

IPAセキュリティセンターのHP「震災時の緊急支援に役立てられたクラウドサービスの事例と、復旧・復興に向けたクラウドサービス安全利用に関する資料の公開」からです。

なお、事例は以下のような分類がされています。

「震災時の緊急支援に役立てられたクラウドサービスの事例」

●情報共有・流通基盤(P2P)
・被災者・関係者間安否情報
・物流向け道路情報
・NPO等支援者-被災者間情報流通・共有

●被災者救援活動の情報インフラ
・被災者・避難所の状況把握
・救援物資の集積・配布システム
・ボランティア管理・派遣コントロール

●行政情報提供サイトの拡張
・政府の情報サイトのミラー
・自治体情報サイトのミラー
・放射線モニタ情報提供

●被災企業等の緊急情報発信・業務処理
・メールサーバーの代替
・グループウェア・Web会議等の提供
・被災状況画像の発信
・サーバー、ストレージ等の提供
・業務アプリ等の提供

さて、どうでもいいことなんですが、「クラウドサービス安全利用のすすめ」に出てくる人が靴下はいてないんですよね。
「クールビズだから?」
いえいえ、上着も着ていれば、ネクタイも締めています。

そんなことより、資料を読まねば・・・

<公開資料>
「東日本大震災に際して提供されたクラウドサービスの事例集」
「クラウドサービス安全利用のすすめ
「震災からの復旧・復興における情報システムの再構築にクラウドサービスが活用される可能性について」

| | コメント (0) | トラックバック (0)

2011年6月20日 (月)

「コンピュータ・ウイルス作成罪」成立

コンピュータ関連の刑法「ウイルス作成罪」(不正指令電磁的記録作成罪)が成立しましたね。

ここでいう「コンピューターウイルス」とは「意図に沿った動作をさせず、不正な指令を与える電磁的記録」などと定義されています。
処罰としては「研究など正当な理由が無いのに作成したり、ばらまいた場合は3年以下の懲役または50万円以下の罰金、所持・保管した場合は2年以下の懲役または30万円以下の罰金とする」とされています。

この「ウイルス作成罪」について、各メディアが報じていますが、どこもわかりやすいようでわかりにくい。
「取得・保管」というのは、感染もこれに該当するのか、「研究など正当な理由」には、研究ではないけど「検体を入手して保有している」は該当しないのか、などなど。

まずは、法務省(参考記事)のQ&Aからかな・・・。

<参考記事>
いわゆるサイバー刑法に関するQ&A(コンピュータ・ウイルス作成罪)~法務省

「ウイルス作成罪」盛り込んだ刑法改正案が可決・成立~InternetWatch

「ウイルス」作成を処罰=サイバー犯罪に対応、7月から-改正刑法が成立~時事通信

・コンピューターウイルス作成罪を新設 改正刑法が成立 ~日本経済新聞

コンピューターウイルス作成罪新設 取得・保管にも罰則~朝日新聞

・ウイルス作成罪:刑法に新設へ…サイバー犯罪に歯止め~毎日新聞

| | コメント (0) | トラックバック (0)

2011年6月17日 (金)

Windows消費電力削減

Computerworld.jpの記事「Windowsのバージョンでこんなに違う省電力設定とその効果」
からです。

いよいよ、節電を考えなければならない時期に入ってきました。
企業は、15%の消費電力削減を達成するために、様々な対策をはじめています。
PCの消費電力を削減することも、その1つとなります。
この対策は、今、そしてこれからのモバイル時代に、「いかにバッテリーを持たせるか」という意味でも重要だと思っています。(この課題は、PCよりもスマホでさらに重要な気がしますが)

それにしても、OSによって設定も効果もかなり違うのですね。

| | コメント (0) | トラックバック (0)

2011年6月15日 (水)

「情報セキュリティ人材育成プログラム」(案)、公開

内閣官房情報セキュリティセンター(NISC)の「情報セキュリティ人材育成プログラム」(案)に関する意見の募集からです

「情報セキュリティ人材育成プログラム」(案)が公開され、意見募集がされています。

主な課題が、以下のように整理されています。

情報セキュリティ人材に関する現状と課題
(1) ギャップの拡大
① 情報セキュリティ脅威の高度化・多様化に対応できる人材の不足
② 業種を問わず必要とされる情報セキュリティ人材の不足
(2) 組織のトップの認識不足
(3) リスク対応力の脆弱性
(4) 産学連携の不足(産業界のニーズと教育機関のシーズのミスマッチ)
(5) グローバル化に対応した人材の不足
(6) 諸外国に大きく遅れる我が国の情報セキュリティ人材育成体制
(7) 分野別課題
① 政府機関における人材育成
② 企業における人材育成
③ 大学院における人材育成
④ 大学における教育
⑤ 初等中等教育段階における教育
⑥ 教員の指導力について

情報セキュリティのなかでも、特に私の専門領域の文書なので、じっくり読むとします。

情報セキュリティ人材育成に関しては、情報セキュリティ政策会議が「人材育成・資格制度体系化専門委員会報告書」を2007年1月にまとめています。この際にも「喫急の課題」としていたんですが、それから4年半が経過し「ギャップの拡大」 「大きく遅れる我が国の情報セキュリティ人材育成」となってます。
議論や検討ではなく、もう動き出さないと・・・

| | コメント (2) | トラックバック (0)

2011年6月14日 (火)

「おっちょこちょい」の確率

去る6月8日(水)の「JNSA 2010年度活動報告会」の講演資料が公開されました。

私の登壇した【教育部会BoF】「社会基盤としてのセキュリティ教育」の資料も公開されているので、ぜひご覧ください。

どれも興味深い資料なのですが、中でも「発生確率調査と2010年個人情報漏えい調査の報告」は、貴重なデータからの分析がされています。

インシデントを引き起こす常習犯「おっちょこちょい」の確率も載っています。
ここでは、複数のものを紛失する人で、約2%となっています。
紛失に限らなければ、(たとえば、紛失と誤操作とか)もっと多いはずです。
そこが、まさに組織の最大の弱点「ウィーケストリンク」なんですよね。

<参考記事・このブログ>
「情報セキュリティインシデントに関する調査報告書~発生確率編~」公開

| | コメント (0) | トラックバック (0)

2011年6月11日 (土)

「情報セキュリティ2011」(案)、公開

内閣官房情報セキュリティセンター(NISC)の「「情報セキュリティ2011」(案)に関する意見の募集」からです。

日本における情報セキュリティの年度計画「情報セキュリティ2011」(案)が、公開されています。

詳細は、これからじっくり読みますが、何点か非常に興味深い項目が書かれています。
この計画が「検討だけではなく、実行に移すにはどうすればいいのか、実行に移ったらどうなるのか」と、そう考えながら読んでみるつもりです。
とにかく、絵に描いた餅は食べられません。だからこそ、そういう考え方で読まなければ、と思っています。

あと、気になるのは、意見募集期間の短さです。
6月22日(水)ということで、またしてもあまり時間がない・・・

| | コメント (0) | トラックバック (0)

2011年6月10日 (金)

今、必要な情報セキュリティ知識

「CompTIA Security+」が改訂され、新たな試験範囲が公開されています。(改訂が、早いですね)

中身を見てみると、

 仮想化
 クラウド・コンピューティング(PaaS,SaaS,IaaS)
 IPv4 と IPv6 の違い
 ソーシャル・ネットワーキング(SNS)とP2Pの利用

あたりが、新しい項目として追加されています。
(その他も、日本の資格の試験範囲とはかなり違っています)

そういえば、ソーシャル・ネットワーキング(SNS)が挙げられているだけあって、ちゃんとfacebookページがありましたね。

<参考URL>
CompTIA Japan(facebookページ)

| | コメント (0) | トラックバック (0)

2011年6月 9日 (木)

ISOG-J「IPv6検証報告書」公開

日本セキュリティオペレーション事業者協議会(Information Security Operation providers Group Japan 略称:ISOG-J)から「IPv6検証報告書」が公開されています。

「IPv6検証報告書」
セキュリティ機器のIPv6機能の検証をISOG-J セキュリティオペレーション技術WGとJNSAの合同で行った検証報告書を掲載します。セキュリティ機器の機能確認だけではなく、セキュリティオペレーションに関係する見解も併せて記載しています。

昨日6月8日は、「World IPv6 Day」でもありました。
いよいよ、IPv6時代の到来という感じになってきましたね。

ちなみに、以下の資料も同時に公開されています。

「情報セキュリティ小六法」
セキュリティオペレーション関連法調査WGで2010年度に作成した「情報セキュリティ小六法」を掲載します。マネージドセキュリティサービスの提供にあたって影響を受ける可能性がある、あるいは、参考にすることができる法令について情報収集し、議論の経緯を踏まえて分類を行い、冊子としてまとめました。

| | コメント (0) | トラックバック (0)

2011年6月 8日 (水)

実践教育の重要性

今日は、JNSAのイベントで登壇し、セキュリティ教育の話をしてきます。今、取り組んでいること、そしてこれから取り組んでいくことをお話しします。特に、今回は知識教育ではなく、実践教育が重要であり、それをどう実現するのか、そのための調査研究や実証実験の必要性、というようなところを中心にする予定です。

高度人材育成では、実践教育が必須です。
教育は、技術や理論を教えることが最終目標であってはならないと思っています。それらを何かの目的に合わせて使わえるようにすること、それが最終目標であるべきです。技術や理論は、何かをするための手段に過ぎないからです。

実践教育では、講師が自己の経験をもとに経験させながら教えなければなりません。それができる人、やろうという人が極めて少ない、というのが現状です。OJTでそれを実現しようとしている組織も多いのですが、実際には実践教育になってないことが多いのです。高度人材育成とか言ってる人たちは、まずこれを解決しないといけないと思っています。

| | コメント (0) | トラックバック (0)

2011年6月 7日 (火)

「World IPv6 Day」

明日2011年6月8日(水)は、「World IPv6 Day」です。

この日は、IPv6への移行への取り組みの1つです。
Yahoo! Inc./Google/Facebook/Akamai/Limelight Networks/MSN/BIGLOBEなどの企業が自社ウェブサイトのサービスをIPv6で提供するテストを行います。
(日本時間では、2011年6月8日午前9:00から翌6月9日午前8:59まで)

参加予定事業者は、ISOCの公式サイトにて参加予定事業者を確認できます。

事前調査では、アクセスできない、表示されるまでに時間がかかる、などの現象が起きることが予想されています。
(Yahoo! JAPANの調査では、全体の約0.2%とか)
さて、実際にはどうなりますか・

| | コメント (0) | トラックバック (0)

2011年6月 6日 (月)

トラフィック可視化ツール「NIRVANA」

ITmediaの記事「トラフィック可視化ツール「NIRVANA」、NICTが開発」からです。

独立行政法人情報通信研究機構(NICT)が、ネットワークトラフィックをリアルタイムに可視化するツール「NIRVANA(nicter real-network visual analyzer)」を開発したようです。

「NIRVANA」はNICTが研究開発しているインシデント分析システム「nicter (Network Incident analysis Center for Tactical Emergency Response) 」の可視化技術を応用したものです。6月8~10日の「Interop Tokyo 2011」でデモ展示が行われるようです。

ところで「NIRVANA」と言えば、あのロックバンドしか連想できません。(日本語では「涅槃(ねはん)」という意味です)
このネーミングを聞いて、「Smells Like Teen Spirit 」という曲が頭の中をヘビーローテーションで駆け巡っていました。
ネーミングだけで、ちょっとやられちゃった感じです。

<参考記事>
「リアルトラフィックの可視化ツール “NIRVANA” を開発 ~通信の「見える化」でネットワーク管理を簡単に~」~NICT

<参考記事・このブログ>
「"nicter"って、ご存知ですか?」

| | コメント (0) | トラックバック (0)

2011年6月 3日 (金)

「情報セキュリティ研究開発戦略」(案)、公開

内閣官房情報セキュリティセンター(NISC)から「情報セキュリティ研究開発戦略」(案)が公開され、パブコメが募集されています。

「情報セキュリティ研究開発戦略」(案)は、「情報セキュリティ2010」(2010年7月22日情報セキュリティ政策会議決定)において、 「米国のサイバーセキュリティ強化法案等の動向を踏まえ、情報セキュリティに係る研究開発を戦略的に推進するため、2011年6月を目処に新たな情報セキュ リティ研究開発戦略を策定する。」こととされており、内閣官房情報セキュリティセンターはその検討を進めてまいりました。今般、「情報セキュリティ 研究開発戦略」(案)を作成しましたので、下記の要領で国民の皆様から広く意見を募集いたします。

それにしても、パブコメの募集期間が10日間しかない。3~4週間は欲しいところです。

| | コメント (0) | トラックバック (0)

2011年6月 2日 (木)

「情報セキュリティ対策ベンチマーク バージョン3.4」公開

IPAセキュリティセンターから「情報セキュリティ対策ベンチマーク バージョン3.4」と「診断の基礎データの統計情報」が公開されています。

バージョン3.4では、従来の25項目の質問に2つの参考質問が追加されています、
参考質問として追加されたた質問は以下のとおりです。

(1)資産を守るためのセキュリティ対策に掛かるコストを最小限にしたり、セキュリティ対策の優先度を決定したりするためのリスクアセスメントの実施状況
(2)データの損失やシステム障害事故などからの迅速な復旧のための、重要なデータや関連するシステムのバックアップの計画策定およびシステム化の実施状況

それから「診断の基礎データの統計情報」が、新たに公開されています。
こちらが個人的には、興味深々です。

思ったより、この「情報セキュリティ対策ベンチマーク」って、使われてなかったようです。
まずは、あまり知られていないのでしょうね・・・。

| | コメント (0) | トラックバック (0)

2011年6月 1日 (水)

「中小企業の情報セキュリティ対策に関する研究会」報告書、公開

IPAセキュリティセンターから「中小企業の情報セキュリティ対策に関する研究会」報告書が公開されました。

●検討内容と主な目的
・全国の中小企業にとって、役に立つツールを幅広く普及させ、事故・事件を未然に防ぐ企業体制作りとその体制を維持できるよう支援する
中小企業のIT活用・情報セキュリティ向上に有効と期待されるクラウドコンピューティングについて、中小企業による理解か深まり、利用が促進されるための環境整備に取り組む

検討の方向性としては、IT活用・情報セキュリティ向上の両面から、クラウドコンピューティングの利用を促進しよう、ということですね。
クラウドコンピューティングの利用は、大企業よりも個人や中小企業のほうが取り組みやすい、時間をかけずにスタートできるでしょう。
そうして、個人や中小企業がIT利用でも情報セキュリティでも牽引役になって・・・
、なんてことになってくれればいいな、と個人的には思っています。

<主な公開資料>
中小企業の情報セキュリティ対策に関する研究会報告書

普及検討ワーキンググループ報告書

支援ツール検討ワーキンググループ報告書

中小企業等におけるクラウドの利用に関する実態調査報告書

| | コメント (0) | トラックバック (0)

« 2011年5月 | トップページ | 2011年7月 »