資格をどう使うか(1)

久しぶりの更新です。

マイコミジャーナルの記事「組織力向上を目指したキャリアパスとスキルとは～キャリアパスの中で活きる資格取得と資格の活かし方」からです。

これは、去る8月4日に行われたセミナーの記事ですが、ダイジェストで書かれているので、ちょっと伝わりにくいところもあると思います。（その場でしか、伝わらないことがどうしてもありますね）

私のセッション部分では、「「資格取得を目的とするのは間違い」と再三強調した。」とあります。まず、「資格とは、なんらかの目的のための手段であり、取得することが目的ではない。それは、多くの人々や組織ではわかっている。しかし、結果的に目的化してしまっている」という事実（これは、資格だけでなく、社会人学生の修士や博士などの学位取得なども同様）を述べました。そのうえで、「なぜ、そのような状況になりがちなのか、どう解決していくのか」という私なりの考えをお話しました。

この問題の解決なくして、人材育成の問題は解決されません。人材の数は増えるかもしれませんが、それ以外の問題（人材の質、ミスマッチ）は解決されません。にもかかわらず、人材の数を増やすことに論点が置かれがちな気がしています。

このテーマは、次回以降も何度か書いていく予定です。

「セキュリティ要件確認支援ツール」公開

IPAのHP「プレス発表 セキュリティ要件確認支援ツールの公開 ～さまざまな情報システムにおける適切なセキュリティ要件定義を容易に～」からです。

情報システムの機能・サービスに応じたセキュリティ要件定義を容易にすることを目的とした「セキュリティ要件確認支援ツール」が、IPAのウェブサイトで公開されました。

「セキュリティ要件確認支援ツール」概要

　情報システムの企画、調達、設計、構築、運用等を実施するためには、機能要件やサービス要件等を適切に定義し実現することが重要ですが、一方でその情報システムのもつリスク等を考慮してセキュリティ要件をいかに定義するかということも重要となります。しかし、情報システムのセキュリティ要件を定義するには、セキュリティの専門知識や経験等が要求されるため、セキュリティに詳しくない情報システムの担当者にとっては相当な困難を伴うことが考えられます。また、検討不足により情報システムのセキュリティレベルが低下してしまう可能性もあります。
　セキュリティ要件確認支援ツールは、上記のような問題を解決するため、情報システムの企画、調達、設計、構築、運用等の各場面で、検討対象（機能・サービス）に応じた情報システムのセキュリティ要件定義を容易にすることを目的としたツールです。

　本ツールは、情報システムの調達担当者などが、IPAのウェブサイトから技術参照モデル（TRM）で定義された「機能・サービス」を入力することで、必要な「セキュリティ要件」（「政府機関の情報セキュリティ対策のための統一基準」または「地方公共団体における情報セキュリティポリシーに関するガイドライン」）に関する情報、および情報システムを構成する機器の「セキュリティ機能要件」に関する情報を提供します。
　出力された情報を参考にシステムのセキュリティ要件を検討することで、自組織のセキュリティポリシーと適合し、かつ必要なセキュリティ機能を満足するシステムの実現を可能とします。

　IPAとしては、本ツールが、情報システムの調達担当者などに広く活用され、情報システムにおけるセキュリティ要件検討の負荷を低減し、検討能力不足による情報システムのセキュリティレベルの低下を防ぐことを期待しています。

情報システムにおけるセキュリティ要件検討や定義は、その知識や情報が十分でない場合はかなり難しいものでしょう。
日本においては、コモンクライテリア(CC;ISO/IEC15408)、システムの認証と認定(C&A)というあたりがあまり普及しておらず、ノウハウの蓄積もほとんどありません。これらを解決するために役立つツールになりそうですね。

国内企業の情報セキュリティ対策実態調査結果

まず、今週と来週は、ほとんど更新できないと思います。
あらかじめ、ご了承のほどを・・・。

さて、IDC Japanのプレスリリース「国内企業の情報セキュリティ対策実態調査結果を発表」からです。

このリリースは、国内企業820社の情報セキュリティ対策の実態調査結果です。

・2011年度（会計年）の情報セキュリティ投資は減少傾向、2010年度比では投資抑制は弱まる
・7割以上の企業がウイルスやスパイウェアなどのマルウェアを脅威と感じているが、スマートフォンなどモバイル機器やクラウドサービス利用で脅威を感じている企業は2～3割と低い
・ウイルス対策は7割以上が導入済みと最も高い導入率だが、シングルサインオンや認証システムといったアイデンティティアクセス管理や情報漏洩対策の導入率は4割程度と低い
・現在実施しているセキュリティ対策での脆弱性を把握し、その脆弱性を補完するための対策を検討することが重要

国内では、相変わらず投資は減少傾向なんですね。
それより、この調査では「投資」とされていますが、企業側がそう考えているのかどうかを知りたいです。
ほとんどの企業が「投資」ではなく「コスト」と考えているのではないかと思います。
「コスト」と考えているのであれば、抑制にはあまりためらいがないでしょう。
「投資」と考えているのであれば、その「リターン」を予測できているのでしょうか。
さて・・・。

「平成23年版情報通信白書」公開

総務省「平成23年「情報通信に関する現状報告」（平成23年版情報通信白書）の公表」からです。

「平成23年版情報通信白書」が公開されていました。
今回のテーマは「共生型ネット社会の実現に向けて」。第1部では「東日本大震災における情報通信の状況」がまとめられています。

ここでいう、「共生型ネット」とはソーシャルメディアやブログなどを指しているようです。
ちなみに、この白書では「不安を解消し、人と人が支え合い、国民の幅広い層の包摂が期待される「共生型ネット社会」を実現するためには、普及が進むソーシャルメディアの利用に伴う課題に利用者本位で取り組み、そのポテンシャルを最大限に引き出すことが必要」としています。

そのためにも、ICTリテラシー教育が重要になってきますね。
「情報通信白書 for Kids」も公開されているので、これでうちの娘のリテラシー教育にチャレンジしてみようかな・・・。

＜公開資料等＞
・情報通信白書のページ

・情報通信白書平成23年版 ポイント

・情報通信白書平成23年版 概要

・情報通信白書平成23年版 HTML版

・情報通信白書平成23年版 PDF版

　
・情報通信白書 for Kids

「情報セキュリティ ワークショップ in 越後湯沢 2011」

「情報セキュリティ ワークショップ in 越後湯沢 2011」の申し込みが始まっています。

今年のテーマは「てのひらにセキュリティを！～！ひとりのリスクはみんなのリスク～」になっています。

「情報セキュリティ ワークショップ in 越後湯沢 2011」

会期：2011年10月7日(金)～8日(土)

会場：新潟県南魚沼郡湯沢町
　湯沢町公民館
　湯沢ニューオータニホテル
主催：
　NPO新潟情報セキュリティ協会(ANISec)
　情報セキュリティ ワークショップin越後湯沢
　実行委員会 委員長  石井威望(東京大学名誉教授)

共催(順不同・2010年実績)：
　ISACA(情報システムコントロール協会）東京支部
　東京電機大学 未来科学部
　情報セキュリティ大学院大学
　新潟大学 法学部／情報基盤センター／地域共同研究センター

facebookページもありますね。

「PKI Day 2011」

「PKI Day 2011」の申し込みが始まっています。

今年は「本格的なデジタル社会におけるPKIの方向性」の議論とのこと。
「社会保障・税に関わる番号制度」「地デジ化」「IP V6」などなど、今年は本格的なデジタルの年ですね。
PKIは社会経済や生活の基盤として、さらに重要になってくるわけですね。

JNSA PKI相互運用技術WG主催セミナー
PKI Day 2011−＜番号制度時代のPKI＞

■ 日　時：2011年9月26日（月）9時30分～16時40分（受付開始9時10分）
■ 場　所：山王健保会館 2F A+B会議室
　所在地／東京都港区赤坂2-5-6
■ 主　催：NPO日本ネットワークセキュリティ協会　PKI相互運用技術WG
■ 定　員：120名
■ 料　金：参加無料
■ 講演内容：
「番号制度時代のPKI」
「社会保障・税に関わる番号制度」の議論が進んでいますが、この番号制度は、国の根幹を成す制度と理解されつつあります。こうした事は、本格的なデジタル社会への移行のために社会基盤の整備と考えられます。PKI day 2011では、「番号制度時代」すなわち、本格的なデジタル社会におけるPKIの方向性を議論します。

「CTF（Capture the Flag）」とは

asahi.comの記事「ハッカーの祭典、日本チーム健闘　人材育成に朗報」からです。

DEFCONのCTFに参加した日本チーム「sutegoma2」の健闘が伝えられています。
（本当にお疲れ様でした）

（下記の参考記事にありますが）「CTF（Capture the Flag）」とは、

●CTFのルール
DEFCON CTF本戦のルールは、自分のサーバーを守りながら、相手のサーバーを攻撃して攻略し、点数を競い合うという物だ。

運営者側から各チームに配布された問題には複数のバイナリファイルが含まれていて、これがサーバー上で起動するサービスとなる。ただし、実行しただけでは起動しない。起動するためにはバイナリファイルを解析し、起動に必要なオプションなどを特定する必要がある。

そしてこのバイナリファイルにはリモートバッファオーバーフローの脆弱性が含まれている。この脆弱性をお互いのチームが攻撃し合う。攻撃を防ぐためにはパッチを作成して適用したり、ネットワーク的に防ぐなどの対策をその場で講じることが必要になる。

得点の仕方は2通り。1つはサービスを起動し続けること。運営者側からはサービスが稼働しているかどうか、常にネットワーク越しにチェックされている。起動している間は得点が加点される。

もう1つは、他のチームのサービスを攻撃し、その中にあるキーを読み取ることだ。これにはボーナスもあり、他のチームに先駆けて一番先に攻略すると更に加点されるという仕組みだ。

CTFは守る一方でも勝つことができない。勝つためには相手チームのサービスを攻撃しなければならないのだ。

というもの。

これを機会に「CTF（Capture the Flag）」の認知度があがり、日本でも開催されるようになるといいのですが・・・。
「人材育成に朗報」とありますが、本当に朗報にするためには、そのような動きにつながらないといけませんね。

＜参考記事・ScanNetSecurity＞
・DEFCON CTF 予選2位通過のチーム sutegoma2 へ優勝の期待高まる

・ハッキングコンテストで世界に挑む日本人チーム -- DEFCON CTF 現地速報

・本戦2日目、攻撃力不足 -- DEFCON CTF 現地速報 その2

・DEFCON CTF 最終日 -- DEFCON CTF 現地速報 その3

パッチ適用に数時間

日経ITproの記事「「8月公開のパッチは、適用に数時間かかる場合あり」日本MSが公表」 からです。

今週公開予定のパッチについての日本マイクロソフトからの呼びかけです。
今回のパッチは「同社が8月10日に公開を予定しているセキュリティ情報およびパッチは13件。そのうち、危険度が最悪の「緊急」が2件、危険度が2番目の「重要」が9件、3番目の「警告」が2件。影響を受けるソフトウエアは、Windows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2、Visio 2003/2007/2010、Visual Studio 2005、.NET Frameworkなど」とのこと。
PCによっては（スペック、パフォーマンスの低いPC）適用に数時間かかる場合があるようです。

この記事にもあるとおり、「インストールが完了する前にパソコンの電源を切ると、パッチが破損したり、適用されたパッチを管理するデータベースファイルに不整合が発生したりする恐れ」があり、「完了前に電源を切ってパッチが破損すると、次回、パッチをインストールしようした際に特定のエラーコードが表示されて、インストールに失敗する」とのこと。

昼休みなどに、パッチを適用するユーザーも多いでしょうが、その時間の中で終わらない可能性があるわけですね。
（ちょうど夏休みをとられる方も多い時期ですし）「パッチ適用がされていないPCだらけ・・・」という事態にならないように。

「情報通信技術人材に関するロードマップ（案）」 公開

高度情報通信ネットワーク社会推進戦略本部（IT戦略本部）から「情報通信技術人材に関するロードマップ（案）」 が公開されました。

このロードマップは「これからの高度情報通信技術人材等が備えるべき資質・能力、確保すべき人材の数について、経済界、大学、専修学校等の関係者及び関係府省が認識を共有した上で、初等中等教育段階の子どもたちへの取組」を示したものです。

この資料にもある通り「国際競争力の強化、国民生活の向上の観点から重要である情報通信技術の利活用について、我が国は先進諸国に遅れを取っている」という状況。スピード感ある取り組みが必要です。
そして、この問題は日本国の社会経済、国民生活に関わる問題です。決して、ICT業界だけの問題ではありません。
このようなことも、もっと広く示してほしいと思っております。

「スマートフォンを安全に使用するための六箇条」

IPAセキュリティセンターの「コンピュータウイルス・不正アクセスの届出状況[7月分]について」からです。

今月の呼びかけは スマートフォンを安全に使おう！ 」です。

「そこで・・・」ということなんでしょう、今回は「スマートフォンを安全に使用するための六箇条」なるものが挙げらています。

【スマートフォンを安全に使用するための六箇条】

【1】スマートフォンをアップデートする。
　販売元からOSのアップデートが提供された場合、早めにアップデートしましょう。アップデートをしないで使っていると、パソコン同様、脆弱性を悪用した攻撃に遭う危険性が高まります。またその際、アップデート手順をきちんと理解することが重要です。アップデート手順は、販売元や製造元によって異なる場合があります。きちんとアップデートするために、取扱説明書などを確認し、正しい手順を身につけたうえでアップデートを実践しましょう。

【2】スマートフォンにおける改造行為を行わない。
　スマートフォンにおける改造行為はやめましょう。ここでの改造行為とは、いわゆるiPhoneにおけるJailbreak（脱獄）やAndroid端末におけるroot権限奪取行為（root化とも呼ばれる）などのことを指します。スマートフォンで動作するウイルスの中には、改造行為を行ったスマートフォンのみに感染するものも確認されています。ウイルス感染の危険性を自ら高めてしまうことになりますので、スマートフォンの改造行為はやめましょう。

【3】信頼できる場所からアプリケーション（アプリ）をインストールする。
　スマートフォンで使用するアプリは、iPhoneであれば米Apple社の「App Store」、Android端末であればアプリの審査や不正アプリの排除を実施している場所（米Google社の「Android Market」）など信頼できる場所からインストールしましょう。

【4】Android端末では、アプリをインストールする前に、アクセス許可を確認する。
　Android端末の場合、アプリをインストールする際に表示される「アクセス許可」（アプリがAndroid端末のどの情報／機能にアクセスするか定義したもの）の一覧には必ず目を通しましょう（図1-5参照）。過去発見されたAndroid端末を狙ったウイルスには、個人情報などを不正に盗み取るため、アプリの種類から考えると不自然なアクセス許可をユーザーに求めるものがありました。例としては、壁紙アプリにも関わらず、アドレス帳の内容や通話履歴の記録へアクセスするための「連絡先データを読み取り」の許可を求めるなどといったものがあります。Android端末にアプリをインストールする際に、不自然なアクセス許可や疑問に思うアクセス許可を求められた場合には、そのアプリのインストールを中止しましょう。

【5】セキュリティソフトを導入する。
　スマートフォンの中でもAndroid端末では、2011年初頭以降大手ウイルス対策ソフトベンダーが続々とセキュリティソフトを発売し、その選択肢が充実してきました。Android端末では【4】に注意すればウイルスに感染する可能性を低減できますが、ゼロにはできません。ウイルス感染の可能性をより低減するためにセキュリティソフトを導入してください。

【6】スマートフォンを小さなパソコンと考え、パソコンと同様に管理する。
　企業でスマートフォンを活用する場合、スマートフォンの利用ルール、スマートフォンからアクセス可能な情報の範囲、スマートフォンに保存してよい情報の範囲、紛失・盗難時の対応等のポリシーを定めましょう。特に端末管理（MDM：Mobile Device Management）によって、スマートフォンに搭載されているOSのアップデートの徹底やインストールできるアプリの制限等を企業側が強制的に管理できる仕組みを設けることをおすすめします。

「スマートフォン」で独自の特別な対策を、というのではなく、PCでインターネットの接続をする際と同様の対策をするということなんですが、どうもそのあたりが浸透していないように思います。

（六箇条の【6】にあるとおり）「スマートフォン」は、携帯電話ではなく、インターネットに接続する端末である、と考えなければなりません。まずは、そこからですね。

ソーシャルメディアのトラブルと対策

ITmediaの記事「企業が経験したソーシャルメディアのトラブル」からです。

この記事は、世界33カ国の企業の経営陣やIT担当者への調査で、

　企業が経験したソーシャルメディア関連の主な事件は、「従業員がパブリックフォーラムで大量の情報を共有している」（46％）、「機密情報の漏えい、または公開」（41％）、「訴訟の増加」（37％）だった。金銭的な平均の被害規模は、「株価の低下」が103万8401ドル、「訴訟費用」が65万361ドル、「直接的な財務費用」が64万1993ドル、「ブランドイメージの悪化／顧客企業の信頼喪失」が63万8496ドル、「収益低下」が61万9360ドルだった。

　82％の企業は、ソーシャルメディアで発信される企業の機密情報の収集、保管、検索のための仕組みの導入、ソーシャルメディアの使用ポリシーと従業員のトレーニングプログラムの確立といった、さまざまな方策を検討していた。しかし、実際に導入しているのは25％未満だった。

という結果が出ています。

これらのリスクに対する推奨策としては、いかのようなものが挙げられています。

・全てのコーポレートコミュニケーションと同様に、適切なコンテンツの投稿に関してソーシャルメディアの使い方を定義し、従業員をトレーニングする
・自社の業界に固有の法的、または規制上の要件を確認・理解し、ソーシャルメディアコンテンツの保存を求める規制に対処するためのポリシーを策定する
・業界の規制が厳しい場合は、特にソーシャルメディアコンテンツの自動取得と保存を可能にするアーカイブソリューションの導入を検討する
・情報漏えい防止ソリューションを実装して、機密情報が企業からソーシャルネットワーク上に流出しないようにする別の予防策も用意する

技術的な対策と非技術的な対策との両方が必要になりますが、まずは非技術的な対策、つまりソーシャルメディアポリシーとトレーニングが必須となるでしょう。トレーニングも単なる意識向上だけでは不十分です。適切なソーシャルメディアの使い方、まずはリテラシーやインターネット倫理から教育していく必要があります。

「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」を公開

IPAセキュリティセンターから「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」 が公開されています。

「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の主な内容

外部からの攻撃に対しては、ウイルス対策ソフトの運用やアップデートを適切に運用していれば、一定の効果が見込めます。

しかし、中にはそれらの対策をすり抜けてしまい攻撃が成立してしまう場合があります。すり抜けてしまうような攻撃を防ぐためには、ウイルスに感染させないなど、入口から入っていくものを防ぐための対策（入口対策）を重ねるのではなく、たとえ組織の端末がウイルスに感染しても情報を外部に窃取されないための対策（出口対策）が必要です。

・エグゼクティブサマリ（1章）
経営層を対象として、「新しいタイプの攻撃」の解説とその対策における考え方を記載しています。

・「新しいタイプの攻撃」の問題と背景（2章）
「新しいタイプの攻撃」への対策の提案・指示等を行うプロジェクト管理者を対象として、「新しいタイプの攻撃」の概要の解説と、対策を行う際の設計における考え方を記載しています。

・「新しいタイプの攻撃」への対策（3,4章）
「新しいタイプの攻撃」への対策を実際に設計する方、実装する方を対象として、「新しいタイプの攻撃」を5つのパターンに分類し、それら5つのパターンに有効な6つの対策をまとめています。

このガイドは、エグゼクティブサマリーもあって、使いやすそうです。
それから、「入口対策」と「出口対策」というネーミングもわかりやすそうですね。
この表現は定着するのかな？