&%e3%83%8b%e3%83%a5%e3%83%bc%e3%82%b9&http://hase-sec.cocolog-nifty.com/blog/cat2851109/index.html){kind=small}
Computerworld.jpの記事「暗号化されたHDDからデータ漏洩の危険性――大学の研究チームが明らかに」からです。
これは、「「Microsoft Office Word」や「Google Desktop」などの一般的なアプリケーションが暗号化ファイルを扱う際、HDD内の非暗号化セクションへデータを格納している」ということによるもののようです。
最近いろんなところで「まずは、(漏洩対策は)暗号化」とか「暗号化していれば…」などという表現をよく耳にします。
これは、情報セキュリティの考え方としては、適切ではありません。
「まずは、アクセスコントロール(認証)」であるべきで、「さらに、暗号化」なのです。
そして、暗号化が万能のセキュリティ機能のように思っていてはいけません。
| 固定リンク | コメント (2) | トラックバック (0)
日経ITpro「「セキュリティ教育は役に立たない」 米SANSインスティチュート アラン・パーラー代表」からです。この記事によると
- 企業が犯罪者や国家から情報を盗まれないようにするためにどうすればいいのか。ユーザーを教育して底上げするしかないのか。
ほとんどの攻撃では,思わず添付ファイルを実行して(開いて)しまうような内容のメールを送るなど,ソーシャル・エンジニアリングの手法が使われる。ソーシャル・エンジニアリング攻撃を教育で守るのは不可能だ。
以前,米国の陸軍士官学校で「添付ファイルを絶対クリックするな」と徹底的に教え込んだことがある。ところが5週間後にソーシャル・エンジニアリングの手法を使ったメールを送ったところ,3000人のうち85%の学生が添付ファイルを開いた。一般の企業でも結果は同じだろう。
- ではどうすればいいのか。
まず,添付ファイルはサーバー側ですべてPDFに変換する,HTMLメールを禁止するといった処置を取ることだ。さらに,パソコンに自由にアプリケーションをインストールできないように,ユーザーから管理者権限を取り上げてしまう。
今,米国政府は「Secure Configuration」というポリシーを定め,このポリシーに対応したパソコンを調達することにしている。不要なサービスをあらかじめ停止し,管理者権限でのログオンができず,端末管理のために必要なソフトウエアがすべて入った状態のパソコンだ。既に50万台のシステムがSecure Configuration対応になり,400万台が導入を待っている状態だ。
効果も上がっている。政府のシステム部門のヘルプデスクの仕事が激減したほか,パッチ・リリースから適用までにかかる時間の平均が57日から72時間に減った。企業もこうした取り組みをすることで,攻撃を防御することができるようになるだろう。
つまり、ソーシャルエンジニアリングに対して「セキュリティ教育は役に立たない」、ということです。
さらに、ソーシャルエンジニアリングは、防止も検出も難しいものです。
このほかのヒューマンエラーと合わせ、「人間」という資産の脆弱性と機能的限界、とでも考えるべきなのでしょう。
| 固定リンク | コメント (0) | トラックバック (0)
nikkei BPnetの「フィッシングの被害に気付かない企業が83.3%」 からです。
だから、フィッシングは減らないわけですし、他の攻撃からシフトしてくるのですね…
この記事や報告書ですと、フィッシング対策としては「フィッシングサイトのすばやい検出と閉鎖」「送信ドメイン認証(SPF)」とされていますが、このような状況が続く限りは、攻撃者の動機の排除はできないわけです。
ということで、まだまだ当分はフィッシングは大きな脅威であり続けるでしょう。
<参考URL>
・「フィッシングに関する事業者調査報告書」の掲載
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「フィッシング防止Webブラウザ、ヤフオクで公開テスト」からです。
ヤフーと独立行政法人・産業技術総合研究所(産総研:AIST)が共同開発していた、フィッシング防止Webブラウザが2008年6月25日~2008年11月30日の期間、公開テストが始まっています。(公開テストサイトは、こちら)
このフィッシング防止Webブラウザは、Yahoo! JAPAN IDとパスワードの新しい認証技術(HTTP相互認証プロトコル)をブラウザ「Lunascape」に組み込んだもの、だそうです。ブラウザのアドレスバー領域にパスワード入力欄を設けることで入力欄の偽装を防ぎ、さらにサーバとブラウザが相互認証する仕組みのようです。
これから普及する技術になるのでしょうか。注目してみたいと思います。
まだ公開サイトには行きましたが、テストには参加してません。
時間があるときに、テストに参加してみようかな…
<参考URL>
・フィッシング対策のためのHTTP相互認証プロトコル~産総研
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「BSIジャパンが事業継続の国際規格を“正式審査”可能に」
からです。
BSIジャパンが2008年6月25日、事業継続計画の国際規格「BS25999」のグローバル認定を受けたそうで、これによってBS25999の審査機関として正式な認証を発行できることとなったようです。
いよいよ、BCMSの認証が本格化するのでしょうか。
(JIPDECでも、来年にはBCMS適合性評価制度のパイロット運用が始まる予定ですし)
| 固定リンク | コメント (2) | トラックバック (0)
日経ITproの記事「企業トップ9人と経産相が『経営とITの融合』宣言、一堂に会して「IT経営憲章」採択」からです。
経済産業省で開かれた、第1回IT経営協議会で「IT経営憲章」が採択されたようです。
そして、「IT経営憲章」とは以下の10の原則からなっています。
【IT経営憲章】~ITを我が国の競争力の糧とするための10原則~
出典:経済産業省IT経営協議会資料(前文は割愛)
経営者は、グローバル化する経済の中で、国際競争力を獲得し、社会に有用な価値を提供し続けるために、次の10原則に基づき、ITを駆使した企業経営を実践する。1.【経営とITの融合】経営者は、自らの経営判断に基づき、企業改革や業務改革の道具として常にITを戦略的に活用する可能性を探求する。
2.【改革のリード】経営者は、企業改革にITにおける技術革新の成果を生かし、日々の細かな改善を含め、中長期にわたり、取組みをリードする。
3.【優先順位の明確化】経営者は、取り組むべき企業改革や業務改革の内容を明らかにして、その実現に向けたIT投資の優先順位を常に明確に現場に示す。
4.【見える化】経営者は、ITを活用し、競争優位の獲得に必要な情報や業務を可視化し、かつステークホルダーへの情報開示や透明性の確保に取り組む。
5.【共有化】経営者は、「見える化」した情報や業務を「共有化」し、企業内での部門を超えた業務間連携、業種・業態・規模を超えた企業間連携を促す情報基盤構築やバリューチェーンの最適化に取り組む。
6.【柔軟化】経営者は、ITを活用し、個々の企業の枠にとらわれず、業務やシステムの組み替えや、必要な情報を迅速かつ最適に活用できる事業構造への転換に取り組み、経営環境の急速な変化に柔軟に対応する。
7.【CIOと高度人材の育成】経営者は、最適なIT投資・IT活用を実現するために、CIOを任命し、ともに企業改革や業務改革に取り組む。また、産学官、ユーザー・ベンダの垣根を越えて、ITを駆使した企業改革を推進できる高度人材の育成・交流を推進する。
8.【リスク管理】経営者は、IT活用がもたらすリスクと、問題が発生した際のステークホルダーや社会に及ぼす影響を正しく認識し、その管理を徹底する。
9.【環境への配慮】経営者は、環境に対する企業責任を認識し、IT活用によるエネルギー効率向上や省資源化に取り組む。
10.【国内企業全体の底上げ】経営者は、IT投資から最大限の効果を引き出すためにも、中小企業等企業規模や業種の如何を問わず、企業の枠を超えて我が国企業全体のIT経営の改善・普及に取り組む。
「IT」(個人的には「ICT」にしたほうが良いと思いますが)と「経営」は、かなり以前から企業経営の効率化や競争力強化のために、一体として戦略を立案すべきものとされていました。ですが、なかなかそのような考えが普及しません。(名ばかりのCIO、形骸にすぎないITと経営の統合、内部統制もコーポレートガバナンスではなくコンプライアンス上の課題としかとらえられない…、などの状況)
これを機に、こうした考えも普及すると良いのですが…
| 固定リンク | コメント (0) | トラックバック (0)
産経ニュースの記事「空自の“自虐ポスター” 情報漏洩防止に効果!?」からです。
このポスターは「週刊秘密保全」という架空の週刊誌のつり広告、という設定のようですね。
なかなか強烈です。(個人的には、気に入りました)
ちなみにこのポスター、航空自衛隊では好評だが、陸上自衛隊では「われわれの組織では(このポスターの採用は)考えられない」とのこと。
やはり、縦割りなんですね…
| 固定リンク | コメント (0) | トラックバック (0)
ITproの記事「法令順守や環境対策で2008年の国内IT投資は堅調に推移」からです。
この記事によると、
2008年の国内IT投資は法令順守対応などがけん引し,前年比2.6%増の12兆7032億円になるという。
2009年以降はハードウェア製品の低価格化や運用コストの見直しなどが影響し,成長率は平均年率1.7%増になると分析。2012年の国内IT市場規模は,2008年と比べて約7900億円増加(6.2%増)の13兆4928億円になると予測している。
ということです。
これだけ見ると、「IT市場、悪くないんじゃない?」と考えられそうです。
しかし、投資が「堅調」でも、「健全」とは限りません。
「法令順守や環境対策で…」というところに、積極的な投資ではなさそうな意味合いが見られます。
それに日本のITランキングは落ちる一方だし、経営陣のIT投資マインドはあがってないし、生産性も上がってないし。
あるべき企業経営、経済発展のためには、決していい傾向とは思えません。
| 固定リンク | コメント (0) | トラックバック (0)
IPAのサイトで、4月に実施された情報処理技術者試験の結果が公開されていますね。(こちら)
テクニカルエンジニア(情報セキュリティ)は、1,899名の合格者が出たようです。
合格率は、全3回の中でもっとも高かったようです。(難易度が下がった?、傾向と対策が普及した?)
ところで、これが改訂前の最後の試験ですよね。
来年は制度が変わるわけですから。
テクニカルエンジニア(情報セキュリティ)は、たった3回で終了するのですね。
こんなに多くの合格者を出したのに、他の資格も含め来年はすでに過去のものとなってしまいます。
人材を育成することが目的のはずの制度ですから、このあたりの問題(教育や資格が陳腐化する)を残したままで新制度に移行するのは、個人的には今だに理解できません…
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「犯行予告収集サイト「予告.in」公開 「0億円、2時間で作った」」からです。
「総務相が、ネット上の犯行予告を検知できるソフトの開発費を来年度予算の概算要求に盛り込むと発言した。費用は数億円」という報道を受け、開発者の矢野さとるさんは、犯行予告収集サイトを1人で2時間で構築・公開した。
矢野氏は「総務省が犯罪予告検知のソフトを数億円かけて開発する」との報道を見て,「そんなに費用がかかるはずはない」と考え開発したという。開発時間は2時間程度。Perlなどのオープンソース・ソフトウエアや,無料のWeb APIなどのサービスを利用することで,無料で開発できたという。
2ちゃんねるの情報は2ちゃんねる検索から取得。タイトルに「殺人予告」「通報」「爆破」「殺す」「殺します」などの単語を含むスレッドを表示する。ブログの情報はブログ検索サイトのテクノラティからTechnorati APIを通して取得し,2ちゃんねると同様に殺人予告を示す単語を含むものを表示。はてなブックマークからも同様に収集する。
自動収集,またはユーザーから投稿された犯罪予告はメーリング・リストおよびTwitterに自動的に投稿される。メーリング・リストまたはTwitterを購読すれば,集まった犯罪予告を随時受け取ることができる。
個人的には、数億円という開発の予算以上に、「来年度予算の概算要求に盛り込む」という対応が理解できませんが・・・
それに適切な発注ができるかどうかも疑問ですし。
■参考URL
・予告.in
・satoru.netの自由帳
・「犯罪予告を2ちゃんねるやブログから自動収集,投稿もできるサイト「予告.in」公開」~日経ITpro
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「「青少年ネット規制法」成立」からです。
この法律は、青少年をネットの有害情報から守ることを目的としたものです。
さて、具体的な「有害情報」の例としては、
・犯罪若しくは刑罰法令に触れる行為を直接的かつ明示的に請け負い、仲介し、若しくは誘引し、又は自殺を直接的かつ明示的に誘引する情報
・人の性行為又は性器等のわいせつな描写その他の著しく性欲を興奮させ又は刺激する情報
・殺人、処刑、虐待等の場面の陰惨な描写その他の著しく残虐な内容の情報
が示されています。
これらを規制するために、ISP、携帯電話各社、PCメーカーなどに、フィルタリングサービスの提供を義務付けたものです。(罰則はなし)
「表現の自由を阻害する」などの懸念が各方面から表明されています。
私はそれ以上に「この法律には、実効性があるのか」という疑問を抱いています。
また、様々な過剰反応や(業務や生活に)ボトルネックを作るであろう、と。
このような規制が始まることに、過剰反応が起こりボトルネックが発生するのでは、なんのための技術なのかわからなくなります。
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「標的はブラウザからネットワーク機器へ」からです。
ここでのネットワーク機器とは組み込み機器を指しています。ルータ、レーザープリンタ、複合機など…
通信の経路を変えられたり、踏み台にされたりされているようです。
(以前にもそういう攻撃がありましたね。確かDVD/HDDレコーダが踏み台にされていたように記憶しています)
今後、組み込み機器はますます増えるでしょうし、そこにある脆弱性はサーバやクライアントPCより、さらに放置される率が高いでしょう。
ということで、この状況は一時的なものでは終わらないと思います。
| 固定リンク | コメント (0) | トラックバック (0)
「特定電子メール規制法」の改正案が、5/30に参議院で可決されましたね。
いままでの法規制の実効性がかなり低かったことを踏まえて、罰金を大幅に引き上げオプトイン方式が導入されました。
これにより抑止効果が働き、いわゆる迷惑メールが減少することを期待しているわけです。
(現在のメールトラフィックのの80%以上が迷惑メールと言われております)
さて、そうなると情報セキュリティの専門家としては「これで迷惑メール(スパム)は本当に減るのか?」と考えてみる必要があります。
まずは私なりの見解としては「それほど、減らない」ということになりました。
既に迷惑メール(スパム)の規制は、欧米などで同様の規制が実施されています。
にも関わらず、減っていないわけですよね。(それどころか、増えている)
メールは、いわゆるバケツリレーで送られているものですから、規制のないところから発信されたり経由されてくると、このようなものも効果がありません。
それから、法人に対する罰金はかなり高いが、個人に対する罰金は低い。「スケープゴート」を作られるだけ、の気もします。
とにかく、法規制だけでは効果は薄いと思われます。
(ISPなどが中心になるでしょうが)技術的な規制やコントロールも併せて、対策をしないと、やはり実効性はあがらないでしょう。
<参考URL>
●特定電子メール法の平成20年改正について(総務省)
●総務省 迷惑メールへの対応の在り方に関する研究会
<参考記事>
●「特定電子メール法の改正案が可決、事前の送信同意が必須に」日経ITpro
●「迷惑メール送信、全面禁止に 改正法成立」ITmedia
| 固定リンク | コメント (3) | トラックバック (1)
COMPUTER WORLDの記事「遠くからPCをスパイする、データ窃盗の新たな手口 Webカメラと望遠鏡を用いた意外なハッキング・ツールにご用心」からです。
米・独のセキュリティ研究チームが開発したハッキング手法とのことです。
まずは、よくこのようなことを発想するものだ、と感心しました。
それから「やはり、情報セキュリティプロフェッショナルのスキルとして、「発想力」は必要なのだ」と確信もできましたが・・・
(こちらもご参照ください、このブログの過去の記事「発想力」)
そしてこのような記事を読むと、(この記事でも挙げられていますが)電磁信号傍受攻撃「TEMPEST」、サイドチャネル攻撃、なども含め、情報セキュリティ対策には、「物理セキュリティ」の知識も必要だとも確信できますね。
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「ウイルスの売買、「特注品は500万円、リサイクル品なら2万円」」からです。
この記事ではセキュリティ対策ソフトを開発販売するドイツのベンダーが、ウイルス売買の現状などについて解説しています。
そのほかにも、ウイルス以外の「アンダーグラウンドの相場」についても語られていて、かなり興味深い記事です。
売買されているウイルスの相場は、
・特定の企業を狙うために作った特注品なら、日本円では500万円程度。
・リサイクル品は、「例えば、リサイクルしたウイルスと500万件のメールアドレスをセットした『スターターセット』と呼ばれるパッケージが2万2000円で販売されていたのを確認している」
らしい。
※リサイクル品とは、2006年や2007年に出回った古いウイルス(例えば「Netsky」)を、「パッカー」と呼ばれるツールなどで改変したもの。
盗んだと思われる情報も売買されていて、その相場は、
・メールアドレスは、1000万件分で1万6000円程度(安っ!)
・クレジットカード情報なら200円から800円程度(セキュリティコード付きの場合には4000円から6000円程度)
・オンラインゲームのアカウントは、1000円ぐらいから
らしい。
さらにボットネットは、
・「ボットネット」のレンタルサービスは、5000台から1万台のウイルス感染パソコンで構成されるボットネットなら、1日あたり1万円程度。
とのことで、ご丁寧にも数時間のトライアルサービスを用意していることが多いらしい。
また、いわゆる「ネット恐喝」(DDoS攻撃などをターゲット組織に仕掛け、攻撃をやめてほしければお金を支払うように脅迫する)も増えているとのこと。
※ 参考記事・日経ITpro「攻撃を仕掛けて金銭を要求、国内企業への「ネット恐喝」が相次ぐ」
攻撃者は、(興味本位の愉快犯ではなく)さらに金銭目的へと向かっていることということですね。
| 固定リンク | コメント (0) | トラックバック (0)
ITpro「「最初はコンピューターの売り込みだった」、迷惑メールが30周年」からです。
最初の迷惑メールは、米ディジタル・イクイップメント(DEC)の営業部門の代表者が1978年5月3日に送ったものとされているそうです。
えっ、もしかしてコンピュータウイルスよりも古いのか?!
私の記憶では、確か「パキスタンブレイン」が最初で、まだ30年はたってないはず…、と調べてみました。(ググりました)
多くの文献で、コンピュータウイルスは、1986年の「パキスタン・ブレイン」がその始まり、とされていますね。
よって、コンピュータウイルスよりスパムのほうが歴史が長い、ということになります。
| 固定リンク | コメント (0) | トラックバック (0)
COMPUTER WORLDの記事「グーグルのBloggerでスパミングが急増――偽のブログを自動作成」からです。
パッチから攻撃ツールが自動生成されるという記事を、最近取り上げました。
「CAPTCHA」破りの記事も、以前取り上げました。
そして、今度は「CAPTCHA」を破って偽のブログも自動作成、ということです。
このプロセスの成功率はおよそ8~13%、ということですが、そうなると「スパム・ブログ」も増えるのでしょうね。
そういえば、ブログの4割がスパムという記事も、以前取り上げました。
しばらくすると、スパムブログが全体の5割を超えるんでしょうか。
| 固定リンク | コメント (2) | トラックバック (0)
@ITの記事「グーグル新入社員はコードを書く前にセキュリティ教育を受ける」からです。
これは、「RSAカンファレンス2008」の米グーグルのスコット・ペトリ氏(エンタープライズセキュリティおよびコンプライアンス担当ディレクター)の基調講演での発言のようです。(諸般の事情で「RSAカンファレンス2008」は参加できませんでした)
この記事によると、
従来の情報システムは、何が起こるか把握できる「ホワイトボックス」だった。しかし自社のものだけでなく、サードパーティのツールやサービスが普通に利用できるようになったいま、どのユーザーがどのリソースを使い、何をするのか、予測も把握も難しい「ブラックボックス」の時代になっている。こうした環境の変化に対応するには、新しいハードウェアやソフトウェアの追加といったやり方ではなく、トレーニングをはじめとする地道な取り組みを通じて、基盤の中にセキュリティを取り込んでいくべきだという。
とのこと。
その通りですね。いわゆる「視えない化」は、一般的なネットの脅威だけでなく、こういうところにもあるわけです。
どこに「ブラックボックス」があるのか、それがわからなかったり、検出も想定もできなかったり、これもセキュリティ上の綻びなのです。
いろんなところで「視える化」という言葉が使われていますが、このような概念もアプローチもない「視える化」は怪しいもんだと思っています。
(特に、人間の目での「視える化」しか、考えてないような場合は)
そこでグーグルでは、この記事の表題のようなことをして、「セキュリティが内面的な文化となるよう、自助努力を促している」というらしいです。
なるほど…
| 固定リンク | コメント (6) | トラックバック (0)
日経ITproの記事「「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功」からです。
この記事によると、
セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。
ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より危険な状況になると考えられる。
とのこと。
自動生成が可能ということになると、高いスキルをもっていない攻撃者でもエクスプロイトの生成が可能ということになります。(しかも、わずか数分で)
パッチの公開前に情報が入手されたりするリスクへの対策、リバースエンジニリアリング対策が、いままで以上に必要になってくるということでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
基本的な情報セキュリティの知識を学べるサイトのようです。
・「ユミコのセキュリティ研修」
【ユミ研】は、「セキュリーマン検定」の番外編で、「ウイルス編」「コンプライアンス編」「メール/Web編」など情報セキュリティに関するテーマについて毎日一題ずつ問題を出題。“日めくり感覚”で解答いただくことで、通勤時間などのすき間時間に楽しく情報セキュリティのエッセンスを学べるというものです。
問題は新入社員世代をターゲットにした基本的な問題をピックアップしました。新入社員のみならず先輩社員世代にとっても「恥ずかしくて今さら聞けない」知識を補強してくれることうけあいです。
基本的な情報セキュリティを学べるサイトと言えば…
こちらも、どうぞお忘れなく!(手前味噌で、すいません)
<参考URL>
「情報セキュリティ理解度セルフチェック」
| 固定リンク | コメント (0) | トラックバック (0)
さっそく、以下のような記事がでました。
「“解読不能”の新暗号の記事について、いつくかのお詫び」~@IT
アルゴリズムを非公表にしたまま「解読不能」と主張するのが「詐欺まがい」だという指摘が相次いだようです。
確かに、検証されていないものを主張されても、そのまま信頼はできないですね。
それから、前回の記事でも書きましたが、暗号(に限らずですけど)は理論だけではわかりません。
実際に実装や運用されないと、評価はできません。
続報も書かれるようですから、その際はまた注目して記事を読んでみたいと思います。
| 固定リンク | コメント (0) | トラックバック (1)
@ITの記事「「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは」
からです。
新しい暗号方式「CAB方式」(Crypto Alarm Basic:仮称)は、「数学的に解読が不可能であると証明されている」とのこと。
「解読困難」ではなく「解読不能」とのことなのです。
この記事によると、
RSA暗号は素数のかけ算と、その逆の素因数分解という1種の関数を利用した暗号方式だ。これは楕円曲線暗号やElGamalといった公開鍵暗号方式か、DESやAESといった共通鍵暗号方式かを問わず同じで、暗号化には何らかの関数を使う。
CAB方式では、その関数自体が無限個の中から利用者が自由に選べて、いつでも変えられるのだという。
「例えば、xのm乗というのも1つの関数ですし、2xも関数です。実際には逆関数の計算が極めて難しい関数の集合を利用していますが、こうした関数からなる無限集合から鍵となる関数をピックアップします。盗聴者の探索しなければならない鍵空間は無限大ですから、鍵を推定できる確率はゼロです」
ということで、「鍵空間は無限大」ということから「数学的に解読が不可能」ということになるようです。
私自身、まだこのメカニズムを十分に理解できていませんが、注目すべき新しい暗号方式であることは間違いないようです。
(ただし、方式がいくら優れていても、実装や運用・管理が不十分であれば、解読されてしまう可能性があるわけです)
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「世界ITランキング、日本が19位に転落」からです。
このランキングは、各国・地域のICT整備度を、ビジネス全般および規制面、インフラ面などの「環境」、個人や企業、政府によるICTへの「準備度」、最新技術の実際の「利用状況」の3つの視点からの評価です。
そして、日本は前回14位から今回は19位にダウン。
これは、グローバルなICT環境変化の速度に、日本がついていけていない、ということでしょう。
「ICT先進国」といえない国は、もちろん「情報セキュリティ先進国」ともいえません。
そういう国は「経済先進国」でもなくなってしまうのではないでしょうか。
(政策を中心に)国を挙げての、グローバルな視点での戦略的な取組みが必要ですね・・・
<参考記事>
・昨年の「世界ITランキング」について~ITmedia
| 固定リンク | コメント (0) | トラックバック (0)
NIKKEI NETの記事「富士ゼロックスなど18社、情報セキュリティ格付専門会社「アイ・エス・レーティング」を設立」からです。
4/8に会見が行われ、世界初の情報セキュリティ格付専門会社「株式会社アイ・エス・レーティング」の設立が発表されました。
世界初の情報セキュリティ格付専門会社を設立
「株式会社アイ・エス・レーティング」18社が出資企業の情報セキュリティのレベル(信頼度の水準)を評価し、格付する世界初の「格付専門会社」(注1)が5月に誕生します。新会社の発起人である株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社など18社(注2)は、5月2日付けで「株式会社アイ・エス・レーティング」(本社東京、中村哲史[てつふみ]社長、資本金2億8千万円)を設立することに合意しました。
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。新会社はこの情報セキュリティ格付の審査業務のほか、格付に関連する調査・教育・出版等を事業目的としています。
(中略)
なお、「株式会社アイ・エス・レーティング」の会社概要および出資会社の構成は、以下の通りです。
注1:世界初の「格付専門会社」
「株式会社アイ・エス・レーティング」は、複数の会社および各業界に適用可能な評価基準を用いて、組織等の情報セキュリティのレベルを格付評価する「格付専門会社」であり、このような取り組みは世界にはまだ例がありません。注2:情報セキュリティ格付会社発起人18社
「株式会社アイ・エス・レーティング」の発起人は下記の通りです。
株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社、富士通株式会社、株式会社野村総合研究所、キヤノンマーケティングジャパン株式会社、綜合警備保障株式会社、テュフ・ラインランド・ジャパン株式会社、凸版印刷株式会社、株式会社日本経済新聞社、株式会社北洋銀行、株式会社みずほコーポレート銀行、三井住友海上火災保険株式会社、株式会社三井住友銀行、三井物産株式会社、三菱商事株式会社、株式会社三菱総合研究所、株式会社ワコールホールディングス<関連資料>
さて、注目はその「格付け」の方法です。
「マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化」ということですが、成熟度や対策の強度をどう相対的・客観的に、しかもどう定量化するのか、興味深々です。
これは、(間違いなく)かなり難しいことだと思っていますが、ぜひともやり遂げてもらいたいと個人的にはかなり期待しています。
<関連記事>
「松下、富士ゼロックスなど18社が情報セキュリティ格付け専門会社設立」~日経ITpro
| 固定リンク | コメント (4) | トラックバック (2)
日経ITproの記事「「USBウイルス」の被害報告が依然多数、トレンドマイクロが警告」からです。
ここでいう「USBウイルス」とは、「MAL_OTORUN1(オートラン)」など「主にリムーバブルメディアを介して活動をする不正プログラム」のことを指しています。
(ITproの記事に限ったことではないのですが)つまりUSBメモリはリムーバブルメディアのうちの1つに過ぎないのに、このような不正プログラムのことを「USBウイルス」と呼んでいるわけですね。
これでまた「USBメモリは使うべきではない」と主張する人や、「だから、USBメモリは使うべきじゃないんだ」と自分の今までの主張の確信の裏づけのようなものにしたりする人が増えるんでしょうね。
そうして、ゆがんだ解釈(USBメモリを使わなければ、この種の不正プログラムの被害はない、など)や合理性や実効性のない「リスク回避」が増えていくのではないか、と懸念を抱く用語(「USBウイルス」)でした。
| 固定リンク | コメント (2) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「「ITスキル標準バージョン3」が正式発表、試験はレベルの「エントリ基準」に位置付け」からです。
ということで、ITSSのVer.3が公開されています。
それから、IPAのTOPページも新しくなってますね。
現行の「ITSS V2 2006」に対する「V3」の主な変更点は、
(1)レベル1、2にあった専門分野の区分をなくし、これらのレベルにおける基礎知識の記述を職種にかかわらず統一
(2)情報処理技術者試験をレベル認定の「エントリ基準」として位置付け
(3)コンサルタント、ITスペシャリスト、アプリケーションスペシャリストの3職種の専門分野を変更
の3つです。
また、この記事によると…
ITSS V3では、最終的に「試験合格はそのレベルに期待される必要最低限の能力レベルに到達しているものと見なす」、つまりエントリ基準に落ち着いた。同時に、これまで通り、情報処理技術者試験を用いないレベル評価指標も併存させることを明記した。必ずしも情報処理技術者試験の受験を優先できないケースや、成果や業績はあるものの試験合格の実績がない人材の評価には、「今まで通りのスキル熟達度や達成度指標を使って欲しい」というわけである。「どちらをレベル基準とするかは、企業や市場の判断に委ねたい」と話している。
つまり、情報処理技術者試験との関連はあいまいなままということでしょうか。
そのほかの、中身に関するコメントは、また後日・・・
報告書のダウンロードは、こちら。
同時に、UTSSも新バージョンが公開されています。
| 固定リンク | コメント (0) | トラックバック (0)
ITmediaの記事「ブログの4割は「迷惑ブログ」――ニフティ調査」からです。
ニフティの独自調査によれば、国内のブログ記事の4割(約4億5000万のうち)が広告収入などを狙った「迷惑ブログ」だそうです。
アフィリエイト広告収入や特定サイトへの誘導が目的で、同社では「無意味なコンテンツ」と定義しているようです。
(独自調査とはいえ)ブログの数(約4億5000万)もすごいのですが、うち40%(約1憶8000万)以上が「迷惑ブログ」というのは予想以上でした。
ところで、このブログは皆様に迷惑かけてませんか?
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「IFRAME攻撃,USAToday.comなど主要なWebサイトが続々とターゲットに」からです。
ところで、IFRAME攻撃とは?
iframeというHTMLタグを使ってWebページに見えないコンテンツを埋め込む手口。iframeはブラウザの画面を複数に区切り,それぞれに別のWebページを表示させるタグだが,例えば悪質なサイトへのリンクや,不正なJavaScriptを埋め込んで,フレームのサイズを幅0,高さ0と指定すれば,見た目は何も表示されない。こうした仕掛けにより,OSやアプリケーションのぜい弱性を突く不正コードをユーザーのブラウザに送り,これを実行させてウイルスに感染させる。
というもの。
正規サイトがローカルでキャッシュしている検索結果に、ユーザーを悪質サイトに誘導する不正IFRAMEが組み込まれていた、などということで、「SEOポイズニング攻撃」としてかなり悪用されています。
しばらくの間、ネットの大きな脅威となりそうですね。
<参考サイト>
・検索結果でマルウェアサイトへ誘導、米の大手企業サイトに被害
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「日本版SOX法が情報技術者の雇用を27万人増やす」からです。
この記事によると、「2007年10~12月における情報通信関連業種の雇用者数は、前年に比べて27万人増」で、その要因が日本版SOX法への対応のためだそうです。
そんな実感がないなぁ、と思ったら…
情報通信産業全体の景況感としては「全体傾向は良好のまま横ばい。今後の見通しは若干悪化傾向」だそうです。
つまり、この日本版SOX法による雇用増も、業界全体の活性化にはつながらないようです。
はぁ~…。
報告書は、こちら。
●「情報通信産業の経済動向報告」 2007年第4四半期(10~12月期)
| 固定リンク | コメント (0) | トラックバック (0)
最近のコメント