「ハッシュ関数安全性評価手法の開発」に関する報告書の公開

IPAセキュリティセンターのページで「「ハッシュ関数安全性評価手法の開発」に関する報告書」が公開されています。

さて、この報告書は…

　現在、暗号学的ハッシュ関数のデファクトスタンダードは、1995年に米国連邦情報処理標準FIPS180-1（Secure Hash Standard）として制定された「SHA-1」と呼ばれるアルゴリズムです。しかし、2004年に中国山東大学王 小云(シャオユン・ワン）教授（現北京清華大学教授）により、その解読方法が発表されたのを契機に研究が活発化し、SHA-1 の安全性の低下が指摘され始めています。

SHA-1 の安全性低下に対応して、米国立標準技術研究所（NIST：National Institute of Standards and Technology）では2012年を目標にSHA-1の後継となる新たなハッシュ関数の公募が行われています。また、欧州の暗号技術に関する研究開発プロジェクトECRYPTにおいても、新たなハッシュ関数の研究開発が行われたりするなど、世界的に活発な研究開発活動が展開されています。

（中略）

　今回の調査内容は、新しいハッシュ関数の安全性を客観的に評価する手法に関する初期検討です。検討した安全性評価手法は、SHA-1のような算術演算を基本関数として利用するタイプのハッシュ関数と、共通鍵ブロック暗号の安全性評価技術を利用したタイプの二通りのハッシュ関数に対する安全性評価手法を対象としました。

というものです。

今後のハッシュ関数の技術動向を知る上でとても興味があるのですが、（ボリューム的にも内容的にも）読む込むのは大変そう…。

●「ハッシュ関数安全性評価手法の開発」に関する報告書

・共通鍵暗号をベースとしたハッシュ関数安全性評価手法の調査
　-概要版
　-調査報告書

・算術演算をベースとするハッシュ関数安全性評価手法に関する調査
　-概要版
　-調査報告書

「Black Hat Japan 2008」

「Black Hat Japan 2008」の登録が始まってましたね…

＜Black Hat Japan 2008＞

・日程
　トレーニング - TRAINING: 10/5（日）- 8（水） / October 5 - 8
　ブリーフィングス - BRIEFINGS: 10/9（木）-10（金）/ October 9 - 10
・会場
　新宿 京王プラザホテル

今年で、もう5回目の開催になるんですね。
私は、まだ1度も参加できたことがありません。

参加費をどうするか、ということ以前にスケジュールが合うかどうか。
（すでに、何か予定が入っているような気がします･･･）

「2008年度 全国縦断 情報セキュリティ監査セミナー」

「2008年度 全国縦断 情報セキュリティ監査セミナー」のスケジュールが公開されています。
（恒例になりつつありますね…）

申し込みは、札幌会場が既にオープンしています。
他の会場については、順次オープンの予定です。

情報セキュリティ監査の最新情報は、ぜひここで…

2008年度 全国縦断 情報セキュリティ監査セミナー

・会場/開催日
札幌 2008年08月25日（月）   
高松 2008年09月26日（金）   
仙台 2008年10月02日（木）   
福岡 2008年10月21日（火） 
大阪 2008年11月11日（火） 
名古屋  2008年12月19日（金） 
広島 2009年01月23日（金）   
富山 2009年02月13日（金） 

・主催：経済産業省、特定非営利活動法人日本セキュリティ監査協会（JASA）

・後援（予定）：
情報セキュリティ政策会議
総務省
特定非営利活動法人 ITコーディネータ協会
システム監査学会
社団法人 情報サービス産業協会
ISACA （情報システムコントロール協会）大阪支部
ISACA （情報システムコントロール協会）東京支部
ISACA （情報システムコントロール協会）名古屋支部
日本内部監査協会
特定非営利活動法人 日本ネットワークセキュリティ協会
特定非営利活動法人 ネットワークリスクマネジメント協会
特定非営利活動法人 デジタル・フォレンジック研究会
社団法人 電子情報技術産業協会
財団法人 日本科学技術連盟　
財団法人 日本規格協会
特定非営利活動法人 日本システム監査人協会
財団法人 医療情報システム開発センター
社団法人 日本情報システム・ユーザ協会
情報システム・ユーザ会連盟
特定非営利活動法人 みちのく情報セキュリティ推進機構
財団法人　地方自治情報センター

・参加費：無料（事前登録制）
・定員：約100名～150名

「CompTIA Breakaway Japan 2008」開催

「CompTIA Breakaway Japan 2008」開催の情報が公開されています。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
CompTIA Breakaway Japan 2008 開催！
－　人材育成のソリューションを一日に凝縮　－
＜日時：2008年8月29日（金）10:00～17:00（受付・展示コーナー開始 9:00）＞
━━━━━━━━━━━━http://www.comptia.jp/event/breakaway2008/

【日  時】2008年8月29日（金）10:00～17:00（受付・展示コーナー開始 9:00）

【場  所】ホテルメトロポリタンエドモント「2F悠久」http://www.edmont.co.jp/
東京都千代田区飯田橋3-10-8　問い合わせ先03-3237-1111
         （JR・東京メトロ・都営地下鉄飯田橋駅下車徒歩5分）

【参加費】無料（ランチセッションのみ、1,000円）

【定  員】各セッション 100名（定員となり次第、受付を終了とさせて頂きます）

【後　援】総務省（申請中）/(社)日本コンピュータシステム販売店協会
(社)コンピュータソフトウェア協会/(社)日本画像情報マネジメント協会
NPO日本ネットワークセキュリティ協会/NPO日本セキュリティ監査協会
----------------------------------------------------------------

【申し込み】
----------------------------------------------------------------

私は、この中の以下のセッションで登壇いたします。

----------------------------------------------------------------
パネルディスカッション「仕事におけるモチベーション維持の3つのキーワード」
----------------------------------------------------------------

人材育成の成長を確かなものにするポイントの一つが「モチベーション」です。パネルディスカッションでは、様々な
立場で人材育成をご担当されている皆様からモチベーションの維持と向上のキーワードについてお話をいただきます。

＜モデレータ＞
日本SGI株式会社　アドバンスドテクノロジーコミッティ　チームLinuxコンサルタント　高澤 真治 氏
＜パネリスト＞
特定非営利活動法人日本ネットワークセキュリティ協会　教育部会WGリーダー　長谷川 長一　氏
日立電子サービス株式会社　コンピュータシステム技術学校　校長　山田 保 氏
横河フィールドエンジニアリングサービス株式会社　フィールドエンジニアリング本部　オープンシステムサービス部　部長　丸茂 晴晃 氏
----------------------------------------------------------------

ということで、またパネルディスカッションで登壇します。
最近、2か月に1度のペースでパネルディスカッションに出てますね…

皆様に参考にしていただけるコメントをしたいと思いますので、ご期待ください。（いつもの調子で…）

「平成19年度情報セキュリティ市場調査報告書」公表

経済産業省のHPで公表されてました。

●「平成19年度情報セキュリティ市場調査報告書の公表について」

【調査方法】
（１）調査方法：アンケート調査、各種統計資料調査、ヒアリング調査、サンプリング調査
（２）調査対象：国内で情報セキュリティツールを販売、あるいは情報セキュリティサービスを提供していると思われる企業
（３）調査期間：平成19年11月～12月
（４）アンケート回収数：129件（発送：1,096件　回収率：約12％）

【調査結果概要】

　今回調査の基準年度とした平成18年度の市場規模は、5,887億円であり、平成17年度にはじめて5,000億円の大台に乗ったものと見られる市場は、15％弱の高い伸びを示している。また、平成19年度以降も6,562億円、6,938億円と比較的高い成長を続けるものと予測される。

・「平成19年度情報セキュリティ市場調査報告書」

ちなみに、私はこの報告書の執筆メンバーの1人なのですが、公表されていることは他の方から教えていただきました。
このことを、その方に言ったら、「まぁ、良くあることです」と…

確かに、そうかも。

「次世代の情報セキュリティ政策に関する研究会報告書」公表

総務省「次世代の情報セキュリティ政策に関する研究会報告書の公表」からです。

パブコメ募集をしていましたが、正式な報告書として確定したようです。
ICTの利活用と保護の「あるべき姿」を考えるためのリファレンスとなりそうです。

●「次世代の情報セキュリティ政策に関する研究会報告書」

●「次世代の情報セキュリティ政策に関する研究会報告書」のポイント

ところで、ここでの「次世代」とはそんなに先のことではないですね。
かなり近い将来のこと、そう読むべきです。

「ITサービス継続ガイドライン(案)」公開

「ITサービス継続ガイドライン(案)」が公開されています。
BCP/DRPの中でも、ITサービスに絞って書かれているガイドラインです。
ここから実効性のあるBCP/DRPを策定し、IT以外の資源に拡大していくという段階的な導入・展開というのもよいかもしれません。

＜参照URL＞
・「ITサービス継続ガイドライン(案)」に対する意見募集について
・「ITサービス継続ガイドライン(案)」

情報セキュリティ管理基準改正案、パブコメ募集

情報セキュリティ監査制度の「情報セキュリティ管理基準」が改正されます。
8/1期限でパブコメ募集が行われています。

●「情報セキュリティ管理基準改正案に対する意見募集について」

●情報セキュリティ管理基準（改正案）

●情報セキュリティ管理基準（現行版）

改正案の現行版との最大の違いは、基準がマネジメント基準(JIS Q 27001:2006 の本文に基づく)と管理策基準(JIS Q 27001:2006 の詳細管理策に基づく)に分かれたところです。

これで、情報セキュリティ監査や情報セキュリティマネジメントは、現状から変わっていくのでしょうか。
ぜひ、良い方向へ変わってほしい…

東京大学CCR「第7回情報セキュリティシンポジウム」

東京大学CCR情報セキュリティコミュニティの「第7回情報セキュリティシンポジウム」が開催されます。

確か、今回が最後の開催だったと思います。
イベントが減ってしまうのは、ちょっと寂しいですね。

■■■■　第7回情報セキュリティシンポジウム　■■■■
日時：2008年7月15日（火） 10:30-17:45
場所：東京大学　駒場IIリサーチキャンパス
      先端科学技術研究センター4号館2階「講堂」
　　東京都目黒区駒場4-6-1（キャンパス案内）
　
主催：東京大学CCR情報セキュリティコミュニティ　
後援：情報セキュリティ政策会議/経済産業省
参加費： 東京大学CCR情報セキュリティコミュニティ会員：無料
＊プログラム終了後(１７：４５～)に、会員交流会（3号館2階207号室）を予定

※ プログラム詳細

「企業における戦略的な情報セキュリティガバナンスの確立に向けて」公表

経済産業省の報道発表「産業構造審議会 情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて～の公表について」からです。

産業構造審議会情報セキュリティ基本問題委員会が「企業における戦略的な情報セキュリティガバナンスの確立に向けて」の中間とりまとめを公開しています。

「情報セキュリティガバナンス確立」、なかなか浸透しませんね…
何が課題で、どういう方向に向かうべきなのか、私もこれを読みながら考えてみます。

●本件の概要
産業構造審議会情報セキュリティ基本問題委員会（委員長：寺島実郎　株式会社三井物産戦略研究所所長）では、平成19年5月に策定した「グローバル情報セキュリティ戦略」等を受けた経済産業省における検討の進捗状況を踏まえつつ、企業の経営者が情報セキュリティガバナンス確立のために考慮すべき事項とそれを支援するために必要な施策について平成19年10月より審議を重ねてまいりました。このたび、当委員会において中間とりまとめを行いましたので、公表します。

＜発表資料＞
・産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて～の公表について

・中間とりまとめ

「次期情報セキュリティ基本計画に向けた第１次提言」公開

内閣官房情報セキュリティセンター(NISC)のHPで「次期情報セキュリティ基本計画に向けた第１次提言」が公開されています。

また意見募集が、平成20年(2008年)7月18日(金)18:00期限で行われています。
さらに、今回は以下のような意見募集もしています。

・今後、より具体的な調査検討を進めていくに際しての意見。具体的には、
対策実施４領域（政府機関・地方公共団体／重要インフラ／企業／個人）
横断的な情報セキュリティ基盤（技術戦略／人材の育成・確保／国際連携・協調／犯罪の取締り及び権利利益の保護・救済）
における、情報セキュリティの観点からの課題と今後の政策への要望

・その他自由意見（政府以外の主体に求めたいこと、等）

私もまずは何度か読んでみて、検討してみます。

＜参考URL＞
●「次期情報セキュリティ基本計画に向けた第１次提言」の概要
   
●「次期情報セキュリティ基本計画に向けた第１次提言」 

「セキュア・ジャパン2008」決定

内閣官房情報セキュリティセンター(NISC)のHPで「セキュア・ジャパン2008」が公開されています。

個人的に注目・期待している施策は、
・情報セキュリティを企画・設計段階から確保する(SBD：Security by Design)のための方策の強化
・政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)の本格運用・能力強化
・「重要インフラ連絡協議会(仮称)」創設の促進
・情報セキュリティ人材の重点確保
あたりです。

今年度は、「情報セキュリティの政策・戦略が浸透してきた、着実に成果があらわれてきた」という実感ができるような年度になってほしいですね…

＜参考URL＞
●「セキュア・ジャパン2008」

・「セキュア・ジャパン2008」の決定について
   
・「セキュア・ジャパン2008（案）」
   
・「セキュア・ジャパン2008」(案)に対する提出意見の概要及び御意見

「内部統制におけるアイデンティティ管理解説書」公開

JNSAのHPで「内部統制におけるアイデンティティ管理解説書」が公開されています。

この解説書は「アイデンティティ管理製品」の導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した効果が出ないといったことが続出した…
ということで、「アイデンティティ管理システム」の導入における標準的な上流工程作業についてのガイドラインを示すことにより、ユーザ、SIer、ベンダーの誤解を解き、健全なシステムの導入と効果の創出の一助とするという目的のために作成されたものです。

※解説書は、こちら。

ところで、同時にJNSAのHPがリニューアルされています。

また、情報セキュリティ教育事業者連絡会（ISEPA）のサイトもリニューアルオープンしてます。
※ 詳細は後日、ここで。

さらに、JNSA下部組織として「日本セキュリティオペレーション事業者協議会（Information Security Operation provider Group Japan、略称：ISOG-J）」のサイトがオープンしてます。
※ こちらも詳細は後日、ここで。

Webサイトへの攻撃をチェックするツール、無償提供

日経ITproの記事「Webサイトへの攻撃をチェックするツールの新版，ラックが無償提供」からです。

Webサイトの脆弱性を狙った攻撃の有無を確認できる「SecureSite Checker Free（セキュアサイト・チェッカー・フリー）」の新バージョンが公開されたようですね。
このツールでは「SQLインジェクション」などの攻撃の情報を、Webサーバーのログから解析できるようです。

このツールは、以前の記事「IPA「ウェブサイトの脆弱性検出ツール」公開」のツール（iLogScanner）より、高機能ということでしょうね。

「2008年度 情報セキュリティ監査シンポジウム in Tokyo」開催

「2008年度 情報セキュリティ監査シンポジウム in Tokyo」が開催されます。

JASAのHPで申し込み受付が始まっています。
今回、注目したいのは「情報セキュリティ管理基準Ver2.0」、そしてやはり「保証型情報セキュリティ監査」（特に「監査主体のためのガイド」や利用例）です。

「2008年度 情報セキュリティ監査シンポジウム in Tokyo」

開催日:2008年7月9日（水）10:00～17:30（開場：9:30～）
会場:大手町サンケイプラザ
〒100-0004 東京都千代田区大手町1-7-2　Tel 03-3273-2257

主催:経済産業省、特定非営利活動法人 日本セキュリティ監査協会（JASA）
参加費:無料（事前登録制）
定員:500名

ウイルス対策の歴史

日経ITproの記事「ウイルス対策の歴史をひもとく」の「第1回　1989年～1998年：牧歌的だった愉快ウイルスが次第に牙をむきはじめる」からです。

以前の記事「スパムメール誕生から30年」でも書いた「パキスタン・ブレイン」も書かれてますね。

この記事では、そういう牧歌的なウイルスから始めて、現在のようなウイルス(厳密には「ウイルス」と呼ぶべきではありませんが)までどのように変化が連載で書かれるようです。

このように背景や歴史から理解していくというのは、本質的な理解をするためにはとても重要で有効なことです。
ということで、次回も楽しみです…

「COBIT 4.1 日本語版」公開

ITGI/ISACAのHPで公開されています。
4.0の日本語版が公開されたのが、つい先日だったような錯覚さえしております。

その際にも、すべてダウンロードして印刷したのですが、たぶん全てに目を通し終わってません。
とにかく、最近はこういうもののリリースに追いつけていません。
（なので、どこが改訂されたのか、よくわかりません）
まずは、自分の中で優先順位をつけなければ…

＜ダウンロードURL＞
●ITGI Japan

・COBIT 4.1 日本語版（2008年6月）
-COBIT エグゼクティブオーバービュー、COBIT フレームワーク
-計画と組織 [PO]
-調達と導入 [AI]
-サービス提供とサポート [DS]
-モニタリングと評価 [ME]
-付録

・取締役会のためのＩＴガバナンスの手引（69ページ)
・情報セキュリティガバナンス - 取締役会と役員に対するガイダンス（48ページ)
・同サプルメント（2ページ）

「ITSMSユーザーズガイド～導入のための基礎～」公開

「ITSMSユーザーズガイド～導入のための基礎～」が、公開されてました。（公開されてたのは、先月末かな…）

これは「ITSMS導入における基礎的な事柄を説明しているガイド。ITIL/QMS/ISMSとITSMSとの相違点についても言及している」というもののようです。
まだ斜め読みでなので、さっとしか読んでませんが、詳細な導入の指針になっているようです。

すでに「ITSMSユーザーズガイド-JIS Q 20000(ISO/IEC 20000)対応-」が公開されていますが、こちらは「JIS Q 20000-1の要求事項について一定の範囲でその意味するところを説明しているガイド。主な読者は、ITSMS認証取得を検討もしくは着手している事業者において、実際にITSMSの構築に携わっている方及び責任者を想定している」というものでした。

つまり、こちらのガイドだけでは構築は難しいということですね。それから、（個人的には）読者は認証取得が目的でなくてもよいと思います。

とにかくマネジメントシステムというと、「技術的な知識や理解がなくとも構築できる」という方もいらっしゃいます。
しかし、それは明らかに違いますね。
情報セキュリティマネジメント(ISMS)もそうですが、このITサービスマネジメント(ITSMS)を見るとなおさらそう感じます。

「SANS Future Visions 2008 Tokyo」申し込みサイトオープン

「SANS Future Visions 2008 Tokyo」の申し込みサイトがオープンしてますね。

「SANS Future Visions Tokyo」は、昨年から始まりました。
ということで、今回で2回目です。

昨年も今年も2日間の開催ですが、会場が白金からお台場に変わってます。
それから、1日目の夕方に展示会場内で「ウェルカムレセプション」が開催されることになったようです。

もちろん、CISSPの方はCPE対象イベントです。

ISEPAイベント「公開討論！ これからのセキュリティ人財育成」報告

（諸般の事情ということで）超遅レスならぬ、超遅レポになっていますが…
去る3/26に開催したイベント「公開討論！ これからのセキュリティ人財育成」の報告が、JNSAサイトに掲載されています。（こちら）

当日行われたBoFとパネルディスカッション、集まったコメントなどが掲載されています。
私がコーディネータを務めさせていただいたパネルディスカッションは、簡単な議事も掲載されています。

イベントの雰囲気などはなかなか伝わりにくいのですが、いろいろと参考にしていただける部分も多いと思います。
ご興味のある方、ぜひご一読ください。

「情報セキュリティ白書2008 第II部」公開

IPAのHP「情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開」からです。

この白書は、

IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめたものです。「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択、分析し、今後の対策をまとめました。

というものです。

そして、「その10大脅威」とは…

■10大脅威 ますます進む『見えない化』

第１位 高まる「誘導型」攻撃の脅威
第２位 ウェブサイトを狙った攻撃の広まり
第３位 恒常化する情報漏えい
第４位 巧妙化する標的型攻撃
第５位 信用できなくなった正規サイト
第６位 検知されにくいボット、潜在化するコンピュータウイルス
第７位 検索エンジンからマルウェア配信サイトに誘導
第８位 国内製品の脆弱性が頻発
第９位 減らないスパムメール
第１０位 組み込み製品の脆弱性の増加

そして、「情報セキュリティ白書2008」は、この第II部のみが公開。
そのほかは、今年から書店での販売（定価1,200円）での提供ということになったようです。
（下記、参照ください）

ダウンロードは、こちらから。
●情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」

＜参考記事＞
●「情報セキュリティ白書2008」出版について

「情報セキュリティに関するインターネット利用者意識調査 2008」

NRIセキュアのHPで「情報セキュリティに関するインターネット利用者意識調査 2008」
が公開されています。

さて今回の調査では、
・回答者の過半数がスパムメールをトラブルと認識
・8割以上が「企業の社員の情報セキュリティ教育をきちんと行うべきである」、7割以上が「情報セキュリティ教育の研修の機会をもっと増やすべきである」と回答
ということで、「情報セキュリティに関する自らのリテラシー向上を企業などの組織に求めている状況」とのこと。

教育をする側が、
・ワークスタイルやICT技術などの環境変化に対応できていない
・教育コンテンツがマンネリ化していて手詰まり感がある
などが原因でこのような状況を生んでいるのではないか、と個人的には考えております。

この調査は今回で5回目ということですが、ずっと継続してほしいものです。

＜参考記事 NIKKEI NET＞

「JNSA 2007年度活動報告会」

「JNSA 2007年度活動報告会」の申込みサイトがオープンされました。

＜JNSA 2007年度活動報告会＞
■ 日　時： 2008年6月13日（金）9：30～15：30
■ 場　所： ベルサール八重洲 ３Ｆ
(中央区八重洲1-3-7八重洲ファースト　フィナンシャルビル)
■ 主　催： 特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
■ 定　員： Room１　定員：72名、Room２＋Room３　定員：144名
■ 料　金： 参加費無料

ご興味のある方、ぜひご来場ください。ちなみに、私は以下の2つのセッションで登壇いたします。

＜ISEPA・パネルディスカッション＞
「人財育成マップとキャリアパスの現状と今後について」9:30-11:20〈110分〉
ディスカッションテーマ：「情報セキュリティのキャリアパス　～現状と未来～」

モデレータ：衣川俊章氏／(ISC)2 JAPAN
パネリスト：
　増田聖一氏／三井物産セキュアディレクション
  長谷川長一氏／日本ユニシス
　米澤一樹氏／日興アセットマネージメント
　田野広季氏／あおぞら銀行

＜教育部会＞
「情報セキュリティ教育の基礎情報と教育の拡散への試行」11:25-11:40
（長谷川長一 氏／日本ユニシス）

最近、すっかりパネルディスカッションづいてます。(2008年になって、すでに4回目…)

「Security Eye」、Webで公開

NPO日本セキュリティ監査協会(JASA)の情報誌「Security Eye」が、最新号の第10号からWebマガジンとして公開されています。（こちらより、閲覧・ダウンロードできます）

これからは、より多くの方に読んでいただきたいですね。
まだ「Security Eye」を読んだことがない方は、この機会にぜひ読んでみてください。
（今回、私はどこにも出てきませんが）

ケビン・ミトニック氏、初来日&講演

このブログで書き忘れていたのですが･･･

5/19に、特定非営利活動法人日本ITイノベーション協会(JITA)のイベントがあります。

そこではなんと、あのケビン・ミトニック氏の講演もあるのです。

ちょうど、スケジュールが空いていたので、行ってきます。
とても。楽しみです･･･

感想などは、またこのブログで書きます。（たぶん）

＜参考＞
●プロフィール：ケビン・ミトニック
・JITAのHP
・Wikipedia

●このブログの過去の記事
・「欺術」
・「ザ・ハッカー」
・「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

セキュリティ対策と法律の調査報告書、公開

IPAのHP「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査」からです。
海外5カ国（アメリカ、イギリス、フランス、ドイツ、オーストラリア）における情報セキュリティ活動と法律の関係を調査し、日本における法律のあり方に対する提言をまとめた報告書が公開されました。

さっと読んでみましたが、日本における法律の整備の相当な遅れを感じました…

報告書は、こちら。
●「情報セキュリティに関連するソフトウェアの取扱いに係る法律上の位置付けに関する調査 報告書」

＜目次＞
●はじめに
●概念
　・情報セキュリティ活動の概念
　・本調査の対象
●リバースエンジニアリング に関する法的問題
　・リバースエンジニアリングの手法と情報セキュリティ活動
　・日本におけるリバースエンジニアリングを用いたセキュリティ活動と著作権の問題について
　・諸外国における脆弱性調査のためのリバースエンジニアリングの適法性をめぐる議論
　・検討
●セキュリティ修正ソフトウェアと法律
　・セキュリティ修正ソフトウェア
　・第三者における修正ソフトウェアの提供
　・我が国における第三者によるセキュリティ修正ソフトウェアの開発・提供に関する法的問題
　・諸外国における議論の状況
　・検討
●著作権技術的保護手段等の脆弱性調査について
　・技術的保護手段とは
　・諸外国における技術的保護手段と法律の解釈の交錯
　・技術的保護手段、権利管理情報に関する法律上の規定と検討
●提言
　・提言の趣旨
　・脆弱性調査目的のデコンパイル の適法性の確認
　・第三者による脆弱性修正プログラム作成の適法性と確認
　・ソフトウェア利用契約における禁止条項の効力
　・技術的保護手段と暗号研究

事業継続マネジメントシステム(BCMS)関連文書・対訳版

事業継続マネジメントシステム(BCMS)関連文書・対訳版の提供が始まったようですね。(有料です。個人で購入できる金額ではないです・・・)

●事業継続マネジメントシステム(BCMS)関連文書について～JIPDEC

提供される文書は、以下の通り。

・対訳版　BS25999-１
　事業継続マネジメント－第1部：実施規範。
・対訳版　BS25999-2
事業継続マネジメント－第2部：仕様   
・対訳版ISO　PAS22399
　社会セキュリティ－緊急事態準備と業務継続マネジメントガイドライン

BCMS制度の開始、規格化がいよいよ始まるということなんでしょうね。

「セキュア・ジャパン2008」(案)、公開

内閣官房情報セキュリティセンター(NISC)のHPで「セキュア・ジャパン2008」（案）が公開され、パブリックコメントの募集がされています。
（パブコメ募集は、5/22まで）
中身は、これからじっくり読んでみます…
私なりのコメントは、そのあとにここで書いてみます。

●「セキュア・ジャパン2008」（案）に関する意見の募集

・「セキュア・ジャパン2008」（案）

IPA「ウェブサイトの脆弱性検出ツール」公開

IPAの「ウェブサイトのSQLインジェクション脆弱性の検出ツール」を公開～ウェブサーバのアクセスログを解析して脆弱性検出を簡易に行うツールiLogScanner～、からです。

かなり役立ちそうなツールです。

●iLogScanner
#概要
　今までは専門的なスキルが必要だったWebサーバのアクセスログ解析が、iLogScannerを使えば誰でも簡単に行うことができ、危険な攻撃と思われる痕跡を確認することが出来ます。
　iLogScannerは、ブラウザ上で実行するJavaアプレット形式のツールとなっているので、ホームページを見ることができる環境ならば、どこでも簡単に使用することができます。
　現在は、次の攻撃と思われる痕跡を検出することができます。
　・SQLインジェクション

#解析対象のアクセスログ形式
　・IIS5.0/6.0のW3C拡張ログファイルタイプ
　・Apache HTTP Server1.3系/2.0系/2.2系のcommonタイプ

　(解析対象アクセスログ詳細)

#操作手順
　こちら　

現在は、対象となる攻撃がSQLインジェクションだけですが、今後はそのほかの攻撃にも対応予定とのこと。
これは、期待したいですね。（というより、すでに期待してます）

まずは、どこかのサイトをスキャンしてみたい…

「平成19年度 情報セキュリティ監査制度の利用促進に関する実施報告書」公開

NPO日本セキュリティ監査協会(JASA)のHPで公開されました。（PDF形式で、ダウンロードできます）

特に今回は、以下のものにご注目いただきたいと思います。

◇ 保証型監査促進プロジェクト報告
・監査主体のためのガイド
・被監査主体のためのガイド
・監査報告書利用者のためのガイド（利用者合意方式を中心に）
・監査報告書利用者のためのガイド（実務者向け被監査主体合意方式のガイド）

◇ 情報セキュリティ管理基準 V2
・マネジメント編
・管理策編

情報セキュリティ関連イベント、5月～8月

来週は、注目の情報セキュリティイベント「RSAカンファレンス2008」が開催されますね。

さて、もちろん5月以降も情報セキュリティ関連イベントが開催されます。
（スケジュールや費用の関係で、すべて参加できるわけではないですが）自分自身の備忘録も兼ねて、以下に8月までの主要なイベントを挙げてみます。
（他にもあったら、ご存じの方は、ぜひ教えてください！）

●「第5回情報セキュリティEXPO」
日程：2008年5月14日（水）～16日(金)
会場：東京ビッグサイト
展示会無料（事前登録）、セミナー有料

●「CeCOS II 東京　：第2回 ネット犯罪対策運用サミット（The second annual Counter-eCrime Operations Summit）」
日程：2008年5月26日(月)・27日(火)
会場：グランドプリンスホテル赤坂　別館　ロイヤルホール
早期割引 43,300円（税抜 41,239円+消費税2,061円）（5/9(金)までお申込みの場合）
通常価格 48,650円（税抜 46,334円+消費税2,316円）

●「第12回サイバー犯罪に関する白浜シンポジウム～国民総ネット化時代の情報安全教育」
日程：2008年6月5日（木）～7日（土）
会場：「コガノイベイ」ホテル（和歌山県白浜町）
15,000円 （1名様3日間　昼食代・宿泊費別）

●「Interop Tokyo 2008」
日程：
  展示会：2008年6月11日（水）～13日（金）
  コンファレンス：2008年6月9日（月）～13日（金）
会場：幕張メッセ
展示会無料（事前登録）、コンファレンス有料

●「SANS Future Vision 2008」
日程：2008年7月1日(火）～2日（水）
会場：ホテル日航東京　東京お台場
セッション（無料）、SANSトレーニング（有料）

●「第3回オフィスセキュリティEXPO」
日程：2008年7月9日(水)～11日(金)
会場：東京ビッグサイト
展示会無料、セミナー有料

●「Security Solution 2008」
日程：2008年8月20日(水)�