クラウドセキュリティのガイダンス第2版、公開

日経ITproの記事「クラウドのセキュリティ確保を目指すCSA，ガイダンス第2版を公開」からです。

米国のクラウド・コンピューティングのセキュリティ確保を目指す業界団体のCloud Security Alliance（CSA）が「Guidance for Critical Areas of Focus in Cloud Computing Version 2.1」を公開したようです。

この第2版では、クラウド・コンピューティング導入について，ガバナンスとリスク管理，法的証拠の電子開示，コンプライアンスと監査，情報管理，データ・センター運用など13分野にわたるベスト・プラクティスを示しているようです。

文書は英語での公開ですが、とりあえずダウンロードして読んでみようかと・・・

ところで、いまやIT業界はどこに行ってもクラウド・コンピューティングの話題で盛り上がっています。
しかし、「クラウド・コンピューティングにおけるセキュリティの必要性と課題」とか「そもそも、クラウド・コンピューティングとは？」という話になると、みんな揃って歯切れが悪くなります。オチだけは「クラウドだけに、その辺は「もやっ」としております・・・」とか「雲をつかむようなお話で・・・」と決まっているんですが・・・（お後が、よろしいようで）

「電子メール利用時の危険対策のしおり」公開

IPAセキュリティセンターの「対策のしおりシリーズ」で「電子メール利用時の危険対策のしおり」が新たに公開されています。

ちなみに、章立ては以下の通り。

1. 電子メールの誤送信防止のために
2. Microsoft社のOutlook Expressのセキュアな設定
3. 標的型攻撃から身を守るために
4. 不審メール110 番
5. 参考情報

電子メール利用時の脅威にもいろいろありますが、最近はまずは誤送信とスパムですかね。

「Network Security Forum 2009」

JNSAのHPで「Network Security Forum 2009」の開催告知と申し込みが始まっています。

今回は、基調講演にISF(the Information Security Forum)プレジデント兼CEOのハワード・シュミット氏が講演されます。
JNSAとISFは、先月1日提携契約をしており、その内容についてもお話があるようです。

◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　　NPO 日本ネットワークセキュリティ協会（JNSA）主催
　　　　　=== Network Security Forum 2009 ===
              情報セキュリティ新時代
　　＜転換期を迎える情報セキュリティのこれからを考える＞
　━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆

　＜会　期＞　　2010年1月27日（水）
　＜時　間＞　　10：30～18：00
　＜会　場＞　　ベルサール神田　３階　Room1・Room2
　　　　　　　　（千代田区神田美土代町７ 住友不動産神田ビル）

　＜主　催＞　　NPO 日本ネットワークセキュリティ協会
　　　　　　　　　　
　＜後　援＞　　（申請中）情報セキュリティ政策会議、総務省、
                経済産業省、独立行政法人情報処理推進機構（IPA)

　＜参加費＞　　無料（事前登録制）
　＜申　込＞　　ホームページよりお申込みください。
　             

　─────────────────────────────
　★事前登録スタート！
　─────────────────────────────
◎開催概要◎
　今年のNSFは、２つのトラックに分かれてディスカッションを中心
　としたセッションで構成します。
　ISO/IEC 27000関連規格の最新動向、話題のクラウド、情報セキュリ
　ティにおける人材育成、また、中小企業、個人情報保護法など多岐
　にわたる課題について講演並びにディスカッションを行います。

　また、基調講演にISF (the Information Security Forum)
　プレジデント兼CEOハワード・シュミット氏をお招きし、ご講演
　いただくと共に、2009年11月１日にバンクーバーで開催されたISF
　の総会にて締結したISFとJNSAとのパートナーシップ提携契約の報告
　と今後の協業の在り方についてもお話したいと考えております。

　是非とも、本イベントにご来場いただき、また、議論にも積極的に
　ご参加いただきますよう、よろしくお願いいたします。

※本イベントはCPEポイント（CAISとCISSP）申請対象イベントです。

■□■────────────────────────■□■
            　          プログラム
■□■────────────────────────■□■

★聴講無料★

===== 基調講演 =====
10:30-12:30(90分）（Room １＋Room 2／定員：252名）

「タイトル調整中」 　※逐次通訳が入ります。
　情報セキュリティフォーラム(ISF) 会長 ハワード・シュミット 氏

=====トラックA (Room1/定員120名）=====

【A1】「情報漏えい対策の次の一手に向けて」13:30-14:00(30分）
            セキュリティ被害調査WGリーダー/(株)NTTデータ
                        　大谷尚通 氏

【A2】パネルディスカッション 14:00-15:00〈60分〉
    「リスクアセスメントの課題」～JNSA WG 合同特別セッション～
            モデレーター：東京電機大学教授/JNSA会長 佐々木良一氏
            パネラー    ：住商情報システム(株) 二木真明 氏
        　              　富士通(株) 奥原雅之 氏
        　              　被害調査WGメンバー（調整中）

【A3】パネルディスカッション 15：10-16：30〈80分〉
    「クラウド（を使うための）セキュリティを考える」
            モデレーター：住商情報システム(株) 二木真明 氏
            パネラー    ：調整中

【A4】パネルディスカッション 16：40-18：00〈80分〉
    「IPv6導入でセキュリティはどう変わるか」
            モデレーター：(株)ブロードバンドセキュリティ 佐藤友治 氏
            パネラー    ：マカフィー(株) 野々下幸治 氏
                        （株）IIJテクノロジー 加藤雅彦 氏
                        （株）ブロードバンドセキュリティ 許　先明 氏
                        （社）テレコムサービス協会 今井恵一 氏

===== トラックB (Room2/定員99名）=====

【B1】講演 13：30-14：30〈60分〉
    「ISO/IEC 27000関連規格の最新動向」
            KDDI(株) 中尾康二 氏

【B2】講演 14：40-15：10〈30分〉
    「人財アーキテクチャーの活用・実証方法及び方向性について」
            教育事業者連絡会（ISEPA）スキルWGリーダー/(ISC)2ジャパン
            　       衣川俊章 氏

【B3】講演 15：10-15：40〈30分〉
    「情報セキュリティ基本教育実証」結果に学ぶ
　　    　　人材育成における産官学連携の重要性について
        情報セキュリティ基本教育実証WGリーダー/日本アイ・ビー・エム(株)　
                     平山敏弘 氏

【B4】講演 15：40-16：10〈30分〉
    「出社してから退社するまでのリスク対策」
        出社してから退社するまでのリスク対策WGリーダー/
        アイネット・システムズ株式会社　元持哲郎 氏

【B5】パネルディスカッション 16：30-18：00〈90分〉
    「個人情報保護法は、どこへ行く
    　～事業者の誤解と、適正な個人情報保護のあり方～」
            モデレーター：(株)大塚商会 佐藤憲一 氏
            パネラー    ：(株)OSK 小林 健 氏
                         (株)NTTデータ 西尾秀一 氏
                         ネットワンシステムズ(株) 山崎文明 氏
                        その他調整中　

─────────────────────────────────

＜参考記事＞
「JNSAとISF　パートナーシップ提携契約を締結」～JNSAプレスリリース

「水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に関する報告書」公開

昨日に続き、重要インフラ向けのセキュリティ文書についてです。

IPAセキュリティセンターのHPで「上水道分野用のSCADAセキュリティ グッド・プラクティス」が公開されました。
ここでは、重要インフラ制御システム（SCADA：Supervisory Control And Data Acquisition）におけるウイルスや不正アクセス等への39の対策項目が「グッド・プラクティス」として、全40ページにわたり具体的な対策例で紹介されています。

ちなみに、以下のような項目でした。

●39の対策項目（グッド・プラクティス）

（経営者向け）
・企業のセキュリティポリシーとSCADAセキュリティポリシー
・リスク管理
・セキュリティ意識
・監査
・SCADAシステムとサービスの調達ポリシー

（技術者向け）
・多層防御
・SCADA環境とOA環境の分離
・SCADA環境へのセキュアな接続
・SCADAシステムとネットワーク機器のセキュリティ対策
・SCADA環境の保護
・SCADA環境のパスワードポリシー
・事業継続とSCADAシステム及びネットワーク
・SCADA環境における情報媒体の管理

これは「上水道分野用のSCADAセキュリティ」に関する文書なのですが、「他の重要インフラ分野でも十分に適用可能」ということで公開されています。
確かに、他の重要インフラ分野でも参考になりそうな内容です。

「重要社会インフラのためのプロセス制御システム（PCS）のセキュリティ強化ガイド」公開

JPCERT/CCのHPで「重要社会インフラのためのプロセス制御システム（PCS）のセキュリティ強化ガイド」が公開されました。

プロセス制御システム（PCS：Process Control System）のセキュリティに関しては標準化などが進められているものの、参考となるガイドラインなどの文書は少ないようです。このガイドも原文はスウェーデン語のようです。それを英訳したものを、さらに日本語訳したようですね。

このガイドをさっとナナメ読みしましたが、プロセス制御システム（PCS）でも通常のICTと同じセキュリティが求められてきていることがわかります。

「ファイル共有ソフトを悪用した著作権侵害への対応に関するガイドライン（案）」公開

ファイル共有ソフトを悪用した著作権侵害対策協議会（CCIF）で「ファイル共有ソフトを悪用した著作権侵害への対応に関するガイドライン（案）」に対するパブリックコメントが募集されています。募集期間は、2009年12月15日（火）まで。

実は「ファイル共有ソフトを悪用した著作権侵害対策協議会（CCIF）」という団体があることを知りませんでした。（ある方に教えていただきました）
CCIFでは、2010年より、このガイドラインに基づき啓発メールの送付を実施する予定だそうです。

それにしても、団体の名称はちょっと長すぎなくはないかい？

「SecurityDay2009」

「SecurityDay2009」の申し込みが始まっていました。

名 称：SecurityDay2009 (セキュリティ・デイ 2009)
日 時：2009年12月16日 水曜日
12時30分開場、13時00分開始
会 場：工学院大学 28階 第１会議室 東京都新宿区西新宿1-24-2
JR新宿駅西口徒歩５分 都営大江戸線都庁前駅 徒歩３分 
参加費：セミナー無料、懇親会1000円 
定 員：100名
対 象：情報セキュリティに関わる方
※本イベントはCISSP/CPEポイント付与対象です
主 催：
　JPCERTコーディネーションセンター (JPCERT/CC)
　日本インターネットプロバイダー協会 (JAIPA)
　日本データ通信協会 (Telecom-ISAC Japan)
　日本ネットワークセキュリティ協会 (JNSA)
　日本電子認証協議会 (JCAF)

●プログラム
1250-1300　＜開会のご挨拶＞SecurityDay2009 実行委員長 やすだ なお
1300-1500　＜セッション１＞「電子認証のあり方」これまでの10年と今後の方向性

　松本 泰（セコムIS研究所）
　手塚 悟 （東京工科大学）
　満塩 尚史 （イマーディオ）
　秋山 卓司 （日本電子認証協議会）

1500-1515　＜休憩＞
1515-1645　＜セッション２＞セキュリティの可視化について

　中尾 康二 （Telecom-ISAC Japan）
　金岡 晃 （筑波大学大学院）
　堀 良彰 （九州大学）
　井上 大介 （情報通信研究機構）
　鹿野 恵祐 （JPCERT/CC）

1645-1650　＜休憩＞
1650-1750　＜セッション３＞標準化の一里塚

　中尾 康二 （KDDI）
　アンジェリカ・プレート （AEXIS Security Consultants）

1750-1800　＜休憩＞
1800-1930　＜セッション４＞情報交換会／懇親会 （会費：1000円）

昨年の「SecurityDay2008」も12/16でした。

総務省「地方自治情報管理概要」公開

総務省のHPで、地方自治情報管理概要「地方公共団体における行政情報化の推進状況調査及び個人情報の保護に関する条例の制定状況（平成21年4月1日現在）等の取りまとめ結果」が公開されました。

この調査は、「平成21年4月1日現在の地方公共団体（都道府県47団体、市区町村1,800団体（特別区を含む。以下同じ。））を対象に「地方公共団体における行政情報化の推進状況調査」及び「個人情報保護対策等制度化調」を実施しました」というものです。

その結果の中の情報セキュリティ関連のものを抜き出してみました。

1　電子自治体の推進状況
○ 情報セキュリティ対策の実施状況
・ 都道府県のほとんど（97.9％）、市区町村の7割弱（68.6％）が職員に対する情報セキュリティ研修を実施
・ 都道府県のすべて（100％）、市区町村のほとんど（95.5％）が委託事業者に対し情報漏えい防止策を契約等により義務付け

2　電子自治体に関する主要な指標の推移
○ 市区町村において、特に進展が著しい項目
・ CIOの任命率（平成17年度60.5％→平成21年度76.1％）
・ 情報セキュリティ研修の実施率（同51.5％→同68.6％）

3　個人情報の保護に関する条例の制定状況
○ 条例の規定内容等
・ 保護の対象とする個人情報の処理形態の範囲の拡大、自己情報の開示・訂正の請求、外部委託先の規制、申請等への措置に関する規定内容の整備は、いずれも、都道府県のすべて、市区町村のほとんど（98%以上）で実施。
・ 都道府県のすべて（100％）、市区町村の7割（69.9%）の団体が条例に罰則規定を設けている。

○ 目的外使用等
・ 都道府県の9割弱（89.4％）、市区町村の9割強（93.6％）の団体が人の生命、身体又は財産の保護のため、緊急の必要があるとき、目的外使用ができることとなっている。

○ 個人情報保護に関する体制整備等
・ 都道府県のすべて（100％）、市区町村の5割強（52%）の団体が職員に対する教育・研修を行っている。
・ 都道府県のほとんど（97.9％）、市区町村の4割強（43.8%）の団体が住民に対しホームページ・パンフレットによる周知を行っている。
・ 都道府県の7割強（72.3%）、市区町村の1割強（16.6%）の団体は「過剰反応」に関する周知も行っている。

さて、個人的な感想ですが、（数字以上に）やらされている感じを強く受けました。
自発的・自立的な活動にするために、改めて何か施策が必要な気がします。

「2009年度 情報セキュリティの脅威に対する意識調査」報告書、公開

「2009年度 情報セキュリティの脅威に対する意識調査」の報告書が公開されています。

今回の調査は、以下のような項目で実施されたようです。

・インターネットの利用状況
・情報セキュリティの脅威に対する認識
・情報セキュリティ対策の実施状況
・情報セキュリティに関する被害状況
・USBメモリのセキュリティ対策状況
・情報セキュリティに対する意識・情報収集
・組織における情報セキュリティ対策

そして、結果は・・・

●調査結果概要
（1） 情報セキュリティに関する攻撃・脅威の認知状況
　情報セキュリティに関する攻撃・脅威について、その事象をどの程度知っているかを調査しました。
　攻撃・脅威に対する認知の割合をみると、ワンクリック不正請求（94.4％）、フィッシング詐欺（93.7％）、スパイウェア（88.3％）が上位となり、高い認知状況となっています。一方、2008年9月の調査結果と比較すると、マルウェアは約5ポイント（31.8％から36.6％）、ボットは約4ポイント（35.3％から39.0％）上昇しましたが、それでも4割に至らない状況でした。また、今回初めて調査した偽セキュリティ対策ソフトは、50.8％の利用者が「名前も概要も知らない」ことが判明しました。偽セキュリティ対策ソフトをインストールすると、パソコンが正常に動作しなくなるといった症状が発生しますので、被害防止に向けて対策を啓発していく必要があると考えています。

　なお、認知状況の高いワンクリック不正請求、フィッシング詐欺、スパイウェアについては、「詳しい内容を知っている」との回答が、それぞれ2割前後となっており、理解度を高めていく活動も必要であると認識しています。

（2） パスワードの設定方法について
　情報システムにおいて本人確認を行うために必要なパスワードの設定方法に関して調査しました。
　「パスワードは誕生日など推測されやすいものを避けて設定している」が49.4％となり、約半数の利用者が安易なパスワードを設定している可能性がある状況が判明しました。また、「複数のサイトでパスワードを併用している」との回答が35.1％となりました。パスワードを併用した場合、1ヶ所でもパスワードが漏えいすると、複数のサイトでサービスを不正使用されてしまう危険性があります。本人になりすまされ、サービスを不正使用される被害が発生していますので、パスワードの設定・管理について見直すことを推奨します。

「偽セキュリティソフト」「ボット」・・・、まだまだこのあたりは認知されていないということですね。
パスワードについては、どこで何年調査しても同じような調査結果になっているので、「パスワードの設定・管理について見直すことを推奨」というのは、ユーザー個人よりも管理する組織側により必要なことだと思っています。

「MACtimeからわかるファイル操作 (Version 1)」公開

JPCERT/CCから「MACtimeからわかるファイル操作 (Version 1)」が公開されました。

ところで、「MACtime」って？
この資料によると、以下の通り説明されています。

MACtimeとは、ufs、ext3、NTFSなどのファイルシステムに保存されている3つのタイムスタンプmtime、atime、ctimeの総称である。ファイルシステムにおいて個々のファイルやディレクトリは、その名前、属性情報、ファイル本体もしくはディレクトリエントリの情報を持つ。MACtimeは属性情報の一部にあたる。一般的に我々がよく目にするタイムスタンプはmtimeで、最後に更新された時刻が記録されている。この他、atimeには最後にアクセスされた時刻が、ctimeにはタイムスタンプ以外の属性情報の最終更新時刻が記録されている。

ログの分析をする業務の方（フォレンジック、検査・監査等）の方には、役立つ資料と思います。

＜関連記事＞
「JPCERT/CC、MACtimeを分析するための技術資料を公開」～ITmedia