V.S.A. III

こんにちわ，五十嵐です．「監視社会」や「管理社会」などと言われると怖いですが，安全で安心な社会のために，見られることも必要なのではないかと思っています．

先日書いた「システム管理者の逸脱行為を抑止する」(2006/05/29) ですが，これも言わば，権限の行使を監視して管理者の暴走を抑止しようということになります．
一番単純なイメージはこんな感じです．



これは，Linux などの su コマンド(ユーザを切り替えるツール：Switch User) の二重認証のイメージです．一般の su コマンドは，引数を省略すると root (管理者権限を持つユーザ，Windows で言うところの Administrator) に切り替わります．その際，root ユーザのパスワードを求めてきます．上の画像は，root ユーザのパスワードだけでなく，承認者の ID とパスワードを求めるように拡張したイメージです．

つまり，管理者権限で作業をしようとする人の他に，もう一人承認者を増やすことで，こっそりと作業をするのを抑止しようというわけです．

これはこれで一つのアイディアなのですが，実運用で使おうとすると，問題が発生する可能性があります．この点はもう少し整理してから書こうと思います．

こんにちわ，五十嵐です．一般犯罪の世界でも犯罪の加害者の年少化ということが問題になっていますが，情報セキュリティの世界でも同じようです．

• 「アイテム欲しい」とフィッシング　中3を書類送検 (2006/05/30 ITmedia エンタープライズ)
• フィッシング：中3男子、ハンゲーム名乗り　少女にわいせつ画像要求も (2006/05/30 MSN/Mainichi)
• NHN Japan、未成年者によるフィッシング事件を受けて会員に注意喚起 (2006/05/30 INTERNET Watch)

フィッシング(ホームページ詐欺)を用いた犯罪ですが，記事によると未成年のフィッシング行為の立件は初めてとのことです．

昔，300bps や 1200bps で接続してパソコン通信していたときも，中学生のユーザがいて，これが非常にコンピュータの実技について詳しかったことを思い出しました．大学生の私もたじたじで，最初はそういう年齢のユーザだとは思っていませんでした．言葉遣いなどから，どうも一般の大人ではなさそうだというので聞いてみると，中学生だということがわかったのです．彼が決して犯罪を犯したということではないのですが，少年時代からパソコンに触れていたということで，様々な知識と実践方法を蓄えていたようです．

上の記事を見て，思ったことは，今後もネットワークを介した少年犯罪が増えてくるのではないかということです．単なるスクリプト・キディングだけでなく，柔軟な発想で攻撃や詐欺まがいの行為を行うものが出てくるだろうと思っています．

これは教育だけでは片付けられません．そういう少年達が自分の力を正しい方向に使える社会の形成も必要です．少年達だけのインターネットコロニーができ，それを食い物にする大人も出てくることでしょう．米国では既に少年少女向けのブログのあり方で問題が起きているようです．日本でも今から対策を検討しておく必要があると思います．

こんにちわ，五十嵐です．先日「霞ヶ関の顔認証実験は一般人のプライバシーを侵害するか？」(2006/05/09)という記事を書きましたが，カエルの被り物を被り顔を隠して霞ヶ関駅の改札を通るという反対運動があったそうです．見たかったなぁ．でも，単なる好奇心です
実証実験を霞ヶ関で実施するというのもパフォーマンスですからね．パフォーマンスの応酬というわけでしょう．

さて本題．
かなり前から暖めていたアイディアですが，システム管理者の二重認証というものを考えています．このアイディア自体は目新しいものではありません．実物を見たことはありませんが，映画などで見かける最終兵器のセイフティロック解除のようなものです．つまり，二人が鍵を持っていて，同時に回さないとロックが解除されないというあれです．

セキュリティ事故の8割が内部犯行というのは根拠がないとは言いながらも(「事故の8割が内部犯罪ってほんと？」(2005/10/18) 参照のこと)，管理者権限の不正使用という可能性が消えたわけではありません．

最少権限付与という考え方もありますが，与えられた権限の範囲内での不正行為を防ぐものではありません．システム管理者に監視者をつけて，その監視者にまた監視をつけて．．．という笑い話がありますが，この笑い話には見られることで不正を抑止できる，という本質が隠れています(別に隠れてないか )

見られることで抑止できるなら，おこなった操作をすべて記録すれば，リアルタイムでなくても抑止できるだろう，というのがログ監査の考え方です．この場合，ログを書く権限と読む権限を分ける，あるいはログに追記はできるが変更できないなどの環境が必要になります．

この二つの中間的位置に二重認証を考えて見ました．簡単に言ってしまえば，パスワードを二つつけるようなもので，一つは管理者本人が知っているけれど，もう一つは管理者以外の承認者が知っているというような仕組みです．一番単純なものは，ここに書いたように管理者と承認者という二人の組で認証するものですが，もう少し実運用の場面を考慮する必要があると思っています．

もちろん，一人の管理者が二つのパスワードを両方とも知っているという運用もできますので，運用次第では意味がなくなりますが，これはどんな仕組みを使っても同様ですので，この点についてはひとまず棚に上げておくことにします．

もう少しまとまったら，また続きを書く予定です．

こんにちわ，五十嵐です．世の中にはいろいろな目的で全身を覆う防護服のようなものがあります．このようなものを着たまま，本人を確認をするのはどうしたらよいか，ということについて調べ始めました．

そもそもの疑問は現在放映中の「轟轟戦隊ボウケンジャー」について真面目にセキュリティを考察してみようというところから始まっています．

ボウケンジャーに限らず，様々なヒーローがいますが，決まって正体を隠すために仮面をかぶります．仮面だけでなく，たいていは強化服のようなものを身にまとい，手袋をしますね．バットマンやスーパーマンのように体の一部を露出する正義の味方もいますが，これは少数派．スパイダーマンも仮面ライダーも戦隊モノヒーローたちもみな全身を隠してしまいます．

身ひとつで戦う人たちはいいのですが，武器を使って．．．特に操縦型の乗り物やロボットを使うヒーローたちは，それらを悪者に使われないようにしなくてはなりません．

鉄人 28 号で有名な「いいも悪いもリモコン次第」というフレーズがありますが，コントローラーを奪取されたら即座に悪者に使われてしまうということですね．原作者の故横山光輝さんのアイディアは，逆にそのリモコン次第で鉄人 28 号が正義の味方になったり，悪者の手先になったりするというところにあったはずで，それがこの漫画(アニメ/実写)の面白さにつながっています．しかし，現実に起こったら昨今では社会問題になってしまうでしょう．

ここでもう一度，轟轟戦隊ボウケンジャーに目を向けてみます．
ボウケンジャーではいろいろな乗り物が変形して合体する「ダイボウケン」あるいは「スーパーダイボウケン」という巨大ロボットが登場します．ボウケンジャーの色鮮やかな5人が乗り込んで操縦します．さすがに鉄人 28 号のようなわけにはいかないだろうということで，操縦席のコントローラー(「ボウケンドライバー」)が取り外し可能になっていて，これがないと巨大ロボットを操縦できません．更に，このボウケンドライバーに「アクセルラー」という携帯電話のようなものをセットしなければなりません．

「アクセルラー」は変身アイテムで，本人以外は起動できないということ(背景設定：メールマガジン「轟轟戦隊ボウケンジャー Go！Go！メール 第３号」より)になっていますから，何らかの認証が行われているのでしょう．しかし，一旦起動して変身してしまった後はどうなるのでしょうか．

ボウケンジャーは強化スーツ(「アクセルスーツ」)で身を包んでいます．頭のてっぺんからつま先まで露出している部分は一つもありません．マスクも被っていますから，音声(声紋)も期待できません(悪者が加工するかもしれない)．さて，この状態でどうやって本人確認をするのか．．．「アクセルラー」は奪われても大丈夫なのか？！

そこで，はたと気がついたわけです．世の中には全身を覆う防護服がいろいろあります．NBC - Nucleus, Bio, Chemical - それぞれについての防護服は少なくともあるわけです．露出部分はなく，せいぜいが顔の部分が外部から見える程度．このような状態で，本人認証が必要となることがないのか，あったとしたらどうやって行うのか．NBC対策用の防護服だけでなく，消防服や宇宙服などなど．．．

まだ答えが見つかっていません．ボウケンジャーの所属する組織「サージェス財団」の技術をもう少し調べてみねば．．．

この続きは，また来週の金曜日 TGIF モードの時に．

 

こんにちわ，五十嵐です．tPod プロジェクトが走っていますが，sato さんと話してみて，私が思いっきり勘違いしていることがわかりました．

私は情報の実体がどこにあってもよく tPod にはメタ情報を放り込んで管理していくものだと思っていたのですが，そうではなくて，tPod は情報そのものを集中管理しようというものでした．

今日のブログで「tPod 改良要求」という記事が挙がっていますが，「WebDav のように」というリクエストと「携帯電話でも使える」というリクエストは同時には両立できないように思いました．

Web サービスのようにしてしまって，UI は利用するモノやヒトによっていくつもあっていいのではないかと思います．PC 用の UI では WebDav のように，携帯の UI では．．．えー，Google や Yahoo! などの検索エンジンのように．．．システムエンジニアが使用する UI と営業が使用する UI が違っていてもいいし，マネージャが使う場合には機能が拡張されていてもいいし．．．

ファイルが更新されたり追加されると RSS で通知できたり．．．というのは，今思いついたんですけれど．

セキュリティ層なども組み込めるようにしておくのがいいのではないかと思います．あれ，アクセス管理などは Rinza 側でやるのでしたっけ？

こんにちは，五十嵐です．麻生外務大臣が「国際漫画賞」を創設するのだと宣言したので，漫画界はちょっとにぎわっているようです．文部科学省じゃなくて外務省というあたりが，麻生大臣のフィールドでということなんでしょうね．

最近のマンガは結構 PC のタブレットを使用してかかれていたりするようです．ををっ，ここでも IT かという話なわけです．ついでに，テレビドラマの二次配布についての，出演者の許諾を不要にしようという「知的財産推進計画2007」なんてものも出ていたり．

かつての貸し本屋は廃れたけれどもブックオフはまだ成長を続け，TV が出てきた頃に拒否反応を示していた映画の人たちも TV をうまく利用するようになって来ています．TV 屋さんがインターネットを広告収入減とみて敵対心を燃やしているようですが，統合することを考えていかないと，テレビ自身がいずれ映画と同じような道をたどる可能性があります．

世の中，結局電子の世界になだれ込んでいるんですよ．国際漫画賞も電子媒体でつくられたものが大勢を占めるんではないかと思っています．IT がんばれ．

 

こんにちわ，五十嵐です．ビル周りの桜の実(さくらんぼ)が，いよいよ黒ずんできました．午前中は晴れていたのに，いよいよ雨が．．．傘もって喫煙です．．．とほほ．．．

先日画像を載せたさくらんぼ (「危険なサイトへ近づかないために」(2006/05/16) 参照) が，左の画像のように黒くなってきました．いよいよ食べごろか，と一つ摘まんでみました．甘みは出てきていますが，渋みが口に残るし，ちょっと青臭い．まだまだなのか，これでもう精一杯なのか．．．ジャムにするには酸味が足りないようです．


さて，今日は IC カードの安全性の話．ITPro にこのような記事がありました．

• 「"ICカードは安全"の考え方は危険」と、米パッチ・アドバイザ社長 (2006/05/23 ITpro Security)

この記事を読んで「え！そうなの？」という人と「そりゃそうだよ」という人と，印象はまちまちかもしれません．IC カードには高度に集積された IC チップを搭載し，物理的な攻撃や電気的解析を防止する仕組みが用いられています．

しかし，IC チップが電気的な仕組みで動く以上，そこには必ず電気の流れや電磁波が発生します．こうした電磁的な特性を利用して暗号解読などの攻撃を「サイドチャネル攻撃」と呼びます．サイドチャネル攻撃は IC カードに限った話ではなく，すべてのコンピュータにおいて可能です．その対策に関する研究も進められています．

上述の記事の中の記述

暗号鍵を使ってデータを暗号化するICの特定の個所にレーザーを当てるとエラーを起こす性質を利用して、暗号化する前のデータを突き止める手法は「破壊攻撃」と呼ばれ，対象を破壊して解析を行います．

また，

電圧や電磁波を利用する手法

は「非破壊攻撃」や上に書いたように「サイドチャネル攻撃」と呼ばれます．

もちろん，このような攻撃を行うためには高度な技術が必要ですが，安心しきってはいけないということです．IC カードは従来の磁気カードに比べて安全であるが，完全ではないということも念頭に入れておく必要があります．

ジェフリー・フェイ社長が主張したかったのは，IC カードは安全とはいえないから使うなということではなく，記事の最後に書いてあるように，セキュリティの観点からのテストを十分におこなって実用に供する必要があるということだと思います．

参考文献

• [PDF] 暗号のサイドチャネル解析に対する耐性評価 モデルの調査研究 (IPA)
• [PDF] CRYPTREC Report 2004 (IPA)

 

こんにちわ，五十嵐です．ここのところ気分がぱっとしない五十嵐ですが，なんとか少しずつ気持ちを持ち上げている今日この頃です．

さて，一旦書いたブログを書き直して，夜中に入ってきたニュースをネタに．

• 国のセキュリティ対策の一環として、次世代OS環境「セキュアVM」開発を発表 (2006/05/23 INTERNET Watch)
• 政府が「セキュア仮想マシン」の開発へ，オープンソースとしての公開も (2006/05/23 ITpro Security)
• 政府が「セキュアVM」環境開発へ、オープンソースとしての公開も視野に (2006/05/23 ITmedia エンタープライズ)
• 政府がセキュアな次世代OS環境の開発に着手 - VMで安全性確保へ (2006/05/23 MYCOM ジャーナル)
• [PDF]高セキュリティ機能を実現する次世代ＯＳ環境の開発実施について (2006/05/23 内閣官房情報セキュリティセンター(NISC)

以前「政府が Winny 対策ソフトウェア開発．．．ほんと？」(2006/05/08) という記事を書きましたが「セキュアOS」ではなくて「セキュアVM」だったのですね．

NISC から提供された PDF 文書を眺めてみると，既存OS上で稼動する Virtual Machine ではなく，既存 OS とハードウェアの間で稼動する Virtual Machine という構想のようです．

開発体制は「産官学」ということですが，特に気になるのは「産」の部分．これは，独立行政法人情報通信研究機構(NICT)の情報セキュリティセンター(総務省系)と，情報処理推進機構(IPA)の「オープンソースソフトウェアセンター」(経済産業省系)を中心として産業界の橋渡しということになるようです．「学」の部分に具体的な民間(どちらかというと「産」寄り)の研究機関の名前が挙がっているのがちょっと気になるところですが．

「YRP ユビキタス・ネットワーキング研究所」の名前も出ていました．

「『セキュア・ジャパン２００６』（案）に関する意見の募集」(〆切 2006/05/26(金) 12:00)がまだ終了していない現時点で NISC が今回の発表を行ったのがちょっと解せません．パブリックコメントを受け付けているのですから，その意見を受けて具体的な対応を発表するのが筋だったのではないかと思います．

6 月 15 日に「セキュアOSカンファレンス」が開催されますが，その中で NISC の青木参事官が話をされます．

• 第4回セキュアOSカンファレンス

JSSM のセキュアOS研究会(私はプライベートで参加)で青木さんとは御一緒させていただいていますが，この講演でもう少し詳細が聞けるのではないかと期待しています．ね，青木さん．何も触れなかったら，質問しちゃいますよー．

こんにちわ，五十嵐です．悪質なチェーンメールが出回っているそうです．平和のための請願書のためのサインを求めて，メールを送信すると，そのメールアドレスを差出人としてさらにメールを発信するというもののようです．

• 新手のチェーンメール (2006/05/22 フィッシング詐欺サイト情報)

この中でも紹介されていますが，詳細は以下に書かれています．

• global-nuclear.orgは悪質なチェーンメールです (2006/05/22 ハートの拒絶日記)

今のところ愉快犯との見方が強いようですが，世界中にメールがチェーンするだけでなく，差出人の名前で発信されるため，差出人のメールアドレスに苦情がとどくという二次被害が発生しています．

皆さんも御注意ください．

ところで，JISA (社団法人 情報サービス産業協会)から「情報サービス産業　個人情報保護ガイドライン」の第四版が出た．．．と思ったら，ホームページからリンクが消えてしまいました．本日のブログで書こうと思っていたんですが．．．なにかあったんですかね．

こんにちわ，五十嵐です．TGIF モードで何本か書いてみたんですが，どうもしっくりこない．というわけで，今回は，他人のイベントを頼まれてもいないのに勝手に宣伝してお茶濁し w

ひとつめ．

• 「武部本一郎ＳＦ挿絵原画蒐集」刊行記念トークショー 加藤直之が語る「ＳＦアートの父・武部本一郎」 (2006/06/03(土) 開催)

イラストレータ加藤直之さんと東京創元の小浜さんのトークもさることながら，大橋博之さんのお宝が見れるそうです．トークショーの後にはサイン会あり．
電話予約が必要です．私も予約済みで参加します．小浜さんにも久々にお会いします．最後にお会いしたのはいつだったか，池袋で偶然ばったり．マクドナルドでコーヒー飲んだんだったかなぁ．．．


ふたつめ．

• 国立情報学研究所「オープンハウス」 (2006/06/08(木)，09(金) 開催)

オープンハウスそのものは登録は必要ありませんが，基調講演等は事前登録が必要です．
8 日(木) の 18:30～20:00 に開かれる市民講座「 IT サバイバル～ネット社会の危ない事件から逃れるには～」の中で，ミスター IT こと高橋郁夫弁護士が面白いことをやってくれるそうです．
これにも申し込んだので，聴講しに行く予定です．

というわけで，勝手にイベント宣伝，でした．

そうそう，忘れちゃいけない，弊社グループ主催のイベントもよろしくお願いいたします．

• BITS2006 Unisys Business & IT Strategy Forum (2006/06/06(火)～08(木) 開催)

 

こんにちわ，五十嵐です．東京は今日も雨．どうやら湿気が多いとどこかがショートするようで，パワーが脳に伝わりません．．．漏電してるのか？

Winny遮断でぷららネットワークス社が総務省に法的判断を仰いでいた結果が本日出たようです．

• 【速報】Winny通信の遮断は「通信の秘密」を侵害－－総務省判断をぷららが受け入れ (2006/05/18 ITpro Network)

私は総務省の判断を高く評価したいと思います．Winnyを経由しての情報漏洩の事故が後を立たない昨今の状況に対して，情報セキュリティの対策が通信の秘密の侵害に優先するような判断が出るのではないかと危惧していました．

対策を行おうとするぷららネットワークス社の姿勢も評価できます．総務省の「通信の秘密」の厳守という判断も当然のことではあっても，冷静な判断だと思います．

しかし，一方で，情報漏洩の被害を防ぐ方法を考えていく必要があります．パナソニックネットワークサービシズ社では次のような対策を講じるようです．

• hi-hoが、お客様への安定した接続サービス提供を図るため、大量のデータ通信に対して通信利用規制を実施 (2006/05/16 hi-ho News Release)

この発表に対しては既にユーザから様々な意見が出ているようですが，通信流量の規制というのは上りの通信量のみとはいえ，時代に逆行するような対策ですので，反響が大きそうです．ちなみに，このニュースリリースで提示されている一日(24時間)に15Gバイトという流量は，平均的に使用すると考えると約 1.4Mbps ということになるのですが．．．これが多いのか少ないのか．．．

ただ，本質的な Winny 対策ということではないですね．単純に帯域が占有されて他の利用者が迷惑するので，ということですから．制限する以外に何らかの方策は打てないものでしょうか．この話がこじれると，インターネットの利用税のような話になっていくんでしょうか．．．米国の二の舞はいやですね．

通信の秘密を侵害せずに，通信を制限していくというのは非常に難しい話だなぁと感じた二件の報道でした．

 

こんにちわ，五十嵐です．投稿したつもりで「プライベート」モードのままでした．プライベートモードだと，他の人からは見えません．下書きモードのようなものです．

ぐずぐずとした天気で，そろそろ梅雨でしょうか．気が滅入る季節です．長靴をはくのが楽しみだった子供の頃が懐かしいです．

さて，検索結果に無関係なサイトが現れるという怪現象の記事がありました．

• 検索サイトの"怪現象"---MSの情報を検索すると，無関係なサイトが上位に (2006/05/16 ITpro Security)

なるほどねぇと感心してしまいました．記事の表題だけを見て，キーワードなどをいろいろと隠して登録しているサイトが出てくる話かと思いましたが，全然違いました．

感心してちゃいけないのですが，何が怖いと言って，知らない人がブックマークしてしまうことですね．記事の例ではマイクロソフト社のドメインであるべき URL が，全く異なるドメインで現れ，それが(今のところ)マイクロソフト社の内容を指すということになっています．DNS の仕組みについてここでは詳しく書きませんが，要するに違うドメイン名でもマイクロソフト社にアクセスできるようになっていて，それが検索サイトの結果として上位に表示されるということです．

これを間違ってブックマークしてしまうと，いずれそのドメインがホームページ詐欺などを行うようになったときに，知らずに被害を受けてしまう危険性があります．マイクロソフト社のホームページそっくりに作られていた場合，ブックマークしてアクセスしている人は騙されていることに気がつかないかもしれません．

今のところ実害はないということで，マイクロソフト社としてはやめるようにお願いするしかないようですが，これはマイクロソフト社だけの問題ではなく，どこのドメインでも発生する可能性があり，いずれ新たな脅威になる可能性があります．

• タイプミスを狙う「Typo-Squatting」対策には，ブックマークが有効 (2006/05/09 ITpro Security)

という 米SANS の推奨も，一概にブックマークが有効とも言えなくなってしまいます．メールに書かれた URL をクリックするのもダメ，手で直接入れるのもダメ，検索結果でアクセスしたところをブックマークするのもダメ．．．

なんだか，一体どうすりゃいいんだ，という世界になってきました．
本当に慎重にアクセスするしかないんでしょうか．

いよいよ本当にセキュア OS が個人 PC にも必要な時代になってきたのかもしれません．

【追記 2006/05/18】
先日「危険なサイトへ近づかないために」で紹介した "SiteAdvisor" では，上に記載したようなドメインが異なるサイトの安全性については，そのサイト自身が何らかの悪さをしていない限り，確認はできません．

 

こんにちわ，五十嵐です．先日まで満開で目を楽しませてくれた桜が実をつけ，そろそろ食べごろ(笑)になってきました．

左の画像は弊社本社ビルの喫煙所にある桜の木に実っているさくらんぼです．私は食べたことがありませんが，食べたことがある人 (いるんですねぇ，やっぱり) の話によると，もう少し黒っぽくなると甘みが出てきて食べられるそうです．少しだけ酸っぱいとのこと．鳥が食べにやってくるのでその頃が目安だとか．すでに何羽か鳥が食べに来ていました．

写真を撮っていたら「ブログだな？！」と声を掛けられました．バレバレでしたか


さて，本題．
最近では，わからないことや調べたいことがあると，すぐに検索エンジンにアクセスして，検索結果をたどっていきます．私は主に Google を利用していますが，Yahoo! や MSN なども併用しています．この検索結果に危険なサイトが潜んでいるという調査結果がニュースになっています．

• 検索エンジンは危険なリンクでいっぱい――McAfeeが調査報告 (2006/05/13 ITmedia エンタープライズ)
• 「検索エンジンの検索結果に危険なサイトが潜んでいる」米McAfeeの調査 (2006/05/15 ITpro)

これらは McAfee 社からの報告です．私がよく利用する Google で 5.3% が危険なサイトだとするレポートで，スポンサ付のリンクになると平均 8.5% にもなるというのですから，驚きです．

私は自宅の PC には，このニュースでも紹介している "McAfee SiteAdvisor" を少し前からインストールして利用しています．Firefox のプラグインで使っていますが，これを導入して特に重たくなるということは無いようです．

SiteAdvisor は，検索結果に表示されたサイトそれぞれについて，緑=安全，黄色＝注意(あるいは，不明)，赤＝危険というマークで安全かどうかを表示してくれます．今までにまだ赤の×は見たことがありませんが，時々黄色の注意表示を見かけます．黄色だからといって，そのサイトが必ずしも危ないというわけでもないようですが，注意深くアクセスする癖がつきます．

当然のことながら，検索結果に表示された URL を SiteAdvisor の検証サーバに送信することになります．そこが少し気になって，会社の PC には導入していません．

詐欺鑑賞が好きな方 もいらっしゃるようですが，私は，怖くてできません．(敢えて進言しますけど，自分でみつけて眺めるのはやめておいた方がいいですよ，kkato さん)
ウィルス対策などのプロの方々でも専用マシンを用意して，ネットワーク感染が起こらないように切り離し．．．といった環境で行っているのですから，私のような専用解析環境を持たない者にとっては，いつ被害をうけるかわからないような詐欺鑑賞は自殺行為です．

メールを読んだだけで感染するような時代ですから，タイトルや差出人を見て，よくわからないものは中身を見ずに即座に削除しています．おかげで，フィッシングメールやワンクリック詐欺などの実物にはほとんどお目にかかったことがなく，もっぱら他の人(や専門の組織など)のレポートなどで知識を仕入れています．JavaScript などを実行しないようにしておけば大丈夫，という方も見かけますが，メーラやブラウザのどこに脆弱性(セキュリティホール)が潜んでいるかわからないので，とにかく，危ないところには近づかないのが一番です．

そういう意味で，McAfee SiteAdvisor などは，とても有効なツールではないかと思っています．ただし，「緑＝安全」と表示されたからといって，それを鵜呑みにしてもいけないとも思っています．危険，注意と表示されたところは，少なくとも安全ではない可能性があるのでもちろん十分な考慮が必要ですが，安全の表示は目安として考える必要があるでしょう．

私は McAfee 信者でも回し者でもありませんが，私の経験では便利なツールと感じていますので，興味があれば使ってみると良いと思います．もっとも，これを使おうという気持ちのある人はセキュリティ意識が高いので，ツールを導入しなくてもあまり危険なサイトには近づかないでしょうけれども．．．

自分自身だけでなく，ご家族が PC を使うような場合には，導入しておいて，赤や黄のマークの表示が出たところにはアクセスしないように約束を決めておくというのも効果的です．視覚的にわかるので，特に知識は必要としません．

【追記 2006/05/18】
サイトが検査されていない場合は黄色ではなくて，灰色で "UNTESTED" と表示されます．

こんにちわ，五十嵐です．しばらく前からソーシャルブックマーク(SBM)を検討してますが，社外のページのブックマークは，ユーザが意識せずに，単純に参照数をベースに考えればよいのではないかと思い当たりました．

社内で SBM を運用する場合に一番ネックになるのは，社員がどれだけブックマークをするか，ということになると思います．SBM による共用のブックマークがあったら便利だと思っている人はたくさんいそうですが，自らブックマークする人はそれほどいないのではないかと思っています．

そうなると，需要ばかりが大きくなり，供給がないということになってしまいます．特に，営業職の方達は，そこに大きなメリットやインセンティブがないと，わざわざ自らブックマークするという行為を自発的には行わない可能性があります．

そこで，社外のページのブックマークについては自動化してしまおうというのが，今回のアイディアです．昔から，アクセスログを解析して，アクセス傾向をつかむという手法はありますが，それは自社のホームページなどへのアクセスの分析で，マーケティングの一環として行われる類のものです．

これを視点を変えて，社内から社外へのアクセスを解析して，自動的にランキングしてはどうかということです．前提として，社内での作業にはプライベートなアクセスは存在しないという仮定をおかなければなりません．しかし，アクセスのログがランキングとして現れるということが周知されれば，仮にプライベートなアクセスを行っている人たちがいたとしても抑止にもなるはずです．

このような観点から，社内から社外へのアクセスログをSBMの自動化のひとつとしてはどうかと思っています．

社内のページのリンクについては，プロキシサーバやキャッシュサーバを経由しないケースがほとんどですので，このまま単純にはいきません．ここはもう一ひねり，工夫が必要になります．

 

こんにちわ，五十嵐です．お待ちかねの金曜日(だれも待ってないって？ -_- ;)．
本日のお題は「仮面ライダーカブト」

先々週の 4 月 28 日に書いた「TGIF: 『空想プロジェクトマネジメント読本』と『スタートレック指揮官の条件』」(2006/04/28) で少しばかり触れましたが，「仮面ライダーカブト」(以下「カブト」)のセキュリティの話を少し掘り下げてみましょう．このブログを読んでくださる皆さんのどれだけの方が話についてこれるか心配ですが．．．

このブログを書いている現在，カブトは第15話まで放映されています．ストーリーを非常に簡単に(乱暴に)書いてしまうと，7 年前に隕石が落ちてきてから出現するようになった怪物を退治する話です．

前回のブログで書いたのはこんなこと．

すでに13話まで放映されている「仮面ライダーカブト」ですが，正義 (今のところ) の組織 ZECT の存在は秘密ということになっています．しかし，かなり大掛かりな組織なので，構成員もかなりの数．人の口には戸は立てられないといいますから，どこぞの掲示板でタレコミがありそうなものです．どうやって情報漏洩を防いでいるのか不思議でなりません．

だいたい，ZECT が開発した変身アイテムがどこの馬の骨とも知れない人間の手に渡って，使われてしまうってのが情報セキュリティ的にはヤバイですよ．認証の仕組みはどうなってんだ？！とテレビに向かって叫んでる私は変？

それこそ，生体認証ですよ，この際．勝手に使われて，怒って仮面ライダーの抹殺に走るくらいなら，認証の仕組みをつけなさいってば．その方が人員を派遣するよりもコスト抑えられると思うけどナー．

もうちょっと詳しく書くと，変身するために必要なアイテム(カブトムシの形をしたもので「カブトゼクター」と言います)は「ZECT」という組織が開発したことになっているのですが，言わば赤の他人(主人公)の手に渡って仮面ライダーに変身されてしまいます．普通に考えれば「奪われた」と思っても構わないと思います．

今時の現実社会だったらどうするか．
最低でもパスワードの認証くらいはつけるでしょうね．指定した人だけが使えるようにしたいという要求があるのなら，本人確認のための仕組みが必要です．これが生体認証なら，簡単にストーリーに組み込めるはずなのですが．．．

ただし，カブトでは，この「カブトゼクター」が変身させる人を選んでるようなので，ここの部分はお話の肝になるようです．そうすると，話の都合上，セキュリティをガチガチにはできなかったということでしょう．それならばそれで，もう少し設定を練る必要があったのでは？と，素人ながらに考えてしまいました．

SF の世界では生体認証は古くから使われてきています．現実の世界が SF に近づいてきたというひとつの例ですね．最近では SF に限らず "24" のような普通(非 SF という意味で)の番組の中でも当然のように指紋照合などが使われています．あ，SF でなくてもスパイものや軍事関係の機密設備などの描写で映画などにも古くから使われていましたか．

仮面ライダーカブトの中で，もうひとつ気になるのが，ワームと呼ばれる謎の生物たちです．本人と区別がつかないくらいそっくりに，人間に擬態するという設定があります．この設定自体はお話の要素ですので受け入れることにして，静脈とか指紋とかも同じ？と要らぬ心配をしています．クローンで仮に人間を作ったとしても静脈とか指紋まで同じなのかと，想像は広がりっぱなしです(笑)

こんな風に子供番組を一所懸命見てみるというのも，ちょっと面白いですよ．

以下は関連ページ．

• 仮面ライダーカブト(テレビ朝日)
• 仮面ライダーカブト(東映)

追伸．特撮オタクのみなさんからは「ぬるい」と言われ，非オタクのみなさんからは「濃い」と言われ．．．
うーむ，TGIF モードも難しいねぇ

 

こんにちわ，五十嵐です．豊洲の再開発が進み，うちの会社の周りも石川島播磨重工(IHI)社や，芝浦工大が建ち，ショッピングセンターやマンションも建設中．NTTデータ社ももう一棟．新しい道路も整備されて，信号が増えました．「未来都心」というようなキャッチフレーズでどんどん開発が進んでいます．

有楽町線豊洲駅と日本ユニシス本社との間にも道路が増えて，信号機がつきました．現在はこの道路は T 字路になっていますが，将来は反対側に抜けられるように道路を整備中のようです．

この道路の信号機が問題．今のところ T 字路ということもあってか，交通量は少ないのです．しかし，歩行者用信号機が通行の足止めをします．車は何も通らないのに，赤信号で待たなければならないという状況にあります．

信号を無視して横断歩道を渡る人が後を絶たないので，赤信号で待たされる人たちがどういう行動をとるのか，会社の帰りに，少し離れて眺めてみました．暇だと思われるかもしれませんが，こういうところに情報セキュリティのヒントがあると思ったのです．

その赤信号に対する人々の行動は大方の予想通り，ほぼ三つのパターンに分類されることがわかりました．

1. すべての人が信号が青になるまで渡らずに待つ．
2. 何人かが赤信号で止まるが，青信号になる前に突然渡り始める．
3. すべての人が赤信号で止まらずに渡る．

二番目と三番目の行動は，最初に信号を無視して渡る人がどのタイミングで現れるかという違いに過ぎません．逆に一番目は，誰も渡りだそうとしなかったということになります．
二番目のパターンには二通りあり，たまたま車が通りかかったため，止まらなければならない状況と，最初の人が立ち止まっている状況です．いずれも，誰か一人が渡り始めると，ほぼ全員が信号を無視して渡り始めます．
三番目のパターンは，赤信号に最初に通りかかった人が止まらずにそのまま渡ってしまったパターンです．

おそらくいずれも，誰もが，経験があるのではないでしょうか．

これが，交通量の多い交差点であったり，幅の非常に広い道路 - つまり，渡っている最中に車がやってくるかもしれないような広さの道路 - では，起こらない現象ですが，信号を無視しても自分に危害が及ばないと判断できると，信号は見なかったことにしてしまうのです．それも，ほとんどの人は，最初にルールをやぶることはせず，誰かがやっているのを見て初めて行動を起こします．

潜在的に「車が来ないなら，渡ってもいいんじゃないか」と思っているのでしょう．あるいは「自分の身は自分で守れるから大丈夫」と思っているのか．見通しが良い道ですから，なおさらそう思えるのかもしれません．

さて，これを情報セキュリティで考えてみると，例えば，情報漏えい対策ではどうでしょう．これだけ世の中で騒がれても情報漏えいが後を絶たないのは「自分は大丈夫」という過信なのか，「他の人もやっているから」という甘えなのか，いずれにしても「赤信号を無視する人たち」の心境と同じなのではないかと思えます．

私はこの信号無視の行動を見ていると，情報セキュリティの対策というのは本当に効果が出るのだろうかと不安になります．前回も書いた「監視社会」というのは怖い社会だとは思いますが，監視や罰則がなければ守れないルールであれば，それを制度として取り入れなければならないという方向で考えざるを得ません．

情報セキュリティの対策やルールを守らないのは社会的に影響があるから実施するけれど，信号機は自分の問題だから守らなくていいと思っているような人たちが働いている会社は，いずれモラルハザードが起き，ルールが形骸化していくのだろうと思います．

件の横断歩道を使っているのは弊社の従業員ばかりではありませんが，弊社の従業員が含まれていることも確かです．いつか弊社でも情報漏えいなどのセキュリティ事故が発生するのではないかと思ってしまうのは，考えすぎでしょうか．

こんにちわ，五十嵐です．昨晩のサッカーキリンカップ，対ブルガリア戦は残念な結果でした．ディフェンスにちょっと不安が残りましたね．川口GKも少し反応が遅かったような感じでした．ガンバレ，川口選手！！

情報セキュリティの世界ではサッカー人気に便乗した詐欺やウィルスが横行しているようです．

っと，その話題に入る前に．．．仕事にも情報セキュリティにも関係ない話で恐縮ですが，雑学で有名な唐沢俊一さんからトークライブをやるので来てちょーだいという連絡があったので，宣伝をば．

• 『魂食！～なぜか食べたい日本のソウルフード』（三才ブックス）刊行記念 おぐりゆか×唐沢俊一 ソウルフード試食＆トークライブ＆サイン会

まだ定員までに余裕があるようですので，お時間のある方はいかがでしょうか．5月13日(土) 15:00～17:00 です．電話予約が必要なようですので，詳細は上のリンク先をご覧ください．

さて，話を元に戻して，W杯便乗詐欺＆ウィルスのこと．

• 「W杯チケット当選」かたるSober亜種が急拡散 (2005/05/04 ITmedia エンタープライズ)
• FIFAかたる賞金詐欺メールに注意呼び掛け (2005/09/28 ITmedia エンタープライズ)
• W杯サッカー人気につけ込むウイルス出現 (2006/05/09 ITmedia エンタープライズ)

「チケット当選」の詐欺は一年前の話ですが，最近になってまたもや便乗ウィルスなどが出てきたようです．攻撃側もあの手この手で考えてきますね．感心してしまいます．

FIFA ワールドカップが始まる頃になると，また新たなメール詐欺やホームページ詐欺が盛んになるかもしれません．知らない差出人からのメールは開かないことや親切を装った出所の不明なツールを使用しないなど，一般的なことしか言えませんが，これからの時期は十分に注意してください．

サッカーファンに限らず，いつもメールやホームページ，使用するツールを確認する癖をつけておくことが大切です．どんなに用心しても用心すぎるということはありませんからね．

13日の対スコットランド戦で日本は勝ってくれるでしょうか？！
ガンバレ，ニッポン！！

こんにちわ，五十嵐です．皆さん，GW はいかがだったでしょうか．．．と，昨日書き出そうと思っていて，すっかり忘れていました．私はキャンプというか，キャンプ場で総勢50名を越す，恒例の「長時間耐久大宴会」にまったりと参加してきました．

さて，東京メトロ千代田線の霞ヶ関の改札を通ったら，一画で「関係者以外立ち入り禁止」の改札があり，20人ほどの人が改札を行ったり来たりしていました．と，おやまぁこりゃなんだ，てな顔で拝見していましたが，実はわざわざそこを通って見て来たのです．

こんな札が立っていました．この立札の記述を見ると，なんだか「新規カメラ」を実験しているように見えてしまいます．それもそのはず，もともとは，国土交通省の「顔認証システムを用いた新規カメラ研究会」による技術面の実証実験なのです．

実証実験の概要は国土交通省のホームページから見ることが出来ます．

• 鉄道のテロ対策 (国土交通省 「鉄道におけるテロ対策の内容」(3)顔認証システムを用いた新規カメラ研究会による実証実験)

実際に実証実験を実施している財団法人 運輸政策研究機構のホームページからは残念ながら何も情報は発信されていません．


左の写真は，改札を人が通っている様子です．頻度は 10 秒くらいに一人ずつ通るという感じでしょうか．あまり密度の高い流量ではありませんでした．不自然に「サングラス」をかけた人が多かったので，おそらく本日はそこに焦点を当てたデータ採りだったのでしょう．

手前に見える赤い線は，立ち入り禁止の綱です．

改札に並ぶ人々の様子．写真には写っていませんが，女性もいました．

これが件の「新規カメラ」でしょうか．二基設置されています．

この実験は一般紙などでも紹介されていたので，ご存知の方も多いでしょう．

• 顔認証システム：顔認証カメラ、報道陣に公開－－東京メトロ・霞ケ関駅 (2006/04/29 msnニュース/毎日新聞)
• テロ対策などの「顔認証」実験、１日午後から霞ケ関駅で (2006/05/01 goo ニュース/asahi.com)
• あの顔･･･！機械の目が逃さない　霞ケ関駅で認証実験 (2006/05/01 産経新聞)

しかし，この実証実験が発表されると，監視社会に反対する会などが実証実験の中止を申し入れるなどの動きがありました．

• 1/27 国土交通省に「顔認証システム」実験中止を申し入れ (2006/01/27 監視社会に反対する会)

この実証実験では実験に参加していない一般人は写さないとしていましたが，確かに，区画を区切って一般人は立ち入り禁止になっていましたので，自分で好んで写ろうという気がない限り，一般人が写ることはないでしょう．

「監視社会」と言われると確かに怖い感じがしますが，「安全の確保」も重要です．私はテロで殺されるよりは，改札口の監視は受容の範囲だと思います．ただし，記録されたデータの扱いについては明確にすべきだと思います．
今回の現場の様子を見る限りでは，おそらく顔画像の使用を許諾した方ばかりが写っていると思うので，データの扱いについては問題なさそうですが，実際の運用に当たっては，明確にして欲しいです．

今回の実証実験は，技術面での検証だという言葉を信じて，プライバシーと安全という社会と制度の課題は引き続き検討していく必要がありますね．

こんにちわ，五十嵐です．少し前になりますが，政府が Winny 対策のためのセキュリティソフトウェアを開発するというニュースがありました．

• 政府、「ウィニー」で総合対策・産官学でソフト (NIKKEI NET 2006/04/17)

ということで，情報流出を事前に防ぐことを目指すということです．この中で言及されている「セキュアジャパン2006」には以下のような記述があります．

「セキュア・ジャパン２００６」（案）に関する意見の募集 (内閣官房情報セキュリティセンター 2006/04/28) (意見募集の〆切は同年5月26日12時)

これらが曲解されて「情報流出を事前に防ぐソフトウェアの開発」と解釈される場合もあるようですが，これはいわゆる「セキュアOS」を指しているのではないかと思われます．"SecureOS" という言葉は商標ですし，日本語で「セキュアOS」と一言で言ってしまうと特定の OS をイメージさせる可能性があることや，現在商用で出ている Trusted OS などへの影響があると思われるので「次世代OS環境」という言葉に留まったものと考えられます．

つまり，政府は Winny のみを対象とした対策ではなく，セキュアなOSを開発することで，情報流出の起こりにくい環境を作っていこうとしているのだと，私は解釈しています．

意見募集は，国民全体に広く意見を募っているものですので，どなたでも意見を提出できます．提出フォーマットが Microsoft Word 形式ですが，OpenOffice.org でも読み込むことができますので，Word を持っていない方も意見を提出してはいかがでしょうか．

わからないところはわからないと意思表示し，変えたほうが良いと思うところははっきりと意見を伝えるという国民一人一人の意識が住みやすい世の中を作るのだと思います．

こんにちわ，五十嵐です．今日は暑かったですねぇ．一日中，半袖で過ごしました．え？ スーツじゃないのかって？ えっと，私はお休みをいただきました(^_^)v

ちょうど一年前のゴールデンウィーク(GW)に私の自宅の PC のハードディスク(HD)がぶっ飛びました．正直に書いちゃいますが，自宅の PC で GW 明けに提出予定の資料を作成してたんです(今だとそういうこと自体が問題になりますね)．そのうちバックアップしなきゃなーなんて思ってたんですが，有言実行タイプなので(嘘)，思っただけでは実行しないのでした．おかげで，それまでの作業がぜーんぶ，ぶっ飛んで，そりゃもう，落ち込みの極致でした．

なんせ，市販のディスク復活ソフト(の試供版)を試しているうちに，再度システムがおかしくなり，最終的にディスクを認識しないところまで行き着いてしまい．．．

ほとんど笑いのネタ状態でしたね．この話をする人ことごとく「あんた IT 業界の人じゃなかったっけ？」という反応．HD やられて落ち込んでるところに，追い討ち掛けられた感じです．

常時接続のおかげで，ほとんど電源を落としたことがなかったんですが，連休だというので，ちょっと電源を落としたりしたのが運のつき．よくあるんですよ，そういうこと．正月とか，夏休みとか，休みが続くときに電源を落として，明けてから稼動させようとしたら火を噴いたり．お客様のシステムでもそういうことがありました．一例ですが，ファンのところにたまたま線がかかっていたんですね．それまでファンが回っていたので，線はファンに当たっていただけだったのですが，ファンが止まったとたんに線がファンの中に入り込んで，電源を入れたときにはファンが回らず．．．なんてこともありました．

情報セキュリティの三要素は CIA と言われます．C は Confidentiality(機密性)，I は Integrity(完全性)，A は Availability(可用性)です．C と I は，情報セキュリティの中でも特に注目される要素ですが，A の「可用性」も忘れてはなりません．私の PC のケースは，この可用性が失われてしまった例です．バックアップがあれば，それを戻して作業を続けることができたわけですが，怠っていたためにデータにアクセスできませんでした．

事業継続計画(BCP)が情報セキュリティと密接に関連するのはこの可用性にも通じるからです．今や，IT/ICT を抜きにして事業が継続できないような時代になっています．したがって，事業継続計画の中でシステムの速やかな復旧についても考えておかなければなりません．これは，可用性の課題解決とほぼ同義です．

長期の休みに入って，システムを停止するようなケースでは，必ずバックアップを取りましょう．そして，ウィルスチェックのソフトウェアのアップデートを忘れずに．しばらく間が空いてウィルスチェックのパターンファイルがアップデートされていないので，立ち上げてまもなくウィルスに感染などということになりかねません．停止前にパターンファイルの更新と，立ち上げ後の速やかなパターンファイルの更新を実施しましょう．

一年前には自宅の私用PCで会社の資料作成をしてたなんて．．．何もかも，懐かしい．．．