V.S.A. III

こんにちわ，五十嵐です．前田建設さんのファンタジー営業部でプロジェクト第4弾が始まりましたね．今回はリアル世界での大掛かりなプロジェクトのようです．

• 前田ファンタジー営業部 | PROJECT04 世界初、民間国際ロボット救助隊を創ろう編　パート1：現実世界での初仕事 (2006/06/30 前田建設ファンタジー営業部)

以前，sato さんや nakagawa さんから情報を頂きましたが，6 月 30 日付けで 4 つめのプロジェクトが始動したようです．

知らない方もいらっしゃるでしょうから，少し御紹介します．

• プロジェクト 01: マジンガー Z 編 (2003/02/03)
• プロジェクト 02: 銀河鉄道 999 編 (2003/10/17)
• プロジェクト 03: GRAN TOURISMO 4 編 (2005/06/27)

「マジンガー Z 編」では光子力研究所の汚水処理場＝マジンガー Z の格納庫兼出動設備について設計と見積もりを出しています．「銀河鉄道 999 編」では銀河鉄道のプラットフォーム(駅)から空に向かって伸びる線路の設計と見積もり，「GRAN TOURISMO 4 編」ではゲームに現れるサーキットの設計と見積もりを行っていました．

毎年行われている日本 SF 大会においてファンタジー営業部からのプレゼンテーションが行われたこともありました．

今回のプロジェクトは

1. 全日本空輸様（救助隊の移動手段他について）
2. オンワード樫山様（救助隊の作業服および制服について）
3. コマツ様（機動性の高い救助作業車やその他機器について）
4. ＮＰＯ法人国際レスキューシステム研究機構（ＩＲＳ：レスキューロボットの開発・製造・運用）
5. 前田建設工業（救助隊基地の検討）
6. 前田製作所（機動性の高い救助作業車やその他機器について）

という協力を得て，行われているようです．

私は個人的に非常に興味を持っているのですが，興味ついでに情報セキュリティの分野で何かできることがないのかと考えています．ただ，このプロジェクトは公開されている時点で，かなり先を進んでいるようですので，今さらでは遅いかもしれませんね．

"TGIF" とは，"Thank God, It's Friday!" の略．日本語で「花の金曜日」略して「花金」という感じでしょうか(笑) お遊び/オタクモードです．

こんにちわ，五十嵐です．日本高信頼システムの澤田社長からコンソーシアム立ち上げたとお聞きしていましたが，ITmedia で記事になっていました．

• 「抜本的対策が必要」――セキュアVM開発の支援に取り組むコンソーシアムの狙い (2006/06/29 ITmedia エンタープライズ)

このコンソーシアムは情報セキュリティ政策会議の決定を受けて内閣官房セキュリティセンターから発表された「セキュア・ジャパン２００６」の「セキュアOS環境」の研究・開発を行おうというものです．

• 「セキュア・ジャパン２００６」（案）に関する意見の募集の結果 (2006/06/15 内閣官房セキュリティセンター)
• (参考: 「セキュア・ジャパン２００６」正式決定 (2006/06/15 Tyzoh ブログ ) )

正式決定の日とコンソーシアムの設立の日が同じ日というあたりが「むふーん」 ですよね．
コンソーシアム事務局長の澤田社長はJSSM 学会のセキュアOS研究会(今年度は名称変更の可能性あり)の主査もされており，私もその研究会の末席に加えさせていただいています(あ，仕事じゃなくて，プライベートです)．とても熱い想いを持った方ですので，コンソーシアムの行く末が期待できます．

と，私はここで無邪気 に紹介してていいんですかねぇ？ などと思いつつ．．．

こんにちわ，五十嵐です．COMPUTER WORLD の記事を読んで，P2P ネットワークの危機感に米国と日本でだいぶ温度差があるのかなぁと思いました．

• P2Pネットワークへの"うっかり流出"が個人情報窃盗の標的に──セキュリティ専門家が警告 (2006/06/27 COMPUTERWORLD.jp)

「P2P ネットワークの危機感」なんて大げさに書いてしまいましたが，日本ではP2P の代名詞になった Winny などを経由した情報漏えいが実際に起きていますからね．P2P そのものの技術はもっと有効利用できると思っていますが，今のところ，危機感の方が大きいでしょう．Winny や Share などを経由した情報漏えいが現実に起きているのに，今頃こんな警告ですか．．．というのが実感です．

ということは，米国ではそれほどまだ漏洩が起きていないか，情報漏えいが起きていることが問題になっていないか，そんなところなんでしょう．

日本ではもうそろそろ，Winny や Share などで情報漏えいを起こしたら，馬鹿扱いされること間違いないと思いますね．これだけ騒がれて，官民を問わず Winny や Share で情報漏えいが起きている今，「うっかり」ではすまされないでしょう．

こんにちわ，五十嵐です．Mozilla ブラウザのニセモノが出回っているそうです．単にまねただけならユーザには被害はないのですが，どうやら悪質な様子．

• 無料Webブラウザ「Browsezilla」の悪質な"わな"にご用心！ (2006/06/26 COMPUTERWORLD.jp)
• Mozillaに似せた悪質ブラウザ出回る (2006/06/27 ITmedia エンタープライズ)

今のところ，日本語版は無さそうなので，日本ではあまり使われそうにはありませんが，注意するに越したことはありません．
このブラウザは，アダルトサイトなどの閲覧数を増やすことを目的としているので，今のところユーザにとっての大きな被害は無さそうですが，ブラウザに何かが仕掛けられているというのは非常に怖いことです．

信用できるところからダウンロードしたブラウザを使用するのが一番なのですが，一方で，本当にすばらしいブラウザが現れてきたときにはそれの普及を阻害する要因にもなりかねません．こういうとき，オープンソースだとちょっとは安心できるのでしょうか？ソース版とバイナリ版で違うものが配布されていたら，一般のユーザにはおそろしい落とし穴が待っていたり．．．
ブラウザに限った話ではありませんが，頭の痛い問題です．

 

こんにちわ，五十嵐です．Bloglines に登録して，少し使ってみました．

トップページには「Subscribe」「Share」「Search」「Publish」という四つの機能が書かれています．「Subscribe」は Web 版 RSS リーダですね．「Share」は，登録された記事などを公開することができます(「ソーシャルブックマーク」とはちょっと違います)．「Search」は文字通り検索，「Publish」はブログなどの公開ですね．

共有の機能を使って，JavaScript を埋め込んでみました↓

このサイトだと，RSS/RDF をユーザ単位で登録しても，全部同じになってしまうみたいですね．残念．

ブックマークを行う機能もありますが，はてなに慣れているためか，ちょっとインターフェースが気になります．しかし，表示順序の入れ替えなどができるので，整理は Bloglines の方が良さそうです．

とりあえず，Bloglines の登録ボタンをつけてみます．



しばらく使ってみて，またそのうちにレポートします．

こんにちわ，五十嵐です．遊びほうけていて，"TGIF" ネタの投稿を忘れていました．定期購読のみなさま，ごめんなさい m(..)m

今年は映画 "M:I:III" が公開されますね．"Mission Impossible" は最近でこそ映画になったのでそのまま通じますが，私の世代はやはり「スパイ大作戦」というタイトルのほうがなじみが深いのです．「スパイ手帳」なんていうものが流行った時代でもあります．

なんといっても番組の最初に言い渡される指令と「例によって君と君の仲間が捕らえられ，あるいは殺されても一切関知しないのでそのつもりで」という大江戸捜査網の「死して屍拾うものなし」に通じるフレーズ．なんかかっこいいですよね．
そして「なお，このテープは自動的に消滅する」シュワー．．．このシーンがいつも楽しみでした．リメイクされた「新スパイ大作戦」ではテープは時代遅れになり，ディスクで指令が伝えられ，ディスクも自動的に消滅しました．

最近は，どうやらノートPC が消滅するようです．

• Dell laptop explodes at Japanese conference (2006/06/21 the INQUIRER)

実は，ノートPC 本体ではなくて，バッテリーに仕掛けがあるようです．

あまり笑ってもいられませんのでネタはここまでにして，DELL 社からはリコールが出ているそうなので以下をご覧ください．

• バッテリーパック自主回収プログラム (DELL)

該当バッテリーをお持ちの方は交換をお早めに．

"TGIF" とは，"Thank God, It's Friday!" の略．日本語で「花の金曜日」略して「花金」という感じでしょうか(笑) お遊び/オタクモードです．

 

こんにちわ，五十嵐です．金曜日恒例の TGIF モードの前に一つ．本日 6 月 23 日付けの日経新聞に岡村久道弁護士の「新技術使う不正防げ」というコラムが掲載されていました．

• 漏洩の大半は不注意が原因であり，従業員などの故意の情報漏洩は非常に少ない．故意の情報漏洩を対象にした，個人情報保護法の改正案はピントはずれである．
• ウィルス対策法案は「共謀罪」と抱き合わせで法案化されているため成立が遅れている．早急に両者を切り離して，ウィルス対策法案を成立させる必要がある．
• ホームページ詐欺などの偽サイトは，現行法では著作権法違反で摘発できる程度である．新しい個人情報収集技術への対応が必要である．

という内容で，保護法バブルによって高価な対策製品を売りつけるという，IT 企業の一員としては耳の痛い話も書いてありました．

私は情報セキュリティの話をよく自動車の分野で例えて話をします．

自動車事故が増えていても故意に自動車事故を起こそうとする人は少ないのに，そういう人を対象とした規制の法律を作ろうとしているのだと考えれば，それがピントはずれだということがわかると思います．自動車事故そのものが起きないようにするためには何が必要なのかを検討し，自動車事故が起きたときにどうすれば被害者が少なくなるか(あるいは怪我が少なくなるか)を考えることが大切です．

ミスで起きる自動車事故を減らすためには罰則が必要なのではなく，例えば居眠り防止の道路の構造や標識の工夫，自動車そのものの安全設計という面から考える必要があります．

そして，事故が起きたとき，怪我人がいるならば救急車を呼び，事故処理のために警察を呼びます．この点は重要です．自動車であれば普段の生活の延長ですから，消防署，警察といったところへの連絡手段は生活の基本として子供の頃から教えられます．しかし，情報セキュリティでは，どうすればよいのかを知っている人はごくわずかです．(関係諸氏には大変失礼かと思いますが，現実には，いろいろな体制を知っているのは，セキュリティ業界か，せいぜい IT 業界の一部の人たちだけだと私は感じています．企業内手続きについては，企業の教育次第ですので，この点は出来ていると信じたいですが．．．)

( 自動車を運転するためには試験を受けて免許を取得することが必要ですが，情報セキュリティの世界にはそれがありません．免許を受けた人だけが情報を扱ってよいという世界ではないので，これは仕方のないことかもしれません．)

このように，現実世界の自動車に置き換えてみればわかるようなことが，情報セキュリティとなった途端にピントがずれた対策が行われることがよくあります．岡村先生のおっしゃるように，今何をすべきか，そして今後何が起こるのかを見据えて，制度を考えていくべきだと思っています．

 

こんにちわ，五十嵐です．先日「審判をロボットにできないものか」(2006/06/20)という記事を書きましたが，奇しくも本日(2006/06/23)の日経新聞スポーツ欄に，ゴール判定のハイテク化の話とともにオフサイドの判定を危惧する記事が載っていました．

部活動などでサッカーをやっていると，下っ端が線審をやることがあります．私もご他聞に漏れず経験したわけですが，このときに一番苦労するのがオフサイドの判定です．この判定が IT 化できるとかなりすっきりするんですけどねぇ．．．

さて，同じく日経新聞に情報漏洩の話題が載っていました．その記事の中で「性悪説」という言葉が使用されていますが，この言葉は本来は「人間は欲望を持っていて安楽を求める(悪)ものであるが，努力によって聖人になることができる」という意味です．最近では「人間は生来，悪いことをするものだ」という意味に使われがちですが，本来の意味ではないことを認識して使った方がよいでしょう．日経新聞ですらこの意味で使用しているようですので，既に手遅れかもしれませんが．．．

「情報セキュリティはなんのため？」(2006/06/05)という記事の中で，世の中の安全･安心のためにというということを書きましたが，これは非常に大きな視点で見た場合です．上に書いたような俗に言う「性悪説」の視点というのは，経営者側の視点であり，「情報資産」の持ち主がいかにそれを守るかというのが情報セキュリティの目的になります．

ところが，従業員にとって「情報資産」を守るという行為は，余計な作業でしかありません．ここに経営者側と従業員側との間に大きなギャップがあります．それに気づかない限り，情報資産を守る行為そのものを教育しても，従業員には身につかないと私は思っています．

従業員の視点では，自分自身を守るものこそが情報セキュリティだと認識させるのがよいと思っています．つまり，情報を守るためにどうするかということを教育する前に，情報が漏洩したら自分自身にどのような弊害があるのかということを認識させることが，必要ではないでしょうか．

満員電車の中で，男性ならば痴漢に間違われないように手を上に上げておくなどの対処を自分で行っていると思います．そうすることで，冤罪を着せられるのを予防するわけです．情報セキュリティでも同様なのではないでしょうか．自分の無実を主張するためには，それなりの予防策を自分で行う必要があります．また，そのためには自分の PC の振る舞いをすべて(自動的に)記録することも厭わないのではないでしょうか．

自席の PC が盗まれたという設定で，抜き打ち訓練をしてみてはどうでしょうか．一体，その PC の中にはどんな情報が入っていたのか，その PC にログインできてしまうとどのようなことができるのか，など．そういうことを自ら把握できる人がどれだけいるでしょう．かくいう私も今こうしてこの記事を作成している PC の中のすべての情報を，この PC なしに列挙せよと言われてもそのような準備は出来ていません．立ち上げ時の BIOS パスワードは設定してあり，ディスクの暗号化ソフトは入っていますが，立ち上がっている状態で盗まれてしまった場合，それらがほとんど意味を成さないのはご想像の通りです．このとき，私にはどんな言い訳ができるのでしょうか．．．

ノート PC を(入退室管理が行われている)執務室から出さないという前提で，セキュリティレベルを下げるということもあるようですが，本当にそれで大丈夫なのかと心配になります．仮に情報セキュリティ対策を施していないノート PC が正当な入退室権限を持つ人に盗まれた場合，経営者視点での情報資産の漏洩防止という面でもそうですが，自分はどんな処罰を受けることになるのだろうと考えると怖くなります．情報資産を守るという点だけでなく，漏洩事件が起きたときに，自分はやるべきことはやっていたと主張できるような仕組みを作り上げるという点からもシステムを考えて欲しいと思っています．

情報セキュリティの教育は，このような視点で行う方が，より意識が高まるのではないかと思います．不便さばかりが強まる中，それが自分自身を守ることにつながるという意識は，情報資産を守るという視点よりも，より浸透しやすいのではないでしょうか．

こんにちわ，五十嵐です．私はブラウザとして Firefox を使用していますが，パッチを当てていない(古い)バージョンのものを使用していると，マルウェアよりも危険であるという記事が ITmedia に載りました．

• 未パッチFirefoxはマルウェアより危険？ (2006/06/21 ITmedia エンタープライズ)

この記事のポイントは，古いものを使っていると危険だというだけでなく，会社の PC で古いものが使われていても管理されていないと放置されて，その脆弱性を用いて攻撃される可能性がある，ということです．

弊社でも PC にインストールされたソフトウェアは登録され，入手元などを登録するようになっています．このインストールソフトウェアのリストの登録を怠ると，警告が上司に送られます．

しかし，残念ながら，この管理は「ライセンス管理」を主としているため，不当なライセンスで使用しないように管理することはできていますが，古いものを利用していてもセキュリティ面での警告などは行われません．

上のリンクの記事のように，個々の PC にインストールされたバージョンによって，アップデートなどを促す仕組みを加える必要がありますが，そこまで手が回っていないというのが実情のようです．

フリーのソフトウェアを使用している方は，セキュリティアップデートなどに十分にアンテナを張り，更新されたものを使用するようにしましょう．ちなみに，私が使用している firefox 1.5.0.4 では，自動更新オプションを設定しておくと，アップデートがリリースされると通知されるようになっています．

 

こんにちは，五十嵐です．総務省が「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催するそうです(6 月 21 日に第一回を開催，とあります)．

• 「ASP・SaaSの情報セキュリティ対策に関する研究会」の開催 (2007/06/18 総務省)

引用： (１　 背景・目的 より引用)

Web2.0 が新しい概念かどうかは置いておいて，ASP，SaaS がより盛んになり，多様なサービスが生まれているのは確かですね．

引用： (１　 背景・目的 より引用)

情報の集約による脅威の増大は見逃せません．Secure-SBM もブックマークという形で情報を集約するのですから，この点を考慮しなければなりません．もっともそのための "Secure"-SBM なのですが．

引用：

(１　 背景・目的 より引用)

19 年度中にまとめるということですから，来年の 3 月には報告が出てくるのでしょうか．研究会の報告が楽しみです．Secure-SBM への反映も視野にいれて注視して行きたいと思います．

ただ，こういう研究会は総務省，経済産業省が共同で開催していただきたいものです．省庁縦割りではなく，報告書を利用する立場をもう少し考慮して欲しいところです．内閣官房が音頭をとるのが一番理想だと思うのですが．

 

こんにちわ，五十嵐です．サッカーなどのスポーツでつきものの，疑惑判定．勝敗に大きく影響するような場面でも，審判の判断が優先される．あとで間違いだったといっても，試合がやり直しになるわけではなく，勝敗は揺るがない．

• サッカーW杯、疑惑判定防止にハイテク利用の道は開けるか？ (2006/06/20 CNET Japan)

この記事ではゴールの判定について言及しているが，サッカーでもっともわかりづらいといわれる，「オフサイド」の判定もハイテクでなんとかならないものか．

線審はディフェンスの最終ラインの人と共に走ることになっている．そこで，パスが出された瞬間に，敵方の選手がどこにいたかを判定する．パスと選手が同時に視野に入るような場合はいいが，パスが出た瞬間にオフサイドラインぎりぎりの選手を見ると，実はオフサイドではないにもかかわらず，ほんの一瞬のタイミングのずれで，オフサイドと判定されてしまうことがある．

こういうことも技術を利用して何とかならんものだろうか．ビデオで見直すなどという余裕はない．プレーを止めてしまったら，ゴールされたかもしれない機会が失われる可能性もあるからだ．

タグやセンサーなどでもつかって，ボールがインパクトを受けた瞬間に各選手の位置がどうであったかなどを判定して，瞬時にオフサイドかどうかを判定するシステムくらいはできそうな気がするがどうだろうか．

判定ミスなどというものを気にせずにゲームに専念したいと思うのだが，主審の癖でなんじゃこりゃ？！という試合もないわけではない．主観の入らない，ロボットレフリーなどが登場するのはそう遠い日ではないような気もしている．すくなくとも，線審はロボットに変えられるのではないか？

 

こんにちわ，五十嵐です．サッカーW杯日本対クロアチア戦．なんとも歯がゆいものを感じながら見ていましたが，試合としては，とても面白かったと思います．GK 経験のある私としては，川口選手の PK セーブには本気で驚きました．引退した小島GK よりも好きになりそう．．．

さて，先日終了した国会で成立した「金融商品取引法」いわゆる「日本版 SOx 法」ですが，今後は実務に関したガイドラインが出てくる予定になっています．
6月17日(土)に別件で，喜入金融庁 CIO 補佐官にお会いしたので「ガイドラインはいつ頃になりそうですかぁ～？」とお聞きしましたが，ニコニコして確たるお答えはいただけませんでした．やっぱり，総理大臣の交代劇が終わってからでしょうか．

「金融商品取引法」は上場企業を対象とするので，それ以外の企業は「会社法」の範囲で内部統制を行うことになります．もちろん，自ら厳しくすることは構わないので，上場を考えている企業は J-SOx 法に準じて内部統制報告書などを作っていくことになると思います．

ただ，そういう風潮があったところで，「情報セキュリティ」と同様に「単なるコスト」という捕らえ方をすると，手抜き報告書になりますから，コストをブラスに，すなわち，売り上げや利益，資本増強に直結できるような社会の仕組みが必要です．また，投資家の保護など面が弱いと言われていますので，それらを含めて強化していくことが今後の課題になると思います．

まずは金融庁から大枠のガイドラインがでて，その後各監督省庁のガイドラインが出て．．．という具合に進むのでしょう．

うちの会社など，ガイドラインが出てくる前に，こういうものでどうでしょう，と率先して報告書を作って見たりすることは．．．ないんでしょうね．
先陣を切って新しいことをする，というのを一度くらいはやってみてもいいと思うのですが，なかなか見えないリスクに立ち向かうのは勇気が要ります．

J-SOx の次は，Knee-SOX だ！とか馬鹿なこと言っていたら「何を言ってるんだ．少し規制を緩めた Loose-SOX に決まってるだろ」と言われました．なるほど，そこから攻めますか(笑)

 

こんにちわ，五十嵐です．CS 放送や CATV などのせいか，小学生が前の日に見た TV 番組の話題で盛り上がることが少なくなったようです．私が幼少の頃は，サンダーバードを見て 2 号がかっこいいとか，4 号に乗ってみたいとか，滑り台は仰向けでさかさまに滑ってみるなどしたものですが，最近の子供たちはそんなことはしないようです．

TV ドラマ版のサンダーバードの第一話で，悪者がサンダーバード 1 号を盗み撮りするシーンが出てきます．しかし，国際救助隊は秘密組織で，そのテクノロジーが盗まれないように防衛する手段を講じます．X 線を照射して，悪者のカメラの中にあるフィルムをすべて感光させてしまうのです．写真といえばフィルムだった時代の防衛技術です．

いま時であれば，デジカメで盗撮ですよね．ディジタルビデオかもしれません．ではどうやって防ぐのでしょうか．ハードディスクにしても，メモリにしても，強力な電磁波でも照射して消去するのでしょうか．極近くならまだしも，かなり離れたところから撮影されたカメラの中身を消去するには．．．
人体にいやーな影響が出そうです．

PC やその内蔵ハードディスクを処分するときには，初期化あるいは，電磁的に消去してから破棄しましょうと言われます．もちろん，情報漏えいを防ぐためです．専用の装置を使わずに一般のドライブをそのまま用いて「初期化」すると，確かに表面は消去されるのですが，極わずかに痕跡が残るそうです．コンピュータ・フォレンジックの分野では，こうした痕跡からデータを復元する技術もあるそうです．本当に消去するためには，電磁的に消去するだけでなく，ディスクの表面を削り取らないと，データが復元できるようです．

火災で丸焦げになったハードディスクのデータを数億円(数千万円だったかも)かけて復元したという事例もあるそうです．コストとの兼ね合いなので，入手したいデータを悪者がそこまで金をかけても復元するかどうかというところがポイントですね．

そうなると，国際救助隊はサンダーバード各機の盗撮にどうやって対応するのでしょうか．撮られる前になんとか対処するか，物理的に近くに行ってなんとかするしかなさそうな気がします．
さぁ，どうやって対処する，サンダーバード！

 

こんにちわ，五十嵐です．本日 6月15日に行われた情報セキュリティ政策会議において，「セキュア・ジャパン２００６」が決定されたそうです．

• 情報セキュリティ政策会議(第６回会合) (2006/06/15 内閣官房情報セキュリティセンター)
• 「セキュア・ジャパン２００６」（案）に関する意見の募集の結果 (2006/06/15 内閣官房情報セキュリティセンター)
• [PDF] 「セキュア・ジャパン２００６」 (2006/06/15 内閣官房情報セキュリティセンター)

いよいよ，セキュア・ジャパン2006の本格始動です．

意見提出会社を見たら，日本ユニシスとしては意見を出していないのですね．
会社として意見を出そうとしたら，やはり私の所属する部署からなのでしょうか．この辺りが，うちの会社の統一的な動きのできない弱いところ．政策を踏まえていかにビジネスにつなげていくのかというところがまだうまくまわっていないのでしょう．

意見に対する回答で多く見られるのが

• ご指摘の内容については，今後の政策の推進に当たっての参考の一つとさせていただきます．
• ご指摘の点は重要と認識しており，今後の政策運営に適切に反映してまいります．

という部分．意見募集が終わってしまうと，その後の動きに鈍感になってしまいますが，これらの意見がどのように参考にされ，運営に反映されていくのかを見守っていくことが必要です．セキュア・ジャパン2006の終了時に，ここで記述されたことがどのように反映されたのかをチェックするための機構も必要だと感じています．

 

こんにちわ，五十嵐です．某中央省庁の方と，このブログで書いたボウケンジャーの話題でちょっと盛り上がってしまいました(笑) 金曜日だけでも見ていただいてありがたや，ありがたや．

少し前に警察庁の方から「警察政策フォーラム」の案内を頂きましたので今日はそれをご紹介しておきます．

• 警察政策フォーラムの開催について 「サイバー犯罪・サイバーテロ対策の推進に向けて」 - 詳細 (2006/07/12(水) 東京開催 - 2006/06/12 ＠Police)
• 社会安全セミナーの開催について 「サイバー犯罪・サイバーテロ対策の推進に向けて」 - 詳細 (2006/07/13(木) 大阪開催 - 2006/06/15 更新 ＠Police)

「仮題」になっていますが，「米国におけるＣＩＩＰの取組み」など，面白そうな講演が聴けそうです．
事前申し込みが必要です．

CIIP: Critical Information Infrastructure Protection

【追記】
大阪開催の社会安全セミナーの URL が変更になりましたので，修正しました．

こんにちわ，五十嵐です．がんばれニッポン！サッカーW杯予選はあと二戦，強豪クロアチア，ブラジルも下して，予選突破だ！！

• Yahoo!メールの脆弱性突く新ワーム (2006/06/13 ITmedia エンタープライズ)

Yahoo！のような Web メールの脆弱性をついた新たなワームの出現という記事です．私は Web メールの環境はすべて Google Mail (Gmail) に移行したので Yahoo! メールを使うことはほとんどありませんが，Yahoo! グループなどの都合でまだそのメールアドレスが生きています．

Web メールで見たら感染してしまう今回のワームの対策は JavaScript を無効にしておく以外にないのでしょうか．JavaScript を使用したサイトは数多く，すべてのサイトで JavaScript を無効にすると非常に不便になってしまいます．
私が使用している Firefox でも JavaScript の有効／無効を切り替えられますが，サイト単位では設定できません．

十分に注意するしかないのでしょうか．

 

こんにちは，五十嵐です．『ダイハード 4.0』の公開に向けて宣伝のためにブルース・ウィリスさんが来日.

• Ｂ・ウィリスさん「特捜本部長」に＝サイバーテロと闘う刑事－国家公安委員長任命 (2007/06/12 時事通信社 時事ドットコム)
• ウィリスがサイバーテロをぶった斬る！ダイハード新作来日ＰＲ - goo 映画 (2007/06/13 goo)

国家公安委員長からサイバー犯罪特別捜査本部長に任命されたらしいです．でも，テレビのニュースなどではブルース・ウィリスさんじゃなくて，ジョン・マクレーン刑事を任命していました．．．ま，どっちでもいいか．

映画は 6 月 30 日に公開．話が前後してしまいましたが，今度はサイバーテロ組織と闘う話のようです．情報セキュリティ屋さんとしては，見逃せません．

ところで，この「4.0」は，やっぱり「Web2.0」とかを意識したんでしょうね．Web2.0 もそろそろ脱却して，Web3.0 とか Web4.0 とかにならないと．せめて「Web2.0.1」とか．．．


# 今日は金曜日じゃないけど．．．

こんにちわ，五十嵐です．日本中がサッカーのワールドカップに沸いているに違いないと信じているのですが,意外と全く興味がない人もいるようですね．本日はドイツ，カイザースラウテルンで予選Fグループ「オーストラリア対日本」の試合が始まりました.さて，結果やいかに．．．いや，勝つんだ！勝つんだ，ニッポン！！

Winny での著作権侵害ファイルの保有ノードの IP アドレスを特定するツールが 米eEye Digital Securiy から提供されるそうだ.

• Winny上の著作権侵害ファイル、保有ノードのIPアドレスを特定可能に (2006/06/09 gooニュース/Impress Watch)

「一部報道によれば、このツールは著作権保護団体に限定して提供」とあるけれど,著作権は保護団体に加入していなくても保護して欲しいものだと思うのだが,どうなのだろうか？

このツールは著作権を侵害していないファイルについても同様に保有ノードの IP アドレスを取得することが可能だと思われるが,それについては何も言及されていない．報道側は，著作権侵害者に対して警告の意味を込めているということなのだろうか.なんだか最近の報道は偏った方向に先導するような記事が多いような気がする.

この IP アドレスを特定するツールが法を犯さないものであることを祈るばかりである.

こんにちわ，五十嵐です．先週の TGIF の記事 はかなり濃かったようで，濃すぎて不評でした．．．orz
もう少しやんわりしたオタクネタにしないと (笑)

先週の結論で間接的に本人認証することが可能であることを書きました．すなわち，「持っているもの」自体が本人認証を行えるのであれば，「持っているもの」で間接的に本人認証が行えるということです．

銀行などで本人認証のために生体を使用するケースが増えてきましたが，これは，生体の認証装置が相手側にあるので，情報の管理権を相手に渡すことになります．本人が持っているカードなどで本人認証をしておき，そのカードとの間で認証が行えれば，生体に関する情報(例え暗号化されていたり，特徴点だけであっても)の管理を他人に渡す必要がなくなります．では，カードを落としたらどうするのか．耐タンパーの技術は発達してきていますので，そのカードの使用停止を処理すれば済むと考えられます．

「カードよりも便利なのはやはり携帯電話でしょう」と，ある方から教えられました．確かにその通りですね．そういえば，最近では変身ヒーロー物で，携帯電話を使用して変身する番組をよく見かけけるようになりました．あれは単なる流行の追いかけではなかったのですね！

印象的だったのは少し前の仮面ライダー555 (「ファイズ」と読みます．2003年放映) です．携帯電話を変身ベルトに装着して仮面ライダーになります．
その後，秘密戦隊ゴレンジャーから始まった戦隊物と呼ばれるシリーズでも携帯電話が重要なアイテムとして登場します．現在放映中の「轟轟戦隊ボウケンジャー」でも携帯電話が変身アイテムとして使用されています．

今後，携帯電話は益々多機能になり，通話通信以外の重要性が増すに連れて，それ自身に強固なセキュリティが必要になってきます．すでに一部の携帯電話では搭載されているようですが，本人確認の機能が当たり前のようになってくるでしょう．

 

こんにちわ，五十嵐です．ニュースも見ずにぼーっとしている間に成立したんですね．法案ではなく，法律になってしまいました．．．日本版 SOX 法．

• 金融商品取引法が成立、ファンド規制を強化 (2006/06/07 NIKKEI.NET)
• 投資家保護、なお課題　金融商品取引法成立 (2006/06/08 asahi.com)
• 金融商品取引法成立　説明義務　証券業界に商機 (2006/06/08 FujiSankei Business i)
• 金融商品取引法　成立へ　ファンド規制を強化 (2006/06/08 YOMIURI ONLINE)

今回成立した「金融商品取引法」は日本版SOX法(J-SOX法)の中核をなすものです．実施基準などの公開が待たれます．

ライブドアや村上ファンドなどの摘発が続いていますが，これらは氷山の一角で，人身御供にされてるんだろうと思ってますけれど，違うかな？

 

こんにちわ，五十嵐です．久しぶりに社内ソーシャル・ブックマーク(SBM)のお話．

最近，sato さんや kkato さんなどと話をして，やっと社内 SBM の有用性をわかってもらえるようになってきました．見つけた情報に対して，人間が「タグ」や「ラベル」というものをつけることによって，検索の絞込みを楽にしようというコンセプト．

他人のコメントを見るというのも一つの目的ではありますが，私はそれよりも，情報の掘り出しや，確実に存在しているものを改めて探し出すような場合に検索の効率をあげることができると思っています．

世の中の検索エンジンは，ロボットと呼ばれる自動巡回によって読み込んだ情報を分解，解析し，独自の方法でランキングを行って必要とされる URL を表示してくれます．ところが，自分が欲しいと思う情報が上位に来ない場合があります．検索のために入力したキーワードの選択が悪ければ，欲しい情報が一つもないこともあります．

ここに SBM の考え方を取り入れた場合，検索の絞込みや，タグ付けによる検索条件の設定などによって，欲しいと思う情報が見つけやすくなる可能性があります．

これを社内 SBM として考えた場合，例えば社則集の情報にすべて「社則」というタグをつけておけば，ポータルページから URL をたどってたどり着くよりも，すばやく目的の情報にアクセスできる可能性があります．このときに，社員と非社員などの参照権限をどのように扱うかという点が「社内」での特徴になります．

Google デスクトップなどを使用した方はわかると思いますが，これに慣れると自分の PC のフォルダの整理などを重視しなくてよくなります．検索すれば，必要なファイルが見つかります．

Google が提供している Picasa は自 PC 内の画像参照ツールですが，このツールでは画像に自分で独自の「ラベル」をつけることができます．フォルダとはまったく異なる考え方で，Gmail などでも同様の方式を見ることができます．

このような使い勝手を tPod と組み合わせて社内 SBM として実現できれば，生産性の向上が期待できると思っています．探すことに時間をかけず，創造にその時間を回す．これが社内 SBM のゴールだと考えています．

こんにちわ，五十嵐です．絵画の世界での酷似のニュースとか，ブログでの表現の酷似のニュースとか，最近，似たものの似た話題が立て続けですね．

「盗作」というのは簡単なのですが，主観に頼っているのが現実です．芸術や文章などの酷似性(造語です．どれだけよく似ているか，という意味で)を客観的に測る方法はないものでしょうか．一つは多数決という方法があります．どれだけの人が似ていると感じるかを人数という尺度で置き換えて酷似性を測ることもできます．あいまいなものをデジタルにしてしまう．

もう一つは対象物そのものを比較する方法．例えば双子の顔の酷似性など．重ね合わせてみて，どれだけ一致点があるのか，など．
デジタル画像なら簡単にできるのでしょうか？

文章の酷似性は単純ではないでしょうね．文の成り立ちだけでなく，意味を解釈した上で，似ていることを測らなければなりません．私達の頭の中ではどうやってそれらのパターンを認識しているのか興味があります．

情報セキュリティは「情報」が頭についているので文字通り「情報」を守るためにあるのですが，それは別な角度から見れば，上に書いたような酷似問題，つまるところ「盗作」「コピー」を防ぐためにあるともいえます．これらの「財産」をいかに守るかが大切なのです．

情報セキュリティを強化すると，人の行動が制限されたり，自由度が小さくなったりしますが，これは本当は間違った方向なのだと思っています．私達が守られるために情報セキュリティがあるのであって，情報セキュリティのために人が制限されるのは本末転倒です．しかし，現実には，ガバナンスという名の下に制限することが正当化されています．また，そうしなければ，今のところ情報漏えいなどが防げないのも事実です．

他人の有形無形のさまざまな財産をいかにして侵害しないようにするか，同時に自分の同様の財産をいかにして守るか．その一つの手段が情報セキュリティです．

私が情報セキュリティの分野で調べたり書いたりしているのは，他人の財産や権利を脅かすことなく，自由に行動できるような社会を実現したいと考えているからです．理想，あるいはきれいごとのように聞こえるかもしれませんね．私を知らない方は偽善だと思うかもしれません．
でも，本心です．私の情報セキュリティへの関心は，今現在幼い子供たちが将来，安心して暮らせるようになるかどうかというところにあります．私にとっての情報セキュリティは，子供たちの安心な社会の実現のための手段です．

 

こんにちわ，五十嵐です．6/1 から弊社ではクールビズでの勤務が許されるようになりました．今日はカジュアルデーでもあるので，営業さんでもノータイで勤務している人もちらほら見かけます．

---

【追記 2006/06/05】
下の内容が「濃すぎてついていけません」というお言葉をいろいろいただきました．ゴレンジャーにしておけばよかったと反省．．．って，そういうことではない？
まぁ，お好きな方だけ読んでください．
【追記 終わり】

---

先週(「TGIF: ボウケンジャー戦闘スーツ着用後の本人確認 (2006/05/26)」) に引き続き今週も考察を続けます．

轟轟戦隊ボウケンジャー(「ごうごうせんたい」と読みます)の巨大ロボットは 5 台の乗り物が合体したものです．オプションとして他に 4 台．さらにもう 1 台出てきそうだというので，子供におもちゃをせがまれる親泣かせの番組です．巨大ロボットに変形した後，ボウケンジャーの 5 人がそろって操縦しますが，それぞれの席に「ボウケンドライバー」と呼ばれる操縦装置を設置しなければなりません．

第11話「孤島の決戦」の中で，敵に操縦されないためにボウケンドライバーを隠すというシーンがあります．ここから類推するとボウケンドライバーには認証装置がついていないということがわかります．変身のための「アクセルラー」には本人認証があって，何故ボウケンドライバーには本人認証がないのか理由がわかりませんが，ボウケンジャーの所属するサージェス財団の予算の都合でしょうか

先週，このボウケンドライバーにアクセルラーをセットしなければならないと書きましたが，これも操縦のための必須条件ではないようです．そうなるとやはり「いいも悪いもリモコン次第」の世界になっちゃいます．「リモコン」ではないですが

そこでアクセルラーに絞って考えて見ましょう．
一つの方法は昔ながらのパスワード(暗証番号)式．携帯電話と同じようなボタンがついていますので，ピッピッピッピと押せばよい．まぁ，これも有りかもしれません．
もう一つはやはり生体認証．変身前ならいいのですが．．．

余談ですが個人を認証するには，次の方法があるそうです．

1. 持っているもの (SYH: Something You Have)
2. 知っているもの (SYK: Something You Know)
3. 自分自身 (SYA: Something You Are)

これらのうち、「1. 持っているもの」には、磁気カードや IC カードがある。
「2. 知っているもの」では、固定パスワードが古くから使われてきた。＜略＞
固定パスワード以外に、「2. 知っているもの」には、ワンタイムパスワードや位置記憶認証 (ピクチャーパスワード)、画像パスワード等) などが提案されている。
「3. 自分自身」を利用するものには、バイオメトリックス (生体) 認証がある。

出典：内田勝也, "情報セキュリティマネジメントからの個人認証システムの提案", 日本セキュリティ･マネジメント学会誌, Vol.20 No.1, pp 4, 2006年4月

今までのところ，アクセルラーに何かをかざす，挿すなどのシーンは出てきませんので，別なアイテム(カードなど)があるというのはなさそうです．パスワードは可能性がありますが，パスワードを入れているシーンもまだありません．戦闘中に奪取されることも考慮すると有効時間が設定されていた方がよいでしょう．しかし，戦闘中にパスワードを入れなおすというのも現実的ではありません．変身時間に限りがあるということもなさそうです．さらに，アクセルラーが落ちて転がると変身が解けてしまうことから，「体の近く」ということがキーになっていると考えられます．

生体認証には，指紋認証，網膜認証，虹彩認証，顔認証，静脈認証，声紋認証，DNA認証などがあります．生体認証の特徴や比較は少し古い記事ですが以下が参考になります．

• 【特集】 バイオメトリクスカタログ（後編） (2001/11/28 @IT)

変身後に顔が出ていれば，網膜認証，虹彩認証，顔認証が使えそうですが，顔は仮面が隠しています．それも他人にボウケンジャーであることを知られてはならないようですので，顔認証は使えません．消防服などのように顔が露出している防護服であれば使えるでしょう．

他にも露出しているところは無いので，指紋認証，静脈認証，DNA認証は使えません．宇宙服なども同様です．一見顔認証が使えそうだと思うかもしれませんが，ご存知の通り遮光フィルタがついているので，外から顔が見えない可能性があります．

残りは声紋認証ですが，これが使えそうだと思った方もいるでしょう．しかし，録音によるなりすましなどが考えられます．仮面をかぶっているという特徴を生かして，事前に録音した声をあたかも本人が発声しているかのごとく仮面から流すことが可能です．これでは役に立ちません．

さて困りました．生体認証は使えないのでしょうか．

アイディアが二つあります．一つは防護服を通しても認証できる方法．もう一つは間接的に認証する方法．

昨日の記事で取り上げましたが，真皮の指紋を認証する技術が実用化レベルになっています．このように，防護服を通して認証できないでしょうか．消防服や宇宙服などにはこの技術を応用すれば「中の人」の認証が可能です．問題は，ボウケンジャーの戦闘用スーツ (アクセルスーツ) が電磁波などを通すかどうかということです．

もう一つは，スーツ自体が生体認証を行い，スーツとアクセルラーが認証を行うという方法です．アクセルスーツはアクセルラーに格納されています．変身時にはそこから飛び出して装着するのですが，つまり，アクセルラーとアクセルスーツは対になっています．それならば，アクセルスーツが「中の人」を認証し，アクセルラーとの間で確かに正しいことを確認すれば良いのです．


ここでお気づきの方がいるかもしれません．変身前にアクセルラーが本人認証をしてスーツを装着するのであれば，その時点で「中の人」は正しいことが確認できています．ですから，アクセルスーツとアクセルラーの間で定期的に認証さえ出来ればよいことになります．そうか，それで体(スーツ)を離れると変身が解除されていたのですね．

変身後の生体認証は必要なかったわけです．．．orz

でも実は，ボウケンジャーでは声紋認証を使っています．戦闘中にギャグを言ったり，ボケをかましたり．あれは，アクセルスーツの指示に従って声紋を認証しているのです．ワンタイムパスワードのようなもので，これであれば録音した声にも対抗できます．
ついでに必殺技で叫んでいるのは，武器が使用者を認証するために違いありません

 

こんにちわ，五十嵐です．指紋認証で指を怪我したらどうするんだろう，なんて疑問を持ったことはありませんか？

表皮の傷なら大丈夫という技術を使った指紋認証装置が発表されたようです．

• サイレックス・テクノロジー，指の表皮状態に左右されない指紋認証装置を出荷 (2006/05/31 ITpro Security)

指の表皮ではなく，表皮より下にある真皮の指紋で認証するので，表皮に傷があっても認証できるという優れものらしいです．デバイスに直接接触する必要もないとなると，もう少し応用が出来そうな気がしますね．

また「モバイル PC は指紋認証が主流になるだろう」という記事 (出展は忘れました．すみません OTL) をつい最近読みましたが，早速，指紋認証以外の方法を搭載したノート PC が出たようです．

• レノボ、世界で初の顔面認識ノートＰＣを発表 (2006/06/01 ITpro/Chaina HEADLINE/経済日報)

生体認証の世界もどんどん進歩してますね(当たり前か．．．)．

目を使用した認証も網膜認証だけだと思っていたら，虹彩認証というのもあって，虹彩認証の方が利点があるとか．このあたりはもうちょっと勉強しなきゃいけないなぁと思っています．