V.S.A. III

こんにちは，五十嵐です．昨日のセキュリティレイヤの話を絵にしてみました．

Rinza のセキュリティの考え方にも影響してくる話ですが，アプリケーション毎に制御すべきセキュリティの部分と Rinza 基盤で制御すべき部分の二つに分かれるだろうと考えています．

tPod の場合，ファイルの所有者や所属グループなどによる任意アクセス制御 (DAC: Discretional Access Control) が考えられますが，それとは別に，アプリケーションがファイルそのものにアクセスできるかどうかという強制アクセス制御 (MAC: Mandatory Access Control) の部分が存在します．

今後検討しなければならないセキュリティ面は，この図で 「アクセスコントロール層」 と書いた任意アクセス制御の部分になります．ここをもう少し詳しく検討していくことにします．

こんにちは，五十嵐です．タバコを吸いに外に出て行くときに，お年を召した警備員さんにすれ違いざま「いらっしゃいませ」と言われました．入ってくる時ならまだわかるんですが．．．前職は接客業だったのでしょうか(笑

さて，今日は tPod のユーザインターフェース(UI)について sato さんと意見の交換をしました．内部で使われている技術や発想がどんなにすばらしくても，UI の使い勝手が悪いと，誰も使ってくれないというところで意見の一致をみました．ユーザの立場に立った使い勝手が第一．その上でセキュリティやら何やらが考慮されているというのがよい作りでしょう．

情報セキュリティと言っても，いろいろなものがあります．私はいわゆる CIA - C: Confidentiality 機密性, I: Integrity 完全性, A: Avarability 可用性 に Accountability 追求責任性も加えて，四つの層として実現してはどうかと思っています．

見た目の都合上，上の層から書きますが，
・アプリケーション層
・ミドルウェア層
・コンフィデンシャリティ層
・インテグリティ層
・アベイラビリティ層
・アカウンタビリティ層
・フィジカル層
という具合に並べるとうまくいきそうな気がしています．もちろん，こんなにすっきりと割り切れるわけではないと思いますけれど．

ですからセキュリティをあまり意識せずにアプリケーションが組めるというのが一番なのですが・・・あくまでも理想です．

UI がセキュリティを意識させるような作りになっていると，使い勝手が悪くなるのではないでしょうか．ここのトレードオフはいつも悩みの種です．これをうまく Rinza が吸収できるということが実現できればいいのですが．．．

セキュリティは後ろでがんばって，まずは見た目と操作性．UI にも力を入れましょう．

なんか今日は論旨がめちゃくちゃ．．．って，いつものこと？！

 

こんにちは，五十嵐です．新聞の見出しには著作権が認められないという判決が先日出たので，今日のタイトルは asahi.com の見出しをそのまま使ってみました．新聞「紙」と Web ニュースでは違うなんてことになったら，どうしましょう．

• ウィニー対策システムを開発へ　情報流出を防止　総務省 (2006/08/29 goo ニュース / asahi.com)

8 月 23 日には NHK が報道したらしいですが，朝日新聞では本日このニュースを取り上げていますね．なぜ 23 日と 29 日なのかというところも気になるところですが，そこは今日の本題ではないので．．．

情報の入れ物である「ファイル」に印をつけて，それが見つかったら，回収(というよりもそれ以上流通させないように)するというもの．インターネットのインターエクスチェンジ(IX)と呼ばれるネットワーク重要ポイントでの協力は必須でしょうね．防止というよりも，流出の範囲を最小化する技術と考えるといいのかもしれません．

徐々にプロバイダが協力するようになってくれば，理想状態では流出そのものを食い止めることができる，ということになりますね．コピーガードと対応するハードウェアのように，取り決めと運用がしっかり守られれば実現できそうです．

ただし，目印も含めて暗号化されたりすると，この方法では救えません．「うっかり流出」なら食い止めることは可能かもしれませんが，先日の原発情報の漏洩などはウィルスによるものですから，ウィルスが暗号化してファイルを流すような仕組みになっていると，リアルタイムで食い止めることは出来ないかもしれません．これにはどう対応するのか興味があります．

使用する暗号は強固である必要はなく，「目印」がわからなくなればいいので，単純な文字置き換えのシーザー暗号でもいいわけです．今からやるなら IPv6/IPsec にも対応しなければいけないだろうし．．．そう考えると，なんだかとても大変な技術が必要な気がします．しかし，まずは，そういう協力体制を作るというところが大切なのかもしれません．まてよ，IPv6 や IPsec に変わる何かを考えようとしているのかも！？

んー，考え始めると寝られなくなりそう．といって，日本の英知を結集するのでしょうから，一晩で思いつくものでもなさそうです．

 

こんにちは，五十嵐です．チョコレートダイエットでも始めようかと思ったら，ビルの売店では夏場はチョコレートそのものは売らないそうです．カカオ 75% 前後のチョコを買おうと思ってました．24 時間営業のコンビニと違って，夜中に融けてチョコがボロボロになるかららしいです．代わりにあま～い m&m を食べてるので太りそうです w

さて，「仏の顔も三度まで」 といいますが，情報漏洩は二度起こすとバカといわれそうですよね．

• Winnyで原発情報また流出　三菱重工から2度目 (2006/08/24 ITmedia ニュース)

前回は 「Winny で流出するとは知らなかった」 という話でしたが，今度は言い逃れできません．会社 (グループ) 全体では対策をとっていても，結局最後には，個人の意識が変わらなければ意味が無いということなのだと思います．「石の上にも三年」なんて言ってられません．すぐにでも変わらないと．．．

IT 業界の場合には，他社のIT災厄を見たらすぐに対策をとらないと，それだけで非難をあびそうです．「人のふり見て我がふり直せ」 ですね．

こんにちは，五十嵐です．金曜日．東京はくもり．今日は比較的涼しいようです．ブログはどこもかしこも冥王星が惑星からはずれた話題でしょうから，「美少女戦士 セーラープルート/冥王せつな」が仲間はずれでいじめられないことを祈りつつ (ちなみに「月」も惑星ではありません)，ここでは別なお話を．

「トゥルーライズ」というアーノルド・シュワルツネッガーが主演の映画をご存知でしょうか．この映画はスパイ･アクション･コメディなので SF ではないのですが，サイレントモードで空中静止するハリアーやビル外から室内の盗聴，ビルの部屋の中の人の動きの透視装置などなど，私のような素人には実在するのか架空なのかわからない SF のようなガジェット ( (小) 道具) がたくさん出てきます．

今朝の日経新聞のテクノロジー欄に載っていたのは「透視」．

• 「炎の向こう カメラで『透視』 - 東北大など 人間から出る電波検出 - 火災時の救助にも応用」(2006/08/25 日本経済新聞朝刊)

「東北大学や富士通などの研究グループが赤外線などと同様にモノから出ている『ミリ波』を捉えてそれを写すためのカメラを開発した．三年以内に実用化を目指す」という内容の記事でした．「トゥルーライズ」の透視装置も現実のものになりそうです．「トータル・リコール」のセキュリティ監視装置(骨まで見えるスキャン装置)に至っては，過去のテクノロジーになってしまっていますし．．．

当分の間は装置が高価なので，まずは人命救助優先でしょうけれど，次にセキュリティ系に使われて，監視カメラ問題に発展する，と．．．特許が切れるとおもちゃメーカーがスパイセットに取り入れたりして，透視装置が 100 円ショップ(相当)で売られる日が来そうな予感．

同じ新聞のとなりの囲み記事では高温超伝導の話なんかも書いてあるので小型化も現実味を帯びてきますよね．そうすると，家の壁は防火壁ならぬ，防透壁とか透視防止壁なんてものも完備しないと．．．情報セキュリティも物理セキュリティも区別の無い世界になってきます．

ミリ波の感覚器官を持った突然変異の新人類も現れたりして，透視という超能力も SF の中だけの話ではなくなっちゃうかもしれません．

# 透視力を使うときは，やはり頬が震えるんでしょうか？！ (さて，このネタの出展は？)

"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です．中央省庁の情報セキュリティ関連資料などはすべて内閣官房からリンクされている，という具合にならないですかね．e-Gov もありますけど．．．

内閣官房情報セキュリティセンター(NISC)から 8 月 2 日付けで「政府機関統一基準の説明資料」が公開されていました．

• 政府機関の情報セキュリティ対策のための統一基準 (NISC)
• [PDF] 政府機関統一基準の説明資料 (2006/08/02 NISC)

これは以前に公表された「『政府機関の情報セキュリティ対策のための統一基準（2005年12月版［全体版初版］）』解説書 」(PDF) とはまた違うものですね．説明資料というよりも紹介資料のようです．JASA で講演した際の資料と聞いています．

今回の説明資料は前半(1章)が経緯，読むための位置づけや体系などについて，後半(2.2節以降)が内容説明や運用方法の説明になっています．

政府機関ということで中央省庁を中心とする基準ですが，このままでは自治体には適用できないということで，昨日のブログにも書いたように，総務省で「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）の意見募集が行われています．このガイドラインを併せて読んでみると面白いかもしれません．(こっちのガイドラインは相変わらず未見．．．)

 

こんにちは，五十嵐です．8 月 21 日付けで総務省から「地方公共団体における情報セキュリティポリシーに関するガイドライン（案）」への意見募集が行われています．意見募集の締め切りは 9 月 19 日です．

• 地方公共団体における情報セキュリティポリシーに関するガイドライン（案）に対する意見募集 (2006/08/21 e-Gov/総務省自治行政局地域情報政策室)
• 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）に対する意見募集 (2006/08/21 自治行政局地域情報政策室)

2001 年に策定されたガイドラインを，「第一次情報セキュリティ基本計画」に従って見直しを行ったものですね．

私はまだ中身を見ていません

こんにちは，五十嵐です．都市再開発中の豊洲にもセミの抜け殻がありました．セミが鳴いているのですから，幼虫がいてもおかしくありませんね．
けれども，なんとなく驚きました．

ネットワークのセキュリティとしては，ルータのフィルタリングやファイアウォールなどは今や当たり前の時代になってきました．個人でも PC のパーソナルファイアウォールなどを購入してインストールしているかたも多いようです．

ルータのフィルタリングも設定して安定稼動するとその後はあまり変更しませんし，フィルタリングのパターン(シグネチャ)もベンダーなどから提供されて，自動更新されていたりしますので，その存在すら普段は意識しないかもしれません．

セキュリティ意識の高い管理者は，日々のログを眺めるということをやっていると思いますが，個人やそこまで人件費が出せないようなところでは，一旦設置されたセキュリティ機器や設定があまり顧みられずに放置されているかもしれません．

しかし，たまにはログの確認や，設定が生きていることを確認した方がいいですね．ひょっとしたら，ウィルスや外部，内部からの攻撃によって，設定そのものが無効化されて，抜け殻になっているかもしれませんよ．

【追記 2006/08/24】
JPCERT/CC から「夏期休暇明けの対応について」という文書が公開されています．

• 夏期休暇明けの対応について (2006/08/24 JPCERT/CC)

夏休み明けには特に注意しましょう．

こんにちは，五十嵐です．今日から 8 月です．「こんにちわ」を「こんにちは」に戻すことにしました．だいぶ違和感がある人が多いみたいなのです．わざとやってるんですが，だんだんと説明が面倒になってきました．この話題をきっかけに話ができると思ったんですが．．．

さて，社内ソーシャルブックマーク(SBM)のお話．しばらくご無沙汰でしたが，もう少しつめていくことにします．

やりたいこと：

• 面白いことを見つけたら URI を SBM に登録する．
• 登録した URI に「ラベル」をつけられる．
• 登録した URI に「コメント」をつけられる．
• 登録した URI を「ラベル」で一覧できる．
• 登録した URI の「コメント」を検索できる．
• 登録する URI に「タイトル」が自動的につく．
• 登録する URI の「タイトル」を変更できる．
• 登録した URI の「タイトル」を検索できる．
• 登録した URI の参照先の内容を検索できる．
• 登録した URI を他人と共有できる．
• 登録した URI の一覧を RSS/ATOM で配信できる．
• 登録した URI の一覧を(限定した)他人に公開できる．
• 登録した URI に「システムラベル」が自動的につく．
• 登録した URI の参照権限の管理ができる．
• 登録した URI のアクセス管理ができる．(このあたりが情報セキュリティ)
• 登録した URI の更新ができる．
• 同じ URI を何度も登録できる．
• 複数の同じ URI を表示する場合は，どれが最後に登録したものかすぐにわかる．
• URI の登録日時がわかる．
• 他の誰が URI を登録しているのかわかる．
• 自分がその URI を登録していることを他者から隠すことができる．
• URI 一覧を「ブックマーク」として利用できる．
• URI を無制限に登録できる．
• URI 一覧の表示方法をいくつか変えられる．

思いつくままに書いてみましたが，こんなところですか．URL ではなく，URI と書いたのは，tPod との連携を想定しているからです．ホームページだけでなく，tPod が管理するファイルを「ブックマーク」として扱うことで，情報共有の幅が広がりそうです．tPod 側のインターフェースはまだそこまで用意されていませんので，これはあくまでも私の希望です．

簡単なところから始めるとして，他に要件(要求)がないかどうか整理することにします．