V.S.A. III

こんにちは，五十嵐です．RSA を使用した署名を正しく検証できない脆弱性が報告されています．

• JVNVU#845620 複数の RSA 実装において署名が正しく検証されない脆弱性 (2006/09/12 JVN)
• [ GLSA 200609-15 ] GnuTLS: RSA Signature Forgery (2006/09/26 SecurityForcus)
• OpenSSL PKCS Padding RSA Signature Forgery Vulnerability (2006/09/05 SecurityForcus)
• Vulnerability Note VU#845620 Multiple RSA implementations fail to properly handle signatures (2006/09/05 UC-CERT)
• CVE-2006-4339 (2006/09/- CVE)

この件は，9月5日に報告されてからアップデートされたものです．署名が検証できないということは，署名つきで受け取ったものが正しいものかどうかがわからないということになります．単に署名が確認できないだけではなく，第三者が署名を偽造できるというところも大きなポイントです．第三者が署名を偽造できるということは，その仕組みを用いたすべての署名が疑わしいものになってしまうからです．

騒いでも仕方がありませんが，今のところできることは，電子署名だけではなく，入手経路や本人からのものであることを物理的な手段で確認するなど，大切なものは別な方法での確認も併用しておく必要があります．

 

こんにちは，五十嵐です．"Ajax Sample" を Google で検索すると nakagawa さんのデモ のサンプルコードが 9 番目だという ので，試しに "TGIF" で検索してみたら．．．箸にも棒にもかかりません．「五十嵐」 でもだめ．
でも "ikarashi" だと 14 番目にこのブログが出てきます．ふっふっふ．もうちょっとだな ( "ikarashi TGIF" だと一番目だけど，そりゃ反則ですね．そもそも "ikarashi" が特殊なので，それだけでも反則技ですが (笑) ちなみに，とある言葉で検索すると，私の行動が Google でバレバレになります．ネット･ストーカーの思うツボ．．．orz)．

さて，先日， 「石橋けい」 という私の好きな女優さんの出るドラマを見ました．とんでもないキャラクター設定だったのでひっくりかえりそうになりました．．．という話はさておいて．
そのストーリーでは擬似情報を与え， 「敵をだますにはまず味方から」 という古典的ですが効果的な方法が用いられていました．

これを情報セキュリティに応用できないか，といういつもの悪い妄想が始まったのですが，味方もだましたんでは，可用性を保てないではないかというのが結論です．しかし，敵に見せかけの重要情報を与えて安心させるというのは効果的では？！すばらしいひらめきじゃん，とか思って悦に入っていたわけですが，それって映画などでよく見かける光景ですね．クラッキングして機密情報を得たと思ったらニセの情報で，さらに深く侵入しないと本当の情報は得られないという．．．新規性のかけらもありませんでした．

それにしても，そんな映画のストーリーのような仕掛けを使っているシステムというのはどのくらいあるものなのでしょうか．いわゆる 「ハニー・ポット」 (リンクは 「IT 用語辞典 e-Words」 ) もそのひとつでしょうけれど，一般に 「ハニー･ポット」 は重要情報から隔離されているので行き止まり．真の情報にたどり着くことはありません(一般には，ですが)．ハニー・ポットのような仕組みをシステムに組み込めば，技術力の高いクラッカーを欺くことは出来なくてもスクリプト・キディと呼ばれる初心者レベルのクラッカーなら十分な対策になるだろう，なんて思っています．

それにしても，石橋けい ちゃんは，以前はあどけなさの残る可愛らしい少女だったのですが，いつのまにか大人の女性に大変身．自分も歳をとるわけだなぁとしみじみとしてしまいました．

私の見たドラマが何だったのかって？ それはこのブログのタイトルを見てわかる人にだけわかればいいんです！ ナ ・ イ ・ ショ ！！

まぁ，私の見る番組で TGIF ネタですから，あれか，それか，これに決まってるわけですけどね．


"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です．いまさらといわれそうですが，Ajax の勉強を始めました．以前から私が注目している 「ユーザ・エクスペリエンス」 は Ajax の考えかた抜きでは，今のところ実現しないと思っています．

いかに画面遷移を少なくするか．ページの読み込みの待ち時間のイライラをなくすかというのが 「ユーザ・エクスペリエンス」 の重要な要素だと思います．Asynchronous や XML がなくても "ja" (=javascript) だけでも操作性の向上が実現できます．広い意味では Ajax の ja の部分だけで Ajax といえますので，この部分をしっかり押さえておきたいと思っています．

そんな中，Symantec 社が Web2.0 の脅威について報告を出したようです．

• 「Web2.0の脅威」が増加――Symantec報告 (2006/09/26 ITmedia エンタープライズ)

Ajax では裏で行われる通信が見えませんし，ブラウザが Javascript の実行を許さなければその恩恵にはあやかれません．これからのブラウザでは，もっと厳格なセキュリティ対策が望まれることになるでしょう．

私も 「ユーザ・エクスペリエンス」 だけでなく，情報セキュリティの面から Ajax を勉強していこうと思っています．

 

こんにちは，五十嵐です．政策の評価が行われ公開されるようになって 4 年ということですが，今までそういったものをきちんと見てきたことがありませんでしたので，眺めてみることにしました．もちろん，私の関心は情報セキュリティ政策にあります．

• 平成１９年度予算概算要求等に係る事前評価書 (2006/08/31 経済産業省)
  
  • [PDF] 要旨（政策評価の結果の政策への反映状況） (2006/08/31 経済産業省)
  • [PDF] 08 情報セキュリティ対策の推進 (2006/08/31 経済産業省)
  • [PDF] 16 情報産業強化 (2006/08/31 経済産業省)

9 月頭の日経新聞で記事になっていて私が一番関心のあった 「セキュア・プラットフォーム・プロジェクト」 の予算は， 「情報セキュリティ対策」ではなくて 「情報産業強化」 の政策に入っていました．新規・委託で平成 19 年度から 21 年度までの 3 年間に 15 億円ずつ，計 45 億円の予算を計画しています．

平成 19 年度予算要求概要を見てみます．

• 平成１ ９年度経済産業省の概算要求等について (2006/08/25 経済産業省)
• [PDF] 資料１：　平成１９年度経済産業政策の重点 (2006/08/25 経済産業省)

予算要求概要の公表日付が事前政策の公表日付よりも前なのはご愛嬌．．．かな．しかし，結局これらの事前評価の結果が予算のどこに現れているのか，よくわかりませんでした．

事前評価の中では，

『「経済成長戦略大綱」（平成18 年７月、財政・経済一体改革会議決定）における「情報システムの統合を効率的かつ安全に実現する技術」、「第３期科学技術基本計画」（平成18 年3 月、閣議決定）における情報通信分野の戦略重点科学技術「世界標準を目指すソフトウェアの開発支援技術」及び「世界一安全・安心なＩＴ社会を実現するセキュリティ技術」、「セキュア・ジャパン２００６」（平成18 年4 月、情報セキュリティ政策会議決定）における「高セキュリティ機能を実現する次世代ＯＳの開発」に位置付けられる。』

と書かれているので，内閣官房情報セキュリティセンター (NISC) と連携していくのだろうとは思うのですが，経済産業省 (METI) の担当課が 「商務情報政策局 情報通信機器課」 ですから，組み込み機器を想定しているのでしょうか？ よくわかりません．

『「高セキュリティ機能を実現する次世代ＯＳの開発」に位置付けられる。』 のであれば，NISC と経済産業省の位置づけみたいなものももう少し見える形にしてほしかったところです．

以前のブログで 「セキュアIT基盤開発推進コンソーシアム (SEITC)」 を紹介しましたが，こういうところに 「委託」 していくのでしょうか．筑波大の加藤先生が筆頭になられているので，NISC との絡みであることは間違いないと思いますが，METI とどうやっていくのか．NISC は政策部隊，METI は実行予算部隊，SEITC が実行部隊というお約束なのでしょうか．

このセキュア・プラットフォーム・プロジェクトそのものの全体像から実行計画のような細かい部分がわかる資料をどこかに公開しておいてほしいものですね．
(私が知らないだけかもしれませんが．．．どなたか教えて！)

 

こんにちは，五十嵐です．今年はウルトラマンシリーズ誕生 40 周年ということで 「ウルトラマンメビウス」 が放映されていますが皆さん見ていますか？子供の頃に見た怪獣が出てきてとても懐かしい思いがします．ウルトラマンシリーズの中では，私はとりわけ 「ウルトラセブン」 の話が大好きです．そういうお父さんは多いでしょう．今でもメガネをかける瞬間に 「デュワッ」と叫んだりします(笑

ウルトラセブンでは主人公モロボシダンが変身するときに使うあのメガネを 「ウルトラアイ」 と呼びます．これがなくなるとウルトラセブンに変身できなくなります．悪い宇宙人にウルトラアイを盗まれて，変身できなくなるという話の回もありました．情報セキュリティ的には "CIA" の "A" が阻まれたということです．

A は Availability の A．日本語では 「可用性」と訳されます．ほしいときにほしい情報にアクセスできること，です．ウルトラアイの場合は，変身したいときに変身できること，ですけれど．

「セキュリティ」という言葉が使われるときには，主に「機密性 (C: Confidentiality)」や「完全性 (I: Integrity)」が重視されますが，この「可用性 (A: Availability)」も重要です．ヒーローたちもえてして機密性は重要視して正体がばれないようにしていたり，変身前に怪我をしないように完全性に気をつけていますが，ヒーローは一度ならず変身アイテムを盗まれるという目に遭いますね．セキュリティで可用性を軽視している証拠です(笑)

モロボシダンもなんとかウルトラアイを取り戻し，無事に変身して悪い宇宙人をやっつけますが，いつもすぐに使えるように気をつけておかなければならないという教訓ですね．

ところで，情報セキュリティで 「クリアデスク」 が重視されますがこの意味を部分的にしか理解していない方が多いようです．機密文書などを机の上に出しっぱなしにしてはいけない，ということは皆さんよく理解されているようです．しかし，機密文書でなくてもなぜ他のものまできちんと片付けなければいけないのか，という部分は不平不満を言う方もいて，なかなか理解されないようです．

机の上を片付けるというのは，モノの有無を明確にするということでもあります．大量のモノが机の上にあれば，そこから何かがなくなっても気づかないかもしれません．汚い机の上にウルトラアイが放置されていたら，いつなくなってもわからないかもしれないのです．ですから，市販本のような一般の図書などであっても，机の上にはできるだけモノをおかず，つねにモノの有無が(他人からも)一目瞭然にしておくということが大切なのです．

# 私は片付けるのが大の苦手なので，理解していても不平漏らしてますけど．．．(＾＾；)

ヒーローは身の回りもきれいにしておかなければならないのです．今日もデュワッと気持ちよくお仕事しましょうね．


"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です．日本の文化ではまだまだ印鑑がなくならないようです．内部統制などの文書の承認などでもまだまだ印鑑が使われていくだろうと思います．そうすると，印鑑自体の保管方法，使用権限のようなものを設定して管理する必要があります．

先日，街をふらふらと歩いていて，このようなポスターを見つけました．銀行印なのですが，ダイヤルがついていて印影が変わると言うものです．正しい組み合わせをしらないと正しい銀行印として使用できないということです．
なかなかいいですね．ダイヤルがまだ二つと言うところがかわいらしいですが，銀行印程度であれば，盗まれてから気がついて銀行に届けを出すまでの間に，この印鑑が使われなければ良いので，時間稼ぎにはなるはずです．右のポスターは印影が変わる，というところを強調していました．

調べてみたところ，三菱鉛筆から発売されているようです．

• 日本初！ダイヤル式セキュリティ機能を搭載した新型銀行印。『ダイヤルバンク印』 (2006/08/02 三菱鉛筆)

持っていることと，知っていることを兼ね備えたセキュリティですね．これからの会社の印鑑も，こういうのを使っていかないといけないのかもしれません．

こんにちは，五十嵐です．Microsoft Windows でファイル破損の恐れがあるというのでびくびくしています．

• NTFS圧縮ファイルが破損の恐れ、8月の月例パッチに不具合 (2006/09/14 ITmedia エンタープライズ)
• [925308] ファイルを作成する、またはファイルを更新するとき、圧縮 4 KB より大きいファイルが壊れてある可能性があります。 (2006/09/15 Microsoft サポートオンライン)

NTFS を使っていて，かつ圧縮を有効にしている場合，4Kバイト以上のファイルを作成すると壊れる可能性があるそうです．

8 月のパッチからというとその後に採ったバックアップファイルは．．．別なドライブにバックアップしていても壊れている可能性があるということです．これは個人的にも思いっきり影響アリ．やばいです．なんてったって，NTFS のドライブは全部圧縮を有効にしてますので．バックアップファイルを作る NTFS ドライブは圧縮させない方がよいという教訓でしょうか．

早めにパッチが提供されることを期待しています．

【2006/09/28 追記】
本件は Windows 2000 が対象でした．言葉が足らずに申し訳ございませんでした．なお，マイクロソフト社から修正されたパッチがリリースされていますので，Windows 2000 をご使用の方は早めに適用することをお勧めいたします．

• MS06-049 : Windows の重要な更新 (2006/09/27 更新 Microsoft)
• [925308] 4 KB より大きいサイズの圧縮ファイルを作成または更新すると、ファイルが破損することがある (2006/09/21 更新 Microsoft サポートオンライン)

(パッチのリリース日が 9 月 19 日と記述されていますが，このブログを書いている時点(2006/09/20)ではリリースされておりませんでした．念のため)

 

こんにちは，五十嵐です．Google Earth の日本語対応版が出ていたんですね．

• 日本語のGoogle Earth (2006/09/14 Google Japan Blog)

早速インストールして試してみました．今まで日本語では出なかった表示もきれいに出るようになっています．ただ，立ち上げるとデフォルトで米国が中心になりますが，日本語対応版なのですから日本が中心になってほしかったです．

出身地の新潟も，今までは "Niigata" と表示されていたのがちゃんと「新潟」になっています．なんだかうれしいですね．Google さんのこうしたツール群には本当に脱帽です．

ところで，セキュリティ的にはどうなのでしょう．インストール時に Google に使用統計情報を送ってよいかどうかを聞いてきます．デフォルトではチェックマークがついて，送るように設定されます．インストール後のオプションでこの情報の送信の可否を変えることができます．気になるのはこの情報の送信です．

プライバシーが侵害されるわけではありませんが，自分の使った情報が送られるというのはなんとなく気持ちのいいものではありませんが，Google はそういう情報を集めて，さらによりよい情報提供をしようとしていると考えると，無料で配布しているソフトウェアに対して協力しようか，という気にもなります．

ただ，使用統計情報というものがどういうものなのかがよくわかりません．Google Earth プログラムへ送信したデータのログを残しておけば，どのように参照されているのかはサーバ側で抑えることができるはずだからです．ということはそれ以外のオペレーションデータがほしいということになります．ここが気持ち悪いと私が感じる部分です．

情報セキュリティ的に何か問題があるというわけではありませんけれど，なんとなく引っかかるところ．でも，先述の通り，日本を中心に持ってきてくれたら，目をつぶってもいいな，なんて思ったりもしています．

 

こんにちは，五十嵐です．金曜日．今回は「なりすまし」のお話．

今までこのブログで二回取り上げてきたのでおなじみとなった(つもりの)「仮面ライダーカブト」ですが，既に 32 話まで放映され，後半部に入っています．

• 「TGIF: 『空想プロジェクトマネジメント読本』と『スタートレック指揮官の条件』」 (2006/04/28)
• 「TGIF: 仮面ライダーカブト」 (2006/05/12)

謎の生物 「ワーム」 が人間に 擬態 するということは以前にも書きましたが，自分がワームであるということを知らずに人間として生活していることがあるようです．こうなると，もう，どちらが本物かわからなくなってしまいます．

ここまで極端でなくても，他人になりすますということは計画的にやれば，意外と簡単に出来てしまうのではないかと思っています．一番身近な例では自動車の運転免許証でしょうか．

現在の日本社会では，最初に持つ写真付の ID は学生証でしょうけれど，大人になってからもずっと通用する ID はおそらく運転免許証でしょう(パスポートという可能性もありますが．．．)．この運転免許証を持っていない人を狙って，その人になりすまして免許を取ってしまえば，一生，他人の ID で生活することが可能になります．そのためには住民票や戸籍抄本などを入手する必要がありますが，これが以前は簡単に手に入りました．

運転免許証を取得するときには，その写真の人が確かに本人であるという証はどこにもないのです．これは本当に怖いことですが「社会」という信頼の輪の中でなんとか成り立っているものです．なりすまされた，つまり他人に運転免許を勝手に取られた人は，自分が免許を取る時になって初めて問題に気づくのです．管理している側もその時まで事実を知らないのです．ひょっとすると，なりすました本人も自分が他人の免許を取っていることにすら気づかないということもありえないわけではありません．自分が人間だと信じている ワーム のようです．

自分が自分であることを最初に証明する方法は何なのか．生まれてすぐに DNA 登録でもするようになるのでしょうか．
「仮面ライダーカブト」 を見ながら，そんなことを考えてしまいました．

"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です．本当は全部目を通してから紹介すべきでしょうけれど，たくさんあって読みきれないので，まずはご紹介．

• 政府機関統一基準適用個別マニュアル群 (2006/09/11 NISC)

たくさんあります．

• DM2-01 政府機関統一基準で定める責任者等の役割から見た遵守事項一覧 [PDF]
• DM2-02 人事異動等の際に行うべき情報セキュリティ対策実施規程 策定手引書 [PDF]
• 人事異動等の際に行うべき情報セキュリティ対策実施規程 雛形 [PDF]
• DM2-03 違反報告書に関する様式 策定手引書 [PDF]
• DM2-04 例外措置手順書 策定手引書 [PDF]
• 例外措置手順書 雛形 [PDF]
• 例外措置申請・終了報告書に関する様式 策定手引書 [PDF]
• 例外措置申請・終了報告書 [PDF]
• DM2-06 自己点検の考え方と実務への準備 解説書 [PDF]
• DM2-07 情報セキュリティ監査実施手順 策定手引書 [PDF]
• DM3-01 情報の格付け及び取扱制限に関する規程 策定手引書 [PDF]
• DM3-02 情報取扱手順書 策定手引書 [PDF]
• 情報取扱手順書 雛形 [PDF]
• 機密性３情報印刷書面管理表に関する様式 策定手引書 [PDF]
• 機密性３情報印刷書面管理表 [PDF]
• 機密性３情報移送・提供許可申請書に関する様式 策定手引書 [PDF]
• 機密性３情報移送・提供許可申請書 [PDF]
• 機密性２情報移送・提供届出書に関する様式 策定手引書 [PDF]
• 機密性２情報移送・提供届出書 [PDF]
• DM4-01 情報システムにおける情報セキュリティ対策実施規程 策定手引書 [PDF]
• 情報システムにおける情報セキュリティ対策実施規程 雛形 [PDF]
• DM5-01 庁舎内におけるＰＣ利用手順 ＰＣの取扱編 策定手引書 [PDF]
• 庁舎内におけるＰＣ利用手順 ＰＣの取扱編 雛形 [PDF]
• DM5-02 庁舎内におけるクライアントＰＣ利用手順 電子メール編 策定手引書 [PDF]
• 庁舎内におけるクライアントＰＣ利用手順 電子メール編 雛形 [PDF]
• DM5-03 庁舎内におけるＰＣ利用手順 ウェブブラウザ編 策定手引書 [PDF]
• 庁舎内におけるＰＣ利用手順　ウェブブラウザ編 雛形 [PDF]
• DM5-04 モバイルＰＣ利用手順 策定手引書 [PDF]
• モバイルＰＣの利用手順 雛形 [PDF]
• DM5-05 サーバ設定確認実施手順 ウェブサーバ編 策定手引書 [PDF]
• DM5-06 電子メールサービス提供ソフトウェアのセキュリティ維持に関する規程 策定手引書 [PDF]
• 電子メールサービス提供ソフトウェアのセキュリティ維持に関する規程 雛形 [PDF]
• DM6-01 機器等の購入における情報セキュリティ対策実施規程 策定手引書 [PDF]
• 機器等の購入における情報セキュリティ対策実施規程 雛形 [PDF]
• DM6-02 外部委託における情報セキュリティ対策実施規程 策定手引書 [PDF]
• 外部委託における情報セキュリティ対策実施規程 雛形 [PDF]
• DM6-03 ソフトウェア開発における情報セキュリティ対策実施規程 策定手引書 [PDF]
• ソフトウェア開発における情報セキュリティ対策実施規程 雛形 [PDF]
• DM6-04 府省庁外の情報セキュリティ水準の低下を招く行為の防止に関する規程 策定手引書 [PDF]
• 府省庁外の情報セキュリティ水準の低下を招く行為の防止に関する規程 雛形 [PDF]

うへっ，読むの大変．

こんにちは，五十嵐です． 「五十嵐さんのブログはブログウォッチャーの間ではちょっと有名らしいですよ」なんておだてられたもんだから，気をよくしているんですが，それにしても閲覧数はそんなに伸びるわけでもなく， 「はてな」のブックマークでも特に注目されているわけではないようで．．．まぁ，お世辞でも見てくれる人がいるという実感があるというのはいいものですね．

さて，業務とプライベートの中間くらいのスタンスで，TCSEC の通称 「タンブック」を訳しています．実際に訳したのは昨年の夏なのですが日本セキュリティマネジメント学会セキュア OS 研究会のみなさんに叩いていただいて，現在校正中です．近いうちに公開できると思います．

この 「タンブック」というのは随分古いもので，米国 DoD (国防総省) がコンピュータシステムのセキュリティレベルを定めた TCSEC (Trusted Computer System Evaluation Criteria, 1985 年改定) に付随する "A Guide to Understanding Audit in Trusted Systems" の通称です．TCSEC は既に廃止となっていますが，現在の評価制度 "Common Criteria" を理解するうえでは格好の勉強材料です．

タンブックはその中でも 「監査」 の部分を補足しています．コンピュータシステムの中でどのようにログを扱い残すべきかという提案も記述されています．いわゆる J-SOx 法も成立しましたから，今後も監査証跡としてのログなどが重要になっていきます．

公開したらまたお知らせします．

 

こんにちは，五十嵐です．前国会で成立した改正住民基本台帳法が 11 月に施行になるとか，経済産業省が公募していた 「脆弱性関連情報流通の枠組み構築事業（ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究）」 の受託先が三菱総研になったとか，総務省の 「ユビキタスネット社会の制度問題検討会報告書」 や 「ｕ－Ｊａｐａｎ推進計画２００６」 ，NISC の 「政府機関統一基準適用個別マニュアル群」 などなど，取り上げたい話題はたくさんありますが，本日はパスポートの電子申請の廃止について書いてみます．

• 旅券ネット申請　廃止 (2006/08/27 YOMIURI ONLINE/読売新聞)
• パスポート電子申請の停止について (2006/08/31 外務省)

やめちゃうんですか．．．たった 3 年で終わりですか．．．
YOMIURI ONLINE の記事を見ると，一冊あたりの費用が 1600 万円ということなので，それは高すぎるとは思うのですが，しかし，そもそも電子申請でないときには一冊あたりにかかる発行費用はどのくらいだったのでしょうか．

日本国民のパスポートの保有率はどのくらいなんでしょうね．有効期間が 10 年だとすれば，直前に取得した人が次に申請を行うのは平成 24 年ですよね．たった 3 年でやめてしまうのもどうかと思います．

赤字だからやめちゃうというのは民間のビジネスでは当然のことですが，赤字だからこそ国がやらなくちゃいけないものもあります．パスポートの電子申請がそうだといいたいわけではありませんが，これを始めるにあたって，どのくらいの赤字を見込んでいて，何年間でどのくらい普及すると予測していたのか．ギャップフィルの対策はどうだったのか．本当に今後も赤字解消の見通しがないのか．そういう報告書も添付されずに，財務省に言われたからやめますという風に読める外務省のホームページは説明不足も甚だしい．

やめるにせよ，続けるにせよ，納得のいく説明が欲しいし，それを自分で探さないと見られないような掲載の仕方を見れば，外務省自体の「電子申請」という IT 利用意識が低かったのではないかと疑ってしまいます．

本人確認のための住基カードにしたところで，総務省と一緒になって普及策を進めるべきところを単独で進めているようにしか見えませんし．カード読み取りの専用機器を無料(に近い費用で)配るくらいの作戦を取らなきゃ，パスポートの電子申請のためだけに機器を購入するわけがないでしょう．

使ってもいいし使わなくてもいい，じゃなくて，住基カードは強制的に全国民に持たせる，持ってないと生活に支障が出る，くらいの勢いで進めるべきだったのではないでしょうか．そうしたら，電子政府とか，電子申請，電子ｘｘといったものは，もっと安全に，もっと早く普及したのではないかと思います．

こんにちは，五十嵐です．私が以前から重視しようと書いているソフトウェア (tPod) の使い勝手は 「ユーザ・インタフェース (UI)」というよりも「ユーザ・エクスペリエンス (User Experience)」 というものだということを教えていただきました．

• ユーザー・エクスペリエンス (@IT 情報マネジメント用語事典)

使うことの喜びや楽しさによって，ビジネス効率を上げるという考え方．確かに私が書いていたことと同じでした．

私はこの中に 「情報セキュリティを意識させない」 ということを取り入れたいと思っています．一種の 「フール・プルーフ (Fool Proof)」ですが，安易なパスワードや暗証番号は設定できないようにする，というような目に付くことから，Cookie の有効期限を明確に設定するなど見えにくい部分まで，ユーザが考えなくても強度を高めることが出来る部分がたくさんあります．

HTTP はなぜ今でも使用されているのか．すべての通信が SSL を使った HTTPS になるだけでもセキュリティは強化されます．IPsec がもっと普及すれば．．．そういう部分が，内閣官房NISC⇒経済産業省によって提唱・開発されようとしているセキュア・プラットフォーム (セキュアVM) なのだと期待しています．

アプリケーションはその上で動くことを前提としても良いですが，それ自身で考えなければならないセキュリティがたくさんあります．それを意識せずにユーザが楽しむことが出来るインターフェース，それがユーザ・エクスペリエンスなのだと思います．

 

こんにちは，五十嵐です．私の大好きな歌手の一人に 「堀江美都子」 さんという方がいます．いわゆるアニメ歌手で 「アニメ主題歌の女王」 と称賛され， 「ミッチ」 という愛称で親しまれています．

CD が出始めた頃，ミッチはラジオ番組の中で 「世の中がレコードから CD に変わっても，私はレコードで出し続ける」 と言っていたことがあります．今ではミッチもレコードではなく CD になってしまいました．

堀江美都子さんを辱めるつもりはありません．それくらい音楽の世界では急速にアナログからディジタルへ変わっていったということを私は言いたいのです．現在も，賛否両論ある中で，あらゆるメディアがアナログからディジタルへ置き換わろうとしています．それも急速に．

ビデオテープもいずれ淘汰され，DVD に代表されるディジタルメディアにすべて置き換わっていくに違いありません．残るのは過去の資産を利用するための再生専用機だけではないでしょうか．2011 年 7 月 24 日にはテレビ放送もすべてディジタルに置き換わりますから，それがディジタル化の波のピークを迎えるときになるはずです．

アナログのモノをコピーすると雑音が入ったり，劣化したりするため，オリジナルとコピーの価値がまったく違いました．しかし，ディジタル化されると，オリジナルもコピーも区別がつきません．そこがディジタル化の良い所であり，問題点の一つです．劣化しないという恩恵を享受する側はうれしい限りですが，提供する側は著作権侵害から守る仕組みを作らなければなりません．著作権のあり方そのものを変える必要があるのかもしれません．著作権保護が出来ないがために，恩恵を受けられなくなるということは避けて欲しい事態です．

総務省が情報漏洩の対策システムを作るという話がありましたが，この仕組みがディジタルコンテンツの著作権保護にも使えるかもしれないと，ちょっと期待しています．

# 今週の TGIF はなんだかちょっと真面目 (^^)v
# タイトルはシャレで付けてみました．かなり強引．．．

"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です．IPA (情報処理推進機構)および JPCERT/CC から「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂版が 9 月 1 日にリリースされました．

• IPA
• 情報セキュリティ早期警戒パートナーシップガイドラインの改訂について (2006/09/01 IPA)
• [PDF] 情報セキュリティ早期警戒パートナーシップガイドライン（2006年改訂版) (2006/09/01 IPA)
• [PDF] ガイドラインの変更点 (2006/09/01 IPA)
• JPCERT/CC
  • 情報セキュリティ早期警戒パートナーシップガイドラインの改訂について (2006/09/01 JPCERT/CC)
  • [PDF] 情報セキュリティ早期警戒パートナーシップガイドライン(2006年改訂版) (2006/09/01 JPCERT/CC)
  • [PDF] ガイドラインの変更点 (2006/09/01 JPCERT/CC)

それほど大きな変更点はありませんが，重要インフラに医療，水道，流通などが含まれたことや JPCERT/CC の動きが変更になっています．

関係者の皆様には一度目を通しておくことをお勧めします．また，SI事業者やソフトウェアベンダー各社は当事者になる可能性がありますので，他人事ではありません．Web サイト運営者への啓発も必要となります．

初期の JEITA のガイドライン ( 「製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン」 ) の作成と JISA のガイダンス ( 「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス」 ) の作成には私も参加していましたが，今は私も離れています．日立の小林さんが IPA の人になっていたんですね．メンバー表を見て，驚きました．

弊社にも U-CSIRT があります．立ち上げ初期には私も事務局メンバーに入っていたのですが，今はどうなってるんだろう(笑

【参考ブログ】
「脆弱性関連情報取扱ガイダンス(JISA)」 (2005/10/19 Tyzoh ブログ)

 

こんにちは，五十嵐です．tPod プロトタイプのヘビーユーザです．いろいろ使ってみて，ISMS の情報資産管理に使えそうな気がしてきました．

サーバ集中管理なので個人 PC で保管することはありませんし，ラベルに「社外秘」とつけておけば，社外秘のファイルがいくつあるのか簡単にわかります．ここにアクセス権限との連携で「ラベル」と「レベル」を関係付けられると良さそうです．ラベル＝レベルの変更権限などについても考慮･対策が必要です．

tPod はファイルをどんどん放り込んでしまえ(タコツボ)という発想から始まっていますから，ローカル PC からファイルを一掃することが出来ます．そうなれば，作りかけの資料や，どうしても手元に置かなければならないようなファイル以外は，サーバ側で一括管理されることになります．thin クライアントなどと組み合わせるとより強力になりますし，ISMS のように情報資産目録を作ったり，監査証跡を残すためのツールとして，有効活用ができそうです．

ISMS だけでなく，オペレーショナル・リスクへの対応など，内部統制のツールとしても使えそうな感じがします．Web サービスとして提供できれば，他のサービスと連携したり，もっといろいろと発展しそうです．

 

こんにちは，五十嵐です．9 月になっても残暑が続きます．台風は日本をそれて行ったようですが，各地では影響はなかったでしょうか．

先日から tPod の使い勝手の向上ということで，sato さんにわがままを言って，ファイルを放り込むためのクライアントを作ってもらいました ( 「TIGF:Desktacop」 (2006/09/01 Tyzoh ブログ) 参照) ．
私の要求は以下の通り(優先順位順)．

1. 窓に放り込んだら tPod (サーバ) に登録される．
2. クライアントを通して登録したファイルを，あとでまとめて (一括ではなくて連続操作でそれぞれに) ラベル付けができる．
3. クライアントソフトウェアは単独で使用可能 = 実行形式で，他に Java とかインストールしなくて良い．
4. 設定が簡単
5. インストールが簡単．

プロトタイピング・フェーズなので，インストールとか設定などの面倒さは後回しでいいですが，公開時にはこれが簡単じゃないと，どんなにすばらしいものでも使ってもらえないかも，と思ってます．要するに，インストールや設定も UI が大切．中で泥臭いことをやってても，それをユーザに気づかせないということ．

あとはセキュリティ．暗号化通信はデフォルトなのでいいのですが，クライアント認証の秘密鍵のパスフレーズ管理(随時入力だろうなぁ)や，場合によっては一定時間ごとのパスワード入力など．ウィルス感染時のファイル漏洩防止策も大切．P2P ではなく，集中管理方式ですけれど，感覚的には Winny のような問題も考慮する必要がありそうです．

ブラウザ上のインタフェースは Google 提供の Picasa2 みたいなのがあるといいかも．tPod デスクトップとか．

とりあえず，言うだけは言ってみる．

こんにちは，五十嵐です．ずいぶん前に書いた「脅威」の分類の表を見つけたので，公開しておきます．

• 環境的脅威
  自然災害などの脅威
• 人為的脅威
  人間の行為によって発生する脅威
• 偶発的脅威
  プログラムのバグなど，意図せずに発生してしまう脅威
• 故意(意図)的脅威
  ウィルスなど，目的を持って発生する脅威

• 能動的脅威
  自らが行動を起こすことで発生する脅威
• 受動的脅威
  何もしなくても被害を受ける脅威

JIS X 0036(ISO/IEC 13335-3)(通称 GMITS)での脅威の分類の例を表にしたものです．(JIS 見れば済むんですけどね ^^;)

脅威	D(故意的)	A(偶発的)	E(環境的)
地震			○
洪水	○	○	○
台風			○
落雷			○
争議行動	○	○
爆破行為	○	○
武器の使用	○	○
火事	○	○
故意の損害	○
停電		○
断水		○
空調故障	○	○
ハードウェアの故障		○
電力の不安定		○	○
極端な温度および湿気	○	○	○
ほこり			○
電磁波放射	○	○	○
静電荷			○
盗難	○
記憶媒体の不正使用	○
記憶媒体の劣化			○
操作員のエラー	○	○
保守のエラー	○	○
ソフトウェアの故障	○	○
不正なユーザによるソフトウェアの使用	○	○
不正な方法でのソフトウェアの使用	○	○
ユーザIDの偽り	○
ソフトウェアの違法な使用	○	○
悪意のあるソフトウェア	○	○
違法なソフトウェアの輸入／輸出	○
不正なユーザによるネットワークへのアクセス	○
不正な方法でのネットワーク設備の使用	○
ネットワーク構成要素の技術的障害		○
送信エラー		○
回線の損傷	○	○
トラフィックのオーバーロード	○	○
盗聴	○
通信への侵入	○
トラフィック分析	○
メッセージの経路選択の誤り		○
メッセージの経路変更	○
否認	○
通信サービス(ネットワークサービス)の障害	○	○
スタッフ不足		○
ユーザのエラー	○	○
資源の誤用	○	○

こんにちは，五十嵐です．金曜日です．しかも1日なので東京では映画の日です．今日はとっとと帰って映画を見に行こうと思っています．

シネコンプレックスなどでは，入り口一つに映画スクリーンが複数というところがあり，中に入ってしまうと違うチケットで続けて他の映画を見ようと思えばできてしまうところがあります(犯罪です)．米国では学生がよくそういうことをしているという話を聞きました．

こういうときに IT をうまく利用できないかと考えてしまいます．チケットを持っていることを認識することは簡単にできそうですが，チケットを持っていないことを認識するのはどうでしょう．

一つの方法は JR のスイカやイコカのような交通系のゲートを設けることでしょう．これならばチケットを持っていない人は入れないという仕掛けができます．

もうちょっとがんばって，チケット(タグ付)などを持っていない人が入ってくるのを認識するという方法もあります．セキュリティショーなどに行くと既に展示されているので，実用化されているようです．

情報セキュリティ屋さんとしては二番目の方法は魅力的ですが，費用は一つ目の方が安くつくような気がします．あくまでも「気がする」ということで，実際にどのくらい違うのかは調べていませんが．


米国では周回遅れの(つまり，最新ではない)映画を安く見せてくれるところがたくさんありました．日本でも「名画座」というような古い映画を見せてくれるところはありますが，一斉上映時期が過ぎた映画をちょっとだけ遅れて見せてくれるところはまだまだ少ないようです．500円ワンコインくらいの値段にして，少し遅れた映画を上映してくれれば，かなり儲かりそうに思うのですが，そうでもないんですかね．レンタル料金よりもちょっとだけ割高だけど大きなスクリーンで見られる，くらいの感覚なら映画館に見に行く人は多そうな気がしますけどねぇ．．．儲けはグッズの方で．．．

あ，情報セキュリティの話ではなくなってしまいました．ま，TGIF だから，いいか

"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

ここ最近，"TGIF" に類似した "tgif" や "TIGF" が出回っています．類似品には十分にご注意ください．

こんにちは，五十嵐です．金曜日ですが TGIF ではない記事も(本日二つ目)．tPod 関連です．

現在の tPod の検索インターフェースは左の図のようになっています(検索キーワードを少し黒塗りする必要があったために，汚くなっていますがご容赦ください)．検索窓があって，指定した言葉が含まれるファイルの一覧を表示してくれます．αバージョンというか，まだまだαバージョンの手前くらいの感じですけれど，sato さんが私からの要望に応えてくれているので，(私にとっては)だいぶ使いやすくなってきました．

フレームで分かれている点はちょっと不満ですが，パフォーマンスの関係でいまのところ仕方がないそうです．キーワードが並んでいますが，これはユーザが勝手につけたもので，すべてのユーザのキーワードが並んでいます．

検索窓にこれらのキーワードを入力して検索すると，キーワードだけではなく，本文にその言葉が含まれるものも表示されます．この例では「セキュリティ」というキーワードで検索してみました．

ファイルにはキーワードを自分でつけられるのですが，一覧にはそれが表示されていません．つけられたキーワードを見ることが出来たり，絞り込んだりできるともっと良いのですね．つまり，検索窓に AND でキーワードを追加するだけではなくて，一覧で表示されているファイルについているキーワードだけを表示するようになると，キーワードによる絞込みがかなり楽になりそうです．
ただし，これには一長一短があって，本文にキーワードが含まれている場合には，逆に不便になります(意味がわかりますか？)．

tPod を使っていると意外なファイルを「発見」することがあります．「探索」の過程が面白いという方もいらっしゃるようですが，私は過程よりも結果としての「発見」が楽しいです．ディスカウントストアで山のように積み上げられた商品の中から思わぬものを見つける感覚に似ています．この「発見の楽しさ」が tPod 成功の鍵になるのではないかと思っています．

インターフェースに対するもう一つ大きな要望としては，「自分のページ」「マイページ」の感覚が欲しいところです．体裁を自分でカスタマイズしたい．CSS で体裁を分離してもらって，それを登録できるようになれば，とってもうれしいです．