V.S.A. III

こんにちは，五十嵐です．とあるサイトを訪れたら，ブラウザのウィンドウでのポップアップではなく javascript でテキストをポップアップのようにして広告が表示されました．これも Web2.0 というのでしょうか．

ブラウザが対応して，ポップアップは IE でも Firefox でも禁止できるようになっています．それに対抗するようにして，テキスト画面をポップアップのようにして表示する手法を使っていました．そこには「閉じる」のリンクがあったのですが，情報をポストするような仕組みになっていたので，そのページそのものを閉じました．

ウィンドウのポップアップが使えなくなってきたので，これからはこういう Ajax 風の手法が流行るのかもしれません．ブラウザの方でも対応しなくてはいけないかもしれませんね．Web 2.0 もいいことばかりではないようです．

 

こんにちは，五十嵐です．Microsoft 社の Internet Explorer 7 で早くも二つの脆弱性が見つかっています．

• 早くもIE 7の脆弱性指摘 (2006/10/19 ITmedia エンタープライズ)
• IE 7でまた脆弱性報告 (2006/10/26 ITmedia エンタープライズ)

Mozilla Firefox 2.0 でも早くも脆弱性が見つかり，IE7 でも脆弱性がみつかり，なかなか厳しい状況ですね．こういう脆弱性は本当にどうしてなくならないのでしょうか．

プログラマはセキュアなコーディングをしなければならないとわかっていても，チェック漏れがあったりするのでしょう．C 言語で strcpy() を使うとワーニングがでるようにするといったコンパイラサイドでの対応も必要なのではないかと思います．

本当に安心して使えるブラウザが出てくるのはいつになるんでしょう．．．

【2006/11/01 追記】

• IE 7に新たな問題--ポップアップウィンドウが改ざんされるおそれ (2006/10/31 ZD Net Japan/CNET News.com)
• IE 7に3度目の脆弱性報告――過去に報告済みの問題とMS (2006/10/31 ITmedia エンタープライズ)
• 「IE 7の脆弱性」認識めぐりSecuniaがMS批判 (2006/11/01 ITmedia エンタープライズ)
• さっそく「Firefox 2.0」の脆弱性を指摘する声も--モジラは反論 (2006/10/26 ZD Net Japan/CNET News.com)

 

こんにちは，五十嵐です．「009-1 (ゼロゼロナインワン)」 というアニメーションがあります．ご存知かと思いますが，石ノ森章太郎さんの 「009 ノ一 (ゼロゼロくのいち)」 が原作です．

私は原作は読んでいませんが，忍者の 「くノ一」 にかけた女性スパイの話ということだけ知っています．
「くノ一」 だからタイトルに意味があったのに， 「ゼロゼロナインワン」 ではせっかくのしゃれが．．．なんで変えちゃったんですかねぇ．

イースト・ブロックに潜入して諜報活動を行うウエスト・ブロックの女性スパイが活躍．009-1 のほかに 009-2, 009-3... といった女性スパイたちがいます．彼女たちは全員サイボーグ．ちょっとした戦闘ならちょちょいのちょい，って感じです．釈由美子さんが主人公 009-1 の声優をしているというので，その面でも話題になっているようです．

日本で暗号があまり盛んではないのは，日本政府に CIA や MI6 のような諜報機関がないからだと思います．様々な国で，国が暗号を管理，開発，促進するような体制をとっているのは，軍事的な理由からだと言われています．日本には軍隊はありませんが，自衛隊があります．もちろん，自衛隊も暗号を研究しているようですが，民間に任せておけばよいという理由で予算がなかなかとれないと聞きました．

日本でも国を守るために諜報機関を持ち，暗号をきちんと管理して，もっと盛んに研究開発されればいいのにと思っています．内閣官房情報セキュリティセンター (NISC) も作られていますが，もっと国防という点から暗号に取り組んでもいいのではないかと思っています．(IPA ががんばっているようですけど)

「009-1」 のように女性だけのスパイ軍団がいたら，男性研究者はがんばりすぎちゃうかも


"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です． 「JPCERT/CC 創立 10 周年記念シンポジウム」 にお呼ばれしてきました．内容を簡単にご紹介します．

「JPCERT/CC 創立 10 周年記念シンポジウム ～安全なインターネット社会の確立に向けて～」
(写真は懇親会でいただいた記念の枡です．)

• 主催者挨拶： 歌代 和正 JPCERT/CC 代表理事
  10/1 で 10 周年を迎え，今までの 10 年を振り返り，これからの JPCERT/CC のあり方を考えて行きたいというお話でした．1996 年の創立の前に JEPG/IP の中で活動が始まり，1996 年に創立，2003 年に法人化，2004 年 6 月に歌代さんが代表理事に就任したということでした．
  
• 来賓挨拶：肥塚 雅博 経済産業省 商務情報政策局 局長
  新しいセキュリティ問題が起きている中，大きなセキュリティシステムの問題だけでなく，身近な問題への対応が必要．セキュリティ事故は起こるものだという前提に立ち，今後も要としての JPCERT/CC に期待しているというお話がありました．
  
• パネルディスカッション 1: 「インターネットインシデントと社会のこれから」
  • パネリスト
    • 村井 純 慶應義塾大学常任理事 兼 慶應義塾大学環境情報学部 教授
    • 山口 英 奈良先端科学技術大学院大学 情報科学研究科 教授
  • コーディネーター
    • 歌代 和正 JPCERT/CC 代表理事
  
  かつては世界的にも電話で知人同士が連絡を取ってワームなどに対応できた牧歌的な時代だったが，組織的な対応が必要と考えて JPCERT/CC を作ることを考えた．
  
  山口さんからは使用する目的があってそこに説明があれば，一般消費者でもちゃんと説明を読むのだから，それを応援する仕組みを JPCERT/CC で考えて欲しいという話がありました．
  
  村井さんからは今までの 10 年を続けてきた人たちに経緯を表するとともにこれからも続けて欲しいという話がありました．また，インターネットの通信経路をみると，日本は世界的に最西の国になるので，ロシアに線を作るなりして米国との線が分断されても通信が確立できるようにしたいという話がありました．
  
  
• パネルディスカッション 2: 「国際連携と各国状況」
  • パネリスト
    • Jeff Carpenter, CERT/CC Technical Manager
    • Woo Han Kim, Vice President of KISA, Head of KISC(KrCERT/CC)
    • Patrick Jiang, CNCERT/CC Duputy Director
  • コーディネーター
    • 伊藤 友里恵 JPCERT/CC 経営企画室業務統括
  
  伊藤さんから JPCERT/CC の必要性(日本の窓口，情報のハンドリング，コネクションのない国との信頼関係構築，民間 CSIRT 設立の手伝いなど)の説明の後，各国の状況の話がありました．
  
  Carpenter さんからは，JPCERT/CC がアジア･パシフィックの重要なメンバーであり，米国における日本のベンダーとのコミュニケーションの協力やマルウェアの国際的な解析の取り組みについての話がありました．
  
  Kim さんからは，KrCERT/CC が即時対応と防御・予防に力を入れているという話がありました．また，日本と韓国は政治的な課題を抱えているため，韓国-日本間の攻撃があるため JPCERT/CC と連携する必要があるという話も印象的でした．
  
  Jiang さんからは，CNCERT/CC は 2000年に設立したばかりだが，アジアパシフィックの国際連携に今までも参加し，これからも参加していくという話がありました．韓国と同様に歴史的な理由で常に国境を越える問題が起きているが，中立な立場で緊密な関係を維持していくという話でした．
  
  それぞれ，Information Object Format (情報交換の標準フォーマット)のプロジェクトやトラフィック･モニタリング，国際的な演習に参加してきたということでした．
  
• パネルディスカッション 3: 「これからを考える」
  • パネリスト
    • 高橋 正和 インターネットセキュリティシステムズ株式会社 最高技術責任者 エグゼクティブセキュリティアナリスト
    • 小山 覚 NTT コミュニケーションズ株式会社 第二法人営業本部 エンジニアリング部 企画戦略部門 部門長
    • 宮地 利雄 日本電気株式会社 IT 戦略部 シニアマネージャー
  • コーディネーター
    • 早貸 淳子 JPCERT/CC 常務理事
  
  宮地さんは IT ベンダーの立場で，2000年を境とする前後の状況を話されました．不具合と脆弱性や仕様と脆弱性をどのように区別するのか，SI 事業者の作業負担の問題などを課題として挙げられていました．
  
  小山さんは通信事業者の立場でお話され，JPCERT/CC には大企業や省庁などとうまく連携して安全なインターネットを作ってほしいということでした．
  
  高橋さんはセキュリティベンダーの立場で，この 10 年のイベントとそれに対応してどのようなソフトウェアが登場したかというお話をされました．これからは CSIRT (Computer Security Incident RESPONSE Team) ではなくて CSIPT (Computer Security Incident Prevent/Protect Team) が必要ではないかという話がありました．
  

記念シンポジウムの終了後，懇親会の準備の間に JPCERT/CC の F さんによるマジックの披露があり，なかなか楽しめました．懇親会では久しぶりにお会いできた方々ともお話ができ，楽しいひと時を過ごさせていただきました．10 周年記念の配布資料で歌代さんが書かれた「立ち上げのころの話」も面白く読ませていただきましたし，その表紙に写真で写っているのが知っている顔ばかりでなんとも微笑ましい限りでした．最後になりましたが，JPCERT/CC 創立 10 周年おめでとうございます．ご招待いただきありがとうございました．

追伸： 懇親会の後で某 IT 氏に誘われて飲み会に行きましたが，パネラーだった小山さんと高橋さんがあんなことやこんなことになっていたのは秘密です．

 

こんにちは，五十嵐です．携帯電話の番号ポータビリティの制度 (MNP: Mobile Number Portablility) がいよいよ開始されましたね．

• 携帯番号持ち運び制スタート　３社争奪戦いよいよ本番 (2006/10/24 asahi.com)
• ソフトバンク　加入者間の通話、ショートメール無料に (2006/10/23 asahi.com)

ソフトバンク社がなんかやってくれるだろうと思っていたら，昨日，通話とショートメールの無料を発表しました．孫社長自身がインタビューに答えて「予想外の」と言っていましたが，私にとっては予想通りでした．いろいろと条件があるようですし． 「やっぱりね」 と思った方も多いでしょう．

現在，私はボーダフォン (現ソフトバンク) の携帯電話を使っていますが，他社に乗り換えてもあまり費用負担は変わらないと試算しています．ということは，やはり使い勝手やサービスに依存するので，ソフトバンク社の料金以外のサービスが今のままだとすれば，いずれ乗り換える可能性は高いと思っています．まだ即決するには至っていませんけれど．．．

やはり，ユーザの満足度の問題だと思うのです．Yahoo! BB と同様に価格破壊で来ても，携帯が個人ツールの中心となっている以上，微妙な価格の範囲であれば，使い勝手がよいものを選びたいですよね．シャープも au に機種を出してきましたし．．．(私は携帯電話に関しては，結構シャープ贔屓です )


ところで， MNP といえば，昔はモデムの Micorocom Networking Protocol 対応のことだったんですけどねぇ．

 

こんにちは，五十嵐です．Microsoft 社の Internet Explorer 7 と Mozilla Firefox 2 がリリースされるようですね．

• マイクロソフト、IE 7英語版を正式リリース。数週間以内に各国版も提供へ (2006/10/19 COMPUTER WORLD.JP)
• 「Internet Explorer 7」の英語版が正式リリース (2006/10/19 INTERNET Watch)
• Microsoft releases Internet Explorer 7 (2006/10/19 SecurityForcus)
• New Internet Explorer and an old vulnerability (NEW) (2006/10/23 SANS)
• Firefox 2 のリリース候補 (RC3) を開発者およびテスター向けに公開中 (2006/10/17 Mozilla Japan)
• 「Firefox 2」正式版リリースは日本時間10月25日早朝 (2006/10/23 INTERNET Watch)

IE7 の日本語版は数週間のうちに出てくるだろうということですし，Mozilla Firefox の正式リリースもまもなくですので，その日本語版も近いうちに使えるようになるでしょう．二つの日本語版がほぼ同時期にリリースされそうです．

いずれもセキュリティ面をかなり強化しているようです．私はやはり Firefox をメインに使っていく予定ですが，IE を使う場面もあると思いますので，どちらもよく見ていかなければならないと思います．Firefox2 RC3 ではすでに Exploit Code がある(1.5.0.7 にも通用するらしい)という話もありますので，正式版でどうなっているか．．．

 

こんにちは，五十嵐です．SF マガジン 2006年 11 月号に神林長平さんの「戦闘妖精 雪風」シリーズの「雪風帰還せず＜前編＞」という小説が載っています．このブログのタイトルはしゃれでつけてみました．深い意味はありません（＾＾；）

# いわゆる「ツリ」ですな．釣られたみなさん，ごめんなさい ｍ（_ _）ｍ

神林長平さんは私が好きな小説家の一人です．その作品群の中でも「戦闘妖精 雪風」というシリーズは欠かさず読んでいます(注)．内容を非常に簡単に書くと，「ジャム」という正体不明の敵と地球人類との戦いを描いたもので，「雪風」は「ジャム」と戦う最新鋭の戦闘機の一機につけられた名前です．この小説が好きな人のほとんどは，設定もさることながらこの「雪風」という戦闘機に魅せられているのだと思います．本当はもっと魅力的な小説なのですが，語りだすと止まらなくなりそうなので，紹介は簡単に．．．早川書房から単行本が出ていますし，文庫にもなっているので是非読んでみてください．

ところで，この「ジャム」との戦いは地球上ではなく別な場所で繰り広げられています．そのため，ほとんどの人類はこの戦いをあまり意識せずに過ごしています．リン・ジャクスンというジャーナリストが一生懸命に「ジャム」の怖さを訴えていますが，脅威として捉えている一般人は非常に少ないのです．この状況は「情報セキュリティ」の世界に似ていると思いませんか．

様々な人たちや企業，組織が声を大にしてウィルスやファイル共有ソフトの怖さを訴えているにもかかわらず，未だに情報漏えいの事故などが後を絶ちません．情報セキュリティ屋さんが一生懸命戦っているのに，それがどこまで一般の人々に伝わっているのか．．．

ガバナンスだ内部統制だと叫んでも，結局一人一人に伝わっていないのではないかというあきらめ感がないわけでもありません．このブログも業界の人しか読んでいないのかも，と思うとちょっと残念です．といっても，内容が内容ですからね(内容が「無いよう」かも．．．)．仕方がないかもしれません．

「雪風帰還せず」の後編は SF マガジン 2007 年 1 月号の予定だそうです．どうやら，ハニーポットの話になりそう．期待大です．


注： 市販された神林さんの小説は基本的に全部読んでます！
神林さんが好きな方は私が以前書いた「TGIF: 脳は借り物？ 現実の神林ワールド化」も併せてどうぞ．

"TGIF" とは，"Thank God, It's Friday!" の略．「花の金曜日」略して「花金」(笑) 毎週金曜恒例のお遊び/オタクモードです．

こんにちは，五十嵐です．マイクロソフト社が社内のプライバシー･ガイドラインを公表したというので注目しています．

• マイクロソフト、顧客のプライバシー保護のための社内標準を発表 (2006/10/18 COMPUTERWORLD.JP)
• Microsoft、プライバシーガイドラインの提供開始 (2006/10/19 ITmedia News)
• Privacy Guidelines for Developing Software Products and Services (2006/10/16 Microsoft Download Center)

COMPUTERWORLD の記事では今までのマイクロソフト社のマイナス面を取り上げて今回のガイドラインの公表についても否定的に書かれているように見えます．しかし，私はこれはすばらしいことだと思っています．

自分の会社を振り返ってみれば，確かにこうしたガイドラインのようなものはあるけれど，社外秘になっていて公開することは出来ません．なぜ社外秘にするのかという点についてはいろいろと議論があるようですので，一概に否定はしませんが，マイクロソフト社のように思い切って公開するということはすぐにはできないでしょう．

自社に限らず，こうしたガイドラインはどんどん公表し，どんどん叩いてもらうといいと思います．そしてそれが公開するに値するものなら，会社自体の評価も上がるはずなのです．情報セキュリティ・ガバナンスの報告書だけでなく，こうした社内のガイドラインも，もっと様々な会社が公開して欲しいと思います．

社内のやり方が正しいと信じるのであれば，公表して，株主をはじめとする投資家の皆さんにもっと見てもらえばいいのに，というのは短絡的な考え方でしょうか．

 

こんにちは，五十嵐です．みなさん，パスワードってどうしていますか？ 色々なサイトのログインや社内のシステムのログインなど，パスワードを求められる機会は非常に多く，それぞれにパスワードを変えていると覚え切れませんよね．

• パスワードをメモる社員は3分の1――米調査報告書 (2006/10/18 ITmedia エンタープライズ)

これだけパスワード入力の機会が多くなってくるとメモするのも当然という気がしていますが，問題はその管理方法です．私はメモすること自体が悪いとは思いません．むしろ，3分の1 しかメモしていないということに驚きを感じます．

この記事で焦点を当てなければいけないのは，メモしている3分の1の人たちのうち，その3分の2が PC などにテキストベースで管理していたということです．全体から見ると 9 分の2 にあたります．約 22% の人です．この人たちはもう少し危険性を考えて欲しいと思います．

さて，残りの人はどうしているのでしょうか．メモしていない人たちが 3分の2 だそうですが，私にはちょっと信じられません．米国の話ですが，日本でも大きくは違わないのではないでしょうか．この人たちは覚えられる範囲でのパスワードを使いまわしているか，最悪はひとつのパスワードで済ましているということなのではないかと思っています．こちらの方がむしろ怖い話です．

パスワードを紙に書いても構いません．その紙を自分の手の届くところに管理するということが大切なのです．ひとつのパスワードでなんでもかんでも済ましてしまうよりも，それぞれを手帳に書いて，その手帳を厳重に管理する方がより安全です．もちろん，その手帳をなくしてしまったら，という危険性はついて回りますが，パソコンでテキストで管理するよりはずっと安心です．

ついでに，パスワードを書いた手帳の中身はバックアップしておくこともお勧めします．これも厳重に管理することが前提ですが，手帳を落としてしまったら，バックアップのメモを見て，即座に書くサイトのパスワードを変えなければなりません．

正直に書きますが，私は自分が ID を持っていることすら忘れているサイトがあります．ふと思い出してアクセスしてみたら，パスワードが違っていたり．．．こんなことが起きるよりも，ちゃんとパスワードを管理している方がよっぽど危険性が少なくなります．

この ITmedia の記事の書き方には疑問ですが，パスワードはメモしてでも厳重に管理すればよいのです．

こんにちは，五十嵐です．どこの国でも情報セキュリティの実態は同じようです．米国政府の情報セキュリティ実態調査で，全省庁でデータ紛失があるという発表があったようです．

• 全省でデータ紛失あり――米政府の情報セキュリティ実態 (2006/10/17 ITmedia News)
• Government Reform Committee Releases Report on Agency Data Breaches (2006/10/13 Committee on Government Reform)

米国の方が情報セキュリティに関しては進んでいるかと思いましたが，足元の政府機関でもデータ紛失 (Data loss) が起こっているというのですから，どこもかしこもゆるゆるなんですね．

では日本はどうかというと，政府機関の情報セキュリティ評価を行っている最中です．データ紛失についての調査結果ではありませんが，政府機関評価指標専門委員会の資料が参考になります．

• 政府機関評価指標専門委員会 (内閣官房情報セキュリティセンター)
• 政府機関評価指標専門委員会 第１回会合（平成１８年９月２０日） (2006/09/20 内閣官房情報セキュリティセンター)
  
  • [PDF] 参考資料４ 府省庁の情報セキュリティ対策状況に関する重点検査及び評価結果
• 第２回会合（平成１８年１０月４日） (2006/10/04 内閣官房情報セキュリティセンター)

第一回会合の参考資料 4 はアンケート結果ですので信憑性については少し疑いを持っていますが，Web サーバについてはおおむね B ，端末についてはおおむね C 以下ということのようです．国土交通省の結果あたりが正直なところではないかと思うのですが，どうなのでしょう．．．

アンケートではなくて，監査で評価してみてほしいですね．

こんにちは，五十嵐です．脆弱性がわかってからその日のうちに攻撃が行われるものを 0-Day-Attack と呼びますが，1.5 時間とは．．．

• Active exploit of Open Conference Systems web application (2006/10/16 SANS Internet Storm Center)

Open Conference Systems (OCS) というのは使用したことがありませんが，注目すべきは脆弱性の公開から攻撃までの時間．BugTraq という脆弱性情報を共有する有名なコミュニティがありますが，ここで OCS の脆弱性が公開されてから 1時間半後には攻撃が確認されたという話です．0 Day Attack どころか，0 Hour Attack という感じですね．

怖いというか，なんというか．こうなってくると，ソフトウェアを作るほうも気が気ではなくなるというか．．．

開発の段階でセキュアなプログラミングをしないといかんですな．


【追記】
ITmedia にも日本語の記事がありました．

• Open Conference Systemsの脆弱性、公開から1.5時間で悪用 (2006/10/17 ITmedia エンタープライズ)

 

こんにちは，五十嵐です．明日，明後日 (10/5～10/6) のブログはお休みします．金曜日恒例の 「TGIF」 もお休みです．楽しみにしている皆さん，ごめんなさい m(..)m
# え？ 誰も楽しみにしてない？！

明日 10 月 5 日から始まるイベントに行って来ます．

• ネットワーク・セキュリティ・ワークショップ in 越後湯沢
• 同 プログラム

昨年初めて参加して，情報セキュリティ分野に携わる人なら参加必須！と思いましたので，今年も参加します．お目当ては， 「ナイトセッション」 と 「車座会議」 と 「フェアウェル・パーティ」 でして．昼間の講演はもちろんですが，夜の部だからこそという話がオフレコで聞けたりします．最後のフェアウェル・パーティーはおにぎりめあて．米どころ新潟ならではの美味しいおにぎりが食べられます．下戸なので，地ビールを楽しめないのが残念です．

このブログを読んでいる方で参加される方はいますでしょうか？ 会場でお会いできたらいいですね．ブログ読んでます，と一言声を掛けてもらえるとやりがいを感じて益々張り切っちゃいます．見かけたら，気軽に声を掛けてください．

帰ってきたらまた感想を書きます(連休をはさみますので，10 月 10 日ですね)．お楽しみに．

こんにちは，五十嵐です．IPA (独立行政法人 情報処理推進機構) が 「コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について」を本日付 (2006/10/03) で発表しました．

• コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について (2006/10/3 IPA セキュリティセンター (IPA/ISEC))

ウィルス検出数は 8 月に比べて 4.6% の減少にも関わらず，届出件数は 3.4% の増加ですから，ウィルス単位あたりの届出件数が増加しているということになります．

第三四半期の報告でも，第二四半期からウィルス検出数が 29% 減少，届出件数が2.7% 増加でほぼ横ばいですので，ウィルスあたりの届出数が 37% 増加しています．

この数字だけでは断言はできませんが，一つのウィルスの伝播範囲がより広くなっていると読むことが出来ます．実際の被害届は少ないですが，これから益々強力で息の長いウィルスが出てくる予兆かもしれません．ウィルス駆除ソフトウェアなどで自営するだけでなく，信用のできるサイトから提供されているソフトウェアを利用するようにしなければなりませんね (サイトが信用できるからといって，コンテンツが信用できるとは限らないのですが．．．)．

この報告でも触れられていますが， 「ボット」 が怖いです．ウィルスと違って明確に見えないことが多いので， PC の反応が最近ちょっと遅くなったかな，程度で終わってしまうかもしれません． 「ついこの間 Google デスクトップ入れたから，そのせいかなぁ」とか思っていて，実は 「ボット」 の影響なのかもしれません．

• 対策のしおり (2006/08/18 IPA)
  - ウイルス対策、スパイウェア対策、ボット対策、不正アクセス対策、情報漏えい対策 -
• [PDF] ボット対策のしおり ver.4 (IPA)

上のようなしおりが IPA から提供されています． 「ボット」 がどういうものかということの理解は後に回しても構わないので，第 5 章 (6 頁)の 「ボットに感染しているか確認し駆除する方法」 をまずは読まれるといいと思います．

もっとこう，画期的に住みやすい世の中 (インターネット) にならないものですかねぇ

 

こんにちは，五十嵐です．本日，JPCERT/CC (有限責任中間法人 JPCERT コーディネーションセンター) にお邪魔してきました．実は明日(10/3)伺う約束だったのですが，私がボケボケで，日を間違えたのです．忙しい中，予定外でご対応いただいてしまいました． 昼の時間に掛かったので，久しぶりにランチを外食して帰社．ピザとスパゲッティが美味しい店でした．そうそう，JPCERT/CC はこの 10 月 1 日で，設立 10 周年を迎えたそうです．おめでとうございます！

さて，日本ユニシスという会社は，グループ全体で 8,000 人規模の会社ですが，情報セキュリティの対策 (ガバナンス) はなかなか大変なようです．この規模の情報セキュリティの対策の考え方と，数十人規模の会社の考え方では，対策のとり方やリソースの確保の仕方が全く異なると思います．これを今更ながら再認識しました．

内部統制の考え方は金融商品取引法と会社法とで上場企業とそれ以外の考え方を分けています．情報セキュリティの制度ももっと規模の面で明確なわけ方をするとよいのではないでしょうか．もちろん，売上高や経常利益などにも大きく関係する話ですから，単純に人数規模だけでは分けられない面もありますが，ガバナンスが効きやすい少人数の組織とガバナンスを行うためにはそれなりの労力を要する規模の組織では行うべき対応は全く異なるでしょう．人が増えると管理面は直線的なスケールではなく，対数的なスケールで複雑化するはずです (調査したわけではありません)．やり方は一律には決められないわけです．

なぜ ISMS には具体的な方法の規定がないのか今まで不思議だったのですが，そう考えるとなんとなくわかるように思えます．ISMS のような制度は，フレームワークを提供しているのであって，情報セキュリティ対応のやり方を規定しているのではないということなのですね．今ごろ何を言っているの？と思われるかもしれませんが，私はこの点を理解できていませんでした (ちょっと大げさ )．

まだまだ勉強が必要です．．．


ところで話はがらっと変わりますが，このサイト (www.tyzoh.jp) で公開しているオープンソースソフトウェアが簡単にダウンロードできるようになったそうですので，トピックを引用しておきます．

これまで，Rinzaソフトウェアをダウンロードする場合，事前にダウンロード申請を必要としていましたが，その申請手続きが不要となりました。

「Rinza公衆使用許諾約書 第1.0版」の内容を確認の上，ご承諾いただける場合には，いつでもダウンロードすることができます。

ダウンロード可能なソフトウェアの一覧は＊こちら＊です。ご興味のあるソフトウェアがございましたら，ダウンロードの上，是非お試しください。

お時間のあるときにでも覗いてみてください．