V.S.A. III

こんにちは、五十嵐智です。2月は情報セキュリティ月間です。経済産業省が毎年行っている「CHECK PC! キャンペーン」のサイトが本日1月30日にオープンしました。

リンク: 経済産業省 CHECK PC!.

リンク: 『ＣＨＥＣＫ　ＰＣ！』キャンペーンの開始について～だから、早めこまめにＣＨＥＣＫ　ＰＣ！～（METI/経済産業省）.

経済産業省では、２月２日（月）から２月２８日（土）までの間、ポスター掲示、テレビCM、交通広告、専用ホームページ等を通じて国民に情報セキュリティ対策の重要性を訴える『ＣＨＥＣＫ　ＰＣ！』キャンペーンを実施します。
　ＩＴが国民生活・社会経済活動に深く浸透していく中で、インターネットの利用者がコンピュータウイルスへの感染、不正アクセス、フィッシング等の被害に 遭遇する危険性は高まっています。本キャンペーンは、このような被害を未然に防ぎ、安心してＩＴを利用するための意識及び知識の向上を目的としています。

リンク: [PDF] 『ＣＨＥＣＫ ＰＣ！』キャンペーンの開始について - 経済産業省.

「ＣＨＥＣＫ ＰＣ！」キャンペーンオリジナルキャラクター『セキュリーナ』の誕生
今回、「ＣＨＥＣＫ ＰＣ！」キャンペーンオリジナルキャラクターとして情報セキュリティアイドル『セキュリーナ』が誕生しました。『セキュリーナ』が中心となり、国民の皆様にわかりやすく情報セキュリティ対策の重要性を訴えていきます。

2006年：眞鍋かをり→2007年：白石美帆→2008年：上戸彩→2009年：バーチャルキャラクター「セキュリーナ」

なんてこったい．．．

リンク: V.S.A.: 2008年の情報セキュリティ大使は上戸彩.

こんにちは、五十嵐智です。ソーシャルブックマークの利用者としては、Webの各ページのURLを正規化してほしいと思っています。

具体的に言うと、

...html?ref=rss

とか、

...html?from=rss

とか、RSS 配信されたリンクからクリックした事を示すために、URL の後ろに引数などがついていることがありますが、これを無くしてほしいということです。これらの引数は、サービス提供者側の利便性やマーケティングのためにつけられたもので、サービス利用者にとっては不必要な引数です。

ソーシャルブックマークを利用していると、同じページを見ているのに、引数が異なるだけで、異なるブックマークとして認識されてしまいます。これが非常に不便なのです。

"?from=rss" といったような引数を取り除いてアドレスバーに表示させるようにすることは技術的に簡単なはずです。リダイレクトでも書き換えでもなんでもいいですから、とにかく、利用者に不必要な情報は取り去ってほしいと思います。

別な観点でみれば、"?ref=rss" などという引数をそのまま URL として返しているサイトは、利用者側の視点では全く考えていないんだなぁと言うのがバレバレです。そういう恥ずかしい思いをしないためにも、是非とも URL の正規化、利用者には不必要な引数の削除を行ってください。

ソーシャルブックマーカーからの切なるお願いでした。

こんにちは、五十嵐智です。独立行政法人情報処理推進機構(IPA)が昨今問題になっているDNSキャッシュポイズニングの対策のための資料を公開しました。

リンク: 情報処理推進機構：情報セキュリティ：脆弱性対策：「DNSキャッシュポイズニング対策」の資料を公開.

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、「DNSキャッシュポイズニングの脆弱性」の届出が多数継続していることから、これらの脆弱性対策を促進するため「DNSキャッシュポイズニング対策」の資料を2009年1月14日（火）より公開しました。

この資料は日立 HIRT の協力を得て作られているそうです。

　第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。
　第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。
　第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。
　第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。

一刻も早く DNS キャッシュポイズニングの脅威を失くすため、管理者の方がこれを参照して、速やかに対応することを望みます。

こんにちは、五十嵐智です。独立行政法人情報処理推進機構(IPA)が、1月9日、情報セキュリティ関連情報のRSSポータルサイトを公開しました。

リンク: 情報処理推進機構：情報セキュリティ：セキュリティ情報RSSポータルシステム.

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、インターネットを利用したセキュリティ情報の提供システム「セキュリティ情報RSSポータルシステム」を2009 年1 月9 日（金）より、IPA のウェブサイトで公開しました。
（URL：http://isec-rss.ipa.go.jp）

リンク: Security　RSSポータル.

RSSポータルサイトとは

■本サイトは IPA の Security iPedia の一機能として開発されました。
　ITセキュリティ情報に関するポータルサイトとしてセキュリティ分野の情報を提供します。
　広く散在するセキュリティ関連情報サイトからＲＳＳ情報を収集し、カテゴリ別に
　分類を行い最新のセキュリティ情報を提供します。
■セキュリティ情報に関する代表的なサイトとして今後、利用者の意見を反映しながら
　より使いやすく内容の充実したサイトして拡充を図っていく予定です。

このサイトは様々な情報セキュリティ関連のサイトからのRSSを取り込んで、マッシュアップで作られているようです。以下のように11のカテゴリに分類されています。

• 主体認証
• 権限管理
• アクセス監視・制御
• 証跡管理
• 暗号化・電子署名
• 不正プログラム対策
• システム動作の保全管理
• 通信回線の保全管理
• 脆弱性検査
• 物理的対策
• その他

今のところ、それぞれのカテゴリごとに RSS 配信が行われています。

しかし、私のような利用者は、結局、11すべての RSS を RSS リーダーに登録して読むことになるので、RSS ポータルからの配信は「新着」1つで十分にも思えるのですが、どうなのでしょう。カテゴリだけにこだわっていて、「新着」のRSS配信がないというのは不便です。このサイトを直接観に行く人というのは少ないと思うのですが．．．

余談ですが、RSSリーダで読むのが当たり前になってくると、ページビュー(PV)をそのサイトの重要度や人気を現すバロメータとしては使えなくなります。その点も考慮して、今後の使い勝手の改善を考えてほしいところです。

以前から RSS リーダーを駆使して、情報を取捨選択している私のような人間にとっては、読むところがまたひとつ増えた、くらいの感覚しかないのですが、みなさんはどう思いますか。

こんにちは、五十嵐智です。新年早々、指紋認証をすり抜けて再入国したという事件や、PS3 を 200台使ってのMD5 のコリジョンの生成などの報告から始まっていますが、独立行政法人情報処理推進機構(IPA)からの情報漏えい事故がニュース欄を賑わせているようです。

情報処理推進機構

IPA職員の私物パソコンによる情報流出について

2009年1月5日更新
2009年1月4日掲載

独立行政法人情報処理推進機構

　当機構職員が自宅において保有する私物のパソコンでファイル交換ソフトを使用した結果、コンピュータウイルスに感染し、パソコン内の情報が流出したという事実を確認しました。
　これにより、当該職員に関わる個人情報等や一部の公開画像が流出したと見られます。他方、これまでの調査では、当機構の業務関連の非公開情報は含まれておりませんが、さらに確認を行っているところです。
　 当機構は、情報セキュリティ対策を推進しており、ファイル交換ソフトの利用の危険性についてもかねてから注意喚起を行ってきたところです。今般このような 事態が発生したことについて、陳謝申し上げるとともに、職員の私物パソコンにおけるファイル交換ソフトの使用を禁止するなど、再発の防止に全力を尽くして まいります。

• IPA職員がファイル交換ソフトでウイルスに感染、写真など流出
• IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用：Enterprise：RBB TODAY (ブロードバンド情報サイト) 2009/01/04
• ファイル交換ソフトを使用：IPA職員のPCから業務情報などが漏えい - ITmedia エンタープライズ
• 「おそらくShare」　IPA職員が情報流出に使ったファイル交換ソフト:ニュース - CNET Japan
• IPA職員がまさかの情報流出 - 「Share」の可能性も「現在本人に確認中」 | ネット | マイコミジャーナル
• 「ウイルス注意喚起」独立法人職員のPCから個人データ流出 : 日刊サイゾー

総じてどれも情報セキュリティを推進する中心のはずの IPA の職員が！というような記述になっているようです。この話題を取り上げたブログなどもほとんどが IPA をこき下ろすようなものばかりとなっていて、正直、うんざりしました。

この問題の重要な点は、情報セキュリティを推進している IPA でさえ、内部統制が難しいということです。特に「自宅のPC」はくせものです。私物であるため、そこにまで内部統制を行えるのか、ということは良く考えてみる必要があります。

IPA でさえガバナンス(内部統制)を効かせるのが難しいということは、一般企業にあってはもっと難しいと考えなければなりません。従業員の情報セキュリティ教育に力を入れている企業は良く見かけますが、そこに加えて労働環境にまで踏み込んでいる企業は少ないでしょう。

ここでいう労働環境とは、業務上のデータを自宅に持ち帰らざるを得ないような環境の事です。なぜ自宅に持ち帰らなければならなかったのかという点に一歩踏み込んで考えなければなりません。

残業が当たり前、自宅で作業しなければ期日に間に合わない、といった現場の状況を把握せず、単に教育だけで内部統制ができていると勘違いしている経営者はいらっしゃらないでしょうか。

情報セキュリティの知識と能力を与えてリテラシを向上させることは大切なことです。しかし、それだけでは内部統制は成り立たないのです。現場の状況がどのようになっているのかという事をしっかりと把握し、労働環境を改善していく取り組みを併せて行って、初めて効力を発揮します。

IPA の事故を非難するばかりではなく、自社を振り返って、この事故を他山の石としてほしいと思います。

新年明けましておめでとうございます。五十嵐智です。

昨年もゆるゆるとやらせてもらいましたが、今年も相も変わらずゆるゆるとさせてもらいます。

もう少し、情報セキュリティネタを増やしていこうと思っていますので、どうぞよろしくお願いいたします。

# というより、復職に向けていろいろと専念したいと思います。
# こっちのブログは手薄になるかもしれません。