V.S.A. III

こんにちは、五十嵐智です。この4月19日に新しい制度体系で平成21年度春期情報処理技術者試験が行なわれましたが、その中で「情報セキュリティスペシャリスト」の解答例を作ってみました。

リンク: V.S.A.: 情報処理技術者試験 平成21年度 春期 「情報セキュリティスペシャリスト」 解答例＆総括.

会社の名前を背負っていると思われると困るので、個人のブログで書いています。

来る2月24日、25日に「日・ASEAN情報セキュリティ政策会議」が開催されるそうです。

リンク: 「日・ASEAN情報セキュリティ政策会議」の開催について（METI/経済産業省）.

２月２４日、２５日の両日、第１回「日・ASEAN情報セキュリティ政策会議」が開催されます。本会議では、ASEAN諸国の経済・投資関係省庁及び情報通信省庁の高級事務レベルの代表者、我が国経済界及び関係団体等の参加を得て、情報セキュリティ対策が今後の日ASEAN間の経済統合の進展にいかに資するかという観点から議論を行います。

リンク: [PDF] 第１回「日・ＡＳＥＡＮ情報セキュリティ政策会議」の開催.

１．会議の内容
同政策会議では、日ＡＳＥＡＮ間の社会・経済関係の深化に伴い、

(1)ＡＳＥＡＮに進出する日系企業が安全に情報をやり取りできるセキュアなビジネス環境の構築を実現すること、
(2)企業活動を支える根幹となる通信インフラの安全・信頼性の向上に向けた取組みを推進すること、
(3)事前予防策、事後対応策を含めた情報セキュリティ対策の国家戦略の充実に向けた取組みを推進すること

を目的に、日ＡＳＥＡＮ間の高級事務レベル（局長・審議官クラス）間の意見交換を行います。
会議では、地域における対策を推進するためのアクションプランを採択作成する予定です。

リンク: [PDF] 別紙（合同報道発表資料）.

（１）知識経済社会におけるセキュアなビジネス環境整備
日・ＡＳＥＡＮ地域の経済関係は、ＥＰＡ（経済連携協定）等の取組を通じてますます深化しております。今後、高付加価値、知識集約型の産業を中心とする知識経済化がアジアにおいても進展する状況下で、直接投資、アウトソーシング等を行う日系企業が、現地において安心なビジネス活動を行うため、高い情報セキュリティ対策レベルが確保された投資環境を構築することが不可欠です。会議においては、情報セキュリティ対策が更なる直接投資やアウトソーシングをもたらす便益についても理解を深めていくため、企業内の体制整備や人材育成、企業の対策を促進する方策等につき議論します。さらに、各国政府の取組に加え、官民連携に基づく取組の必要性についても議論が行われる予定です。

（２）セキュアな情報通信利用に向けた環境整備
情報通信インフラはグローバルなビジネス活動を支える共通基盤となっており、高いレベルの情報セキュリティ対策及び事業継続性が確保された安全・信頼性のあるインフラの整備は、安心なビジネス活動の確保には不可欠です。とりわけ、情報通信インフラがグローバルに相互接続していることを考慮すると、国際連携を軸とした対応が必要となっております。会議においては、国際的な官民の連携体制の構築、研究開発における協力を通じた地域の情報セキュリティ技術力の向上、人材交流や情報セキュリティ研修を通じた人材育成、スパムへの共同対応について議論が行われる予定です。

（３）政府が主導する情報セキュリティ対策
情報システムが社会経済活動のインフラとしての重要性を増してくるにつれ、情報セキュリティ政策は従来の縦割型の取組から、横断的な国家戦略を必要とする政策課題となっております。会議では、情報セキュリティ対策に必要な国家戦略について知見を共有するとともに、官民連携を通じた効果的な予防対策、事後対応を行うための体制作りの方法について議論が行われる予定です。

（４）アクションプラン
会議では、それぞれの議題について日・ＡＳＥＡＮ双方から意見交換を行った後、今後の連携の方向性について、地域における対策を推進するための具体的な取組を記載したアクションプランを採択する予定です。

第2次情報セキュリティ基本計画の『アジアにおける情報セキュリティ分野の取組みへのイニシアティブの発揮』に基づく政策会議でしょうか。

余談ですが、イニシアティブをとりたいなら、「開催されます」ではなくて、「開催します」と書いてほしいところ。これだから、日本人の文章は．．．ま、細かいことですけどね。

こんにちは、五十嵐智です。2月2日は情報セキュリティ政策会議が定めた「情報セキュリティの日」です。この機会に、皆さんも、ウィルス対策ソフトでハードディスクのスキャンなどをやってはいかがでしょうか。

さて、Google の検索結果に「このサイトはコンピュータに損害を与える可能性があります。」という表示が出て、リンク先にアクセスできなくなったというニュースが昨日からインターネットを駆け巡りました。

リンク: Google Japan Blog: 全ての検索結果に「このサイトはコンピュータに損害を与える可能性があります。」というメッセージが表示された件について.

日本時間 1 月 31 日 23 時 30 分から 2 月 1 日 0 時 25 分の間に表示された全ての検索結果において「このサイトはコンピュータに損害を与える可能性があります。」というメッセージが表示されていました。単純な人的ミスが原因です。
ユーザーの皆様に大変な御迷惑をおかけしたことをお詫び申し上げます。

ここで私が注目したいのはこの事件そのものよりも、その影響力の大きさです。

たった55分間の不具合で、いったいどれだけのサイトがこの問題を取り上げたでしょうか。ニュースサイトを始め、個人のブログでも取り上げられていましたから、インターネット上のサイトがこのニュースで一色に染まったと表現しても過言ではないくらいだと思います。

そのほとんどの内容が「鬼の首を取った」ようなものだったことはさておき、55分間のサービス停止が非常に大きな影響を与えたというのは事実だと思います。検索エンジンが停止したからなのか、それとも Google だったからなのか、そこは意見の分かれるところでしょうが、今や検索エンジン Google は社会基盤の一つになっていると言えるでしょう。

単なる一企業の問題としてではなく、インフラとしてのサービス停止の問題として Google は捉えてほしいと思います。そして、我々もそれがいかに重要なインフラであるかを考えてみるべきでしょう。

55分間のサービス不具合で、どれだけの人に影響が出たのか。数値があれば知りたいところです。

こんにちは、五十嵐智です。2月は情報セキュリティ月間です。経済産業省が毎年行っている「CHECK PC! キャンペーン」のサイトが本日1月30日にオープンしました。

リンク: 経済産業省 CHECK PC!.

リンク: 『ＣＨＥＣＫ　ＰＣ！』キャンペーンの開始について～だから、早めこまめにＣＨＥＣＫ　ＰＣ！～（METI/経済産業省）.

経済産業省では、２月２日（月）から２月２８日（土）までの間、ポスター掲示、テレビCM、交通広告、専用ホームページ等を通じて国民に情報セキュリティ対策の重要性を訴える『ＣＨＥＣＫ　ＰＣ！』キャンペーンを実施します。
　ＩＴが国民生活・社会経済活動に深く浸透していく中で、インターネットの利用者がコンピュータウイルスへの感染、不正アクセス、フィッシング等の被害に 遭遇する危険性は高まっています。本キャンペーンは、このような被害を未然に防ぎ、安心してＩＴを利用するための意識及び知識の向上を目的としています。

リンク: [PDF] 『ＣＨＥＣＫ ＰＣ！』キャンペーンの開始について - 経済産業省.

「ＣＨＥＣＫ ＰＣ！」キャンペーンオリジナルキャラクター『セキュリーナ』の誕生
今回、「ＣＨＥＣＫ ＰＣ！」キャンペーンオリジナルキャラクターとして情報セキュリティアイドル『セキュリーナ』が誕生しました。『セキュリーナ』が中心となり、国民の皆様にわかりやすく情報セキュリティ対策の重要性を訴えていきます。

2006年：眞鍋かをり→2007年：白石美帆→2008年：上戸彩→2009年：バーチャルキャラクター「セキュリーナ」

なんてこったい．．．

リンク: V.S.A.: 2008年の情報セキュリティ大使は上戸彩.

こんにちは、五十嵐智です。独立行政法人情報処理推進機構(IPA)が昨今問題になっているDNSキャッシュポイズニングの対策のための資料を公開しました。

リンク: 情報処理推進機構：情報セキュリティ：脆弱性対策：「DNSキャッシュポイズニング対策」の資料を公開.

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、「DNSキャッシュポイズニングの脆弱性」の届出が多数継続していることから、これらの脆弱性対策を促進するため「DNSキャッシュポイズニング対策」の資料を2009年1月14日（火）より公開しました。

この資料は日立 HIRT の協力を得て作られているそうです。

　第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。
　第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。
　第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。
　第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。

一刻も早く DNS キャッシュポイズニングの脅威を失くすため、管理者の方がこれを参照して、速やかに対応することを望みます。

こんにちは、五十嵐智です。独立行政法人情報処理推進機構(IPA)が、1月9日、情報セキュリティ関連情報のRSSポータルサイトを公開しました。

リンク: 情報処理推進機構：情報セキュリティ：セキュリティ情報RSSポータルシステム.

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、インターネットを利用したセキュリティ情報の提供システム「セキュリティ情報RSSポータルシステム」を2009 年1 月9 日（金）より、IPA のウェブサイトで公開しました。
（URL：http://isec-rss.ipa.go.jp）

リンク: Security　RSSポータル.

RSSポータルサイトとは

■本サイトは IPA の Security iPedia の一機能として開発されました。
　ITセキュリティ情報に関するポータルサイトとしてセキュリティ分野の情報を提供します。
　広く散在するセキュリティ関連情報サイトからＲＳＳ情報を収集し、カテゴリ別に
　分類を行い最新のセキュリティ情報を提供します。
■セキュリティ情報に関する代表的なサイトとして今後、利用者の意見を反映しながら
　より使いやすく内容の充実したサイトして拡充を図っていく予定です。

このサイトは様々な情報セキュリティ関連のサイトからのRSSを取り込んで、マッシュアップで作られているようです。以下のように11のカテゴリに分類されています。

• 主体認証
• 権限管理
• アクセス監視・制御
• 証跡管理
• 暗号化・電子署名
• 不正プログラム対策
• システム動作の保全管理
• 通信回線の保全管理
• 脆弱性検査
• 物理的対策
• その他

今のところ、それぞれのカテゴリごとに RSS 配信が行われています。

しかし、私のような利用者は、結局、11すべての RSS を RSS リーダーに登録して読むことになるので、RSS ポータルからの配信は「新着」1つで十分にも思えるのですが、どうなのでしょう。カテゴリだけにこだわっていて、「新着」のRSS配信がないというのは不便です。このサイトを直接観に行く人というのは少ないと思うのですが．．．

余談ですが、RSSリーダで読むのが当たり前になってくると、ページビュー(PV)をそのサイトの重要度や人気を現すバロメータとしては使えなくなります。その点も考慮して、今後の使い勝手の改善を考えてほしいところです。

以前から RSS リーダーを駆使して、情報を取捨選択している私のような人間にとっては、読むところがまたひとつ増えた、くらいの感覚しかないのですが、みなさんはどう思いますか。

こんにちは、五十嵐智です。新年早々、指紋認証をすり抜けて再入国したという事件や、PS3 を 200台使ってのMD5 のコリジョンの生成などの報告から始まっていますが、独立行政法人情報処理推進機構(IPA)からの情報漏えい事故がニュース欄を賑わせているようです。

情報処理推進機構

IPA職員の私物パソコンによる情報流出について

2009年1月5日更新
2009年1月4日掲載

独立行政法人情報処理推進機構

　当機構職員が自宅において保有する私物のパソコンでファイル交換ソフトを使用した結果、コンピュータウイルスに感染し、パソコン内の情報が流出したという事実を確認しました。
　これにより、当該職員に関わる個人情報等や一部の公開画像が流出したと見られます。他方、これまでの調査では、当機構の業務関連の非公開情報は含まれておりませんが、さらに確認を行っているところです。
　 当機構は、情報セキュリティ対策を推進しており、ファイル交換ソフトの利用の危険性についてもかねてから注意喚起を行ってきたところです。今般このような 事態が発生したことについて、陳謝申し上げるとともに、職員の私物パソコンにおけるファイル交換ソフトの使用を禁止するなど、再発の防止に全力を尽くして まいります。

• IPA職員がファイル交換ソフトでウイルスに感染、写真など流出
• IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用：Enterprise：RBB TODAY (ブロードバンド情報サイト) 2009/01/04
• ファイル交換ソフトを使用：IPA職員のPCから業務情報などが漏えい - ITmedia エンタープライズ
• 「おそらくShare」　IPA職員が情報流出に使ったファイル交換ソフト:ニュース - CNET Japan
• IPA職員がまさかの情報流出 - 「Share」の可能性も「現在本人に確認中」 | ネット | マイコミジャーナル
• 「ウイルス注意喚起」独立法人職員のPCから個人データ流出 : 日刊サイゾー

総じてどれも情報セキュリティを推進する中心のはずの IPA の職員が！というような記述になっているようです。この話題を取り上げたブログなどもほとんどが IPA をこき下ろすようなものばかりとなっていて、正直、うんざりしました。

この問題の重要な点は、情報セキュリティを推進している IPA でさえ、内部統制が難しいということです。特に「自宅のPC」はくせものです。私物であるため、そこにまで内部統制を行えるのか、ということは良く考えてみる必要があります。

IPA でさえガバナンス(内部統制)を効かせるのが難しいということは、一般企業にあってはもっと難しいと考えなければなりません。従業員の情報セキュリティ教育に力を入れている企業は良く見かけますが、そこに加えて労働環境にまで踏み込んでいる企業は少ないでしょう。

ここでいう労働環境とは、業務上のデータを自宅に持ち帰らざるを得ないような環境の事です。なぜ自宅に持ち帰らなければならなかったのかという点に一歩踏み込んで考えなければなりません。

残業が当たり前、自宅で作業しなければ期日に間に合わない、といった現場の状況を把握せず、単に教育だけで内部統制ができていると勘違いしている経営者はいらっしゃらないでしょうか。

情報セキュリティの知識と能力を与えてリテラシを向上させることは大切なことです。しかし、それだけでは内部統制は成り立たないのです。現場の状況がどのようになっているのかという事をしっかりと把握し、労働環境を改善していく取り組みを併せて行って、初めて効力を発揮します。

IPA の事故を非難するばかりではなく、自社を振り返って、この事故を他山の石としてほしいと思います。

こんにちは、五十嵐智です。サイバークリーンセンターの CCC クリーナーが更新されました。毎週水曜日の定期更新ではなく、イレギュラーな更新があったようです。

サイバークリーンセンター(CCC) ｜ ボット ウイルスの駆除手順
https://www.ccc.go.jp/flow/index.html

・ファイルサイズ:10.8Mbyte
・CCCパターンVer:703
・Update:2008/12/11 19:24

こんにちは、五十嵐智です。2008年12月10日に「第19回情報セキュリティ政策会議」が開催され、それに関連して三つの意見募集が行われています。

[PDF] 第19回情報セキュリティ政策会議の開催について（報道発表資料)

本日、「情報セキュリティ政策会議」（議長：内閣官房長官）の第１9 回会合が開催され、その概要は以下のとおり。

なお、本会合では、「第2 次情報セキュリティ基本計画」（案）、「政府機関の情報セキュリティ対策のための統一基準（第4版）」（案）及び「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）についてパブリックコメントに付すことが決定された。

• 意見募集中案件詳細：「政府機関の情報セキュリティ対策のための統一基準（第４版）」（案）に関する意見の募集

• 意見募集中案件詳細：「重要インフラの情報セキュリティ対策に係る第２次行動計画」（案）に関する意見の募集

• 意見募集中案件詳細：「第２次情報セキュリティ基本計画」（案）に関する意見の募集について

意見募集の〆切はいずれも2009年1月13日となっています。

情報セキュリティに携わる方は、意見を提出するしないに関わらず、目を通しておいた方が良いですね。私もこれから読んでみます。