2005年04月14日

2段構えのセキュリティ

「セーフティディスクロージャー」というUSBメモリーがある。このメモリーはなかなかの優れもので、メモリーにデータを保管するときに独自方式で暗号化し保存する。さらにはこのUSBで保管されたデータを読み出すには専用のソフトが必要となってくる。単に紛失したからといってすぐ情報漏えいには繋がらないことは大きなメリットである。

実際、営業やシステムエンジニアにUSBを持ち歩くなというのは仕事をするなといっているのと同じで、仕事にならない場合も少なくない。これがデータを扱うことを商売にしている企業の弱みであるがこのUSBのおかげで、そのリスクはかなり低減しそうである。ポリシーの見直しを迫る素敵な商品である。

orataki at 23:33|PermalinkComments(4)TrackBack(0)Info 

2005年03月17日

プレードPCはセキュリティの救世主になるか

ブレードPCをご存知でしょうか。CPU、メモリやHDDを含めたPC本体をブレード状のボードに搭載し、マシンルームで集中管理するためのものです。社内からの情報漏えいの防止といったセキュリティ効果や、マシンルームへのクライアント集中による運用管理コストの低減などが期待されています。パソコン利用者側から見ると、これまでディスプレイのそばに置いていたPC本体が机の上から消えてしまうイメージですね。

クライアントPCの一元管理という点では、「シンクライアントシステム」がありますが、これはサーバー側でクライアント側の処理をするもので弱点としてサーバーにクライアント側からのアクセスが集中した場合、操作性が悪くなるということがあります。これがブレードPCでは利用者ごとに「1枚のブレードPC」が用意されているので、スムーズな画面表示と操作性を確保しつつ、情報の一元管理が可能です。

ブレードPCによる集中管理のメリットは、情報漏えい防止などのセキュリティ効果もある。パソコン持ち出しによる内部からの情報漏えいや、盗難といった危険性を回避できるのです。具体的に云うと、個人が簡単に重要データを持ち出せないように、PCから情報を持ち出すことを防止できる「ストレージロック機能」を持っています。これは、情報漏えいの可能性があるUSBメモリーのような外部記憶媒体の利用を、管理者側でコントロールできるのです。

ブレードPCの唯一の弱点は、マシンルームから接続ポートまでが最大200メートルという距離制限です。この課題はいくつかの方法で回避できますが説明が冗長になるので省きます。いずれにしてもセキュリティを軸とした集中化への流れは要注意です。

orataki at 21:44|PermalinkComments(0)TrackBack(0)コラム 

2005年03月04日

25分50秒でわかる個人情報保護

いよいよ、個人情報保護法が施行されます。関連セミナーは、まだまだ盛況のようです。人間というものは追い詰められないと行動を起こさないですからね。セミナーすら行っていないアナタ! 朗報ですよ。 コーヒーを飲みながら仕事の合間に個人情報保護法がわかっちゃうビデオクリップがあります。

超わかりやすいドラマ仕立てになっています。可愛らしい?OLと物分りのよいカチョーさんのやり取りは現実ばなれしていて笑えます。こんな課長はいるんだろうか。

まあ、25分でわかるかどうかは別にして一見の価値はありそうです。4/30までの限定放送ですのでお見逃し無く。





orataki at 20:52|PermalinkComments(0)TrackBack(0)Info 

2004年10月16日

セキュアドお勉強:リスクマネジメントの基本ステップ

リスクマネジメントの基本ステップをまとめておきます。

1)リスクの識別   →存在場所
           →発生時期
           →原因(物理的/人的/技術的)
2)リスク処理方法検討→回避(頻度大・影響大)
           →予防(頻度大・影響小)
           →移転(頻度小・影響大)
           →保有(頻度小・影響小)
3)リスクマネジメントツールミックスの選定
4)リスク処理成果の評価           

orataki at 15:39|PermalinkComments(0)TrackBack(0)セキュアド 

セキュアドお勉強:セキュリティパッチ

セキュリティパッチの適用についてまとめておきます。まとめ方は「適用前」と「適用後」で分けて考えたほうがわかりやすいでしょう。

【適用前】
・セキュリティパッチ適用のルールを決めておく
 →適用可否判断を組織として行う
・セキュリティパッチ適用の責任者を明確化しておく
・セキュリティパッチの情報を収集しておく
 →どのような不具合が解消されるのか
 →どのようなリスクがあるのか
 →どのような回避策があるのか
・適用対象範囲を明確化する
・適用手順を明確化する
 →稼動テストの必要性を確認する
 →バックアップを作成する

【適用後】
・既存システムに影響が出ていないか確認する
・不具合発生時の回復手順を明確化する
・作業手順の検証・改善を継続的に行う


orataki at 15:16|PermalinkComments(0)TrackBack(0)セキュアド 

セキュアドお勉強:セキュリティマネジメントプロセス

セキュリティマネジメントプロセスの手順を考えさせる問題が出たらPDCAサイクルを頭の中に思い浮かべて項目を出していけばいいですね。

Plan: .札ュリティ方針の策定 
    ▲札ュリティ基準の策定
    セキュリティシステムの設計
Do:  ぅ札ュリティシステムの実装と検査
    ゥ札ュリティシステムの運用管理
Check: Ε札ュリティの分析
Action:Д札ュリティポリシの見直し 

orataki at 11:28|PermalinkComments(0)TrackBack(0)セキュアド 

2004年10月11日

セキュアドお勉強:情報主体の同意

個人情報保護法のコンプライアンスプログラムの要求事項を勉強していたら気になったことがあったのでメモしておきます。

■個人情報を収集する場合は情報主体の同意が必要となるわけですが、例外事項がいくつかあるわけです。

その例外の中に「情報主体によって不特定のものに公開された情報を収集する場合」というのがあります。これは、ホームページなどインターネット上に記載されたメールアドレスはロボットで収集してDMしても問題なしということになります。(スパムは別の法律で規制される可能性はありますが)

まだまだ身の回りにはメールアドレスをさらしたホームページは多いです。進んでいるところはメールフォームを用意しアドレスをわからなくしているところもあります。また、アイデアものとしてはアドレスの@マークを故意に¥マークなどにして注意書きで書き換えてメールするように案内するホームページもあります。

私もHPからのアドレス表記削除を実行していきたいと思います。

■一法人のなかで事業部ごとにCPを策定することができます。
これは現実のコンサルの中では質問が多く見受けられます。条件付で事業部ごとのCP策定が可能です。
(条件)
・事業部ごとに個人情報の取り扱いについて特性がある場合
・法人内部の責任関係を明確にする必要がある。
・最終的な経営責任が法人の代表者にあることを明記する。

orataki at 13:57|PermalinkComments(0)TrackBack(0)セキュアド 

2004年10月10日

個人情報保護法に関するクイズ

セキュアド試験前のおさらいです。過去に個人情報保護法のクイズをやって惨憺たる結果でした。今日やってみても60%くらいしかできていません。複数回答にすると、とたんに難しくなります。
http://itpro.nikkeibp.co.jp/free/ITPro/ITBASIC/20030624/1/

ここで誤答したものを中心にまとめてみます。

■金銭消費貸借契約書は,個人との契約の場合は個人情報に該当する。
■個人情報取扱事業者は,開示の際に手数料を徴収することができる。
■開示の求めは代理人でも可能である。
■アクセス制御機能が働いていない誰でもアクセスできる領域へのアクセスは不正アクセス行為に該当しない。

orataki at 16:30|PermalinkComments(2)TrackBack(1)セキュアド 

ISMS認証基準VS JISX5080 対応 ポイント(4)

6 通信および運用管理

6-1 運用手順および責任
   ・管理運用手順の策定
   ・事故対応手順の策定
   ・職務の分離(運用管理者と操作担当者
6-1-1 操作手順の文書化
     ・変更の場合の管理者認可
     ・再起動、回復手順
6-1-2 運用変更管理
     ・監査記録の保管
     ・重要な変更の識別
     ・潜在的影響の評価
     ・申請と承認手順
     ・全関係者への変更内容通知
6-1-3 セキュリティインシデントの責任体制
     ・原因分析および識別
     ・再発防止策計画および実施
     ・監査証跡の収集
     ・監督機関に対する報告
6-1-4 職務分離
     ・誤用リスクの軽減
     ・共謀の防止
6-1-5 開発/テスト環境の分離
     ・異なるコンピュータ/異なるディレクトリ
     ・異なるログオン手順/異なるパスワード
6-1-6 外部委託による施設管理
     ・第三者契約/外部委託契約
     ・事業継続計画との関連性
     ・インシデントの報告/処理についての責任と手順

6-3 不正ソフトウェアからの保護
   ・悪意のあるソフトウェアの検出/防止  
6-3-1 検出および防止策
     ・無認可ソフトウェアの使用禁止
     ・主要ソフトウェア/データの定期的見直し
     ・ファイル使用前のウイルス検査
     ・ウイルス感染の報告/回復手順
     ・適切な事業継続計画/バックアップ
6-4 情報システム管理
   ・完全性/可用性の維持
6-4-1 情報のバックアップ
     ・定期的バックアップ
     ・事業継続計画の要求事項
     ・十分離れた場所への保管
     ・3世代または3サイクル
     ・保存期間の明確化
6-4-2 運用の記録
6-4-3 障害の記録

6-5 ネットワークの管理

6-6 媒体の扱いおよびセキュリティ
6-6-1 付属媒体の管理
     ・監査証跡維持のための記録保管
6-6-2 媒体の処分
     ・確実な処分(焼却、破砕)
     ・廃棄業者の選定

7-1 アクセス制御に関する事業の要求事項

7-1-1 アクセス制御方針
7-1-2 アクセス規則
     ・原則許可よりも原則禁止
     ・承認の要不要の区分

7-2 ユーザーアクセス管理
   ・アクセスのライフサイクル
   ・アクセス特権の否定
7-2-1 利用者登録
     ・一意な利用者ID
     ・アクセスレベルの業務目的適合性
     ・利用記録の維持管理
     ・離職者の権限取り消し
     ・IDの要不要の定期検査
     ・違反者への処罰 
7-2-2 特権管理
7-2-3 利用者パスワード管理
     ・確実な身分証明による再発行
     ・コンピュータへ保存しない 
7-2-4 アクセス権の見直し

7-3 ユーザの責任
   ・責任の認識
7-3-1 パスワードの使用
     ・紙に保管しない
     ・危険の兆候には変更
     ・最短6文字、予測されにくい文字列
     ・初回ログオンでの変更
     ・自動ログオンにパスワードを含めない
     ・共有しない

orataki at 10:46|PermalinkComments(0)TrackBack(0)セキュアド 

2004年10月09日

セキュアドお勉強:OECD8原則

個人情報保護法が施行されようとしていますからそのよりどころとなるOECD8原則は抑えておかねばなりませんね。

1)目的明確化の原則:収集目的を明確にし、データ利用は収集目的に合致するべき
2)利用制限の原則:データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用使用してはならない
3)収集制限の原則:適法・公正な手段により、かつ情報主体に通知又は同意を得て収集されるべき
4)データ内容の原則:利用目的に沿ったもので、かつ、正確、完全、最新であるべき
5)安全保護の原則:合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべき                               6)公開の原則:データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべき            
7)個人参加の原則:自己に関するデータの所在及び内容を確認させ、又は意義申立を保証するべき 
8)責任の原則:管理者は諸原則実施の責任を有する           

orataki at 22:44|PermalinkComments(0)TrackBack(0)セキュアド 

2004年09月16日

ISMS認証基準VS JISX5080 対応 ポイント(3)

4-2-1 ユーザーの教育・訓練
    ・定期的教育・訓練

4-3 事故・誤動作への対応
    ・適切な連絡経路
    ・速やかな報告
    ・懲罰手続きの確立
4-3-1 経営陣を含めた連絡網の設置
    ・報告手順の確立
4-3-2 事故発見の場合の報告義務
    ・管理者またはサービス提供者への直接報告
4-3-5 違反者への対応
     ・懲戒プロセス適応
     ・抑止力効果

5 物理的および環境的セキュリティ

5-1 セキュリティ区画
     ・クリアデスク、クリアスクリーンの方針
5-1-1 設備の保護
     ・設置位置、強度はリスクアセス結果に依存する
     ・セキュリティ境界の明確化 
     ・有人の受付
     ・認可された職員の入退室 
5-1-2 入退管理
     ・入退の日付・時刻の記録
     ・目的による制限
     ・暗証番号つき磁気カードの利用
     ・身分証明書の着用
     ・不審者への問いかけ
     ・アクセス権の定期的見直し
5-1-3 セキュリティ区画の建設目的
     ・施錠可能な部屋と金庫の設置 
     ・目立たない建物、表示は最小限に
     ・FAX、プリンタ、コピー機の領域内設置
     ・代替機、バックアップ媒体の隔離
5-1-4 セキュリティ区画における作業ガイドライン
5-1-5 納品および積荷場所
     ・受け渡し場所の情報処理設備からの隔離
5-2-3 電源異常からの保護
     ・UPSの設置
     ・非常用発電機の設置 
5-2-4 傍受・ケーブル損傷からの保護
     ・代替経路、媒体の使用
     ・光ファイバーの使用
5-3-1 離席時、帰宅時における情報放置の禁止
     ・クリアデスク、クリアスクリーンの個別方針
     ・ログオン状態で離席しない
5-3-2 情報の無許可持ち出しの禁止
     ・持ち出し時、返却時記録を残す

orataki at 00:20|PermalinkComments(0)TrackBack(0)セキュアド 

2004年09月14日

ISMS認証基準VS JISX5080 対応 ポイント(2)

3-1 情報資産に対する責任
    ・情報資産を明らかにし管理者を指定する

3-1-1 情報資産台帳の作成
    ・情報資産
     →DB、システムに関する文書、ユーザーマニュアル、訓練資料、継続計画
    ・ソフトウェア資産
     →システムソフトウェア、ユーティリティ、開発ツール
    ・物理的資産
     →コンピュータ装置、通信装置、磁気媒体、什器、収容設備 
    ・サービス
     →計算処理、通信サービス、一般ユーティリティ

3-2 情報の分類
    ・保護レベルの設定

3-2-1 情報資産の分類基準の設置
    ・価値および慎重度によるラベルづけ
    ・時間経過による価値の増減
3-2-2 情報資産の取り扱い手順
    ・複製手順
    ・保存手順 
    ・メール伝達手順
    ・破棄手順

4 人的セキュリティ 
 
4-1 職務定義および採用におけるセキュリティ
    ・採用段階からセキュリティ責任に言及
    ・雇用契約への反映 

4-1-1 役割および責任の職務定義書への記載
    ・文書化
    ・具体的な責任
4-1-2 採用人員の資質、職能の明確化
4-1-3 機密保持合意書への署名
4-1-4 人採用における役割・責任の明確化
    ・通常の勤務場所・勤務時間からはずれた場合でも適用される責任 



orataki at 23:32|PermalinkComments(0)TrackBack(0)セキュアド 

2004年09月12日

ISMS認証基準VS JISX5080 対応 ポイント(1)

セキュアド受験まであと1カ月強。ここでは午後問題で問われるJISX5080での要点をISMS認証基準の要求事項に沿いながらまとめてみます。

1-1 情報セキュリティポリシー

1-1-1 経営陣により承認制定されること
    ・情報セキュリティの定義目的適用範囲を明確にする
    ・要求事項の説明
     →法律上・契約上の要求事項
     →セキュリティ教育の要求事項
     →事業継続管理
     →違反者に対する措置
     →情報セキュリティマネジメント上の責任の定義 
    ・基本方針の望ましい姿
     →基本方針が想定した読者適切で利用可能理解しやすい形で周知される。

1-1-3 定期的見直されること
    ・日程を決め定期的に見直す

2-1 セキュリティ組織
    ・経営陣を指導者とする適切な運営委員会の設置
    ・必要に応じた専門家の助言
    ・連絡窓口の確保
    ・業界動向のウォッチ 

2-1-1 情報セキュリティ委員会の設置
    ・経営陣全員による共同責任 
    ・適切な責任と資源配分
    ・委員会の役割 
     →方針の見直し、承認
     →脅威の変化の監視
     →強化策発議の承認
2-1-2 横断的調整部門の設置
2-1-4 承認プロセスの決定 
2-1-5 専門家の助言、その内容の組織内公表     
2-1-6 外部組織(監督官庁、規制当局など)への連絡体制
2-1-7 ポリシーの客観的視点による見直し
    ・他者(内部監査部門、他部門管理者、第三者組織)によるレビュー

2-2 第三者アクセスのセキュリティ
    ・契約書への明記

2-2-1 必要な措置
    ・第三者の識別
     →HW/SW保守支援要員
     →清掃人、配膳人、警備員
     →実習生、臨時要員
     →コンサルタント
    ・第三者との守秘義務契約締結 
2-2-2 正式契約の締結
    ・損失補償の合意
    ・考慮点
     →一般方針
     →資産保護手順 
     →資産侵害の判定基準・判定手順
     →資産返還または破棄の管理策
     →複製・開示の制限
     →事件事故に関する報告・通知・調査

2-3 第三者への委託



orataki at 16:02|PermalinkComments(0)TrackBack(0)セキュアド 

2004年08月02日

セキュアドお勉強:プライバシーマーク認定取得STEP

今年の試験にはプライバシーマーク関係の問題が必ずでると読んでます。来年、個人情報保護法が施行されますから、現在もトレンディな話題です。さて、概略から見てゆきましょう。認定取得までを8段階にわけて暗記しちゃいましょう。暗記して損のない内容です。

1)社内体制の確立
2)社内教育
3)コンプライアンスプログラム策定
4)実施および運用
5)認定指定機関への申請
6)プライバシーマーク審査
7)JIPDECとの契約
8)継続運用

現在、申請が込み合っていますが、仮運用が終了しないうちに申請を出すのはフライングとして禁止されています。


orataki at 23:21|PermalinkComments(0)TrackBack(0)セキュアド 

セキュアドお勉強:コールバック

今回はコールバックです。コールバックの定義を確認してみましょう。

コールバックとは回線交換サービスを用いた特定多数の利用者を対象とするシステムにおいて、利用者の呼び出しに対してサーバー受信者側でいったん接続を切った後、あらかじめ登録されている呼び出し番号で利用者を呼び出し通信を開始する方法です。

コールバックのフローは以下のようになります。
        ※RAS:リモートアクセスサーバ

[クライアント]→(ダイヤルアップ)→[RAS]
[クライアント]←(認証要求)   ←[RAS]
[クライアント]→(ID・パスワード)→[RAS]
[クライアント]←(ダイヤルアップ)←[RAS]





orataki at 23:06|PermalinkComments(0)TrackBack(0)セキュアド 

セキュアドお勉強:生体認証

今回は生体認証です。まず生体認証の定義から確認しましょう。

生体認証とは指紋・掌紋・顔型・虹採・声紋など人体的特長を使って本人を認証する方法です。

【メリット】
・本人を誤認識する確率が低くなりすましされにくい。
・暗証番号/パスワードを記憶する必要がない。
・認証させる道具を携帯する必要がない。
【デメリット】
・測定装置が高額である。
・身体的特徴を事前登録するのに心理的抵抗がある。

ただ、最近は価格も低価格化し、静脈認証など新しい技術もでてきて認識確率も向上してますので世の中の流れをよく把握する必要があるでしょう。

orataki at 22:51|PermalinkComments(0)TrackBack(0)セキュアド 

2004年07月11日

セキュアドお勉強:契約書記載事項

今日は、外部委託する際に契約書に明記すべきことを整理します。実際問題としてこの手の問い合わせは多くあります。したがって現実解を出す必要があります。

1)委託業務上知り得た情報の守秘
2)委託業務上知り得た情報の目的外利用および第三者への提供禁止
3)委託業務上あずかった情報の返却
4)受託した業務に関する定期的報告
5)該当事業者の従業員教育の実施
6)再委託の制限・禁止
7)責任範囲の明確化と違反に対する措置
8)用語の定義
9)場合により監査に応じる義務

最近の情報漏えいのなかでは再委託によるものが結構ありますからこのポイントははずさないようにしましょう。

orataki at 11:29|PermalinkComments(0)TrackBack(0)セキュアド 

2004年07月08日

セキュリティEXPO

行って来ます。
sec3

orataki at 06:35|PermalinkComments(2)TrackBack(0)Info 

2004年07月04日

セキュアド:情報セキュリティ規程

ポリシーの下部概念にスタンダードがあります。日本語で「規程」と訳されます。「規程」か「規定」か議論のあるところですが私はその遵守重要度からいって「規程」のほうを採用したいと考えています。

さて、試験に臨むに当たっては押さえるべき規程はあろうかと思います。今回は規程について整理してみたいと思います。

1)S/W・H/W購入に関する規程
2)第三者契約に関する規程
3)物理対策に関する規程
4)職場環境に関する規程
5)ネットワーク構築規程
6)サーバ/PCにおける規程
7)ウイルス対策規程
8)パスワード規程
9)eメール利用規程
10)インターネット利用規定
11)リモートアクセス管理規定
12)アプリケーションインストール規定
13)媒体利用規程
14)データ管理の規定
15)アカウント管理規程
16)システム維持管理規程
17)システム監査管理規程
18)プライバシー管理規程
19)セキュリティインシデント規程
20)セキュリティ教育管理規程
21)罰則規程
22)情報システム管理者の規定
23)システム開発の規定

このくらいかな。

orataki at 10:54|PermalinkComments(1)TrackBack(0)セキュアド 

2004年06月14日

セキュアドお勉強:情報セキュリティポリシー

先日、会社の教育担当と会話したのですが、今年のセキュリティアドミニストレータは受験者数がかなり多くなる予想が出ているとのことです。企業も、自社に一人くらいセキュリティの番人的人材がいないと格好がつかないんでしょうか。こぞって受験してくるようです。

さて、今日は情報セキュリティポリシーについてです。
情報セキュリティポリシーはなぜ必要なのでしょうか。どのような効果があるのでしょうか。基本的なところをまとめたいと思います。

1)社員のセキュリティ意識が向上する。
2)自社のセキュリティの実態が明らかになり効果的な対応が可能となる。
3)企業としての信頼性の向上が図れる。
4)不正アクセス、不正行為の制御が図れ適切な対応が可能となる。

続いて情報セキュリティポリシーに基づきセキュリティマネジメントを構築し運用していくときのポイントについてまとめてみましょう。

1)責任者を権限のある役員クラスにすること
2)ISMS策定委員として現場に精通しているものを選ぶ。
3)セミナー開催など啓蒙に努める。
4)現場の意見を反映させる。

orataki at 21:44|PermalinkComments(5)TrackBack(0)セキュアド 

2004年06月07日

セキュアドお勉強:無線LAN

無線LANは午後問題のネタにはしやすいのでいろいろな観点でまとめておいたほうが良いと思われます。

セキュリティ対策としての留意点

1.ESS-IDによるアクセス制御
2.MACアドレスによるフィルタリング
3.WEPによる暗号化
※ここでESS-IDは特定のコンピュータや通信機器で構成されるネットワークを指定して接続するユニークな識別コードをいいます。さらにESS-IDの設定ポイントについてまとめてみましょう。

1.組織名、ビル名などアクセスポイントの設置場所が推測できるような文字列を使用しない。
2.複数のアクセスポイントに対してランダムに文字列を設置する。
3.ESS-IDを「ANY」や空欄にしているクライアントからの接続を拒否する。
4.第三者からのESS-IDの検索に応答しないよう設定する。



orataki at 00:13|PermalinkComments(8)TrackBack(0)セキュアド 

2004年06月06日

メールの暗号化してますか

yumeセキュアドの学習をしているうちに暗号化について面白い記事を見つけました。私たちが知っている「暗号化」というのは知識としての暗号化ではなかったかということです。振り返ってみると個人的には友人にメール送るときは暗号化しませんし、どうやってやるのかも良くわかりません。多分、メールソフトに依存するのでしょうけれど。
また、一般企業でもConfidentialな文書でも暗号化するようなところは少数ではないでしょうか。機密文書を扱うような上級職の人がメールを器用に暗号化しているとは思えません。

学習していくと公開鍵方式だの共通鍵方式だのいろいろ知識は積みあがっていくわけですが実際のところどうなの?という部分が見えてきません。皆さんはメールを暗号化していますか?あるいは暗号化したことありますか?

暗号化でもって有名なのはS-MIMEでしょうか。上記サイトにはS-MIMEがなかなか普及しない理屈が説明されています。早い話が送り先の相手が公開鍵をもっていなくては成立しない話であり、公開鍵を持つにはめんどくさい手続きやお金がかかるということです。そうまでして暗号化する必要のある内容をやりとりしているのかということです。

現在のところ、私にはそのニーズはないようです。

以前、ある試験機関から出題者とのやりとりを暗号化したいという相談がありました。お互いがしかるべき手続きをして鍵を持てばできますと回答しましたが、一歩踏み込んで出題者が誰であるかわからないようにもしたいという要求があり、その時は即答できませんでした。今考えると推測できないようなメールIDを出題者に新たに取得してもらうしかないような気がしますが自信がありません。

通信相手を秘匿することに関してうまい技術を知っている方、教えてください。



orataki at 11:23|PermalinkComments(2)TrackBack(0)雑感 

セキュアドお勉強:VPN

今回はVPN(VirtualPrivateNetwork)についてまとめてみたいと思います。

VPNはインターネットや公衆回線上において、ある拠点間を専用線のように相互接続し安全な通信を可能とするセキュリティ技術です。ここで利用されている技術は以下の二つです。

・トンネリング
・暗号化
・認証(ルータ認証/パケット認証)


この技術は、わかりやすいチャートがありますので参照ください。

VPNにはIP-VPNとインターネットVPNがあります。混同しないように整理したいと思います。
vpn←クリックすると拡大されます。



orataki at 10:06|PermalinkComments(0)TrackBack(0)セキュアド 

2004年06月03日

セキュアドお勉強:SSLについての誤解

SSL(SecureSocketLayer)には誤解が生じやすいのでまとめておきます。SSLは暗号化通信ということで情報の安全性が確保されているように思われますが、通信経路のみが暗号化されているだけでクライアントやサーバーそのものの中では復号されている状態なので盗まれる可能性があるのです。Webアプリケーションに脆弱性がある場合はSSLを利用していても万全ではありません。

SSLの通信手順はどうなっているか見てみましょう。
1)クライアントがSSL通信を要求
2)サーバーが公開鍵を送付
3)クライアント側が共通鍵を生成
4)サーバーの公開鍵で暗号化した共通鍵をサーバーへ送付
5)サーバーの秘密鍵で共通鍵を復号
この時点で双方が共通鍵を認識したことになります。
それ以降は共通鍵で暗号化しあいながら通信することになります。

しかし、暗号化ってややこしいですね。

orataki at 23:53|PermalinkComments(5)TrackBack(0)セキュアド 

2004年05月28日

セキュアドのお勉強:ホームページに関する著作権

ホームページに関する著作権の保護対象について間違いやすいので整理してみます。

・新聞の記事や写真は対象になります。スキャナーなどで取り込み掲載してはいけません。
・国または地方公共団体の機関が発する告示や白書のデータなどは対象になりません。

・雑誌のイラストは著作権が放棄されていない限り対象となります。

・カタログで公開されている図柄も対象となります。


orataki at 09:23|PermalinkComments(0)TrackBack(0)セキュアド 

2004年05月26日

セキュアドのお勉強:リスクマネジメント

リスクマネジメントの第一ステップはリスク識別です。

リスクの存在場所、発生時期、原因を明確にし、要因別に整理します。要因には、物理的要因、技術的要因、人的要因があります。

そして、最終的には発生頻度と被害の大きさにより、リスク回避かリスク予防かリスク移転かリスク保有かを決めます。

つまり、頻度も被害も大きいリスクは回避しなければなりません。逆に頻度も被害も小さなリスクはあえて対応はしないでリスク保有が得策ということになります。リスク移転というのはアウトソーシングしたり保険をかけたりして他者にリスクを移転するものです。


orataki at 09:02|PermalinkComments(0)TrackBack(0)セキュアド 

2004年05月25日

セキュアドのお勉強:個人情報保護法について

個人情報保護法もよく出題されるので整理しておきます。

個人情報保護法は電子計算機にかかわる個人情報のみならず、手作業で処理される個人情報も対象となります。

個人データは目的明確化の原則以外の目的のために開示・利用・その他の使用に供すべきではありませんが本人の同意がある場合や法律の規定がある場合はこの限りではありません。

個人情報保護法は民間事業者も公的機関も適用対象となります。

個人情報を情報主体以外から間接的に収集する場合、すでに情報主体により不特定多数に公開されている情報の場合、情報主体に書面で同意をとる必要はありません。

個人情報を情報主体から直接収集するとき、個人情報を扱う管理者は氏名または職名を情報主体に通知する必要があります。また、利用目的は必ず書面にて情報主体に通知しなければなりません。




orataki at 09:27|PermalinkComments(0)TrackBack(0)セキュアド 

2004年05月24日

顧客情報の正規化

情報漏洩のリスク低減という観点からいうと情報は可能な限り正規化して分散保管するのが望ましい。データベース設計を経験した方ならわかると思うがデータを正規化(最小限の単位に分割し関係づける)しておいて必要な都度、関係づけて出力すればよい。現在、顧客データなどはエクセルなどで大福帳タイプになっているから一覧性はすごく良いのだが、流出したらすべて失ってしまう。分散型であれば漏洩しても個人名と個人コード程度で済む。

リレーショナルデータベースはさして目新しくないがそれらを別々のコンピュータで分散管理する技術はこれからではないだろうか。これからの研究対象としてみたい。


orataki at 16:25|PermalinkComments(6)TrackBack(0)セキュアド 

2004年05月22日

危険なサイトの見分け方

b281681a.jpgセキュリティポリシーの中のガイドラインなどによく「怪しげなサイト、危険と思われるサイトを不用意に閲覧しないこと」などという文言があります。では、怪しげなサイトというのはどのようなサイトなのでしょうか。インターネット上級者は感覚的にわかるのでしょうが初心者にとっては何が危ないことなのか判然としません。そこで怪しいサイトの見分け方を紹介します。(日経ネットワーク2004・6月号より引用)

1)プログラムのダウンロードやインストールの必要性を促すサイト
2)広告バナーなどのリンク先にIDらしき文字が入っているサイト
3)SSL/TLSが使用されていないオンラインショッピングサイト
4)リンクのアドレスに「%00」「%01」「@」などの文字列が存在するサイト
5)スクリプトの実行が必要だったりアドレスの末尾が「.shtml」となっているサイト
6)アドレスバーやステータスバーが非表示になっているサイト

orataki at 15:20|PermalinkComments(0)TrackBack(0)Info 

セキュアドお勉強:公開鍵暗号方式

セキュリティアドミニストレータ試験午前問題に必ずといっていいほど出題される暗号化について整理します。

暗号化には秘密鍵方式と公開鍵方式があります。これは常識ですね。秘密鍵方式はしくみがシンプルなのでここでは割愛します。問題は公開鍵方式で送信者側と受信者側の対応が混同しやすいのです。

公開鍵方式は大きく分けて2パターンの運用方法があります。(これ、以外と知らない人が多いみたいです)
【パターン1】送信者が自分の秘密鍵で暗号化し電文を送り受信者が送信者の公開鍵で復号する場合。
【パターン2】送信者が受信者の公開鍵で暗号化し受信者は自分の秘密鍵で復号する場合。

パターン1とパターン2の違いは何か?

秘密鍵を持つほうがキーとなりますからパターン1では送信者の本人確認・否認防止が実現できます。
一方、パターン2では受信者しか復号できないので電文内容の秘匿化が実現できます。

このメカニズムさえ抑えればだいじょうぶです。

ついでにハッシュ関数の特徴も抑えておきましょう。
(1)ハッシュ値から元の入力データを推測できない。
(2)元のデータの一部を変更するとハッシュ値が大きく変わる。
(3)同じハッシュ値による入力データを見つけるのは困難である。


orataki at 15:03|PermalinkComments(0)TrackBack(0)セキュアド 

2004年05月20日

久しぶりにセキュアドのお勉強

コンピュータ犯罪についてまとめてみます。

サラミ法とは全体への影響が無視できる程度に多数の資産から少しずつかすめとる方法です。例えば、預金の利息計算の端数を全て自分の口座に振り込ませることなどです。

スキャベジングとはゴミ箱あさりといわれ、システムの周辺に残されている情報を搾取するものです。例えば、ゴミ箱に捨てられたプリント用紙を拾うことなどです。

盗聴は音声だけを対象とするのではなく回線を流れる文字や画像も対象となります。

トロイの木馬とはプログラムの中に本来の処理に影響を与えないように密かに不正行為の処理を埋め込み気づかれないように不正処理を実行させるものです。

ソーシャルエンジニアリングとは他人の名前を語ったり落ちているメモを拾ったりして錯誤や精神的な脅威を与えて他人のパスワードなどを盗む行為のことをいいます。この対応策としては社員のセキュリティ教育があります。


orataki at 22:20|PermalinkComments(2)TrackBack(0)セキュアド 

2004年05月09日

セキュアド受験のための有力サイト

セキュリティアドミニストレータ受験のための有力サイトを発見しました。ここでちょくちょく閲覧することによりモチベーション維持と隙間知識の補充を行うことができます。

またメールマガジンを取る事により、自分自身の尻たたき効果も期待できます。私の計画としては5,6,7月はこのサイトや関連書籍を流し読みして体調を維持し、8,9月に午後問題に特化して突っ走る予定です。

セキュリティ部会のメンバーは体調を整えましょうね。夏場過ぎが勝負です。

orataki at 12:07|PermalinkComments(0)TrackBack(0)Info 

2004年05月01日

プライバシーフィルム

現在、セキュリティ関係書籍の執筆中です。時間が惜しいので電車の中でも待合室などでもノートPCにせっせと打ち込んでいるのですが、そこで気になるのが周囲の目。あまり、画面の中身を見られたくないんですよね。ということで隣からでは覗いても画面が見れないようにフィルムを張ろうと思いました。これってプライバシー・フィルムというんだそうです。

万札を握り締めてヨド○○カメラへいったところ、なんと1万円では買えないんですよ。高い! ということで近くのビ○○カメラにいきましたが、やはり値段は同じようなもの。クレジットカードを使えば買えるんですけど、ちょっと想定してた価格と開きがあったので、そのままスゴスゴ帰ってきました。

セキュリティを考えたらやはり買うべきなのか・・・だんだん、人のことが言えなくなってきました。



orataki at 18:17|PermalinkComments(4)TrackBack(0)雑感 

2004年04月27日

今度はNICOS

今度は日本信販のNICOSカードがやられました。当然、情報漏洩の話。流出規模は十万人程度といいます。顧客の身に覚えのない料金請求で発覚したようですね。

原因はDMの代行会社に渡したCDをコピーされたらしいです。

セキュリティの厳しい優良企業でも、アウトソーシング先は、泣き所なのです。

相手先に見張りをつけるわけにもいきません。そこで取引先を選別することになります。では、どんな企業が選ばれるのでしょうか。今までの義理人情はだんだんと通用しなくなります。

それには、やはり公的お墨つきです。ISMS、できればBS7799なんかがいいでしょう。


orataki at 21:51|PermalinkComments(0)TrackBack(1)セキュアド 

2004年04月22日

ささやかな自己表現

この秋、セキュリティに関する書籍を出版することになりました。初心者向けの入門書です。

セキュリティは技術よりも教育が重要です。わかりやすい解説で多くの人に読んでもらい、安全な社会に貢献できればいいなと思っています。

出版されたらずうずうしく、ここで宣伝しますのでよろしくお願いいたします。


orataki at 19:53|PermalinkComments(0)TrackBack(0)セキュアド 

2004年04月07日

不正競争防止法

今日の学習は不正競争防止法です。
これは商取引において、他の社名、商品名、サービス名など紛らわしい名称を用いて、不正に商取引を行うことを禁じた法律です。
具体的には競合他社の営業上の信用を害する虚偽の情報を流す行為、他人の商品の模倣、他の商品や営業活動を誤認混同させるような表示の不正使用などがあります。

営業秘密は、秘密性、有用性、非公知性があるものをいいます。

権利を保護するには、秘密管理規定に盛り込んだり社外秘の表示が必要になります。


orataki at 09:29|PermalinkComments(0)TrackBack(0)セキュアド 

2004年04月01日

著作権法

今日の学習は著作権法です。
著作権法は午前問題必須の学習項目です。難易度も毎年上がってきています。

昨年は、美術品を背景にして撮った写真の違法性を問われたりして複雑なケースが多くなってくると思います。

まず著作権の構成を見てみましょう。著作権は著作者人格権と著作者財産権に区分されます。さらに著作人格権は公表権、氏名表示権、同一性保持権があり譲渡不可です。

一方、著作者財産権には複製権、上演権、放送権、口述権、展示権、貸与権、翻訳権があります。

コンピュータの私的利用範囲が紛らわしいので整理します。

以下の3件は違法になりません。
1)バックアップ用複製権
2)バグ修正のための改変
3)ハードリプレース時の部分改変



orataki at 22:48|PermalinkComments(3)TrackBack(0)セキュアド 

2004年03月30日

コンピュータウィルスについて

コンピュータウィルスについてセキュアドで学習すべきは個々の機能や症状ではありません。事故発生後の対応策と予防策の学習が必要です。

ここで押さえておきたいのは、コンピュータウィルス対策基準で特にシステムユーザー基準18項目とシステム管理者基準31項目は重要です。 ウィルスが発生したらネットワークから迅速に切り離すことになりますから、ネットワークを使った告知は仕組みとしてよくありません。館内放送などアナログ的な対応が必要となります。

また、対応担当や対応手順を明確にしてスピードある措置をとります。


orataki at 20:21|PermalinkComments(5)TrackBack(0)セキュアド 

2004年03月29日

不正アクセス禁止法

今日は不正アクセス禁止法のおさらいです。

この法律で定められていることは
1.不正アクセスの禁止
2.不正アクセスを助長する行為の禁止
3.不正アクセスを受けた管理者への援助措置
です。同法の対象となる機器は
・アクセス制御機能のある特定のコンピュータであること。
・ネットワークに接続されているコンピュータであること。
つまり、スタンドアロンマシンは対象とならない。
ポートスキャンは灰色な行為であり、有罪の可能性もあります。 ここで簡単に不正アクセスの手順を見ていきましょう。
1:事前調査:サーバの管理DS、サービスの稼働状況、プログラムバージョンなどを入手します。
2:セキュリティホール攻撃:侵入方法、身元を隠す方法が検討されます。
3:管理者権限の入手
4:データの破壊・改ざん
5:バックドア設置、ログ改ざん



orataki at 20:07|PermalinkComments(0)TrackBack(0)セキュアド 

2004年03月27日

セキュアド学習ご一緒に

今日からセキュアド受験生と一緒に勉強ブログ初めたいと思います。ツッコミ歓迎、疑問点など、どんどんコメントしてください。

塵も積もれば山となる。毎日このblogで知識を増強してください。

第1回は「内部関係者」です。
最近のセキュリティ事故は内部関係者によるものが多いのですが、どのような人たちがいるのでしょうか。
社員、準社員、派遣社員、嘱託、アルバイト、パート、開発ベンダー、保守警備員、清掃業者、宅配便業者、ゴミ処理業者などさまざまです。これらの内部関係者をセグメントして対応策を考えます。どの分類の人と秘密保持契約を結べばよいか、どこまでの立ち入りを許容するか、どの人に名札着用を義務づけらか、などなど。自分の職場をイメージしながら検討してみましょう。


orataki at 09:07|PermalinkComments(0)TrackBack(1)セキュアド 

2004年03月26日

【コラム5】違反の背景

yume何度も繰り返しになりますが、顧客情報の漏洩が止まりません。目を皿のようにして探せば、それらしい記事はすぐに見つかります。今日も新聞記事で山口銀行の情報漏洩記事を見つけました。これに対し社長のコメントというものはおおよそ決まっています。「管理体制を見直して強化する」というものです。

政府も個人情報を扱う民間事業者に対して情報管理者の設置や漏洩事実の公開などを呼びかけています。しかし、この問題の根っこはそう簡単ではありません。内部から漏洩していくことを阻止するのは堅牢なセキュリティシステム構築でもなければ、しっかりとした運用のしくみの構築でもありません。それは企業風土の改革に他ならないからです。

なぜ、内部関係者が違反を犯すのか、違反の背景は何か、ということに3/24付日経新聞に関連記事がでていましたので引用しながらセキュリティ対策を考えてみようと思います。

違反を犯す心理的要因は4つあります。
(1)ルールを理解していない
(2)ルールに納得していない
(3)他人が守っていない
(4)違反が罰せられない

(1)についていえば理解させる努力不足が企業側にあるということです。きっちり教育するという姿勢があるかどうか、見よう見まねでたたき上げていくのではなく人を育てるという観点があるかどうかがポイントになります。

(2)の納得させるということはコミュニケーションの欠落した組織が不得手です。上層部が勝手なことばかり言って社員の声に聞く耳を持たないような組織では面従腹背の風土ができあがってしまいます。

(3)は「赤信号、みんなで渡れば怖くない」という風土です。コンプライアンス意識が乏しいとなかなか抜け出せないのです。ある意味、個の確立が要求されるわけです。

(4)は企業に一本芯の通ったところがあるかどうかです。私がお邪魔したある企業では「情報漏えいは懲戒解雇!」と大きなポスターが職場に貼ってありました。

この心理的要因を克服するような全社的取り組みが必要です。付け焼刃の対策では根絶できないセキュリティ事故。早急な意識改革が必要なのです。



orataki at 17:55|PermalinkComments(0)TrackBack(0)コラム 

2004年03月23日

日本語のウイルス

リビング私はウイルスメールというものは、おおよそ舶来品ばかりでタイトルも本文も英語ばかりかと思っていました。というのも日本語できたウイルスにお目にかかったことがなかったからです。

ウイルス製作者にとっては、より多くの人に、より多くの迷惑をかけることが重要なことなので英語のほうがより効果的なわけです。ただ、世界で一番喋られている言語は中国語なのであと10年もすればウイルスも中国語でばら撒かれることになるかもしれません。

さて、最近、私のところへ見たことのない日本語でつづられた添付ファイルつきのメールがとどきました。発信者は四国地方のある企業のようです。このような遠隔地の企業を知る由もなく、どうして舞い込んだものか不思議でした。

タイトルは「----からのお知らせ」とあり、文章の内容はトレンドマイクロ社のサービスによってあなたのメールが受け付けられませんでした。というものでした。しかもサーバーで自動生成されたような文章です。

どうやら私の名前を語ったメールが四国の企業に送られてそこのサーバーがはじいたようです。単に削除するのではなく送信者に御丁寧に添付ファイルつきのまま返信してきたようです。最近のウイルスは他人のアドレスを偽装するので私宛に返却されたようです。

私はこのサービスの内容を良く知りませんが添付ファイルつきで返却されると2次災害を起こす恐れがありますよね。いろいろと気配りが大切だと思った次第です。



orataki at 22:48|PermalinkComments(2)TrackBack(0)雑感 

2004年03月21日

【コラム4】セキュリティの啓蒙とリスクヘッジ

yume企業診断などでお世話になったことのあるプロコンのA先生という方がいらっしゃいます。先生は御年75歳。まだまだ現役で活躍されていますが、大変なヘビースモーカーです。周りからの忠告も何するものぞ「タバコやめるくらいなら死んだほうがマシ」と意気軒昂でした。しかし、昨年、脳梗塞で倒れて以来、医者の忠告を良く守り禁酒禁煙の毎日。最近は顔色もとてもよく更に若返ったようです。

人間というのは弱いもので実際に痛みを実感しないとアクションしない動物なのだと思います。セキュリティ事故で被る痛みというのも事故が発生しないと実感と捉えられないのかもしれません。

最近、有名企業の個人情報漏えいが頻発していますね。YahooBBを筆頭にトマト銀行、ジャパネット高田、三洋信販、ローソン、ファミリーマートととどまるところを知りません。大企業ならともかく中小企業ともなるとセキュリティに予算を割り当てるのはなかなか難しいようです。

「セキュリティシステムを導入するとどれくらい売上があがるんだ?」というような質問攻めにあう有様。まだまだ、意識が追いついていないようです。まずは経営者や管理者が率先してセキュリティセミナーや教育にでて危機感を持つことが重要なのではないでしょうか。また実際にセキュリティを強化するしくみを作ったとしても、あくまで運用するのは人間です。万が一に備えて保険などでリスクヘッジすることも有効でしょう。

2月より損保ジャパンやニッセイ同和損保では個人情報漏えいに対する保険を打ち出してきています。また、他の損保各社もシステムとセット販売するなど動きが活発化してきています。これは2005年4月に完全施行される個人情報保護法を睨んでの動きでしょう。ただ、損保会社の補償上限は現在のところ1億円程度ですからYahooBB程度の規模の流出が発生するととても保険では賄いきれないことになります。まず、取り扱い顧客件数と情報属性から自社の情報資産の価値を計算しておくことが必要となります。「教育」と「保険」は経営者がこれから取り組むべき経営課題といえるでしょう。

orataki at 16:39|PermalinkComments(0)TrackBack(4)コラム 

メールソフトとセキュリティ

yume中小企業診断士の研究会グループの中でメールソフトの利用に関する調査をしてみました。AグループはIT関連の研究会、BグループはAグループとは対極にある非IT系の研究会です。調査内容はマイクロソフトOutLookまたはOutLook.Eを利用しているかどうかです。調査規模は大体20-30名規模のグループで行いました。

AグループのOutlook利用率は53%、Bグループのそれは70%でした。特にAグループの中でもITに詳しい人はOutlook離れが進んでいることが顕著になりました。

なぜ、このような調査をしたかといいますとWindowsSecurityとOutlookは密接な関係があるからです。以下の統計をご覧ください。この表から読み取れることは「Outlookを利用しなければウイルス被害の可能性の60%以上は最初から回避できる」ということです。 

<<ウィルス感染ベスト10のメーラー依存度:2003年度>>
----------------------------------------------
      比率 OutLook OL.EX 依存無し
1.Swen  31.6% ○   ○   −
2.Klez  19.5% ○   −   −
3.Sobig  8.9% −   −   ○
4.Mimail. 8.4% ○   ○   −
5.Bugbear 8.3% −   −   ○
6.Fizzer. 3.2% −   −   ○
7.Welch  2.8% −   −   ○
8.Redlof. 2.6% ○   ○   −
9.Gibe.  2.2% ○   −   −
10.Blaster 1.7% −   −   ○
----------------------------------------------
新しいパソコンを購入するとOutlook(EX)は最初から付いてきますから利用しやすいのですがセキュリティを意識する人は、あえて別のメールソフトを
利用しているとも考えられます。(別の理由で変えている方もいるかもしれませんが)Outlookもどんどん進化していっているようですが2003にも脆弱性があったようですし、なかなか使いこなすのには注意が必要となりそうです。




orataki at 11:00|PermalinkComments(0)TrackBack(0)雑感 

2004年03月14日

メールマガジンの常識

yume先日、とある企業からメールマガジンについての相談を受けました。なんでも顧客にHTML形式のメールマガジンを送りたいということらしいのです。

理由を聞いてみると、見栄えはいいし、時代の先をいっているようなイメージを持ってもらえるし、画像つきのワードファイルなどをそのまま転用できるから効率的でしょ、ということでした。

私はHTMLメールはやめたほうが良いと進言いたしました。米国などではHTMLメールは市民権を得ているかもしれませんが、セキュリティ意識に雲泥の差がある日本ではとても危険な行為です。事故は起こらないまでも信用を落としますよ、と申し上げました。

担当者はまだ事情がよく理解できていないようで納得されないようでした。HTMLメールを開くということはwebサイトをブラウジングしているのと同じ行為といえます。悪徳業者ですとWEBビーコンといってゴミのような画像をHTMLに埋め込んでメールを開いた人の有効なアドレスの収集を行います。ですから、少し知識のある企業担当者であればHTMLメールは危険という意識を持ちます。

そして、HTMLメールを平然と流すような企業とは取引できないと考えるのは当然でしょう。このような事情をよく理解しないでメールマーケッティングだけしようと考えると逆効果なのです。

orataki at 10:05|PermalinkComments(5)TrackBack(0)コラム 

2004年03月13日

セキュリティモニターソフト「GoldenEye」

b281681a.jpg個人情報漏洩対策としてセキュリティ対策ソフトがいろいろ出てきています。しかし、外部からの侵入対策の製品が多いのが実情でしょう。現実は内部犯行(ネットワークの内側)が多いのですから、これに対応したソフトが必要となります。

目に止まったのは「GoldenEye」。この製品はキロガーなどのスパイウェアの用途改善版といえます。キーボード入力やブラウジング、ダウンロードなど端末で行った行為がそのままログに残すというものです。

この製品は漏洩事件が起きてしまったら、犯人をトレースできるという事後処理的な効果を持つ反面、悪いことをすると監視されているからすぐバレるという犯罪抑止効果の両面を持っています。

もっともIDやパスワードを盗まれたらなりすまされてしまいますから、とんだ濡れ衣を着せられる心配もあるわけです。


orataki at 10:35|PermalinkComments(0)TrackBack(0)Info 

2004年03月10日

LANケーブルの向こう側はイラク

b281681a.jpgWindowsマシンを安全に利用するにはWindowsUpdateを実施することが不可欠です。WindowsUpdateって何?とおっしゃる方、申し訳ありませんが以降の文章は専門的すぎてわかりにくい思いますので今回はお読み飛ばしください。インターネットセキュリティを確保する上で重要なことは3つあります。

1)アンチウイルスソフトを導入して、パターンファイルを最新にすること。
2)定期的にバックアップをとること。
3)WindowsUpdateを確実に行うこと。
この3)は意外と忘れられがちのようです。とくにWindows2000以前のユーザーは能動的にUpdateしなければいけないのでやっていない人が多いようです。
WindowsというOSソフトは不完全な代物(完全なものは他にもありませんけど)で、バグ(不具合点)が随時発見されます。これに対して補修をするのがWindowsUpdateです。Windowsが最新状態になっていれば良いわけですがここに落とし穴があります。

新規パソコンを購入するとしましょう。Windowsは工場出荷時のものですからタイムラグを考えると最新状態とはいい難いわけです。ということは待望のパソコンが届いたからといってすぐにネットワークにつなぐのは良くないということなのです。LANケーブルの向こう側はイラクのサマワと同じだという意識と緊張感が必要なのです。

昨年のお盆の時期のことを思い出してみてください。お盆期間中にMS−BLASTERなるウイルスが跋扈し、WindowsUpdateしていなかったばかりにテロの餌食になった人がどれくらいいたことか。あの時期のピークでは30秒に一回、不正なパケットがパソコンの喉元まで来ていたようです。

WindowsUpdateをしようとしてネットに接続したらやられたという話も結構多いわけです。このような場合、ネット接続せずにローカルで処理をしなければなりません。つまり、CDやFDを入手して適用するか、安全が確認されている別のパソコンからダウンロードで入手するしかないわけです。ですから新しいバージン・パソコンほど危ないということを認識する必要があるのです。

面倒くさいことはすべてプロバイダーのサービスに任せて安心している方がいらっしゃるとすれば、用心が足りないということになります。クライアント側に張り付いているOSは所詮、自分でケアしなければなりません。
マイクロソフトは、そこまで自動的にやってあげようとしているようですが、それに依存してよいものなのでしょうか。心臓部を遠隔で管理される恐ろしさ・不愉快さというものが常について回るでしょう。


orataki at 23:16|PermalinkComments(0)TrackBack(0)Info 

2004年03月07日

メジャー派になるかマイナー派になるか

書斎今、一番セキュリティ上リスキーなメールソフトといえばマイクロソフトのアウトルック、エキスプレスでしょう。何といってもウイルスの65%の拡散に寄与しているソフトなのですから。

これはウイルスの作成者がマイクロソフトに恨みがあるということではなくて、より多くの人にウイルスをばら撒きたいからです。ですからリスクを減らしたいと思うならマイナーなメールソフトを使えばいいわけです。

最近YahooBBの情報漏洩の事件が問題になっていますがプロバイダーも規模が大きくなればなるほどリスクは大きくなるわけです。情報はそれだけお金になるということなのです。

なんでも、メジャーなものに乗っかれば利便性は増しますし価格も安くてすむでしょう。しかし、脅威のターゲットにされやすいということを忘れてはなりません。

基本的には私はマイナー志向でやっていこうと思います。


orataki at 21:58|PermalinkComments(0)TrackBack(0)コラム 

2004年02月29日

セキュアド・リベンジ発進!!

1928d021.jpgユージさんのセキュアド教本ネタに刺激されて思い出しました。そうだ、リベンジしなくては。セキュアドという新しいカテゴリ作りましたんで、ユージさん、ayayuzuさん、gochiefsさん、情報交換どんどんやりましょう。

orataki at 20:36|PermalinkComments(5)TrackBack(1)セキュアド 

トレンドマイクロ社のワンストップ志向サービス

リビングトレンドマイクロ社から「ウイルスバスター(TM)サービスエディション」がリリースされます。3月1日からの提供です。 これは、ユーザーに対してセキュリティ・ワンストップ・サービスを狙ったものです。MS−Blaster以来、われわれは、ウイルスソフトのパターンファイルを更新するだけではダメという教訓を得ました。また、スパイウェアのようなウイルスとは別の脅威に対しても気を配らなければならなくなりました。

ユーザーのやらなければならないこと、覚えなければならないことは、格段に多くなってきています。これを気にしていたら、神経質になってしまいます。そんな心配をプロバイダーと提携することにより払拭しようというわけです。

今まで、Biglobeなど独自にウィルスチェックサービスを行ってきたところはありました。今回は、ベンダー主導で展開をしようとしています。月額制にすることにより、総額費用も抑制されます。(これはプロバイダーの努力によりますが)

一番良いのは、OSから各ハードウェアまでオールインワンで面倒見てもらえればラクですが、それでは他者にコントロールされることになりますから、あくまでも心臓部は自分で守るという意識が必要でしょう。


orataki at 08:05|PermalinkComments(0)TrackBack(0)雑感