韓国ドラマは哲学的感性を刺激する

韓国ドラマ、IT・デジタルなこと、AIなどと並んで哲学に関する事柄や、よろずこの世界の出来事について書き綴ります

何を守るべきか

2005-10-31 16:06:11 | 情報セキュリティ
 情報セキュリティ対策で一番最初にやらなければならないことは、自分たちがどんな守るべき資産を持っているかということを洗い出す作業です。

 何を守るべきかかわからない状態では、対策の施しようがないからです。資産として扱うものは、有形、無形を問わずリストアップしていかなかればなりません。そして、資産それぞれを重要度に応じて重みづけしていくのです。

 意外と、いざセキュリティ対策をしようとしても、この手順がすっぽりと抜け落ちて対策用のツールの選定ばかりに目が行きがちですが、まずは、これが基本と心得ておいてください。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

意外なウイルス対策ソフトの脆弱性

2005-10-30 14:06:18 | 情報セキュリティ
 報道によると、いくつものウイルス対策ソフトに、ウイルスをきちんとスキャンせずきちんとしたウイルスチェックがかからない脆弱性があることがわかったそうです。どうやら、私の印象では、意外と簡単にウイルス対策ソフトをだますことができてしまったという感じです。

 早晩、対策はなされるでしょうが、もともとウイルス対策ソフトといっても完璧ではありえないので、こういったことは常に起こると思っておいた方が正しい利用者の態度だと思います。

 対策ソフトは情報セキュリティ対策としては必須ですが、それに頼り切ってはいけないという、一つの警鐘として受け止めるべきではないでしょうか。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

情報セキュリティの認証規格

2005-10-28 09:47:56 | 情報セキュリティ
 今日は、ちょっと耳慣れない言葉かもしれませんがISMSという情報セキュリティの認証規格について触れます。

 ISMSとは「情報セキュリティマネジメントシステム」といって、ある組織が情報セキュリティについての管理システムを構築して、それをきちんと運用しているということを認証する制度です。

 もともとは、イギリスのBS7799という規格がもとになっていて、現在の日本の規格はJIPDEC(日本情報処理開発協会)という組織が運営していますが、来年からISOの規格として晴れて国際規格となることが決定しています。

 ISO9001などを組織で取得した方にはわかりやすいと思いますが、それの情報セキュリティ版だと思ってください。

 要はこの組織は情報セキュリティについてきちんと管理できる体制ができていて、それが決められたとおり運用されているということが、この認証制度で保証されるのです。

 ちょっと、固い話になりましたが、最近はさまざまな情報漏洩等のセキュリティ関係の事件・事故後増えていますので、このような認証を組織として取得していることが、その組織の情報セキュリティに対する意識の高さを表すということになります。

 現状は、大企業が取引先の中小企業に自分たちと同じセキュリティ水準を要求するために、ISMSの認証取得を要求することが目に見えて増えているようです。

 経営者も、これからは情報セキュリティについていやでも目を向けないといけない時代になったと言えそうです。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

スパムメール対策

2005-10-27 10:45:16 | 情報セキュリティ
 皆さんは、スパムメール(迷惑メール)対策を行っているでしょうか。

 たいていのプロバイダのメールサービスには、スパム対策の機能が付いているものですが、はっきり言って、それほど細かい設定ができるものではないし、また受信受け取りを拒否したいアドレスの設定数があまり多くなかったり、受信するかどうかを判定するための条件(フィルター)の設定にしても、その数に制限があって大量のスパムメールが届く場合、決して有効ではなかったりします。

 私のところにも、もし、何もスパム対策を行わないとすると1日に100通単位でスパムメールが届きます。今は、あれこれ、細かい対策を施してようやく数十通の範囲に収まっているところです。

 このような細かい対策ができるのも、私が自分でメールサーバを所有していて、日頃使う個人的なメール用のドメインをそこで運用しているからです。

 スパム対策で一番シンプルなやり方は、一度来たスパムメールを二度と受信しないということです。これは、同じアドレスからしつこく送ってくるタイプのスパムに効果があります。そのために私が利用している受信拒否のアドレスリストは1200を超えています。

 スパムメールは、ほとんどの場合発信元のアドレスを偽造しているので律儀に毎回同じアドレスから送ってくるものは少数派で、毎回毎回違うアドレスを偽造して送ってくるものに対してはこの対策は効果なしです。しかし、それでも二度と受け取らないフィルターのおかげで、受け取らずにすんでいるスパムメールの数はかなりにのぼります。

 一番やっかいなのは、毎回毎回でたらめなFromアドレスを偽造して送りつけてくるものです。全くアットランダムなものについては、メールヘッダのFromアドレスによるフィルタリングは不可能で、内容を判断するしかありません。世の中には、それを実現するスパムメール対策ソフトもありますが、個人で利用するには費用の上であまりに大げさすぎるのが難点です。

 幸いにも(?)、毎回あるパターンでFromアドレスを偽造してくるメールがあって、それに対してはFromアドレスに対してパターンマッチをすることができる(特定の形式を判断できる)ので、先日もこの方式により、毎日何通も家族宛に来ていたスパムを受け取り拒否することに成功しました。

 普通はここまで念入りに対策を施すユーザは、個人ではまれかもしれませんが、企業では現在、スパムメール対策が必須事項となっています。スパムが企業のインターネット資源のかなりの部分を食いつぶし、また、社員は受信したスパムメールを削除するだけで貴重な時間を浪費しています。企業の規模が大きくなればなるほど、この浪費は無視できず、執務時間の2割から3割に達している例もあると聞いたことがあります。

 インターネットはオープンであるということがその大きな特徴でしたが、このような状況ではもはやそうも言っていられなくなりました。送信者認証といういわばメール送信者の身元保証技術も確立され、一般に広がろうとしています。このようにして、電話の番号通知機能のように、特定の相手からのメール以外は全部受け取り拒否するという日が、特に企業では近づいているのかもしれません。

 日々システム管理者とユーザを悩ます、このスパムメールの問題はいつになったら落ち着くのでしょうか。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

セキュリティ対策の勉強法

2005-10-26 10:31:07 | 情報セキュリティ
 皆さんは、情報セキュリティ対策についてどのようにして勉強しているでしょうか?個人ユーザから、企業や組織の情報セキュリティ管理を担当されている方まで、立場はさまざま、またセキュリティについての知識を経験もさまざまかと思います。

 特に初心者の方、IT関係の知識が乏しいのに職務上そのような立場に立たされている方の中には、大きな不安を感じている方も少なくないのではないでしょうか。そのような皆さんは、一体、どのようにして情報セキュリティの基礎知識を身につけたり、また、最新情報を入手したりしているのでしょうか。

 そもそも、最新情報を入手してそれを管理という仕事に生かすためには、どうしてもある程度の情報セキュリティに対する基礎知識が必要です。それをどのようにして身につけているか、これが意外と問題なのではないでしょうか。

 市販の本を読んでの泥縄式勉強だったり、研修機関の主催するセミナーに参加したりといろいろな形があると思いますが、身近に知識を授けてくれる同僚や仲間がいるという恵まれた環境にいる方はごく少数で、大多数の方は孤軍奮闘しているのではないかと思っています。

 そのような方向けの、情報セキュリティ入門講座のようなものを作ったらどうかなと考えているところです。通信教育のような形で、基本はテキストを読んでの自学自習ですが、質問をきちんと受け付けて少しでも孤独な管理者の助けになれればと思っています。テキストには、市販の本で得られる知識ももちろん盛り込みますが、私自身が長年システム管理者として携わってきた仕事の中から、適当と思われる経験談をお話しして、できるだけ具体性を持たせて、また、楽しく勉強してもらえればと思っています。

 どうでしょうか?このようなアイデアに賛成してくださる人はどのくらいいるでしょうか?

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

公開鍵暗号

2005-10-25 10:56:08 | 情報セキュリティ
 現在のインターネット上で暗号化通信を行えるのは、公開鍵暗号という暗号化方式が普及したことによります。もし、公開鍵暗号というものがなかったらこんなにも暗号化の技術が普及したか非常に疑問です。

 というのも、従来の共通鍵暗号化方式では、暗号化する側とそれを復号(解読)する側で同じ解読のための鍵が必要だったからです。鍵というのが、よくスパイ映画で出てくる乱数表だったり、特殊な解読表だったりするわけです。

 この鍵を事前に安全な方法でお互いに入手しておかなければいけないというのが、共通鍵暗号方式の一番の難点でした。ごく限られた者同士が暗号化通信を行う場合にはこれでもいいのですが、遠く離れた者同士、一度も会ったこともない者同士がこのような共通鍵を事前に共有しておくことには無理があります。ましては、不特定多数の人と暗号化通信をすることなど事実上不可能でした。

 詳細な説明は省きますが、このような不便さを共通鍵暗号は解消したのです。暗号化用の鍵と復号化用の鍵を別々にできたということが一番画期的なことです。暗号化を一般に広く公開されている公開鍵で行い、復号化は自分だけが大切にしまってある秘密鍵で行うというこの方式は、まさに画期的でした。

 暗号化理論というのは、専門家でない限り踏み込んで理解するのもむずかしいものですが、われわれの知らない場所でインターネット上の通信を支えていることを考えると、ますますありがたみも増すのではないでしょうか。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

情報セキュリティの強度

2005-10-24 10:32:34 | 情報セキュリティ
 PC同士を簡単にネットワークでつなぐことができる現在、セキュリティ対策の観点からこの事実をみてみると、問題点はネットワークを構成している部分、部分の最も脆弱な部分、つまり最も弱い部分がそのネットワーク全体のセキュリティ強度を決めるといえることです。

 自分自身がいかに強度の高いネットワークを構築していたとしても、セキュリティ対策の甘いネットワークに接続した途端、セキュリティの強度は最も低い部分に落ちてしまうのです。

 ある程度以上の規模のLANの管理者なら、このことを実感できると思いますが、家庭のネットワークでも基本的には同じです。家庭内のネットワークに問題はなくても、インターネットへ接続した途端、セキュリティ上の種々の問題で悩まされることになります。

 この際に、ルータやファイーウオールといった機器をうまく使いこなしていればいいのですが、何気なく、インターネットに直結して使用しているPCがウイルス攻撃にさらされて、そのPCからウイルスが家庭や、社内のネットワークに広がるという可能性も考慮しておかなければなりません。

 セキュリティについて考える際には、このようにして、大きな視点から考える必要があります。自分のPCだけウイルス対策ソフトを入れているから安心というわけではないのです。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

ATMコーナーでの盗み見

2005-10-22 13:00:32 | 情報セキュリティ
 UFJ銀行のATMコーナーに小型カメラが仕掛けられて、カード情報や暗証番号を盗み見されるという事件が発生しました。実に巧妙にカメラをセットして、ここまでやるかという気がしました。

 これから私たちは、ATMコーナーではよほど用心深くならないといけないということをあらためて感じました。背後にいる怪しい動きをする人には気を付けると思いますが、まさか目の前のちらしなどを入れる小さな箱にカメラがかくされているなんて、普通は思いつきませんよね。

 こうして、どんどん現実の世界が暮らしにくくなっていくのと同時に、サイバー世界も同様に暮らしにくくなっています。サイバー世界のこわい点は、ちょっと気を抜いただけでものすごく大きな影響があるということです。自分の預金口座からお金を盗まれることもとてもショッキングな出来事ですが、大事な情報を自分のPCから盗まれてしまうということも本人にとってはそれにおとらずショックです。

 へたをすると社会的な信用をなくして、以後仕事を続けられなくなる恐れさえあります。このようなことにならないためにも、日頃からできることを着実に積み重ねていくしかありません。生活習慣の中に、セキュリティに対する意識を自然と植え付けていくことが効果的な対策になります。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

だまされて、だまされて…

2005-10-21 10:29:41 | 情報セキュリティ
 最近はウイルスを感染させる手口も悪質かつ巧妙化してきて、うっかりすると知らないうちに自らウイルスをインストールしてしますという事態が起こりえます。

 というのも、ウイルス駆除ソフトのふりをしたウイルスが蔓延しているからです。これは、以前の記事でも紹介した、ある種のソーシャル・エンジニアリングの手法と言えます。これは、ウイルス駆除ソフトです、インストールすれば今流行の××というウイルスが駆除できますという説明を信じてインストールすると、悪質なウイルスだったということが、起こるのです。

 このような手口にひっかからないためにも、日頃からよく情報を集めて、また、きちんとしたウイルス対策ソフトを使用して、自分の身を守らなければなりません。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

セキュリティへの過信と無関心

2005-10-20 10:32:57 | 情報セキュリティ
 情報セキュリティ対策への態度として、以下の二通りが見うけられるように思えます。

 一つは、もう十分やるだけのことはやったからと、安心しきっているという態度。そして、もう一つは、自分だけは大丈夫というセキュリティ対策への無関心な態度です。

 前者は一応何らかの対策を講じているわけですが、それがいい加減だったり、効果に疑問がある場合は、かえって問題になる場合があります。具体的に言えば、もし、予算の都合でウイルス対策ソフトをインストールして使用できないような状況であれば、細心の注意をはらって操作をする可能性もありますが、いい加減な対策を施しただけで、実際の効果がほとんどないような場合には、まだ、びくびくしながら何の対策もしていないPCを使う方が、皮肉なことにセキュリティレベルが高いという考え方もできます。

 この、過信というのはたちの悪い落とし穴であると言えるでしょう。十分気を付けなければなりません。

 また、その正反対の無関心も情報セキュリティの敵です。何の根拠もなく自分だけは大丈夫と思いこむことは、自分だけではなく、自分の周囲にも大きな迷惑をかけることになります。しかし、これだけセキュリティの重要さが叫ばれることになっても、まだまだこういう人はいるのではないかと、私は想像しています。

 セキュリティ対策で一番大変なところは、終わりがないということです。いわば、ずっと走り続けていなければならないという比喩が適当かも知れません。だから、しんどいのです。ついつい、もういいかと、気を緩めてしまうのです。そして、その間隙を突いてウイルスが入り込んだりするものなのです。

 ウイルス対策に対する両極端な態度について、一度考えてみることをお勧めします。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★