MsknGooBlog

IT技術を活用した効率化、Security対策や快適なLifeStyleのためのNewsのClipや実践メモを綴ります。

"「パッチ適用のリスクは経営者が負うべき」---ラックの三輪氏:IT Pro

2005-10-10 13:46:20 | 情報セキュリティ
確かにこれはBCPとして重要なこと。OS、ソフトともにパッチを発行するベンダーは情報共有を進めて、経営者の判断をしやすくするべき。

「パッチ適用のリスクは経営者が負うべき」---ラックの三輪氏:IT Pro
確かに,パッチの適用にはサーバーが動作しなくなるなどのリスクが存在する。一方,パッチを当てないで運用を続けることには,セキュリティ上のリスクが存在する。どちらを選択するのか,その判断は経営者が行って,そのリスクを経営者が負うべきだ。システム管理者が判断するのはナンセンスである。ビジネスの上で重要なサーバーのパッチ適用や再起動などは,BCP(事業継続計画)に含まれるべき内容だからである。

「インシデント対応には経営トップの関与が不可欠」、JPCERT/CC

2005-07-28 19:06:10 | 情報セキュリティ
インシデント発生時に、判断を委譲する「意志決定プロセス」を事前に定めておくことが重要。
「インシデント対応には経営トップの関与が不可欠」、JPCERT/CC
では、企業はどうやって被害をさけるべきなのか。それは「一般ユーザーを含めた多重防衛」だという。伊藤氏は、1)技術面だけでは被害を100%防ぐことは不可能なため、セキュリティオペレーションのポリシーを見直すこと、2)IT部門だけで防げるものではないので、ユーザー全員にトレーニング・啓発を行うこと、3)複数の認証を組み合わせた多段認証を導入すること、などを主な手段として挙げ、全員で油断なく対応することが必須だとした。

 さらに企業においては、経営のトップが関与しないと対応しきれない状態になっているという。セキュリティ対応をトップがすべて行うことは現実的に不可能であるから、インシデント対応チームを社内に設けておき、判断を委譲する「意志決定プロセス」を事前に定めておく必要があるだろう、と説明した。

情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い(改訂)

2005-07-10 21:12:25 | 情報セキュリティ
IPAより、情報セキュリティ早期警戒パートナーシップガイドラインの改訂版が発行されました。
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い(改訂)
2004 年7月7日に経済産業省より「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号) が公示され、この基準を踏まえ、2004年7月8日に「情報セキュリティ早期警戒パートナーシップガイドライン」 を発行いたしました。
これは、脆弱性関連情報の適切な流通により、コンピュータ不正アクセス、コンピュータウイルスなどによる被害発生を抑制するために、関係者に推奨する行為をとりまとめたものです。
このたび、情報システム等の脆弱性情報の取扱いに関する研究会及び脆弱性情報取扱いガイドラインワーキンググループにてその後の半年以上にわたる運用から浮かび上がった問題点・課題を整理し、今後の対応についての方向性や引き続き検討すべき事項につきまして、議論を重ねて参りました。
「情報システム等の脆弱性情報の取扱いに関する研究会~運用実績を踏まえた問題点整理と今後の取組み~」
その検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドラインを改訂致しました。関係者の方々は、脆弱性関連情報の取扱いに際し、本ガイドラインを基本としてご対応くださいますよう、お願い申し上げます。

ドコモ東海の基地局情報がWinny上に流出~感染したウイルスの詳細は不明

2005-06-02 10:13:58 | 情報セキュリティ
情報漏えいが発覚した場合は、速やかに所轄の機関に報告して、速やかに拡大防止策の緊急対応を行う。その後、恒久的な再発防止策及び責任を取ることになるのだと思う。ただ、この時点までプレスリリースされていないのはこれでいいのかどうか。
ドコモ東海の基地局情報がWinny上に流出~感染したウイルスの詳細は不明
NTTドコモ東海によると、2005年3月ごろに「基地局の情報が流出しているのでは」との噂を確認。内部調査を進めたところ、子会社のドコモエンジニアリング東海で設備の保守を担当する従業員がP2Pファイル交換ソフト「Winny」上に基地局情報の資料を流出してしまったことを把握した。
~中略~
NTTドコモ東海では、状況を把握した3月に総務省東海総合通信局に報告。基地局約800局の鍵を付け替えたほか、機械室の電子ロックの設定を変更した。流出してしまった社員に対しては、5月上旬に文書での注意を行なっている。

「カカクコム事件」、あなたはどう見る? (nikkeibp.jp編集部/日経BPコンサルティング)

2005-06-02 10:04:51 | 情報セキュリティ
セキュリティ侵害が判明したときは、まずは閉鎖して、被害の拡大を防止するのが基本だと、情報セキュリティ関係機関はそう啓発していたと思いますが。情報セキュリティポリシーの対策基準に従った実施手順があったとすると、そのような対策基準になっていたのでしょうか。
セキュリティホール memo
》 「カカクコム事件」、あなたはどう見る? (nikkeibp.jp編集部/日経BPコンサルティング)。 なんだか選択肢が粗いなあ。たとえば Q3:

Q3カカクコムは、異常を発見した5月11日から3日間、サイトを運営しながら改ざんの影響を調査、5月14日に全面閉鎖しました。この対応についてどう思いますか。(1つだけ)
○妥当だと思う(原因追求が第一、アクセス状況把握のためにやむを得ない)
○異常発見直後に閉鎖すべきだ(原因追求より、個人情報の保護が大事)
 たとえば「発見後 1 日以内に閉鎖すべきだ」とか「web ページの改ざんが判明した時点で閉鎖すべきだ」という選択肢もあってよいと思うのだが。

ITmedia エンタープライズ:Windows XPで802.11iをネイティブサポート

2005-05-06 17:30:27 | 情報セキュリティ
最近の市販の無線LANアクセスポイントは、AESをサポートしていますが、WPA2準拠のものはどの程度普及しているのでしょうか?
ITmedia エンタープライズ:Windows XPで802.11iをネイティブサポート
MicrosoftはWindows XPの各バージョンで、無線セキュリティ規格IEEE 802.11iのネイティブサポートをリリースした。この規格が承認されてからほぼ1年後の対応となる。このアップデートは4月29日に提供開始され、WindowsとWPA2(802.11iを基盤とした規格)、およびノートPCで公衆ホットスポットにセキュアに接続するための標準規格との互換性を実現している。
 Microsoftによればこのアップデートは、802.1X認証を使ったWPA2 Enterpriseと、事前共有鍵(PSK)を使ったWPA Personal、CCMPを使ったAESをサポート。認証結果を保存して802.1X認証を高速化する手段であるPairwise Master Key(PMK)キャッシングのオプション利用と、802.1X認証高速化のもう1つの手段である事前認証のオプション利用もサポートしている。



RSAカンファレンス2005:5月12、13日東京で開催

2005-04-20 23:16:06 | 情報セキュリティ
今年のRSAカンファレンスは、個人情報保護法への対応、セキュリティ技術がどう実装され、運用されているか、効果的なセキュリティー対策がテーマだそうで、期待できる内容になりそうです。
RSAカンファレンス2005:5月12、13日東京で開催
基調講演はクリントン、ブッシュ政権でテロ対策担当者を務めたリチャード・クラーク氏、山口英・内閣官房情報セキュリティ補佐官と日米のセキュリティ対策のトップを招いた。クラーク氏はブッシュ政権の対テロ政策を批判しており、マイケル・ムーア監督のドキュメンタリー映画「華氏911」にも出演した論客。山口氏は奈良先端技術大学院大学教授から国の情報セキュリティーの担当者に転進、民間の視点から霞ケ関で苦闘を続けている。それぞれ歯に衣着せぬ発言が期待できそうだ。

情報を隠す「ステガノグラフィ技術」と暗号化で情報漏洩を防ぐソフト

2005-04-06 13:00:53 | 情報セキュリティ
ステガノグラフィ技術を適用した廉価なソフトが発売になるようです。
情報を隠す「ステガノグラフィ技術」と暗号化で情報漏洩を防ぐソフト
Steganos Security Suiteは、暗号化技術と「ステガノグラフィ」として認知されるデータ秘匿技術によって、情報漏洩を防ぐユーティリティ。PC上のファイルを暗号化して不可視のセキュリティドライブに保存するほか、ダミーとして作成した画像および音声データの中に隠したいファイルを埋め込むこともできる。ファイルが埋め込まれたダミーデータには128ビットの暗号化が施される。
 また、CD、DVD、メモリースティック、外付けHDDなどのリムーバブルメディアに保存したデータの暗号化にも対応。メディアには復元プログラムが組み込まれるため、パスワードを入力すれば同ユーティリティがインストールされていないPCからでもデータにアクセスすることが可能だ。
 このほか、ユーザーアカウントやクレジットカード番号などのパスワードを一括管理する機能、メールの暗号化機能、ファイルやインターネット利用痕跡を完全抹消するシュレッダー機能などが備わる。

10人に1人がスパムメールで宣伝された製品を購入~米Mirapoint調査

2005-03-27 00:30:43 | 情報セキュリティ
驚くべき高い数字です。スパムメールを迷惑メールとして受信しないようにできる仕組みの充実が必要です。
10人に1人がスパムメールで宣伝された製品を購入~米Mirapoint調査
2社がインターネットユーザーを対象に行なった調査によれば、全体の31%がスパムメールに埋め込まれたリンク(配信解除リンクを除く)をクリックしたことがあると回答している。ミラポイントでは、「スパムメールに埋め込まれたリンクをクリックすることは、スパマーに“有効な”メールアドレスとして識別させることになり、スパム攻撃の反復を誘発する」と警告する。
~中略~
 なお、スパムメール内の配信解除リンクをクリックしたことがあるという回答者は18%だった。この場合についても、スパマーが“有効な”メールアカウントを特定するために配信解除リンクを悪用することが多いため、配信解除リンクをクリックした後にスパムなどのセキュリティに対する攻撃にさらされる危険性が飛躍的に高まるという。

ITmedia ライフスタイル:「PSP」の無線LAN設定が簡単に~2タイトルに自動設定機能

2005-03-27 00:03:40 | 情報セキュリティ
最近の無線LANのアクセスポイントにはこんな機能があるんですね。これは便利。でも、素人にもWEPキーというものがあって、定期的に変更したほうがいいという意識を持てるようにはすべきだとは思います。
ITmedia ライフスタイル:「PSP」の無線LAN設定が簡単に~2タイトルに自動設定機能
AirStationの「AOSSボタン」を押すと、AirStationは一定の時間だけ「特殊な暗号化モード」に入り、一番近くにあるPSPなどのクライアントを検出する。クライアントを確認すると、ESSIDやWEPキーをやり取りして設定を行う仕組み。バッファローによると、現在同社が販売しているほとんどの無線ルータが対応しているという。
 一方のNECの「らくらく無線スタート」も、同様の機能を持っている。ゲームタイトルのネットワーク設定機能から「らくらく無線スタート」を選択し、アクセスポイント側のボタンを操作すると、あらかじめアクセスポイント側に登録されているSSIDおよび暗号化キーを送信。対応するアクセスポイントは、「Aterm WR7800H」と「Aterm WR6600H」の2機種だ(Aterm側のファームウェアバージョンアップが必要な場合もある)。

BUFFALO IEEE802.11g 無線LAN AirStation BroadBandルータ リモートアクセス HighPowerモデル カードセット WZR-RS-G54HP/P

バッファロー

このアイテムの詳細を見る


PA-WR7800H/TU AtermWR7800HワイヤレスLANセット

日本電気テクノマーケティング

このアイテムの詳細を見る


PA-WR6600H/TU AtermWR6600H ワイヤレスLANセット

日本電気テクノマーケティング

このアイテムの詳細を見る

Wired News - 正しいURLを偽サイトにつなげる「ファーミング詐欺」(上)

2005-03-21 10:02:39 | 情報セキュリティ
フィッシングとファーミングの違いを理解して、常日頃、それぞれの脅威と対策を意識している必要があります。

Wired News - 正しいURLを偽サイトにつなげる「ファーミング詐欺」(上) - : Hotwired
フィッシング詐欺は、偽のウェブサイトをエサに不用心なインターネット・ユーザーを1人ずつ釣り上げ、個人データを盗み出す行為だ。ところが、最近新たに登場したサイバー詐欺――「ファーミング」――は、大勢のユーザーをまとめて刈り取ろうとしている[phishingがfishing(釣り)に基づいた造語であるのに対し、pharmingはfarming(農業、畑仕事)をもじった名称]。
 ファーミング詐欺の手口は、可能な限り多くのユーザーを、本来訪れようとしている合法の商業ウェブサイトから悪意あるウェブサイトへ自動的に導くというもの。被害者たちが知らぬ間に勝手に誘導されるこれら偽サイトは、見た目は本物のサイトと変わらない。だがユーザーが自分のログイン名とパスワードを入力すると、その情報はサイバー詐欺師たちに盗まれてしまう。
 「フィッシングが釣竿とリールを持った釣り人だとしたら、ファーミングはさながらロシアのトロール漁船だ。フィッシング詐欺では獲物を1人ずつ捕えなくてはならないが、ファーミング詐欺なら1度で何人もの獲物をまとめて捕えることができる」と語るのは、企業向けにIPアドレスのインフラ技術を提供している米ノミナム社のクリス・リズリー社長兼最高経営責任者(CEO)だ。


「当初の目的はほぼ達成,仕様の普及と拡張が今後の課題」

2005-03-11 12:22:22 | 情報セキュリティ
シングルサインオンの製品が登場してから久しいですが、まだこんな状況だったんですね。
「当初の目的はほぼ達成,仕様の普及と拡張が今後の課題」――Liberty Allianceのディレクタ : IT Pro ニュース「2001年設立当時に目的としていた,シングル・サインオン(SSO)などを実現するための技術仕様やガイドラインは固まった。だが,やるべきことはまだたくさんある。より多くの企業に実装してもらうよう働きかける必要があるし,仕様も拡張する必要がある」――。Liberty Alliance ProjectのExecutive DirectorであるDonal O'Shea氏は3月9日,IT Proの取材に対して,Liberty Alliance Projectの現状などについて語った(写真)。


JPCERT/CC、OpenSSHのぜい弱性に関する注意を喚起

2005-03-10 14:26:01 | 情報セキュリティ
OpenSSHを使っているから安心と思っているサイトが多いということでしょうか?セキュリティ対策をしたつもりで、新たに脆弱な環境になってしまったというのはなんとも。技術を過信してはいけない例でしょうか。
JPCERT/CC、OpenSSHのぜい弱性に関する注意を喚起
OpenSSHサーバプログラムsshdには、遠隔から第三者がroot権限を取得可能であるというぜい弱性がある。これに関する発表はすでに2002年6月に行われているが、現在でもそのぜい弱性に対策を施されていないサーバがある。
 特にOSにLinuxを採用し、OpenSSHやtelnetdを使ってリモートアクセスを許可しているサーバに第三者が侵入し、フィッシング詐欺の踏み台サーバにするケースが多く見られるという。

電子政府の混乱解決に Java 5.0が有効かもしれない

2005-03-03 19:53:09 | 情報セキュリティ
詳細に解説してくれています。なかなか難しい内容ですが、電子政府の認証システムの提供の仕方が依然として、セキュリティ対策のルールに則ってないようです。
電子政府の混乱解決に Java 5.0が有効かもしれない
、「詳細」ボタンがデフォルトになったので、ある程度改善されたとは言える。ただ、証明書の認証パスが検証できないときは、「詳細」ボタンで表示される内容を読んだところで何の判断材料にもならない(フィンガープリントをここで照合しろというの?)のであるから、これをデフォルトボタンにしても解決にならず、むしろ誤解を生むおそれさえある。
というわけで、Javaは 5.0を使おう。そして設定は以下のようにしよう。



新型VPNと上手に向き合う時が来た

2005-03-02 13:10:37 | 情報セキュリティ
「食わず嫌い」の管理者のために、セキュリティ対策された利便性の高い環境が作れなかったとしたら、利用者にとって悲劇ですね。
新型VPNと上手に向き合う時が来た : IT Pro 記者の眼
また新型VPNはその利便性ゆえ,まだまだ「危険な存在」というイメージを抱くネットワーク管理者も少なくないだろう。社内のプロキシやファイアウオールを簡単にすり抜けられるため,ネットワーク管理者のあずかり知らぬところで使われると,思いも寄らない抜け穴を社内ネットワークに開けてしまう恐れがあった。これは新型VPNの機能自体にセキュリティの問題があるわけではなく,あくまで運用管理によるものだが,もしかしたら「食わず嫌い」のままになっていないだろうか。
 そういう意味では,企業のネットワーク管理者や,システム・インテグレーターのネットワーク担当者の方も,新型VPNと正面から向き合う時期が来たといえるだろう。