昨日は……

体調不良で午後早退(半休)。orz

この時期は風邪なのかアレルギー症状が酷くなったからなのかの切り分けが難しいです。
(単なるアレルギー性鼻炎だけなら熱は出ないんですが、副鼻腔に膿が溜まると炎症を起こして熱が出るので……。)

一応レントゲンを撮って、副鼻腔にはあまり膿が溜まっていないとの事で、風邪の可能性大という事で風邪のお薬等を頂いてきました。
(プラス、隣の病院(こちらはアレルギー性鼻炎でのかかりつけの病院)で、吸引等の処置も実施……。)

とりあえず今は落ち着いています。

慣れ過ぎやっちゅーねんw＞Druaga Onlien(ドルアーガ・オンライン)

社外研修後、直帰して地元のゲーセンでいつも通りにプレイw。

久々に1st（フィーナ：ワル）で「試練」に行ってみる……マッチング確認で、各プレイヤーの様子を見てみると、どうやら慣れている人っぽい印象を受ける。

で、いざプレイ……全員慣れ過ぎやっちゅーねんw。

1stステージゴール直前で(殲滅プレイしている人もいるかもしれないので)少し待ったら「OK」「よろしく」……皆ミニMAP見てキチンと状況把握しているし(笑)。

他のステージも遅滞無く連携し、スムーズにクリア……まぁ、ここまでは良くある話。

止めは、クリア後に間髪入れずに「ありがとう×3」を……全員同じタイミングで「ありがとう」「ありがとう!」「ありがとー!!」のアイコンが出てきた時には、思わず「慣れ過ぎやっちゅーねん(笑)」という言葉が出てきてしまいましたw。

まぁ、結局は楽しかった訳ですが(マテ)。

今日は……

ISMS審査員向けのISO/IEC 27001移行に向けた差分研修の日です(午後から)。

もう1人のSKUF Meeting#03講師であるSさんによると「既に知っている内容だと思うから寝ててもOK w」というお言葉を頂きましたが、一応マジメに受けてきます(ヲ。
---
(2006/6/20 9:36頃追記)

行って来ました(笑)。＞差分研修
流石に「寝ててもOK w」という状態じゃなかったです(マテ)。
(難しいという意味ではなく、シッカリ聞いた方がタメになるという意味でです。)

JIS Q 27001/2(規格書)は来月の給料出たら買わないとなぁ……。

ネコさんは……

まっちゃがお嫌いのようでw。

……ごめんなさい、他意は無いです。＞誰と無く

正しくは「まっちゃ味のクッキーはお気に召さないようで」です。

SKUF Meeting#03会場だった蒲田PiOの前にいたノラネコさんです。まだ若い(1～3歳程度?)ネコさんのようです(ちょっと皮膚病なのか、所々毛が老けている & 耳がタダレていたのが可哀想でしたが)。
これがまた人懐っこいネコで、スリスリ近寄ってきたり、平気で喉をゴロゴロさせてくれたりと、もう可愛くて^2。

で、多分近くの人(それも1人や2人ではない様子)からエサを貰いなれているからか「エサくれ～」とフンフン手に鼻を近づけるので、参加者の1人が余っていたお菓子の1つである「抹茶味のクッキー(ガレット?)」をあげようと近づけたところ、匂いは嗅いだけどプイッとソッポを向いてしまいました(苦笑)。
(バタークッキーは美味しそうに食べていましたけれどね……自分の手の平の上で食べるくらい人慣れしているようでw。)

お疲れ様でした～＞SKUF Meeting#03

杏酒ボトル半分空けたら、見事翌日は二日酔いでした。orz
(それほど痛くなかったのは、せめてもの幸いというところか?)

……と、お約束の後日談はここまでにして(笑)、SKUF Meeting#03参加者・関係者の皆様、お疲れ様でした。m(_ _)m

（以下つらつら～っとメモ）

話すスピード速くて聞き取り難かった方、済みません。m(_ _)m　もう癖なのは分かっているのでゆっくり話そうと意識はしているんですが、ついつい……(反省1)。

あと資料が見にくくて済みません。m(_ _)m　結構な人が印刷 or ダウンロードしてくれているのを見て嬉しい反面、紙を使わせてしまった事に心苦しさを感じてしまいました(反省2)。

やはりディスカッションのスタートダッシュは遅いよなぁ(1本目であるSさんの時)……これは互いに様子見しているからなのか、牽制し合っているからなのか……自分の時は既に場の空気を掴んだ人が多いからか、結構スムーズにディスカッションに入れましたけれど。

DACさんの処のイメージは、正しくその通りだと思います(苦笑)。まぁ、全員が同じ立場ではないので、齟齬(そご)が出るのは仕方が無いかなぁ……と思っています。壁のこちら側と向こう側を分ける差……色々あるけれど、事「企業のケース」で言えば「トップの認識」が大きいと思います(「セキュリティ≒(ネガティブな意味での)保険」のイメージとか)。

とは言え、色々な人の意見を聞けたのは嬉しい限りです(多謝)。

（まーさんのコメントに対するレス+補足）ディスカッションでの立場の齟齬は寧ろ当然……つーか無い方がおかしいですヨ。あれだけ立場がバラバラで齟齬が無い方が不気味かも(苦笑)。自分が「齟齬があるかなぁ……」と思ったのはディスカッション自身ではなく「上手く行っている組」と「そうでない組」（勝ち組・負け組という言葉があまりにもアレな感じでイヤなので……）を分ける壁という意味でです。無論最初から上手く行っている処なんて何処も無く、一生懸命苦しんだ結果、上手く回るようになったか、まだ苦しんでいる最中（現在進行形）なのか、という程度の差（ほんの僅かな差？）なのかなぁ……という感じをしています。

確かネタの1つとして出た「セキュリティインシデントを起こした人が、指導する立場にしてしまう」……というのは良いアイディアだと思います。これは良く言われますが「教える事＝教わる事」（正しく他人に教えるには、自分が正しい知識を身につけなければならないから）という事からも、良い方法の1つだよなぁ……と思っています。

えーと、マジメなネタはこの辺までにして(どうせ他の人がレポート挙げてくれるサ(マテ))、終了後～懇親会にかけての雑記をw。

既に画像をアップしましたが、ネコ～(Love)。もうね、可愛くって^2、お持ち帰りしたい事請け合い(マテ)。

流石にアルコール度数15度の酒をボトル半分ってのは効きました。orz

料理ウマー、ボリューム多い～(喜)、これで飲み放題付けて3.5k円ですか?!……うーん、安ひ……。今度から使わせてもらおうっと(笑)。

併記された中国語のメニューが(笑)……「天然椰子汁」って(ヲ。(正解は「ココナツジュース」の事。)　あ、でもサッパリした甘みで美味しかったですヨ。

「某Y21さんの脆弱性検証」を生(間近)で拝見w。でも、自分も昔はあんなんでしたよ(マヂ)……ほんの些細なキッカケと場数さえ踏めば、素材(外見・性格)は良いのですから、結構モテるのでは？

座席移動後は、近くの人と色々な話で盛り上がる。一番盛り上がったのはウィルコムのPHS話。「京ぽん(1・2)は小さいPCである」「W-ZERO3は愛さえあれば大丈夫w」は(ヲ・笑)。

流石に今回は1次会の終了が遅かった事と、何やら■い人ばかり(マテ、でも背後から聞こえるヤバい会話は……(ガクブル))だったので、2次会参加は見送り～……どうなったんだろうなぁ？

第3回 SKUF Meeting開催のお知らせ

SKUF Meeting 開催案内 - SKUF公式Site

えーと、今回は何故か自分が講師をする事になりました(マヂ)。
いやぁ～、結構前から(自分以外に)誰が講師をするのか、何をテーマにするのか、何時何処でという情報は知っていたんですが、当然公言する訳にもいかないので、半分ヤキモキ、半分ドキドキで告知されるのを待っていました(笑)。

勉強会とは言いますが、単に講師の話を聞くだけの講習会ではなくディスカッションが非常に熱いのが特徴です。
更にセキュリティに詳しくなくても全然OK(寧ろそのような人達の率直な意見を聞きたかったりします)ですし、非常にフレンドリーな雰囲気ですので、時間とお金に都合が付く方は是非参加してみては如何でしょうか？
---
【開催日時】
2006/6/17(土) 13:30～16:45

【開催場所】
大田区産業プラザ(PiO)

【参加費】
一般は2,000円
20歳未満(U-20)、または学生は無料

【その他】
勉強会終了後、懇親会が行われます(寧ろコチラが目当てだという人も(笑))。

【参加方法】
この記事トップのリンク先に記されている参加申し込みアドレス宛てにメールを送って下さい。
詳細はSKUF公式Siteを参照して下さい。

20065/6/8現在 30名の定員に達したとの事。
(30名Over後はキャンセル待ち……ですね。)

【資料の事前公開】
ココからダウンロードできます(PDF形式)。
出来れば資料は印刷して持ってきて頂ければ幸いです(ちょっと画面で見るには文字が小さかったかも……)。
---
皆様の参加を心よりお待ちしております。m(_ _)m

(メモ04)何が人を突き動かすのか？

資料の事前公開に伴うメモは今回で最後です～。
---
何が人を突き動かすのか？……何でも良いんですが「よし、やろう!!」と思い立つまでのキッカケ(と言うか動こうと判断させるための材料)は何か？、というのを考えると、実は結構面白かったりします。

まぁ……「お前、やれ」と命令権のある人から言われれば、仕方なく動くというケースもありますが、これはワーストケース（命令されるという行為に対する苦痛から逃れるために「重い腰を上げる」訳ですから、その効果は押して知るべし）で、やはり「動く事によって、自分にとってメリットがある」、つまり「欲求を充足する事ができる」と判断したから動くケースが多いのではないかと思います。
（心理学をかじった事がある人なら「マズロー(Maslow)の欲求階層説」あたりが当てはまりますね……経営学ならば「動機づけ理論」という名前で聞いた事があるかと思います。）

自分の趣味(好きな事)には寝食を忘れて没頭するという事ってありませんか？(私はあります。)
このケースは良いケースで、自分の趣味、つまり好きな事を行う事で精神的に充足される(欲求が満たされる)という事が定着しているため、多少辛くても「楽しい」と思えて時間も忘れて没頭してしまうという訳です。

じゃあ「セキュリティ対策は？」と言われると……皆さんもご存知の通り、全く逆、「辛い」「苦しい」「面倒くさい」「訳分からない」とネガティブな要素が定着してしまっているため、アンチウイルスは入れない(更新しない)、Windows Updateも実施しない...etc...という状況に陥っている訳です。

この状況を改善するアプローチとしては2つ。
1つは「慣れる」という方向……面倒なのは確かだけれど、繰り返し実施する事で早く終わるようになり「苦痛から開放される時間が短くなる」「苦痛のレベルが低くなる」という結果から「まぁ、仕方ないか」と慣れさせる方向性。
もう1つは「セキュリティ対策＝自分の欲求を満たす行為である」と思い込ませる方向、つまりポジティブな方向に転換してしまう方向性。

前者はルーティーン作業（工場の流れ作業や、日常の雑務）には向いていますが、セキュリティ対策は……と言われると、ルーティーンでないケース(ex:危険性の高いメール……ウイルスメール、詐欺・迷惑メールの処理)も多く、こっちの方向性ではないかなぁ……と。
となると、多少無理やりでも構わないので「あ、セキュリティ対策は自分にとって良い(欲求を満たす)事なんだ」と思わせる方向で頑張るのがベターではないかなぁ……と思っています。

要はですね、恐らく皆さんは「セキュリティ＝自分にとってメリットがある事」というイメージが定着しているからこそ会場に来られるんでしょうが、そのイメージが定着したキッカケを思い出しつつ、「こんな人だったら、こういう攻め方をすると、良いイメージをすり込めるのでは？」という事を一緒に考えてみましょう、というのが今回の(自分なりに設定した)テーマだったりします。
---
……と、ダラダラととりとめの無い駄文(ヲ)を4本アップしてみましたが、如何でしょうか？

では、当日会場で皆様とお会いできる事を楽しみにしております。(^o^)/

日本側では情報は出ていないようですが……＞Yahoo!メールのウイルス

Yahoo!メールの脆弱性を突く“ゼロデイ”ウイルス出現，メールを開くだけで感染 - ITPro
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』，サイト管理者は注意を」---専門家が警告 - ITPro

Yahoo!! Japan側には、今回のウイルス騒ぎに関するお知らせ等が載っていないようなので、もしかしたら関係無い(対策済み?)なのかもしれませんが、念の為……。
---
今週頭(6/12)頃から、米Yahoo!のWebメールサービスをターゲットとした新種のコンピュータウイルス(※1)が登場しました。

既にYahoo!側では対応済みとの事ですが、不審なメールは開かず削除しましょう!!。
---
(※1)アンチウイルスベンダー各社の名前は次の通りです。
シマンテック　　　JS.Yamanner@m
トレンドマイクロ　JS_YAMANER.A
マカフィー　　　　JS/Yamanner@MM

(メモ03)議論の前提条件

肝心な事書くの忘れてました。

今回のお話、特に議論時の前提条件ですが。

「セキュリティ対策にはお金(予算)がかかる事、そして予算は有限である。」
「セキュリティ対策は手段であって目的ではない」

ちょっと学生さんだと実感し辛いかな?　それと「(悪い意味での)セキュリティ原理主義者(藁)」だと反発する向きもあるかもしれませんが、これが現実です。

企業・組織が何のためのセキュリティ対策を行うのか、それは一重に企業・組織の目的を達成するために必要な行為であると認めた(勿論認めるのは組織の長(社長とか)や、長が委任した人ですヨ)から行うのであって、セキュリティ対策をしたいからする訳じゃありません。

そして組織が動くために決める事として「予算」がある訳ですが、当然身の丈に合わない予算は組めない(倒産するから)ので、限られた枠の中で予算を組む事になります。
で、問題なのは「予算はセキュリティ対策だけに使われるのではない(寧ろそれ以外の用途の方が多い)」という事です。
予算という「限られたパイ」をどの位に切り分けるか、色々に部署が争奪戦を繰り広げる訳です(年度末の風物詩ですなぁ(笑))。
セキュリティ対策というのは、企業・組織の直接の目的達成には結びつかないケースが多く、結果として優先度が低く付けられてしまう(＝少ない予算が割り当てられる)事が殆どです。

ついでに言うと、セキュリティ対策という枠では通常予算は組みません。「IT化予算」等の「情報システムの導入・運用費」の一部分として「セキュリティ対策費」が枠を割り当てられる(どの位と言うと難しいですが、昔N+I Network Guideに出た記事によると、IT化予算の1/10程度だとか……)ので、少ない予算の更にごく限られた金額で、組織全体のセキュリティ対策を実施していかなければならないというのが、現実なのですヨ。
(もうね、心の中で「予算少ない～」と涙を流しつつ、アチコチからプレッシャーをかけられつつ地道な仕事に勤しんでいる訳ですよ、情シスというのは(苦笑)。)

この前提条件を心の片隅に置きながら、資料を読んだり議論をしないと、歯車が噛みあわない事請け合いですのでご注意下さいませ。m(_ _)m

(メモ02)「エンドユーザ向けセキュリティ教育＝リテラシー教育」ではない?!

今回、事前公開された資料の4P(今回のお話の定義)に……
---
（リテラシーの内容も含むが）指示・命令に近い性質を持つ
---
……の一文があり、「アレ？」と思われた方もおられるのではないでしょうか？

まぁ、確かに普通は「エンドユーザ向けセキュリティ教育＝リテラシー教育」ですよね。

でも、事「企業・組織の中」においては必ずしもイコールではないんですよ。
と言うのも……

企業・組織内の規定（ローカルルール）に関する事も教育内容に含まれる。

ローカルルールには、リテラシーにそぐわない内容(一般的にはより厳しい方向・限定的な方向になりますが)も含まれる。

ローカルルールは所詮「限定された範囲でのお約束」なので、その組織から外れた場合には流用は殆ど効かない。
……という事から、あのような一文が入る訳です。

この辺は、後で簡単なイメージを付けた方が分かりやすいかも……ちょっと検討します。

例を挙げるなら「ネット上で転がっているフリーウェア等の導入」かなぁ……

リテラシー教育では「ちゃんと素性を確認した上で、At Your Own Riskで導入、利用する事。また定期的にバージョンアップを行う事(セキュリティホール潰しのため)」……辺りが教えられる(はず)。

企業・組織内では、次のパターンが考えられます。

• 勝手に入れるな!!(例外無し)
• 勝手に入れるな!!(例外有り、ルールに従えばOK)
• 特定のモノは入れろ(バージョンアップは勝手にするな、指定されたバージョンを使え)
• 特定のモノは入れろ(バージョンアップは各自で行え)
• リテラシーと全く同じ、各自自己責任で　……etc……

……とまぁ、リテラシーで教えられた内容とは異なるケースもあるヨ、という事を頭の片隅の中に置いて頂くと、資料も読みやすくなるかなぁ……という事で。

驚かなくなったって事は……

セガトイズからメールアドレス1万2639件流出 - ITMedia
「DION」400万人分のユーザー情報流出　KDDI小野寺社長が謝罪 - ITMedia
まぁ、今更「万単位」での件数の個人情報漏洩が出てきても驚かなくなったのは良い事なのか悪い事なのか(マテ)。

それより驚いたのは、テレ東系で夜中放映している「ワールドビジネスサテライト(WBS)」で昨日放映されていた「しごとびと」の方。
アクセス探偵ならぬリアル探偵の方のお話で、企業から依頼を受けた探偵が、社員が持ち出した個人情報(顧客情報?）の売買の現場を押えるという記事でした。
いやぁー、もうね、本物の売買現場の映像が流れていたという事もあり、生々し過ぎましたヨ(笑)。

もう1つビックリしたのは、ブラックマーケットにおける個人情報の価格が実は上がっているとの事……てっきり下がっているのかと思いきや、個人情報保護法の施行に伴い入手が難しくなってきている事から、結構な値段が付くケースもあるのだとか……。
(具体的な価格例も放映されていましたが、ココで書くとアレなので書きません。)

月刊MS 2006/6号

2006 年 6 月のセキュリティ情報 - Microsoft
今月は計12本(内1本はExchange Server用なので、実質11本) + 悪意あるソフトウェアの削除ツール(MSRT)と盛り沢山です(ヲ。

MS-Office用のHotFixも含まれているので、Microsoft Updateをサクっと実施が一番簡単ですヨ～。
(Office 2000を利用している方は、別途Officeのアップデートを実施する必要がありますが……。)
---
今月からMSの情報が少し見やすくなっています。どのHotFixがどのソフトに関係するのかが表形式になっているので、読みやすくなっていると思います……お疲れ様です。＞中の人

今日は情報処理技術者試験の結果発表日なのだが……

受験票を自宅に忘れてしまったため、まだ合否が分かりません。orz

自宅帰り次第確認せにゃ……。
--
(2006/6/13 23:15頃追記)
不合格でした。orz
---
受験番号 SVxxx - xxxx の方は，不合格です。

午前試験のスコアは，650 点です。
午後I試験のスコアは，580 点です。
午後II試験の採点結果はありません。
---
午後Iで足切り(20点不足)。orz

……来年は頑張ろう……。

(メモ01)お話の対象範囲について

折角SKUF Meeting用のカテゴリを作ったので、ボチボチとメモをアップ……。
---
(01：今回のお話の対象範囲について)
今回は「企業・組織の従業員・職員向け」という事でお話をさせて頂く予定です。
なので学校関係者(先生・事務員など)や学生の方はちょっとゴメンナサイって事になります。m(_ _)m
(まぁ、学生さんには、会社等ではこんな感じなんだよ～って事で参考になる……のかなぁ……(苦笑)。)

逆に教育現場におけるセキュリティ教育の現状や問題点などを教えて下さいって感じですね。(^-^;)ゞ

教育現場でのセキュリティ教育の難しさって(今回の出番のキッカケとなった、前回AMの部のライトニングトークでもN先生が触れていましたが)「学生はお客様である」という点なのかなぁ……という気がしています。
(他にも人生経験が不足し、思慮不足に陥りやすい傾向にあるというのが、参考資料でも挙げたIPA調査レポートでも顕著に現れていたりしますが、それはまた別のお話という事で。)

流石にお客様相手に「ああせい、こうせい」と指示・命令は(普通は)出来ませんよね(良くて「お願いします」と平身低頭で)。
でも、あまり勝手気ままに学校LAN内で暴れられてもインシデントは学校が負いますから、どう上手にコントロールしていくかで頭を悩ましている方が多いのかなぁ……って気がしています。

うーん、何か良い解決方法はあるのかなぁ……。

物欲が刺激される(藁)

【インタビュー】バッファローの高速CF「RCF-R」シリーズの秘密～速さを追求するバッファローの試み - デジカメWatch

そろそろCFで2GB程のメディアが欲しいところ……候補の1つにでも入れておきますか(笑)。
---

そもそも、デジカメ用のメモリカードを選ぶ人は、ブランドで選ぶ人、価格で選ぶ人に二極化されていると思います。ブランドで選ぶ人にとっては、残念ながらバッファロー製品というのは購入対象になっていないことが多い。
(「【インタビュー】バッファローの高速CF「RCF-R」シリーズの秘密～速さを追求するバッファローの試み」(デジカメWatch)より引用)

---
うん、確かにブランドで選ぶなら残念ながらバッファローは対象外です(苦笑)。ブランドで選ぶ人はまず間違いなく「サンディスク」製、それも「Extreme III」なんて超高価(※)なモノしか目に入らないでしょう(藁)。

自分はそこまで高速に撮りまくる人ではないので、普通の速度さえあればOKなんですけれどね。
-----
デジカメアイテム丼：東洋リビング 「オート・ドライ ED-101SS」 - デジカメWatch
電動式防湿庫……欲しい(笑)。
今は密閉式プラスチック製防湿庫にシリカゲルを入れて利用しているんですが、シリカゲルのメンテ(再生・交換)が結構面倒だったりします。
今はあまり連続稼動させても電気代がかからないようなので、小さいのでも1つあると便利だよなぁ……と思ったり。
---
(※)CFとしては最高性能の転送速度を誇ります。それに応じて価格も他社製品と比較しても2倍以上します(苦笑)。でも、爆破にも耐える耐久性を持つ事から、プロは必ずと言って良い程1枚は持っています。