PCIDSS v1.1を改めて読んでいる最中……

先日某T先生が出るという、某PCIDSSに関するセミナに出席。
前も1度さらっとPCIデータセキュリティ基準(PCIDSS) v1.1を読んだが、今改めて読んでいる最中……。
またネット上からも色々と情報収集をしているが、やや気になる事が。

何か特定の要件のみ取り上げて「あーだこーだ」と言っている人が見受けられるが……「とりあえず、まずは全文読め」と言いたい気分……(全文シッカリと読んだ上で語ってるなら、まぁ構いませんが)。

個人的に気になったのは以下の点。
---
●「要件xxを満たすためには○○が必要」というトーン
よくあるのが「要件6.6でWAF導入」というヤツ。正確には……

スペシャリスト(※1)による検査

WAFの導入
……のいずれか一方を満たせば良く、しかも何らかの理由で両方が無理というケースの場合、代替コントロールの提示さえシッカリ示せればOKだったりする訳で。
(尤も認証を受けようとする場合、監査(審査)員にOKと言わせなければいけない訳ですが。＞代替コントロール）

あと折角なのでWAFに関して言っちゃうと、「WAF設置しました、でも特に何も設定していないです」という、ある意味「ノーガード戦法」は通用しないので悪しからず(監査(審査)時は、その辺(設定情報)もシッカリ見るよ～との事)。
---
●とにかく「PCIDSSを満たさないとマズい」というトーン
対象になるのが「PAN(カード番号の事)」を取り扱うシステムなので、PANを全く取り扱わないシステムはそもそも対象外(ただし要件の[一部|全部]を既存のシステムに適用する事は可能……つーかかなり具体化した要件なので、他のセキュリティ規格に比べたら適用しやすいと思われる)。

仮にPANを取り扱うシステムがあったとしても、まずは「自己問診」からスタートするので、(取り扱う件数などの規模にもよるけど)大慌てして対策に走る必要はない。
もしPCIDSS準拠が必要だと思うなら、まずは自己問診から初めて、現状と理想(要求事項)との差を把握する事から。
---
●「Webアプリ『だけ』が対象」というトーン
別にWebアプリ(特にECサイト)が対象という訳じゃなく、PANを取り扱うシステムであればハード・ソフトは問わないというのが正しい(ハードウェア(デバイス)に関しては「PED(PCI PIN Entry Device)」という基準があるので、ソチラが適用される事になる)。
当然バックエンドシステムでPANを取り扱うのであれば、そこも適用対象範囲内になる。
---
●「技術的要件さえ満たせば……」というトーン
確かにISMSなんかと比較すれば技術寄りだけど、だからと言ってマネジメントシステムに関する要件が全く無いかと言われれば、それは「No」(要件12がシッカリ該当する)。

あと同様に物理的対策に関する要件がかなり乏しいけど、これはISMSなどの他の規格側でカバーできるからあまり記述していないとの事。

なので、PCIDSSに触れる時は「まずはISMS、次にPCIDSS」という感じの方がベターかも(無論ISMS認証を絶対に取得する必要性は無いが、あった方が「ちゃんと対策出来てるよ～」とは説明しやすい)。
---

いずれにせよ、この手の基準を読む際には個別の要件ばかりを見るのではなく、大きなレベルから「この要件は何を意図しているのか？」を読み取りながら読んでいかないと間違った解釈をしかねないので、その辺は注意が必要かと。
---
(※1)基準上では「アプリケーションセキュリティに特化した組織(an organization that specializes in application security)」という表現をしている。

右手小指を骨折して気付いた事

右手小指を骨折して2週間が過ぎようとしていますが……まぁ、こんな早々に治る訳もなく、相変わらずギプスを着けています(外せるタイプなのが不幸中の幸いと言うべきか……毎日アルコール綿で拭く事ができるので)。

で、2週間で気付いた事……というより再認識した事。

「物を握る時に、一番重要なのは小指」

……って事。まぁこれは元々剣道をやっていた事もあって、昔から知っていた(※1)んですが、いざ自分の身に降りかかると……結構厄介だなぁと痛感。

ちょっと力を込めて握ろうとする
↓
薬指に力が入る
↓
連動して小指にも力が入ろうとする
↓
痛いっ(T_T)

……という事を繰り返しております(だめだめ)。
---
(※1)竹刀を握る時に重要なのは「左手の小指と薬指」、他の指は打突の瞬間まで力を緩めると教わるので。

今回は参加見送り＞第5回 迷惑メール対策カンファレンス

迷惑メール対策には「オプトイン式」の法規制が不可欠 - Internet Watch
個人的には行きたかったのだが、諸々の事情で今回は見送り……。＞第5回 迷惑メール対策カンファレンス

オプトイン式の法規制が成立したからと言ってspamメールが急に無くなるという訳じゃないでしょうが、spamメールの送信が「割に合わない」行為と思わせるという意味においては、良い方向なのかなぁ……と思います。

それと……

なお、このセッションでは、経済産業省の取り組みの1つとして、実際に職員が出会い系サイトに登録し、実際に請求が発生するまでを追いかけるといった、おとり捜査のようなことまでしていることも明らかにされた。
(「迷惑メール対策には「オプトイン式」の法規制が不可欠(Internet Watch)」より引用)

……これはなかなか……うん、本気ですな。

当然……

「ドルアーガの塔」のアニメやゲームにシリーズ生みの親・遠藤雅伸が登場 - GIGAZINE

当然倒れていて「へんじがない、ただのしかばねのようだ」になっている(※1)んですよね(笑)。
---
(※1)「イシターの復活」の「DEAD END」にて、遠藤氏が過労のため倒れていたりする。DEAD ENDが「どん詰まり(袋小路)」のMAPであると同時に「死んだ(DEAD)遠藤(END)」に引っ掛けた洒落だったりする。ちなみにドルオン(Druaga-Online The Story of Aon)でもイシターの復活をオマージュした「女神の凱旋」というクエストが存在するのだが、「DEAD END」ではシッカリ遠藤氏が倒れている(死んでいる)のが再現されている。

風邪治らない……

実は先週頭から風邪を引いていまして……これが1週間過ぎた今日になっても治らないんですわ。

熱はさほどでもない(※1)……問題なのは鼻と喉。黄色っ鼻(※2)が止まらない、喉も痛い、そんな状況がかれこれ1週間。
当然マスク着用……寝る時も外せない状況が続いております。

周囲を見渡すと、結構風邪引いている人って多いのね。
特にゼボゼホ咳をしている人が……でもって、そういう人に限ってマスクをしていないという……頼むから喉・鼻の調子が悪い人はマスクをして欲しいと思う今日この頃。
(他人に迷惑をかけないという意味もあるけど、症状が緩和して少し楽になるという意味でも、マスクをした方がベター。)
---
(※1)37度は越えない……のだが、元々発熱に対して異常に弱い(36.5度でもフラフラ、37度を越えるともうアウト)自分としては、それでも結構きついのですが。
(※2)膿混じりの鼻水の事(鼻の粘膜上で免疫が働いている結果)。アレルギー性鼻炎の場合、多くは透明な鼻水なので、それで風邪なのかアレルギー性鼻炎なのかの(大雑把な)切り分けができる。

ネットワークセキュリティExpert8 買った

……何故か昨日(5/15)に、発売日は今日(5/16)のはずなのに(ヲ

マジメな話、昨日、情報セキュリティEXPO会場の技術評論社のブースに行ったら置いてあったので、購入してきたのですヨ。

……某電波娘のGMailのメアドに吹きそうになったのはここだけの秘密(マテ)。

「原田ウイルス」作者に執行猶予付きの判決下る

Winnyの「原田ウイルス」作者に、懲役2年・執行猶予3年の有罪判決 - Internet Watch
例の「原田ウイルス」の作成者に対する裁判(京都地裁)にて判決(懲役2年 執行猶予3年)が出たとの事。被告が控訴しなければこのまま確定ですね。

今回はウイルスを作成した事ではなく、「著作権(公衆送信権)侵害」および「名誉毀損(※1)」の罪で争われた結果になります。そのため、判決でもウイルスを作成した事については問われていないという点では注意が必要です。
(何故ならウイルス作成に関する法規制(所謂「ウイルス作成罪」)が、現時点では存在していないから。)
---
(※1)同級生の顔写真画像をウイルスに仕込み、さも写真の人物がウイルスを作成・流布したように見せかけた事が該当。

月刊MS 2008/5号

2008 年 5 月のセキュリティ情報 - Microsoft
今月は4本ですが、内1本はLive OneCare(※1)が対象……日本国内だとマイナーかもしれません。

今月分について、実は適用に際しては少し注意が必要になります。
2008年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 - JPCERT/CC
……の「II. 対策」以下の通り、先日配布が再開されたWindows XP SP3を適用していない方がMicrosoft Updateを「高速」モードで実行した場合、SP3しか表示されないという現象が発生します(※2)。

なので、Windows XPの方の適用手順はこんな感じになります。

(1.SP3適用済みの方)
いつも通りの手順(Microsoft Updateを実行→「高速」or「カスタム」ボタンをクリック→画面の指示に従う)でOK

(2.SP3未適用で、SP3を適用する方)

1. Microsoft Updateを実行
   
2. 「高速」ボタンをクリック
   
3. SP3を適用後、再起動
   
4. Microsoft Updateを実行→「高速」or「カスタム」ボタンをクリック→画面の指示に従う

(3.SP3未適用で、SP3を今すぐ適用しない方)

1. Microsoft Updateを実行
   
2. 「カスタム」ボタンをクリック
   
3. 「他の更新プログラムを確認する」ボタンをクリック→画面の指示に従う

……個人的にはSP3は早い段階で当てて欲しいのですが、どうやら一部のPCで障害が発生している模様との事。この辺りを参考に、SP3を適用しても大丈夫か情報収集してから適用するのがベターという事で、現(2008/5/14)時点では3番のパターンを推奨します。
---
(※1)MS謹製アンチウイルスソフト……なんですが、日本だとシマンテック社やトレンドマイクロ社製のアンチウイルスソフトが主流で、日本ではやはりマイナーかも。
(※2)この辺りが参考になるかも。

右手小指を骨折

突然ですが……右手小指を骨折してしまいました。

以下、病院での会話。

医者「うわー、酷い(腫れと色(※1))なぁ。指曲がる？」
自分「はい、一応」
医者「じゃあ念の為にレントゲンを撮る(※2)から」

(レントゲン撮影後)

医者「見事に折れてるねぇ」
自分「折れてますねぇ(笑)」

そりゃもう「ヒビ」なんてレベルじゃなく、モノの見事に真っ二つに(ヲ

ギプスを作ってもらったんですが……今はグラスファイバー製のモノもあるんですね。お陰で数分で作成完了。
取り外しも容易なので、風呂上りに外して乾燥→消毒→再装着が出来るし、何より軽いのであまり気にならないです。

問題なのはキーボードを叩く時と、特に筆記する時。タダでさえ悪筆なのに、更に悪筆になるってのが(汗)。
---
(※1)内出血していたために、小指の先が青黒く腫れていました。
(※2)一般的に曲がる時は骨折している可能性は低い……と言われているんですけれどねぇ(苦笑)。

眠ひ……

寝ようとしてうつらうつらしていた時にグラグラっと……ええ、1:00～2:00頃にかけて発生した茨城県沖の地震のお陰で、十分に眠れていません。(T_T)

お袋曰く「結構長く揺れていたよね～」と……気象庁の地震情報のページで確認すると最も規模が大きかった1:49発生の地震以外にも、断続的に何回も発生していた……そりゃ長く揺れていたと感じますがな。

(for IE7/IE8(ベータ版)ユーザ)WinXP SP3を当てる前の注意事項

XP SP3インストールでIE 7が削除不可能に、MSが注意 - ITMedia
一次ソース(IE開発チームによるブログ)はココ。
先日5/6に配布が再開されたWindows XP SP3について、Internet Explorer 7(IE7)およびベータ版Internet Explorer 8(IE8(ベータ版))をインストールしているPCにSP3を当てると、IE7/IE8(ベータ版)のアンインストールが出来なくなってしまう(※1)という現象が発生する事が報告されています。

とは言え、コレはバグではなく仕様(※2)との事。どうしてもアンインストールしたいのなら……

1. SP3のアンインストール
   
2. IE7/IE8(ベータ版)のアンインストール

……という手順を踏むようにとの事。
また、SP2の段階で一旦IE7/IE8(ベータ版)をアンインストールしてからSP3を適用、再度IE7/IE8(ベータ版)をインストールすれば、SP3上でもIE7/IE8(ベータ版)のアンインストールができるようになるとの事です。

まぁIE7についてはともかく、Webシステム開発などの理由でIE8(ベータ版)を導入しているPCについては、SP3を当てる前にIE8(ベータ版)を一旦アンインストールするのを忘れないように……という事で(※3)。
---
(※1)具体的に言うと「コントールパネル」→「プログラムの追加と削除」にて、IE 7の「削除」オプションがグレーアウトされてしまい、選択できなくなる、という現象との事。
(※2)ギャグではなく本当の事だそうで(セキュリティ的な理由から)。
(※3)将来IE8が正式にリリースされた時に「ベータ版を削除しないと正式版のインストールが出来ない」となったら、目も当てられませんので(苦笑)。

たとえ「*.go.jp」からのメールでも信頼してはいけない

たとえ「.go.jp」からのメールでも注意を - @IT
一次ソース(IPAからの報告)はココ。

4/16に実際にIPAから警告された「IPAからのメールになりすましたメール」の事例をネタにして、差出人(From:)欄が公的機関(*.go.jp)のメールであっても「変な(※1)」メールには注意が必要と〆ています。

ココを見ている方は耳タコでしょうが、Eメールにおける差出人(From:)欄は「自己申告」であって簡単に偽装できる事から、容易に信頼してはいけません。

……結局のところ、(携帯電話のメールも含めて)現状のEメールのシステムってのは、インフラとしては非常に信頼性の低い(※2)モノである事を念頭に置いた上で、「At your own risk」で活用して下さいってところに落ち着くんでしょうね。
---
(※1)最近は「不審な」という言い方より、コッチの方が「言い得て妙」という思いがあるのですが、如何でしょ？
(※2)元々「(インターネットの商用公開以前の)システムを分かっている人が使えるシステム」を(継ぎ接ぎしつつ)延々と使い続けているという点で、信頼性は低い……と。

GW中は……(2008年版)

ひたすら地元のゲーセンに引きこもり(?)っぱなし……どんだけダメ人間やねん……って感じですわ。orz
(プレイしているゲームは言うまでもなく……。)

まぁ、1回のプレイ時間が比較的長い事と下準備(※1)が必要なお陰で、あまりお金を使わずに済むのが幸いですが(平均して2,000円/日 も使っていない……この期間中下手にレジャーに出かけるとこんな額じゃ済まないですし)。
あとは地元のゲーセン仲間とタベっている時間もあるのも、突っ込んでいる額が少ない理由だったりします……お陰で最近は家でゲーム機立ち上げていません。


で、現在お仕事モードに頭を切り替えるために、情報収集中。
---
(※1)ゲーム中に持ち込むためのアイテム類の購入、装備の変更など……これらの行為はプレイ中には一切出来ないシステムなので。

ようやく一段落＞Webアプリ脆弱性調査

ようやく某Webアプリ脆弱性調査が一段落。実際に開発している側に見つかった脆弱性と対処方法について説明し、「よし、修正すっぞ」と思わせられただけでも大収穫かも……。

今回はちょっと実験色が入り、実機に対してではなく、仮想環境(VMware Server)上のWebアプリに対して検査するという手法を採ってみました。
具体的には「調査対象(実機)のディスクイメージを取得(※1)」→「仮想環境上に展開・再現」→「仮想環境上の調査対象に対して調査を実施」という感じ。
---
(メリット)

いくら調査でデータ等ブッ壊しても、スナップショット機能(※2)のお陰で安心して調査できる

同じく、実機への影響を最小限に抑えつつ(※3)調査できる

(デメリット)

予め仮想環境用のOS・アプリのライセンスを用意しておく必要がある(今回はクリアしていますヨ、当然ながら)

ディスクイメージを取得するために、一時的ではあるが、実機の停止・再起動が発生する(ディスクイメージ取得中は、当然ながらサービス提供は停止状態になる)

仮想環境上へ展開・再現するのが、意外と面倒

仕様上実機と構成が異なる(※4)ため、OS・アプリ側に起因する脆弱性については調査した結果が実機で調査した結果と異なる可能性が高い
---

今回一番ネックだったのが「仮想環境上への展開・再現」だったりします。
最初はVMWare Converter(Starter Edition)を使って、ディスクイメージを自動的にVMWare用に変換してやろうと目論んでいたんですが、イザ使ってみると「フォーマットが未対応」だとか抜かしやがるし……公式Site上でも対応していると謳っているにも関わらず(涙)。

今回は検査対象のOSがWindows系だったので「修復セットアップ」を活用して仮想環境へのすり合わせ(※5)を実施……これに気付くまでが長かった。orz

結果としては、なかなか良い感じ……デメリット部分を如何に回避するか、という方策さえ整えば、なかなか面白い事が出来そうかも。
---
(※1)今回は某S社の某Nというツールをベースにしたツールを活用
(※2)今回は使わなかったんですが、調査開始前にスナップショットを取得しておけば、簡単に元通り～っと(念のためディスクイメージそのものもバックアップしていましたが)。
(※3)調査によるシステムへの負荷や停止が避けられるという意味でもそうですが、それ以上に何時でも(自分達にとって都合の良い時間で)調査できるというのが大きいです。
(※4)そもそもハード構成から変化するので。
(※5)取得したイメージをそのまま展開後起動しようとしても、ドライバのアンマッチ等によりブルーバックが発生します。修復セットアップを行うと、この辺のハードに密接に絡む部分などがキレイサッパリ初期化される(でも保存されているデータは、ディスクフォーマットが行われない関係でほぼ残る)のですヨ。

過去3年間の個人情報漏洩に関するインシデント

過去3年で最悪の個人情報漏えい事故は - @IT
一次ソースはココ。
過去3年間(2005～7年)で発生した個人情報漏洩に関するインシデントについて、発覚しているケースではワースト3は以下の通りだそうで。

1. 大日本印刷 (8,637,405名)
   
2. 日産自動車 (最大 5,379,909名)
   
3. KDDI (3,996,789名)

ちなみにワースト4の朝日航洋が約900,000名……1桁違いますがな(如何に規模が大きいかが分かりますなぁ)。

何処から漏れたのかについて、外部からの攻撃が全体の2割強(21%)に対して、内部からが7割強(73%)……正しく「獅子身中の虫」。やはり内部統制・コーポレートガバナンスは重要だし必要って事ですよ。

あと、漏洩にWinnny等のファイル共有ソフトが絡んでいたケースは全体の3割(30%)だそうですが……これは「多い」と見るべきか「少ない」と見るべきか、正直迷う数字ですなぁ。