Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

ISO/IEC 27005:2008だけど……

2009-08-18 16:47:09 | セキュリティ(技術者向け)
世界のセキュリティ・ラボから:セキュリティ・リスク管理の新たな標準規格「ISO/IEC 27005:2008」 - ITPro
まっちゃさんの処経由。

この記事を読むとまるで新しい規格が策定されているかのように見えるけど、実はGMITSベース(げふんげふん)。
(とは言え、監査関係の規格については、最近はフレームワーク(※1)化している事から、別におかしい話ではないんですが。)

なのでGMITSを予習しておくと幸せになれるかも……って、個人で買える代物じゃない(※2)ですが(苦笑)。
---
(※1)各種プログラム言語におけるフレームワークに近いイメージと思って頂ければ。監査って(一部を除き)ターゲットが変化しても結局やる事はあんまり変わらなかったりするので。
(※2)価格的にも、物理サイズ的にも(ヲ 職場にフルセット(対訳版)が1組転がっているんですが……ええ、あまりの厚さに腰を抜かす位。

確かに微妙に検索結果が違う>Google 次世代Web検索アーキテクチャ

2009-08-11 15:59:03 | 雑記
Google、次世代検索アーキテクチャをテスト公開 - ITMedia
軽く触ってみたが、確かに微妙に検索結果が違う。
  • 検索キーワードがサイトのタイトル(省略形含む)に該当する場合、サイトトップのみが引っかかる可能性が高い
  • 同じ位のページランクの場合、該当するキーワードが早く出てくる方が上位に出てくるっぽい?
  • ハンドルを入れて検索した結果、勝手に生成されるページ(例えば自己診断系サイトの結果とか)が排除され、より的確なページが上位に表示される

    1つ目は「セキュメモ」で検索した場合、現行のバージョンだと何故かトップには2008/8分の記事がトップに来るのだが、テクノロジープレビュー(TP)版だと、ちゃんとセキュメモTOPがトップに来るようになっている。

    2つ目は「勉強会」で検索した場合、1・2位は変わらないのだが、3位に表示される結果が異なる。両方共「はてなキーワード」なのだが……
  • 現行……まっちゃ445勉強会とは
  • TP版……勉強会とは
    ……と、検索する側が想定している回答に、より近い結果が出ているのではないかと想定される。

    3つ目は自分自身(f.koryu)のハンドルで検索した場合、現行では自分では入力・生成した覚えが無い自己診断系サイトにおける回答結果へのリンクが1ページ目(1~10件目)までに表示されるのだが、TP版ではバッサリ削られ、記事にキーワードが含まれている or URIに含まれているページが上位に表示される事から、ゴミ(ノイズ)除去を行う判定ルーチンが強化されたなのではないかと想定される。

    TP版とは言え、思ったよりも使えそうな感じ。

    • たーいーふーうー

    2009-08-11 11:47:50 | 雑記
    ……が近付いている筈なのだが、職場周辺は見事に晴れている。
    ええ、本当に近付いているのか?、と思うくらいに。

    予想天気図などを見る限りでは、思ったより雨の領域が南を通過しそうな感じ。
    ここ数日の集中的な豪雨で地盤などが緩んでいたりする事を考えれば、風雨が強くならないで済むってのは幸いな事なのかもしれないけれど。

    じーしーんー

    2009-08-11 11:41:48 | 雑記
    ……ごめん、朝いつも通りに起きてニュースを見るまで発生した事に気づきませんでした。orz
    (自宅周辺では、一昨日(8/9)の地震の方が揺れていたので。)

    知り合いが静岡の方におり、通勤途中でメールしたのだが、幸いにも被害は無く一安心(このメールにはオチがあるのだが、それは別の場所で書く事にします)。

    実は世間で言われているほど、そんなに具体的ではない>PCIDSS

    2009-08-10 09:36:09 | セキュリティ(技術者向け)
    オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」? - @IT
    ヤマガタさんの処経由。
    自分の方も本業の忙しさにかまけていて、なかなかチェックできていなかったんですが、v1.2がリリースされてから10ヶ月程過ぎ、色々と動きがあるようなので、時間を作って見ていきたいと思います。
    PCI DSSはあくまで基準ですので、具体的な数値やパラメータで表せるものは記述されていますが、やはりOSに依存する部分、アプリケーションに依存する部分、もしくは業務や環境全体に依存している部分など、さまざまな部分にあいまいさが残っています。PCI DSSは時間がかかるしお金もかかる、準拠がすごく難しい、という声も耳にしますが、手を付けはじめてみると、その本当の難しさは、PCI DSSのあいまいな部分にあることに気付かれることと思います。
    (「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」?(@IT)」より引用)
    あー、確かに読んでみると「あいまいな部分」が散見されますねぇ。
    確かにISMS(ISO/IEC 27001)よりは具体的な項目が多いんですが、規格(と言うかベストプラクティス)という性質上どうしても曖昧な部分が残らざるを得ないですし、その部分は自分の処の状況と照らし合わせてみて、どこまでやるのかを自分で判断し、自分で示すしかないですね。

    あと……
    最もよくみられるミスは、脆弱性スキャンをもってペネトレーションテストとしてしまうことです。脆弱性スキャンとペネトレーションテストは、手法も目的も異なると考えるべきです。
    (「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」?(@IT)」より引用)
    ……うん、確かに勘違いしやすいかも。
    ペネトレーションテストの「ペネトレーション(penetration)」には「貫通、侵入」などの意味があり……

  • 穴(セキュリティホール)を見つけるまで……脆弱性テスト
  • 見つけた穴(セキュリティホール)を使って実際に侵入できるかを確認するところまで……ペネトレーションテスト

    ……と覚えておくと良いでしょう(だから「手作業による確認(Exploit)が含まれているか」という言葉が出てくる訳ですね、機械的な検査だけだと、どうしても本当に侵入できるかまではなかなかできないので)。
    ●PCI DSSに準拠するための3つの重要なポイント

    1. 文書化すること
    2. 文書化すること
    3. 文書化すること
    (「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」?(@IT)」より引用)
    ウハハハハ、確かにその通りかも(笑)。これはPCIDSSに限った話じゃなくて、ISMSでもプライバシーマーク(JIS Q 15001)などの他のセキュリティ規格でも通じる話ですね。

    • [matcha445#08]今回は感想なし>わんくまっちゃ4(ry

    2009-08-10 09:16:06 | セキュリティ(技術者向け)
    今回は本当に感想、雑感なしで。

    「えー、何で?」と思われた方、実は……
    途中で離脱(早退)しているから
    ……という理由のため。
    体調が悪いのは完全に自分のミスなんですが、まぁ色々と、諸々とあったりした訳で(実際、今も体調が少し、いや、かなり悪いかも……とは言えそんなに休めないし)。

    何せ2コマ目(おやつ休憩前)にはソッと離脱し、おかしなんて口にしていませんので「おいしかったですw」とも言えない訳で(写真を見る限りではWAFぢゃなくてワッフルだったみたいですが)。

    次回は8/29(土)のようですが……先に言っておきます、完全に無理です。orz
    (本業の方で3/4程死んでいる筈ですし、プライベートの方でも色々と用事が入ってるので。)

    最近遊んでいるゲーム(アーケード編)

    2009-08-07 09:30:41 | Game
    ゲームネタを最近書いていなかった(別館:ドルオンネタは別)ので、最近遊んでいるアーケードゲームのネタを1つ。

    jubeat repples(Konami)
    一昨日(8/5)にリリースされた「jubeat」のバージョンアップ版。版権曲(オリジナル/カバー共に)大幅増量したのが最大の特徴。

    ……何気にアニソンやらドラマの主題歌やらCMソングやらTV番組のテーマソングが多いのは気のせいじゃないかも(ヲ
    個人的お気に入りは次の3曲。
  • Garden of Love("MAKAI feat.青山テルマ"歌唱のカバー版)
  • 情熱大陸(TBS系同名番組のテーマソング)
  • にんげんっていいな("ガガガDX"版(日産セレナのCMソング)、オリジナルは「まんが日本昔ばなし」のEDテーマ)
    -----
    BORDER BREAK(SEGA)
    こっちは現在ロケテ中(正式稼動は9月)だけど、幸い地元にロケテ店があった事から、ほぼ週末限定でプレイ中。

    ロボットモノが好き、FPS/TPSが好きなら多分ハマると思う。
    現在「B4クラス」まで何とか昇格……まぁ週末限定プレイヤーとしてはまあまあの成績かと。

    • 買ってしまった>アンブロークンアロー 戦闘妖精・雪風

    2009-08-03 10:07:42 | 
    アンブロークンアロー 戦闘妖精・雪風 - ハヤカワ・オンライン
    小島先生の処経由で出ている事を知り、週末地元の書店で購入。何か久々にハードカバー本を買ったような気が(ヲ(※1)

    続編モノなので、予め前2作(※2)を読んでいないと楽しめない(話の大筋が掴めない)のは仕方がないとして、普通の人が抱く「SFのイメージ」とは全然異なり、メカメカしい描写は少なく、どちらかと言えば人間の内面的な描写の方が多い事から、「SFってどうも……」という方でも読めるかと思います。

    この話の続きが非常に気になるのだが、続編が出るのは一体何時の事やら(汗)(※3)。
    ---
    (※1)普段は物理スペースの関係上、文庫版を優先して買う事が多いので。
    (※2)「戦闘妖精・雪風<改>」および「グッドラック 戦闘妖精・雪風」の事、いずれも文庫版が出ています。
    (※3)前作「グッドラック 戦闘妖精・雪風」の初版リリースから10年程過ぎているので、次は2019年か(マテコラ)。