アーカイブ

2005 年 3 月 のアーカイブ

埼玉県:住基ネットに関しISMSとBS7799の認証を取得

2005 年 3 月 31 日 コメント 2 件

埼玉県が都道府県で初めて住基ネット業務に関しISMSとBS7799の認証を取得した。

住基ネットシステムのセキュリティ強化の対策を推進し、県民の安心の確保を図ります。

すばらしい!!

どこかの自治体はペネトレーションテストを行って、自組織の内部管理ができていないことが明らかになったにも関わらず、住基ネットは危険だ!というパフォーマンスを行っていたが、本来重要なのは危険を確認した上でそれをいかに安全な状態に改善していくかというプロセスのはず。

今後、このような本当の意味での県民の安全を考える自治体が増えることを期待したい。

■県住基ネットシステムにおけるISMS認証取得について(埼玉県)
http://prosv.pref.saitama.jp/scripts/news/news.exe?mode=ref&yy=2005&mm=3&seq=165

■埼玉県、住民基本台帳ネット業務でISMS認証を取得(アサヒコム)
http://www.asahi.com/digital/nikkanko/NKK200503300013.html

■埼玉県、住基ネット業務で都道府県初のISMS認証を取得(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0503/30/news080.html

カテゴリー: 情報セキュリティ タグ:

WiMAX事業化の勝算

2005 年 3 月 31 日 コメント 8 件

先日のエントリーで「WiMAXが今ひとつ盛り上がっていないのはなぜだろう?」と書いたところ、(だからというわけではないだろうが)CNETがこの疑問に答えるような記事を掲載してくれた。

WiMAXは技術としては広く待ち望まれているものだと思うのだが、まだ未知の領域でもありビジネスの進め方次第では痛いことになる可能性もある。

また既存の環境が十分に整備された環境ではそのありがたみが伝わりにくかもしれない。

今回の事業はWiMAXの広域での実用化の例として注目されているので、ぜひとも成功させてもらいたい。

【参考情報】
■WiMAXを使った鷹山の新通信サービスの勝算(前編)(CNET Japan)
http://japan.cnet.com/special/story/0,2000050158,20081798,00.htm

カテゴリー: 研究開発 タグ:

偽造カード被害補償に関するその後の動き

2005 年 3 月 30 日 コメントはありません

議員立法を狙う自民党合同部会、なんとか自主ルールで義務化を回避したい全銀協、その間で板ばさみとなっている金融庁と三者三様の思惑で大変なことになっているようだ。

カード盗難時の補償や、郵政公社、漁協、農協の扱いなどもありやはり法制化という動きになるのだろうか。

【参考情報】
■偽造カード問題:被害対策の中間まとめ了承–自民合同部会(毎日新聞)
http://www.mainichi-msn.co.jp/it/solution/news/20050329org00m300095000c.html

■偽造カード問題:対策で攻防 補償義務化、自民が法制化で合意(毎日新聞)
http://www.mainichi-msn.co.jp/it/solution/news/20050329org00m300092000c.html

■偽造カード被害補償策、自民部会が了承(Nikkei Net)
http://www.nikkei.co.jp/news/keizai/20050329AT1F2900M29032005.html

■盗難も補償対象に・カード被害で自民部会が了承(Nikkei Net)
http://www.nikkei.co.jp/news/keizai/20050329AT1F2900O29032005.html

■全銀協:偽造カード被害を銀行が補償する方針を決定(武田圭史)
http://motivate.jp/archives/2005/03/post_34.html

カテゴリー: 情報セキュリティ タグ:

フィッシング詐欺対策機能をもったツール

2005 年 3 月 30 日 コメント 1 件

東京スター銀行が「フィッシング詐欺対策機能をもったツール」を導入したらしい。通信先のIPアドレスの確認を行い、同銀行以外のサイトへのアクセスについて警告を発するようようである。ユーザがサイト上の「起動する」というボタンをクリックして、あらかじめインストールしたアプリケーションを起動することが前提で、ウィルスからの保護、入力内容のキーロガーからの保護などの機能も提供されるという。

IEにのみ対応しインストール時にセキュリティレベルを「中」以下に設定させ、「INCA Internet Co.Ltd」という一見銀行とは無関係の署名を持つActiveXを実行させたり、少し危なげな雰囲気も感じられる。

このツール「nProtect:Netizen」に関する説明サイトには「nProtectの機能」として「ウィルスの活動を常時監視」とあるが、「東京スター銀行のサイトを表示している間」だけウィルスによる被害を防止する機能が働くらしい。サイトで入力した内容が外部に送信されることなどによる被害を想定しているのだろうか。(他の説明箇所では「特定のサイト」という表現なのに、ここだけ「東京スター銀行」と具体名で記述されているのは校正ミス?)

銀行としてこのような具体的な対策に乗り出していることは歓迎すべきであるが、偽のActiveXを使ってトロイの木馬をインストールさせられたり、偽サイト上に設置した「起動する」ボタンのクリックでダミーウィンドウを表示させ保護されていると錯覚させられてしまう危険もありそうだ。

このような特殊なツールの導入はキーロガーへの対処などの面でメリットがあることは理解するが、オンラインバンキングのログイン画面にURLバーを表示するとか、SSLのサーバ証明書の確認方法をわかりやすく説明するとか、まずは基本的な対策を行う必要があるのではないだろうか。ツールを入れたから大丈夫というものではないように思う。

【参考情報】
■日本企業初!! フィッシング詐欺対策機能を持ったツールを導入(東京スター銀行)
http://www.tokyostarbank.co.jp/profile/pdf/050323.pdf

■nProtect:Netizen(ネットムーブ株式会社)
http://nprotect.jp/netizen/

■nProtect(INCA Internet)
http://jpn.nprotect.com/index.html

カテゴリー: 情報セキュリティ タグ:

ハニーポットと戯れる

2005 年 3 月 30 日 コメントはありません

ハニーポット(おとりシステム)を発見したり回避する手口についての資料がSecurityFocusに掲載されている。

今回新たに公開された「System Issues, Part 1」ではUser Mode Linux (UML)、VMware、chrootとjailsを使ったハニーポットの検出方法が紹介されている。

昔のハニーポットはそれ自身が脆弱性を持っていたり侵入者に簡単に検出されていたが、あまり進歩していないようだ。

大規模なハニーポットに関するプロジェクトとしてはLance Spitzner氏を中心に活動しているHoneynet Projectが有名で、日本でも2001年あたりからいろいろなプロジェクトが立ち上がったと記憶しているがその後どうなったのだろうか・・・。

個人的にはハニーポットを展開するまでもなく、それ以前にやるべきことが山積みだと思っているのだが・・・。

【参考情報】
■Defeating Honeypots: System Issues, Part 1(SecurityFocus)
http://www.securityfocus.com/infocus/1826

■Defeating Honeypots: Network Issues, Part 1(SecurityFocus)
http://www.securityfocus.com/infocus/1803

■Defeating Honeypots: Network Issues, Part 2(SecurityFocus)
http://www.securityfocus.com/infocus/1805

■The Honeynet Project(The Honeynet Project)
http://www.honeynet.org/index.html

■Know your Enemy:Tracking Botnets(The Honeynet Project)
http://www.honeynet.org/papers/bots/

カテゴリー: 情報セキュリティ タグ:

非接触ICタグによるマンションセキュリティシステム

2005 年 3 月 29 日 コメント 1 件

日立と三菱地所によるマンションセキュリティシステム「セキュリティカードと連動したフラッパーゲート(駅の改札のようなもの?)」を導入。居住者の入館時に不審者が入る「共連れ」を防止できるらしい。カードはリーダにかざす必要があるようなのでリモートからの無断読み取りによる危険性は低いのかもしれないが、防災センターの警備員に行動を監視されるのはやむを得ないというところか。

マンションのオートロックへのRFIDの利用はかなり普及しているが、キーレスエントリーなど利便性を高めるものが多く、ここまでアクセス制御を行う例は珍しい。エレベーターや階段利用時のカード認証、セキュリティカード発券機による来訪者の案内などの仕様が興味深いところだが、ご近所付き合いも難しくなりそうだ・・・。

【参考情報】
■マンションにICタグ、不審者の侵入防止に–日立と三菱地所設計(CNET Japan)
http://japan.cnet.com/news/sec/story/0,2000050480,20081528,00.htm

■ミューチップを採用したマンションセキュリティシステムを三菱地所設計と共同開発(日立製作所)
http://www.hitachi.co.jp/media/New/cnews/month/2005/03/0323a.html

カテゴリー: 情報セキュリティ タグ:

WiMAXが今ひとつ盛り上がっていないのはなぜだろう?

2005 年 3 月 28 日 コメントはありません

WiMAXは、一連のIEEE802.16シリーズに基づくWireless MANの規格で、国内では鷹山を中心に積極的な展開準備が進められている。計画が予定どおり実現すれば今年中には東京都内の広域で無線を使ったブロードバンド通信が実現することになる
現在の計画では、当初802.16-2004をサポートし、後に802.16eへアップグレードするとのこと。

広域の無線インフラが実現すれば定額IP電話など魅力的なアプリケーションが考えられるが、日本国内であまり話題になっていないのはなぜだろう?
まあ、VoIPも含めセキュリティの課題なども残っているかとは思うが・・・。

【参考情報】
■The IEEE 802.16 Working Group on Broadband Wireless Access Standards(IEEE)
http://ieee802.org/16/

■WiMAX推進計画の状況についてのお知らせ(鷹山)
http://www.yozan.co.jp/050325.html

■WiMAX hype peaks(The Register)
http://www.theregister.co.uk/2005/03/24/wimax_gartner_outlook/

■Tokyo to enjoy city-wide WiMAX(The Register)
http://www.theregister.co.uk/2005/03/18/tokyo-wimax/

カテゴリー: 研究開発 タグ:

生体認証と二要素認証が疑問視される理由

2005 年 3 月 23 日 コメント 7 件

以前のエントリー「全銀協:偽造カード被害を銀行が補償する方針を決定」で

米国では最近、生体認証や二要素認証の導入については疑問視する論調が主流。

と書いたところ、具体的にどういう理由によるものかという質問を受けたので補足する。

生体認証については、日本国内ではグミ指による認証対象の物理複製による攻撃が有名であるが、物理複製に加え認証処理に使用する電子データが複製された場合も含め、認証対象物を変更することができないことが問題視されている。つまり、生体情報はパスワードのように一旦漏洩したとしても取り替えることができないということが実用上の最大の問題となる。

また、二要素認証に関しては攻撃手法のトレンドとしてMan-in-the-Middleやトロイが広く用いられるようになってきているために、パスワード+ワンタイムトークンなど二要素を用いたとしても、認証情報だけをバイパスさせトランザクションを改ざんすることができてしまうことが問題とされる。オンラインバンキングのために二要素認証を導入するのは金の無駄遣いとまで言われている。

攻撃の敷居を高めるという意味で全く無駄ということにはならないと思うが・・・。

■全銀協:偽造カード被害を銀行が補償する方針を決定
http://motivate.jp/archives/2005/03/post_34.html

■モバイル機器の指紋認証デバイスに頼ってはいけない(崎山伸夫のBlog)
http://blog.sakichan.org/ja/index.php/2005/03/05/dont_trust_mobile_biometrics

■The Failure of Two-Factor Authentication(Schneir on Security/Communications of the ACM)
http://www.schneier.com/blog/archives/2005/03/the_failure_of.html

■Banks ‘wasting millions’ on two-factor authentication(SecurityFocus)
http://www.securityfocus.com/news/10694

カテゴリー: 情報セキュリティ タグ:

全銀協:偽造カード被害を銀行が補償する方針を決定

2005 年 3 月 19 日 コメント 2 件

全銀協が偽造キャッシュカード被害の保障について、預金者側に過失があることを立証できない限り銀行が補償する方針を決定したようだ。過去の被害者も救済の対象となるらしい。

すばらしい!!
これで銀行が偽造カード対策に、真剣に取り組むための環境がそろったともいえる。

金融庁は、外部の有識者らで構成する研究会で補償の在り方などを検討しており、月内に中間報告をまとめる。

今回の方針決定は金融庁の調査とはリンクしているのかいないのかタイミングが微妙。ちなみに、米国では最近、生体認証や二要素認証の導入については疑問視する論調が主流。

■偽造カード被害、過失なければ「原則補償」 全銀協方針(asahi.com)
http://www.asahi.com/business/update/0318/103.html

■偽造カード被害、「銀行補償」を原則に・全銀協(NIKKEI NET)
http://markets.nikkei.co.jp/kokunai/hot.cfm?id=d2y1800h18&date=20050318

■被害者補償を充実、銀行側に立証責任 全銀協(MSN毎日インタラクティブ)
http://www.mainichi-msn.co.jp/today/news/20050319k0000m020156000c.html

■預金被害の補償明文化へ カード偽造問題で全銀協(産経Web)
http://www.sankei.co.jp/news/050318/kei101.htm

■カード犯罪、海外は銀行が自主的全額補償 金融庁調査(asahi.com)
http://www.asahi.com/business/update/0319/002.html

カテゴリー: 情報セキュリティ タグ:

セキュリティ人材の行く末は?まずは活用プランの設定から

2005 年 3 月 18 日 コメントはありません

総務省「次世代IPインフラ研究会 セキュリティワーキンググループ(WG)」というのがあるらしい。

こうした総務省の人材育成施策については「法律的な素養や経営,人的リソースの使い方などの知識も含めないと,初級のセキュリティ専門家を育てるだけ」と,出席者の夏井高人弁護士がクギを刺す場面も。

技術の弱い専門家が現場にいると何かと邪魔なので、技術的素養は入り口として不可欠だ。ところが、ある程度高度な技術的要件を満たした上で、法律・経営というのをマスターしてしまうと通常の組織ではかなりスーパーな存在になり、コンサルティング業界などスキルを常に活用できるような環境以外では居心地が悪くなる。一般の組織ではセキュリティ人材がいたとしても活用しきれていないのが実情だ。(実際には他の分野で使われてしまう。)

また、この分野では経験により成長するという要素も大きいため、人材不足を理由に既存人材の活用をおろそかにしているといつまでたっても状況は改善しない。重要なのは人材育成でなく、外部からの人材も含め人を発掘・活用・維持するための制度・環境を整備することである。セキュリティ人材と呼ばれる人物が、組織のどのようなキャリアパスをたどり、どのようなゴールを目指すのかを明確にしないまま闇雲に育成したところで、組織内で飼い殺しになるか、有意義な人材であれば海外流出という結果に終わるだけだろう。

具体的な方策としては経営トップに向けたキャリアパスとしてCISOなどセキュリティ分野の要職を経由するよう設定し、さらにその前提として情報セキュリティに関する知識と経験を求めるようにすれば良い。これにより経営トップへのセキュリティ・マネジメントの考え方も浸透させことができるし、おのずと法律、経営の知識・経験も備えたセキュリティ専門家を実現することができる。

結局こう考えてみると、セキュリティ専門家に求められているのは「専門」というものを超越しているようにも思われる。

(3/19 追記)ちなみにこの「12万人」という数字は、今回のWGで出されたのではなくて、平成15年の「情報通信ソフト懇談会」の推計によるものだと思われる。

【参考情報】
■「専門的な人材が12万人不足」,総務省のセキュリティWGで報告(日経コミュニケーション/日経IT Pro)
http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050317/157624/

■「情報通信ソフト懇談会」最終報告書の公表(総務省)
http://www.soumu.go.jp/s-news/2003/031225_8.html

カテゴリー: 情報セキュリティ タグ: