アーカイブ

2005 年 4 月 のアーカイブ

ブラインド署名の特許が間も無く失効

2005 年 4 月 12 日 コメントはありません

デジキャッシュ社(後にイーキャッシュ社に買収された)の創業者であるChaum氏が1988年に取得したブラインド署名の特許が今年7月に失効する。

ブラインド署名(Blind Signature Systems, U.S. Patent 4,759,063)は、署名の対象となるデータの内容自体を知ることなく電子署名を施すための技術で、一部ではRSAアルゴリズム並に重要な特許と位置づけられている。

特に、電子キャッシュや電子投票などプライバシーが重視される分野で多くの応用が考えられるが、この特許の存在が実用化の障害ともなっており、7月19日の特許失効を見越して、新たなプライバシー保護技術が公開される可能性もある。

直前の週末である7月16日土曜日には、特許の期限切れを祝うパーティが予定されている。

【参考情報】
■U.S. Patent 4,759,063 “Blind Signature Systems”
http://www.freepatentsonline.com/4759063.html

■CFP: What the Hack ’05 and Blind Signature Expiration Party
http://cryptome.org/wth05.htm

カテゴリー: 情報セキュリティ タグ:

インターネットの夜明け5/23よりYahoo!JAPANにて配信開始

2005 年 4 月 9 日 コメント 1 件

おお、これは早く見たいっ!

あの頃の世の中が変わる革命前夜のような不思議な興奮がよみがえるかな。

■インターネットの夜明け(ブロードバンドタワー)
http://www.bbtower.co.jp/yoake/

■“プロジェクトX”を目指す「インターネットの夜明け」試写イベント (Imternet Watch)
http://internet.watch.impress.co.jp/cda/news/2005/04/07/7186.html

■ドキュメンタリー番組「ニッポンの挑戦 インターネットの夜明け」配信(Imternet Watch)
http://internet.watch.impress.co.jp/cda/news/2005/02/25/6604.html

■大物続々 インターネットの“プロジェクトX”制作(毎日新聞)
http://www.mainichi-msn.co.jp/it/network/news/20050407org00m300090000c.html

カテゴリー: 文化 タグ:

LASDEC:住基ネットに対するペネトレーションテスト結果を公開

2005 年 4 月 8 日 コメント 1 件

丸山さんのトラックバックからの情報(ありがとうございます。)

LASDEC(指定情報処理機関:(財)地方自治情報センター)が、今年1月に江東区で実施した「住基ネットに対するペネトレーションテスト結果」について公開している。2003年10月に品川区で実施した同様のテストの際は長野の件もあってか総務省から結果が公開されていたが、今回はLASDECからの公開のみのようだ。

対象範囲は前回と同じファイアウォールと利用端末に加え今回はコミュニケーションサーバ(CS)が加わっている。結果は前回同様、基本的に問題なしというもの。

住基ネット本体に対する監査やペネトレーションテストとしては、サーバやデータの管理業務を含めるなどレベルアップが必要だと思われるが、このテストはあくまでも住基ネット本体の安全を確認しようとするものであって、業務や人の管理も含めた利用者側の環境の安全性を確認していない点に注意が必要だ。

3 クロウ社による助言(2003年10月、品川区にてテスト実施時)

 住基ネットの範囲ではないが、庁内LANに対しても、チェックリストによる自己点検やセキュリティ監査を行うべきである。
 同様に、庁内LAN上のデータ送信における高度なセキュリティレベルを維持するための方策を実施すべきである。

3 クロウ社による助言(2005年1月、江東区にてテスト実施時)

 (2)住基ネットの範囲ではないが、庁内LANに対しても、チェックリストによる自己点検やセキュリティ監査を行うべきである。

比較的環境が整備されていると思われる東京都内の2つの区役所において、1年以上の期間をおいて同じ指摘を受けていることから、全国の市区町村の役所の多くが同じ状況にあるのではないかと推測される。またこの記述は、このペネトレーションテスト担当者の、この結果だけでは安全だとは言えませんよというアピールとも読める。住基ネット本体ではなく利用者側の環境に改善の余地があることについては長野の侵入実験を行ったEjovi Nuwere氏からも指摘されている。

住基ネット本体については総務省あるいはLASDECの管轄で安全確認や管理が行われるが、各現場の自治体はそれぞれに権限があるため、総務省やLASDECも手を出すことができない状態にあるのだろう。一部の自治体にしてみれば住基ネットを押し付けられて人も予算もないのにやってられないということかもしれない。このためにセキュリティレベルの異なる自治体が相互に接続され、結果的に全体の安全管理が難しくなっている。

一般的なセキュリティ管理の観点から言えばトップダウンで管理ができれば効率が良いが、地方分権化などの政治的制約もあり、セキュリティ管理のあるべき姿と現実の間でひずみが生じている。その結果、危険な状態にさらされるのは住民の個人情報である。

そろそろ、賛成だ反対だと意地を張り合うのではなく、全体の適切な安全管理のあり方について前向きに話し合うべきなのではないだろうか。

【参考情報】
■住基ネットに対するペネトレーションテスト結果(地方自治情報センター)
http://www.lasdec.nippon-net.ne.jp/rpo/pene_2005.pdf

■LASDEC、住基ネットに対するペネトレーションテストの結果を発表(ZDNET Japan)
http://japan.zdnet.com/news/sec/story/0,2000052528,20082321,00.htm

■地方公共団体セキュリティ対策支援フォーラム(地方公共団体セキュリティ対策支援フォーラム)
http://lg-sec.jp/

■住民基本台帳ネットワークシステム(総務省)
http://www.soumu.go.jp/c-gyousei/daityo/

■住基ネットに対するペネトレーションテスト結果(まるちゃんの情報セキュリティ気まぐれ日記)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/04/post_a8a9.html

【2003年10月のLASDECペネトレーションテストに関する記事】
■住基ネットに対するペネトレーションテスト結果報告(総務省)
http://www.soumu.go.jp/c-gyousei/daityo/pdf/031017_1.pdf

■「住基ネットへハッキングは無理」,総務省が米国会社の侵入テスト結果明かす(日経ITPro)
http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20031017/135681/

■総務省、住基ネットに対する侵入テストの結果を発表(Internet Watch)
http://internet.watch.impress.co.jp/cda/news/2003/10/20/798.html

【長野県住基ネット侵入実験に関する記事】
■長野県住基ネット侵入実験のNuwere氏「管理責任の所在をはっきりと」(MYCOM PC WEB)
http://pcweb.mycom.co.jp/articles/2004/11/17/securitylab/

■「住基ネット侵入実験」をめぐる総務省と長野県の知られざる暗闘(Internet Watch)
http://internet.watch.impress.co.jp/static/column/jiken/2004/01/21/index.htm

カテゴリー: 情報セキュリティ タグ:

EFFがブログを安全に書くためのガイドを公開

2005 年 4 月 8 日 コメント 3 件

EFF(Electronic Frontier Foundation)は4月7日、安全に匿名でブログを書くためのガイドを公開した。要旨は以下のとおり。

■匿名でブログを書く


  • 職務内容や職場の場所等個人の特定につながる内容はかかない。

  • TorやAnonymizerでIPアドレスを特定できなくする。

  • パスワードで閲覧の制限をかける。

  • robots.txtを使いgoogleの検索にひっかからないようにする。


■クビにならないようにブログを書く

  • 政治に関する意見を書く(州によっては政治的活動を理由に解雇できない)

  • 組合について書く(州によっては保護される)

  • 内部告発をする(法律により内部告発者は保護されるケースがある)

  • 政府の仕事について書く(国民の知る権利が認められる)

  • 業務外で発言する(業務外で活動する権利が認められることがある)

う~ん。皆に読んでもらいたくてブログを書く人が多いだろうし、クビにならないように、政治や組合について書くのもなんとも本末転倒のような。そこまでしてブログを書くかという気もするが・・・。

ちなみに日本と米国では法的な背景が異なるので、念のため・・・・。

Robots.txt file generatorというのがあるのか。

【参考情報】
■How to Blog Safely (About Work or Anything Else)(EFF)
http://www.eff.org/Privacy/Anonymity/blog-anonymously.php

■Tor: An anonymous Internet communication system(EFF)
http://tor.eff.org/

■Anonimizer(Anonimizer)
http://anonymizer.com/

■Robots.txt file generator(webtoolcentral)
http://www.webtoolcentral.com/webmaster/tools/robots_txt_file_generator/

カテゴリー: 情報セキュリティ タグ:

住基ネット:本当のセキュリティ

2005 年 4 月 7 日 コメント 2 件

【注意】本エントリーは情報セキュリティに関する技術及び管理手法について述べるものであり、住基ネットの趣旨等に関する思想的あるいは政治的な議論を行うものではありません。

住基ネットのセキュリティ向上に関する健全な議論について」についてセキュリティホールメモの小島さんから、建設的なフィードバックをいただけたので、さらに感じたことを・・・。

純粋に情報セキュリティという視点から住基ネットというものを考えてみるというのは、意義のあることだと思うので、意見やアイデアがあれば、ぜひコメントやトラックバックをお寄せいただきたい。

個人的には「現行の住基ネットは破棄し、「地方自治」を強く意識した分散型システムとして再構築すべき」と思っています。

(セキュリティホールメモ4/6)

どこまでの範囲を分散型とするかにもよるが、現在仕様ではいわゆる住基ネット(指定情報機関と都道府県)が保有するのは個人の識別に必要な最低限の情報(氏名・生年月日・性別・住所と住民票コード及びこれらの変更情報)ということになっている。そして住民票情報などは、直接市区町村から市区町村へと送付されることとなっているので、システム設計の観点から言えば結構「『地方自治』を強く意識した分散型システム」という気がする。
おそらくこれ以上地方分権化してしまうと、住民票の広域交付や転入転出手続の簡素化などは実現できなくなるのではないだろうか。
(システムの相互運用、自治体間の各種調整等を含め現実的な意味で。)

その上で、それはそうかもしれないが、今できることは? という意味では、 たとえば京都府宇治市のとりくみが参考になると思います。

住基ネット稼働で気になる自治体の個人情報保護対策 (日経 IT Pro, 2002.10.04) より:

そこで,住基ネットとの常時接続を避け,宇治市の住民情報の更新だけを全国サーバにバッチ処理するようにした。通常はケーブルを外しておき,数分程度の更新作業中だけ職員が手でつなぐことにした。

(セキュリティホールメモ4/6)

これは、2002年の話で、住民票の広域交付等が開始された2003年8月以降は、やはり他の自治体と同様に常時接続となっているのではないだろうか?そもそも上記では住基ネットを介した他自治体(のネットワーク)からの攻撃を想定しているように読み取れるが、仮に2003年8月以降に常時接続になったとすると、想定していた脅威はどう処理したのか。その後の様子を確認しようとしたが分からなかった。(宇治市のサイト内で検索をかけるとエラーをはいてシステム情報が見えてしまう。これはこれで・・・。)

ここでふと気がついたのですが、元ねたの 県住基ネットシステムにおけるISMS認証取得について (埼玉県) の対象はあくまで「県住基ネットシステム」であって、 実際の現場である市区町村では全くないのですね。

(セキュリティホールメモ4/6)

確かに。

部門名称 市町村課住民基本台帳ネットワークシステム担当

登録範囲 埼玉県住民基本台帳ネットワークシステム業務

ちっちゃいな~。(陣内智則風)

とは言えこういった取り組みの重要性を認識し実践していく姿勢は評価したいと思う。認証を取得すること自体が重要だとは思わないが、小島さんも指摘するように全国には様々な市区町村の現場があり、それぞれが認証取得レベル以上の対策を行うことが必要だろう。

 ISMS については、住基ネットだけではなく、住民情報業務全般に関して取得するのがふつうのようです。そりゃそうですよね。

(セキュリティホールメモ4/6)

私もそのとおりだと思う。特に、情報セキュリティという観点では住基ネットの基幹部分が安全に保護されるかどうかということよりも、市区町村など現場に近いところでシステム、業務、人の管理も含めどうリスクを確認しそれを改善する仕組みをどう構築するかという問題の方が現時点では重要で、早急な取り組みが必要だと思う。

皆さんからのご意見、情報提供、トラックバックをお待ちしております。

【参考情報】
■セキュリティホールメモ
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/04.html#20050406__juuki

■県住基ネットシステムにおけるISMS認証取得について(埼玉県)
http://prosv.pref.saitama.jp/scripts/news/news.exe?mode=ref&yy=2005&mm=3&seq=165

■住民基本台帳ネットワーク(総務省)
http://www.soumu.go.jp/c-gyousei/daityo/

カテゴリー: 情報セキュリティ タグ:

Googleが衛星写真の画像を検索できるサービスを公開

2005 年 4 月 6 日 コメント 1 件

以前のエントリー「Keyholeでお茶の間軍事偵察」で紹介したソフトウェアKeyhole(google社により昨年10月に買収)と同様の高解像度衛星写真画像がGoogle Maps上で使用できるようになった。車一台一台が識別できる解像度で、米国内に関して言えばKeyholeのサービスを購入する必要は無くなりそうだ。対象は今のところ米国本土のみのようだが、ニューヨークやワシントンなど馴染みのある都市を検索してみればいろいろと楽しめるだろう。

この新機能は従来の地図検索サービスに付加された形となっており、現在はベータ版として公開されている。Google Mapsのサイトにアクセスし、右上にある「Satellite」をクリックすることで使用できる。ここで「Tokyo」とか「Japan」とか入力しても残念ながら日本の画像が表示されることはないようだ。(画面をドラッグして移動させれば日本地図程度の解像度の衛星画像は見ることができる。)

操作性や動作速度の面では、スパイ映画の気分が味わえる専用ソフトKeyholeにはかなわないが実用上は十分だ。ちなみにInternetExplorerでアクセスした場合ズームバーが表示されないなど操作性がかなり悪くなってしまうので、Firefoxの使用をお勧めする。(それ以外のブラウザの動作は未確認)
(4/7修正、徒然草さんのトラックバックによるとIEでもズームバーが表示されるらしい。手元で確認したところInternet Optionsのセキュリティ設定でActiveX controls and plug-insのBinary and scrip behaviorsをEnableとする必要があるようだ。)

特に新鮮なのは経路検索(Directions)で、出発地点と目的地点をクリックか住所で指定すると、衛星画像上に行き先までの経路が表示されるというものである。初めて行く場所など周辺の建物の状況や目印が確認できるので便利そうだ。

Carnegie Mellon Universityの検索例
g-satellite.JPG

Pentagonの検索例
g-satellite2.jpg

【参考情報】
■Google Maps BETA
http://maps.google.com/

■Keyholeでお茶の間軍事偵察
http://motivate.jp/archives/2005/02/keyhole.html

カテゴリー: 研究開発 タグ:

2006年度版全米大学院ランキング

2005 年 4 月 5 日 コメントはありません

久しぶりにBarnes&Noble(米国の大手書店)をうろうろしていたところU.S.NEWS & WORLD REPORT America’s Best Graduate Schoolsの2006年度版が出ているのを見つけた。カーネギーメロン大学の私が関係しているプログラムの各カテゴリについて現時点での最新ランキングは以下のとおり。

Computer Science

1. Carnegie Mellon University (PA) 4.9

  Massachusetts Institute of Technology 4.9

  Stanford University (CA) 4.9

  University of California Berkeley 4.9

Engineering Specialties: Computer Engineering
1. Massachusetts Institute of Technology 5.0
2. Stanford University (CA) 4.9
  University of California Berkeley 4.9
4. Carnegie Mellon University (PA)

Public Affairs Specialties: Information & Technology Management
1. Carnegie Mellon University (PA)
2. Syracuse University (NY)
3. Harvard University (MA)

情報セキュリティというカテゴリでのランキングは存在しないが、今年神戸に開校する日本校で提供する情報セキュリティプログラムは、これらコンピュータサイエンス、コンピュータエンジニアリング、情報技術管理の中から関連科目をピックアップした学際プログラムとなるため、全米ランキングの評価としてもかなり良い線をいっていると言っても良いかと思う。

ちなみに書店で販売している雑誌($9.95)よりもOnline Edition($14.95)の方が圧倒的に情報量が多いようだ。

■America’s Best Graduate Schools(U.S.NEWS & WORLD REPORT)
http://www.usnews.com/usnews/edu/grad/rankings/rankindex_brief.php

■Information Security (MSIT-IS) Japan(Carnegie Mellon University)
http://www.ini.cmu.edu/academics/MSIT-ISJapan/index.htm

カテゴリー: 人材育成 タグ:

共通脆弱性評価システム(CVSS)に関する資料

2005 年 4 月 5 日 コメントはありません

システムの脆弱性の深刻度等を一定の基準と算式で評価するための標準化のための取り組み、共通脆弱性評価システム(The Common Vulnerability Scoring System (CVSS))に関する各種情報。IETFにもDRAFTが提出されるようだ。

■The Common Vulnerability Scoring System (CVSS)(packetfactory)
http://www.packetfactory.net/papers/CVSS/

■IT大手、脆弱性深刻度評価の標準化システムで協力(ITmedia)
http://www.itmedia.co.jp/news/articles/0502/19/news005.html

■脆弱性の深刻さ測る「共通語」の策定進む(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0502/19/news019.html

カテゴリー: 情報セキュリティ タグ:

キャッシュポイゾニングに関するSANSレポート

2005 年 4 月 4 日 コメントはありません

3月初旬からの一連のDNSサーバに対するキャッシュポイゾニングに関する報告(更新予定)がSANSインスティテュートから公開されている。Windows NT4/2000とSymantecのゲートウェイ製品のDNSが攻撃対象となっているようだ。

【参考情報】
■March 2005 DNS Poisoning Summary(SANS)
http://isc.sans.org/presentations/dnspoisoning.php

■「3月初めに毒を盛られたDNSサーバーは1300件超」――米SANS Institute(ITPro)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050401/158311/

カテゴリー: 情報セキュリティ タグ:

情報セキュリティガバナンスのあり方

2005 年 4 月 3 日 コメント 1 件

経済産業省から「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」が公開された。セキュリティ投資評価の話から事業継続計画(BCP/DR)の話まで幅広いテーマを、企業の社会責任という文脈でまとまりのある報告書として仕上げている。

提案されている対策ベンチマークについては、企業等でうまく活用できるのではないだろうか。日本特有の横並びを気にする風土を考えれば自社が他社と比較してどのような位置にあり、具体的に不足している項目などが明確にすることができるので、必要予算確保のための説明資料として利用できるだろう。セルフチェックのためのWebツールの公開が待ち遠しい。

事業継続計画についてはその概念や一般的な手順を紹介するにとどまっているが、日本ではまだまだ浸透していないこともあり、啓蒙の効果はあるだろう。

今回の報告内容については広い範囲で適用し、改善を継続していけば有用なリソースとなるのではないだろうか。対象を「企業における」と限定せず経済産業省が自らが手本として、情報セキュリティベンチマークのセルフチェック結果や、情報セキュリティ報告書、事業継続計画を公開するとより説得力が増すだろう。

ちなみに、発表資料の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書の取りまとめ・公表について(PDF形式:1,914KB)」の途中からデジャブー現象に見舞われるのは私だけだろうか。手元のAcrobatでは20ページの報告書(概要)が2回繰り返されているように見える。
(4/4追記:再度確認したところファイル容量が約半分の正しいファイルに置き換えられた模様。ただしファイルサイズが実際には972.24KBだが1,914KBの表示のままとなっている。)

【参考情報】
■企業における情報セキュリティガバナンスのあり方に関する研究会報告書(経済産業省)
http://www.meti.go.jp/report/data/g50331dj.html

■企業における情報セキュリティガバナンスのあり方に関する研究会報告書の取りまとめ・公表について
http://www.meti.go.jp/press/20050331004/20050331004.html

■経産省、3つのツールで「社会的責任としてのセキュリティ」を支援(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0503/31/news072.html

カテゴリー: 情報セキュリティ タグ: