情報セキュリティEXPOのCMUブースが盛況で大変なことになっているらしい・・・。
急遽、明日と明後日、応援に駆けつけることに。
お越しの際はひやかしてみてください。私は居たり居なかったりだと思いますが。
場所は東1ホールの一番右奥データストレージEXPO会場内のペンシルバニア州日本事務所(46-50)の一角です。(たぶんとても小さい・・・。)
【参考情報】
IST第2回情報セキュリティEXPO(東京ビッグサイト, 6/29-7/1)
http://www.reedexpo.co.jp/i-security/
以前紹介した中国Shandong University を中心とする研究グループによって破られたという件について、経緯はわからないが、Cryptoで発表予定の論文と思わしき物がこのあたりに転がっているようだ。
【参考情報】
■Finding Collisions in the Full SHA-1
http://cryptome.org/wang_sha1_v2.zip
■Finding Collisions in the Full SHA-1
http://www.infosec.sdu.edu.cn/paper/sha1-crypto-auth-new-2-yao.pdf
■Efficient Collision Search Attacks on SHA-0
http://www.infosec.sdu.edu.cn/paper/sha0-crypto-author-new.pdf
■SHA Cryptanalysis Paper Online(Schneier on Security)
http://www.schneier.com/blog/archives/2005/06/sha_cryptanalys.html
■SHA-1が破られた?
http://motivate.jp/archives/2005/02/sha1.html
ここのところ住民基本台帳の閲覧制度の見直しに関する検討が進んでいるようだが、請求の6割がダイレクトメール(DM)など営利目的の利用だということが総務省の調査で明らかになった。
個人情報保護という考え方が普及するようになる以前にできた制度や慣行には、今にして思えば何を目的にそんなことをしているのか疑問に思われるようなものも少なくない。長者番付制度など様々な場面で見直しが必要となっている。
住民基本台帳を閲覧させることの趣旨は、「住所を公証する唯一の公簿」というところにあるようだ。また、長者番付制度には「高額納税者の納税状況を第三者が監視する」ことや「高額納税者の国への貢献をたたえる」という趣旨があったらしい。いずれも、個人情報保護意識と漏洩によるリスクが高まった現代にはそぐわない制度となってしまったようだ。
閲覧制度の趣旨がなんであれ、今回の調査結果のケースでは個人情報の第三者提供の禁止や目的外利用の禁止など、個人情報保護法の根本にある考え方からは外れることになるだろう。
法的規制の対象になるかどうかという議論は別にしても、町の自治会名簿や、小中高校の卒業生名簿の取り扱いなど、いろいろな場面で旧来の制度の見直す必要がないか検討した方が良いだろう。
住みにくい世の中になりました・・・。
【参考情報】
■住民基本台帳閲覧、DM業者が6割 総務省調査(asahi.com, 6/22)
http://www.asahi.com/life/update/0622/007.html
■「住民基本台帳の閲覧制度等のあり方に関する検討会」の開催(総務省, 4/26)
http://www.soumu.go.jp/menu_03/shingi_kenkyu/kenkyu/daityo_eturan/kaisai.html
朝鮮日報(英語版)が「北朝鮮のハッカーはCIA並」という記事を掲載している。
北朝鮮が韓国の通信を傍受しているなどというのは、とりたてて目新しい話ではないが、北朝鮮の情報戦に関する取組を警戒して、韓国がどんどん能力を強化していくということも周辺国に対しては脅威になり得る。(ネット上で周辺国というのはあまり意味はないが。)
「北朝鮮のInformation Warfare能力に関するシミュレーションの結果、北朝鮮は米国の太平洋軍の式中枢と米本土の発電施設に被害を与える能力を持っていることが明らかになった。」
「北朝鮮のInformation Warfare能力に関するシミュレーション」なんていうのは怪しさ満点な根拠なわけで、「能力」がどの程度かを示す表現も10年近く前から米国で使い古してきた内容で、今さら感が漂っている。まぁそういう時代になりつつあることは確かなのだけれども。
「北朝鮮は敵の指揮通信システムを無効化する能力を持つ500人から600人のハッカーを雇っている。北朝鮮はMirim Automation 大学でハッキングに関する研究を行っており、同大学は1981年より毎年100名のサイバー戦の専門家を輩出している。」
電波収集や出版物の解析等を中心とする旧来の諜報活動の専門家も含めるなら無理はないが、ハッキング云々という話を1981年から行っていたとはとても考えにくい。そもそも、サイバー戦の脅威なんてのを真剣に話ができるようになったのはここ5年程の話だ。こういう無理な話を持ち出してお互いに刺激しあうのはどうだろうか。
こういう分かりやすい話の方が、一般受けするのだろうけど・・・。
【参考情報】
■N. Korea’s Hackers Rival CIA, Expert Warns(Digital Chosun Ilbo, 6/2)
http://english.chosun.com/w21data/html/news/200506/200506020014.html
■N. Korean Military Hackers Conduct War in Cyberspace(Digital Chosun Ilbo, 5/24/04)
http://english.chosun.com/w21data/html/news/200405/200405270038.html
総務省は、専門家で組織した「官製ハッカー」を出動させ、企業にサイバー攻撃に対する「演習」をしてもらうことにした。(Asahi.com)
もし事実なら、民業圧迫となる危険もはらんでいるように思われるが、そういった検討はなされたのだろうか?民間のペネトレーションテスターが要員として採用されるなら話は別だが、安価なテスト手段が実現するとなると、民間テスターの仕事を奪い業界の人材を黒い方面へシフトさせる要因となるのでは?
ペネトレーションテスターとしてのきちんとしたキャリアパスを確立するなり、企業がペネトレーションテストを行う際の費用を補助するなどして産業として確立させるなどした方が長期的には良い結果が得られるのではないだろうか。そもそも概算要求に盛まれるという15億円は何に使うのだろう?
どこまで実現可能性があるのかわからないが、仮に実現するなら率先垂範という意味でも最初の演習対象は総務省自身、あるいは住基ネット全体であるべきだろう。なぜなら現在のセキュリティの問題の多くは、そこ(当事者意識)に起因するものだからである。
【参考情報】
■「官製ハッカー」でサイバー攻撃演習 来年度から総務省(Asahi.com)
http://www.asahi.com/business/update/0615/135.html
ITmediaさんがブログ環境を提供してくださるとのことだったので、もう一つ新たにブログを始めました。今回新たに始めた「武田圭史のセキュアーで行こう」は、主に一般企業のマネジメントなど必ずしもセキュリティを専門としない広い層を対象として、最低限のセキュリティに関する動向や注意事項などを効率よく把握できるようにし、少しは世の中の役に立つ実用ブログを目指したいと思っています。
こちら「武田圭史」では、これまでどおり、セキュリティに関するマイナーネタを中心に少し突っ込んだ話題を取り上げていきたいと思います。
両サイトとも、これからもよろしくお願いします。
【参考情報】
■武田圭史のセキュアーで行こう
http://blogs.itmedia.co.jp/keiji/
「ヤフー」と検索した際、検索結果の一覧で表示されたため、利用者は本物と誤信したらしい。
(asahi.com)
・・・産経Webによればヤフー・ジャパンは「インターネット情報検索最大手」らしいが・・・。被害者はgoogleを使ったのかなぁ。
【参考情報】
■フィッシング、全国初摘発 偽HPで個人情報盗む(産経Web)
http://www.sankei.co.jp/news/050613/sha042.htm
■フィッシング、全国初摘発 偽HPで個人情報盗む(河北新報社)
http://www.kahoku.co.jp/news/2005/06/2005061301001633.htm
■「フィッシング」初摘発 警視庁(asahi.com)
http://www.asahi.com/national/update/0613/TKY200506130288.html
今年のN+IはInterop Tokyo 2005が正式な名称らしい。6月9日のセキュリティBOFと6月10日の展示に参加してきた。
セキュリティBOFは大変盛況で立ち見していたところ、ステージ上に席が空いているということで、なぜかそちらに座ることに。
(ご配慮ありがとうございました・・・(^^; )
Interopはネットワークテクノロジーに関するイベントのはずだが、今回は限りなくセキュリティの展示会の様相を呈していた。かなりの割合でブースにセキュリティに関する製品やソリューションが含まれており、セキュリティ市場の盛り上がりをあらわしていた。
ところで、西船橋駅は営団地下鉄からJR線に改札なしに乗り継ぎができてしまうのはなぜだろう?結果的に海浜幕張で降りる際の清算やら、再度地下鉄に乗る際には面倒になるので何も良いことはなかったのだが。
【参考情報】
■Interop Tokyo 2005
http://interop.jp/index.html
今日はN+Iで「セキュリティと過ごすひととき」というBOFがありますね。
2005年6月9日18時30分~ / 幕張メッセ 国際会議場 3階
本年のBoFは、久しぶりに侵入検知にテーマを絞って、MBSDの伊藤さん、NetAgentの杉浦さんにお話していただく予定です。
* 三井物産セキュアディレクション:伊藤様
* (株)ネットエージェント:杉浦様まずは侵入検知の現状と技術動向などについて語っていただき、その後会場のみなさんとともに、侵入検知についてあれこれ話し合おうと思ってます。
ということなので、ぜひ参加したいと思います。
【参考情報】
■ Snortユーザ会のBoF (開催年月日: 2005 年 6 月 9 日)( 日本 Snort ユーザ会(Japan Snort Users Group))
http://www.snort.gr.jp/jsug/events/2005060901.html
■BOF02セキュリティと過ごすひととき(N+I)
https://ssl.medialive.jp/ni2005fm/jp/seminar_BOF02.html
皆様のご支援・ご協力のおかげで情報セキュリティに関する修士プログラムを提供するCMU日本校が6月7日に無事開校となりました。
様々な奇跡的なめぐり合わせがあった結果、ここまで来ることができました。
なんとか順調なスタートを切ることができそうです。
8月末の講義開始に向けた次のステップが始まります。
今後とも皆様のご指導ご鞭撻のほど、どうぞよろしくお願いします。
【参考情報】
■目指すはセキュリティ人材不足の解消、カーネギーメロン大学日本校が開校(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0506/08/news016.html
■米カーネギーメロン大、情報セキュリティ特化の日本校を神戸に開校(ITPro)
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050607/162280/
■カーネギーメロン大学日本校 神戸で開学式(神戸新聞)
http://www.kobe-np.co.jp/kobenews/sougou/00009911sg200507071400.shtml
■テロ・災害にも耐える情報セキュリティを! カーネギーメロン大学が日本上陸(MYCOM PC WEB)
http://pcweb.mycom.co.jp/articles/2005/06/09/cmu/
■カーネギーメロン大学日本校の設置について
http://www.cmuj.jp/
最近のコメント