米国やヨーロッパの一部では情報セキュリティは経済学的な問題としてとらえられ、以前から様々な研究活動が行われてきた。日本でも情報セキュリティの投資対効果分析が行われたりすることはあるが、その程度にとどまってしまいそれほど盛り上がっていないように感じられる。
今回、プライバシー情報の取り扱いに関する経済分析の分野で知られ、BlackHatでも過去に講演をしているAlessandro Acquisti氏をCMUピッツバーグより招きプライバシーの経済学に関するセミナーを開催することとなった。プライバシーや個人情報保護の背景にある理論や今後の展開について興味深い話が聞けるだろう。
(関連情報・申込み)
■カーネギーメロン大学日本校・情報セキュリティセミナー(12/4, 神戸市, 無料)
「プライバシーの経済学(The Economics of Privacy)」
http://www.cmuj.jp/061204seminar/index.html
本書はネットワーク不正侵入やクラッキングの実際をリアルに描いており、単にハッキングものの読み物としてだけではなく、ネットワーク管理や不正アクセス対策に取り組む技術者、情報セキュリティに関する研究者が攻撃者の視点から不正アクセスの実状を理解する上でも参考とすることができる。
多くのハッカー本やメディア報道がハッカー(クラッカー)を神格化し、天才的な少年がいかに高度なテクニックを駆使して軍事ネットワークの奥深くから国家秘密をいかにして盗み出すかといったようなストーリーを描きたがる一方で、本書はハッキング/クラッキングの現実を極めてリアルに描き出すことに努めている。共著者の一人であり自ら情報犯罪で投獄されたことで知られるケビン・ミトミック氏が誇張や捏造を排除するため自ら信頼性に高いハードルを設けて実施した取材をベースとしており、現実感の高い内容になっている点は評価したい。
特に不正侵入を行う攻撃者が管理者に見つかることを恐れビクビクしながら攻撃を行っていたり、いかに攻撃のハードルの高いシステムを避け、管理の杜撰な箇所を狙って攻撃をしかけてくるかなど、攻撃者側の視点での戦略がうまく描かれている。過去の事件を取り扱っているため内容は少し古くはなっているが、実在するツールや脆弱性について技術的な視点から触れられており、実際の内容に即したものとなっていると思われる。技術的な背景を理解している人なら、この攻撃はあの手口だななどと自分の知識と照らし合わせながら読むことができるだろう。
ハードウェア・ハッキング、ソーシャルエンジニアリング、ペネトレーションテストなど様々なハッキングのシナリオが延々とオムニバス形式で綴られており純粋な読み物としては単調な感もあるが、ドキュメンタリーとして捉えれば、現実のハッキングの裏側や攻撃者がどのような思考に基づき行動しているかなど、防御側にとっても学ぶべきところも多い。
■書籍
ハッカーズ その侵入の手口 奴らは常識の斜め上を行く、ケビン・ミトニック (著), ウィリアム・サイモン (著), 峯村 利哉 (翻訳) 、インプレスジャパン、¥1,995 (税込)
※画像にはAmazonアソシエイト・プログラムのリンクが設定されています。
※インプレスジャパン様より当該書籍を献本いただきました。ありがとうございました。
ここのところ大学の立ち上げに伴う各種業務に追われ、テレビドラマもクラッシック音楽もマンガにも縁遠い生活を送っていたが、最近は毎週月曜9時フジテレビの「のだめカンタビーレ」を楽しみにしている。あらためて紹介するまでもない話題のコミックが実写でテレビドラマ化されたものだが、原作はもちろんドラマとしての完成度も高い。
特に先週放映された第4話では1時間枠に、笑いあり感動あり、盛りだくさんのストーリがテンポ良くまとめられており1時間枠のテレビドラマとは思えない充実した内容であった。
通常コミックをドラマ化すると違和感があったり、描写に無理があったり、原作のイメージを台無しにしてしまうことが多いように思うが、このドラマはマンガのテンポのよさを実写で違和感なく実現されているところがすごい。
主人公の「のだめ」が突っ込まれる場面で、マンガ風に引っぱたかれた勢いで数メートル飛ばされて岩にぶち当たったりするところを実写できちんと表現しているのは感動的ですらあった。
そうそう、テレビではコミックとは違いストーリー中で使用する音楽が流れるので、クラシック入門としても楽しめるのが素晴らしい。
■のだめカンタービレ(フジテレビ, 月曜夜9時)
http://wwwz.fujitv.co.jp/nodame/index.html
各都道府県(庁)が使用しているWebサイトのアドレスについて整理してみた。
LG.JPドメイン(www.pref.[都道府県名].lg.jp)を主に使用している都道府県は9(19%)。
地域型ドメイン名(www.pref.[都道府県名].jp)を主に使用している都道府県は38(80%)。
LG.JPドメインを主に使用している都道府県のうち地域型ドメイン名で指定してもサイトが見れるようにしてある都道府県は1(2%)、LG.JPへの移転案内等を示しているものは4つ(9%)であった。
一方、地域型ドメイン名を主に使用している都道府県のうち、LG.JPドメイン名で指定してもサイトが見れるようにしてある都道府県は10(21%)あり、鳥取県のみがLG.JPドメインでのアクセスについて地域型ドメイン名に誘導する案内が表示されるようになっている(2%)。
各都道府県(庁)のアドレスには一般に「www.pref.[都道府県名].lg.jp」もしくは「www.pref.[都道府県名].jp」が使用されているが、47都道府県中、兵庫県のみが「web.pref.hyogo.jp」を使用しており、「www.pref.hyogo.jp」でアクセスすると「兵庫県環境局」のWebページが表示される。
○:主なアドレスとして使用
△:使用可能だが主なアドレスではない
×:不使用
※:他アドレスへの誘導案内等を表示
| 都道府県 | 主要なアドレス | lg.jpドメイン | jpドメイン | 備考(※) |
| 北海道 | ○ | ※ | .lg.jpへの移転案内 | |
| 青森県 | × | ○ | ||
| 岩手県 | × | ○ | ||
| 宮城県 | × | ○ | ||
| 秋田県 | ○ | △ | ||
| 山形県 | △ | ○ | ||
| 福島県 | × | ○ | ||
| 茨城県 | × | ○ | ||
| 栃木県 | × | ○ | ||
| 群馬県 | × | ○ | ||
| 埼玉県 | ○ | ※ | .lg.jpへの移転案内 | |
| 千葉県 | △ | ○ | ||
| 東京都 | × | ○ | ||
| 神奈川県 | × | ○ | ||
| 新潟県 | △ | ○ | ||
| 富山県 | △ | ○ | ||
| 石川県 | △ | ○ | ||
| 福井県 | × | ○ | ||
| 山梨県 | × | ○ | ||
| 長野県 | × | ○ | ||
| 岐阜県 | ○ | × | ||
| 静岡県 | × | ○ | ||
| 愛知県 | × | ○ | ||
| 三重県 | × | ○ | ||
| 滋賀県 | × | ○ | ||
| 京都府 | × | ○ | ||
| 大阪府 | × | ○ | ||
| 兵庫県 | △ | ○ | ||
| 奈良県 | × | ○ | ||
| 和歌山県 | ○ | × | ||
| 鳥取県 | ※ | ○ | .lg.jpから.jpへの誘導 | |
| 島根県 | ○ | ※ | .lg.jpへの移転案内 | |
| 岡山県 | △ | ○ | ||
| 広島県 | △ | ○ | ||
| 山口県 | △ | ○ | ||
| 徳島県 | × | ○ | ||
| 香川県 | × | ○ | ||
| 愛媛県 | × | ○ | ||
| 高知県 | × | ○ | ||
| 福岡県 | ○ | × | ||
| 佐賀県 | ○ | ※ | 旧サーバ? | |
| 長崎県 | × | ○ | ||
| 熊本県 | × | ○ | ||
| 大分県 | × | ○ | ||
| 宮崎県 | ○ | ※ | .lg.jpへの移転案内 | |
| 鹿児島県 | × | ○ | ||
| 沖縄県 | △ | ○ |
(参考情報)
■LG.JPドメイン名(LASDEC)
http://www.lasdec.nippon-net.ne.jp/lgw/sec-domain.htm
■地方公共団体ドメイン名の登録基準の明確化について(JPNIC, 1999)
http://www.nic.ad.jp/ja/topics/1999/19990624-01.html
CMUピッツバーグのCERT/CC SEIからロバート・C・シーコード ( Robert C. Seacord )氏が来日してセキュアプログラミングに関する講演を行います。
(うちのプログラムを除き)なかなかセキュアプログラミングについてきちんと学ぶ機会も少ないかと思いますので、セキュアプログラミング実践的な内容を習得する良い機会ではないかと思います。
もう遅いかもしれませんが、本日中に申し込むと若干お安くなるようです。
今回神戸にも来てもらいたかったのですが、日程が合わず実現できませんでした。
■C/C++ セキュアコーディングセミナーのご案内(JPCERT/CC)
http://www.jpcert.or.jp/seminar.html
本日はeEye Digital Security社鵜飼氏にゲスト講演にお越しいただいた。
セキュリティ・プロフェッショナルのためのリバースエンジニアリング
~脆弱性の発見・攻略手法、パッチ差分解析、バイナリパッチングなどの最新技術動向と実践テクニック~
タイトルが示すとおり非常に興味深いお話をしていただき、ディスカッションの時間も十分とらせていただけたので、参加いただいた方の満足度も非常に高かったようだ。
個人的には、サードパーティーパッチの実情や、Exploitの難読化、非公開脆弱性の秘密裏なパッチ修正など、最新のトピックに関する裏話がいろいろ聞け興味深かった。
特に関西方面ではこういった機会もそれほど多くないと思われるので、今後もこういった形でセミナーを開催できればと思う。
ご参加いただいた皆さんお疲れ様でした。鵜飼さんどうもありがとうございました。
最近のコメント