柏崎刈羽原発における中越沖地震の被害やその対応に関する報道が繰り広げられている。一刻も早い事態の解明と被害の最小化が望まれるが、一連の報道で原子力発電所上空を飛行中と思われるヘリコプターからの映像が映し出されている。通常原子力発電所の上空及び周辺空域は飛行制限がされており官民を問わず航空機は特別な許可がない限り通過できないはずである。報道で流されている原子力発電所の映像を見ていると今回の地震のことはともかく、民間のヘリコプターが原子力発電所の周辺を自由に飛行し施設内の詳細な状況を撮影できているという事実に逆に不安を覚えてしまう。
原子力施設については通常2海里(約3.6Km)の飛行制限がなされているようだが、遠方からの映像はともかく、ほとんど真上でかなり低い高度から撮影していると思われる映像が実際に放送されている。こういった取材のヘリコプターに混ざって、テロリストが自爆テロを引き起こす危険性はないだろうか?あるいはヘリコプターが墜落し原子炉施設に衝突するという事故への配慮は必要ないだろうか?今回の地震とそれに伴う火災は想定されていなかった事態として危機管理体制が問われているわけであるが、その状況下でこのような飛行が行われていることに問題はないのだろうか?
現在柏崎刈羽原発については運転停止命令がでており問題ないとの判断が誰かによってなされたのかもしれないし、地震被害の状況について透明性を示すために報道機関に対して特別に飛行制限を解除しているのかもしれない。しかしながら今のところ柏崎刈羽原発上空の飛行に関する安全管理について報道機関からも原子力発電所からの情報開示も見つけられず不安を覚える。もし特別な許可や管理のもとに飛行と撮影が認められているのであればそのような説明をするべきだろう。
原子力発電所の対応に問題があったとすればそれを明らかにしそれを世に問うことは報道機関の重要な使命であり、火災が発生した原子力施設の上空を飛行することは記者やパイロットにとっても覚悟のいる行為だろう。しかし、万一報道機関やパイロットがそのような原子力施設上空の飛行に関する制限やそれがもたらす危険性についての認識がなかったとしたら、あるいは結果として飛行を許している原子力発電所側にそういったリスクに対する配慮がなかったとすれば恐ろしい話ではないだろうか?
(参考情報)
「原子炉施設を中心として半径2海里、高度2,000フィートの範囲を訓練空域から除外するということになってございます」
(総合資源エネルギー調査会原子力安全・保安部会原子炉安全小委員会(第5回) 議事録 より)
「松島基地では、自衛隊機が太平洋上の訓練空域との間を往復する場合、あるいは航空路への出発・進入をする際に、女川原子力発電所を中心とした半径2海里(約3.6キロメートル)の範囲内の上空を飛行しないことにしています。飛行訓練空域への進出、帰投コースは図1及び図2の概念図、視界不良等の場合に航法援助装置を使用して行う計器進入コースは図3のとおりで、これまで一度も女川原子力発電所の上空は飛行していないとのことです。」
「このように、航空機は発電所上空の飛行制限が厳重に定められていますので、原子力発電所に飛行機が墜落する可能性はきわめて小さく、無視できるほどのものといえます。」
以下は2005年に書かれていた内容。今回の地震に関係があるのだろうか?
「 某原発が建設される前に私の友人が地質調査をしました。そこは原子力施設を造るにはふさわしくない地質条件でした。しかし、上からの命令で報告書に嘘を書き活断層は無い事になりました。」
セキュリティ関連の洋書新刊いろいろ、忘れないようにまとめておく。
Secure Programming with Static Analysis
Brian Chess (著), Jacob West (著)
Addison-Wesley Pub (Sd); 1 Pap/Cdr版 (2007/6/14)
¥ 7,099 (税込)
Fuzzing: Brute Force Vulnerability Discovery
Michael Sutton (著), Adam Greene (著), Pedram Amini (著)
Addison-Wesley (C); 1版 (2007/6/22)
¥ 7,098 (税込)
Google Hacking for Penetration Testers Volume 2
Johnny Long (著)
Syngress Media Inc (2007/7/9)
¥ 6,448 (税込)
Exploiting Online Games: How to Break Multi-user Computer Games
Greg Hoglund (著), Gary McGraw (著)
Addison-Wesley (C); 1版 (2007/7/13)
¥ 8,308 (税込)
Virtual Honeypots
Niels Provos (著), Thorsten Holz (著)
Addison-Wesley (C); 1版 (2007/7/20)
¥ 9,346 (税込)
◆以下発売予定
Open Source Fuzzing Tools
Noam Rathaus (著), Gadi Evron (著)
Syngress Media Inc (2007/08)
¥ 8,400 (税込)
Reverse Engineering Code With Ida Pro
Joshua J. Pennell (著)
Syngress Media Inc (2007/10/30)
¥ 7,093 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
書こうと思いすっかり忘れてしまっていたのだが、Shmoocon2007のプレゼンテーションが動画ファイル(mp4)として公開されている。(随分前から)
当時話題となったJiktoのプレゼンテーションももちろん入っている。携帯動画変換君などのツールでエンコードのスペックを変換してやればiPodや携帯電話でも見ることができる。通勤中に海外のカンファレンスのプレゼンテーションを視聴できるなんて便利な時代になったものだ。
■Shmoocon Index of /2007/videos
http://www.shmoocon.org/2007/videos/
■JavaScript Malware for a Grey Goo Tomorrow (mp4) (Billy Hoffman)
http://www.shmoocon.org/2007/videos/JavaScript%20Malware%20for%20a%20Grey%20Goo%20Tomorrow%20-%20Billy%20Hoffman.mp4
■携帯動画変換君(3gpp)
http://www.nurs.or.jp/~calcium/3gpp/
とにかくデカイ。書籍全体で1200ページにもなり、その大部分が脆弱性の解説に費やされている。脆弱性辞典といったところか。前回紹介したThe Art of Software Security Testing のような開発現場でのセキュリティテストプロセスに関する内容を期待したが、どちらかというと脆弱性のしくみや原因、対策などについて幅広く記載することに主眼がおかれている。
ソフトウェアの脆弱性を解説した同様の書籍はこれまでもいろいろと出版されており目新しさははないが、そのボリュームと網羅性については他を圧倒する。特にネットワークプロトコルや分散処理に関する脆弱性について詳しく触れられている点が特徴である。個々の脆弱性についてはサンプルコードとともにその基本的な動作メカニズムが説明されているが、実際のソフトウェア上での動作やその具体的な解析方法、使用ツールなどの説明はない。また、Webアプリケーションの脆弱性の記述は少なくそれらが必要な場合はWebアプリケーションを専門に扱っている他の書籍をあたった方が良いだろう。
とにかくソフトウェア開発に際しいろいろな脆弱性についての知識を得ておきたいといった場合や、特定のソフトウェアに関連しそうな脆弱性を洗い出したいといった場合に役立ちそうだ。
目次(抜粋)
I Introduction to Software Security Assessment
1 SOFTWARE VULNERABILITY FUNDAMENTALS 3
2 DESIGN REVIEW 25
3 OPERATIONAL REVIEW 67
4 APPLICATION REVIEW PROCESS 91
II Software Vulnerabilities
5 MEMORY CORRUPTION 167
6 C LANGUAGE ISSUES 203
7 PROGRAM BUILDING BLOCKS 297
8 STRINGS ANDMETACHARACTERS 387
9 UNIX I: PRIVILEGES AND FILES 459
10 UNIX II: PROCESSES 559
11 WINDOWS I: OBJECTS AND THE FILE SYSTEM 625
12 WINDOWS II: INTERPROCESS COMMUNICATION 685
13 SYNCHRONIZATION AND STATE 755
III Software Vulnerabilities in Practice
14 NETWORK PROTOCOLS 829
15 FIREWALLS 891
16 NETWORK APPLICATION PROTOCOLS 921
17 WEB APPLICATIONS 1007
18 WEB TECHNOLOGIES 1083
■書籍
The Art of Software Security Assessment: Identifying And Preventing Software Vulnerabilities
Mark Dowd (著), John McDonald (著), Justin Schuh (著)
Addison-Wesley Pub (Sd); 1版 (2006/11/17)
¥ 7,857 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
The Art of Software Security Testing: Identifying Software Security Flaws
ソフトウェアテストの技術: ソフトウェアのセキュリティ上の欠陥の発見
表題のとおり、安全なソフトウェア開発サイクルにおけるセキュリティテストの手法にフォーカスしている。日々様々なソフトウェアの脆弱性が発見されセキュリティ・インシデントが発生している昨今、情報セキュリティに関する根本的な対策として安全なシステム開発に関する需用が高まっている。
セキュリティテストはこのような安全なシステム開発における重要なステップであるが、その具体的な手順や手法について詳しく解説する書籍は少ない。本書では、セキュリティテストと一般的なソフトウェアテストの違いに始まり、基本的な脆弱性、脅威モデリング、ツールを使った各種テスト手法の紹介を行っている。
セキュリティテストの基礎をひとおりカバーしているものの、基礎の範囲を脱しておらず、すでに実務でセキュリティテストや脆弱性解析などを行っている読者には物足りなく感じるだろう。ただし、セキュリティテスト考え方や基本ステップ、主要ツールなどをひとおりカバーし比較的読みやすいので、これからセキュリティテストについて理解しソフトウェア開発の現場に導入しようとする場合の入門書としては適しているだろう。
同じSymantec press印でAddison Wesleyから出版されている「The Art of Computer Virus Research and Defense」の出来が良かっただけに、もう少し踏み込んだ記述が欲しかったところ。
ハイライト
4 Risk-Based Security Testing: Prioritizing Security Testing with Threat Modeling
10 Implementing a Custom Fuzz Utility
11 Local fault Injection
12 Determining Exploitability
The Art of Software Security Testing: Identifying Software Security Flaws
Chris Wysopal (著), Luke Nelson (著), Dino Dai Zovi (著), Elfriede Dustin (著)
Addison-Wesley Pub (Sd); 1版 (2006/11/27)
¥ 7,144 (税込)
The Art of Computer Virus Research and Defense
Peter Szor (著)
Addison-Wesley (C) (2005/02)
¥ 5,715 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
最近何かと問題となっているターゲテッドアタックやボットネット、ルートキットそして内部からの犯行などの対策としては侵入検知システム(IDS)や侵入防御システム(IPS)などによるトラフィック監視が有効なのは言うまでもないだろう。これまで外部から内部へのアクセスを主な監視対象と考えられていたIDS/IPSは今や内部から外部へ向けたトラフィックについても重要な監視対象としている。
本書はこのような侵入検知技術の古くて新しい活用方法について焦点を当てている。 著者のBejtlich氏は本書のほかにも「The Tao Of Network Security Monitoring: Beyond Intrusion Detection」というIDSやネットモニタリングのセキュリティのための活用に関する書籍を執筆しており本書はその続編というか発展編でもあるようだ。
本書ではIDSを活用した様々なネットワークモニタリングと対策のテクニックが紹介されているとともに、Port/Link AggregatorやRegeneration TAPなどのネットワーク機器の活用、Commited Access RateやClass-Based Policingを使った帯域の制御による防御、uRPFを使った攻撃者のトレースバックなど他ではあまり述べられていないネットワークセキュリティの上級テクニックやインシデントハンドリングやフォレンジックに関する現場のノウハウなどについても触れており大変興味深い。この分野としては出版から少し時間が立ってはいるものの、本書を通じて得られる知識は様々な運用、研究の場面で役に立つことだろう。
■書籍
Extrusion Detection: Security Monitoring for Internal Intrusions
Richard Bejtlich (著)
¥ 6,466 (税込)
Addison-Wesley
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
兵庫県 電子申請システム
2007.7.9 Java 2 Runtime Environment(JRE)の脆弱性について
http://sinsei.pref.hyogo.jp/guidance/system/index.html
●対応方法(推奨)
兵庫県電子申請システムを利用後にJREを非稼動状態にしてください。
再度、兵庫県電子申請システムを利用する場合は、再びJREを有効にします。
いや、さすがにそれは無理があると思いますけど・・・・。
県民の皆さんが、電子申請専用のパソコンを持っているわけではないでしょうし。
(7/12 11:18 追記)
あらためて確認したところ「※ 現在、JRE1.4.2_15を推奨環境とするため、システムの検証を行っております。検証が終わり次第、お知らせします。 」との記述が付記されていました。
当面の対応としてはやむを得ないことかと思います。
ちなみに、「電子申請共同運営システム「e-ひょうご」」についてはまだ同様の記述はされていないようです。
http://www.sinsei.e-hyogo.jp/hyogo/jre_taiou.html
「情報セキュリティ先進県」として今後のJREの更新に関しても先進的な対応がとられることを期待します。
自治体ISACあたりが間に入って各自治体、各省庁の電子政府システムやSun Microsystemsと足並みをそろえて対応するようなスキームを構築すべきではないでしょうか?
JREの更新への技術的対応の暫定措置としては下記で解説された手法も参考になると思います。
■続・厚生労働省の脆弱性放置は何が問題とされているのか(高木浩光@自宅の日記, 7/10)
http://takagi-hiromitsu.jp/diary/20070710.html#p01
(7/17 12:45 追記)
再度「兵庫県 電子申請システム」のページを確認したところ以下のような対応が行われています。
2007.7.13
Java実行環境の推奨バージョンの変更について
兵庫県電子申請システムのJava実行環境の推奨バージョンを、JRE1.4.2_14からJRE1.4.2_15に変更しました。
旧バージョンには脆弱性が指摘されているため、お手数ですが、こちらを参照のうえ、推奨バージョン(JRE1.4.2_15)への変更をお願いいたします。
また、「電子申請共同運営システム「e-ひょうご」」についても以下のような対応がなされています。
JRE1.4.2_15を推奨しております。下記サイトよりダウンロードしてください。
(既に他のバージョンをインストールしている場合は、事前にアンインストールを行ってください。)
「e-ひょうご」については高木浩光さんの日記の以下のエントリーにおいて、「使用するJREバージョンを指定していないところ」という比較的良い対応のグループに分類しています。ただし「兵庫県は、JRE 1.4.2_15のダウンロード方法をパッチバージョン固定で指定しており、不適切。」との指摘もされています。これについては「兵庫県 電子申請システム」についても同じ指摘が適用されるでしょう。個別のパッチリリースについて個々に動作確認をとり、逐一更新していく必要が本当にあるのか検討が必要だと思われます。
■電子申請のJRE脆弱性放置、各都道府県の状況(高木浩光@自宅の日記, 7/15)
http://takagi-hiromitsu.jp/diary/20070715.html#p01
ん~、惜しい・・・。
おかえりなさい。そしておめでとうございます。
日本の情報セキュリティにとって記念すべき一歩となることでしょう。
■フォティーンフォティ技術研究所
http://www.fourteenforty.jp/
ソフトウェアのセキュリティテストの観点から脆弱性の効率的な発見手法について記載された書籍である。
技術的な詳細に突っ込んでいるというよりは、実際にソフトウェアをテストする技術者が知っておくべき代表的な脆弱性やそれらに対するテスト手法についてシステマティックかつ網羅的に記載している。またXMLや.NETなどに関して発生している新たな問題やその検査手法についても言及している。
Microsoftの出版社から出ているだけに、対象がWindows上のソフトウェアに偏ってはいるが主要な脆弱性についての検査手法やその観点がツールの使用例とともに紹介されており、ソフトウェアの脆弱性監査に関する入門書として使えそうだ。ソフトウェア版Hacking Exposedといったところか。
Hunting Security Bugs
Tom Gallagher (著), Bryan Jeffries (著), Lawrence Landauer (著)
出版社: Microsoft Pr
¥ 5,412 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
本書は「事件・事故を起こさない組織、不足の事態に強い組織の構築とそのマネジメント」について普遍的な考え方や関連する研究や事例について言及するが、特に情報セキュリティやITマネジメントにおける危機管理について強く意識された内容となっている。よく、情報セキュリティは「人や組織の問題」と言われることがよくあるが、そこから一歩踏み込み、実際にそれらをどう管理していくかという問題については踏み込んだ議論をされることが少ない。
本書は情報セキュリティやリスク管理に関する組織論について関連する分野における研究動向や文献について広く網羅した上で、今後の高信頼性組織の研究に必要な基本的な考え方を提示している。実務書とは異なりややアカデミックな記述となっているものの、実際の現場でも適用可能な重要な考え方が含まれており、実務者にとっても多くのヒントが得られるだろう。
目次
第1章 組織の信頼性をいかにして高めるか
第2章 高信頼性組織とは何か
第3章 高信頼性組織の原則
第4章 高信頼性組織のマネジメントのしくみ
第5章 高信頼性組織を支える組織文化
終章 高信頼性組織の実現に向けて
(高信頼性組織の条件―不測の事態を防ぐマネジメント, 中西 晶)
■書籍
高信頼性組織の条件―不測の事態を防ぐマネジメント
中西 晶 (著)
社会経済生産性本部
¥ 2,310 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
最近のコメント