アーカイブ

‘情報セキュリティ’ カテゴリーのアーカイブ

地方公共団体における情報セキュリティポリシー

2006 年 10 月 3 日 コメントはありません

以前、パブリックコメントが募集されていた「地方公共団体における情報セキュリティポリシーに関するガイドライン」について、意見を反映した確定版がリリースされました。

地方公共団体といっても大きいところから小さいところまでいろいろあるので、一律に同じレベルの対策を求めるのは難しいと思いますが、そういった実情を踏まえ、セキュリティポリシーを作成する(見直す)ためのベースとしては結構いい線いっているのではないかと思います。

(参考情報)
■「地方公共団体における情報セキュリティポリシーに関するガイドライン」の公表(総務省, 9/29)
http://www.soumu.go.jp/s-news/2006/060929_8.html

カテゴリー: 情報セキュリティ タグ:

「スピア型攻撃」より「標的型攻撃」が良いのではないでしょうか?

2006 年 10 月 2 日 コメント 5 件

日経ITProさんがTargeted Attackという攻撃手法に関して積極的に「スピア型攻撃」という用語を使用されているようなのですが、下記連載でLACの新井さんが使われている「Targeted Attack」 = 「標的型攻撃」の方が訳としても素直ですし、「スピア・フィッシング攻撃」との混同もなく良いと思うのですが・・・。

余計なお世話だったらすみません。

(参考情報)
■ITセキュリティのアライ出し(MYCOMジャーナル)
第4回 標的型攻撃に関する一考察(1) – 0-day Exploit利用形の頻発
http://journal.mycom.co.jp/column/itsecurity/004/

■今週のSecurity Check(第177回) スピア攻撃と闘う(ITPro, 9/22)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248805/

カテゴリー: 情報セキュリティ タグ:

セキュリティ担当者向け実践講座はじめました

2006 年 9 月 13 日 コメント 6 件

企業や団体のセキュリティ担当者、これからセキュリティの仕事に関わるというような方を主な対象とし、2日間集中で、体系的に情報セキュリティの知識と技能を効率よく身につけていただける講座を開講することとなりました。

  • 組織のセキュリティ対策が必要なのはわかっているが何から手をつけたらよいのかわからない
  • セキュリティ担当者に指名されたものの、セキュリティのことはよく分からない
  • セキュリティに関する経験はあるが、体系だてて学んでいないので全体像がよくわからない
  • 最新の動向に対応した情報セキュリティの研修を受けたい

というような方にぴったりかと思います。

本講座はカーネギーメロン大学日本校の運営事務局となっている財団法人ひょうご情報教育機構が実施するもので、「総括基礎」と「モバイルセキュリティ」講座では機材を使った実習も行います。「管理・監査コース」では機材こそ使用しないもののポリシー立案や監査の実習を行います。

各コース実習込み2日間で3万円と安価な価格設定ですので、ぜひご利用いただければと思います。また、ちょうど該当されるような方をご存知であればぜひお勧めいただければ幸いです。
詳しくは下記をご参照ください。

■情報セキュリティ人材育成プログラム 共通(初級)コース(科目毎各2日間)
http://www.cmuj.jp/06program/Basic/index.html

このブログをご覧いただいているような方には上記だと物足りないかもしれません。そういった方には、さらに高度で実践的な内容をカバーした下記コースがオススメです。各種エクスプロイト(攻撃)とその対策についてファイアウォール、ルータ、サーバ等の実機を用いた演習や、情報セキュリティに関わる各界の講師を招いた講演を行います。

■情報セキュリティ人材育成プログラム  基礎コース(10月~3月/計14回)
http://www.cmuj.jp/06program/index.html

ちょっと宣伝モードになり恐縮です。どちらのコースも料金のわりに内容は充実しているのですが、ご存知でない方が多いかと思いましたのでご紹介させていただきました。

カテゴリー: 情報セキュリティ タグ:

ISSも・・・・

2006 年 8 月 24 日 コメントはありません

■IBM、インターネット セキュリティ システムズを買収 -セキュリティー・ソリューションのリーダーとしてのIBMの地位を強化-(IBM, 8/24)
http://www-06.ibm.com/jp/press/20060824001.html

■IBM to Acquire Internet Security Systems(ISS, 8/23)
http://www.iss.net/about/press_center/releases/us_ibm_08233006.html

■米IBM、ISSを13億ドルで買収、管理サービスを強化(EnterpriseWatch, 8/24)
http://enterprise.watch.impress.co.jp/cda/foreign/2006/08/24/8494.html

■IBM、セキュリティ専門大手のISSを13億ドルで買収(ITPro, 8/24)
http://itpro.nikkeibp.co.jp/article/NEWS/20060824/246290/?ST=security

■IBMがInternet Security Systemsを買収(InternetWatch, 8/24)
http://internet.watch.impress.co.jp/cda/news/2006/08/24/13068.html

カテゴリー: 情報セキュリティ タグ:

地方公共団体情報セキュリティポリシー・ガイドライン(案)意見募集

2006 年 8 月 22 日 コメント 1 件

第1次情報セキュリティ基本計画に基づく「地方公共団体における情報セキュリティポリシーに関するガイドライン」の見直しあたって、「『地方公共団体における情報セキュリティポリシーに関するガイドライン』(案)に対する意見募集」が始まっている。9月19日(火)までとのこと。

各種動向を踏まえたより実践的な内容になっており、セキュリティポリシーのサンプルとしても使える。

■「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案)に対する意見募集(総務省, 8/21)
http://www.soumu.go.jp/s-news/2006/060821_1.html

カテゴリー: 情報セキュリティ タグ:

個人情報の暗号化通信と暗号化ファイルの紛失

2006 年 8 月 14 日 コメント 6 件

以前の私のエントリー「個人情報の暗号化通信は漏洩にあたるか?」で投げかけた「流出した暗号化ファイルと傍受された暗号化通信データの違い」とそれに基づく漏洩時の謝罪の要否に関する疑問について、高木浩光さんが大変素晴らしい考察を示してくださったので、これについての私の考えを記しておく。

このような議論を通じて本来あるべき姿を模索することは意義のあることだと思うので、ご指摘、ご意見等があればぜひともお寄せいただきたい。

企業が個人情報ファイルを紛失した際に、単に「暗号化していますので問題ありません」で済まされないのは、まず、少なくともどんな暗号アルゴリズムを用いていたかを明らかにしなければ、客観的に「問題ない」とはできないからだ。そして、お墨付きの暗号アルゴリズムを使用していたとしても、鍵の作り方がどうなっていたかと、鍵の管理をどうしているのかを明らかにしなければならない。

紛失時の対応として、暗号アルゴリズムや鍵の強度、管理方法などについて明らかにすべきという考え方は理解できる。ただし、実際に紛失時にこのような事項を発表を行うとすると、顧客の感情を考慮すれば結局謝罪せざるを得ないだろう。(←実はここがポイント?)あらかじめ最低限の暗号化の仕様を定義し公開しておき、暗号化されたデータそのものは個人情報とはみなさないなどの考え方があっても良いのではないかと思う。

本来の趣旨からはずれるが、同様の要求は等しく暗号化通信に対しても求められるだろうか?

この考えに従うと、顧客等から見えないところで個人情報がインターネットを通過するような通信が行われる場合、その全ての保護手段や管理の状態を公開すべきだということになる。つまり顧客が直接サーバに対して入力するWebインターフェースにおけるSSL/TLSの使用は入力者本人から見えるので問題ないが、社内業務インフラの一部としてSSL/TLS, VPN, SSH, SFTP等をインターネットを介して使用している場合についてもその事実についても公開する必要があるということになる。

理想的には暗号化したとしても顧客等の情報をインターネットを介し通信しないことが望ましいかもしれないが、現実には全ての企業が完全クローズドなネットワークで業務を完結させることは困難と思われる。

これに対して、一般的に行われているファイルの暗号化では、まず鍵の生成方法は自由であり、鍵ファイルの保存を必要としないものでは、パスワード(人間が思い浮かべた文字列)をそのまま鍵にしているものがあるし、パスワードと暗号化用ソフトウェア内蔵の鍵(リバースエンジニアリングによって判明し得る)から生成しているものもあり、それらでは、どんな暗号アルゴリズムと鍵長を用いようとも、強度はパスワードのレベルまで落ちていると見なされるだろう。

ここでは「一般的に行われているファイルの暗号化では、まず鍵の生成方法は自由」としてユーザが使用する鍵またはパスワードの強度不足が指摘されている。ここで指摘されているようなパスワードやパスワードから生成した鍵の使用では十分とは言えないという点については指摘のとおりだと思う。この対策としては、ランダムに生成され十分な長さを持つ鍵ファイルや耐タンパー認証トークン等を使用することで十分な鍵の強度を確保すればよいだろう。

次に、鍵ファイルを保存する方法の場合、鍵の生成方法まで規格化されたものを使用すればよいが、鍵ファイルを秘密にしておかなければならず、それが同時に流出している可能性があるならば、鍵ファイルの使用にパスワードを要求するようになっていても、安全性はパスワードのレベルだと見なされる。

「それが同時に流出している可能性があるならば」との前提は、本来あってはならないことでそれ自体が問題である。ここでは鍵ファイルが同時に流出している「可能性がない」ことを確認できれば暗号化通信との差はないということになる。

SSLが信頼されているのは鍵がセッション終了時に消去されるところにポイントがある。一般に、通信の暗号化では鍵は短期間で捨てられる(ようにプロトコルを設計できる)のに対し、ファイルの暗号化では、その目的上、いつかそのファイルを復号しなくてはならず、それまで鍵を捨てずに温存しておかざるを得ず、どうやってもそこが通信の暗号化にはないリスクとなる。

ここでは、暗号化ファイルの「鍵の存在」が問題視されているが、重要なのは攻撃者が鍵を入手することが不可能なことであって、鍵が存在するか否かではないだろう。したがって、例えば鍵が安全な場所に過去にわたり保管されており、攻撃者が鍵を入手することが事実上不可能であることを示せれば「鍵がセッション終了時に消去され」ていることと同等とみなしてもよいのではないか。(鍵の存在がポイントというのであれば紛失が発覚した時点で鍵を破棄し以前に鍵の漏洩がないことを確認すれば良いだろう。)

SSLであってもサーバ秘密鍵とセッションで使用された乱数がどこかに保存されていれば通信の暗号化であってもファイルの暗号化と同じリスクがあることになる。そもそも一般的な暗号は鍵が安全に保護されていることを前提に安全性を担保しているものなので「鍵は安全に保護されていない」ことを前提とするならば、全ての暗号化は意味のないものになってしまう。

そうすると、暗号化された個人情報ファイルを流出させたときに謝罪しなくてよいためのひとつの条件として考えられるのは、「そのファイルはもう復号することを予定しておらず、鍵を消去している」と示すことではないか。

上記の考えから、「暗号化された個人情報ファイルを流出させたときに謝罪しなくてよいためのひとつの条件として考えられるのは」、「ファイルを復号するための鍵は十分な長さを持ち、過去にわたりその鍵が適切に保護されており、攻撃者がこれを使用することは事実上不可能であることを事前に示しておくこと」、とは言えないだろうか?

カテゴリー: 情報セキュリティ タグ:

Winny可視化プログラム「OpenWinny」他

2006 年 8 月 1 日 コメントはありません

スラッシュドットから気になる情報2件
C#での実装だそうで・・・。(内容は未確認です。ご注意ください。)

■Winny可視化プログラム「OpenWinny」(スラッシュドット, 8/1)
http://slashdot.jp/articles/06/08/01/0611247.shtml

■Winny可視化版アプリケーション(takugon’s web site)
http://www.geocities.jp/takugon/application.html

■情報流出のおかげで株式上場を中止(スラッシュドット, 8/1)
http://slashdot.jp/security/06/08/01/063201.shtml

カテゴリー: 情報セキュリティ タグ:

日本版SOX法が分かりにくい理由

2006 年 7 月 28 日 コメント 1 件

「証券取引法等の一部を改正する法律」が正式に制定されその姿が見えてきたいわゆる「日本版SOX法」であるが、いまだ混乱が続いているようだ。

そもそもなぜこの「日本版SOX法」が分かりにくいのかというと、まずその呼び方が良くないのではないかと思う。「日本版SOX法」という呼び方がいつまでも使われるため、エンロンやワールドコムが・・・という話に始まり、サーベンスさんとオックスレイさんが、、、COSOフレームワークやCOBITってのがあってとか、概念的なカタカタナ言葉を羅列することになり、どうも実感の湧かない異国の話かということになってしまう。

海外で上場している企業は別として、国内企業に関してはまず日本の法律で何を要求されているのかということから検討をスタートすれば良いはずである。ここでは「証券取引法等の一部を改正する法律」によって「金融商品取引法」と呼ばれることになった「証券取引法」のうち、「財務諸表に係る内部統制」をしっかりやりなさいという部分がその対象ということになる。(新会社法でも各種内部統制の体制が求められているが、それはSOX法というよりは「内部統制」の話として進めなければならない。)

現代企業が全てソロバンと手書きで財務諸表を作成するなんていうことはないし、財務諸表のベースとなる会計情報や業務情報はIT上で管理されるため、当然「ITへの対応」も重要だということでITベンダーの出番となる。(もっともソロバンもある種のITであるので、SOX法対応ソロバンというのもあっても良いかもしれない・・・。)

日本版SOX法という文脈の中で「内部統制」という言葉が一人歩きしてしまっているのも「日本版SOX法」が分かりにくくなっている原因ではないかと思う。金融商品取引法において明確に要求されているのは「財務報告に係る内部統制」であり、それに対する経営者の評価を監査人が監査することなのだが、金融庁での検討過程で公開されている資料では、(一般的な)内部統制の4つの目的として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」が掲げられている。法律で求められている「財務報告に係る内部統制」の、「内部統制」についてのフレームワークとして「業務の有効性及び効率性」「事業活動に関わる法令等の遵守」「資産の保全」という「財務報告の信頼性」以外の目的が入ってきてしまうのでややこしい。またさらに、IT全般統制などIT自体の管理の議論も同時に行われることも多い。

もっとも、これは日本だけではなく米国や諸外国でも同様であって、財務報告の信頼性を求める米SOX法においても、その根拠として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」を目的に掲げるCOSOフレームワークに基づいた監査が行われている。「これら目的には相互に関連があって・・・」というのは理解できるが、米国でも日本でも過去いろいろな経緯を引きずるがために、かえってわかりにくいことになってしまっているのではないだろうか。

いずれにせよ、いわゆる「日本版SOX法」コンプライアンスにおいて最も重要なのは「財務報告に係る内部統制」であり、まずは経営陣から社員に至る意識の改革、業務スタイルの見直し、各種ルールの整備とITを用いた統制環境の構築など課題が山積みであり、早急に着手するにこしたことはないだろう。

(関連情報)
■証券取引法等の一部を改正する法律(金融庁)
http://www.fsa.go.jp/common/diet/164/02/gaiyou/index.html
http://www.fsa.go.jp/common/diet/164/02/hou/index.html

■財務報告に係る内部統制の評価及び監査の基準のあり方について(金融庁総務企画局企業会計審議会内部統制部会、2005/12/8)
http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf

カテゴリー: 情報セキュリティ タグ:

マイクロソフトがWinternals/Sysinternalsを買収

2006 年 7 月 19 日 コメントはありません

マイクロソフトがWindowsユーティリティソフトウェア開発ベンダーであるWinternals Softwareを買収したらしい。CMUの卒業生で同社の創設メンバーでもあるMark Russinovich, Bryce Cogswellが運営するコミュニティサイトSysinternalsは優れたユーティリティソフトをフリーで提供していることで知られ、リバースエンジニアリングやフォレンジック等セキュリティ関連の業務においてもSysinternalsの提供するツールが使用されることが少なくない。

今後も彼らのツールがフリーで提供され続けるのか気になるところだ。
ツールの提供停止を心配しダウンロードが殺到しているのか、同社のサイトにはつながりにくくなっている。

(関連情報)
■Winternals Software
http://www.winternals.com/

■Sysinternals
http://www.sysinternals.com/

■Microsoft buys Windows utility software maker(CNET, 7/18)
http://news.com.com/2100-1016_3-6095376.html?part=rss&tag=6095376&subj=news

■Microsoft Acquires Winternals and Sysinternals(Slashdot, 7/18)
http://slashdot.org/article.pl?sid=06/07/18/1545258&from=rss

カテゴリー: 情報セキュリティ タグ:

「スピア型攻撃」は日本独自の表現?

2006 年 7 月 19 日 コメント 2 件

先日あるセキュリティ関係者の集まりの中で、「スピア型攻撃」という表現は日本だけで使われていて、海外では特定対象だけをピンポイントで狙ったトロイ等による攻撃を「ターゲテッドアタック(Targeted Attack)」と呼ぶのが一般的だという話題で盛り上がった。

「スピア型」という言葉がセキュリティの分野で使われるようになったのは、「スピア・フィッシング(Spear Phishing)」からで、フィッシング(Phishing)攻撃のうち特定対象のみを狙ったものを意味する。これは「魚突き」を意味する「スピア・フィッシング(Spear Fishing)」からの連想で生まれた表現と考えられる。この「スピア・フィッシング」や「スピア・フィッシング・アタック」という用語は海外で広く用いらているが、「スピア型攻撃(Spear Attack?)」という表現はあまり目にすることがないように思う。

「ターゲテッド・アタック」や「特定組織を対象とした攻撃」などという表現もまどろっこしいので「スピア型攻撃」と一言で表現した方がすっきりするのかもしれないが、海外とのやり取りの中では誤解を生む可能性もある。

上記の認識が正しいかどうかは定かではない。意見や情報のある方はぜひお寄せいただきたい。

カテゴリー: 情報セキュリティ タグ: