武田圭史

各都道府県（庁）が使用しているWebサイトのアドレスについて整理してみた。

LG.JPドメイン(www.pref.[都道府県名].lg.jp)を主に使用している都道府県は９（１９％）。
地域型ドメイン名(www.pref.[都道府県名].jp)を主に使用している都道府県は３８（８０％）。

LG.JPドメインを主に使用している都道府県のうち地域型ドメイン名で指定してもサイトが見れるようにしてある都道府県は１（２％）、LG.JPへの移転案内等を示しているものは４つ（９％）であった。

一方、地域型ドメイン名を主に使用している都道府県のうち、LG.JPドメイン名で指定してもサイトが見れるようにしてある都道府県は１０(２１%)あり、鳥取県のみがLG.JPドメインでのアクセスについて地域型ドメイン名に誘導する案内が表示されるようになっている（２％）。

各都道府県（庁）のアドレスには一般に「www.pref.[都道府県名].lg.jp」もしくは「www.pref.[都道府県名].jp」が使用されているが、４７都道府県中、兵庫県のみが「web.pref.hyogo.jp」を使用しており、「www.pref.hyogo.jp」でアクセスすると「兵庫県環境局」のWebページが表示される。

○：主なアドレスとして使用
△：使用可能だが主なアドレスではない
×：不使用
※：他アドレスへの誘導案内等を表示

xmlns:x=”urn:schemas-microsoft-com:office:excel”
xmlns=”http://www.w3.org/TR/REC-html40″>

 
（参考情報）

■LG.JPドメイン名(LASDEC)

http://www.lasdec.nippon-net.ne.jp/lgw/sec-domain.htm
■地方公共団体ドメイン名の登録基準の明確化について(JPNIC, 1999)

http://www.nic.ad.jp/ja/topics/1999/19990624-01.html

CMUピッツバーグのCERT/CC SEIからロバート・C・シーコード ( Robert C. Seacord )氏が来日してセキュアプログラミングに関する講演を行います。

（うちのプログラムを除き）なかなかセキュアプログラミングについてきちんと学ぶ機会も少ないかと思いますので、セキュアプログラミング実践的な内容を習得する良い機会ではないかと思います。

もう遅いかもしれませんが、本日中に申し込むと若干お安くなるようです。

今回神戸にも来てもらいたかったのですが、日程が合わず実現できませんでした。

■C/C++ セキュアコーディングセミナーのご案内(JPCERT/CC)
http://www.jpcert.or.jp/seminar.html

本日はeEye Digital Security社鵜飼氏にゲスト講演にお越しいただいた。

セキュリティ・プロフェッショナルのためのリバースエンジニアリング
～脆弱性の発見・攻略手法、パッチ差分解析、バイナリパッチングなどの最新技術動向と実践テクニック～

タイトルが示すとおり非常に興味深いお話をしていただき、ディスカッションの時間も十分とらせていただけたので、参加いただいた方の満足度も非常に高かったようだ。

個人的には、サードパーティーパッチの実情や、Exploitの難読化、非公開脆弱性の秘密裏なパッチ修正など、最新のトピックに関する裏話がいろいろ聞け興味深かった。

特に関西方面ではこういった機会もそれほど多くないと思われるので、今後もこういった形でセミナーを開催できればと思う。

ご参加いただいた皆さんお疲れ様でした。鵜飼さんどうもありがとうございました。

明日午前「情報セキュリティにおける見える化 – JSOX対応からWinny対策まで」と題して日経BPセキュリティソリューションフォーラムでお話します。

参加いただくと昼食がでるようです。

・・・と思ったらすでに満席でした。展示会の方には今からでも申し込めるようです。

■日経BPセキュリティソリューションフォーラム（10/19-20, 東京ビックサイト）
http://ac.nikkeibp.co.jp/nc/sec12/

佐々淳行氏の呼びかけにより今年11月から来年3月にかけて首都大学東京で開かれる総合危機管理講座において情報セキュリティに関する講演を行うこととなった。

この講座、前期約３ヶ月の間だけでも佐々淳行氏を筆頭に郷原信郎氏、日下公人氏、上田愛彦氏、志方俊之氏、小川和久氏、杉田和博氏、宮家邦彦氏、江畑謙介氏と、私以外はなんともまあ豪華な顔ぶれで、後期も含め危機管理の著名人が勢ぞろいだ。

国家戦略から地域や家庭の問題まで幅広く扱っており、政府や自治体、企業の危機管理の実務を担当されている方にぜひご参加いただきたい内容である。私自身、日程が許せば受講者として参加したいぐらいだ。なお募集の枠が限られているので、興味をお持ちの方は早めのお申込みをお勧めする。

P.S. ファイヤー（ア）ウォール云々というのは、まあご愛嬌ということで・・・。

■首都大学東京・オープンユニバーシティ・総合危機管理講座（前期）(11月～1月, 東京晴海, 33,000円)
http://www.ou.tmu.ac.jp/detail?product_id=580

■首都大学東京・オープンユニバーシティ・総合危機管理講座（後期）(1月～3月, 東京飯田橋, 33,000円)
http://www.ou.tmu.ac.jp/detail?product_id=581

今期私が担当しているセキュア・ソフトウェア・エンジニアリングというコースでは、安全なソフトウェアの開発はもちろんのこと、各種脆弱性の解析、不正コードの解析、リバースエンジニアリング、アンチリバースエンジニアリング、コードレビューなどを扱っている。カリキュラムの開発は大変だが、まだ体系化されていない領域でもありやりがいのあるコースである。

今回米eEye社の鵜飼氏が一時帰国されるとのことだったので、カーネギーメロン大学日本校でのゲスト講演をお願いすることにした。米国脆弱性監査の最前線の様子などをうかがうことができそうなので大変楽しみだ。こういう話が国内で聞ける機会はあまりなく、席数も限られているので早めの参加申込みをお勧めする。

鵜飼さんも紹介記事の中で書いているがセキュリティにおける「リバースエンジニアリング」技術は日本では比較的なじみが薄くネガティブな印象を持たれることが少なくない。このような分野のおける様々な知識やノウハウを体系化しセキュリティ分野における重要な技術領域として確立していくべきだろう。

（参考）
■カーネギーメロン大学日本校・ゲスト講演(10/4)
～リバースエンジニアリングによる脆弱性解析の最新技術動向～
「プロフェッショナルのためのリバースエンジニアリング」
http://cmuj.jp/061102seminar/index.html

■セキュリティとリバース・エンジニアリング(ITpro, 10/4)
http://itpro.nikkeibp.co.jp/article/Watcher/20061004/249805/

以前、パブリックコメントが募集されていた「地方公共団体における情報セキュリティポリシーに関するガイドライン」について、意見を反映した確定版がリリースされました。

地方公共団体といっても大きいところから小さいところまでいろいろあるので、一律に同じレベルの対策を求めるのは難しいと思いますが、そういった実情を踏まえ、セキュリティポリシーを作成する（見直す）ためのベースとしては結構いい線いっているのではないかと思います。

（参考情報）
■「地方公共団体における情報セキュリティポリシーに関するガイドライン」の公表（総務省, 9/29）
http://www.soumu.go.jp/s-news/2006/060929_8.html

日経ITProさんがTargeted Attackという攻撃手法に関して積極的に「スピア型攻撃」という用語を使用されているようなのですが、下記連載でLACの新井さんが使われている「Targeted Attack」 = 「標的型攻撃」の方が訳としても素直ですし、「スピア・フィッシング攻撃」との混同もなく良いと思うのですが・・・。

余計なお世話だったらすみません。

（参考情報）
■ITセキュリティのアライ出し(MYCOMジャーナル)
第4回 標的型攻撃に関する一考察(1) – 0-day Exploit利用形の頻発
http://journal.mycom.co.jp/column/itsecurity/004/

■今週のSecurity Check（第177回） スピア攻撃と闘う(ITPro, 9/22)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248805/

企業や団体のセキュリティ担当者、これからセキュリティの仕事に関わるというような方を主な対象とし、２日間集中で、体系的に情報セキュリティの知識と技能を効率よく身につけていただける講座を開講することとなりました。

• 組織のセキュリティ対策が必要なのはわかっているが何から手をつけたらよいのかわからない
• セキュリティ担当者に指名されたものの、セキュリティのことはよく分からない
• セキュリティに関する経験はあるが、体系だてて学んでいないので全体像がよくわからない
• 最新の動向に対応した情報セキュリティの研修を受けたい

というような方にぴったりかと思います。

本講座はカーネギーメロン大学日本校の運営事務局となっている財団法人ひょうご情報教育機構が実施するもので、「総括基礎」と「モバイルセキュリティ」講座では機材を使った実習も行います。「管理・監査コース」では機材こそ使用しないもののポリシー立案や監査の実習を行います。

各コース実習込み２日間で３万円と安価な価格設定ですので、ぜひご利用いただければと思います。また、ちょうど該当されるような方をご存知であればぜひお勧めいただければ幸いです。
詳しくは下記をご参照ください。

■情報セキュリティ人材育成プログラム 共通(初級）コース（科目毎各2日間）
http://www.cmuj.jp/06program/Basic/index.html

このブログをご覧いただいているような方には上記だと物足りないかもしれません。そういった方には、さらに高度で実践的な内容をカバーした下記コースがオススメです。各種エクスプロイト（攻撃）とその対策についてファイアウォール、ルータ、サーバ等の実機を用いた演習や、情報セキュリティに関わる各界の講師を招いた講演を行います。

■情報セキュリティ人材育成プログラム 　基礎コース（10月～3月/計１４回）
http://www.cmuj.jp/06program/index.html

ちょっと宣伝モードになり恐縮です。どちらのコースも料金のわりに内容は充実しているのですが、ご存知でない方が多いかと思いましたのでご紹介させていただきました。

■IBM、インターネット セキュリティ システムズを買収 -セキュリティー・ソリューションのリーダーとしてのIBMの地位を強化-(IBM, 8/24)
http://www-06.ibm.com/jp/press/20060824001.html

■IBM to Acquire Internet Security Systems(ISS, 8/23)
http://www.iss.net/about/press_center/releases/us_ibm_08233006.html

■米IBM、ISSを13億ドルで買収、管理サービスを強化(EnterpriseWatch, 8/24)
http://enterprise.watch.impress.co.jp/cda/foreign/2006/08/24/8494.html

■IBM、セキュリティ専門大手のISSを13億ドルで買収(ITPro, 8/24)
http://itpro.nikkeibp.co.jp/article/NEWS/20060824/246290/?ST=security

■IBMがInternet Security Systemsを買収(InternetWatch, 8/24)
http://internet.watch.impress.co.jp/cda/news/2006/08/24/13068.html