第1次情報セキュリティ基本計画に基づく「地方公共団体における情報セキュリティポリシーに関するガイドライン」の見直しあたって、「『地方公共団体における情報セキュリティポリシーに関するガイドライン』(案)に対する意見募集」が始まっている。9月19日(火)までとのこと。
各種動向を踏まえたより実践的な内容になっており、セキュリティポリシーのサンプルとしても使える。
■「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案)に対する意見募集(総務省, 8/21)
http://www.soumu.go.jp/s-news/2006/060821_1.html
目黒区防災センター「地震の学習館」は各種災害シミュレーション等の体験施設で、専属の説明員さんがついてなんと全てが無料。週末も開いていて、目黒区民でなくても利用できる。
地震の揺れや初期消火、煙の中の脱出、応急救護、地震の初動対処などを体験することができる。来訪したグループ毎、説明員がついて丁寧な指導を受けることができる。私たちを担当してくださった方はディズニーランドのジャングルクルーズばりのジョークを交えた解説をしてくださり、大変楽しく体験学習させていただいた。
初期消火体験では訓練用の(といっても本格的な)消火器を使って画面に表示される炎を実際に消火する作業を体験。地震体験では、一般家庭、ビル、阪神大震災、関東大震災などの揺れの違いなどを体験できる。震度5.5~6弱の揺れが再現されているとのこと。煙体験では火災時に煙が充満した建物を想定し、迷路のようになった通路を出口を探しながら逃げるというもの。真っ暗で煙が充満した建物内で手探りで進むことの難しさを体験できる。予想以上に本格的な体験ができるので驚いた。
続いて、救急救命の訓練。訓練用の人形を使って人工呼吸や心臓マッサージの訓練を行う。説明員の方が突然人形に向かって「山田さん!山田さん!」と叫び始める(?)。意識を確認するには、当人の名前を呼ぶのが良いらしいとのこと。それにしてもこの人形の名前が「山田さん」とは…(Rescue Anneという名札らしきものはあるんですが)。
ということで私も山田さんの肩を叩きながら「山田さん!山田さん!」と呼びかけてみる。もう一体の人形に向かって今度は「花子さん!花子さん!」と指導員の方が呼びかけている。山田さんの下の名前は花子でフルネームは「山田花子」らしい。人工呼吸の空気量や心臓マッサージの位置、強さ、タイミングなどが印字された紙が山田花子さんのわき腹からにょろ~と出てきたのには驚いた。
このほか、地震にあったときの適切な判断を評価するサバイバルゲームや、映像シアターなど地震について1時間程度で総合的に体験学習できる施設となっている。目黒の住宅地のど真ん中に、このような充実した施設が存在することは驚きだ。来館者はそれほど多くもないようだが、夏休みや週末の家族サービスやデートで行ったとしても十分満足できろうだろう。楽しみながら防災に関する知識を身につけることができるこういった施設は、一般市民にとっても役に立つものであり、大変有意義だと感じた。組織の防災や危機管理の担当は一度訪れると良いのではないだろうか。
(参考情報)
■目黒区防災センター・地震の学習館(目黒区)
http://www.city.meguro.tokyo.jp/bosai/center/index.htm
(ネタバレあり、ご注意ください。)
米国同時多発テロ事件を題材とした映画「ユナイテッド93」を観てきた。期待するものにより映画の印象は人によって大きく異なるようだが、良くできた作品だと思う。特に無理やり観客を泣かせようとするような見え見えの演出も無く、なるべく色をつけずにこの事件を描こうとする姿勢に好感が持てた。当該機に乗り合わせた人々から当時の様子を聞くことはできないため実際に機内で何が起こったかは分からないが、遺族や関係者の証言に基づいたストーリーのようで、現実の状況にかなり近いのではないかと感じた。
映画の前半、複数の航空管制拠点とNORAD(北米防空司令部)とのやりとりが延々と続く場面は、退屈と感じる人もいたようだが、正誤さまざまな情報の錯綜や、コミュニケーションの不全、ROE(交戦規定)の重要性など危機管理のケーススタディとして学ぶ点は多い。
同機の墜落に関しては自作自演や米軍機による撃墜などいろいろな陰謀論がささやかれているが、その真偽は別として映画で描かれている状況はかなり現実的なものだった。私自身防空管制業務に携わった経験からみても違和感が無く、いかにも起こりそうな混沌とした状況が描かれていた。もっとも実際に事件の現場に立ち会った管制官や軍関係者が実名で映画に出演したり協力したりしているので、いくらかの状況は彼らにとっても都合の良いものとされている可能性もあり、実際の状況はもっと酷いものだったに違いない。ちなみに映画の最後に現れる言い訳がましいステートメントは、かえって観客に疑問を抱かせ逆効果だろう。
この事件に限らず、政府など公的機関に対して様々な陰謀のストーリを描きたがる人たちがいるが、幸か不幸か公的機関の多くは陰謀を企て実行するに十分な動機も能力も持っているとは考えにくい。政府と言えども様々な背景や価値観を持った人間によって構成されており、さまざまなしがらみに縛られている。各種政策や陰謀などと言われるようなものであっても、驚くほどばかげた経緯によって決定されたり実行されることも少なくない。
また、現代社会では情報の自由や透明性が高まっているためにいわゆる陰謀を成功させるには、相当強固な絆や利害で結びついた少人数による実行でない限り秘密にとどめることは難しい。一方、組織にとっては多少ミステリアスな雰囲気を醸し出しておいた方が権威が高まることもあり、あえて陰謀を完全否定しないようなこともある。組織に属する人間にとっては、外部向けに「実はたいしたことないですよ」というよりは、「ここだけの話、実は・・・」みたいな話をした方が受けが良く、嘘とも本当とも言えないような何気ない話に尾ひれがついてまことしやかな陰謀の噂が広まることもある。
私の経験では「実はたいしたことないですよ」と言っても、どうしても陰謀を唱えたい人達から「それはお前が知らないだけで、実はかくがくしかじか・・・」のように逆に教えられることも少なくないのだが・・・。
(参考情報)
■映画「ユナイテッド93」公式サイト
http://www.united93.jp/top.html
以前の私のエントリー「個人情報の暗号化通信は漏洩にあたるか?」で投げかけた「流出した暗号化ファイルと傍受された暗号化通信データの違い」とそれに基づく漏洩時の謝罪の要否に関する疑問について、高木浩光さんが大変素晴らしい考察を示してくださったので、これについての私の考えを記しておく。
このような議論を通じて本来あるべき姿を模索することは意義のあることだと思うので、ご指摘、ご意見等があればぜひともお寄せいただきたい。
企業が個人情報ファイルを紛失した際に、単に「暗号化していますので問題ありません」で済まされないのは、まず、少なくともどんな暗号アルゴリズムを用いていたかを明らかにしなければ、客観的に「問題ない」とはできないからだ。そして、お墨付きの暗号アルゴリズムを使用していたとしても、鍵の作り方がどうなっていたかと、鍵の管理をどうしているのかを明らかにしなければならない。
紛失時の対応として、暗号アルゴリズムや鍵の強度、管理方法などについて明らかにすべきという考え方は理解できる。ただし、実際に紛失時にこのような事項を発表を行うとすると、顧客の感情を考慮すれば結局謝罪せざるを得ないだろう。(←実はここがポイント?)あらかじめ最低限の暗号化の仕様を定義し公開しておき、暗号化されたデータそのものは個人情報とはみなさないなどの考え方があっても良いのではないかと思う。
本来の趣旨からはずれるが、同様の要求は等しく暗号化通信に対しても求められるだろうか?
この考えに従うと、顧客等から見えないところで個人情報がインターネットを通過するような通信が行われる場合、その全ての保護手段や管理の状態を公開すべきだということになる。つまり顧客が直接サーバに対して入力するWebインターフェースにおけるSSL/TLSの使用は入力者本人から見えるので問題ないが、社内業務インフラの一部としてSSL/TLS, VPN, SSH, SFTP等をインターネットを介して使用している場合についてもその事実についても公開する必要があるということになる。
理想的には暗号化したとしても顧客等の情報をインターネットを介し通信しないことが望ましいかもしれないが、現実には全ての企業が完全クローズドなネットワークで業務を完結させることは困難と思われる。
これに対して、一般的に行われているファイルの暗号化では、まず鍵の生成方法は自由であり、鍵ファイルの保存を必要としないものでは、パスワード(人間が思い浮かべた文字列)をそのまま鍵にしているものがあるし、パスワードと暗号化用ソフトウェア内蔵の鍵(リバースエンジニアリングによって判明し得る)から生成しているものもあり、それらでは、どんな暗号アルゴリズムと鍵長を用いようとも、強度はパスワードのレベルまで落ちていると見なされるだろう。
ここでは「一般的に行われているファイルの暗号化では、まず鍵の生成方法は自由」としてユーザが使用する鍵またはパスワードの強度不足が指摘されている。ここで指摘されているようなパスワードやパスワードから生成した鍵の使用では十分とは言えないという点については指摘のとおりだと思う。この対策としては、ランダムに生成され十分な長さを持つ鍵ファイルや耐タンパー認証トークン等を使用することで十分な鍵の強度を確保すればよいだろう。
次に、鍵ファイルを保存する方法の場合、鍵の生成方法まで規格化されたものを使用すればよいが、鍵ファイルを秘密にしておかなければならず、それが同時に流出している可能性があるならば、鍵ファイルの使用にパスワードを要求するようになっていても、安全性はパスワードのレベルだと見なされる。
「それが同時に流出している可能性があるならば」との前提は、本来あってはならないことでそれ自体が問題である。ここでは鍵ファイルが同時に流出している「可能性がない」ことを確認できれば暗号化通信との差はないということになる。
SSLが信頼されているのは鍵がセッション終了時に消去されるところにポイントがある。一般に、通信の暗号化では鍵は短期間で捨てられる(ようにプロトコルを設計できる)のに対し、ファイルの暗号化では、その目的上、いつかそのファイルを復号しなくてはならず、それまで鍵を捨てずに温存しておかざるを得ず、どうやってもそこが通信の暗号化にはないリスクとなる。
ここでは、暗号化ファイルの「鍵の存在」が問題視されているが、重要なのは攻撃者が鍵を入手することが不可能なことであって、鍵が存在するか否かではないだろう。したがって、例えば鍵が安全な場所に過去にわたり保管されており、攻撃者が鍵を入手することが事実上不可能であることを示せれば「鍵がセッション終了時に消去され」ていることと同等とみなしてもよいのではないか。(鍵の存在がポイントというのであれば紛失が発覚した時点で鍵を破棄し以前に鍵の漏洩がないことを確認すれば良いだろう。)
SSLであってもサーバ秘密鍵とセッションで使用された乱数がどこかに保存されていれば通信の暗号化であってもファイルの暗号化と同じリスクがあることになる。そもそも一般的な暗号は鍵が安全に保護されていることを前提に安全性を担保しているものなので「鍵は安全に保護されていない」ことを前提とするならば、全ての暗号化は意味のないものになってしまう。
そうすると、暗号化された個人情報ファイルを流出させたときに謝罪しなくてよいためのひとつの条件として考えられるのは、「そのファイルはもう復号することを予定しておらず、鍵を消去している」と示すことではないか。
上記の考えから、「暗号化された個人情報ファイルを流出させたときに謝罪しなくてよいためのひとつの条件として考えられるのは」、「ファイルを復号するための鍵は十分な長さを持ち、過去にわたりその鍵が適切に保護されており、攻撃者がこれを使用することは事実上不可能であることを事前に示しておくこと」、とは言えないだろうか?
スラッシュドットから気になる情報2件
C#での実装だそうで・・・。(内容は未確認です。ご注意ください。)
■Winny可視化プログラム「OpenWinny」(スラッシュドット, 8/1)
http://slashdot.jp/articles/06/08/01/0611247.shtml
■Winny可視化版アプリケーション(takugon’s web site)
http://www.geocities.jp/takugon/application.html
■情報流出のおかげで株式上場を中止(スラッシュドット, 8/1)
http://slashdot.jp/security/06/08/01/063201.shtml
「証券取引法等の一部を改正する法律」が正式に制定されその姿が見えてきたいわゆる「日本版SOX法」であるが、いまだ混乱が続いているようだ。
そもそもなぜこの「日本版SOX法」が分かりにくいのかというと、まずその呼び方が良くないのではないかと思う。「日本版SOX法」という呼び方がいつまでも使われるため、エンロンやワールドコムが・・・という話に始まり、サーベンスさんとオックスレイさんが、、、COSOフレームワークやCOBITってのがあってとか、概念的なカタカタナ言葉を羅列することになり、どうも実感の湧かない異国の話かということになってしまう。
海外で上場している企業は別として、国内企業に関してはまず日本の法律で何を要求されているのかということから検討をスタートすれば良いはずである。ここでは「証券取引法等の一部を改正する法律」によって「金融商品取引法」と呼ばれることになった「証券取引法」のうち、「財務諸表に係る内部統制」をしっかりやりなさいという部分がその対象ということになる。(新会社法でも各種内部統制の体制が求められているが、それはSOX法というよりは「内部統制」の話として進めなければならない。)
現代企業が全てソロバンと手書きで財務諸表を作成するなんていうことはないし、財務諸表のベースとなる会計情報や業務情報はIT上で管理されるため、当然「ITへの対応」も重要だということでITベンダーの出番となる。(もっともソロバンもある種のITであるので、SOX法対応ソロバンというのもあっても良いかもしれない・・・。)
日本版SOX法という文脈の中で「内部統制」という言葉が一人歩きしてしまっているのも「日本版SOX法」が分かりにくくなっている原因ではないかと思う。金融商品取引法において明確に要求されているのは「財務報告に係る内部統制」であり、それに対する経営者の評価を監査人が監査することなのだが、金融庁での検討過程で公開されている資料では、(一般的な)内部統制の4つの目的として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」が掲げられている。法律で求められている「財務報告に係る内部統制」の、「内部統制」についてのフレームワークとして「業務の有効性及び効率性」「事業活動に関わる法令等の遵守」「資産の保全」という「財務報告の信頼性」以外の目的が入ってきてしまうのでややこしい。またさらに、IT全般統制などIT自体の管理の議論も同時に行われることも多い。
もっとも、これは日本だけではなく米国や諸外国でも同様であって、財務報告の信頼性を求める米SOX法においても、その根拠として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」を目的に掲げるCOSOフレームワークに基づいた監査が行われている。「これら目的には相互に関連があって・・・」というのは理解できるが、米国でも日本でも過去いろいろな経緯を引きずるがために、かえってわかりにくいことになってしまっているのではないだろうか。
いずれにせよ、いわゆる「日本版SOX法」コンプライアンスにおいて最も重要なのは「財務報告に係る内部統制」であり、まずは経営陣から社員に至る意識の改革、業務スタイルの見直し、各種ルールの整備とITを用いた統制環境の構築など課題が山積みであり、早急に着手するにこしたことはないだろう。
(関連情報)
■証券取引法等の一部を改正する法律(金融庁)
http://www.fsa.go.jp/common/diet/164/02/gaiyou/index.html
http://www.fsa.go.jp/common/diet/164/02/hou/index.html
■財務報告に係る内部統制の評価及び監査の基準のあり方について(金融庁総務企画局企業会計審議会内部統制部会、2005/12/8)
http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf
マイクロソフトがWindowsユーティリティソフトウェア開発ベンダーであるWinternals Softwareを買収したらしい。CMUの卒業生で同社の創設メンバーでもあるMark Russinovich, Bryce Cogswellが運営するコミュニティサイトSysinternalsは優れたユーティリティソフトをフリーで提供していることで知られ、リバースエンジニアリングやフォレンジック等セキュリティ関連の業務においてもSysinternalsの提供するツールが使用されることが少なくない。
今後も彼らのツールがフリーで提供され続けるのか気になるところだ。
ツールの提供停止を心配しダウンロードが殺到しているのか、同社のサイトにはつながりにくくなっている。
(関連情報)
■Winternals Software
http://www.winternals.com/
■Sysinternals
http://www.sysinternals.com/
■Microsoft buys Windows utility software maker(CNET, 7/18)
http://news.com.com/2100-1016_3-6095376.html?part=rss&tag=6095376&subj=news
■Microsoft Acquires Winternals and Sysinternals(Slashdot, 7/18)
http://slashdot.org/article.pl?sid=06/07/18/1545258&from=rss
先日あるセキュリティ関係者の集まりの中で、「スピア型攻撃」という表現は日本だけで使われていて、海外では特定対象だけをピンポイントで狙ったトロイ等による攻撃を「ターゲテッドアタック(Targeted Attack)」と呼ぶのが一般的だという話題で盛り上がった。
「スピア型」という言葉がセキュリティの分野で使われるようになったのは、「スピア・フィッシング(Spear Phishing)」からで、フィッシング(Phishing)攻撃のうち特定対象のみを狙ったものを意味する。これは「魚突き」を意味する「スピア・フィッシング(Spear Fishing)」からの連想で生まれた表現と考えられる。この「スピア・フィッシング」や「スピア・フィッシング・アタック」という用語は海外で広く用いらているが、「スピア型攻撃(Spear Attack?)」という表現はあまり目にすることがないように思う。
「ターゲテッド・アタック」や「特定組織を対象とした攻撃」などという表現もまどろっこしいので「スピア型攻撃」と一言で表現した方がすっきりするのかもしれないが、海外とのやり取りの中では誤解を生む可能性もある。
上記の認識が正しいかどうかは定かではない。意見や情報のある方はぜひお寄せいただきたい。
紹介が遅れてしまいましたが7月18日(火)神戸のCMU日本校にて「センサーネットワークにおけるセキュリティ、産業界のトレンドと研究動向」と題した公開セミナーを開催します。
今回は、米国ピッツバーグ本校よりセンサーネットワーク/アドホックネットワーク分野で活躍中のAdrian Perrig助教授が来校し講演します。
またセンサーネットワークとは関係ありませんが、全般的な情報セキュリティの話題について、セキュリティ・コンサルタントのNeil Bortnak氏による「情報セキュリティ:新たな方向性と従来の問題」と題したプレゼンテーションもあわせて行います。
どちらの講演も英語で通訳はありませんが、興味のある方は参加無料となっていますのでぜひご参加ください。(要事前申込み)
(セミナー概要・申込)
■カーネギーメロン大学日本校情報セキュリティセミナー(カーネギーメロン大学日本校)
http://www.cmuj.jp/060718seminar/index.html
私が最初に読んだトフラー夫妻の著作は1991年の「パワーシフト」だった。何気なく手にしたその本には、刺激的な未来の姿が描かれており大変興奮したのを覚えている。パソコンはまだマニアのもので、インターネットは限られた研究者だけが使っていた当時、その本に書かれた未来社会は夢物語にも思えたが、多くが現実のものとなった。
学生だった私は知識が力の源泉となる未来の姿に思いを馳せ、授業の課題として将来の軍事・国際関係における知識と情報の役割の変化についてレポートをまとめた。その後いわゆる情報化の波によって、インターネットや携帯電話の普及など、社会や組織、我々のライフスタイルは急激に変化した。この間、私自身は全国のセンサー情報を集約し処理・判断した結果を航空機やミサイルなどのハードウェアとそれを操る人・組織に伝える兵器管制という業務を経験した後、軍事における情報化(RMA)、システムのオープン化とそれに関わる研究開発、情報技術を駆使し組織変革をはかり徹底した合理性を追求する外資系コンサルティングの世界、そしてまさに知識と情報が力の源泉となる情報セキュリティの世界、様々な技術と組織そして社会の変化に実際に関わることとなり、今振り返ると自分自身のキャリアの原点はトフラー氏の「パワーシフト」にあったようにも思える。
今回の「富の未来」は「パワーシフト」以来の15年ぶりの大作ということで著者らのこれまでの活動の集大成とも言える作品となっている。現在そして今後の社会において情報・知識が重要な役割を果たすというこれまでの基本路線を踏襲しつつ、今後さらに社会や技術の変化は加速し、組織の意思決定の速度、変化する能力がこれまで以上に重要となるとしている。確かに高度な情報処理や地球規模での知識の交換を容易に行うプラットフォームが整備された現在、それらを活用することによって様々な分野での進歩や変化が加速するという主張は感覚的にも理解できる。このような時代において、時間というものが経済学上重要な要素となり、企業では時間の経済価値を意識した戦略が求められる。
また、これまで経済学の枠組みで重視されなかった、家庭内での生産活動やボランティアなどの生産消費者にも焦点をあて、企業における労働を消費者自身に外部化するなど新たな経営アプローチに関するヒントも多く提供している。その他、遺伝子工学が石油産業に匹敵するエネルギー産業になるバイオ経済、高齢化問題に対する創造的対策など刺激に富んだ未来社会が描かれている。
やや概念的な記述が多く、ある程度前提知識がないと読みづらい部分もあるかもしれないが、広範な分野を扱っているので誰でも興味深いトピックをいくつか見つけることができるだろう。これまでの大きな社会の変化を予見してきたトフラー夫妻の新作だけに、社会、技術や経済などの方向性を捉え、今後の自分や組織のあり方についての長期的なビジョンを構築する上で大変参考になるだろう。
【書籍】
富の未来 上・下巻
A. トフラー (著), H. トフラー (著), 山岡 洋一 (翻訳)
講談社(2006/06/08)
各¥1,995 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
最近のコメント