カテゴリー: 情報セキュリティ

インターネット内を流通する金額に比せば勿論 実社会を動く金銭はまだまだ桁違いです。 しかしインターネット上のサービスが効果的なのも だんだん世間一般に周知されて来ました。 このような状況となってきて新興勢力であるインターネットサービスが 桁違いの市場を狙わない筈がありません。 それが顕著に現れたのが今年前半話題になることの多かった インターネットクーポンサービス グルーポン でしょう。 端境期に於けるズレに乗じてこのサービスが パンドラの匣を開けてしまったのかも知れません。

飲食店側もインターネットが己が商売に役に立つとなれば利用したくなるのが人情というもの、 去年々末から今年に掛けて話題を浚った Facebook が彼等の目にとまります。 豚組しゃぶ庵 さんもそんなお店の一つでした。 Facebookでは去年から位置（地図）情報と結びついた スポット機能（いつ、誰と、何を、そして「どこで」） を提供しています。 この機能とクーポン機能とFacebookページを相互に連関し お客様との良きコミュニケーションを図ろうと 豚組しゃぶ庵さんは考えたのだと思います。 処がFBクーポンの申請は却下されてしまいました。 事態はこれに留まらず翌日却下された筈のFBクーポンを利用するお客様が現れたのです。 FBでホットペッパーがスポット情報を登録しまくっている件 自分のお店のFBクーポンを発行しているのは リクルート社のホットペッパーでした。 勿論豚組しゃぶ庵さんの意図しない処で進んでいた話でした。 豚組しゃぶ庵さんはリクルート社と連絡を取り話しをしました。 【続報】ホットペッパーがFBでスポットを作りまくっている件 リクルート側は Facebookの規約に違反していることを認め、 即座に豚組しゃぶ庵さんのクーポンとスポット情報を削除しました。

以上が大凡の顛末になると思います。 豚組しゃぶ庵さんの【続報】記事を読めば、 リクルートには其処から直接の利益を得る意図はなかったということです。 しかし嘗て情報産業の雄だったリクルート社の形振り構わなさが伺えるようなお話です。 この状況を少々憚られる表現ながら恐ろしく的確に切込隊長をつい昨日引退した やまもといちろう氏が比喩しています。 続・豚組 vs リクルート的なるもの 恐るべき視座の違い リンクだけ貼っておきますので比喩部分が気になる方はどうぞご自分でお探しを。

パンドラの匣は開いてしまいました。 インターネットサービスは実社会に於ける影響力を誇示し、 飲食店側は時代の変転に動揺を隠せぬまま新興勢力の蚕食を許さざるを得ない状況にも見えます。 開いてしまったパンドラの匣は二度と閉じることはないでしょう。 ならば冷静になって匣の底に残った「希望」を拾い上げるしかないのかも知れません。

本記事の題目に上げましたのが

1. オプトインメール
2. オプトアウトメール
3. スパムメール

の三種類のメールで、 この内三番目のスパムメールは既に世間にも周知されているのではないかと思います、 一般に言う迷惑メールのことですね。 では、前二者はどんなメールでしょうか？

オプトイン、オプトアウトを英語表記すれば opt-in、 opt-out となり、共通の opt は「選ぶ」と言う動詞で、 この名詞形が option で「選択権、選択肢」となります。 すると大凡、オプトインとは選択した上で、 オプトアウトは選択権もなく、 と言う様な意味合いになってきます。

スパムメールはご存知の通り、 何処で自分のメールアドレスを調べたのか、 知らない連中から無差別に送られてくるようなメールです。 これに対し、オプトインメール、オプトアウトメールとは 送り主が大抵思い出せる様なメールと考えて良いと思います。

ではインとアウトの違いとは、 メールを送って良いかと問われて許可したか、しないかに関わってきます。 しばしばインターネットサービスを利用しようとして 必要に応じて会員登録などをすると お得なお知らせをメール送信していいかどうか、と チェックボックスを伴った選択肢が現れることがあります。 ここでチェックボックスをチェックして了承の意を示した相手から お知らせメールが届けばそれはオプトインメールになります。 この理屈から行けば選択権もなく会員登録したメールアドレスに対し お知らせメールを送りつけるのがオプトアウトメールになりますね。 最近流行りの 「このメールは【送り主】と名刺交換をさせていただいた方々へ配信させていただいております。」 と言うようなお為ごかした言のメールも一種のオプトアウトメールと言えるでしょう。

メールはホームページと並んで、インターネットの一つのキラーソフトウェアです。 これがあるからインターネットを使うと言う方もインターネット初期には多かったものです。 その便利さの反面、時には迷惑なメールの形態が発生してしまったのも 致し方のないことかも知れません。 メールはコミュニケーションに今や必須です。 インターネットサービスの活用としてメールとメールの代替品の活用法はもっともっと研究されるべきなのかもしれません。

本ブログ2010年9月28日に掲載した 情報セキュリティセミナー の昨日10月1日分 技術コース標準編 を受講して来ました。 午前の部については本日の午前中の記事 技術コース標準編1 に記しましたのでご参照下さい。

午後は期待通り極々技術的な内容となります。 先ずは ウェブアプリケーションへの攻撃手法 として

1. SQLインジェクション
2. クロスサイトスクリプティング

と言う代表的な二者が挙げられ、 デモを加え乍ら説明がなされました。 この際 VMware（ヴイエムウェア） と言う仮想化ソフトウェア、即ちコンピュータの中に仮想的にコンピュータを構築する手法を使って 実際にドメイン間のシミュレートをされているのに成る程なと思わされました。

SQLインジェクションと言うのはホームページの穴を突いて データベースを不正に操作する方法を言いますが、 IT業界に携わると最早古典的の感も有る程、繰り返し耳にするものです。 クロスサイトスクリプティングとは正規のホームページに 攻撃者のホームページへと情報を漏洩させる仕組みを仕込むものです。 今回はセッションID（何頁ものホームページを行き来する読者が同一であることを確保します）を 他サイトに送信するjavascriptの概略が紹介されました。 此方もWebに携われば耳慣れた手法です。 どちらも良く知られた攻撃手法であり乍再々度俎上に上げられるのは、 両者が変わらず攻撃手法の多数を占め、尚且つ攻撃者からは有効であるからに他なりません。 講師経営企業で用意された ウェブアプリケーションセキュリティ要件 も紹介されましたので必要な方はリンク先をご参照下さい。

次なる項目は インシデントレスポンス です。 インシデントレスポンスとは、 実際に情報セキュリティに関する事件がが起きたらどうするか、と言うものです。 情報セキュリティ上の事件は何時でも起こり得るものです。 其の中でいざ事件が起きたらどう対処するか？ 事例を挙げて紹介されました。 特に去年より猛威を振るい、今も尚度々ことを引き起こす ガンブラーについて取り上げられましたので、 実情に基づいた分かり易い内容となっていました。 因みに此の ガンブラー とは攻撃タイプのカテゴリー名で ウイルス名ではないと言う認識に落ち着いていますので、 勘違いされていた向きはご修正のほどを。

ホームページ運営に詳しい方では、 ご自分でホームページを更新される方も居られるでしょう。 サーバーにホームページをアップする際にはどんなソフトをご利用でしょうか。 此の時の通信の約束事、 プロトコル は FTP を使われている方が未だ多いかも知れません。 ソフトウェアの名前に FTP と付いていれば其の可能性は高いです。 ソフトウェアの利用するプロトコルを SSH に変更すれば此れだけで可成、 安全度が向上するとの話がありましたのでご参考下さい。

またレクチャーでは役立つ 情報セキュリティ上のチェックツールも紹介されましたので 以下に代表的なもの二つを記しておきます。

• My JVN バージョンチェッカ
• ウェブサイトの脆弱性検出ツール iLogScanner

今日のセミナーで最も印象に残ったのは、 情報セキュリティの専門家である講師の方の認識としても、 ウイルス感染パソコンは現状ほぼ初期化しかなくなりつつあると言うことです。 又良く言われることですが、ウイルスに感染すると加害者になることも屡です。 いみじくも講師がセミナー中使用の自信のノートPCを指差し、 これだって感染していないとは言えない、 との発言もありました。 さても皆さんもくれぐれもウイルス対策は怠り無く。 この様な極々専門家の何気なく漏らす生の声がセミナー参加の優位点であり、 是非来年も参加したく思いながら、 今回の情報セキュリティーセミナーを終えたのでした。

本ブログ2010年9月28日に掲載した 情報セキュリティセミナー の昨日10月1日分 技術コース標準編 を受講して来ました。

去年同コースを受講した際にはマニアックにも感じられる内容でしたので、 今回も楽しみにしていた技術コースです。 講師の方はIPAのセキュリティ研究員であると同時 にセキュリティ会社を経営、以前は関連プログラムをも組んでいたと云う 経歴を持たれる方です。

導入部、先ずは去年猛威を振るったガンブラーや、 Webサイトからの感染が増加している件など、 又、攻撃者のモチベーションについては

• 金銭に還元出来る情報を狙う
• CPUリソースを狙う

などが話されました。 ウイルスジェネレーターも商売上のアプリとして売られていて、 実際使ってみた処、実に巧妙に出来ている、などの 講師の実体験に基づいた感想が興味を惹きました。

午前の部の多くの時間を割かれたのは 2010年版10大脅威 そして其れ等への対策のレクチャーです。 セキュリティ10大脅威には以下、

1. 変化を続けるウェブサイト改竄の手口
2. アップデートしていないクライアントソフト
3. 悪質なウイルスやボットの多目的化
4. 対策をしていないサーバ製品の脆弱性
5. あわせて事後対応を！情報漏洩事故
6. 被害に気づけない標的型攻撃
7. 深刻なDDoS攻撃
8. 正規のアカウントを悪用される脅威
9. クラウドコンピューティングのセキュリティ問題
10. インターネットインフラを支えるプロトコルの脆弱性

が挙げられています。

マネジメントコース入門編に出た際にも興味を惹かれたのが、 6.のピンポイントでターゲットを狙うと言う 標的型攻撃 です。 ITに慣れた方にも嗤われること莫れ、 例えば自社業務関連省庁からの連絡とかだったら心理的にどうでしょう？ 企業インフラにITが重要な位置を占めるとなった今、 此処にも適切な対応が必要だと思わされました。 孤の対策には訓練も実施され体験型学習は効果も高いそうです。

7.の DDoS攻撃 については矢張り防御は難しいとのことですので、 此処はクラウドを利用してGoogleやAmazonに投げてしまいたい処ですね。 9.ではその問題について上げられている訳ですが、 此れからは情報セキュリティに於いて重要度も高まり、 取り上げられる頻度も増すのではないでしょうか。

脅威への対策は数有ります。 先ずは其れ等対策が一時的なもの、形骸化したものとならない様に、 情報セキュリティのマネジメントサイクルを 確立することが最も肝要であると忖度します。

以上が技術コース標準編の午前のコマ、 午後のコマについては次の記事に記そうと思います。

本ブログ2010年9月28日に掲載した 情報セキュリティセミナー の昨日9月30日分 マネジメントコース入門編 を受講して来ました。 午前の部については本日の午前中の記事 マネジメントコース入門編1 にありますのでご参照下さい。

午後は事例紹介から始まりました。

1. コンピュータウイルスに関わる事故事例
2. 情報持ち出しに関わる事故事例
3. 委託先で起こりうる事故事例

此れ等、実際に有った事件を元に講義が構成されるのも、 このセミナーの有益性を高めてくれると考えています。

情報セキュリティについては 常に最新の情報に接している必要があります。 本セミナーに於いては其の点についても様々なサイトを紹介してくれます。 IPA（情報処理推進機構）は此のセミナー主催の組織のひとつですが、 其処に用意されるサイト 中小企業の情報セキュリティ対策ガイドライン では今年より特に本セミナーに特徴付けられる 中小企業 に於いてどの様に情報セキュリティの取り組めば好いかの指針を与えてくれます。 数あるガイドラインは関連団体には必見のドキュメントだと思います。 また同様に必見となるのが関連法規についてで、 個人情報保護法を始めとした数々の法令についての知識が得られます。

セミナー最後となりましたのが、 去年迄はセミナーには盛り込まれなかったIPAの 情報セキュリティ対策ベンチマーク です。 セミナーマネジメントコース入門編の最初と最後に 自己診断 に関する内容であると言うことが、 情報セキュリティと言うものの有り様を示しているとも言えるのではないでしょうか。

情報セキュリティについては利益をうまないコストセンターで つい蔑ろになりがちですが、 此の様な機会に自己、自社体制を見直し、 最新の情報に触れられるのは実に良い機会で、 無料で提供していただける主催者、関連者の皆さんのご尽力に感謝の念に堪えません。

本ブログ2010年9月28日に掲載した 情報セキュリティセミナー の昨日9月30日分 マネジメントコース入門編 を受講して来ました。

今年のポイントは中小企業がフィーチャーされた点だと思います。 此れは中小企業での情報セキュリティの必要性が増している為で、 扱う個人情報量が膨大になっていることに起因する様です。 又BCP（事業継続計画）に於いても重要な位置を占めることにもあります。 情報セキュリティ対策は企業としての ゴーイングコンサーンに必須との認識が一般化しているのですね。

午前は先ずは 5分で出来る自社診断シート を実際に講師の説明付きで実施しました。 此れは入門レベルとして最初に取り組むべき情報セキュリティ対策の自社診断シートで、 安価に実施出来、更には人の対策、体制、ルール作りへの意識を高めるものです。 此処の結果が情報セキュリティ関連有資格者であることが 恥ずかしくなる様なものであったことは秘密です。

セミナーでは情報セキュリティに関して最新の情報を得られる JVN（Japan Vulnerability Notes） という脆弱性対策情報ポータルサイトが有用であると紹介されました。 また現状情報セキュリティに於いては重要なパスワードの作り方に於いて マイクロソフトのサイト 強力なパスワード : その作り方と使い方 が役立つ旨も紹介がありました。 個人的にはこれに 発音のし易さ を加えたい処ですね。

極く直近の情報としては メールの添付ファイルのアイコンでウイルス感染 する事案が発生したそうです。 矢張りメールについては尚、様々問題が多い様ですが、 Gmailを利用しているから関係ないなぁと度々思ったことも確かですね。 （Gmailについては クラウド、先ずはGmailから：2010年9月29日 参照下さい。） またメールではC.C.についての言及が有りましたが、 つい最近もメアドを連ねて送信された身としては身につまされる内容でした。 これで一斉配信してる人物はIT無知と断じて間違い有りません。 本当に気を付けるべきだと思います。

以上がマネジメントコース入門編の午前のコマ、 午後のコマについては次の記事に記そうと思います。

今年2010年も情報セキュリティセミナーが

• 浜松商工会議所
• 経済産業省
• （独）情報処理推進機構（IPA）
• 日本商工会議所

主催で9月30日、10月1日の二日間、開催されます。 マネジメントコース入門編（9月30日） と 技術コース標準編（10月1日） が設けられ、夫々一日掛けて学習が出来、 又共に半日づつ二コマのどれか一つだけの受講も可能です。 どのコマも受講も無料となっています。 申し込みは下のリンク先のページから出来ます。 浜松商工会議所2010年度情報セキュリティセミナー

去年、一昨年と出席しましたが、とても勉強になりました。 マネジメントコース入門編は一般の方向け、 技術コース標準編はIT業界人向けと考えて良いと思います。 大きく門戸の開かれたこの様なセミナーでは 度々喰い足りない内容となることも有り勝ちですが、 去年抔は少々マニアックな面も有る程、 其の系統の人間には面白いものでした。 全般的に実践的な構成となっているかと思います。

通常大都市でのみ開催の考えられる此のセミナーが 浜松で催されると言うことは正に関係者の方々の尽力で感謝の念に堪えません。 昨今、情報セキュリティーに対する要請は強まるばかりですから、 この様な機会は是非活かされるべく受講をお薦めします。

例年、年度末に催されていましたが 今年は時期が早まりました。 勘違いの末、後で、あ、しまった！ と悔しがることにならない様にお気を付けを。

クレジットカード、キャッシュカード抔、 其の発行枚数を見れば一人当たり数枚を保有するが当然の現代、 重要な個人の財務情報を管理するに此れを見逃す訳にも参りません、 とて、＠ITは宮田健氏の文責にて2009年4月21日の記事 31社が総会に参加
クレジット情報を守る「日本カード情報セキュリティ協議会」発足 より引用すれば、

「日本カード情報セキュリティ協議会（Japan Card Data Security Consortium：略称JCDSC）」が4月21日、正式に発足した。NTTデータ・セキュリティが中心となって運営していた設立準備会は4月21日、31社の参加企業とともに第1回総会を開催し、事務局と運営委員を選定した。

とのこと、カードに於ける情報セキュリティの必要性が故に、 其の標準化が順次推進されるかに考えられます。
現状ではカード情報セキュリティの基準は具体的細則には落し込まれておらず、 条項も抽象的に終始するを受け、 4月1日に発足した国が認定した認定割賦販売協会の日本クレジット協会が、 実際に各企業の順守すべきを策定するに当たり、 金融面に於いては国際基準を無視するはならず、 紹介記事に項目立てらる 日本の「改正割賦販売法」と世界の「PCI DSS」の悩ましい関係 なるが示す如くグローバルな基準たる、 当ブログは2008年5月14日アーティクル クレジットカード産業の業界セキュリティ基準PCI DSS にも言及す PCI DSS なる処との整合性が求められるに処々問題は発生する様です。
此の問題連を擦り合わせる仲立ちとなるベく発足した 日本カード情報セキュリティ協議会 の第一回総会に参加するはIT系、セキュリティ系、金融系抔、錚々たる面子に掛け、 是非、安全性の高まるベく基準の制定を為すに有用なる媒介たらんことを欲し度思います。

今時昔の赤塚不二夫氏の漫画に登場する様な、 ハンチングハットに怪傑ゾロの様な眼蔽いの下の大きな口の周りは髭が丸く生えて、 唐草文様の丸く膨らんだ風呂敷を背負っている、 抔と云う其れこそ絵に描いた様な盗人の居る筈も無いのは、 Webに於いても同じこと、 貴兄が財産を狙うホームページは背広を着てインターネットを徘徊している様です。
去る2009年は3月19日、ウイルス対策ソフトで著名なシマンテックがWebサイトを利用した攻撃の現状について、 説明会を催した際の記事 シマンテックが最近の動向を解説
「Web攻撃」は怪しいサイトではなく正規サイトを使う が同日、＠ITに高橋睦美氏の文責で掲載されています。

記事に依れば益々巧妙となる手口が複雑化するWebサイトを隠れ蓑に、 アクセスする者に何某かの不利益を齎す旨、報告され、 対策にはエンドユーザー側、Webサイト側の双方に於けるものが欠かせず、具体的には

1. エンドユーザー側
   パッチの適用や最新のセキュリティソフトの利用
2. Webサイト側
   クロスサイトスクリプティングやSQLインジェクションといったWebアプリケーションの脆弱性を作り込まないような設計、開発

とあります。
また同記事には

SQLインジェクションのような単純な脆弱性を狙った攻撃は減っていると期待したいところだが、現実には増えている。

ともあれば、複雑な対策は扠置き、基本的と云われる対策からでも、 其れなりの効果を上げることと考えられ、 生体認証だの遠隔監視だの思い悩んでいるよりは、 兎も角も先ずはお出掛けの際は南京錠でも施錠を確りと、とのことになるのかも知れません。

兎角頃日喧しく云われるはインターネットならではの危険性、 其のネット上に自社にてWebアプリケーションを提供する事業者ならば、 矢張り気に掛けざるを得ないが其の脆弱性の有無にて、 情報漏洩にホームページ改竄抔、危険を挙げれば枚挙に暇無き折、 CNET Japan吉澤亨史氏の文責にて2009年4月10日に挙げられる記事 脆弱性を毎日診断、無料スキャニングサービスをBBSecが提供 によればネットワーク経由でWebアプリケーションの脆弱性を検査するサービスを検査のみにてあれば無料で提供とあるが、 株式会社ブロードバンドセキュリティー（BBSec） の CrackerGuard（クラッカーガード） です。
同様のサービスは以前より eVICTOR 等も有り、 株式会社アンツビズシェアの説明 より引用させていただけば、

eVICTORは、お客様のシステムに対し擬似的なハッカー攻撃 を再現することにより査定を行うソフトウェアです。システム中のソフトやコンフィギュレーション における脆弱性、更にオープン・ポートを確認するため、全ハードウェア及びソフトウェアプロファイル を参照し、各ポートからお客様のネットワーク、というように全ポートに渡り、それぞれテストが行われます。 そして導き出された結果を、問題点、及び対応策と共に全て報告書にまとめ、ご提供いたします。

とあるに対し

脆弱性を日常的に毎日チェックし、適切に対処していくことが必要となります。 CrackerGuard（クラッカーガード）は、企業の社内ネットワーク及びウェブサイトの脆弱性を毎日診断し、その結果を専用のWebページで報告するサービス

と引用されるクラッカーガードでは毎日の無料診断と専用Web頁が用意されるが付加価値かと存知ます。 但し、脆弱性が検知されれば其の詳細は有償サービスにて齎されることになりますので老婆心乍。

当ブログで2008年5月14日のアーティクル クレジットカード産業の業界セキュリティ基準PCI DSS で取り上げたがPCI DSSに於いても同様に、 オンデマンドで使いやすく、コスト効率の高い PCI コンプライアンス と題され記される QualysGuard PCI なるサービスも提供されれば、 此の類なるWebブラウザがあれば享受の可能な、其れでいて最新情報に対応される 所謂SaaSタイプのサービスの需要は益々増大し、 其れは情報セキュリティに於ける重要なる位置を占めることになるのかも知れません。