カテゴリー: 情報セキュリティ

近年、ITは当ブログは2008年12月24日のアーティクル 電気・水道・ガス・IT にも言及の如く、最早社会的インフラの様相を為せば、 今年度より新たに社会に一歩を踏み出さんとされる方にも、 必須のスキルとして要求されるが、其の情報セキュリティにて、 大仰なものは必要なくとも最低限、個人的に主に使用する配給のパソコンに対する配慮抔考えるに、 CNET Japan編集部の新澤公介氏の2009年4月3日記事 セキュリティの基本知識を伝授--マイクロソフト、新社会人向けコンテンツを公開 に依ればマイクロソフトは2009年4月2日（当該サイトでは3月25日公開と記載）に、 セキュリティに関する基本知識などをステップ1からステップ3に分け、 新社会人向けのセキュリティ対策コンテンツを公開したとあるが、 フレッシャーズの皆さん、十分なセキュリティ知識はありますか?
～はじめて PC を使う方のためのセキュリティ特集～ にて新人さんのみならず、パソコン、インターネットに慣れ親しんだ方にも、 もう一度基礎からセキュリティについて確認するに有用であると思います。

当ブログは2009年3月27日アーティクル IPA・ISEC情報セキュリティ技術動向報告書 に続き、又もや吉澤亨史氏のCNETJapanの記事は2009年3月31日のもの 今後は制御システムにも情報セキュリティ対策が必要--IPAが報告書 に気付かされて有り難きは

独立行政法人情報処理推進機構（IPA）は3月30日、「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公開した。

とあらば再び、ITをユーザーに提供して糊口を凌ぐ者として閲覧されるべし、 とてざっとにも甚だ頼り無き節穴を通しおく次第。

正式タイトルは利用ブログシステム仕様の30文字以内との短めの規定に収まらぬ長さの 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書 とて株式会社日立製作所調査実施の、概要には

従来、専用の機器やソフトウェアを使用していた重要インフラ の制御システムにおいても、近年標準プロトコル（TCP/IPやイーサネット等）や汎用製品が導入され、情報システムとの接続や連携が進んでいます。このため、今後、制御システムにおいても、情報システムで発生している脆弱性を狙った攻撃やワームの脅威などの情報セキュリティ上の課題が顕在化する可能性があります。

とされれば、CIAと略される情報セキュリティ三要件が内にも、 Aなる可用性を最も重視する制御システムにも、 他要件の適用が此れを低下させる要因ともなれば、 従来躊躇われた要件が重点も、オープン化喧しき現状にては、 考慮せざるを得ぬ状況を調査報告したものと考えられます。

CNETJapanの2009年3月25日の吉澤亨史氏による記事 IPA⁄ISEC、注目の情報セキュリティ技術動向をまとめた報告書を公開 に

独立行政法人 情報処理推進機構（IPA/ISEC）は3月23日、2008年下半期における情報セキュリティ関連の技術動向をまとめた「 情報セキュリティ技術動向調査（2008年下期） 」を公開した。

とあらば、ITをユーザーに提供して糊口を凌ぐ者としては、 ざっとにも目を通しておく必要を感じます。

先ずは 序 2008年下期の技術動向 - 今日のセキュリティエンジニアリングの話題 にて、IT技術者を読書と想定した本報告書で述べられる概況では、

既存のセキュリティ関連技術を実際に実装・配備する際にも戦略とそれを支援する技術的手法が必要とされつつある

と適用時期の特性が述べられ、各個詳細に於いては、 当ブログにては2009年3月25日アーティクル 改善を望まれる煩雑なアイデンティティ管理 で言及の事項抔も活発に規格の策定が促進され、 他にもネットのインフラの基盤的技術なるDNSSECの配備、Resource PKIに、 またダークネット観測プロジェクト、テンポラリファイルの操作に関するプログラミングミス抔が挙げられています。

＠ITは2009年3月のリバティ・アライアンス記事 いま企業に求められるID管理基盤とは
～多様化するITシステム運用の切り札 ではPR記事乍も有用な知見を齎してくれるように思います。

多くのユーザーIDとパスワードを管理することを求められています。これは、ユーザーにとってやっかいというだけではなく、かえってセキュリティが悪化している状況です。
(ry
ID管理が提供するSSO（シングル・サイン・オン）機能により、ユーザーが管理しなければならないユーザーIDとパスワードのペアの数を大きく減少できます。一度ログオンしておけば、再度のIDとパスワードの入力なしに権限があるシステムやリソースにアクセスできるようになります。これは、ユーザーの負担を減らすだけではなく、セキュリティの向上にも大きく貢献できます。

此の引用には、Googleより提供されるサービスが紆余曲折はあり乍も、 当初入手したGmailアカウントで総て利用出来れば、 余りの便利さにGoogleに多くデータを預け過ぎる傾向を招くと云えども、 其の有用性は常日頃感じられる処にて、全く賛同せざるを得ません。

ホームページを制作する際には最早、 抜きにして考えられないのは制作サイトに内在する脆弱性の検討、考慮です。 インターネットに於ける独特の危険性を考えないで作られたホームページほど、 危ないものは無いのかも知れません。 脆弱性が攻撃者に露見するに、 Webサイトが改竄されるにしても、個人情報が流出するにしても、 大きな悪影響を運営組織に与えざるを得ないからです。 此の脆弱性を攻撃するひとつに当アーティクルタイトル SQLインジェクション があります。 此れはデータベースを操作する言語 SQL を利用した攻撃にて、 ブログを始め、今やデータベースと関連しないホームページのコンテンツは考えにくい状況となれば、 ホームページ運営者はよくよく鑑みて製作業者に指示を出す必要があるかと考えます。

此の攻撃を認識するに適したが、 ＠ITには2008年6月27日に株式会社ユービーセキュア杉山俊春氏に依るコラム もいちどイチから！HTTP基礎訓練中 の第6回 SQLインジェクション攻撃、ターゲットは“あなた”です が掲載され、当攻撃に限らず漫画を交えて分かり易く、危険性を説明してくれています。
更に当攻撃の詳細を知るには、 同じく＠ITは上野宣氏に依るコラム セキュリティ動向チェック の第42回は2006年11月2日の記事 今夜分かるSQLインジェクション対策 が掲載され、其の日付からもドッグイヤーの此の世界では古典的な印象され抱かれますが、 実は今以て効果を失わぬ、強力な手法でもあり、 ホームページ運営のご仁は考慮しておく必要があるかと考えます。

善意に基づき構築されたインターネットに於いて、 サーバ、クライアント間にコネクションを確立して全てが始まるHTTPプロトコルの構成には、 此れに起因せし脆弱性の存ずるが証明でもあるに、 DDoS：Distributed Denial of Service：分散サービス妨害 が広く知られ、情報セキュリティ三要件

1. 機密性
2. 完全性
3. 可用性

が内、特に可用性を損ねるものとしてあり、 攻撃者はただ一点此れが大量であることを除き、 正常なコネクションを確立しようとしているだけに見えることが防御を難しくしており、 またDDoS命名の由縁の Distributed Denial of Service：分散サービス妨害にある通り、 大量の無関係なコンピュータからのアクセスであることからも攻撃者の特定が難しいのだとされます。
此処に於いて攻撃者を ハーダー：Herder：牧夫 と称すは、此れ又何とアルプスの少女ハイジのペーターを思わせるは牧歌的な、 と云われる勿れ、其れに操られる数多のコンピュータを此れ スケープゴート：Scapegoat：生贄 と称せし故のこと、哀れシロにクロにユキは、 悪人の手先となって我知らず悪事を働くこととなり、 事と次第に依っては彼等は当の張本人より先に悪事を働いたとして血祭りに上げられる運命にあるのであります。

IT系の業務に携わる者には重要な情報として2008年皐月の初旬に 数日続きで掲載されたネットワンシステムズの豊田祥一氏によるITpro内の記事が セキュリティ基準「PCI DSS」 に項目を纏め掲載されましたので少し日は経ってしまいましたが紹介させていただきます。

PCI DSSはPayment Card Industry Data Security Standardの略であり、 連載冒頭から引用させていただけば概略

PCI DSS（Payment Card Industry Data Security Standard）は，情報セキュリティの向上を目的としたクレジットカード産業の業界基準である。米国では，多くの企業がSOX法の対応に追われる中，特に小売業を中心にPCI DSSへの準拠が強く求められるようになったことから，非常に関心の高いコンプライアンス上の課題の一つとされている。

と纏められ、 近年情報資産のセキュリティについて喧しく騒がれる中も 本標準は本邦では未だ普及には至っていないようですが、 IT界の潮流は遅かれ早かれ米国のものが導入される傾向にありますし、 その意味で云えばSOX法への対応が一巡した頃米国でも目を向けられた由にて VISAとMasterCardの2社が中心となって開発された本標準なれば、 クレジットカード産業と云えばE-commerceとは切っても切り離せない状況にありますから、 只の今、SOX法への本邦企業の対応の大童の目を向ける余裕のある筈も無く、 当該法案の企業内適用の一段落すれば 孰れ、IT関係者は薄かろうと濃かろうと関係を持つことになると予想されます。

上記喧しきセキュリティ事項と云えば ISMS やプライバシーマーク抔が代表的にて、 多くの方が屡耳にされると思いますが、 PCI DSS は其れ等既存の要件とは異なり具体的で、且つ要求レベルも画然と定められる抔、性格は異なれど、 相互補完の関係にあり、どちらかを適用すれば其れで済むと云う問題ではなくなりますので、 セキュリティを考える上での懸念事項が増える結果になることは否めません。
ネットのセキュリティについては次々と新技術、新規約の採用されて IT業界関係者も追随するのに一苦労されているように拝察すると共に、 新技術に便乗しセキュリティ専門家を謳う怪しい業者も多く見掛けますので セキュリティを導入したいユーザー企業担当者のご苦労も偲ばれますが、 健全な業界の成長には欠くべからざる事項である為、 此処は提供側、被提供側の互いに切磋琢磨、投資研究される道を取らざるを得ないのではないでしょうか。
また当連載の末尾に「クレジットカード業界以外への適用も可能」として項目立てられている文面を引用させていただけば

　PCI DSSは，カード会員データとセンシティブ認証情報を保護することを目的に，主として技術的側面を重視して作成された業界基準である。しかし，これらの情報を重要情報と置き換えてみると，クレジットカード業界以外への適用も可能だ。
　また，マネジメント・システムの構築，コンプライアンスの順守，技術的セキュリティ水準の確保は，様々な情報セキュリティに関する脅威から組織を守るための主たる3要素であり，PCI DSSはこの一翼を担う資質を備えたものと言える。このため，技術的セキュリティのベンチマークとして，PCI DSSの重要性が今後増していくものと思われる。

とされていますから、 IT業界関係者に限った話ではないのかもしれません。

当アーティクルにも閲覧者の便利の為、 下記に連載記事夫々への直接リンクをはっておきます。

• 第1回　違反すると罰金や損害賠償が課せられる
• 第2回　ISMSやプライバシーマークとは全く違う
• 第3回　導入時は自己問診票でチェック
• 第4回　運用時は四半期ごとにスキャニング
• 第5回　情報システムに大きなインパクト