「そういえば、随分前にマイクロソフトをジョーク
のネタにしたサイトがあったなあ」と急に思い出
してサーチしてみると、今でも閲覧できました。
この中で、ビートルズの Yesterday を替え歌に
したジョークが載っています。
I pushed something wrong
What it was I could not say.
Now all my data's gone
and I long for yesterday-ay-ay-ay.
というあたりは、あの歌声で聞こえてきそうなフレ
ーズの絶妙さに大笑いした覚えがあります。
こうしたアクシデントはどんなにシステムが進歩し
ても起こり得るものですが、実際だと笑い事では
済まされない話。
いつの時代も、定期的なバックアップと復元手
順の練習は必須ですね。
2008-03-28
Yesterday の替え歌
2008-03-25
セキュリティの考え方
最近、記事を読んでくれる人のお話を伺う機会
があって、「セキュリティって日常のあらゆる場面に
埋まってるんですね」という言葉を頂きました。
ブログで一番伝えたいことでもあったのでとても嬉
しかったのですが、自分が書いている内容のマニ
アックさを改めて再認識しつつ、もっとやさしく表
現できればなあと思う事も多々あります。
そんな中、Bruce Schneier が The Security Mindset
というタイトルの記事を出していたのを興味深く読
みました。
内容としては、セキュリティをかじるとよく耳にする
"攻撃者の視点を持って周りを見渡してごらん" と
いうもので、Schneier は 「セキュリティの考え方は
キャリアパスにかかわらず、誰でも利益を得ることが
できる価値ある技術なのだ」と記事を結んでいます。
物事へ自動的に反応するのではなく、能動的に
安全を獲得する姿勢を説いているんですね。
ワシントン大学のコンピュータセキュリティ講座の
ブログも紹介されていて、こちらも非常に面白い
ものです。
米国土安全保障省、2度目のサイバー予防訓練を実施
CNET Japan、2008/03/17 19:08 の記事です。
Technobahn でも同様の記事が掲載されていて
訓練結果からどのような教訓が引き出されたか
興味深いですね。
内閣官房情報セキュリティセンターでは、今月
19日に基本計画検討委員会が開催された様
です。
■関連リンク
Cyber Storm II Initial Fact Sheet(PDFファイル)
DHS | Cyber Storm: Securing Cyber Space
サイバー国防の幕開け
山形浩生
情報戦争に備える米国政府
WIRED VISION
2001年9月11日
クラッカーたちの「米中サイバー戦争」激化か(上)
WIRED VISION
2001年5月8日
クラッカーたちの「米中サイバー戦争」激化か(中)
WIRED VISION
2001年5月9日
クラッカーたちの「米中サイバー戦争」激化か(下)
WIRED VISION
2001年5月10日
Israel's Seminar on Cyberwar
wired.com
01.10.01
War in the fifth domain
The Economist
Germany prepares for cyber war
NEW SECURITY LEARNING
by Filippa von Stackelberg
General Alexander’s Confirmation And The Failure Of
Cyberwar Transparency
Forbes
posted by SEAN LAWSON
May. 13 2010 - 1:59 pm
US cyber war defences 'very thin', Pentagon warns
BBC News
17 March 2011 Last updated at 01:05 GMT
study4cyberwar.com
2008-03-17
告白
先日2月13日に、大前研一さんのコラムで今年
1月に起きた世界的な株式市場暴落の原因に
ついて書いていました。
この中で触れているフランス大手銀行、ソシエテ・
ジェネラルのトレーダーによる事件は、ニュースなど
でご存知の方も多いでしょう。
事件を知った時真っ先に思い浮かんだのは、大
和銀行のトレーダーだった井口俊英さんによる12
年間にも及んだ不正行為とその結末を描いてい
る「告白」です。
この本は情報セキュリティマネジメントのトレーニン
グを受けた時に講師の先生から教えていただいた
もので、著者が銀行上層部へ宛てた告白状に書
かれた次のような一節で始まります。
------------------------------------------------------------
前略 私はニューヨーク支店配属の井口俊英です。
ここに記す事は私の正直な告白です。この事件が、
当行に及ぼし得る影響を考えれば、只一人の人間
として、この様なことを起こし得る体制が存在したこと
と、自分がその真只中に居合わせた不運を呪うばか
りです。
井口俊英「告白」1997年1月15日 第1刷
1 告白(P.10)より
------------------------------------------------------------
不正行為の当事者が持つ生い立ちも含めた生々
しい感情や、ミスを防いだりカバーできる範囲に留め
る仕組みを仕事に溶け込ませる事ができず、事件を
知った組織の動きを知るケーススタディとして、まさに
うってつけの教材と考えています。
■関連リンク
大和銀行ニューヨーク支店巨額損失事件 - Wikipedia
東京新聞:特集・あの日から、日本経済の転機(TOKYO Web)
1995年9月23日 大和銀 損失 トレーダー米で逮捕
日本企業の隠ぺい体質に厳罰
2007年2月27日 紙面から
2008年1月26日付けの弊行調査で明らかになった当社の
巨額不正取引の規模について
ソシエテ・ジェネラルグループ(PDFファイル)
livedoorニュース:【眼光紙後】
ソシエテジェネラルのリスク管理体制はどうなっていたのか
2008年02月01日11時00分
ソジェンは氷山の一角、英銀破たん招いた元トレーダー
国際ニュース : AFPBB News
2008年01月25日 09:41
金融商品取引業者等検査マニュアル【案】(PDFファイル)
証券取引等監視委員会事務局
リスク管理ソフトは万能ではない
Alternative Information 第13号
2006年11月(PDFファイル)
2008-03-16
Days of Thunder
トム・クルーズが血気盛んなストックカーレースのドラ
イバーを演じるストーリーです。
レースに出場するためのシートを得るところから始まり
チーム内での様々な紆余曲折や事故による困難を
乗り超えて成長していく姿は、今でも胸に響くものが
あります。
チームメイトのイタズラなど、いかにもBoys という感じの
やりとりも面白いです。
2008-03-15
内部統制報告制度に関する11の誤解
ここ数年、「J-SOX」、「内部統制」といった言葉を
よく耳にします。
いずれも、金融証券取引法・新会社法の双方で
企業内での業務を適切にコントロールしなさいとい
う点に触れているので余計ややこしい感じを持って
います。
個人情報保護法の時と同様、パニックと言っても
いい様子を見聞きしたことがありますが、こうした状
況を受けてか、3月11日に金融庁が「内部統制
報告制度に関する11の誤解」というタイトルで文
書を発表しました。
そこで文書にざっと目を通してみたのですが、まず
第一印象が「見づらい」です。
誤解としている箇所を上に配置しているのですから
視点もまずそこへ向くでしょうし、それを正したいとい
う意図であれば矢印の向きが逆では混乱しますね。
文章の配置をそのままにするならば、「実際 ⇒ 誤
解」ではなく、「誤解 ⇒ 実際」とした方が流れとし
ては自然に思います。
内部統制という言葉そのものも、あれこれ見ている
と様々な解釈が出回っていてゴチャゴチャな感じを
持ち続けてきました。
情報セキュリティ大学院大学の大井先生は"イー
ジスプロジェクト"というインタビューで、内部統制を
「企業の仕事をうまくやるための仕組みであり、企
業の経営をうまくやるための仕組みなのです」と非
常に簡潔な定義をされています。
この定義をまさに地で行っている話だと思い出した
のが、数年前に製薬会社の方による講演を拝聴
させていただいた時のこと。
自社の身の丈を客観的にモニタリングされて、でき
ることとできないことをスッパリ割り切っていた印象が
ありましたし、何よりそうした事を組織的に素早く
取り決めて動く「風通しの良さ」を感じました。
僕自身は幸いながら(?)J-SOX対応支援の経
験は現在のところ微々たるものですが、内部統制
に限らずあまりに物事の方針が決まらないところで
は、まず7Sなりのフレームワークに自分達が当ては
めることのできるキーワードを落とし込んで大まかで
あれ自らのコンセプトを明確にする方が先決であっ
て、それを妨げる物があるならば、何が原因かを問
うてみてはと思うことが多々あります。
■関連リンク
内部統制 - Wikipedia
内部統制って一体何だ?―不祥事を防ぐ内部統制の基礎知識
「内部統制=日本版SOX法(企業改革法)」という誤った図式(上)
岡村久道 IT弁護士の眼:ITpro
2006年04月17日
内部統制報告書の基礎が誰でもわかる
金融商品取引法の内部統制報告書についてのQandA
世間は誤解している
~金融庁が日本版SOX法に関する11の誤解を指摘 - @IT
2008/03/11
2008-03-13
テロとデータマイニング
Bruce Schneier が、3月11日にアメリカの諜報機関がオ
ンラインゲーム上で危険人物を探し出すソフトウェアを
開発する Reynard project をブログの題材にしていました。
この記事は、ちょうど先月に Maryland 大学がテロ発生
を事前に予測するポータルを開発したニュースを見てい
たことから目に留まったものです。
内容としては、ユーザの動きをプロファイリングして、最終
的に疑わしい振る舞いを抽出できるようにするもののよう
ですね。
Schneier は2005年ごろ、既にテロ対策としてのデータ
マイニングには否定的な見解を示していますが、Reyna
rd project について Web上でサーチできるコンテンツを見
ても、オンラインゲーマーに対するスパイ行為との非難や
税金の無駄遣いといった声が見受けられます。
データマイニングとは別角度の話題になりますが、ドイツ
の憲法裁判所では、人命や国有財産のように法律上
その利益を保護されている対象が危険にさらされる証拠
がある場合は裁判官から許可を得て容疑者のハードディ
スクから隠密裏にデータを収集しても良いと先月発表して
いました。
この発表で、ノルトライン・ヴェストファーレン州で昨年1月
から特別なソフトウェアを使った調査活動を明示的に許
可していた州法が無効となったほか、憲法で規定してい
るプライバシーの概念が拡張されたそうです。
■関連リンク
World of Warcraft - Wikipedia
データマイニングの宝箱
THE SECOND TIMES
米政府、MMO内の危険人物を特定するソフトを開発か
2008年02月28日 17:30
Data Mining Report
15 Feburary 2008(PDFファイル)
The Reynard Project
How to spend taxpayer dollars in the war on terror
WetCanvas!
Project Reynard; A New U.S. Spy Project
Saturday, February 23rd, 2008 at 7:13 am
PC View: Business
浮上しつつある巨大市場「監視ビジネス」最前線
第9回 米国の国民監視プロジェクト
データマイニングでテロは防止できるか(上)
WIRED VISION
2006年03月17日
データマイニングでテロは防止できるか(下)
WIRED VISION
2006年03月20日
同時多発テロの犯人は事前に分かっていた?
米軍に証拠隠滅の疑い
CNET Japan
2005/09/22 17:19
viewz:【対テロ用データベース MATRIXとは】
Tuesday, March 16, 2004
@Police 世界のセキュリティ事情
法律家らがデータマイニングに関するガイドラインを要請
2003/10/30
2008-03-10
「金を出せ」と要求する携帯電話マルウェアが出現
ITmedia News、2008年03月05日の記事です。
■関連リンク
携帯電話 - Wikipedia
3.6.1 OS
マルウェア - Wikipedia
マルウェア解析 2.0
2007年3月28日
Computer Security Research - McAfee Avert Labs Blog
Crimeware goes Mobile
Tuesday March 4, 2008 at 5:23 am CST
携帯電話に対応する新セキュリティ仕様、まもなく公開へ
モバイル&ワイヤレス - Computerworld.jp
2006年08月31日
「携帯電話向けOS市場,Symbianの王座は2009年まで」,米調査:ITpro
2006/02/13
ITmedia エンタープライズ:モバイルデバイスを護る術
携帯電話OSの最新セキュリティ事情、Symbianの場合 (1/2)
2007年07月02日 07時26分 更新
FirewireでWindowsをハッキング、研究者がツール公開
2008-03-08
食農同源
日々快適に生活するために、食べ物の大切さについて
考える事もあるのですが、食を巡って実際にどんな動き
があるんだろうと思って手にした本です。
本当に安全なものと、安心を得られるお墨付きは別物
ですが、「野菜作りをしているのか、書類づくりをしている
のか、わからない」という有機農業生産者の声(第5章
日本の「食」と「農」を守る道 P.220 より)は産業を問わ
ず、安全を矮小化せず確立するために考えるテーマを
投げかける象徴的な話に思えますね。
ちょうどこの時期は年度末でもありますが、予算単年度
主義への批判は全く同感です。
日本有機農業研究会や、山地酪農の思想を開花させ
た中洞牧場によるエコロジー牛乳をはじめとした農場など
地道な取り組みが実を結んだ事例も紹介されています。
2008-03-04
Router Hacking Challenge
今朝見ていた Handler's Diary の記事でルータの
ハッキングコンテストをやっていたことを知りました。
随分前ですが組織内のLANに使われているのと同種
のルータを使ったクローズドなネットワークを構築後に
攻撃コードを使用可能な状態にして撃ち込む実験を
したことがあります。
当時は併行して、LANを防御するために導入されたファ
イアウォール機器を設定するサーバへ攻撃する仕事も
経験して製品のコストを低く抑えるためにオープンソース
のアプリケーションが組み込まれていると思われる状態等
も見る事ができましたが、その頃と大きな面では変わって
いないのかな?と感じます。
何となく、2005年にアメリカのセキュリティ関連イベント
で脆弱性を公開した研究者と企業の対立が報道さ
れていたことを思い出しますね。
■関連リンク
認証 - Wikipedia
各種ルータの初期パスワードがわかるサイト「Default Router Passwords」
GIGAZINE
2007年07月09日 11時14分00秒
@IT:監視を自動化するSNMP(1)
2003/2/19
BlackHat Briefings発セキュリティ最新事情(中) : ITPro
2003/01/01
ブロードバンドルータに対する新種ファーミング攻撃、Symantecが警告
2007/02/16 11:55
ブロードバンドルータの攻撃防御機能
「TCP/IPに係る既知の脆弱性検証ツール」を公開
独立行政法人 情報処理推進機構 セキュリティセンター
最終更新日 2008年2月6日
Cisco IOS Exploitation Technique and Defense In Depth
Handler's Diary
Published: 2009-01-06,
Last Updated: 2009-01-06 23:36:55 UTC
by Scott Fendley (Version: 1)
Layer 2 Network Protections ? reloaded!
Handler's Diary
Published: 2009-12-07,
Last Updated: 2009-12-07 15:49:51 UTC
by Rob VandenBrink (Version: 1)
2008-03-03
Silent Banker
朝日新聞のオンライン記事で、ネットバンキングを標的
にしたウイルスの記事が出ていました。
個人的には今のところネットバンキングは使っておらず、
コンビニのATMも避けていますが特に問題なく生活して
います。
件のウイルスである "Silent Banker" 自体については
昨年末に報告されていますし、今年1月に日本語の
情報も出ていて駆除できるようですね。
"Silent Banker" は非常に多彩な攻撃能力を持つ様で
すが、最も懸念されているのは "マンインザミドル (man
-in-the-middle)" だとシマンテックの研究者が書いたブ
ログにあります。
マンインザミドルとは書いて字の如く人と人の間に入っ
て悪さをする事ですが、簡単な例ならばAさんからBさん
に話(要件)を伝えるとします。
そこへCさんが割り込んで捻じ曲げた内容をBさんに伝
えてしまえば、Bさんはひどく気分を害してAさんに話を
しなくなるかもしれないし、ケンカするかもしれない。
Cさんは間に入ってAさんがBさんに伝えようとしたことを
悪意を持ってコントロールできてしまう、「意図的な伝
言ゲーム」ができてしまうイメージです。
人間同士でこれですから、コンピュータのように文字通り
「愚直に」物事をこなす機械同士の通信に悪意を持っ
た誰かが割り込めば・・・イメージはし易いと思います。
ケンブリッジで教鞭をとっている Ross Anderson による
と、マンインザミドルの基本技術自体は少なくとも第
二次大戦まで遡ることができるそうです。
環境や技術が複雑になってめまぐるしい感じもしますが
衣替えして別物に見えても、本質的には変わらない脅
威に遭遇するものだなあと改めて感じますね。
■関連リンク
400以上の銀行をターゲットにするトロイの木馬
Silentbanker:スペシャル ZDNet Japan
2008/01/15 06:31
Silent Banker Trojan Targets 400 Banks,
Circumvents Two-Factor Authentication,
Just For Starters...
Published 01/14/2008
TrojanSilentbanker - Symantec.com (日本語)
発見日: 2007 年 12 月 17 日
更新日: 2008 年 2 月 5 日 2:06:26 AM
Symantec Security Response Weblog:
Banking in Silence
January 14, 2008 05:00 AM
中間者攻撃
(ちゅうかんしゃこうげき。Man-in-the-middle Attack)
:RBB TODAY
2008-03-02
HDD暗号化に死角あり――暗号鍵を盗み出す方法を研究者が発見
Computerworld.jp、2月21日の記事です。
■関連リンク
yebo blog: ディスクの暗号化は決して安全ではない: Cold Boot攻撃
2008/02/22
Schneier on Security
Cold Boot Attacks Against Disk Encryption
February 21, 2008
In memory of hard disk encryption?
Published: 2008-02-21,
Last Updated: 2008-02-22 11:35:48 UTC
by Swa Frantzen (Version: 2)
'Cold boot' - vendor reactions
Published: 2008-02-26,
Last Updated: 2008-02-29 12:53:05 UTC
by Swa Frantzen (Version: 22)
'coldboot' - guidance for your users
Published: 2008-02-28,
Last Updated: 2008-02-29 20:50:47 UTC
by Swa Frantzen (Version: 1)
‘Cold Boot’ Attack Utility Tools
Published: 2008-07-22,
Last Updated: 2008-07-22 16:52:36 UTC
by Mari Kirby Nichols (Version: 1)
2008-03-01
CAPTCHAは愚策
江島健太郎さんの 2008/02/28 19:20 の記事です。
■関連リンク
CAPTCHA - Wikipedia(日本語版)
CAPTCHA - Wikipedia
Captcha.jp
The Official CAPTCHA Site
スパム封じか、視覚障害者の権利擁護か-揺れる画像認証テスト
ニュース - CNET Japan
2003/07/03 14:12
CAPTCHA認証破りの手口:ITpro
2007/11/22
秋元@サイボウズラボ・プログラマー・ブログ
CAPTCHA解読ソフトの価格表に見るCAPTCHAのレベル差
2007年11月22日
Yahoo!の画像認証システムがついに“陥落”?
セキュリティ - Computerworld.jp
2008年01月21日
「Windows Live Mail」アカウント取得時のCAPTCHAを大量処理:ITpro
2008/02/27
CAPTCHA - Hiroshi Tsujimura on Faves
スパム業者はGmailのCAPTCHAをどうやって突破したのか?
Technobahn
2008/4/18 00:44
登録:
投稿 (Atom)
