A Cloudy Weekend

Handler's diary、2009年11月29日の記事です。

クラウドコンピューティングについては時折他サイトでも記事に
なっているのを目にしていますが、ここで紹介されているリンク
先のPDFファイルの中にあった"Cloud Taxonomy"などをはじ
めとした図式などをざっと眺めていました。

先日紹介したNISTのガイドラインと併せて細かな所までじっ
くりと目を通す時間を何とか持ちたいところです。


■関連リンク
OpenCrowd

Cloud Security Alliance

A NIST Notional Definition of Cloud Computing（DOCファイル）

Cloud Computing, Benefits, risks and recommendations
for information security（PDFファイル）
ENISA（European Network and Information Security Agency）

Cloud Computing: Business Benefits With Security,
Governance and Assurance Perspectives（PDFファイル）
ISACA（Information Systems Audit and Control Association）

業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表
Computerworld.jp
2009年12月18日

アップル、喫煙者のMacを修理拒否

Computerworld.jp、本日の記事です。

随分前に、とあるメーカー製のラップトップを電機屋さんへ修理
に持ち込んだ時、構造が他社製品と違って複雑だからと嫌がら
れたことがあったのを思い出しましたが、こんな理由で修理を断
られるとは、かなり驚きました。


■関連リンク
Apple 'won't repair machines belonging to smokers'
Nicotine residue harms repair staff
Computerworld
By Carrie-Ann Skinner London | 水曜日, 25 11月, 2009

Government Approaches to Cybersecurity - What are your tips?

Handler's diary、2009年11月23日の記事です。

冒頭で、米国標準技術局(NIST)がアメリカ政府機関のネッ
トワークをどのように保護するかを論じた新しいガイドライン
を出したという話題から、組織内のシステムを適切に保護
するための対策を売り込むにはどうすればいいか？といっ
た内容に展開しています。

NISTのガイドライン自体は88ページにも及ぶ内容で、ざっく
りと目を通してみた程度ですが、RISK MANAGEMENT FRA
MEWORK(RMF)なるものは興味深いです。

他にも、記事の中にある他リンクから辿ることができるSAN
Sによる管理職へセキュリティ対策を売り込むためのTipsも
面白く、だいたいこんな構成になっています。

・コミュニケーション理論
・対象となる役職者の責任や潜在的影響力の簡単な説明
・ドラフト作成時の注意事項
・発表時間を考慮した編集
・内容の見直し
・練習
・技術的プレゼンの落とし穴

ドラフト作成時の注意事項では、組織内のテンプレートが
あるならば是非それを使うこと、もしそういったものがない
場合に備えたフォントなどの指定まで至れり尽くせりです。

中でも、Lenny Laskowski が考えたという、"AUDIENCE" と
いう頭字語を使ったプレゼン対象者の分析手法はユニーク
です。


Analysis
Who are they? How many will there be?
（分析：彼らはどのような人たちで、何人くらいか？）

Understanding
What is their knowledge of the subject?
（理解：彼らは、この件に関して知識を持っているか？）

Demographics
What is their age, sex, educational background?
（対象となる層：彼らの年齢、性別、学歴は？）

Interest
Why are they there? Who asked them to be there?
（関心：彼らはなぜそこにいるのか？誰がそうするように頼んだか？）

Environment
Where will I stand? Can they all see and hear me?
（環境：私はどこに立つのか？彼らは私を見たり声を聞く事ができるか？）

Needs
What are their needs? What are your needs as the speaker?
（必要性：彼らはどの程度ニーズがあるか？講演者としての私はどの程度
　ニーズがあるのか？）

Customized
What specific needs do you need to address?
（特別事項：何か特定のニーズを記述する必要があるか？）

Expectations
What do they expect to learn or hear from you?
（期待：彼らは、私から何を学ぶか、または聞くことを期待しているか？）


続きの記事で、政府機関にセキュリティを売り込むTipsに
対する読者の答えからベストなものを載せるそうなので、
楽しみにしています。


■関連リンク
The Intelligence Cycle for a Vulnerability Intelligence program on-the-cheap
Handler's Diary
Published: 2006-05-29,
Last Updated: 2006-05-30 14:36:48 UTC
by Kevin Liston (Version: 1)

Tip of the Day: Standards
Handler's Diary
Published: 2006-08-27,
Last Updated: 2006-08-28 16:48:35 UTC
by Swa Frantzen (Version: 3)

SWOT matrix for describing security posture
Handler's Diary
Published: 2008-08-29,
Last Updated: 2008-08-29 16:49:00 UTC
by Lenny Zeltser (Version: 1)

Day 28 - Avoiding Finger Pointing and the Blame Game
Handler's Diary
Published: 2008-10-28,
Last Updated: 2008-10-31 02:06:20 UTC
by Jason Lam (Version: 1)

Proving Security ROI in Tough Economic Times
Handler's Diary
Published: 2008-12-21,
Last Updated: 2008-12-22 16:13:48 UTC
by Mari Nichols (Version: 2)

Top 10 Mistakes When Crafting a Security RFP
Handler's Diary
Published: 2009-01-09,
Last Updated: 2009-01-24 02:22:15 UTC
by Lenny Zeltser (Version: 1)

How to Suck at Information Security
Handler's Diary
Published: 2009-01-09,
Last Updated: 2009-01-19 14:49:25 UTC
by Lenny Zeltser (Version: 3)

Cyber Security Act of 2009
Handler's Diary
Published: 2009-04-03,
Last Updated: 2009-04-06 18:33:01 UTC
by Johannes Ullrich (Version: 1)

How to be Heard? 10 Tips.
Handler's Diary
Published: 2009-04-06,
Last Updated: 2009-04-06 03:49:19 UTC
by Lenny Zeltser (Version: 1)

Northrop, colleges form cybersecurity group
SecurityFocus
Published: 2009-12-02

2020年までに脳波によるコンピュータ操作が可能に――インテル研究者

Computerworld.jp、2009年11月20日の記事です。

今年の夏ごろ、人体に対するハッキングが将来発生する
可能性をトピックにした記事が出ていましたが、歴史を振
り返った後にこうした内容を考えると、あながち胡散臭い
とも言い切れないあたりに何ともいえない感じを覚えます。

以前、酒席をご一緒した方のお話で、攻殻機動隊の中で
登場人物同士が過去の膨大なデータや詩の一節などを
会話の中で引用する場面について、「ああいうのは、今で
言うGoogleを使った検索みたいなのをやりながら話してる
に絶対違いないし、そうでなければあんな正確な引用は
不可能だ」と評していたことがあります。

今でもチャットやSkype等を使いながらサーチ結果を出し
合うようなことは普通に行われていますし、こうした事が
どこにあっても自らの脳内に埋め込んだ電極なりを使っ
た通信へ発展したり、そうした環境が何らかの悪意や偶
発的な事故につながっていく可能性が現実になるのは、
そう遠い未来のことではないのかもしれません。

■関連リンク
人体へのハッキング攻撃：発達する「神経工学」とその危険性
WIRED VISION
2009年8月3日

Medical Device Security Center

UW’s Tadayoshi Kohno on Computer Security and
How to Think Like the Bad Guy
Rachel Tompa Xconomy
9/11/09

Overcoming Security and Privacy Risks in the home
Tadayoshi Kohno (University of Washington)
（PDFファイル）

Tadayoshi Kohno (aka Yoshi Kohno)

The Next Hacking Frontier: Your Brain?
Wired.com

鳩の脳にインプラント、飛行を制御
WIRED VISION
2007年6月1日

脳をバックアップしてくれるツール『EverNote』
WIRED VISION
2008年3月18日

脳から『Twitter』に直接送信(動画)
WIRED VISION
2009年4月21日

「脳への電磁的攻撃」：禁止判決と対策サービスも
WIRED VISION
2009年7月6日

「脳のしわ」は外からの衝撃を吸収する
WIRED VISION
2009年8月19日

Computer circuit built from brain cells
New Scientist
4:05 23 October 2008 by Colin Barras

Intel: Chips in brains will control computers by 2020
COMPUTERWORLD By Sharon Gaudin
November 19, 2009 02:40 PM ET

攻殻機動隊 - Wikipedia

Invasion of the Body Hackers? Wireless Medical Devices Susceptible to Attacks
TechNewsWorld By Richard Adhikari
08/05/11 11:40 AM PT

LES CHEVALIERS DU CIEL

普段はあまりテレビを観ないのですが、夜にチャンネルを回し
た時に放送していたフランス映画のタイトルです（邦題はナイ
ト・オブ・ザ・スカイといいます）。

ル・マン24時間を題材にしたミシェル・ヴァイヨンもそうですが
（どちらも元はコミックというのも面白いです）、題材が空戦や
モータースポーツと同じであっても、ハリウッド映画に比べて
ヨーロッパの方が映像がずっと美しい感じですね。





■関連リンク
ナイト・オブ・ザ・スカイ
CHINEMA TIPICS ONLINE

Michel Vaillant - Le Site Officiel

戦争請負会社

民間業者が戦闘行為を請け負う話は以前から聞いたことがあ
りましたが、軍や危険地帯に活動展開している人道的義務を
持つ団体のみならず、テキーラのメーカーやテロ集団までもが
顧客になっているケースは非常に驚きました。

個人的には、コンピュータセキュリティに関わる部分を特に興
味深く読んでいましたが、"netspionage" なる単語は書籍が
出版された2004年より随分前から出回っていたようです。

------------------------------------------------------------
情報戦は民間企業にとっては、もう一つの肥沃な土地
である。政府は政治的な動機による情報戦攻撃をます
ます利用しつつあり、またそれによる危険の中にもいる
のだが、それに加えて民間企業もまた規制のないサイ
バースペース（電子空間）で行動している。ここでの掛
け金は非常に高く、しかもわれわれは企業間紛争と思
われる最初の段階を目撃しつつあるのだ。

一九九九年だけで、『フォーチュン』のリストに載った会
社三千が専有情報を盗まれ、四百五十億ドルを超える
損害を被った。

これは、企業が糸を引いたハッカー行為と推測されてい
るが、むしろネッツピオナージ（インターネットとエスピオ
ナージ＝スパイ活動の合成語）の名でよく知られている。
その結果は、戦場の通信手段の整備と防護を行う支援
部門企業の誕生であった。

サイバースペースの問題解決は、基本的には技術的な
ものだが、軍事専門機能や方法にも関係があり、この分
野のトップ企業は明らかに軍事関係の背景と精神構造
を有している。

一例としてI・ディフェンス社は、米国と英国の国防総省、
国家安全保障局、CIAなどと仕事をしてきた。

第6章　民営軍事請負企業の分類（P.202）より
------------------------------------------------------------

そのほか、PMFが現地の文民と軍人の関係を安定（または不
安定化）させる諸条件などは一般的なビジネスの世界に読み
替えてみても面白いかもしれません。

日頃意識しておらずとも、複雑極まりないパワーバランスや軍
事的技能が世界的に循環している中で生活していることを示
す内容でもあり、訳者のあとがきはこのことを象徴的に表して
いるように思います。

"われわれ平均的日本人は、世界を知らない。現代史を知らな
い。われわれはどこかでイラクに何の敵意も持っていないのだ
から、殺されることはないと思い込んでいはしないか。

地球上の世界が今どんなふうになっているかということに、平
均的日本人はほとんど関心がない。しかし、そうした態度は、
他国の人々の目には、しばしば驕りと映る。そのことをわれわ
れは知らない。"


■関連リンク
P.W. Singer

Speakers P.W. Singer: Military analyst

PrivateMilitary.org

IDefence

Armorgroup

Intelligence Online

民間軍事会社 - Wikipedia

戦争ゼミ : Ｐ．Ｗ．シンガー　『戦争請負会社』

サイバー戦争による軍事特需
年金者の戯言帖
2009年9月22日 (火)

Contractors Vie for Plum Work, Hacking for U.S.
NYTimes.com
By CHRISTOPHER DREW and JOHN MARKOFF
Published: May 30, 2009

U.S. Steps Up Effort on Digital Defenses
NYTimes.com
By DAVID E. SANGER, JOHN MARKOFF and THOM SHANKER
Published: April 27, 2009

サイバー演習と偽トラック
wyvern notes
2008-02-09

米国土安全保障省、2度目のサイバー予防訓練を実施
wyvern notes
2008-03-25

Gaza<->Israel Defacements/Hacks
wyvern notes
2009-01-04

「サイバー・セキュリティは優先事項」――オバマ政権が明言
wyvern notes
2009-01-28

露サイバー市民軍の攻撃でキルギスのインターネット基盤が麻痺
wyvern notes
2009-01-31

Electric Grid in US Penetrated by Spies
wyvern notes
2009-04-10

ブラジルの大停電、原因はサイバー攻撃 米CBS
AFPBB News
2009年11月07日 23:04　発信地:ワシントンD.C./米国

Netspionage: The Global Threat to Information
The Virtual Bookcase

Advisor: U.S. needs policy to defend cyberspace
Robert Lemos, SecurityFocus 2009-02-19

Cyber conflict still in infancy, states analysis
SecurityFocus
Published: 2009-10-27

Cyberwarfare Policy
Schneier on Security
December 1, 2009

Northrop, colleges form cybersecurity group
SecurityFocus
Published: 2009-12-02

Cyber Security Awareness Month 2009 - Summary and Links

Handler's Diary、2009年11月1日の記事です。

今年は、様々なポートやサービス、プロトコル、アプリケーシ
ョン、主要なセキュリティ問題について議論をしていたものが
アーカイブになっています。

こういった概括的な内容が定期的に出ているのを見ると、以
前に聞いていたものを思い出せたり、触れる機会のなかった
箇所を学ぶことができるなど、とても興味深いものです。