タイトルは、先日年末の挨拶回りに行った客先で「い
つも歩き回ってるからこれ食べて」とお土産に頂いた
お菓子の名前です。
美味しかったことは勿論ですが、自身の仕事が喜ば
れてるなあという実感が得られることは、何よりも嬉
しいものです。
今年は本当にあちこちへ出歩き、しかも殆どが日帰り
というハードスケジュールで時に疲労困憊という事も
ありましたが、大いに見聞を広めた一年でした。
仕事をしていく中で、関わった人々に喜んでもらえる
事を、バームクーヘンの様に積み重ね、形にして行
きたいものです。
■関連リンク
焼き菓子バームクーヘン ねんりん家
2010-12-30
ねんりん家のバームクーヘン
2010-11-11
大きな懸念
海上保安庁の主任航海士が動画を流出させたと申告
したニュースを、出張からの帰りに知りました。
たまたま前日に、麻生幾氏が警視庁の対テロ情報流
出事件について、"サードパーティルール(相手国から
もらった情報を第三国に渡す場合は、事前に相手の了
承を得ること)"に反した国は、(違反を受けた国の)法
律なりで粛々と情報を遮断され、APECなどの首脳級が
集まるイベントの警備に当たって事前に必要な情報が
得られなくなり、警備の質が落ちる危険性などの話を
されていたのを観ていました。
流出経路はまだ全解明されていないそうですが、動画
の機密扱いに対する疑問符には大いに頷くところでも
あり、なおかつそうした情報の出回り方が対テロ情報
流出へ追い討ちをかける様にして「日本は外交上、情
報の取扱いで信頼ができない」という悪評を強め続け
ているのではないかという懸念を大きく感じています
し、そうした状況を作り上げた政府自体があり方を問
われるべきと考えます。
■関連リンク
捜査協力…「なぜ容疑者扱い」=謝罪なく、募る怒り-個人情報流出の人々
時事ドットコム
2010/11/06-04:40
「全く想像せず」=海保、重苦しく-神戸に「激励」殺到
2010/11/10-20:25
「国民が見る権利ある」=海保職員、読売テレビ取材に-ビデオ流出
時事ドットコム
2010/11/10-23:33
中国漁船・尖閣領海内接触:ビデオ流出 映像流出、意見分かれ 海保
「8割が肯定的」
毎日jp
2010年11月10日
情報公開・個人情報保護審査会が「広報ビデオ作成に関する事務処理関連
文書の不開示決定
(不存在)に関する件」について2005年2月14日に出した答申書
(平成17年度(行情)答申第543号 (PDFファイル)
情報公開・個人情報保護審査会
諮問日:平成17年7月27日(平成17年(行情)諮問第319号)
答申日:平成17年2月14日(平成17年度(行情)答申第543号)
情報公開
海上保安庁
F-X (航空自衛隊) - Wikipedia
九州南西海域工作船事件 - Wikipedia
海上保安資料館 横浜館
麻生幾 - Wikipedia
外国為替及び外国貿易法 - Wikipedia
不正競争防止法 - Wikipedia
海上保安官の逮捕見送り=在宅捜査を継続-月内にも刑事処分・捜査当局
時事ドットコム
2010/11/15-21:42
尖閣映像流出:海保に安堵感なし…保安官逮捕見送り
毎日jp
2010年11月15日 21時42分(最終更新 11月15日 22時13分)
2010-11-07
視点、論点
尖閣問題のビデオ流出について調査が進んでいますが、
海保には流出を歓迎する声が寄せられているそうです。
僕自身あの映像を観て、命懸けで現場に携わっている方
々と同じ立場にあったら憤懣やるかたない思いだったろう
と想像しますし、一連の事件への政府対応が違法操業
の漁船(船長が泥酔していたとの話も出ていますが)を
今後野放しにする前例とされては地元の漁師さん達も
安心して生活できないのではないでしょうか。
流出犯の特定は組織人としての機密保持に反した点で
必要でしょうが、報道されるべきはそこだけではないはず
です。
■関連リンク
尖閣ビデオ:海保に歓迎する声 電話やメール相次ぐ
毎日jp
2010年11月6日 0時09分(最終更新 11月6日 0時20分)
尖閣問題“燎原の火”を点けた「酒乱船長」の暴走
時事ドットコム
Foresightコンテンツ-新潮社ニュースマガジン
日中漁業協定 - Wikipedia
暫定措置水域沿岸漁業(うち日韓漁業協定に基づく日本海の暫定水域)
水産庁 境港漁業調整事務所
漁業法 - Wikipedia
領海侵犯 - Wikipedia
公務の執行を妨害する罪 - Wikipedia
日本・中国関連情報も公表へ=スイス移住検討-ウィキリークス創設者
時事ドットコム
2010/11/06-05:34
Cryptome - Wikipedia, the free encyclopedia
Cryptome、NSAが監視対象としているIPアドレスリストを更新
yebo blog
2007/08/22
2010-11-05
The Confidential
昨日、NHKがWikileaksの特集番組で機密情報の流出
をめぐる問題について放送していましたが、今朝から尖
閣諸島問題に関する動画が流出した報道が出回って
います。
しかし、先に発生した警視庁の対テロ情報流出や捜査
資料の紛失に加え、ここまで情報管理のひどさに集中
したトピックが重なる事に若干の違和感を覚えます。
Wikileaks創始者と言われるJulian Paul Assange氏は、
"機密の流出は人命を危険に晒す"との批判に対する反
論の中で、"私達が機密文書を公表したことで傷ついた
り、殺された人が一人でもいますか?もしいたとしたら、
アメリカ政府はとっくの昔に犠牲者が出たことを発表して
いますよ"と述べていますが、そもそもリスキーな事柄に
関わるような人々が仮に被害に遭ったとしてスンナリと
発表するだろうか?という疑問は残りますね・・・。
"パスワード管理はセキュリティにとって永遠のテーマ"
(複雑にすれば強度は高まるが記憶が困難、簡素にす
れば記憶は容易だが破られやすくなる)と、昔セキュア
ド対策の学習中に聞いた事があります。
一連の事件も、動機などの背景をひとまず置いてみれば
秘匿すべきとされる情報と過失や内部告発の関係も、種
類は異なれど同様のテーマ(組織等の都合?に合わせて
秘密にしたいが、人的エラーや何らかの意思で流出する)
に思えます。
■関連リンク
[Wikileaks関連]
Wikileaks - Wikipedia
ジュリアン・アサンジ - Wikipedia
守秘義務 - Wikipedia
内部告発サイトが新公開した機密文書、その意味
WIRED VISION
2010年7月27日
機密告発サイト・ウィキリークスの衝撃
クローズアップ現代
2010年11月 4日(木)放送
ウィキリークス創設者がスイス亡命を検討、ロシア文書なども公開へ
Reuters
2010年 11月 5日 13:04 JST
【ブログ】中国はウィキリークスを阻止できるか?
WSJ.com
2010年11月30日
米国務長官が機密文書公開を非難、漏えい容疑で捜査開始
Reuters
2010年 11月 30日 12:46 JST
アサンジ氏にスパイ罪も=米紙
時事ドットコム
2010/11/30-16:08
ウィキリークス機密公電:北朝鮮が民主党に接近
WSJ.com
2010/11/30 22:02
ウィキリークスが公開した日本関連公電
WSJ.com
2010/11/30 22:22
[尖閣諸島問題]
尖閣諸島問題 - Wikipedia
海上保安庁 - Wikipedia
管区海上保安本部
海上保安庁
尖閣沖の中国漁船衝突映像が流出か、動画サイトに投稿=報道
Reuters
2010年 11月 5日 09:22
尖閣映像流出:PC使用許可10人 専用機に…石垣海保
毎日jp
2010年11月7日 2時32分
尖閣映像流出:閲覧、パスワード必要 保安官証言と矛盾
毎日jp
2010年11月12日 2時33分(最終更新 11月12日 2時50分)
「サイト投稿の練習した」=自宅から映像削除-ビデオ流出で保安官
時事ドットコム
2010/11/12-13:13
USB複数使い持ち出し=公用と私用、管理徹底前-映像流出で海上保安官・警視庁
2010/11/12-18:39
海保大へアクセス、入手か=USB複数使い持ち出し-映像流出で保安官・警視庁
時事ドットコム
2010/11/12-23:54
海上保安官「複数同僚と見た」=2管もアクセス、計数十件-衝突ビデオ流出・警視庁
時事ドットコム
2010/11/13-22:57
海保大「映像消し忘れた」=逮捕可否、15日にも協議-流出事件の保安官・警視庁
時事ドットコム
2010/11/14-19:31
[警視庁テロ捜査情報流出問題]
海外サーバー経由し流出=ウィニーで国際テロ情報-専門家「故意」と指摘
時事ドットコム
2010/11/02-21:09
外事警察信用失墜の恐れ=APEC目前、広がる衝撃-国際テロ情報流出・警視庁
時事ドットコム
2010/11/04-22:52
ファイル名に「警官流出」=警察組織に悪意か
-ウィニーにテロ捜査資料・警視庁
時事ドットコム
2010/11/04-22:52
公安文書流出:発覚1週間 警視庁は内部関与も視野に調査
毎日jp
2010年11月7日 9時29分
テロ資料流出:海外プロバイダーとの契約者か 追及阻止で
毎日jp
2010年11月9日 2時30分(最終更新 11月9日 12時33分)
テロ資料流出:ネット転載でさらに拡散
毎日jp
2010年11月12日 20時27分
捜査資料本、出版差し止め=個人情報掲載「プライバシー侵害」-東京地裁
時事ドットコム
2010/11/29-22:20
[警視庁国内過激派捜査資料紛失問題]
外事3課でDVD不明=国内過激派の資料-警視庁
時事ドットコム
2010/11/05-13:55
外事3課の不明DVD発見=別係のキャビネット内-警視庁
時事ドットコム
2010/11/05-20:0
[電子データ取扱い]
電子署名 - Wikipedia
ファイルに電子署名を行うには
@IT
2005/10/6
流れるビデオ映像にものすごい勢いで電子署名を施す
武田圭史
2005 年 3 月 2 日
改ざん防止と音声・動画の編集・流通を両立させる
ITpro
2009/01/30
Cyber Security Awareness Month - Day 31 - Tying it all together
Handler's diary、2010年10月31日の記事です。
いつもながらとても興味深い内容ですし、最後に各トピックを
まとめあげてくれるのは非常にありがたいですね。
2010-09-21
秋霜烈日?
厚労省の偽証明書発行事件に関わる裁判で、証拠品
として押収されたフロッピーに記録されていたファイル
のタイムスタンプが改ざんされていた疑惑で、大阪地
検特捜部の主任検事が逮捕された報道が飛び交って
います。
ファイルのタイムスタンプを変更するツールなどは検索
するとすぐに見つけることができますが、データを書き
換えて遊んでいるうちに・・・という辺りで証拠品の扱
いに対する感性を疑いたくなるような話です。
■関連リンク
障害者団体向け割引郵便制度悪用事件 - Wikipedia
特別捜査部 - Wikipedia
前特捜部長らを一斉聴取へ 大阪地検、FD改ざん疑惑で
asahi.com
2010年9月21日15時0分
MACtimeからわかるファイル操作 (Version 1)
(PDFファイル)
JPCERT/CC
公開日 2009-11-02
Forensic Focus
Tools - Forensics Wiki
最後の砦
wyvern notes
2008-02-06
2010-08-24
RIDEX
書店に並んでいたのを見て一発で気に入って買った
コミックです。最近はバイクに全く乗れてませんが、
読んでいるとフラっとどこかへ行きたくなります(笑)
バイクはクルマと違って、色々なものがダイレクトに
身体へ響く何とも言えない感覚がありますね。
エンジンを掛ける感触や回転を立ち上げてスタート
する音、加速感や風を切っていく感じも独特なもの
があって、免許取りたての時は起き抜けに朝食も
摂らず一回りなんて事もよくやってました。
忙しさにかまけて放っておくと、機嫌を損ねられて
エンジンに火が入らず押し掛けで何とかしのいだ
りなどクルマの数倍手がかかりますが、バイクは
最もセクシーな乗り物、というのが持論です。
■関連リンク
SHOWHEI HALUMOTO Official Websight "HALMAN"
2010-08-01
Propeller Cafe
連日猛暑が続いていますが、久々
にできた時間を使って、これまで気
になっていた所にいってみようと調
布飛行場にあるカフェに足を運んで
みました。
カフェの真横が滑走路と格納庫。
食事をしつつ、しばし外を眺めて
いると新中央航空の機体が戻っ
てきました。
ああいった路線で、伊豆方面へ
旅行・・・なんていうのもいいかも
しれませんね。
■関連リンク
マリブクラブ
新中央空港株式会社
調布飛行場
ちょうふどっとこむ
調布飛行場 - Wikipedia
2010-07-14
Windows 2000、XP SP2のサポート終了
今日で、タイトルに挙げているOSのマイクロソフトに
よるサポートが終了となります。
どちらも仕事で使ったことがありますし、2000などは
某交通機関を利用中に、エラー画面から再起動ま
での一部始終に出くわしたことなどもありましたが、
今後も使い続けるところはまだまだあるでしょうね。
やはり、OS換装にはハードウェアのスペックや利用し
ているソフトの問題なども多々絡んでくるのでしょうが、
VISTAなどは所々で扱いにくいという声を聞きましたし
実際に触れたときなども、他の要件上ユーザアカウント
制御を無効化せざるを得ない場面を体験した事があり
ます。
OSの入れ替え時(アプリケーションの場合もあります
が)に必要なPCスペック等の情報収集と整理は、導
入時に疎かにされがちな場合もあるかと思いますが、
最低限、使っているOSとCPUのクロック数、メモリ容
量くらいは3点セットとして知っておいても良いのでは
ないでしょうか。
■関連リンク
サポートが終了するWindowsを利用しているシステム管理者への注意喚起
独立行政法人 情報処理推進機構
2010年7月5日
サポートが終了したOSは危険です!
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)
掲載日:2010年7月5日
Windows ホーム
Windows デスクトップ製品のライフサイクル
マイクロソフト サポート オンライン
マイクロソフトOS Windows ライフサイクルとライセンス
MS:「VistaのUACはユーザーをいらいらさせるために搭載した」
CNET Japan
文:Tom Espiner(CNET News.com)
翻訳校正:吉武稔夫、高森郁哉
2008年4月14日 15時15分
ユーザーアカウント制御 - Wikipedia
Windows Vista UAC(ユーザーアカウント制御)機能を無効にする方法
TechScrawl
2007年02月09日
Windowsのユーザー・アカウント制御(UAC)を一時的に無効にする
@IT
2007/03/09
2009/10/16更新
Survival Time on the Internet
Handler's diary
Published: 2008-07-13,
Last Updated: 2008-07-14 13:46:58 UTC
by Lorna Hutcheson (Version: 3)
2010-06-30
MBTI
仕事の関係で、「このテスト受けてみて」とのお話から
Web上で受けられる性格検査にトライしました。
ユングのタイプ論をベースにしたものだそうで、紹介さ
れたのはMyPersonality.infoというサイトです。
他にも同じようなテストができる所はいろいろありそう
ですし、私家訳版で日本語を使えるコンテンツを出して
いらっしゃる方もいるので、気が向いたときにやってみ
ると面白いかもしれません。
■関連リンク
MyPersonality.info
HumanMetrics
The Personality Type Portraits
性格テスト【私家訳版】
socioarc
一般社団法人 日本MBTI協会
MBTI入門
タイプ論
城太郎日記
2010-06-10
Apple's Worst Security Breach
AT&TサイトのWebアプリケーションが持っていた脆弱性が
悪用され、iPad 3Gオーナーのデータ114,000件が流出した
という記事を見たのですが、その後でSophosのPaul Duck
linのブログにあった興味深いコメントを読んでいました。
第1に、アップルはこの問題に密接な関わりがあるけれども、
彼らはiPad SIMのためにビジネス・パートナーにAT&Tと組む
ことを選んだので、アップル内部、またはiPadに機密保護違
反は存在しない。
第2に、米国内の全iPad所有者に関する個人情報が漏洩し
たことも考えられるというクレームは扇情的で到底ありそうも
ない話の上、反証が困難。従って、この侵害の結果として国
家的に重大なセキュリティリスクが起こるようには少しも思え
ない
第3に、Eメールアドレスはホワイトハウスの従業員が係った
か否かに関係なく、使用されている時は常に公的に明らか
にされているものである
第4に、データを回復した自称「ハッカー」は、彼らが外部か
ら見えるべきでないと知っていたデータを読み出す為、故意
に繰り返しAT&TのWebサイトが保持していたバグを攻撃す
ることによってこれを成し得たと主張し、それは11万4000回
にも及んでいるように見受けられる。だとすれば、それはサ
イバー犯罪であってどんなハッカーでもない
さらに、「こうした大げさなショックゴシップセキュリティニュー
スに関する問題は、まさに狼少年によって引き起こされた問
題だ」と一刀両断しています。
第1についてはあまりよく知らないのですが、コメントを読んだ
後、不安を煽る記事の対極(?)としてBruce Schnierの提唱し
ている「セキュリティシアター(人々に安心感を与えるように設
計されているものの、必ずしも安全向上につながらないセキュ
リティ対策の事)」という言葉を思い出しました。
不安や恐怖は、適切な強度や方向性を持つのであれば身を
守る役目を果たす大切な感情だと思いますが、それが本当に
その場で必要なもの(だった)かを判断し後に活かすには、や
はり学習あるのみかな・・・と思います。
■関連リンク
Apple's Worst Security Breach: 114,000 iPad Owners Exposed
BUSINESS INSEIDER SAI
Ryan Tate, Gawker
Jun. 9, 2010, 5:04 PM
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出
ギズモード・ジャパン
iPad / AT&T Security breach
Apple - Support - Discussions
Reuters, News Corp. And Other Mainstream Media Blow It Again
-- Pass Up iPad Security Breach Scoop They're Now All Reporting
BUSINESS INSIDER The Wire
Joe Pompeo
Jun. 10, 2010, 8:31 AM
Apple's worst security breach, or a great big hyperbole?
Paul Ducklin’s blog
Posted on June 10th, 2010 by Duck
iPad Owners Exposed
Handler's diary
Published: 2010-06-10,
Last Updated: 2010-06-10 16:26:50 UTC
by Deborah Hale (Version: 1)
iPadユーザーのメールアドレスを不正入手したハッカーが
規制薬物所持で逮捕される
Computerworld.jp
2010年06月18日
AT&T's iPad Security Breach
Schneier on Security
June 21, 2010
ブルース・シュナイアー氏が語る「セキュリティ・シアター」の功罪
Computerworld.jp
2008年03月31日
[CRYPTO-GRAM日本語版]現実世界のセキュリティ:GHB
ITpro
2004/08/27
2010-06-03
Google社内のWindows離れ?
Googleが社内でWindowsの使用を段階的に中止していくという
報道を昨夜聞いてからちょっと関連報道を見ていたところ、"Win
dows以外のOSはユーザやハッカーにとってもなじみが薄いから
安全"という趣旨の言葉がありました。が、実際のところはどうな
のでしょうか。
●脆弱性データベースを使って対応件数を調べてみる
例えば、"すでに知られている脆弱性の数だけでOSの強度が
明確になるわけではない"という反論はあるかもしれませんが、
その気になれば誰もが見ることができる指標として、Web上で
公開されている脆弱性データベースを利用してみました。
JVN iPediaという、日本語で脆弱性情報をチェックできるデータ
ベースでは、深刻度を「危険」、「警告」、「注意」の3つに分類
しており、この深刻度とキーワードを絡めた検索を行う事がで
きます。
仮に、深刻度が「注意」の場合を比較的低リスクと見たとして
Windows、Linux、Macintoshという各OS名(製品名の細かな
違いを吸収する意図で、上記の様に大まかなキーワードを設
定し、日付などは未設定にしています)と「危険」、「警告」と
いった深刻度を組み合わせてサーチしてみると以下のように
なります。
------------------------------------------------------------
深刻度:危険
Windows :495件(53%)
Linux :254件(27%)
Mac OS :185件(20%)
深刻度:警告
Windows :310件(38%)
Linux :316件(38%)
Mac OS :197件(24%)
------------------------------------------------------------
次に、海外における同様サイトの一例として、SecuniaでAdv
anced Searchをかけてみました。
ここでは、脆弱性がもたらす深刻度を"Critical Level"として
表記しており、JVN iPedia同様、検索時のキーに含める事が
できます。
そこで、最も深刻度が高いとされている「Extremely critical」
、次に中程度の「Moderately critical」を各OS名称と組み合
わせてサーチすると、どちらもLinuxが最多となります。
------------------------------------------------------------
Critical Level:Extremely critical
Windows :37件(32%)
Linux :50件(42%)
Mac OS :30件(26%)
Critical Level:Moderately critical
Windows : 582件(12%)
Linux :3,693件(78%)
Mac OS : 489件(10%)
------------------------------------------------------------
ちなみに、Mac OSとしているキーワードをMacintoshにすると、
絞り込まれる件数はぐっと少なくなります。
●各OSに対応する検証コードの件数を調べてみる
では、Windows以外のOSがハッカーにとってなじみが薄いの
か?という点については、脆弱性を検証できるコードをサーチ
できるサイトがいろいろ存在しますが、絞込んだ後の件数表示
機能を備えていないなどもあって、Googleで以下のキーワード
をそれぞれ入力してざっくりと見てみました。
site:www.milw0rm.com "Exploit" "OS Name"
site:www.securiteam.com "Exploit:" "OS Name"
securiteam.comを対象とした際、サーチ時に"Exploit:"と文字
列を囲んで検索精度を上げるようにしています。また、"OS N
ame"の中にある文字列が、各OS名となります。
------------------------------------------------------------
milw0rm.com
Windows : 1,970件(58%)
Linux : 1,140件(34%)
Mac OS : 256件( 8%)
securiteam.com
Windows : 2,960件(81%)
Linux : 604件(16%)
Mac OS : 109件( 3%)
------------------------------------------------------------
すると、上記のようにWindowsが多勢を占めました。
総合的に見ると、MAC OSへ安全性の軍配があがりそうに見え
ますが、Microsoftが主張しているようにWindows自体にも様
々な防御手法が提供されていますから、最終的にはどこまで
堅牢に構成できるかに依存する人的な割合の方が大きい様に
思います。
当のGoogleは、これまで社内でずっとWindowsばかりを使って
いたかといえばそうでもなく、2009年7月頃に公開されている
ITproの記事によると"Googleの社内ではデスクトップの半数
以上はLinuxで、Windowsは8分の1程度、後はMacintosh"と
いうことですから、慣れなどの利便性だけを考えれば、社内的
には元々大したインパクトはないのかもしれませんね。
■関連リンク
[報道関連]
グーグルのクリス・ディボナ氏:
「われわれはプロプライエタリソフトも重視している」
CNET Japan
文:Joris Evers(CNET News.com)
翻訳校正:編集部
2007年1月17日 08時00分
プロプライエタリ・ソフトウェア - Wikipedia
Google社内は既に“脱Windows”
- 記者の眼 特別編:「Chrome OS」私はこう見る
ITpro
2009/07/13
Googleが新入社員にWindowsの使用を禁止?Chrome OSへの移行準備か
Tech Crunch
by MG Siegler on 2010年6月1日
GoogleのWindows使用中止報道、Microsoftが公式ブログで反論
INTERNET Watch
2010/6/2 16:18
「GoogleがWindows利用中止令」の報道、セキュリティ専門家は疑問視
ITmedia エンタープライズ
2010年06月02日 08時38分 更新
[OS]
Microsoft Windows - Wikipedia
Linux - Wikipedia
Goobuntu - Wikipedia
Mac OS - Wikipedia
「世界一安全なOSはMac OS XとBSD」との英調査結果
INTERNET Watch
2004/11/04 12:32
BSDとMacOSは安全なOSなのか
tokix.net
2004/11/05 12:35
LinuxとWindowsを比べた場合,安定性や安全性が優れるのはどちらですか
Linux一問一答:ITpro
2007/02/08
WindowsやLinuxより安全なOSになることを約束するMINIX 3
Info Q
2009年5月31日 午後3時1分
安全性の高い新OSの開発にNSFが助成金 - Zero Day
ZDNet Japan
文:Ryan Naraine(Special to ZDNet.com)
翻訳校正:石橋啓一郎
2010年4月13日 16時37分
[脆弱性DB]
深刻度を色分け表示--脆弱性対策情報データベース「JVN iPedia」が刷新
CNET Japan
吉澤亨史2007年11月26日 20時24分
脆弱性の深刻度評価の新バージョンCVSS v2について(2007年8月20公開)
独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2009年11月30日
情報処理推進機構:情報セキュリティ:共通脆弱性評価システムCVSS概説
独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2010年2月25日
[Bug Hunting]
Bug Hunting, Step by Step
eWeek.com
By: Paul F. Roberts
2005-10-31
BUG HUNTING
JOY OF SETUP
Written by Bob Arnson
April 4th, 2010 at 14:47
Bug Hunting Open-Source vs. Proprietary Software
slashdot
Posted by Zonk on Sat Oct 07, 2006 01:41 PM
2010-06-02
Can silent sheeps slam the door in face of ISP?
先日、朝日新聞2010年5月30日付の記事に、ISP(プロバイダ)
がユーザの通信を解析し、各利用者の好みに応じて広告を配
信することを総務省が容認したという話題が出ていました。
そこで、総務省が公開している「利用者視点を踏まえたICTサ
ービスに係る諸問題に関する研究会 第二次提言(案)」にざっ
くり目を通してみると、"Ⅱ ライフログ活用サービスに関する検
討について"という箇所が、朝日新聞の記事と関連が深そう
です。
ちょっと長いので、提言の内容を3つほどのブロックに分けて
整理しておきたいと思います。
●記事の中で使っている用語について
提言の中で書かれている"ライフログ"とは、"蓄積された個人
の生活履歴"としており、これを利活用したものとして、以下
2つに整理しています。
①利用者の興味・嗜好にマッチした情報を提供するサービス
②統計情報を提供するサービス
このうち、①に含まれる"行動ターゲティング広告"が、プロバ
イダユーザの通信を解析して生み出されるサービスということ
ですね。
では、"行動ターゲティング広告"なるものは?というと提言の
中で以下のように定義しています。
"行動ターゲティング広告とは、蓄積されたインターネット上の
行動履歴(ウェブサイトの閲覧履歴や電子商取引サイト上での
購買履歴等)から利用者の興味・嗜好を分析して利用者を小
集団(クラスター)に分類し、クラスターごとに広告を出し分け
るサービスを指す。
なお、通常、広告媒体であるウェブサイトの管理者が、自ら
のウェブサイト上のスペースを、広告掲載スペースとして対
価と引き替えに提供する場合のみを「広告」と呼び、自らの
ウェブサイト上のスペースを自らの宣伝のために利用してい
る場合は、「レコメンド」と呼ぶ。"
●DPIに基づく広告配信について
ここで言っている、行動履歴を取得する手法として、従来はP
2Pネットワークによる通信を制限するのに利用されてきた"D
PI"(ディープ・パケット・インスペクション)なる技術の利用を
総務省が容認した・・・というのが、朝日新聞のトピックなの
ですが、当然ながらそんな事されたくないというユーザもいる
でしょう。
提言の中では、プロバイダがDPIを使った通信解析を行う事
について、ユーザの同意がない場合には正当性を持たない
旨を表記しています。
------------------------------------------------------------
ISP によるDPI 技術を活用した行動ターゲティング広告
の実施は、パフォーマンスの高い広告を配信することや、
そのために利用者の嗜好を把握することを目的としてお
り、ISPによる電気通信役務(電気通信設備を用いて利
用者をインターネットに接続させる役務)にとって、必ずし
も正当・必要なものとは言い難く、正当業務行為とみるこ
とは困難である
利用者視点を踏まえたICTサービスに係る諸問題に
関する研究会 第二次提言(案) P.58 より
------------------------------------------------------------
●利用者の同意と拒否について
そして、提言の中では、プロバイダがDPI 技術を活用して行動
ターゲティング広告を配信するためにユーザから同意を得る際、
判断材料として、少なくとも以下を"容易に認識かつ理解できる
形で利用者に通知し、又は容易に知りうる状態に置くこと"とし
ています。
ア.取得の事実
イ.対象情報を取得する事業者の氏名又は名称
ウ.取得される情報の項目
エ.取得方法
オ.第三者提供の事実
カ.提供を受ける者の範囲
キ.提供される情報の項目
ク.利用目的
ケ.保存期間
コ.利用者関与の手段について、利用者に通知し、又は知り
得る状態に置くことが望ましい
なおかつ、ユーザがこうしたサービスを望まない場合について、
"利用者に対して、容易に利用可能なオプトアウトの機会を提供
すること。"とも述べているのですが、今でもPCをセットアップす
るだけでも大変、ネットにつながっただけで万々歳という人は
少なくないはずです。
各プロバイダがこうしたサービスを事業に乗せるとして、通信の
秘密に基づいてブラックボックス化された処理の中でDPIによっ
て得られた情報を悪用された場合は追いかけようがないのでは
?という懸念が生じて来るのは至極自然な話に思えますね。
ましてや、先に述べたような安全なネット利用に対する知識や
慣れがより求められる層にあるユーザが、望まないサービスを
拒否できるか?知らないもの、説明されても理解が困難なもの
は拒否しようがないわけですから、ここにも大きく疑問が残りま
す。
■関連リンク
「ネット全履歴もとに広告」総務省容認 課題は流出対策
asahi.com(朝日新聞社)
2010年5月30日
[総務省関連]
利用者視点を踏まえたICTサービスに係る諸問題に関する研究会
総務省
利用者視点を踏まえたICTサービスに係る諸問題に関する研究会
第二次提言(案)
平成22年5月
総務省
利用者視点を踏まえたICT サービスに係る諸問題に関する研究会
第二次提言(案)への意見募集で寄せられたご意見について
総務省
[通信の秘密]
通信の秘密 - Wikipedia
電気通信事業関連4団体,通信の秘密に関するガイドラインを策定
IT Pro
2007/05/30
[オプトイン/オプトアウト]
オプトインとは 【opt-in】
意味/解説/説明/定義 : IT用語辞典
オプトイン/オプトアウトとは
オプトイン/オプトアウト とは - Networkキーワード
ITpro
[テクニカル]
オープンソースのディープパケットインスペクションエンジン「OpenDPI」が登場
SourceForge.JP Magazine
2009年09月10日 15:53
[P2P]
ぷららのWinny遮断は是か非か(前編)
ITpro
2006/04/25
ぷららのWinny遮断は是か非か(後編)
ITpro
2006/04/26
プロバイダはどうやってWinnyの通信を見つけるのですか
- Winny問題なんでもQ&A
ITpro
2006/04/27
第8回 P2Pまわりの研究をやってきた人の独り言
国立大学法人 電気通信大学
情報ネットワークシステム学専攻 ネットワークアーキテクチャ学講座
大坐畠 智
2010.4
[市場調査]
パケットスニフティング:ディープパケットインスペクション(DPI)およびネットの
中立性
Packet Sniffing: Deep Packet Inspection and Net Neutrality
2010-05-08
Learn about web app hacking and defense
Handler's diary、2009年5月6日の記事です。
他にも、色々な学習環境が揃っていてフリーで使えるのは
有難いですね。
LAN管理者をやっていた時に、Linuxで色々な検証環境を
組んではあれこれ試していたことを思い出します。
■関連リンク
New OWASP Top 10 - Final Release
Handler's diary
Published: 2010-04-21,
Last Updated: 2010-04-21 15:52:42 UTC
by Johannes Ullrich (Version: 1)
HTTP headers fun
Handler's diary
Published: 2011-02-15,
Last Updated: 2011-02-16 00:29:52 UTC
by Jason Lam (Version: 1)
Category:OWASP WebGoat Project - OWASP
webgoat - Project Hosting on Google Code
WebGoatのreadme翻訳
technical note
2008-08-27 17:32
Web Security Dojo
Web Security Dojo
2009年11月10日
にわか鯖管の苦悩日記
BadStore.net
hackthissite.org
OWASP Session Management "Cheat Sheet"
Handler's diary
Published: 2011-07-27,
Last Updated: 2011-07-27 00:22:49 UTC
by Daniel Wesemann (Version: 1)
The OWASP 2010 Top 10
2010-05-02
スワニーのウォーキングバッグ
出張で持ち運ぶ荷物がかなり重い上、長距離移動が重なって
疲労が蓄積し何とかならないかと思っていた所、偶然ふらっと
立ち寄った店でスワニーという会社のバッグを知りました。
現会長の、三好鋭郎さんという方が小児麻痺の後遺症に苦し
みながら世界中を営業で回ったご経験から生まれたバッグだ
そうです。
実際に使い始めてみると、動きやすく、乗り物での積み下ろし
も楽にできるサイズで非常に快適になり、すっかり愛用品とな
りました。
経済的な不況がどうこうという話は今も耳にしますが、様々な
困難を乗り越えて創られた製品を手にして日々の生活が良い
意味で変わったという体験には勇気付けられるものがあります。
株式会社 スワニー
三好鋭郎(えつお)のブログ
スワニー 代表取締役会長 三好鋭郎さん
ビジネス香川
2009年8月6日号
株式会社スワニー 三好鋭郎
四国夢中人
2010-04-05
2010-03-24
2010-01-11
A Revolution Once More: Unmanned Systems and the Middle East
Gyre.org、2010年1月1日の記事です。
以前取り上げた「戦争請負会社」の著者が、無人兵器の将来的
な展望について語っているものです。
昨年公開されていたニューズウィーク上の記事では、米空軍が
訓練を受けた中で無人航空機(UAV)の要員の方が多いという内
容がありましたが、こちらでも同様の事について触れています。
無人機を使うことで、任務遂行上の人的犠牲を回避できるとの
話は以前も聞いたことがあるのですが、こういったシステムを使
うに当たって国家権力による制限がなく、テロ組織のような非国
家主体が精巧なシステム兵器体系を組上げ、購入し、使えるこ
とを、「オープンソース戦争時代への突入」(As we enter the
era of "open source" warfare)と表現しているあたりは、サイ
バーテロにも共通するような表現に思えます。
■関連リンク
さらば栄光のトップガン
ニューズウィーク日本版 オフィシャルサイト
2009年12月15日(火)14時48分
フレッド・カプラン(オンラインマガジン「スレート」コラムニスト
Attack of the Drones
Newsweek.com
By Fred Kaplan | NEWSWEEK
Published Sep 19, 2009
From the magazine issue dated Sep 28, 2009
戦争請負会社
wyvern notes
2009-11-08
無人航空機 - Wikipedia
Mohajer - Wikipedia, the free encyclopedia
イスラエル軍の最先端「無人兵器」、ガザ紛争で次々投入
YOMIURI ONLINE
2009年4月22日10時12分
殺人無人機と有人戦闘機の戦い
イスラエル軍で導入進む、最新軍事技術
WIRED VISION
2005年3月8日
イスラエル:無人航空機によるガザ市民の殺害
Human Rights Watch
2009年6月30日
「地球の裏側から無人航空機でミサイルを発射する」兵士たちのストレス
WIRED VISION
2008年8月22日
2010-01-01
A Happy New Year 2010!
2009年は、景気動向など非常に厳しいものがあった年でしたが
このブログを見てくださる方々にとって、今年が実り多い一年と
なりますよう祈念しております。
写真は、NATOが主催しているタイガーミート演習からです。
昨年分なのが若干残念ですが、寅年にちなんでということで。
本年もよろしくお願いします。
■関連リンク
NATO Tiger Association
Tiger Meet 2009 pictures from air shows photos on webshots
Tiger Meet Of The Americas
登録:
投稿 (Atom)
