NIST 2010 Computer Security Division Annual Report
こんにちは、丸山満彦です。NISTが2010 Computer Security Division Annual Reportを公開していますね。。。
これから読みます。。。
May 2011
2011.05.29
日本公認会計士協会 パブコメ 監査・保証実務委員会実務指針『受託業務に係る内部統制の保証報告書』(中間報告)
こんにちは、丸山満彦です。公認会計士協会が第18号報告書の改訂版について、コメントを求めていますね。。。国際監査基準の翻訳のようなものなのだと思われます。。。
経済産業省 株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく指導について
こんにちは、丸山満彦です。経済産業省が株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく指導をしていますね。。。
=====
、当省としては、任意の事情聴取を行った後、5月1日(日)付で個人情報保護法に基づき報告の徴収を実施し、本日に至るまで数次に渡り回答を得ました。
当省としては、これらを踏まえ、同社に対し、次のとおり指導を行うことといたしました。
=====
とのこと。。。
2011.05.21
みずほ銀行 システム障害特別調査委員会の調査報告書
こんにちは丸山満彦です。みずほ銀行のシステム障害の件ですが、報告書が公表されていますね。。。
=====
外部の識者・専門家から構成された「システム障害特別調査委員会」による当行のシステム障害に関する発生原因・再発防止策の妥当性についての調査が終了し、調査報告書を5月20日に受領いたしました。
=====
慶應義塾大学SFC研究所プラットフォームデザイン・ラボ 「共通番号制度・国民ID制度を考える」
こんにちは、丸山満彦です。5月24日に、慶應義塾大学 三田キャンパスで「共通番号制度・国民ID制度を考える」が開催されますね。。。
=====
共通番号の大綱作成に向けた政府ワーキングの検討内容を踏まえつつ、さらなる論点、視点を補完することを目的とし、本制度のあるべき姿を、今一度立ちかえり議論します。
=====
2011.05.15
IPA テクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート
こんにちは、丸山満彦です。IPAが「IPA テクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート ~SSL/TLSや暗号世代交代に関連する話題から~」を公表していました。。。
=====
オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています。しかし、そのSSL/TLSプロトコルに関する事故が最近複数発生しており、一般ユーザーが被害を受ける恐れがあったことが判明しました。
報道によれば個人情報が悪用されるなどの深刻な被害には至っていないようですが、IPAではこれらの事故について深刻な事案と捉え、特に「Comodo社による不正SSLサーバ証明書(*2)発行」と「大手百貨店のWebサーバ設定ミス」について、公開されている情報から事故内容を分析し、事故からくみ取るべき教訓や対処法について取りまとめました。
=====
とのこと。。。後、
=====
「改訂された暗号アルゴリズム移行方針SP800-131A」と「新たな米国政府標準ハッシュ関数策定(SHA-3コンペやDRAFT FIPS 180-4)」に関する最新情報についても取りまとめました。
=====
だそうで。。。
ホワイトハウスがサイバーセキュリティ対策案を議会に提出したようですね。。。
こんにちは、丸山満彦です。ホワイトハウスがサイバーセキュリティ対策案を議会に提出したようですね。。。個人情報漏えい事件等も続いていますしね。。。
2011.05.14
まもなく白浜シンポ! 今年で15回目
こんにちは、丸山満彦です。衣替えということで、着物の整理をしておりました。。。着物といえば、「白浜シンポ」(すみません、一部の人しかわからない話で)。。。
佐藤慶浩さんも来てくださいよ。。。(彼は白浜シンポには参加したことがないはず。。。)
なお、申し込み(交通手段も含めて)は早めのほうが良いと思います。。。
5月26日(木)~28日(土)
クラウド時代のセキュリティ対策
NIST SP 800-146 DRAFT Cloud Computing Synopsis and Recommendations
こんにちは、丸山満彦です。NISTが SP 800-146 DRAFT Cloud Computing Synopsis and Recommendationsを公表し、コメントを求めていますね。。。クラウド・コンピューティングの概要と推奨事項。。。
yas_matsuさん はいつも情報がはやい。。。
2011.05.13
Security First: Security and data protection in Google data centers
こんにちは、丸山満彦です。Googleのデータセンタのセキュリティのビデオ。。。4月22日に公開されています。。。
2011.05.11
Decision Adopting Rolues to Protect the Privacy and Security of the Electricity Usage Data of the Custores of Pachific Gas and Electric Compnay, Southern California Edison Company, and San Diego Gas & Electric Company
こんにちは、丸山満彦です。電力使用量のコントロールでスマートメーターが注目されておりますが、カリフォルニアでは、スマートメーターに関連するプライバシーとセキュリティについてのルールについて、パブリックコメントが出ていますね。。。
2011.05.05
原子力関係のリンク(これから充実していく予定。。。)
こんにちは、丸山満彦です。原子力関係のリンクです。追加していく予定です。。。
いったん、幅広にデータを集めてみます。。。とくにリソースについて。。。
2011.05.04
情報と判断、情報と信頼
こんにちは、丸山満彦です。人が不安に感じるときに何が必要か。それは正しい情報ではないだろうか。人それぞれが、判断をするときに必要となるのが正しい情報だ。放射性物質の拡散が心配であるときに、政府が放射性物質の拡散を予測するSPEEDIの情報を公開していなかったことから、人々の政府に対する不信は増大したのではないかと思う。もちろん、政府側にいわせれば「そもそもこのデータが使えるものなのかどうかも含め、SPEEDIというシステム自体に関係者は疑問を持っていた」、「公開すればパニックなると懸念した」とのことだろうが、それでも今回の場合は一次データ等を含めて情報を開示したほうが良かったのだろうと思う。
少々のパニックはおこるが、正しい情報があればいずれパニックは収まる。しかし、政府にとって都合の悪い情報が隠されいると国民が思えば、政府に対する信頼がなくなり、正しい情報を出しても信頼されなくなる可能性がある。そうなると長期的な影響がでるだろう。
2011.05.03
原子力問題はこれからどうなる。。。衆議院決算行政監視委員会@2011年4月27日(水)
こんにちは、丸山満彦です。こういうときは少なくとも国会中継の内容は重要ですね。。。これからどうすべきかは真剣に検討しないといけませんね。。。
質問をしているのは、自民党の村上誠一郎議員(自由民主党・無所属の会)
NIST Full Virtualization Technologies: Guidelines For Secure Implementation And Management
こんにちは、丸山満彦です。NISTがFull Virtualization Technologies: Guidelines For Secure Implementation And Managementを公表していますね。。。
仮想化にまつわるリスクの話、日本でももっと議論すべきですよね。。。
NIST SP800-147, BIOS Protection Guidelines
こんにちは、丸山満彦です。NISTがBIOS保護のガイドラインを出していますね。。。
=====
This document provides guidelines for preventing the unauthorized modification of Basic Input/Output System (BIOS) firmware on PC client systems. Unauthorized modification of BIOS firmware by malicious software constitutes a significant threat because of the BIOS’s unique and privileged position within the PC architecture. A malicious BIOS modification could be part of a sophisticated, targeted attack on an organization —either a permanent denial of service (if the BIOS is corrupted) or a persistent malware presence (if the BIOS is implanted with malware). This guide provides platform vendors with recommendations and guidelines for a secure BIOS update process. Additionally, it provides recommended best practices that are tightly coupled with the security guidelines for platform vendors.
=====
ということですね。。。
2011.05.02
Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region
こんにちは、丸山満彦です。Amzonが先日のサービスの障害の原因を公表していますね。。。
平時から決断をしていない人は緊急時にも決断はできない
こんにちは、丸山満彦です。緊急時における組織のトップは、前例のない事について次々と決断をしていかなければならないわけですが、平時は、下から上がってくる提案をみんなで相談してなんとなく決めるようなことをしている人はいざというときに決断できないと思います。。。
平時は時間をかけて決断できますが、緊急時には検討をする時間が十分にない場合もあります。そういうときは、平時の決断の経験をもとに不十分な情報と不十分な時間と能力の中で決断をしていかなければならないわけですが、その時に準備できるのは、経験だけですね。。。
今回の震災の中で、さまざま人を垣間見ることになっているわけですが、そういう人の発言や行動を通じて、いかに平時の積み重ねが重要か思い知った感じです。。。
経済産業省 株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく報告の徴収について
こんにちは、丸山満彦です。経済産業省が「株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく報告の徴収について」を公表していますね。。。
株式会社ソニー・コンピュータエンタテインメントから経済産業省に報告をしたのは4月26日のようです。。。
経済産業省 「東日本大震災後の産業実態緊急調査」、「サプライチェーンへの影響調査」の結果の公表
こんにちは、丸山満彦です。経済産業省から「東日本大震災後の産業実態緊急調査」、「サプライチェーンへの影響調査」の結果が公表されていました。。。
内閣官房 情報システムに係る政府機関におけるセキュリティ要件策定マニュアル
こんにちは、丸山満彦です。内閣官房が情報システムに係る政府機関におけるセキュリティ要件策定マニュアルを公表していました。。。
=====
情報システムの調達において調達側である政府職員がシステムの調達仕様書を作成するにあたり、必要な情報セキュリティ要件を定型化された作業によって導出できるよう支援するマニュアルを策定しました。また、本マニュアルを供給側である民間事業者等も活用することで、システムのセキュリティ対策が相互により明確化されます。現状、全府省庁で約2000存在する政府情報システム全体の適切な情報セキュリティ対策につながっていくものと期待できます。
=====
IPA 2010年度 バイオメトリクス・セキュリティに関する研究会 報告書
こんにちは、丸山満彦です。IPAからこれも発表されていました。。。
=====
・・・ IPAでは、生体認証システムの利用者等に対するアンケートを行い、生体認証に対する意識調査を行いました。また、欧州における生体認証の利用動向について調査し、報告書としてまとめました。これらの調査を基に、今後より生体認証を利用したセキュリティを広めるための課題を洗い出しました。
=====
Recent Comments