2016.07.15

米政府によるIT産業のサーバの電子メールを提出させる制度は米国外のサーバには適用されないという連邦裁判所の判決

 こんにちは、丸山満彦です。米政府によるIT産業のサーバの電子メールを提出させる制度は米国外のサーバには適用されないという連邦裁判所の判決がでたようですね。

Continue reading "米政府によるIT産業のサーバの電子メールを提出させる制度は米国外のサーバには適用されないという連邦裁判所の判決"

| | Comments (0) | TrackBack (0)

2016.06.12

名ばかりCSIRTを問題視している理由

 こんにちは、丸山満彦です。気まぐれで3年5ヶ月ぶりくらいに書きます・・・特に大事だから書くというわけではありません(^^;;
 さて、名ばかりCSIRTを問題にしている理由です・・・

 金融庁が業界に推奨したので、そういう影響もあり、多くの団体がCSIRTを構築したということになっています。
 日本シーサート協議会の会員数は2016年6月1日現在で150チームが登録されていますね。過去からの増え方データがないからわからないのですが、感覚でもこの1年で相当のびた感じですね・・・

Continue reading "名ばかりCSIRTを問題視している理由"

| | Comments (0) | TrackBack (0)

2012.03.10

データの保全義務を負う範囲は限定できなかった。。。(Pippins v. KPMG LLP)

 こんにちは、丸山満彦です。eDiscoveryを紹介するブログでしりました。。。 よく調べておられますね。。。今回の事例は、確かにそうだけど、訴えられたほうは結構つらいなぁ・・・という感じですね。。。

eDiscovery Blog

Continue reading "データの保全義務を負う範囲は限定できなかった。。。(Pippins v. KPMG LLP)"

| | Comments (2) | TrackBack (0)

2012.01.14

JAXA マルウェア感染によってロケット等の情報が漏洩したおそれ・・・発表は2012年1月でも話は2011年8月のことのようですね。。。

 こんにちは、丸山満彦です。朝テレビをみてたら、頭下げてましてね。。。標的型攻撃?でしょうかね。。。宇宙ロケット(HTV)の情報が漏洩した可能性があるようです。。。

Continue reading "JAXA マルウェア感染によってロケット等の情報が漏洩したおそれ・・・発表は2012年1月でも話は2011年8月のことのようですね。。。"

| | Comments (0) | TrackBack (0)

2011.11.10

IDF 講演 実務適用が広まったデジタル・フォレンジック -事例・実務紹介から学ぶ-

 こんにちは、丸山満彦です。12月12日と12月13日に毎年恒例になった(今年で8回目)のデジタル・フォレンジック・コミュニティ 2011 in Tokyoが開催されます。
 テーマは「実務適用が広まったデジタル・フォレンジック -事例・実務紹介から学ぶ-

初日から
・名古屋工業大学の渡辺教授の話
・証券取引等監視委員会のデジタル・フォエンジックの取り組みの発表
・小向さんがモデラーとなってするパネルディスカッション
 (千葉大の石井教授 vs 慶応大学の安冨教授 vs 前内閣官房副長官補の西川さん vs NTTの小山さん)
・弁護士によるFCPAの話。
ですからね。。。
 

Continue reading "IDF 講演 実務適用が広まったデジタル・フォレンジック -事例・実務紹介から学ぶ-"

| | Comments (0) | TrackBack (0)

2011.09.27

DBSC パブコメ データベース暗号化ガイドライン 第0.9版

 こんにちは、丸山満彦です。データベースセキュリティコンソーシアム(DataBase Security Consortium)が「データベース暗号化ガイドライン 第0.9版」を公表して意見を求めていますので、ご意見お願いします。。。

=====
1.1目的
 情報漏えいに起因した事件が社会において頻発する中、多くの重要な情報の主たる格納場所であるデータベース(以下DB)に対するセキュリティ対策が益々重要となりつつある。システムの根幹を構成するDBに関して、高度なセキュリティに係わる標準的な技術/手法の確立を図っていくことは、安心/安全な利用環境を維持したシステムを構築/運用していく上で急務である。
 上記については、オンプレミスなDBにとどまらず、近年のクラウド市場におけるDBセキュリティなどにおいて重要課題として議論がなされている。
 昨今のDBセキュリティにおいて、DB暗号化は情報漏えいに対する抜本的な対策であり、正しい運用を実装することで、リスクの低減もしくは漏えい防止を実現できるものである。
しかしDBの暗号化については、その手間や煩雑な運用イメージやパフォーマンスの低下、心理的不安要素などから敬遠されてきた。
 本ガイドラインは、DB暗号化に対する正しい知識と運用方法を示し、各企業/団体の「DBセキュリティ対策」の導入の為の指標としてセキュリティ向上に貢献することを目的とするものである。
=====

Continue reading "DBSC パブコメ データベース暗号化ガイドライン 第0.9版"

| | Comments (0) | TrackBack (0)

2011.04.19

NIST National Strategy for Trusted Identities in Cyberspace

 米国のNISTがNational Strategy for Trusted Identities in Cyberspaceを公表していますね。。。

 この文書は日本で議論が進んでいる、国民ID制度の話や、社会保障・税に関わる番号制度についても参考になるのではないでしょうか?
 Identity Ecosystemという言葉がなかなか面白いですね。。。

=====
Guiding Principles
 Identity Solutions will be Privacy-Enhancing and Voluntary
 Identity Solutions will be Secure and Resilient
 Identity Solutions will be Interoperable
 Identity Solutions will be Cost-Effective and Easy To Use
=====

 ネット上での本人認証については、登録段階での本人確認、利用段階での同一性の確認(例えば、パスワードやカードなど)の2つは区別して考える必要がありますね。
 登録段階での本人確認が確実するための手法、利用段階での同一性の確認、それぞれがどの程度確実に行われるのか、ということは重要なポイントだと思います。

 ネット上を考えると、
利用段階での同一性の確認というのは、
・(強力であるが)少数の情報を使って、本人をデジタルに認証しなければならないという点、
・一度認証されてしまうと、その認証が正当なものでるという前提で(連携されたシステムで)すべての取引が行われていくという点
に課題があるのではないかと思っています。
 また、様々なシステムと自動的に連携されていくと、その影響範囲は大きくなっていきますよね。。。
 
 Aさんという人が、ネット上では完全にBさんによって成りすまされている。。。というようなことが起こることはないのか、起こったときにはどのようにしてAさんは救済されるのか。。。
 このような制度を本人の選択性にするとした場合でも、Aさんという人が、利用する前に、リスクを正しく認識して、正しく判断できるのか。。。
 いろいろな問題がまだまだ残っているのではないかと思っていますが、
このあたりは、「国民ID制度の話や、社会保障・税に関わる番号制度」の中で議論されていくのでしょうね。。。
 

Continue reading "NIST National Strategy for Trusted Identities in Cyberspace"

| | Comments (2) | TrackBack (0)

2011.04.12

法務省 情報処理の高度化等に対処するための刑法等の一部を改正する法律案

 こんにちは、丸山満彦です。法務省が「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」を公表してました。。。
 4月1日に国会に提出されてました。。。
 法律案要綱
=====
第一 刑法の一部改正

七 不正指令電磁的記録作成等
1 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、イ又はロに掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。(第百六十八条の二第一項関係)
イ 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
ロ イに掲げるもののほか、イの不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、1イに掲げる電磁的記録を人の電子計算機における実行の用に供した者も、1と同様とすること。(第百六十八条の二第二項関係)
3 2の未遂は、罰するものとすること。(第百六十八条の二第三項関係)
=====
などなど。。。

Continue reading "法務省 情報処理の高度化等に対処するための刑法等の一部を改正する法律案"

| | Comments (3) | TrackBack (0)

2011.03.23

Advanced Persistent Threat (APT)

 こんにちは、丸山満彦です。RSAがAPTの攻撃にあっているという話があります。。。技術立国を目指す日本にとっては、これは重要な課題ですが、対応がどこまで進んでいるのか。。。

Continue reading "Advanced Persistent Threat (APT)"

| | Comments (0) | TrackBack (0)

2011.02.27

NHK ”情報流出”の闇を追え メガリーク (追跡 AtoZ)

 こんにちは、丸山満彦です。毎週土曜日21:50-からNHKで追跡AtoZが放送されていますが、2011.02.26は「”情報流出”の闇を追え」でございました。。。
 デジタル探偵によるデジタル鑑定。。。一般の人にわかりやすい用語とすればそうなるのでしょうね。
 UBICさんとSECOMさんがでていましたね。。。

 技術情報や個人情報の漏洩が続いている状況が報道されていました。。。なかなか生々しい取材もありましたね。。。(やっているほうは当たり前なのですが、、、当たり前をうまく伝えられないのです。。。)

Continue reading "NHK ”情報流出”の闇を追え メガリーク (追跡 AtoZ)"

| | Comments (1) | TrackBack (0)

より以前の記事一覧