JNSA 2007年度 セキュアOSの導入に関する課題の試行結果報告書
こんにちは、丸山満彦です。JNSAが「2007年度 セキュアOSの導入に関する課題の試行結果報告書」を公表していますね。。。
「はじめに」からの抜粋ですが
=====
・・・
JNSAのDMZ設置サーバに対してセキュアOSを適用し、その過程も含めて広く公表していくことで多くの方にセキュアOSの本質を理解をしていただけるよう活動を展開することになった。
=====
ということのようです。。。
2008.06.23
2008.02.13
IPA 脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~
こんにちは、丸山満彦です。IPAが「脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~」を公表していますね。。。
2008.02.05
内閣官房 パブコメ 「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)
こんにちは、丸山満彦です。内閣官房が「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)についての意見募集を行っていますね。。。
2008.01.21
経済産業省 CHECK PC!
こんにちは、丸山満彦です。経済産業省でCheck PC!がはじまっていますね。。。今年は「上戸彩」さんイメージキャラクター?ですね。。。
昨年は白石美帆さん、一昨年は眞鍋かをりさんでしたね。。。
2007.10.26
オオカミと 5 匹のこぶた
こんにちは、丸山満彦です。某先生のmixiで紹介されていて気づきました。。。マイクロソフトのセキュリティ啓発絵本?です。9月21日からあったんだ。。。
うーん。。。なんというか。。。
2007.07.23
NISC JRE等を利用する政府機関の公開情報システムに係る緊急調査の結果を公表
こんにちは、丸山満彦です。内閣官房情報セキュリティーセンター(NISC)がJRE等を利用する政府機関の公開情報システムに係る緊急調査の結果を公表していますね。。。
2007.07.06
厚生労働省 電子申請システムで個人情報が流出する恐れのある欠陥を放置?
こんにちは、丸山満彦です。厚生労働省の電子申請システムで個人情報が流出する恐れのある欠陥を放置しているという話があるようですね。。。
2007.06.01
IPA 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公表
こんにちは、丸山満彦です。IPAが「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公表していますね。。。
=====
本マニュアルは、利用者に必要な情報が的確に届けられることを目的に、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順について、具体的に公表すべき項目と公表例、脆弱性対策情報への誘導方法などを記載しているほか、望ましくない公表例なども記載しています。
=====
あわせて、「情報システム等の脆弱性情報の取扱いに関する研究会」報告書も公開していますね。。。
2007.04.26
JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました
こんにちは、丸山満彦です。運用開始4 年目となるJVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) に変更しましたね。3文字略語は同じですが・・・。
で、JVN のリニューアルと脆弱性対策情報データベースの公開もしました。。。
2007.03.27
JNSA 脆弱性定量化に向けての検討報告書を公表
こんにちは、丸山満彦です。JNSAから「2006年度 脆弱性定量化に向けての検討報告書」が公表されていますね。。。
報告書の「経緯と目的」から・・・
=====
ベンダ各々が独自の判断で脆弱性の危険度を報告しており、同じ「危険度高」であっても、A社とB社ではその判断基準が違っていたり、判断基準そのものが公開されていないといった状況であった。このような中で、ベンダの差に依存しない脆弱性の定量化が可能なのかどうなのかということの検討をはじめたことが、本WG発足の契機であり目的であった。
=====
なかなか意欲的な報告書ですね。。。
2007.03.23
2007.03.16
Single point of failure
こんにちは、丸山満彦です。飛行機の前脚が出ないという事故はボルトが1つなかったことが原因だったようですね(詳細の調査が終わらないとわからないのですが・・・)。
2007.03.14
最後は「人間」?
こんにちは、丸山満彦です。昨日、高知空港での全日空のボンバルディアDHC8機による胴体着陸については、大きな事故にならずになりよりでした。。。この機種では前脚の脚格納ドアの開閉は、通常は油圧装置で、緊急時には手動(ワイヤー?)で開閉させることになっているようですが、今回の事故では両方とも機能しなかったようですね。。。しかし、大きな事故にならなかったのは、訓練された人間が適切に対応したからということだろうと思いました。。。
2007.03.12
IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する!」 -
こんにちは、丸山満彦です。IPAが情報セキュリティ白書2007年度版を公表していますね。。。
■2006年の10大脅威 「脅威の“見えない化”が加速する!」は次のとおりのようです
・第01位 漏えい情報のWinnyによる止まらない流通
・第02位 表面化しづらい標的型(スピア型)攻撃
・第03位 悪質化・潜在化するボット
・第04位 深刻化するゼロデイ攻撃
・第05位 ますます多様化するフィッシング詐欺
・第06位 増え続けるスパムメール
・第07位 減らない情報漏えい
・第08位 狙われ続ける安易なパスワード
・第09位 攻撃が急増するSQLインジェクション
・第10位 不適切な設定のDNSサーバを狙う攻撃の発生
2007.02.19
内閣府 治安に関する世論調査 「ネット犯罪、4割が「不安」」
こんにちは、丸山満彦です。内閣府で実施している「治安に関する世論調査」によると、ネット犯罪について約4割の人が不安を抱いているということのようです。6割の人は不安をあまり抱いていないということなのでしょうかね・・・
2006.12.13
ウィニー事件 開発者に罰金150万円
こんにちは、丸山満彦です。ウィニー事件の地裁判決がありましたね・・・。「技術自体の価値は中立的だが、著作権侵害への利用を認識し、弊害も知っていた。独善的かつ無責任な態度で非難は免れない。しかし侵害のまん延を積極的に意図したわけではない」(毎日新聞)と判断されたようです。
2006.12.12
官製ボット対策ソフト?
こんにちは、丸山満彦です。ボットに感染しているパソコンは国内で40万台以上になるようですね(テレコムアイザック)。個人で利用しているパソコンの場合、ウイルス対策ソフトを導入していなかったり、パターンファイルが更新されていなかったりで、ボットに感染している場合が多いのかもしれませんね。
2006.11.02
2006.10.12
JNSA アンケート 脆弱性定量化に向けての検討WG
こんにちは、丸山満彦です。JNSAの脆弱性定量化に向けての検討WGが、検討中の「パッチ適用の判断を行なうための指標」の実用性を検証するためにWebアンケートを企画していますね。
大変おもしろい企画だと思います。。。
2006.06.22
Excel の脆弱性とスプレッドシートコントロール
こんにちは、丸山満彦です。マイクロソフトエクセルの脆弱性については、ゼロデイアタックもあったというような話もあります。ところで、エクセルは期末決算の時に、試算表の作成、連結財務諸表の作成、注記の作成などで利用されることが多いわけですが、エクセルに脆弱性が存在する前提に立った場合、どこまで脆弱性管理ができていると、財務報告に係る内部統制が有効といえるのでしょうか。。。
2006.06.06
エレベータ事故 コンピュータプログラムにも原因?
こんにちは、丸山満彦です。被害にあわれた市川さんのご冥福を祈るばかりですが、原因を追究し、再発防止につなげるのが今必要なのでしょうね。。。その原因の追究ですが、もちろんいろいろな原因が積み重なって事故につながっているわけですが、その因果関係とキーとなる問題を明らかにし、その問題への対応を考えることが重要なのだろうと思います。
2006.05.23
2006.05.21
JPCERT/CC Microsoft Word の脆弱性に関する注意喚起
こんにちは、丸山満彦です。JPCERT/CCがMicrosoft Word にパッチ未公開の脆弱性があるとして注意喚起をしていますね。
2006.05.20
IPA 情報システム等の脆弱性情報の取扱いに関する研究会報告書
こんにちは、丸山満彦です。IPAから、情報システム等の脆弱性情報の取扱いに関する研究会の報告書が公表されていますね。
■IPA
・2005.05.18 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表
・2005..05.18 情報システム等の脆弱性情報の取扱いに関する研究会 報告書
・現場技術者向け手引書『組込みソフトウェアのセキュリティ ~機器の開発等における40のポイント~
政府統一基準やJIS Q 27002、COBITとの対比表がほしいところです。
とりあえず表にまとめてみました。
2006.04.23
2006.01.07
MS06-001 : WMF脆弱性用パッチをリリース
こんにちは、丸山満彦です。マイクロソフト社が、Windowsの脆弱性を修復するパッチを予定より早くリリースしましたね。この脆弱性については、セキュリティの専門家が非公式パッチの適用をユーザに推奨したということでも話題となりましたね。
2006.01.05
2005年 インターネットにおける脆弱性トップ20リスト
こんにちは、丸山満彦です。NRIセキュアテクノロジー株式会社がSANSの"The SANS Top 20 Internet Security Vulnerabilities "を翻訳していますね。ふーむ、助かります。
2005.10.26
プログラムバグによりセキュリティ上の問題が生じた場合の責任
こんにちは、丸山満彦です。海外で「バグの責任は開発者個人にあるのかベンダーにあるのか」という話が話題になっているようですが、議論がちょっとかみ合っていないようにも思いながら・・・
2005.10.04
Windowsが引き起こした損害はビルゲイツに損害賠償させるべき?
こんにちは、丸山満彦です。Windowsが引き起こした損害はビルゲイツに損害賠償させるべき・・・という過激な発言も飛び出したようですね。
2005.09.27
2005.09.09
JISA SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス 公表
こんにちは、丸山満彦です。JISA(社団法人情報サービス産業協会)が「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス」を公表しています。「SI事業者が、脆弱性情報が公表された後、製品開発ベンダーや顧客と連携し、迅速かつ適切な対応をとるために必要な社内体制や対応手順を整備するための手引書として活用されることを目的」としているとのことです。。。。ねっ、西岡@三菱電機さん!
2005.09.05
新量子暗号Y-00の安全性
こんにちは、丸山満彦です。量子暗号の新しい方式で、長距離、高速な暗号通信ができるとして注目されているのが、Y-00暗号方式です。ところがそのY-00暗号が通常の古典的なストリーム暗号と等価の計算量的な安全性しか保証しないという論文が発表されて議論になっているようですね。
2005.08.17
マイクロソフト Zotob に関する情報
こんにちは、丸山満彦です。マイクロソフトが8月にリリースしたパッチで修正される「プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる」という脆弱性が利用したワームが若干出ているようですが、それほど広がっているようでもなさそうです。で、対応のページですが・・・
これが結構、難しいことを書いていますね・・・
2005.07.12
IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂
こんにちは、丸山満彦です。経済産業省の施策である。脆弱性情報の流通の仕組み、「情報セキュリティ早期警戒パートナーシップ」は成功している施策の一つであると思っています。このパートナーシップのガイドラインが半年の運用を経て改訂されたようです。改訂されるということは、機能しているということなんでしょう。
2005.07.01
経済産業省 「米国におけるカード会員情報の流出について」
こんにちは、丸山満彦です。経済産業省から、「米国におけるカード会員情報の流出について」が2005.06.28公表されていますね。米国では政府やカード会社の対応があまりよくないという新聞報道もあったようですが、日本では迅速に対応されているようですね。信頼できるところが情報を整理して迅速に発表してくれると国民もとりあえず安心できますね。
2005.06.29
2005.06.26
ネット犯罪悪用の恐れ 内閣官房情報セキュリティセンター 全省庁に委託業者の一斉点検を指示
こんにちは、丸山満彦です。今朝(2005.06.26)の日経新聞の朝刊の1面に「官公庁サイト ネット犯罪悪用の恐れ 4機関で緊急修正 政府、官民に対策促す」という記事がでていましたね。
2005.06.24
2005.06.10
2005.06.08
マイクロソフトのMSNのサイトでクロスサイトスクリプティングの脆弱性
こんにちは、丸山満彦です。ウェブサイトを含むソフトウェアの脆弱性をなくすにはどうしたらよいのでしょうか?マイクロソフトのMSNウェブサイトにもクロスサイトスクリプティングの脆弱性があったようですね。
Recent Comments