Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか

 早いもので今年も残り1カ月となりました。2006年の総括は次回に改めて書く予定ですが、私にとって2006年という年は“セキュリティの難しさ”を改めて痛感させられた年でした。

 かつてのウイルスやワームのような世界的に広範囲に被害を及ぼすような“大規模インシデント”はここ数年鳴りを潜め、特に2006年は報道を見る限りでは一見“平和”そうに見えたのではないかと思います。

 しかし実際には、特定のサイトを狙ったインシデント(ゼロデイ攻撃を含む)は多発しています。また、個々のインシデントがそれぞれ異なるために関連する情報が得られずに対応や対策が遅れてしまい、結果的に個々のインシデントを個別に見た場合には、かつての“大規模インシデント”よりも深刻な事態に陥っているケースが増えているのです。ところがこのような事実に対して注意を世の中に促そうにも、個々のインシデントがそれぞれ異なるために結局は無難な“定番の”注意喚起しかできない、その歯がゆさを強く感じた1年だったのです。

 さて、今年最後となる今回は、米国CERT/CCのPodcastingサービスと、韓国の個人情報保護関連の話題を紹介します。


米国CERT/CCがPodcastingでセキュリティ講座

CERT Podcast Series: Security for Business Leaders

 CERT/CCでは、去る10月17日から企業経営者向けのセキュリティ講座として、CERT/CCスタッフやセキュリティ関連の著名人らに対するインタビュー形式の音声データ(MP3)を提供するサービスを提供しています。このサービスが充実しているのは、単に音声データを提供するだけでなく、その音声を文字データに起こしたもの(Transcript、PDF)や概要(Show Notes)も併せて提供している点です。ちょっとした英語のヒアリングの勉強にも使えるかも知れません(笑)。

 更新頻度は不定期のようですが、11月末現在公開済みのデータは以下の6つです。

1)Compliance vs. Buy-in(10月17日公開)
2)Proactive Remedies for Rising Threats(10月17日公開)
3)The ROI of Security(10月17日公開)
4)Why Leaders Should Care About Security(10月17日公開)
5)CERT Lessons Learned: A Conversation with Rich Pethia, Director of CERT (10月31日公開)
6)The Security 'X' Factor(11月14日公開)

 この中から今回は、11月14日に公開された「The Security 'X' Factor」を紹介します。

 これはTripwireのCTOであり、IT Process Institute(ITPI)の共同創設者であるGene Kim氏へのインタビューです。Kim氏の発言内容は基本的にはITPIの立場からのものです。

 ITPIの最近の調査によると、セキュリティ対策に対して「high performer」と評価される企業や組織と、「medium」または「low」と評価されるものとを明確に分ける「X」ファクターが存在するのだそうです。このインタビューはその「X」ファクターを紹介する内容となっています。

 そもそも「high」の組織とそれ以外の組織の間には、例えばセキュリティにかける予算の違いや人手の違いと言った、一見、差が出て当たり前の違いがあることがわかっています。しかしその違いからあらかじめ机上で予想された成果の差は2倍程度。ところが実際には成果に5倍から8倍もの差があったのだそうです。ITPIの調査では、この予想外の好成績がどこから生じるものなのかについて分析がなされています。

 まず注目すべきは、「high」と評価された組織は以下の2つの質問に対し、すべて「Yes」と回答している点です。

・システムが無許可で変更されていないか監視していますか?
・意図的に行なわれた無許可の変更に対する結果(罰則などの規定)を定めていますか?

 一方、「mediun」または「low」と評価された組織で「Yes」と回答した組織は全くなかったそうです。この点に鍵がありそうです。

 このインタビューでKim氏は、セキュリティに対して重要な点は「変更管理(Change Management)」であると強調しています。変更管理をしないならば何も管理していないのと同じだと。また、変更管理を実行することで「セキュリティ」が日々のオペレーションの助けになっていることを示せるのだとも述べています。

 しかし、ここで問題になってくるのは、「変更管理」というものに対して従業員の中に「官僚的である」だとか「ものごとの進め方が遅くなる」「やる気をそぐ」といったネガティブなイメージがあることです。まずこれを変えることが重要です。

 また最も重要なのは、無許可の変更を行ない続ける「不適合」従業員をどうするかということです。決してクビにしてはいけません。そういう従業員は変更ができないような役目に置くなど、その気質により適した役目を与えればよいのです。

 さて、では変更管理がなかなか上手く進まない場合は何が悪いのでしょうか? チェックポイントは以下の4点。

・システムが無許可で変更されていないか監視していますか?
・意図的に行なわれた無許可の変更に対する結果(罰則などの規定)を定めていますか?
・組織のトップが士気を高めていますか?
・変更管理を強く押し進めていますか? または「絵に描いた餅」になっていませんか?

 最後に、変更管理が上手くいっているかどうかを確認するポイントは以下の3点。

・計画外のサービス停止が減ったか?
・平均修復時間が短くなったか?
・変更が時間通りに、かつ1回でうまくいった割合が増えたか?

 ちなみに「high performer」の変更成功率は90%以上。一方「low performer」は 50%から60%程度だそうです。

 よく考えてみれば「当たり前」とも言える内容ですが、改めて指摘されると自組織に足りない点に何か思い当たるものがあるのではありませんか? このインタビューの中でいくつか印象的なフレーズが出てきますが、その中で私が最も耳に残ったのはこのフレーズ。

「Trust is not a control. Hope is not a strategy.」
(信頼は管理ではない。期待は方策ではない。)

 さて皆さんはこのインタビューで、どのフレーズが印象に残るでしょうか?

URL
 CERT Podcast Series: Security for Business Leaders
 http://www.cert.org/podcast/
 The Security 'X' Factor
 http://www.cert.org/podcast/show/kim.html
 Information Technology Process Institute
 http://www.itpi.org/home/default.php


韓国の個人情報保護事情

 今年最後のネタはちょっと軽めに世間話を。

 前回も紹介しましたが、韓国ではありとあらゆる場面で住民登録番号が使われています。これによって行政や公共サービスだけでなく、さまざまな場面で処理がスムースに進むことが知られています。一見、便利そうなこの住民登録番号。実際には番号そのものが個人情報なんですね。ご存知の方も多いと思いますが、韓国の住民登録番号(の数字)だけで生年月日、性別、出身地などが特定できてしまうのです。そんな番号をネットワーク上のさまざまなサービスで平気で使ってしまうということに強い違和感を感じつつも、この番号制度を長い間使っている韓国の人たちにはさほど抵抗感がないのかと思っていました。

 ところが11月20日に興味深い報道がありました。

「健康-個人情報保護法衝突? DB管理詳細規定なくて役目模倣~医療団体反対」
(「韓国デジタルタイムス」11月20日付記事)

 報道の内容自体は、韓国の保健福祉部(日本の厚生労働省に相当)が提案した「健康情報保護及び運営管理に関する法律(案)」が現在国会で審議中の「個人情報保護基本法」と重複する部分や相互に矛盾する点があること、また法案の趣旨が個人情報保護よりは医療情報化とその産業化促進に重きが置かれていることに対して市民団体や保健医療団体が反対の意思表明をしているというものです。

 この中で私が興味を持ったのは2点。まず1つ目は「個人情報保護基本法」の審議が既に2年目に入っていながら、まだ制定されていないこと(当初は2005年中に成立の予定だったらしい)。自らの国を「IT先進国」と吹聴していながら、これはかなりお粗末。

 2点目は、すでに「個人情報保護基本法」について審議が2年目に入っていながら、それと矛盾する内容の法案を提出してしまう保健福祉部の能力の低さ。記事によると、今回提案された法案は収集する情報の範囲があいまいでしかも破棄の規定がないなどという個人情報保護の基本からなっていない「ぬけぬけ」の法案。市民団体などが反対して当然ですね。

 今回の報道を見る限りではありますが、韓国国民側の個人情報保護に関する意識は高まって来ているのかもしれませんが、政府側の意識が驚くほど低いということだけは確かのようです。韓国における個人情報保護への道はまだまだ遠いようです……。

URL
 「韓国デジタルタイムス」11月20日付記事(韓国語)
 http://www.dt.co.kr/contents.htm?article_no=2006112002010151713002

(2006/12/07)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2006 Impress Watch Corporation, an Impress Group company. All rights reserved.