企業の情報セキュリティレベルに関する格付け専門会社 「世界初」という冠言葉は、実はなかなかニュースでは書けない。発表する側がそう触れ込んだとしても、確かな根拠がないと事実報道ではなくなってしまうからだ。だが、この話はおそらく世界でも例がないだろうし、うまく事が運べばグローバルスタンダード化をも見込める興味深い取り組みだ。 その話とは、松下電器産業、富士ゼロックス、富士通、野村総合研究所、格付投資情報センターなど18社が、企業の情報セキュリティレベルに関する格付け専門会社「アイ・エス・レーティング」を5月2日に設立すると発表したことだ。 4月8日に発表された内容によると、情報セキュリティ格付けとは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的にはマネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から

セキュリティ・コンサルタント 村上 純一 本連載の第3回でルートキットをカーネル・モードとユーザー・モードに大別した。また，第4回ではさらにカーネル・モード・ルートキットを「実行パスを変えるもの」と「データを改ざんするもの」に分類した。 今回は，こうした分類とは別の観点で分類し，ルートキットの本質を考えてみたい。 改変されたデータの性質に注目 これまで紹介してきたようにルートキットはシステムの様々なリソースに変更を加えることでその機能を実現している。今回考えてみたい分類は，これらのリソースがOS起動後，通常OSやアプリケーションによって書き換えられるかどうかが大きくかかわっている。そこで回り道になるが，まず，この点を整理しておく。 ルートキットが改ざんする対象となるリソースとしては，以下が挙げられる。 モデル固有レジスタ - IDT（interrupt descriptor table）

米Xeroxは10月4日、新しいセキュリティ印刷技術「InfraredMark Specialty Imaging Font」を発表した。赤外線ライトで照らした場合にだけ読める文字を印刷する技術で、従来のセキュリティ印刷技術と比べて低コスト。チケットやクーポン、IDカードなどのすかし印刷に応用できるとしている。 InfraredMark Specialty Imaging Fontによる印刷には特殊なインクや紙は必要なく、標準的なXeroxのデジタルシステムで通常のトナーを使い、標準的な紙に印刷できる。同技術を使った印刷物には赤外線カメラでしか見えない文字や画像を埋め込むことができ、この文書に手を加えたりコピーしたりすると、隠された文字がゆがむことにより、正規のものではないことが分かるという。 同技術では、CMYK4色のトナーを使って色を再現するXeroxのカラー印刷システムを活用。各トナ

■地方自治体における情報セキュリティは、情報を守るだけでなく、住民を守る重要な役割を担っている。そこで、地方自治体の情報セキュリティ監査促進と住民の安心を得るための枠組みとして注目される、社会的合意方式を取り入れた「オーディットレディ(Audit Ready）」に対する取り組みや、地方自治体を監査する監査人に求められる知識などについて、地方自治体のキーパーソンにお話を伺った。（構成：日本セキュリティ監査協〔JASA〕） 規定作りの次は情報セキュリティ対策の運用 「監査に対しては、自治体によって温度差がある」 大木　地方自治体における情報セキュリティの現状、監査への取り組み状況などについて教えてください。 石川　総務省が全国の自治体を対象にした調査によると、昨年度の個人情報保護条例への対応は100%、情報セキュリティポリシー策定も96.2％で、今年度も100%に近い数字が出てくると見られてい

セキュリティ自由研究：この夏、グミ指を作ってみないか：Security&Trust ウォッチ（48） 指紋は指先にある紋様で、人ごと、指ごとに異なる。指先から出る皮脂などによって、この紋様が何かに付着することを指紋が付くという。その特徴を生かして、指紋は個人を特定することにもよく用いられる。事件の証拠として利用したり、入室管理や携帯電話のロックなどの認証でも用いられている。 以前、指紋認証システムを食用のグミなどで作った指紋（グミ指）で突破することができるという記事を何かで見掛けて、一度試してみたいと思っていた。身近な材料で、最先端の技術が突破されるというギャップに驚きを感じた。今回は実際にこの目でグミのチカラを確認してみようというレポートである。 セキュリティ自由研究レポート ■採取した指紋からグミ指を作ろう 指紋はそこら中に付いている。指紋は皮脂なので一度付着すると取れにくいようだ。と

「幹部職員が多忙を理由になかなかセキュリティ研修を受けてくれない」「内部監査を行おうと計画したが、何の根拠に基づいて行うのかと反発された」--自治体の情報セキュリティに関する取材の過程でよくこうした声が担当者の間から聞こえてくる。市区町村の情報化進展度を調査した「e都市ランキング 2007」によると、「ウイルス対策ソフトを導入している自治体が97.3％、ファイアウオールを導入している自治体が94.4％」である一方「ルール面の対策は十分とはいえない」という傾向が現れているようだ（関連記事）。 要するに、少なからぬ自治体関係者にとって「セキュリティ対策＝不正アクセスやウイルス対策」という認識なのであろう。情報セキュリティ対策は業務と一体であるという考え方が浸透していないのである。その結果、「セキュリティ担当者がうるさく言っても反発されるだけ」という状態になってしまう。 どうやって首長の責任を明

筆者紹介　鈴木 啓倫（すずき・ひろみち） TDCソフトウエアエンジニアリング モバイルソリューション部 防災、画像系の自社パッケージ企画開発に従事。ASPICジャパン「災害時ICT基盤研究会」メンバー。 前回のコラムでは、災害時における迅速な意思決定の重要性について述べた。今回は、迅速な意思決定のための有力な支援手段の一つとして、気象情報と位置情報を活用した携帯電話の防災ソリューションを紹介する。 通信網が過負荷状態になる前に関係者にメールを送る 非常事態が発生した場合にまず必要なのは、災害対策本部のメンバーに対して、非常事態の発生を迅速に伝達し、あらかじめ決めてあった役割を遂行可能かどうかの返答を得ることである。災害発生時の初動体制を迅速に確立するためだ。 特に、予兆なく発生する地震に関しては、地震直後に発生する通信網の過剰負荷により、対策チームのメンバーに対して連絡を取ることが難しくな

筆者紹介 小見山 浩一（こみやま・こういち） 富士通 パブリックソリューション統括部課長 港湾防災・保安システムの設計担当の後、現在、自治体防災の設計及び構築に従事。ASPICジャパン「災害時ICT基盤研究会」メンバー。 梁田 智仁（やなだ・ともひと） 富士通 パプリックソリューション統括部 国土交通省防災関連システムの設計担当の後、現在、自治体防災の設計及び構築に従事。ASPICジャパン「災害時ICT基盤研究会」メンバー。 災害発生時において、行政（本稿では中央官庁、地方自治体とする）は災害対策に関する戦略・計画を立案し、実行する役割を担う。この災害対策の一連のプロセスでは、「どのような戦略を立案するのか？」「どの対策から実行するのか？」など様々な意思決定を行わなければならない。 読者の方々に改めて申し上げる必要はないかもしれないが、被害を最小限にとどめるためには意思決定を「迅速」「的確

トッパン・フォームズは4月25日、東京都内で開催中のRSA Conference Japn 2007で電子ペーパー技術を活用したワンタイムパスワード生成カードを公開した。携帯性や経済性に優れた認証システムを実現できるという。 公開されたワンタイムパスワード・カードは、クレジットカードサイズのコンパクトな大きさ。本体前面のボタンを押すと、認証操作で一時的に使用するワンタイムパスワードが生成され、6桁のワンタイムパスワードがディスプレイに表示される。このディスプレイには、低消費電力で長時間表示ができる電子ペーパーが採用されている。 通常使用するパスワードとワンタイムパスワードを組み合わせることで、安全に認証操作を行うことができる。ワンタイムパスワードは1回限りの使用で、他人が使用済みのパスワードを入手して、本人になりすましての不正利用を防ぐことができる。 従来、ワンタイムパスワードを利用できる

4月25日、26日の2日間にわたり、東京・ザ・プリンスパークタワー東京で「RSA Conference Japan 2007」が開催される。国内で6回目の開催となる今回のテーマは「リスクコントロールと情報セキュリティ」だ。 この中で一見異色とも思えるのが、群馬大学の片田敏孝教授による「人はなぜ危機に備えないのか～災害に備えない人の心理を探る～」と題するセッションだ。しかし片田教授によると、災害対策と情報セキュリティ対策は同じ問題点を抱えているという。その理由を聞いた。 地震や水害など、多くの天災リスクに囲まれている国、日本。毎年少なからぬ数の人命が奪われているにもかかわらず、災害に関する警報発令を聞いて迅速に行動を取る人は少数派だ。防災研究者で、群馬大学工学部教授の片田敏孝氏は、その理由を「人の持つ特性」にあると言う。 「津波が危険なこと、地震が来たらすぐに避難しなくてはならないことなど、

4月20日，東京都内で開催された「ディザスタ・リカバリ・カンファレンス2007」でKPMGビジネスアシュアランスの田口篤 執行役員・ディレクターが講演（写真1），企業が取り組むべき「BCM」（事業継続マネジメント，Business Continuity Management）について説明した。 田口氏は「近年，企業を脅かすリスクが多種多様化している」と指摘。具体的には，従業員や役員の不祥事，市場の急激な縮小，企業買収，事故や災害など，さまざまなリスクがあるとする。田口氏によれば「会社経営とはリスク・マネジメントそのもの」である。 そのような中でBCMの役割は，「突然の業務中断」が発生した場合を想定し，あらかじめ復旧・継続手段を確保しておくことだ。突然の業務中断とは，地震，火災，水害などの災害や大規模なシステム障害，鳥インフルエンザやSARSといった伝染病など。戦争の発生や隕石の落下といった

日本の地方自治体の情報セキュリティ向上を目的とした新たな資格「CISSP-行政情報セキュリティ」が新設された。 国際的なセキュリティ認定資格「CISSP」に、日本独自の上位資格「CISSP-行政情報セキュリティ」が追加される。 米国の非営利団体、The International Information Systems Security Certification Consortium（ISC 2）は4月18日、新たなセキュリティプロフェッショナル認定資格として、CISSP-行政情報セキュリティを新設した。日本の地方自治体の情報セキュリティ向上を目標としたもので、開発に当たっては日本ネットワークセキュリティ協会の協力を得たという。 CISSPは、国際的な情報セキュリティプロフェッショナルの認定資格であり、これまでに世界125カ国で4万8000人以上、日本でも約800名が認定資格を取得してい

企業のモバイル導入でまず用意するのがセキュリティ。紛失時の情報保護から安全なアクセス、ウイルス対策まで、モバイルセキュリティを提供するベンダー各社の特色をまとめてみた。 モバイルを企業で導入する場合に気になるのは、やはりセキュリティ対策だろう。PC環境ではさまざまな対策が用意されているが、携帯電話やPDAの分野ではどこまでの対策が可能なのだろうか。 紛失に備えて モバイル端末で最重要視されるのが、端末を紛失した時の情報保護だ。多発する企業の情報漏えい事件でも、紛失データが要因の1つを占める。紛失対策の基本はデータ暗号化と認証だ。 日立ソフトは、データ暗号化で実績の多い「秘文」シリーズのモバイル版「秘文 AE MobilePhone Encryption」を2月に発売した（関連記事）。同製品のベースはPointsecの「Pointsec for Pocket PC」で、日立ソフトが秘文向けに

前回は情報セキュリティマネジメントの考え方の第一歩について解説しました。ISMSとは違う切り口からのリスクに対する考え方とういうことで，少し新鮮だったのではないでしょうか。今回は，事故が発生することによる影響を考えながらリスク・マネジメントについて考えてみましょう。 機密性，完全性，可用性を忘れることから始めよう 情報セキュリティマネジメントに関連する研修やセミナーでは「情報セキュリティの3要素として，機密性，完全性，可用性があります」と教えられます。ところで，機密性，完全性，可用性って何でしょうか。情報セキュリティ・コンサルタントの皆さんにこのことを聞いてみたら，いろいろな答えが出てビックリしました。つまり，用語としてうまく定着していないということです。 ならば，この三つの要素についてはいったん忘れることにして，情報セキュリティ対策の必要性というところから，もう一度考え直してみましょう。

米VeriSignのプロダクトマーケティングディレクター、ティム・カラン氏が来日し、強化版SSL「EV SSL」策定の背景と目的などを語った。 日本ベリサインは4月21日、機能強化版SSLに当たる「Extended Validation（EV）SSL」サーバ証明書に関する説明会を開催した。米VeriSignのプロダクトマーケティングディレクターで、EV SSLの仕様策定にも携わってきたティム・カラン氏が、EV SSL策定の背景と目的などを語った。 現在、自分が目的通りのWebサイトにアクセスしているのか、フィッシング詐欺を仕掛ける偽サイトではないかを見分ける手がかりとしては、アドレスバーに示されるドメイン名のほか、SSLサーバ証明書を利用することができる。Webブラウザの右下に表示される鍵アイコンをクリックするとサーバ証明書の内容が表示され、ここでWebサイト運営者の名前を確認することが可