米VeriSignのプロダクトマーケティングディレクター、ティム・カラン氏が来日し、強化版SSL「EV SSL」策定の背景と目的などを語った。 日本ベリサインは4月21日、機能強化版SSLに当たる「Extended Validation（EV）SSL」サーバ証明書に関する説明会を開催した。米VeriSignのプロダクトマーケティングディレクターで、EV SSLの仕様策定にも携わってきたティム・カラン氏が、EV SSL策定の背景と目的などを語った。 現在、自分が目的通りのWebサイトにアクセスしているのか、フィッシング詐欺を仕掛ける偽サイトではないかを見分ける手がかりとしては、アドレスバーに示されるドメイン名のほか、SSLサーバ証明書を利用することができる。Webブラウザの右下に表示される鍵アイコンをクリックするとサーバ証明書の内容が表示され、ここでWebサイト運営者の名前を確認することが可

情報セキュリティはどこまでやればいいのか，これは多くの情報セキュリティ担当者が持っている疑問の一つであり，解決しにくい問題の一つです。この問題を解決できない理由は，担当者が対策決定のプロセスを正しく理解できていないからです。 ISMS適合性評価制度を利用して情報セキュリティ・マネジメントを実践している企業では，「情報資産台帳の作成」，「リスク分析」などから始めているところもありますが，これも本来の意味を理解していないと徒労に終わってしまう可能性があります。 情報セキュリティ対策を決定するためのプロセス JIS Q 27002（情報セキュリティ・マネジメント実践のための規範）などの規格を理解して対策を実施しようと思っても，難しい用語などが入っていて理解しにくいかもしれません。そこで情報セキュリティ対策を決定するためのプロセスを簡単にまとめてみました。「対象を決める」とある部分を見て，「まずは

米IBMとCiscoは3月20日、自然災害や人的災害が発生した場合、政府や企業に緊急支援サービスを提供する「Crisis Management Services for Crisis Response」で提携したと発表した。 IBMとCiscoの提供する危機管理サービスは、業界標準に準拠したモジュラー式のシステムで、ハードウェア、ソフトウェア、サービスをパッケージとして提供する。まず災害状況に関する情報を収集、把握する段階からサービスを開始し、次に企業のオペレーションを継続させながら復旧を急ぐ。 サービス提供のため、両社は幾つかのパッケージを用意している。Tactical communications kit（TCK）は、スーツケース程度の大きさで、緊急の通信が必要な際に使用する。固定または可動式fog cutter device（FC）は、拡張可能で簡単に設置可能な小型サーバ。Netwo

取引先や同僚を装って限られたユーザーをピンポイントに狙い，ウイルス・メールを送り付ける攻撃が国内で顕在化してきた。巧妙な文面で警戒心を取り除き，未知のウイルスで対策ソフトをかいくぐる。感染したパソコンは“ボット”と化し，機密情報が根こそぎ盗まれる。決定的な対策はない。セキュリティ・ベンダーもお手上げの状態だ。 企業や組織の機密情報をピンポイントで狙う「スピア（銛）」攻撃が広がり始めた。Winnyユーザーを狙ったAntinnyをはじめ，広範囲のユーザーに仕掛ける従来のウイルスとは違う。犯罪者は“売り物”になる情報を確実に入手するために，ターゲットとして定めた企業/組織に属する個人やグループを直接狙ってくる （図1）。 次々と狙われる企業・政府 2006年3月，国際貿易に関するシンクタンクである公正貿易センターの会員企業に，「対日アンチダンピング情報（第152号2006年1月度）」という内容の

米Seagate Technologyは米国時間3月12日，暗号化機能を備えた2.5インチ・ハードディスク「Momentus 5400 FDE.2」の出荷を始めたと発表した。米ASI Computer Technologiesのノート・パソコン向けである。 Momentus 5400 FDE.2は，ディスク全体を暗号化する機能を備える。垂直記録技術を採用し，最大記憶容量160Gバイトまでのモデルを用意する。インタフェースはSerial ATAで，ハードウエア・ベースの暗号化技術「AES」を搭載する。ハードディスク上の情報をすべて暗号化するため，パソコンが盗難にあった場合でもデータへの不正なアクセスを防止できるという。 ASI社はMomentus 5400 FDE.2を採用するノート・パソコン「ASI C8015」を4月にも投入する。このモデルは，ユーザー認証機能として指紋認識技術や，企業で

ウイルスやマルウエアといった「マルウエア（悪意のあるソフトウエア）」は，単なる「悪意」のレベルを超えて，犯罪ツール「クライムウエア」に変化し，クラッカーは犯罪集団に組織化した－－。米国時間2月6日から開催中の「RSA Conference 2007」で，ロシアのウイルス対策ソフト・ベンダーKaspersky Labの創業者，Eugene Kaspersky氏が，クライムウエアの現状を語った。 かつての著名ウイルスは，若者が面白半分で作っていたものが多かった。例えば，パソコンのハードディスクやBIOSのフラッシュ・メモリーを破壊した「CIH（チェルノブイリ・ウイルス）」を作って2000年に逮捕された犯人は24歳の台湾人だったし，大流行したワーム「LoveSan」を作って2003年に逮捕されたのは18歳の米国人，ウイルス付きメールを送信するワーム「Netsky」を作って2004年に逮捕されたの

日立製作所、NTTドコモ、KDDI研究所、NECの4社が、情報通信研究機構（NICT）の委託を受けて2004年度から進めていた「モバイルセキュリティ基盤技術の研究開発」の成果をまとめた。 このたび開発されたモバイルセキュリティ基盤技術は、携帯電話を利用して各種サービスを受ける際などに、安全に個人認証を行うためのもの。ユーザーが直接IDやパスワードを入力するのではなく、電子証明書を用いる公開鍵基盤（Public Key Infrastructure／PKI）を利用し、サービス提供者は証明書を確認することで本人認証を行うのが特徴だ。IDやパスワードがネットワーク上を流れることがないため、情報が流出するリスクがなく、また第三者による改ざんや偽装が困難な電子証明書を用いることで安全性を確保している。 さらに電子証明書には利用者の名前や住所などの情報や属性を関連づけておけるため、利用者はサービスごと

科学技術振興機構（JST）とNECは2007年1月17日，事実上盗聴が不可能な量子暗号通信をソフトウエア技術によって実現するシステムを開発したと発表した。ソフトウエア技術によって，単一光子や豊富な計算機資源といった量子暗号通信にとって理想的なハードウエア環境を必要とせずに安全性を確保できるという。企業の一般的なオフィス環境で実用されることを狙う。 そもそも量子暗号通信は，光ファイバに光の構成単位の一つである光子を流すことで，情報の送信者と受信者の間で秘密を共有するというもの。不確定性原理と呼ぶ物理現象を根拠とする。目的は，データ暗号通信に使うための暗号鍵を2者間で他人に漏えいすることなく安全に共有すること。量子暗号通信によって安全に共有した暗号鍵を使って，既存のネットワーク上でデータ暗号化通信を実施する。目的は既存の鍵交換アルゴリズムと同じだが，計算機が高度化しても安全性が落ちないという特

「普及型」登場で大きく前進　すそ野広がる災害対策：「行く年来る年2006」ITmediaエンタープライズ版（1/3 ページ） シーサーが出迎え、広がる景色は海――情報通信産業特別区として、IT企業の集積や技術者の高度化に取り組む沖縄県。浦添市に設置されたデータセンターから望める景色にも南国の雰囲気が漂う。 2001年に、沖縄電力など地元企業が中心となって設立したファーストライディングテクノロジー（FRT）は、電力会社の持つ光ファイバ網をバックボーンに利用し、コンタクトセンターやデータセンター事業を手掛ける。沖縄電力の発電所敷地内にデータセンターを設置した同社のキャッチコピーは「データの楽園」だ。 顧客は、IT関連企業を中心に東京に本社を持つ企業が大半という。特に最近の傾向として「災害対策を念頭に入れた案件が増えている」と話すのは、同社ソリューション営業部シニアマネジャーの渡嘉敷唯昭氏。東京

米Symantecは現地時間12月5日，フィッシング詐欺を目的としたメール（フィッシング・メール）に関する調査結果を公表した。それによると，6～7月や日曜日・月曜日にはフィッシング・メールが減少しているという。このことから，フィッシング詐欺は通常のビジネスとしておこなわれている可能性が高いとしている。 今回の調査は，同社がインターネット上に設置したスパム対策システムで収集したデータにもとづくもの。期間は2006年4月から9月。同システムでブロックしたフィッシング・メールの種類と総数を集計し，月や曜日による変動を調べた。 その結果，フィッシング・メールの種類は，6月および7月に減少していることが分かった（図）。月ごとのフィッシング・メールの種類は以下のとおり。 月 種類 --------------- 4月 2万7149 5月 2万8573 6月 2万4819 7月 2万5987 8月 2万

日商エレクトロニクスとミラポイントジャパンは、政府機関の統一基準に対応した電子メールシステムの構築を支援するパッケージソリューションを提供する。 日商エレクトロニクスとミラポイントジャパンは11月28日、内閣官房情報セキュリティセンターが公表した「政府機関統一基準適用個別マニュアル群」に対応した「Eメールセキュリティ・ソリューション」を提供することを発表した。 このEメールセキュリティ・ソリューションは、官公庁、独立行政法人などを対象としたもの。ミラポイントジャパンが提供する電子メールサーバ用アプライアンス「Mirapoint Message Server Mシリーズ」に、日商エレクトロニクスの「Eメールサーバ構築サービス」を組み合わせて提供する。 特徴は、Mirapoint Message Server Mシリーズの採用により、パッチ適用をはじめとする運用負荷を減らすとともに、ウイルス／

米SANS Instituteによれば，仮想マシンを検出する機能を備えた悪質なプログラムが最近増えているという。同組織のスタッフが現地時間11月19日，公式ブログで明らかにした。解析されることを防ぐために，仮想マシン上では動作しなかったり，自分自身を消去したりする（関連記事：「ボットネットは“目立たない”ように工夫を凝らす）。仮想マシンを検出する機能の実装には，商用ツールが使われている場合もあるという。 ウイルスやボットといった悪質なプログラムの“捕獲”には，仮想マシンが利用されることが多い。仮想マシン上のゲストOSで“罠（ハニーポット）”を稼働させ，悪質なプログラムをわざと感染させて，その挙動などを解析する。 それを防ぐために，最近の悪質なプログラムは，仮想マシンの検出機能を備え始めた。SANS Instituteのスタッフが最近捕獲した悪質なプログラム12種のうち3種が，仮想マシンVM

筆者紹介　佐藤徳之（さとう・とくゆき） マーシュジャパン　ディレクター、シニアバイスプレジデント。1989年に入社以来、日本、米国において企業のリスクマネジメント構築に従事。マーシュジャパンは、リスクマネジメントおよび保険関連サービスを提供する世界最大手企業である米Marsh Inc.の日本法人。2004年度情報化推進国民会議専門委員。 米国は自治体のリスクマネジメント体制の構築に関し、最も進んだ国であると言っても過言ではない。先進的な自治体では、CRO（最高リスク責任者、Chief Risk Officer）を置いているのに加えて、大手民間企業が採用しているERM（エンタープライズ・リスク・マネジメント）（注1）を採用しているところもある。そして、ART（Alternative Risk Transfer）（注2）といった金融工学の活用、さらにはRisk Fusion（リスク・フュージョ

【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください（編集部） Security&Trustウォッチ（60） 今夜こそわかる安全なSQLの呼び出し方 ～ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対

埼玉県皆野町とTKCは、ネットワークを介した行政情報のバックアップ復旧訓練を実施することを明らかにした。ネットワーク経由で遠隔地へデータを送り、自動的にバックアップしている自治体は、皆野町のほか全国で7団体のみ。 埼玉県皆野町とTKCは10月26日、ネットワークを介した行政情報のバックアップ復旧訓練を実施することを明らかにした。BCP（事業継続計画)の観点から復旧訓練を実施するもので、昨年に引き続き2回目となる。 地方公共団体が保有する住民情報などは、災害時における被災者の特定・把握、ライフラインの復旧、地域の復興支援に欠かせない基本的なデータとなる。 実際、新潟県中越地震でも、発生翌日には関東財務局および日本銀行が「預金証書、通帳を紛失した場合でも預金者であることを確認して払い戻しに応ずる」とした金融上の措置を公表したことで、住民票を求める住民が市町村の窓口に列を成している。また、災害時

「ノート・パソコンを持ち出し禁止にするなど、極端に効率性を犠牲にするセキュリティ強化には意味がない」。竹中工務店グループで建物の総合管理を手がける、アサヒ ファシリティズの河野雅英IT管理室長はこう語る。「セキュリティ対策にルールの作成や順守は欠かせないが、業務効率が大きく下がるルールを作ってしまうと、必ず隠れて違反する社員が出てくる。守られないルールなら、作らなくても同じ」（同）。 こうした考えのもと、アサヒ ファシリティズは現在、営業担当者などが持ち歩くノート・パソコンと社内のデスクトップ・パソコンのセキュリティ対策を進めている。「業務の効率性を保ちつつ、想定できるあらゆる事態に対処できるよう心がけた。表玄関にカギをかけても、裏口が開いていたらダメ。セキュリティは、全方位で考える必要がある」（河野室長）。 同社はまず、社内にウイルスを持ち込めないようにする仕組みを作った。最新パッチを適

RSAセキュリティは，Webアプリケーションに対するアイデンティティ（アクセス権限）管理機能を備えたSSO（シングル・サインオン）ソフトの新版「RSA Access Manager 6.0日本語版」を，2006年11月20日に出荷する。価格は1000ユーザーから4999ユーザーの場合で1ユーザーあたり4830円（税別）。 RSA Access Manager 6.0は，Webアプリケーションに対するアクセス制御機能と，アクセス制御のための判断材料となるユーザーの役割に応じたアクセス権限の管理機能で構成する。今回の新版は，従来ブランドを冠した「RSA ClearTrust 5.5」の後継製品にあたる。 新版では，Webアプリケーションに対するアクセス権限を設定/管理する権限を，組織単位で他の管理者に委譲できるようにした。これにより，ある部門を統括する管理者が，その部門に所属する社員のアクセス