英政府、サイバーセキュリティー対策不十分の重要組織に1700万ポンドの罰金
英国政府は2018年1月28日付けのプレスリリース1によって、重要インフラを担う企業や組織は、有効なサイバー・セキュリティ対策を行わない場合、最大1700万ポンド(日本円で約25億円)の罰金を課すことを発表しました。対象になるのは電技・ガス・水道などのエネルギー, 鉄道などの運輸, 上下水道および病院などの健康関連の組織です。これにあたり、産業別の所轄官庁が選定されます。組織は、セキュリティ対策を行うことに加え、インシデントが起きた場合には、提供される簡潔なインターフェースを通じて報告することも求められます。なお、罰金は最後の砦であり、まっとうな対策を講じている企業や組織には課されません。 また、同日付で、National Cyber Security Centre が産業向けの新しいガイダンス2を公開しました。 まっとうなセキュリティ対策を行わないということは外部性のある典型的公害なので
ロバの教会(のだめカンタービレ)はなんとあの人の…。リュカのおじいさんの正体は?!
今年の春1になりますが、『のだめカンタービレ(13)』2に出てくるロバの教会に行ってまいりました。セーヌ左岸に建つ、サント・クロチルド聖堂(La Basilique Sainte-Clotilde et Sainte-Valère)です3。1827年にパリ市議会によって建造が議決され、1857年竣工したネオゴシック様式の教会です。 のだめカンタービレのロバの教会こと、サント・クロチルド聖堂 (photo: Nat Sakimura) ちなみに、原作で出てくる絵と似たような角度で比べるとこんな感じ。 『のだめカンタービレ(13)に出て来るロバの教会ことサント・クロチルド聖堂 原作の中の教会の中と実物を比較するとこんな感じです。 ロバの教会の内部(出所)『のだめカンタービレ(13)』P.19と実物の比較 かなり忠実にうつしているといえるかもしれません。 祭壇をアップすると、こんな感じです。 サ
WannaCryの教訓:いい加減、ソフトウェアをモノとして購入したと考えるのはやめよう
(出所) https://twitter.com/Moohten/status/863126339888480256 日経新聞から、「警告を無視 起こるべくして起きたサイバー攻撃」1という記事が流れてきた。文中には以下のような記述がある。 もちろん、一義的な責任は米マイクロソフト(MS)にある。(今回の攻撃の対象となった)基本ソフト(OS)「ウィンドウズ」を販売し、長年にわたりセキュリティー上の欠陥を批判されてきたからだ。 いやいや、第一義的な責任はマイクロソフトでは無く、サポートが終了しても使い続けた組織、パッチが出ても適用しなかった組織にあるだろう。こういう無責任な責任転嫁が公衆を危険に晒しているのだ。 もういい加減、ソフトウェアの購入は、物理的財(goods)のように購入し所有しているのではなく、一定期間内の利用の権利を取得しているだけなのだということを理解したほうが良い。ソフトウェ
EU司法裁判所判断:IPアドレスは個人情報だがログなどへの保存は合法~Legitimate Interest
Business Newsline日本語版『EU: IPアドレスも個人情報とする新判断・承諾なしでのアクセスログの保管は違法に』(2016/10/20) <http://business.newsln.jp/news/201610201826390000.html> (2016/10/21取得)Der Standard「EuGH entscheidet über Speicherung von IP-Adressen」(2016-10-18)<http://derstandard.at/2000046081816/EuGH-entscheidet-ueber-Speicherung-von-IP-Adressen> (2016-10-21取得) ちなみに、日本の経済団体の方々へ。 もう何年も前から言い続けてるけど、法改正にあたっては、個人情報の範囲を絞ることを狙うのではなく(←国際的な趨勢
MacOS XとiOSのXARA脆弱性について
今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS
オオカミが来た:人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった?!ーCNETがダメダメな件
オオカミが来た:人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった?!ーCNETがダメダメな件 「OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。」(出所:OAuthとOpenIDに深刻な脆弱性か–Facebookなど大手サイトに影響も) あのなぁ…。英語版のCNETで出てから、ZDNetとかMashableとかですぐにこの記事を叩く記事が出て、その後日本語版が何日も出なかったので、「あぁ、日本のCNETは良識があるな」と思っていたら、単にゴールデンウィーク
OpenID Connect リリース~インターネットのアイデンティティ層
苦節4年半、ワーキンググループを作るところから始めたら、苦節6年、ようやくOpenID Connectをリリースしました。 OpenID Connect は、インターネット上の「アイデンティティ層」をなすものです。ちょっと説明しましょう。 レイヤーとか「層」とかというと、よく使われるものTCP/IPの参照モデルというものがあります[1]。これはIETFによって策定された、インターネット上のホストの持つべき通信機能を階層構造に分割したモデルで、TCP/IP参照モデル、インターネット・プロトコル・スイートなどとも呼ばれ、通信機能(通信プロトコル)を4つの階層に分けて定義しています(RFC1122)。この第4層はアプリケーション層と呼ばれますが、これは、あくまでHTTPやFTP等の通信サービスのことであり、いわゆる「業務アプリケーション」の意味ではありません。実際のユーザが使う「業務アプリケーシ
spモードメール問題
spモードメール問題、あの、アドレスが付け変わってしまうというやつが話題になっています。ただ記事を読んだだけではよくわからなかったので、NTT DOCOMOテクニカル・ジャーナル Vol.18 No.3 の Technology Report [1] なども参考にしながら絵を書いて見ました。ちなみに、ここで網というのは、spモード網のことです。 独自認証方式によるメールアカウント取得というのは、 (1) メールアプリがオフィシャルなものであることを独自方式で認証 (2) spモード接続を通じて、ユーザー情報を取得 というものらしいですが、詳細はわかりません。どうもこの辺に今回の鍵があるような気がしますが、どうなんですかね。上の図では、spモード接続を通じたユーザー認証をIPアドレスでしているように書いています。これは、記事などで読んだことからの類推です。こうしていると、今回の事象がおきます
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
