March 16, 2006

Winny関連

電机本舗HP
電机本舗はファイル共有プログラム「Winny」の対策ソフトを発表した。
ITmedia エンタープライズ:「PC内のWinny探します」公的機関向けにWinny検出ソフトを無償提供
 クオリティは、同社のクライアントPC資産管理ソフトウェア「QND Plus」にWinny検出プログラムを組み合わせた製品を、地方自治体、警察、官公庁などを対象に無償で配布する。3月22日より同社のWebサイトからダウンロードできる。
 QND Plusは、クライアントPC内のインベントリ情報やセキュリティパッチの適用状態などを管理する商用ソフト。サーバプログラムから各PCに対してタスク(エージェント)を配布することで情報収集を行うが、特定のソフトウェアを検出するといったセキュリティ対策としての利用が可能。今回配布予定のプログラムでは、Winnyを検出するタスクがあらかじめ組まれた状態で提供される。評価用プログラムに専用のシリアル番号を入力すると、5000ライセンスまで無償利用できる。使用期限は4月30日まで。

そして、最近の流出を理由としてぷららが動きました。
Impress:他社ISPのWinnyとの通信も遮断、ぷららがWinnyの完全規制を決定
 ぷららネットワークスは16日、ファイル交換ソフト「Winny」による通信を完全規制すると発表した。規制開始は期日が決定次第発表するとしている。
 ぷららでは、2003年11月からそれまで上りトラフィックの60〜80%を占めていたWinnyや「Win-MX」などのP2Pファイル交換ソフトによる自社ネットワーク内の上りトラフィックの制御を開始。2005年9月には自社ネットワーク内の下りトラフィックに関しても制御を開始していた。
 今回、開始するWinnyの完全規制では、他社ISPのユーザーが使用するWinnyとの通信も遮断する。ぷららでは「Antinnyなどのウイルスに感染したPCからWinnyを介した個人情報や機密情報の流出が相次いでいる。こうした社会問題を憂慮すべき事態と捉え、ユーザーが安心して利用できるネットワーク環境を提供することが通信事業者としての責務だ」とWinnyによる通信の完全規制を決定するに至った経緯を語った。
ITmedia エンタープライズ:ぷらら、Winny通信をシャットアウトへ
 ぷららネットワークスは3月16日、Winnyによる通信の完全規制を5月をめどに始めると発表した。Winnyを介した情報流出が相次いでいるのを受けた処置で、ぷららからはWinnyの使用は事実上不可能になる。Winnyのトラフィック量を規制しているISPはあるが、完全規制は珍しい。
 Winny独特のトラフィックパターンを判別し、合致する通信を自動的に遮断する方針。このためぷららユーザーは、ぷらら経由からはWinnyは使用できなくなる。
 同社は2003年11月より、当時上りトラフィックの6〜8割を占めていたWinnyおよびWinMXの帯域を制限する措置を講じてきた。今回の規制では、Winnyによる通信を「完全に」規制する。なお、トラフィックパターンに基づく規制であり、コンテンツの中身による制御ではないため、電気通信事業法に抵触するものではないとしている。

Impress:「Winnyを使わないで」安倍官房長官が国民に呼びかけ
 「情報漏洩を防ぐ最も確実な対策は、PCでWinnyを使わないことです」――。15日、多発するウイルス「Antinny」による情報流出に、安倍晋三官房長官が異例の呼びかけを行なった。
 内閣官房情報セキュリティセンター(NISC)でも、Winnyの危険性に関して注意喚起を行なっている。それによると、「Winnyで入手したファイルは、誰が、いつ、どこで作成したのかもわからない信頼できないファイルで、Antinnyを紛れこませることは簡単」であるとし、Winnyで入手したファイルの実行や閲覧は非常に危険だと指摘。Antinnyが入ったファイルは、拡張子がわかりにくい紛らわしいファイル名であったり、アイコンを偽装するなど、人間の心理を巧妙に突いているため、Winnyを使用してファイルを入手する行為そのものが危険だという。また、PCを業務用途ではなく、メールやWebページの閲覧だけの用途で使用していても、個人のプライバシーに関する情報が入っている可能性があるため、情報流出を防ぐ最も確実な対策は「Winnyを使わないこと」と結論付けた。
Posted by bugfix at 11:46 PM | Category : セキュリティ | Trackbacks [0]

March 11, 2006

IPA、セキュリティベンダと協力体制

セキュリティベンダとの協力による緊急時(コンピュータ・ウイルス等の発生)における情報収集、分析、対策、情報発信等の活動開始について
 独立行政法人 情報処理推進機構(略称:IPA 理事長:藤原 武平太)は、株式会社シマンテック(代表取締役社長:木村 裕之)、トレンドマイクロ株式会社(代表取締役社長:エバ・チェン)及びマカフィー株式会社(代表取締役社長:加藤 孝博)と共同で、コンピュータ・ウイルス等の発生により国内の情報ネットワークに多大な混乱が発生したとき又は発生すると予測されるときに、情報収集、分析、対策、情報発信等の活動において速やかに連携・協調できるよう、連絡体制を整え、情報交換を行うことになり、本日から活動を開始することとしました。
 なお、更にこの活動の幅を広げるために、他のセキュリティベンダにも参加を働きかけていく予定です。
Posted by bugfix at 02:04 AM | Category : セキュリティ | Trackbacks [0]

February 22, 2006

「情報セキュリティ」って何をするの?

「情報セキュリティ」って何をするの?:IT Pro
 あなたはある日突然,会社の情報セキュリティ管理者に任命されました。さて,まずは何をしますか? こんな質問をされたら,いろんな答えが出てくるでしょう。もちろん,その時の状況によって最初にやるべきことは異なります。ただ,いずれにしても組織の情報セキュリティに対する現状把握と,方向性を決める作業は必要です。では,その「情報セキュリティ」とは一体どういうことなのでしょうか。


情報セキュリティとは
 2005年10月に発行されたISO/IEC27001(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)に,情報セキュリティに関しての定義が書いてあります※1。


情報セキュリティ(information security)
情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止及び信頼性のような特性を維持することを含めてもよい。
ISO/IEC27001:2005 3 用語及び定義より
 この定義文書の前半三つの用語である「機密性」「完全性」「可用性」は,情報セキュリティの3大要素と呼ばれることがあります。それぞれの用語の定義は以下の通りです。


◆機密性:Confidentiality・・・認可されていない個人,エンティティ(団体等)又はプロセスに対して,情報を使用不可又は非公開にする特性
◆完全性:Integrity・・・資産の正確さ及び完全さを保護する特性
◆可用性:Availability・・・認可されたエンティティ(団体等)が要求したときに,アクセス及び使用が可能である特性
ISO/IEC27001:2005 3 用語及び定義より
Posted by bugfix at 05:44 PM | Category : セキュリティ | Trackbacks [0]

February 09, 2006

情報セキュリティ政策会議 第4回

内閣官房情報セキュリティ センター:情報セキュリティ政策会議
第4回会合の議事録掲載。
Posted by bugfix at 12:10 AM | Category : セキュリティ | Trackbacks [0]

February 03, 2006

安全なウェブサイトの作り方(IPA)

情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
 IPA では、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。
 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。
 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減を期待できる保険的な対策を示しています。また、「ウェブサイト全体の安全性を向上するための取り組み」として、ウェブサーバの運用や通信の暗号化などの解説を示しています。
Posted by bugfix at 02:33 PM | Category : セキュリティ | Trackbacks [0]

January 18, 2006

漠然としたセキュリティ意識

Japan.internet.com コラム/週刊-サイト別アクセス状況データ:漠然としたセキュリティ意識(ビデオリサーチインタラクティブコラム)
 最近、クライアントからよくセキュリティに関して質問されることがある。質問というよりも、こちらからの提案に対して、「それって便利そうだけど、セキュリティは大丈夫?」という感じの、漠然とした確認だ。
 そのほとんどは、「この場合のセキュリティって、具体的に何を指すのでしょう?」と逆に質問したくなるような場合が多い。個人情報漏洩やウィルス絡みの事件が絶えない世相を反映してもいるのだろう。  我が社に、「ネット上ではクレジットカードで買い物をしない」という社員がいたので、その理由を尋ねてみた。
「番号が盗まれるかもしれないじゃないですか」「誰に?」「分かりませんけど、お店の人とか」「そんなの、リアルなお店でも一緒でしょ」なんていう会話がしばらく続き、そこで出てきた結論は、「仕組みが分からないために生じる漠然とした不安」と「運営者の顔が見えないために生じる漠然とした不安」、それに「責任の所在が不明なために生じる漠然とした不安」の3点に行き着いた。
 「それを言い出すと、アナログでも充分危険でしょう」と思っていた私も、それで少し納得。そうか、その漠然さが、漠然としたセキュリティ意識の根源にあるんだな。もしかしたらマスコミ関係者が書く記事も、この“漠然とした不安”を土台にした論調になっているのかもしれない。それを読んだ人が、さらに漠然と不安になるというスパイラル。
 ネット上は安全だと言いたいのでは、もちろんない。でも、リアルな世界が安全だと思うわけでも、もちろんない。ひとつ思うのは、 IT 事業者としてユーザーの漠然とした不安はどのように解消すればいいのか、ユーザビリティとセキュリティをどう両立させればいいのかを、常に意識しないといけないということだ。

非常に良く出る質問ですね。でも聞かれた方も、「120%安全です!」とは言い切れないところがWebなど最新技術の難しいところでしょうか。
Posted by bugfix at 10:24 AM | Category : セキュリティ | Trackbacks [0]