IPAの最近のブログ記事

個人情報流出事件とその対応

管理人
(2008年4月19日 18:00) | | コメント(0) | トラックバック(0) このエントリーを含むはてなブックマーク

 サウンドハウスの個人情報流出事実が発覚した3/21から4/16までの対応内容が時系列でレポートされ公開されています。特に事実が発覚したときに何処に連絡を取りしかるべき対処すべきか参考になると思います。

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
http://www.soundhouse.co.jp/news/20080418.pdf

このレポート中で気になる点があったので取り上げてみます。

  • LACによるログ分析

同じタイミングでIPAから次のプレス発表がありました。

情報処理推進機構:情報セキュリティ:ウェブサイトの脆弱性の検出ツール
http://www.ipa.go.jp/security/vuln/iLogScanner.html

開発会社が同じということもあって同一ツールかもしれません。公開の目的は、今回のサウンドハウスが氷山の一角で他にも個人情報を抜かれているシステムを検知し被害の拡大を抑えるためかもしれません。

  • 3Dセキュアを使用した不正利用

これはもう少し詳細が欲しいところです。3Dセキュアを不正使用するにはカード番号だけではなく「クレジット会社側が保有しているはずのパスワード」が必要なはずですがそれは何処から手に入ったのでしょうか?もうひとつは3Dセキュアを過信し油断したらしいのですがどうも責任転嫁と取れる書き方なので落ち着いたらもう少し客観的な調査報告が欲しいところです。3Dセキュアの導入の条件でサイト側のセキュリティレベルを下げる必要が本当にあったのか?

  • ガンホー名指しですが…

今回の流出及び不正使用の原因となっているのかどうか?不正利用者が主にガンホーで商品購入していたのであればガンホーも被害者側ですがどうなんでしょうか?流出したサウンドハウスのサイトにログインするパスワードと3Dセキュアのパスワードが同じだったということであればもう目も当てられません。

 レポート全体の内容としては気持ちは大変わかります。要は騙された感いっぱいで腹立たしいことばかりなんでしょうけど現実そんなもんですよ、基本は自衛で無理があるなら保守丸ごと外注するしかない。まず最初にやる事は公開しているページのセキュリティをプログラムレベルでしっかり高めておくことで、ファイヤーウォールやIDSやその他セキュリティーツールは水際で阻止するための前衛部隊としてパフォーマンスやコストを気にしながら使うものです。

サーバーの選定とかについては別のエントリーで…。

「安全なウェブサイトの作り方 改訂第3版」が公開されました

管理人
(2008年3月10日 20:15) | | コメント(0) | トラックバック(0) このエントリーを含むはてなブックマーク

 早速確認したいと思います。しかしコーディング規則ってどうやったら浸透できるかなぁ~。顧客から言ってもらうのが一番楽なんですけどね。ほら内部からだと教育コストだとか、生産性が落ちるとか現実問題あがってきますからw。そこはスペシャリストな技術者から喝いれてもらうとか。

情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html

IPAフォントが配布条件を改善

管理人
(2007年10月 2日 08:21) | | コメント(0) | トラックバック(0) このエントリーを含むはてなブックマーク

 IPAフォントはLinuxクライアントを使うなら最初に探すくらい必須のフォントですが、配布条件をゆるくしたことで今後はLinuxに標準搭載されそうですね。

IPAフォントが一般配布に - ふつうの人の ふつうのLinux
http://rblog-tech.japan.cnet.com/xubuntu/2007/10/ipa_8c17.html

関連:IPAとThe Linux Foundationが相互協力協定締結:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20071001/283465/?ST=oss

情報処理技術者試験制度再編

管理人
(2007年9月10日 12:49) | | コメント(0) | トラックバック(0) このエントリーを含むはてなブックマーク

 来年度秋期以降試験区分を再編した新制度を投入するようです。旧制度かた現在の制度になったのも十数年前ぐらいだったから、見直しが必要な時期になったということですね。確かに現行制度はデータベース・ネットワーク・セキュリティと細分化してきてさらに技術者と管理者という分け方をしているために複数の分野を受験したい人には大変だったと思います。

 また以前から言われていることですが情報処理技術者試験は免許ではなく合格しないと仕事が出来ないわけではないし取得する目的が進学・就職・昇進対策ぐらいしか無い為、一旦IT業界に就職すると率先して受験する人が少なくなるし受験辞退者が多くなってしまいます。自分も今年の春は申し込んだのに仕事の方がプライオリティが上なので受験勉強に手を付けられず辞退してしまった…。(将来、公的認定の取得や公共事業の請負の条件とかになればみんな必死で受験しそうですが…)

 少しでも受験する気を引く目的がどうかは分かりませんが、再編後の区分にはレベルが設定されることになりました。級ではなくレベルって言うところがコンピュータ業界っぽくていいですね。それこそ進学就職対策に使われそうですがw

Lv1 エントリ試験[ITパスポート試験](現:初級シスアド)
Lv2 基本情報技術者試験
Lv3 応用情報技術者試験(現:ソフトウェア開発技術者試験)
Lv4 各上級試験

教養の基準は良く分かりませんが現在中学生で将来情報処理技術関係の資格をとるなら
Lv1(高校1~2年)
Lv2(高校3~大学・専門1年)
Lv3(大学・専門2~4年)
Lv4(就職先の業務に合わせて)
って感じでいいんじゃないかな。

「初級シスアド」消える――情報処理技術者試験が大改革へ - @IT
http://www.atmarkit.co.jp/news/200709/07/ipa.html

情報処理推進機構:情報処理技術者試験センター:新着情報:記事
http://www.jitec.jp/1_00topic/topic_20070907_public_comment.html

« GAME | メインページ | アーカイブ | MOVABLE TYPE »

検索

このアーカイブについて

このページには、過去に書かれたブログ記事のうちIPAカテゴリに属しているものが含まれています。

前のカテゴリはGAMEです。

次のカテゴリはMOVABLE TYPEです。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

2008年4月: 月別アーカイブ

カテゴリ

月別 アーカイブ

ウェブページ

Powered by Movable Type 4.1