これは再掲な気がしますが前回より資料が増えているみたいなのでチェックします。
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
IPAの最近のブログ記事
J-CASTでさらに詳しい情報が掲載されていました。もうフルボッコですね・・・。
J-CASTニュース : IPA職員が収集、流出した とんでもない「反社会的」情報
http://www.j-cast.com/2009/01/20033932.html
その記事の中で見つけた新たな事実として、西武百貨店が今回の事件の被害を受けたことを文書にて発表していました。
〈お詫び)IPA職員の自宅私物パソコンによる当社の情報の流出について 株式会社 西武百貨店
http://www2.seibu.co.jp/common/images/pdf/20090107.pdf
さらに記事を読んでいくと・・・。
クラッキング防衛大全―不正アクセス手法の傾向とその対策
UNIX系の人はハッカーとクラッカーの使い分けに敏感なのでツッコミ。どさくさに紛れてミスリードするなよ!今更クラッカーとハッカーは違うなんて一般に主張するわけではないが、記事中に載っている本のタイトルはどう見てもセキュリティ本なのにここに載せる意味ないだろ!タイトルの「反社会的」を見せて結末がこれじゃ勘違いされるかも。逆にIPAに勤めるのならこれ位の本を読んでいるか同等の知識があって然るべきだと思いますよ。
J-CASTニュース : IPA職員が収集、流出した とんでもない「反社会的」情報
http://www.j-cast.com/2009/01/20033932.html
その記事の中で見つけた新たな事実として、西武百貨店が今回の事件の被害を受けたことを文書にて発表していました。
〈お詫び)IPA職員の自宅私物パソコンによる当社の情報の流出について 株式会社 西武百貨店
http://www2.seibu.co.jp/common/images/pdf/20090107.pdf
さらに記事を読んでいくと・・・。
プライベート写真の中には、この男性職員の本棚とみられるものも含まれ、プログラミング関連の書籍で埋め尽くされている。その中には、「クラッキング防御大全」というタイトルも確認できる。「クラッキング」とは、コンピューターネットワークに不正侵入したり、システムを不正に改ざんしたりすることを指し、メディアにしばしば登場する「ハッキング」と近い意味合いを持つ言葉だとされる。それってこの本のことですか?
クラッキング防衛大全―不正アクセス手法の傾向とその対策
UNIX系の人はハッカーとクラッカーの使い分けに敏感なのでツッコミ。どさくさに紛れてミスリードするなよ!今更クラッカーとハッカーは違うなんて一般に主張するわけではないが、記事中に載っている本のタイトルはどう見てもセキュリティ本なのにここに載せる意味ないだろ!タイトルの「反社会的」を見せて結末がこれじゃ勘違いされるかも。逆にIPAに勤めるのならこれ位の本を読んでいるか同等の知識があって然るべきだと思いますよ。
身内に甘いのか「情報漏洩」に対する認識が甘いのか、危機管理をなめてるのかわからないのですが思ったより軽い処分ですね。今後の対策が「情報流出対策本部を設置」と「研修会」というのも具体的な対策計画がまだ出来上がっていない感じがします。信頼回復する前に事件自体が忘れ去られて風化しそうで。。。
情報処理推進機構:プレス発表:記事
http://www.ipa.go.jp/about/press/20090119.html
情報処理推進機構:プレス発表:記事
http://www.ipa.go.jp/about/press/20090119.html
まだ調査が進められていると思いますが、
わいせつ画像やかな漢字ソフトをダウンロード--IPA職員、ファイル交換ソフトで:ニュース - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20386070,00.htm?ref=rss
IPA職員の情報流出は1万6000件 「Winny」「Share」でわいせつ画像など入手 - ITmedia News
http://www.itmedia.co.jp/news/articles/0901/07/news022.html
- 流出したファイル数は1万6208件、うち文書ファイルは1万3000件
- IPAに関連する情報はET2007での撮影写真、ソフトウェア・エンジニアリング・センター設立3周年記念での撮影写真などの画像情報のみ
- わいせつ画像の中には児童ポルノ
- ATOK、ATOK Pocketなどがファイル交換ソフトで検索
- 職員が以前に所属していた企業の業務に関する情報
- 業務関連データの流出が判明している企業数は10社程度、ファイル数は1万件を超える
今回の情報流出については「陳謝するとともに、職員の私物PCでファイル交換ソフト使用を禁止するなど再発防止に努める」としている。いや・・・それじゃダメでしょう。ファイル交換ソフトの使用禁止の前に業務で私物PCの利用を禁止した方が良いのではないでしょうか?職員のモラルだけに頼るやり方で足りないわけだし。今回新たに明らかになったもので「職員が以前に所属していた企業の業務に関する情報」が流出したというのは情報管理としては非常に大問題だと思います。ファイル交換ソフトを使わないにしても渡り歩いた各企業のデータが入ったPCなわけで、その職員のPC自体が「人力トロイの木馬」のようなものですから。
今後の再発防止策としては、IPA職員の私物PCにおけるファイル交換ソフトの使用を禁止するとともに、各職員から文書でファイル交換ソフトを使用していないという確認書をとるという。
わいせつ画像やかな漢字ソフトをダウンロード--IPA職員、ファイル交換ソフトで:ニュース - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20386070,00.htm?ref=rss
IPA職員の情報流出は1万6000件 「Winny」「Share」でわいせつ画像など入手 - ITmedia News
http://www.itmedia.co.jp/news/articles/0901/07/news022.html
今回の流出事件は私物PCですが「当該職員に関わる個人情報等や一部の公開画像が流出」「当機構の業務関連の非公開情報は含まれておりませんが、さらに確認を行っている」とあるので業務に使用していた可能性が高そうです。
被害の内容はともかくIPAの職員の立場を考えればあってはならない事件ですよ。もっと気を引き締めてください。
情報処理推進機構
http://www.ipa.go.jp/about/oshirase/20090104.html
被害の内容はともかくIPAの職員の立場を考えればあってはならない事件ですよ。もっと気を引き締めてください。
情報処理推進機構
http://www.ipa.go.jp/about/oshirase/20090104.html
IPAから教育用画像素材集として約17,000点の素材が公開されました。IPAなのでちょっとだけ情報処理の教育素材を期待していたのですが、中身は義務教育用でした。いずれ使うときがあるかもね。
情報処理推進機構:教育用画像素材集
http://www2.edu.ipa.go.jp/gz/index.html
情報処理推進機構:教育用画像素材集
http://www2.edu.ipa.go.jp/gz/index.html
サウンドハウスの個人情報流出事実が発覚した3/21から4/16までの対応内容が時系列でレポートされ公開されています。特に事実が発覚したときに何処に連絡を取りしかるべき対処すべきか参考になると思います。
不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
http://www.soundhouse.co.jp/news/20080418.pdf
このレポート中で気になる点があったので取り上げてみます。
- LACによるログ分析
同じタイミングでIPAから次のプレス発表がありました。
情報処理推進機構:情報セキュリティ:ウェブサイトの脆弱性の検出ツール
http://www.ipa.go.jp/security/vuln/iLogScanner.html
開発会社が同じということもあって同一ツールかもしれません。公開の目的は、今回のサウンドハウスが氷山の一角で他にも個人情報を抜かれているシステムを検知し被害の拡大を抑えるためかもしれません。
- 3Dセキュアを使用した不正利用
これはもう少し詳細が欲しいところです。3Dセキュアを不正使用するにはカード番号だけではなく「クレジット会社側が保有しているはずのパスワード」が必要なはずですがそれは何処から手に入ったのでしょうか?もうひとつは3Dセキュアを過信し油断したらしいのですがどうも責任転嫁と取れる書き方なので落ち着いたらもう少し客観的な調査報告が欲しいところです。3Dセキュアの導入の条件でサイト側のセキュリティレベルを下げる必要が本当にあったのか?
- ガンホー名指しですが…
今回の流出及び不正使用の原因となっているのかどうか?不正利用者が主にガンホーで商品購入していたのであればガンホーも被害者側ですがどうなんでしょうか?流出したサウンドハウスのサイトにログインするパスワードと3Dセキュアのパスワードが同じだったということであればもう目も当てられません。
レポート全体の内容としては気持ちは大変わかります。要は騙された感いっぱいで腹立たしいことばかりなんでしょうけど現実そんなもんですよ、基本は自衛で無理があるなら保守丸ごと外注するしかない。まず最初にやる事は公開しているページのセキュリティをプログラムレベルでしっかり高めておくことで、ファイヤーウォールやIDSやその他セキュリティーツールは水際で阻止するための前衛部隊としてパフォーマンスやコストを気にしながら使うものです。
サーバーの選定とかについては別のエントリーで…。
早速確認したいと思います。しかしコーディング規則ってどうやったら浸透できるかなぁ~。顧客から言ってもらうのが一番楽なんですけどね。ほら内部からだと教育コストだとか、生産性が落ちるとか現実問題あがってきますからw。そこはスペシャリストな技術者から喝いれてもらうとか。
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
IPAフォントはLinuxクライアントを使うなら最初に探すくらい必須のフォントですが、配布条件をゆるくしたことで今後はLinuxに標準搭載されそうですね。
IPAフォントが一般配布に - ふつうの人の ふつうのLinux
http://rblog-tech.japan.cnet.com/xubuntu/2007/10/ipa_8c17.html
関連:IPAとThe Linux Foundationが相互協力協定締結:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20071001/283465/?ST=oss
来年度秋期以降試験区分を再編した新制度を投入するようです。旧制度かた現在の制度になったのも十数年前ぐらいだったから、見直しが必要な時期になったということですね。確かに現行制度はデータベース・ネットワーク・セキュリティと細分化してきてさらに技術者と管理者という分け方をしているために複数の分野を受験したい人には大変だったと思います。
また以前から言われていることですが情報処理技術者試験は免許ではなく合格しないと仕事が出来ないわけではないし取得する目的が進学・就職・昇進対策ぐらいしか無い為、一旦IT業界に就職すると率先して受験する人が少なくなるし受験辞退者が多くなってしまいます。自分も今年の春は申し込んだのに仕事の方がプライオリティが上なので受験勉強に手を付けられず辞退してしまった…。(将来、公的認定の取得や公共事業の請負の条件とかになればみんな必死で受験しそうですが…)
少しでも受験する気を引く目的がどうかは分かりませんが、再編後の区分にはレベルが設定されることになりました。級ではなくレベルって言うところがコンピュータ業界っぽくていいですね。それこそ進学就職対策に使われそうですがw
Lv1 エントリ試験[ITパスポート試験](現:初級シスアド)
Lv2 基本情報技術者試験
Lv3 応用情報技術者試験(現:ソフトウェア開発技術者試験)
Lv4 各上級試験
教養の基準は良く分かりませんが現在中学生で将来情報処理技術関係の資格をとるなら
Lv1(高校1~2年)
Lv2(高校3~大学・専門1年)
Lv3(大学・専門2~4年)
Lv4(就職先の業務に合わせて)
って感じでいいんじゃないかな。
「初級シスアド」消える――情報処理技術者試験が大改革へ - @IT
http://www.atmarkit.co.jp/news/200709/07/ipa.html
情報処理推進機構:情報処理技術者試験センター:新着情報:記事
http://www.jitec.jp/1_00topic/topic_20070907_public_comment.html
