2010年2月 Archives

7月の情報漏洩事件に関して、業務改善命令。

「情報漏洩が起こりやすい状況だった」、金融庁がアリコに業務改善命令 - ニュース：ITpro

アリコジャパンの顧客情報が流出した問題で、金融庁は2010年2月24日、同社に対して保険業法に基づく業務改善命令を出すとともに、個人情報保護法に基づく勧告を行った

金融庁は、アリコに対して顧客情報の安全管理の徹底やクレジット業界との連携による顧客保護、情報漏洩の原因究明などを求めている。

原因究明はまだできていないのか。

この問題は、2009年7月にアリコがクレジットカード会社からカード情報の不正使用の照会を受けて発覚した。これまでの調査では、約3万2000件の顧客情報の流出を確認。中国の業務委託先の会社の従業員がホストコンピュータにアクセスして持ち出したとみられるが、現在までに流出した顧客情報の具体的な範囲や犯人の最終特定には至っていない。カード情報の不正使用の疑いがあるとして、カード会社から報告を受けた件数は2月18日までに6592件である。

金融庁は、今回の顧客情報流出が発生した要因として、ホストコンピュータへのアクセスで使用するIDとパスワードが担当者の間で使い回しされていたために「個人顧客情報管理がずさんであり、情報漏洩が起こりやすい状況にあった」と指摘。IDの使い回しによって、「実行犯の特定が困難にするという問題にもつながった」

米サービスプロバイダーComcastが、全国ネットワークへのDNSSEC実装が終わり、希望ユーザーに試験利用提供を始めた。
Comcast launches first public U.S. trial of advanced DNS security

2011年3月までには自社で保有する約5000件のドメインすべてに署名する。
2011年末までには、顧客向けDNSサーバーすべてにDNSSEC検証機能を実装する。

他の動向でいうと、DNSルートサーバーは7月までに署名される。Verisignは.comと.netドメインのサーバーへのDNSSECサポートを2011年はじめまでに提供。US政府は.govドメイン全体でDNSSECを導入する予定で、Public Interest Registryは.orgドメインでDNSSECをサポートしている。

ボブスレーのそりがペインティングされている。
五輪＝ボブスレー女子、日本のそりは「金メダル」の美しさ | スポーツ | Reuters

衣装やらなんやら、日本のスポーツ代表って見栄えがしないと思ってたけど、これはイイ。

ロイターも、美しさは金メダルといってる。
がんばれ。

IPAがWAF読本というのを出した。
情報処理推進機構：情報セキュリティ：脆弱性対策：Web Application Firewall 読本

商用製品のリストに6社載っているが。
業界の1位、2位は入っていない。
出版の舞台裏が想像できてしまう。
結果として、WAFの機能もローエンドの機能しか紹介されていない。

クラウドのビジネス利用におけるセキュリティ課題を検証する実証実験が開始：Security NEXT

三菱総合研究所と三菱電機は、経済産業省の受託事業として、企業の既存システムとクラウドの連携におけるセキュリティ上の課題を検証する実証実験を開始した。

今回の実証実験は、既存システム環境とプライベートクラウドやパブリッククラウド環境を組み合わせて利用する際におけるセキュリティ上の課題を取りまとめ、今後のクラウド普及を目指す試み。

具体的には、「SAML」を活用した認証によるシステム間の連携やクラウドに散在するデータの保護、クラウドに対するアクセス管理、大規模ユーザーにおける稼働、セキュリティに関する評価を行う。

両社は実証実験の環境が整ったとして検証を開始しており2月26日まで実施する予定。実験終了後は、技術面や業務面の評価を取りまとめ、広く提供する予定。

MRIの報道発表 http://www.mri.co.jp/NEWS/press/2010/2015961_1395.html

企業システム環境、プライベートクラウド環境、パブリッククラウド環境、リモートアクセス環境からなる連携システムの実験。
パブリッククラウド環境はEC2を使用。

○検証内容
・認証連携機能評価
企業システムとクラウド環境の共存利用状況において、主にSAML（1回の認証のみで各システムの横断利用を可能とする技術の一種）を活用して、認証および認可が適切に連携できることを検証します。
・データ保護機能評価
クラウド環境において、データが適切に保護されることを検証します。
・ネットワーク仮想化機能評価
IPv6（次世代のインターネット通信方式）を活用した仮想ネットワークにより、クラウド環境に配置される各サーバーへのアクセスが適切に制御されることを検証します。
・スケーラビリティー評価
大規模ユーザ環境でのアプリケーション稼働を評価します。
・セキュリティー評価
企業システムのクラウド環境移行時に想定されるセキュリティー脅威への対策を評価します。

ABCニュースが報道した、空から見た2001.9.11テロの写真。
当時唯一飛行を許可されたニューヨーク市警のヘリが撮影していた12枚の写真。
すごい。
ABC News 9/11 Photos: Exclusive Sept. 11 Photos Obtained on World Trade Center 9/11 Aftermath - ABC News

社長、その服装では説得力ゼロです (新潮新書) (新書)
中村 のん (著)

価格： ￥ 714
# 新書: 183ページ
# 出版社: 新潮社 (2009/09)
# ISBN-10: 4106103311
# ISBN-13: 978-4106103315
# 発売日： 2009/09
# 商品の寸法: 17.6 x 11 x 1.4 cm

ファッションを知らないオヤジにはぴったりだと思って読んだ。
思ったより刺激的な指摘はなく、普通にうんうんと頷ける内容だった。
時々、なるほどねえと参考になることが書いてある。

外見にかまっている時間などないなんていう人は、

要するに、いかに心に余裕が無いかってことだ

また、ああはなりたくない、と思うと、仕事も学びたくなくなってしまうとか。

それが仕事を続けていった先にある自分の未来像なのかも......と思えば、なおさら嫌悪の気持ちは増す

流行りに合わせるのは良いとは限らないとか、店員の言う事を額面通りに聞いてはいけないとか、というのは我が意を得たり。というか地獄に仏、というか。

高いから買わないというのはいけないとか、靴を大事にするとか、というところは耳が痛い。
まあだいたい想定できる内容だけど、楽しく読めた。それに、ちゃんと考えたことはなかったことが、逸話をひいたりしてわかりやすく説得力もある。
ちょっとは考えなきゃかなあと。

残念なのは最後に、執筆の背景などが書いてある中で、映画監督の言葉が紹介されていて。

インド旅行ではハリジャン（最低カースト）の村に泊めてもらった。あの時はポール・スミスのシャツにリーバイス。さわやか系の香水もふっていた。すると自分がものすごく浮き彫りになるけど、そこらの小汚いバックパッカーとは別格の扱いにしてもらえたんです

AC/DCがグラミー賞もらってたのね。
すばらしい。
コンサートが楽しみ。
AC/DC : AC/DC、来日に花を添える第52回グラミー賞受賞 / BARKS ニュースAC/DC : 2010-02-02

トラックバック0 コメント0 この記事をTwitterでつぶやく はてなブックマーク この記事を友達に紹介する 米・ロサンゼルスで2月1日に行なわれた第52回グラミー賞で、AC/DCが、最優秀ハードロック・パフォーマンス賞を受賞した。リンキンパーク、メタリカ、ニッケルバック、そしてアリス・イン・チェインズら強力なメンツをおさえて受賞したのは、アルバム『Black Ice』から「War Machine」だ。

◆AC/DC、ニュージーランド・ウェリントン公演画像

いま彼らが行なっている＜BLACK ICE TOUR＞ツアーは、全世界的に大きな話題になっており、その一環としての日本公演も、一般ファン、関係者を含めて、いまやロック界の大事件として認知されている。

さて、いまはニュージーランドでツアーを行なっているAC/DCの最新ライブ写真が到着したので紹介しておこう。元気だ！この写真を見る限り、往年の勢いはそのまま。日本公演も期待できそうだ。

写真は、1月28日のニュージーランド・ウェリントン公演時のもの。AC/DCはこの後、2月4日のニュージーランド公演、2月11日～3月8日の間にオーストラリアにて5都市11公演を行ない、来日する。なお、ニュージーランド・オーストラリアの全公演、チケットは当然のことながら、ソールドアウトとなっているとのことだ。

ウェブサイトから情報漏洩。ということはSQLインジェクションか。
asahi.com（朝日新聞社）：モンベルのサイトに不正侵入か　カード情報盗難の可能性 - 社会2010年2月6日17時25分

　アウトドア用品の総合メーカー「モンベル」（大阪市）は、同社のウェブサイトが不正アクセスを受けた疑いがあるとして、サイトを閉鎖し調査を始めた。昨年１１月以降にサイト上のオンラインショップで買い物した顧客のクレジットカード情報が盗まれた可能性があるという。該当人数などは調査中としている。

　同社によると、クレジットカード会社からの指摘を受けてサイトを閉鎖したのは１月２９日深夜。該当期間の利用者には６日、おわびと連絡のメールを送った。調査の経過はサイトで報告するという。問い合わせは電話０６・６５３６・５７４０。

WebサービスあるいはRESTのアプリケーションで使われるSOAP/XMLインターフェースのセキュリティに関する入門記事。
XML Security Trust and Threat Models for Dummies | XML Journal

筆者はCrosscheck NetworksのVPとのことだが、元Forum Systemsの創立者。2009年5月にCrosscheckがForumを買収していた。へぇ～。今まで頑張っていたことがオドロキ。

Crosscheckのホームページより http://www.crosschecknet.com/ ：
Commercial SOA Products
Build | Test | Secure

We are a product and services company dedicated to the successful deployment of SOA using traditional and cloud computing infrastructures. Our products govern over 1 billion transactions per day and are used by over 50,000 industry professionals in 42 countries. We provide service testing, virtual service simulation, identity managment, and security enforcement of services using patented, industry proven products. Let our technology lead the way to your SOA success.

記事の骨子
3つの脅威：

• DOS攻撃 - 特にXMLでは不正なコーディングをした小さなデータでもDOS状態を作れる


• ウィルス - XMLを利用して繁殖するウィルスあるいはワームが出現している


• SQLインジェクション - データ取得のために使われるXMLリクエストにSQLを挿入される

• プライバシー - 暗号化によって達成される、秘匿性の事だと思う


• 完全性 - 署名と検証によって達成される


• ID - AAA（認証、認可、アクセス制御）、SSL tokens, SAML tokens,WS-Username tokens

ZZトップのライブをやってた。いいねエ。

黄金の洋楽ライブ ＺＺトップ／リトル・フィート BS2 2月7日（日） 午前0：00～1：30 （6日深夜）

アメリカン・ロック界を代表する名バンド２組のライブを紹介する。

■ ＺＺトップ
１９６９年、テキサス州ヒューストンで結成。エリック・クラプトンが在籍していたクリームに強い影響を受け、彼らと同じ３人編成で７１年にアルバム・デビュー。ブルース色の強い音楽性と豪快なサウンドで一躍注目を集めた。これまでに８曲の全米トップ４０ヒットを放つなど大きな成功を収め、後進に多大な影響を与えながら、現在もデビュー以来不動の編成で精力的な活動をつづけている。番組ではドイツの人気音楽番組「ロックパラスト」から１９８０年４月１９日、ドイツのエッセンで収録されたライブを紹介する。曲は、初のビッグ・ヒットとなった「タッシュ」、ブルース・スタンダード「ダスト・マイ・ブルーム」など。
【放送予定曲】「Ｉ　ＴＨＡＮＫ　ＹＯＵ」「ＤＵＳＴ　ＭＹ　ＢＲＯＯＭ」「ＴＵＳＨ」ほか

■リトル・フィート
リトル・フィートは、フランク・ザッパのバンドなどで活躍したローウェル・ジョージが１９６９年にロサンゼルスで結成したバンド。ブルース、カントリー、ファンク、ニューオリンズ風リズムなどさまざまな要素を融合させたユニークな音楽性で高い評価を集めた。７９年にいったん解散したが（直後にローウェルが死去）、８７年に活動を再開。現在もライブ中心の活動をつづけている。
番組では同じく「ロックパラスト」から１９７７年７月、ドイツのエッセンで収録されたライブを紹介する。曲は、「ディキシー・チキン」「ウィリン」など。
【放送予定曲】「ＯＨ　ＡＴＬＡＮＴＡ」「ＤＩＸＩＥ　ＣＨＩＣＫＥＮ」「ＷＩＬＬＩＮ'」ほか

楽しそうだなあ。
e+ Theatrix! Pick Up: ダンスで綴る情熱のキューバ！！ロンドン・ウエストエンドも認めるダンススペクタキュラー『ハバナ・ラカタン』、遂に上陸！

　キューバのトップカンパニー・Ballet Rakatanによる魅惑のダンスステージ"ハバナ・ラカタン"。ハバナ直輸入の情熱がサルサ、マンボ、ジャズ、ボレロ、ソン、チャチャチャ、ルンバなど、きらびやかなダンスのオンパレード！キューバの暑い夏の魂と生バンドの演奏が劇場を熱気の渦に巻き込み、観ているだけでリズムを刻みたくなってしまう。

『ハバナ・ラカタン』
公演日：2010/8/6(金)～8/15(日)
会場：東京国際フォーラム　ホールＣ (東京都)
最速先行：2010/2/7(日)10:00～10/2/14(日)18:00
一般発売：2010/4/17(土)～

狩猟サバイバル (単行本) 服部 文祥 (著) # 単行本: 272ページ
# 出版社: みすず書房 (2009/11/26)
# 言語 日本語
# ISBN-10: 4622075008
# ISBN-13: 978-4622075004
# 発売日： 2009/11/26
新宿あり、予約2番目

山登りからサバイバル登山、狩猟で鹿狩り、と趣味を増やしてきた人の報告書のような本。
面白かった。
狩猟したいと思うわけでもないし、どちらかというと、スポーツといって動物を殺しに行くのは理解出来ないんだけど。
この人は、食料を自分で殺す事をしてみないといけない、という観点で、猟師の仲間に入れてもらってりして、スポーツとか、ハンティングとか、いうのとはちょっと違う感じがした。
それはともかく、山に登って、釣ったさかなや山菜を食べながら歩いていく状況を読むと面白いし。獲物と対峙して勝負、のような緊張感も楽しめた。

第六章 解体、で鹿の体の中を解説されるのは、ちょっとキモチが良くなかった。...というところがまさに、殺す行為と食が分離した世の中で狩猟をやらなきゃ、と思った理由らしい。

WAFの解説と、選定に際しての着眼点。
前編に引き続き。
Webアプリケーションへの攻撃をいかに阻止するか？（後編）｜最適なWAF製品をどう探す？ 最大のポイントは「自社の要求を明確にし、それに合致したものを選ぶこと」 - CIO Online

調査会社の意見などが数件紹介されている。

　バートン・グループでリサーチ・アナリストを務めるラモン・クリッケン氏は、「アプリケーション・デリバリに特化した製品の場合、ワイヤ・スピード（理論上の最高通信速度）で動作する必要があるため、学習エンジンやセッション管理など、WAFが本来持つはずの計算集約型の機能を搭載していない」と指摘する。「そうした製品の機能は非常に限定されている。ブラック・リスティング／ホワイト・リスティングや、インバウンド／アウトバウンドの検査ができる程度だ」（クリッケン氏）というのである。

ガートナーのアナリスト、グレッグ・ヤング氏...
　「人々はこう考える。『ファイアウォール製品を購入すれば、監査人のお墨付きが得られる』と。しかし、この分野ではそれだけでは足りない。自社の環境に合わせて、アプリケーション保護の方法をカスタマイズする必要があるのだ」（ヤング氏）

「WAFを評価する際には、エンタープライズ・アーキテクチャ、アプリケーション・デリバリ、ソフトウェア開発の各責任者にも加わってもらうべきだ」とアドバイスしている。
　「そうすれば、それぞれの責任者のセキュリティ対策への信頼感が高まり、さらに可用性やパフォーマンスに関する懸念も緩和されるだろう」（クリッケン氏）
　また、WAFの新しい使い方の1つとして最近普及し始めたのがアプリケーション監視だ。この使用法は、WAFがパフォーマンスの問題や、リンク切れなどによるエラー・ページの表示を検出できることを応用している。