運が悪いことの責任はとれません。という記事。 基本的に同意するものではあるのだけど、なんか違和感は残るんだよなあ、この手の議論。いやもちろん犯罪者が根本的には悪いんだけども、被害者に一切の責任が無いかのような言説を唱える人がわいてきたりしてるのを見ると、少し不安になる。もちろん元記事書いたy_arimさんはそんなことわかってるだろうけどさ。 さて、このような「責任」の用法は、今年の頭にも見かけた。 例の、「レイプされた女性にも責任はある」ってやつだ。どんな責任か？　と問うと、たとえば夜中に危ないところを出歩くなとか男を誘うような露出度の高い恰好なんかするなとか、そういう答えが返ってくる。つまり自衛責任、metalbabble氏の言う「自己防衛手段ぐらい自分で考えなよ」ってやつだ。 一言で斬って捨てよう。それは被害者憎悪withセクシズムである。一言じゃなくね？ 運が悪いことの責任はとれませ

IT界の埋蔵金? 手付かずのセキュリティコストと戦う：セキュリティ、そろそろ本音で語らないか（1）（1/3 ページ） あなたの会社は、従業員に負担を強いるセキュリティ対策を行っていませんか？ 本連載ではコンサルタントの視点から「やったつもりの対策」や「やる気をそぐ対策」、「守れもしない対策」を本音で語り、これらも含めた「情報セキュリティコスト」を考えます（編集部） 筆者は日本における情報セキュリティビジネスの黎明（れいめい）期からこの世界にかかわってきており、1995年よりセキュリティビジネスの立ち上げ、セキュリティコミュニティ主催者、脆弱（ぜいじゃく）性発見者、緊急対応案件対応、上場企業トップを経て、物理セキュリティとの融合の模索、情報セキュリティアドバイザーなどさまざまな経験をしてきました。そのような経験から、これまで積み重ねられてきた情報セキュリティ対策の棚卸しと再構築、そしてシステ

2008年に入り，SQLインジェクション攻撃が猛威を奮い続けている。8月6日には，アウトドア商品などを扱う通販サイト「ナチュラム・イーコマース」が外部からSQLインジェクション攻撃を受けたことを明らかにした（関連記事）。約65万件の個人情報が流出した可能性があるという。その少し前の7月23日には，ECサイト事業を手がけるアイリスプラザが攻撃を受けたと発表した。使っていない古いプログラムのぜい弱性を突かれ，カード情報2万8000件が漏えいした可能性があった。 SQLインジェクション攻撃では，情報を盗み出すものだけでなく，サイト改ざん事件も多発している。例えば（米国のビジネスウィーク誌のサイトが乗っ取られた事件（関連記事）。Webページではないが，ゴルフダイジェストオンラインもSQLインジェクション攻撃によって，メルマガ配信用のコンテンツを書き換えられた。 SQLインジェクション以外のぜい弱性

Webサイトにアクセスする端末はパソコンだけではない。今では携帯電話からアクセスすることも多い。では，携帯電話からのWebアクセスのセッション管理はどうなっているのだろうか。パソコンからのアクセスと変わらないように思えるかもしれないが，実はまったく違う。携帯電話のWebアクセスは，パソコンと違う制約があり，セッション管理もそれに合わせて変わっている。そのことが，使い勝手やセキュリティの違いになっている。 管理に使える機能は事業者で異なる まずは，携帯電話機からのWebアクセスがパソコンとどう違うのかについて見ていこう。 携帯電話機からのWebアクセスは，携帯電話網のゲートウエイ・サーバーを経由して，インターネット上のWebサイトに届く。このうちHTTPが使われるのは，ゲートウエイ・サーバーとWebサイトの間。携帯電話機とゲートウエイ・サーバーの間は，HTTPとは異なるアプリケーション・プロ

PCI DSSは，クレジットカードのカード情報および取引情報を保護するために，六つの目的と，それに関する12個のデータ・セキュリティ要件を定めている。各要件には，各要求事項を実現するための詳細な管理策が規定されている。今回は要件7，要件8，要件9の概要について述べる。この三つの要件は「アクセス制御」を目的とし，その目的を実現するためにそれぞれ，｢アクセス制御」「アカウント管理」「物理アクセス」を定めている。 要件7 カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8 コンピュータにアクセスする利用者毎に個別のID を割り当てること 要件9 カード会員データへの物理的アクセスを制限すること ここでは「最小権限の原則」（「知る必要性」「Need to Know」と呼ばれる場合もある）を要求している。最小権限の原則とは「任命された業務を遂行するために必要な最小限のアクセス権の

PCI DSSとは？ セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS（Payment Card Industry Data Security Standard）とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。

Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 ＃1：Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ／アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し（検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである）、特定のソフトウェアビ

わたしの職場は幸いフィルタリングがかかっていないのだが、最近は会社も役所も結構フィルタリングがかかっている。情報漏洩対策などを考えるとWebメールなどをフィルタリングする理由は分からぬでもないが、ブログとかもアクセス制限しているとすると情けない。業務上必要な情報収集を阻害してでも、ネットの職務外利用を食い止めたいのだろうか。 会社にいて就業時間中に、会社の資産であるPCとかネットを使ってアクセスする訳だから、掲示板やWebメールへの書き込みを制限したり、どんなメールのやりとりやWebサイトの閲覧を行っているか把握されても仕方ない。疑わしきアクセスについて問い質されたら答えられるようにしておくべきだ。 生産性や調整コストを考えると、アクセス記録とレイティング・データベースとを付き合わせて、明らかに業務と関係なさそうなアクセスの多い社員に対して問い質して必要に応じて処分した方が、フィルタリング

本ページの情報は2008年7月時点のものです。 1991 年に開発され、現在でも広く用いられているMD5 (Message Digest 5)と呼ばれるハッシュ関数が、解析技術の進歩により安全性の低下が指摘されていることから、MD5 を利用する上での限界を調査しました。特に、電子メールシステムでのセキュリティ策として用いられているAPOP (Authenticated Post Office Protocol) において、パスワード解読の可否・強度を実証・確認するとともに、当面の対応策検討とその有効性の確認を行いました。 概要 本調査研究では、MD5 のハッシュ値から元の情報を特定する手法に関する再確認、並びに実環境での検証を行い、MD5 を利用する上での限界を明らかにしました。 調査研究の成果 APOP 方式を用いる電子メールシステムとAPOP の脆弱性を突く攻撃サーバーを構築し、実際と

McAfee Avert Labs Blog and I say we are detecting between 400,000 and 10,000,000 malware!より June 19，2008　Posted by Francois Paget 友人の一人から，アンチウイルスの現状はどうなっているのか，飛躍的に増大するマルウエアにどこまで対処できるのか，などと尋ねられた。友人は「君のあるライバル会社が，1日で170万件以上のマルウエアを新たに検出したと発表したんだ。これで7万4000件だった総数は180万件に跳ね上がった。この調子でいけば，200万件の大台もすぐに突破してしまうだろう」と語った。この友人は，冗談めかして「ところで，君の会社（米マカフィー）は，まだ40万件も見つけていないんだろう」と締めくくった。 マルウエアの集計は非常に難しい。マカフィーは「VirusScan

多くのユーザーは、ブラウザのアップデートが必要になってもすぐには実行しないという。Internet ExplorerやFirefoxなど、それぞれを利用するユーザーによっても感覚は違うようだ。 多くのユーザーは、ブラウザのアップデートが必要になってもすぐには実行しないという。だが、最近公表されたGoogleログの調査結果だけでそう結論付けるのは早計だ。 先週、ブラウザのセキュリティに関する大規模な調査結果を公表した研究者たちは、優れたアイデアと精度の高いデータを持っていたにもかかわらず、残念なことに結論を急ぎ過ぎたようだ。彼らの分析手法を詳細に検討すれば、少し異なる事実が見えてくる。 ETH Zurich、Google、IBMの研究者たちが、GoogleのWeb検索とWebアプリケーションを利用する全世界のユーザーの2007年1月から2008年1月までのログデータを分析した。ただ、そのデー

さて、今回は、個人的な不祥事体験の話をしたいと思います。 私がリクルートに入社したのは１９８７年、世にいう「リクルート事件」の起こる一年前のことでした。会社はまさに日の出の勢いで、売上、利益ともに急成長を続けていました。まだ無名のこの情報企業に就職することに対し両親は反対でしたが、個人的にはその成長性に確信がありました。 私が最初に配属された部署は社長室で、創業者でもあり社長でもあった江副浩正氏の社内向けのスピーチ原稿の下書きをするのが最初の仕事でした。「日経ビジネス」がリクルートの特集記事を組み、「財界」が「丸ごと一冊リクルート」なる別冊を出版したりと、まさにわが世の春を謳歌していた時代でもありました。 まだ世間のことがわかっていなかった私は、この会社は本当に世界制覇するのではないかと思っていた反面、ちょっとした嫌な感じを持っていました。結果よければすべてよしという姿勢と、何かあるとすべ

最近問題となっているWebサイトの改ざんは，サイトの改ざん自体が目的ではなく，改ざんされたコードを参照した一般ユーザーを危険なサイトに誘導して，マルウエアを導入することを最終的な目的としている。この目的のため，HTMLのIFRAME要素やSCRIPT要素が利用される場合が多い。 先に説明したように，SQLインジェクションのぜい弱性を利用してデータベースの内容を，これら要素を使った内容に書き換えることが可能な場合がある。それでも，その内容をそのまま表示するかどうかはサイトの作りによって異なる。 一般的にデータベース中の「<」などの特殊記号をそのまま表示するとクロスサイト・スクリプティングのぜい弱性（XSS）の原因となるので，表示の際にこれらの文字をエスケープすることが行われる（図1）。 現実には多くのサイトにおいて，SQLインジェクションによって挿入されたIFRAME要素やSCRIPT要素が