5月13日のtwitterセキュリティクラスタ
引き続き今日もセキュリティエキスポです。私も見に行こうかと思っていたのですが、あっという間に時間が過ぎていって… そういえば、招待券がないと入るのに5000円もかかるんですね。
同時開催のクラウドEXPO?でのクラウドのセキュリティについてのパネルディスカッションの@connect24h氏によるツイートが興味深いです。見てるうちに時間が過ぎていきましたとも。
あとはこんなアプリも。ソフトバンクもクラウドにご執心なのでしょうね。回線使えば使うだけ儲かりますものね。
開発言語によってセキュリティに違いはあるのか。なかなか経験則通りにはならなくて、苦労した記憶がありましたが。
ドメインごと乗っ取るbotですか。やだなあ。
そしてボットネット。こちらも怖い。
そして、怪しいプログラミングの話題が2つ。どうしてこういうことが浮かぶんでしょうね。でも、こういう書き方で納品すると、顧客はどういう反応をするのでしょうか。
ikepyon: ビッグサイト向かうなう
ikepyon: 知り合いが誰も来なかった(涙w
同時開催のクラウドEXPO?でのクラウドのセキュリティについてのパネルディスカッションの@connect24h氏によるツイートが興味深いです。見てるうちに時間が過ぎていきましたとも。
connect24h: クラウド パネルディスカッション なう 小野寺さんが髭をそっている。もみ上げもない。えらく若くなっている。 *Tw*
connect24h: IIJ クラウドの説明 IIJ GISか。
connect24h: データの機密性。クラウドだからセキュリティも雲の中ではない。その雲の中では、人がいてちゃんと管理されている。問題は、ちゃんと管理されていないクラウド業者がいた場合か。
connect24h: クラウドでもBy Nameで運用者を指定する場合もある。(Microsoft)その場合は個別契約。
connect24h: ユーザにはフロントの業者御者しか見えないので、SLAを99%だと考えていても、実際の稼働率はPaaS業者にとっての稼働率だったりする。Microsoftでは、管理上のダッシュボードで稼働率監視手段を提供する。
connect24h: IaaS業者として、提供するOSのデフォルト設定をある程度要塞化していても、SaaS、ユーザ側がサーバ設定をゆるくしてしまう場合があり、そこのコントロールはIaaS業者側では不可能。
connect24h: 日本オラクル北野さん「皆さんがクラウドがセキュリティが心配だからといっても、その心配は皆さんの心の中にある」会場で、今回一番の笑い。リスクを開示して正しくエンドユーザが判断できる情報が必要。その判断根拠がまだ不明。
connect24h: ISMSでも取得しているなら、ISMSの取得過程のエビデンスを見せてもらえる家など、情報開示が重要。どこまで情報開示できるかのバランスが難しい。当然、DCとしての機密情報もある。共通認識が速く必要。
connect24h: ユーザからすると、監査をしたいが、監査ができない。MSのDCとしてはお断りしている。他のお客様もいるので、エンドユーザに監査権限を渡すのは、かえってセキュリティホールになる。もし監査するなら、信頼のおける第三者監査となる。
connect24h: 質疑応答:クラウドのセキュリティ対策としての経営層への殺し文句プリーズ。IIJ加藤さん 現時点ではない。個別対応。MS 小野寺さん 何のためにクラウドを利用したいのか?完全に手放したいのか、コストを削減したいのか、運用含めて経営層に判断してもらう。
connect24h: オラクル北野さん統制の範囲が雲の中にまで入る。上の人への殺し文句はないが、 雲のなかでのセキュリティの個別対策をきちんと説明が必要。「その」レベルのセキュリティ対策が自社でやった場合と、クラウドの場合と比較するロジックを使う。大木先生 もちは餅屋に任せる経営層に刺さる言葉
connect24h: IIJ加藤さん 情シス部門としては、セキュリティの専門家に任せるとは言えない。クラウドを使うと、本来情報システムを使って何をやるかの本業に集中できるという、発想を切り替えが必要
connect24h: データの消去、移行について証明ができるのか?オラクル北野さん 個別相談。MS小野寺さん。悪魔の証明に近い。暗号化と仕組み上、ちゃんと消えるようになっていることを説明している。IIJ 加藤さん、証明は難しい。やはり個別にご相談。
あとはこんなアプリも。ソフトバンクもクラウドにご執心なのでしょうね。回線使えば使うだけ儲かりますものね。
QualityCorp: クラウドEXPOのソフトバンクさんのブースで、クラウド型IT資産管理アプリケーション「ISM」のご紹介、はじまりましたキュー!お席は埋まって、立ち見の方もいらっしゃるキュ。 http://twitpic.com/1nbi1o
開発言語によってセキュリティに違いはあるのか。なかなか経験則通りにはならなくて、苦労した記憶がありましたが。
bakera: [セキュリティ] あとで。http://slashdot.jp/developers/10/05/13/080258.shtml
ockeghem: .@bakera 開発言語と、できあがったアプリの脆弱性の発生頻度には、経験上、有意な相関があるように思えますけどね。統計とったわけではないので、経験則というやつですが
bakera: ぜひ統計を! あと@lac_securityさんが統計を出してくれると嬉しいですね。
ドメインごと乗っ取るbotですか。やだなあ。
Murashima: 最近 自ドメインのサポートを騙って(英語だけど)マルウエアのインストーラファイルを投げ込んでくる bot がやたら多いな。送信元は自分のメアドになっているし
そしてボットネット。こちらも怖い。
nca_gr_jp: 「ボットネットPushDoによるSSL接続攻撃について」を更新しました。 http://www.nca.gr.jp/2010/pushdo-ssl-ddos/index.html 「DDoS 攻撃を行うマルウエアに関する注意喚起」を追記しています。
そして、怪しいプログラミングの話題が2つ。どうしてこういうことが浮かぶんでしょうね。でも、こういう書き方で納品すると、顧客はどういう反応をするのでしょうか。
hasegawayosuke: 顔文字系プログラミング。 http://bit.ly/dzfd73
takesako: [python] OSError を利用して任意の文字列を出力するハック Just Another Python Hacker, http://bit.ly/dDqGZG
