? byway, sideway
About
CISSPʾ󥷥ƥॻƥץեåʥǧˤĤ⺣˿òҤǴäƤޤ
LINKS
Hot Words

BOOKLOG

Recent Comments
Recent Trackbacks

Advertisements

Jan 29, 2005


[Security] コンピューターフォレンジック 23:51
今日は今の仕事とは全く関係ない話。

Computer Forensicsという言葉があります。辞書には「法廷の」「弁論術」「討論演習」などなど、うまい対訳がないのですが、簡単にいえば「不正アクセスを受けたときに法廷上の証拠となる(であろう)各種材料を保全すること」を言います。このあたり日本と米国では「不正アクセス」に対する意識が違うので、なかなか根付かないし、ぴんとこないかもしれません。ちょっと古いですが、参考書としてはこんなあたりがよいでしょう。

インシデントレスポンス―不正アクセスの発見と対策インシデントレスポンス―不正アクセスの発見と対策
Kevin Mandia Chris Prosise
エクストランス 坂井 順行 新井 悠
翔泳社 (2002/07)

Amazon.co.jp で詳細を見る

うちのような外資系企業で、世界共通に適用される情報セキュリティポリシーでは、全社員はフォレンジックを前提とした誓約書に最初に自筆で署名させられ、印鑑を押さねばいけません。代理署名やシャチハタではだめです。私なんかは「ふーん。あのことだな」となんとなく分かるんですが、他の社員は「???」って感じでしぶしぶ署名しているようです。

誤解を恐れず簡単に言い切ってしまうと、不正アクセスの原因の多くは(実は)部内者かその共謀者によるものであるという、性悪説を踏まえた割り切った考え方が欧米にはあります。ITシステムに沢山のお金をかけて立派なセキュリティ機構を採用してみても、最後は「人」の問題になります。しかしながら、1)性善説を前提としたITシステムや、2)属人的な情報セキュリティ管理体制、3)社員教育や精神論などなどに頼ってみても、実はリスクヘッジする手段としてはなんの足しにもならないという割り切りも必要なわけです。だって「本当に悪い人」はそんな事実は十分お見通しで、さらにその裏をかいてくるわけですから。(ソフトバンクの個人情報漏洩はそのあたりが甘かったのだと思います。個人的な見解ですが。)

コンピューターフォレンジックや権限分離(Sprit of Duties)なんかはそんな背景を踏まえて作られていて、司法取引を頻繁に行う米国の犯罪捜査を前提とした手法です。裁判になった場合に備え、証拠保全の方法をシステマチックに予め定義しておく。これができて初めて潜在的な犯罪者に対して心理的抑止力を持つ情報セキュリティ機構が完成できると。まあ、そんなところでしょうか。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1107010313.html |

Jan 22, 2005


[Security] 暗号と認証の本 23:08
明日はCISSP試験ですね。皆さん6時間は想像以上に大変だと思いますが、最後まで頑張ってください。

私はMBAの課題論文2本の執筆で死んでいるので、明日の試験監督はパスすることにしました。次回は3月なので、そのときはまたCPEクレジット稼ぎのためお手伝いすることになるでしょう。

ところで、暗号と認証ものの勉強は実務をやっていない方にとっては大変ですよね。明日のCISSP試験でもそのあたりでへこんで帰ってくる方もいらっしゃるかもしれません。私はサイバートラスト時代にそれを仕事にしていたので、英文テキストでいきなりAESとかFEALとかRijndaelとか出てきてもついていけてましたけど、普通の日本の技術者にとってはそんなの知らん、とパニック状態になると思います。

で、今日近所の書店にいったら、こんな本が出ていました。ぱらぱらめくった感じでは、知識のない人が受験のサブテキストとして読むアンチョコ本として結構使えそう。

「日経NETWORK」に掲載され、好評を博した記事をテーマ別に集めた選集の第2弾。ネットワーク・セキュリティの技術を学んでいくうえで絶対に欠かせない暗号技術と認証技術、およびこれらを組み合わせた実際のプロトコルであるIPsecを一から習得することができます。単なる座学だけに終わらず、現在広く利用されている実際のシステムでこうした技術がどのように応用されているかも読み取れるようになっています。ネットワーク技術者はもちろん、IT関連技術者や技術者を目指す方々など、ネットワークの基礎をテーマ毎に習得したいあなたに最適な1冊です。

暗号と認証
暗号と認証
日経NETWORK
日経BP社 (2004/11)

Amazon.co.jp で詳細を見る

余計な講釈なしに必要最小限の内容がコンパクトにまとまっている印象を受けました。
CISSP受験にかかわらず、その分野を学ぶ必要性を感じていながらも、とっつきにくいなぁと思われている方にはお勧めです。1890円なら、、、、痛くない。いや痛いか?
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (2) | Parmanent link /Security/1106402916.html |

[Security] 続・暗号と認証の本 23:07
ちなみに、「そんな基本的なことは知っている」「もっと実装寄りの考え方を知りたい」という、すでにその分野で頑張っている「暗号好き」の技術者の皆さんにはこちらのほうがお勧めです。

情報セキュリティ技術大全―信頼できる分散システム構築のために情報セキュリティ技術大全―信頼できる分散システム構築のために
ロス アンダーソン Ross J. Anderson
トップスタジオ
日経BP社 (2002/09)

Amazon.co.jp で詳細を見る

この本の定価6090円は個人で購入するには痛いけどね。

で、「そこまで深くは知りたくないけど、暗号化アルゴリズムに関する裏側や人間ドラマを探求したい」という方はスティーブン・レビーのこちら。CISSP対策になるかは疑問ですけど、、、、私は英語版の原書を持っていますが、読んでいるといつも眠くなり、ギブアップしてしまいます。

暗号化 プライバシーを救った反乱者たち
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー
斉藤 隆央
紀伊國屋書店 (2002/02/16)

Amazon.co.jp で詳細を見る
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (1) | Parmanent link /Security/1106402917.html |

Jan 07, 2005


[Security] CISSP受験時の守秘義務 03:51
CISSP受験準備中。Sparkyさんのブログから。

Blue Pill

受験者は試験に関する情報を機密として扱わないといけないということですね!
「CISSP関連のWebサイトはいいの?」とか「"試験に関連するすべての情報"って?」とか「CISSP本が出版されてるけどあれはOKなのか?」とか色々と疑問はつきないのですが、藪をつついて蛇を出したくないのでとりあえず今は考えないことにします。

試験の品質を保ち、公正さを追求するうえで、受験プロセスに入ってから提示される各種情報をConfidentialに扱えば問題はないと思います。試験の運営側はさておき、金を払いさえすれば誰でも受験者になれます。で、一度試験を受けてしまうとCISSP認定を受けるうえで必要な情報が手に入ることになりますので、この条項が書かれているのですね。

たとえば、試験官からどんな指示があったか、どんな書類が渡されたか、どんな問題だったか、(不合格の場合の)スコアは何点だったかという試験に直接関連する情報は当然口外すべきではありません。加えて、受験者それぞれがどう考えどう答えたか、どんな問題に疑問を感じたか、どんな傾向だったか、10CBKの比率はどうだったか等々の受験した感想も(それを集約すれば)自他の受験者の何らかのヒントになりえます。それらはすべてその個人の中だけ=Confidentialに扱ってくださいということでしょうね。具体的には、情報処理技術者試験の帰りに回答速報を予備校が出していたり、回答や質問を集約するBBS、TIPSを集めた受験指南を行う業者なんかがありますけど、それは試験の品質や公平性を損なうのでだめです、ということですね。

CISSPホルダーになると(ISC)2に関連する各種ボランティアに参加できますが、その場合も同じようなドキュメントに署名させられます。当然試験作成や運営に関連する情報の具体的な部分は私も書けません。試験監督をしたものは一定期間(その試験問題が他の会場で使われる間と想像するのですが)試験対策関連業務には一切加われません。逆にセミナー講師は、(推測ですが)出題をしたり試験問題そのものを見ることができないと思われます。

情報セキュリティマネジメントでは、権限分離(Separation of Duties)という概念がありますが、まさしくそれを試験プロセスに対しても行っているということでしょう。なお、受験前にだれでも入手できる情報についてまでその範囲は及ばないでしょうし、普通の勉学日記や単なるリンク集であれば全く問題はないのではないでしょうか。

ということで、情報開示の方針ふたたび。
■ [Misc] 情報開示の方針
  • CISSP資格に関して
    • (ISC)2のWebサイトにある情報は開示します。
    • 試験問題、出題傾向については一切説明を行いません。
    • (ISC)2の定めるCode of Ethics(倫理規定)に反する情報は掲載しません。

うーん、これだけだと言葉が足りないか。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1105037506.html |

Dec 15, 2004


[Security] セキュリティへの取り組みに不可欠なのは 00:26
1997年当時、札幌の「サイバートラスト」というベンチャーにいました。米国のGTEという電話会社を親会社に、日本でPKI(公開鍵暗号インフラ)ホスティングサービスを手がけていた会社です。実はこの会社、買収に次ぐ買収を経て会社名は消えてしまったのですが、再度今年9月に総合セキュリティソリューションを提供する会社名として「復活」したようです。

CyberTrust(米国)→Baltimore Technologies(アイルランド)が買収→BeTrusted(米国)が買収
BeTrustedTruSecure(米国)が合併→新会社はCyberTrustに。

まったく、紛らわしいったらありゃしない。履歴書にどう書いたらいいんだよ、ってカンジではあります。この社名が復活した理由は、唯一世界規模で商標権が確保されているから、との噂。本当か?

さて、この新会社CyberTrustの社長さん、(ここも合併の渦中にある)ITMediaと会見をしたらしい。

ITmedia エンタープライズ:セキュリティへの取り組みに不可欠なのは「正しい知識」とCybertrust
米CybertrustのCTOを務めるピーター・ティペット氏が来日。製品に頼り過ぎなくとも、正しい知識に基づく設定の見直しでセキュリティの向上は図れる、と述べた。

(中略)

というのも、毎年新たに4000個を超える脆弱性が発見されるが、実際に攻撃に転化するのはわずかな割合に過ぎない。それらすべてについていちいちパッチを適用しても、「大半は無駄な努力に終わる。それも、何千、何万台と端末がある企業でパッチを適用するのは、コストがかさむ上に業務の中断につながってしまう」(ティペット氏)。

うーん、、、「正しい知識」とCyberTrustってキーワードはなんかコンサルタント的で、胡散臭い感じがします。(Nov 16, 2004 セキュリティとユーザ教育を参照) こういった形よりは、ブルース・シュナイアー氏のこういった物言いのほうが世間には説得力があると思いますが、皆さんはどうでしょうか?

Schneier on Security Safe Personal Computing

I am regularly asked what average Internet users can do to ensure their security. My first answer is usually, "Nothing--you're screwed."
But that's not true, and the reality is more complicated. You're screwed if you do nothing to protect yourself, but there are many things you can do to increase your security on the Internet.

彼のBlogにあるオリジナルはいい文章だなぁ。と思ったら、オリジナルはITMediaが日本語訳にしていました。IT管理者or開発者サイドがきちんとセキュリティ実装に気を配りさえすれば、ユーザ視点でできることは実はこういったレベルで大丈夫なのかもしれません。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1103035992.html |