? byway, sideway
About
CISSPʾ󥷥ƥॻƥץեåʥǧˤĤ⺣˿òҤǴäƤޤ
LINKS
Hot Words

BOOKLOG

Recent Comments
Recent Trackbacks

Advertisements

Dec 02, 2004


[Security] Liberty Alliance Japan SubTeam 01:14
Liberty Alliance Projectという団体があります。(左のアンテナも参照)
うちの会社も標準化活動の一環としてこの団体に参画していたこともあって、2002年秋の京都スポンサー会合以来、セキュリティ関連のお仕事の1つとして参加企業の皆さんとお付き合いさせていただいてました。

個人情報保護の流れもあって、(Liberty仕様をはじめとした)アイデンティティ・マネージメントはいまやセキュリティ技術者の必須科目といってもいい状況。3年前から地道に努力されてきた各ベンダーの皆さんには頭がさがります。
今年10月、2年ぶりのスポンサー会合の日本開催に合わせ企画されたセミナーはこういった努力の甲斐もあり220名以上を集め、盛況でした。実際の対応製品を元にしたLiberty仕様のデモやチュートリアルも行われ、日本勢のプレゼンスを海外勢に見せ付け、一矢報いた感じ。

さて一昨日は、その日本部会(Japan SubTeam:日本のスポンサー企業の会合)の打ち上げ兼忘年会がありました。いやぁ、楽しかったけど、しばし離れていく身には少しさびしい。。。。写真はサンマイクロシステムズ下道さんのWeblogに載っています。

左端の写真に私がいます。いやぁ、実は並んじゃいけない3ショットだったりしてー。どんな話をしてたかは内緒です。(汗
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1101912277.html |

Nov 26, 2004


[Security] 講演をしてきました。 22:44
結局飛行機は出発地・アムステルダムの霧のため1時間半遅れで出発しました。
成田着陸は1時間遅れの10時半、滑走路内のスポット移動にも15分ほど時間がかかりじりじり待つ。通関後成田からはリムジンバスで移動。結局会場の赤坂プリンスホテルに到着したのは2時過ぎ。

RSA SecurWorld Forum 2004 ~先進事例に学ぶセキュリティ対策最前線~

17:15-17:55 事例紹介5
携帯電話Javaアプリのセキュリティ

携帯電話Javaアプリケーションの標準仕様である「MIDP (Mobile Information Device Profile)2.0」より、端末のセキュリティ機能が強化されました。本セッションではPKIに基づくドメインセキュリティモデルと、SSL/TLS通信のサポートについて解説を加えます。またあわせてRSA BSAFE, RSA Keonを用いたボーダフォンの事例について説明します。


アンケート結果が手元にないので、私のセッションの受け具合はよくわからない。RSAの皆さんは皆ニコニコして聞いてくれていたが、、、、まあ採用ユーザとしての講演だから、ある程度割り引いて考えたほうがよいのでしょう。きっと。
全体的に各企業のIT部門、SI部門、監査部門等の真面目なプレゼンが多い中、Javaコンテンツのセキュリティ保護ネタはどう来場者に映ったんだろう。いまひとつ軽い印象?内容が薄い?いや、実際は都合により表面だけを見せていますけど、裏方はいろいろとあるんですから。細かくは言えないけど。

今日は眠いのでここまで。RSAセキュリティの皆様、運営にあたったメディアライブの皆様、お疲れ様でした。ありがとうございました。

11/30追記 参加者は400名弱と盛況だった模様。よかった、よかった。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (1) | Parmanent link /Security/1101476615.html |

Nov 21, 2004


[Security] M2Xも顧客情報が。 01:35

エムトゥエックス、IP電話ユーザーの顧客情報が盗難(Internet.Watch)

エムトゥエックスは18日、同社従業員のPCが盗難に遭い、PCの中にIP電話サービス「M2X TaRaBa」の顧客情報が含まれていたことを明らかにした。顧客情報にはカード番号は含まれておらず、盗難に遭ったPCにはパスワードが設定してあったということだが、ユーザーには不審な問い合わせがあった場合には同社に連絡を取るよう呼びかけている。


M2Xは松島庸さんが「あの」クレイフィッシュを退いた後立ち上げた会社。以前セキュリティ関連のベンチャー企業に勤めていたとき、クレイフィッシュ時代の彼に数回お会いした。彼はとても人間的にはよいひと。

マザーズ上場後のあの会社ならともかく、仕切りなおした小規模のベンチャーなんだから、本来は彼がきちんと目配せしていればこんな低次元のミスは起こさなかったろうに。まことに残念です。WindowsXPのパスワードがどのくらいのものかは技術動向をよく知る彼ならよく知っているはずなのに、このコメントはお粗末。インシデント管理の甘さやどたばたさ加減は相変わらず変わってないように見えます。なんかかなぁ、まったく。

はてなの住所登録の件といい、この手の話は企業規模に関係なくオンラインメディアで取り上げられることが多くなりました。最近はちょっと食傷気味ではありますが、IP電話など技術やビジネスモデル的に注目される企業は、草創期の会社だからこの程度のセキュリティでよい、というわけにはいかなくなりましたね。

情報資産のセキュリティは精神論や技術論ではなく、マネージメントの一部なんだ、と改めて思う今日この頃です。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1100967113.html |

Nov 18, 2004


[Security] 講演資料校了。 12:53
下記講演資料を先週半ばに書き上げたものが、ようやっと校了しました。ふぅ。講演を受けるときにも社内調整に時間がかかったのだけれども、今回も社内調整に1週間。相変わらずです。

Oct 18, 2004

なんでか知らんけど、お付き合いさせていただいているベンダーさんから依頼を受けて、講演を引き受けることになった。RSA SecurWorld Forum 2004~先進事例に学ぶセキュリティ対策最前線~http://www.medialive.jp/events/rsaswf04最初は80名くらいの小規模なものろうと思い、気軽に引き受けてしまったのだけど、実際には400名くらい集めたいらしい。うーん、、、、前倒しで真面目にプレゼンを作成しないと。

当然ですが、講演でお話できる内容は限られてしまいます。「疑わしい部分は墨で消せ」のつもりで気をつけて作成してます。ただ、それでも一言一句細かいチェックが社内各方面から入ります。仕方ないのですが。どうしてもセキュリティものの社外発表は、なにかと摩擦が多いのですが、今回は新機種の発売時期との関連もあって、なおさら大変です。ドコモさんはウイルスチェック機能を出してきましたね。うちは、、、、当日をお楽しみに。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1100749226.html |

Nov 16, 2004


[Security] セキュリティとユーザ教育 13:00
「セキュリティレベルを向上させるにはユーザーへの啓蒙や教育、トレーニングが重要である。」といわゆるセキュリティの教科書に書いてあることが多い。セキュアドのテキストでもそういった記述をよく目にする。セキュリティ投資において人的リソースへの投資を忘れてはならないという文脈であればたぶんそれは正しい。

が、しかし、それは法人社内のITセキュリティについて言えることであって、一般的な消費者向けサービスには適用できない。セキュリティにおける議論では、どうもそのあたりを勘違いしている人もいると思う。ネットバンキングのセキュリティが低くてもいいのはエンドユーザの認知度、教育レベルが低いからだ、とか。エンドユーザーはそれについていけないとか。ひいては業界がもっと啓蒙してくれないと、そんな投資はできない、なんて話も出てくる。

そんなことを考えていたら、こんな記述に出会った。

圏外からのひとこと(2004-11-09)

* Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない

運転中の携帯電話使用で1日で3645件摘発されたそうですが、こういうリスク感覚を持っている人に、「パッチを入れろ」とか言っても無駄ですよね。

この記事の提案する解決策は、そういう意味で、非常に実際的で有効だと思う。

ここからリンクされている記事はこちら。

Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない(2004年10月25日)

テクノロジーの欠陥を直さずに、重荷をユーザに背負わせ続ける限り、私たちはインターネットの潜在能力を完全に引き出すことができないからだ。反対に、ユーザを必要以上に警戒させることによって、テクノロジーの限界まで使うことを拒ませてしまう。


うーん、まったくもって同感。セキュリティ・プロフェッショナルとしての私のスタンスは、いわゆるITコンサルタント的な(ユーザ教育云々を語るような)それではない。重荷を減らすようなセキュリティ。機会を最大化するテクノロジー。たぶんそれをあきらめた人が、安易に「教育・啓蒙」に流れていくのではないだろうか。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1100577331.html |