韓国ドラマは哲学的感性を刺激する

韓国ドラマ、IT・デジタルなこと、AIなどと並んで哲学に関する事柄や、よろずこの世界の出来事について書き綴ります

WEBアプリケーションのセキュリティ

2005-10-19 10:16:06 | 情報セキュリティ
 皆さんが利用しているサイトで、WEBアプリケーションが動いているところは多いはずです。そして、このWEBアプリケーションこそが、今、セキュリティ対策者の頭を悩ます問題になっているのです。

 ここでいうWEBアプリケーションとは、文字通り、WEBシステム上で動作する何らかの処理をするアプリケーションプログラムのことを指します。たとえば、皆さんが頻繁に使用するであろう検索の機能などは、典型的なWEBアプリケーションです。データベースに蓄えられているWEBページに関する情報を検索し、条件に合うページのURLを返してくれる仕組みです。

 ページ検索機能だけなら出てくるデータは基本的にURLとそのサイトの要約くらいなので大きな問題にならないのですが、もっと業務寄りのWEBアプリケーションでは、様々な情報、、たとえばそのシステムの利用者の個人情報などがデータベースに蓄積されています。その情報を不正な手段で読み出したり、改変されてしまうと大事件になってしまいます。

 現在のWEBシステムへの攻撃で一番多いのがこのパターンです。このような攻撃には、WEBアプリケーションの内部に踏み込んだ対策が必要なので、繰り返し起こってしまうことが避けられないようです。

 システム管理でサーバの設定をきっちりとやっておけば済むという問題ではないのです。WEBアプリケーションの機能が複雑になればなるほど、セキュリティ上の問題もまた増えるというわけです。

 従来も、アプリケーションを製作するプログラマはいろいろ面でセキュリティ上の対策を意識する必要がありましたが、今ほどセキュリティ意識を求められている時代はないのでしょうか。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

モバイル機器のセキュリティ

2005-10-18 15:03:34 | 情報セキュリティ
 最近の情報漏洩の原因のかなりの部分を占めているのが、モバイル機器からの漏洩です。ノートPCの紛失、盗難、そして特に問題になっているのが、USBメモリです。

 これらの情報機器での技術的漏洩対策で基本となることは、データの暗号化です。特に、USBメモリの紛失は深刻です。大きさの割にはたくさんの容量があって、使用するのもの簡単ということで爆発的に普及しているUSBメモリですが、これに重要な機密データを暗号化なしで入れて持ち歩くことは、もはやまともな企業では禁止事項です。手軽に使えることがあだになって、紛失や盗難に遭いやすいのです。

 また、ノートPCについても重要なデータを個別に暗号化するだけでなく、ハードディスクを取り外されて他のPCに取り付けてデータを読み出すことに対抗するために、ハードディスク全体を自動的に暗号化してしまうソフトの導入が進んでいます。

 このような種々の対策を地道に積み上げていってこまめに対策していくしか、対抗策がないというのが正直なところです。セキュリティ対策に近道はないのです。

 皆さんも、これを機会に自分のモバイル環境におけるセキュリティ対策を考え直されてはどうでしょうか。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

メールの暗号化

2005-10-17 12:43:50 | 情報セキュリティ
 メールのセキュリティについては、以前の記事でもお話ししたことがあります。重要な情報をメールでやり取りする際には暗号化が必須なのですが、WEBの通信を暗号化するSSLの技術ほど、暗号化メールは普及していません。

 一つは、WEBならSSLというような暗号化の標準がないからです。また、暗号化につきものの鍵の管理も大変です。暗号化メールをやり取りする相手の数だけ鍵を管理するのはなかなかやっかいです。

 そういう意味で、暗号化メールの普及はこれからだと思いますが、上記の問題もいろいろなツールや技術の普及で徐々に解決されていくと思います。

 皆さんも、メールで重要情報をやり取りする際には、暗号化を少しでもいいので意識してみていただければと思います。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

情報漏洩事故の後始末

2005-10-14 10:17:05 | 情報セキュリティ
 もし、みなさんが情報漏洩事件を起こしてしまったらどうすればよいでしょうか?

 企業で顧客データを大量に盗まれてしまうという本格的な事件から、個人の携帯電話をなくしてしまうという小規模な事件までいろいろなケースが考えられますが、基本的な考え方は変わりません。対処方法の考え方は以下の通りです。

 1. 誰に関する情報が漏れたか(漏洩対象者)のリストアップ。
 2. 漏れた情報の項目の調査(住所、氏名、電話番号、メールアドレス等々)。
 3. 漏洩対象者への連絡・通知。何がおこったかの説明。その中には以下の項目を含む
  (1) 対象者の情報が漏洩する可能性があるということを知らせる
  (2) 事件の経緯
  (3) 漏洩した情報の項目
  (4) これから起こりうることについての言及(情報が悪用されて、スパムメールが届くかも知れない等々)

 これを基本にして、漏洩事件には対応していけば基本的な部分はクリアできるでしょう。あとは、漏洩対象者からの問い合わせに答えられるように、できるだけたくさんの情報を集めておく必要があります。

 もし皆さんが、個人情報保護法でいう、個人情報取扱事業者ならばなおのことその責任は大きなものになります。しかし、どんな場合もここに書かれていることを思い出して冷静に対処されることを望みます。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

検疫ネットという考え方

2005-10-13 10:12:31 | 情報セキュリティ
 検疫ネットワークという考え方があります。ネットワークにPCを接続する際に、そのPCをネットワークに接続しても大丈夫かどうかを検査する機能を持った、ネットワークのことをいいます。

 システム管理者が必要と思っているレベルのWindows Updateをインストールしているか、ウイルス対策ソフトも同様に最新のものにアップデートされているかなどのチェックをして、そのチェックを通過できなければネットワーク上で自由に通信ができなくなっています。

 合格しない場合は、PCの必要な部分を最新版にアップデートするために、インターネットや、組織内の特定のサーバとしか通信させないという機能があるのが特徴的です。

 しかし、このような機能を実現するためには当然費用もかかるわけですし、機器ベンダーによってはそのベンダー独自の方式で他社と互換性がなかったりするので、普及はまだまだというところだそうです。

 ネットワーク管理の方式としてはかなり理想的なやり方ですが、今後はいかに費用が安くなって、他社と互換性の高い方式が普及するかという点に注目が集まっています。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

パスワード破り

2005-10-12 09:18:44 | 情報セキュリティ
 皆さんは、パスワードはどのように管理しているでしょうか?他人には推測がむずかしいパスワードを作って、それをきちんと記憶しているでしょうか。

 最近、ますますパスワード破りの精度があがったという記事をみました。パスワード破りには、パスワードとして使われるであろうという言葉をのせた辞書が使われます。この辞書にのっているような単語をパスワードに使用していると、パスワードを破られる確率が高くなります。

 ですから、単なる辞書にのっているような単語をパスワードに使用しているのは危険で、なんらかのルールを作って推測できないような文字列を作り出すことが求められています。

 ポイントは、パスワードとして作った文字列を記憶できるかどうかです。理想としては記憶することが望ましいのですが、どうしても記憶できないなら、パスワードのヒントを人目に付かない場所にメモしておくという方法があります。

 パスワードの問題は悩ましい問題ですが、推測されにくい文字列を、頻繁に変更するよう努力しましょう。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

USBメモリ

2005-10-11 09:44:22 | 情報セキュリティ
 最近、外部記憶媒体としてUSBメモリを使用する機会が急激に増えたように感じています。これほど、小さくて軽くて手軽にバックアップ、あるいは情報交換用の媒体として使えるメディアは他にないからです。

 PC側にはハードウエアも、ソフトウエアも何も準備する必要はありません。USB端子さえついていればいいからです。そして、大きさの割に大容量なのがなんといっても特徴だと思います。

 ハードディスクよりは割高とはいえ、コンパクトなボディに2GBものデータが入るものがあることを思えば、使いでがあるというものです。

 しかし、その手軽さゆえに情報漏洩の原因にもなってしまいがちです。USBメモリに大切なデータを入れて持ち歩くときにはできるだけ暗号化することが望まれます。そのあまりにもコンパクトなことが逆に紛失の原因になってしまうからです。

 日頃何気なく使っているUSBメモリですが、あらためてその便利さと、気を付けなければならない点について考えてみていただければと思います。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

ソーシャル・エンジニアリング

2005-10-07 10:46:33 | 情報セキュリティ
 ソーシャル・エンジニアリングという言葉を知っているでしょうか?セキュリティの世界では、人間関係の土俵で相手をだますためのテクニックという意味で使われます。

 たとえば、わかりやすい例として、システム管理者に「○○部の××だがIDとパスワードを紛失したのですぐに再発行してほしい」という電話をかけて、まんまとアカウント情報を入手する手口があります。

 この考え方で、ソーシャル・エンジニアリングには無限の詐欺、だましのパターンが考えられます。もっともらしい状況を設定されたら、よほど用心深い人でない限りだまされてしまう可能性があります。

 こればかりは、技術的な知識は役に立ちません。用心深さと経験のみがそれに対処する方法です。みなさんも、このような手口には十分注意してほしいものです。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

サイバーテロ対策訓練

2005-10-06 09:54:54 | 情報セキュリティ
 昨日の新聞で、来年度に政府が大がかりなサイバーテロ対策訓練を行うという記事を目にしました。これだけサイバーテロの問題がとりざたされているわけですから、遅かったくらいです。

 サイバーテロにもいろいろな方法がありますが、できることなら、想定できるあらゆる攻撃を受けるケースを体験してみて、自サイトの弱点を洗い出せて、それをもとに対策を準備できれば訓練は成功したと言えるでしょう。

 セキュリティ対策会社でも、疑似攻撃のメニューをそろえていて、お金を払えばそのサービスを受けられるわけですが、政府が主導してこれだけ大きな規模の訓練と脆弱性のテストが行われる機会はあまりないのではないでしょうか。

 通り一辺倒なテストではなく、優秀なハッカーを集結させて、彼らに全力で疑似サイト攻撃を行ってもらうとどうなるかというのも、技術的に興味があります。

 インターネット技術は、もちろん基礎となる理論を考え出す人の役割も重要なのですが、それを実装して、実際に動くもの、形にして実用に供することによって発展してきました。今回の訓練も、そのようなインターネットの伝統に組み入れられて、技術の発展に貢献できることでしょう。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★

インターネットの成り立ち

2005-10-05 11:33:48 | 情報セキュリティ
 インターネットと普通のLANのネットワークはどこが違うのでしょうか?基本的には、どちらも同じプロトコルが使われていて大きく異なる点はないのですが、一つ違う点はその規模でしょう。

 インターネットは、小さなネットワークをルータと呼ばれる中継装置でつないでいって構成されています。もちろん、プライベートなネットワークでもルータを使用して大規模なネットワークを構築している例はいくつもありますが、インターネットに規模で勝てるものはないはずです。

 自分が通信する相手がどこにいるかさえわかれば、つまり、これは相手のドメイン名やメールアドレスですが、そこへ自分の情報を届けてもらうためにどこをどう通っていくのかは、インターネットにお任せです。極端な例を出すと、東京都内同士で通信するのに、わざわざアメリカ周りで通信が行われていたことさえあったのです。もちろん、今はこんな非効率なことを行うインターネットプロバイダはなくなってしまいましたが、原理的には似たようなことは今でもあり得るのです。

 自分が発信した情報がどこを通るかわからないということは、途中で誰の目に触れるかもわからないということです。だから、セキュリティ意識が高まった現在、暗号化云々という問題がとりざたされるのです。

 このような仕組みを知っただけでも、なぜインターネットで暗号化の技術が使用されているのか、理解が深まったのではないでしょうか。

★★★ 人気ブログランキング参加中!!!よろしければクリックお願いします ★★★