http://pc.nikkeibp.co.jp/ ともすれば難しくてコワくなりがちな話を、肩ひじ張らずにやさしく、楽しく――そんな分かりやすいセキュリティ最新事情をお届けします。 ja Copyright (c) 1995-2012 Nikkei Business Publications, Inc. All rights reserved. 2012-05-24T07:16:59+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/3f109e6bef7f3b7f242542e17a5d7faf?ul=yg4ND33sSgKoE5c0xDDkleBwIIdND4Qycf06ccITSKeUdVi_icqKxfIqYDKleoeC9bi05y7iELiD8g8DQPLeTcN4xObnPuP4X0lV8RBZjkj0CyFMr また少しご無沙汰してしまいました。わたしにとって夏は例年の如く「キャンプ」の季節なんですけど、今年はちょっと変わったところでRejectキャンプ、というのに参加してきました。まあ参加といっても見てただけなんですけどね（笑）。

]]> 2008-09-09T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/e4f33eb4c7b04a7fb534da55a90d6ffa?ul=eJOtnfd.dMFTm3Ae2Wm1g9tVaFPn4WjpF2lJ5YyHdwIyXpJU0PLF5LBS.b4yMcJmSK0OAwIOSHJVeJEoZgD..tp59rRb_yP6DFAmWDtCHmthtHUyZ さて、前回までは（といってもかなり間があいてしまいましたが（笑））われわれからすると意外にもWindows Updateが不人気だ、という話をしました。不人気である理由はよくわかりませんが、とにかく使っていない／知らないという人が4割もいるようで、少々不安になってきます。

]]> 2008-07-03T19:14:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/c2f84eda216754e1afb73be3a13d82da?ul=xOnvKeBtnVgfAmUyS.T80kZgbzjT8ShVCn3DdUp8qDpXSbU3CF1ZgZBlklmZfTsNsJ__rMvW9ShULiEFJBWeDw9rY8z0 おそらくこのコラムをお読みいただいている方々にとって、Windows Updateは「何を今更」なネタでしょう。しかし、どうやらWindows Updateは、わたしが感じているよりもはるかに普及・浸透していないようなのです。2006年にIPA（情報処理推進機構）が行った意識調査によれば、Windows Updateをやっていない人が「わからない」という回答を含めて24％もいるのです。2006年以降、いつかのワーム騒ぎのときのように急激に認知度が上がったということはありませんので、この数字はおそらくそれほど変わってはいないでしょう。

]]> 2008-03-27T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/d5c9ce684a599c84319ad6a6ad94d199?ul=LOlTRd8kF3nqsNI1hAxln7xNvZ119IdAzRn.Ya0gqOZcIgInzWaZo9CK5P7KZUybca8ShcECBH880IYo8uRR0mS0iIbm ネットの世界は「匿名」である、という「思い込み」があります。その最たる例が某匿名掲示板でしょうか。しかし、かの掲示板で「匿名である」ということは、利用者側が自分に都合良く考える「匿名」とはちょっと違う気がします。どう違うのかというと、掲示板のヘビーユーザーにとっては、「匿名」＝「実名特定までのハードルの多さ」という認識なのに対し、普通の利用者（どういう人が普通なのか、という話もありますが（笑））にとっては「匿名」＝「金輪際身元がバレないというのに近い」ということなのではないでしょうか。ごく大ざっぱに言えば二つの認識には大きな違いは無い、とも言えますが、行動に臨む態度には違いが出てきているようですね。まあ、「何をやってもばれない」と思うのと、「もしかしたら突き止められてしまうかもしれない」と考えて行動するのでは、違いが出てくるのは当然と言えば当然です。

]]> 2008-01-24T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/58cc44c7c1332be906e77555441d0dff?ul=lpW9g7xEoJhXjtRy4QtfBxzDkCme85TaoR37mpyhsZVkvxR5oLq7.fMzlumsjycDi4lQ.UefOmIwwlwxaA7PbLjbdQmO ひょんなことから加山さんの書かれているパスワードの作り方を目にすることがありました。好きな歌詞やフレーズを縮めるというのは、良いアイディアですね。わたしならガンダムの名セリフにしちゃうところですが（笑）、ガンダマーということがバレたら解読されちゃいそうです。その点歌詞なら、対象が多すぎてそちらのアプローチではまず当たらないでしょう。その記事を読ませていただいて気づいたのですが、以前の記事では主にパスワードの要件について語っていて、作り方についてはさほど触れていませんでした。お勧めの作り方というと、真っ先に連想するのはパスワード生成器というか、ソフトウエアのことだったりしますが、それ以外、となるととたんに想像力が枯渇気味になってしまいます。すぐにツールに頼るというのは、良いのか悪いのか･･･

]]> 2007-12-13T16:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/c17c761615c16944a2cc2ca7c71e0983?ul=J7G01coiW9p4Wj.z.21G0NP34j6pYnvfsoEdk2avYwCytU.bsl2bP9Zn1RTuk7TMIhQr7r7ikRt6gUSiwO8asY20wZ5m リテラシー向上にかかる費用の中で、一番大きなものはなんでしょうか？　大きいかどうかはともかく、最初に思い浮かぶのは「教育費用」ですね。「教育費用」はまず、講師を呼ぶ費用がかかります。経験上、1回の講座でカバーしやすい受講者数となるとざっくり20〜30名程度です。例えば社員数300人の会社で実施する場合、全部で15回程度の開催になりますね。カバーしやすいというのは講師の立場から見て教育効果を上げやすい、という意味で、例えば目が届きやすい、デモンストレーションやスライドを視認しやすいといった観点で考えています。

]]> 2007-11-05T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/a9cfd65aad403fff33c73366dfb6c1fe?ul=qIoz7xuxoJUyLRad.c2UIH3cUsBiTBorNQXq._a2yCJ.kZaxNz5yCHneFvJlPO4Bt3bNLD3ASAIkVnDS1S_rHfUdX55k この連載もそろそろ一年ですが、実はこれまで「リテラシー」というところに正面切って踏み込んで来ませんでした。とにかくこの「リテラシーの向上」というフレーズは良く聞きます。システムや仕組みで手に負えないところが出てきたり、あるいは、あった方が良いであろう機器やシステムを予算が無くて導入できなかったりすると、決まって落ち着く先は「リテラシーの向上」だったりしますね。ある意味逃げ道と化してると言っても良いかもしれません。しかし、セキュリティのコンサルテーションを長くやっている私の印象はというと、この「リテラシーの向上」ほど難しいことは無い、となります。というのも、情報セキュリティのリテラシーというものは、手間がかかって仕事の役に立たないからです（笑）。

]]> 2007-10-17T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/a7825ef2974ffdd215f499bcbf7fc700?ul=WfyPg5tIAQMxbCz.BK1cD_a.F5Xr2IV1u7UaapCblRhIiczFukhCw9_atBrUOI0qGs2xB5ihRKAzxDZDLv4d0_F8920I プロフというのはプロファイル、プロフィールの略で、自己紹介を主としたサイトやページのことです。主に携帯電話のネットワークで自分のプロフィールを紹介するというだけなのですが、アクセスランキングによってポイントが付いたりするため、なりふり構わない内容でアクセス稼ぎする傾向が見られるようです。どう「なりふり構わない」のかといえば、もうこれは端的に言って「エロ系」ですね（苦笑）。どんな媒体においてもエロ系コンテンツの人気は不変であるわけですが、プロフの場合はエロ系コンテンツの提供者が女性、それもティーンエイジャーが多いというところが特徴で、それらのコンテンツが犯罪を誘発する材料になったりしているところが問題であったりするわけです。

]]> 2007-10-04T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/7d43cfa1ecaf9a49cdb91f2fbf13f5fe?ul=dgLJLPYAq0K.1YHQDRSym_fdEvMVbpAIrCcfxHOxgkbdnEHjrjwPN1jG1d.BdI5bPGabfkdiXvh8k2G0I7HqzCHl0s13 前回、学校裏サイトに対抗するには、情報収集が決め手になる、というようなお話をしました。確かに、情報収集は重要です。裏サイトは口コミで拡がるわけですが、その時点でサイトの存在を噂などから察知することは現実的には難しいでしょう。となると前回書いたように、学校からの書き込みアクセスなどを元に調べるしか無さそうですが、家庭や漫画喫茶などからアクセスされるようだと広く検索するといった方法しか無さそうです。今どきの検索サイトの機能ってかなり強力ですし、やり方次第ではけっこう「当たる」とは思います。しかし、これを決め手と言ってしまうのは何かイマイチというか（笑）。自分で書いておきながらちょっとピリっとしない気がするんですよね。

]]> 2007-09-24T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/d2bfd419951cda4ab099b2c054e0e65a?ul=wDDPmFl.TUWGECcLIUt7Xmr8UVwh5mRIGoBYwjuZcQCr0hchGhHKz0PBRS2MBvOauzIDssvconmUgCT.7lgj_3qmG3ar 先日、学校現場に出ている先生方の前で、情報セキュリティについてお話する機会がありました。それも立て続けに2回もです。それぞれ話題やテーマは違いましたが、それでも「情報セキュリティ」と、より広い「安全」というものへの高い関心は共通していました。特に関心が高いのは、やはり「学校裏サイト」や「プロフ」問題でしょうか。子供達が自分の情報をあまりにも軽く扱った結果、もたらされる危険や脅威について、無視できなくなりつつある、という現状があるようです。両方共に正直かなり頭が痛い問題ですが、今回は「学校裏サイト」について考えてみたいと思います。

]]> 2007-09-06T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/8604fee8b7f937b59e0e721e786410d3?ul=SIchO4a2xqp2X.YaECYmhgblD2KP92Mh5xzvw_X0EO6XSsY450JmnLa6btDW07CCTNJ7oP8zEyE40r4Q_EmABbsgFXlA さて、アメリカの話ですが、広告主がトロイの木馬を仕込んで個人情報を集めまくっていた、という事件があったようです。ある求人情報サイトに出した広告にトロイの木馬を仕込み、それを閲覧もしくはクリックすると感染して、ユーザーがWebブラウザーを使って入力した情報を盗み取ってしまうらしく、すでに4万6000人が実際に個人情報を盗まれた、と報じられています。

]]> 2007-08-23T12:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/5c61feca22f1bc91f500f1b330a42e58?ul=073.OhyOXpngaSzth60mbzOy3cDnELPOuVxtuTqbhdCauOzduhWr4ux2wRd7qXoLPCafkJ1BgSOFH_H_MS0DUpTsggSN 今年もキャンプの季節がやって来ました。といっても、夏の太陽の下で花火やバーベキュー、といういわゆる「キャンプ」ではありません。このコラムで何度かご紹介している「セキュリティキャンプ」のことです。毎年夏は、いや、夏が始まるより遙かに前、4月あたりから、年度の前半はだいたいこのキャンプの準備に追われています。準備期間中もいろいろとやることがありまして、時間割の調整、イベントなどの企画と調整、実行委員会での報告、参加者の選抜、機器や使用するパソコンの準備、そしてもちろんネタ作りと準備と、書いてるだけで暑さが増しそうなほど、いろいろな仕事があるものです。

]]> 2007-08-09T13:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/20b35895a686ac402d9e221dd9c7694b?ul=fAd0v1p0YMpzhxdh1LCHt9.QbjA77lpZVuNmxnkFOQZ0Add.VlEnBycpa09ERATfFF16H1lERdQ7lc749V4qu9935sVm サイトの規模がある程度大きくなると、深刻さの度合いは違うでしょうけど脆弱性が全くない、という状態にすることは非常に難しいと思います。単純に考えても、規模が大きいサイトになればなるほど、かかわる人の数は増えてくるわけで、人が増えれば脆弱性が入り込む可能性は増えてきてしまうと考えるのが自然でしょう。したがって、規模が大きいことを前提にすれば100％といってもそう的はずれではないのではないでしょうか。

]]> 2007-07-27T15:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/a1dd6e863b56fdf6ba7d5a66f60cad41?ul=Nsk.Zizxc434lL8dOM1KOfoVOLxD.cnuljXhQnNoJ8J_g28wlHMjbHpCQGWZ6LPXsmFfCj0ctTLmRjYgQBir3WN4Cgao 媒体が日経パソコンオンラインというところなので、どうもこのコラムは日経パソコンの読者向け、という風にとらえられる感じがあるようです。いろいろなブログで「蔵出しセキュリティ」に関するコメントを目にするのですが、「こんな話はこのサイトの想定読者には難しすぎるんじゃないのか？ いったい作者は何を考えているんだ？」という、どちらかといえば「作者バカじゃん？」的な感想を目にしたりもします。まあ、馬鹿であることは否定しませんが（笑）、どうも読み筋が違うなあとは思います。

]]> 2007-07-13T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/825a208d9286a4d7bfc4455f38d893d9?ul=dcVLH8JSVhXlIDZy0VaGXZu_JrwNm6kLGr77R1xGu7BKCHZpGZRe58Z6PgfgsYIZnsT95LPNPJyC.MrDqq55Qz56Sbmo のっけから敗北宣言するようで申し訳ありませんが（笑）、いたるところで普通に目にするWebサイトのうちどれがノーガードか、というのを見分ける絶対的な基準はおそらく無いでしょう。体系化できるような手がかりも見つけられていませんので、バラバラとまとまりのないTIPSを並べることになりそうです。まあ、議論のためのたたき台ということで、始めてみましょう。

]]> 2007-06-14T15:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/8579d9c70132d1030b637c5f80a2d043?ul=cUO48R2n0TccP3W5iR_FP3Kvl7HJwZDZJex7YfPcUStFyrWtJ6U6Eet9UyFCn5zcxvBGKHUGlaF36ifr_MGQ7_iiowby 「あやしいサイトに行ってはダメ」と説明するのでは十分ではなくなりつつあることを考えると、気を付けるべきポイントとして何を訴えていけばいいのか――どこかでその先に進むことを思いとどまらせるためには、お金のことを説くのが一番だと思うのです。その先に到達するゴールによってはお金を払わされると警告されると、人は最も強力に反応してくれるのではないかと思います。実際、小学生にネット詐欺のデモサイトを作って疑似体験させてみたときも、子供たちは

]]> 2007-05-31T00:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/eecacdda3b0df3bc7fec496ea3669ecc?ul=YPWP32P6fP5cSTWhcA7tu9oN_EUQJ2k_lp9.S6ThQCvPpjWXlVw28RDoKj2j6qmPUhjwJWHIOkStkT4JhFo5RFAxM2Wg 今回はまたサイバーノーガードの話にしようかと思いましたが、前回の「シックスクリックは詐欺にあらず」に一部で反応していただいたので、せっかくですからもう少し「ワンクリ系」の話を掘り下げてみたいと思います。ワンクリックの類の詐欺に関してこれまで多く見られた言説は、「そもそもワンクリック＝1回のクリック程度で契約、なんてのは無効である」というものでした。今でも1、2回程度のクリックでいきなり「会員登録完了」という画面に強制的に誘導されてしまうようなサイトはまだまだ見られるようです。しかしその一方で、前回も触れたように5回6回とクリックさせるものが増えてきているという現状もあります。

]]> 2007-05-16T14:00:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/93783818e42abaa586b51ea9daaa72c6?ul=oImFwJrW9bXV_EQs3P6trlXAcqcAIlMuBGRlE4oSxmiXNFQFBtmqZroHacU4MzbKFRvmNTi8SIAC73gOnREe4IPSm3Nc 前回の続きでサイバーノーガード戦法の見分け方、を書こうかと思っていましたが、ちょっと気が変わってしまいました（笑）。続きはまた次回あたりということで、今回はまたまたワンクリック詐欺について触れてみたいと思います。この連載の第15回にも書きましたが、今どきの「ワンクリック詐欺」は、その名前に反して「ワンクリック＝1回のクリック」で請求画面を提示するようなものは少なくなりつつあります。回数なら2回以上、場合によっては5回、6回などもあるようです。

]]> 2007-05-02T00:02:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/29fa39744f3d73cb31e9e1c7398f8279?ul=51VSyoAMQ8MAYcshOhkm.04NhnpKoBfZw5UIPa1jja50f.s9wEd2rkVNeCSH27LX6PdlgVh5i2DImsRl7FZCOWCCPPZL 前回、セキュリティ対策をきちんと施すと、システムの開発費は当初の予想の倍にふくらむ、という話をしました。そのときに、開発を考えるときの選択肢として、・覚悟して事前に想定の倍の予算を投じるか・そこをケチってあとで倍以上費用をかけることになるか・Webに色気を出さずに地道にオフラインメインでがんばるかという三つを提示してみたわけですが、某所で「最もメジャーな方法論が抜けてます」というご指摘をいただいちゃいました。

]]> 2007-04-25T00:01:00+09:00 http://rss.rssad.jp/rss/artclk/VWF6WR7z4xYZ/1ed9340bbab10349f971a7f2ce845c5d?ul=kZwX_N9BVeMK490B0CvHv1gCvXRm2yl87J.GD9E1tL4JhF0P7HA0lKUQFbmt0pqhilrm6jEvf31EUQc_DwlFSxidWyHF 実はわたしはIPA（独立行政法人情報処理推進機構）というところでも働いていたりしますが、やってる仕事の内容は「脆弱性情報取扱い制度」にちょこっと関係があったりします。これは、ソフトウエアやWebサイトに脆弱性（セキュリティホール）というものが見つかったら届け出ていただいて、その人に代わって開発者や運営者に連絡を取って直していただくように働きかける、というものです。この制度による届け出数の累計が昨年末で1000件を突破しました（2006年12月までで1166件）。平均すると日に1件強、2件弱のペースになります。

]]> 2007-04-18T00:00:00+09:00