情報セキュリティワークショップ in 越後湯沢 2011が今週金曜日から始まるYo!!!

暑かった夏が過ぎて秋がやってきました。職場復帰してから毎日娘との二人暮らし(注：子連れ単身赴任中なため)の中でバタバタバタバタ生活しています。ふと、研究室の外から香ってくる金木犀の花に癒されるようになりました。いい季節ですねぇ。。。

そんな天高く・・・秋といえば、そう、越後湯沢です。情報セキュリティワークショップ in 越後湯沢ですよ。もう、セキュリティ業界では常識のはず！（ということに勝手にしてますｗ）

今年ももちろん開催されます。今週末の10/7から10/8に新潟県の越後湯沢温泉にて開催ですよ。
参加される皆様方、ご準備はいかがですか？結構朝晩冷えますからね、暖かいかっこうをご用意くださいね。

え、まだ参加表明してない？早くしちゃってください！

情報セキュリティワークショップin越後湯沢 2011
Facebookページ：情報セキュリティワークショップin越後湯沢 2011

前日10/6夜に関連イベントを開催しています。こちらも引き続き募集しています。
越後湯沢ソーシャルメディア交流会


今年のテーマは、「てのひらにセキュリティを！〜！ひとりのリスクはみんなのリスク〜」としました。スマートフォンやタブレット端末などのデバイスの普及やTwitterやFacebookなどをはじめとしたソーシャルメディアの浸透が、私たちの生活に多大な影響をもたらしています。こういった環境下では今まで以上にリスクに対して注意を払っていく必要性がでていますので、まずはそういった観点からの検討を行っていきたいと考えています。もうひとつ、東日本大震災をきっかけにソーシャルメディアとどう付き合っていくのかという視点がかなりクローズアップされてきています。加えて、昨年もテーマとして取り上げたBCP・BCMが、実際にどうだったのかという点で検証をしていく必要性がでてきています。他にも、最近話題のセキュリティに関するトピックスなど、われわれが考えなければならない点はたくさんあります。
このような多彩な問題点について、さまざまな講師陣にお話しいただく予定です。参加者も含めた深い議論につながる二日間であることを、運営担当者としては願っています。

今年は例年の3日間開催を2日開催に凝縮して(講演時間数は変わってません)みました。参加者の皆様にとっては参加しやすくなったのではないかと思う反面、夜の部が若干少なくなってしまうことが残念ではあります。
その分、車座会議をより一層こいいものにしていきたいと考えています。

車座会議といえば、今年はわたしも車座会議の座長をさせていただくことになりました。
「セキュ女子とセキュリティキャリアについて語ろう！」というタイトルで、まるちゃんこと丸山満彦さんと座長をする予定です。今まで、車座で教育関係について語ったことはありますが、"セキュ女子"ことセキュリティ業界の女性問題やセキュリティ人材の"キャリア"についてとりあげたことはありません。セキュリティ業界で女性を含めた多種多様な人材が働くにはどうしたらいいか、男女問わず自身と今後を担う人材のキャリアをどうデザインしていくのか等、業界・経営者・教育といった視点から議論していけたらなと考えています。
前の記事でも取り上げましたが、IPAさんからIT人材白書がらみでいろいろと調査結果がでていますし、NISCからは『情報セキュリティ人材育成プログラム』(注：PDF)が出ていますから、人材の話はこれからの情報セキュリティにおいてとても重要だと考えています。そして、人材の話や教育の話をしていく上で前提となるのが、それぞれのキャリアをどう意識づけしていくのかという意味での“キャリアデザイン”の視点ではないでしょうか。これらについて、参加者といろんな議論ができればいいなぁと考えておりますので、どうぞ参加される方、この“セキュ女子部屋”にご参加ください。"女子"だけではなく、男性も議論に参加していただきたいですね！

なにはともあれ、参加される皆さまが安全であり、かつ充実した二日間となるように、運営側としても最大限努力していきたいと考えておりますので、どうぞよろしくお願いします。

越後湯沢温泉にて、お会いしましょう！！

iisecのオープンキャンパス(5/21)、白浜シンポジウム(5/26-28)

なかなかブログを更新していませんけど元気に過ごしております。5月、6月は魅力的な会合などがたくさん開催されるので、あちこちに出かけたいところですが、育休中の身でなかなか思うように身動きが取れず、身悶えしております。

先日、情報セキュリティ大学院大学(iisec)の教授でもある原田要之助先生からご紹介を頂いたのが、情報セキュリティ大学院大学の春季オープンキャンパスです。iisecは、業界関係者の多くが教鞭を取られたり、あるいは在籍して研究をされたりしていますので、注目されている学校の一つですね。

情報セキュリティ大学院大学
●2011春季オープンキャンパス開催のお知らせ

模擬授業がスゴイですね・・・ある意味、下手なセミナーにお金払って行くよりもお得かもしれませんｗ
しかし、お一人30分とはこれまたもったいない・・・1時間は欲しいところですね。でも、そうなるとオープンキャンパスの模擬授業ではなくなりますけどね（笑）。
オープンキャンパスではありませんけど、今年から日大の堀江先生とトーマツの丸山さんが合同でやる講義もあるのだそうで…これまたなんとヨダレが出そうなぐらい聞きたいですね。掃除婦に化けて教室の端っこでお聞きしていたいぐらいウラヤマシイです(笑)。


もう一つ、こちらもご紹介がてら。春の白浜シンポジウムです。
第15回サイバー犯罪に関する白浜シンポジウム

今年のテーマは「クラウド時代のセキュリティ対策」ということですが、もうネタには困らないぐらいここ数カ月間にあれこれありすぎますよね。きっと、夜のセッションが盛り上がることは言うまでもないでしょう。

・・・行きたいなぁ（ボソ）。

29SEC2011のLTネタ

29SEC2011のLTの様子。当日は、TwitCastingの録画で放映しましたが、USTの録画のほうが画像が鮮明なので、こちらを貼りつけておきます。

http://www.ustream.tv/recorded/12564243

なお、当日に使用した資料の公開は終了しましたのであしからず。

「セキュア・ジャパン２０１０（仮称）」パブコメ募集

世の中ははやぶさの活躍に感涙し(ワタシも感涙しました...)、W杯で盛り上がっていますが、私はいろいろな関係でバタバタと生活してます。おかげで、講義関係以外の業務(ISACAとか、学会関係とかそういった方面)が随分滞っている状況です...あいすみません...あと、コメントへの返信とかも...そのうちします、はい(^_^;

NISC(内閣官房情報セキュリティセンター)が、“セキュア・ジャパン２０１０”についてパブコメを募集しています。
５月に発表された“国民を守る情報セキュリティ戦略”なども念頭においての内容ですが、チラ見した感じでは今までの“セキュア・ジャパン”とは違ってきているような...気がするので、もう少しガン見しないといけませんね。

NISC(内閣官房情報セキュリティセンター)
●「セキュア・ジャパン２０１０（仮称）」（案）に関する意見の募集
●「セキュア・ジャパン２０１０（仮称）」(本文：PDF)

パブリックコメントの募集は、６月２８日までです...募集期間短ッって思ったのは私だけですかね(笑)。

白浜シンポジウムが6/3〜6/5の日程で開催中です。

ここ数日は晴れの夏日が続いていますね…。暑いのが結構苦手なので、熱すぎると稼働率が下がりますのであしからず。。。

さて、私が今年度から実行副委員長として関与している“情報セキュリティワークショップ in 越後湯沢”の兄弟イベントでもある、“サイバー犯罪に関する白浜シンポジウム”（通称：白浜シンポ）が、和歌山県の南紀白浜温泉周辺（メイン会場は、和歌山県立情報交流センターＢｉｇ・Ｕ）で開催されています。
もうすでに、昨日の午後から２つの講演とBOF(分野別会合)、セキュリティ夜話などのイベントが行われたそうです。
この手のイベントは、皆さんボランティアで運営されていますので、本当に大変なのですが、講師と参加者と運営側の一体感が楽しめて、勉強にもなり、自分自身の人脈の幅がひろがるというメリットも多数ありますね。

“サイバー犯罪に関する白浜シンポジウム”（通称：白浜シンポ）

今年こそは！と参加する気満々でいたのですが（南紀白浜なら確実に宿泊できるところもあるので）、残念ながら体調的な諸事情により断念させていただくこととなりました。まぁ、今は正直大人しくしていないと色々大変なので、やむを得ません。来年こそは…と思っていますが、今の現状からすれば先のお約束などできませぬのであしからず…。

さて、そんな参加出来ないかわいそうな私のような人達にも、あちらの事務局・関係者の皆様から、Twitterを活用した情報提供と、“ダダ漏れ”(USTによる動画配信）のプレゼントがあるそうです。

白浜シンポジウム事務局：Twitterアカウント @shirahama_sympo
今年度のハッシュタグは、#sccs2010 だそうです。
事務局さんがいうには、土曜日午前のパネルディスカッションではTwitterでのつっこみOKだそうです。

白浜シンポジウムUstream中継

セキュリティネタはオフレコ(オフレコにしないと話せない話題)も多いので、完全な中継にはならないとは思いますが、雰囲気を見るにはいいかなと思いました。越後湯沢WSでもUSTは前向きに検討してますのでお楽しみに(^_^)
でもまぁ、一番いいのは、イベントに参加することなんですけどね！

…行きたかったなぁ(溜息)。

システム監査企業台帳、情報セキュリティ監査企業台帳、今年度の登録開始。

昨年から、システム監査人に関するキャリアデザインの研究を初めていまして、業界関係者のみなさまにあれこれヒアリングを進めています。
その研究から少し派生して、システム監査に関しても歴史的な取りまとめを進めています。結構過去の資料に今に至るまでの普遍的なテーマが取り上げられているので、これらを埋もれさせてはイカンなぁと思うわけです。

さて、そんなシステム監査について随分前から進められている活動の一環が、経済産業省が中心となって取り組まれている“システム監査企業台帳制度”です。情報セキュリティ監査制度が登場してからは、これに加えて“情報セキュリティ監査企業台帳制度”もできましたね。
今年度の登録が開始されましたので、ご紹介しておきます。

経済産業省
●平成２２年度「システム監査企業台帳」申告についてのお知らせ
●システム監査企業台帳　サイト
●平成２２年度「情報セキュリティ監査企業台帳」申告についてのお知らせ
●情報セキュリティ監査企業台帳　サイト

IPA＆JPCERT/CCから：制御系システムのセキュリティについて調査報告書が出ています。

あっという間に6月…バタバタと慌ただしく過ごしています。いろいろやりたいこと、やらねばならないことががありますが、体調的な問題もあり追いついていません。ワタシの中では、今日はまだ5月33日の気分です(汗)。

さて、JPCERT/CCさんとIPAさんから、制御系システムのセキュリティに付いて調査報告書が出ています。私は、父の職業がFA(ファクトリーオートメーション)企業の経営者ということもあり、父自身が制御盤から1980年代に工業用ロボットを含めたシステム分野に進出した技術者であったこともあり、この手の分野にはいろんな意味で興味があります。
ということで、この調査報告書もじっくりとガン見する予定です。

IPA
●プレス発表
「制御システムセキュリティの信頼性とセキュリティへの取組み強化への提言」〜「制御システムセキュリティの推進施策に関する調査報告書」の公開〜

今後、セキュリティ系で最も関心を集めるテーマだと思うので、いろんな人に関心を持ってもらいたいですね。

総務省から『スマート・クラウド研究会報告書』が公表されています。

流行りばかりを追っているつもりはありませんが、私の担当科目の性質上新しい内容を反映していくことは当然必要になります。そういう事情から、昨年からはクラウドコンピューティングについても講義でちょこちょこと取り上げています。学生も、目新しさなのか、インパクトが大きいのかは分かりませんが、クラウドについてはある一定の関心は持っているみたいです。

総務省が、5月17日に『スマート・クラウド研究会報告書』を公表しています。これは、2月上旬〜3月上旬に公表した中間報告に対するパブコメ結果を反映させたものとのことです。
総務省
●「スマート・クラウド研究会報告書」の公表
●スマート・クラウド研究会報告書（本文）(PDF)
●スマート・クラウド研究会報告書参考資料(PDF)

これらの資料については、高崎経済大：情報科学と、新島短大：情報システム論において、少し紹介させてもらいました。履修学生の皆さんは、ぜひ目を通しておいてください。
まだまだ続きがあるよ。クリックして読んでみて！

ISACA国際本部からクラウドに関する調査結果(南米のお話)が出ています。

ＧＷを過ぎたら急に暑くなってきて、雨が降ると蒸し暑くて、暑いのが大の苦手な私には少々ツライ季節が近づいているのを日々感じています…体調を崩しやすいので気をつけねばなりませんねぇ。

さて、ISACA国際本部からあちら時間の5/18付けで、クラウドに関する下記の調査結果が出ています。南米の話なのですが、ちょっと面白いなあと思いましたのでアップしておきます。

ISACA国際本部
●ISACA Survey: Latin America Embracing Cloud Computing
More Readily Than North America and Europe
●2010 ISACA IT Risk/Reward Barometer―Latin America Edition(PDF)

南米の調査結果と言うことで紹介されてますが、さきに発表している北米・欧州の結果と比較すると南米の方がクラウドを利用する傾向が強いようんぬんという話になるそうですな。
実際はどうなのかなぁ…と。私は南米方面はからっきしわかりませんので、ちょっとそのあたりの情報は欲しいところです。

今年のISACA国際のカンファレンスはメキシコなので、その際にもかなり話題として取り上げられそうですね。

今後、アジアの状況などの調査結果も出るのかなぁ…。
そういう意味ではちょっと面白い調査とも言えます。あまり、全世界的に調査されたデータってないと思うので。

国が考えるIT戦略とセキュリティ戦略が公表されました…その2：セキュリティ戦略です。

昨日から、某所では情報セキュリティEXPOとかクラウド・コンピューティングEXPOとかが開催されていて、お知り合いの著名な先生方が多数セミナーとかでお話されていらっしゃいます。マジメに聞きに行きたいのですが、私はフルで講義を抱えておりますので抜け出すわけにもいかず、悔し涙にくれております...(ぐすん)。あとで、いろいろネタとかきかせてくださいませ＞諸先生方。

さて、国が公表した情報セキュリティ戦略についても掲載しておきます。
こちらは、内閣官房情報セキュリティセンター（通称：NISC）というところから公表されています。IT戦略本部の下に、セキュリティに関する議論を行う“情報セキュリティ政策会議”が設置されています（情報セキュリティ政策会議について(PDF)）。5月11日にその第23回会合が実施され、そこで下記のセキュリティ戦略が公表されることになりました。

なお、これも、先ほどのエントリ同様、講義の中でも触れていく予定です。

内閣官房情報セキュリティセンター(NISC)
●情報セキュリティ政策会議　第２３回会合（平成２２年５月１１日）
●「国民を守る情報セキュリティ戦略」(PDF)

基本方針として掲げられているのは、次の三つですね。こちらもざっくりまとめてみました。

まだまだ続きがあるよ。クリックして読んでみて！

国が考えるIT戦略とセキュリティ戦略が公表されました…その1：IT戦略の方から。

本題からいきなり外れますがGW中にとうとう(笑)結婚しました…現在は、私が単身赴任中です。姓名および仕事上の連絡先は変更ありません。ということで、プライベートがバタバタしていた上に、仕事は通常通り(それ以上？)の状況でしたので、なかなかブログも更新出来ていませんでした...ゆるーりまたーり更新しますのでよろしくです。

さて、5/11に国から“国が考えるIT戦略”と“国が考える情報セキュリティ戦略”が公表されています。大変興味深い内容が盛り沢山なので、いくつかの講義(本務校：情報システム論、高崎経済大：情報科学)でも取り上げていく予定です。

まずは、国が考えるIT戦略の方から。
こちらは、高度情報通信ネットワーク社会推進戦略本部、通称：IT戦略本部から公表されたものです。IT戦略本部については、こちらを見るとわかります...。

高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)
●高度情報通信ネットワーク社会推進戦略本部（第５３回）
議事次第
●新たな情報通信技術戦略（案）(PDFデータ)

冒頭で掲げる三つの柱とそれに対する目標をまとめると以下のとおりですね。ざっくりとまとめましたので漏れはあるかも。
まだまだ続きがあるよ。クリックして読んでみて！

JUASさんから『企業IT動向調査2010』が公表されています。

JUASから、2010年の『企業IT動向調査2010』が出ていました。昨年の結果は公開講座等でも導入部のネタに使いましたので、今期との違いについても見ておきたいと考えています。（まだチラ見しかしてません。）

JUAS
●企業IT動向調査２０１０

学生さんは、プレスリリースだけでも読んでおきましょう。


ちなみに、先日、丸山さんのブログを見ていて公開されていたことに気づきました。とてもお忙しい方なのに、あれだけのブログ更新頻度は感心します。。。内容も適切ですしね。すごいと思いますよ。

IPAからGW中の注意事項が出ています

本日よりGWが始まりますね。私は、いつもと違い今回のGWは旅行など全く行かずにこれより控えるイベントに備えたいと考えています。まずは、手始めに今日はこのあと実家方面まで移動します。4/30は研究室不在となりますのでよろしく＞学生。それから、メール等の返信が遅れまする＞関係者各位。

さて、IPAからゴールデンウィークについて下記の情報がでていますので注意喚起を含めてこちらにも掲載しておきます。

IPA
●【注意喚起】 ゴールデンウィーク前に対策を

気をつけなきゃねぇ・・・。

フィッシング対策協議会からフィッシング対策ガイドラインが公表されています。

仕事だけではなくプライベートも含め慌ただしさがつづいているため、こちらのブログの更新が滞っています。いろいろな場で「ブログ更新してませんね〜」と聞かれることが増えましたので、少し意識しようかなと思いつつ...思うだけなんですが(笑)。まぁ、またーりやってきますのでご了解くださいませ...。

講義用に学生向けの資料も兼ねて、いくつかのデータを拾い集めていますが、3月〜4月にかけてはセキュリティ関係の各種団体さんが、いろいろな資料を公表してくれますので、参考になります。
一応、このブログを始めた主旨は“学生向けに情報システムやセキュリティ、キャリアに関する情報を伝える”ということでもありますので、そういう目的に合致しそうな情報は掲載して良く予定です。

というわけで、フィッシング対策協議会さんから、『フィッシング対策ガイドライン(2010年版)』が公表されています。チラ見しましたが、フィッシングの事例が典型的事例と複雑な事例など図解されていて、学生でも十分理解しやすいのではないかなぁと感じましたから、興味のあるかたは是非見てみてください。Website管理者も見るべきだと思いますよ。

フィッシング対策協議会
●資料公開: フィッシング対策ガイドラインの公表について
●フィッシング対策ガイドライン(2010年版)PDFです。

フィッシング詐欺という言葉自体はいい加減定着したんじゃないかと私なんかは思ってしまうわけですが、一般の学生とかに聞くとあんまり定着してないですね。
フィッシング対策協議会のWebsiteでは、最新のフィッシング詐欺についても緊急情報として掲載されてますから、不明なメールを貰ったらそのURLをポチっとする前にこちらの情報を確認することをおすすめします。

日銀から『業務継続体制の実効性確保に向けた確認項目と具体的な取組事例（増補改訂版）』が出ています

2010年の情報セキュリティワークショップ in 越後湯沢のメインテーマがBCP・BCMなので、講義資料と言うだけではなくそれプラスαとして適宜資料を集めていたりします。BCP・BCM関係で日銀からかなりの情報が提供されていますが、さすがに国の金融政策を担う中央銀行だけに事業継続にも関心が払われているわけですね。

というわけで、日銀が公表している資料。増補改訂版です。

日本銀行
●業務継続体制の実効性確保に向けた確認項目と具体的な取組事例（増補改訂版）
●全文ダウンロード(PDF)

IPAから「クラウド・コンピューティング社会の基盤に関する研究会」報告書が出ました。

先日、IPAから出ていた「クラウド・コンピューティング社会の基盤に関する研究会」報告書（案）のパブコメ結果を反映した最終報告書が公表されたようです。

IPAプレス発表
●「クラウド・コンピューティング社会の基盤に関する研究会」報告書の公開〜ユーザ側の視点からのクラウド・コンピューティングの現状と課題〜
●クラウド・コンピューティング社会の基盤に関する研究会　報告書(本文)(PDF)
●クラウド・コンピューティング社会の基盤に関する研究会　報告書(概要版)(PDF)
●パブコメ結果(PDF)

COBIT5 Design PaperのExposure Draftが公表されています。

今朝、eCCの最終校正を終えてメール配信依頼を出してほっと一息ノンカフェインの紅茶を飲んだ瞬間に、国際本部からメールが来てビビりました。もうあと数分早く到着していたら、今月号のeCCに記事を差し込めたのに…と残念無念。私もだいぶ、広報委員長が板についてきました(苦笑)。

ISACA国際本部から、COBIT5について、Design PaperのExposure Draftが公表されました。チラ見しましたが、結構概念が4.1とは異なってきています。どういう違いかというと、全体枠としては、今までValITやRiskITとCOBITという形でのすみわけを進めてきていたのを、COBIT製品群のような形に集約しつつあるという外形的な話に加え、内容も、ISOの概念との整合性を図りつつあるというのが、チラ見した感想です。

ISACA本部
●COBIT® 5 Design (Exposure Draft)

コメント募集してますから、是非どうぞ。4/12までです。

国土交通省：「ブレーキ・オーバーライド・システム」等の基準化について

いろいろ自動車関係の話題は日常的に出てくるわけですが、今、私たちが運転している自動車は様々な箇所にコンピュータ化されていますので、一種の情報システムが組み込まれた乗り物と考えた方が無難です。
ですから、今現状においてはセキュリティと直接関係するわけではなさそうに見えたとしても、将来的には間違いなくシステムやセキュリティに関係されている方々はこの手の問題にも目を向けねばならなくなるだろうと思いましたので、上げておきます。

国土交通省
●「ブレーキ・オーバーライド・システム」等の基準化について

セキュリティ屋はアンテナを広げておけということですね。

総務省：特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発及び電子メールに係る役務を提供する電気通信事業者によるその導入の状況

これも講義用メモ。最近、睡眠時間を増やさないと身体が持たなくなってきていますので、ブログの更新が思うようにできません。

総務省より、下記の資料が公表されてます。
総務省
●特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発及び電子メールに係る役務を提供する電気通信事業者によるその導入の状況

タイトル長ったらしいので学生さんはわかりづらいかもしれませんが、要するに迷惑メールの防止技術についてこんなものやあんなものを入れてますということを公表している資料だとお考えください。

IPAから「安全なSQLの呼び出し方」が公開されています。

ウェブサイトを狙った攻撃は後を絶たないわけですが、簡易に比較的便利なものが作れるということは、ある程度攻撃しやすさも産むわけです。でも、作る側にそれ相応の知識がないとなかなかできない。SQLインジェクションなど、ずいぶん前から指摘されていることがまともに対応出来ていないというケースは多いと痛感しています。

というわけで、IPAさんから下記の資料が公表されています。
SQLでちょちょちょって作る場合に留意すべき点が書かれてますので、そういう担当の方は一読をおすすめします。

IPA
●「安全なSQLの呼び出し方」を公開』　〜深刻な被害が発生しているSQLインジェクション攻撃への具体的な対策書〜