カラースターの配布について - はてな(情報元のブックマーク数)

IT はてな

カラースターはてな称号によって、無償配布されているみたいです。

はてなでは、はてなのサービスで以下の条件を満たすことで、カラースターショップで販売しているグリーンスターを無料で配布いたします。現在の配布条件は以下の通りですが、今後様々な活動に対して配布を行っていく予定です。受信したカラースターはアイテム受信一覧で見る事ができます。

カラースターについて - はてな

私はグリーンを38個、パープル1個らしい

id:hatenashopさんから

を受け取りました。

screenshot

UFJのフィッシングメールが到着してた。

IT セキュリティ

ヘッダはちょっとだけ加工

From - Tue Apr 14 15:10:19 2009
Return-Path:
X-Original-To: xxx@example.co.jp
Delivered-To: xxx@example.co.jp
Received: from www.skepsolutions.co.uk (www.skepsolutions.co.uk [82.165.42.161])
by example.co.jp (Postfix) with ESMTP id 41C6F6D802F
for ; Tue, 14 Apr 2009 15:06:43 +0900 (JST)
Received: (qmail 23231 invoked from network); 14 Apr 2009 02:39:24 +0100
Received: from adsl-66-123-134-210.dsl.lsan03.pacbell.net (HELO User) (66.123.134.210)
by s15211022.onlinehome-server.info with SMTP; 14 Apr 2009 02:39:23 +0100
From: "UFJ Card ( Mitsubishi UFJ Financial Group )"
Subject: UFJ Card ( Mitsubishi UFJ Financial Group )
Date: Mon, 13 Apr 2009 18:39:23 -0700
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20090414060644.41C6F6D802F@example.co.jp>
To: undisclosed-recipients:;
X-UIDL: ^e7"!"SB!!Gl%"!_Gl"!

asahi.com(朝日新聞社):楽天、PHSに参入 まずは法人向け - ビジネス(情報元のブックマーク数)

IT 雑記

楽天グループがウィルコムの回線を借りてPHS事業を開始とのこと。

楽天グループは15日、PHS大手ウィルコムの回線を借りて、PHS事業に参入したと発表した。新サービスの「楽天モバイル for Business」は、まず法人向けで開始。軌道に乗れば、個人向けにも拡大する方針という。

 通信会社から回線を借りて独自のサービスを展開する「MVNO(仮想移動体通信事業者)」はウォルト・ディズニー・ジャパンが昨春から始めた「ディズニー・モバイル」をはじめ、日本でも20社近くが展開している。

http://www.asahi.com/business/update/0415/TKY200904150349.html?ref=rss

screenshot

MS Windows Media Player (.mid File) Integer Overflow PoC(情報元のブックマーク数)

IT セキュリティ

MediaPlayerの.midファイルに関するInteger Overflowに関するPoCが出ています。

#! /usr/bin/perl
#
# Windows Media Player (.mid file) Integer Overflow PoC
# By HuoFu
#
# Test Windows Media Player. Ver: 11.0.5721.5260
#

http://www.milw0rm.com/exploits/8445

screenshot

Gmailで自宅と会社のメールを丸ごと一元管理:万能Google120%活用法(情報元のブックマーク数)

IT セキュリティ

会社情報をGmail漏えい事件推奨記事。便利だが危険なことも理解してほしい。

最大のメリットは、仕事用と家庭用のメールを一元管理できること。設定もさほど難しくない。個人用のメールはGmail上で受信し、会社のメールはGmailに自動転送するように設定する。そうすれば、自分宛てに届くすべてのメールを、Gmail一本で管理できるようになる。

 この一元管理方式で便利なのは、今使っている仕事用・個人用のメールアドレスを、そのままGmail上でも使えること。例えば、メールを送るときも、自分の個人用・仕事用のアドレスを送信者として、そのままGmailからメールを送ることができる。おかげで、メールを受け取った相手側から見ると、いつものメールアドレスから発信されたようにしか見えない。

Gmailで自宅と会社のメールを丸ごと一元管理 | 日経 xTECH(クロステック)

Googleの中の人と思ったらフリーライターさんだったんですね・・・

(原 如宏=フリーライター 出典:日経PC21 2009年4月号 )

Gmailで自宅と会社のメールを丸ごと一元管理(9ページ目) | 日経 xTECH(クロステック)

screenshot

2008年のデータ漏えいは2億8500万件――Verizonが調査(ITmediaエンタープライズ) - Yahoo!ニュース(情報元のブックマーク数)

IT セキュリティ

米国での事例ですが、企業情報漏洩の中で、部外者の起因する情報漏洩が74%だそうです。日本の内部からの漏えいに比べると正反対ですね。

件数は、2008年

米Verizon Businessは4月15日、企業の情報漏えい事件に関する実態調査報告書を公開した。部外者に起因する漏えいが全体の74%を占め、セキュリティ管理の仕組みを見直す必要性があると指摘している。
報告書は、2008年に同社が調査対応した情報漏えい事件の動向を分析したもので、今回で2回目となる。漏えいしたデータの件数は2004〜2007年の累計で2億3000万件だったが、2008年は2億8500万件となり、大幅に増加した。

http://headlines.yahoo.co.jp/hl?a=20090416-00000012-zdn_ep-sci

漏えいしたデータのうち、74%は部外者に起因し、特にビジネスパートナーが関係するものが32%を占めた。部内者が起因するものは20%だった。64%は複数の要因が関係して発生し、最も悪質なケースでは企業の過失を悪用して不正アクセスを行い、さらにマルウェアを仕掛けて情報を盗み出していた。

http://headlines.yahoo.co.jp/hl?a=20090416-00000012-zdn_ep-sci

海外の事例と対策なんて、知らなかったのでメモ。このあたりは2年後の日本で実施しなければならない項目と思って対応せよ!

同社では、事件の90%は基本的なセキュリティ対策を徹底していれば回避できた可能性があると分析。具体的には以下のような対策を挙げている。

・デフォルトの認証情報を変更する
・認証情報を共有しない
・ユーザーアカウントを見直す
・アプリケーションのテストとコードの見直し
・パッチの適用を徹底する
・人事部門が適切に退職者の手続きをする
・アプリケーションを記録、監視する
・「疑わしい」と「異常」を定義して、分析する

 いずれの対策も高額な費用や複雑な仕組みを伴うものではなく、基本的な事項を徹底することが重要になると結論付けている。

http://headlines.yahoo.co.jp/hl?a=20090416-00000012-zdn_ep-sci

関連URL

screenshot

Open Source SSL Acceleration(情報元のブックマーク数)

IT セキュリティ

OSSだけでSSLアクセラレータを作ったら5000ドルで作れたよ!Big-IPの1/10だよ!!っていう記事。。。。それだけじゃねーだろ・・・

"SSL acceleration is a technique that off-loads the processor intensive public key encryption algorithms used in SSL transactions to a hardware accelerator. These solutions often involve a considerable up front investment as the specialized equipment is rather costly. This article though looks at using off the shelf server hardware and open source software to build a cost effective SSL accelerator."

Open Source SSL Acceleration

そりゃ安いだろうよ!!!wwwwSSLでリバースプロキシしかしてないしw

Performance

The lab test system was a dual processor AMD Opteron 2380 2.5GHz Quad-Core system, for a total of 8 processor cores, L2 cache was 4 x 512k, and L3 cache was 6MB. Standard Intel Server Gigabit NICs, and 32GB of RAM. On a Tyan Transport platform, the system cost was under $5k. The system had no problems handling over 26,590 TPS, the test lab ran out of capacity to generate additional transactions. Compare that to the F5 Networks Big-IP 6900 which handles a maximum of 25,000 TPS but carries a starting price tag of $55,000. That starting price only includes 500 SSL TPS, so expect to pay a lot more to get up to the 25,000 level. It should be possible using this solution and even better hardware (8xxx series Opterons and more RAM), and perhaps some 10GbE adapters from Intel to come close, if not beat the performance of the BIG-IP 8900. Which has a maximum rate of 58,000 TPS. While obviously not as polished as the F5 solution, this Open Source solution does get the job done for a fraction of the price.

http://www.o3magazine.com/4/a/0/2.html

確かにハード費用が下がってきているので高性能なハードを設置するほうが、専用ハードを設置するより安い時期になっているかもしれませんね。

Conclusion

Nginx once again has shown that it is a versatile open source project. For the cost of a server and a few hours work, any system administrator can increase the capacity of their existing server farm by building an Open Source SSL Accelerator. Reducing the complexity of certificate management, reducing the number of certificates needed and reducing the overall load per request on the existing server farm, this solution offers a cost-effective way of breathing new life into an existing server farm.

http://www.o3magazine.com/4/a/0/2.html

screenshot

こ、これはw・・・トトロシュークリームの作り方 - IDEA*IDEA 〜 百式管理人のライフハックブログ 〜(情報元のブックマーク数)

IT 雑記

これは、すごい作りたい!!!

これはすごい。というか作りたいぞ!トトロのシュークリームを作っちゃった方がいらっしゃるようです。

こ、これはw・・・トトロシュークリームの作り方 | IDEA*IDEA

screenshot

_ [サーバ][勉強会] [postfix-jp: 3444] [ANN] milter manager 1.0.0:TATSUYA.info [Diary](2009-04-16)(情報元のブックマーク数)

IT セキュリティ

milter manager 1.0.0がリリースとのこと!!!これはすごい!!!

milter manager初の安定版1.0.0がリリースされたとのことです。

MLの投稿の中で静岡 IT Pro勉強会の紹介もしていただいています。ありがとうございます。

http://tatsuya.info/tdiary/?date=20090416#p15
って思ったらkouさんMLで静岡ITPRO勉強会を宣伝してくれてる!!!ありがとうございます!!!

== お知らせ
第2回静岡IT Pro勉強会でmilter managerのことを話すと思います。
http://shizuoka-itpro.techtalk.jp/2ndworkshop
taRgreyなどを提案しているさとうさんもお話しされるので、参加すると役立つことが聞けると思います。
http://d.hatena.ne.jp/stealthinu/

[postfix-jp: 3444] [ANN] milter manager 1.0.0

screenshot

_ [生活] すき家が牛丼やカレーを値下げ、そして「豚丼」を販売休止へ(GIGAZINE):TATSUYA.info [Diary](2009-04-16)(情報元のブックマーク数)

IT 雑記

ぇーーー僕も豚丼のほうが好きなのにぃ・・・

すき家豚丼をやめちゃうらしい。

個人的には牛丼より軽い感じで良かったんだけどなぁ。

http://tatsuya.info/tdiary/?date=20090416#p05

screenshot

攻撃者の狙いとは:Confickerワーム亜種に再拡散の予兆 - ITmedia エンタープライズ(情報元のブックマーク数)

IT セキュリティ

Confickerワームが再拡散の予兆とのこと

Confickerワームは、WindowsのServerサービスの脆弱性を悪用して感染を広げている。最初に確認された「A」は、ローカルネットワーク上のマシンに対して感染を広げたが、その後登場した亜種の「B」では、リムーバブルメディアでも感染を広げられるようになった。感染規模はセキュリティベンダーによって見解が分かれるものの、最盛期となった昨年末から今年始めにかけて、数百万台のPCに広がったとみられている。

 その後登場した亜種の「C」は、Bに感染したマシンのみに感染することが確認され、米Symantecによればユーザー側でセキュリティパッチの適用などが進んだことから、感染規模が縮小していた。しかし、4月8日ごろからCに感染したマシンにおいて、スパム配信機能や再びWindows脆弱性を突いて拡散する機能を実装していることが確認された。同社では、これをConfickerの新たな亜種「E」に指定した。

Confickerワーム亜種に再拡散の予兆 - ITmedia エンタープライズ

ボットマシンを大量確保のためじゃないか・・・・とのこと・・・

近年のセキュリティの脅威が潜在化する傾向にある中で、大規模な感染活動を繰り広げるConfickerは極めて特殊なケースと指摘する。
「恐らく、攻撃者は何らかの理由で短期間にボットマシンを大量に確保する必要性に迫られ、ワーム形式で感染拡大を図っているのではないか。その後、スパム配信者などにレンタルするなどの目的でビジネスを行っているのかもしれない」(同氏)。しかし、真の狙いが別にある可能性も捨てきれないという。

Confickerワーム亜種に再拡散の予兆 - ITmedia エンタープライズ

screenshot

技術者という「属性」 - ~fumi/ChangeLog(情報元のブックマーク数)

IT SKIL

前職では、やはり内部の情報だけでおなかいっぱいになるし、やることもいっぱいあるので中々外に目が向かないという人が多かったですね

一度外を見ると、、、、変わるのかなぁ・・・(変わらなそうだけどw)

さらに質の悪いことに,そういうのが上にいるから,
他の人もその程度でいいという考えに流され,
どんだけぬるま湯につかっているか気付いていない.

で,さらに上の人はスキルアップしろとか言うけど,
スキルアップするにしても,どういう方向でスキルアップすればいいのか,
という点については何も言わない.
スキルアップが必要だと思うなら,足りていない何かがあるはずで,
それの指摘くらいやるべきだと思う.
指摘しないと気付かないし,何もしない人ばかりだから.

技術者という「属性」 - ~fumi/ChangeLog

Tatsuya君経由で知ったんだけど、やっぱりVoIP FAXは鬼門というのが、昔にあったら
その後チャレンジしないってのもあるんでしょうね。

前職は、、、、かなり苦労したけど専用線VoIP FAXしてたよなぁ・・・

職場ではレガシーPBXの方が品質が良い。と言う固定観念というか思い込みが有ったりして
Voice over IPとかFAX over IPなんかダメだ。って言うのがまずある。
こういう言い方は失礼だけど、それじゃこの先やってけないよ。

http://tatsuya.info/tdiary/?date=20090416#p14

Tatsuya君はかなーーーり勉強家ですよねぇ。VM化とか挑戦してるし!すごい!

自分が休みの日に勉強会に参加するって言う話をちょっと会社ですると、「え!?」って言う感じ。
別に今のままで満足してるなら良いけど、自分は今のままじゃ満足出来ないから、
地道に勉強してちょっとでも自分のやってみたいことが会社で出来るようにしていくつもり。
そのためには常にアンテナを高く上げて、日々、勉強することが絶対に必要ですね。

http://tatsuya.info/tdiary/?date=20090416#p14

screenshot

パターンアップ-5.971.00

TREND パターン

Trendmicroのパターンがアップしました。

パターン番号:5.971.00

イエローアラートJP/USJP Confickerエイプリルフール、2009年03月度パッチ、AdobeのZero-DayとMS09-002のExploit、FlashPlayer、ExcelのZero-Day警告/US 特筆無し
アップデート理由:定期アップデート
新規対応
 特筆なし
亜種対応
 特筆なし

screenshot

第4回 シンクライアントがオフラインに対応:ITpro(情報元のブックマーク数)

IT セキュリティ

IBMインテルシンクライアントで利用ロックをするようなシンクライアントを想定しているとのこと。

遠隔地からノートPCの利用をロックする機能を開発中なのが、レノボインテルだ。第3回で紹介したKDDIIIJのサービスとは異なり、ノートPCに機能を搭載する格好になる。利用料金は不要だが、ノートPCの機種は限定される。データの削除ではなく利用のロックを主眼に置いている点もKDDIIIJのサービスと異なる。

第4回 シンクライアントがオフラインに対応 | 日経 xTECH(クロステック)

ほぉ!DoS攻撃がパソコンに向けて可能と。

両社の機能はノートPCに内蔵した携帯電話網に接続できるデータ通信モジュールがキーとなる。利用者がこのモジュール宛てに命令を送ることで、パソコンの利用ロック機能を制御する。モジュールに給電し続けることで、一般的な携帯電話の“待ち受け”のような状態を保ち、パソコンの電源が切れていても利用ロック命令の受け取りを可能にする。

第4回 シンクライアントがオフラインに対応 | 日経 xTECH(クロステック)

シンクライアントにも仮想化の波、仮想化を使うことでオフラインでも利用できるようにするとのこと。へぇ

米ヴイエムウェアが2008年12月に発表した仮想デスクトップの新版「VMware View」では、仮想マシンをローカルにダウンロードする機能が搭載された。通常はサーバー側の仮想マシンを使い、通信ができなかったり不安定だったりする場所では、ローカルにある仮想マシンを使うことが可能になる。米シトリックス・システムズも同様の機能を提供する予定だ。

第4回 シンクライアントがオフラインに対応 | 日経 xTECH(クロステック)

screenshot

セキュリティ人間工学と,バックオフィス詐欺防止テクニック:ITpro(情報元のブックマーク数)

IT セキュリティ

RSAカンファレンス2009の事前情報、セキュリティ人間工学

2009年4月23日にカリフォルニア州サンフランシスコで開催される「RSA Conference」で,「セキュリティ人間工学」と題した講演を行う。その概要は次の通りだ。

  • セキュリティや構成を設定する際にポップアップ警告メッセージが表示され,「許可/禁止/キャンセル」するよう迫られる現状に満足しているだろうか。エンジニアやセキュリティ専門家であれば,このような状況で次に何をすべきかを,提供された情報から判断することができる。それでも,誤った処理をしてしまうことがあまりにも多い。
    それなのに,なぜその失敗を一般ユーザーのせいにするのか。プロなら,セキュリティの責任を自分たちで負うべきだろう。ポップアップ警告で決定を迫るような状況が存在するのは,アプリケーションを開発した「専門家」が,本当は何をすべきか分かっておらず,言ってしまえば「CYA(Cover Your Ass:言い訳)」メッセージで責任をユーザーに押しつけているのだ。
  • アプリケーションの高度化や高機能化が進んでいるせいで,セキュリティの脅威や攻撃手段はますます増えている。「必要なことはやった」としてユーザーにセキュリティの責任を押し付けるのではなく,こうした状況を改善するには何ができるだろうか。現状から前進するには,アプリケーションの設計/開発でセキュリティに関する人間工学を考慮する必要がある。
  • IT業界は,クライアント側に綿密なセキュリティ戦略を導入することで,セキュリティの責任を最終的なユーザーに押しつける傾向が強まっている。よく見てみると,これらセキュリティ保護策の多くはバックエンド・システムに移管可能だ。
    移管すれば,改ざんやユーザー側での侵入の可能性が減るうえ,「フォールス・ポジティブ」(正当な行為を不正と誤判断すること)や「フォールス・ネガティイブ」(不正行為を正当と誤判断すること)に陥る可能性も少なくなる。企業の事業継続において,最大のリスクは自社のユーザーや顧客だ。企業はこの新たな脅威と向き合わざるを得ないため,人間工学に基づくアプリケーション設計戦略は今後ますます必要不可欠になるだろう。
セキュリティ人間工学と,バックオフィス詐欺防止テクニック | 日経 xTECH(クロステック)

こんなのを企業Web管理者が確認する必要があるという提言。うーん、確かにそのとおりですけどパターン化してアプリを作らないと大変だなぁ>管理

テクニックを用いたらよいだろうか。

1. HTTPのリファラREFERER)に注目する:顧客が最初にWebサイトにアクセスしてくる際,参照元が必ず存在する。WebブラウザREFERER情報を送信しないよう設定することはできるが,(操作の流れに依存する大半のWebアプリケーションが処理を中断してしまうため)このような設定はなされていないことがほとんどだ。ある顧客のREFERER情報がおかしい,あるいは危険な場所からのアクセスという可能性があれば,この顧客とWebアプリケーションのやりとりに注目し,1〜2週間アカウントを監視する。
 というのも,フィッシング詐欺は,顧客が偽サイトを訪れた際に(おそらく「ロックされたアカウントのリセット」を装って)アカウント用認証情報を盗み出すケースが多いからだ。偽サイトは,情報入手後に顧客のWebブラウザを本物のWebサイトへ自動的にリダイレクトする。REFERERに含まれるURL情報は,被害者を特定するうえで欠かせない手がかりなのだ。
2. Webブラウザのバージョン情報を記録する:顧客がオンライン・アプリケーションで認証するたびに,Webブラウザの種類とバージョンに関する情報を記録する。例えば過去5回分のログイン情報を照会することで,通常とは異なる操作を簡単に検出できる。
 例えば,いつもは米マイクロソフトInternet ExplorerIE)を使ってログインしている顧客がFirefoxでログインしたら(そしてその後,再びIEに戻ったら),疑わしいログインである可能性があるため,以後の処理を監視することでオンライン・セッションの正当性を保証できる。あるいは,前回ログインしたときよりも古いバージョンのWebブラウザを使用している場合(前回はIE 7を使用したのに,今回はIE 6を使ったなど),(フィッシング犯が自分のパソコンから不正送金しているといった)何かおかしいな状況に感づくきっかけになるだろう。
3. 地理的なIP情報(GeoIP):GeoIP情報は非常に便利だ。米国に住んでいる顧客が米国の銀行と取引していて,普段ジョージア州アトランタからDSL接続でオンライン取引を行っているとしよう。こうした情報は,GeoIPで識別できる。この顧客が別の場所(韓国など)のGeoIPで認証を行っていたら,新たな資金移動についてはとりわけ警戒する。GeoIP情報と最終ログイン日時情報を組み合わせると,移動が物理的に可能かどうかという観点から,監視をさらに絞り込むことができる。
4. スパム/フィッシング活動の監視:顧客に届くスパム/フィッシング・メールを監視すれば,メールの量が増え,内容が具体化したときに顧客を狙う詐欺も増えていると考えられる。したがって,新たな攻撃の開始(あるいは詐欺メールが大幅に増えた場合),監視や警戒を強化することで顧客との取引を保証できる。この監視強化は,フィッシング攻撃が継続している間,および攻撃が収束してから2〜5日間行う(顧客がメールを定期的にチェックしているとは限らないため)。
5. 取引のタイミング:現在出回っている不正オンライン・バンキングを仕掛ける高度なトロイの木馬の多くは,1回の認証済みセッショ内で実行する新たな資金移動処理の時間間隔を監視すれば検出できる。トロイの木馬のソフトウエアで実行される,自動化された不正送金を見つけるよりは簡単だ。

 上述したテクニックがすべての解決策を網羅しているというつもりはない。また,当然のことながらWebアプリケーションは千差万別だ。重要なのは,脅威が魔法の弾丸(対策)一発だけで消えたりしないということだ。とはいえ,これらの対策は顧客を詐欺から守るうえで,顧客に面倒な手間を強いることなく,非常に重要な手がかりを提供してくれる。

セキュリティ人間工学と,バックオフィス詐欺防止テクニック | 日経 xTECH(クロステック)

screenshot

「いつ、何をやればいいのか」を明確に、IBMがITIL支援ツール − @IT(情報元のブックマーク数)

IT SKIL

IBMITIL支援ツールを

ITUPは、IT運用管理のワークフローや要員の役割を文書化し、Webブラウザで参照可能にする。ITILは、運用管理のベストプラクティス集で、実践には企業が一からそのプロセスを組み立てるのが基本。ITUPを利用することで企業は、ITILの具体的なプロセスの説明、各プロセスでの成果物、遂行すべき役割の定義、プロセスの実装に含まれるツールの説明などをWebブラウザで確認できる。これにより、プロセスの整備、展開、文書化などの必要な工数と期間を短縮し、ITサービスマネジメントの効率を上げることができるという。

「いつ、何をやればいいのか」を明確に、IBMがITIL支援ツール - ITmedia エンタープライズ

450万らしいですが、全体的に効率化が図れて安価になるとのこと。

スターターキットの内容は、以下の6つのソフトウェア・ライセンスと導入サービスとなる。
1. Tivoli Service Request Manager V7.1 同時接続ユーザー×1ライセンス
2. Tivoli Service Request Manager V7.1導入
3. ITUPベースのテンプレートモジュール導入
4. 「管理項目」「画面設計」の確認および設計作業(10個までの項目追加・変更、5カ所までの表示項目変更など)
5. 操作説明(一般ユーザー、管理者向け)
6. 機能操作手順書および導入作業報告書

「いつ、何をやればいいのか」を明確に、IBMがITIL支援ツール - ITmedia エンタープライズ

screenshot

[Q7]ラージ・スケールNATとは何ですか。:ITpro(情報元のブックマーク数)

IT セキュリティ

先日京都IPv6勉強会でも聞いたのですが、キャリアグレードNATがラージ・スケールNATに名称変更したとのこと。

IPアドレス枯渇対策技術として,「キャリア・グレードNAT」(CGN)の存在が知られるようになってきました。さらに最近は,同様の話題の中で「ラージ・スケールNAT」(LSN)という言葉を耳にしたことがあるかもしれません。LSNとはどんなしくみのことで,CGNとはどう違うのでしょうか?

 実は,LSNはCGNと同じしくみを指しています。いずれも,IPv4アドレス枯渇の対策としてプロバイダなどが実施する大規模なNATのことです。両者は,「CGNの呼称がLSNに変わった」という関係にあります。

[Q7]ラージ・スケールNATとは何ですか。 | 日経 xTECH(クロステック)

キャリアグレードNATはIPv4延命措置じゃなくって、移行措置であるとのこと。ユーザがどう受け取るかは別として・・・

LSNはIPv4アドレスの“延命策”として提案されたものではありません。IPv4から次世代のIPv6への移行期に使われる過渡期のソリューションです。IPv4アドレスは2011年ころ枯渇すると見られており,枯渇後はIPv4アドレスを新たに割り当てられなくなります。しかしアドレス枯渇後もIPv4アドレスを使うインターネットが残ることはほぼ確実で,その際にIPv4アドレスを割り当ててもらえなかった人々に対する何らかのアプローチが必要になります。そのアプローチがLSNというわけです。

[Q7]ラージ・スケールNATとは何ですか。 | 日経 xTECH(クロステック)

screenshot

会議で口を開いてもらうための段取り:ITpro(情報元のブックマーク数)

IT セキュリティ

これ!これが自己紹介の効用!!!

まずは,時間を割いてくれた参加者に対対して歓迎と感謝の意を簡単に述べることから始める。レトロスペクティブの目的と今回の目標を口に出して再確認する。所要時間の確認を忘れずに行なう。

 次に,部屋にいる全員に口を開いてもらう。最初に喋らなかったら,ずっと何も喋らなくていいという暗黙の了解を得たと思ってしまう。

(「アジャイルレトロスペクティブズ」より引用)

会議で口を開いてもらうための段取り(2ページ目) | 日経 xTECH(クロステック)

screenshot

まっちゃ139でこんなシュークリームがでるかもしれない。 - とりこびとのざっき(情報元のブックマーク数)

ネタ まっちゃ139

出ない出ないwwwwwwwwwww!

まっちゃ139でこんなシュークリームがでるかもしれない。

まっちゃ139でこんなシュークリームがでるかもしれない。 - とりこびとのざっき

screenshot

ファイル共有ソフト使わせないで、全国の大学・高専に要請文(情報元のブックマーク数)

IT セキュリティ

ACCSが大学、高専に向けてP2Pファイル共有ソフトを使わないで!というリーフレットを配布するとのこと。

P2Pファイル共有ソフトを見つけるソフト売るんだけどほしい?

コンピュータソフトウェア著作権協会ACCS)、日本レコード協会RIAJ)、日本国際映画著作権協会(JIMCA)は、全国の大学と高等専門学校に対して、ファイル共有ソフトの適切な利用に関する要請文と注意喚起のリーフレットを15日から順次送付する。学生のファイル共有ソフトの利用をやめさせることが狙い。全国の大学と高専810校が対象。

 リーフレットでは、ファイル共有ソフトの利用が著作権侵害や情報漏えいなどにつながるリスクが高いことを指摘。教職員が学生に対して利用停止を指導するように要請する。リーフレット送付後は、ファイル共有ソフトのネットワークを巡回し、利用が確認された大学や高専にはさらなる注意喚起や具体的な対策を求めるとしている。

ファイル共有ソフト使わせないで、全国の大学・高専に要請文

screenshot

迷惑メール対策システム構築ツール「milter manager」,OSSとして公開:ITpro(情報元のブックマーク数)

IT セキュリティ

ってことで、6月の静岡ITPRO勉強会と、まっちゃ445(未定)でmilger manager のkouさんに御講演いただく予定です!!!

すげぇよーmilter manager!

クリアコードは2009年4月16日,迷惑メール対策システム構築ツール「milter manager 1.0.0」をオープンソース・ソフトウエアとしてリリースした。様々な迷惑メール・フィルタを組み合わせた効果的なシステムを容易に構築できるという。

迷惑メール対策システム構築ツール「milter manager」,OSSとして公開 | 日経 xTECH(クロステック)

Rubyってところがいろいろ、柔軟にできるところですな。

milter managerは,Rubyで記述した特定の条件に該当したメールに対してのみmilterを適用できる。またシステムにインストールされているmilterを自動検出する。Webベースのユーザー・インタフェースで設定でき,milterの適用状況や適用結果をグラフ化する機能を持つ。

迷惑メール対策システム構築ツール「milter manager」,OSSとして公開 | 日経 xTECH(クロステック)

screenshot

asahi.com(朝日新聞社):中学生466人の成績漏れる 教委にUSB送られ発覚 - 社会(情報元のブックマーク数)

IT セキュリティ

明石市USBメモリ紛失で中学生466名の成績が漏えいとのこと。

美術準備室や自宅で使ったデータが漏れたとのこと。

兵庫県明石市教委は16日、市内の市立中学校で、08年7月時点の在校生全員にあたる466人分の美術の成績が外部に漏れたと発表した。同校の美術教諭(47)がデータを記録した私物のUSBメモリーを最近紛失したという。内容をコピーしたとみられる別のUSBメモリーが、市教委へ匿名で郵送されてきて発覚した。
市教委によると、紛失したUSBメモリーは教諭の私物で、08年度の1学期の在校生全員の美術の成績の5段階評価が入っていたほか、教諭が08年度に担任をした生徒約35人の氏名、住所、電話番号、クラス写真などが入っていた。教諭はUSBメモリーを美術準備室や自宅で使い、今月2日に紛失に気づいたが「自宅のどこかにあると思って学校に報告しなかった」と説明しているという。

http://www.asahi.com/national/update/0417/OSK200904170004.html?ref=rss

きゃぁーーーーーっ!この紙が怖い・・・

今月15日に同じデータが入った別のUSBメモリーが市教委に届き、「こどもがともだちからもらったといっていました。こぴーがたくさんあるそうです。もれないうちになんとかしてください」と書かれたメモが入っていたことから情報流出が発覚した。

http://www.asahi.com/national/update/0417/OSK200904170004.html?ref=rss

screenshot

IIJ、高機能ルータ「SEIL」シリーズにあらたにURLフィルタリング機能を追加:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2009/04/17(情報元のブックマーク数)

IT セキュリティ

IIJのSEILでURLフィルタ?!とか思ったら、ネットスターがルータ組み込み型URLフィルタを出してるんですね。

インターネットイニシアティブIIJ)は17日、IIJ独自開発の高機能ルータ「SEIL(ザイル)」シリーズにおいて、ネットスターが提供するURLフィルタリングサービス「サイトアンパイア」に対応することを発表した。

 5月よりあらたにURLフィルタリング機能が提供開始となる。これにより、SEILに接続されたすべての端末で、URLによるフィルタリングが可能となる。サイトアンパイアでは、「不法」「ギャンブル」など、あらかじめ定義された71のカテゴリから、ユーザがフィルタしたいカテゴリを自由に選択できる他、例外的に閲覧を許可するサイトの設定や、掲示板などへの書き込みのみを禁止するなど、柔軟なフィルタ設定を行うことも可能。送信元IPアドレス指定、IPアドレスを指定したURLへのアクセス制御、URLフィルタの状態表示などにも対応する。

IIJ、高機能ルータ「SEIL」シリーズにあらたにURLフィルタリング機能を追加 | RBB TODAY

1年16万ですか・・・安すぎ・・・

利用料金は160,000円/年(1ライセンスにつき端末50台まで。税別)、対応機種はSEIL/B1、SEIL/X1、SEIL/X2。対応サービスはIIJ SMF sxサービス、SEILレンタルサービスとなる。

IIJ、高機能ルータ「SEIL」シリーズにあらたにURLフィルタリング機能を追加 | RBB TODAY

いいなぁ、これ。

「サイトアンパイア」はルータ組み込み型のフィルタリングサービス
ルータ1台に1ライセンスの登録で、サイト閲覧を管理。
中小規模オフィスでの安全・快適なインターネット利用を実現します。

中小ネットワーク向けWebフィルタリング | セキュリティソリューション | ALSI (アルシー)

screenshot

USEN、600人の早期退職者を募集、特損9億円を計上へ | 企業・経営:ニュース・解説 | nikkei BPnet 〈日経BPネット〉(情報元のブックマーク数)

IT セキュリティ

600名で9億円、一人150万円ですか。

USENは4月15日、グループ全体で600人の早期退職者を募集すると発表した。事業再編に伴い人員面でも合理化を図る。これまで間接部門から直接部門への再配置などを行ってきたが、将来の事業環境に対応するため新たな施策が必要と判断した。

 退職者の募集対象は4月1日時点で35歳以上の非営業職の正社員。募集期間は4月20日―5月15日。応募者に特別加算金を支給するほか、人材サービス子会社インテリジェンスの転職支援サービスを提供する。特別加算金のため約9億円の特別損失が発生する見込み。2009年8月期業績への影響については、確定次第発表するとしている。

USEN、600人の早期退職者を募集、特損9億円を計上へ:nikkei BPnet 〈日経BPネット〉

screenshot

iTypeFastR - type faster and with less typos on your iPhone(情報元のブックマーク数)

サシン

iPhoneのキーボードなんですが、すごく使いやすい・・・でも日本語非対応、日本語キーで是非ほしい!

Functional:

  • When hitting the “.” on the WERTY screen and sliding up, the “,” is outputted this way
iTypeFastR - type faster and with less typos on your iPhone

標準キー

数字記号キー


screenshot

日立、「SAP EH&S」を基盤に住友化学の化学品総合管理システムを構築:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2009/04/17(情報元のブックマーク数)

IT SKIL

日立とSAPジャパンが化学品総合管理システムを構築したとのこと。

日立製作所とSAPジャパンは17日、住友化学の化学品総合管理システム「SuCCESS」を日立が構築するにあたり、SAPの環境ソリューション「SAP Environment, Health&Safety」を基盤として活用し、本格運用を開始したことを発表した。
 「SuCCESS」(Sumitomo Chemical Comprehensive Environmental, Health&Safety Management System)は、化学品の安全管理に関する情報を統合・管理する社内データベース。住友化学は社内に専門の安全性研究組織を有し、化学品の開発、製造、販売、使用、廃棄といったライフサイクルの各段階を想定したリスク評価・管理を行うとともに、独自に情報管理システムを構築し運用してきたが、今回、情報管理システムを刷新し、化学品総合管理システム「SuCCESS」を構築した。本システムにより、長年にわたり蓄積してきたこれらデータも活かしながら、住友化学が取り扱うすべての化学品についての安全性や適用法規、MSDSなどに関する情報を「SuCCESS」で一元管理することで、すべての社員がイントラネットを通して必要な情報を閲覧しリスク管理に活用できる体制が整ったとのこと。今回導入された製品安全(Product Safety)は、SAP EH&Sの主要機能の1つであり、REACHなどに代表される法規制で求められる化学物質の安全性管理および在庫管理、化学物質の安全な輸送と管理、トレース、MSDSの生成と管理、リスク評価などを簡単に実現できるという。

日立、「SAP EH&S」を基盤に住友化学の化学品総合管理システムを構築 | RBB TODAY

screenshot

SAPジャパンは貿易管理業務向けの法令順守支援ソフトを発表 | 情報・通信 | nikkei BPnet 〈日経BPネット〉(情報元のブックマーク数)

IT SKIL

SAPジャパンが貿易管理業務向けの法律遵守支援ソフトをバージョンアップして出したとのこと。

SAPジャパンは2009年4月16日、貿易管理業務向けの法令順守支援ソフトの新版を発表した。受注処理から物流に至る貿易管理業務における法規制の順守を支援する。法令順守確認のための業務を自動化・簡略化できるので、サプライチェーンの効率化につながるという。

http://www.nikkeibp.co.jp/it/article/NEWS/20090416/328533/

screenshot

SAPと日本HP、製造管理システムの世界展開で協業 | 電子・機械:最新ニュース | nikkei BPnet 〈日経BPネット〉(情報元のブックマーク数)

IT SKIL

SAPとHPがMES(製造実行システム)を提供するために協業とのこと。製造現場もパッケージで:SAPジャパン、製造現場向け新実行系ソフトを提供 - ITmedia エンタープライズ(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★の続報ですね

SAPジャパン(本社東京)と日本ヒューレット・パッカード(同、以下日本HP)は2009年4月16日、世界規模で展開する製造業に向けて製造実行システム(MES:Manufacturing Execution System)を提供するために協業すると発表した。これに基づきSAPジャパンは、2009年3月に発表したMESアプリケーション「SAP Manufacturing Execution」を提供。

http://www.nikkeibp.co.jp/article/news/20090416/147062/

screenshot

NHKニュース 三菱UFJ証券 情報流出拡大(情報元のブックマーク数)

IT セキュリティ

まだP2P経由で情報漏洩してないだけまし、デジタルデータの返却なんてありえない。デジタルだから転送が簡単と

三菱UFJ証券の顧客情報が名簿業者に売却されていた問題で、社内調査の結果、名簿業者からの転売先がさらに増えることなどが新たにわかり、会社では17日午後、秋草社長みずからが記者会見して、詳しい内容を明らかにすることにしています。

http://www3.nhk.or.jp/news/t10015456651000.html#

13社!!!!!!

顧客情報は名簿業者3社に売却されたあと、不動産関係の会社など13社に転売されたと説明していましたが、関係者によりますと、その後の社内調査の結果、転売先がさらに増えることなどが新たにわかったということです。

http://www3.nhk.or.jp/news/t10015456651000.html#

screenshot

asahi.com(朝日新聞社):日本初の無人補給機、ISSとの結合訓練初公開 - サイエンス(情報元のブックマーク数)

IT 宇宙

無人補給機が打ち上げられるのを前に、ISSとの結合訓練をしたとのこと。

日本で初めての無人補給機「HTV」(全長約10メートル、直径約4・4メートルの円筒形)が9月にH2Bロケットで国際宇宙ステーション(ISS)に打ち上げられる予定になっているのを前に16日、ISSとの結合を想定した訓練が初めて報道陣に公開された。

http://www.asahi.com/science/update/0416/TKY200904160236.html?ref=rss

すでに35回目の訓練?!で、あと15回もやるの?!すげぇ。

35回目の共同訓練で、打ち上げ前に少なくともあと15回実施するという。日本から食料などの物資を送る予定だ。

http://www.asahi.com/science/update/0416/TKY200904160236.html?ref=rss

screenshot

「Adobe Readerの脆弱性が狙われている」――シマンテックが警告:ニュース(情報元のブックマーク数)

IT セキュリティ

2008年は、メールからWebへの攻撃のシフトと、正規サイトの改ざんが増えたとのこと、これはラックさんのレポートと同じですね。SQLインジェクションと言ってないだけです。

2008年のセキュリティ動向などを解説した。それによると、Web経由でAdobe Readerなどの脆弱(ぜいじゃく)性を突く攻撃が急増したという。

「Adobe Readerの脆弱性が狙われている」――シマンテックが警告 | 日経 xTECH(クロステック)

2008年で変わった傾向としては、「ウイルスの感染を広げる手段が、メールからWebに変化したこと」(ホーガン氏)。特に、正規のWebサイトを改ざんし、別サイトに置いたウイルスに感染させるようなワナを仕込む手口が顕著になったとしている。
 「従来は、攻撃者が自分でウイルスサイトを用意し、迷惑メールなどで誘導していた。だが、その方法では“効率”が悪いとして、多くのユーザーがアクセスする無害のサイトにワナを仕掛けるようになっている」(ホーガン氏)。

「Adobe Readerの脆弱性が狙われている」――シマンテックが警告 | 日経 xTECH(クロステック)

Adobe Readerの場合は最新版以外のリリーススケジュールが遅いので要注意ですね。最新が正しいとは限らない。

ホーガン氏が特に注意を呼びかけるのは、Adobe ReaderAcrobat脆弱性を突く攻撃。2008年中の検出数は2番目だったが、現在急増しており、「2009年には検出数が最も多くなる可能性が高い」(ホーガン氏)。Adobe ReaderAcrobatのユーザーは、絶えず最新版にアップデートして、脆弱性を解消する必要がある。

「Adobe Readerの脆弱性が狙われている」――シマンテックが警告 | 日経 xTECH(クロステック)

関連URL

screenshot

NECの遺留指紋照合技術がNISTで1位の評価 − @IT(情報元のブックマーク数)

IT セキュリティ

リアルセキュリティ。残留指紋照合テストでNECがダントツトップだそうです。世界規模で売れるな、これ。

NECは4月16日、米国技術標準局(NIST)が実施した「遺留指紋照合技術評価テスト」で世界第1位の指紋照合技術の評価を獲得したと発表した。遺留指紋とは、犯罪現場に残っている指紋。

 テストは米国国土安全保障省の委託を受けてNISTが行ったもので、世界の主要指紋照合システムベンダが参加。認識率97.2%で、2位のCogent(87.8%)、3位のSPEX(80.0%)、4位のMotrola(79.3%)などを大きく引き離した。

NECの遺留指紋照合技術がNISTで1位の評価 − @IT

新旧の指紋を自動判別ってことか・・・

遺留指紋画像は、指紋のごく一部、あるいは、いくつかの指紋が重なっているなど、状態がよくないことが多いという。このため、指紋鑑識専門家が手作業で照合に必要な指紋の特徴情報を付加している。NECでは、この手作業の手間と時間が犯罪捜査の障壁になっていることから、照合の自動化ニーズが高まっているとしている。

NECの遺留指紋照合技術がNISTで1位の評価 − @IT

screenshot

トトロのシュークリームだけを販売する店です。作るのが大変でたくさんは製造できませんが、小さな工房で毎日毎日ていねいに心をこめて焼き上げます。(情報元のブックマーク数)

IT 雑記

まっちゃ139でこんなシュークリームがでるかもしれない。 - とりこびとのざっきな事を言われたから、調べてみたら。。。
ぉーーー!東京ですが、トトロのシュークリームを販売しているそうです!!!

これは、まっちゃ445のお菓子?!の候補か?!

5月5日、東京都杉並区に「白髭のシュークリーム工房」がオープンした。この店の商品は、映画『となりのトトロ』に登場する生き物、トトロをモチーフにしたシュークリーム。

http://news.ameba.jp/domestic/2008/05/13493.html

screenshot

パターンアップ-5.973.00

TREND パターン

Trendmicroのパターンがアップしました。

パターン番号:5.973.00

イエローアラートJP/USJP Confickerエイプリルフール、2009年03月度パッチ、AdobeのZero-DayとMS09-002のExploit、FlashPlayer、ExcelのZero-Day警告/US 特筆無し
アップデート理由:PE_FUJACKS.DG-O緊急亜種対応
新規対応
 特筆無し
亜種対応
 MS08-067
  WORM_DOWNAD.AD
 緊急対応
  PE_FUJACKS.DG-O

screenshot

iPhoneにセキュリティ上の脆弱性――著名ハッカーが発見 : [特集]iPhone - Computerworld.jp(情報元のブックマーク数)

IT セキュリティ

iPhone潜在的脆弱性が存在したとBlack Hat Europe 2009で発表があったそうです。

iPhone」の潜在的なセキュリティ上の弱点を見つけたことを、Macハッカーとして有名なチャーリー・ミラー(Charlie Miller)氏が、オランダで開催されたセキュリティ・コンファレンス「Black Hat Europe 2009」(4月14-17日)で明らかにした。

http://www.computerworld.jp/topics/iphone/142790.html

発表数日前に発見した脆弱性を発表とは・・・シェルコードが実行できるそうです。

Black Hat Europe 2009のセッションにおいて、数日前に発見したばかりのiPhoneの弱点について詳しく説明した。この発見は、改変が加えられていない標準のiPhoneの動作に関する通念の誤りを立証するものとして注目された。
iPhoneでシェル・コードを実行するのは不可能というのが、これまで大半のセキュリティ専門家の見方だった。シェル・コードはコマンドラインから実行できるコードだが、iPhoneではセキュリティ上の理由からそれを許可していないと考えられていた。
iPhoneでシェル・コードが実行できるとすると、iPhoneのテキスト・メッセージや通話履歴を外部から盗み見るなど、ハッカーにとっては悪意ある行為が可能になる。

http://www.computerworld.jp/topics/iphone/142790.html

JailBreakの危険性は十分理解してJailBreakしてますよね>皆さん

ミラー氏が今回発見した、iPhone上でのシェル・コード実行を可能にする方法は、店頭販売時の状態のまま改変されていないiPhoneで有効であるという点が重要だ。これに対して、Apple非公認のアプリケーションをインストールできるよう改変されたiPhoneに関しては、不正な操作を加えやすいことがセキュリティ専門家によって明らかにされている。こうした改変されたiPhoneは、メモリの保護対策が甘い、とミラー氏は指摘した。

http://www.computerworld.jp/topics/iphone/142790.html

screenshot

どんなに故障していても“一律料金”のデータ復旧サービス(情報元のブックマーク数)

IT セキュリティ

ハードディスクのデータ復旧を12万6000円一律でうけるサービスを開始との事。

容量や損傷具合で都度見積もりだったのをサービス化したそうです。

データ復旧株式会社は4月17日、一律料金のデータ普及サービスを開始すると発表した。

 HDD上のデータを誤って削除した場合やPCの故障でデータが読み取れない場合に、データを復旧させるサービス。特徴は、業界初という一律料金を実現した点。従来のサービスでは、障害の程度やデータ量によって料金が変わるのが一般的で、依頼してみないといくらかかるか分からなかった。時には百数十万円と高額になる場合もあったのだが、新サービスでは、HDD1台あたり12万6000円の一律料金を実現することで、この不安を解消した。

どんなに故障していても“一律料金”のデータ復旧サービス

screenshot

CPU内蔵でデータを自動消去するUSBメモリ、富士通研究所が開発(情報元のブックマーク数)

IT セキュリティ

CPUなんて持たせないで一定時間で消えるようにすればいいのに。

株式会社富士通研究所は4月17日、自動データ消去機能を備えた「安全USBメモリ」、および同USBメモリ内のデータを特定のサーバーにしか保存させない「ファイル・リダイレクト技術」を開発したと発表した。

 安全USBメモリは、内部にCPUやバッテリを搭載。一定時間を過ぎたり、許可されていないPCに接続したりすると、自動的にデータを消去する。例えば、「24時間経過したらデータを消去」「登録外のPCに挿入したらデータを消去」といったセキュリティポリシーを設定しておくことで、万一の紛失時にも情報の流出を防ぐことができる。

CPU内蔵でデータを自動消去するUSBメモリ、富士通研究所が開発

すごいけど、でかくて紛失しないに一票wwwwwwwwwwww

2つの新技術を組み合わせることで、例えば、顧客から安全USBメモリに機密データを預かり、社内に持ち帰って機密情報管理サーバーだけに保存するといったことが可能。帰途で同USBメモリを紛失しても、自動でデータが消去されるので、安全に社内外で情報を持ち運ぶ環境が実現する。

CPU内蔵でデータを自動消去するUSBメモリ、富士通研究所が開発

screenshot

転職で有利な職種 1位はネットワークエンジニア − @IT(情報元のブックマーク数)

IT セキュリティ

ネットワークエンジニア++!!!!、テクニカルエンジニア(ネットワーク)を持っていますが拾ってくれますか?!wwww(嘘

「ネットワークエンジニア(保守・運用)」の書類選考通過率は80%。「営業(個人向け)」がこれに続いた。3位は「アプリケーション開発(Web・モバイル系)」。一方、「商品企画・マーケティング」などのバックオフィス系職種はランク外となった。

転職で有利な職種 1位はネットワークエンジニア:IT系職種別書類通過ランキング - @IT

設計も運用・保守も一通りやりましたけど、現在営業兼エバンジェリストですが何か?

勉強会フランチャイズ担当ですが何か?

「ネットワークエンジニア」は保守・運用系だけでなく、設計系も高い通過率となった。ワークポートでは開発系エンジニアと比べてネットワークエンジニアの希望者が少なく、競争率が低いためと分析している。「営業(個人向け)」は求人件数としては多くないが、希望者・経験者数も少なく、通過率が高くなった。また、「アプリケーション開発(WEB・モバイル系)」へのニーズの高さについて、同社では「業界の著しい成長によるもの」としている。

転職で有利な職種 1位はネットワークエンジニア:IT系職種別書類通過ランキング - @IT

screenshot

ITスキルがあるだけでは情報セキュリティの専門家には不適格 : セキュリティ - Computerworld.jp(情報元のブックマーク数)

IT セキュリティ

イタイイタイ・・・・・

――「情報セキュリティに多額の投資をしているのに、いっこうにその効果が見えない。しかも、これまで大きな問題が発生したこともない。それなのに、今後も情報セキュリティに投資し続けなければならないのか」――最近、こういった声を耳にすることが多い。

http://www.computerworld.jp/news/sec/142309.html

うまい言葉だ!

不況で業績が低迷すると、それに歩調を合わせてセキュリティ・リスクも低下するわけではない。ISFの調査でも、経済状況に関係なく脅威は拡大し続けていることが明らかとなっている。そもそも、コスト削減の目的は余分なコストを省くことであって、必要なものまで排除するべきではない。安易に目先の利益追求に走らないことが肝要である。

http://www.computerworld.jp/news/sec/142309.html

川口さんが言われていたのは、日本では10円でも対策をある程度広く浅く取っていれば、説明をすることが出来改善もできる。経営としては広く浅くやるのがいいのでは?!ってのが一番うまい言い方だなぁって思った。

例えば、セキュリティ侵害によって1億円の損失が発生すると想定されるとしよう。この場合、それを回避するための対策にいくらを投じればよいのかをIT部門だけで判断することはできないだろう。したがって、IT担当者とビジネス担当者、それにセキュリティ担当者を加えて話し合う必要がある。そして、想定されるリスクを分析し、それを回避するにはどの程度の投資が必要なのか、どのように運用していくのかを決定すべきである。

http://www.computerworld.jp/news/sec/142309.html

お仕着せの教育ほど、意味の無いものは無い、まだグループディスカッションさせたほうが良いだろうなぁ。

――ほとんどの企業では、従業員に対してセキュリティ教育を実施しているが、情報漏洩事件・事故がいっこうに減る気配がないところを見ると、十分に機能しているとは言えないようだ。

http://www.computerworld.jp/news/sec/142309-2.html

この言い方肝に銘じます!!!「〜をすると〜のリスクがある」これですね!!!

――だが、特にセキュリティに関するルールはなかなか聞き入れてもらえないのが現実では。

 そのような問題に直面している企業では、従業員に対して「〜をしてはいけない」と指導しているケースが多い。これでは、従業員はその行為が禁止されていることを知るだけで、効果は期待できない。むしろ反感を買ってしまうことのほうが多いだろう。本来の目的がセキュリティ・リスクの存在を認識させることなので、「〜をすると〜のリスクがある」と説明するべきである。そもそも、どのようなリスクが潜んでいるのかを理解できなければ、それに対する準備はできないものだ。

 例えば、「機密情報を格納したノートPCを紛失してはいけない」と言うのではなく、「機密情報を格納したノートPCを紛失すると、その情報が悪用され顧客に迷惑をかける可能性があり、場合によっては損害賠償を請求されるリスクもある」というように説明するのだ。それによって、セキュリティ対策の取り組みが企業価値の向上につながること、そして企業価値の向上に一体となって取り組むことが従業員の責任であることが認識されるようになる。

http://www.computerworld.jp/news/sec/142309-3.html

screenshot