ISMSって美味しいの?

まるちゃんの情報セキュリティ気まぐれ日記にISMS Pマークと個人情報の委託先の選定という日記が掲載されているのに今頃気がついた。

そもそも情報セキュリティの「範囲」やその「程度」というものは意外と測りづらい物であると思う。
丸山氏の仰る通りISMSはあくまで「ちゃんと基準にそって、ルールを作ってやってますよ」という程度の物であって、実際にその善し悪しを判断するのはやはりユーザである。
つまり、その企業がどのような情報セキュリティを施しているのかを見えやすくするための物がISMSであろうと私は考える訳です。

だから、「うちはISMSマークがあるから信用に値します!」なんて言う営業の言葉は鵜呑みにしない方が良いし、プレゼンに自社が持っている他社情報を持ち出すような企業はその場で指摘している。(もっともそこまで痛いプレゼンは大分以前に1度だけであったが・・・)

ちなみに「適用宣言書」は実は目次みたいな物で、実際その施策の中身を見るには「詳細管理策」に関する適用内容を確認する必要があるし、それが行われている事を確認したいのなら自らの目で見るか、監査記録や運用記録(監査証跡でもいい)を確認させてもらう事が必要になると思う。
もっとも、大概の企業はそこまで見せてはくれないだろうが。

そういう意味では、本当に消費者側に立った情報セキュリティはまだその第1歩を踏み出したばかりで、道のりは遠いのではないかと稚拙ながら思う今日この頃です。

“盗聴”でパスワード取得――狙われる通信事業者

“盗聴”でパスワード取得――狙われる通信事業者(ITmedia)

私も狙うならISPや通信事業者を狙うでしょうねぇ。あとは最近話題のproxyなども狙いどころではないでしょうか。
こういう危険性はかなり以前からあったと思います。

たとえばオンラインショッピング会社のWebシステムは十分に保護されていたとしても、そこまでの通信で十分な暗号化がされていないようなところがあればそこで盗聴可能な訳で、FBIがやって(いた?)インターネット上の監視も同じような考え方ではないのだろうか。

世の中まだまだセキュリティの甘いサービスプロバイダやProxyもあるだろうし、俗にいう串なんてものも軽々しく利用するもんでないことは理解するべきでしょう。
(まあ、串なんぞ利用するような人間はまっとうな利用目的を持っていないだろうけど)

さらにサービスプロバイダ側にしてみれば、脅威はネットワーク上だけでなく、内部犯やソーシャルエンジニアリングもあるわけで、いろいろと気を使う必要はあるのだろうと思います。

個人で出来る防止策といえば
・メールやメッセーンジャー、インターネット上で流す情報に極力パスワードやカード番号など重要な個人情報、機密を記載しない。
・記載するなら、十分な暗号化(もしくはある程度実用的な方法)で情報が簡単に盗聴されないようにする。
・認証書やS/MIMEなどのセキュリティ技術に関心を持ち、それを利用する。
・チェック出来るセキュリティ関連情報を適宜チェックする。

ということでしょうか、日常生活上の保安情報(流行の振り込め詐欺など)と同じように、ネット上でもそういう脅威が存在することを十分認識する必要があるのだろうと思います。

[記事]日本のPKIを殺した真犯人は誰か

高木氏のBlog:日本のPKIを殺した真犯人は誰か
日本語ってむずかしい..
つか、セキュリティを高めてるんだかなんだか分からん状況になりましたねー:roll:
本当の意味でセキュリティを高めるなら、証名書の発行機関登録もそうですが、それの運用方法、つまり可用性の部分についてベンダーがもっと練る必要があるかと。
ちなみに利用者教育は確かに絶対必要な事項だが、全てをそこに期待するなら、
それこそ「信号機ってなに?」という小学生でも分かるような生活必需事項として
小学校教育の様なレベルで全体に浸透させなければ意味が無いと思う。

SandBoxを狙った同時SPAMがSiteJにも

2005-01-02 (日) 03:37:29に今流行りのwikiスパム本サイトのsandboxを荒している。
取り敢えずページ凍結! そして放置!:hammer:

書き込まれるSPAMの特徴

* URLをSandBox?ページの末尾に4件埋め込もうとする
o *.freelinuxhost.com (同一のサブドメインを2回)
o *.uni.cc (異なるサブドメインを2つ)
* &size(1) を使い、見づらい形でURLを埋め込む ※発見&削除を逃れるためと思われる
* SandBox?ページの既存の項目は文字化けを起こす

そのまんまやん:-P

I never worked for Soumushou

昨年 9月〜11月に長野県で行われた住基ネット侵入実験を担当した氏の一言。
いろいろすったもんだがあった末に、国を相手取り損害賠償を求める訴訟を東京地裁に起こしたそうです。

総務省とはもう二度と仕事しねえ!!

と公言できるIT関連企業は国内に何社いるのだろうか:hammer:

ちなみに氏のサイトで公開されている発表予定PPTはレジュメ程度の内容で、肝心な部分は無かったっすね。;-)