事業継続の対象範囲を安易に決めると、、、どうなるか　事業継続をこれから真剣に取り込む予定である企業は、事業継続の対象を適切な手法によって範囲を特定する必要がある。ある会計事務所系列のコンサルタントは、BS認証組織の審査が通る範囲でのみ事業継続計画（BCP）を作り、事業継続訓練は、ビルの法定点検（避難訓練）とサーバーのバックアップテスト（しかも、机上シミュレーションのみ）で十分としてサービスを提供して...

http://japan.zdnet.com/blog/kurei/2008/07/02/entry_27016710/?ref=rss

　海外では昨年に事業継続マネジメントシステムの認証制度が開始され、日本でもようやくスタートした。ただ、日本では一部の審査機関が、大手コンピューターベンダーの保守部門に対して、独自に認証を発行しているオレオレ認証（認定機関に基づかない認証をいう）を出しており、先走った事例もある。　また、既に内閣府、経済産業省、中小企業庁から「事業継続計画」に関する文書が次々公開されているが、事業継続マネジメント...

http://japan.zdnet.com/blog/kurei/2008/06/15/entry_27016709/?ref=rss

　圧縮解凍ツールで知られているLhaplusに脆弱性が発見された。発見された脆弱性は、バッファオーバーフローとよばれる古典的な手法。既にアップデートが公開されているので、新規ダウンロード、または、アップデートすることで無償で対応することができる。圧縮解凍ソフトが数多くダウンロードされている　圧縮解凍ソフトウエアは、インターネットからダウンロードされるソフトウエアの中で人気が高い（ダウンロード回数が多い...

http://japan.zdnet.com/blog/kurei/2008/04/29/entry_27016708/?ref=rss

　侵入検知システム(IDS)の先駆けとなった米国海軍の侵入検知プロジェクトがひっそりとホームページを閉じた。　インターネット経由した不正アクセスが注目され、軍用から商用へ展開されたファイアウォールとは逆に、軍用研究のプロジェクトがオープンソースを選んだIDSは、後のオープンソース系IDSに大きな影響を与えている。今では、ネットワークの高速化、脆弱性情報の増加もあって、侵入検知をソフトウエアだけで処理させる...

http://japan.zdnet.com/blog/kurei/2007/11/12/entry_27016707/?ref=rss

　住民票の写しは普通300円だが、夕張市では500円。理由を探せば、財政破綻、システムの維持保守の高騰など、幾らでもある。言われた理由で納得する人は、年金問題を見つけ出すことが難しいように、値段はどこから算出されたか、検証した人はいるのだろうか、と思考回路を組み替えることが、スタート地点だ。セキュリティでビジネスして普及させる場合は、まさにコレが求められる。住民票の写しの費用は、どこから　皆さんの住...

http://japan.zdnet.com/blog/kurei/2007/10/15/entry_27016706/?ref=rss

オープンソースで知られる侵入検知ツールであるsnortがバージョンアップされた。改善点は色々あるが、なんといっても、IPv6へ対応したこと、MACアドレスを偽った攻撃に対応したことがポイントだ。侵入検知システムって検知だけ？　侵入検知システムとは、ネットワークを経由してシステムに侵入する時に検知、報告してくれるツールの総称だ。Intrusion Detection Systemを略し、IDSと呼ばれる。検知だけで、不正侵入を排除してく...

http://japan.zdnet.com/blog/kurei/2007/10/04/entry_27016705/?ref=rss

　金融機関に導入され、普及しつつある静脈認証は、従来の暗証番号よりセキュリティが高いことから利用者は増加している。その一方で、静脈認証入力デバイスが安価に販売されている。知らない間に、自分の静脈をかすめとられるリスクを考えてみたい。消極的なセキュリティの確保としての暗証番号　数字4文字しか入力できない金融機関の暗証番号の脆弱性は、以前から指摘されている。0から9まで4桁のため、組合せは1万通りあるが...

http://japan.zdnet.com/blog/kurei/2007/09/12/entry_27016704/?ref=rss

　もし、情報セキュリティ担当者が退職届けを提出したらどうしますか。有能なシステム管理者、情報セキュリティ責任者であれば、ヘッドハンティングされる可能性は高い。転職でなくとも、退職後に独立して起業するかもしれない。多くの企業では、どんな対策を用意され、失敗した事例を紹介しよう。　経営者は、信頼できるビジネスパートナーが離反する日を避けることはできないことを知っている。同じ志をもって会社を設立して...

http://japan.zdnet.com/blog/kurei/2007/08/29/entry_27016703/?ref=rss

スパムの定義　スパムとは、「不特定多数に電子メールなどでメッセージを送りつける行為」である。スパムは英語でSPAMと表記される場合があるが、SPAMを商標にしている企業に配慮すれば、小文字でspamと表記するのが適切だ。でも、スパムを受け取って不愉快な思いを持った者が怒りを込めて、大文字で「SPAM」として使われている場合が多い。でもスパムという単語は少なくとも70年以上の歴史があり、インターネット以前から使わ...

http://japan.zdnet.com/blog/kurei/2007/08/21/entry_27016702/?ref=rss

　被害を最小限にすることを優先するなら、通報者が誰であろうと即対処すべきと考えるのは民間企業なら当然だ。しかし、独立行政法人の場合は、手続きが優先するらしい。今回、日本の情報セキュリティ意識を変えるキッカケになって欲しいと思い、取り上げることにした。どんな脆弱性を通報しようとしたのか　通報した脆弱性とは、ホームページを構成するHTMLファイルにある種の文字列を記述するだけで、該当ホームページを閲覧...

http://japan.zdnet.com/blog/kurei/2007/08/07/entry_27016701/?ref=rss