« 2006年10月 | トップページ | 2006年12月 »

2006年11月

2006年11月27日 (月)

本物だ!トロイの木馬が侵入するってこんな感じ

高セキュリティの場所にトロイの木馬が侵入を試みるムービーGIGAZINEより

テレビ局、競馬場、オペラハウス、大学、他国の領事館、あげくの果てに軍事施設といった警備の厳重な場所にまで、車に引かれた本物のトロイの木馬が侵入しようとするムービーです。しかも驚くべきことに中に本当に兵士が乗っています。

詳細は以下の通り。
YouTube - Chasers - Trojan Horse
テレビ番組の企画のようですが、やはりさすがに領事館や軍事施設は無理みたいです。最後に一瞬だけ映る警備スタッフのあきれた顔がなんともいえません。

ちなみにトロイの木馬については下記を参照のこと。
トロイの木馬 - Wikipedia

コンピュータウィルスで有名なトロイの木馬。

しかし、その侵入プロセスは体験していないので解りづらい。

詳しくはWikipediaを参照して頂きたい。

簡単に言うと、木製のトロイの中に軍人を忍ばせ、敵地に入り込むというもの。

聞いたことは何度もあるし、そのロジックはわかる。

コンピュータウィルスにおいては、感染させる目的でパソコンに入り込ませる手法だ。

その動きが、このトロイの木馬のようなので、このように言われている。

是非、上記のYouTubeを見て頂きたい。トロイの木馬が、見えるようにわかる。

やはり映像はわかりやすい。コンピュータウィルスだとこのようには見えないからだ(笑)

あくまでパロディだが、なるほど!ってのはわかるかもしれない。

まぁ1回見れば充分だけど(笑)

| | コメント (0) | トラックバック (1)

2006年11月24日 (金)

クローン携帯ってオバケのような感じか?

「クローン携帯を確認」は誤報──ドコモがコメントITmedia +D モバイル

11月23日、読売新聞が「クローン携帯の不正使用をドコモが確認した」と報道したが、真相はクローン携帯ではなく、海外の携帯電話事業社が国際ローミング時の認証を正しく行っていなかった、ということのようだ。

今回の件の真相は、「海外の携帯電話事業社が、交換機での認証をしなかったために、解約済みのSIMカード(FOMAカード)が挿入されたと推定される携帯電話から海外で発信した際に、通話できてしまった」ということらしい。

携帯電話には、電話番号だけでなく、キャリアが管理のために用いる、IMUIという個別の番号がある。このIMUIと、端末とネットワークが持つ認証キーで、接続に関する認証を行っている。ただ、海外の携帯事業者の一部の交換機では、例外的にこの認証を行わない設定になっているものが存在し、かつ解約済みのFOMAカードに書き込まれているIMUI番号と同じIMUI番号が契約中の状態で、通話を接続してしまったために誤接続と誤課金が発生した。

クローン携帯で、google検索すると23,300件yahooで712,000件MSNで45,666件あった。

どうもクローン携帯の存在は、ありそうで、なさそうな感じのようだ。

あるとは言えないが、ないとも言えない。なんともクローン携帯の存在を完全否定出来るだけの材料は無いようだ。

どの範囲を持ってクローン携帯と言うのか?によって話は変わってくる。

今回のFOMAカードが使えてしまったことだけを言えば、クローン携帯になったとも言える。誤課金もされた事実があるからだ。たとえ一時でも存在したからだ。

やはりクローン携帯の定義というか、範囲がわからない。

グローバルで共通規格の中で起きたこと。携帯以外でもグローバル化は進んでおり、共通規格の中で発生する問題は他にもあるだろう。

セキュリティで言えば・・・ってそのまんまの話だが、FOMAカードが認証キーになる。世界共通の認証と言えば、ISOくらいしか私には思い出せない。

ここから考えてしまうことは、認証で言えばワンタイムパスワードなどの1回こっきりしか使えないものなど・・・

しかし1回限りの使い方で良いものもあるが、そうでないものもある。今回のカードなんかはその1つだ。となるとどうすれば良いのだろうか?

例えば、利用中に落としてしまうもの(カードは落とさなくても携帯は紛失の可能性)がある。免許証、パスポート、入退室IDカード・・・認証系だとこんな感じ。

頻繁に出し入れしたりすると紛失の可能性も高い。それは大きな箱の中にまた箱があるような感じだ。カードケースに入れていても、ケースをなくせば、ポーチをなくせば、カバンを置き忘れれば、盗難にあったら・・・きりがない。

これはパソコンのデータについても同じ事。頻繁に使うものだからだ。頻繁に使うから便利な一面もある。すべて覚えている訳ではないから。

データの場合に自ら出来ることは、突然の事故に備えバックアップしたり、データの暗号化したりするのは大前提として、自分の手元を離れる廃棄などで完全抹消することくらいだろう。

何かの対策はできるので、まずは可能性のあるリスクを洗い出すことからはじめる。発生可能性の低いモノと高いモノを被害の大きいものと小さいものをXY軸でマトリックスにして、マッピングしていくことだ。

まずは二次元マトリックスがわかりやすいだろう。ちなみにZ軸が出てくるとややこしくなるが、現実的は2次元では計れないものも多い。

情報漏洩対策には、Z軸で考えることが多くあり、その軸に何を置くかで様々に変化する。それは意外性だったりする。

| | コメント (0) | トラックバック (0)

2006年11月23日 (木)

サイバー犯罪?風邪ひいた?どっちも同じ

「小規模企業ももっとセキュリティ対策を」--米政府の元セキュリティアドバイザーが警告CNET Japanより

小規模企業はサイバー犯罪の犠牲者となる可能性があることをもっと認識する必要があると、米政府の元セキュリティアドバイザーHoward Schmidt氏は訴えている。

Schmidt氏によると、小規模事業と消費者の90%がアンチウイルスソフトをインストールしているが、10%は疑わしい脅威に合わせて開発されるシグネチャを全くアップデートしていないという。従業員数に限りある小規模企業は、単純にサイバーセキュリティの問題に打ち込む時間がないのだと同氏は述べている

組織は悪質なソフトウェアに注意するほか、重要なデータが社外に漏れないように気をつけなくてはならない。通常これはヒューマンエラーによって引き起こされるという。ファイル共有ネットワークを利用している従業員は、セキュリティ上の影響を知らないケースがあると、Schmidt氏は言う。

サイバー犯罪なんて聞くと、なんだか他人事で、対岸の火事のように聞こえる。

2000年頃にサイバー犯罪を説明するのには、とても時間と根気のかかるものだった。

現在では新聞紙上で誰もが見る聞く事が出来るようになり、前置きの説明が幾分楽にはなった。

しかし相変わらずにサイバー犯罪と言うと、自分には程遠く、身近に思えないようである。

では、言い方を変えてサイバー犯罪を”当たりました詐欺”や”フィッシング”などであればどうだろうか?サイバー犯罪という言葉を使ってないだけで、まったく変わらない。

”Winny漏洩”等は、そのまんまサイバー犯罪の匂いがするもの。

インターネット空間は目で見えないもの。見えるのは自分の端末に表示された画面だけだ。

ネットワークに繋がなければ大丈夫!ってのは、一面で正しいが、繋がっていないときだけの話。繋げなくても泥酔して電車の中で盗難にあえば、話は変わる。

ネットワークに繋げることは、危険も増すことは言うまでもない。

でも、繋げることだけが危険というのもちょっと違う話になる。

外に触れる=ネットワークに繋げるであれば、この時期外出すれば風邪を引いている人は多く、咳き込んでいる人も多い。同じ空間にいれば風邪をもらっちゃうのではないか?気をつけるだろう。

このときには、うがいをするとか、マスクをするとかの自己防衛をするはずだ。

風邪になると辛い経験を誰しもがしたことがあり、同じ事をしたくないことを知っているからだ。

風邪もウィルスが身体に入ってくるもの。コンピュータのウィルスも似たようなもの。

風邪の場合は自らが体調不良などの自覚症状があるからわかりやすい。

コンピュータの場合も自覚症状があるのだけれど、体調不良ほどにはわからない。

いずれも予防処置(風邪であればインフルエンザの注射など)をすれば、その経験をしていれば、その脅威を知っていれば・・・回避はできるもの。

サイバー空間でも現実空間でもまったく変わりがない。見えないだけ、知らないだけ、体験してないだけに、突然やってくるように思うが、そこにも原因や要因は存在しているのだ。

今一度、確認することをお勧めする。

過去記事:12月はIDに気をつけて・・・

12月は1年の中でもこの危険が増加するときなのだから・・・

| | コメント (0) | トラックバック (0)

2006年11月22日 (水)

何もセキュリティ対策しないと言う1つの選択肢

「何もしない」というセキュリティ対策:ITproSecurityより

セキュリティ対策は,企業にとって欠かせないものです。それは間違いないでしょう。ただ,このごろ,「実はハイテクによるセキュリティ対策はあまり強固にし過ぎないほうがいいのではないか」と考えることがあります。というのは,次々に登場してくるセキュリティの脅威が,対策をすり抜けるように工夫され,検知・防御が一層困難になるからです。だったら高度な対策を講じなければ脅威の進化も止まるのではないか,という考えです。

現実には,そんなわけにはいかないでしょう。今目の前にある脅威に対処しないわけにはいきませんし,「守らなければ高度化しない」という考えそのものが正しいとは限りません。ただ,あまりにも急ピッチで高度化していく脅威に対し,対策側の取り組み方を見直す必要が出てくるのではないかと思っています。

よく言われる”何もしない”セキュリティ対策。

単にコストで考えれば、それもありかもしれない。

例えばセキュリティの考え方として、

1.何も発生しなければ、事前も事後もコストは必要ないと言う考え方。

2.何か発生してから事後対策として、コストを使うという考え方。

3.事は発生する前に対策を講じておこうという考え方。

この3つくらいが大方の考え方だろう。

セキュリティ専門家的には3を勧める。もちろんである。理由は簡単で事は必ず発生するもので、トータルコスト的に見ても一番安く上がるからからだ。

しかし、そのコストパフォーマンスを計るのは、どの尺度で計るのか?によって結果も変わる。企業イメージの失墜などは計りにくいものだからだ。

1の場合が何もしないと言う考え方。これも考え方としてはありだが、コスト面だけで計って良いのか?疑問に残ってしまう。これはわかっていても、知らずにいても、何もしないと言うことは一緒で、結果も同じである。

CSR的に考えれば、1の場合はあり得ない選択肢になることは言うまでもない。

では2の場合はどうだろうか?これは1に次いで3よりも事前コストがかからない。一方で問題や事故発生時には、3よりもコストがかかり、コスト換算出来ない部分でのロスが多くなる。

セキュリティ対策を本気でしなければならない組織もある。国家や軍事、機密機関、行政など、民間では金融機関などが一般的だろう。セキュリティ対策のアッパーは限りなくあり、上限はない。

しかし、ある程度の対策は民間企業にも求められる必要不可欠なこと。

イタチごっことよく言うところは、上限がないからである。

このある程度の範囲と考え方で、その対策範囲は変わってくる。

日本語の良くも悪くも曖昧な部分の微妙な表現である、ある程度

結局の答えは何処にもない。それは”ある程度”の範囲をどのように、誰が決めるのか?によって変わってくるからだ。

最低限のある程度・・・皆さんの企業ではやっていますか?

| | コメント (0) | トラックバック (0)

2006年11月21日 (火)

ブログの生命力とアーカイブは非対称のようだ

ブログが死ぬときITmedia オルタナティブ・ブログより

このブログでは定期的に実名ブログの継続率や投稿数の調査をして発表している。ここ数ヶ月間の継続調査で実名ブログの継続率については大体60%~80%くらいだということがわかってきたが、これとは別にネット一般でのブログの継続率に関してこの程ある調査結果が発表された。

24時間以内に更新された日記の死亡率は、約1.3%。

1週間放置された日記の死亡率は、約16%。

2週間放置された日記の死亡率は、約32%。

1ヶ月放置された日記の死亡率は、約52%。

3ヶ月放置された日記の死亡率は、約90%。

 

そして、さらに以下の結論も。

 

データをながめますと、初めて死亡率90%を超えたのは、最終更新から78日経過後でした。

ブログもまた「人の噂も七十五日」の格言どおり、2ヶ月をちょっと超えたところでブロガー本人からも忘却の彼方へ追いやられる。

ブログの継続率がこのような数値で出ているのに興味を持った。とても面白い結果で、78日経過後の死亡率が90%と言うのが、なんとも面白い。

人の噂も75日と同じで、ブログも似たような結果というのは、人が書いているからこそ同じなのかもしれない。決してネットの世界だけではなさそうだ。

確かに噂話やワイドショーネタなども、そうであるだろう。

最近では情報が氾濫しているので、その時間はもっと短いかもしれない。情報が多すぎるので溢れかえり、それに巻き込まれ、選択する以前に振り回されている感じすらする。

最近読んだ本で低度情報化社会 Ultra Law-level Information Societyってのがあった。

この本によると現代は高度情報化社会でなく、低度情報化社会のようだ。結構面白い本だった。

ブログのネタを提供するネタページなども存在する。ネタが個人の日常風景だと結構色々書いちゃったりしている状況だ。

米国ではブログ投稿記事によって、会社を解雇された事例もある。

確かにブログによって書き手が増加したことは、情報発信には良いかもしれない。

中身の問題は色々あるが・・・

たんなる噂であれば、75日で忘れ去られるかもしれない。ネットが介在しなければの話。

ネットが介在するブログ、掲示板、メールなどは、残るモノ。

メールであっても数回のクリックで転送したり、コピペ出来たりする。

ブログもトラックバックやブログ検索が充実しているので、広く見てもらうことが出来る。

ここでの脅威は、検索エンジンや保存サイトなどにおいては、アーカイブが存在することだ。

本文と言うか、元記事を書いた人が削除しても、アーカイブは何処かに残ってしまう。写真も含めてのこと。音声などもある。有名なビデオデッキ事件等もそうだった。

簡単に調べられるから、その情報を得ることが出来る。これはとっても便利なこと。

その対極には、アーカイブが残ることだ。

これは75日ではなくならないことだけは、知ってもらいたい。

| | コメント (0) | トラックバック (0)

2006年11月19日 (日)

100ドルパソコンの夢を叶えたい

100ドルノートPCの最新試作機を発表--製造コストが難点CNET Japanより

カリフォルニア州サンタクララ発--マサチューセッツ州に拠点を置く非営利団体One Laptop per Child(OLPC:すべての子どもにラップトップを)は米国時間11月16日、発展途上国の子どもたち向けの100ドルノートPCの最新の試作機を発表した。今回の試作機の唯一の難点は、1台当たり150ドルの製造コストがかかる点だ。

このプロジェクトの発案者は、マサチューセッツ工科大学(MIT)メディア研究所の共同創設者で、OLPCの会長を務めるNicholas Negroponte氏だ。Negroponte氏は、2005年1月に開催されたWord Economic Forumで、初期計画を概説した。Negroponte氏が思い描いたのは、各国政府が購入可能な低価格のノートPCを開発し、それらを(発展途上国の)子どもたちに無償で再分配し、子どもたちの教育機会の向上を図るという計画だ。

以前から気になってWatchしているもの。

以下は以前に書いた100ドルPCのブログ

ついに100ドルパソコンの実現
ついにMITメディアラボ、2006年には100ドルのノートPCを実現へ になった。1万円で新品パソコンが買えるのである。まるで100円ライターのようである。10...

ついに100ドルパソコンの実現 その2
でも書いたパソコン製造元が決定した。100ドルPCの製造委託先が決定 だんだん実現に近づいて来るとワクワクする。前にも書いたが、シンクライアント用途を考える...

「100ドルPCによってデスクトップLinuxは急拡大」--ネグロポンテ氏が講演
Linuxの大量採用につながると語った。「100ドルPCによってデスクトップLinuxは急拡大」--ネグロポンテ氏が講演前から追いかけている、100ドルPCの続編...

この構想がとてもいいことだと思っている。当時から100ドルで本当に出来るのか?不思議だった。どう見てもスペック的に100ドルでは難しいように思えた。

子供達にこのパソコンが使えるようになることは素晴らしいことだと思っている。

この同じパソコンを私は、シンクライアントとして使えないか?ずーっと考えている。企業がこのパソコンを200ー300ドルで買っても充分に機能するはずで、情報漏洩対策にも、コスト的にも、必要充分である。

企業がこの価格で買うのであれば、100ドルの実現も夢ではないかもしれない。

もちろん、企業の購入台数と配布する台数によって、100ドルは実現しないかもしれない。しかし多少なりとも100ドルに近くなり、多少でも安価に提供することは出来るはずである。

使い捨てパソコンとまでは言わないが、余程特殊な作業をしない限り、日常業務での作業は充分にできると考えている。最近ではネットに繋がれば、ほとんどの作業が出来るはずで、認証機能さえ強化すれば企業ユースも可能と考えている。

1年前に聞いた話で、なかなか進みが悪いようであるが、どうにか実現出来る事を微力ながら願っている1人である。

コストを下げるために必要な事は、次世代の子供達に夢を提供出来ることであり、それを営利企業が積極的に活動すれば出来るのではないだろうか?

| | コメント (0) | トラックバック (0)

スパム送信者ワースト10

反スパム団体が「スパム送信者ワースト10」を発表,国別では米国が最悪ITproSecurityより

アンチ・スパム団体のSpamhaus Projectは11月16日,同団体が収集したデータをもとに,最も多くのスパム(迷惑メール)を送信している国やISP,個人を公表した。国・地域別では,米国から最も多くのスパムが送信されているという。

国・地域別のワースト・ランキングは以下のとおり。スパムは世界中で損害を与えているにもかかわらず,いくつかの国では対策を講じていないという。以下の国・地域にはスパム対策の法律がないか,あっても貧弱であるため,「スパム天国(Spam Haven)」になっているとする。

    1. 米国
    2. 中国
    3. 日本
    4. ロシア
    5. カナダ
    6. 韓国
    7. 英国
    8. 台湾
    9. 香港
    10. オランダ

Spamhaus Projectの情報

日本が3位に入っているのはなぜだろう?

日本語のspamも多く送られてくる状況を考えれば、納得がいくのかもしれない。

最近は聞かないが(私だけが知らないのかも?)、1999年前後くらいは、日本はハッカー天国と言われていた。それは簡単な話で上記のスパム天国と同様に、貧弱なサーバが多くあり、海外ハッカーの標的にされていたがあった。いわゆる踏み台ってやつで、脆弱なサーバに侵入し、そこを踏み台として経由し、目的のサーバに侵入するというもの。何カ所も経由すると元の接続先がわかりにくくなるのが目的。

言葉の定義だけしておきたいのは、ハッカーと言われるのは、コンピュータに精通し、何でも出来る優秀な人たちを言い、一般的に使われるハッカーとはクラッカーと呼ばれ、同じく精通しているが紙一重の一線を越えてしまった悪意ある人たちを言う。解りやすいのでココではハッカーと言っているが、クラッカーの事である。

当時よりも国内においては、随分強くなっているはずなのだが、それ以上の普及率と個人使用での常時接続が増えている事を考えれば、それよりも悪化しているのかもしれない。詳しいデータがないのでわからない。

母数が大きくなった分だけ、脅威も増えていると思われる。

スパムもうっとうしい。ケータイのスパム対策は通信事業者が頑張った結果、最近では減っているようだ。スパムでの逮捕者もでている事を考えれば、メールでのスパムも次の世代に変化していくのだろう。

また別なものが、発生してくるのは時間の問題だけだ。

| | コメント (0) | トラックバック (0)

2006年11月17日 (金)

ウィルスには必ず感染する可能性がある!その対応策

ベクター、ウイルス感染問題防止策を完了--専門家からは疑問の声もCNET Japanより

ベクターは11月16日、同社の運営するソフトウェアダウンロード配信サイト「Vector」で9月27日に発生したウイルス感染問題に対する再発防止策の実施を15日までに完了したと発表した。

今回実施された再発防止策は、「ウイルス検出能力」「未知のウイルスへの対応」「公開サーバへのファイル転送処理」「公開準備サーバの独立性の確保」「ウイルス検出時の対応方法の整備」の5項目。

ベクターはいつも便利に使わせて頂いている。ベクターがスタートした頃から使っているだろう。当時は窓の杜も使っていたが、いつしかベクターばかり使うようになっていた。それだけベクターがフリーウェアとシェアーウェア、パッケージソフト共に便利だからだ。

昔は雑誌などの付属CDやFD等にウィルス感染したものがあったが、最近ではインターネットも常時接続が当たり前の時代になり、配布はオンラインに変わってきた。

となると出てくる問題が、出てきてしまったのがコレである。

私の考えは、

1.ウイルス検出能力

5種類のソフトを使って対応するようだ。確かに種類が増えれば安全性は増すだろう。

2.未知のウイルスへの対応

未知のウィルスへの対応は、各ウィルス対策ソフトが対応しているから、コレも安全性は増すだろう。

3.公開サーバへのファイル転送処理

無人の自動対応から、有人対応に変えたようだ。チェックシートも用意し有人で確認するらしい。

しかし、無人対応がすべて悪い訳でもなく、有人対応におけるミスを考えれば、折衷案で出来るだけ無人対応し、手作業の有人対応はファイル転送作業でなく、ウィルス対策が確実に稼働している確認のが良いのではないか?

4.公開準備サーバの独立性の確保

Windowsのネットワークを廃止したようだが、問題の本質はWindowsではないのではないか?確かにネットワークを独立することは必要なことではあるが、ここでの人的な手間が余計なミスを誘発するのではないか?

5.ウイルス検出時の対応方法の整備

対応方法を手順化し、手順書を準備することはとても大切なこと。特にこれらの場合は時間を争う問題だから尚更のこと。手順書だけあっても、その発生時を想定したシミュレーションを行わなければ、発生時に手間取ってしまう。それは準備よく手順化され、身体化されてないからだ。

と、勝手に思うことを書いてみた。

考えられることは、もちろんするべきである。

しかし、ウィルス対策であれば何度も書いているが、

ウィルスが先にあって、対策は必ず後になる。

これ、対策ワクチンや更新ファイルがウィルスよりも先には絶対に存在しない。

未知のウィルスなどは、コンピュータの人間の見えないところでアヤシイ挙動を監視して見極めるようだが、そのアヤシイ挙動もアヤシイのに怪しくない挙動をされれば、解らないのだ。

いずれもウィルスってものが、正しいウィルスなんて存在しないので、どれもイタチごっこになってしまう。だから亜種と呼ばれる新種が出てくるのだ。

だから本当にすべき事は、技術的対策は必ず必要で、時間を争う問題に早急に対応出来る体制ではないだろうか?

ウィルスはなくならないのだから、感染することを前提にした対応策ではないだろうか?私はそう考える。

| | コメント (0) | トラックバック (0)

想定外?ファイルそのものが隠れた情報の宝庫だった

知らぬ間にファイルに摺り込まれる情報、気にしてますか?スラッシュドットジャパンより

例えばMS-Excelなら、OSのセットアップ時やソフトウェア自体のインストール時に登録された「企業名」「担当者名」などの情報が標準状態では全てのファイルに書き込まれる(当人が意識できていない状況では、むしろファイル自体に摺り込まれていると云えるかも)訳ですが、それが元で談合の嫌疑がかけられたという事例が報告(日経BP KEN-Platz)されております。実態としては過去の類似案件にて施工業者から提供された(おそらくは納品物である)特定のファイルをそのまま転用してしまったと言う事のようですが、なるほど、確かにそのようなプロパティの存在を知らずに外部提供のファイルをそのまま転用しているという人は結構存在していそうです。

使い回しが出来るものや守秘義務契約、各種基本契約書などの雛形をそのまま使っている場合は非常に多い。

特に契約書類は、弁護士先生など専門家のリーガルチェックを受けなければ出す訳にもいかない。

参考にする程度であれば良いのかもしれない。

契約書などは、ほとんど似たような文言が並ぶ場合も多いので、一概にコピってしまったとも言えない、難しい部分がある。

以下は過去に書いたもの

隠したはずの個人情報丸見え
NSAでもあったミスと同様だ。もちろん悪意のあった事ではない。しかし個人情報というよりも、プライバシー情報に関するものだ。僅かなミスで許される問題を...

隠したつもりが・・・情報公開
ちょっと笑えないかもしれない。こちらが原文のPDFだ。実際にやってみた。PDFを開き黒く塗られたところをマウスで選択し、コピーしてテキストファイルに貼付...

この事例はデジタルデータをデジタル処理したもので、実際には消えてなかったというもの。自分で見ただけでは解らなかったから起きてしまった事例になる。

解りやすい事例だが先のプロパティでも同じこと。コピってしまわなくとも、そこには情報が結構ある。WORDなんかだと変更の履歴などまで残る。

これは誰がいつ改訂したのか?その編集時間までもが、そこには残る。

通常であればとても便利な機能だ。改訂版のいくつなのか?一目瞭然だ。

ファイルのプロパティを実際に見て頂きたい。こんなことまで残っているのか?とビックリするかもしれない。知っていればビックリすることもないのだが・・・

このような便利なものも時と場合によっては、便利でなくなることもあるのだ。

表裏一体?紙一重?安全第一?

こんなこともある!ってことを知っておくことが必要なことで、簡単にコピったり、塗りしてはイケナイのだ。想定外でも、想定内でも、漏れるときは漏れる!

一番簡単な方法と答えは、アナログ手法に隠されているのだ。

いずれも使い方次第で変わるものであり、便利にも脅威にも変わるのだ。

| | コメント (0) | トラックバック (0)

2006年11月15日 (水)

Google Earthの過去・現在・未来地図

「Google Earth」に地図収集家の古地図コレクションなど追加INTERNET Watchより

米Googleは13日、3D衛星画像地図ソフト「Google Earth」に4つの特集コンテンツを追加したと発表した。

追加されたコンテンツの1つは、古くは17世紀にまでさかのぼる古地図を集めた「David Rumsey」コレクション。David Rumsey氏は地図収集家として著名な人物だ。このコンテンツでは、1680年から1892年までに世界各地が描かれた16種類の歴史的地図を Google Earthの現在の状況と重ね合わせて見られる。カッシーニが1790年に描いた地球、1787年に描かれたアフリカの地図、1710年に描かれた日本と中国を含むアジア地域の地図も含まれている。この地図を見ることにより人々の地理的な認識が時間とともにどのように変化していったかを観察することができる。

本当にインターネットって凄いと思う。Google Earthだけでも十分に楽しめるものなのに、さらにこんなコレクションが出てくるのは凄い!

1680年の東京の地図まで含まれている。

確かにバーチャルな地図だから、空間移動も時代移動も出来るのだろう。実際の地図でも存在するのだから、出来て当たり前なのかもしれない。

世界地図の今を知るだけでも充分なのに、昔まで見れるのはITの進化としか言いようがないほど素晴らしいことだろう。

そんな地図が存在するのか解らないが、紀元前の地図とか、恐竜がいた頃の地図なんてあったら面白いかもしれないが・・・

そんな時代には地図そのものがなかったのだろう。アトランティス大陸が見えるGoogle Earthなんてのがあっても面白いかもしれない。

古い地図は教育用途でもとっても便利に使えるものだ。教育以外でも充分に価値あるものだろう。

しかし・・・

以前にもかいた今現在の地図の場合、話は変わってくる。

空から全ては見られてるのか?

ダ・ヴィンチ・コードのDVD販促でまたもGoogle Earth利用:CNET Japanよりグーグルとソニー・ピクチャーズエンタテインメントは...

今現在の地図だと、世界的に見てもいろんな問題が多く含まれている。

それは見られちゃマズイところもあるからだ。本当にマズイところは見えないようだ。

何より見られたくないのは、自分でも見たことがない自分の頭のてっぺんだ。

最近薄くなってきたから、ますますイヤだったりする(笑)

じゃあ未来の地図なら、面白いかもしれない。30年後の地図とか、1000年後の地図とか・・・

しかし、氷も溶けてきているようだし、未来シミュレーションをすると、水面下に入ってしまう場所もあるだろう。

過去と未来の地図は良いかもしれないが、今現在の地図はヤバイだろう。

そこには言葉にならない情報がたくさんあるからだ。

しかし、今の地図だからこそ利用価値もあったりする。

矛盾している感じがするが、これも現実のこと。

やっぱり、帽子を被ることしかないようだ(笑)

| | コメント (0) | トラックバック (0)

スパムもエサを頑張って考えているようだ

「お金貸します」スパムが出回る,電話勧誘のリスト作りが目的かITproSecurityより

メールに書かれているURLにアクセスすると,個人情報の入力を促す申し込みページへ誘導される(写真2)。このページの下部には,「入力した情報は,(このプログラムに)参加している金融業者へ送られます。1社あるいは複数社の金融業者から電話で連絡があるでしょう。あなたの電話番号が電話拒否リスト(“do not call”list)に登録されていても,電話を受けることを了承したとみなします」といった文章が記述されている。

このことからSANS Instituteでは,今回のスパムは電話勧誘用のリストを作成することが目的ではないかとみている。

フィッシング詐欺は、銀行やクレジット会社、お買い物サイトなどのページに見せかけたサイトで、情報入力したものを詐取する。

今回のは一見違うように見えるが、逆フィッシング詐欺のような手口なだけ。

海外の出来事だが、日本にも来るのかも?

オレオレ、振り込め詐欺などの一方的なものに近い感じがする。

国内でもいろんな商売のカモリストが存在する。同じような事に興味がある人のリストは必要な人にとっては、瞬なもので、希少価値が高い。

世の中、上手い話はないのと同じで、低金利で貸します!なんて、相手から言ってくること自体が何ともあやしい。

今でもあるのだろう、典型的な古典的詐欺の形。M資金とか、マルタ騎士団の秘密資金だとか、皇室の秘密資金だとか・・・結構有名な話なのに、被害者は後を絶たない。それだけもっともらしく話を進めるのだろう。

で、このサイトに登録してしまうと、希少価値の高いリストに載ってしまい、電話番号を変えない限り終わらないだろう。

メールのスパム問題でも、メールのアドレスを変えること自体が難しい。

URLのドメインと同じで、メールアドレスにも充分な利用価値が利用者側にある。

そう簡単に変えることは出来ないのだ。ビジネスなんかで使っている場合は尚更である。

だからスパム業者は、その弱点をついて送り続けてくる。メールアドレスが変更し難い事を知っているから・・・

スパムも頑張っていろんな手を使ってくるものだ。感心してしまう。

感心ばかりもしていられないので、手口だけは知っておく事が最大の防御。

| | コメント (0) | トラックバック (1)

2006年11月14日 (火)

安全のための丸見えは必要だ

ライフボート、PCの利用状況が記録できるソフトを発売CNET Japanより

シッカリ記録アクセスログ Ver.1.5は、SOHOや小規模ネットワーク事業者向けの「簡単セキュリティシリーズ」として、エスコンピュータが開発したソフトウェア。ファイルアクセスやハードウェアの追加と削除、ログオンとログオフなど、PCのさまざまな利用状況をログファイルとして記録することで、機密情報へのアクセスや不正な操作を証拠として残せるというもの。ログファイルの保存先として任意のドライブやフォルダ、ネットワーク上の共有フォルダを指定することもできる。

この手のソフトは色々あるが、元は海外物が多く、それもコンシューマ向け製品が多かった。

用途としては家のPCに仕掛け、浮気の証拠や、その他の監視に用いられていたようだ。いかにも訴訟社会の証拠保全が、まんま見えてくるのだ。

で、今回のようなものは情報漏洩対策上、最も効果のあるものだと私は思っている。

一方、莫大なログ(記録)が残ってしまうが、莫大なログが残らないと後に何も使い物にならない。そのためのものだから、仕方ないこと。

でも、溜めるだけ溜め、まったく機能していない事例も多数見てきた。

何でも記録すれば良いってものでもない。しないよりも良いのだが・・・

事前にこの様な方法をとっていれば、ほとんどの記録を残せることが出来る。

以前にブログで書いた、ライブドアのサーバログの場合は、当局が押収したサーバのメール内容を掘り起こしたものだった。

ライブドアのサーバ
一連のライブドアですが・・・・・ニュースを見ていて、非常に興味を持ったことがあり・・・・それは、サーバを押収されたことだ。デジ...

ライブドアのサーバ その2
前回1/19日に書いたライブドアのサーバ記事について問い合わせが多い。ちなみにgoogleで検索すると...

で話は戻るが、これらのツールの一番の利点は、抑止効果なのだ。

画面をそのままキャプチャーするものや、ネット・メールの履歴を保存するものなど、すべてチェックしてますよ!って事が、最も効果の高いこと。

スピード違反のネズミ取りのように、仕掛けてから**するのとは、訳が違う。

未然防止のために、何かあったときの保全のために、導入するのだ。

今でもこれらの導入に関し、ネガティブなイメージが多くあるようだが、導入のポイントさえ押さえれば、パフォーマンスは高くなる。犯人捜しのために入れるのではない。

入れただけでは、導入側の思惑通りの効果は得られず、逆方向に成長してしまうもの。

何のために導入するのか?このポイントが最も重要である。

企業も従業員もお互いのために、ガラス張りにすることが大切なのだ。

| | コメント (0) | トラックバック (0)

2006年11月12日 (日)

”もしかして?”自分が賢くなくなるかもしれない

Web 上から語句の定義をひっぱってきてくれるJapan.internet.comより

情報がこれだけ多くなると「権威」というものが弱くなってくる。誰もが少しずつ賢くなっている時代なのだ。本当に正しいものは複数の情報ソースから自分が選択した情報だけなのだ

そしてこのサイトの最大の特徴は Web 上で公開されているさまざまなサイトから「これはこういう意味っぽい」という定義をひっぱってきてくれる点だ。リンクの羅列だけでなく、その意味を定義した文章を引っ張ってきてくれるので、百科事典ちっくに使うことができるというわけだ。

完全に全自動化された、フルパッケージのようなもののようだ。

googleにもある、もしかして**みたいな感じだろう。

意味を定義した文章を引っ張ってきてくれるのは、とてもありがたい。

これ調べるのに結構手間がかかったり、そもそももしかして?がわからないからだ。

しかし、もしも、これが間違えた事を教えてくれちゃった場合どうするのだろう?

パソコンのワープロをはじめて使った時の事。今でもある辞書登録をしたときの事。自分が使うだけなので便利にカスタマイズした。今でも使っているが、住所なんて打つと住所が郵便番号から出てくるように登録したり、名前なんて入れると自分の名前が全部出てくる。

当時あまりにも面白かったので、連想ゲーム(古っ!)のような辞書登録をした。

ワープロではほとんど入力しないと思われる文字まで辞書登録した。

バカとか打つと自分の嫌いな奴の名前が出たり、自分の中だけで勝手に定義されている、☆☆は◎◎みたいなものを登録し、知っているのに入力して、表示されるのが面白く思ったこともあった。(笑)

確かにワープロ辞書なのだから、それもアリなのだが、この使い方だとまるで低レベルの人工知能マシン(自分好み)でしかなかった(笑)

その前に覚えさせる訳なので、覚えさせた事は表示されて当たり前なのに、自分の定義が、イメージ(登録)されたものを打って変換される結果は、ロボットのような感じ。

調べ物はほとんどインターネットに頼っているが、その結果自体が間違っていると大変なことになるだろう。でも使う側も見る側もインターネットを使っているのだから、もしかしたら誰にもその間違いは気づかないかもしれない。

| | コメント (0) | トラックバック (1)

2006年11月10日 (金)

壁に耳あり・・・その2

壁に耳あり障子にメアリーってのが気に入っている。単なるオヤジギャグ。ちょっと?かなり?痛いかもしれない(笑)

メアリーはきっと金髪の外人?まぁどうでも良いのだが、ちょっと気になるかも?

話はシャレで済むような事ではなかった。以前に書いた同じ事を体験した。2度も同じ場所で体験出来るとは、余程の事だと思ったが、連日繰り返し同じ事が起きているとしか思えない。

壁に耳あり・・・

いずれも、ちょっと注意すればこんな話にはならない事で、情報漏洩とは言いたくないが、知らない話を関係のないところで聞くことが出来るって事は、私以外にも聞こえていた人はいるはず...

3分でわかる情報漏洩対策

今度どこかで耳を傾ければ、聞こえてくることは想像を絶する凄いことかもしれない。もし凄いことだったら、自分もきっと同じとをやっているはずだから、反面教師にしてもらいたい...

前回と同じ場所にいった。今回もお見舞いに行ったあると病院の屋外喫煙場所。

以前にも体験したことと同じ光景。シンクロでも起きたのか?と言うほどに話題が若干違うだけで、シーンはほぼ一緒。

毎日同じようなことが繰り返されていると思うと・・・とても恐いことだと改めて思う。

  • 場所:病院の喫煙所
  • 時間帯:寒くて暗い時間
  • キャスト:病院勤務の看護婦

まったく前回と同じシチュエーションなのが驚きだ。と言うか同じ光景は場所が同じだけにありうるが、話の内容までほとんど似ていることに危機感すら感じたし、当事者でない私までもが、不愉快な気分になった。

前回の人たちと同じかどうかはわからない。そんなの覚えていない。

よりパワーアップしている感じだった。内容の濃さも、マシンガントークも。

その喫煙所は、入院患者も見舞いの人も、勤務者まで同じ場所を利用するようだ。同じ場所を利用するから、どうこうって問題ではない。

個人情報のレベルを超えていた。今回も。プライバシー情報のセンシティブな部分にまで話は及んでいた。病院の勤務者であれば、当然起こりうるいろんな問題はあるだろう。

しかし、**号室の**さんは、そろそろヤバイだの、

この前間違えて**しちゃった医療過誤の話だとか、

**さんと**号室の**さんが、出来ちゃったとか、

同僚の誹謗中傷とか、その人に対する嫌がらせだとか・・・

もっと他にも話はあるはずなのに、ストレスの発散場所がここでのこれではマズイ。よく問題にならないと思えるほどに限界を超えている内容だ。

患者でない私が聞いていても、これはマズイ!少なくとも医療という場所に従事する人間としての最低限の事すらできていない。これは情報漏洩のレベルなんかではなく、異常なあり得ない光景だった。

院内においては、徹底された教育がきっと行われているはずだ。そう思いたい。

しかし重要な職務に就く最低限の守秘義務すらない。近所の井戸端会議の雰囲気で、相応しくない話をしていたのだ。

こんな体験は病院に限った事ではなく、日常のあらゆる部面で起きている。実際に私が経験しているからだ。

同じ事を繰り返さないためにも、これは決して他人事でない。って事を知ってもらいたい。

| | コメント (0) | トラックバック (0)

メールも白黒はっきりさせる

出したメールが相手に届かない!? メールの不達問題とスパム対策の関係

:INTERNET Watchより

「自分が出したメールが相手に届かない」「行方不明になったみたいだ」---。そんな事例が目につくようになってきた。メールは、遅延はあっても“ほぼ間違いなく”届くものと考えているユーザーにとっては看過できない問題だ。

第1に、世界的に見ればメール全体の約8割がスパムだと言われており、かつ増加傾向にあるという実情がある。もし自分自身が管理しているメールサーバーに届くメールの8割がスパムだとしたら、管理者はどうするだろう? メール処理のためのコストの多くが無駄に使われ、ユーザーからは多大な苦情が寄せられるのである。スパムを一気に減らすことができれば、多少のことには目をつぶろうという気持ちになったとしても不思議ではない。

第2に、日本では、ISPのサービスは基本的に電気通信事業であり、その役務提供についてはさまざまな法規制がかかっている。ユーザーの同意無しにISPの側で勝手にメールを検査したり、メールの配送を拒否することは基本的にできない。ところが、例えば米国などでは電子メールは通信事業ではなく情報サービスに分類される。通信事業に課せられるような厳しい制約がなく、かなり大胆な処理を行なうことができるという事情がある。

つまり、日本のISPではさまざまな制約からそのメールをスパムだと判定してもメールそのものを廃棄することはないが、米国では簡単に廃棄されてしまう可能性があるということだ。この結果が、最近話題となっているメールの不達問題の実際である。

スパムメールの対策には色々ある。スパムメールを出させない方法と、スパムメールを受け取らない方法だ。

この受け取らない方法の代表的なものに、フィルターを通す技術がある。

ブラックリストとホワイトリストからなるこの方式でも、イタチごっごなのだ。

実際にいろんなフィルターを試したが、しっくりこなかった。

ブラックリストとは、不必要なメールアドレスを登録したり、SPAMを大量に送ってくるメールサーバなどが登録され、受信時にそれに合致するメールの場合、ゴミ箱や別な場所に保存する。直接自分には見えないようになっている事が多い。

ホワイトリストとは上記の逆で、必要なメールアドレスなどを登録し、無条件でフィルターを通すもの。

Gmailなどは、ブラックリストでスパム対策をしているが、敵も頑張っている。抜けてくるメールが結構あるのだ。

ブラックリストの利点は、

ブラックリストのサービスを行っているサービスなどを利用すれば、自分でなにもしなくて良い。

ブラックリストの弱点は、

自分で登録する場合の手間と、利点であるはずの自動が仇となり肝心なメールが来ない場合などである。

一方ホワイトリストの利点は、

登録したものは、スルーパスして届く

弱点は特に見あたらないが、面倒な事として、

自分で登録する手間

このあたりが一長一短のところ。

著しく業務効率の下がるこのスパム問題。何か良い方法はないのだろうか?

スパムが多く来る人は、

スパム対策をしていないか?世界中で一番早い段階でスパムメールを受信しているかのどちらかだろう。(笑)

| | コメント (0) | トラックバック (0)

ロングテール現象はセキュリティにもあった?

キーワードは、80%&ロングテール(パレートの法則)

約8割がデジタルデータの定期的なバックアップを行わず--アイギーク調査:CNET Japanより

調査結果では、自分のPCのデータをバックアップしているかという質問に対し、「頻繁にバックアップしている」と回答したのは21.0%にとどまった。「バックアップを行ったことはある(58.3%)」と「バックアップを行ったことはない(20.7%)」を合わせた約8割のユーザーは、定期的なバックアップを行っていないことが判明した。

バックアップを行わない理由については、「バックアップの仕方がわからないから(64.5%)」「作業が面倒なので(28.2%)」「時間がかかるから(16.1%)」といった回答が多く、バックアップの重要性と対策に関する認識はまだまだ低いとしている

バックアップはしなくても良い。ハードディスクが壊れたり、データがなくならない限りにおいては。。。

私も何度も痛い目に合っている。学習能力がないのか?なかなかバックアップを取らなかった。しかし最近ではしっかり取るようにしている。本当に痛い目に合ったからだ。

天災のように突然やってくる。いろんな不具合は・・・

その時にバックアップがあれば・・・何度も経験し、やっと定期的に取るようになった。それは簡単にバックアップ出来るソフトの充実など、環境的な要因も大きい。

また大量のデータを保存出来るハードディスクなども安くなったのもある。

この重要性は、痛い目に合わないとなかなか解らないのだ。そんなもんである。

意外とこのバックアップで重要なことは、バックアップしたから安心!ではないのだ。確かにバックアップしたから安心の一面もあるが、バックアップしたデータが入った媒体の管理は意外とずさんだったりする。

取ったらその後の管理のが重要なのだ。立場によってその価値観は変化する。

自分で自分のデータをバックアップするのだから万一の場合、元に戻すことが出来る=万一でなくとも元のデータが復元出来るって事を忘れてはならない。

 

8割の企業が従業員のIM利用などでセキュリティ被害,被害額は年平均13万ドル:ITproSecurityより

米FaceTime Communicationsは米国時間11月8日,インスタント・メッセージング(IM)やピア・ツー・ピア(PtoP)型ソフトなどが,企業に与える影響について調査した結果を発表した。それによると,従業員が許可なくダウンロードしたソフトウエアが原因で,過去6カ月間に被害を受けた企業は81%に達したという。「無許可ソフトによるセキュリティ脅威は,約1年前と比べほとんど減っていない」(同社)

また,グレイネットが原因のセキュリティ・インシデントによる年間の被害額は,一般的な企業では平均13万ドル,インシデントの発生頻度が高い大企業の場合は35万ドルにのぼることが分かった。

ここでも8割なのか?米国の事例だが、米国に限ったことではないだろう。

ここで8割がどうも気になるのだ。8割といえばパレートの法則ロングテールが有名だ。最近ではロングテールのが通じやすいが、その元はパレートの法則だ。

いまさらここでパレートの法則を説明するまでもない。

今回の件にあてはめると・・・

バックアップを8割の人が取らず、2割の人が取っている?

これではそのまんまだから、あまり面白くない。

私の経験上言えることは、

98%忘れた頃に、不具合が訪れる!ってくらいで、8対2ではない(笑)

しかし、2%もないかもしれない。不安には思っていても・・・

もっとまともに言えば、バックアップしたものの8割は不必要で、2割が必要である。って感じだろうか?

これも違うような感じだ。10割必要があると思っている。私は。

逆の場合はあるかもしれない。8割重要で2割が重要でない。かな?

となると、バックアップについては8対2ではないようだ。

中身によってはあるのかもしれないが、なんともわからない。

被害で考えた場合は、どうなるのだろうか?

事故の8割はうっかりミスで、2割は予測出来たこと?

これではパレートの法則にならない(笑)

漏洩原因の8割は、2割の人が起こしている。とか、

漏洩原因の2割は、8割の人たちが起こしている

漏洩被害の8割は、2割の重要でないもの?

漏洩被害額の8割は、利益の2割に相当する?

どれもしっくりこない。無理矢理パレートの法則に入れるからだろう(笑)

なにもパレートの法則にあてはめて考えることはない。しかし8割の問題って意外と多いのではないかと思う。であれば2割の何かも存在し、対策案が出てくるかもしれない。

8対2の中に、何か答えがあるような気がしてならない。

さぁこれからバックアップをしよう!10割のデータのために・・・

| | コメント (0) | トラックバック (1)

2006年11月 8日 (水)

ファッションとセキュリティ脅威の共通点は意外と幅広い

ファッションとセキュリティ脅威の共通点IT mediaエンタープライズより

ファッションと同じように、マルウェアの世界でも、昔流行したものが一定周期で再び登場してきている」――米 Symantecのセキュリティ研究センター、Symantec Security Responseでオペレーションディレクターを務めるケビン・ホーガン氏が11月6日来日し、昨今のセキュリティ脅威の動向について解説した(関連記事)

ホーガン氏はまず、「人が増えれば(=人気の高いものには)セキュリティリスクも付いてくる」と述べ、アプリケーションレベルの攻撃の増加やWeb 2.0ならではの脅威の登場といった最近のトレンドについて触れた。

「先祖返り」のもう1つの例が、「ファイル感染型のウイルス、いわば純粋なウイルスがまた増加してきたこと」だという。

この手法はまた、古典的かつ有効な攻撃手口の1つである「ソーシャルエンジニアリング」の応用とも表現できるという。

なおソーシャルエンジニアリングの手法は今も、脅威をちらつかせて入金を迫るミスリーディングソフトウェア(偽セキュリティソフトウェア)で使われている。最近の手口としては、中身は同一のプログラムなのにスキン(見かけ)だけを変え、新しい配布用Webサイトを設けて詐欺を繰り返すケースがあるという。

Web2.0のサービスが新たなセキュリティリスクに:IT pro Securityより

ソーシャル・ネットワーキング・サービス(SNS)やオンラインゲームといった比較的新しいタイプのWebサービスの空間に、従来から存在した不正プログラムやインターネット詐欺の手口が進出していくというケースだ。「SNSに人が集まっているので、セキュリティリスクもそちらに移っていく」(ホーガン氏)。例えば、2006年7月には米国の大手SNS「MySpace.com」を介して感染する不正プログラムSpaceflash」が出現している。いずれもシマンテックのケビン・ホーガン氏の話だ。

古いものが復活してくる。最近ではよく聞くことの1つだ。

セキュリティというか、どの世界でも同じような事は繰り返すようだ。

まるでヘーゲルの弁証法のようだ。

いずれも、最新の流行と古典的手口のハイブリットで迫ってくる。

YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロードIT pro Securityより

ハッカーがWikipediaをマルウェア配布に悪用IT mediaエンタープライズより

この2つも同じく、最新流行+古典的手口の融合型だ。

結局、引っかかりやすいところにトラップは仕掛けられる。仕掛ける側からすれば最も効率の良い話だ。

人の集まるところに、人気のあるところに、リスクはついてくるってのは、インターネットに限ったことではない。

人混みでスリが多くいたり、混雑した電車の中で痴漢が多いのと変わらない。

ここで学びたいことは、現実社会と仮想空間での違いはない!ってことだ。

どうも仮想空間の場合、現実社会と違く見られがちだが、まったく変わらない。

唯一の違いは、より見えにくく、利用者が自ら進んで参加してしまうところだろう。

この回避方法は、インターネットを使わないこと!これでは話にならない(笑)

となると、アヤシイとすべてを疑うのか?これも現実的でない。

シマンテック流に言えば、アンチウィルスなどのセキュリティ対策ソフトを導入してくれ!って事になるだろう(笑)しかしこれは正しい答えだ。アヤシイ判定はソフトに任せ、プロテクトする。これしか方法はないだろう。ちなみに私はシマンテックの回し者ではない(笑)

他に出来ることは、脅威のパターンを知ることだ。これも有効な方法の1つだ。

大体が同じような事を、小手先だけ変えて迫ってくるだけで、流行こそあるがほぼ変わらない。

パターンを知る事は、現実社会でも仮想空間でも同じ事だから、両方で使えるプロテクトのハイブリットになる(笑)

利用者側にも、アーモンドキャラメルのように”一粒で二度おいしい”ことがあっても良いのではないだろうか?

| | コメント (0) | トラックバック (2)

ブログは業務時間中書くようだ

人気ブログの特徴とは? Technoratiが投稿率などから分析INTERNET Watchより

ブログサーチエンジンの米Technoratiは6日、2006年10月時点のブログの動向に関する調査結果を同社公式ブログで発表した。この中ではブログの増加率や人気あるブログの特徴、使用されている言語など、興味深いデータが明らかにされている

また、前回の調査結果でも明らかになった通り、ブログで多く使用されている言語は英語の39%、次いで日本語の33%、中国語の10%、スペイン語の3%だった。しかしTechnoratiでは日本語と中国語よりも英語やスペイン語の方がよりグローバルなブログ言語なのではないかと推測している。

これは、ブログの投稿時間帯の分析による。日本語や中国語のブログでは投稿時間がその地域の日中に集中しているのに対して、英語やスペイン語では日本語や中国語ほどは投稿時間に影響されていないことがわかるからだ。こうしたことから日本語と中国語のブログは、特にこれらの地域に住む人々が書いているということが考えられる。仕事が行なわれている時間内にこれほど多くのブログが書かれていることも驚きである

これは面白い分析結果だ。

詳しくはリンクから見て欲しいのだが、ここでもっとも注目したいのは、

日中にブログが書かれている。日本と中国は・・・

ってことである。

以前にとある調査で業務時間中のメール利用の半数以上が私用メールだった、と言うものがあった。

昔であればメールがない頃、私用の連絡は電話しかなかったので、誰にも聞こえてしまうものだった。

しかしメールの場合、私用なのか?業務なのか?、そもそもメールでなく、ワードやエクセル、パワーポイントなどの資料作りなのか?端末に向かっている限り、まったくわからない。普通に仕事をしているようにしか見えないからだ。

画面でも覗かない限りは・・・

この分析結果を見ると、ブログも業務時間中に書かれていると思われる。

SNSなんかは、特にそう感じる事が多い。

逆に電話の方がメールよりも遙かに時間がかからない。メールを打つのは会話よりも時間がかかるからだ。

業務効率から考えれば、私用であっても電話にした方が効率が上がる。

そもそも私用事を業務時間中にすることに問題はあるのだが・・・

最近では情報漏洩の観点から、Webの履歴やメールの送受信内容のチェックする通信記録を保存する機械や、各端末の画面をそのまま写真で撮ったようにキャプチャするものや、何のアプリケーションをどれだけの時間使っていたかなど。

色々と監視出来るものが多くある。これは従業員にとっては厄介な事だが、企業側からすれば当然のことで、逆にやってなければ問題発生時に何の記録も残らない。

しかし日中に多くの投稿がある、日本と中国には何か共通するものがあるのだろう。

| | コメント (0) | トラックバック (0)

2006年11月 6日 (月)

個人情報のトレードオフは幸せなのか?

個人情報検索サービス「Spock」、プライベートベータを開始CNET Japanより

ウェブ上で個人情報を探し易くすることを目指す新興企業のSpockが、プライベートベータを開始した。

Spockによると、同システムで名前を入力すると、その人物の写真、住所、職業、趣味などの情報が提供されるという。逆に職業と所在地を(「Rodeo Clown、Lubbock」のように)入力すると、そのカテゴリに一致する人々の名前を探し出してくる

今のところ、自動化された人名案内を組み立てるのは容易な作業ではないようだ。ZoomInfoは名前を探し出し、その人物の履歴書を自動的に作成するヘッドハンティング用の検索エンジンを構築している。しかし、ZoomInfoデラックスサービスを試しに使ってみたところ、Googleのほうが個人に関する情報を数多く探し出すことができた。ZoomInfoはまた、誤った情報も提示する。

Spockはまだパブリックベータを開始していないが、1億人のプロフィールを提供する予定である、と同社創業者らはVentureBeatに対して述べている。

何とも凄く壮大な計画のようだ。この記事を見た瞬間に脅威を感じてしまった。

便利かもしれない。自分が調べる側だったら・・・

良いかもしれない。自分を広くみんなに知ってもらいたい人は・・・

凄いことかもしれない。端末だけで1億人のプロフィールが検索できるのだから・・・

インターネットは急速に進化している。テクノロジーもサービスも面白いものがたくさんある。

今までなかなか連絡の取りにくかった人まで、メールで、SNSで、各種サービスで・・・実現する。

本当に便利な時代になったものだ。

しかし、これって本当に幸せなことなのだろうか?

現実世界が、仮想空間に脅かされている感じすらするのは私だけだろうか?

情報漏洩がどうこう言うレベルの話ではない。

簡単に検索出来るのはとても便利でインターネットなくして調べ物すら出来ない。

今までどうやって調べていたのか?すら忘れてしまうほどネット中毒な私。

ブログなどで自分のことを書いてくれる人もいる。まったくの他人ではないだろう。少なくとも自分のことを知っているから、ストーリーに登場してくるのだ。

本人が望んでいるかどうかは、そこには関係がない。唯一あるのは、自分以外の人がブログを書いていることくらいだろう。

結構詳しく書かれていることもあったりする。この程度は充分に楽しめる範囲にあるのではないかと私は思う。

しかしこの検索は、もっと詳しく詳細に写真や趣味まで出てくるようだ。

私は自分の情報を、そのまんま公開しているからどうってことはないが、全員がそれを望んでいるのだろうか?

便利になることが本当に良いのだろうか?ここまで来ると便利を超えたイヤな感じすらしてくる。仮想空間で自分も知らない間に、自分よりも自分のことが詳しい人が登場してくるかもしれない。

ジョハリの窓で言う、自分も知らない自分がここには存在するのかもしれない。

もしも自分が調べられる側であり、それを望んでいない場合はどうなのだろうか?

先のブログなどは身近に存在するできごと。

この情報は、もちろんデジタルなもの。じゃあアーカイブも存在するってことか?

いくら何でも、このアーカイブはどうも好きになれない。

皆さんは、いかが思いますか?

| | コメント (0) | トラックバック (0)

2006年11月 3日 (金)

2次3次請けの管理までは難しい

「2次3次請けの管理までは難しい」---Winny/Share流出4回の中部電力ITproSecurityより

多発する情報漏えい事故を背景に,多くの企業が“従業員のパソコン”に頭を悩ませている。中でも問題なのが,会社の管理が及ばない“従業員所有の自宅パソコン”。特に,多数の子会社や協力会社を抱える大企業では問題が深刻だ。

2006年だけで4回もファイル交換ソフト経由の情報漏えい事故に見舞われた中部電力も頭を抱える一社。

ただ,下請け会社までを含めた情報漏えいに対する抜本的な防止策は見つかっていないという。「業務に関する電子データを(2次,3次の)委託先会社に渡さない,というのも一つの方法だが,今の時代,そういうわけにもいかない」(武蔵原氏)。自宅パソコンに対する巨大組織の悩みは当面続きそうだ

良いか悪いかは別にして、ファイル交換ソフトは面白い。

もちろん法的に問題のあるものや、著作権侵害になるもの・・・いろいろある。

だから、ファイル交換ソフトによる漏洩が後を絶たない理由もここにある。

しかし、企業の社会的責任を考えた場合には、ファイル交換ソフトの使用を自粛してくれ!ではお粗末な対応ではなかろうか?

そもそも論で言えば、自宅にデータを持っていくことが問題なのだが、仕事の関係上持ち帰ってしまうことはやむを得ない。

それもすべて禁止にできるのならば、もちろんそれが一番ベストなこと。

ここで注目したいのは、抜本的な防止策が見つからないこと。本当にないか?

まず技術的対策においては、Web2.0的なサービスを利用すれば現在でも安全に可能な方法はいくらでもある。

例えば、オンラインストレージに認証強化したものを利用するなどである。

または、仮想シンクライアント的に使用出来るサービスもある。

いずれもコストはかかるが、物理的にデータを持ち歩かないことを考えれば、ネットワークを利用したほうが余程安全である。反面リスクとしては、そのデータを置いている場所のセキュリティ対策がどうか?決してトレードオフの関係ではない。

非技術的対策においては、ファイル交換ソフトの使用をした場合の脅威をシミュレーションし、そこに自分の個人データが含まれていた場合、どのようなプロセスを経て流出するのかを、徹底的に知るしかない。自分に置き換えないと脅威はわからないのだ。

ファイル交換ソフトだけでも、こういう問題があり、情報漏洩全体で言えば、もっとたくさんのチェック項目がある。

決して難しいことではなく、単に目の前の端末だけしか見えないから、その脅威がわからないだけ。たったこれだけのことでも、迷惑をかけてしまうことや、損害まで出てしまう。漏洩した中身によっては被害者や、企業の存続にまで関わる大きな問題になる。

自宅パソコン自体が、この問題の本質なのだろうか?

含めたトータルな対応が企業には求められている。

頭を抱えているだけでは、必ず再発するのは時間の問題。水漏れと同様の情報漏洩には、穴の塞ぎ方と水の流れをしっかりと理解することからはじまる。

| | コメント (0) | トラックバック (0)

2006年11月 1日 (水)

個人情報も自分でコインで削る時代

宅配便ラベルの文字が消える 「消え~るくん」開発スラッシュドットジャパンより

毎日新聞の記事によれば、 共同印刷株式会社と、ヤマトグループのヤマトロジスティクス株式会社は、住所や名前がコインで簡単に消える「消え~るくん」を共同開発したと発表した(共同印刷のプレスリリース)。「消え~るくん」は、住所や名前の印字部分にスクラッチ機能を持たせ、受取人がコインなどで擦るだけで、印字した情報を簡単に消去することができるラベル。一般ユーザが廃棄に要していた手間と不安を取り除き、個人情報の安心・簡単な処分が可能になったという。販売は、2006年11月1日から開始するとのこと。これからも個人情報保護の観点から、このような商品に期待したいです。

スクラッチだと、宝くじとか、福引きなどを思い出す。一説には当たりくじに銀色などの削る部分を被せているだけなので、当たりくじは決まっている。その当たりくじの印刷が、はずれくじと若干印刷がずれているようで、大量のくじを重ねて見れば横から発見できるらしい。たくさん揃うと当たりである少数の1枚を発見しやすくなるようだ。

今回の宅配便のコレは良いと思う。スラッシュドットのコメントにもあるように、配送中に消えないのか?これは私も思った疑問。

個人が荷物を出す場合、コンビニなどから出すことが多いだろう。その後集荷され、センターのようなところで分別され、個別に届く。

届いた後の宛先シールに書かれた自分とか、相手の住所が書かれているものの処分を安全にするためのことが、今回のこと。

簡単に出来る、コインなどで削るだけだから・・・

また、削らなくても自分の範囲でコントロールできること。手元にあるからだ。

しかし、荷物が届くプロセスにおいて最も大きな問題がある。実際に何度も体験したこと。

荷物を受けてくれるコンビニでは、POSと連動し、とても手際よく荷物を預かってくれる。

問題はその後だ。コンビニでは荷物を安全に預かることが仕事だろう。しかし、荷物は宅配便の荷物であって、コンビニに納品されたお菓子などの商品ではない。

そこには、伝票に詳細なことが書かれている。だからコインスクラッチのようなものが出てくるのだ。

コンビニのレジ周りはたかだかしれた広さしかない。そこに荷物を一端置くのだから仕方ないこと。

でも、伝票に書かれた個人情報に注意をすれば、いくらでも何でも出来る。

お客が見えるところに、住所と名前、電話番号が書かれ、品名まで書かれているのだ。

自分の預けた荷物の伝票から情報が見えてしまうのだ。

コンビニ側が若干のことをするだけで、それも防ぐことができる。例えば何かネットのようなものを被せ、見えにくくするなど・・・

決して難しいことではない。いくら最終の伝票処分時に削っても、最初の伝票を書き受けたときから、届くまでの間にいろいろあるのだ。

コンビニ荷受けのヤバイところは、荷物を出した本人まで特定されること。それは荷物を預けに行くのだから当たり前。コンビニのレジで前に並んでいる人全員の名前も連絡先もわからない。

しかし荷物をこのような受けかたをすれば、それもわかる。

これがどれくらい脅威のあることか、ほとんど知られていないようだ。

小学生の頃、果汁で紙に書いて”あぶり出し”をやったことがあった。何とも不思議な感じで、果汁の匂いも良い感じだった(笑)

スパイ映画の一面のような感じさえした。何であぶると文字が出てくるのだろう?

逆のあぶり消しってものある。これは先のスクラッチと同じように情報を消すこと。

クレジットカードの控えなど、最近では昔のファックスのような感熱紙を使っているので、捨てるときにはライターであぶるだけで消える。そもそも熱の加わった場所にだけ反応する紙だから、黒くなり文字になる。それをさらにあぶるだけで真っ黒になる。

危険なのは、あぶりすぎると引火する。薄くて燃えやすい紙だから結構アブナイ。

自分で出来ることは自分で守り、一言声をかけるだけで相手に注意喚起をすることも自分のため。

物理的に荷物を盗むことだけでなく、目で見て情報を知ることも出来るのだ。

 

| | コメント (0) | トラックバック (1)

« 2006年10月 | トップページ | 2006年12月 »