セキュリティに関する時事ネタ

IT Security Award 2008 受賞者発表

セキュリティチーム — Wed, 27 Feb 2008 05:32:00 GMT

(本Blogは、TechNet Blog に引越しました。リンク&RSSの更新をお願いします。)
http://blogs.technet.com/jpsecurity/archive/2008/02/27/2935538.aspx

ついに、 Windows Server 2008完成！

セキュリティチーム — Mon, 04 Feb 2008 22:49:00 GMT

小野寺です。

Windows Server 2008 日本語版が、ついて完成し製造工程向けの出荷を開始しました。MSDNやTechNetサブスクリプション会員の方は、すでにダウンロード可能です。

Windows Server 2008 は、Windows Vista 同様に Security Development Lifecycle (SDL) に基づいて開発された製品であり、セキュリティに特化した設計時の脅威分析とそれに基づいた防護策が色々と施されています。発見された1つの脅威に対して、複数の防護策をとる多層防御の考え方が、製品その物に息づいてていると思っています。
Windows Vista の場合で、出荷後 1 年間の脆弱性数を Windows XP と比較するだけでも 1/3 に減少しています。Windows Server 2008 でも、同様以上の結果ができるものと期待したいですね。(この辺の詳しいレポートは、近日このブログで公開しようと思います)

また、今まで個々の PC やサーバーのセキュリティをそれぞれに維持することで、ネットワーク全体のセキュリティレベルを維持してきました。Windows Server 2008 の出荷により、ネットワークアクセス保護機能 (いわゆる NAP)が使えるようになりますので、ネットワークが自律的にセキュリティを維持することができるようになります。セキュリティは、理想的には、セキュリティ対策のための対策ではなく、適切な全体運用統制の結果としてセキュリティも維持管理されるわけですが、その理想に少し容易に近づけるようになったのかもしれません。

これからが、楽しみです。
製品情報サイト
URL： http://www.microsoft.com/japan/windowsserver2008/

開発者向け情報提供サイト：
MSDN Windows デベロッパーセンター Windows Server 2008
URL：http://www.microsoft.com/japan/msdn/windows/windowsserverlonghorn/

ITエンジニア向け情報サイト：　TechNet Windows Server テックセンター
URL： http://www.microsoft.com/japan/technet/windowsserver/default.mspx

あなたのPCは大丈夫? (CHECK PC!)

セキュリティチーム — Wed, 16 Jan 2008 02:57:00 GMT

小野寺です。

今日からCHECK PC! の本年度版が始まったみたいです。今年は、「上戸彩」さんがイメージキャラクターの様です。
http://www.checkpc.jp/top.html

私も、一通り試してみましたが、この分かり易さはマイクロソフトのサイトでも見習っていきたいですね。
リスク診断を行うと、その対策や説明も表示されますが、Windows ユーザー向けの情報を以下にまとめておきます。（ちなみに、私のリスク診断はちゃんと 0 リスクでした)

スパイウェア
Windows Vistaには、Windows Defender というスパイウェア対策ソフトが標準で搭載されていますので、それを利用していただくのが第一歩です。
Windows XP のユーザーは、以下のサイトから、Windows Defender を無償で入手できます。
http://www.microsoft.com/japan/athome/security/spyware/software/default.mspx

フィッシング
Internet Explorer 7 から、フィッシングフィルタが標準搭載されました。自動検出とブラックリストの組み合わせで動いています。
Windows Vista は、標準搭載、Windows XP は、以下のサイトから無償で入手できます。
http://www.microsoft.com/japan/windows/downloads/ie/getitnow.mspx

不正アクセス
悪用の手口をしって、気おつけていくことも大切ですが、まずは、OSやアプリケーションを最新の状態にすることが必要です。
Microsoft Update を使うことで、Windwos,Office などを一括して更新することができます。
http://microsoftupdate.microsoft.com

ウイルス
ウイルス対策は、もしもの時にために導入することを強くお勧めします。
マイクロソフト製のウイルス対策ソフトなら Windows Live OneCare (http://onecare.live.jp/) があります。(企業向けは Forefront です)
他社からも提供されており、詳しくは以下
Windows XP用: http://www.microsoft.com/japan/athome/security/viruses/wsc/ja/default.mspx
Windows Vista用: http://www.microsoft.com/japan/athome/security/update/windowsvistaav.mspx
また、プロバイダ各社で、セキュリティサービスを提供しており、それを併用するのもお勧めです。
http://www.microsoft.com/japan/security/msra/giais.mspx

MS07-069適用後の問題に対処する更新を公開

セキュリティチーム — Fri, 21 Dec 2007 01:46:00 GMT

五味です。

12月12日に公開した「MS07-069 Internet Explorer 用の累積的なセキュリティ更新プログラム」を適用後、Windows XP SP2 上の Internet Explorer 6 を使用している環境で、特定のウェブサイトを参照すると Internet Explorer 6 が異常終了する現象がありました。(問題の詳細はこちら KB946627)

先ほど、この現象に対する更新プログラムを公開しました。

http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=cc096493-367d-4d28-80ab-2a70139ae839

Windows Update/Microsoft Update/WSUS/自動更新でも入手可能です。

「情報セキュリティ」を、なめんなよ！

セキュリティチーム — Thu, 20 Dec 2007 04:53:00 GMT

小野寺です。

今日、「みんなで『情報セキュリティ』強化宣言！2008」に関する発表を事務局各社共同で行いました。
この「みんなで『情報セキュリティ』強化宣言！2008」は、今年から始まり、来年で 2 年目となる活動で、情報セキュリティについて、自分自身にできる事を少しずつ行って、その輪を広げていこうというものです。現状から一歩でも前に進みたいと望む気持ちがあれば、どんな企業・組織でも参加できます。1/31からは、個人の方々の参加も募集開始します。

情報セキュリティ＝完璧なセキュリティを想像されがちですが、そうではなくて、もっと多くの人が「少しでも」の気持ちで意識を持つことが大切なのだと思っています。そんな気持ちのある、貴方の参加をお待ちしています。申し込みは下記サイトから!
http://www.netanzen.jp/

ちなみに・・・今年のイメージキャラクターは、「なめねこ」です。

マイクロソフトの報道資料は、以下。事務局各社でも同じものを公開しているので、各社のサイトをめぐってみるのも面白いかも。
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3310
http://www.microsoft.com/japan/presspass/addcont.aspx?addid=957

Microsoft Officeのゼロデイと悪いヤツら

セキュリティチーム — Mon, 26 Nov 2007 13:13:00 GMT

小野寺です。
突然ですが、「Microsoft Officeのゼロデイと悪いヤツら」というタイトルでPacSec.JPのひとコマを話す事になりました。
昨年に引き続き、PacSecのスポンサーをさせていただいているというのもありますが、少し前までのオフィス 0-day 関連の話について一度整理しておきたいなと思っておりました。そこに、PacSecという機会があったというのが、大きいです。PacSecであれば、情報セキュリティや企業情報システム管理者、研究者の方が多く参加しており、ある程度安心して話ができるということと、何か面白いフィードバックをもらえるかもしれないという期待もあります。

また、この 0-day を通じてマイクロソフトが何を学び、どう舵を切ったかを、一つの事例として共有できればと考えています。(限られた時間でそこまでできるかわかりませんが・・・)
最終的にどうなるかは、分かりませんが会場で見かけたら声を掛けてくださいね。

パートーナーミーティング

セキュリティチーム — Sun, 11 Nov 2007 12:09:00 GMT

小野寺です。

さて、今回は、少々趣の違う話題として、「マイクロソフトパートナープログラムパートーナーミーティング」について少し。
なぜこの話題かと言うと、特別編『企業のセキュリティ対策について』としてパートナー様向けに話をさせていただく事になりました。
ウイルス対策だけではない、企業のセキュリティについて話させていただくつもりです。今回は、普段余りお伺いできない地域の方の話を聞いてみたくて、半ば強引に話をする時間を用意してもらいました。だから、”特別編”となっていたりします。

会場には終日、居るつもりですので、その際にはぜひ声を掛けてくださいね。

情報セキュリティ標語ポスター

セキュリティチーム — Wed, 31 Oct 2007 01:40:00 GMT

小野寺です。

IPAの主催の「情報セキュリティ標語・ポスター」をご存知でしょうか？今回で第3回目になり、昨日、表彰式典をIPAフォーラム 2007の中で行いました。
実は、この中に、マイクロソフト賞というものがあり、小学生、中学生、高校生の作品から各1点、計6点を選ばせていただきましたので、紹介したいとおもいます。

小学生の部: 「未来へつながれルールのわ　安心セキュリティー」佐川龍哉さん	中学生の部: 「最高のセキュリティーは　貴方の心」佐野　悠介さん	高校生の部: 「便利の裏には　見えない危険　忘れちゃいけないセキュリティ」勝美　恵一さん
伊藤優さん	栗田　顯さん	宍戸祐子さん

これを見ていて思ったのは、其々の作品で伝えている”セキュリティ”のポイントは違っていますが、すべて”セキュリティ”だということです。”セキュリティ”という言葉の意味はとても広く一言で言うのは難しいのかもしれませんが、個々のポイントソリューションではなく、多層的にかつ継続的に対応を考えていけないと改めて考えさせられました。そして、全てに共通しているのは、「人」が中心だという事です。セキュリティで守られるのは、情報を扱う「人」の心ですし、守るためには最終的には「人」のモラルや広く共有できる社会常識が必要になってきます。しかし、情報漏えいの報道などをみていると、「人」を守るために「人」は何をやっているのだろう？と思ってしまいます。技術で守れるところは日々進歩しています。これからは、技術同様に「人」も一緒に進歩していきたいですね。

セキュリティインテリジェンスレポート第3版を公開

セキュリティチーム — Tue, 23 Oct 2007 02:50:00 GMT

小野寺です

2007年上半期 (1月～6月)のセキュリティの脅威の動向をまとめた、セキュリティインテリジェンスレポートの第３版を公開しました。もちろん、日本語版もあります。
今回から、要約版 '主要な調査結果の概要 (Key Findings Summary)'を公開しています。日本語版は、約 10 ページとなっており、第２版のボリュームに比べると、かなり読みやすくなっているのではないかと思います。

2007年上半期のデータとして、興味深いのはマルウェアのタイプとしてダウンロード型が劇的に増加している点です。

従来のウイルス・ワームやBotがメール等にそのまま添付されてくるのに対して、添付は、ダウンローダーのみであり、その後に攻撃者の意図したマルウェア本体が侵入したダウンローダーにより外部より取得され、インストールされるわけです。
そのため、ダウンローダーとダウンロードされたマルウェアの両面に対処する必要があります。
私見ですが、攻撃者側が今まで以上に組織的で戦略的に攻撃を仕掛けているように思います。これに対して、企業のITシステムを個々のPCではなく、一つの大きな塊として企業全体を見通して継続的にリスクを集中管理できているのか、不安に感じることがあります。

ちなみに、要約版ではない、完全版は 92 ページあり、最初は英語版のみのていきょうとなります。完全版の日本語版については、時期も含めて検討しています。

「パソコンを安心して使うために。」に関するお詫びと改訂

セキュリティチーム — Mon, 22 Oct 2007 09:39:00 GMT

小野寺です。

オオカミとこぶたをモチーフにした「パソコンを安心して使うために。～オオカミと５匹のこぶた～」を、パソコン安全対策を身近に感じていただき、最低限行うべきセキュリティ対策を説明するために先日公開しました。おかげさまで好評をいただき、約 4 万部程をご利用いただきました。

しかしながら、フィッシング対策の説明部分で、オオカミが集金担当者のフリをしてこぶたを騙す表現があり、実際に集金を行っている関係者の方々に不快感を与える結果となってしまいました。社会的に信頼できる人を装うオオカミを表現するために、集金担当者を選択したわけですが、我々の配慮不足であり関係者の方々には深くお詫びを申し上げます。

当初公開していた、コンテンツは寓話などを参考に、特定の職業や業種に拠らない内容に変更し、以下にお詫びと改訂版を公開いたしましたので、既にPDFをダウンロードしていただいた方には大変申し訳ありませんが、今後は改訂版を利用していただけるようお願いいたします。

http://www.microsoft.com/japan/security/sec2007.mspx

セキュリティに関する時事ネタ

IT Security Award 2008 受賞者発表

ついに、 Windows Server 2008完成！

あなたのPCは大丈夫? (CHECK PC!)

MS07-069適用後の問題に対処する更新を公開

「情報セキュリティ」を、なめんなよ！

Microsoft Officeのゼロデイと悪いヤツら

パートーナー ミーティング

情報セキュリティ標語ポスター

セキュリティ インテリジェンス レポート 第3版を公開

「パソコンを安心して使うために。」に関するお詫びと改訂

パートーナーミーティング

セキュリティインテリジェンスレポート第3版を公開