セキュリティ全般

「情報セキュリティ」を、なめんなよ！

セキュリティチーム — Thu, 20 Dec 2007 04:53:00 GMT

小野寺です。

今日、「みんなで『情報セキュリティ』強化宣言！2008」に関する発表を事務局各社共同で行いました。
この「みんなで『情報セキュリティ』強化宣言！2008」は、今年から始まり、来年で 2 年目となる活動で、情報セキュリティについて、自分自身にできる事を少しずつ行って、その輪を広げていこうというものです。現状から一歩でも前に進みたいと望む気持ちがあれば、どんな企業・組織でも参加できます。1/31からは、個人の方々の参加も募集開始します。

情報セキュリティ＝完璧なセキュリティを想像されがちですが、そうではなくて、もっと多くの人が「少しでも」の気持ちで意識を持つことが大切なのだと思っています。そんな気持ちのある、貴方の参加をお待ちしています。申し込みは下記サイトから!
http://www.netanzen.jp/

ちなみに・・・今年のイメージキャラクターは、「なめねこ」です。

マイクロソフトの報道資料は、以下。事務局各社でも同じものを公開しているので、各社のサイトをめぐってみるのも面白いかも。
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3310
http://www.microsoft.com/japan/presspass/addcont.aspx?addid=957

挑戦者求む？

セキュリティチーム — Mon, 19 Nov 2007 14:43:00 GMT

小野寺です。

自信のある人は、掛かってきなさい！と言うわけで、Security 虎の穴の始めました。
ということではなく、日々色々とがんばっている情報システム担当者や運用に少しでも携わっている人の中で、セキュリティに諸々に優れている人を表彰する事となりました。詳細は、12/4 のお楽しみですが、興味のある人は以下のサイトへ。

http://www.microsoft.com/japan/technet/security/award/default.mspx

子供とインターネット

セキュリティチーム — Wed, 19 Sep 2007 04:03:00 GMT

最近、セキュリティチームに配属になった麻生です。はじめまして。

今までセキュリティには多少の興味はありました。以前は、企業向け技術支援部門で Exchange Server の担当を約 5 年程対応しました。その前は、US でスタートアップ系の会社でネットワーク管理者として働いていたのですが、今から考えると、セキュリティ意識はそれほど高くなかったんだな・・・と言うのが素直な気持ちです。が・・・。セキュリティチームに移動し、色々な情報が入ってくるようになりました。その中でも、私の目を引いたのは、子供関係のサイバー犯罪です。はっきり言うと、多いです。というか、多すぎです。

例えば、つい最近警察庁が出した、「平成19年上半期のサイバー犯罪の検挙状況等について」を見ると、サイバー犯罪の件数は以前とあまり変わらないのにも関わらず、「児童買春事犯及び青少年保護育成条例違反」が前年同期より 61.1% 増加しています。最近、一児の親になったのですが、この様な情報を見ると、まずマイクロソフトの社員と言う前に一人の親として不安になってきます。携帯やインターネットのインフラが整ってきて、便利な世界にもなりましたが、必ずそれを悪用する悪人がいるのが現状です。

もちろん、今後は仕事を通してもこの様な犯罪を減らしていきたいと思いますが、まずは、自分の子供がインターネットや携帯電話を使用し始める際にどの様な対策を取れるのか家族で考えました。色々なデータはありますが、ある調査の中で、「一人でインターネットをしますか？」と親と子供に問いかけたところ、約 24% のギャップがある事が分かりました。まずは、第一歩として子供が一人でインターネットを使用する事も有りうると認識し、認める必要があります。この壁を制覇しないと前に進む事が難しいでしょう。また、子供がインターネットを使用し始める前に、インターネットの活用方法や便利性を説明するのと同時に、危険性についても説明する必要があると思います。マイクロソフトや他社様も色々と子供を守るサービスやソフトを提供していますが、まずはやはりその前に自分たち親がちゃんとインターネットの危険性を認識し、勉強する必要があります。そして、それを子供に伝えて行くのが重要かな？と最近思うパパでした。

私が最近、親として見ているサイトの一部です。もしよかったらどうぞ。

子供の安全管理
http://www.microsoft.com/japan/athome/security/children/default.mspx

警視庁: あぶない！出会い系サイト: 保護者の方
http://www.npa.go.jp/cyber/deai/parents/index.html

キッズ・パトロール
http://www.cyberpolice.go.jp/kids/index.html

小学生のための情報セキュリティ対策
http://www.soumu.go.jp/joho_tsusin/security/enduser/shogaku00.htm

不安と対策

セキュリティチーム — Tue, 11 Sep 2007 06:19:00 GMT

小野寺です。

最近、以前の様な大規模で、ネットワーク全体に被害が及ぶようなセキュリティ事故は、あまり目にしなくなっています。とはいえ、Bot (ボット) や、Targeted Attack (標的型攻撃)の特定の組織や個人を狙った問題が増えています。フィッシング詐欺なんかも、標的型の攻撃の一種ですね。

トレンドマイクロさんが調べた結果だと、何らかの不安を感じている利用者は 98% に上っているようです。しかし、その一方で、同じ母集団ではないですが、対策をしている利用者は 2割～3割程度という調査結果もあります。少し乱暴な推測ですが、利用者は不安は感じているけれども、対策はしていないという事になります。

実社会において、何らかの不安を感じたら何か不安に対処するために対策を取っていると思います。（もしかすると、不安を対策とは別の手段で打ち消しているかもしれませんが・・・）
しかし、実際には、インターネットやパソコンに関して、不安と感じても対策を取っていないわけです。対策しない理由は、「現実感が無い (自分だけは被害にあわない)」、「対策にお金が掛かる」、「対策方法が分からない」、「理由は無いが対策したくない」など色々とあると思っていますが、少なくとも、「現実感が無い」「対策にお金が掛かる」の部分は、セキュリティに関わるものとして何とかしたいと思っています。 OenCare などの有償のサービスもありますが、セキュリティーに関する資料や無償のツールも併せて公開しています。

我々の活動がまだまだ不足しているのか、本当に伝えたい利用者には伝えるべき事が伝え切れていないと軽い無力感を感じます。しかし、先日の TechED でも MVP の方々とお話させていただいた中で、親として子供に、いつから何を教えていけば子供が安全に使えるのか、分からないと言う事をききました。この話を聞いたとき、まだまだやるべき事は多く残っていると感じました。セキュリティチームでは、家庭向けのセキュリティコンテンツも提供していますが、彼らの悩みに直接答えるものではありませんでした。些か愚痴っぽくなりましたが、少しずつでもインターネットが安心して使える安全な環境である様にしていきたいですね。もちろんそれは、私個人ができるものでは、ないですし、マイクロソフトだけでできるものではありません。きっと、インターネットの成り立ちの様に利用する個人・個人が少しだけ意識することで、状況が改善していくのだと感じています。そのための、お手伝いできる事は何なのかを最近考えます。

「情報セキュリティの日」

セキュリティチーム — Fri, 02 Feb 2007 06:20:00 GMT

小野寺です。

実は、今日 2/2 は「情報セキュリティの日」なのですが、皆さんご存知ですか？知らない方もいると思いますが、2006 年末に情報セキュリティ政策会議で制定された、今日が、第一回目の「情報セキュリティの日」となります。

「情報セキュリティの日」の概要
http://www.nisc.go.jp/conference/seisaku/dai8/pdf/8siryou0201.pdf

私が、マイクロソフトとしてセキュリティに専念するようになったのは、2001 年夏の CodeRed 頃からです。その頃から今に至るまで、インシデントの影響をうける人が、Webサイトの開設者、サーバー製品に利用者、Windowsの利用者と次第に広範囲に広まっていき、現在ではインターネットを利用する全てのユーザーが何らかの形でインシデントの影響を受けています。それが、当時のようにウイルス・ワームであったり、フィッシング詐欺であったり、個人情報の漏洩であったりと人や組織毎に違はありますが、まったく、何の影響を受けないという人はいないでしょう。
それは、それだけインターネットが普及して更に社会生活に浸透しようとしている証拠でもあると思いますが、逆に今まで以上に、必要な事項を必要な人に確実に伝えていくことが、難しくなりますし重要になります。だからこそ、OS開発元や、IT業界だけではなく、業種や個人・団体を問わずに多くの人が意識し、回りに呼びかけていく必要があります。

今日から、多くの企業や団体が「情報セキュリティ」に関連する行事を行います。
「情報セキュリティの日」関連行事一覧の公表について
http://www.nisc.go.jp/active/kihon/sd07event.html
この一覧を見るに本当に多くの行事が行われますので、きっと皆様に近い場所や立場の物があるのだと思います。マイクロソフトも、「みんなで『情報セキュリティ』強化宣言！ 2007」共通メッセージプログラム」に参加して、今まで以上に情報セキュリティに啓発に努めます。ちなみに、「みんなで『情報セキュリティ』強化宣言！ 2007」は、どのような企業・団体でもセキュリティへの意識さえあれば参加可能です。これからは、提供者と利用者双方が「外出するときは鍵を掛ける」位に一般に認知され、環境問題の様に国内外のすべての人が広く一般に知られて意見が交わされる様にしていきたいですね。

色々と書きましたが、マイクロソフトのセキュリティが始まったあの日から、”セキュリティ”と言い続けてきた人の一人として今日は中々に感慨深い一日です。

Microsoft Security Response Alliance (MSRA) 結成

セキュリティチーム — Fri, 16 Jun 2006 09:20:00 GMT

こんにちは、セキュリティレスポンスチームの中尾です。

TechEd で発表されたのですが、これまで個別で取り組んでいたパートナー企業様とのアライアンスを、さらに発展させて大きな1つの括りとして Microsoft Security Response Alliance (MSRA) が結成されました。
http://www.microsoft.com/japan/security/msra/default.mspx

といっても、これまで通り、個別の活動は継続します。

ワールドワイドなパートナープログラムといっても、なかなか全世界的に同一の温度で活動している、というものは少ないのですが、日本では、MSRA の1つに挙げられている Global Infrastructure Alliance for Internet Safety (GIAIS) というインターネットサービスプロバイダの方々との取り組みを昨年秋から進めています。

来週からは、この GIAIS プログラムに参加してくださっている NTTCom 様、ソフトバンク BB 様に協力していただき、セキュリティのコンテンツを ISP のユーザーのみなさまにお知らせしていく「Protect Yourself This Summer」(この夏のセキュリティ対策) キャンペーンを行う予定です!
これは、マイクロソフトがすでに公開しているホームユーザー向けのセキュリティの読み物コンテンツを使ってもらって、各 ISP さんに自分のところのソリューションと組み合わせて、ユーザーのみなさまへインターネット上の危険とその対策を知ってもらおう、というものです。
NTTCom 様、ソフトバンク BB 様とも、会員さま向けのサイトで展開されるので、会員の方はイベントページを訪れてみてくださいね。

19 日午後くらいから公開予定
http://www.microsoft.com/japan/athome/security/event/giais/default.mspx

マイクロソフトニュースリリース
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2723

Windows Live Safety Center & 情報漏洩対策ホワイトペーパー

セキュリティチーム — Thu, 01 Jun 2006 20:26:00 GMT

小野寺です。

すでに、ニュース等で取り上げられていますが、Windows Live Safety Center (Beta)の日本語版サイトが公開されました。現在、幾つかのウイルス、スパイウェア対策製品を提供していますが、違いがわからない方もいるのではないでしょうか？
ということで、ここで少し整理したいと思います。

Microsoft Malware Removal Tool (悪意のあるソフトウェアの削除ツール):
Microsoft Update, ダウンロードセンター、Web サイト (Active X) の３箇所から入手・利用可能なウイルス駆除ツールです。このツールは、特に流行している物のみを対象としており、実行した時のみ駆除します。(リアルタイムの監視機能を提供しません)
無償で利用可能です。

Windows Defender:
スパイウェア専門の対策ツールです。現在ダウンロードセンターからベータ版が入手可能です。リアルタイムの監視機能を提供しますが、対象とするのは、スパイウェアのみです。
無償で利用可能で、日本語版の公開も目の前です。

Windows Live Safety Center:
Web サイトでのみ利用できる、ウイルス・スパイウェアの駆除機能を提供します。このサイトで提供されるウイルス駆除機能は、「悪意のあるソフトウェアの削除ツール」と違い、登録済みのすべてのウイルスが対象となります。
しかし、Web サイトに訪れたときのみ検査・駆除することが可能です。また、ディスク利用状況、レジストリ等のコンピュータの健康診断も同時に行ってくれます。無償で利用可能です。

Windows Live OneCare:
簡単に言えば、Windows Live Safety Center の機能をリアルタイムで提供します。そのほか、バックアップ機能など、家庭のユーザーがコンピューターの健康状態を維持し、メンテナンスする機能を提供します。
現在、米国でのみ提供されており、有償のサービスです。

さて、次は、既にウィンドウズ開発統括部のBlogで紹介いただいたのですが、「情報漏洩を防止するための企業戦略」なるホワイトペーパーを昨日公開しました。
情報漏洩に対処するのに、P2P　ウイルスに関するものが非常に注目を集めていますが、そのほか色々なシナリオがあり、技術だけで対処してはいけない場合もあります。このホワイトペーパーに書かれているシナリオがすべてではありませんが、読んでいただいた方が対策を考える足掛かりにはなると思います。

5 月の事前通知の予定

セキュリティチーム — Tue, 02 May 2006 08:38:00 GMT

小野寺です。

5 月の月例のセキュリティリリースは、5/10 (日本時間) を予定しています。
このリリースの事前通知は、３営業日前を予定しています。日本では、5/3 ～ 5/7 まで祝祭日のため、今日がその 3 営業日前になります。
しかし、この事前通知は米国の営業日を基準にしているため、5/5 日に行う予定です。カレンダー通りにお休みされている管理者の方は、連休明けの月曜日 (2 営業日前) に内容の確認をお願いします。

情報漏えい対策 in Vista

セキュリティチーム — Thu, 02 Mar 2006 23:23:00 GMT

小野寺です

「情報漏えい対策ガイド (Windows 編) 」で紹介した、リムーバブルメディアの使用制限機能ですが、Windows Vista では、標準機能として搭載される予定のようです。ちなみに、この機能は、Windows開発統括部の方々による日本発の機能だったりします。　Vista からは、グループポリシーで USB デバイス等のコントロールが容易になります。 Vista のセキュリティ機能は、個人的に待ち望んでいたものからユニークなものまで数多くの改善があります。この辺は、またの機会に紹介したいと思います。

さて、Vistaの標準機能になったとしてもグループポリシーを最大限に生かすなら、統合管理可能な環境 (Active Directory等) は必須となります。過去の資産や情報システム部門のガバナンスの強弱、部門間の力関係で管理機能を統合することが難しいという話を伺うことがあります。しかし、今の世の中の状況で、統合の為に費やす労力(コスト) と、手動で対策する労力 (または、事後対応の労力) のどちらが得なのか考えてしまう今日この頃です。

2 月のリリース予定

セキュリティチーム — Thu, 09 Feb 2006 21:36:00 GMT

小野寺です。

2 月の月例のセキュリティリリースは、2/15 (日本時間) を予定しています。
今月は、計 7 件 (最大深刻度: 緊急)の公開を予定しており、内訳は以下のようになります。

Windows: 4 件
Windows Media Player: 1件
Office および Windows: 1件
Office: 1 件

それとは別に「悪意のあるソフトウェアの削除ツール」の更新版と、セキュリティ以外の更新が Microsoft Update 等々に同時に公開予定です。　詳しくは、マイクロソフトセキュリティ情報の事前通知を見てください。

さて、今月は Windows Media Player の更新が MBSA などによる通常の方法で更新の適用を検査できないため、EST が別途提供されます。公開後の展開と検査にはご注意を。

また、MBSA 1.2.1 のサポートが 2006/03/31 をもって完全に終了します。以降は、新しいセキュリティ更新プログラムの検出を行いませんので、早々に MBSA 2.0 に移行する必要があります。