月曜日 3 11, 2013

3月11日をむかえて

こんばんは北野です。

本日は移動中の路上で14:46を迎え黙祷しました。その後いろいろなことがあったわけですが、
たいした支援ができていない自分が情けなくなることもあり、しかし「一人一人がまずできる
ことをする」ということが大事なのだと思いながら日々過ごしています。仕事に励んで日本の
経済全体を支えていくことも、間接的ですが支援になるのだとも思います。

災害が起きると情報とネットワークの重要性がよくわかります。同時に、よからぬこともたく
さん起きるわけで、それらにどう対応していくかも情報セキュリティを仕事にしている我々の
仕事だと思うわけです。

2011年にジャカルタで講演した際の、インドネシアの皆さんの暖かい拍手が思い出されます。
先日のWBC日本-台湾戦では、台湾の人たちむけの感謝のメッセージを掲げた日本人客がたくさん
いたことに、少し涙腺が緩んだのでした。

21世紀、良いことも、悪いこともたやすく国境を越えてやってきます。インターネットの世界は
さらにボーダーレスです。これからも情報とネットワークの安全を考えていきたいと思います。

写真は震災当日、徒歩で帰宅中に撮った永田町周辺の様子です。

火曜日 1 22, 2013

Oracle Audit Vault and Database Firewall ~監査と防御の統合~

こんばんは北野です。

気づいたら年末年始のご挨拶更新もしていなくて申し訳ありません。
遅ればせながら、本年もよろしくお願い致します。

さて本日、新製品「Oracle Audit and Database Firewall」を発表しました。
すでに多くのメディアさんで取り上げて頂いています。

報道の一部①
報道の一部②

2007年から販売してきたOracle Audit Vaultと一昨年からご好評頂いている
Oracle Database Firewallを統合した製品になりました。これでオラクルだけ
ではなく他社製データベースのログ取得や防御、OSやディレクトリのログも
統合的に収集・管理するなど、本来あるべき統合ログウエアハウスとしての
機能が充実しました。たとえば、データベースサーバーのOSとSQLのログを
一元的に収集・管理できたりするわけです。

さらにユニークなSQL専用ファイア・ウォールを使って、SQLインジェクション
のようなWebアプリケーション経由の攻撃だけでなく、内部犯行や標的型攻撃の
ように内部ネットワークに侵入して行われる攻撃に対しても幅広く対策を講じる
ことができます。

ファイア・ウォールなどの防御製品、データベース監査製品を別々に買って
別々のコンソールで管理、監査や問題発生時にはあれこれログをつきあわせる、
とかいう状態になっていたりしないでしょうか。製品の保守契約やサポート
切れのタイミングなども全て別々ですよね。これらが1つですむようになります。

おまけに。。。価格は従来のほぼ半額!!機能と価格を見て頂くと、かなり
お買い得だと思います。よろしくお願い致します。


土曜日 12 08, 2012

伝える、ということ。

こんばんは。北野です。

夕方の地震は都内も結構揺れましたが、皆様いかがお過ごしでしょうか。皆様の安全をお祈り
しております。

珍しいことですが、11/9と本日12/7の2回、「東京デザインテクノロジーセンター専門学校」
で情報セキュリティについての講義をさせて頂きました。4年制専門学校の3年生むけに、1回目
は暗号、2回目はファイア・ウォールとIDS/IPSという内容です。



日本ネットワークセキュリティ協会(JNSA)では、教育部会・実証/研究WGがいくつかの学校に
情報セキュリティの授業を提供しています。私はメンバーではないのですが、2回限定でピンチ
ヒッターをさせて頂いたわけです。2コマ連続(90分×2)は通常のセミナーなどと比べると時間
も長いですし、結構喉が痛くなりますね・・・インストラクターなどのお仕事をされている方は
大変だと思います。

学生さんむけということで、いかにわかりやすく、どうしても覚えて頂きたいポイントを説明
するのは通常のセミナーよりも難しい面があります。しかし多くのお客様に対して、ともすれば
ややこしい、難しいイメージのあるセキュリティの話をなるべくわかりやすく、かつ興味を持っ
て頂けるような説明する、ということの難しさと、実は根本的には同じことだったりもします。

若い人むけにいろいろ趣向を考えてやってみたのですが、学生さんはどう感じたかな?と不安も
あり、楽しくもありました。海外(主にアジア)留学生が多かったせいか、AKB48が意外に人気が
なかった、というのもちょっとした発見でした(笑)。

久しぶりにIPアドレスやネットマスク、ACLのお話などをするのも改めて勉強になり、問いかけ、
質問し、演習を行うなど、いつもと違う良い経験と機会を頂けたと感謝しております。

これからも情報セキュリティを「わかりやすく」お話する努力を続けていきたいと思っています。

月曜日 11 19, 2012

善良な人を守るためのセキュリティ

東京も今日からぐっと寒くなりました。こんばんは北野です。

翔泳社さんのDB Onlineでヤフー株式会社様のDatabase Vault事例記事が掲載されました。

「Oracle Database Vaultって本当に必要ですか? データを守るためよりもむしろメンバーを
守るためにこそいるのです」


この手の内部犯行を”主な”対象脅威としたソリューションの話をすると「うちの内部に悪人
なんかいない」「社内の人を悪者にできない」といった反応はいまだにあります。そういうとき
「善良な御社の社員の方々をいろいろな意味で守るためのシステムなのです」と説明している
わけですが、それを実践して頂いている、という意味ですばらしい事例です。疑われた時に、
絶対対丈夫、と言えるようにしたいというのはもっともなことですね。

また、それでも万一誰かに「出来心」が芽生えたら・・・人にはいろんな弱いところや事情が
あります。本当は悪人ではない人が、何かのきっかけや事情で悪事に手を染めてしまうこと
だって、残念ながらあり得るのです。そんな時は「出来心が生まれても、悪事ができないように
しておく」ことで、結果として本来善良な人が足を踏み外すことを防ぎ、守るセーフネットに
なるという意味があると考えています。

火曜日 11 13, 2012

遠隔操作ウイルスの問題について

ひさしぶりの更新になりました、北野です。

先日Oracle Daysのセッションでちょっとだけ「遠隔操作ウイルス」を取り上げました。
そこではこの件を企業システムと情報保護の視点で見たお話をしてみました。メールの
受信者である落合弁護士がご自身のブログで公開している犯人(?)からの犯行声明
メール全文を読むと、以下のことがわかります。

1)感染・遠隔操作に至ったPCの1つは、ある企業の社内PCであり、攻撃者には会社名と
個人名もわかっている。

2)このバージョンからファイル転送の機能が付いたため(ちゃんとバージョンアップ
して機能追加してる・・・)攻撃者は社内用のファイルをいくつか持ち出して読んでいる。

今回のケースでは、この業務用ファイルやPC内の他の社内情報に攻撃者が関心を持たな
かったので事なきを得ていますが、そうでなければ企業情報の漏洩事件に発展していた
可能性があるということです。

しかも「ダウンロードしたファイルからマルウエアに感染し、本人の知らない間に遠隔
操作されて、別の不正行為の踏み台となっている」というやり口は、実は近年話題の標的
型攻撃と同じ図式です。

さらに手作りマルウエアであるが故にウイルス対策ソフトに検知されにくいことや、さほ
ど高いプログラミング技術がなくてもマルウエアが作れることが明らかになったともいえ
ます。(正確には多くの一般の方々に知られることとなったということですが)

したがってこの件は企業情報とシステムにとっても決して対岸の火事ではない、という
ことだと考えています。従って、やはり認証強化のためのソリューションや、本質的に
情報そのものを守る技術的対策が重要であるということに変わりはないと思います。

火曜日 9 04, 2012

情報セキュリティハンドブック

こんばんは北野です。

Webからのダウンロードやイベント、お客様訪問などでお配りしているオラクルの

「情報セキュリティハンドブック」ですがTechTargetさんでダウンロード数分野別1位

(総合3位)になっているようです。

情報セキュリティ TechTargetジャパン

一昨年から使っていて、今年改訂したものですが、新版も是非ごらんになってください。

結構一生懸命書いていますのでよろしくお願いいたします。(私はデータベースセキュリティ

部分と冒頭の導入部分などを書きました)

金曜日 7 20, 2012

SecureAsia@Tokyo 2012ありがとうございました。

こんばんは北野です。

昨日をもってSecureAsia@Tokyo 2012、および併設の「Information Security Leadership
Achievement(ISLA)」表彰式であるGALAディナーは、多くの方々のご尽力、ご協力のおかげで
無事終了することができました。また各基調講演・カンファレンス等には多くの方にご来場
頂き、誠にありがとうございました。来年の開催地はまだ決まっていませんが、今後もこの
イベントとISLAをよろしくお願いいたします。

北野の講演についてはほぼ予定通りだったわけですが、いつになく緊張してしまいました。
またハワード・シュミットさんの基調講演も素晴らしかったと思います。個人的には数年前、
ホワイトハウス入りする前に少しお会いしていたのを覚えていてくれたのが嬉しかったです。

ISLAの表彰式であるGALAディナーでは、情報セキュリティ関連省庁の皆様、業界関係者の方、
前回までの受賞者の方々など多くの方にご参集頂き、行うことができました。毎年開催国の
地元色のあるアトラクションが行われますが、今年は日本なので津軽三味線と踊りでした。



ISLAの受賞者はプレスなどに一覧が出ていますが、日本からは以下の方々が受賞されました。

八尾崇氏(日本、ネットエージェント株式会社エバンジェリスト)
小宮山功一朗氏(JPCERTコーディネーションセンター、グローバルコーディネーション部
マネジャー)
園田道夫氏(日本、サイバー大学専任准教授)
山崎哲氏(日本、工学院大学SC27/WG1ジャパン主査)

受賞者の皆様、本当におめでとうございます。

さて、ディナーで公開されましたのでお話しますが(機密情報にはある時点から突然機密で
なくなるものがある、ということの例ですね。)今回北野はISLA Review Committeeのメンバー
として「Senior Information Security Professional部門」審査を担当しました。その中で
感じたことは、今後CISSPむけのイベントやホルダーむけのセミナー企画などを通してお話
していければ、と考えています。来年もまたしっかり日本から受賞者を出したいと思って
いますので、よろしくお願い致します。

木曜日 6 21, 2012

SecureAsia@Tokyo 2012が近づいて来ました。

こんにちは、北野です。最近facebookにかまけて更新していないのを反省しています・・・

さて以前もご紹介したSecureAsia@Tokyo 2012が近づいてきましたので、少し具体的なお話を
したいと思います。カンファレンスのスケジュールなどもご参照ください。


1.オラクルのセッションについて(DAY2:7月18日11:15-12:00)

このセッションでは、主に内部不正の発生に起因するマネジメントの課題などについてお話し
します。今年は初めてスポンサーセッションなので、最後に少しオラクルの技術のご紹介も
しますが、主としては犯罪心理学的見地なども踏まえたマネジメント的なものになります。

昨年のジャカルタの様子(1)


昨年のジャカルタの様子(2)

一方オラクルの製品、ソリューションのご紹介については主に「ランチセッション」でデモを
見て頂く予定としております。ここでは短時間ですが、製品画面のデモなどをランチを食べな
がらご覧頂けます。

また、事前にプレカンファレンス(7月12-13日)がありますが、こちらは7月12日に弊社枠が
あり、技術者の皆様むけにソリューションの具体的な内容やデモを詳しくご紹介する予定と
なっています。昨年よりも詳しく、Oracle Database Firewallについても見て頂けると思います。

プレカンファレンス:


2.基調講演などについて

先日まで米国オバマ政権のサイバーセキュリティ・コーディネータ(日本で言う補佐官のよう
なものでしょうか)であるHoward A.Schmidtさんが来日・講演されます。ここ数年、我々の
ような民間のイベントで講演を聴けるチャンスはほとんどなかった方だと思いますので、今回
は特に注目したいところですね。

また(私も聞いてなかったんですが)フィリピンの副大統領がオープニングスピーチをされる
ことになっており、日本政府からも占部浩一郎 内閣審議官(内閣官房情報セキュリティセンタ
ー)のご講演があります。

3.ISLAについて

毎年アジア地域で広く情報セキュリティ分野に貢献した人をISC2から表彰させて頂くアワード
「Information Security Leadership Achievement(ISLA)」は、アジア各国からたくさんの
応募を頂きました。先日審査が終了し、近く受賞者の発表が行われると思います。今回応募を
見送った皆様も、来年以降是非エントリーしてみてください。英文でのレジュメ作成など、
ちょっと大変なこともありますが、逆グローバルな環境で仕事をしていくことをお考えの方に
とっては良いチャレンジになると思います。(この点についてはいずれ詳しくお話します)

今年は地元開催ということで、初めてセッションを日本語で話せば良いのでホッとしています・・・

そんなわけで、みなさまのご来場をお待ちしております。

金曜日 3 16, 2012

Oracle Open World Tokyo

こんにちは北野です。

さて先日のエントリでも触れましたが、Oracle Open World Tokyoが近づいて
きました。今回はオラクルだけでなくパートナー各社様からもアイデンティティ
管理やDatabase Firewall関連などでご出展・セッションなどを用意しています。

さてオラクルセッションですが、今回データベースセキュリティの開発部門VP
(バイスプレジデント)であるVipin Samarが初めて来日します。最近の事情を
ふまえてSNSから情報を得てDBAに対する標的型攻撃を行うなどの話から、それら
に対する防御の考え方などまで、興味深いお話が提供できると思います。S3-01
4/6(金)11:50-12:35となりますので是非お誘い合わせのうえ、ご来場頂ければ
幸いです。

このブログを読んでご参加頂く方は、招待コード「2415」を入力して頂くと何か
良いことがあるかも知れません・・・

あ、「でオマエは?」という件ですが、初日である4/4の顧客事例のセッション
S1-12(13:00-13:45)でお話する予定です。こちらは既に満席です・・・

よろしくお願いいたします。

木曜日 3 15, 2012

SecureAsia@TokyoとISLA受付開始しました。

こんにちは。

東京は少し暖かい日が増えてきて、春の足音が聞こえてきました。
4月に入るとすぐにOracle Open World Tokyoが開催となります。
各種のセキュリティ関連セッションについては別途お知らせします。

さて、CISSPを主催する団体(ISC)2が開催する恒例イベント「Secure
Asia」ですが、今年は東京開催です。ここ数年、マレーシア、シンガ
ポール、ジャカルタと私もセッションでお話してきましたが、今年は
登壇しないかも知れません。(せっかく日本語なのに・・・)

SecureAsia@Tokyo

そして特筆すべきは、現米国オバマ政権のサイバーセキュリティ・
コーディネータ(日本で言う補佐官のようなものでしょうか)である
Howard A.Schmidtさんの来日登壇が決まっていることです。最近は
米国政府の仕事で忙しく、めったに一般の場所でお話を聞くことが
できなくなっていますので、とても良い機会になると思います。

同時に行われるAsia-Pacific Information Security Leadership
Achievements Program(ISLA)
の表彰のノミネーション受付も始まり
ました。多くの方のご応募をお待ちしております。

金曜日 2 24, 2012

11gR2 ISO/IEC 15408を取得しました。

こんばんは北野です。

さて、油断すると見過ごすのですが、年が明けて今年1月17日付けで
Oracle Database 11g R2がISO/IEC 15408(EAL4)の認証取得を完了
しました。

まだCommon CriteriaのWeb及びIPAさんのWebは更新されていませんが
近く更新されると思います。当面、情報は米国オラクルのサイトから
ご確認頂けます。

オラクルのセキュリティ関連第三者認証について(米国サイト)

相変わらず時間がかかりますね。ソフトウエアの規模が大きいOSや
データベースなどは元来評価作業にかなりの時間がかかる上に評価
機関、認証機関とのやりとりがいろいろあって結構大変な仕事です。

とはいえ、暗号機能に代表されるようにセキュリティ機能は実装が
重要です。(暗号はアルゴリズム自体が脆弱でなくても、実装方法に
問題があると結局鍵を推測されるなどの方法で解読されてしまうことが
あります)

そのため、きちんと中立的な第三者の評価を受けて、想定される脅威
に対して有効である(設計通りに動作する)ことを確認し、その保証
によってお客様に提供する製品の安全を保ちたいとオラクルでは考えて
います。

火曜日 2 21, 2012

震災後1年とBCP

こんばんは、北野です。

震災からもうすぐ1年になろうとしています。
震災直後はIT業界でもBCP(事業継続計画)が話題となり、BCP関連
ソリューションが盛り上がった時期がありました。しかしコストの
高さからか、意外と長続きせず、DR(ディザスタ・リカバリ)などの
話は最近ちょっと下火になってきているような気がします。

しかし東京でもかなりの確率で大きな地震がくるのではないかと
言われていますし、コストとのバランスを考えながらもきちんとした
準備をしておく必要があると思います。

セキュリティと同じでBCPなどもIT分野では「利益を生まないソリュー
ション」と言われることが多いと思います。しかし

1)単なるスタンバイで「平時は止まったまま」のDRシステムでは
なく、平時も読み込み専用や、分析用、一時的なテスト用などで
活用し、投資を有効に活かせるようなソリューションを採用する。

2)基盤の整理・統合を進めてインフラ全体のコストを下げ、その分
の費用でBCPソリューションを構築・運用できるようにすれば中長期で
見た場合には全体のコストを同等にしながら、高いレベルの可用性を
実現する。

などを考えることができると思います。そんなときにはOracleの
Active Data GuardやGolden Gateなども思い出してみてください。

さてそんなわけで今週はきたる2月23日にセミナーを行います。

「データ保護」「セキュリティ」2つの視点からの事業継続対策セミナー

今回はみずほ証券株式会社・総合企画部BCP室の室長でいらっしゃる
堀越繁明さんに基調講演をお願いしています。私は震災間もない6月に
JSSM(日本セキュリティマネジメント学会)でご発表を拝聴したのです
が、当時の金融機関の現場でどんなことが起きたのか、どう対応された
のか、そこから浮かび上がった課題はどんなものだったかなどを具体的
にお話されていて、とても勉強になりました。あれから半年が過ぎ、
さらに新たな内容が加わっていると思いますので、是非お誘い合わせの
上、ご来場頂ければと思います。

ちなみにオラクルのセキュリティについては、弊社若手のホープである
大澤清吾さんが登壇しますのでよろしくお願いします。

え、オマエは何してるんだって?ちょっと某所で別のセミナーに登壇して
いる予定です。。。

月曜日 1 23, 2012

第7回DBSC早春セミナー

こんばんは北野です。

データベース・セキュリティ・コンソーシアム(DBSC)では
きたる2月17日(金)毎年恒例の「早春セミナー」を行います。
今年は基調講演に経済産業省 商務情報政策局の江口純一情報
セキュリティ政策室長と、日本マイクロソフトのチーフ・
セキュリティ・アドバイザーである高橋正和さんをお招きして
います。

第7回DBSC早春セミナー


あ、私は昨年夏に発表した提言書の内容を再度説明するために
そのあと、ちょっとだけ登壇します。

皆様のご来場をお待ちしております。

月曜日 1 02, 2012

新年のご挨拶・・・とサイバー兵器

皆様、謹んで新年のご挨拶を申し上げます。

さて、新年早々読売新聞を買いにコンビニに走りました。

防衛省が対サイバー兵器、攻撃を逆探知し無力化

元旦の朝刊、しかも全国紙の一面トップがサイバー兵器の
話題ということですから、なんだかすごい時代になった気が
します。

「ウイルス」という表現はあまり正しくないと思いますが、
こんな研究開発も行われていたというのが意外でしたね。
新聞のほうでは書かれていますが、法制度面の整備も課題に
なってきますね。

現在の自衛隊法や武力事態対処法、武力攻撃事態等における
国民の保護のための措置に関する法律(国民保護法)などの
枠組みでは、自衛権を発動できる「武力攻撃事態」として、

①着上陸侵攻、②ゲリラや特殊部隊による攻撃、③弾道ミサ
イル攻撃、④航空攻撃の4つの類型を想定するとされています。
(平成17年3月25日「国民の保護に関する基本指針」閣議決定)

つまり、現状の枠組みでは、いわゆるサイバー攻撃を受けた
場合に「武力による攻撃・侵略を受けた」と定義・判断できない
ということのようです。

法律家の方々がこれからいろいろな議論をされると思いますが、
その推移をしっかりと見つめていきたいと思います。

それでは今年もよろしくお願い致します。(写真は沖縄・宮古島
の虹です。良い年になることを祈っております。)


土曜日 12 31, 2011

皆様良いお年を!

こんばんは、北野です。

2011年もあと2時間弱になりました。
今年、日本では震災があり、世界でも多くの困難や変化がありました。
また情報セキュリティの分野でもいろいろなことがあった年でした。
新たに考えされられたこと、気づいたことなどがとてもたくさんあった
年であったと思います。

来年は、少しずつでも、明るい光の差し込む年になれば良いと思って
います。

皆様、本年は誠にありがとうございました。良いお年をお迎えください。

About

オラクルの話をベースに幅広く情報セキュリティについて、 技術だけでなく法律、制度、マネジメント、経営などについてもお話したいと思っています。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today