月曜日 12 03, 2007

yarri.com騒ぎ

スラッシュドットにも出ていますが、yarri.comからの招待状メッセージに注意!せよ、との騒ぎが起こっています。うちのところにもメールが来て、yaari.comからの招待状を無視してください(recompile.net)
ことの経緯は、次の通りです。私がある人からyaari.comからの招待状をうけとりました。その人は海外の動向にも詳しく、何か面白いサービスを見つけたのだろうと考え、yaari.comで入会の手続きをしました。
と同じような経緯で、あまり気にせず登録をしようとしてしまいました。登録画面で、Gmail、Hotmail、Yahooのいずれかのメールアドレスでなければならない、というような聞いたことの無い制約があったものの、あまり気にしないで登録をしようとしたら、Yahoo! Japanのメールアドレスはだめで登録できず。あと、気乗りはしなかったもののGmailでも試そうかと思ったらエラー。その辺りでもう面倒くさくなってきて、結局登録は成功しなかったものの、後でスラッシュドットとか複数のニュースを見て、危なかったなあとヒヤヒヤしました。
結局、エラーとなったのはパスワードを入れるところで、てっきりこれから登録するSNSのパスワードを入力するのだろうと思っていたところが、実はGmail等メール用のパスワードを入れることになっていたのがエラーの原因。普段よく使うGmailとかYahoo! Mailと、このようなSNSとかその他のサービスではパスワードは共有しないように気をつけていたので、今回はぎりぎりセーフでしたが、あまりよく読まずに入力したのは反省すべきところでした。
P.S. 個人的にはYarri.comへの登録は失敗したので今回はなんとかセーフだったと思っているのですが、万が一招待状が届いているようでしたらお知らせください。

月曜日 10 29, 2007

なぜ日本のセキュリティは常に全力投球なんだろう

先週金曜日はLiberty Alliance Day 2007に行ってきました。いくつかセッションのあった中で個人的に一番興味深かったのは情報セキュリティ大学院大学 板倉先生のお話でした。
DSC_3527.JPG
このお話の中では、日本では個人情報保護法の施行以来、各所で過剰反応が起き、個人情報保護法本来の趣旨(保護と活用)からずいぶんと乖離した現状を説明されていました。このようなお話を聞いて、常日頃から思っていることとよく重なりました。今の日本のセキュリティ事情でよく見られることは、会社や組織のセキュリティーポリシーはたとえばUSBメモリの使用禁止とか、パソコンの持ち込み・持ち出し禁止といった利便性を大幅に犠牲にしたポリシーを強いることによって建前上成り立っています。たとえそのUSBメモリやパソコンに秘匿にすべきデータがなかったとしても、です。
一方アメリカでの状況を振り返ってみましょう。アメリカでは古くから軍などでの情報機器利用があったため(そもそも情報機器にかかわらず、情報全体の管理手法について)、この手の研究はよく進んでいます。その成果、たとえばOSでみればトラステッドOS、弊社の場合Trusted SolarisSolaris Trusted Extensionsというのがありますがこの中での情報は、すべて「ラベル」によって秘匿性が管理されていて、ふつうの情報、社外秘情報などのラベリングがされています(ラベルをサポートするシステムでは、自分のユーザに割り当てられたラベルを越えた情報は一切見えません。たとえばファイル一覧でファイル名さえ出ません)。このようにすれば、守るべき情報にセキュリティ保護資源を潤沢に割り当てることができ、全体としてセキュアなわけです。
ここで日本の現状に振り返ってみると、セキュリティポリシを全体に同じレベルで割り当てているだけです。この結果、本来十分保護されるべき情報がどれだかわかりにくくなり、保護が手薄になると行った本末転倒の始末。どれだけ防御率の高いピッチャーでもすべて全力投球ではすぐに疲れてしまい、甘い球を打たれてしまうようなイメージです。

ここで少し板倉先生のお話をもう少し思い出してみます。板倉先生のお話の中では、日本ではほんの50年前まではそもそも日本にプライバシーといった概念はなく、家にも低い垣根があるぐらいで、門に鍵すらかかっていない。隣三軒両隣といった、ご近所とはほぼすべてのプライバシーを共有したコミュニティーだったようなイメージです。おそらく江戸時代より脈々とこのような文化が引き継がれてきたことによって、おおよそ日本人に情報の秘匿性に応じた分類などという考え方が生まれてこなかった(そして今もない)のだと思います。

火曜日 9 04, 2007

振り込め詐欺メールがきた

迷惑メール対策の設定をしてからしばらくは携帯宛に迷惑メールもこない平和な日々が続いていたのですが、久しぶりに一通届きました。しかもいわゆる振り込め詐欺のメールで、この手のメールが携帯宛に届くのは初めてです (\^\^;
(PCのメール宛には日本語、英語、中国語、ロシア語、ドイツ語など様々な詐欺メールが1日100通以上届くのでなれているのですが(笑)
振り込め詐欺メールはだいたいそうなのかもしれませんが、携帯宛が初めてでちょっと文面が面白かったのでのせておきます(念のため固有名詞や番号は伏せておきます)。ググったところ担当名はいろいろパターンがあるようですが社名や電話番号は同じようです。
(株)○○○○○サービス 担当 ○○と申します。
この度、現在お客様ご使用中の携帯端末より、
認可ネットワーク認証事業者センターを介入し、発信者端末電子名義認証し、以前ご登録いただいた、「総合情報サイト」から、無料期間中に退会処理がされてない為に、登録料金が発生し、現状未払いとなった状態のまま長期放置が続いておりますが、本通達より
再度これ以上放置が続きますと、利用規約に伴い、住民票取得、お客様の身辺調査了承後後日 回収機関により、調査費 回収費用含め、ご自宅、お勤め先、第三者への満額請求へと代わります。 現在調査保留中の額面にて、処理をご希望であれば、早期に精算 退会処理データ抹消手続きをお願いします。
早急に、 03XXXXXXXX
担当 ○○迄 受付時間
平日 08:20〜19:00迄
尚 ご連絡なき場合 手続き開始ご了承とさせて頂きます。
さて一行ずつレビューしていきましょう(笑)。
(株)○○○○○サービス 担当 ○○と申します。
念のため帝国データバンクコードを調べてみましたが存在しない会社でした。まあ、それっぽい会社名をでっち上げでしょう。
この度、現在お客様ご使用中の携帯端末より、認可ネットワーク認証事業者センターを介入し
この時点で日本語ヤバいですね(笑)。介入しってオイオイ(笑)。和文和訳するとたぶん「この度、現在お客様ご使用中の携帯端末から、認可ネットワーク認証事業者センター経由で」といったところでしょうか。あと、そもそも認可ネットワークって何でしょうね?お墨付きだよ!って言いたいのでしょうか。
発信者端末電子名義認証し、
発信者端末電子名義認証ってなんでしょうね??強引に読み替えればクライアント証明書による認証ということでしょうか。
利用規約に伴い、住民票取得、お客様の身辺調査了承後
この辺りからは脅し文句ですね。身辺調査には了承をもう一度確認してくださるそうです。回答はもちろんノーですね(笑)、ところで債権回収になんで住民票が要るんでしょうか?そういうものなのかな。
後日 回収機関により、調査費 回収費用含め、ご自宅、お勤め先、第三者への満額請求へと代わります。
でも、最後の「第三者」っておいおい(笑) 一気に信憑性ダウンです(笑)、回収できなかったら見ず知らずの第三者に八つ当りということでしょうか。お勤め先に請求するだけでも筋違いなのに。

金曜日 8 31, 2007

Monitoring Identity Manager by JMX

I believe this is the first entry written in English :). So, I translated presentation material which used yesterdays Advanced Identity Manager seminar, in Tokyo. This presentation introduces JMX feature of Identity Manager which introduced from Identity Manager 7.0. And this preso introduces how to monitor Identity Manager in command line, by using JRuby. I believe, scripting languages which running on Java are very powerful in monitoring and management area.

木曜日 8 30, 2007

IdMセミナーより: Identity ManagerをJMXで監視する

本日用賀にてIdMパートナー様向けに「半歩先行く上級 IDM エンジニアのためのモア・アドバンスト・セミナー」を実施させていただきました。この中で岡崎が紹介しました、「JMX による Identity Manager システムの監視」の内容をすこしご紹介しようと思います。スライドは例によってSlideshareにおきました。

さて、この中でもご紹介したのですがちょっと面白いのがコマンドラインから監視をする方法としてJRubyを使った方法のご紹介です。この方法は西ケ谷さんが以前ブログに書かれていた をかなりパクって参考にしています。今回はかなりIdentity Managerに特化したスクリプトを紹介しているのですが、ActiveSyncの状態を取得するスクリプトというものです。
#!/usr/bin/env jruby 

include Java 
include_class 'javax.management.ObjectName' 
include_class 'javax.management.remote.JMXConnectorFactory' 
include_class 'javax.management.remote.JMXServiceURL' 

jmxurl = 'service:jmx:rmi:///jndi/rmi://idm1:8686/jmxrmi' 
username, password = 'admin', 'adminadmin' 

svcurl = JMXServiceURL.new(jmxurl) 
cred = java.lang.String[2].new 
cred[0], cred[1] = username, password 
env = {'jmx.remote.credentials' => cred} 
conn = JMXConnectorFactory.connect(svcurl, env).getMBeanServerConnection 
names = conn.query_names(ObjectName.new( 
  'IDM:type=Cluster,service=Synchronization,component=ActiveSync,\*'), nil) 

names.each do |name| 
  cname = name.get_canonical_name 
  if /name="(.+?)",resType="(.+?)"/ =~ cname 
    puts "Resource Type: #{$2}, Name: #{$1}, ” 
         + “Status: #{conn.get_attribute(name, 'StateString')}" 
  end 
end 
こんな感じのスクリプトを実行すると、
Resource Type: FlatFileActiveSync, Name: My FlatFile, Status: down 
Resource Type: LDAP, Name: SPE End-User Directory, Status: down 
こういう具合で情報が得られます。

月曜日 8 20, 2007

Identity Managerのハンズオントレーニング on JavaPassion.com

Sun Java System Identity Manager (with Passion!), Hands-on Online course
Java系のハンズオン資料がたくさん公開されていることでおなじみのjavapassion.comにこのたび新しくSun Java System Identity Manager向けのハンズオン資料が公開されました。

水曜日 1 24, 2007

Sun Java System Identity Manager 7.0リリース!

7.0つながりで(?)、今日Sun Java System Identity Manager 7.0がリリースとなったようです。
今回の注目はIdentity Manager 6.0まではSun Java System Identity Auditor、Sun Java System Identity Manager Service Provider Editionが別々に販売されていましたが、Identity Manager 7.0からはそれらが統合されています。特にIdentity Auditorが担っていた「監査」の部分は最近ますます重要になってきています。
アイデンティティ管理における5つのトラップ、およびその回避方法」にも書かれていますが、この手のシステムの落とし穴は「入れたらそれで安心して、放置してしまいがち」ということです。Identity Managerはアイデンティティ管理と、今回から監査を行うための機能を提供するパッケージソフトウエアですが、導入をするだけでは意味がなくて、導入してからも継続的にアイデンティテイ管理の問題点を発見し、見直し、解決していくことが必要です。
アイデンティティ管理は確かに導入において、衝動買いできるほど安くないものなのですが、導入するにせよ、しないにせよ企業内の「アイデンティテイ管理における問題点の発見、見直し、解決」のサイクルは無視することができず、またこれをITシステムを導入せずに、手作業で行うと自分の商売のために働いているのか、監査のために働いているのかわからなくなるぐらい大変な目にあってしまうでしょう。
それを考えると今回Identity Manager 7.0に統合されたIdentity Auditorの機能によって「問題の発見」「問題のレポート」「是正措置の実施」というような機能のメリットがお分かりいただけると思います。

木曜日 12 07, 2006

iExpo 2006 Identityブース

明日まで開催中のiExpo 2006ですが、Identity管理のブースの写真を昨日あかぴんさんに撮っていただきました。(あかしさん、ありがとうございました。)
気づけば自分のflickrアカウントにはいっぱい写真はあるのに、自分の写真はめったにないことに気づいたのでたまには載せておきます。
IMG_1622

水曜日 12 06, 2006

iExpo 2006に行ってきました

東京ビッグサイトで今日(6日)から始まったiExpo 2006に行ってきました。今回Sunの展示では、本日岡崎の担当Identity管理のブース、Sun Blade 8000モジュラシステム、Web 2.0サーバSun Fire X4500などのサーバ展示、Sun Fire T2000によるサーバ統合のデモ展示、SunRayウルトラ・シンクライアントの展示、Sun StorageTekテープライブラリの展示がありました。

あと今日は元SunのCEOで現Sunの会長であるスコットマクニーリによる基調講演があったようです(見られませんでしたが・・)。また、基調講演のあとスコットが展示会にも来て、ウチのIdentity管理ブースのところもHow are you doing?と言いながら通っていきました。

Identity管理についてはやはり皆様いろいろと危機感というか、必要性を感じておられるようでいろいろ熱心にご質問いただきました。実はそれ以外に多かった質問はSunRayに関してでした。Identity ManagerのデモはSunRayで行っていたんですがこちらに興味をお持ちの方は結構いらっしゃるようでした。

ちなみにSunRayについてもっと詳しく知りたい、という方は8日金曜日のSun Software Showcase 2006でもいくつかセッションがあります。こちらはまだ余裕があるようなのでシンクライアントについて知りたいと思われている方はぜひともこちらのセッションへのご参加をお待ちしています。

  • 14:25~15:15: Sun Ray システム構築事例
  • 15:25~16:15: 事例に学ぶSunRayソリューション (満員御礼)
  • 16:25~17:15: Sun Rayデータセキュリティオフィスのご紹介 ~無線ICタグを使った重要文書管理とは
  • 17:25~18:15: Sun Ray システムユーザ 事例

月曜日 10 30, 2006

Liberty Alliance Day 2006 東京

Liberty Alliance Day 2006に行ってきました。とりあえず、前半の下道さんのお話と幾つかのプログラムを聴いた後の休憩後に展示会場に行くと、高橋とおるさんと、工藤さんがいらっしゃいました。
Liberty Day Tokyo 2006, Kudo-san
案の定、その場でブースの説明員をすることになってIdentity ManagerIdentity Auditorの説明をさせていただきました。
Instant Demo Environment of OpenSSO/PHP/SAML by Pat Patterson
Patさんのデモは、USBケーブルが無い・・とか、プロジェクタに映らなかった・・・等々諸事情でセッションの中ではできなかったそうで、急遽特設のブースにてPatさんによるデモ環境が構築されました。
Liberty Alliance Day 2006, Cocktail Reception
また、全てのプログラムが終わった後にはカクテルレセプションもありました。カクテルレセプションの場所は展示会場と同じ場所で行われていたのですが、最初、おおかたの予想では、皆様まずはお食事をとられてから、私どものブースへ、と思っていたのですが、うれしい予想外でブースで熱心に質問してくださる方が次から次へといらっしゃってくださいました。

こぼれ話

今回の個人的なLiberty Alliance Dayでのキーワードは、Liberty Allianceとは直接関係ありませんが「アテステーション(Attestation)」という言葉でした。初めてきいた言葉で、工藤さんに説明していただくもなんとか綴りを覚えるのが精一杯。しょうがなくその辺が詳しく載ってそうな本を早速買ってきました。本屋でもどのコーナーを探して良いか迷いましたがとりあえず、米国公認会計士のコーナーで「監査・証明業務(Auditing & Attestation)」という本を買ってきました。内容はこれから読むのでまだまだですが、きちんとお客様に説明できるようになるにはしばらく時間が要りそうです・・・。

木曜日 10 19, 2006

Re: 記憶力自慢の組織向けのパスワード管理ポリシー

工藤さんが興味深いお話をされていますね。Sunを始めかなり多くのベンダがかなり前からこういった問題に対してプレゼンテーションをしたり、ソリューションを提供したりしているのですがなかなか事態は改善しないようですね。

少し前から、自分自身が使っているID/Passwordが幾つあるのかを調べ始めているのですが、80個を超えたあたりで面倒くさくなって数えるのをやめました。感覚的には300以上あると推定していて、おおよそ月5アカウントぐらいは増えている気がします。それはパソコンのIDだったり、メルマガの購読だったり、Webサービスの登録だったりと様々です。自分はハッキリ言って、記憶力自慢ではありませんからいま頻繁に使っているパスワードの種類はせいぜい10種類程度です(まあ、頻繁に使うアカウントが10種類ぐらいという話ですが)。それらはすべて自作のパスワード生成プログラムで安全っぽいものを生成したものですが、ちゃんと覚えていることができる自信があるのもやはりせいぜい10種類程度です。

ちなみに

システム毎に異なるパスワードを設定していただきます. なおそのパスワードを記載したメモを作成してはならないですし, またパソコン等の端末のパスワードの記憶機能を利用してはならないことは言うまでもありません.
とのことなので、こういう世界になったら素直に全部従って、パスワードリセットのサポセンに電話しまくってコスト高が目に見えたところで考え直してもらうポリシーを制定した人にもその大変さを痛感してもらって制度を破綻させる改正してもらうしかないかも。なんて思ったり・・。

とは思うものの、そういった後ろ向きな考えで事態が解決するわけありません。そういう方法をとると単に時間を浪費しているだけで何も進みません(何か行動をしたという、満足感ぐらいは得られるかもしれませんが)。
なので、正しいやりかたは工藤さんの指摘されている通り、本当に適切なポリシーの制定と、正しいITアーキテクチャを採用するように働きかけることこそが唯一の解決方法です。
その考えに立った上で、本当に適切なポリシーを制定しようとしていれば、システムの利用形態やアカウントの棚卸しからすべて実施してからじゃないと決められないとわかるでしょうし、調査を先に実施していたら上記のような無茶なポリシーは思いつかなかったでしょう。
セキュリティーポリシーだけが一人歩きするのは、ポリシーを制定する委員会が往々にして現場の状況を把握しきれていないことが原因のような気がします(委員会はコスト、期間的に大きな制約を受けていることが多いため)。

水曜日 4 19, 2006

パスワード

Sunではシングルサインオンのための製品としてSun Java System Access Managerなどがありディレクトリ製品としてはSun Java System Directory Server等があります。こういった製品がどんどん普及していくと覚えなければいけないパスワードはどんどん減っていくはずなんですが、現実はまだそこまでたどり着いていないような気がします。
そんな中、SOX法が盛り上がりを見せるにつれてパスワードの強度がますます厳しくいわれるようになってきた気がします。以前はパスワードの更新頻度はお知らせ程度だったところが、強制的に半年とか3ヵ月ごとに変えなければならないようなシステムに変更されていたり、パスワードに含めなければいけない文字の種類が以前はアルファベット+なにか、だったのが今はアルファベット(小文字、大文字)、数字、記号をまんべんなくちりばめないと許容されなかったり・・・。こういった変更が始まった直後は Aや aを @に読み替えたり、S を $に読み替えたりしてしのいでいましたが、最近徐々にネタが尽き始めてきました・・・。
いつも楽しく読んでいるがんばれアドミンくんの少し前の回に「パスワード」という回がありましたが、まさに最近こんな感じです。
そこで、思いつくのはパスワード生成プログラムですが、どうも中身がわかっていないと気持ち悪い気がしてすでに出回っているソフトを使う気にはなれませんでした。ということで、それほど大変そうでもなさそうだったので、ちょっと前にパスワード生成プログラムを作りました。それが次のプログラムです。Java Web Startでお試しいただくこともできます。ソースコードは20060419-src.zipとしてダウンロードしていただくことができます。

このように第一から第四までの候補の文字列のなかから最低1文字ずつ選び、指定した文字数のパスワードを生成するというものです。パスワードの生成にはJava標準APIに含まれるSecureRandomを使っています。これにより、安全そうな雰囲気をかもし出しています。
パスワードを生成している部分のソースは大体以下のような感じです。あまり暗号アルゴリズムなどに詳しくないので、この生成方法でいったいどれぐらいの強度のパスワードが出来上がっているのかはわかりませんが、SecureRandomを使ってシードが予測不能であるということからそれほど悪くないだろうと思っています。
SecureRandom sr = SecureRandom.getInstance(String.valueOf(algorithm.getSelectedItem()));
            
// それぞれのパートから最低1文字を選択する.
String candidateAll = "";
int watermark = 0;
for (int i = 0; i < candidates.length; i++) {
   if (candidates[i] != null && !"".equals(candidates[i])) {
        generated[watermark++] = candidates[i].charAt(sr.nextInt(candidates[i].length()));
        candidateAll += candidates[i];
    }
}
            
// すべてのパートから残りの文字を決定する.
for (int i = watermark; i < count; i++) {
    generated[i] = candidateAll.charAt(sr.nextInt(candidateAll.length()));
}
            
// 一定以上まぜる
for (int i = 100000; i >= 0; i--) {
    int x = sr.nextInt(count);
    int y = sr.nextInt(count);
    char tmp = generated[x];
    generated[x] = generated[y];
    generated[y] = tmp;
}
            
generatedString.setText(new String(generated));

自分のパスワードは昔からだいたい乱数で作っていたのですが、大事なパスワードですから紙に写し取っておくわけにもいかず、がんばって暗記していました。最近では、パスワードを変更したらすぐに何回かシステムからログアウトしたりログインしたりして指で覚えるようにしています。
今回のパスワード生成プログラムでは、わざわざ実際のシステムにログインしなくてもパスワードの練習ができるようなフィールドを作っています。(大したものではないですが、個人的にはこれで十分)

これで入力に成功すると、

パスワードが一致した旨のメッセージが表示されるとともに、練習欄が初期化されてもう一回練習できるようにしてあります。

もちろん間違えるとその旨が表示されます。 これでようやくあれこれと条件をつけられるパスワード選びも少し楽になってきました。

火曜日 10 25, 2005

Liberty Alliance Day in Tokyo 2005

昨日品川にてLiberty Alliance Day in Tokyo 2005が行われました。
今回、SunのブースではSun Java System Access ManagerによるSAMLベースのシングルサインオンのデモ、Sun Java System Identity Managerによるプロビジョニングのデモ、あと現時点では日本では未発表の製品であるSun Java System Federation ManagerによるLibertyベースのシングルサインオンのデモを行いました。

今回のイベントは個人的な印象では熱心な方が多く、テクノロジーや製品について詳しく質問されている方が多かったように思います。

About

okazaki

Search

Categories
Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日