…どうせまた、問題集とか出てペーパースキルで受かるんでしょ?国家資格なんて評価に値しない。取るなら CISSP / GIAC を取れ! ダメポ…_〆(゚▽゚*)
→ 新試験区分『テクニカルエンジニア(情報セキュリティ)試験』創設(IPA)
□性善説 vs. 性悪説,情報漏えい対策はどちらで取り組むのが効果的?(ITPro)
…私が初めて”性悪説”という言葉を聞いたのは、2004年02月 の Yahoo! BB での個人情報漏洩脅迫事件で出来ことだった。孫さんが「これからは”性悪説”で。。。」という謝罪会見を思い出す。これは私見だが、個人情報/機密情報漏洩は、多くの場合、危機管理不足によるものであり、経営者、またマネージャの責任である(セキュリティを知識が全くないマネージャはもう要らない!)。
(1) 恐喝/売却目的の情報の持ち出し … 会社が好き(と言わないまでも自分の居場所)なら。。。
(2) ウイルス感染/P2P ソフト … 社員教育が徹底しているなら。。。(ウイルス対策ソフトを買ってくれない会社がまだあると言うし)
(3) ハッカーの脅威 … システム強化を適切なセキュリティエンジニアが担当、セキュリティ会社に委託しているなら(多くの企業がシスアドが兼務)。。。
“性悪説”のスタンスは、社員のモチベーションを著しく低下させ、結果的に生産性を低下させる。よく言う「セキュリティと利便性は相反するもの」は、私は間違っていると思う。これには、もっと複雑な要素(予算や期間、スキルセットなど)が絡み合い、必ずともそうとはいえないからだ。本当に技術力があれば、予算も期間も利便性もよい方向に向かうだろうと考える。”性悪説”を唱える前にもう一度よく考えてもらいたい。そして、利便性の下がらない技術力を手に入れてもらいたい。 (,,゚Д゚) ガンガレ!
□入社前に情報保護意識やスキルをチェックできるASPサービス(ITmedia)
ネクストエデュケーションシンクは9月より、企業の内定者や新入社員を対象に、情報漏えいや法令違反に関するリスクの度合いを診断するASPサービス「芦屋広太の個人情報保護/コンプライアンス診断 for NAITEI」を開始。
…今のところはこれで仕方ないが、恒久的には学校で教えてほしい。これから入社試験で出すよ。 (゚з゚)イインデネーノ?
□ Scanning for old Cisco vulnerabilities(SANS)
古いシスコの HTTP の脆弱性を探すアクセスが確認されている。HTTP インタフェースが必要ない場合はオフにすること。
| GET /level/16/exec/-///pwd HTTP/1.0 |
□ 「Yahoo!がスパイウェアを支援」とアナリストが批判(ITmedia)
米Yahoo!がYahoo! Search Marketing広告の配信を通じてスパイウェア企業を支援しているとして、独立系のスパイウェアアナリストが批判。
…こんなことするなんて信じられん。。。被災者の気持ちになってみれ。 ヽ(´Д`ヽ) アリエネー
□ デジタルオーディオプレーヤへのウイルス混入原因はUSBフラッシュメモリ(NetSecurity)
クリエイティブの「Creative Zen Neeon」に「W32.Wullik.B@mm」ワームが混入していた問題で、原因は「Zen Neeon」だけに使用している特定ラインでのパッキング作業工程において、2つのオフラインテストシステムで発生したことが判明。このテストシステムは、特定の市場向けの「Zen Neeon」のパッキングのための設定変更、機能テストを行う作業時にのみ使用されていたもの。ワーム混入は、該当オフラインシステムのセットアップ時に作業指示が遵守されていない状態で使用されたUSBフラッシュメモリによることが判明した。
□ 上京社会保険事務所、21人分の年金手帳と767人分の関係書類を紛失(NetSecurity)
□ OpenSSH 4.2 がリリース。
□ Hacker defender 1.0.0 revisited UPDATE … NT rootkit.
□ AL-2005.0029 — “Hurricane Katrina” fraudulent emails and malicious web site(AusCERT)
□ Novell NetMail IMAPD Command Continuation Request Heap Overflow(iDEFENSE)
□ 3Com Network Supervisor Directory Traversal Vulnerability(iDEFENSE)
【UP】 MSN アラート
