アクセス制御／認証

「サービス・カタログ」の提供で、サービス・リクエストの進行プロセスを自動化

　BMCソフトウェアは3月25日、ITサポート部門が提供するサービスの詳細が掲載された「サービス・カタログ」を提供することで、担当者ではなく、エンドユーザー自身でサービスのリクエストを行えるようにするサービス・リクエスト管理ソフトウェア「BMC Service Request Management Ver. 2.2（日本語版）」（以下、SRM）を発表した。出荷開始は6月1日から。（2008年03月25日）

ハッキング痕跡から中国発のIPアドレスを発見

　非営利団体Save Darfur Coalitionのサイトが先週受けたハッキングに関して、米国連邦捜査局（FBI）が中国の関与について調査に乗り出した。Save Darfur Coalitionは、スーダン西部のダルフール地域で行われている大量虐殺の問題を啓蒙する目的で創設された団体である。（2008年03月24日）

問われる同省の情報管理体制

　米国国務省に勤務する3人の契約職員が、米国上院議員バラク・オバマ（Barack Obama）氏の旅券記録に繰り返し不正にアクセスしていたことが明らかになった。国務省の内部コンピュータ・システムはこの違反行為を察知し、違反者に警告したと見られているが、不正行為を事前にやめさせる機能は同システムには備わっていなかったようだ。（2008年03月24日）

「iTunesとの“抱き合わせ”のようなSafariの配布は、ユーザーとの信頼関係を損なう」

　米国Appleは先週、同社のWebブラウザの新バージョン「Safari 3.1」（Mac版／Windows版）をリリースした。併せて同社はWindowsユーザーに対し、「Apple Software Update」を通じて、「Safari 3.1」を“積極的に”配布している。この方針に対し、米国MozillaでCEOを務めるジョン・リリー（John Lilly）氏は、「Appleの方針は間違っており、顧客と企業の信頼関係を損ねる」と批判している。 （2008年03月24日）

大統領予備選挙における投票記録トラブルへのいやがらせ？

　米国ニュージャージー州の選挙管理当局から批判を受けている電子投票マシンを手がける米国Sequoia Voting Systemsは3月20日、同社のWebサイトがハッキングされたことを認めた。（2008年03月21日）

「Forefront」と「Windows Live OneCare」の機能強化の一環として

　米国Microsoftは3月20日、ルートキット検知ベンダーの米国Komokuを買収すると発表した。両社は買収金額などの条件を明らかにしていないが、買収取引は3月19日に完了しているという。（2008年03月21日）

　米国Novellは3月17日、米国ソルトレイクシティーで開催中の年次コンファレンス「BrainShare」で、新たな技術戦略を明らかにした。ユーザーが物理マシンと仮想マシンの両環境において、Linuxディストリビューションやシステム運用管理、アイデンティティ管理、コラボレーションといった同社製ソフトウェアを柔軟に組み合わせて活用できるようにすることが目指されている。（2008年03月18日）

大規模組織のユースケースから20個のシナリオを抽出

　ユーザー認証技術の標準化団体であるリバティ・アライアンスは3月17日、都内で記者説明会を開き、同団体の日本における活動状況について報告した。異種プロトコル間にまたがるシングル・サインオン（SSO）の相互運用シナリオの抽出や、アイデンティティ情報の信頼性を保証するための取り組みなどが発表された。（2008年03月17日）

負けたセキュア・コンピューティングは、特許技術を「既知のもの」として控訴へ

　米国のITセキュリティ・ベンダーFinjanが、米国Secure Computingおよび同社が過去に買収した企業2社を相手取り2年前に起こした特許侵害訴訟で、3月12日、Finjan側勝訴の判決が下された。Secure Computing側は、この判決を不服として控訴する方針だ。（2008年03月14日）

時代に合った電子技術利用ポリシーが必要

　セキュリティ上の懸念が指摘されているにもかかわらず、SNSサイトなどへのアクセスをブロックしていない企業・組織は多い。こうしたWeb 2.0技術のセキュリティ上の懸念を電子技術の利用ポリシーに早急に反映させるよう、セキュリティ企業のアナリストが訴えている。（2008年03月13日）

CA幹部が語る、IAMプロジェクトの“正しい”進め方

ユーザーの職務や権限に応じて利用可能なアプリケーションや参照・登録できるデータを詳細に定義し、それらを一元的かつ統合的に管理するアイデンティティ／アクセス管理（IAM：Identity & Access Management）の実現は、ユーザーの利便性の向上やIT管理コストの削減、さらにはセキュリティ・ポリシーの順守といったさまざまなメリットを企業にもたらす。編集部は、先ごろ来日した米国CAのセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネジャー、マシュー・ガーディナー（Matthew Gardiner）氏に、同社のIAMへの取り組みについて話を聞いた。（2008年03月13日）

Gmailドメイン・スパムの全スパム中に占める割合が2.6％に

　電子メール・セキュリティ・ベンダー、英国MessageLabsの調査で、米国GoogleのWebメール・サービス「Gmail」のドメインから発信されるスパムの数が、この2月に倍増したことが判明した。Googleは、Gmailアカウントの大量取得や、その他のWebサイト乱用行為を防ぐため、歪んだ文字の書かれた画像を人間に識別させる認証技術「CAPTCHA」を導入しているが、スパマーにはあまり効果がないようだ。（2008年03月11日）

リバティ・アライアンスのID-WSFをJavaで実装

　オープンソースのID（アイデンティティ）アプリケーション開発を支援しているOpenLiberty.orgは3月10日、IDベースのWebサービス認証フレームワークのJava実装となる「OpenLiberty-J」を発表した。同実装は、Liberty Allianceが策定した「ID-WSF 2.0」のサブセットで、ID-WSFに準拠したセキュリティ機能をオープンソースのJavaアプリケーション向けに提供する。（2008年03月11日）

揺らぐ「Mifare Classic」カードの信頼性。カード偽造や個人情報漏洩の危険性も

　昨年12月、ドイツの名高いハッカー・グループChaos Computer Club（CCC）がベルリンにて開催した「第24回会議（24th Congress）」において、3人の若いセキュリティ研究者が、RFID（無線ICタグ）を利用したスマートカードの不正読み取りが以前よりもはるかに容易かつ安価に行えるようになっているという事実をデモンストレーションを通じて実証した。それを機に、ICカードの脆弱性に対する関心が、セキュリティ・ハッカー以外の世界にも広がり始めている。（2008年03月10日）

オンライン上での個人情報開示を必要最小限にとどめ、不正使用を防ぐ

　米国Microsoftは3月6日、プライバシー保護技術「U-Prove」を買収したと発表した。（2008年03月07日）

Outlook、Excel、Office Web Componentsのバグに対応

　米国Microsoftは3月6日、3月の月例パッチとして、Microsoft Officeの全バージョンに向けた4件のセキュリティ更新プログラムを3月11日にリリースすると発表した。いずれも危険度が最も高い「緊急」に位置づけている。（2008年03月07日）

メールやWebフィルタリング・サービスが最も効果的

　「SaaS（Software as a Service）こそ、自社を含むセキュリティ・ベンダーにとって、強固なセキュリティ機能を提供するためのすぐれた手段になる」――。セキュリティ・ベンダーである米国Webroot SoftwareのCEO、ピーター・ワトキンス（Peter Watkins）氏は先ごろ、米国コロラド州デンバーで開催されたNetwork World米国版主催のコンファレンス「IT Roadmap」で講演し、セキュリティ強化におけるSaaSのメリットを強調した。（2008年03月06日）

きめ細かなシステム／セキュリティ管理を可能にする新機能を実装

　日立製作所は3月5日、同社のコンテンツ・アーカイブ専用ストレージ・アプライアンス「Hitachi Content Archive Platform」の機能強化モデルを発表した。同アプライアンスは、電子メール、契約書、公的文書などの重要コンテンツを長期保管するための製品である。（2008年03月05日）

その名は「Mebroot」。検出困難で「打つ手立てなし」

　フィンランドのセキュリティ・ベンダーF-Secureは3月4日、ドイツ・ハノーバーで開催中のIT展示会「CeBIT 2008」において、昨年12月に感染が確認されたrootkitがきわめて検出困難であることが判明したと発表した。（2008年03月05日）

「少数のボットネットが大部分のスパム・メールを配信する異例の状況」

　英国のセキュリティ・プロバイダーMarshalによると、今年2月に出回ったスパム・メールの85％は、6つのボットネットから配信されたものだったという。少数のボットネットが大部分のスパム・メールを配信するという状況は、これまでになかったことだと、Marshalは述べている。（2008年03月04日）