個人情報保護

［国内］ 日本セーフネット、統合データ暗号化ソリューション「EDP」を発表

クライアント／ネットワーク／サーバの各環境に対しデータ暗号化機能を提供

　日本セーフネットは9月1日、米国SafeNetが今年4月に買収を完了した米国Ingrian Networksのデータ暗号化製品「DataSecure」シリーズを自社製品ラインアップに組み込み、企業向けの統合データ暗号化ソリューション「エンタープライズ・データ・プロテクション（EDP）」として提供すると発表した。（2008年09月01日）

［米国］ 米国下院委員会、政府のテロ対策情報システムの問題点を指摘

基本的なブール検索さえ処理できない

　米国政府が推進しているテロ防止ITプロジェクト「Railhead」に対し、米国下院の小委員会が同プロジェクトの技術的な問題点を指摘している。小委員会によると同プロジェクトのシステムでは「and、or、not」などの演算子を使った基本的なブール検索さえ処理できないというのだ。（2008年08月28日）

［米国］ マイクロソフト、「IE 8」に3種類のプライバシー・モード機能を追加へ

機能の“実質的な用途”から「ポルノ・モード」と揶揄する声も

　米国Microsoftは8月26日、Webブラウザ「Internet Explorer（IE）8）」に追加する3種類の新しいプライバシー・モード機能「InPrivate」の詳細を明らかにした。ブラウザのプライバシー・モードと聞いて、多くのユーザーが真っ先に思い浮かぶ用途はアダルト・サイト閲覧履歴の削除であることから、新しい機能の1つを“ポルノ・モード”と皮肉る向きもある。（2008年08月27日）

【解説】 進化する「シン・クライアント」――ブーム再来の背景と今後の展望

低価格化やサービスの多様化で、普及へ向けて“3度目の正直”となるか

企業の情報システムを担う次世代クライアント技術として「シン・クライアント」が注目を集めて久しい。これまで何度かブームを巻き起こしてきたが、そのたびに導入コストの高さなどがネックとなり、大規模な普及には至らなかった。だが、ここにきて端末価格の低価格化や仮想化技術の応用により、これまでの課題が克服されつつある。さらにシン・クライアントのホスティング・サービスが登場するなど、サービス形態も多様化してきた。そこで本稿では、今回のブームの背景とともに、進化するシン・クライアントの最新事情を解説する。（2008年08月14日）

［米国］【DEFCON】 マサチューセッツ連邦地裁、地下鉄のセキュリティ脆弱性に関するプレゼンに仮差し止め命令

EFFは「言論の自由を奪う決定だ」と反発

8月8日～10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局（MBTA）の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団（EFF）はこの処分を不服とし、控訴する意向を明らかにした。（2008年08月12日）

【解説】 CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち

スパム・メールだけではない、CAPTCHAクラッキングの弊害

「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」は、Webサイト管理者が自サイトに訪れたユーザーを（人間かどうか）見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を整理するとともに、その将来性についてあらためて考えてみたい。（2008年08月11日）

［米国］【Black Hat USA 2008】 「Google Gadgetsを悪用すれば、マルウェアを強制インストールできる」――専門家が警鐘

パスワードの盗難や検索履歴が読み取られるおそれも

　今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日～7日開催）において、2人の研究者がGoogle Gadgetsの（ショッキングな）問題を報告したからだ。（2008年08月08日）

【解説】 SQLインジェクション攻撃の「最新傾向と対策」

世界規模で多発する脅威に対して、ITマネジャーがとりうる防御策とは？

最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。（2008年08月08日）

［米国］ 米国司法省、過去最大規模のカードデータ窃盗グループを起訴

容疑者11名の国籍は米国、エストニア、ウクライナ、中国……

　数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。（2008年08月07日）

［米国］ マイクロソフト、脆弱性情報を事前開示する新プログラム「MAPP」を開始へ

パートナー・ベンダーへの情報開示は10月から

　米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program（MAPP）」を10月から開始すると発表した。（2008年08月06日）

［世界］ アップルのDNS脆弱性修正パッチは不完全――セキュリティ専門家が警鐘

「クライアント・ライブラリ適用パッチがリリースされていない」

　7月上旬にDNS（Domain Name System）で重大な脆弱性が発見された問題で、セキュリティ専門家は、「先週リリースされた米国AppleのDNS脆弱性修正パッチでは、脆弱性は修正されない」と指摘し、ユーザーに注意を呼びかけている。（2008年08月06日）

［米国］【北京オリンピック】 米国の五輪チケット販売サイトで詐欺事件が発生

数百人分のクレジットカード番号、パスポート情報が流出の疑い

　米国で偽のオリンピック・チケット販売サイトを舞台にした詐欺事件が発生し、多くの被害者が出た。セキュリティ専門家は、今後も同様の事件が起こる可能性があると警告している。（2008年08月05日）

【解説】 “メール盗み見”の厳しい代償――罪の意識の希薄さが招くリスク

他愛ない行為が、刑事事件にまで発展するおそれも

席を外している同僚のコンピュータのそばを通りかかり、電子メールをのぞいてみようと思ったことはないだろうか。あるいは、ほんのいたずら心で同僚のメール・パスワードを探り出し、仕事用のメール・アカウントに勝手にアクセスしようと思ったことは？――単なる悪ふざけや害のない盗み見のつもりでも、そのせいで思わぬ窮地に陥るかもしれないことを、少なくとも企業ユーザーは知っておくべきである。場合によっては、勤務先解雇だけでなく、連邦犯罪に問われるおそれもあるのだ。（2008年08月04日）

【解説】 時代の要請に応える、セキュリティ・マネジメント「構築の実際」

自社のIT／情報資産を取り巻く脅威を知り、バランスのとれた対策を実施する

企業・組織において情報セキュリティ・マネジメント体制／基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を継続・成長させていくうえでの大前提である。本稿では、今日求められる経営課題を踏まえながら、情報セキュリティに関するインシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。（2008年07月31日）

［米国］ 米国政府機関所有のノートPCで、暗号化されていたのはわずか3割

会計検査院が2007年9月時点のセキュリティ調査結果を報告

　米国会計検査院（GAO）は7月27日、政府機関のノートPCやモバイル・デバイスに保存されている機密情報のうち、1年前の時点で暗号化されてデバイスは30％にすぎなかったとのセキュリティ調査リポートを発表した。この機密情報には米国民の個人情報も含まれる。近年、政府機関でデータのセキュリティ違反が相次いで発覚したにもかかわらずの実態に批判の声が寄せられている。（2008年07月30日）

［米国／英国］ 暗号化されたHDDからデータ漏洩の危険性――大学の研究チームが明らかに

Word/Google Desktopなど一般的なアプリケーションの使用時に漏洩が発生

　米国Washington大学と英国British Telecommunications（BT）の共同研究チームはこのほど、コンピュータのハードディスク・ドライブ（HDD）を部分的に機密保護する目的で暗号化ソフトを使っているユーザーに対し、「Microsoft Office Word」といった一般的なアプリケーションの使用でデータが漏洩する可能性があると注意を促す論文を発表した。（2008年07月17日）

［米国］【Finjan調査】 サイバー犯罪者集団の指揮系統は“マフィア”並み――最新の調査リポートで判明

クラッカー／売人／マネジャー／プログラマーからなるピラミッド型で活動

　サイバー犯罪者集団の指揮系統が“マフィア”に似てきている。このことは、サイバー犯罪がいかに広範かつ組織的な活動になってきているかを示している。（2008年07月16日）

【解説】 「なくした“人生の一部”を取り戻せ」――オープンソースのノートPC追跡ソフト「Adeona」が完成

紛失／盗難にあったノートPCを持ち主の下へ――商用版にどこまで対抗できるか

ノートPCをなくしてしまうのは、今や人生の一部をなくすのと同じだ。思い出の写真や好きな音楽、個人的な日記など、かけがえのないデジタル・データに永遠に別れを告げることになる。ましてや仕事用のノートPCともなれば、機密情報を漏らした張本人として処罰されかねない。そうしたなか、米国Washington大学とCalifornia大学San Diego校の共同研究チームは7月14日、持ち主の情報プライバシーを守りながら無料でノートPCを追跡してくれるオープンソース・ソフトウェア「Adeona」を発表した。（2008年07月15日）

【解説】 投資会社のデータ流出で浮き彫りになった、P2Pソフトの“危険度”と企業の“鈍感力”

「サイバー犯罪者にとってP2Pネットワーク上の情報は“ネタ”の宝庫」と専門家は警鐘

ピア・ツー・ピア（P2P）ファイル共有ソフトウェアの危険性は、数年前から指摘されている。実際、同ソフトウェアによる企業の情報流出事件は、過去何回も発生している。しかし、多くの企業は同ソフトウェアの脅威に対して鈍感だ。本稿では最近発生したP2Pソフトによる情報流出事件を基に、今後企業が行うべき対策を、専門家の指摘を中心に紹介する。（2008年07月11日）

【解説】 米国上院が可決した「テロ監視プログラム延長」の顛末