2005年04月22日(金) << 前の日記 | 次の日記 >>
これまでの04月22日 編集

■1 法人の電子証明書、普及拡大、アプリケーションの登場に期待 - 法務省[http://pcweb.mycom.co.jp/news/2005/04/21/007.html][PKI]次の記事 >> このエントリーをはてなブックマークに追加

Stressful Angel[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/04/_422_693a.html] から。
サーバ証明書に署名ができたりしても *1 嬉しいのだけど、
マイクロソフトなどがブラウザにあらかじめ東京法務局のルート証明書をインストールしておく必要がある。東京法務局は 日本限定の証明書のため難しい、としているが、利用者や用途の拡大にあわせ、マイクロソフトらに要請を行っていきたい考えを示している。
らしい。「日本限定の証明書のため難しい」のだろうか。
Microsoft ルート証明書プログラム[http://www.microsoft.com/japan/technet/security/news/rootcert.asp] によると、
・貴社のルート証明書は、マイクロソフト プラットフォーム ユーザーへ幅広いビジネス バリューを提供するものでなくてはなりません。たとえば、ある組織の内部で使用されるルート証明書は、本ルート プログラムでは受け付けられません。
の要件は満たす様に思える。むしろ、
・証明機関 (CA) プロバイダは、WebTrust for CA 監査を完了するか、あるいは同等のサードパーティ証明書を提供することが要求されます。米国公認会計士協会 (AICPA) が主催する WebTrust for Certification Authorities プログラムの詳細、または基準内容の入手方法については、http://www.webtrust.org/certauth.htm をご覧ください。貴社が別のプログラム、つまり WebTrust for CA ではないプログラムからの監査を受理した場合、WebTrust for CA と同等であることを証明する負担が CA に課せられます。
の方が問題かも知れない。

某ルートからの情報によると:

この証明書にはメールアドレスやドメインの様なOIDは含まれていないらしい。
考えてみれば当たり前で、要は単なる印鑑だ。
だとすると、
マイクロソフトなどが ブラウザにあらかじめ東京法務局のルート証明書をインストールしておく必要がある。東京法務局は日本限定の証明書のため難しい、としているが、利用者や用途の拡大にあわせ、マイクロソフトらに要請を行っていきたい考えを示している。
の意味が分からない。
メールソフトが対応していれば、送信メールに電子署名をつけて送ることで、フィッシング詐欺などへの対策にもなる。
の方は、中身の文書に署名しておいてこの署名を検証すれば…という話が抜け落ちているのだろう。PDFファイルに署名してある様なもの。
東京法務局がおかしいのか、記事がおかしいのか分からないけれども、どこかで話がおかしくなっている気がする。
*1: 本当に運用できるのかという問題はある。

■ 関連記事

■2 山口市職員、戒告懲りずアダルト閲覧 再びウイルス感染[http://www.sankei.co.jp/news/050422/sha065.htm][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

市が貸与した3人のパソコンがウイルスに感染したことを情報管理課が検知。調べたところ、アダルトサイト閲覧が原因と判明した。部次長級と課長級の2人は勤務時間中に閲覧していた。
こちらは漏洩などの被害は出ていないが、 公務でWinnyを使っていた[http://www.nantoka.com/~kei/diary/?200504b&to=200504151#T200504151] 訳ではないから、懲戒処分となった様だ。
市は「公務員の信用を失墜させた」として、9月までに3人を戒告処分にしたが、
とあるのだけれども、信用を失う様な何かがあったのだろうか。
いずれにしても、職場で目的外にネットやパソコンを使ってはいけない。技術的にできるのとやっていいのは違う。どうもコンピュータやネットワークの場合、この辺りが見えにくくなるのかも知れない。これもバーチャル世界の闇につながっている様だ。

■ 関連記事

■3 131万全顧客情報紛失 みちのく銀、金融最大[http://headlines.yahoo.co.jp/hl?a=20050422-00000179-kyodo-soci]<< 前の記事 このエントリーをはてなブックマークに追加

個人、法人含めた国内の全取引先に当たる約131万件の顧客情報が入ったCD−ROM3枚を紛失したと発表した。同行は「誤ってごみ箱に落とし、廃棄処分された可能性が高く、外部への流出はない」としている。
ミスは起こるのだけれども、この事件、問題は、
紛失したCD−ROMは 今月12日、本店業務推進部に配送。行員は受け取り担当者に 渡した記憶があると説明しているが、その後行方が分からなくなった。 20日、事務センターに業務推進部からの受領証が届いていないことが判明、発覚した。
であって、12日に配送して、「渡した記憶がある」という曖昧なトレーサビリティで、20日に判明というところだ。
その期間に「ごみ箱に落とし」たのかどうかもあくまで推測になってしまうし、どう破棄されたのかも分からないわけで、ひょっとすると秘密情報としての破棄をされていない可能性が残る。誰かがごみ箱から持ち出す可能性が否定できない程度の。
トレーサビリティを確保するということは、責任の所在が明確になる *2 だけでなく、事故が起きた時に想定される被害や経路が限定できるという効果がある。
もし、今回のケースで完全に履歴が追えたならば、恐らくごみ箱に入っている時点で発見されただろうし、恐らく収集車や集積所まで追いかければ見つけ出せる。
逆にそこまでやって見つからなかったら、不正に持ち出された可能性があるわけだけれども、不正に持ち出された可能性があることが事前に分かるのは、少なくとも後の対策を有利に進められるはずだ。
「バックアップ」になると、扱いがぞんざいになってしまうところはあるけれども、情報漏洩のリスクは、むしろ持ち運べるバックアップ媒体に格納されたために高まっているのだから、相当に注意をしないといけない。
システム上は、
  • 不要なバックアップは作らない、不要になったらすぐ確実に破棄する
  • 持ち運ぶ状態にする時は、必ず信頼できる暗号化を施す
  • 鍵と中身は一緒に運ばない
  • トレーサビリティを確保する
という対策が考えられるのだけれども、どうも金融機関は暗号化に積極的ではない様な気がする。暗号の強度を懸念してのことだろうか。

お客さま情報の紛失について[http://www.michinokubank.co.jp/news_release/20050422_03/]:

やはり一次情報にあたってから記事は書くべきだ。
本件発生の原因については、当行内における部門間の情報関連電子媒体の授受確認が不明確で、相互牽制機能が働かなかったことによるものと考えております。
問題は認識している様だ。
また、
仮に、CD−ROMが外部へ流出したとしましても、 パスワード等によるセキュリティ対策を講じているため、お客さま情報の漏えい懸念は極めて低いものと考えております。
「パスワード等によるセキュリティ対策」が施されているから安心だそうだ。
「パスワード等」というのが何なのか非常に気になる。さすがに「4桁の数字のパスワード」ではないと思うが、「8桁の数字パスワード」なのかも知れない。
顧客ではないから「お客さま専用のお問い合わせ窓口」に電話を掛けて説明を求めるのは無理の様だけれども、具体的にどういうパスワードや暗号化方式かを聞いても、「セキュリティのために秘密です」と言われる様な気がする。気のせいだが。
こういう時に、リスクを客観的に説明するためにも、「独自の暗号化」は避けた方が良い。
*2: 「誰かが責任追及される」というネガティブな面を気にする人も多いけれども、逆に他の多くの人は自分の責任ではないってことがはっきりする。私は、身の潔白が証明できない運用でセキュアな情報を扱うのはドキドキする。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project