米政府のセキュリティ監査ガイドラインCAG

米政府機関と専門団体が集まって新しいセキュリティ監査ガイドラインConsensus Audit Guidelines (CAG)を作成。
Feds forge gold standard for cybersecurity ? The Register
政府機関としてはNSA、DHS, US-CERT, DoD, DoE, Office of CISO, Air Force, Armyなど、団体としてSANS等、リーダーはJohn Gilliganという人でAir ForceとDoEのCIOを務めオバマ政権移行チームでDoDのIT関連を担当した人、とのこと。
SANSのサイトにあるプレスリリース文PDF:
http://www.sans.org/cag/press_release.pdf
FISMAからの移行、CSIS Commission report on Cybersecurity for
the 44th Presidencyといった流れの一部の模様。
30日間パブリック・レビューの後、パイロット実装を政府機関数件で実施、そのあと各種レビューや普及活動。
仕様はここにある。
SANS Institute – Consensus Audit Guidelines
内容は、20件のコントロールをリストアップ。
最初の15件が自動的な計測と検証の対象となる重要なコントロール。
Critical Control 1: Inventory of authorized and unauthorized hardware.
Critical Control 2: Inventory of authorized and unauthorized software; enforcement of white lists of authorized software.
Critical Control 3: Secure configurations for hardware and software on laptops, workstations, and servers.
Critical Control 4: Secure configurations of network devices such as firewalls, routers, and switches.
Critical Control 5: Boundary Defense
Critical Control 6: Maintenance, Monitoring and Analysis of Complete Audit Logs
Critical Control 7: Application Software Security
Critical Control 8: Controlled Use of Administrative Privileges
Critical Control 9: Controlled Access Based On Need to Know
Critical Control 10: Continuous Vulnerability Testing and Remediation
Critical Control 11: Dormant Account Monitoring and Control
Critical Control 12: Anti-Malware Defenses
Critical Control 13: Limitation and Control of Ports, Protocols and Services
Critical Control 14: Wireless Device Control
Critical Control 15: Data Leakage Protection
プラス、自動的な手段の対象とはならないが重要なコントロール5件。
Critical Control 16: Secure Network Engineering
Critical Control 17: Red Team Exercises
Critical Control 18: Incident Response Capability
Critical Control 19: Data Recovery Capability
Critical Control 20: Security Skills Assessment and Appropriate Training To Fill Gaps
6番の監査ログ関連は内容が多くて、レベル1のQWとして

  • ログ取得設定やログ形式の確認
  • ログ用ストレージの確認
  • 日常発生するイベントのプロファイル把握による異常検知と過剰アラート抑止
  • リモートアクセスに関しては詳細なログ取得
  • OSレベルのアクセスログ
  • 隔週で異常レポートのレビュー

の6点、これが必須レベルということか。
次のレベルVis/Attribも6点。

  • 時刻合わせ
  • 境界機器(ファイアウォールやIPS)では全トラフィックを記録
  • DNSサーバーでは全リクエストとレスポンスを記録
  • ログは書き込み専用機器か専用サーバーに記録
  • SEIMの導入、syslogと脆弱性スキャンの相関分析
  • 監査ログの分析プログラムを毎日実行

3番目のレベルConfig/Hygieneは2点。

  • テスト用イベントの挿入による監査ログ分析体制の定期的なテスト
  • 監査ログ内容の定期的なテスト

なかなか厳しい。
7番のアプリケーションソフトウェアのセキュリティは、QWが2点。

  • ソースコードのテスト、特に入力検査と出力エンコーディング
  • スキャナによるテスト、最低週1回プラス変更のたびに

Vis/Attribは無くて、Config/Hygieneが2点

  1. 全アプリで開発ライフサイクルにセキュリティが組み込まれていること
  2. WAFの導入、Webベースでなければ専用アプリケーションFW

これも、週1スキャンが必須レベルになっている。

「Google Earthでアトランティス大陸発見」報道、Googleが否定 – ITmedia News

「Google Earthでアトランティス大陸発見」報道、Googleが否定 – ITmedia News

Google Ocean上で大西洋の沖合の海底に人工物の痕跡ように見える線があるとして、各紙が「Google Earthでアトランティス大陸発見」と報道、ネット上で話題になった。

Googleは、この線はデータ収集の際にできた副産物だとし、報道を否定した。海底のデータ測定はソナーを使って船から行うことが多く、この線はその際に船の航跡が写ったものだと説明している。

海底の線をみつける人もすごいけど、アトランティスに発展する発想が素晴らしい。
それとも、アトランティス好きの人がこの辺を眺めるのが日課で、線をみつけたのか?
報道はザ・サンが早かったみたいだけど。
‘Atlantis’ spotted on ocean floor off Africa | The Sun |News

And last night the possibility of an extraordinary discovery had oceanographers and geophysicists captivated.
そして昨夜、驚くべき発見の可能性が海洋学者と地球物理学者の心を奪った。

ニューヨーク州立大学教授の証言として、

この場所は、アトランティスがあった場所として最も有力な候補の一つと、プラトンが記述している。 もし地形的なものだと判面するにしても、絶対に詳細な検討に値する。

とまでいっているけど、あっさりグーグルに否定されたのね。
ザ・サンの記事はこのほかにも、海底に沈んだアトランティスの想像図や、プラトンの引用まで載せて、気合が入っている。
グーグルの否定コメントも載せているけど、グーグルの担当者によると、

“The fact that there are blank spots between each of these lines is a sign of how little we really know about the world’s oceans.”
「線の間に空白の部分があるという事実は、われわれがこの世界の海洋について知っていることがほんの僅かだということを表している。」

どういうこと?

日本警察犬協会

道を歩いていたら、日本警察犬協会という看板をつけたおうちが目に入った。
090222keisatsuken640.jpg
これのことだろうな。
++ 日本警察犬協会 ++

会員になると
 皆様が会員になりますと、ご愛犬とともに各種のイベントに参加できるほか、本部・支部の行事案内、ご愛犬の交配・出産案内、行事参加後の成績発表、警察犬の活躍、犬に関した情報などを掲載した会報「警察犬」が年10回送られます。
 もちろんご愛犬がいなくてもかまいません。ご入会時には「会員之章」が交付されます。

なんだかよくわからないけど。
ご愛犬、という表現が出てきた時点で、違う世界のことだというのは、わかる。
さらに、ご愛犬がいなくても、となると、もうさっぱりわからない。
いいことがあるってことだろうな。
年間1万2千円払って入るんだから。
いろんな団体があるなあ。

Kasperskyへの不正アクセス、脆弱なサイト探しにGoogleを利用:Security NEXT

カスペルスキーが分析結果を発表。
脆弱性はGoogle検索で見つけられていた。
Kasperskyへの不正アクセス、脆弱なサイト探しにGoogleを利用:Security NEXT

Kaspersky Labの米国向けサイト「usa.kaspersky.com」が、SQLインジェクション攻撃を受けた問題で、同社はNext Generation Security Softwareによる調査結果を公表した。
今回の攻撃は当初の発表で6日に行われたと発表されていたが、2月7日早朝に攻撃を受けたという。攻撃はルーマニアのISP経由で攻撃が行われており、Googleを利用してSQLインジェクションが含まれるウェブサイトを検索していた。
攻撃者は顧客データへアクセス可能だったと主張しているが、調査結果により主張が正しいことが判明。しかしログファイルより入手の試みは失敗しており、データへのアクセスはなかった。また脆弱性公表後に攻撃が各地から行われたものの、ウェブサーバが即時停止されていたことから、顧客データへのアクセスは発生しなかった。
同社では今回の不正アクセス事件について深刻な問題に発展する危険があったとして、運営サイトのセキュリティ監査を進めている。また同社製品への影響についてあらためて否定した。
Kaspersky Labs Japan
http://www.kaspersky.co.jp/
(Security NEXT – 2009/02/16更新)

ゲイリー・ムーアのライブ、変な衣装

テレビでアイルランドつながりってことで、Thin LizzyとGary Mooreのライブをやってた。
Thin Lizzyをぼおっと見てたら、Rosalieって曲が始まって、あれ、これやったことあるじゃん、と思ってとても懐かしかった。
後半Gary Mooreが始まって、Ian Paiceが叩いてるときので、いい感じ。でもボーカルはおらずGaryがずっと歌ってて…それは辛いよ。
で、衣装が不思議。Garyは黒ずくめだなあと思ってたんだけど。
uvs090215-005.jpg
後姿を見ると、つながってる。
uvs090215-004.jpg
つなぎってことだろうけど。
作ったのかな。わざわざこんなのを。不思議な衣装だ。
内容としては、マーキーでのライブのほうが、好きなんだな。 と思って引っ張り出してみた。
garymoore-live-01-640s.jpg
値札がついてて、700円。確か神田あたりの中古屋で買ったんだよな。CDはLive at the Marquee Clubって名前で出てる。 (Live at the Marquee (Gary Moore album) – Wikipedia, the free encyclopedia)
ドラムがTommy Aldridgeなところがすばらしい。アルバムの最後が、Tommyのドラムソロやってそのまま終わっちゃうのが尻切れでがっかりだけど。ボーカルもちゃんといるし、KeyはDon Airey。
中の説明を読むと、レーベルとのトラブルもあり、まともにリリースされた感じじゃないみたい。
garymoore-live-03-800s.jpg
だけど、良いんだよなあ。これでまともに作られてたらエンディングもまともな構成になってんだろうに。
パリの散歩道インスト版からYouあたりが、良い。

ルーリン彗星、24日に地球最接近

2007年に見つかったルーリン彗星接近の情報。
ルーリン彗星、24日に地球最接近=国立天文台が観測呼び掛け(時事通信) – Yahoo!ニュース

24日昼、地球に最接近する。距離は地球-太陽間の4割、約6100万キロ…20日夜から3月2日未明にかけ、観測を呼び掛けるキャンペーンを行う。
太陽には1月10日に最接近した。今後さらに遠ざかり、戻って来るのは数万年以上先

ここに、1日ごとの位置が載っている。
宮崎県天文協会website ~分室~ 鹿林彗星(ルーリン彗星)の観測方法

2/2未明に双眼鏡で観測した所では、それほど「まん丸」という感じではなく、何か銀河のような形に見えました。
23日と24日はほぼ一晩中、5等級まで明るくなる(と予想される)鹿林彗星と輪の薄い土星のランデブーが、月明かりの影響も無く好条件で楽しめます。今年の土星は、輪を真横から見る形になるので、φ←こんな感じに見えています。

ここの人は、彗星観測の面白さを熱く語ってくれてる。

何が起きるかわからないのが彗星観測の面白さで、ある日突然、細くて長い尾が「ぴろぴろぴろ~ん」と伸びたり、伸びたと思ったら千切れて無くなったり、という事もあります。数時間のうちにそれらの現象が起きる事もあります。表面が割れて、全く予想外に明るくなる事も、突然分裂する事すらあります。それほど彗星というのは油断ならない面白い天体です。

ルーリン彗星と太陽系惑星の軌道のアニメーション
ルーリン彗星(鹿林彗星)を観測しよう -つるちゃんのプラネタリウム
明るさには要注意

一般に「彗星が5等星の明るさで見える」などと表現しますが、これは「彗星全体の光を1箇所に集めたとしたら5等星の明るさに見える」という意味です。ですから、部分的に見れば彗星は5等星よりもかなり暗くなってしまい、想像した以上に見づらいものですから注意しましょう。

ビジネスマンのための法令体質改善ブック 吉田利宏

ビジネスマンのための法令体質改善ブック
吉田利宏 (著), 山下祐紀子 (イラスト)
# 新書: 244ページ
# 出版社: 第一法規株式会社; 初版 (2008/11/5)
# 言語 日本語
# ISBN-10: 4474024656
# ISBN-13: 978-4474024656
# 発売日: 2008/11/5
# 商品の寸法: 17.2 x 10.6 x 1.6 cm
この本は、誰に向けて書いてるんだろう。
ビジネスマンのための、ってあるけど。
法令について、学生時代以来のご無沙汰、とか、学生時代にはできなかった深い理解、などと書かれている。
法学部出身で、でもその道には進まなかった人向けってことかな。
きっと僕は対象と違うんだなあと思いながら読んだ。
内容としては法律用語雑学集というのが合っていそう。
及び、と、並びに、の意味の違いなど。
そういう特有の言葉遣いに気をつけることを体質といっているのか。
文章はわかりやすく、たとえ話もいろいろあって面白かったけど。
結局なんだか関係ない世界の話のようで、ちょっと期待はずれ。
法律の施行日を決めた政令の探し方が書いてあったのは、良かった。
全国官報販売協同組合の官報検索で、目的の政令がいつ出たか探し、その内容は首相官邸の官報バックナンバーで見る。
巻末に、『同僚には教えたくない「正しい送りがな事典」』っていう付録がついている。
送りがなに注意が必要な言葉を選んで、公文書での「正しい」送り仮名を列挙してある。
なんで、同僚に教えたくないのかが、わからない。
目次

■序 章 明るい法令体質改善計画
(「はじめに」に代えて)
■第一章 法令を構造から見抜く
● I 条文の構造を見抜く
・旨い寿司屋はこれで分かる?「イカ若しくは赤身又は玉」から注文
―「又は・若しくは」「及び・並びに」の使い分け―
・花見に借り出された山田くんは有望な社員か
―「その他社員」と「その他の社員」ではどう違う?―
・「掟書き」の不備が招いた悲しい恋の結末
―「前項の場合」と「前項に規定する場合」が指す所―
● II 法令の構造を見抜く
・京都と法令、実は同じ?とっておき攻略法
―本則の構造を究めるための二つの原則―
・悲劇! 斉藤課長のお小遣い額の変遷をたどる
―附則の構造と役割を考える―
・だから、法律は頑固者
―制定・廃止・修正、一部改正・全部改正―
・輝け! 中年の星!
―法令の「階層性」…法律・政令・省令、通達―
コラム
・法令は星の数ほどある
■第二章 法令が発する情報をキャッチする
● I 条文は意外に「おしゃべり」
・恋人未満と言われたら
―対象となる範囲を示す用語を知る―
・教科書を忘れた者は勉強する気がないのか?
―省略する表現を味わう―
・あいまいな表現のニュアンスを汲み取る
―「当分の間」「妨げない」「関する」「係る」「正当な理由」―
・「違いが」分かる大人になる
―「みなす」と「推定する」の違いを理解する―
・「締め」の表現まで意識する
―「しなければならない」と「するものとする」―
● II 先輩が教えてくれない法令理解のコツ
・回遊式理解術
―法令用語の処理方法―
・大きなストーリーで読み解く
―素朴な疑問から掴む「本質」―
・比べて感じる・比べて知る
―「公開会社」と「非公開会社」の違い―
・「知らなかった」は許されるのか
―「善意」と「悪意」の間―
・罰則規定を読み解く
―懲役、禁錮、罰金、拘留、科料―
コラム
・法令も間違える?
■第三章 法令情報へのアプローチ
・焼肉屋の割引券との意外な共通点
―「施行期日」に気をつけろ!
・食品も法律も鮮度に気をつけろ!
―「静」と「動」の法情報をリサーチする―
・法情報獲得の「裏技」を磨く
―官報、国会会議録、国会図書館―
・判例・文献を味方につけろ
―裁判例情報、新旧データベース―
・パブコメや審議会情報で一歩先取り
・官報を「想像力」で読み解く
コラム
・子供なの? 子どもなの?
■おわりに
・苦手意識にサヨウナラ
■付録
・同僚には教えたくない「正しい送りがな事典」

バレンタインデー粉砕!ヒンズー教過激派の予告相次ぐ : 国際 : YOMIURI ONLINE(読売新聞)

すごいなあ。
バレンタインがテロを呼ぶとは。
バレンタインデー粉砕!ヒンズー教過激派の予告相次ぐ : 国際 : YOMIURI ONLINE(読売新聞)

 警察が恐れているのは、南部の都市マンガロールで1月末に起きた事件の再現だ。「ラーマ神軍団」を名乗るヒンズー過激派約30人がパブに押し入り、客の女子大生らを殴ったり、髪をつかんで引きずり回したりした。この映像はテレビで繰り返し放映され、全国的に物議を醸した。
 逮捕後、すぐに保釈された「軍団」の指導者は、次は「バレンタインデーを祝う者を見たら制裁を加える」と宣言した。これに呼応するように、ムンバイや東部オリッサ州など各地で、ヒンズー過激派やイスラム系組織までが、続々と「バレンタインデー粉砕」の声明を出している。

対抗策も、なんだかよくわからないけど。

バレンタインデーにピンクの下着、なぜ贈る? インドの怪 (1/2ページ) – MSN産経ニュース

女性団体も過激派リーダーに対し、バレンタインデーにピンクの女性用下着を贈るプレゼント攻勢で対抗する構えだ。

カスペルスキーのWebサイトにSQLインジェクション

カスペルスキーがUSで開設したサポートサイトが攻撃されたニュース。
Kaspersky says Web hack ‘should not have happened’ – Network World
Unuと自称するハッカーがサイトに侵入し、ブログで報告。
http://hackersblog.org/2009/02/07/usakasperskycom-hacked-full-database-acces-sql-injection/
「今回は(理由は説明しないが)個人情報やアクティベーション・コードを含むスクリーンショットは公開しない。 テーブル名リストだけ公開しておく。」
カスペルスキーの技術者Roel Schouwenbergは事実を認めて、1月29日にサイトのデザイン変更があったときに発生したバグだと説明。
「内部コードレビューの際になんらか手落ちがあった。」