「情報漏洩が起こりやすい状況だった」、金融庁がアリコに業務改善命令 – ニュース:ITpro

7月の情報漏洩事件に関して、業務改善命令。
「情報漏洩が起こりやすい状況だった」、金融庁がアリコに業務改善命令 – ニュース:ITpro

アリコジャパンの顧客情報が流出した問題で、金融庁は2010年2月24日、同社に対して保険業法に基づく業務改善命令を出すとともに、個人情報保護法に基づく勧告を行った
金融庁は、アリコに対して顧客情報の安全管理の徹底やクレジット業界との連携による顧客保護、情報漏洩の原因究明などを求めている。

原因究明はまだできていないのか。

この問題は、2009年7月にアリコがクレジットカード会社からカード情報の不正使用の照会を受けて発覚した。これまでの調査では、約3万2000件の顧客情報の流出を確認。中国の業務委託先の会社の従業員がホストコンピュータにアクセスして持ち出したとみられるが、現在までに流出した顧客情報の具体的な範囲や犯人の最終特定には至っていない。カード情報の不正使用の疑いがあるとして、カード会社から報告を受けた件数は2月18日までに6592件である。
金融庁は、今回の顧客情報流出が発生した要因として、ホストコンピュータへのアクセスで使用するIDとパスワードが担当者の間で使い回しされていたために「個人顧客情報管理がずさんであり、情報漏洩が起こりやすい状況にあった」と指摘。IDの使い回しによって、「実行犯の特定が困難にするという問題にもつながった」

ComcastがDNSSECのテスト

米サービスプロバイダーComcastが、全国ネットワークへのDNSSEC実装が終わり、希望ユーザーに試験利用提供を始めた。
Comcast launches first public U.S. trial of advanced DNS security
2011年3月までには自社で保有する約5000件のドメインすべてに署名する。
2011年末までには、顧客向けDNSサーバーすべてにDNSSEC検証機能を実装する。
他の動向でいうと、DNSルートサーバーは7月までに署名される。Verisignは.comと.netドメインのサーバーへのDNSSECサポートを2011年はじめまでに提供。US政府は.govドメイン全体でDNSSECを導入する予定で、Public Interest Registryは.orgドメインでDNSSECをサポートしている。

ボブスレー女子、日本のそりは「金メダル」の美しさ

ボブスレーのそりがペインティングされている。
五輪=ボブスレー女子、日本のそりは「金メダル」の美しさ | スポーツ | Reuters
衣装やらなんやら、日本のスポーツ代表って見栄えがしないと思ってたけど、これはイイ。

ロイターも、美しさは金メダルといってる。
がんばれ。

クラウド向けSAMLの実験

クラウドのビジネス利用におけるセキュリティ課題を検証する実証実験が開始:Security NEXT

三菱総合研究所と三菱電機は、経済産業省の受託事業として、企業の既存システムとクラウドの連携におけるセキュリティ上の課題を検証する実証実験を開始した。
今回の実証実験は、既存システム環境とプライベートクラウドやパブリッククラウド環境を組み合わせて利用する際におけるセキュリティ上の課題を取りまとめ、今後のクラウド普及を目指す試み。
具体的には、「SAML」を活用した認証によるシステム間の連携やクラウドに散在するデータの保護、クラウドに対するアクセス管理、大規模ユーザーにおける稼働、セキュリティに関する評価を行う。
両社は実証実験の環境が整ったとして検証を開始しており2月26日まで実施する予定。実験終了後は、技術面や業務面の評価を取りまとめ、広く提供する予定。

MRIの報道発表 http://www.mri.co.jp/NEWS/press/2010/2015961_1395.html
企業システム環境、プライベートクラウド環境、パブリッククラウド環境、リモートアクセス環境からなる連携システムの実験。
パブリッククラウド環境はEC2を使用。

○検証内容
・認証連携機能評価
企業システムとクラウド環境の共存利用状況において、主にSAML(1回の認証のみで各システムの横断利用を可能とする技術の一種)を活用して、認証および認可が適切に連携できることを検証します。
・データ保護機能評価
クラウド環境において、データが適切に保護されることを検証します。
・ネットワーク仮想化機能評価
IPv6(次世代のインターネット通信方式)を活用した仮想ネットワークにより、クラウド環境に配置される各サーバーへのアクセスが適切に制御されることを検証します。
・スケーラビリティー評価
大規模ユーザ環境でのアプリケーション稼働を評価します。
・セキュリティー評価
企業システムのクラウド環境移行時に想定されるセキュリティー脅威への対策を評価します。

社長、その服装では説得力ゼロです / 中村 のん

社長、その服装では説得力ゼロです (新潮新書) (新書)
中村 のん (著)

価格: ¥ 714
# 新書: 183ページ
# 出版社: 新潮社 (2009/09)
# ISBN-10: 4106103311
# ISBN-13: 978-4106103315
# 発売日: 2009/09
# 商品の寸法: 17.6 x 11 x 1.4 cm

ファッションを知らないオヤジにはぴったりだと思って読んだ。
思ったより刺激的な指摘はなく、普通にうんうんと頷ける内容だった。
時々、なるほどねえと参考になることが書いてある。
外見にかまっている時間などないなんていう人は、

要するに、いかに心に余裕が無いかってことだ

で、心に余裕が無いことは、若い世代が最も忌み嫌うものだそう。そんなふうに考えたことはなかった。
また、ああはなりたくない、と思うと、仕事も学びたくなくなってしまうとか。

それが仕事を続けていった先にある自分の未来像なのかも……と思えば、なおさら嫌悪の気持ちは増す

流行りに合わせるのは良いとは限らないとか、店員の言う事を額面通りに聞いてはいけないとか、というのは我が意を得たり。というか地獄に仏、というか。
高いから買わないというのはいけないとか、靴を大事にするとか、というところは耳が痛い。
まあだいたい想定できる内容だけど、楽しく読めた。それに、ちゃんと考えたことはなかったことが、逸話をひいたりしてわかりやすく説得力もある。
ちょっとは考えなきゃかなあと。
残念なのは最後に、執筆の背景などが書いてある中で、映画監督の言葉が紹介されていて。

インド旅行ではハリジャン(最低カースト)の村に泊めてもらった。あの時はポール・スミスのシャツにリーバイス。さわやか系の香水もふっていた。すると自分がものすごく浮き彫りになるけど、そこらの小汚いバックパッカーとは別格の扱いにしてもらえたんです

そりゃ別格のカモに見えたんだろ。
これはいただけない、とおもったら、筆者は共感したということらしい。やっぱりファッション中心の人が考えることはわからん。

AC/DCグラミー賞受賞

AC/DCがグラミー賞もらってたのね。
すばらしい。
コンサートが楽しみ。
AC/DC : AC/DC、来日に花を添える第52回グラミー賞受賞 / BARKS ニュースAC/DC : 2010-02-02

トラックバック0 コメント0 この記事をTwitterでつぶやく はてなブックマーク この記事を友達に紹介する
米・ロサンゼルスで2月1日に行なわれた第52回グラミー賞で、AC/DCが、最優秀ハードロック・パフォーマンス賞を受賞した。リンキンパーク、メタリカ、ニッケルバック、そしてアリス・イン・チェインズら強力なメンツをおさえて受賞したのは、アルバム『Black Ice』から「War Machine」だ。
◆AC/DC、ニュージーランド・ウェリントン公演画像
いま彼らが行なっている<BLACK ICE TOUR>ツアーは、全世界的に大きな話題になっており、その一環としての日本公演も、一般ファン、関係者を含めて、いまやロック界の大事件として認知されている。
さて、いまはニュージーランドでツアーを行なっているAC/DCの最新ライブ写真が到着したので紹介しておこう。元気だ!この写真を見る限り、往年の勢いはそのまま。日本公演も期待できそうだ。
写真は、1月28日のニュージーランド・ウェリントン公演時のもの。AC/DCはこの後、2月4日のニュージーランド公演、2月11日~3月8日の間にオーストラリアにて5都市11公演を行ない、来日する。なお、ニュージーランド・オーストラリアの全公演、チケットは当然のことながら、ソールドアウトとなっているとのことだ。

モンベルのサイトに不正侵入か カード情報盗難の可能性 – 社会

ウェブサイトから情報漏洩。ということはSQLインジェクションか。
asahi.com(朝日新聞社):モンベルのサイトに不正侵入か カード情報盗難の可能性 – 社会2010年2月6日17時25分
 アウトドア用品の総合メーカー「モンベル」(大阪市)は、同社のウェブサイトが不正アクセスを受けた疑いがあるとして、サイトを閉鎖し調査を始めた。昨年11月以降にサイト上のオンラインショップで買い物した顧客のクレジットカード情報が盗まれた可能性があるという。該当人数などは調査中としている。
 同社によると、クレジットカード会社からの指摘を受けてサイトを閉鎖したのは1月29日深夜。該当期間の利用者には6日、おわびと連絡のメールを送った。調査の経過はサイトで報告するという。問い合わせは電話06・6536・5740。

XMLセキュリティの信頼と脅威モデル入門

WebサービスあるいはRESTのアプリケーションで使われるSOAP/XMLインターフェースのセキュリティに関する入門記事。
XML Security Trust and Threat Models for Dummies | XML Journal
筆者はCrosscheck NetworksのVPとのことだが、元Forum Systemsの創立者。2009年5月にCrosscheckがForumを買収していた。へぇ~。今まで頑張っていたことがオドロキ。
Crosscheckのホームページより http://www.crosschecknet.com/ :
Commercial SOA Products
Build | Test | Secure
We are a product and services company dedicated to the successful deployment of SOA using traditional and cloud computing infrastructures. Our products govern over 1 billion transactions per day and are used by over 50,000 industry professionals in 42 countries. We provide service testing, virtual service simulation, identity managment, and security enforcement of services using patented, industry proven products. Let our technology lead the way to your SOA success.
記事の骨子
3つの脅威:

  • DOS攻撃 – 特にXMLでは不正なコーディングをした小さなデータでもDOS状態を作れる
  • ウィルス – XMLを利用して繁殖するウィルスあるいはワームが出現している
  • SQLインジェクション – データ取得のために使われるXMLリクエストにSQLを挿入される

3つの信頼:

  • プライバシー – 暗号化によって達成される、秘匿性の事だと思う
  • 完全性 – 署名と検証によって達成される
  • ID – AAA(認証、認可、アクセス制御)、SSL tokens, SAML tokens,WS-Username tokens