Security

PCI DSSとは

今月は、CPEポイント集中取得月間である。 本日の午後は、神保町で第5回データベース・セキュリティ・コンソーシアム(DBSC) セミナーに参加。特に、基調講演2の、「オンサイト監査から見えるPCIDSS」が非常に参考になった。PCI DSSについて、講演後に講師の…

情報セキュリティ人材育成シンポジウム

今月は、CPEポイント集中取得月間である。 情報セキュリティ人材育成シンポジウム 〜永遠のビギナー対策を考える〜 http://www.jnsa.org/seminar/2009/100215/pro.html 特に、午後の「高度情報セキュリティ人材育成トラック」を受講してみて思ったことを五月…

THE SECURITY INSIGHT 2009

行ってきた。 感想なぞ。 最後のスペシャル・イブニング・セッションしか出れなかったが、全体的にモデレータの質問とパネラーの回答が噛み合ってなかった気がする。質問内容は事前に共有していないのだろうか。パネル・ディスカッションって、そういうこと…

第4回データベース・セキュリティ・コンソーシアム(DBSC) セミナー

神田まで行ってきた。CPE取得のため。 DBセキュリティガイドラインの内容について。 ガイドラインとISO27001やPCI DSS等のフレームワークとのマッピングは力作と思うが、フレームワーク側でマッピングから漏れた項目があるはず。それも併せて公開してもらえ…

Yet Another Anonymous Point of Attack?

GNUCITIZENより。 http://www.gnucitizen.org/blog/owi-yet-another-anonymous-point-of-attack/ From a security point of view, this technology adds another "anonymous" point of attack to the already-large list. I say "anonymous" (within quotati…

WASForum Conference 2008 Developers DAY

東銀座でWASForum Conference 2008に参加。セキュリティ界隈の著名人を生で見れる!高木浩光先生も! 一番よかったのは徳丸さんのセッションかなあ。「プログラムを書いたことがないようなセキュリティエンジニアがセキュリティ対策の記事を書いている」とい…

データベースの暗号化

DBの暗号化についてネットで情報収集しようと思ったけど、意外にないのな。 個人的にDBの暗号化は、避けられるものであれば全力で避けたいと思っている。 DBの暗号化で対処したいリスクって、DBAによる内部犯行であったり、DBサーバそのものが盗難にあったり…

暗号戦争

第二次世界大戦を発端として、各国がしのぎを削って研究・開発・実用化した、近代暗号の歴史に関する本。暗号が軍事目的で強化され、それが国家機密の保護を目的とした利用から、大企業に広がり、ついにはインターネットの普及と共に個人レベルでも利用され…

情報セキュリティスキルマップ

IPAの情報セキュリティスキルマップ。2003年に作成されたもので、どちらかというとテクノロジよりのスキル中心に構成されている印象。 http://www.ipa.go.jp/security/fy15/reports/skillmap/index.html また、CISSPのCBK10ドメインと比較するとBCPがなかっ…

アイデンティティ管理システムの動向

ISACAの9月例会に出席してきた。内部統制やセキュリティ維持の文脈で、SunのI&AM製品を紹介された。 のだが・・I&AM製品を見ていつも思うのは、きちんと運用すれば確かに「本来アクセス権を与えられるべきではない人」の不正は減るのだろうが、財務報告に影…

危機管理と模擬記者会見演習コース

JIPDECのサイトに掲載されていた、危機管理と模擬記者会見演習コース。http://www.jipdec.jp/ed/study/kikikanri/2course/index.htm こういうのはなかなか生々しくて、おもしろい。今回のコースは記者会見とか、マスコミ対策がメインのようだけど、緊急時の…

CISAの受験に関する情報が少ない件

http://www.cyberarchitect.net/blog/archives/187

IT Control Objectives for SOXにまつわる、「いつかきた道」

「まるちゃん」さんが嘆いていらっしゃる。 システム管理基準追補版をつくるべきではなかったのか・・・ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2007/05/post_5.html ITGI/ISACAが、IT Control Objectives for SOXをつくっているのも同じ。…

個人情報保護法準拠、ISO27001準拠、J-SOX準拠、ITIL準拠

パッケージやソリューションの広告にタイトルのような「〜準拠」と書かれているのを見ると、それだけで「うさんくさい」と感じてしまう。 それぞれフレームワークなんだから、自社の性質や状況に適合した「ベターな」答えは、各社で頭を掻き毟って考えるしか…

生体認証対応ATMの相互利用

生体認証情報のやり取りって、どんな仕組みになってるんだろ。 http://japan.cnet.com/news/ent/story/0,2000056022,20348323,00.htm?ref=rss 実際の生体情報を保存したDBは各行が管理していて、提携先のシステムから直接その生体情報を見にいくことはないの…