水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年4月 > 2005年4月1日(金曜日)

2005年4月1日(金曜日)

PPPoE でネットワークアイコンが増殖

FTTH が開通しました。NTT東日本の Bフレッツハイパーファミリータイプです。3月4日に申し込んでいたのですが、1か月かかりました。

しかし、光ファイバーケーブルって本当に細いものですね。UTP (普通のLANケーブル) を見慣れていると不安になりそうな細い線……は実は補強のための被覆で、それを剥くと驚くほど細い線が出てきます。しかも実はそれも被覆つきで、剥くと出てくる光ファイバーは髪の毛くらいの太さだったりします。

それはさておき、PPPoE で繋ぐと通知領域にネットワーク接続のアイコンが増殖するのですが、これはこういうものなのでしょうか。

※まあ、普通は PPPoE の機能を持ったルータを間に挟むのでしょうし、将来的にはそうするつもりですが。

関連する話題: ネットワーク / bakera.jp

SP1 日本語版欲しい

マイクロソフト、Windows Server 2003 SP1新機能の“おさらい” (enterprise.watch.impress.co.jp)」。いいなー。早く日本語版でないかなー。

実は今日まさに Windows Server 2003 Standard Edition (www.amazon.co.jp) をインストールしたのですが、インストール後に Winodws Update したら、重要な更新が 39個も出たり。しかも、その後再起動してもう一度 Windows Update したらまた 1個出てきたりして。

関連する話題: Microsoft / Windows / Windows Server 2003

セキュリティ 2004年の傾向

IPA から「コンピュータ・セキュリティ ~2004年の傾向と今後の対策~ (www.ipa.go.jp)」という文書が出ていますね。なかなか面白いです。

俳優の公式サイトから情報漏えい

俳優の公式ページにおいて、第三者に氏名、住所、電話番号、メールアドレス、パスワード、性別、生年月日などの個人情報が漏えいしてしまう事件がありました。

この件では、ウェブサイトで利用している認証情報が推測可能であったために、認証を回避してアクセスできてしまい、第三者がユーザを騙ってアクセス可能でした。

以上、コンピュータ・セキュリティ ~2004年の傾向と今後の対策~ より

これはヨン様公式サイトがやられたという話のことだと思うのですが、その脆弱性の情報ってどこかできちんと公開されているのでしょうか。私は 2ちゃんねるの情報 (と、そのまとめサイトの情報) しか見たことがないのですが、どこかに信頼できる一時情報があるのかしらん。

関連する話題: セキュリティ / IPA / 思ったこと

どこまでガードすれば良いかの指標

企業のセキュリティレベルを"ベンチマーク" - 経産省の新たな取り組み (pcweb.mycom.co.jp)」というお話がでていますね。

個人的にはサイバーノーガード戦法というお話はシニカルなジョークに過ぎないと思っています。実際にセキュリティがぼろぼろな企業サイトは存在すると思いますが……というか思うも何もこの目でいくつも見てきましたが、それは別に意図的にノーガードにしているわけではないと思うのです。セキュアでない状態で放置されてしまう原因の一つに、何にどれだけコストをかければ良いのか、どれだけコストをかけなければならないのか、ということが分かっていないという点が挙げられるのではないかと思います。

サイバーノーガード戦法という言葉が生まれるもととなった ASKACCS のフォームですが、これも別に漏洩して良いと思って放置していたわけではなく、単にコストをかけなかった結果だと思います。あのフォームは住所氏名電話番号などの個人情報を取得していたにもかかわらず、SSL で保護されていませんでした。ファーストサーバには当初から SSL のサービスがありましたので、技術的にできなかったわけではないはずです。SSL が使われていなかったのは、単にそこにコストをかける必要がないと思っていたからでしょう。同じ流れで低価格の Web 制作業者、低価格のサーバ管理会社が選定されて、あのような結果を招いたのだと思います。

そのあたりは、何を扱うときにどれだけのセキュリティレベルが必要なのかという基準があれば改善が期待できるはずです。こういう指標ができれば改善されて行くのではないかと思います。

※……いや、それは楽観的にすぎるような気もしますが。

関連する話題: セキュリティ / 思ったこと / ファーストサーバ

脆弱性届出のモチベーション

Firefoxの脆弱性報告に賞金授与 (www.itmedia.co.jp)」というお話。

Mozilla Foundationは、Firefoxの脆弱性を報告したドイツのミハエル・クラクス氏に総額2500ドルの賞金を贈った。

以上、Firefoxの脆弱性報告に賞金授与 より

5件の届出で 2500ドルだそうです。うーん、うらやましいですね。IPA に届け出たときもそんなにお金がもらえたら、それで生活できるかもしれません。:-)

言うまでもなく IPA の届出制度は完全にボランティアで報酬ゼロです。脆弱性を発見した人は

のうちどれかを選択することになるわけですが、現状では「届け出る」という選択肢にはメリットが何もありません。そのくせ法的リスクはちゃんとありますので (ガイドラインにも不正アクセスから免責されるわけではないと明記されている)、法的リスクを回避できているかどうかを検討してから届け出る必要がありますが、この検討の結果が正しいという保証は何もありません。むしろ多くの技術者にとっては検討の結果が裏切られているわけですから、誰かに「これは届け出て大丈夫だろうか?」と訊かれたとき、責任を持って大丈夫だと断言できる人はいないでしょう。素人にはとうていお勧めできない諸刃の剣です。

それに対して「悪用する」という選択肢はどうかというと、これが困ったことに事実上ノーリスクに近いのですよね。たとえば office さんが「黙って名簿業者に売る」という選択をしていたらどうなっていたかと考えてみると、たぶん誰も気づかなかったのではないかと思うのです。もっと言うと、実はその手の悪用は既にあちこちで行われていて、しかしながら誰も気づいていないだけだという可能性も否定できないわけですが……。

もちろん、だからといって悪用するという選択をお勧めすることはできません。結局「見なかったことにする」が一番お手軽でお勧め、ということになってしまうのです。

まあお金をくれというのは無理だと思いますが、「届け出る」という選択にリスクしかないという状況は何とかしたいですね。

関連する話題: セキュリティ / 思ったこと / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など