投稿者: Tadashi

　
　
金沢城・兼六園のライトアップイベントの秋期間が始まりました。始めの週末はあいにくの天候ですが、多くの人が繰り出しています。ライトアップも四季の恒例イベントとなってきました。冬の雪景色、春の桜、に比べると夏の新緑、秋の紅葉はいまいち押しが少ないですね。特に金沢城周辺は紅葉樹が少ないため、建物と一緒に紅葉を収めることはできません。時期的にすでに風も冷たく、もう少し早い時期の開催でも良いように思います。兼六園は秋も良いですね。

寒くなる前にたくさん食べてたくさん出すんだよ。でも食べると眠くなる・・・ドテッ
超つくろぎまくりの「うさ」です。すのこが枕替わり♡

利用者からの入力に対して、ウェブサーバ側で動的にHTML等のページを生成する仕組みを設けている場合に、セキュリティ上の問題となり得るもの。
あるサイトに書かれているスプリクトが別のサイトへとまたがり(クロスして)転送され、最終的には利用者のブラウザ上で実行されることから、クロスサイトスプリティングと呼ばれる。
●影響
利用者のブラウザ上で、スプリクトが実行されるため、セッションIDを含むCookieの盗難、表示ページの改ざん、フィッシングに利用、ファイルの破壊、その他悪意あるスプリクトの実行がされる恐れがある。
●対策
(開発時)
・ユーザーが入力可能な文字を厳密に定義
・ページ生成時のメタキャラクタのエスケープ処理を行うなどのスプリクト無効化処理
(運用時)
・ウェブアプリケーションファイアウォールの導入
・ウェブサーバやウェブアプリケーションベンダ情報を入手し対処(ウェブサーバなどの欠陥修正)

利用者から入力を受け付けるウェブアプリケーションがデータベースと連携してサービスを行っている場合に、セキュリティ上の問題になりうるもの。
データベースに対する問い合わせデータの中に、意図的にSQL文を混ぜ込んでおき、データベース内部でそのSQLコマンドを不正に実行させ、情報を盗み出したりシステムに被害を及ぼしたりすること。
●影響
データベース内で、管理者が意図しないSQLコマンドを実行されてしまうため、データの不正閲覧、パスワード情報の盗難、データの改ざん、データの破壊、そのたコマンドの不正実行をされる恐れがある。
●対策
(開発時)
・ユーザが入力可能な値を厳密に定義
・不正入力値の無害化
・準備済みSQL文の使用(バインドメカニズム)
(運用時)
・エラーメッセージを出さない
・ウェブアプリケーションが持つ権限の最小限化
・ウェブアプリケーションのパスワードの秘匿
・実行可能なコマンドの制限
・アクセスログの取得および解析
・ウェブアプリケーションファイアウォールの導入

DNSサーバ運用を外部の業者等に委託したりした場合、管理の誤りなどでドメイン登録情報とサーバ設定が一致していない場合、セキュリティ上の問題となり得るもの。
期限切れのドメイン名を第三者が正規の手続きで取得し、アクセスしてきた利用者を偽サイトに誘導したりすること。
●影響
ドメインの乗っ取り(ドメインハイジャック)、偽サイトへの誘導、メールの盗み見、利用者個人情報の詐取(フィッシング)、利用者PCへの悪質なソフトウェアのインストールがされる恐れがある。
●対策
ドメイン名が安全に運用されているか確認する。DNSサーバの登録情報を確認する。DNSサーバ管理を他社に委託している場合、業者が正しくDNSサーバを運用しているか確認する。

独立行政法人情報処理推進機構(ＩＰＡ)の主催する「情報セキュリティセミナー」に参加してきました。場所は敦賀市です。２日で３コース予定されていますが、１日目の「マネジメントコース」「情報セキュリティ対策技術コース」を受講してきました。内容は特定の技術に偏らないようになっていますが、十分に濃い部分もあり、ＩＰＡのウェブサイトの補足資料等を後で補充すれば情報処理試験対策にもなると思いました。今年の個人情報保護法を受けて、事件後の対応が１つの重点項目になってきている印象がありました。
マネジメントコース(経営者向け)
1.背景及び基礎知識
2.情報セキュリティマネジメント
3.情報セキュリティポリシー
4.リスクマネジメント
5.事業継続計画
6.法令・規格
7.教育
8.監査
情報セキュリティ対策技術コース(責任者・開発者向け)
1.情報漏洩の傾向と原因分析
2.不正アクセス・手口の解説と対策
3.情報セキュリティ技術マップ
4.インシデント対応
中でもちょっと役に立つ情報をあげておきます。
情報セキュリティガバナンスツール
・情報セキュリティ対策ベンチマーク
　自社のセキュリティ水準をセルフチェックできる
・
　情報セキュリティ報告モデル　対外的に実施状況を公表する際の報告書モデル
・
　事業継続計画策定ガイドライン　ＩＴ事故発生に事業を継続運営するための指針
セキュリティインシデントへの対応
・JPCERT/CC技術メモ
セキュリティ情報の収集
・マイクロソフト プロダクト セキュリティ警告サービス
・IPAメーリングリスト
・JPCERT/CCメーリングリスト
・JVN(JPCERT/CCとIPAの共同運営)

この前彦根城博物館の図書館に面白い本があったので、古本で購入しました。講談社から1995年に発行された「クロニック戦国全史」という書籍です。何が面白かったかというと、戦国時代(と言っても少し広く1454年から1615年をカバーします)のその年に起きた出来事を時系列に1600本収録し、ほかに全国有力領主155家の家紋・解説付き系図、都道府県別戦国時代史、主要な戦国家法の現代語訳等を収録していることです。新品で一万五千円するので、古本でも一万円近くしますがそれだけの価値はあります。歴史に興味がある方は読み始めると止まりません。よって、私もしっかりは読んでません(^^ゞ はまって本来の仕事が進まなくなるので、しばらくは封印です。

家を買ってもらいました。でもこの家食べれるんだよ。中に入ってムシャムシャ・・・・
　
夢中になりすぎて頭隠して尻隠さずに(^^ゞ

平成17年度金沢城大学の「城と庭の魅力コース」公開講座を聞いてきました。講師は石川県歴史博物館学芸専門員の長谷川氏です。NHK大河の利家とまつの頃にもいろいろなところで講演していました。
テーマは「金沢城と前田家の変遷」ということで、金沢が寺内町から城下町へ変遷した歴史。城下町の整備の様子。前田家の政治に関して、エピソードを踏まえながら面白おかしく語られた2時間でした。
テーマ内容もさることながら、その前に語られた兼六園をはじめとした大名庭園の入場者が年々減少していることに関して、今は庭の魅力や見方を知らない人が増えたことと、自宅にも庭を持つ人も減って参考に見る人も減ったことが影響しているのではないか、という提言が興味深かった。
次回は、11月20日に「歴史・文化コース」公開講座が石川県地場産業振興センターで開催されます。「石垣の匠と技」というテーマで現在の研究結果が発表されるようです。楽しみです！