2009年01月｜〔ブレーンゲート〕エンジニアの視点

2009年01月27日

テクノロジーは何のためにあるのか（Downadup対策）

この時期のインフルエンザよろしく、
USBメモリにも感染するウィルスであるDownadupワームが猛威を奮っていますが、
金融系ならともかくUSBメモリを明確に禁止している所は、まださほど多くはありません。

思えばネットワークに繋ぐだけで感染するBlasterワームが蔓延した頃、
それまではノートPCなどを組織のネットワークに繋いで使用することが出来ていましたが、
Blasterワームをきっかけに、一気に「PC持ち込み禁止」の組織が増えました。

残念なことですが、恐らくは今回のワームに関連して、
しばらくすればコモンセンスが形成され、「USBメモリ禁止」の組織が増えるのでしょう。

セキュリティと利便性はトレードオフ、そういう考え方をしている限り、
あれも禁止これも禁止と、自らを縛りつづけることになります。

利便性を保ちつつ、安全性も確保する。
テクノロジーはそのためにあり、それを実現するのが技術者です。
運用でしか対応できないのは、技術者の怠慢だと私は思います。

Downadupの駆除方法
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=3

AutoRunの無効化
http://www.us-cert.gov/cas/techalerts/TA09-020A.html

"テクノロジーは何のためにあるのか（Downadup対策）"の詳細へ»

2009年01月16日

ノーテルが破産

Nortel NetworksがChapter 11（米連邦破産法）を申請したそうです。
http://www.nikkei.co.jp/sp2/nt242/20090114AS2M1403J14012009.html

奇しくも、昨日まで同社のスイッチであるAlteonをいじっていた個人的事情も関係しますが、
老舗なだけに、少々驚きました。

米国の金融危機の影響から、不動産、金融、自動車以外に、
ついにIT業界にもこの再編の大波がやってきたのかもしれません。

日本国内の多くのシステムインフラは、
ノーテルに限らず海外ベンダーの機器に依存しているため、影響は避けられないでしょう。
# トップシェアの某社が倒れたらとんでもないことになりそうですが…

どこかが買収するのかもしれませんが、今後に要注目です。

"ノーテルが破産"の詳細へ»

2009年01月08日

暗号はいつまでも暗号ではない

何かしらのセキュリティ要件で、「暗号化をしているから大丈夫」という事を聞くことがあります。

セキュリティ意識の高いユーザであれば、そんなことはないことはよくよく承知の事ではありますが、
リテラシーの低い人間を相手にする場合は、これで通ってしまうケースがよくあります。

魔法の言葉「暗号化」。
これだけで安心してしまうユーザが如何に多いことでしょう。

ITにおける暗号の仕組みの多くは、「計算の複雑さ」を根拠にしています。
時が経つにつれ計算機の処理能力が上がるため、暗号の仕組みは相対的に複雑でなくなります。
また、その仕組みそのものに問題が発見される事もあります。

セキュリティ界隈ではMD5アルゴリズムはもはや信用ならない物として知られていましたが、
今回、MD5を利用している証明書（SSL）を偽造することが現実的な時間内で可能であること
の実証デモが行われました。
また、Netcraftによると、14%のWebサイトがMD5を利用した証明書を使用しているとか。
http://news.netcraft.com/archives/2009/01/01/14_of_ssl_certificates_signed_using_vulnerable_md5_algorithm.html

「暗号化」＝「安心」ではないという意識が必要で、
これらの啓蒙を行うことは、我々エンジニアの仕事の一つなのかもしれません。

"暗号はいつまでも暗号ではない"の詳細へ»

2009年01月06日