仕事で東京に出張中です。ほぼ1日がかりで車で東京へ来ました。北陸、名神、東名と通ってきましたが、富士山が見れなくて残念です。
今日東京で見たもの一つ目
夕食を食べたうどん屋さんのロゴです。兎屋という店名なので、ロゴも兎が2羽向かい合っているものなのですが、右側の兎、よく見ると・・・・・「う」という文字に見えます。うさぎの「う」とうどん屋の「う」を兼ねているのかな?と想像しながら上手いと思いました。うどんも旨かったです。
東京で見たもの二つ目
泊りは仕事場所に近いので銀座にしました。「ホテルモントレ銀座」です。エレベータが変わっていて面白かったので思わず写真を撮ってしまいました。階表示板が矢印がぜんまい仕掛けのような音とともに移動するのです。レトロのような雰囲気がなんとも言えません。一見の価値はあります。写真では少し見にくいかもしれません m(__)m
月: 2005年11月
大ジャンプ
前日の夜、寝るために歯みがきしているとガサッという音が・・・何かと見に行くと、いすの上に「うさ」が!!!
ついにジャンプして柵を飛び出してしまいました。とりあえず、上をかぶせて寝ます。
翌朝、扉越しに「うさ」の姿が!!!
どうも少しずつ上の金網をずらして飛び出したようです。もう飛び越えられることは覚えたので固定するしかありません。寒くなったのに相変わらず元気な「うさ」です。
金沢城ライトアップ 秋の陣
金沢城・兼六園のライトアップイベントの秋期間が始まりました。始めの週末はあいにくの天候ですが、多くの人が繰り出しています。ライトアップも四季の恒例イベントとなってきました。冬の雪景色、春の桜、に比べると夏の新緑、秋の紅葉はいまいち押しが少ないですね。特に金沢城周辺は紅葉樹が少ないため、建物と一緒に紅葉を収めることはできません。時期的にすでに風も冷たく、もう少し早い時期の開催でも良いように思います。兼六園は秋も良いですね。
アントレプレナーDo it 第18回
第18回になりました。ちょうど中間ターンしたところでしょうか。今回は、「勝てる企画書のつくりかた」というテーマで、株式会社ガーデンシティ・プランニングの藤木俊明氏です。
短い時間内でより具体的な企画書の作成方法の説明がありました。
ビジネスプランとは?
・相手方の問題解決をはかるもの
・相手方の企業活動にプラスになるもの
企画書に不可欠な三要素とは?
1.(相手方の)実施メリット
2.予算(概算でもよい)
3.スケジュール(ラフでもよい)
実際につくるとき気をつけること
・フォントはゴシック体
・原則箇条書きで
・短文を心がける
・項目は7項目まで
・長くても10P程度でまとめる
・プレゼンは15分を目処に
・どうしても長くなるときはサマリーをつける
・重要ポイントは先出し
くつろぎ
寒くなる前にたくさん食べてたくさん出すんだよ。でも食べると眠くなる・・・ドテッ
超つくろぎまくりの「うさ」です。すのこが枕替わり♡
DNS情報の設定不備を突いた手口とは?
DNSサーバ運用を外部の業者等に委託したりした場合、管理の誤りなどでドメイン登録情報とサーバ設定が一致していない場合、セキュリティ上の問題となり得るもの。
期限切れのドメイン名を第三者が正規の手続きで取得し、アクセスしてきた利用者を偽サイトに誘導したりすること。
●影響
ドメインの乗っ取り(ドメインハイジャック)、偽サイトへの誘導、メールの盗み見、利用者個人情報の詐取(フィッシング)、利用者PCへの悪質なソフトウェアのインストールがされる恐れがある。
●対策
ドメイン名が安全に運用されているか確認する。DNSサーバの登録情報を確認する。DNSサーバ管理を他社に委託している場合、業者が正しくDNSサーバを運用しているか確認する。
SQLインジェクションとは?
利用者から入力を受け付けるウェブアプリケーションがデータベースと連携してサービスを行っている場合に、セキュリティ上の問題になりうるもの。
データベースに対する問い合わせデータの中に、意図的にSQL文を混ぜ込んでおき、データベース内部でそのSQLコマンドを不正に実行させ、情報を盗み出したりシステムに被害を及ぼしたりすること。
●影響
データベース内で、管理者が意図しないSQLコマンドを実行されてしまうため、データの不正閲覧、パスワード情報の盗難、データの改ざん、データの破壊、そのたコマンドの不正実行をされる恐れがある。
●対策
(開発時)
・ユーザが入力可能な値を厳密に定義
・不正入力値の無害化
・準備済みSQL文の使用(バインドメカニズム)
(運用時)
・エラーメッセージを出さない
・ウェブアプリケーションが持つ権限の最小限化
・ウェブアプリケーションのパスワードの秘匿
・実行可能なコマンドの制限
・アクセスログの取得および解析
・ウェブアプリケーションファイアウォールの導入
クロスサイトスクリプティングとは?
利用者からの入力に対して、ウェブサーバ側で動的にHTML等のページを生成する仕組みを設けている場合に、セキュリティ上の問題となり得るもの。
あるサイトに書かれているスプリクトが別のサイトへとまたがり(クロスして)転送され、最終的には利用者のブラウザ上で実行されることから、クロスサイトスプリティングと呼ばれる。
●影響
利用者のブラウザ上で、スプリクトが実行されるため、セッションIDを含むCookieの盗難、表示ページの改ざん、フィッシングに利用、ファイルの破壊、その他悪意あるスプリクトの実行がされる恐れがある。
●対策
(開発時)
・ユーザーが入力可能な文字を厳密に定義
・ページ生成時のメタキャラクタのエスケープ処理を行うなどのスプリクト無効化処理
(運用時)
・ウェブアプリケーションファイアウォールの導入
・ウェブサーバやウェブアプリケーションベンダ情報を入手し対処(ウェブサーバなどの欠陥修正)
情報セキュリティマネジメントの実践
独立行政法人情報処理推進機構(IPA)の主催する「情報セキュリティセミナー」に参加してきました。場所は敦賀市です。2日で3コース予定されていますが、1日目の「マネジメントコース」「情報セキュリティ対策技術コース」を受講してきました。内容は特定の技術に偏らないようになっていますが、十分に濃い部分もあり、IPAのウェブサイトの補足資料等を後で補充すれば情報処理試験対策にもなると思いました。今年の個人情報保護法を受けて、事件後の対応が1つの重点項目になってきている印象がありました。
マネジメントコース(経営者向け)
1.背景及び基礎知識
2.情報セキュリティマネジメント
3.情報セキュリティポリシー
4.リスクマネジメント
5.事業継続計画
6.法令・規格
7.教育
8.監査
情報セキュリティ対策技術コース(責任者・開発者向け)
1.情報漏洩の傾向と原因分析
2.不正アクセス・手口の解説と対策
3.情報セキュリティ技術マップ
4.インシデント対応
中でもちょっと役に立つ情報をあげておきます。
情報セキュリティガバナンスツール
・情報セキュリティ対策ベンチマーク
自社のセキュリティ水準をセルフチェックできる
・
情報セキュリティ報告モデル 対外的に実施状況を公表する際の報告書モデル
・
事業継続計画策定ガイドライン IT事故発生に事業を継続運営するための指針
セキュリティインシデントへの対応
・JPCERT/CC技術メモ
セキュリティ情報の収集
・マイクロソフト プロダクト セキュリティ警告サービス
・IPAメーリングリスト
・JPCERT/CCメーリングリスト
・JVN(JPCERT/CCとIPAの共同運営)
クロニック戦国全史
この前彦根城博物館の図書館に面白い本があったので、古本で購入しました。講談社から1995年に発行された「クロニック戦国全史」という書籍です。何が面白かったかというと、戦国時代(と言っても少し広く1454年から1615年をカバーします)のその年に起きた出来事を時系列に1600本収録し、ほかに全国有力領主155家の家紋・解説付き系図、都道府県別戦国時代史、主要な戦国家法の現代語訳等を収録していることです。新品で一万五千円するので、古本でも一万円近くしますがそれだけの価値はあります。歴史に興味がある方は読み始めると止まりません。よって、私もしっかりは読んでません(^^ゞ はまって本来の仕事が進まなくなるので、しばらくは封印です。