security セキュリティー

名詞 
1)安全,無事
2)安心。財政上の安定,保証
3)危険・危害などに対する防衛(手段),警備(体制),安全保障
4)負債の支払いに対する保証・担保・抵当物件
5)保証人
6)有価証券(通例は複数形で)

形容詞
 安全(保安)のための,安全保障の


コンピューター業界
 泥棒,違法侵入者,事故などに対する防備。 ただし,この概念だと非常に幅広い分野に渡っている。 クライアント/サーバー型のモデルが登場した当時はホストコンピュータのモデルが通常で,ホストコンピュータ派の人々は PC やサーバーベースでは,ホストコンピュータのような強固なセキュリティは確保できないと主張した。 インターネットも普及当初はセキュリティレベルが低いため業務用として利用することなどあり得ないと言われた。 コンピューターの基本設計に問題があるとも言われ,コンピューターの内部では暗号化されていないデータが行き来するため,インストールしたプログラムによって情報を盗み取ったり偽造したりできるということである。
セキュリティに関する分野が今後数年間で急成長が見込まれる数少ないハイテク分野の1つであると見られている。 インターネット上には,これを専門に扱うサイトも存在する。
 サイトや関連するアプリケーション,データベースなどのセキュリティ確保は,サイトをアクセス可能にするため,ファイアウォールのポートを通信用に開く必要があることが問題を難しくしている。 また,現在のネットワーク侵入検知メカニズムがアプリケーション層向けには設計されておらず,これを標的とした多くの攻撃に対して十分には保護されていないと指摘されている。 不正侵入防止市場は,2001年は6,500万ドルだった。
 2003年9月に IDC が発表した予測によれば,全世界の企業が安全性確保のために使う費用は,2007年までには1,160億ドルに達すると予測している。
 2004年6月10日にコンピューター・セキュリティー研究所(CSI)が発表した調査結果によると,米企業や政府機関のコンピューター不正利用は2001年以来4年連続で減少した。
 2004年8月に発表された Yankee Group の調査結果では,ネットワーク攻撃の頻度が高まり複雑さが増す中,大手企業や政府機関はセキュリティ強化のため外部委託する傾向にある。 この傾向が続けば2010年までに企業はセキュリティ業務の90%を外部委託することになり,管理型セキュリティサービス市場は37億ドル規模に拡大するとの予測。
 2005年2月の時点では,セキュリティ担当者が感染したクライアントを復旧する作業は,IT ヘルプデスク業務全体の20%以上を占めるとも言われる。
 2005年3月2日にネットスターが発表した職場でのインターネット利用実態調査では,職場への私物ノートパソコンの持ち込みについての規定がない企業が非常に多いことが分かった。 持ち込み規定がない企業は,従業員数30〜100人 65.3%,30人未満 71.9%,1000人以上 43.6%。 『無断で持ち込んでいる』は1000人以上の企業で20.5%で,LAN との接続は 有線LAN 55.6%,無線LAN 30.5%。 また,職場支給のノートパソコンの持ち出しは,特に規定はない 49%,私用にも使う 74%。
 2005年9月,カリフォルニア大学バークレー校の研究者がキーボードの打鍵音から,入力された文字を高い確率で判別できるとの研究結果を発表。 キーボードの各キーの音を識別してどの文字を入力したかを再現するもので,実験では,英語のテキストをタイプしている音を録音した10分間の音声データを分析し,タイプされた文字を最大96%の精度で再現できたという。
 2005年11月22日にビジネス・ソフトウェア・アライアンスが発表した米消費者のネット利用とセキュリティーに関する調査結果によると,セキュリティーへの懸念で『ネット通販を利用しない』とする人が全体の25%。 96%が『ネット上での自己防衛は重要』と考え,『オークションサイトでの入札や出品に不安を感じる』とした人は71%。 『顧客を守るための配慮が足らないオンライン小売業者がいる』とした人は84%,『自衛の方法を学びたい』とした人は76%。
 2006年5月15日に IDC Japan が発表した,国内企業の情報セキュリティ対策の現状についての調査結果では,導入率ではウイルス対策 91.6%,ファイアウォール/VPN 68.3%。 企業規模が小さくなるほど導入率が低下する傾向にある。 調査は国内700社以上の情報システム管理担当者と情報セキュリティ担当者へ行った。
 2006年9月,ガートナーは2005年の世界のセキュリティー関連ソフト売上高は前年比14.8%増の74億ドルだったと発表。 うち約40億ドル(全体の54.3%)が,ウイルス対策ソフト。 シェアは,1位 シマンテック 32.2%,2位 マカフィー 12.4%(前年12.7%),3位 トレンドマイクロ 8.5%(変わらず),4位 CA 5.9%(前年6.2%),5位 IBM 4%(同4.4%)。
 2006年12月6日,Impress Watch と goo リサーチが発表した,PC のセキュリティ対策に関するアンケートの調査結果では,Watch読者の90%,gooリサーチの81%がインストールしている。 Impress Watch の読者からは 10,477,goo リサーチの消費者モニターからは 1,093の回答があり,Impress Watch の回答者は男性が95.8%,gooリサーチでは女性が55.7%だった。
 2006年10月10日にウェブセンスが発表した,セキュリティ情報機関 Websense Security Labs の『2006 Semi-Annual Web Security Trends Report』(2006年上半期の Web セキュリティ傾向調査報告書)によると, 悪質なコードの作成と拡散をサポートするインフラも一層複雑化。 認証情報を盗むように仕組まれたサイトの約15%では,悪質なコードの専門家が作成し,インターネットで販売されているツールキットが使用されているが,この種のツールキットは,専門知識がなくても, OS の問題点や脆弱性を狙った複雑な攻撃を仕掛けることができる。 攻撃の意図もいたずらが目的のハッキングから,金銭的な利益取得を目的とした極秘データの窃盗活動の増加が顕著になってきた。
 2007年2月7日に独立行政法人情報処理推進機構が発表した『情報セキュリティに関する新たな脅威に対する意識調査』によると,パスワードを定期的に更新している PC 保有者は,6割以下。 セキュリティパッチの適用は,『自分自身で実施』63.7%,『家族や友人などが実施』13.2%で,2割以上が行っていない。 調査期間は2006年11月15〜16日,対象は15歳以上のPCインターネット利用者で,有効回答数は5316人。
 2007年10月に McAfee と National Cyber Security Alliance が実施した一般ユーザーの調査によると,ネットセキュリティを最新の状態に保つことは重要だとの認識は回答者の98%が持っており,自分は安全だと考えている回答者も93%に上った。 ところが研究者がリモートから回答者のコンピュータをスキャンして調べたると,半数近い48%のコンピュータは過去1カ月の間にアップデートされていなかった。 回答は『ウイルスに感染したことがある』54%,『スパイウェアに感染したことがある』44%で,防御措置としては,ウイルス対策ソフト(87%),ファイアウォール(73%),スパイウェア対策ソフト(70%),フィッシング対策ソフト(27%)を導入しているとの回答だった。 しかし,ファイアウォールを導入しているという回答者のうち,実際に動作させていたのは64%,スパイウェア対策ソフトがあると答えた70%のうち,実際に持っていたのは55%のみだった。
 2008年2月21日にシマンテックが発表した『ノートン・オンライン生活リポート』によると,日本は,セキュリティソフトをインストールしているユーザーが世界8カ国中最も少なかった。 調査は昨年11月12日から12月17日にかけ,日本,米国,英国,ドイツ,フランス,オーストラリア,中国,ブラジルの計7404人(18歳以上の『成人』4687人,8〜17歳の『子ども』2717人)を対象に,ネットで実施した。
 2008年11月27日に NRI セキュアテクノロジーズが発表した,企業を対象に情報セキュリティに関するアンケート調査の結果では,情報セキュリティ事件・事故が発生した割合は回答した企業の61.5%だった。 事故の発生率は従業員規模に比例して高くなっており,5,000名以上の規模では86.8%の企業がセキュリティ事件が発生した。 企業規模が大きくなることで,単に事件・事故の発生確率が上がるということだけではなく,セキュリティに関するルールの周知徹底が難しくなるという背景要因があるとしている。
 2009年3月,企業のコンプライアンス研究などを行う IT PCG などは,2008年12月に実施した調査によれば,北米の情報セキュリティ対策を効果的に実施している企業としていない企業では,セキュリティ事故後の対応コストに149倍の差が生じると発表。 19%の企業が年間に15回以上の情報漏えい事故や PC の盗難,システム障害などを経験し,事業のダウンタイムも80時間以上の及んでいた。 68%の企業は情報漏えい事故や PC の盗難,システム障害などが年間に3〜15回程度あり,事業のダウンタイムは7〜79時間だった。 年間収益が50億ドル以上の企業では,セキュリティ事故が起きた場合の対応コストは,最も対策が不十分な企業で3億2900万ドルに,最も効果的な対策を企業では225万ドルだった。 効果的な対策を実施している企業では,経営陣が情報セキュリティリスクの管理を積極的に行っているほか,リスクレベルの設定や組織統制の改善,手順の自動化,各種施策の継続的な評価・見直しを行っていた。 技術的な対策やセキュリティポリシーの導入,変更管理の適切な実施,総合分析なども積極的に実施していた。 調査は IT PCG に加盟する北米などの企業2600社を対象に実施,734社から回答を得た。 調査は IT PCG のほか,Computer Security Institute,The Institute of Internal Auditors,IT Governance Institute,ISACA,Protiviti,Symantec が共同で行った。
 2009年4月13日にエフセキュアは,日本を含む欧米・アジアの9か国で行ったインターネットの安全性に関する意識調査の結果を発表。 日本のインターネット利用者の68.5%がアンチウイルスソフトによってパソコンがインターネットの脅威から守られていると思っており,実際に88%の人がアンチウイルスソフトを導入していると回答。 また,安心できるインターネットライフを送るためにはウイルス対策だけでは不十分であると理解している人は77%。 『自分のパソコンに保存している価値あるデジタルコンテンツを失うことを恐れている』には62%で,実際にデータを失ったことがあるとのは30%。 『自分のパソコンから失いたくないもの(3つ回答)』,個人情報に関するファイル 64.5%,友人や家族の写真 50.5%,メールアドレスと電話番号 44%,メールおよび個人的なメール 38%,仕事の書類 21.5%。
 2009年6月22日に Gartner が発表した調査レポートでは,2008年の世界における売上は135億ドル(18.6%増)。

  • 日本のセキュリティ市場
  • 韓国のセキュリティ事情

     セキュリティーの問題(セキュリティーホール)は,これまでは,修正・謝罪すればよかったが,2001年には問題を起こした企業が訴訟されるにまで発展した。 脆弱性の発見から侵入への悪用の期間が短くなったことが主な原因で,事態は悪化している。
     セキュリティー対策を無効にする例として,ウイルス駆除ソフトがマシンの性能に影響を与えていると判断して,ソフトを無効にしていた。 あるいは,ウイルス駆除ソフトには欠陥がないと思い込んで,見過ごしたウイルス付きメールでも構わずクリックする危険性が指摘されている。 また,場合によっては,OS を円滑に走らせるためにセキュリティー機能をオフにしなければならない時もある。 そこで企業は近い将来,受信メールを各ユーザーに送る前にスキャンするサーバーベースのシステムに切り替えるとも言われる。
     ケビン・ミトニック氏は,「企業は,外部からの攻撃に備えてネットワークの強化に多くの時間を費やしているが,社内の人間がアクセスできる情報の不正利用については,あまり対策を講じていない」と述べている。 それに対しては,誰がどの情報にアクセスできるのかを明確にし,誰が何を閲覧しているのかを監査するというセキュリティー方針を確立することが重要らしい。

     現在のサイバースペースの実情として,攻撃はこの1999〜2003年の間に毎年2倍づつ増加し,ソフトの脆弱性も4年間で毎年2倍づつ増加している。 脆弱性発見から実際の攻撃コードが攻撃者のWebサイト上に公開されるまでの時間も短縮しているという。数年前までは,脆弱性が公開されてから攻撃コードがWebサイトに掲載されるまでに数週間を必要としていた。しかし,今では脆弱性が発見されてから,攻撃者のWebサイトにその脆弱性を攻撃するためのコードが公開されるまでの時間は6時間だった例もあるという。 Code Red は24時間で30万台,Slammer は発生からわずか14分間で全世界の30万台の PC へ感染した。 現在のインターネットは DNS と BGP プロトコルが根幹となっている。


     内部からのセキュリティ侵害を防止する方法のうち小規模な企業環境において有効なものは,企業規模が大きくなるとその有効性が減少することが多い。 小規模で従業員も数名程度の企業では,マネージャーと従業員がより緊密な関係を保って働くため,内部からの侵害を試みることのできる機会は少ない。 仕事が専門化されていない場合も多く,従業員は,プロジェクトの『一部』のみを担当したり,細かく規定された一連のタスクを行うのではなく,互いに協力して働いたり,コンピュータを共有したりする。 これによっても侵害の機会が抑制され,その発見が容易になる。 一方,従業員はより自律的で,マネージャーも彼らをより信頼していることが多い。 このため,会社のデータや帯域幅を盗用したり,個人的なウェブ閲覧や電子メール,チャットのためにネットワークを利用するのは容易である。 また,技術的なセキュリティ対策を実施するために専門の IT 部門やセキュリティ担当者を置いていないことが多く,従業員のネットワーク利用に関するポリシーを詳細に規定していないことも多い。
     これに対し大規模な企業の従業員は匿名性を保ちやすく,セキュリティ侵害が容易だが,防御策に阻まれることも多くなる。

     内部からの脅威は,産業スパイ,悪意のある/不満を抱えた従業員,意図的ではない侵害,などに分類される。 内部で起こる侵害行為の多くは,内通者がデータをリムーバブルメディアにコピーしたり,リムーバブルメディアを持ち込んでプログラムのインストールやネットワークへのデータのアップロードを行ったりする形で行われる。 これに対しては,FD,フラッシュドライブ,USB/FireWire 接続の HDD,CD や DVD の書き込み対応ドライブといった外付けのリムーバブル機器の使用を制限する。
     また,汚染された添付ファイルをオープンしたり,電子メールの添付ファイルを用いて企業の機密データをネットワーク外に送信したりする。 電子データとして送信したり社外に持ち出したりできない場合には,情報を印刷して持ち出す事も可能である。
     逆に,ユーザーが悪意のあるコードを含んだ情報をウェブからダウンロードし,そのコードが外部の攻撃者の侵入の糸口(バックドア)を作ることによって引き起こされることもある。
     これらに対しては,可能な限りセキュリティポリシーに従わざるをえないように技術的な手段を講じておくべきである。 つまり,必要のないユーザーのコンピュータからリムーバブルメディアなどを物理的に取り外したり無効化する。 ファイアウォールのポリシー設定で,送受信メールへのファイル添付を禁止したり,特定のタイプの添付ファイルだけを通過させたりすることもできる。 コンテンツセキュリティフィルタを使えば,企業のポリシーにそぐわない添付ファイルをチェックして該当するものを抽出することもできる。 プリンタへのアクセスを制限したりプリンタを監視されている場所に設置したりして,印刷する必要のない資料の印刷行為を抑制することもできる。
     ポイントは,内部からのセキュリティ侵害リスクを軽視しない,内的脅威に的を絞ったポリシーを明文化・公布し,受け取ったユーザーがそれを承認したことを確認する,意図しない侵害を防止するためにトレーニングを実施する, 可能なら自動的コントロールによってセキュリティポリシーが順守される環境を作る,などである。


    セキュリティオペレーション
     セキュリティ機器の運用・管理,セキュリティ診断,ログ蓄積・分析,脆弱性管理,インシデント対応など,情報セキュリティの維持・向上のために日常的に必要となる業務を指す。


    セキュリティー侵害
     2006年7月5日 CA は,北米の大企業の8割以上が過去1年間にセキュリティー侵害を経験していたという調査結果を発表。 セキュリティー侵害のあった企業・機関は84%。 このうち54%で生産性が低下,25%が信頼の失墜などで面目を失い,20%で売り上げや顧客,有形資産の損害があったという。また38%は内部からの侵害だった。 調査対象は,製造,行政,金融,小売,通信など北米の大企業・行政機関など642。 年間売上高の平均は14億ドル,IT予算の平均は2200万ドル。
     2007年7月25日,マカフィーが発表した『Datagate: The Next Inevitable Corporate Disaster(データゲート:避けられない企業災害?)』という研究報告(日本語版)によると,回答者の33%が『不慮,あるいは意図的な,大規模な機密データの情報漏洩により,企業が倒産に追い込まれる可能性もある』と回答。 今までの経験は,『過去1年間で情報漏洩を経験している』60%,『過去2年間一度も経験していない』6%だった。 企業がデータセキュリティに費やしている IT 予算の平均は,予算全体の0.5%。 情報漏洩の年間コストを推定できたのは回答者の23%で,平均額は182万ドル,紛失したデータが利用されなかった場合を含め,顧客への告知に費やされた平均額は26万8000ドル。 回答者の61%が『情報漏洩は内部関係者によるもの』と考えており,『悪意を持って行われている』23%。 これに対し,企業側の46%が退職する従業員から,事情聴取や監視を行っていなかった。 調査は,マカフィーの委託を受け,調査会社のデータモニターが,米,英,仏,独,豪州の従業員数250人以上の企業のIT専門家144人以上を対象にアンケートで行った。


    セキュリティー仕様
     IBM と Microsoft は2000〜2002年の間に SOAP,UDDI,WSDL など4つのウェブサービス仕様を策定。 両社がこれまでに策定した仕様はすべて,業界から広範な支持を獲得している。 さらに,2003〜2004年までに6つのセキュリティ仕様を策定する。 それらは,WS-Policy,WS-Trust,WS-Privacy など情報が保証されたものかどうか,情報の共有方法を理解しているかどうかを確認するためのものと,WS-Secure Conversation,WS-Federation,WS-Authorization など,顧客のコンピューター・システムが異なるセキュリティー技術をベースにしている場合の接続方法を扱うものがある。
     セキュリティ規格としては,Tripwire(http://www.tripwire.com)の主導で,HP,IBM,RSA Security,Sun Microsystems などがオープンなセキュリティ規格で協力を目指している。 これにより,システムセキュリティの保証,規制に準拠しているかどうかの監査,そして説明責任情報の保持,といった機能が提供される。


     NTTコムが2003年11月21日に発表した,「情報セキュリティに関する個人の意識実態調査」によると,セキュリティ関連トラブルでは,知らない業者からの電子メール 81.1%,知らない業者からの電話や DM 78.3%,ウイルス・ワーム感染 32.9%,身に覚えのない代金請求 12.2%だった。 また,ネットショッピングやネットバンキングなどで,できれば入力したくない項目は,クレジットカード番号 74.1%,年収 47.3%,電話番号 45.7%だった。 調査は,2003年8月20〜29日に Web 上でのアンケートにより,有効回答数 2270件,男女比約6対4,平均年齢 40.4歳。
     2004年7月に発表された総務省の実態調査報告書によれば,セキュリティに対する意識は高まりつつあるものの,対策は依然として低い水準であることが明らかになった。 調査対象は,上場企業(東証一部・二部 2,087社),地方公共団体・病院・大学(合計で300団体),研究機関(100団体)。 無線 LAN は,上場企業で約5割が導入,全社的には4.8%が利用していた。 そのうち,約70%が何らかの対策を行っているものの,14%が全く対策を行っていなかった。
     古い PC ではパーソナルファイアウォールやリアルタイムのウイルス対策など,クライアント側のセキュリティ対策ソフトを能力不足により動作させていない傾向があることや,古い OS を利用しているために最新のセキュリティ対策が施されていないことがある。


    企業のセキュリティ
     2009年12月21日にラックが発表した調査結果では,セキュリティ事故の発生を前提にした対策が求められると指摘している。 検出した不正通信の内訳は,ウイルス61%,従業員の情報持ち出し25%,セキュリティポリシー違反14%。 すべての企業でウイルスが検出され,見つかったウイルスは70種類だった。 感染経路はWeb経由65%,電子メール29%,外部記憶媒体6%,特にWeb経由の感染では改ざんされたWebサイトや,ダウンロードした海賊版の音楽・動画ファイル,偽ソフトによる可能性が高い。 調査は,5〜9月にウイルス対策など基本的な情報セキュリティ対策を実施しているという民間企業10社を選定し,企業内ネットワークのトラフィックを調査した結果を取りまとめた。


    セキュリティー問題の所在 2001年

     悪意ある侵入者,産業スパイ,教育不足の従業員といったすべての要素がセキュリティーを骨抜きにする。 しかし,企業やインターネットのセキュリティーの欠如は,むしろ被害者側,そしてセキュリティー業界側の責任が多いといわれている。 誰もがサイバースペースがもたらす利益を理解しているが,損害が出る可能性について理解している人はほとんどいない。 また,ネットワークがより複雑化していることが原因で,多くの企業がセキュリティー欠如状態になっているとも言われている。

     2001年に SANS 研究所と,NIPC がまとめた,『セキュリティー上の脅威トップ20』の第1位はソフトウェアの「標準インストール」。 第2位は,簡単に見破られて効果が期待できないパスワードやデフォルトのパスワード。 第3位は,データのバックアップが行なわれない,もしくはバックアップの方法が適当ではないことであった。 そこでは,セキュリティー最大の脅威は,OS と伴にプリインストールされるソフトウェアと,自社のアプリケーションに便利な機能を盛り込むことばかりに重点を置き,堅固なセキュリティー措置をないがしろにしているソフトウェア・メーカーだと指摘している。 また,ソフト開発企業がセキュリティーホールが残ったままのシステムを売っているためだとの意見が, 2002年3月7日の連邦の諮問委員会に提出されている。

     ソフトウェアメーカーは,ユーザーが必要に応じて追加機能をインストールできるようにするよりも,必要でない機能を使用可能な状態にするほうがいいと考えている。 こうしたアプローチがユーザー側に便利であるのは確かだが,ユーザーは,使用していないソフトウェア・コンポーネントまで積極的に管理してパッチを当てたりはしないため,最も危険なセキュリティー上の脆弱性の多くはこのために発生する。 また,パッチやセキュリティー警告が続けざまに出される状況に対処できずに,セキュリティーホールが放置されているケースが多いといわれる。

     最近の予算削減,人員削減のあおりで,適切なセキュリティー措置を遅れを取らずに講じていくことが難しくなってきており,ソフトウェアにパッチを当てる作業が念入りには行なわれていないのだという。 これにより,通常業務に悪影響が出るようになってはじめて,セキュリティーを優先事項として扱うようになる企業もあり,セキュリティーにかかる経費の費用が大きくなればなるほど,経営者側の関心は下がっていくと言われる。


    セキュリティのチェック方法

     Windows NT/2000 のユーザーは,MPSA を使ってマシンをスキャンし,推奨された修正措置やパッチを施すのが望ましい。


  • セキュリティの向上と維持


    金融機関のネットワークのセキュリティー

     官公庁に比べるとはるかに厳重に防御され,常時監視, 重要データーの暗号化,バックアップシステムなどが導入されている。 システムの安全性は金融監督庁の検査項目にもなっている。


    CERT cordination center(CERT/CC)

     米国内の無数のコンピューター緊急事態対策チーム(CERT)を統括するセンター。 カーネギー・メロン大学に本拠を置き,米国防総省が資金の一部を拠出。 米国の大学や企業,政府機関などに散在する無数の CERT との連絡を調整している。
     ウィルス・ワーム・その他のセキュリティの脅威に見舞われた組織から報告を受けると,インシデント報告を発行。 セキュリティ侵害を受けやすくしかねない,さまざまなシステム内の脆弱性に関して勧告を発行し,ユーザーに警告する。 脅威情報をメンバーおよび非メンバーに伝える公式ウェブサイトと,危険度の高いコンピューター・セキュリティー関連事件をメンバーに警告できるプライベート・ネットワークがある。 ロバート・タッパン・モーリスが『Morris』ワームをインターネットに放った1988年から,インターネット上での攻撃とそのための偵察の記録をとっている。 一つの企業・組織から寄せられた侵入者・ワームを1件としており, 1つのワームは1回しかカウントしてない。

    サイト:    http://www.cert.org/

     1989年の件数は132件で,1994年まではほぼ前年の倍を記録した。 1994〜1998年の間は約2500件で横ばい状態。 1999年には1万件に達し,2000年にはさらに2倍以上に増えた。
    この報告の増加は,インターネットの成長によるものと考えられている。
     2002年10月中に出されたセキュリティ勧告29件は,16件が Linux を含むオープンソースソフトウェア関連で,同じく16件が UNIX 関連で,7件がMicrosoft 製品に関するものだった。

     CERT はセキュリティー脆弱性の公開プロセスを統制しようとしている。 研究者からセキュリティー上の欠陥に関する報告があった場合,CERTは通常,メーカーと協力して修正パッチを用意してから,脆弱性に関する情報を一般公開するという手順を踏んでいる。 また,情報共有を目的とするコンソーシアム『インターネット・セキュリティー・アライアンス』(ISA)の会員に対し,セキュリティー上の欠陥についての警告を一般公開に先がけて提供している。


    Center for Internet Security インターネット・セキュリティー・センター

     2000年11月1日に設立された団体。 米国防総省,米国立標準技術研究所,インテル,ビザ・インターナショナル,シェブロン,AT&T を含む71の企業,学術機関,政府組織から構成され,OS を作っているメーカーは加わっていない。 コンピューターの所有者に対してセキュリティーの良し悪しを10段階で評価するテストの開発を目指し,Solaris,Linux,Windows 2000 用の評価システムの構築に取り組んでいる。

    サイト:    http://www.cisecurity.org


    Jikto

     ウェブセキュリティ会社 SPI Dynamics の研究者 Billy Hoffman 氏が開発したセキュリティツール。 JavaScript を使用した Web アプリケーション脆弱性診断プログラムで,OS に依存することなく,ブラウザさえあれば Web アプリケーション脆弱性診断が可能。 公開されているウェブサイトを密かに巡回して脆弱性を探し,第三者に結果を送信する。 多数の一般的なセキュリティホールを検出可能で,設置者がツールにアクセスして検出対象のウェブサイトやセキュリティホールの種類を設定することもできる。 同様の脆弱性診断プログラムは複数存在し,かつ,それらのうちの多くは無償で入手でき,それらの中には Jikto 以上に詳細な診断が可能なものもある。
     ソースコードはクローズドだったが,2007年のセキュリティカンファレンス『Shmoocon』( http://www.shmoocon.org/ )での講演中,デモンストレーションで表示された URL が読み取られてしまった。 ただし,ソースコードは完全に漏出しておらず,フロントエンド部分がクローズドなまま。


    PC Security Test 2005
     ウイルスやスパイウェア,ハッキングに対する PC の安全度を測定できるフリーソフト。 テスト用のウイルス,スパイウェアなどを用いてウイルスやスパイウェア,ハッキングに対する安全度を確かめ,測定結果をパーセントで表示できる。 2005年1月20日 v3.3.0 が公開,対応 OS は Windows 95/98/Me/2000/XP。
    サイト:    http://www.pc-st.com


    Unleak
     拡張子ごとにアクセス可能なソフトを制限してウイルスによる情報漏洩などを防止できるセキュリティ対策ソフト。 あらかじめ指定したソフト以外が本ソフトで保護されているファイルを開こうとすると,警告ダイアログが表示され,アクセスの拒否や一時許可,許可リストへの登録といった動作を選択可能。 2008年1月27日 v0.52 Beta が公開,対応 OS は Windows XP/Vista。
    サイト:http://www.soft3304.net


    セーフティ!オンライン プロジェクト
     2010年3月1日にマイクロソフトとオンラインサービス企業など7社が開始した,オンラインサービスの安全利用やセキュリティ対策などを利用者や事業者へ啓発するプロジェクト。 マイクロソフトやオンラインサービス事業者が,ユーザー向けにブラウザに搭載されているセキュリティ対策機能の利用促進や,フィッシング詐欺といったオンライン犯罪の特徴と対策などを共同で啓発する。


  • セキュリティ講座(Windows の超初心者向け)
  • セキュリティーホール
  • セキュリティに関する会社やサイト
  • セキュリティに関する裁判所の判断

    戻る 英語『S』最初のメニュー