Wednesday, April 30, 2008

個人情報漏洩年鑑2008

サイボウズ・メディアアンドテクノロジー社が個人情報漏洩年鑑を作ったそうな。

「個人情報漏えい年鑑2008ダイジェスト版」を無償公開
http://ns-research.jp/press/11442.html


どこどこの会社が漏らした、という事実が一覧出来て興味深いです。
しかしながら、実際どのような再発防止策が採られた、というような内容はサッパリ見えませんでした。
もっぱらセキュリティベンダーのセールス用でしょうか。
# いや、コレはコレで有用です。

個人情報の管理において Due care, Due deligence を果たしていなかった場合には、
大きな罰則金 と 再発防止策の第三者による有効性の監査 を課す
これくらいのことをやらないといつまでたっても状況はよくならないですね。

このポストを書いている時点では 漏らしたもの勝ち の社会情勢。
一時的には信用が揺らぐものの、マスコミからの扱われ方は時の運ですから。

金額という容易に計量できる形の被害が少ないならば膨大な費用が掛かるセキュリティ対策、
なんてしない方がビジネス的に正しい判断と言えるのかもしれない、と、そう思ってしまいます。

民事訴訟における損害賠償額の算定に懲罰的な要素を加えることができれば、
スーパーノーガード戦法はビジネス的に正しくない、と言えるようになりそうですが、
そうなって喜ぶのはセキュリティベンダと弁護士だけか...。

Monday, April 28, 2008

カフェで勉強する際に気をつけるべきこと

普段注意していることを整理してみた。
書き出してみると結構な数。

自分編
  1. 前日に十分な睡眠をとっておくこと
  2. 体調を十分に整えておくこと
  3. 感情が極度に高ぶる要因が存在しないこと
  4. 胃を空にしておくこと
  5. 水分を十分に採っておくこと
  6. お手洗いを我慢しないこと
  7. ベルトを緩めること
  8. リラックスすること
  9. 背筋を伸ばすこと
  10. 足を組まないこと
  11. 姿勢をこまめに変えないこと
  12. しっかりと呼吸すること
  13. 場が音のある空間の場合は耳栓をすること
  14. BGMで紛らわす場合は十分に小さい音にとどめること
  15. 必要なものは全て手の届く場所に準備すること
  16. 不必要なものは全て片付けること
  17. 目に入る空間は全て整理すること
  18. 目に入るものは極力減らすこと
  19. 勉強量(ページ数)と目標時間を意識すること
  20. とにかく着手、作業興奮を待つこと
  21. 気分が乗ったらどこまでも進むこと
  22. 音が気になって集中出来ない場合はスパッと諦めること
  23. 1時間やって集中出来ない場合はスパッと諦めること
  24. 眠い時はスパッと諦めること
  25. 体調の悪い時はスパッと諦めること
環境編
  1. タバコの煙とは無縁の場所であること
  2. 香りの変化が少ない場所であること
  3. 十分な空間が確保されている場所であること
  4. 十分な光量が確保されている場所であること
  5. 近くに大声で話す人が来たら諦めて場所を変えること
  6. 近くに人の悪口を言う人が来たら諦めて場所を変えること
  7. 近くに貧乏ゆすりをする人が来たら諦めて場所を変えること
  8. 近くにペンまわしをする人が来たら諦めて場所を変えること

Wednesday, April 23, 2008

レジストリキーの存在確認

任意のレジストリキーの値を読み取ることはWSHのオブジェクトを使うと簡単にできる。
ではキーの存在確認をしたい場合は?

How Can I Tell Whether a Value Exists in the Registry?
http://www.microsoft.com/technet/scriptcenter/resources/qanda/oct04/hey1029.mspx

上記リンクはHKEY_LOCAL_MACHINE 配下にあるレジストリキーの存在確認をする例。
HKEY_LOCAL_MACHINE 以外の場所にあるものについて確認する際には次の定数を使う。
HKEY_CLASSES_ROOT = &H80000000
HKEY_CURRENT_USER = &H80000001
HKEY_LOCAL_MACHINE = &H80000002
HKEY_USERS = &H80000003
HKEY_CURRENT_CONFIG = &H80000005
参考:Managing Windows Registry with Scripting (Part 1)
http://www.serverwatch.com/tutorials/article.php/1476831

VBScriptを作りたいと思ったら、
  1. ScriptingGuyでサンプル探す
  2. サンプルとやりたい事の差分をGoogle先生に聞いてみる
  3. サンプルとリファレンスを眺めつつスクリプティング
こんな風にやると比較的短時間に目的のものができるかも。
VBScriptの実用的なサンプルは英語圏に多くあるので、検索する時は是非英語でお試しあれ。

Thursday, April 17, 2008

日本医科大学付属病院におけるノートPC盗難の病理

各所で伝えられているとおり、病院で業務に使用していたノートPCが置き引きにあったそうだ。
報道によると、ノートPCにパスワードが設定されていなかった → 情報漏洩の危険と解されて
いるように見受けられるが、視点がだいぶずれている。

そもそも、OS、BIOSレベルでパスワードをかけたところで、物理的に盗難に遭ったわけだか
ら、ハードディスクを別のマシンからマウントする事で情報を読み取ることができる。
盗難という脅威に対抗するには
  1. ノートPCをスロットロックにて近くの物品に固定
  2. シンクライアントの導入により、クライアント側に患者さん情報を持たないようにする
  3. ハードディスクを丸ごと暗号化のうえ、BIOSパスワードを設定し、かつ、ブートを内蔵HDDからのみに設定
上記1+2,あるいは1+3の組み合わせをもって対処しないと、デューデリジェンスを果たしているとは言えないでしょう。
# BIOSパスワードはブートシーケンスを不正に変更されることへの対抗策

日本医科大学付属病院のノートPC管理のまずさもさることながら、不味い点を指摘できていない
報道各社の不勉強さも大きな問題。
このままではいつまでたっても「普通の人」のリタラシーがあがらない。

ノートPCについて気をつける事というと
  • PCのシリアルを控えて盗難がないか定期チェック
  • OSのハードニングをしておく
  • PCのキャリングケースは、中にPCが入っていることが分からないようなものにする
  • 飛行機に載る時には必ず機内持ち込みとする(荷物がなくなることが無いように)
  • 車内にPCを置いて車を離れない。必要なら専用の金庫を使う(車上荒らし対策)
  • 電車ないではバックを抱える(置引き対策)
  • メーカーにユーザー登録する(盗難に会ったPCが修理に出されるかも)
  • 盗難に遭ったら盗難届を出す
  • PCに管理番号やシンボルを彫っておく(自社のものと識別出来るように)
  • 流失するとまずいものは全て暗号化しておく(ハードティスク全部暗号化が楽)
ポイントがたくさんありますねぇ。

日本医科大学付属病院
http://hosp.nms.ac.jp/

Thursday, April 10, 2008

The spiral model is

The spiral model is actually a meta-model that incorporates a number of the software development models.
そうだったのね。

On 議事録

議事録作成のコツ
  • 決定事項のみを記載する

議事録のフォーマット
  • 会議が始まる前に既に議事録のフォームが用意されていて,その日の会議で決定すべき項目が列挙してあり,どう決まったかを書くところだけが空欄になってい た。会議は,このフォームが全員に配られるところから始まる。会議の参加者に 「何を決めたいか」が伝わるようになっているのである。
議事が進行し,予定された空欄がすべて決定事項に埋められたとき,議長は会議の終了を宣言
よいアイデアいただきました。今度の打ち合わせで使ってみよう。

Information Centric Security

  • セキュリティ・システムはテクノロジの要素だけでは成り立たない
今年のRSAカンファレンスにて高々と宣言されたようだ。

セキュリティはプロセスである、と。
プロダクトでも、プロジェクトでもなくプロセス。

全く同じ事が品質管理にもあてはまります。

Tuesday, April 1, 2008

英語で勉強する時に気をつけるべき事

日本語が耳に入らない環境で勉強する
  • 日本語が耳に入ると直ちに頭の中が日本語モードに切り替わってしまう
  • 教材のみに集中する
    まだ英語で物事を考えられないから、日本語の割り込み、モード切替
コンピュータと一緒で、コンテキストスイッチには大きなコストがかかり、
大きな効率低下をもたらす。

人がいるところで勉強する際は耳栓必須ということで。

本当の意味でバイリンガルな人はコンテキストスイッチなしで日本語、英語、
両方いけちゃうんだろうな。羨ましい。