NECセキュリティブログの(ISC)2倫理規約の記事にツッコミを入れる

たまたま目にしたNECさんのセキュリティブログ「情報処理安全確保支援士と(ISC)²の倫理からセキュリティのプロフェッショナルに求められている心得を考える」が、根本的なところで読解を間違っているのでツッコミを入れてみる。 TL;DR (ISC)²倫理規約では、社会>法律>当事者>専門知識と4つの規律の優先順位が厳格に決められているが、NECさんのブログは「当事者」の事例に、「社会」の規律を持ち込んで、倫理規律の優先順位に違反している。 本編 その前提となる日本語訳つき(ISC)2 CODE OT ETHICSはこちら。 この(ISC)2の倫理規約は、序文(Preamble)、規律(Canons 続きを読む NECセキュリティブログの(ISC)2倫理規約の記事にツッコミを入れる

米CISA/MS-ISACによる ‘RANSOMWARE GUIDE SEPTEMBER 2020’ Part 2: Ransomeware Response Checklist 試訳

(訳注:以下は、米サイバーセキュリティ・インフラストラクチャー・セキュリティ局(CISA)と州横断ISAC(Multi-Sate ISAC)が2020/09/30に共同でリリースした‘RANSOMWARE GUIDE SEPTEMBER 2020’のPart 2: Ransomeware Response Checklistを個人的な備忘のために試訳したものです。直訳では意味が通りづらい部分は意訳しています) Part 2: ランサムウェア対応チェックリスト 万一あなたの組織がランサムウェアの被害者になった場合、CISAは以下のチェックリストを利用して対応することを強く 続きを読む 米CISA/MS-ISACによる ‘RANSOMWARE GUIDE SEPTEMBER 2020’ Part 2: Ransomeware Response Checklist 試訳

Troy Hunt氏ブログの要約「人間はURLが苦手」

マイクロソフトの豪州リージョナル・セキュリティディレクターTroy Hunt氏が、「人間はURLが苦手、フォントも無関係」というブログを書いていたので、以下要約。 フィッシングメールに引っかかったユーザーを責めるのは間違い。URLのドメインが読める人でさえ間違いを犯す。例えばこれ。 フィッシングサイトの可能性が高いのはどれでしょうか。 Following our quiz on risky URLs, check out @troyhunt’s blog post. — NordVPN (@NordVPN) October 28, 2020 正解は3。フォントをSerifにすると大文字のIが入 続きを読む Troy Hunt氏ブログの要約「人間はURLが苦手」

接触確認アプリはそもそも役に立たない:その1

※以下、IT業界用語はできるだけ避ける。 政府が2020年6月に導入するらしい接触確認アプリの仕様書を読んで、いちばん危ないんじゃないのと思う点があった。(仕様書はこちら) 「処理番号」だ。 仕様書のp.13に、検査で陽性になった場合の処理の流れが書かれている。p.5のデータの流れと合わせると分かりやすい。 検査で陽性になった人に、保健所が「感染者システム」で処理番号を発行し、陽性者に通知、陽性者は自分のスマホから接触確認アプリに入力することになっている。 入力された処理番号はいったん「通知サーバー」に送信され、そこから感染者システムに送信、感染者システムが正規の処理番号であることを確認する。 続きを読む 接触確認アプリはそもそも役に立たない:その1

カテゴリー: IT