面倒なので短文で。

カテゴリー: 雑感

皆さんこんばんは、管理人です。

ちょっと多忙なので、簡単な雑記集でも。いつものことだけど。

◆雑記
◇月陽炎、美月√進行中。
巫女さんだよ、皆さん。
というわけで、あの「幼なじみは大統領」を作ってしまったスタッフがずいぶん前(2002年)に開発した「月陽炎」をやっております。
舞台が大正時代の神社というだけのこともあり、どこか懐かしい雰囲気を醸し出しています。
さてさて、大食い娘(失礼)の√の結末はどうなるのやら。

◇幼なじみは大統領、デモムービー凄ぇことに…
「プーちん」なんて書いちゃダメ!!友愛されるぞ!!
というのは前から書いてきたネタですが。ALcot Honey Combと同じスタッフとは思えない。どちらかというと、スタンダードな作りで、人にシリアスそうな雰囲気を訴えかけてきた「クレナイノツキ」に対し、なんか電波っぽい「幼なじみは大統領」。うーん…。

◇書くことなんてありません。
明後日の記事に期待して下さい(オイ

ではでは。

▼今日も1クリックをお願い致します。
2009/11/26(木) 20:19 | trackback(0) | comment(0)

…People. Do they know the real color of "Silver"?

カテゴリー: ゲームレビュー

皆さんこんにちは。管理人です。
今日はねこねこソフトの名作、「銀色」のレビューです。
では、続きにて。

▼今日も1クリックをお願い致します。
read more...
2009/11/23(月) 14:33 | trackback(0) | comment(0)

電子連絡網の危険性を考える

カテゴリー: 雑感

皆さんこんばんは、管理人です。

さて。
昨今、何でも電子化が進んでいますが、そうなってはいけないのではないか、と管理人が考えるのが「連絡網」です。
最近は個人情報保護法やらで色々厳しくなっているほか、従前に比べて保護者が在宅しているケースが減少している事は重々承知ですが、本学では保護者会主導で電子連絡網が整備されつつあります。

今回、私が指摘する問題点は以下の通り。

[技術上の問題]
1)
電子連絡網整備事業者(以下、事業者)並びに本学保護者会(以下、運用者)は、電子メールの転送システムを理解し、電子メールならでは問題点を理解しているか。

2)
事業者は、連絡メールの真正性・機密性・完全性を保障できるか。

3)
事業者は、電子連絡網を騙ったフィッシング詐欺発生のリスクを認識し、納入先に通知しているか。

[運用上の問題]
4)(※上記の問題と通し番号にします。後で使うので)
運用者は、誤配信によるリスクを認識し、リスク低減のための処置を執行しているか。

5)
運用者は、電子連絡網が使用不可能な状況(例えば、大規模災害時など)において、フェールセーフを提供しているか。

6)
一部管理者は個人情報を閲覧可能、としているが、問題ないか。

[倫理的な問題]
7)
運用者は、特定学年の保護者に対し、授業閉鎖連絡を用いて、任意加入の所を、半強制的に加入させた疑いがある。

では、次の各セクションで、問題点の詳細を述べていきたい。

[問題の詳細:No.1)]
この問題は、電子メールに特有である。
電子メールというのは、よく誤解されがちであるが、赤外線のようなクライアント-クライアント(以下、Client-to-Clientの略語、CtCと用いる)通信ではなく、図1に示すように、クライアント―サーバー―サーバー―…―サーバー―クライアントという風に、いわばバケツリレーとも言うべき方式でリレーされている。
rousaku_1.png


ということは、この途中のサーバーで障害が起きればどうなるか。
答えは簡単。「一切メールが届かなくなる」。

当たり前の事で、メールは次々にサーバー間を転送されるわけで、この途中のサーバーが障害を起こせば、メールはフォワードされなくなる。
これは、連絡の即時性も兼ね備えている必要のある連絡網においては、重大な欠陥ではないか。
ネットワーク(インターネット)を通じて運用される以上、どんなにがんばったところで、この問題は解消できない。

ちなみに、私の実体験では、5月のG.W.に実施した撮影会の出席確認をメールでお願いしたところ、1人から全然届かず、実際に当方のメールサーバーに到着したのは7月だったということがある。こういう事例は枚挙に暇がない。

[問題の詳細:No.2)]
No.1で説明したように、電子メールは次々にサーバー間を転送される。
もし、この転送途中のサーバーに悪意あるサーバーがあればどうなるだろうか。
電子メール内容の改竄、ウイルス等の悪意あるソフトウェアの添付、色々攻撃手法が発生する。
これは勿論個人利用のメールであっても発生するが、問題の重要度が全然違う。

例えば、「明日から学校再開です」という連絡網メールを配信したとしよう。
配信プロセス途中のサーバーAでは、悪意あるユーザーが配信されていたメールを改竄していた。そこで、悪意あるユーザーが、この連絡網メールを発見する。そこでこの悪意あるユーザーは思いつく、「明後日からに書き換えよう」と。
こうして、一部の保護者に「明後日から学校再開です」というデマメールが出回った。

こうした攻撃事例を防ぐには、携帯電話メールのサポートを排除し、S/MIME(Secure/Multipurpose Internet Mail Extension)やPGP(Pretty Good Privacy:何とも欧米人らしいシンプル感あふれるネーミングだ)による暗号化メールの配信、デジタル署名による完全性の確保を行わなければならない(そして、そのデジタル署名も、日本ベリサイン社など、信頼できる認証局【Certificate Authority:CAという】の署名を必須とすべきだ)。
しかし、こうすると何が問題か。
要は、パソコンメールは「到着後すぐ見る」ことを重視していない。兎に角届けばいい、という設計思想であるから(それでもリマインダの整備など、かなり状況は改善されているが)、緊急性も重要視される電子連絡網においては、これは重大な問題と言える。
しかし、携帯電話サポートを行うと、PKI整備の意味合いが薄れる(携帯電話向け電子メールでは、PKIをサポートしている機種は、私も寡聞にして知らない)。

また、電子連絡網には訃報なども配信されることが運用者のウェブサイトで記載されているが、これらがサーバーを不法にリッスン(盗聴)している悪意あるユーザーにより悪用されないとも限らない。こうした問題の解決にはどうしてもPKIの導入が欠かせない。

[問題の詳細:No.3)]
まだ事例が発生していないが、これから発生しうる、リスクの問題として記載したい。
昨今よく言われるように、電子メールは送信元アドレスを偽装することが出来る。もし、連絡網のアドレスを騙って、「事業者が変わったので再登録が必要」などと称し、フィッシング詐欺サイトへの個人情報入力を促すメールが配信されたとすれば、どうなるだろうか。
保護者の中には、パソコンに疎い人も多い。こうしたフィッシング詐欺の発生確率は、かなり高いといえる。
特に、こうした連絡網は、緊急性・即時性が高いため、よく確認しないままフィッシング詐欺サイトで再登録を行ってしまう可能性がある。
「運用者・事業者は、再登録に際しては書面で確認します」という記載もないので、本当に起きる可能性がある。これが特に危険だ。

[問題の詳細:No.4)]
実際に本学の運用(テスト運用中ではあるが)では、誤配信が起きてしまった。早速である。
誤配信を起こさないよう、細心の注意を払っています、等と言われても、実際に起こった誤配信への対処法の報告も、何故そのようなインシデントが発生したのかという検討会もなく、「保護者会がやることですから安心です」の一言で信頼しなさいと言うのはどだい無理な話である。

運用者は、既に発生してしまった誤配信について、書面等で正式に謝罪し、今後どうすればそのような誤配信が起きないか、専門家を交えて検討し、「今後はこういう対応をします」というインシデントレポートを記載すべきだ。
そうしないと、既に誤配信が起きてしまっている、という経験(ナレッジ)が継承されず、同じような問題を再発させかねない。今回は、まだ「テスト配信中」のインシデントであるから、影響範囲は狭いものの、もし、実運用中に誤配信が起きたら…。そのインシデントの影響範囲は計り知れない。

[問題の詳細:No.5)]
これは、連絡網だから、であるが、兎に角、連絡網のようなシステムにおいては、伝達手段を二重化・三重化してフェールセーフを提供し、出来うる限り完全に近い運用を行うべきである。
しかし、現行のシステムでは、「電子連絡網に同意しない人」だけ、限定的に電話連絡網を導入することになっている。
もし、大規模災害(サーバー障害も災害と言えるので、ここに含める)発生時に、電子連絡網が利用できない場合はどうするつもりなのか。

[問題の詳細:No.6)]
運用者のウェブサイトを覗いてみると、"うまく加入できない人のために、管理者が個別のメールアドレスを参照可"とした上で、"一件一件確認するので、大量流出することはない"としている。
しかし、個人情報漏洩というのは、数の問題ではない。1件漏洩しようと、1000件漏洩しようと、個々の個人情報の重要性は変わらないのだから、情報漏洩が起きること自体を問題視しなければならないはずである。
しかし、記載されているのは「大量流出することはない」、だから安心せよ、とこういう事である。
大量流出することがなければ、一件や二件ぐらい流出しても問題ないというのか。冗談ではない。


[問題の詳細:No.7)]
これは私の在籍した学年で起きた事例である。
私の在籍した学年では授業閉鎖が10月の一時期多発したのだが、その際の電話連絡網で電子連絡網に加入するように、という旨の連絡が流れたという。
本来、こうしたサービスは任意加入であるが、女性専用車問題と同じく、半強制という形で実施されたのだろう(実際、当該学年の加入率はほぼ100%だという。対して、2個上の先輩学年は加入率がかなり低いらしい)。こうしたデータをしてみても、どこかで強制が行われたのではないかと勘ぐられるのも自然な事ではないか。

[では、結論としてはどうすべきか]

結論としては、一切こうしたシステムを導入すべきでないと思う。
欠陥だらけだからだ。
今事業者のウェブサイトを確認しても、「うちはセキュリティ面では大丈夫です」という旨の記載しかない。具体的な技術支援がない。「うちの電子連絡網はデジタル署名しているので、改竄されることはありませんよ」「うちのデジタル署名は××社から取得した信頼される電子署名です」、という技術支援がなければ、私は賛同しかねる。私の保護者にもそうアドバイスしている。

そもそも導入に際した保護者の声に「他校では採用しているのに…」というのがある。
いい加減にしなさい、とその保護者を諭したい。個人情報を扱うとっても重要なシステムである。何も早急に他校と横並びになる必要はない。どういうデメリットがあるか、どういうメリットがあるか、フェールセーフは整備できるか、など、検討項目は多岐にわたるはずだ。そもそも、総会も開かず委員会だけで「臨時運用」のものを導入し、多くの保護者に参加を強く求めた。いくら、「インフルエンザの猛威が近づいている」とはいえ、個人情報という重要な情報資産を扱うのである。よくよく検討すべきではないか。(因みに、現在は臨時運用と言うことで、運用ルールすらない)

では。

なお、図で用いた画像は、マイクロソフト クリップアートです。図の縮小化を行った他は、何の改変も行っておりません。

▼今日も1クリックをお願い致します。
2009/11/22(日) 22:42 | trackback(0) | comment(0)

ねこねこ。

カテゴリー: 雑感

皆さんこんばんは、管理人です。

◇雑記
◆今回のBGMは…
朱-Aka-の挿入歌(らしい)「朱」です。NANAさんなので、恐らく作編曲ともにElements Gardenでしょう。
良い曲、ですが、歌詞の意味がイマイチ分かりません。

◆これ絶対なんかおかしいって!
ニコニコ動画でも話題になったみたいだし、取り敢えず上げておく。
検索してはいけない言葉 wiki(http://donotsearch.com/)にも記述があるが。

この動画のおかしさは、下の画像に示す矢印に顕著である。
okashiizo.png

言葉で説明すると、
・最初は4分だったはずなのに、何故かどんどん再生時間が短くなる(矢印でのタイムラインを見ると、3:59/3:42となっている。これは、3分42秒分動画がある内の、3分59秒をあなたは見ています、という証左で、まさに異次元にいるとしか言えない。)コメント欄のタイムラインもおかしくなっている。

・3分30秒以後の所にシークバーを持って行くと、何故か3分30秒のラインに戻される(勝手にシークバーが動いていくのだorz)。

私の知る限り、こんなスクリプトは、プレーヤー自体のスクリプトを弄らざるを得ず、ニコニコ動画の共通プレーヤー上でこういう芸当が出来る、というのは考えにくい(セキュリティ上ロックダウンされているだろうし)。じゃあ、何が原因なんだろうか。全然わけわかめ。

ちなみに、動画のURLは、http://www.nicovideo.jp/watch/sm1098535。流れてくる楽曲自体は、なんだか不安定な音感なので、微妙にいやな気持ちになるものの、歌詞自体はそれほどでもない。確かに意味不明なのだが。

◆銀色第4章まで完了!!
取り敢えず、錆(完全版で追加されたシナリオ)以外は終わり。エンドロールも見たよ。
完全版自体のできは良いのですが、エンドロールに完全版でない方の曲目を書くのは止めようぜ。

あ、完全版のOPは、「ぎんいろ」。達見恵さんがボーカル。但し、本人サイトからは消されているし、Wikiにも記述がないという何という黒歴史状態。

◆校内でセキュリティインシデント発生ッ!!
どうやら教師機にウイルス感染が確認されたそうですが、その際の注意喚起が適当すぎる。
・ウイルスバスター等のウイルス対策ソフトを入れておいてね。お金かかるけど。

……たったこれだけ。Windows/Officeなどの更新、ファイアウォールのインストール(若しくは設置)、アクセスログの監査など、何にもしないそうですよ?

前々から思っていたとおり、そして以前のエントリに書き起こしたとおり、本校のセキュリティ状況は最底辺と入って差し支えないと思う。
せめてMicrosoft Windows Server Update Servicesによる更新プログラムの一括管理、叶うのならば、SCCMによるインベントリ情報を利用した一括管理、ウイルスバスターCorp. Editionを入れるのならサーバ側で一括管理等のことが出来ないのは、やっぱり勉強不足だと思う。

再度提案します。
1)明確なセキュリティポリシーを策定し、その中の「プロシージャ」に基づく、適正なシステム管理の実施を強く望みます。

2)明確なセキュリティポリシーを策定し、その中の「プロシージャ」に基づき、教員等の事業構成員に対し、適正なセキュリティ勉強会等を実施し、セキュリティ意識を向上させることを求めます。

3)明確なセキュリティポリシーを策定し、その中の「プロシージャ」に基づき、WSUS等の管理ソリューションの導入を強く求めます。

4)明確なセキュリティポリシーを策定し、その中の「プロシージャ」に基づき、Active Directory等を導入し、教師機からの情報漏洩が発生し得ないような、システム管理の実施を強く求めます。

5)明確なセキュリティポリシーを策定し、既にサポートライフサイクルの対象から除外された製品を利用しているコンピュータをリプレースすることを強く求めます。

6)システム整備の実施に当たっては、MCP等の専門家の意見を積極的に取り入れ、また、法人側の意識改革を強く求めます。

ではでは。
▼今日も1クリックをお願い致します。
2009/11/19(木) 00:41 | trackback(0) | comment(0)

月陽炎、引き取ってきましたZE!!

カテゴリー: 雑感

皆さん、こんばんは。管理人です。
放送部のWindows 7+Office 2007+Visual Studio 2008 Professional導入に伴うシステム整備が予定より長引き、実は現時点でもまだ終わってません。
明日の講義の合間合間にやるしかないですねww

…あ、Microsoft SQL Server 2008 Express Editionさえ入ってなかったけ…。

◆雑記
◇Windows 7/Server 2008 R2対象のセキュリティアドバイザリが公開されました。
今回は、初のWindows 7/Server 2008 R2対象のセキュリティアドバイザリの公開となりました。今回の脆弱性の対象モジュールは、SMB(Server Message Block)のv1並びにv2ですが、Windows 7/Server 2008 R2以外は被害を受けません。
Windows 7/Server 2008 R2では、この脆弱性を悪用された場合、STRIDE脅威評価モデルで言うところの、"D"、すなわち「サービス拒否攻撃(Denial of Service:DoS)」が発生することが分かっています(実証コードも確認されています)。
但し、この脆弱性を悪用された結果、悪意のあるソフトウェアがコンピュータにユーザの意図なく送り込まれるなどの被害はなく、DoS攻撃の結果、コンピュータがハングアップすることが被害となります。
なお、こうした被害を受けたとしても、コンピュータを再起動すれば、問題は解決されます。

回避策は、現時点ではSMBの利用するポートをファイアウォール等を通じて、閉鎖することですが、ポート閉鎖に伴い、SMBコンポーネントのみならず、ネットワーク接続などにも多大な影響を及ぼす可能性があり、回避策の適用に際しては、十分な注意が必要です。

…ウチも被害の対象なので(サーバー:Windows Server 2008 R2 Enterprise、クライアント:Windows 7 Enterprise)、これから影響被害調査(アセスメント)を実施したいと思います。


◇100%安全なOSなど存在しない。
どこぞのセキュリティベンダーがWindows 7を既定状態で使っていたらかなりのマルウェア(悪意のあるソフトウェア)の被害を受けたぞ、これはやっぱりWindows 7が安全じゃないことの証左じゃないか、と申しているそうですが。
残念ながら、マイクロソフトは最初からAction Center等を通じて、ウイルス対策ソフトの導入をエンドユーザに強く促していますし、Windows Defenderはあくまでスパイウェア等の対策ソフト。UAC(User Account Control:ユーザーアカウント制御)も、ユーザの同意なくコンピュータに変更を加えるのを阻止するだけの機能であって、この人たちは何を言っているのだろう、という感じですね。

まぁ、最初から100%セキュア(安全)なOSなぞありはしないのです。セキュリティはゼロサムゲーム。あっち(セキュリティ)がたてば、こっち(利便性)が立たず。逆もしかり。そんな関係なのです。


◇月陽炎、引き取ってきました。
ヤマト運輸の配送状況確認用のサイトの情報更新があまりにも遅く、回収日の都合がなかなかつきそうになかったので、しょうがなく配送予定日であった先週土曜に営業所に行ってみたら、ありました。
中古品だったのですが、なかなか美品で、細かな傷を無視すれば、新品と言われても納得しそうです。
まぁ、購入したのは月陽炎のDVD Editionなんですけどね。

◇"蒼海のヴァルキュリア"、マスターアップお目出度う御座います。
なんだか体験版で全画面表示関連の問題が浮上していた「蒼海のヴァルキュリア」でしたが、先日無事にマスターアップしたようです。制作スタッフの皆様、本当にお疲れ様でした。
後は、到着を待つのみ。…楽しみにしております。

◇最近、子犬&子猫に萌え要素を見つけるこの頃。
最近は、巫女さんとか、姉とか、色々有りましたが。
取り敢えず、本物の、子犬とか、子猫とか、もの凄く可愛いと思います。
壁紙も現在手元のMCJ TW811Bがコアラ(Windows 7標準搭載版)、出張所のWindows 7がゴマフアザラシの子供のころ。
ほんまにかわいいってwwこれは反則。

◇鳩山さん、あなたもう結構です。
基本的に当たって欲しくなかった予言が的中気味で困惑です。
鳩山のバックには日教組、日教組のバックには反日国家である中韓が。だから民主政権は絶対に亡国への最速手段だ。

……まさにそうじゃないか。
この行政刷新会議主導の事業仕分けだが、どれだけの事業が無傷だったか?
無傷というか、増強扱いになったのは、行政監視部門。やっぱな。
農業整備、農道整備、スパコン、「スプリング8」、「ポストドクター」、その他、気象予測(天気予報)、などなど…全部削減or見直しor地方・民間へ移管。

この事業仕分けの問題点は、以下の通り。
・蓮舫ってやつ居ただろ、あいつの本名は今では村田蓮舫とかい日本人っぽく似せているが、元は謝蓮舫。…調べてみればやっぱり18歳時に帰化していやがる。

・スパコンは未だギリギリ納得してやらんこともない(但し、スパコン自体に予算を割かねばならないし、1位になることにはそれ相応の意味がある)。だが、和歌山カレー事件のように社会的に好影響を及ぼしたスプリング8・気象予測の削減に何の意味があるのか?

実は、民主党がらみでもう一個(話題にさえなっていないが)、外国人参政権の問題で、小沢一郎が韓国の民主党代表に何ていったか知っているか。
「やがて片がつく」だぞ!!
外国人参政権の付与なんて以ての外。論外。巫山戯るのもいい加減にしたら如何かな、鳩山首相ッ!
EUの様に所属国家内である一定レベルの、且つ敵愾心もない、コンセンサスの取れた連邦であれば、外国人参政権の付与も、よかろう。
だが、日本と中韓露(北朝鮮も勿論含む!)の関係は、残念ながら良好とは言えない。そこには、領土問題というややこしい問題が横たわっているのは勿論、存在もしない従軍慰安婦・南京大虐殺問題等、正直日本側が拗らせた問題もある。


ところで、麻生前首相は何もしなかったような気がするが、これは勿論マスコミの捏造(というよりは、一方的な色眼鏡)である。
詳しいことは割愛するにしても、北朝鮮貨物船の検査を認める(但し、これも民主党の横やりでJCG=海上保安庁止まりになってしまったが)、日印安全保障などがあったことは本当に特筆すべき事項である。

大体、民主党の子供手当だとか、高速道路無償化だとか、端から自民党(麻生政権)の指摘していたとおり、財源なんてどこにもありはしなかった。95兆円という膨らみきってしまった予算はどうする気かね?いい加減にしたまえ。

そういえば、韓国籍のコンテナ船と護衛艦が衝突・炎上したとき、鳩山首相、あなたは何と仰ったかな。「国民の皆さんにご迷惑をかけたと思います」。
責任所在の不明確な状態で、何故に自衛艦の責任にするような発言をなさるか。あの頃、JCG(何度も使ってしまうが、Japan Coast Guard、すなわち海上保安庁の事である)、海自(アルファベットだと、Japan Marine Self-Defense Forceから、JMSDF)はてんやわんやだったに違いない。あなたはその人たちの苦労さえも考えないのか。


最後に。「もう結構です。鳩山総理」


では。
▼今日も1クリックをお願い致します。
2009/11/16(月) 22:36 | trackback(0) | comment(0)