極楽せきゅあブログ

ときどきセキュリティ

US-CERT

CERT/CCと何がどう違うんだろ?・・・と原文を見たら、広い意味でのセキュリティ関係者の情報共有の核になりたい、とかってことみたいですなあ。

The new organization hopes to jump-start communication between companies, security researchers, networks and other entities affected by digital security problems, many of which have historically been loath to share detailed information on break-ins by hackers, software vulnerabilities or other security problems.

というか、もはやパワーを分散しててはやってけねーよ、という見解なんでしょうかね。この業界って、元気のあるニューカマーが次々出てきては1年くらいでパワーを吸い取られてしまって終わり、というのが多いですしねえ。そういうパワーをもっと上手く利用する手段があればいいなあ、っていつも思うんですけど・・・。

コンピュータ・フォレンジック関連ネタ

某猫さんのところで、「基幹業務系で止められないからパッチ当てられませんでした。んで踏まれました。その場合責任問われるのどこになるの?」というコメントが出ていました。
パッチの存在を知っていたのに適用していなかった、ということをとらえると、サボタージュしていたようにとられてしまうでしょうけど、それがポリシーだ、と言い張ればちょっとマシかも知れません。ただ、裁判官*1が、「世間一般の通念」に照らして判断することらしいので、「世間一般の通念」から言えば、「知ってる」人の方が管理責任はむちゃ重いことになるようです。となると、踏まれた人の責任は免れないでしょうねえ。
ただ、その立場で可能な限りの(パッチを当てる以外の)対策を尽くして、それでやられてしまったときは、裁判で「ここまでやってそれでダメだったら仕方ないな」と思わせると、かなり軽減されることがある、ということですね。

*1:すいませんが、筋金入りのIT難民多数のようです(笑)

宅配会社に男立てこもり、爆発で10人以上けが 名古屋

その他

最近立てこもる人多いですねえ。乱暴な強盗も多いし。それだけ物理的なセキュリティに手間とオカネをかけなければならなくなってきた、ということでしょうか。
というか、裏口を出入りする人はきちんとチェックしましょう、というのはありますねえ。アメリカの空港も、外国人をはじめとする一般旅客へのチェックはずんずん厳しくなるのに、業者はフリーパスに近いとか(苦笑)。ターゲット組織のスタッフ関連になりすますのはソーシャルの王道なんだけどなあ。
関連でテロ防止で乗客の個人情報提供 米要求に欧州反発とか。好みの料理聞いて「こいつ、カレー好きだからテロリストじゃ」とか言っちゃうのかなあ(笑)?

カクトウギ・セッション

音楽

小島先生のアドミソ日記に出ていたベース小原礼のページに当時のメンツが出てますね。そういやサマー・ナーヴスでは偽名(笑)だったなあ。レコード会社の都合で。レコード引っ張り出してきて聴きたくなってきました。