NEKOLAB

内閣サイバーセキュリティセンター（ＮＩＳＣ）が以下の意見募集を行っているので、読んでみた。 「サイバーセキュリティ意識・行動強化プログラム（案）」に関する意見募集について http://www.nisc.go.jp/active/kihon/pubcom-awareness2018.html 　「サイバーセキュリティ戦略」（平成30年７月27日閣議決定）において、『産学官民の関係者が円滑かつ効果的に活動し、有機的に連携できるよう、 サイバーセキュリティの普及啓発に向けた総合的な戦略及びアクションプランを策定すること 』とされています。これに基づき、サイバーセキュリティ戦略本部普及啓発・人材育成専門調査会にて、「サイバーセキュリティ意識・行動強化プログラム」の策定を目指して議論を行い、この度、案をまとめました。 　つきましては、本件について以下の要領で広く国民の皆様からの意見を募集いたします。 e-Govから意見を送ることができるので、興味のある人は送信されたい。 自分は、意見は言うほどのものは持ち合わせていませんけども…。 パブリックコメント：意見募集中案件一覧 http://search.e-gov.go.jp/servlet/Public 実際に「サイバーセキュリティ意識・行動強化プログラム」を読んでみた。 まず、目次を引用してみる。 １ はじめに ２ 現状 （１）インターネットの利用及びサイバーセキュリティ対策の状況 ① 個人の状況 ② 企業の状況 （２）官民の取組状況 ① セミナー・イベント ② ツール・コンテンツの提供 ③ タイムリーな情報発信 参考 諸外国における取組の例 （１）米国における取組 （２）英国における取組 ３ 今後の取組の基本的な考え方 （１）個人・組織における「自覚・行動」の促進 （２）「３つの視点」からの取組の推進 ４ 具体的取組の推進 （１）基本的な対策の徹底 （２）重点的な対象とその内容 ① 中小企業 ② 若年層 ③ 地域における取組の支援  （３）情報発信・相談窓口の充実 ５ 連携体制の強化 参考資料 特に、実のありそうな項目を強調した。 最上部に引用した下線部の 普及啓発 に向けた対象が４（２）の３つと考えられる。 一方、１目的では...

個人が自ら“データ”を預ける「情報銀行」、2019年3月に事業者認定へ--「お金目的では本末転倒」 - CNET Japan https://japan.cnet.com/article/35127271/ 2019年には、「情報銀行」が誕生する。どのように生活に組み込まれるかは、今のところ先行きが見えないが、法的に認められる情報専門に扱うという機関が生まれることは一つの転換点になりうるだろう。 個人情報漏洩、企業に報告義務　政府が法改正へ  - 日本経済新聞 https://www.nikkei.com/article/DGXMZO39012520W8A211C1MM8000/ もっとも情報の取扱に関しては、GAFAを始めとした欧米の企業などが消費者から取得しているデータをビッグデータとして活用しているのが現状だ。実質的には、オープンIDなどに使われるそれが「情報銀行」のそれと似ているといっていいだろう。 日本が独自で情報に関する戦略をどう構築するかが、2019年の一つの動きになるだろう。 実際に、個人情報保護のさらなる法改正など、様々な動きが見え始めているのも確かだ。 どのようなことをしたいのかは未知数だが、日本版のGDPRのような立ち位置のものになるのは想像に難くない。ただ、あくまで国内法であるから、GDPRのような世界的に大きな影響を与えるようなものというより、情報を海外等に流出させないようにするのが目的のように思える。 金融庁、銀行の情報活用へ法改正視野　年明けから議論本格化 - ロイター https://jp.reuters.com/article/fsa-bank-data-idJPKCN1OJ0CQ 銀行の情報活用についても議論がされるようだ。いままで銀行は、業務が限られていたので、活用できるようにするための政策になるのだろう。 2019年は、東京五輪前年であったり消費増税の年であったり天皇譲位であったり様々な事が起こる年になる。このような動きについても注目していきたいところだ。

JPCERT/CCから以下の注意記事が出ている。 長期休暇に備えて 2018/12 https://www.jpcert.or.jp/pr/2018/pr180002.html I. 不審なメールへの注意 (例: ばらまき型メール攻撃)  II. システムにおける脆弱性への注意 (例: Oracle WebLogic Server) III.休暇前の対応 IV.休暇後の対応 V. JPCERT/CCからのお願い （以下略） 要するに 休暇中にいろいろばらまかれるから気をつけろ 休暇中は人がいないから悪さされても気づくのが遅くなるから気をつけろ 休暇前には、旅行前にガスの元栓を締めるように、システムの状態をちゃんと見ておくこと 休暇後には悪さされてないか十分に気をつけること 何かあったら連絡してちょうだい ということ。サイバーセキュリティとはいえ、やることは普段の防犯意識と変わらず行うことが肝要と思われる。

PayPayの騒動を見て疑問に思ったTipsのような話。 クレジットカード番号はどうやって決まるのか？ 多くは16桁の番号。ただし、14桁や15桁のクレジットカード番号もある 最初の6桁は、 BIN （Bank Identification Number, 銀行識別番号）または IIN （Issuer Identification Number, 発行者識別番号）と呼ばれ、カードのイシュア（発行事業者）を特定する。 例えば、 American Expressなら、冒頭34, 37 ちなみに、15桁 Visaは、冒頭4 Master Cardは、510000 - 559999, 222100 - 272099の間の数値 参考元： Wikipedia　クレジットカードの番号 残りの部分は、イシュアが決める。 ただし、多くのクレジットカード番号会社では、番号の入力間違いの検知などをチェックするため、番号の決定に Luhnアルゴリズム（ルーンアルゴリズム） を採用している。 そして、最終桁はチェック・ディジットになる。 なお、これは ISO/IEC 7812 に規定されている ISO/IEC 7812 - ウィキペディア Luhnアルゴリズムとは 様々な識別番号の認証に使われている単純な チェックサム 方式 IBM の科学者  Hans Peter Luhn  が 1954年 1月6日 に特許を申請し、 1960年 8月23日 に発効した アルゴリズムは パブリックドメイン になっている。 ISO/IEC 7812 -1 [2]  に詳細に記されている。 参考： Luhnアルゴリズム  - Wikipedia  調べると興味深いが、整理すると３つの工程を踏む チェックデジット（最終桁）を除く数値を決定する 仮に 1234 5678 9012 345X とする。（Xは、チェックデジット） チェックデジットを含んで右から偶数桁を２倍にする。ただし、2桁の場合はそれぞれの桁を分ける。（本が６ならば、１２なので１＋２）とする。それ以外はそのままとして、それらの総和を出す 偶数桁 2 + 6 + ( 1+0 ) + (1+4) + (1+8...

PayPayから注意喚起 PayPayは、2018年12月14日にクレジットカードの不正利用に関する告知を出した。 身に覚えのないクレジットカードの請求がきたら https://www.paypay-corp.co.jp/notice/20181214/01/ 被害者となり得る人はPayPayに登録して いない 人 この注意喚起から読み取ると、 PayPayに登録して いない（した覚えのない） クレジットカードに対しての喚起 PayPay自身からは情報流出していない という告知である。 PayPayの利用者でない人に対する告知であるというなかなか如何し難い状況ではあるが、一体何が起こっているか。 実際に起っていること 12月12日くらいからTwitterなどでは クレジットカード会社からPayPay利用（数万単位から限度額いっぱいまでの高額請求まで）に関する確認があり、即刻カード利用の停止の処置をした クレジットカード会社によると、「総当たりによるもの」という見解が示された ほとんどの人がそのカードでPayPayを利用したことがない という未確認情報が飛んでいたわけだが、それが今回の告知でPayPay公式から、全くのデマではなく、事実として起こっていると認めざるを得ない状況であることが示されたことになる。 登録が簡単すぎる問題 PayPayで登録する時の情報は、以下の情報が必要だ。 クレジットカード番号 利用期限年月 セキュリティコード インターネットショッピングなどでは、更に名義人も求められる場合が多いが、PayPayではそれがない。 なお、これ自体は、クレジットカード会社の仕様ともいえるので、必ずしもPayPayだけが悪いとは言い切れない。（他のクレジットカードを登録するアプリでも、名義人を求めるものとPayPayと同様求めないものがあった） セキュリティーコードとはなんですか？ https://faq.jcb.co.jp/app/answers/detail/a_id/794 登録に制限がなさすぎる問題 また、PayPayの登録には、失敗による回数制限がないとの指摘がされている。 ニュースサイトでは、実際にPayPayアプリから実行してみ...

２段階認証を突破できる攻撃が発生しているようだ。 攻撃方法は、概ねフィッシングメールやフィッシングサイトを利用している。 肝は、メールに特定の画像を埋め込むことで、相手がリアルタイムでメールを閲覧しているか確認するという方法だ。 偽のフォームに入力されたときに、攻撃者は同時にその情報を本物のフォームに入力ができる…故に、２段階認証のコードも同時に入力ができる、という寸法だ。 防御方法は、アプリやSMSの２段階認証をやめて、BlueToothトークンやNFCトークンなどによる物理的な認証をとる方法を勧められている。ただ、一般的なユーザーには、物理トークンの馴染みが薄いのも事実。 基本的には、フィッシングメールやフィッシングサイトを疑って、メール経由での認証には応じない、という警戒を強めることが大事になるだろう。 参照元： GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している - GIGAZINE https://gigazine.net/news/20181214-iranian-phisher-bypass-2fa-protection/

世界規模のハッキング攻撃、政府機関とハイテク企業などを標的に--北朝鮮が関与か - ZDNet Japan https://japan.zdnet.com/article/35130076/ 記事によると、Operation Sharpshooterと呼ばれる攻撃が世界銃で行われているとのことだ。 Operation Sharpshooter 記事のとおり、McaFeeがレポートを発出している。 https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/ 多くはアメリカに対しての攻撃だが、日本も含む世界各国を対象に攻撃が行われている。英語圏の企業に対して行われているとのことだ。 攻撃方法は、２段階に分かれるが、はじめは求人を装うスパムメールによるものだ。悪意のあるマクロを含むWordファイルが送られてくる。それにより、コントローラサーバーから本命のバックドアである「Rising Sun」をダウンロードする仕組み、となっているとのことだ。 防御方法は、不審なWordファイルは開かないことに尽きる。 現在は、英語圏向けの攻撃なので、英字のメールには十分気をつけること。ただし、日本語による同様の攻撃がでてきても不思議ではないので、十分に気をつけたいところだ。

Google Homeは、高機能なスマートスピーカーだ。 ただこちらから「Ok, Google」と呼びかけて起動するスピーカーである。 秘書のようにGoogle Home側から呼びかけてもらいたい。 ルーティン機能を使う ルーティン機能は、日々のルーティンタスクをGoogle Homeに設定できる。 デフォルトで設定されているルーティンもあるし、カスタムで設定することもできる。 https://support.google.com/googlehome/answer/7029585?co=GENIE.Platform%3DAndroid&hl=ja 設定箇所 スマホやタブレットから「Google Home」機能を立ち上げて、 [アカウント] > [全般設定] > 設定をタップする。 それから、[アシスタント]タブ > ルーティンをタップする。 以下の画面になるはずだ。 カスタムルーティンの設定方法 右下の＋ボタンをタップする。 [コマンドの追加　＞]をタップして表示されたウィンドウにコマンド名を入れる。 [時間と曜日の設定 >]をタップして、起動したい時間を入れる。 曜日も入れる。毎日の場合は、日～土すべてをタップしよう。 スピーカーの設定は、タップしてから喋らせるスピーカーを選ぶ。 実行させたいコマンドを設定する。このコマンドは、普段話す言葉で入れていい。 複数設定することもできる。 設定できたら右上のチェックボタンをタップすることで完了だ。 ルーティン画面に加えられているはず。 テスト 最初に設定したコマンド名で呼びかけると、ルーティンが実行されるのでそれで動作が問題ないかテストしておこう。 問題がなかったら、そのままにしておけば時間を迎えるたびにそのコマンドが実行されるはずだ。

改正サイバーセキュリティ基本法の成立 - 日本経済新聞 https://www.nikkei.com/article/DGXMZO38558560V01C18A2EAF000/ １２月５日午前、サイバーセキュリティ基本法の改正案が成立した。 このサイバーセキュリティ基本法の改正によって、政府はサイバーセキュリティ協議会を設立することとなった。 この協議会の目的は、先日に記事にしたが、国内外の組織との情報連携の強化を主にしたものだ。 サイバーセキュリティ基本法の改正案（第１９６回国会）を眺めてみる - NEKOLAB https://nekoinfolabo.blogspot.com/2018/11/blog-post_19.html また、これも先日記事にしたが、政府は近々に対サイバー攻撃に関する法律防衛要綱の整備も検討している。 サイバー攻撃に関する自衛権 - NEKOLAB https://nekoinfolabo.blogspot.com/2018/12/blog-post.html これは、主にサイバー攻撃に対する自衛権の発動要件をどうするか、といったところになるが、その是非の議論はおいておくとして、 それを発動するためには「攻撃した相手国が明確である」 ことを対内外に主張することは、必須条件となる。しかし、相手は公然と宣戦布告するとは限らず、秘密裏に攻撃してくることも考えられるだろう。 つまり、その条件を満たすためには、情報の収集（証拠の入手といってもいい）は重要であり、日本内の組織はもちろん、海外との情報連携もまた必要だ。特に、同盟国であるアメリカへの情報、あるいは、アメリカからの情報は、それを特定するための最重要要件とさえ言っていいだろう。 そのためには、サイバーセキュリティ協議会の設立は必要であったと言っていいだろう。文字通りの『 国家的サイバーセキュリティ 』が今国会で急激に進んだと評価できる。 今国会では、外国人労働者に関する法律や憲法改正発案についてが注目されているが、その一方でサイバー攻撃に関する内閣官房の法整備、防衛省による制度の整備が着々と進められていることもまた事実。今後の日本政府、外国政府のサイバーセキュリティに関する動向も注目したいところだ。

e-Tax利用の簡便化の概要について http://www.e-tax.nta.go.jp/kanbenka/index.htm 上記ページより。 セキュリティは大事だけど… セキュリティを心配していたあまり無駄に何重にも重ねた今までのIDパス＋マイナンバーカードみたいなものよりは、マシになった。 つまり、マイナンバーオンリー、あるいは、IDパス方式という二択で選べるようになったのは改善だと思う。 マイナンバーを必要ないとして取得していない人にも、IDパスのみで推進していこうという姿勢は進歩といっていい。 IDパス方式の本人確認は改善できないか ただ、IDパス方式のためには、わざわざ税務署に行って本人確認しなければならない。 そのためだけに！ そういう人は、その足で申告できるじゃなかろうか・・・。とは、思う。 対面の必要性とは、なんだろう？　面接のような、何かヒアリングをするのだろうか？　いやしない。 つまり、「顔が見えるから安心だよねー！」という道頓堀の底の沈殿物のような澱んだ考え方のせいなのだろう。 さて、ご存知のとおり、何年も前から証券口座開設時には郵送での確認で本人確認ができるようになっている。最近は、銀行口座もそれができるようになった。 具体的には、 アプリで本人確認書類と自分の写真を取る アプリで送る 郵便物が送られてくるので受領することで本人確認 という流れである。金融機関におけるこれの根拠法は、犯罪収益移転防止法（犯収法）によるものとのこと。あるいは、本人確認法？かもしれない。 で、この犯収法については、最近改正されて完全にネット完結でできるようになりました。 参考： https://blogos.com/article/342647/ 金融分野では、本人確認についてはもはや対面である必要もなければ、タイムラグも入力フォームに入力する手間と写真を取ることくらいで、ほとんど存在しなくなったということになる。 e-Taxのそれでは適用できないのか？ それをしない理由で一番考えられることは「やる気がない」というところだろう。 次に、「法律によってできない」ことが考えられる。ただ、金融機関と国税での本人確認に違いがあるのだろうか？　マイナンバーの確認については、番号法（行政手続におけ...

政府が防衛大綱の範囲に「サイバー」を含めることを検討し始めた。 「サイバーや宇宙領域での防衛、陸海空と融合へ　改定大綱」 https://www.asahi.com/articles/ASLCZ4RQ0LCZUTFK00P.html 「サイバー攻撃には自衛権発動も」岩屋防衛相国会答弁 https://www.fnn.jp/posts/00395070HDK サイバー攻撃に対する自衛権というものはどういうことか？ その指標として、大臣の発言や上の記事にもあるとおり、「タリンマニュアル」があるという。 タリン・マニュアル 正式名称は「サイバー戦に適用される国際法に関するタリン・マニュアル」。2013年3月に、北大西洋条約機構（NATO）の専門委員会であるサイバー防衛協力センター（CCDCOE）が公表した、サイバー戦争と国際法との関係性について記載した文書。 （中略）しかしながら、サイバー戦において、どのような場合が「武力攻撃」であるのかは国際法上も定説をみないため、タリン・マニュアルは、その解釈例を示そうと試みるものである。 引用元： https://imidas.jp/genre/detail/A-124-0501.html   各国でも研究が進められている範囲であり、安易に述べられるものではないが、一つの指標・文献として把握しておきたい。 サイバー攻撃に対する防衛三要件をどう考えるか どのような場合において日本はサイバー攻撃に対する自衛権を発動し得るのか。 上に示したfnnの記事では、以下のような見解をひとつ記述している。 武力行使の新三要件とは、2014年7月1日に閣議決定された、日本が自衛権を発動するための条件であり、具体的な内容は下記の通りである。 （1）我が国に対する武力攻撃が発生したこと、又は我が国と密接な関係にある他国に対する武力攻撃が発生し、これにより 我が国の存立が脅かされ、国民の生命・自由及び幸福追求の権利が根底から覆される明白な危険がある こと （2）これを排除し、我が国の存立を全うし、国民を守るために 他に適当な手段がない こと （3） 必要最小限度の実力行使にとどまる べきこと 岩屋防衛相の答弁を、上記の武力攻撃の新三要件にあてはめると、 まず（1）だが、「サイバ...

タイトルをクリックするとその詳細が表示されるものをCSSだけで実装するものを仕事のなかで作った。 インターネットで参考にしたものをちょろっと変えたものだけれど。 CSSで実装できるのは、作るのも簡単だし見栄えもいいのでとてもいい。 参考元： https://saruwakakun.com/html-css/reference/accordion 表示されるブラウザの様子 HTML+CSS <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <title>ラベルをクリックすると詳細が表示される</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <style type="text/css"> <!-- /* スタイルシート 外出したほうがいい */ /* ラベルをあわせるとマウスポインタを変更 */ .content label { background-color: #cccccc; cursor :pointer; display: block; } /* チェックボックスは不可視にする */ .content .chklbl { display: none; } /* 詳細は通常不可視にする */ .content .detail { background-color: #666666; padding-left: 1em; display: none; } /* ラベルをクリックする（内部的にチェックする）と、 詳細を可視化する */ .chklbl:checked + label + .detail { display: block; } /* ラベルの冒頭に＋を表示 */ .content label...

セキュリティやIT人材が不足しているなどのニュースが出始めて久しい。 個人的にもセキュリティについていろいろ勉強しないとなあと考えている。 そこでどういったスキルが必要なのか、指標となりそうなものを調べてみた。 シーサートとは？ ITセキュリティについて、組織的に考えると、切れないものがシーサートだ。 日本シーサート協議会では以下のように述べられている。 要するに、 企業のなかでITセキュリティに関する専門部隊 を指す。 シーサート (CSIRT: Computer Security Incident Response Team) とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 引用元：日本シーサート協議会とは http://www.nca.gr.jp/outline/index.html シーサート人材には何が必要か 冒頭の画像は、日本シーサート協議会が公表している「CSIRT人材の定義と確保」のなかのページで、4分類の15の役割が述べられている。 CSIRT 人材の定義と確保 Ver.1.5 http://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf 資料の中では細かく紹介されているが、必要とされる分野を整理すると、 情報共有 情報収集・対応 インシデント管理 自組織内教育 が挙げられている。セキュリティ知識は必要となるのは言うまでもないが、それよりも組織内でどのように情報を撹拌するか、インシデントなどの情報を集約できるか、などの組織運営や折衝力・コミュニケーション能力に関する、人的な観点も多く見受けられる。 また、海外のセキュリティ情報の収集のため、英語能力なども求められているようだ。 ただ、一貫した基礎能力としては「ITSSレベル２程度の基礎的なITリテラシー」といった表記が目立つ。 ◆レベル2 　上位者の指導の下に、要求された作業を担当します。プロフェッショナルとなるために必要な基本的知識・技能を有する。スキル開発においては、自らのキャリアパス実現に向けて積極的なスキルの研鑽...

Android 9.0でスマホ中毒防止用のアプリが導入されたそうだ。 なので、自分のPixel3を確認してみた。 スマホ中毒を防止するGoogle製のAndroidアプリ「Digital Wellbeing」が正式版に／「Android 9.0 Pie」を搭載するすべてのGoogle Pixe… https://t.co/c1fJlOOT5f pic.twitter.com/Pxo8EVIMwb — 窓の杜 (@madonomori) November 26, 2018 Digital Wellbeingの開きかた 通常のアプリでなく[設定]に組み込まれているようだ。 [Digital Wellbeing]の項目をタップする。 Digital Wellbeingで見れるもの 下の画像のように使用したアプリを円グラフで見ることができる。 ロックを解除したときのアプリやアプリの通知数もそれぞれをタップすると詳細が見れるようだ。 また、「アプリタイマー」といった仕様を制限するためのタイマーを設定することもできる。 では使うかというと…。 スマホ中毒と自覚してスマホを控えたい…！という強い思いがある人にとっては一助になるかもしれない…。でも、自分は使わないだろうなあ。 スマホの使用状況を確認できるのは面白いと感じた。

Google Homeなどの音声デバイスが活用され始めているが、セキュリティに付いて気になったので調べた。以下のことを注意したい。 Ok, Googleなどのキーワードを言ったものが保存されている それ以外の音声は「外部に送信されない」とされている。 データは音声とテキストで保存される ただし、外部サービスに提供する場合はテキストのみ。 保存したデータはマイアクティビティから確認したり削除できる。 ちなみに、実際発声した音声は[マイ アクティビティ]（ myactivity.google.com ）から聞けます。 以上。 以下は、気になったものを一部引用した。 Google Home のデータ セキュリティとプライバシー https://support.google.com/googlehome/answer/7072285?hl=ja データの収集 Google が収集するのはどのようなデータですか？ Google は 、ユーザーにとってより迅速で、スマート、適切、便利なサービスの提供を実現するためのデータを収集します。 Google Home は、より的確でユーザーに合った提案や回答を提供できるように、時間をかけて学習します。詳しくは、Google のプライバシー ポリシーをご覧ください。 データストレージ 私が Google Home に対して行った質問や、Google Home がこれまでに受けた質問の内容を確認することはできますか？ [マイ アクティビティ]（myactivity.google.com）のアシスタント履歴、またはセットアップ アプリの [マイ アクティビティ] から、質問内容を確認したり、必要に応じて質問を削除したりできます。 データセキュリティ Google に保存されている情報は安全に保たれていますか？ ユーザーのセキュリティを守ることは、Google における最優先事項です。ユーザーのデータが安全に保たれなければ、プライバシーは守られません。堅牢なセキュリティを実現するために、Google のサービスを常に先進的なセキュリティ インフラストラクチャで保護するようにしています。また、 Google Home の会話はデフォルトで暗号化されています。 デ...

Androidスマートフォンのセキュリティ気にすること 以下の２つを気にしておく。 アプリの権限を見直す 外部ストレージ（SDカード）に大事な情報は入れない Androidの情報管理の仕組み Androidのデータの考え方は大きく分けて3つ。 内部データ（Internal Storage） 外部データ（External Storage） コンテンツプロバイダ（Content Provider） 内部データ アプリケーションはサンドボックス化されている。つまり、それぞれのアプリケーションが内部的に独自の環境を持っており、原則他のアプリケーションにアクセスすることはできない。 仮に、個人情報等を入れたとしても、他のアプリケーションはアクセスできないので、安心して保管できる。 外部データ SDカードなどの本体とは独立したストレージを指す。外部データには、すべてのアプリケーションがアクセスできる。故に、機密データを入れると、他のアプリケーションにもアクセスされる可能性を内包していることになり、セキュリティ的には相応しくない。 セキュリティにこだわらない情報のみにすることにしよう。 コンテンツプロバイダ アプリ間のデータのやり取りが全くできないのは不便である。なので、アプリ側でやり取りを行う機構を作っておくことができる。これを コンテンツプロバイダ という。 コンテンツプロバイダによってアプリ間でのデータのやり取りができる。例えば、連絡先に登録されている番号や情報をコンテンツプロバイダが設計した範囲で取得したり、記録したりできる。 ただし、コンテンツプロバイダは、 ユーザーの許可 が必要になる。これは、現行のアンドロイドの環境であれば、アプリの権限と呼ばれるものにあたる。 連絡先などそういった他のアプリケーションに対する内部データの参照や編集をすることである。 逆に言えば、 アプリの権限で拒否すればコンテンツプロバイダの機能を他のアプリは使用できない。 例えば連絡先の権限を拒否すれば、連絡先の番号に関する情報などが流れることはない。 アプリの権限の見直し Android6.0以降であれば、以下のヘルプを参考に見直そう https://support.google.com...

目的 まともにソフトも入れられないような環境にいる会社員にはPowerShellがある！ という気持ちを元に、PowerShellでXMLスキーマを生成する方法を書く。 PowerShellバージョン Name Value ---- ----- PSVersion 5.1.17763.134 PSEdition Desktop PSCompatibleVersions {1.0, 2.0, 3.0, 4.0...} BuildVersion 10.0.17763.134 CLRVersion 4.0.30319.42000 WSManStackVersion 3.0 PSRemotingProtocolVersion 2.3 SerializationVersion 1.1.0.1 サンプルファイル 昨日の記事で出したS-ZEDIのサンプルファイルを利用。 sample.xml <?xml version="1.0"?> <EDIInf1> <SubsetSpecifiedID>Z01</SubsetSpecifiedID> <BusinessProcessSpecifiedID>001</BusinessProcessSpecifiedID> <ExchangedDocumentID>123456-01</ExchangedDocumentID> <IssueDateTime>20181225</IssueDateTime> <IssuerAssignedID>A-123456</IssuerAssignedID> <PayerID>1234567890123</PayerID> <PayeeID>3456789...

ZEDIとは ZEDIは、全銀EDIシステムの愛称である。 企業の決済事務の効率化、生産性の向上に向けて、企業間の銀行送金電文に取引明細情報や、 まずもってEDIとは EDI情報と呼ばれる振込などの際に付加できる情報があるが、現在は 20文字程度 である（参考： セブン銀行FAQ ） せいぜい、振り込んだ人の氏名だけ、とか、商品名だけ、とか、注文番号だけ、といった限られた情報しか送ることができず、振込情報と紐付ける情報としては十分とはいえなかった。 それにより、極めて限られた情報で振込情報と実際の注文とを比べることしかできず、自動的に作業ができる余地は限られていた。 ZEDIではEDI情報はどうなるか ISO20022の適用 XML情報として紐付けることができる。XML情報での上限は不明だが、実証実験では ISO20022（金融通信メッセージの国際規格） に基づいた電文で実験されており、実際に運用開始された場合にもそれに準拠した情報が授受できると考えられる。 参考： https://www.zengin-net.jp/company/pdf/180115_paper2.pdf ISO20022によって事務はどうなるか 振込情報に具体的な情報を付与することができる。それにより、支払事務の効率化や受け取り側の消込作業を、現状よりも確実性を高めて機械化することができる。 具体的にどのような情報を付与できるか 具体的には、“支払通知番号”“支払通知発行日”“請求書番号”などを多く付与することができる。 また、XML自体は、拡張可能なマークアップ言語なので、支払側・受取側の双方の仕様があってさえいれば、どのような情報でも付加できる（はず） ただし、全銀ネットワークのホームページを見る限り、「 全銀EDI情報標準登録制度 」というものがあり、標準化を目指した運用がされることが実際の動きに成ると思われる。 この「 全銀EDI情報標準登録制度 」によって現在わかっているのは人全国銀行資金決済ネットワーク（以下「全銀ネット」）が示しているシンプルなもの一つ（S-ZEDI）であるが、運用開始にともなって企業によって増えるものと思われる。 S-ZEDI 概要 全銀ネットが用意する、S-ZEDIは...

サイバーセキュリティ基本法の改正案が現在行われている第１９６回国会において閣法の第四五号として提出されているので紹介する。 改正理由 サイバーセキュリティに対する脅威の一層の深刻化に鑑み、 サイバーセキュリティに関する施策の推進に関し必要な協議を行うため 、サイバーセキュリティ戦略本部長及びその委嘱を受けた国務大臣その他関係事業者等を構成員とする サイバーセキュリティ協議会を組織する ものとするとともに、サイバーセキュリティに関する 事象が発生した場合における国内外の関係者との連絡調整 に関する事務を サイバーセキュリティ戦略本部の所掌事務に追加する 等の必要がある。これが、この法律案を提出する理由である。   議案 より抜粋 主な改正内容 改正内容については、サイバーセキュリティ戦略会議の第１７回開催資料７を参照すると整理されている。 PDF サイバーセキュリティ協議会の創立（案第十七条） 以下の団体等を構成員とした戦略会議よりも広域な会議体を創立する。上のPDFのとおり、団体横断的な情報共有や対策の協議等を目的としている。 構成員 国の行政機関 地方公共団体 重要インフラ事業者 サイバー関連事業者 教育研究機関 有識者 イメージ図（サイバーセキュリティ戦略会議の第１７回開催資料７から抜粋） サイバーセキュリティ戦略本部による連絡調整の推進（案第二十六条第一項第四号） 戦略本部と国外の政府や組織との情報連携を目的としている。 外部委託の規定（案第三十一条） 戦略本部の事務に関する外部委託が可能とすること（改正前から可能）の明確化。特に、既存部と上の国外に関するところの区分を明確化している模様。 参考先 現行サイバーセキュリティ基本法（e-gov） 改正案 第１７回サイバーセキュリティ戦略本部　資料７ 現行法と改正案の改正点を整理したもの 以下に、現行法と改正案の改正点を整理したものを示す。なお、この文は、筆者が編集したものであって、正しい解釈については改正案を個人において参照してください。 平成二十六年法律第百四号 サイバーセキュリティ基本法 目次 第一章 総則（第一条―第十一条） 第二章 サイバーセキュリティ戦略（第十二条） 第三章 ...

サイバーセキュリティ戦略本部に関する事務を担当する国務大臣 サイバーセキュリティ戦略本部の副本部長であり、本部長（内閣官房長官）の職務を助けるものである。（サイバーセキュリティ基本法（以下「法」という。）第二十八条） そもそもサイバーセキュリティ戦略や同戦略本部とは？ サイバーセキュリティ戦略 サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画で、政府が定めなければならないと法で定められている。（法第十二条） 直近のサイバーセキュリティ戦略（以下「戦略」という。）は、2018年7月27日に閣議決定されている。 PDF それによると、以下の戦略の目的として５つの原則（戦略３．１．（３））を、政府のサイバーセキュリティの基本的なあり方として３つの観点（戦略３．１．（２））を掲げている。 サイバーセキュリティに関する施策の立案及び実施に当たって従うべき基本原則 情報の自由な流通の確保 法の支配 開放性 自律性 多様な主体の連携 サイバーセキュリティの取組（中略）を進めるに当たって求められる３つの観点 サービス提供者の任務保証 リスクマネジメント 参加・連携・協働 サイバーセキュリティ戦略本部 サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、内閣におかれた機関（法第二十四条）。担う事務の一つに、「サイバーセキュリティ戦略の案の作成及び実施の推進に関すること」がある（法第二十五条）。 つまり、先の戦略について具体的な内容が議論され詰められるところである。 ただ、あくまで本部は政府大臣や有識者によって構成されるものであり、具体的な文案作成等は「内閣サイバーセキュリティセンター（NISC）」が行っている。 内閣サイバーセキュリティセンター（略称NISC）って？ 内閣官房内の組織であり、次のような業務を行い、サイバーセキュリティ戦略本部をサポートする（内閣官房組織令（昭和三十二年政令第二百十九号）） 情報システムに対する不正活動の監視・分析 重大事象の原因究明調査 行政各部に対する監査等 サイバーセキュリティに関する企画・立案、総合調整 で、結局の所、「サイバーセキュリティ戦略本部に関する事務を担当する国務大臣」は具体的に何...

注意：以下は、原文をGoogle翻訳したもので仮訳であり、この内容の正確性については保証いたしかねます。正確な理解のため、原文も参照してください。 プレス・リリース ＜原文＞ 2018年11月12日 FSB、Cyber​​ Lexiconを発表 金融安定委員会（FSB）は本日、今年初めに公開協議を行い、サイバーレキシコンを発行した。このレキシコンは、金融分野におけるサイバーセキュリティとサイバーレジリエンスに関連する約50のコア用語からなる。 サイバーレキシコンは、FSB、標準設定機関、当局および民間セクターの参加者、例えばFSBの作業をサポートすることを目的としています。金融機関や国際標準化団体などと協力して、金融セクターのサイバー・レジリエンスに取り組んでいます。レキシコンは、次の分野の作業をサポートするのに役立ちます。 •関連するサイバーセキュリティとサイバー耐性用語のクロスセクター共通理解。 筆者注1 •サイバーリスクシナリオの財務安定性リスクを評価および監視するための作業。 •適切な情報共有。そして •効果的な練習の特定を含む、サイバーセキュリティとサイバーレジリエンスに関するガイダンスを提供するため、FSBおよび/または標準設定機関による作業。 例えば、Cyber​​ Lexiconは、サイバーインシデントへの金融機関の対応や回復に関連した効果的なプラクティスを開発するために、最近発表されたFSBプロジェクトの作業を支援するために使用されます。このプロジェクトの進捗状況レポートは、2019年中頃に発行されます。 FSBは、2017年10月のG20財務大臣と中央銀行総裁からの要請に応じて、レキシコンを作成した。 FSBは、既存の公的に利用可能な規制および監督慣行について、 金融セクターにおけるサイバーセキュリティを尊重する。 レキシコンは今月末にブエノスアイレスのG20首脳会議に引き渡される予定です。 FSBは本日、昨年7月に公開されたパブリック・コンサルテーションで提起された問題を要約し、それに対処するために辞書に加えられた主な変更を説明するサイバー・レキシコンに関する公開コンサルテーションへの対応の概要を発表した。パブリックコンサルテーションに対する個々の回答は、FSBのウェブサイトで入手できます。 編...