NEKOLAB

タイトルをクリックするとその詳細が表示されるものをCSSだけで実装するものを仕事のなかで作った。 インターネットで参考にしたものをちょろっと変えたものだけれど。 CSSで実装できるのは、作るのも簡単だし見栄えもいいのでとてもいい。 参考元： https://saruwakakun.com/html-css/reference/accordion 表示されるブラウザの様子 HTML+CSS <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <title>ラベルをクリックすると詳細が表示される</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <style type="text/css"> <!-- /* スタイルシート 外出したほうがいい */ /* ラベルをあわせるとマウスポインタを変更 */ .content label { background-color: #cccccc; cursor :pointer; display: block; } /* チェックボックスは不可視にする */ .content .chklbl { display: none; } /* 詳細は通常不可視にする */ .content .detail { background-color: #666666; padding-left: 1em; display: none; } /* ラベルをクリックする（内部的にチェックする）と、 詳細を可視化する */ .chklbl:checked + label + .detail { display: block; } /* ラベルの冒頭に＋を表示 */ .content label

セキュリティやIT人材が不足しているなどのニュースが出始めて久しい。 個人的にもセキュリティについていろいろ勉強しないとなあと考えている。 そこでどういったスキルが必要なのか、指標となりそうなものを調べてみた。 シーサートとは？ ITセキュリティについて、組織的に考えると、切れないものがシーサートだ。 日本シーサート協議会では以下のように述べられている。 要するに、 企業のなかでITセキュリティに関する専門部隊 を指す。 シーサート (CSIRT: Computer Security Incident Response Team) とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 引用元：日本シーサート協議会とは http://www.nca.gr.jp/outline/index.html シーサート人材には何が必要か 冒頭の画像は、日本シーサート協議会が公表している「CSIRT人材の定義と確保」のなかのページで、4分類の15の役割が述べられている。 CSIRT 人材の定義と確保 Ver.1.5 http://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf 資料の中では細かく紹介されているが、必要とされる分野を整理すると、 情報共有 情報収集・対応 インシデント管理 自組織内教育 が挙げられている。セキュリティ知識は必要となるのは言うまでもないが、それよりも組織内でどのように情報を撹拌するか、インシデントなどの情報を集約できるか、などの組織運営や折衝力・コミュニケーション能力に関する、人的な観点も多く見受けられる。 また、海外のセキュリティ情報の収集のため、英語能力なども求められているようだ。 ただ、一貫した基礎能力としては「ITSSレベル２程度の基礎的なITリテラシー」といった表記が目立つ。 ◆レベル2 　上位者の指導の下に、要求された作業を担当します。プロフェッショナルとなるために必要な基本的知識・技能を有する。スキル開発においては、自らのキャリアパス実現に向けて積極的なスキルの研鑽

Android 9.0でスマホ中毒防止用のアプリが導入されたそうだ。 なので、自分のPixel3を確認してみた。 スマホ中毒を防止するGoogle製のAndroidアプリ「Digital Wellbeing」が正式版に／「Android 9.0 Pie」を搭載するすべてのGoogle Pixe… https://t.co/c1fJlOOT5f pic.twitter.com/Pxo8EVIMwb — 窓の杜 (@madonomori) November 26, 2018 Digital Wellbeingの開きかた 通常のアプリでなく[設定]に組み込まれているようだ。 [Digital Wellbeing]の項目をタップする。 Digital Wellbeingで見れるもの 下の画像のように使用したアプリを円グラフで見ることができる。 ロックを解除したときのアプリやアプリの通知数もそれぞれをタップすると詳細が見れるようだ。 また、「アプリタイマー」といった仕様を制限するためのタイマーを設定することもできる。 では使うかというと…。 スマホ中毒と自覚してスマホを控えたい…！という強い思いがある人にとっては一助になるかもしれない…。でも、自分は使わないだろうなあ。 スマホの使用状況を確認できるのは面白いと感じた。

Google Homeなどの音声デバイスが活用され始めているが、セキュリティに付いて気になったので調べた。以下のことを注意したい。 Ok, Googleなどのキーワードを言ったものが保存されている それ以外の音声は「外部に送信されない」とされている。 データは音声とテキストで保存される ただし、外部サービスに提供する場合はテキストのみ。 保存したデータはマイアクティビティから確認したり削除できる。 ちなみに、実際発声した音声は[マイ アクティビティ]（ myactivity.google.com ）から聞けます。 以上。 以下は、気になったものを一部引用した。 Google Home のデータ セキュリティとプライバシー https://support.google.com/googlehome/answer/7072285?hl=ja データの収集 Google が収集するのはどのようなデータですか？ Google は 、ユーザーにとってより迅速で、スマート、適切、便利なサービスの提供を実現するためのデータを収集します。 Google Home は、より的確でユーザーに合った提案や回答を提供できるように、時間をかけて学習します。詳しくは、Google のプライバシー ポリシーをご覧ください。 データストレージ 私が Google Home に対して行った質問や、Google Home がこれまでに受けた質問の内容を確認することはできますか？ [マイ アクティビティ]（myactivity.google.com）のアシスタント履歴、またはセットアップ アプリの [マイ アクティビティ] から、質問内容を確認したり、必要に応じて質問を削除したりできます。 データセキュリティ Google に保存されている情報は安全に保たれていますか？ ユーザーのセキュリティを守ることは、Google における最優先事項です。ユーザーのデータが安全に保たれなければ、プライバシーは守られません。堅牢なセキュリティを実現するために、Google のサービスを常に先進的なセキュリティ インフラストラクチャで保護するようにしています。また、 Google Home の会話はデフォルトで暗号化されています。 デ

Androidスマートフォンのセキュリティ気にすること 以下の２つを気にしておく。 アプリの権限を見直す 外部ストレージ（SDカード）に大事な情報は入れない Androidの情報管理の仕組み Androidのデータの考え方は大きく分けて3つ。 内部データ（Internal Storage） 外部データ（External Storage） コンテンツプロバイダ（Content Provider） 内部データ アプリケーションはサンドボックス化されている。つまり、それぞれのアプリケーションが内部的に独自の環境を持っており、原則他のアプリケーションにアクセスすることはできない。 仮に、個人情報等を入れたとしても、他のアプリケーションはアクセスできないので、安心して保管できる。 外部データ SDカードなどの本体とは独立したストレージを指す。外部データには、すべてのアプリケーションがアクセスできる。故に、機密データを入れると、他のアプリケーションにもアクセスされる可能性を内包していることになり、セキュリティ的には相応しくない。 セキュリティにこだわらない情報のみにすることにしよう。 コンテンツプロバイダ アプリ間のデータのやり取りが全くできないのは不便である。なので、アプリ側でやり取りを行う機構を作っておくことができる。これを コンテンツプロバイダ という。 コンテンツプロバイダによってアプリ間でのデータのやり取りができる。例えば、連絡先に登録されている番号や情報をコンテンツプロバイダが設計した範囲で取得したり、記録したりできる。 ただし、コンテンツプロバイダは、 ユーザーの許可 が必要になる。これは、現行のアンドロイドの環境であれば、アプリの権限と呼ばれるものにあたる。 連絡先などそういった他のアプリケーションに対する内部データの参照や編集をすることである。 逆に言えば、 アプリの権限で拒否すればコンテンツプロバイダの機能を他のアプリは使用できない。 例えば連絡先の権限を拒否すれば、連絡先の番号に関する情報などが流れることはない。 アプリの権限の見直し Android6.0以降であれば、以下のヘルプを参考に見直そう https://support.google.com

目的 まともにソフトも入れられないような環境にいる会社員にはPowerShellがある！ という気持ちを元に、PowerShellでXMLスキーマを生成する方法を書く。 PowerShellバージョン Name Value ---- ----- PSVersion 5.1.17763.134 PSEdition Desktop PSCompatibleVersions {1.0, 2.0, 3.0, 4.0...} BuildVersion 10.0.17763.134 CLRVersion 4.0.30319.42000 WSManStackVersion 3.0 PSRemotingProtocolVersion 2.3 SerializationVersion 1.1.0.1 サンプルファイル 昨日の記事で出したS-ZEDIのサンプルファイルを利用。 sample.xml <?xml version="1.0"?> <EDIInf1> <SubsetSpecifiedID>Z01</SubsetSpecifiedID> <BusinessProcessSpecifiedID>001</BusinessProcessSpecifiedID> <ExchangedDocumentID>123456-01</ExchangedDocumentID> <IssueDateTime>20181225</IssueDateTime> <IssuerAssignedID>A-123456</IssuerAssignedID> <PayerID>1234567890123</PayerID> <PayeeID>3456789

ZEDIとは ZEDIは、全銀EDIシステムの愛称である。 企業の決済事務の効率化、生産性の向上に向けて、企業間の銀行送金電文に取引明細情報や、 まずもってEDIとは EDI情報と呼ばれる振込などの際に付加できる情報があるが、現在は 20文字程度 である（参考： セブン銀行FAQ ） せいぜい、振り込んだ人の氏名だけ、とか、商品名だけ、とか、注文番号だけ、といった限られた情報しか送ることができず、振込情報と紐付ける情報としては十分とはいえなかった。 それにより、極めて限られた情報で振込情報と実際の注文とを比べることしかできず、自動的に作業ができる余地は限られていた。 ZEDIではEDI情報はどうなるか ISO20022の適用 XML情報として紐付けることができる。XML情報での上限は不明だが、実証実験では ISO20022（金融通信メッセージの国際規格） に基づいた電文で実験されており、実際に運用開始された場合にもそれに準拠した情報が授受できると考えられる。 参考： https://www.zengin-net.jp/company/pdf/180115_paper2.pdf ISO20022によって事務はどうなるか 振込情報に具体的な情報を付与することができる。それにより、支払事務の効率化や受け取り側の消込作業を、現状よりも確実性を高めて機械化することができる。 具体的にどのような情報を付与できるか 具体的には、“支払通知番号”“支払通知発行日”“請求書番号”などを多く付与することができる。 また、XML自体は、拡張可能なマークアップ言語なので、支払側・受取側の双方の仕様があってさえいれば、どのような情報でも付加できる（はず） ただし、全銀ネットワークのホームページを見る限り、「 全銀EDI情報標準登録制度 」というものがあり、標準化を目指した運用がされることが実際の動きに成ると思われる。 この「 全銀EDI情報標準登録制度 」によって現在わかっているのは人全国銀行資金決済ネットワーク（以下「全銀ネット」）が示しているシンプルなもの一つ（S-ZEDI）であるが、運用開始にともなって企業によって増えるものと思われる。 S-ZEDI 概要 全銀ネットが用意する、S-ZEDIは

サイバーセキュリティ基本法の改正案が現在行われている第１９６回国会において閣法の第四五号として提出されているので紹介する。 改正理由 サイバーセキュリティに対する脅威の一層の深刻化に鑑み、 サイバーセキュリティに関する施策の推進に関し必要な協議を行うため 、サイバーセキュリティ戦略本部長及びその委嘱を受けた国務大臣その他関係事業者等を構成員とする サイバーセキュリティ協議会を組織する ものとするとともに、サイバーセキュリティに関する 事象が発生した場合における国内外の関係者との連絡調整 に関する事務を サイバーセキュリティ戦略本部の所掌事務に追加する 等の必要がある。これが、この法律案を提出する理由である。   議案 より抜粋 主な改正内容 改正内容については、サイバーセキュリティ戦略会議の第１７回開催資料７を参照すると整理されている。 PDF サイバーセキュリティ協議会の創立（案第十七条） 以下の団体等を構成員とした戦略会議よりも広域な会議体を創立する。上のPDFのとおり、団体横断的な情報共有や対策の協議等を目的としている。 構成員 国の行政機関 地方公共団体 重要インフラ事業者 サイバー関連事業者 教育研究機関 有識者 イメージ図（サイバーセキュリティ戦略会議の第１７回開催資料７から抜粋） サイバーセキュリティ戦略本部による連絡調整の推進（案第二十六条第一項第四号） 戦略本部と国外の政府や組織との情報連携を目的としている。 外部委託の規定（案第三十一条） 戦略本部の事務に関する外部委託が可能とすること（改正前から可能）の明確化。特に、既存部と上の国外に関するところの区分を明確化している模様。 参考先 現行サイバーセキュリティ基本法（e-gov） 改正案 第１７回サイバーセキュリティ戦略本部　資料７ 現行法と改正案の改正点を整理したもの 以下に、現行法と改正案の改正点を整理したものを示す。なお、この文は、筆者が編集したものであって、正しい解釈については改正案を個人において参照してください。 平成二十六年法律第百四号 サイバーセキュリティ基本法 目次 第一章 総則（第一条―第十一条） 第二章 サイバーセキュリティ戦略（第十二条） 第三章 基本的施

サイバーセキュリティ戦略本部に関する事務を担当する国務大臣 サイバーセキュリティ戦略本部の副本部長であり、本部長（内閣官房長官）の職務を助けるものである。（サイバーセキュリティ基本法（以下「法」という。）第二十八条） そもそもサイバーセキュリティ戦略や同戦略本部とは？ サイバーセキュリティ戦略 サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画で、政府が定めなければならないと法で定められている。（法第十二条） 直近のサイバーセキュリティ戦略（以下「戦略」という。）は、2018年7月27日に閣議決定されている。 PDF それによると、以下の戦略の目的として５つの原則（戦略３．１．（３））を、政府のサイバーセキュリティの基本的なあり方として３つの観点（戦略３．１．（２））を掲げている。 サイバーセキュリティに関する施策の立案及び実施に当たって従うべき基本原則 情報の自由な流通の確保 法の支配 開放性 自律性 多様な主体の連携 サイバーセキュリティの取組（中略）を進めるに当たって求められる３つの観点 サービス提供者の任務保証 リスクマネジメント 参加・連携・協働 サイバーセキュリティ戦略本部 サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、内閣におかれた機関（法第二十四条）。担う事務の一つに、「サイバーセキュリティ戦略の案の作成及び実施の推進に関すること」がある（法第二十五条）。 つまり、先の戦略について具体的な内容が議論され詰められるところである。 ただ、あくまで本部は政府大臣や有識者によって構成されるものであり、具体的な文案作成等は「内閣サイバーセキュリティセンター（NISC）」が行っている。 内閣サイバーセキュリティセンター（略称NISC）って？ 内閣官房内の組織であり、次のような業務を行い、サイバーセキュリティ戦略本部をサポートする（内閣官房組織令（昭和三十二年政令第二百十九号）） 情報システムに対する不正活動の監視・分析 重大事象の原因究明調査 行政各部に対する監査等 サイバーセキュリティに関する企画・立案、総合調整 で、結局の所、「サイバーセキュリティ戦略本部に関する事務を担当する国務大臣」は具体的に何

注意：以下は、原文をGoogle翻訳したもので仮訳であり、この内容の正確性については保証いたしかねます。正確な理解のため、原文も参照してください。 プレス・リリース ＜原文＞ 2018年11月12日 FSB、Cyber​​ Lexiconを発表 金融安定委員会（FSB）は本日、今年初めに公開協議を行い、サイバーレキシコンを発行した。このレキシコンは、金融分野におけるサイバーセキュリティとサイバーレジリエンスに関連する約50のコア用語からなる。 サイバーレキシコンは、FSB、標準設定機関、当局および民間セクターの参加者、例えばFSBの作業をサポートすることを目的としています。金融機関や国際標準化団体などと協力して、金融セクターのサイバー・レジリエンスに取り組んでいます。レキシコンは、次の分野の作業をサポートするのに役立ちます。 •関連するサイバーセキュリティとサイバー耐性用語のクロスセクター共通理解。 筆者注1 •サイバーリスクシナリオの財務安定性リスクを評価および監視するための作業。 •適切な情報共有。そして •効果的な練習の特定を含む、サイバーセキュリティとサイバーレジリエンスに関するガイダンスを提供するため、FSBおよび/または標準設定機関による作業。 例えば、Cyber​​ Lexiconは、サイバーインシデントへの金融機関の対応や回復に関連した効果的なプラクティスを開発するために、最近発表されたFSBプロジェクトの作業を支援するために使用されます。このプロジェクトの進捗状況レポートは、2019年中頃に発行されます。 FSBは、2017年10月のG20財務大臣と中央銀行総裁からの要請に応じて、レキシコンを作成した。 FSBは、既存の公的に利用可能な規制および監督慣行について、 金融セクターにおけるサイバーセキュリティを尊重する。 レキシコンは今月末にブエノスアイレスのG20首脳会議に引き渡される予定です。 FSBは本日、昨年7月に公開されたパブリック・コンサルテーションで提起された問題を要約し、それに対処するために辞書に加えられた主な変更を説明するサイバー・レキシコンに関する公開コンサルテーションへの対応の概要を発表した。パブリックコンサルテーションに対する個々の回答は、FSBのウェブサイトで入手できます。 編