情報処理推進機構は2月16日、Webサイト運営者がWeb Application Firewall（WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を無償で公開した。

Web Application Firewall（WAF）は、Webアプリケーションの脆弱性を悪用した攻撃などからWebアプリケーションを保護するソフトウェア及びハードウェア。WAFは、導入したWebサイト運営者が設定する検出パターンに基づいて、Webサイトと利用者間の通信の中身を機械的に検査する。WAFを利用することで、脆弱性を悪用した攻撃からWebアプリケーションを防御する、脆弱性を悪用した攻撃を検出する、複数のWebアプリケーションへの攻撃をまとめて防御するといった効果が期待できる。

「Web Application Firewall 読本」は、WAFの導入を検討する際に、WAFの理解を手助けするための資料。WAFの概要、機能の詳細、導入におけるポイント等がまとめられている。Web Application Firewall 読本は、Webサイトから無償でダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

フィンランドのF-Secureは2月16日（現地時間）、Androidプラットフォーム向けのスマートフォンセキュリティ製品｢F-Secure Anti-theft for Mobile｣と｢F-Secure Mobile Security｣を発表した。

｢F- Secure Anti-theft for Mobile｣は、紛失や盗難時の遠隔からのデータ消去や操作ロックによって、銀行の詳細情報、事業計画、個人的なメールや写真などの情報を消去し、ユーザのプライバシーと資産を保護する。

｢F-Secure Anti-theft for Mobile｣は、所有者が失くしてしまったスマートフォンにSMSメールを送信することで、遠隔からデータ消去や操作のロックを行うことができる。また、SIMカードが変更されると、そのスマートフォンはロックがかかり、新しいSIM情報を所有者に送信する。

「ブラウザ保護」は、クラウド上で危険なWebサイトの情報を共有するもので、今回初めて｢F-Secure Mobile Security｣を含むスマートフォンを対象にした製品に採用された。ユーザが危険なWebサイトにアクセスしないようユーザに注意を促す機能。ユーザが危険なウェブサイトにアクセスしないよう、事前に警告する。

なお、2月16日現在、｢F-Secure Anti-theft for Mobile｣と｢F-Secure Mobile Security｣は、日本国内では未発売。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

RSAセキュリティ
は2月1日、総務省が定めた2月2日「情報セキュリティの日」に向けて、情報漏えい、事故を企業が予防するためのセキュリティ指標として「情報漏えいを防止する5ヶ条」を発表した。

提唱された「企業の情報漏えいを防止する5ヶ条」は以下の通り。

○第1条 自社のビジネスに重要な情報が「何であるか」を知る
重要なデータとは、事業を継続、発展させていくために不可欠な情報と定義する。言い換えると「リスクが高い情報」となる。対応の優先順位を明確にするために重要度をつける。

○第2条 情報が「どこにあるか」を把握する
情報はデータベースのみならず、アプリケーションのプロセス、ネットワーク、アウトプット（プリンタ、USBメモリ、個人用PCなど）にも存在する。

○第3条 情報に対する「リスク」を知る
脅威、脆弱性、被害回復にかかる時間とコストから推定する。想定する重要ポイントは「どのデータを誰が欲するか」を考察すること。

○第4条 リスクに対して「セキュリティ対策」を施す
対策は、最も重要なデータを優先し、重要度の区分に相応する対策を実施する。対策は、重要データを中心に置いて多重に施すのが理想。

○第5条 セキュリティ対策を継続的に「監視」する
ビジネス同様、情報も時間経過により重要度が変化する。セキュリティ対策も、定期的に効果と効率を見直し、改善を重ねながら継続することが推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

富士通フロンテックと富士通は1月5日、非接触型手のひら静脈認証装置の新製品ラインナップ強化として、新製品の発表と現行製品の機能向上を発表した。

新製品は、高セキュリティ性を維持しながら利用用途をPCログイン機能に特化することで、静脈認証としては初の1万円台という低価格を実現したセンサー装置「PalmSecure-LT」。同製品は、スタンドアロン型およびサーバ型の両方に対応するソフトウェアと共に提供され、パスワード漏洩や不正侵入などに対応する。

また、機能向上については、現行の「PalmSecure」に対し、静脈認証において1：1,000の認証を高速で実現する認証機能の拡張を行った。この機能拡張により、従来認証時に必要であったIDカードやパスワードが不要となり、高い精度での「手ぶら認証」が実現する。これにより、大規模ICTシステムにおいても手のひら静脈認証を容易に導入できる。また、グルーピング、マルチサーバ等の技術と組み合わせることで、さらに大規模な手ぶら認証システムの構築が可能となる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
PalmSecure-LT
PalmSecure

ソニーは12月2日、小型のUSB接続指静脈認証ユニット「FVA-U1」の発売開始を発表した。

「FVA-U1」では、静脈情報をユニット内にセキュアに格納し、ネットワークを経由せずに登録から認証までをユニットだけで行うことが可能。その結果、静脈情報がネットワーク上に流出する危険が少なく、持ち運び可能な指静脈認証ユニットとして利用できる。また、同社の指静脈認証技術mofiriaを採用し、指位置を厳密に固定しなくても認証を行うことができる。また、同社のプレスリリースによると、2009年12月時点でユニットは世界最小、最軽量だという。

「FVA-U1」の市場推定価格は約30,000円。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

情報処理推進機構　ソフトウェア・エンジニアリング・センター（IPA/SEC）は9月11日、情報システム供給者と情報システム利用者の双方がシステムの安全性・信頼性に対する作業の実施状況を診断する「信頼性自己診断ツール」を開発、Webサイト上に公開した。

「信頼性自己診断ツール」は、9月4日に経済産業省が発表した「情報システムの信頼性向上に関する評価指標」に準拠した初のツール。情報システム供給者と情報システム利用者を対象に、システム構築において安全性・信頼性に関する作業の実施状況を確認し、診断結果から、システム自体の信頼性を確認する。診断結果は、各回答の得点を棒グラフで表示すると共に、全回答を14個の診断項目に配分し、それぞれを得点率でレーダーチャートに表示する。

ツールの質問分野は、「1.信頼性・安全性向上に向けての全般的配慮事項」「2.企画・要件定義・開発及び保守・運用全体における事項」「3.技術に関する事項」「4.人・組織に関する事項」「5.商習慣・契約・法的要素に関する事項」に分かれている。

動作環境は、OSにWindows XPまたはVistaと、Excel 2003/2007が必要。「信頼性自己診断ツール」は、Webサイトからダウンロード・利用できる（ダウンロードには利用者登録が必要・無償）。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

日立製作所は8月26日、厚さ3ミリメートルの薄型指静脈認証モジュールを開発したと発表した。

指静脈認証は、同社が2000年に基本技術を確立した、指に近赤外光を透過させて指の静脈パターンを観察・認証する生体認証技術。今回、指静脈パターンの撮影用センサとして、新たに薄型非接触フラットセンサを開発し、指静脈認証モジュールの大幅な薄型化を可能にした。また、太陽光などの外光がセンサに当たっても、指静脈パターン読み取りの影響を軽減する技術を開発し、実用化に向けた利便性を高めた。本開発により、指静脈認証を、従来はスペースの関係から難しかったモバイル機器、自動車、住宅など、さまざまな分野のセキュリティに応用することが可能になるという。

同社は、今回開発した技術を用いて、厚さが3ミリメートルの指静脈認証モジュールを開発し、本モジュールと撮影データと登録データの照合を行なう外付けの認証処理部から構成される薄型指静脈認証装置を試作した結果、非接触の個人認証が行なえることを確認したという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

ネットエージェントは6月2日、自宅へ持ち帰った業務ファイルを消去・回収するソフトウェア「Work/Life Separator」の発売開始を発表した。

最近では、メールやUSBメモリにより、業務用のファイルを自宅に持ち帰り、自宅で作業の続きをしてまた会社に送るというケースが増えている。しかし、一旦作業をした業務ファイルが自宅のパソコンに残ったままの状態、というケースが多いのが現状で、Winnyなどに代表されるP2Pファイル共有ソフト経由の情報漏えい事件が多発している。

「Work/Life Separator」は、自宅のPCにCD-ROMをセットすることで、会社関係のファイルを自動的に見つけ出し、ファイル回収専用サーバにそのファイルをアップロードするソフトウェア。自宅PCからはファイル復旧ソフトを使ってもファイルが復元できないよう、完全に削除する。暴露ウイルスの感染暦も調査可能。

「ファイル回収サーバ」は、WebDAVサーバで128bit暗号鍵を利用したSSL通信のみを許可し、1つのCD-ROMに1つ割り当てられるIDごとにディレクトリが作成される。

対象ファイル形式は、Microsoft Word/Excel/PowerPoint、リッチテキスト、一太郎、PDF、HTML、Lotus-123、Outlook Express (.eml, .dbx)など。

(川原 龍人/びぎねっと)

[関連リンク]
製品情報

キヤノンITソリューションズは5月12日、総合セキュリティソフトの最新版「ESET Smart Security V4.0」および、ウイルス・スパイウェア対策ソフトの最新版「ESET NOD32アンチウイルス V4.0」を発表した。販売開始は、パッケージ製品とダウンロード製品は6月12日、ライセンス製品は7月1日。

新バージョンでは、リムーバブルメディアのアクセス制御機能など、いくつかの保護機能が追加されている。また、CDやUSBメモリからブート起動できるようになり、ウイルスの検査や駆除を行えるようになった。万が一コンピュータがウイルス被害にあった場合でも、事前に作成したレスキューCDを用いてウイルス駆除が行える。

対応OSは、「ESET Smart Security V4.0」がMicrosoft Windows XP/Vista、「ESET NOD32 アンチウイルス V4.0」がMicrosoft Windows 2000/XP/Vista（32/64bit版双方）。販売価格は、「ESET Smart Security V4.0」のパッケージ版が6,800円、 ダウンロード版が4000円。本数限定の2ユーザー版（6,800円）もある。「ESET NOD32 アンチウイルス V4.0」は、パッケージ版が4,800円、ダウンロード版は3,200円。いずれも登録後、1年間のサポートおよびオンラインによるプログラムとウイルス定義データベースのアップデートが利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース
製品情報

富士通研究所は4月17日、動いている手のひらからでも静脈認証が利用できる撮影技術を開発したと発表した。本技術により、1000分の1秒（1ミリ秒）程度の撮影時間で従来と同等の高い認証精度を確保でき、手のひらがセンサーの上を通過するだけで認証を行うことが可能になるという。

従来の手のひら静脈認証技術では、センサー上に手のひらをかざし、静止させた上で静脈画像を撮影していた。しかしこの方法では、利用できる用途が限られてしまうという弱点があった。今回、1ミリ秒程度の短時間の撮影で十分な画質を得られるよう、照明の制御および撮影用光学系の構成を最適化した。さらに、高速撮影モジュールで撮影した連続撮影画像の中から、認証に最適な画像を自動的に識別する機能も新規に開発した。この結果、歩く速度に相当する毎秒1メートル程度の手のひらの動きに対しても鮮明な画像を撮影し、静脈認証を行うことが可能になるという。

手のひら静脈認証は、「体内情報であるため偽造が困難」「外部条件の影響を受けにくいため、高い適用率を実現」「非接触であるため、利用者の抵抗感が少ない」といったメリットがあり、非接触ICカードを駅の改札にかざすような軽快な感覚で、手のひら静脈による本人認証を行うことが可能となる。

試作基板のサイズは9cm×7cm。今後は、撮影モジュールの小型・低コスト化、実用化のために必要な課題解決に向けた技術開発を進め、製品化を目指す。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース