RetroEngine

※mixiの方で土曜通っているセキュリティ関連の授業内容について日記書いていたのですが、こちらに移動することにします。

午前中は「情報通信サービス品質」前編。QoSやらSLAの話。って本業で扱っている分野なので、「SLAが何を保証しているか」程度は知っていたのですが、ポアソン分布・アーラン分布・待ち行列理論（トラヒック理論）など数式がいきなり多数登場でむきーっ。何がつらいって、脳みそ経年劣化で短期記憶がかなりやられていて、数行前に登場したみゅーやでるたなどが何を指しているか途中で忘れてしまうところだみゅー。しかし、トイレやATMのフォーク並びは、理にかなっているのだと理解しました（ランダム到着を処理する際、指数分布処理時間の方式で、1)複数装置を独立に使う、2)複数装置を共通に使う、3)高速装置1台でまかなう、の三つを比較するならば、装置使用率が等しい場合、3->2->1の順で速くなります。通常の3倍速以上で出金するATMや目にも留まらぬ速さでトイレをすませられる技術などが登場しない限り、フォーク並びが良いですね）。

午後は「公的個人認証サービスとPKI基盤」最終回。実習で、VMWARE上でJNSA相互運用テストスィートを使い（参考：Challenge PKI Project）、認証局をつくって証明書を発行しました。若干、「これって、カラムを間違いがないように注意深く埋めるのだけがポイントなのでは…」というような気がしたですが、信頼点からちゃんと認証パスが作れて楽しかったです。

講師の方に質問してみたのですが、本気でPKIをつくるためには、証明書生成についてはオープンソースツールでまかなえるものの、CAの鍵を管理するHSM（Hardware Security Module）の方にちょっとお金がかかってしまうんだそうな。米国政府調達基準であるFIPS 140-1 レベル3認定が必要だそうですが。ちなみに、レベル4認定だと、環境変化（=盗難）などを察知して装置が自殺したりするんだそうですよ。わー。スパイ大作戦みたい。

先週はお休みしてしまったので気合入れなおし。

午前中は「情報管理-個人情報保護法、営業秘密の管理、裁判のための文書管理」。弁護士の先生による情報セキュリティ関連の法律の授業。

NDA（秘密保持契約）って外注に業務委託を行う際に、慣習的にといいますか、漫然とといいますか、「法務部がそう言ってるんなら」的に包括的な契約を結びがちですが、開示されたすべての情報を受領者が守秘するのは事実上不可能であり、実際に紛争になった場合、公序良俗違反として無効になるリスクがあるのだそうな。なので、秘密保持義務の対象となる情報かそうでない情報を明確にして、認識を一致させるようにすることが重要とのこと。具体的には、守秘義務がある情報には「マル秘」「Confidential」などの表示を入れておく必要があるのだそうです。うーむ。正直、これまでそんなに厳密には表示を入れていなかったような気も。

午後は「セキュリティシステム構築法」。具体的にはファイアウォール・IDS・VPN・迷惑メール対策の話。みんな本業の会社の売りものではありませんか。とはいえ、SPF/SenderIDの仕組みの話とか、会社でわざわざ教えてもらう機会もないので参考になりました。最後に演習としてNessusで演習室マシンの脆弱性チェックを行いましたよ。しかし、（当然のことながら）あまりセキュリティホールが見つからず、ちょっとつまんなかったり。もっとぼっこぼこな穴を見つけてみたかったり。