情報処理安全確保支援士または、登録情報セキュリティスペシャリストの登録が始まった。

A+ a-

本日10月24日に、国家資格「情報処理安全確保支援士」取得についての資料がIPAで公開されました。




英語名は、Registered Information Security Specialist (RISS)」。通称は「登録情報セキュリティスペシャリスト(登録セキスペ)だとか.... 色々名前が出過ぎて覚えにくい...

(RISSのロゴマーク)


細かい内容は上記を見て頂くとして、自分が気になったことをまとめると
  • 受付期間:10月24日(月)~1月31日(火曜日)
  • 申告書類送付したら1カ月程度で、受付た旨と以後の審査スケジュールが電子メールで来る。
  • 登録書交付に合わせ今後の講習案内お知らせが届く(4月1日登録)→支援士情報公開
  • 申請できる資格試験を持っている人は2年以内に申請
  • 申請金額2万円ちょい
  • 講習会は、1年1回6時間のオンライン学習、3年に1回6時間の集合講習
  • オンライン(約2万円)・集合講習(8万~9万)3年で15万円前後に設定予定(え!!)
お金いっぱいかかりますね、しかも、これを持っていないと出来ない仕事というのが、まだ明確になってないという状況で、ちょっと申請するのを戸惑いますが、せっかくブログネタのために、情報処理セキュリティスペシャリストの試験を受けて取得したので、このまま突き進みます。

ざっと、申請書類を見てみました。

一通り申請書類


今回の申請で、「身分証明書」と「登記されていないことの証明書」という、非常に耳慣れない物が必要となる。
これは、情報処理安全確保支援士は、成年被後見人又は被保佐人の人はなれないという事で、該当しないという事を証明する書類らしい。
法務局と戸籍のある市町村役場で取得しなければいけないとの事で、何故?満載で良くわからなかったのでググってみた。

身分証明書と登記されていないことの証明書の関係

結論としては、平成12年までは、後見人がいるかいないかの記録が、市町村の戸籍に紐づいていたのが、その後法務局管轄になったということで、自分に後見人がいないことを証明するには、市町村の戸籍係と、法務局の両方から書類を取り寄せる必要がある

という事で、すっきりしたのですが、めんどくさ!

身分証明書

300円
自分の戸籍のある役場で取得する必要があるとの事、残念ながら戸籍は遠い田舎、親に取ってもらうのもめんどくさい、IPAのドキュメントでは、郵送で取得できるような事が書いてあるけど、自治体のHP見る限り、住民票とか戸籍謄本の郵送申請の仕方は細かいけど、レアな身分証明書は、申請書のPDFもなさそうだし、電話しないとわからない状況...

登記されていない事の証明書

法務局で取得可能
いつも行く、東京法務局台東出張所にいけばいいやと思ったら、「取り扱っていない事務事項」に該当。本局でしか取得できないとの事、めんどくさい。
郵送もできるけど、記載ミスとかあるとて戻り面倒なのと、法務局本局は行ったことないので(ネタになるかもしれないし)、持ち込みすることにする。

必要書類
  • 申請書(サンプル
  • 運転免許所(本人確認書)
  • 収入印紙:300円(法務局で買うのが確実)

住民票

戸籍の謄本もしくは妙本又は住民票の写し、これは、マイナンバーカードを持っているので、自分の自治体はコンビニで取れるので便利
300円

登録申請書


  • 登録申請書
  • 登録免許税(収入印紙9000円):郵便局で取得
  • 登録手数料(10700円):郵便局で振り込み

支援士試験の合格証明書のコピー


  • コピーするだけ
  • 0円

誓約書


  • 書くだけ
  • 0円

登録事項等公開届書類


  • 書くだけ
  • 0円

送付

簡易書留代金:570円

まとめ

私の場合一番のネックが、身分証明書ですね。1日でがーっと処理して、申請して、どや顔しようという目論見が消えました。テンションダウンです。
しかし、3万人がこの資格取って、一人5万/年で計算すると、15億年間売り上げかーと思うぐらいには経営者です。
取りあえず地方自治体に電話して、書類が一通りそろったら、またブログに書こうと思います。




RiskFinder 6.0(2016年7月版)リリース

A+ a-


本日、RiskFinder 6.0(2016年7月版)をリリースしました。
今回は新たに追加された機能や情報について簡単にお知らせしたいと思います。

情報処理セキュリティスペシャリスト試験に合格しました。

A+ a-

会社のブログで情報処理試験合格したー!という記事を書くのはどうかと思ったのですが、家に合格証が届いて結構嬉しかったので....


試験を受けた動機


情報処理試験は、情報処理2種を学生の時取ったきりで、他の資格は持ってませんでした。私の年代だと、会社で取れとか言われたりしないと、仕事と関係ある知識は自分で覚えるし、資格持っている=仕事ができるわけでもないしといった世代です。試験とかはまったく関心がなかったのですが、
今年の初めに、情報処理安全確保支援士というのができるというニュースがでました。「士」ということで、会計士とか税理士とかと一緒で、持っていないと出来ない仕事をこれから作るという話もあり、そうなると、できない仕事ができるとまずいなぁ、逆に何かセキュリティ的な仕事にチャンスがあるかな?と思い、過去問題をチラッとみてみたら、なんか数学の集合記号とか出てるし、なんか見たことあるけど、使わないから忘れたなーと....

しかたないから、会社で、「誰か情報処理セキュリティスペシャリスト試験うけてくれない?」と言ってみても、「あー試験は苦手だしー」とかだったり、だんまりだったりで誰も関心を示しませんでした。今まで会社として資格とか学歴とかは関係なく実力だと言っているわけだし、資格を取るようにも全く言ってないわけで、なんかチャンスあるかもしれないから、資格取ってよと言ってもね、今更そんな事言われても困るよねーと理解できます。
試験勉強とただ勉強すればいいわけじゃなくて、試験用の勉強しなくてはいけないので、めんどいよねーまぁそうだよねー自分もメンドクサイと思ったので人に振ったわけですし....

もう45歳超えてますし、テスト勉強したのは、もう何十年も前、記憶力もかなり衰えてきてますので、自分で受けても受かる気がしなかったのですが、取りあえず勉強にもなるわけですし、記念受験してみるかという事で出願をしました。(会社にはこっそりと...


IPAにアンドロイドアプリの脆弱性報告をした話

A+ a-

昨日(2016/5/30)日、IPAより「DMM.com証券製の複数の Android アプリにおける SSL サーバ証明書の検証不備の脆弱性」が公開されました。



今回この脆弱性は、リスクファインダー株式会社から報告させて頂きましたので、この件につきまして経緯や脆弱性報告手順について記載したいと思います。

SSLサーバ証明書の検証不備の脆弱性は、前から定期的に報告されていますが、なかなか減りません。アンドロイドアプリの脆弱性検査ツールを販売していていつも思うのは、自分の会社のソフトは大丈夫と思い込んでいる人が多い事です。
特に銀行や証券会社等は、お金を取り扱う会社ですので、セキュリティホールが見つかると顧客の資産に影響を与えます。
今回はDMM.com証券での脆弱性でしたが、過去には

まだまだありますが、スマホによるプライバシー情報の流出どころの話ではありません、ログインIDとパスワードが流出すると金銭を取られてしまうような業界のアプリで脆弱性が見つかっております。

既に上記のような事例が出ていますし、IPAから「プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を」といった形で注意喚起まで出ているので、てっきりこれらの金銭を取り扱う業界は、きちんとセキュリティ会社によるチェックをしており、まれに、このような脆弱性が出てくると思っていましたが、今年の5月頃に偶然上記リストにはない銀行のアプリのSSLサーバ証明書検知不備の脆弱性を見つけました。(報告修正済)同じ会社の別のアプリを調べるとこれもSSLサーバ証明書検知不備の脆弱性…。
SSLサーバー証明書不備の脆弱性は、検知するのが非常に簡単で、セキュリティ会社にチェックを依頼すれば必ず見つけ出させる種類の物です。まったくセキュリティチェックをしてないと思われます。

Androidアプリセキュア開発セミナーを開催します

A+ a-


半年にごとにセキュアスカイ・テクノロジーさんと共催しているAndroidアプリセキュア開発セミナーのお知らせです。
Nのプレビュー3が公開になっていますが、今回もセキュリティ周りの変更がいくつかあるようです。まだ正式リリースではないのできちんと説明することはできませんが、予告編的なお話はしてみたいと思っています。

概要
日時:2016年6月15日(水)10:00-17:00 (9:30受付開始)
会場:セキュスカイ・テクノロジー社セミナールーム(PMO 神田司町2F)
対象:Androidアプリケーションの企画、設計、開発のリーダー、およびマネージャ
費用:50,000円/人(税抜き)

詳細はこちら

ワイヤレスジャパン2016に出展します

A+ a-


今週水曜日から開催のワイヤレスジャパン(イベント詳細はこちら)。
リスクファインダー社も出展します!
ということで、今回は出展のお知らせです。

開催概要
開催日時:2016年5月25日(水)〜5月27日(金)10:00〜18:00(最終日17:00終了)
開催場所:東京ビッグサイト 西3・4ホール / 会議棟
ブース番号:6-2-8(日本Androidの会)内

注意:
5月20日現在、出展者情報では、日本Androidの会は ブース3-2-6 で出展すると記載されていますが、変更になっています。6-2-8が正解ですのでお間違いのないように!

AndroidMで追加された、クリアテキスト機能について

A+ a-

Google Developer Blogの方で先日、「Protecting against unintentional regressions to cleartext traffic in your Android apps」という記事が投稿されました。セキュリティに関する事ですので、翻訳をしました。

要約すると、Android N のNetwork Security Config機能でこのあたりまた拡張されるのですが、Android Mでも平文通信を禁止するクリアテキスト機能は使用可能で、サードパーティのライブラリ等は影響うけるからそろそろ対応してね。という感じです。

クリアテキストという用語はあまり聞きなれない用語になりますが、「平文」と置き換えるのが一番いいと思います。クリアテキスト通信→平文通信となります。

検証等、動作確認はしていませんが、以下翻訳(超訳?)です。興味がある方は参照ください。


Network Security Configurationについて - Android N

A+ a-

3月10日にAndroid NのPreview版がリリースされました。ようやくAndroid Mのセキュリティ回りの調査が一段落したと思っていたのに(全然調査内容ブログで書けてませんが…)もた調査の始まりです

Android Mの時は、Runtime-Permissionという大きな機能が追加されました。現在ざっと見た感じ、NはMのような大きな変更はありませんが、それでも調査が必要な項目がいっぱいありました。皆さんマルチウインドウを色々試して盛り上がっているのを横目に、地味なセキュリティ回りの調査です。

今回のセキュリティ回りで目を引いたのが、「Network Secure Config」という機能です。

公開されているアンドロイドアプリは脆弱性がいっぱいですが、特にHTTPS通信の証明書の検査不備はひどいもので、IPAから注意喚起が出るほどです。


この脆弱性の対応策がNetwork Secure Config機能に入っています。

宣伝になりますが、ちなみに、この脆弱性はRiskFinderでも検知ができ以下のようなメッセージが表示されます。


RiskFinder6.0 JSSEC対応版リリース

A+ a-


本日、RiskFinder6.0 JSSEC対応版をリリースしました。
ここでは、RiskFinder6.0 JSSEC対応版で新たに追加された機能や情報、リリースの経緯などについて簡単にお知らせしたいと思います。

WifiInfo.getMacAddressが常に02:00:00:00:00:00を返す件(Android 6.0)

A+ a-


Android6.0でBluetoothとWifiのMACアドレスの扱いが変更になりました。
Android 6.0 Changes のAccess to Hardware Identifierに記載があります。


少量なので簡単に翻訳してみました。

ユーザデータ保護のため今回のリリースからAndroidはアプリケーションがWi-FiおよびBluetoothのAPIを使用して端末固有識別子へのアクセスする機能を削除しました。
WifiInfo.getMacAddress()とBluetoothAdapter.getAddress()メソッドは02:00:00:00:00:00を返します。
近距離外部のデバイスのBluetoothやWifiのハードウェア識別子にアクセスするには、ACCESS_FINE_LOCATION や ACCESS_COARSE_LOCATIONの権限を持っている必要があります。
  • WifiManager.getScanResults()
  • BluetoothDevice.ACTION_FOUND
  • BluetoothLeScanner.startScan()

NOTE:Android 6.0(API Level23)の端末がバックグラウンドでWi-FiもしくはBluetoothのスキャンを開始した場合、外部の端末にはその処理がランダムなMACアドレスから発信されたものとして認識されます。

簡単に纏めると
  • BluetoothやWifiのMacアドレスを取得すると常に02:00:00:00:00:00を返す。
  • スキャンする時はパミッションが必要になった。
  • WiFiやBluetoothスキャン時にランダムのMACアドレスを使用するようになった。
となります。

iOSでは去年8月頃にWifiネットワークスキャン時にMACアドレスをランダムに生成するという変更が入りましたので、その追従という形なのでしょうか。。。。

参考

ソフトウェアデザイン2月号にアンドロイドのランタイムパミッションの記事を書きました。

A+ a-

Software Designには、年に1回程度記事を書かせて頂いています。
現在発売中の2016年2月号には、「コミュニティメンバーが伝える Androidで広がるエンジニアの愉しみ」企画の第二回として、「Android6.0の新しいセキュリティモデル」について書かせていただきました。



ランタイムパミッションに関しては、話題が多いため、6ページという制限内では、細かい所や、あまり知られていないマニアックな点等は記載できませんでしたが、ソフトウェアデザインという雑誌は、様々な分野の方が読まれるため、あまりアンドロイドに詳しくない方でもわかるような内容になっております。



特集が、MySQLとPostgresSQLです。この辺りの古くて、でも使われている物は、新しく本になったり、ブログ等で記載する人も少ないので、最新情報をなんとなく耳に入れておくのが難しいです。そういった意味で結構うれしかったりします。

よろしければ手に取ってみてください。

ソフトウェアデザイン 2016年 02 月号



Android6.0 互換モード(4) 端末情報取得はヌルポ系

A+ a-

互換モード:「Android6.0以上の端末で、インストールタイムパーミッションモデルで実行しているアプリケーションが、端末の設定画面から、特定のパーミッションをはく奪された時」の動作確認記事4本目です。

前回までの記事です。互換モードの詳しい説明については(1)を参照してください

互換モードの動作は、仕様把握するよりも、さっさとランタイムパミッション対応に移行したほうがいいと思うので、あまりブログ記事にしても仕方ないと思っているのですが、ガッツリ色々と調べたので備忘も含めて記事にしております。

今回は、READ_PHONE_STATEパミッションが必要なメソッドの互換モードの動作です。READ_PHONE_STATEは、電話番号を取得したりするのに必要なパミッションですが、結論としては互換モードの時にNULLが返ります。戻り値がStringなのであまりないとは思いますが、ヌルポで落ちる可能性がありますので注意が必要です。

その他、READ_PHONE_STATEが所属するPHONEグループのその他パミッションに関しても調査しました。



以下調査結果です。

BoringSSLが採用されたAndroid6.0について

A+ a-

Android6.0でOpenSSLライブラリから、BoringSSLライブラリに移行をしました。
Android6.0 Changesの所にBoringSSLについての記載があるのですが、さらっと書いてあり、まぁそういうことねでさらとスルーしがちですが、具体的にどういう事なの?という事がはっきりしなかったので検証を以前行いました。

そういえばブログに記載してなかったなーと気が付いて、もう、Android6.0ネタも旬はすぎているので、誰か記事にしているだろうと思って、ググってみましたが誰も書かれていなかったので、ちょっと掘り起こして記事にしてみました。
(調査してから、期間をあけてブログに書くのはだめですね、色々と忘れてしまっています)

Android6.0 Changes


Andoid6.0のChangesのBoringSSL部分は短いので全訳すると以下となります。

AndroidはOpenSSLライブラリからBoringSSLライブラリに移行しています。
NDKを使用しているアプリケーションで、libcrypto.soやlibssl.so等NDKの一部ではない暗号化ライブラリをリンクしないでください。
これらのライブラリはパブリックなAPIではなく予告なく変更したり中断したりする可能性があります。
さらに、セキュリティの脆弱性問題に遭遇する可能性があります。
その代わりに、JNI経由でJavaの暗号APIをよびだすようにネイティブコードを変更したり、静的に暗号化ライブラリをリンクするようにしてください。
当初この文章を見たときに、OS付属のライブラリをダイナミックリンクするようなアプリなんてあまりないでしょうと思っていたのですが、その後結構存在する事がある事がわかりました。


CEC様主催の「ソフトウェア品質生産性向上セミナー」でRiskFinderのお話をします

A+ a-


皆様、新年あけましておめでとうございます。
リスクファインダー株式会社の初めてのお正月です。
今年も良い年になりますように。

さて早速ですが、1月25日にCEC様主催のセミナ「ソフトウェア品質生産性向上セミナー 〜IoTのセキュリティ課題を解決する4つのソリューション〜」でRiskFinderのご紹介をさせて頂くことになりました。
開催概要は以下のとおりです。

【日時】  2016年1月25日(月)13:30-16:40(13:00受付開始)
【開催場所】株式会社シーイーシー 恵比寿セミナールーム
      東京都渋谷区恵比寿南1-5-5 JR恵比寿ビル8F(駅徒歩0分)
【参加費】 無料
【詳細・申し込み】http://www.proveq.jp/event/20160125

今回はセミナで話す内容の予告です。