トップページへ PASSJ ブログへ
トップページへ
分科会
特集!
コミュニケーション
資格
セミナー・コンファレンス
インフォメーション



セキュリティ ボードリーダー:河端 善博
毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。
 
   

2004年1月15日
『一年を振り返ると』

お正月、とくにインターネットセキュリティについて、
大きなウィルスやワーム騒ぎもありませんでした。
ここ数年では、比較的落ち着いて年始を迎えられたように思います。
今年も、よろしくお願いいたします。

■たったひとつのチェック漏れ
 セキュリティ面で考えさせられる事件がありました。
 キャッシュカードを盗んだ犯罪者が、キャッシュカードの
 暗証番号をわりだす手口について、テレビで放送していました。
 キャッシュカードの暗証番号は、通常 4 桁の数字であり、
 パスワードの概念からは、非常に弱いものです。
 ただし、多くの銀行の ATM では、暗証番号を 3 回まちがえると、
 キャッシュカードの使用が一時ロックされます。
 このロック機能により、暗証番号の強度が少し保たれています。

 しかし、犯罪者は抜け道を考えました。
 電話による銀行口座の自動案内システムに問題があったのです。
 つまり、自動案内システムは、暗証番号を何回まちがえても、
 ロックされないようになっていたようです。
 犯罪者は、この電話による自動案内システムをとおして、
 暗証番号を一日数回づつ、ためしていったようです。

 Windows では、パスワードに対するロック機能があります。
 しかし、SQL Server 認証には、現在ロック機能はありません。
 また、ユーザー認証を独自に実装しているイントラネットや
 Web サイトは多数ありますが、ロックが実装されていない場合も
 見受けられます。
 さらに、不正アクセス状況を監視するための機能も必要になります。

 逆に、ロックがない場合、簡単にパスワードがばれてしまう可能性が
 高いことを考えておく必要があります。
 
 システムの一部のセキュリティ実装ミスがどのように
 犯罪者に使われてしまうのかを見せられた報道でした。

■迷惑メール対策とベイズ理論
 ここしばらく、迷惑メールに悩まされています。
 大量の迷惑メールは、数年前からとどくようになっていたのですが、
 ここ半年ほど、どんどん増えていて、困っています。
 
 そこで、最近の迷惑メール対策と、その原理を SQL Server を含む
 システムで利用できないかと考えて見ます。


 迷惑メールの状況は、私の場合、一日に数百通になります。
 日本語、英語、中国語、ほか多数の言語から、あれこれと膨大な
 メールがとどきます。
 かといって、長年、公開してきているメールアドレスだけに、
 変更してしまうわけにもいきません。
 当初、Outlook の自動仕分け機能やルールをつかっていたのですが、
 送ってくる相手もさるもの、まったく効果がありません。
 しかたがないので、ひとつひとつ確認していると、一日一時間以上、
 迷惑メールの削除につかうような状況になりました。
 あきらめて、ほっておくと、受信トレイに数千通たまってしまうことも。

 これでは、業務に差し支えるので、迷惑メール対策ソフトを導入しました。
 * PopFile (フリーウェア)
 * Outlook 2003 迷惑メールフィルタ [設定:高]
 導入当初は、なやむことも多々ありましたが、いまは、なんとか効率よく
 振り分けてくれています。

 ここで、面白いのが、振り分けに利用されている「ベイズ理論」です。
 メールを振り分けるのに、メールの内容を解析し、学習していくことができます。
 PopFile では、Kakasi というツールで単語を抽出したあと、
 単語の出現傾向から、そのメールがどの分類に属するのかを決定していきます。
 PopFile の利用者は、ある程度、どのメールがどの分類に属するのかを
 PopFile の管理ツールで定期的に指定すれば、あとは PopFile が振り分けて
 くれるというわけです。また、ときどき振り分け間違えをしますので、
 このときは、正しい振り分け先をまた PopFile に学習させます。

 学習というと、そんなにうまくいくのか !? と疑ってしまいます。
 わたしも実は、そうでしたが、実際には、かなりの成績をのこします。

 データベースシステムでも、この手法が使って、データの分類ができるかと
 思います。たとえば、掲示板システムの場合、発言の内容をベイズ理論をつかって、
 自動的に分類したり、類似の発言を抽出させることもできそうです。
 あるいは、アンケートシステムや問い合わせシステムの中の自由記入欄に
 書き込まれた内容を自動的に分類することも可能ではと思われます。
 
 迷惑メールから知ったこの理論は、SQL Server でも活用できそうです。

ここのところ、ひたすらブログを使っていましたが、大手ISP でも
ブログシステムを提供するようになり、年末から急速に一般化しました。
そこでと、今は、Wiki を触り始めています。
ちょうど、C#, ASP.NET で開発された Wiki システム FlexWiki が
GotDotNet で公開されたので、これをつかって、サイトを立ち上げてみました。
みなさんも、一度 Wiki して見ませんか ?

 

ボードリーダーレポート トップページへ

 
 
PASSJメールニュース 著作権ついて プライバシーポリシー リンクポリシー お問い合わせ
(C) 2005 Professional Association for SQL Server Japan. All rights reserved.