日本IBM委託先から神奈川県の生徒情報流出について考える(3)

記事内の「今年6月にPCがウイルスに感染し、ファイル交換ソフトウエアの「Winny」から情報を流出させる状態」と「日本IBMは今年9月に問題を把握し、Winnyネットワークの24時間監視を開始」という記事がありますが、この3ヶ月のギャップは何なのでしょうか？
6月時点で知りえたのであれば、6月から開始してもいいような気はするので、もしかして、この3ヶ月の間、事実を掴んでいなかった、あるいは、確証が取れたのが9月だったのいずれかな？と想像してしまう。
Winnyで情報漏洩した場合には、その流れを食い止めること自体、現状では無茶な話のはずなので、漏洩、流出を前提とした善後策を取るべきなのに・・・と思う。
被害に遭われた人には、誠に申し訳ないことを言っていますが、起きたことは変えられないのだから、被害を極小に抑えるために、早急な対処という意識は欲しいものです。

日本IBM委託先から神奈川県の生徒情報流出について考える(2)

記事内の「（1）PCにWinnyをインストール、（2）開発完了後も約11万人分の個人情報データを保持、の主に2点で日本IBMとの取り決めに反していた。」の中の「(2)の開発完了後も」というフレーズ、妙に思えませんか？
どんなシステムかはわからないので、判断難しいですが、開発中は全てのデータを取得でき得る状態にあったということになる。
古典的なシステム開発であれば、実データで試験するのは、お客様も含めた、運用試験とか総合試験というものを行う時だけのはず！
システム開発の進め方にも問題あった！ということを暴露しているような気がしてならないが、そう思うのは、私だけなのだろうか？

日本IBM委託先から神奈川県の生徒情報流出について考える(1)

日経ITProに出ていた記事「日本IBM委託先から神奈川県の生徒情報流出、Winnyで最大11万件の可能性」について、いくつもの問題があるので、一つづつコメントして行こうと思います。
まず今日は、「ITベンダーの社員。今年6月にPCがウイルスに感染し、ファイル交換ソフトウエアの「Winny」から情報を流出させる状態」の部分についてですが、
そもそも、ITベンダーの社員が、Winny感染ウィルスのこと知らない？というのは如何なものだろうと思う。
アンティニー(ANTINNY)等のWinny感染ウィルスは、2003年に登場し、下記のようなサイトで情報公開もされているのに・・・とも思う。
「内閣官房情報セキュリティセンタ」
「総務省」
「トレンドマイクロ」
「マイクロソフト」
確かにITという業種も幅広い知識を要求されるので、全て飲み込めないヨ～と言い訳されそうではありますが、Winnyの問題が指摘されたのはいつの話なんでしょうかネ。
同じ業界人として、お恥ずかしい限りです。

Flash、スクリプト等の攻撃から身を守る！

@ITに出ていた記事です。
"

「WPA突破」よりも重要なセキュリティ問題とは？ − ＠IT via kwout

"
攻撃者のターゲットはサーバからクライアントPCに移っていることが象徴的に書かれています。
面倒くさがらずに、かつ、インフラをあてにせず、これからは自ら、スパイウェア対策や情報の暗号化、情報の秘匿等に留意すべきと思います。如何でしょうか？

情報セキュリティ運営委員会の役割と責務(3)

「(3)社内教育の実施」についてですが、当然、継続的、かつ、計画的に実施できることはもとより、単純に技術を中心とした話だけではなく、意識付けに重みをおくべきです。
繰り返しになってしまいますが、セキュリティは誰かに守ってもらうのではなく、自ら守ることを意識しない限りは守れません。
そういった意味では、情報の差別化をどのようにしていくか？また、その差別化されたことにより、どんな手法で守るのかを徹底していない限りは、当然、何をどのようにが徹底しないので・・・

メールのセキュリティは確保可能なのか？

インターネットメールがどのように運ばれているかご存知でしょうか？
バケツリレーでほぼ裸のままで、メールサーバ間を渡り歩いて、送られています。
つまり、メールサーバまでSSLで暗号化しているから安心です！なんてことはいえないのです。
どうしてもということであれば、PGP等の暗号化メールという手段がありますが、これはメーラに組み込むというツールであることから、ちょっと前までは、メーラの動きが重くなるという理由で敬遠されていました。
今今のPCだとメーラの動きというのは解消できる可能性はあるとしても、メールの送信先に聞きまわらないと使えるかどうか不明なので、なかなか浸透はしないような気がします。
後ろ向きな考えかもしれないですが、やはり、メールはセキュリティが確保できないものと思い、送る情報自体を暗号化するなりの方が現実的とは思う。
でも、メーラを使わず、特定のWebメールのASPサービス（例えばGmail等）をSSLで利用する、ができるのであれば、PGP等の暗号化メールはいらないのですが・・・

迷惑メールについて考える

情報セキュリティの話からちょっと脱線しますが、Yahoo!BBが広大な計画で進めている「OP25B(Wikipediaの解説)」の対策を先頃、東京地区でも行いました。
回線はYahoo!BBなのですが、メールサービスのプロバイダがDreamnetだったので、サブミッションポートへの設定変更だけでなく、SMTPメールサーバの変更も必要であることになかなか気付かず、若干てこずりました。
Yahoo!BBの対応が最終的には１２月８日終わる予定ではあり、これでだいぶ迷惑メールは当分減ることが期待できるかな？とは思いたいのですが、迷惑メールの量は、各ISPさんの頑張りもあって、徐々に減ってきていたような気はするし、その内容も、宣伝ばかりになってきているので、フリーメールではあれ、送信元が実は正規アカウントであるという可能性もあり、今以上に減らないかもしれないとは思う。
逆に「OP25B」対策により、人様の正規アカウントを乗っ取り、迷惑メールを送る輩が出てくるのでは？という心配をしています。

情報セキュリティ運営委員会の役割と責務(2)

「(2)「情報セキュリティポリシー」の流布責任」についてですが、
「情報セキュリティポリシー」の策定、改訂に伴い、全ての対象者(従業員)に配布する責任があるということですが、そこに書かれている内容を従業員のその属性で、役員・社員と協働者が同じでいいかや、迅速に末端まで届けるために如何なる方法、紙なのか電子的になのか、機密性を保つべきかどうかといったことを考えるということがすべきことなので、論理的には大した内容ではありません。
企業の大きさにもだいぶ左右されますが、あくまで、このイベントは始まりであって、ポリシーに基づく、規程類、実施要領に対する策定、改訂とかの方が、重い作業となるでしょう。
ところで、ポリシーがそんなに変わるか？という話ですが、どくまで、ポリシーに記述するかにもよりますが、時代に左右される要素は少ないはずであり、業務と密着し、時代の変化も考慮しない規程類(ルール)と比較すれば、確率的にも変動は少ないはずです。そもそも方向性について書くものなので、そう変更がないようにすべきとも言えます。一方、規程類(ルール)は、「ルールは破られるためにある！」とも言うように、革新していくのであれば、変更は大歓迎とすべき気はします。

情報セキュリティ運営委員会の役割と責務(1)-2

リスクマネジメントのアウトソースについて、ちょっと調べてみましたが、私の調べた限りでは、見つけられませんでした。
一時的にコンサルするとか、情報を提供しているので見てくださいサイトは多数ありますが、世の中の動きをWatchし、リスク判断します！というようなものはありませんネ。
確かに業務内容により、リスクチェックの基準は異なるだろうが、使っている道具さえわかれば、脆弱性やその影響範囲はわからないことではないはずなので、そういったサービスあってもいいような気はするのだが、やはり、インフラで防御しているはずだから、インターネット上の脅威は無視しても大丈夫だと！という風潮なのだろうか？
SQLインジェクション、クリックジャッキング、スパイウェア、トロイの木馬等といったWebブラウザをターゲットとした攻撃をインフラで守りきれるかどうかという気が最近しているので、日本企業大丈夫？と思うのは私だけ？
それとも、企業内で頑張ってくれているということで解決していいのだろうか？

情報セキュリティ運営委員会の役割と責務(1)-1

「(1)情報セキュリティマネジメントの企画及び計画」についてですが、この中には、情報セキュリティマネジメントの企画、計画とこれの実施が含まれます。その内容としては、
(1)リスクアセスメント
(2)リスクマネジメント
(3)「情報セキュリティポリシー」の見直し
(4)従業員への普及・啓発
があり、この中でこれからも、多分一番重い業務は間違いなく、リスクマネジメントだと思います。
特に攻撃の主流が、サーバではなく、クライアントPCであり、かつ、メーラやOSではなく、Webブラウザを利用した攻撃が多くなってきているからです。
リスクアセスメントしている間もなく、次から次へと公開される脆弱性に関する洗い出しが本来は必要ではありますが、なかなか手が届かないということにはなる可能性は高くなるので、誰がどのようにチェックするかを慎重に考えないといけないと思います。
でも、セキュリティの造詣のある人でないと、チェックにすらならない可能性を考えると外部ソースの活用が本当は有効な解決策かもしれません。

明治安田生命 更に被害拡大

更に規模が拡大したようです。
今度は、ルール見直しと書いていますが、教育の徹底＆ルールの見直しは当然として、全社員のPCも含め、社内情報システムのセキュリティ診断するべきではない？

"

明治安田生命の個人情報流出、9000人分に拡大 - ITmedia News via kwout

"

明治安田生命事件から情報リテラシーを考える

「明治安田生命のお問合せページ」には、メール、Ｗｅｂでの問合せができるようになっていません。
今時、こんな話と思って、ウィキペディア「生命保険」に名前のある25社について、調べたところ、メール、Ｗｅｂでの問合せができるところとそうでないところは下記のようでした。
［メール、Ｗｅｂでの問合せができるところ］12社
アメリカンファミリー生命保険
アリコジャパン
損保ジャパンDIY生命保険
第一生命保険
アクサ生命保険
大同生命保険
富国生命保険
東京海上日動あんしん生命保険
T&Dフィナンシャル生命保険
日本興亜生命保険
あいおい生命保険
富士生命保険
［メール、Ｗｅｂでの問合せができないところ］13社
明治安田生命保険
日本生命保険
朝日生命保険
オリックス生命保険
マニュライフ生命保険
損保ジャパンひまわり生命保険
プルデンシャル生命保険
三井生命保険
住友生命保険
ソニー生命保険
AIGエジソン生命保険
AIGスター生命保険
三井住友海上きらめき生命保険

失礼ながら、もしかすると、情報セキュリティ以前に、情報リテラシーが低いのではないだろうか？
という気がしてしまった。
もしそうであるならば、問題を起こした担当者がWinny自体の知識すら正確ではなかった！というような落ちだったりするので、ITを使うための教育自体から新ためてすべきではないのだろうか？という気がする。

明治安田生命事件から情報セキュリティのマネジメント体制を考える

明治安田生命のWebサイトの「個人情報保護方針」の中に、「当社ではお客さまに関する情報の保護・管理強化に向け、情報管理を専門に担当する部署および「情報保護推進委員会」を設置し、全社横断的な取り組みを推進しております。」とある、「情報セキュリティポリシー」が公開はされていないので、この体制が個人情報に特化している可能性はあるとしても、マネジメント体制は構築してある！ということにはなる。
しかし、チェックする組織があるのか？また、チェックするタイミングがあるのか？は書かれていない。
十字架を背負うことにはなるが、明治安田生命くらいの大企業では、それくらい書くべきだし、それを実践していて然るべきと思う。
マネジメント体制は作ることに意味があるのではなく、その体制の元、マネジメントを実行し、トップダウンで情報セキュリティポリシーが守られなければ、なんの意味もなさないはず。
第一、明治安田生命のサイト、個人情報、内部統制はあるが、こららのベースであるはずの、情報セキュリティポリシー(方針)については、どこにもないが、情報セキュリティポリシー(方針)がないのだろうか？

明治安田生命事件から情報セキュリティ教育を考える

明治安田生命企業サイトにある今回の個人情報漏洩・流出に関する「お詫び」を見て、教育はどうすべきかについて、書いてみます。
セキュリティは定められた方法で定められた手順が実践されて初めて守られるものなので、理屈ではなく、体で覚えるものです。なので、「習うより慣れろ！」です。
しかしながら、熟練ではなく、状況の変化に応じて柔軟に！という性格も併せ持つので、変更に対し、タイムリーに、これを自習できることも必要です。
そういった意味では、SNS/Blogのようなものを活用した教育システムは有効な気はするし、かつ、「足跡」をチェックして、利用促進していくための仕組み作りは当然必須となるでしょう。
「教育は繰り返すこと也」の実践がキーなんです。
さて、明治安田生命は、生命保険会社だからということで、本業ではない！と言って、実施していなかった、あるいは、これができる人が実質いなかった、のではないだろうか？
「お詫び」状を見る限りは、今後も期待していいものかどうか？と、ふと思う。

明治安田生命情報漏洩・流出事件を考える

各メディアが続々報じましたが、IT Mediaの記事「明治安田生命、顔写真付き女子大生1800人情報流出　30代男性向け“オトシ技”も」と「明治安田生命のお詫び状」から、情報種別という点で、事件の問題点について考えてみました。
お詫びで「教育」と「管理」と書かれていましたが、事件の詳細を見る限り、事件を起こした個人にも問題はあるとしても、それを許してしまった「教育」については、当然、その内容＆実施方法も含めて見直しをした上で、実施するは当り前だと思う。
ここからが本題だが、「管理」といっているが、「管理」の前に、機密性に着目した情報種別の設定とその種別毎の運用に問題がないかの見直しを行い、情報取扱のルールとこれの運用を再定義するのが先という気がします。(情報セキュリティにおける文書種別）
どこまでやるかは難しいかもしれないが、今回のケースのような情報は漏洩・流出しても読み出せないように暗号化するなり、最悪でもファイル読出権限のパスワード設定くらいは絶対必要だと思う。(もし、パスワード設定されていて、それをパスされているのであれば、パスワード付与基準がザルなのか、それが守られていないし、そのチェックさえしていないということになるはずなので・・・)
Winnyを含め、脆弱性を突く攻撃が進化し続けている現時点においては、シンクライアント化して、インフラを守っているから安心ということはあり得ないのだから・・・

MySQLとPostgreSQLについて

オープンソースのデータベースと言えば、MySQLとPostgreSQLですが、どちらか一つと言われたら、どちらを選びますか？
システム構築していない人には、どうでもいいことでしょうが、システム構築を担当している人は、今今使っている方に拘った回答が寄せられることになると思う。でも、その選び方で本当にいいのでしょうか？
性能・機能は、ソフトウェア自体の成長とは別に、データベースを載せるプラットフォームにも依るところもあって、現時点で優れているからと言って、未来永劫変わらないかといえば、変わるもののはずです。
そういった視野で見た場合、今のお奨めは個人的には、MySQLだと思う。
ほんの一例に過ぎないかもしれないが、Blogツールと呼ばれるものを調べれば、調べる程、MySQLはサポートしているが、PostgreSQLをサポートしていないツールの多さにビックリしてしまった。(気付くの遅いかもしれませんが・・・)
数年前くらいから、日本でのレンタルサーバの主流は、MySQLには既になってきているのは知っていたが、ツールまでも・・・という感じ否めないです。
既にあるPostgreSQLのシステムを作り変える必要性はないにしても、MySQLでも対応できる柔軟性を身に付けるは必要かなとつくづく思う。

情報セキュリティ運営委員会の役割と責務(0)

最低限として、下記7項目となります。
(1)情報セキュリティマネジメントの企画及び計画
(2)「情報セキュリティポリシー」の流布責任
(3)社内教育の実施
(4)「情報セキュリティポリシー」の遵守状況の評価及び改訂
(5)監査結果の評価及び改訂
(6)代表取締役への報告
(7)「情報セキュリティポリシー」違反者への処罰
詳細は、次から書いていきます。

情報セキュリティのマネジメント体制

マネジメントをする上、最低限必要になるのは、維持運営を行うための組織(仮に「情報セキュリティ運営委員会」と呼びます。)とこれが機能しているかどうかをチェックする組織(仮の「情報セキュリティ監査委員会」と呼びます。)ですよネ？(組織じゃなくて、個人という企業もあるとは思いますが・・・)
常識的な話ですいませんが、この各委員会のトップは、経営メンバとするべきで、かつ、監査委員会のトップは、運営委員会のトップに「物申す」という人にすべきです。
実際のところ、情報セキュリティの見識がないので、無理だよと諦めず、寝る間も惜しまず、勉強していただきたいものです。
何故ならば、会社を本当に愛しているのは、経営に関わっている人なのですから・・・

情報セキュリティの用語定義

ISO/IEC 17799、JIS Q 15001等、ポリシーの関係規格を中心に、下記３つくらいは用語統一したいものです。最近になって、SAPがSaaSサービスを始めるのにあたり、SAP語で悩んでいるような状態を作らないといったことは以外と重要です。
(1)情報セキュリティ（ISO/IEC 17799から抜粋）
情報の機密性、完全性及び利用の可能性の維持。
機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、と定義する。
完全性は、情報及び処理方法の正確さ及び完全である状態を安全防護すること、と定義する。
利用の可能性は、認可されたユーザが、必要時に、情報及び関連財産にアクセスできることを確実にすること、と定義する。
(2)リスクアセスメント(ISO/IEC17799から抜粋）
情報及び情報処理施設/設備に対する脅威、それらへの影響及びバルネラビリティ並びにそれらがおこる可能性の評価。
(3)リスクマネジメント(ISO/IEC17799から抜粋）
許容コストにより、情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし、制御し、最小限に抑制するか、又は除去するプロセス。
その他としては、「脅威」、「脆弱性」等については、用語レベルだけではなく、「脅威」、「脆弱性」等の内容やレベルについても定義しておいた方が懸命でしょう。

スパイウェア独自評価結果

Webrootが、バックアップ機能を統合したセキュリティ対策製品を発表という記事を見て、ちょっとネタが古いですが、2007年11月時点で、無償版のアンチスパイウェアでどこまでできるかを実験し、それを独自評価したものを掲載しますので、参考にしてください。評価ツールは、Spyware Warriorサイトの情報をベースに、独自判断で抽出しました。
(1)Ad-aware (Lavasoft)
(2)Spy Sweeper (Webroot)
(3)Spyware Doctor (PC Tools)
(4)Windows Defender (Microsoft)
(5)Spybot Search & Destroy (SaferNetworking)
(6)AVG Anti-Spyware (ewido/Grisoft)
(7)SUPERAntiSpyware (SUPERAdBlocker)
なお、Ad-aware、Ｓｐｙｂｏｔは実験環境においては効力を発揮しなかったので、予め一覧から除いてあります。(無償版だからかもしれませんが・・・)

情報セキュリティポリシーの公開

情報セキュリティポリシーは社外秘文書とすべきという取り決めをしていることが多いと思います。
特に、規定類(ルール)、実施要領(スタンダード)はその必要性は高いと思われますが、方針(ポリシー)自体は、企業コンプライアンスの取組を対外的にアナウンスし、企業としての透明化を主張するための重要な施策になると思われるので、オフィシャルサイト等で積極的に開示していくことをお奨めしたいです。

情報セキュリティにおける文書種別

ところで、情報セキュリティ上で、文書化を行う時にどのようなランク付けがあるのかについて、今日は書いておきます。
情報の取扱レベルの観点と情報セキュリティの観点で整理できます。
情報の取扱レベルの観点では、最低限で分類すると、「重要」、「一般」に分けることができ、情報セキュリティの観点では、その機密性により、最低限、下記のように分けられます。
(1)厳秘or極秘
(2)秘密
(3)社外秘
(4)公開
(1)、(2)と(3)の差は、人を限定するかどうかによって分別され、(1)と(2)の差は、配布先をリストで管理する！とか配布後に情報の回収を行うかどうかによって、分別します。

情報セキュリティポリシーに関連する規格、法規

方針、規程類の文書化で参考とすべきものは、だいたい下記のものになります。
［国際規格］
・ISO/IEC 17799　情報セキュリティマネジメント実施基準(ISMS)
・ISO/IEC TR 13335　情報セキュリティマネジメントガイドライン
［国内規格］
・JIS Q 15001　個人情報保護
［国内法規］
・刑法
・不正アクセス行為の禁止等に関する法律
・建築基準法/同施行令
・消防法/同施行令/同施行規則
・不正競争防止法
・著作権法

ベストは全てを読み倒すではありますが、規格とか法規は標準的にすべきこと、すべきでないことについて、書かれているものばかりなので、機密を守るためにはどうするかで文書化したものの正当性に活用するが、使い方としては適正と思います。
でも、買い揃える必要性は有です。

情報セキュリティポリシーの構成

当然のようにピラミッド構成で、上位から方針(ポリシー)、規程類(ルール)、実施要領(スタンダード)の順に文書化されたものを文書体系としてまとめます。
実施要領＝スタンダード？という疑問を持つ方は多いでしょうが、ここは多分会社の構造により、呼び方は確かに変えたほうがいいのかもしれません。
実際のところ、同じ会社でも事業が多角化している場合には、全社統一の実施要領ができないから、これに近いものを作業標準等ということが多いからです。
中小企業とか単一事業の会社では多分、実施要領の方がなじみ易い気はします。

【おまけ】Adobeがクリックジャッキング対策完了
AdobeがFlash PlayerをVersion１０にメジャーバージョンアップして、対策完了したことがITMediaでアナウンスされました。
ITMediaのニュースサイト
Adobeダウンロードページ
皆さん、ダウンロードして危険を回避しましょう。

情報セキュリティ適用者

当然、役員、社員、同じ職場で働く協働者は当然のことながら、アウトソースしている第3者も含めるのはいうまでもないことと思うが、その第3者を契約で縛っているとしても実際のところ、問題となりえる状況がないかの調査は重要です。
確かに受託した側からすると、企業としての体力差から同じような措置なんか取れないヨ！という可能性はあり、請託側も仕組みや仕掛けだけに着目し、アウトソースできない！なんてことになりませんか？
しかし、本当に大事なのは、情報自体の機密性に着目し、日々これを保護する意識の方が重要なはずで、仕掛けや仕組みに頼ることなく、運用でも十分なセキュリティは保てるルール作りを一緒に作れるとは思う。

情報セキュリティポリシーの適用範囲

言うまでもないことですが、情報資産に関連する人的・物理的・環境的リソースとなります。
でも、業務毎、システム毎に当然、関係するものが異なるのは当り前ではあり、全業務の洗い出しがまず最初と思い込んでいると先に倒れないでしょう。
でも、SOX法対応しないといけない企業であれば、既にわかってはいることのはず？ではあり、問題となるのは、それ以外の中小企業かもしれません。
しかし、中小企業であれば、管理面を除けば、常日頃回している業務はわかっているはずなので、それを洗い出す時間さえあげれば、できることのような気はします。
ここでも、重要なのはやはり、企業Topの働きかけということにはなりますが・・・

［必読］クリックジャッキング対策

アドビがFlashPlayerの対策を10月中に出すと発表し、当面は、「カメラとマイクへのアクセス」を防ぐ策で対応することを推奨している。詳細はITproのページを参照されたし！
また、日本だとZDNet(大元は海外CNET、詳細はタイトルをクリックされたし！）で、やはり、当面の予防策としてのNoScriptのことが報じられています。
対象ブラウザがFirefoxのみの話ではありますが、タブブラウザとしての使い心地もいいし、プライバシー情報の消去をブラウザを閉じる時に指定できたりするので、この際、ieユーザは乗り換えてもいいのではと思うのですが・・・（MSさん、ごめんなさい）

情報セキュリティポリシー

今日からちょっと情報セキュリティについて、書いていくことにします。
まず、情報セキュリティポリシーについてですが、大事なのは作ることではなく、それが守られる仕組みを作り、そして、実践・改善できるようにすることです。
企業の規模毎に体力が異なるのだから、できること／できないことを明確にはすべきであり、できないことについては、将来的な改善計画があって然るべきというスタンスに立てば、改善のサイクルは守れるはずです。と言っても、それができないのが人間だったりします。
では、どうすればいいのでしょうか？
実は答えは簡単で、トップが常にこれをケアすれば言いわけで、企業のトップこそセキュリティ意識を高く持ち、これを浸透させるという以外に手はないでしょう。
でも、コストの問題で対策が打てない！ということが最近では散見されるようですが、それが事実だとしても、企業のセキュリティ担当者任せではなく、一緒に考えるくらいの気持ちがなくては、と思います。
ポリシーとはもともとそういうもののはずなので・・・

クリックジャッキング

Webサイト作りの本質に関わることだし、今更Webブラウザも捨てられない状態なので、ちょっと心配なニュースで出ています。
気にはなっていたけど、悪者が大喜びしそうな話なので、大騒ぎするべきではないかなと思っていましたが、USCERTがだいだい的に発表してしまったので、ちょっと書いておきます。
逃げるには、ユーザ側はブラウザにlynxを使うという解しかないし、Webサイト側はべたテキストだけの静的ページを使う以外無さそうなので、Webブラウザの回避策を待つという以外には対処策なさそうです。
ブラウザの作り手様方々のご検討をお祈りしています。

Flashバナー活用

Flashは重いという話は今でもありますが、Flash自体の作りの問題であり、IBMとかトヨタ自動車等で使われているような作りにすれば、そう気にすることはないような気はします。
未だにノートPCユーザとか、プロジェクタを利用する環境を配慮した場合、１０２４×７６８の中で訴求できるようにしないといけないということを考えれば、当然、行き着くのは「紙芝居」的に説明できるようにする！だと思います。

プロモーションまとめ(2)

(2)では、Web以外について、言及します。

最終的には、Webに連動する可能性はありますが、プレスリリースは直接営業とならなくとも、認知度の低い企業には必要です。
企業ブランド、製品ブランドがあがれば、パートナー開拓にも効果的なのは間違いないし、飛び込み営業とかをした場合でも、門前払いを無くせるので、売れる可能性がUpしていきます。
しかし、プレスリリース自体は、特長がないとプレス側がリリースしてくれないので、見せ方も大事ですし、タイミングも推し量らないといけません。ただ、タイミング自体は、先にネタを作っておいてから、寝かせておくということもできますが、ついつい誰かに先を越される可能性ということさえあるので、プロモーション担当は毎日こまめにニュースチェックする！ということはしないといけませんネ。(お休みが取り難くなるのは、しばらく我慢です。)
セミナーですが、これは地道な努力にはなりますが、直接営業の機会にも結びつくので、是非、チャレンジしたいプロモーションと思います。しかし、単なる商品説明会では、集客効果は期待できないので、旬のテーマで製品セールスに結びつくテーマ探しがKeyです。
展示会ですが、ブースを借りるだけだと、直接営業の機会にはなりますが、あまり効果的とは思えません。できるのであれば、「話せる」場があり、そこで話したことでブースに誘引できるの方が大事です、経験的。

プロモーションまとめ(1)

Webプロモーションに限定してしまいますが、効果的なプロモーションについて、まとめてみました。

膨大なお金と労働力があれば何でもできますが、浪費することは皆嬉しくはないですよネ？
「選択と集中」ということであれば、下記のパターンのいずれか、あるいは可能であれば、複数を選択ということかもしれません。
①Web担当者がビッグワードを見つける活動に注力し、テキスト広告フル活用。
②話題性のあるプレスリリースをばんばん打ち、プレスサイトからの誘引を狙う。また、プレスリリースの内容に検索しやすいキーワードを散りばめ、テキスト広告も活用。
③チャネル戦略を強化し、パートナーからの誘引を狙う。また、この際、プレスリリースを活用すると効果的？
④価格戦略で競争優位なものとし、アフィリエータを活用。
⑤パブリックブログを活用し、認知度を向上させ、ブログからの誘引を狙う。この際、テキスト広告併用も効果的？
⑥交通広告等のWeb以外の媒体で、ビッグワードによる検索ができる告知活動をして、テキスト広告で誘引する。
どちらにしても、SEO、SEM対策がある程度はされている必要はありますが、今時の検索エンジンは優秀なので、サイトをテキストベースとする以外には、大きなSEO、SEMはいらない気はします。
それよりも、余計な操作はさせないといったユーザビリティや、簡単にコピペでき、利用者が簡単に内容をパクれるといったことに気を使うことの方が大事だと思います。

連動広告

テレビ、雑誌、新聞等でよく見かける
「××」検索
これはビッグワードでのテキスト広告との連携で最もパフォーマンスがよいとの話があります。
噂に過ぎないかもしれませんが、昔、つきあっていたお客様が中でも、連動広告で最も効果が高いのは、電車広告とのこと。
確かに通勤電車でみかける、この広告は印象に残っていて、興味のあるアイテムだと、その罠にはまることよくあったりするのは、私だけだろうか？
どんな人にということが限定しなくてよいのなら、この手法は試す価値高いと思う。

セミナーで営業する！

ダイレクトに商品を紹介するというセミナーよりも、マーケットインで商品を買いたくなるようなテーマで講演した方が聞いている人には多分印象がよいでしょう。
聞きに来ている人も商品を売り込むものとは思っていても、商品を買うための理由が明確にならなければ、買えないヨ、というケースの多いのではないだろうか？
買う理由が明確であれば、わざわざ、セミナーには来ないはず。
セミナーのついでに、困ったことを聞きますという場を設ければ、なお、営業効果は向上するよネ。
（そんなことは重々承知しています、かな？）

展示会で認知度Up

「展示会にブースを出展する！」は、当然、認知度は多少Upします。
しかし、もっと効果的なのは、「展示会の特設セミナ等でしゃべれる！」です。
必ずしも、展示会の特設セミナに参加できる前に認知度がなかったとしても、しゃべるテーマとその内容のインパクトが重要で、しゃべったことで認知度を上げることは可能だからなんです。
でも、展示会の主催者もある程度は、認知度の高い人間を選びたいわけで、声をかけてもらえるかどうかが一番の問題？

マニュアル本ばかり？

たまたま自分の探す分類の本（企画かと、戦略策定とかの教本です。）だけの話なのかもしれませんが、経験知によるマニュアル本ばかりなのにがっかりしています。
欲しいのは、どのような手順があり、その手順の中でどんな手法があり、それ自体もいくつか選択できるという本が欲しいのです。
経験知は必要ではあるとしても、それはあくまで参考であり、自分の置かれている立場にまるまる適用できるかどうかは不明のはずなので、選択肢がたくさん書かれているものがやはり欲しいです。
ずいぶん昔に、マニュアル社会到来みたいなことが囁かれ、本当に今やマニュアル社会になっていることを思うと、人間考えなくなるような気がして、とても、寒いです。
もしかして、映画の「ターミネータ」シリーズのような日が、すぐに来るのかもしれませんネ。

セミナーによる認知度Up

誰にでもわかる製品であるならば、セミナーは意味ないですが、何にそれが利用できるのかわからなのであれば、使い方をわかってもらえるセミナーを実施していくのは、意味があります。
しかし、製品自体を説明する！ということだと誰にも見向きもされないので、例えば、「××を解消するには？」的な呼びかけのタイトルにしないと意味がないでしょう。
しかし、効果は別として、展示会等でのセミナーならば、集客しているところで話できますが、プライベートセミナーは集客できるかどうかも怪しいところはあります。
でも、それで気を落としていても意味はなく、回数をこなすことに意味があるので、地道に毎回テーマも変えつつ、実施していくことが肝要でしょう。
また、セミナーの実施手段としては、Webセミナーというのも意味があるかもしれません。

プレスの活用

特定の新聞社に独占インタビューさせる！
記者クラブで記者会見する！
記者クラブに投げ込みする！
のいずれかを行い、これに連動してオフィシャルWebサイトでアナウンスするというのが、大企業のプレスを通じたプロモーションです。
大企業の場合、ニュースのバリューやタイミングを戦略的にはかり、ニュース自体の選別までするのが当たり前ではありますが、認知度の低い企業であれば、多少大げさでも数打つことが大事という気がします。
もともと、大企業であれば、どんなアナウンスでも記事の大小はあっても、日の目を見ますが、認知度の低い企業は報道してもらえるのかどうかもわからない！というのが現実なので、戦略自体は必要としても、出さないより出すに越したことはないでしょう。
ご存知な方も多いとは思いますが、認知度の低い企業のために、プレスへの投げ込みをしてくれるところがあるので、下記にURLを紹介しておきます。
無償
バリュープレス
ComSearch
有償
PR TIMES

PS：他にもあるかもしれないので、情報ありましたら、教えてください。

企業ブログ作るなら

そもそも企業ブログなるものは、何故必要なのだろうか？
電子会議室にない、フランクな会話ができ、社内のコミュニケーションの活性化という目的で使うというのはよくわかるが、顧客とのコミュニケーションという点では両刃の剣となり、運用していくのが大変ではあろう。
それよりは、顧客間に距離がおける会員制Webサイトの方が運用しやすいと思う。
それでは、どういう風に使えるのだろうか？
単なる自論にしかすぎないかもしれませんが、著名企業の企業ブログだと、押売ではなく、自分が顧客だったら的なコミュニケーションとか、本当に顧客同士のコミュニケーションが取れるとか、いった使い道なら失敗はしないでしょう。
これは今までのオフィシャルWebサイトにない機能だからです。
でも、知名度が低いのであれば、それをしても誰も来ない？ということになる気はします。
どちらかと言うと、職人、あるいは、職人達が技術について語り、「売る」ことには無頓着なブログであり、企業としては、そのブログを通じて、ユーザの要望を吸い上げ、新製品、既存製品のカスタマイズに結び付けれればいいや！という方がうまく行きそうな気がします。
今の製品のプロダクトアウトができなくても、マーケットインでもしかしたら、新たなヒット商品が生み出される可能性があるのだから、それに運よく、友達の輪が広がれば、潜在顧客を見つけるチャンスもあるかもしれないので・・・

ブログはどの程度使えるのか？

Webプロモーションにブログ活用と聞くようになってだいぶ経ちますが、どう使うのが一番いいのだろうか？
もともとオフィシャルWebサイトの認知度が高い場合には、「何でも相談室を始めました！」なんてアナウンスをすれば、苦情も上がっては来るでしょうが、既存顧客の抱え込みとか、潜在顧客の開拓などなどのためのツールにはなるとは思います。
しかし、オフィシャルWebサイトの認知度がない場合には、ブログをはじめましたといっても、誰も気付かないわけなので、それならば、オフィシャルWebサイトの充実をはかり、ブログに近い更新をした方が、SEO、SEMにも多少は効果が上がる気はします。
パブリックなブログを見ていると、人気のBloggerであれば、やはり誘引効果はありそうなので、どちらかというと、パブリックなブログを活用の方がいい気はします。そうは言っても、ランク上位は少なくとも毎日更新というのが当り前だし、もともと、本を出版している、企業名がそれなりに知られているなど、ブログ以外での認知度も重要なので、Webプロモーションとしての即効性を得るためには、有名人に書いてもらう、あるいは、広告費を使ってスポンサーブログに登録させてもらう、といういずれかの手段しかないような気はします。
どちらにしても、お金がないのであれば、時間をかけて、血と汗の結晶でブログをランク上位に持って来るという以外にはないですネ～

テキスト広告

GoogleのAdWords、オーバーチュアのスポンサードサーチで検索画面のトップに出る！は、とても有効的なような気がします。
でも、設定キーワードが悪ければ、どうしようもないので、ここは日常的にチェックし、無駄なキーワードは使わないようにしないといけませんネ。
つまり、日々努力するマーケッターが必要ということになるんですネ。

Google Chromeを使ってみて

今までMicrosoft ie、Firefoxの2種類しか使っていませんが、Google Chromeはタブブラウザとしては、一番軽快に動いてくれます。それに、タブ毎に別プロセスというのは使い方が拡張され、とても嬉しい限りです。
また、Webマーケッタとしては、サイトがどういう風に作られているのかを分析したいということもあり、「ソースを表示」は見やすく、Javaコンソールはとても使いやすく、なのでとても重宝しています。(これがWeb3.0を意識した作りということなんですネ～)
しかし、まだβ版ということもあるのでしょうが、ブラウザ自身がハングしてしまうことがあるというのは、早いとこ安定版が出て欲しいというところです。
また、パスワード管理ツールを使っているので、ツールのキーボード・ショートカットが使えないのが、ちょっと残念です。有効／無効設定があればいいのだが・・・
まあ、Webサイトのページ内容分析はGoogle Chromeを使い、それ以外はFirefoxを使う、ということにすればいいか！と思っています。
そのうちに、どのブラウザも同じような機能はつくことでしょが、Webマーケッタと思っている皆様は是非、お使いください。

SEO、SEMは自ら適当にやるしかないかな？

最近といっても、2008年7月とか8月とかいった時期ではありますが、Yahoo検索が評価基準を変えたことに対する分析内容が下記URLにあります。
http://markezine.jp/article/detail/5110
分析結果は検索エンジンとして、正当な評価をするような方向性の変更なので、なるほど！と思った。
しかし、SEO、SEMをビジネスにしている人達は、こういったことについて、日々目を通し続けられるのだろうか？とも思うし、SEO、SEMに対する指針みたいなものをもらっても、もらった次の日に変わりましたということになりかねないですよネ？
ある程度のSEO、SEMは必要であることは十分認識しているが、SEO、SEMはやはり、サイトオーナが自ら行うしかないのでは？と思う。

SEO、SEMは本当に有効？

SEO、SEMでビジネスされている方がたくさんいるのにも関わらず、ちょっと刺激的なタイトルですいません。
誘引を検索エンジンのランキングアップ頼りにするのであれば必須でしょうが、GoogleのAdWords、オーバーチュアのスポンサードサーチをフル活用できるのであれば、Webサイトをゴリゴリ最適化する意味はない気はします。場合によっては、クリック代行というサービスという力技もあることだし・・・と思うと、理論的な解決策ではあれど、お金のかけどころとして、効率的だよ！とは言い切れない気がしています。
特に最近、キーワード検索で上位にあるものをみていると、プレスリリースとかブログとかが以外に多いので、Webプロモーション以前にプロモーション全体のお金のかけどころを判断することの方が、最優先課題という気はします。

効果的なプロモーション戦略って何だろう？

本日初めて投稿します。
現在は、情報セキュリティ製品の会社で営業しています。
ブログも含めたWebプロモーションをちょっと掘り下げていて、世の中にはいろんなパターンがあるものだとビックリしているところです。
(1)ポピュラーなSEM、SEO対策で検索エンジンにひっかかるようにする。
(2)やはり、ポピュラーにGoogleのAdWords、オーバーチュアのスポンサードサーチでサイトに誘引する。
(3)プレスリリースをバンバン打ち、そこからのバックリンクを増やして、ランキングを上げる。
まあ、ここまでは有り勝ちなWebプロモーションですが、Webサイト管理者ではできないプロモーションがひとつあり、これに実はビックリ！（エ～、今更そんなことに気付いたの～なんて言われてしまうかもしれませんが・・・）
なんと、アフィリエータからの誘引です。
SEOだ！SEMだ！大声で叫ばなくても、サイトへ新規顧客が誘引できてしまう、このプロモーションは素敵です。
価格戦略があっての戦略にはなりますが、安値多売モデルであれば、これを使える！と思っています。