石村達雄 (tatsuoishimura) — Translations

• The web server should be configured not to start up any SMTP service allowing external users to relay mails through the web server.
• All server software and application should be running with the least privilege, especially it should not be running with 'administrator', 'superuser' or 'root' privilege.
• Proper access permissions should be set for directories, files and web pages in the web server.
• All unnecessary network services, applications, or internet protocols should not be running on the web server by default.
• Turn off any potentially dangerous server-side executable codes such as cookies and applets as far as possible.

• ウェブサーバーは、外部のユーザーがウェブサーバーによってメールを中継することを許しているいかなるSMTPサービスも立ち上げられないように、設定するべきです。
• すべてのサーバー・ソフトウェアとアプリケーションが、特権を最少にして作動しなければなりません、特に『管理者』、『スーパーユーザー』または『ルート』特権で作動すべきではありません。
• 適正なアクセス許可が、ウェブサーバーのディレクトリ、ファイル、およびウェブ・ページに設定されなければなりません。
• 不必要なすべてのネットワーク・サービス、アプリケーション、またはインターネット・プロトコルが、初期設定で、ウェブサーバー上で作動している必要はありません。
• クッキーやアプレットといった、潜在的に危険なサーバー側実行可能コードからはできるだけ遠ざかってください。

• If routers are used with firewalls, they should be consistent with the firewall policy.

MAIL SERVER DESIGN AND CONFIGURATION

• A mail server should be run behind a firewall system, which helps to restrict the access to the mail server and provide various security protections.
• Properly configure firewalls or routers to block unwanted traffic such as traffic from particular IP addresses of known spammers, into the mail server or gateway.
• The email system should not disclose names or IP addresses of internal network or systems.
• The email system should be properly configured to avoid disclosing internal systems or configurations information in email headers.

• ルーターをファイアウォールに対して使うのであれば、それらにはファイアウォール指針との一貫性がなければなりません。

メール・サーバー設計と設定

• ファイアウォール・システムの背後で、メール・サーバーが実行されていなければなりません。これが、メール・サーバーへのアクセスを制限し、いろいろなセキュリティ保護を提供するするための助けになります。
• ファイアウォールまたはルータは適正に設定し、メール・サーバーもしくはゲートウェイへの、名の知られたスパマーの特定のIPアドレスからのトラフィックのような、不必要なトラフィックはブロックするようにしてください。
• 電子メール・システムは、内部ネットワーク、もしくはシステムの名前やIPアドレスを公開してはなりません。
• 電子メール・システムは、適正に設定され、電子メール・ヘッダーに含まれる内部システム、および設定情報の公開を避けるようにしなければなりません。

• Directories of internal email addresses should not be made publicly accessible.
• Mail gateway should be capable for logging all emails exchanges for auditing. It should provide information such as how, when and where an email is entered or left.
• If there are email bombs or spam emails, identify the source or origin of emails and configure the router or firewall to block or drop the emails.
• Mail relay functions for non-authorised users should be disabled.

• 内部の電子メール・アドレスのディレクトリは、公開されるべきではありません。
• メール・ゲートウェイは、監査のため、すべての電子メールのやりとりを記録する能力がなければなりません。電子メールがいかにして、いつ、またどこで入り、出て行くかの情報を提供しなければなりません。
• 電子メール爆弾やスパム電子メールが送られてきたら、電子メールの発信元を確認し、ルータやファイアウォールをその電子メールをブロック、もしくは削除するよう設定してください。
• 非許可ユーザーのためのメール・リレー機能は、無効化しなければなりません。

In doing so, proper security measures, such as using temporary IP addresses to inhibit user activities profiling, should be considered.

• The firewall should be configured to enable content filtering, and computer virus and malicious code scanning capabilities.
• The firewall should be properly configured for IP level filtering.
• The firewall should be configured to block unused ports and filter unnecessary traffic, e.g. unnecessary incoming or outgoing Internet Control Message Protocol (ICMP) traffic.
• The firewall itself should be physically secured.
• The firewall policy established should be flexible for future growth and adaptable to changes on security requirements.

その際に、適正なセキュリティ対策、たとえばユーザー活動プロファイリングを抑制するための一時的なIPアドレス使用など、が考慮されなければなりません。

• ファイアウォールはコンテンツ・フィルタリング、およびコンピュータ・ウイルスと悪質なコードのスキャニング能力を可能にするように設定されているべきです。
• ファイアウォールは、IPレベル・フィルタリングのために適正に設定されていなければなりません。
• ファイアウォールは、使われていないポートをブロックし、不必要なトラフィック、例えば不必要な入って来る、または出て行くインターネット・コントロール・メッセージ・プロトコル（ICMP）トラフィック、にフィルターをかけるように設定されていなければなりません。
• ファイアウォール自身が、物理的に保護されているべきです。
• 確立されるファイアウォール指針は、将来の成長に合わせて柔軟で、セキュリティ要件の変化に適応できなければなりません。

• Correctly set and assign file permissions on firewall. Permissions on system files should be as restrictive as possible.
• A firewall should be thoroughly tested, and its configuration should be properly verified before going production.
• A firewall test is necessary after major change or upgrade to the firewall.
• If necessary, FTP or TELNET originated within the internal departmental network may be allowed to go through the firewall to the Internet.
• All software and OS installed on the firewall should be maintained with proper version by periodically revisiting the vendor sources and upgrading with patches and bug fixes.
• Real-time alerts should be set up for emergency incidents.

• ファイアウォール上に、正しく、ファイル・パーミッションをセットし割り当ててください。
システム・ファイルの許可は、できるだけ制限的であるべきです。
• ファイアウォールは、十分テストされるべきであり、そして、その設定は生産に入る前に適正に確認されるべきです。
• ファイアウォールへの大きな変更、またはアップグレードの後では、ファイアウォール・テストが必要です。
• 必要であれば、内部部門ネットワークの中で創出されたFTPやTELNETは、ファイアウォールを経由してインターネットに行かせてもよいかもしれません。
• ファイアウォール上にインストールされるすべてのソフトウェア、およびOSは、定期的にベンダーもとを再訪し、パッチ当てやバグを修正によるグレードアップを行って、適正なバージョンを維持されなければなりません。
• 緊急事件備えて、リアルタイム警報がセットアップされているべきです。

Referring to Figure 2, an authentication server can be used to authenticate remote dial-in users before they are granted access rights to the network.
• The information stored in the authentication database should be encrypted and be well protected from unauthorised access or modification.
• A single dedicated machine, which is securely protected, should be used.
• The server should be properly configured to log administrative transactions, usage accounting information and authentication transactions such as failed login attempts.
• If more than one authentication servers are used for resilience, make sure that the information stored in the authentication databases is propagated to all other replicas.

図2に関しては、、認証サーバーは、ネットワークにアクセス権を受ける前の遠隔ダイアルイン・ユーザーを認証するのに用いことができます。
• 認証データベースに保管される情報は、暗号化され、未許可のアクセスや修正から十分保護されければなりません。
• 確実に保護されている単独の専用の機械が、使われなければなりません。
• サーバーは、管理業務、使用会計情報、ならびにログイン未遂のような認証業務をログできるよう、適正に構成されていなければなりません。
• 複数の認証サーバーが復元力として使われる場合は、認証データベースに保管される情報が、他の全てのレプリカに広がっていることを認かめてください。

• System log files should be reviewed periodically to detect any unauthorised account creation or privilege modification.

FIREWALLS

A firewall can be considered as a security measure for protecting an organisation's resources against intruders. It is an important component of a security infrastructure. It should be reminded that the design and setup of a firewall requires thorough understanding about the firewall features, functions, capabilities and limitations as well as the threats and vulnerabilities associated with the Internet.

• 全ての未許可の口座づくりや特権修正を検知するために、システムログ・ファイルは、定期的に見直さなければなりません。

ファイアウォール

ファイアウォールは、組織の資源を侵入者から保護するセキュリティ手段と考えることができます。それは、セキュリティ・インフラの重要な構成要素です。ファイアウォールのデザインと設定には、インターネットと関連したファイアウォール機能、効用、能力および限界、そしてまた脅威と脆弱さについての完全な理解を必要とすることを再認識しなければなりません。

• Do not solely rely on IDS/IPS to protect the network. IDS/IPS are only real-time detection tools to alert users on abnormal or suspicious activities. More importantly, the network should be properly configured with all necessary security protection mechanisms. The whole network should be closely monitored and regularly reviewed so that security loopholes or misconfiguration can be identified promptly.

Firewalls

Depending on the security requirements, the use of two or more firewalls or routers in serial helps to provide an additional level of defence.

• IDS/IPSだけを頼りに、ネットワークを保護しようとしてはいけません。IDS/IPSは、異常もしくは疑わしい動きについてユーザーに警告する、リアルタイムの検出ツールでしかありません。また、ネットワークには、すべての必要なセキュリティ保護メカニズムが、きちんと設定している必要があります。セキュリティの抜け穴や間違った設定がすぐに確認されるよう、ネットワーク全体をしっかりとモニターし、定期的に点検しなければなりません。

ファイアウォール

セキュリティの必要条件に応じた、続き番号の二つ以上のファイアウォールやルータの使用は、防御のレベル・アップをもたらすのに役立ちます。

For example, two firewalls in serial (one internally connected with the internal router and one externally connected with the external router) may be required to provide different protections. If there is one RAS connected to the DMZ and placed between the internal and external firewall, the external firewall may aim at blocking malicious traffic from the Internet while the internal one may aim at blocking malicious traffic from the internal network users and the remote access users connected to RAS. If multiple firewalls are used in parallel for load balancing or performance reasons, the configuration of each firewall should be aligned.

たとえば、異なる保護を提供するためには、続き番号の2つのファイアウォール（内部ルータと中でつながるものと、外で外部ルータとつながるもの）が必要なのかもしれません。もしDMZに接続している1RASがあって、内部と外部のファイアウォールの間にセットされていたら、外部のファイアウォールは、インターネットからの悪意のある行き来を妨げることを目指し、一方で、内部のファイアウォールは内部のネットワーク・ユーザーと、RASに接続しているリモート・アクセス・ユーザーの悪意のある行き来を妨げることを目指すのかもしれない。もし複数のファイアウォールが、負荷分散、またはパフォーマンス上の理由で同時に使われる場合、各ファイアウォールの設定も調節しなければなりません。

If performed manually, system and application logs should be properly kept, reviewed and analysed for all critical components. Reviewing and monitoring procedures should be properly established and followed. If performed automatically, network IDS or IPS tools can be used.

An IDS passively monitors traffic by listening to and examining the packets within a network. Signatures of known attack attempts will be compared against traffic pattern to trigger an alert.

An IPS provides a more proactive approach beyond an IDS because it can be configured to stop the attack from damaging or retrieving data from the target victim upon detection of an attack pattern.

手動で実行する場合は、システムならびにアプリケーション・ログを、すべての重要な構成要素について、きちんと保存、見直し、また分析しなければなりません。点検ならびにモニタリングの手順を、適正に整備し、遵守しなければなりません。自動で実行する場合は、、ネットワークIDSまたはIPSツールを使うことができます。

IDSは、ネットワークの中のパケットをリッスンし、調べることにより、トラフィックを受動的にモニターします。既知の襲撃未遂のシグナチャーは、警報を作動するトラフィック・パターンと比較することになります。

IPSは、IDSを越えたより積極的なアプローチを提供します。設定によって、攻撃パターンを探知すると同時に、ターゲットからのデータにダメージを与えたり、検索させたりさせないようにすることができるからです。

Similar to a firewall, an IPS can intercept and forward packets and can thus block attacks in real-time.

These tools reside in the networks or hosts to detect any suspicious activities, and monitor the network traffic or system activities. Some suggestions are listed as follows:

• IDS/IPS should be placed in the DMZ to detect external attacks. Additional IDS/IPS can be placed in the internal network to detect internal attacks if required.

• The operation of the IDS/IPS should be as stealth as possible. It should be hidden and protected by the firewall system to protect it from attacks.

ファイアウォールと同じ様に、IPSはパケットを傍受し、転送することができるので、これによりリアルタイムで攻撃をブロックすることができます。

これらのツールは、ネットワークまたはホストにあって、あらゆる疑わしい動きを検出し、ネットワーク・トラフィックやシステム活動をモニターします。以下、いくつかの提案をリストアップします。

• IDS/IPSは、外部からの攻撃を検知するため、DMZ内に置かなければなりません。必要となれば、追加のIDS/IPSを内部ネットワーク内に置き、内部からの攻撃を検知することができます。

• IDS/IPSの稼動は、できるだけ秘密としなければなりません。
これを、ファイアウォール・システムによって隠し、保護して、攻撃から保護しなければなりません。

A firewall system, intrusion detection mechanism and computer virus scanning tools should be maintained to provide security protection for Internet access service. Depending on the services to be provided, the following network devices may be deployed with:

• Authentication servers (for user identification and access control)
• Remote Access Server (RAS) and modem pools (for remote dial-in and access)
• Domain Name System (DNS) servers (for host name and address mapping)
• Simple Mail Transfer Protocol (SMTP) gateway and mail servers (for Internet email)
• Web servers (for information publishing)
• Proxy servers (for caching, network address hiding, access control)

ファイアウォール・システム、侵入検出メカニズム、およびコンピュータ・ウイルス・スキャニング・ツールを維持し、インターネット接続サービスに対してセキュリティ保護を提供しなければなりません。提供サービスによって、以下のネットワーク機器を配備することができます。

• 認証サーバー（ユーザー識別とアクセス制御）
• リモートアクセス・サーバー（RAS）とモデム・プール（リモート・ダイアルイン、リモート・アクセス）
• ドメインネーム・システム（DNS）サーバー（ホスト・ネームおよびアドレス・マッピング）
• シンプルメール転送プロトコル（SMTP）ゲートウェイ、メール・サーバー（インターネット電子メール）
• ウェブサーバ（情報パブリッシング）
• プロキシサーバー（キャッシング、ネットワーク・アドレス隠蔽、アクセス制御）

Nonetheless, some security guidelines on the above components will be explained in later sections with focus on their security measures.
This architecture can separate the internal network from the external one, and can hide the information about the internal network. Separate segments may be assigned within the DMZ for better access control and protection.
In fact, Internet gateway architecture for different services may require specific tailoring depending on many factors such as network infrastructure, services provided, performance, mode of operations, cost and so on.

Web Servers
Separate web servers should be used to restrict access when providing different information to internal and external users.

しかし、上記の各コンポーネントに関するいくつかのセキュリティ・ガイドラインを、そのセキュリティ対策を中心に、後のセクションで説明します。
このアーキテクチャは、内部ネットワークを外部ネットワークから切り離すことができ、内部ネットワークに関する情報を隠すこともできます。
独立したいくつかのセグメントを、DMZの中に割り当て、より良いアクセス制御と保護を図ることができます。
実際に、異なるサービスのためのインターネット・ゲートウェイ・アーキテクチャは、ネットワーク基盤、提供されるサービス、パフォーマンス、操作方法、原価他といった多くの要因にともない、特有の調整が必要となる可能性があります。

ウェブサーバー
内部と外部のユーザーに異なる情報を提供する場合は、独立したいくつかのウェブサーバーを使って、アクセスを制限しなければなりません。

• Web servers can be placed inside or outside the internal network. Web servers, which are placed inside the internal network, are normally used for providing information to internal users, while web servers outside the internal network are used for disseminating information to the public or external users. All outside web servers need to be connected to the firewall in the DMZ with a separate network interface.
• A dedicated host should be assigned for running a web server, a mail server or any critical service separately. In case of being compromised, this can reduce the impact to other services.

• ウェブサーバーは、内部ネットワークの中、もしくは外に置くことができます。
内部ネットワークの中に置かれたウェブサーバは、通常、情報を内部のユーザーに提供するために使われ、一方、内部ネットワークの外に置かれたウェブサーバーは、一般および外部のユーザーに情報を広めるために使われます。すべての外置きのウェブサーバーは、別々のネットワーク・インターフェースにより、DMZのファイアウォールに接続さ
れる必要があります。
• 専用のホストを割り当て、ウェブサーバ、メール・サーバー、またはどの重要なサービスも、独立して実行されなければなりません。能力が弱められると、それが他のサービスへの影響力を下げることがあります。

Our company was selected as one of the 9 startups to pitch directly to a panel of judges at the Echelon Japan Satellite. Conyac for Business was the 3rd participant to pitch at the event, and even though we didn't win, we enjoyed watching other startup's presentations. They inspired us and gave us a better idea of what we should focus on in the future in order to continue the rapid growth in Asia.

The winner was TopAdmit, a Taiwan-based educational startup that provides a professional essay editing services for students. Congratulations to them and we hope to see them win the final Echelon competition!

If you missed the Satellites, you can still meet Conyac Team at the Echelon Startup Marketplace in Singapore.

我が社は、Echelon Japan Satelliteで審査委員会に直接売り込みを行う9社のスタートアップのうちの1社に選ばれました。Conyac for Businessは、同イベントで売り込みを行った3番目の参加者でした。そして、勝つことはできませんでしたが、我々は他のスタートアップのプレゼンテーションを楽しみました。それらは、我々を刺激し、我々がアジアで急成長を続けるために今後集中すべきことについてさらに良いアイディアを与えてくれました。

勝者は、学生のための専門のエッセイ編集サービスを提供する台湾に拠点を置く教育ベンチャーのTopAdmitでした。おめでとうございます、彼らには最終的なエシュロン・コンペ決勝で勝ってもらいたいものです！

同Satellitesを見逃した方は、さらに、シンガポールで開催のEchelon Startup MarketplaceでConyacチームを見ていただく機会があります。

This is what Startup Dating's Rick Martin wrote about our CEO's pitch:
"We’ve heard from Conyac a few times before, so regular readers are likely somewhat familiar with this service. Naoki Yamada pitched the startups offering for business, explaining that their crowdsourced translation solution can provide quick translations for businesses for a low price. As a typical business use case, he gave the example of a 10-slide powerpoint presentation, which was translated in five hours and cost $36. In comparison to competing services, Naoki explained that on their platform translators can be educated by more experienced translators, thus giving them an opportunity to improve themselves."

我社のCEOのピッチについて、スタートアップ･デイティング社のリック・マーティンはこう書いています。
「我々は前に2、3回Conyacから連絡をもらったことがあるので、定期的な読者はたぶんある程度このサービスのことを知っているでしょう。
山田直樹は、このスタートアップのビジネス向けサービスのピッチをし、彼らのクラウド・ソーシングによる翻訳ソリューションが、企業に、安価で迅速な翻訳を提供することができることを説明しました。典型的なビジネスでの使用ケースとして、彼は10枚のスライドによるパワーポイント・プレゼンテーションの例を示しましたが、それは5時間で翻訳され、費用は36ドルでした。競合サービスとの比較で、彼らのプラットホームでは、翻訳者がより経験豊かな翻訳者の教育を受けることができ、それが、彼らに上達の機会を与えていると直樹は説明しました」

(which will be explained in later sub-section) from the internal network. Unlike firewalls, these routers are normally considered as network devices with value-added security features rather than as security products.
The intrusion detection and monitoring stated above refers to any means, such as tools or procedures, that can provide such functions, but may not be necessary a physical device. The use of IDS/IPS tools can help to automate, speed up and facilitate the intrusion detection and monitoring process. The actual use of such tools is subject to our department’s own requirements but the gateway should accommodate with at least a procedure-based mechanism to detect and monitor intrusions.Apart from that,

、内部ネットワークから（これはこの後のサブセクションで説明します）。ファイアウォールとは違い、これらのルータは、通常、セキュリティ製品というよりも、むしろ付加価値セキュリティ機能を持つネットワーク機器と見なされています。
上述の侵入検出およびモニタリングは、例えばツールや手順といった、何であれ、そのような機能の提供はできるが、物理的な機器である必要がないかもしれない手段に属するものとされています。IDS/IPSツールの使用は、侵入検出およびモニタリング・プロセスを自動化し、スピードアップし、容易にする役に立つことがあります。そうしたツールの実際の使用は、我々の部門自体の要件次第ですが、そのゲートウェイは、少なくとも、侵入を検出およびモニターするための手順ベースのメカニズムに適合していなければなりません。それを除けば、

a set of security policy and procedures should be developed for controlling and monitoring the Internet gateway. There is a need to perform security audit regularly, after major changes or prior to implementation to ensure that the Internet gateway is set up properly in accordance with the security policy. Even if there is no internal network connection, it would still be better to have the above recommended security protection.

Illustrated below is a sample logical network diagram for an Internet gateway. Our departments may revise the network architecture according to their own requirements, services offered and existing network structure. The relative position of network components may need to be altered.

インターネット・ゲートウェイを制御し、モニターするための、一連のセキュリティ・ポリシーと手順を開発する必要があります。大きな変更の後や実装の前に、インターネット・ゲートウェイがセキュリティ・ポリシーに従ってきちんと準備されていることを確実にするため、定期的にセキュリティ監査を実行する必要があります。たとえ内部ネットワーク接続がない場合でも、上記の望ましいセキュリティ保護を備えていることが望ましいでしょう。

インターネット・ゲートウェイのための実例論理ネットワーク図を、下記で例証します。我々の部門では、自身の必要条件、提供サービス、および現在のネットワーク構造に従って、ネットワーク・アーキテクチャを修正することができます。ネットワーク構成要素の相対的な位置は、変える必要があるかもしれません。

Illustrated above is the recommended security protection required for an Internet gateway, which provides a channel for access from internet network to the Internet without hosting any web servers or mail servers. The de-militarised zone (DMZ) is the area where security measures are placed.
A firewall host is deployed to filter out unauthorised or malicious traffic. It should be noted that a firewall is not the totality of security solutions. There are a number of things that a firewall cannot protect against, including but not limited to:

• Denial of service attacks and assure data integrity
• Attacks from unwitting users
• Attacks from computer virus or malicious code

以上で例証したのが、インターネット・ゲートウェイに必要とされる望ましい機密保護である。このンターネット・ゲートウェイが、いかなるウェブサーバまたはメール・サーバーをホストせずに、インターネット・ネットワークからインターネットにアクセスするチャネルを提供している。非武装地帯（DMZ）とは、安全対策が施されている地域である。
ファイアウォール・ホストは、未許可ないしは悪意のあるアクセスを除去するために配備されている。ファイアウォールが、安全ソリューションの全てではない点に留意する必要がある。ファイアウォールによる保護ができないいくつかのものがあり、それは、以下を含むが、これに限定されない。

• サービス攻撃拒否、およびデータ・インテグリティの保証
• 意図しないユーザーからの攻撃
• コンピュータ・ウイルスまたは悪質なコードからの攻撃

CPSC Publishes Final Rules for Infant Swings within Federal Register
On November 7, 2012, the Consumer Product Safety Commission (CPSC) staff published within the federal register the final rules for infant swings. The final rules will adopt the ASTM F2088-12a standard as mandatory with two specified modifications and will become effective May 7, 2013

Background of CPSIA
Under the Consumer Product Safety Improvement Act (CPSIA), the Consumer Product Safety Commission (CPSC) is required to study current industry safety standards related to certain infant & toddler products and to make an assessment as to whether those standards would be considered sufficient safety standards.

CPSCが、幼児用ブランコに対する最終的な規則を連邦広報に発表
2012年11月7日に、消費者製品安全委員会（CPSC）スタッフは、連邦広報において、幼児用ブランコに対する最終的な規則を発表した。同最終規則は、2点の指定された修正を行い、ASTM F2088-12a標準を義務として採用、2013年5月7日に発効する。

CPSIAの背景
消費者製品安全改善法（CPSIA）の下で、消費者製品安全委員会（CPSC）は、特定の幼小児製品に関連する現行の工業安全基準を研究し、それらの基準が十分な安全基準と考えられるかどうかについての評価を下すことを求められている。