プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

このエントリーをはてなブックマークに追加 Clip to Evernote
2019-05-16 15.31.43
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

衣料大手ファーストリテイリングは、自社が運営する通販サイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」に大規模なパスワードリスト攻撃が行われ、46万件の不正ログインを許し、利用者の個人情報を流出させた可能性があると5月13日付で発表しました。

流出した可能性があるのは、通販サイト利用登録者の情報で、
「氏名」「氏名カナ」「郵便番号」「住所」「電話番号」「携帯電話番号」「メールアドレス」「性別」「生年月日」「購入履歴」「マイサイズに登録している氏名とサイズ」「配送先の氏名、住所など」「クレジットカード番号の上4桁と下4桁」「有効期限」など 約46万名
とのことです。

同社のリリースによると、4月23日から5月10日にかけてパスワードリスト攻撃が行われて46万件の不正アクセスを許してしまったといいます。顧客から「身に覚えのない登録情報変更の通知メールが届いた」という連絡を受け取って社内で調査したところ、事実が発覚したといいます。

https://www.fastretailing.com/jp/group/news/1905132000.html

同社では、対象ユーザーのパスワードを無効化し、パスワード再設定をするようにメールで連絡したとのことです。

(私のコメント)
これほどの規模のパスワードリスト攻撃の成功例は珍しいのではないかと思います。

そもそもパスワードリスト攻撃の場合には、
(1)まず、IDが一致しない可能性があります。ユニクロのWebサイトがいくら人気だと言っても、日本のネット利用者の1割程度だと思いますから、少なくともここで10回に9回くらい失敗するはずです。
(2)次に、パスワードが一致しない可能性があります。いくらパスワードを使いまわしている人が多いとはいえ、その比率はどんなに高くても3割程度にとどまるのではないかと思います。

そうすると、ログインに成功できるのは30回に一回という仮定が成立します。46万回の成功を許すには、単純計算で1380万回、少なくとも1000万回以上のチャレンジが行われているはずです。

1000万回の不正アクセスのチャレンジが機械的に行われれば、通常は管理者側で異常に気付くと思われます。しかし、今回はそれが見過ごされ、不正アクセスに成功してしまいました。

ということは、今回の攻撃者は、分散したIPアドレスから不正アクセスを行ったり、一定の時間をあけてゆっくりと不正アクセスを行うなど、検知を逃れるために工夫を凝らした可能性があると思います。

同社のリリース文にもURLが貼り付けられていますが、今後は大規模なWebサイトを構築する際には、「二要素認証」や「特定のIPアドレスからの通信の遮断」「普段と異なるIPアドレスからの通信の遮断」などが必須になってくると思います。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

先日からメディアで報道されているように、
何億件ものIDとパスワードの組み合わせが出回っている訳ですから、
このままでは、この手の事件がまだまだ続きそうです。ほんとに。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
IMG_4529

皆さんこんにちは。
プライバシーザムライ中康二です。

今週金曜日まで東京ビッグサイトで開催されている「情報セキュリティEXPO」会場からのレポートです。

ゲイトウェイ・コンピュータ社ブースでは、標的型攻撃メール訓練「GINC(ジーインク)」が出展されていました。

これは、いわゆる標的型攻撃メール訓練なのですが、一番の特徴は専用のハードウェアを提案しているところです。

このハードウェアを購入して、社内に据え付ければ、標的型攻撃メール訓練を年中行えるというわけです。

標的型攻撃による被害が相次いでいる現状において、標的型攻撃メール訓練を年に1回やればいいというような状況ではありません。大手企業では全社員一斉ではなく、少しずつ対象範囲を絞って継続的に実施するほうが効果的と思われ、そのようなニーズに対応するため、このハードウェアが製品化されたとのことです。

IMG_4527
(これがそのハードウェアです)

また、同社では単にメールを開いたら「減点!」ということではなく、標的型攻撃メールを開いてしまった場合の対応(ネットワークを遮断する。関係部署に報告するなど)を実際に行わせて、万が一の場合に備えるような「行動訓練型」のメニューも用意しており、他社との差別化を図っているようです。

興味を持たれた方はぜひ同社ブースで話を聞いてみてください。

https://www.gateway.co.jp/ja/service/security-solution/ginc/

なお、当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。
https://www.optima-solutions.co.jp/archives/15898

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加 Clip to Evernote
今週いっぱい、東京ビッグサイトにて開催中です。
ぜひ会場でお会いしましょう!

FullSizeRender

当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。


このエントリーをはてなブックマークに追加 Clip to Evernote
2019-04-19 09.44.37
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

JR九州は、自社が運営する通販サイト「ななつ星Gallary」の利用者のカード情報を含む個人情報約8000件が流出したと、4月12日付で発表しました。

流出したのは、2013年の開設以来の利用者の情報で、
「氏名」「住所」「郵便番号」「電話番号」「FAX番号」「性別」「生年月日」「メールアドレス」「職業」「パスワード(暗号化処理済)」「秘密の質問の答え(暗号化処理済)」約6,000名分
・「カード番号」「有効期限」「セキュリティコード」約3,000名分
・「氏名」「住所」「郵便番号」「電話番号」約2,000名
とのことです。

同社のリリースによると、Webサーバーに不正アクセスがあり、情報が盗まれた可能性があるとのことです。3月11日にカード会社からの不正利用の連絡があり、即日Webサイトを閉鎖したとのことです。

同社では、クレジットカードの再発行費用については自社で負担するとしています。

http://www.jrkyushu.co.jp
http://www.jrkyushu.co.jp/news/__icsFiles/afieldfile/2019/04/12/nanatsuboshi_gallery_4.pdf

(私のコメント)
Webサイトを即日閉鎖したことは素晴らしいのですが、一般公表まで1か月かかっているのは少し遅いかなと思います。


また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
プライバシーマークの現地審査の進め方の変更
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今回も、この「新方式の審査」の内容について、解説していきます。

新方式の審査においては、文書審査が25項目だけになり、現地審査の締めるウェイトが高くなりますが、それに加えて、進め方も変更になるとのことです。

従来は、午前中に全社の個人情報台帳とリスク評価のチェックを行って、午後に全社の安全管理策のチェックを行うという流れだったと思います。これを改めて、いくつかの主要な業務ごとに「台帳」「リスク評価」「安全管理策」の順番でチェックを繰り返すことになるようです。

これは、全社一括で見るのではなく、主要な業務ごとにチェックしていくことで、より具体的なリスクをより正確に追いたいということのです。

これにより一番影響を受けるのは「システム●●●」さんですね。

さて、どなたでしょう?

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
SecurityDays (1)

プライバシーザムライ中 康二です。

皆さんは「Security Days」というイベントをご存知でしょうか?
SecurityDaysSpring-2019_bnr650_150.jpg
このイベントは、情報セキュリティ業界各社によるセッション(講演)が中心になっており、来場者は最新の情報を聴くことができる上に、各社がブースも出展しているので、担当者から直接話を聞いたり、デモを見ることもできるという構成です。毎年、春と秋に東京、大阪、名古屋などで開催されていますが、開催の度に来場者が増加していっています。

当社も昨年春から参加を開始し、少しずつ参加規模を大きくしてきました。
今回、3月に東京と大阪で開催されました「Security Days Spring 2019」では、東京と大阪でブース出展とセッション登壇を行った次第です。

セッションは、下記の通り「本気のISMS」のメッセージを中心に据えたものでした。

なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
プライバシーザムライ 中 康二
(オプティマ・ソリューションズ(株)代表取締役)


ありがたいことに、東京、大阪とも満員御礼となりました。
SecurityDays (2)

プライバシーザムライ、がんばりました!
SecurityDays (3)
(セッションの動画は、Youtubeで後日公開いたします)

セッション終了後、ブースで質疑応答など。
SecurityDays (4)

ブースでは弊社社員が終日アテンドさせていただきました。
SecurityDays (5)

今回はサムライチョコも用意したんですよ!
SecurityDays (6)

当社も情報セキュリティ業界の一員として参加しました。
SecurityDays (7)

お越しいただいた皆様、ご来場ありがとうございました。

次回秋も東京、大阪に参加する予定です。
また会場でお会いしましょう!

このエントリーをはてなブックマークに追加 Clip to Evernote
プライバシーマークの新方式の審査とは
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

前回の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今後、この「新方式の審査」の内容について、解説していきます。

新方式の審査における、最も大きな変更点は、従来の審査と比べて審査項目が大幅に減少したことがあげられます。全体の項目が369項目から126項目に減少したのです。

さらに、内訳を詳しく見ていくと、文書審査が25項目、現地審査が101項目となり、文書審査が大幅に減少していることが分かります。

文書審査については、審査基準の本文テキストの中に「文書化」の3文字が含まれているものだけが項目となっており、そうでないものは全て現地審査に振り分けられるという徹底ぶりです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
プライバシーザムライ
(写真は大阪開催時のセッションです)

皆さんこんにちは。
プライバシーザムライ中 康二です。

今週いっぱい、3月6日(水)から8日(金)まで、東京駅前のJPタワー(KITTE)で「Security Days Spring 2019 Tokyo」が開催されます。当社(オプティマ・ソリューションズ)では、今回もブース出展とセッション登壇を行います。

ブース番号は「18」。セッションは下記となります。

3月7日 12:25〜13:05 ルームE(セッション番号E2-05)
なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
プライバシーザムライ 中 康二
(オプティマ・ソリューションズ(株)代表取締役) 

※セッションはすでに満員となっていますが、関係者席にご招待しますので、出席されたい方は下記のご来場予約画面URLから当社にご連絡ください。

三日間の会期中、会場に説明員を配置し、情報セキュリティのための体制づくり、ISMS、プライバシーマークなどに関して、気軽にご相談いただけるように対応いたします。ぜひ事前予約のうえ、お越しください。

「Security Days Spring 2019 Tokyo」参加登録(登録無料)
SecurityDaysSpring-2019_bnr650_150.jpg

当社ブースへのご来場予約画面URL
https://www.optima-solutions.co.jp/event

(私のコメント)
私も三日間、会場にいる予定です。ぜひ会場でお会いしたいと思いますが、会期中、結構ウロウロしますので、できるだけ上記で来場時間をお知らせください。どうぞお気軽に!

このエントリーをはてなブックマークに追加 Clip to Evernote
プライバシーマークの審査方式変更(1)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となり、すでに2017年版での審査が始まっていますが、そもそも審査のやり方自体も大きく変わりました。

※私はこれを「新方式のプライバシーマーク審査」と呼んでいます。

この新方式の審査への移行については、JIPDECから公式発表が行われていないため、ご存じない方もおられるかもしれません。そのため、本Blog上で何回かに分けて、このことをしっかりとご案内したいと思います。

まず、「2年間の移行期間を設ける」とJIPDECは発表しています。ですから、上記の絵のように、新方式の審査が始まったとしても、古い方式の審査も2年間は並行して続けられるのかなと思いましたが、実際にはそうではなく、昨年8月以降に申請した事業者については、全面的に新方式の審査に切り替えられています。

プライバシーマークの審査方式変更(2)

そして、ここからがややこしいのですが、2006年版のままで申請した場合でも、2017年版に対応して申請した場合でも、同じく新方式の審査が行われるのです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
BCPセミナー

いつもお世話になります。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

どんな災害が起こっても、お客様の期待に応え続けたい。
何があっても、社員を路頭に迷わせない。
粘り強い会社になるよう、企業体質を整えたい。

そんな風にお考えの経営者の方は多いと思います。そのためには何をすればいいのでしょうか?そのためには、経営戦略やマーケティングといった、通常の経営手法に加えて、事業継続のための取り組み、いわゆるBCP(事業継続計画)の考え方が欠かせません。


BCPと言いますと、災害対策としてだけ注目される傾向がありますが、実際にはそれにとどまるものではありません。

・テロ事件の発生による社会的混乱
・インフルエンザの大規模感染
・情報システムのトラブル
・火災による業務停止
・取引先の経営破綻 など

様々な経営資源の危機に対応するための手法と言えます。

今回は、BCPの専門家で情報セキュリティアナリストの堀池眞臣氏を講師にお招きして、経営者層の皆様を対象とした「危機に負けない」会社を作る経営者のための事業継続BCPセミナーを開催いたします。

堀池氏は、独自の「HRCモデル(Holistic RISK Controls)」に基づくBCP構築を多くの企業に導入し、成果を上げておられます。想定外を想定外とせず、現場力を高めることで、平時の業務改善にもつながるBCPとして注目を集めています。

どうぞお越しください!

20180913_005


なお、セミナー終了後、同会場で懇親会を開催いたします。簡単なお食事とお飲み物をご用意いたしますので、お時間の許す限りご参加ください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師プロフィール
堀池 眞臣(ほりいけ まさおみ)氏 
情報セキュリティアナリスト
horiike
通信キャリア、大手ITで、事業企画、通信ネットワーク構築などを担当。その後、金融機関で情報システムとコンプライアンスを担当し、専門の分野を情報セキュリティに移す。現在アナリストとして企業の経営改善、教育研修、監査業務、セミナー/講演活動に関わる。BCPにおいては、独自のHRCモデルを提唱し、企業、行政機関、各種団体から高い支持を受けている。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「危機に負けない」会社を作る経営者のための事業継続BCPセミナー
講師:堀池 眞臣氏(情報セキュリティアナリスト)
日時:2019年3月19日(火)16時から18時25分まで(懇親会も含みます)
   懇親会は自由参加(無料)としますが、準備の都合がありますので、
   参加の可否をあらかじめ教えてください。
参加対象者:企業の経営者層の皆様
参加費:無料(1社2名様まで)
場所:TKP虎ノ門駅前カンファレンスセンター
   東京都港区虎ノ門1-4-3 NT虎ノ門ビル 9F
   ●東京メトロ銀座線・虎ノ門駅 1番出口 徒歩1分
   ●東京メトロ・霞ケ関駅 C2出口 徒歩4分
   ●都営三田線・内幸町駅 A3出口 徒歩5分
   ●各線・新橋駅 日比谷口 徒歩9分

tkp


主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

このエントリーをはてなブックマークに追加 Clip to Evernote
2019-02-03 15.01.48
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

株式会社オージス総研(大阪ガス100%出資・プライバシーマーク取得済み)は、自社が運営するファイル転送サービス「宅ふぁいる便」の利用者のパスワード(平文のまま)を含む個人情報約480万件が流出したと、1月25日付で発表しました。

流出したのは、利用者の情報で
・2005年以降、会員登録をした会員の氏名、性別、住居の都道府県、生年月日、職業、ログインID(メールアドレス)、パスワード(暗号化していない平文のまま)などの情報 約480万件
・2005年〜2012年の間に、会員が答えた住居の郵便番号、職場の都道府県、職場の郵便番号、家族構成の情報 件数未公表
とのことです。

同社でサービスを全面的に停止し、トップ画面のURLでお詫び文を掲載して、利用者との対応に当たっているようです。

https://www.filesend.to/

(私のコメント)
今回の流出が致命的なのは
・ログインID(メールアドレス)
・パスワード(暗号化していない平文のまま)
がセットになって流出していることです。


メールアドレスとパスワードがセットになっている場合、世の中の人の何割かは同じ組み合わせを他のサービスでも使いまわししていますから、この情報をセットにしてGoogle、Facebook、楽天、Yahoo!などの著名サービスに入れてみると、あれよあれよという間に不正アクセスができてしまいます。480万件流出なら100万件くらいはどれかにログインできてしまうんじゃないかと思います。

そうです。これがパスワード使いまわしによるパスワードリスト攻撃というもので、本Blogでも何回も警鐘を鳴らし続けてきていますが、それが大規模に起こる危険性がまさに「今そこにある危機」となっています。

最大限、警告します。宅ふぁいる便を使ったことがある人で、同じパスワードを他の著名サービスでも使っている人は、今すぐにその著名サービスのパスワードを変更してください。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
69c35f13
皆さんこんにちは。
プライバシーザムライ中康二です。

ご好評をいただいている「JIS Q 15001改正セミナー」を2月21日に名古屋でも追加開催することとなりました。(昨年11月に東京と大阪で開催したのとほぼ同内容となります)

昨年8月から、プライバシーマークの新しい審査基準「JIS Q 15001:2017」(2017年版JIS)に基づいた審査が始まり、その動向が当社にも戻ってきているところです。また9月には新しいガイドラインの書籍も発売されました。

さあ、プライバシーマーク担当者としては、新方式の審査の進め方が気になることろですよね。
・実際のところ、2017年版JISに基づく審査はどのようなものなのか?
・2006年版のまま審査を受けると何が起こるのか?
・最新のガイドラインには何が書いてあるのか?ポイントを知りたい。
・JIPDECの方が2月ごろの説明会で話した内容はどのように実行されているのか?
などなど、気になる内容を皆さんと共有したいと思います。

いつも通り、プライバシーザムライが一刀両断にばっさり分かりやすく解説します。
どうぞ内容にはご期待ください!

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後に軽食とお飲み物をご用意してのネットワーキングタイムも予定しております。

プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、
個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

DSC_9353
(セミナー)

DSC_9353
(グループワーク)

20180621_009
(ネットワーキングタイム)

皆様、どうぞお集まりください。

************************************

タイトル:「新方式の審査を徹底解説!JIS Q 15001改正対応セミナー」
講師:プライバシーザムライ・中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2019年2月21日(木)16時から18時25分まで
 (ネットワーキングタイム含む)
参加費:無料
場所:TKP名古屋栄カンファレンスセンター
 名古屋市中区栄3-2-3 名古屋日興證券ビル
・名古屋市営地下鉄 栄駅 8出口 徒歩8分
・名古屋市営地下鉄伏見駅 4出口 徒歩7分
・名鉄 瀬戸線 栄町駅 徒歩10分
https://www.kashikaigishitsu.net/facilitys/cc-nagoya-sakae/access/
 
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓

btn_semlp2


皆さんと会場でお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

↑このページのトップヘ