プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

このエントリーをはてなブックマークに追加
こんにちは。オプティマ・ソリューションズ広報担当の内野です。
だいぶ寒くなってきましたが、みなさまいかがお過ごしでしょうか?

さて先日(11月20日)、新橋にて
第一回ISMS担当者勉強会〜より効果的にリスクマネジメントする方法〜
を開催しましたので、その様子をご報告いたします。

第一部:勉強会
DSC_3069
(勉強会の様子1)

2019-11-22 11.04.34

今回は、当社のニューキャラセキュリティ博士・コンサルタントの大塚晃司が講師を担当いたしました。
DSC_3045
(セキュリティ博士・大塚晃司)


今回のISMS担当者勉強会では、プライバシーザムライの提唱した「本気のISMS」を具現化するものとして、新しいリスクアセスメントの方法が共有されたようです。

(プライバシーザムライから解説)

従来、リスクアセスメントとしては、情報資産台帳の一つ一つの項目ごとに「機密性」「完全性」「可用性」の観点から資産価値を算出し、さらに数値化した「脅威」と「脆弱性」を掛け合わせてリスク値とするやり方が一般的でした。

このやり方は仕組みとしては分かりやすく、審査でも求められてきていましたが、数字遊びのようになる傾向もあり、実際のリスク対策に本当に役立っているのかという指摘がありました。

また、2013年版のISO27001の登場以降、「外部・内部の課題」にもっと着目し、それを解決するリスク対策を立案することが求められていますが、それを具体的にどのようにして実施するのかの手法はあまり存在していなかったと思います。

今回の勉強会の開催にあたり、このリスクアセスメントの部分に切り込む内容にしてもらいたいと私が要望しまして、セキュリティ博士がそれに対する答えとして出してきたのが「広くヒヤリハット事例を集め、それに対する予防処置を検討すること」でした。

(プライバシーザムライによる解説ここまで)

2019-11-22 11.16.55
今回も、勉強会の途中にグループワークをはさみ、皆さんで自己紹介や自社の取り組みなど、意見交換していただきながら進めていきました。
IMG_6181
(グループワークの様子1)

皆さん同じISMS担当者同士、話し出せば話したいことがどんどん出てきて、「ずっと続けたい!」という印象を受けたほどです。

IMG_6184
(グループワークの様子2)

最後に、ファイルフォースの佐々木様から、クラウド型ストレージサービス「ファイルフォース」のご紹介をいただきました。
DSC_3110
(ファイルフォース・佐々木様)


ファイルフォースは、ファイル共有サーバーをクラウド上に自由に構築できるサービスで、
(1)リモートワーク環境など、いつでもどこからでもアクセスできる利便性
(2)万が一のノートパソコン紛失時には、アクセス権を停止するだけで流出しない機密性
(3)柔軟なアクセス権限設定や、ログ解析機能など管理者機能が充実
という特徴を持っているとのこと。

多くの参加者様に関心を持っていただけたようですし、今後、当社でも販売代理店をさせていただくようです。

第二部:ネットワーキングタイム

同会場にてネットワーキングタイム(懇親会)を行いました。

ささやかですが簡単なお食事もご用意いたしました。 DSC_3131
ご参加いただき、ありがとうござます。 DSC_3139
気軽に日頃の疑問質問も解消!
DSC_3147
お越しいただき、本当に感謝しております♪
DSC_3144
ISMS担当者様同士で情報交換もできました。 DSC_3136
最後に集合写真。ご協力ありがとうございました! DSC_3155


プライバシーザムライからのコメント
DSC_3124
今回、初の試みとしてISMS担当者勉強会を開催し、
またセキュリティ博士という新しいキャラクターを登場させましたが、
とても有意義な会になったと思います。

特に下記の2点をうれしく思いました。
(1)プライバシーザムライが提唱する「本気のISMS」のコンセプトが、
 今回の新しいリスクアセスメント手法により具現化されたこと。
(2)グループワークの際、参加者の皆さんの目が輝いていたこと。
これからもこのISMS担当者勉強会は続けさせていただきます。


セキュリティ博士からのコメント

IMG_6198
ポジティブなコメントを多くいただくことができ、どうにかセキュリティ博士としてのデビュー戦を飾ることができたかな、と内心ほっとしております。

グループワークが大変に盛り上がったのが特に印象的で、グループワークをしめてご説明にもどるのが申し訳ないぐらいでした。

逆にグループワークのお時間長めにとったりした結果、後半の説明が駆け足になってしまうなど改善すべき点もあったと認識しており、今後勉強会を開催させていただく際に活かしていければと思います。

ありがとうございました。


参加者のみなさまからお答えいただいたアンケートの回答のご紹介 

・また勉強会がありましたら参加させてください。

・大変わかりやすく参考になりました。

・貴重なセミナーでした。基本的なところを勉強できたと思います。

・勉強会の継続をお願いします。

・ありがとうござました。

・ありがとうござました。今後ISMSを取得予定です。

・予防の考えがよくわかった。

・大変参考になりありがとうござました。

・運用の段階で前任者から引継を行ったばかりで知識が追いついていないですが、 今後進めていく上での考え方が学べました。

・予防措置の扱い方については参考になりました。

・面白く感じました。

・今までうっすらとひっかかっている部分だったので、とてもすっきりしました。

・情報セキュリティに関する事件はよくニュースで見ていますが、ISMS取得企業で、こういうリスクをこういう対策をしていたのでリスク回避できたという良例をききたいです。ぜひ2回目も!


はい!いかがでしたでしょうか?
たくさんの熱心な参加者様にお集まりいただきスタッフ一同とても感激しました。
ありがとうございます。

第二回勉強会の開催のご要望もいただきましたので、ぜひ実現したいと思います。
開催が決まりましたらお知らせいたします。
今回参加された方はもちろんのこと、次回からの初参加ももちろん大歓迎です!
楽しみにお待ちくださいませ♪


■ファイルフォース株式会社様
https://www.fileforce.jp/

このエントリーをはてなブックマークに追加
基礎からわかるISMSセミナー
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では「基礎からわかるISMSセミナー」を定期開催しております。

毎回ご好評をいただいておりますので、開催時に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:
「基礎からわかるISMSセミナー」
〜Pマークとの違いから、最新のクラウドセキュリティ認証まで〜
講 師 : プライバシーザムライ・中康二(オプティマ・ソリューションズ・代表取締役)
   セキュリティ博士・大塚晃司(オプティマ・ソリューションズ・コンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_isms_seminer2

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

このエントリーをはてなブックマークに追加
Pマーク・ISMSのためのE-Learning

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークやISMSを取得されている会社の担当者として、頭が痛いのが毎年の定期教育ですよね。

社員を一か所に集めて、集合研修を行おうとしたものの、

・1回でやろうとすると業務が止まってしまうから、2回行う。
・会議室が狭いから、2回行う。
・何回やっても参加してくれない社員がいる。
・社員が全国に散らばっているから1か所に集められない。
・全社員が1か所に集まるのは年1回の総会だけしかない。
・出席者を管理するのが大変。
・テスト結果を採点するのが面倒。
・教育ネタが毎年同じだと社員に飽きられる。
・せっかくやっているのに寝ている人が多い。

などなど。頭が痛いポイントを挙げていったらきりがないですね!

そこで、当社(オプティマ・ソリューションズ)では、「Pマーク・ISMSのためのE-Learning」をおススメしております。

デモ版無料体験もできます。
下記のリンクからどうぞお申し込みくださいませ!

https://www.optima-solutions.co.jp/e-learning

(当社の顧客から大変好評ですので、こちらでもご案内させていただきました)

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
セキュリティ博士登場!
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

当社では5年ほど前から、不定期に「プライバシーマーク担当者勉強会」を開催し、多くのプライバシーマーク担当者の皆様にお集まりいただいております。そこでいただいた声が「ISMSでも同様の勉強会をやってほしい」というものでした。

そこで!ついに初めての試みとして、ISMS担当者勉強会を開催いたします!!!(パチパチ)

タイトルはなんと「セキュリティ博士が語る・ISMS運用のコツ」です。

今回の講師は私ではなく、当社のニューキャラ「セキュリティ博士」が担当いたします。

・ISMS審査前に準備しておくべき6つのポイント
・最新のリスクアセスメントのやり方

などなど、ISMS担当者の皆様の気になる内容をお話しさせていただきます。

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後にはネットワーキングタイムも予定しております。

ISMSの実務担当者様同士でぜひ意見交換していただきたいですし、個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

セミナー
(セミナー)

グループワーク
(グループワーク)

ネットワーキングタイム
(ネットワーキングタイム)

集合写真
(集合写真)

皆様、どうぞお越しください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師プロフィール
セキュリティ博士(ISMSコンサルタント・大塚晃司)
otsuka
会計事務所にてコンサルティング業務に従事していた際に、「同じコンサルでもこれからはセキュリティの時代だろう!と一念発起。情報セキュリティ業界に転身。その後、数多くのお客様でのSMS取得を支援しており、分かりやすい説明には定評があります。


タイトル:第一回ISMS担当者勉強会「セキュリティ博士が語る・ISMS運用のコツ」
日時:2019年11月20日(水)16時から19時まで
 (ネットワーキングタイム含む)
講師:セキュリティ博士(ISMSコンサルタント・大塚晃司)
参加対象者:ISMS・プライバシーマーク認定事業者の役員、担当者の方
(これからの取得をご検討中の方、プライバシーマーク担当者も歓迎します)
参加費:無料(1社2名様まで)
場所:TKP新橋カンファレンスセンター
 東京都千代田区内幸町1-3-1 幸ビルディング 11F
・都営三田線 内幸町駅 A5出口 徒歩0分
・各線 新橋駅 徒歩5分
 https://www.kashikaigishitsu.net/facilitys/cc-shimbashi-uchisaiwaicho/access/


主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

もちろん私も参加します。
皆さんとお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加
新審査項目リスト

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

以前に「新しい審査では文書審査の項目が25項目だけになり、その他は現地審査に移行した」という内容の記事を書きました。

では、具体的にどの25項目が文書審査に残り、どの項目が現地審査に移行したのでしょうか?

そもそも、最新の審査におけるチェック内容はどんなものなんでしょうか?

これに対する答えとして、当社では「新審査項目チェックリスト」というものを用意しました。これは2017年版JIS版の審査における審査項目を一覧にして「文書」「現地」の区分を記載したものです。今回、この文書を皆様に公開いたします。

この資料は、以前に開催した「JIS改正対応セミナー」の動画全編視聴の特典として提供されております。下記のURLからお申し込みください。(無料)。

https://www.optima-solutions.co.jp/form_jis_kaisei3

※なお、MEDIS-DCさんとデータ通信協会さんは、この内容ではなく、独自の審査項目チェックリストを使用しているようです。ご参考まで。

(参考記事)
プライバシーマークの文書審査は25項目だけになりました!
http://www.pmarknews.info/privacy_mark/52094757.html

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
個人情報台帳に「保管期限」の欄を追加

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

今回、ご説明したいのは、「個人情報台帳に保管期限の欄を追加してください」ということです。これはすでに対応されている方も多いと思いますが、改めて解説しておきます。

2017年の個人情報保護法の改正で、「第19条 正確性の確保」の努力義務の中に、「利用する必要がなくなった個人データの消去」が含まれました。これをうけて、2017年版JISも「A.3.4.3.1 正確性の確保」の中に同様の内容を盛り込むとともに、「A.3.3.1 個人情報の特定」の中で「個人情報台帳に保管期限を記載すること」が明記されました。

この保管期限とは、利用期限とは異なる概念で、事業者としてはこの両方を別々に管理する必要があります。(これについては、下のリンクを参照してください)

というわけで、2017年版JIS対応において、「個人情報台帳に保管期限の欄を追加する」ことは必須とお考え下さい。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。



※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E

なお、全編の視聴には申し込みが必要です。下記からお申し込みください(無料)。
セミナー開催時に配布した「新審査項目リスト」もご提供しますので、お見逃しなく!
https://www.optima-solutions.co.jp/form_jis_kaisei3

(参考記事)「利用期限」と「保管期限」の違い
http://www.pmarknews.info/privacy_mark/52073245.html

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
用語の定義は削除

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していきたいと思います。

今回、ご説明したいのは、「個人情報に関する用語の定義は個人情報保護規程から削除しましょう」ということです。どういうことでしょうか?

今回の2017年版JISは、2015年に改正された個人情報保護法に用語の定義がほぼ統一されました。
 個人情報 → 個人情報、個人データ
 開示対象個人情報 → 保有個人データ
 特定の機微な個人情報 → 要配慮個人情報
などです。

同時に、個人情報保護法側で新しく登場した用語がそのまま盛り込まれました。
 個人識別符号
 匿名加工情報
などです。

これらのそれぞれについて、正確な定義を個人情報保護規程の中に書くのはかなり困難です。個人識別符号や要配慮個人情報の定義を正確に記載するには、個人情報保護委員会ガイドライン(通則編)の冒頭の部分をそのまま引用することが必要となることでしょう。

(参考)個人情報保護委員会ガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

特に、要配慮個人情報については、以前の「特定の機微な個人情報」から対象範囲が微妙に変わっていますが、これは個人情報保護規程から定義を削除して、「特定の機微な個人情報」から「要配慮個人情報」に用語を置換するだけで対応が完了します。

ということですので、今回の2017年版JIS対応を機会に、個人情報保護規程から個人情報関係の用語の定義を削除し、「個人情報保護法とJIS Q 15001などに従う」などとするのがいいでしょう。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
64848678_2581544788532677_7951752934859997184_o
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では、6月から7月にかけて「いまさら聞けない」Pマーク/ISMS取得企業のためのGDPRセミナーを東京・大阪・名古屋で開催しました。

ご好評をいただきましたので、このたび、その際に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:「いまさら聞けない」Pマーク/ISMS取得企業のためのGDPRセミナー
講 師 : 生方淳一(情報セキュリティコンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://drive.google.com/file/d/1o_UHco_F6V-25GFCLclg8oT0KW27UtCe

なお、全編の視聴には申し込みが必要です。
資料全ページPDFもご提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_gdpr


今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

このエントリーをはてなブックマークに追加
継続的改善事項に準ずる指摘とは

皆さんこんにちは。
プライバシーザムライ中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。

しかし、更新事業者には、2年間の移行期間が認められており、多くの事業者では最低1回は2017年版JISに対応せずに審査を受けることができます。

では、実際に更新事業者が2017年版JISに対応せず、
従来の規程類のまま審査を受けるとどうなるのでしょうか?
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓お答え↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
------------------------------------------------------------
●2017年版JISに対応した「新審査項目リスト」を使って審査(文書審査、現地審査とも)されます。
●2017年版JISで新しく登場した審査項目については、指摘事項とはせず「継続的改善事項に準ずる指摘」となります。
------------------------------------------------------------

これはどういうことなのでしょうか?もう一度よく見てみましょう。

例えば2017年版JISでは、個人情報台帳において、個人情報の「利用期限」だけではなく、「保管期限」も明記することとされました。記載欄の追加が必要になります。

しかし、これをせずに申請するとどうなるかということです。

そうすると「保管期限の欄を追加してください」という「継続的改善事項に準ずる指摘」が出ます。そしてその「継続的改善事項に準ずる指摘」の内容については、今回の審査では改善報告書を提出する必要はなく、「次回2年後の審査までに対応しておいてください」ということになります。ですから、対応しなくても審査は通過できます。

ということは、先回りして規格書を勉強しなくても、審査員が2017年版JISの対応に必要なポイントを教えてくれるので、次回までにそれを修正しておけば2017年版JIS対応は完了してくれるということなんでしょうか?

それはちょっと甘いかな。。。

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
23

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードリスト攻撃の被害が頻発し、脅威がますます大きくなっていますね。

世界の数多くのネットサービスからメールアドレスとパスワードの組み合わせが流出し、それが集約されて何億件ものリストになったものが、地下ネットで流通しているわけですから、それが悪用されるのも当然のことといえましょう。

パスワードリスト攻撃に関する過去の記事
パスワード使いまわしに関する過去の記事

これに対してどのように対策を取ればいいのか。

セブンPay事件で「2段階認証」という言葉が注目されるようになり、それが解決策のように思われている方も多いと思いますが、私はむしろそのもっと前の段階にある「悪習」をやめることによってパスワードリスト攻撃を撲滅することを提案したいと思います。

それは、メールアドレスをIDとして使用することをやめて、独自ID方式を採用することです。

もともと、ネットサービスでは、独自にIDを発行していました。
(例)
 ニフティサーブ ABC11102
 三菱UFJ銀行  29238371
 エバーノート  samurai_koji
というような感じです。

このように独自IDを発行して、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとしても、そうそう簡単に他のサービスに入力して試すということはできません。難易度が高く、成功率が低くなりますので、そのような攻撃は成立しえないと思います。

ところが、最近のネットサービスでは、メールアドレスをIDとして使用しているものが大半です。
(例)
 Facebook samurai@xmail.com
 Amazon  samurai@xmail.com
 日経ID   samurai@xmail.com
 リクルート samurai@xmail.com
 Hなサイト samurai@xmail.com
というような感じです。

このようにメールアドレスをIDとして使用し、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとすると、何割かの利用者は同じパスワードを使いまわししているので、簡単に他のサービスでも使えてしまうということになってしまいます。これがパスワードリスト攻撃です。

また、最後の「Hなサイト」というところに注目してください。運営者もよく分からない海外のアダルトサイトにメインのメールアドレスを登録して、しかもパスワードを使いまわすような人も実際にいるのです。そういう不用心な人がパスワードリスト攻撃の被害者とも言えます。

多くのネットサービスでは、パスワードの管理は利用者側にあると定義しており、利用者側が不注意にパスワードを扱った場合にはどんな被害を受けても運営者側は責任を持たないとしています。ですから、従来、どれだけパスワードリスト攻撃で被害が発生しても、運営者側は関知せず、利用者に対してパスワード変更を促す程度で済んできました。

しかし、パスワードリスト攻撃による被害が増え、巻き込まれる利用者が増えるにつれて、そういうわけにもいかなくなってきていると思います。ですから、運営者側でも24時間監視するとか、2段階認証を追加するなどの対策が求められるようになっており、実際にそういうことを検討されているケースも多いと思います。

パスワードリスト攻撃対策は事業者側の義務となりつつあります(ヤマト運輸の事例から)

しかし、もっと簡単な方法があるのです。それが独自ID方式の採用です。

現在のすべての利用者に一意のIDを発行し、

------------------------------------------------------------
当社のサービスでは、メールアドレスをIDとして使用することは中止します。
今後は「AJSH281716」というIDを使用してください。
------------------------------------------------------------

と利用者に周知するだけでいいのです。
これだけで、自社のサービスに対するパスワードリスト攻撃を撲滅できます。24時間監視も2段階認証も不要になります。

もちろん、「IDが分からない」という利用者からの問い合わせに対応する必要が出てくるでしょう。そのような方のために、メールアドレスを入力すればその人にIDをお知らせする「IDリマインダー機能」を用意すればいいと思います。その他にもいくつかの対応は必要となってくるでしょう。それでもパスワードリスト攻撃に真っ向から対策するよりは安上がりに済むと思います。

特に、これから新たなサービスを開発しようと考えておられる場合には、メールアドレスをIDとして利用するのではなく、独自IDを採用することを検討していただきたいと思います。今でも金融機関など堅いセキュリティが求められているサービスでは独自ID方式が採用されています。独自ID方式は全く変な方式ではなく、むしろ王道ですので、それを採用していただきたいと思います。

※なお、連番でのID発行(ABC00001、ABC00002)は、IDが類推されるので推奨いたしません。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
64368424_2552388471448309_6466635131749662720_o
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

6月のInteropで、私は「本気のISMSって何だ?〜情報セキュリティへの取り組みにISMSが欠かせない理由〜」という講演を行いました。

ご好評をいただきましたので、このたび、その際に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:「本気のISMSって何だ?」
〜情報セキュリティへの取り組みにISMSが欠かせない理由〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。ご期待ください!



このエントリーをはてなブックマークに追加
2019-07-26 13.08.20
(画像はヤマト運輸Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

宅配便大手のヤマト運輸は、顧客向けWebサイト「クロネコメンバーズ」にパスワードリスト攻撃が行われ、約3500人分の個人情報が流出したと発表しました。

流出したのは、クロネコヤマトにメールアドレスを登録した利用者の
クロネコID、メールアドレス、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
3,467件
とのことです。

なお、不正ログイン試行件数は約3万件であり、「特定のIPアドレスから通信が行われている」「同社に登録していないメールアドレスでのログイン試行がある」などから、同社としては「パスワードリスト攻撃」だと断定したようです。

※パスワードリスト攻撃とは、他のサービスから流出したメールアドレスとパスワードの組み合わせを使ってログインを試行することで、不正アクセスする手法のこと。

同社では、対象となった利用者のIDを停止し、パスワードを変更するよう個別に連絡をしているとのことです。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

(私のコメント)
ここ数年、この手のパスワードリスト攻撃がどんどん増加しています。

今年2月には、ダークウェブで22億件ものメールアドレスとパスワードの組み合わせが公開されているという報道もありました。

https://japan.cnet.com/article/35132120/

ここから入手したメールアドレスとパスワードの組み合わせを一つ一つ著名なサービスに入力していけば、かなりの割合でログインできる可能性があるわけです。実際にそのようにして多くの不正アクセスが発生しています。

今回のヤマト運輸の事例においては、まさにパスワードリスト攻撃の特徴が見られ、同社がいち早くそれを察知したことにより、問題が大きくなる前に対策を講じることができたと言えると思います。

このような事態を受けて、パスワードリスト攻撃対策は事業者側の義務となりつつあると言えると思います。

インターネットが登場して以来、多くのサービスの利用規約の中で、パスワードの管理は利用者の義務とされ、正しいパスワードが入力された場合にはその利用者の情報を表示させるのが事業者側の務めであり、たとえそれが流出したものであったとしても事業者側は関知する義務はないという事になっていました。

しかし、今回のヤマト運輸の事例では、事業者側が利用者にお詫びする形となっています。それは「過失を犯した意識のない利用者の情報が不正アクセスにより多数流出してしまった」からであり、これを「利用者側のパスワード管理ミス」と言い続けることが難しくなってきているということだと思います。

従って、事業者としてパスワードリスト攻撃に対抗する法的義務はないとは言え、今後ますます義務の様になってくると思います。

今回の事件では、パスワードリスト攻撃の特徴がかなり明確になっています。
(1)特定のIPアドレスから通信が行われている
(2)自社に登録していないメールアドレスでのログイン試行がある
(3)同一アカウントに対して何回もログイン試行がない(総当たり攻撃ではない)
(4)パスワード間違いの比率が80%から90%程度である(今回の事例では89%でした)
などの場合には、事業者側でパスワードリスト攻撃の可能性があると判断できます。このような場合には、そのIPアドレスからの通信を停止するなど、被害が広がらない対策を講じることが今後は必要になってくるのではないかと思います。

※もちろん、対策と攻撃の進化はいたちごっこですから、攻撃者側も(1)などはすぐに対抗策を講じてくるとは思いますけどね。

また、何か情報が入りましたら、皆様にシェアいたしますね。





↑このページのトップヘ