プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

情報セキュリティ

このエントリーをはてなブックマークに追加 Clip to Evernote

FullSizeRender

(画像はギズモードより)


皆さんこんにちは。

プライバシーザムライことオプティマ・ソリューションズの中です。


シンガポールは、市内に11万本ある街灯に全て監視カメラを装備する計画を進めるとしていて、当然のことながらこの監視カメラには顔認識機能が含まれるのだそうです。


すでに中国ではこの手のシステムが大量に導入されており、治安維持などに使われているそうですが、シンガポールもそのあとを追うということのようです。


英国も監視カメラ大国と言われています。日本でも同様のシステムが導入される可能性がないとは言えません(自動車については、Nシステムで幹線道路の通行車両が記録されています)。


ネット技術を活用して、世界が監視社会になっていくことは止められない流れのようです。社会全体としてはこの動きをどのようにコントロールするか、個人としてはこれらのシステムを前提としてどのように対処するかが課題となるかなと思います。


https://www.gizmodo.jp/2018/04/singapore-face-recognition-cameras.html


また、新しい情報が入りましたら、皆さんにシェアしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
11
(画像はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

先日、「パスワードの定期的な変更」は廃止へ〜情報セキュリティの常識が変わる〜という記事を掲載しました。

米国NISTのガイドライン見直しを受けて、日本のNISCや総務省も正式に方針を転換し、長らく続いてきた「パスワードの定期的変更は必要なのか」という議論に終止符が打たれたという内容でした。

この流れを受けて、プライバシーマークの審査基準にも早速見直しが入りました。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月10日付で、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」を改訂すると発表しました。

従来、「望ましい手法の例示」に含まれていた「パスワードの有効期限を設定している」という項目を削除しました。

(改訂前)※赤枠内は削除された項目
09

(改訂後)※赤枠内は追加された項目
18

https://privacymark.jp/news/system/2018/0410.html

(私のコメント)
JIPDECの素早い動きは評価できるものと思います。次は2017年版JISに対応したガイドライン第3版がどうなるのかです。情報セキュリティの常識はどんどん変わっていきますから、安全管理の内容がどの程度アップデートされるか、注目したいです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
04
(画像はLogmiより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

580億円相当の仮想通貨が盗難されて大きな問題となっているコインチェック事件。一通りの事実について確認されていますが、今回の事件も原因は標的型攻撃だったようですね。

3月8日に行われた記者会見の内容が「Logmi」というサービスで全て文字になって掲載されていますので、詳しく参照できますが、下記の内容が確認できました。

・外部の攻撃者が、コインチェックの社員の何名かにウイルスを仕込んだメールを送信した。
・そのメールは、コインチェック社に宛てられた内容のものだった。
・複数の社員がそのメールを開いたために、複数のパソコンがウイルスに感染した。
・攻撃者は、感染したパソコンを利用して社内に侵入できるようになった。
・攻撃者は、コインチェック社内の仮想通貨の置かれていたサーバーから秘密鍵を摂取し、それを使って大量の仮想通貨を自分のアカウントに不正送金させた。

大胆なやり口とは言えると思いますが、まったく典型的な標的型攻撃です。

年金機構事件や、JTB事件と、大まかな流れは同じです。ただし、これまでのターゲットは、個人情報、機密情報でした。金銭的価値そのものではありませんでした。

仮想通貨では、データそのものが金銭的価値を持つことになります。今回の事件でもほんのわずかなデータ量が盗み出されただけで、とてつもない大きさの価値が盗み出されたことは注目に値すると思います。

https://logmi.jp/272784

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
28
(画像はネットワークビギナーのための情報セキュリティハンドブックより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

電子機器やネットワークサービスなどの認証に使用されるパスワードについて、「定期的な変更」を行うのが情報セキュリティの常識とされてきました。国内でもメガバンクなどのオンラインバンキングでは一定期間が経過すると強制的にパスワード変更を促されるようになっています。またプライバシーマーク・ISMSの審査においても、パスワードの定期的な変更は行うのが当然とされてきてました。

一方で、「パスワードの定期的な変更は無意味だ」という意見も出され続けていました。実際にパスワードの定期的な変更を強制すると、「パスワードが分からなくなった」「ログインできない」というような問い合わせが頻発して、サポートコストが増大することもあり、無料で利用できるようなクラウドサービスではパスワードの定期的な変更はほとんど行われていませんでした。

パスワードの定期的な変更は、長い間、情報セキュリティ界の神学論争のようになっていたのです。

この流れを大きく変えたのが、2017年に米国NIST(国立標準技術研究所)が発行したガイドラインです。このガイドラインの中では明確に「パスワードの変更を任意に(例えば定期的に)要求するべきではない」とされました。パスワードの定期的な変更を要求しなくてもよいではなく、要求するべきではないとされたのです。

パスワードを無理やり変更させるということは、せっかく本人が記憶している(またはどこかに記録している)パスワードを放棄させることになりますから、結果的にパスワードが簡略化されたり、末尾だけ変更されるようになったり、覚えきれなくなって紙に書いて画面の横に貼るような結果を招くだけだということで、むしろ「パスワードは定期的に変更を強制するべきではない」ということになったようです。

これを受けて、日本の内閣サイバーセキュリティセンター(NISC)や総務省も正式に方針を転換し、ハンドブックやWebサイトでの記載も年末くらいから順次見直しされてきているようです。

現在、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」では、「望ましい手法の例示」の中に「パスワードの有効期限を設定している」という内容があります。
01

これについても、今後は見直しが入ることになると思います。2017年版JISに対応したガイドライン第3版では、パスワードの有効期限の設定という項目はなくなっていることでしょう。

また現在パスワードの定期的な変更を強制しているメガバンクのオンラインバンキングも今後は方針を変更することになるでしょう。そうでないといい笑いものになりますからね。

米国NISTが発行したガイドライン
https://pages.nist.gov/800-63-3/sp800-63b.html

ネットワークビギナーのための情報セキュリティハンドブック(NISC)
http://www.nisc.go.jp/security-site/handbook/index.html

国民のための情報セキュリティサイト(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

パスワード「頻繁に変更はNG」 総務省が方針転換(日経新聞)
https://www.nikkei.com/article/DGXMZO2857837026032018CC1000/

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
17
(画像はTBSニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

Facebook利用者を対象とした「診断アプリ」が2013年に作成され、診断を受けた30万人と、その友達の個人情報、あわせて約5000万人分が利用規約に違反してダウンロードされ、他の用途に再利用されていたことが問題になっています。

特に前回の米国大統領選挙で、トランプ陣営がこれらの情報を活用していたとの報道もあり、騒ぎが大きくなっているようで、Facebook社の株価も下がり、CEOのマーク・ザッカーバーグ氏がコメントを発表して事態の収拾を図っている状態です。

Facebookアプリが、アプリ本来の機能の実現に必要がない場合であっても、利用者の許諾さえ得れば、利用者本人とその友達の個人情報をまるごとダウンロードできる仕様になっていることは、当時から問題視されていました。外部からそのような声を上げても、Facebook社として素早い対応が取られてはいませんでした。

一方の利用者も、Facebookアプリが不必要に個人情報をダウンロードしていることについて、数多くの方法で様々な警告がなされていたにも関わらず、無頓着にアクセス権を承諾していたという実態があります。

ですから、ちょっと私などからすると、「何を今さら」という感は否めません。また同様のアプリは他にもたくさん存在しており、おそらくダウンロードされた個人情報を累計すると、数十億〜数千億件くらいの規模になっていてもおかしくないと思います。

ともあれ、Facebook社としては今日までこれに対する対策を徐々に進めてきました。今回、大きな問題になったことにより、それをさらに加速し、今後は批判をあびるようなことがないようにすることでしょう。

というわけで、これでまずは一安心ということになるのだと思いますが、今後も、Facebookの利用にあたっては、掲載する個人情報の利用方法や許諾範囲について、注意深くチェックして、慎重に対応することが必要だと思います。

2011年に書かれた警告記事
http://socialmediaexperience.jp/3617

マーク・ザッカーバーグ氏のコメント
https://www.facebook.com/zuck/posts/10104712037900071

参考記事:Facebookで使用しない方がいいと思うひとつの機能(改訂版)
http://www.pmarknews.info/archives/51852736.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

皆さんこんにちは。

プライバシーザムライことオプティマ・ソリューションズの中です。


なんと中国では監視カメラと顔認識を組み合わせた市民監視システムが大規模に導入され、歩行者への交通ルールの徹底から、犯罪捜査まで様々に活用されているとのことです。


国内に設置された監視カメラの数がすでに人口の10分の1の数に達しており、2020年までに人口の半分にあたる数まで増やす方針とのこと。いやはや、全く恐ろしい事態になっていますね。


日本などの西欧諸国では、国民のプライバシー権が一定の範囲で認められてますので、すぐにこういう風になることはないと思います。


ただし、技術的にはいくらでも導入可能な訳ですから、知らない間に内部で活用されたり、テロ対策などの理由から強行されるようなことは充分考えられます。

技術の進歩に合わせて、できることが広がっていきますから、その利用方法については常に注視することが重要だと思います。


http://www.itmedia.co.jp/business/articles/1712/21/news012.html







このエントリーをはてなブックマークに追加 Clip to Evernote
50
(画面は小冊子の表紙です)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

東京都が中小企業向けサイバーセキュリティ小冊子を作成し、
無償で配布しています。
(PDFダウンロードのほか、小冊子郵送もしてもらえます)

表紙がゴルゴみたいなイメージで、
興味を持ったので、私も一冊いただいてみました。

早速開いてみましたが。。。

ううむ。。。。マンガが全面的に活用していて、すごく頑張っている
と思うのですが、なぜか頭に入ってこないんですよね〜。

15

内容が盛りだくさん過ぎて消化しきれていない印象を受けました。
以前に政府が作ったものでも同じような印象を持ったことを思い出しました。

※特にAI、IOT、攻めのIT経営などの話は余計だと感じました。
41

公共機関による情報セキュリティに関する啓蒙活動は
どんどんやってほしいと思うだけに、かなり残念です!

http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/


このエントリーをはてなブックマークに追加 Clip to Evernote
45
(画像はテレビ朝日ANNより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

イオン銀行が、指だけで現金を引き出せるATMのサービスを開始したそうです。

これは指紋認証と指の静脈認証を組み合わせ、2本の指を順番にセンサーに読み込ませるだけで、キャッシュカードなしで利用できるというもので、日本のLiquid社が開発したシステムを利用しているようです。

これは、ある意味で「生体認証第二幕」ともいえる画期的なものです。

少し解説します。通常、情報システムの機密性を確保する方法として、「識別」と「認証」の2つのステップを踏みます。

(1)識別=その人が誰かを明確にすること
 (通常はキャッシュカードなどを用いたり、IDを入力させることでこれを実現します)
(2)認証=その人が間違いなくその人であることを確認すること
 (通常は暗証番号やパスワードを入力させることでこれを実現します)

従来、メガバンクが導入してきた生体認証は全て(2)の機能を補完するものでした。これまで(1)(2)の両方を生体認証で実現している事例としては、スマホやパソコンの指紋認証や、オフィスのドアの指紋認証など、母集団がほんの数名から多くても数百名程度を対象としたものでした。

今回のシステムは、銀行の利用者という「万」の単位の母集団に対して、生体認証で(1)(2)の両方を実現するものですから、かなり画期的と言えます。

このようなシステムがもっと広がれば、指だけで買い物できる時代がやってくるかもしれません。

https://www.youtube.com/watch?v=37NWbPppHjo

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
04
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

各種の報道によりますと、無線LANの暗号化技術として現在最も多く利用されているWPA2のプロトコルそのものに脆弱性が発見され、無線での通信内容を傍受される危険性があるとのことです。センセーショナルな記事が多く、実際の対策が分かりにくくなっていますので、下記に概要をまとめます。

(1)今回の脆弱性はプロトコルレベルで見つかっているため、すべての無線LAN端末(子機)で対応が必要です。Windowsは対応済み、iOS、Android、その他全てのプラットフォームでも順次修正版が出ると思われますので、アップデートが必要です。

(2)今回の問題は子機側の対応で原則として修正されるようですが、プロトコルレベルで見つかった脆弱性のため、アクセスポイント(親機)側でも順次アップデートが行われるものと思われます。各社からの情報を待って対応してください。(ただし、中継器として使用している場合は子機と同じですので、急ぎアップデート必要です)

(3)今回危険性があるのは「無線での通信内容の傍受」ですから、実際に無線機器の付近に近寄って、その電波を受信して解読した場合に限られます。
カフェでの無線LANの通信内容を傍受するとか、企業や家庭での無線LANの電波を窓越しに道路からキャッチするというようなイメージです。地球の裏側からでも攻撃されるようなものではありません。

・今回の問題は、ブラウザやメールソフトの通信内容がSSLやVPNなどで暗号化されている場合には発生しません。ネットワークレベルで傍受されても、その上のレベルで暗号化されるからです。

Windowsについては、10月10日のセキュリティアップデートで対応済みとのことです。(CVE-2017-13080)
http://www.security-next.com/086689

その他の最新情報については、下記IPAのWebページを参照してください。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

(私のコメント)
従来から無線LANについては常に危険性が警告されています。今回の問題によらず、無線LANで機密情報や個人情報を通信する場合には、通信内容をSSLやVPNで暗号化することを徹底することをおススメします。(Gmail、Facebook、Twitter、Dropbox、Salesforceなど、主要なクラウドサービスはSSLによる暗号化を実現済みです)

また、何か情報が入りましたら、皆様にシェアいたしますね。

(10月19日追記)IPAの公式スタンスが、親機側も含めて全ての機器のアップデートが必要と変わりましたので、それに合わせて内容を修正しました。


このエントリーをはてなブックマークに追加 Clip to Evernote
(画面はクーリエジャポンのウェブサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中 康二です。

ロシア政府による情報収集との関連が噂され、米国政府が政府機関での使用中止命令を出したカスペルスキー製品について、新しい情報が入ってきました。

なんと米国のスパイ組織であるNSAの職員の私物パソコンから機密情報が漏洩した際に、ロシアのスパイ組織によってカスペルスキーのソフトが悪用されていたというのです。

米国NSAが、世界中のWindowsパソコンやSNS、クラウドサービスなどから大規模な情報収集をしていたことがスノーデン氏の告発により明らかになりましたが、同様のことをロシアのスパイ組織はカスペルスキーのソフトを使って行っていた疑いが出てきているのです。

もちろん、カスペルスキー社はこの疑いを全面的に否定しています。しかし、同社の製品に対する信頼性が大きく揺らいでいるのは間違いないと言えると思います。


(私のコメント)
カスペルスキー製品については、私自身も信頼していて、むしろ使用を推奨してきていました。つい最近も、下記のような記事を書いたところです。


ですから、今回のニュースには少なからず衝撃を受けました。

上記にも書きました通り、アメリカもロシアも日常的にサイバー攻撃を仕掛け、情報を盗みあっています。もちろん中国もこれに参戦しています。今やこのソフトなら安心ですと言えるものが少ないのが実際のところです。

そういうことなので、カスペルスキー製品についても、今回のような記事が出たからといって過剰に反応する必要はないでしょう。ただし、国家機密を取り扱う政府関係者や、高度な企業秘密を取り扱う多国籍企業の社員などは、カスペルスキー製品の利用は避けたほうがよさそうです。同社製品の信頼性が揺らいでいます。

また、新しい情報が入りましたら、皆様にシェアしますね。
よろしくお願いいたします。







このエントリーをはてなブックマークに追加 Clip to Evernote
00_m
(画面はGigazineのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

Gigazineの記事によりますと、iPhoneを使ってる時に急に表示される「パスワードを入力してください」の画面が、不正アクセスによるものである可能性があるとのこと。

個人的にも「どうしてこのタイミングでパスワードを聞いてくるんだろう?」と不思議に思いながら、そのまま入力していたことが何回かありますので、もしかしたらパスワードを盗まれているかも知れませんね。

同じような心当たりのある方は、AppleIDのパスワードを変更することをお勧めします。

http://gigazine.net/news/20171011-ios-steal-password/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
49
(画面はZDNetのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

ZDNetの記事によりますと、中国では今年の6月に「網絡安全法(インターネット安全法)」が施行され、中国社会に様々な影響を与えているとのことです。

日本企業としては、中国で取得した個人情報を海外に持ち出すのに規制がかかることに注意が集まっているようですが、この法律は中国企業の個人情報の取扱いについても厳しい規制をかけているとのことです。

以前は、企業の持つ個人情報が安価な価格でどんどん販売されていたものが、今回の法律ではそのような行為が禁止され、日本で言う名簿業者がどんどん廃業に追い込まれているそうです。

従来、与信チェックなどの様々な場面において、そういった雑多な個人情報を幅広く利用していたようですが、これができなくなり一部で支障が出ているとのことです。

一方で、「バイドゥー」「アリババ」「テンセント」などのIT巨人たちについては、自社で持つビッグデータを自由に活用できる点から、優位性が以前よりも高まるのではないかとの見方があるようです。

日本の個人情報保護法が「保護と有用性」の両立を目指しているのと比較すると、もしかすると中国は「保護」に偏りすぎているのかもしれませんが、まあ日本でも個人情報保護法が登場したときには過剰反応が問題になったくらいですから、同じようなものと考えたほうがいいかもしれませんね。

https://japan.zdnet.com/article/35108532/

また、何か情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ