プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

情報セキュリティ

このエントリーをはてなブックマークに追加
95FDCC4C-159B-4918-B31A-23541BE630B9
(画像は当社コンサルタントの遠藤が、
 Web会議でコンサルティングを提供している様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナウイルスの感染が広がり、人と人が会うことがリスクに
なってきています。

そこで注目を集めているのが「Web会議」ですよね。
もともとSkypeが有名でしたが、今回はZoomが急に注目を集めています。

さて「Web会議に参加してください」と言われたらどうしたらいいのでしょうか?
いきなり主催者になるのでなくても、
参加者としては何を用意しておく必要があるのでしょうか?

Web会議のシステムにより、細かな違いがありますが、
まずは参加者として何を用意すればいいのか、
これについて、まとめてみたいと思います。

------------------------------------------------------------
必要なもの(1)マイク付きヘッドホン

何はなくともマイク付きヘッドホン。これに尽きます。

双方向で音声をやり取りするテレビ会議を行おうとすると、
最初にぶつかる壁が「ハウリング」です。

ピィ〜〜〜〜〜〜〜〜〜!

音が響くんですよ。

これを防ぐ一番簡単な方法が、マイク付きヘッドホンを用意することです。

ほとんどのスマホには、マイク付きヘッドホンが付属していると思います。
音楽を聞くのと同じようにそれを挿して、スマホでWeb会議に参加すれば、
ほぼハウリングすることはなくなります。
(ほとんどのWeb会議はスマホでも参加できます)

S__90923011
こんなのです(これは数年前のiPhoneに付属していたものです)。

ただし、パソコンで参加したいという方が多いと思います。

マイク付きヘッドホンが下記のようなヘッドホンジャックの形式のもので
お使いのパソコンが新しい場合には、そのマイク付きヘッドホン
そのままパソコンのヘッドホンジャックに挿すことで、
マイクとして使うことができる場合が多いです。
それであれば、これでパソコンでのWeb会議への参加がOKになります。

2020-03-31 16.12.34
(こういう端子をヘッドホンジャックと言います)

ただし、少し古いパソコンだとこのやり方でヘッドホンジャックに挿しても
マイクが使えない場合があります。
そういう場合はパソコン用USBヘッドセットを用意しましょう。

MM-HSUSB16W_MX
こんなのです。

これでもOKです。

このようにして、まずはマイク付きヘッドホンを用意します。

パソコン用USBヘッドセットの例
https://www.sanwa.co.jp/product/syohin.asp?code=MM-HSUSB16W

iPhoneに付属していたマイク付きヘッドホンの購入先
https://www.apple.com/jp/shop/product/MNHF2FE/A/earpods-with-35-mm-headphone-plug

------------------------------------------------------------
必要なもの(2)何も写っていない背景

Web会議を行う場合、通常はカメラで自分の顔を写さないといけません。

この時、背景も写り込んでしまいます。

自宅であれ、オフィスであれ、そこになにか大事な情報が書かれていた場合には、
それが相手に筒抜けになってしまいます。

ですから、何も写っていない背景が必要となります。

このページの冒頭の写真をもう一度よく見てください。
95FDCC4C-159B-4918-B31A-23541BE630B9
後ろのキャビネットに白い紙が磁石でつけられています。
これ本当は白い紙じゃないんです。本当は会社の業績に関する
情報が掲示されているんです。
でも、それが写り込まないように裏返しにしているのです。

何も掲示されていない壁を背にするのがベストです。
また内容的に問題ないのであれば、本棚を背景にするのもありです。
とにかく、少しテストで写し出してみて、背景に問題がないかどうか、
予め確認しておきましょう。

------------------------------------------------------------
必要なもの(3)Web会議に参加するURL

Web会議は通常、特定のURLを主催者が発行し、
そのURLを開くことで、参加者は会議に参加できるようになっています。

ですから、主催者からWeb会議に参加するURLを教えてもらわなければなりません。

場合によっては、アプリケーションのダウンロードが必要な場合もあります。
ですから、教えてもらったURLを会議の前に開いてみて、
自分の顔が画面に映るところくらいまでは、
事前にテストしておくことをオススメします。

------------------------------------------------------------

Web会議に主催者としてではなく、あくまで参加者として参加する場合には、
まず上記の3つがあればなんとかサマになると思っておいてください。

下記のページには、Web会議の達人からのメッセージが載っています。
心構えにも触れられていますので、ご一読をオススメします。
https://www.businessinsider.jp/post-207808
(野本さんもマイク付きヘッドホンをずっと使っていることに注目してください)

また、主催者として配信する場合は、もっと様々なことに注意を払う必要があります。
下記の情報などを参考にしてみてください。
https://drive.google.com/file/d/1hNTRmQqChjopLb6xZtRUpKu_cJrzCEgf/view
http://redbuller.hatenablog.com/entry/2020/03/28/022605

最後になりますが、一つだけ申し上げたいのは、
「在宅勤務にWeb会議は必須ではない」ということです。

組織を回すことだけを考えると、むしろメール/チャット/電話を使いこなす
方向性で考えたほうがうまくいくと思います。

ただし、定例ミーティングなどはWeb会議を使うことになると思いますし、
商談など社外の方とのコミュニケーションにはWeb会議が欠かせなくなると思っています。

今の状況の中で、この情報が皆さんの参考になればと思います。

(参考記事)
プライバシーマーク・ISMS取得企業が在宅勤務する時の注意事項
〜新型コロナウイルス対策としてのリモートワーク〜
http://www.pmarknews.info/Information_security/52118615.html




このエントリーをはてなブックマークに追加
remote_work
(写真は在宅勤務のイメージです)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナウイルスの流行により、急に注目が集まる「在宅勤務」。
今や事業継続に必須と言ってもいいかも知れません。

そこで時々ある話が「プライバシーマークを取得している企業として、
ISMS認証を取得している企業として、在宅勤務は許されるのか」ということです。

今の状況を踏まえて、私はプライバシーマーク・ISMSの専門家として、
これにお答えしておきたいと思います。

また、プライバシーマーク・ISMS認証を取得している自社で
在宅勤務だけではなくリモートワーク全般に貪欲に取り組んできてますので、
そこで得られた経験から分かっていることにも少し触れてみたいと思います。

(1)プライバシーマーク・ISMS取得企業だからといって
 在宅勤務できないということは「全くない」。


いきなりの結論ですが、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということは全くありません。

御社では、社員が出張する際にメールが読み書きできるような仕組みはありませんか?
ありますよね。それと同じ仕組みを全社員に横展開すればいいのです。

情報セキュリティの観点から捉えるならば、在宅勤務も出張も同じです。
むしろ在宅勤務のほうが場所が限定されますから、容易といえましょう。

「いやいやそんなのは全社員分はないんだよ」
「いやいやメールは読み書きできるけど、業務システムが使えないんだよ」
というような声があるかも知れません。

しかし、一部の社員でできているのであれば、環境の整っている人から始めて、
少しずつでも範囲を広げていけばいいということになります。

また、業務システムを在宅勤務で使えるようにするのには、
システム的な対応が必要な場合も出てくると思います。
毎日使うようなシステムについては、なるべく早く対応することとし、
年に一回しか使わないようなシステムについては、出社した時に使うということで
問題ないと思います。

いずれにせよ、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということにはなりません。

※もちろん、コールセンターのように顧客の個人情報を集中的に取り扱う業務や、
接客/販売/物流/製造のようなリモートでは実現不可能な業務は除きます。

(2)多くのプライバシーマーク・ISMS取得企業が在宅勤務を「実施している」。

これまでに多くの企業が今回の事態への対応として、
在宅勤務の実施を発表していますが、その中にはプライバシーマークやISMS認証を
取得している会社も含まれています。

GMOインターネット(ISMS取得済み)
ヤフー(ISMS取得済み)
NEC(プライバシーマーク、ISMS取得済み)
コロプラ(ISMS取得済み)
Hamee(プライバシーマーク取得済み)
NTT東日本(ISMS取得済み)
など

これらを見ても、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないわけではないことが分かると思います。

(3)テレビ会議は意外と大変、メール/チャット/電話で回そう

ここから急に現実的な話になります。

在宅勤務というとテレビ会議をイメージされる方が多いと思うのですが、
これが意外と大変なんですよ。

いざテレビ会議を行おうとすると「ハウリングとの戦い」が始まります。
スマホで一対一の「テレビ電話」をするのはかなり簡単ですが、
業務を行うための「テレビ会議」にしようとすると大変なんですよ。

また、自宅の様子を見られたくないとか、在宅なのに着替えないといけないのか、
化粧しないといけないのかみたいな話もあります。

様々なご意見があると思いますが、私が一つだけ助言したいのは
「在宅勤務にテレビ会議は必須ではない」ということです。

むしろ、メール/チャット/電話を使いこなす方向性で考えたほうが
うまくいくと思います。これは私からの経験を踏まえたアドバイスです。

(参考リンク)
新型コロナウイルス対策としての在宅勤務ノウハウ
テレワーク専門家からの「こだわり」を捨てたアドバイス
https://jbpress.ismedia.jp/articles/-/59428

テレビ会議を劇的に円滑にする簡単なノウハウ
https://kuranuki.sonicgarden.jp/2018/03/tv-meeting.html

今の状況の中で、この情報が皆さんの参考になればと思います。

このエントリーをはてなブックマークに追加
神奈川県

皆さんこんにちは。
プライバシーザムライ中康二です。

神奈川県は、行政事務に使用していたサーバー用HDDが、データを消去されないまま外部に流出していたと昨年12月に発表し、大きな話題を呼びました。この事件はその後、リサイクル会社の社員が不正に持ち出してオークションで販売していたことが発覚し、さらに問題が拡大していきました。

その震源地となった神奈川県が、このたび再発防止策を発表しました。

神奈川県が発表した再発防止策を大まかにまとめると、下記のようになります。

(1)サーバー用HDD/SSD

 ・県職員がデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・委託業者が磁気破壊かつ物理破壊する
   ↓その後
 ・産業廃棄物として処理

(2)パソコン用HDD/SSD

 ・県職員がデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・委託業者が再びデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・リース会社に返却(再利用される)

(3)タブレット(iOS)

 ・県職員がOS標準の初期化ツールを使用して消去する
   ↓その後
 ・委託業者がOS標準の初期化ツールを使用して消去する
   ↓その後
 ・リース会社に返却(再利用される)

神奈川県庁Webサイト
https://www.pref.kanagawa.jp/docs/fz7/cnt/p0273317.html
再発防止策のPDF
https://www.pref.kanagawa.jp/docs/fz7/cnt/documents/boshisaku.pdf

(私のコメント)
HDDの廃棄対策について、皆様の職場ではどのようにされていますでしょうか?
今回の神奈川県の再発防止策には
「職員自らがデータ消去する」
「サーバー用HDDは再利用しない」

という大原則が見えます。

今後、この2つが常識となっていくのではないかと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
2019-12-03 14.26.07
(画面は某銀行から届いたメール画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日から書いている記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜
フィッシング詐欺は見ただけでは見抜けない(2)〜やはり高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、
本物かどうかを知るためにはドメインを確認するしかない
ということをお書きしました。

今回はその手前、本物そっくりの詐欺メールが送られてきた場合に、
本物かどうかを知るためにはドメインを確認するしかないという話です。

昨日、私の会社のメールアドレスに、某銀行から発信されたと思われるメールが届きました。
(トップ画像がそれです)


当社では、その某銀行とお取引があります。
いただいているメールアドレスは確かにその銀行に登録してあるアドレス
と思われます。ですから、少しは心当たりはありました。
しかし、送信者アドレスは「noreply@qemailserver.com」というものでしたし、
リンク先アドレスも某銀行とは全く関係のないドメインのURLでした。

お問い合わせ先の電話番号がありましたが、
それもその銀行の正式な番号かどうか確認できませんでしたし、
お問い合わせメールアドレスのドメインも
その銀行のWebサイトとは異なるドメインでした。

もしかすると、これは不特定多数のユーザーに無差別に送信している
詐欺メールの可能性があると不審に思いました。


※もちろんこの時点で、どうせその銀行がアンケート業者のシステムを
使ってメールを送信しているんだろうという考えはありました。
しかし、確証がもてなかったので、このメールが本物なのか、
詐欺メールなのか、最後まで確認しようと思いました。

まず、送信者メールアドレスの
qemailserver.com
を検索してみました。

なんだかいろんな会社のアンケート情報みたいなサイトがヒットしました。
でもよく分からないなと思いました。

次に、リンク先アドレスのドメインである
qualtrics.com
を検索してみました。

やはりアンケートシステムを提供している会社のようです。
しかし、個人的には見たことも聞いたこともない会社です。
もしかしたらこのサイト自体が詐欺サイトの可能性があります。

もう仕方ないと思って問い合わせ先電話番号として記載されている
03-6838-****
という電話番号を検索してみました。

よくある電話番号検索サイトの情報で、
どうやらその銀行らしいということは分かりました。
しかし、そうは言っても、公式サイトでもないし、
それだけの情報で信頼することもできないですよね。

その番号に電話しようと思ったのですが、
たとえ電話して「はい。●●銀行です」と言われたとしても、
その相手が本物かどうか確認する手段もありません。

もうこの辺りで、私はかなりイライラしています。
最後にお問い合わせメールアドレスに記載されている
******-bk.co.jp
をブラウザに打ち込んだところ、何も出てきません!!!!

なんだこりゃ!
(この銀行はなぜか複数の「co.jp」ドメインを使い分けていて、
公式Webサイトと社員用アドレスのドメインが異なっていたようです)

お手上げになった私は、いつもお取引の窓口をしていただいている
その銀行の担当者に電話して聞いてみましたところ
「私たちの知らないところでアンケート調査をしているようですよ」
とのこと。

最終的に、何も確認できず、終わってしまいました。

このまま終わっては悲しいので、最後の最後に
お問い合わせ電話番号に記載されていた番号に電話し、
お名前が記載されていた担当者の方とお話ししてみました。

まあそれでも実際のところ、本物の銀行の方なのか、
偽物の詐欺集団の方なのかは分からないのですが、
しばらくお話ししてみて、総合的に本物と判断しました。

ちなみにその方がおっしゃったことには
1万社に送付して200社程度から既に回答を受け取った
詐欺メールではないかとのお問い合わせは私が2人目である
ということでした。(あくまで参考情報として)

さてさて、
何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


送信者メールアドレスやリンク先URLが、Webサイトと同じ
******bank.co.jp
であれば、まだ少しは安心して画面を開くことができたでしょう。

qemailserver.com
qualtrics.com
というような、その銀行と関係がなく、またなじみもない
ドメインでは安心して画面を開けないのです。

ということで、やはり今後は、
送信者メールアドレスやリンク先URLには自社ドメインを使う
外部のアンケートシステムなどの利用により自社ドメインが使えない場合には、
そういうメールが届くことを事前に案内しておく
などがセキュリティ的にも今まで以上に重要になってきていると思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
23

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードリスト攻撃の被害が頻発し、脅威がますます大きくなっていますね。

世界の数多くのネットサービスからメールアドレスとパスワードの組み合わせが流出し、それが集約されて何億件ものリストになったものが、地下ネットで流通しているわけですから、それが悪用されるのも当然のことといえましょう。

パスワードリスト攻撃に関する過去の記事
パスワード使いまわしに関する過去の記事

これに対してどのように対策を取ればいいのか。

セブンPay事件で「2段階認証」という言葉が注目されるようになり、それが解決策のように思われている方も多いと思いますが、私はむしろそのもっと前の段階にある「悪習」をやめることによってパスワードリスト攻撃を撲滅することを提案したいと思います。

それは、メールアドレスをIDとして使用することをやめて、独自ID方式を採用することです。

もともと、ネットサービスでは、独自にIDを発行していました。
(例)
 ニフティサーブ ABC11102
 三菱UFJ銀行  29238371
 エバーノート  samurai_koji
というような感じです。

このように独自IDを発行して、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとしても、そうそう簡単に他のサービスに入力して試すということはできません。難易度が高く、成功率が低くなりますので、そのような攻撃は成立しえないと思います。

ところが、最近のネットサービスでは、メールアドレスをIDとして使用しているものが大半です。
(例)
 Facebook samurai@xmail.com
 Amazon  samurai@xmail.com
 日経ID   samurai@xmail.com
 リクルート samurai@xmail.com
 Hなサイト samurai@xmail.com
というような感じです。

このようにメールアドレスをIDとして使用し、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとすると、何割かの利用者は同じパスワードを使いまわししているので、簡単に他のサービスでも使えてしまうということになってしまいます。これがパスワードリスト攻撃です。

また、最後の「Hなサイト」というところに注目してください。運営者もよく分からない海外のアダルトサイトにメインのメールアドレスを登録して、しかもパスワードを使いまわすような人も実際にいるのです。そういう不用心な人がパスワードリスト攻撃の被害者とも言えます。

多くのネットサービスでは、パスワードの管理は利用者側にあると定義しており、利用者側が不注意にパスワードを扱った場合にはどんな被害を受けても運営者側は責任を持たないとしています。ですから、従来、どれだけパスワードリスト攻撃で被害が発生しても、運営者側は関知せず、利用者に対してパスワード変更を促す程度で済んできました。

しかし、パスワードリスト攻撃による被害が増え、巻き込まれる利用者が増えるにつれて、そういうわけにもいかなくなってきていると思います。ですから、運営者側でも24時間監視するとか、2段階認証を追加するなどの対策が求められるようになっており、実際にそういうことを検討されているケースも多いと思います。

パスワードリスト攻撃対策は事業者側の義務となりつつあります(ヤマト運輸の事例から)

しかし、もっと簡単な方法があるのです。それが独自ID方式の採用です。

現在のすべての利用者に一意のIDを発行し、

------------------------------------------------------------
当社のサービスでは、メールアドレスをIDとして使用することは中止します。
今後は「AJSH281716」というIDを使用してください。
------------------------------------------------------------

と利用者に周知するだけでいいのです。
これだけで、自社のサービスに対するパスワードリスト攻撃を撲滅できます。24時間監視も2段階認証も不要になります。

もちろん、「IDが分からない」という利用者からの問い合わせに対応する必要が出てくるでしょう。そのような方のために、メールアドレスを入力すればその人にIDをお知らせする「IDリマインダー機能」を用意すればいいと思います。その他にもいくつかの対応は必要となってくるでしょう。それでもパスワードリスト攻撃に真っ向から対策するよりは安上がりに済むと思います。

特に、これから新たなサービスを開発しようと考えておられる場合には、メールアドレスをIDとして利用するのではなく、独自IDを採用することを検討していただきたいと思います。今でも金融機関など堅いセキュリティが求められているサービスでは独自ID方式が採用されています。独自ID方式は全く変な方式ではなく、むしろ王道ですので、それを採用していただきたいと思います。

※なお、連番でのID発行(ABC00001、ABC00002)は、IDが類推されるので推奨いたしません。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
7payアプリ画面
(画像は7payアプリのスマホ画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

セブンイレブンが7月から始めたコード決済「7pay」が、サービス開始早々から不正に利用され、事実上のサービス停止に追い込まれている件については、メディアの報道でもご存知かと思います。

不正利用の被害者が約900名、被害金額が約5580万円とのこと。ほんの数日でこれだけの不正利用があったということは、7payというシステムにそもそも大きな問題があったと言わざるを得ません。

しかも、セブン・ペイ社が開いた記者会見において、「専門家の脆弱性診断は受けていた」というようなやり取りがあり、同社の体制にも大きな問題があったと言えると思います。

日本全体でキャッシュレスを推進するために設立された業界団体である一般社団法人キャッシュレス推進協議会では、昨年サービス開始したPayPayで不正利用が相次いだことをうけて、不正アクセスに対するガイドラインを作成していましたが、7payはこのガイドラインを満たしていなかったとのことです。

セブン・ペイ社ニュースリリース一覧
https://www.7pay.co.jp/news/

経産省のリリース
https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html

(私のコメント)
セキュリティ・バイ・デザインという言葉があります。これはシステムを開発、設計する時点において、予めセキュリティ対策を盛り込もうという考え方です。インターネットが普及し、世界中から不正アクセスが行われている現代においては、必須の考え方と言えると思います。

今回の7payの事態を見ますと、このセキュリティ・バイ・デザインの考え方が全く取り入れられていなかったということだと思います。日本を代表する優良企業であるセブンイレブンのグループ会社で、このような事態に見舞われたことは誠に残念と言わざるを得ないと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
IMG_6351
(画面は楽天コミュニケーションズから届いたSMS画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日の記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、本物かどうかを知るためにはドメインを確認するしかないということをお書きしました。

ちょうどタイムリーに関連する事象が発生しましたので、また記事にしてみたいと思います。

1週間ほど前、私のスマホに楽天コミュニケーションズから発信されたと思われるショートメッセージが届きました。(トップ画像がそれです)

私は楽天でんわのユーザーです。ですから、少しは心当たりはありました。しかし、私の妻にも同じショートメッセージが同時に届いていて、彼女は楽天でんわは使っておらず、「これ何だろう?」と質問されたので、もしかするとこれは不特定多数のユーザーに無差別に送信している詐欺メールの可能性があると不審に思いました。

それで、リンク先のURLを確認すると
ux0.jp
となっていました。なんだか楽天とは関係なさそうなドメインです。

これでますます警戒水準を上げた私は、
ux0.jp
を手打ちでブラウザに打ち込んでみました。
なんと!何も表示されません。

これはもしかしてと、さらに警戒水準を上げて、
Webでいろいろ情報を検索し、下記の記事を発見しました。

「楽天でんわサービス提供事業者変更のお知らせ」のSMSは詐欺?なぜ届いたの?について
https://sbapp.net/appnews/iphone/security/rakuten-2-98063

まあこれを読んで、なるほどと少し納得して、これは安心なんだろうと警戒を解いた次第です。
結論としては、下記のページが開くだけなのでした。

会社分割によるサービス提供会社変更のお知らせ
https://comm.rakuten.co.jp/oshirase/20190613.html

こんなこと無駄ですよね。

10万人にショートメッセージを送ったら、10万人がこんなことを気にしなければならないとすれば、そんな仕組みは誰も使わなくなっていくことでしょう。

何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


ショットメッセージに含まれるリンク先URLが、
rakuten.co.jp
であれば、受信した人はまだ安心して画面を開くことができたでしょう。
ux0.jp
というような誰も知らないドメインでは安心して画面を開けないのです。
(少なくともux0.jpで配信会社のトップ画面が出てきたら、少しは安心できたと思います)

ということで、やはり今後は、
(1)社名やブランド名と関連のある分かりやすいドメインを使う
(2)社名やブランド名と関連のある分かりやすいドメインは悪用されないために所有しておく
(3)できればドメインは短いほうがいい。
ということがセキュリティ的にも今まで以上に重要になってきている
と思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
どっちが詐欺サイト?
(画面はauのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

興味深い記事がありましたので、本Blogでも共有したいと思います。

フィッシング詐欺は見破れる? 事例や手口、対策や偽サイトの見分け方を解説
スマホ全盛の時代にインターネットを使った思わぬトラブルにあわないよう、話題になっているネット詐欺の手口や事例を解説し、セキュリティに関する素朴な疑問に答える本連載。今回は「フィッシング詐欺」のお話。

https://time-space.kddi.com/it-technology/20190613/2670


フィッシング詐欺が増加してますよという記事で、ざっくり要約すると
(1)詐欺メールは見抜けない
(2)詐欺サイトは見抜けない
(3)2段階認証を設定しよう

ということが書かれています。

私が特に興味深いなと思ったのは、本物そっくりの詐欺サイトがあった場合に、本物かどうかを知るためにはドメインを確認するしかないということでした。

例えば、
kddi.co.jp
というドメインの場合には、かなり本物の可能性が高いです。
「co.jp」ドメインは、1社一つしか取れませんし、
登記簿謄本での確認なども行われます。
KDDIほどの大企業の場合には、他の会社に取られるということも考えにくい。

しかし、実際には上記の「co.jp」のURLは使われていません。
KDDIが現在使用しているのは
kddi.com
というドメインでした。
「.com」は、誰でも簡単に取れますから、あまり信用してはいけませんが、
まあKDDIほどの大企業の場合で、他に取られることも少ないかと思いますし、
Googleなどで検索してみると、このドメインが出てきますので、
まず安心してよいということになります。
2019-06-14 12.00.36

さて、記事の中に出てくるのは
auone.jp
myau-net.com

で、どちらが本物でしょう?という話でした。

記事の構成上そうしているとは思いますが、
「auone.jpが偽物、myau-net.comの方が本物っぽい」
という展開になってます。

知っている人は知っていると思いますが、
KDDIさんが公式に開設しているau利用者向けポータルサイトは
auone.jp
なんですね。しかし、これは知名度が低いドメインですから、
上記のように本物かどうかの判断に使えないのです。

本来は
au.jp
au.com
au.net
などを使うべきなんだと思います。
(まあ二文字なので既に取られているのだと思いますが)

ですから、今後は、
社名やブランド名と関連のある分かりやすいドメインを使う
社名やブランド名と関連のある分かりやすいドメインは悪用されないために所有しておく
ことがセキュリティ的にも今まで以上に重要になってきている
と思います。

なお、当社は小さい会社ですが、
optima-solutions.co.jp
optima-solutions.jp
optimasolutions.jp
など、それらしいドメインは一通り所有しています。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
60336549_2497300533623770_80164808665595904_n
皆さんこんにちは。
プライバシーザムライ中康二です。

6月12日から14日まで幕張メッセで開催される「Interop Tokyo 2019」に
私、プライバシーザムライが参戦します!

展示会場内セミナー C3-06(Room C)
6月14日(金)16時〜16時40分
「本気のISMS」って何だ?
〜情報セキュリティへの取り組みにISMSが欠かせない理由〜

世の中には沢山のセキュリティ対策製品が存在しています。
どれが自社に必要で、どれは自社に必要ではないのでしょうか?
どのようにそれを判断すればいいのでしょうか?
その答えが情報セキュリティの世界標準であるISMS(ISO27001)にあります。
本気のPDCAで自社の弱点を見つけ、集中的な対策を実現する方法をご紹介します。
https://forest.f2ff.jp/t-session/148?project_id=1


事前登録はお早めにお願いいたします。

参加登録はこちらから(展示会・基調講演事前登録をクリック)
https://www.interop.jp


【セミナー会場への行き方】

私のセミナーが開催されるのは、幕張メッセの展示会場の一部に設置されたセミナースペースです。
国際会議棟でもイベントホールでもなく、メインの展示会場の「HALL6」の一番奥です。
お間違えなく!
2019-06-06 16.53.30
※クリックすると図が拡大します。

初日に実際にセミナー会場まで行ってみましたので、写真でご説明します。

FullSizeRender
幕張メッセの入り口の案内です。AWS Summit同時開催で盛り上がってます。

FullSizeRender
Hall6にセミナー会場があります。(再入場の場合のみここから入れます)

FullSizeRender
こんな会場です。この奥の方にセミナー会場があります。

FullSizeRender
Panasonicブースの横をどんどん奥に進みます。

FullSizeRender
見えてきました。これがセミナー会場です。

FullSizeRender
三日間、びっしりとセミナーの予定が入っています。

FullSizeRender
私の出番は一番最後、14日(金曜日)の16時からです。


参加登録はこちらから(展示会・基調講演事前登録をクリック)
https://www.interop.jp


皆さんと会場でお会いできるのを楽しみにしております!
52846293_2383005918386566_1167577474914058240_n
プライバシーザムライ中 康二



このエントリーをはてなブックマークに追加
IMG_4529

皆さんこんにちは。
プライバシーザムライ中康二です。

今週金曜日まで東京ビッグサイトで開催されている「情報セキュリティEXPO」会場からのレポートです。

ゲイトウェイ・コンピュータ社ブースでは、標的型攻撃メール訓練「GINC(ジーインク)」が出展されていました。

これは、いわゆる標的型攻撃メール訓練なのですが、一番の特徴は専用のハードウェアを提案しているところです。

このハードウェアを購入して、社内に据え付ければ、標的型攻撃メール訓練を年中行えるというわけです。

標的型攻撃による被害が相次いでいる現状において、標的型攻撃メール訓練を年に1回やればいいというような状況ではありません。大手企業では全社員一斉ではなく、少しずつ対象範囲を絞って継続的に実施するほうが効果的と思われ、そのようなニーズに対応するため、このハードウェアが製品化されたとのことです。

IMG_4527
(これがそのハードウェアです)

また、同社では単にメールを開いたら「減点!」ということではなく、標的型攻撃メールを開いてしまった場合の対応(ネットワークを遮断する。関係部署に報告するなど)を実際に行わせて、万が一の場合に備えるような「行動訓練型」のメニューも用意しており、他社との差別化を図っているようです。

興味を持たれた方はぜひ同社ブースで話を聞いてみてください。

https://www.gateway.co.jp/ja/service/security-solution/ginc/

なお、当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。
https://www.optima-solutions.co.jp/archives/15898

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
今週いっぱい、東京ビッグサイトにて開催中です。
ぜひ会場でお会いしましょう!

FullSizeRender

当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。


このエントリーをはてなブックマークに追加
SecurityDays (1)

プライバシーザムライ中 康二です。

皆さんは「Security Days」というイベントをご存知でしょうか?
SecurityDaysSpring-2019_bnr650_150.jpg
このイベントは、情報セキュリティ業界各社によるセッション(講演)が中心になっており、来場者は最新の情報を聴くことができる上に、各社がブースも出展しているので、担当者から直接話を聞いたり、デモを見ることもできるという構成です。毎年、春と秋に東京、大阪、名古屋などで開催されていますが、開催の度に来場者が増加していっています。

当社も昨年春から参加を開始し、少しずつ参加規模を大きくしてきました。
今回、3月に東京と大阪で開催されました「Security Days Spring 2019」では、東京と大阪でブース出展とセッション登壇を行った次第です。

セッションは、下記の通り「本気のISMS」のメッセージを中心に据えたものでした。

なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
プライバシーザムライ 中 康二
(オプティマ・ソリューションズ(株)代表取締役)


ありがたいことに、東京、大阪とも満員御礼となりました。
SecurityDays (2)

プライバシーザムライ、がんばりました!
SecurityDays (3)
(セッションの動画は、Youtubeで後日公開いたします)

セッション終了後、ブースで質疑応答など。
SecurityDays (4)

ブースでは弊社社員が終日アテンドさせていただきました。
SecurityDays (5)

今回はサムライチョコも用意したんですよ!
SecurityDays (6)

当社も情報セキュリティ業界の一員として参加しました。
SecurityDays (7)

お越しいただいた皆様、ご来場ありがとうございました。

次回秋も東京、大阪に参加する予定です。
また会場でお会いしましょう!

↑このページのトップヘ