プライバシーマーク・個人情報保護blog @pmarknews

プライバシーマーク・コンサルタントの中康二が、個人情報保護と情報セキュリティに関する最新情報を追いかけています。

情報セキュリティ

04
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

各種の報道によりますと、無線LANの暗号化技術として現在最も多く利用されているWPA2のプロトコルそのものに脆弱性が発見され、無線での通信内容を傍受される危険性があるとのことです。センセーショナルな記事が多く、実際の対策が分かりにくくなっていますので、下記に概要をまとめます。

(1)今回の脆弱性はプロトコルレベルで見つかっているため、すべての無線LAN端末(子機)で対応が必要です。Windowsは対応済み、iOS、Android、その他全てのプラットフォームでも順次修正版が出ると思われますので、アップデートが必要です。

(2)今回の問題は子機側の対応で原則として修正されるようですが、プロトコルレベルで見つかった脆弱性のため、アクセスポイント(親機)側でも順次アップデートが行われるものと思われます。各社からの情報を待って対応してください。(ただし、中継器として使用している場合は子機と同じですので、急ぎアップデート必要です)

(3)今回危険性があるのは「無線での通信内容の傍受」ですから、実際に無線機器の付近に近寄って、その電波を受信して解読した場合に限られます。
カフェでの無線LANの通信内容を傍受するとか、企業や家庭での無線LANの電波を窓越しに道路からキャッチするというようなイメージです。地球の裏側からでも攻撃されるようなものではありません。

・今回の問題は、ブラウザやメールソフトの通信内容がSSLやVPNなどで暗号化されている場合には発生しません。ネットワークレベルで傍受されても、その上のレベルで暗号化されるからです。

Windowsについては、10月10日のセキュリティアップデートで対応済みとのことです。(CVE-2017-13080)
http://www.security-next.com/086689

その他の最新情報については、下記IPAのWebページを参照してください。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

(私のコメント)
従来から無線LANについては常に危険性が警告されています。今回の問題によらず、無線LANで機密情報や個人情報を通信する場合には、通信内容をSSLやVPNで暗号化することを徹底することをおススメします。(Gmail、Facebook、Twitter、Dropbox、Salesforceなど、主要なクラウドサービスはSSLによる暗号化を実現済みです)

また、何か情報が入りましたら、皆様にシェアいたしますね。

(10月19日追記)IPAの公式スタンスが、親機側も含めて全ての機器のアップデートが必要と変わりましたので、それに合わせて内容を修正しました。


このエントリーをはてなブックマークに追加 Clip to Evernote

(画面はクーリエジャポンのウェブサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中 康二です。

ロシア政府による情報収集との関連が噂され、米国政府が政府機関での使用中止命令を出したカスペルスキー製品について、新しい情報が入ってきました。

なんと米国のスパイ組織であるNSAの職員の私物パソコンから機密情報が漏洩した際に、ロシアのスパイ組織によってカスペルスキーのソフトが悪用されていたというのです。

米国NSAが、世界中のWindowsパソコンやSNS、クラウドサービスなどから大規模な情報収集をしていたことがスノーデン氏の告発により明らかになりましたが、同様のことをロシアのスパイ組織はカスペルスキーのソフトを使って行っていた疑いが出てきているのです。

もちろん、カスペルスキー社はこの疑いを全面的に否定しています。しかし、同社の製品に対する信頼性が大きく揺らいでいるのは間違いないと言えると思います。


(私のコメント)
カスペルスキー製品については、私自身も信頼していて、むしろ使用を推奨してきていました。つい最近も、下記のような記事を書いたところです。


ですから、今回のニュースには少なからず衝撃を受けました。

上記にも書きました通り、アメリカもロシアも日常的にサイバー攻撃を仕掛け、情報を盗みあっています。もちろん中国もこれに参戦しています。今やこのソフトなら安心ですと言えるものが少ないのが実際のところです。

そういうことなので、カスペルスキー製品についても、今回のような記事が出たからといって過剰に反応する必要はないでしょう。ただし、国家機密を取り扱う政府関係者や、高度な企業秘密を取り扱う多国籍企業の社員などは、カスペルスキー製品の利用は避けたほうがよさそうです。同社製品の信頼性が揺らいでいます。

また、新しい情報が入りましたら、皆様にシェアしますね。
よろしくお願いいたします。







このエントリーをはてなブックマークに追加 Clip to Evernote

00_m
(画面はGigazineのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

Gigazineの記事によりますと、iPhoneを使ってる時に急に表示される「パスワードを入力してください」の画面が、不正アクセスによるものである可能性があるとのこと。

個人的にも「どうしてこのタイミングでパスワードを聞いてくるんだろう?」と不思議に思いながら、そのまま入力していたことが何回かありますので、もしかしたらパスワードを盗まれているかも知れませんね。

同じような心当たりのある方は、AppleIDのパスワードを変更することをお勧めします。

http://gigazine.net/news/20171011-ios-steal-password/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote

49
(画面はZDNetのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

ZDNetの記事によりますと、中国では今年の6月に「網絡安全法(インターネット安全法)」が施行され、中国社会に様々な影響を与えているとのことです。

日本企業としては、中国で取得した個人情報を海外に持ち出すのに規制がかかることに注意が集まっているようですが、この法律は中国企業の個人情報の取扱いについても厳しい規制をかけているとのことです。

以前は、企業の持つ個人情報が安価な価格でどんどん販売されていたものが、今回の法律ではそのような行為が禁止され、日本で言う名簿業者がどんどん廃業に追い込まれているそうです。

従来、与信チェックなどの様々な場面において、そういった雑多な個人情報を幅広く利用していたようですが、これができなくなり一部で支障が出ているとのことです。

一方で、「バイドゥー」「アリババ」「テンセント」などのIT巨人たちについては、自社で持つビッグデータを自由に活用できる点から、優位性が以前よりも高まるのではないかとの見方があるようです。

日本の個人情報保護法が「保護と有用性」の両立を目指しているのと比較すると、もしかすると中国は「保護」に偏りすぎているのかもしれませんが、まあ日本でも個人情報保護法が登場したときには過剰反応が問題になったくらいですから、同じようなものと考えたほうがいいかもしれませんね。

https://japan.zdnet.com/article/35108532/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote

16
(画像はラック社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

セキュリティの専門会社「ラック」社では、24時間365日眠らないネットワークセキュリティ監視センター「JSOC」を運営していますが、このJSOCでは毎月1回だけ、15名限定の見学ツアーを開催しているそうです。

今後の開催予定は
●2017年12月13日
●2018年1月10日
●2018年2月14日
●2018年3月14日
となっております。

ネットワークセキュリティの現場を実際の目で見るチャンスです。興味のある方はどうぞお申し込みください。

https://www.lac.co.jp/corporate/tour/jsoc_tour.html

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote

201970921
(画面はNISCのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

内閣サイバーセキュリティセンター(NISC)のWebサイトに、来年度の政府予算概算要求に含まれるサイバーセキュリティ関連予算の情報が掲載されています。

総額728億円で、主なところを見ると
  • 内閣官房が、NISC運営費として49億円
  • 総務省が、ナショナルサイバートレーニングセンター構築費として17億円
  • 経産省が、IPA交付金101億円!
  • 防衛省が、航空機・船舶・車両などのサイバー攻撃対策研究に45億円
  • 個人情報保護員会が、マイナンバーセキュリティ監視に12億円
  • 文科省が、セキュリティ人材育成に21億円
  • 厚生労働省が、年金機構を含む組織全体のセキュリティ強化に47億円
などとなっています。

詳細はPDFファイルをご参照ください。
しかしIPA交付金100億円超とは、うらやましいですね!

http://www.nisc.go.jp/
http://www.nisc.go.jp/active/kihon/pdf/yosan2018.pdf

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote

mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote

37

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

ロシアのウイルス対策ソフト開発会社カスペルスキー(Kaspersky)が、無料版のウイルス対策ソフト「Kaspersky Free」を発表しました。

無料版と言っても、ウイルス対策ソフトとしての基本的な機能は備わっており、何しろ広告表示は一切行わないといいます。

マイクロソフトが無償でウイルス対策ソフトを配布するようになり、Windows10には標準装備されるなど、ウイルス対策ソフトの必要性が低くなってきているのは事実です。かといって、やはり従来型のウイルス対策ソフトも一つくらいは入れておきたい。そんな方にピッタリのようです。

50

また、便利機能として「Kaspersky Secure Connecion(無償版)」も付属しています。これはいわゆるVPNソフトであり、セキュリティの担保されていない公衆無線LANなどを利用する場合に、通信自体を暗号化することで傍受されても内容が判別できないようになるというものです。1日300MBまでの通信をVPN化できるということですので、外出時や海外旅行時に現地の無線LANを使用する場合にこの機能を使用すると安心できます。

解説記事
http://forest.watch.impress.co.jp/docs/news/1072567.html
ダウンロードサイト(英語のみ)
https://www.kaspersky.com/free-antivirus

(私のコメント)
カスペルスキーについては、ロシア製ということで米国政府が締め出ししようとしているとの報道もありますが、同社はこの業界では十分な実績を持っています。以前には情報セキュリティEXPOでカスペルスキーさん本人の講演をお聞きしたこともありますし、製品の品質については十分な信頼がおけると判断しています。
ここ数年、個人的にはMicrosoft標準のウイルス対策で十分かなと思っており、自分のパソコンにもそれ以外のウイルス対策ソフトをインストールしていなかったのですが、今回はせっかくの機会ですからしばらく使用してみようと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote

WannaCrypt
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先週末から、全世界で大規模なウイルス被害が発生しており、マスコミ等でも報道されておりますが、本Blogでもその概要をまとめておきます。

------------------------------------------------------------
■発生していることの概要

今回問題になっているのはウイルスの一種で、ランサムウェア(身代金ウイルス)と呼ばれるものです。今回のウイルスに感染すると
(1)同じネットワーク内に存在する他のWindowsマシンも感染させる
(2)パソコン内部のファイルが暗号化されて
(3)お金を払わないとファイルを戻せなくなるぞという画面を表示して脅し
(4)そのまま放置するとファイルが削除される
というもののようです。

このパソコンに感染すると強制的に警告画面が表示されて、また多くのファイルが暗号化されてしまうため、通常業務に使えなくなってしまうといいます。実際に、イギリスの病院では業務が行えなくなったという被害が発生しているようです。

------------------------------------------------------------
■主な対策

今回のウイルスが利用している脆弱性は、今年の3月15日にマイクロソフト社が配信したWindowsUpdate(MS17-010)により対策がなされているものであり、Windows7/10をお使いで、WindowsUpdateを適用されている場合には感染する可能性はないとのことです。

ただし、今回はあまりにも被害が大きくなったため、マイクロソフト社ではWindowsUpdateでのサポート終了済みのWindowsXP/8/Windows Server 2003についても、修正パッチを作成し、配布しています。もしこれらのサポート終了済みOSを使われている場合には、この修正パッチをあててください。

また、すでに各社のウイルス対策ソフトでも対応済みですので、ウイルス対策ソフトを最新にすることでも新たな感染は防ぐことができます。ただし亜種が出てくる場合にはいたちごっこになります。

あと、詳細については未確認なのですが、今回のウイルス被害に関連し、「DoublePulsar」というバックドアの流行も取り上げられています。Windowsサーバーなど、インターネットに公開しているWindowsマシンについては、このバックドアが仕掛けられている可能性があるとのことですので、別途ご確認いただく必要があるかと思います。

------------------------------------------------------------
■そのほかの気になる情報

今回の脆弱性について、スノーデン事件で有名になった米国NSAが以前から関知しており、自らのスパイ活動に活用していたそうです。そのスパイ活動用のツールがなぜか昨年夏にハッカー集団に流出し、それが今回の攻撃に使用されているといいます。本来、脆弱性を発見した場合にはマイクロソフト社に連絡して対策を促すべきなのですが、米国NSAはそれをしなかったとのことで、マイクロソフト社が正式に抗議を行っているようです。

また、どうして日本での被害が小規模に留まっているかということですが、日本ではインターネットに公開されたWindowsマシンが少ないからではないかとトレンドマイクロ社の担当者は見解を出しています。

------------------------------------------------------------

IPAからの情報
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

トレンドマイクロ社の見解
http://itpro.nikkeibp.co.jp/atcl/news/17/051501407/


(私のコメント)
今回のウイルスはパソコン内のファイルを持ち出すわけではないため、個人情報/機密情報や、メールの受信簿の内容がすべて流出したりすることは今のところはないようです。ですから、バックアップを取ってある場合には、そのパソコンを初期化して、バックアップファイルからファイルを復元すれば、大丈夫なのではないかと思われます。あくまで今のところはということですので、ここについては、ご自分でも情報を確認していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote



情報セキュリティEXPO会場から最新情報をお届けします。

今日は同時開催のイベントを回っているのですが、NTTコムさんのブース(東3-39)で、クラウド型ウイルス対策の「マイセキュア ビジネス」が展示されているのを発見しました。

これは米国のWebRoot社の製品をNTTコムさんが国内で展開しているものだそうですが、クラウド型ウイルス対策のため、動作が軽く、パターンファイルの更新が不要というメリットを持つ製品であることが分かりました。

また、パソコンとスマホ、タブレットを全て単一の契約でカバーでき、ライセンス料も10端末で月1800円と、大変リーズナブルな設定となっています。


(私のコメント)
法人向けウイルス対策として、検討に値すると思いました。ぜひ!






このエントリーをはてなブックマークに追加 Clip to Evernote



情報セキュリティEXPO会場から最新情報をお届けします。

同時開催のモバイル端末・周辺機器展には、中国の会社が沢山ブースを出してます。

Shenzhen GPD Technology社ブース(東1-32)では、同社が得意とするゲームパッド型ミニパソコンが展示されてました。

この製品はすでに日本のAmazonでも購入できるそうです。

ポケットサイズWindows10ゲーミングPC GPD WIN 64GB Intel Atom X7-8700 Quad Core 5.5 Inch Windows10 GamePad Tablet [並行輸入品] https://www.amazon.co.jp/dp/B01M30IVSB

他にも様々なガジェットが出てますので、深センへのミニトリップを体験されたい方はぜひ!

(私のコメント)
昔のVAIOを思い出すアグレッシブな商品設計を羨ましく思いましたよ。ゲームパッドのUIは意外と便利で、立ったまま操作するパソコンとしてはイケるかも!






このエントリーをはてなブックマークに追加 Clip to Evernote

5


情報セキュリティEXPO会場から最新情報をお届けします。

今回も独立行政法人 情報処理推進機構(IPA)が、大きなサイズのブース(東42-31)を出展し、情報セキュリティの啓発に役立つ様々な資料を無料で配布しています。

職場の教育などでも使える内容になってますので、ぜひオススメします。


(私のコメント)
なお、IPAブースで資料配布の際に実施しているのは「無記名アンケート」でした。不要な個人情報は預からないスタンスが徹底されてました!










このエントリーをはてなブックマークに追加 Clip to Evernote

情報セキュリティEXPO会場から、最新情報をお届けします。 

ソフト技研ブース(東41-24)では、Fidoに対応した認証デバイス「YubiKey」を提案しています。 

YubiKeyは、名前が日本語っぽいので、日本製のデバイスかと一瞬思いますが、アメリカ・スウェーデンを拠点とするYubico社が開発した認証デバイスなんだそうです。 

インターネット上での認証方式を統合し、より便利に、より強固なセキュリティを実現しようと、「Fido(ファイド)」を広める取り組みが世界規模で進んでおり、YubiKeyはその最先端を走っています。 

Fidoに関する最新情報を仕入れたい方は、ソフト技研ブースに立ち寄ることをおススメします。


(私のコメント) 
Fidoの話を聞くと、マルタイラーメンもいただけるようですので、ぜひ!



このエントリーをはてなブックマークに追加 Clip to Evernote


情報セキュリティEXPO会場から、最新情報をお届けします。

XACK社ブース(東41-34)では、和製DNSサーバー「ZACK DNS」を提案しています。

通常、DNSサーバーといえばフリーソフトウェアであるBINDが利用されていますが、近年、BINDの脆弱性をついた攻撃が多発しており、サービスが停止するなどの被害が相次いでいます。

ブースで説明していただいた河合さんによると、「ZACK DNS」は、BINDとは全く別に開発されており、共通する脆弱性を持たないため、各種の攻撃に強いとのことです。従来、キャリア中心に販売していたものを、一般の企業にも販売しようと考えて今回の出展に至ったといいます。


(私のコメント)
DNSサーバーを自社で運用していて、外部からの攻撃に強いDNSサーバーをお探しの方に、おススメします。




このエントリーをはてなブックマークに追加 Clip to Evernote

こんにちは!オプティマ・ソリューションズ広報担当の内野明子です。
真夏に比べると、だいぶ朝晩は涼しくなりましたね。

先日は弊社のコンサルタントの柴原が、オンライン動画学習サイトであるスクーで「ビジネスパーソンのための情報セキュリティ入門 -情報漏えい対策-」の授業をさせていただきました!

schoo-1
学生代表(アナウンサー)の青島さんと弊社コンサルタントの柴原です。

DSC_2056
スクーさんのスタジオです。本格的なグリーンバックを使用しています。

DSC_2059
背景を合成して、このような状態で放送されます。

IMG_5665
こちらがスマホのアプリで見た画面です。

今回の授業はフリーwifiのことからWebサイトの利用時に注意すべきことなど、知っておいた方が良い情報満載でした!社員教育にもお使いいただける内容となっております。スクーのみなさま、視聴者のみなさま、ありがとうございました!!!

こちらの授業は現在、録画放送でご覧いただけます。下記の招待リンクからスクーに登録していただければ、無料でご覧いただけます。どうぞ!

(招待リンク)http://goo.gl/WM2jbg
(講座リンク)https://schoo.jp/class/3475


なお、続編である第2回目「ビジネスパーソンのための情報セキュリティ入門 -情報管理と保護-」は9月15日(木)19:00からの生放送です。上記の講座リンクから受講できます。

どうぞ、ご覧くださいませ。





このエントリーをはてなブックマークに追加 Clip to Evernote

S__40640514

情報セキュリティEXPO開催中の東京ビッグサイトから最新情報をお届けます。

技術商社であるマクニカネットワークス社のブースでは、数多くのソリューションを展示していますが、その中で、DDOS攻撃対策としてRadware社のソリューションを展示していたので、説明を聞いてきました。

頭が痛いDDOS攻撃対策、わたくしなどは「やられたら諦めるしかない」のかなと思っていたのですが、最近はそういうことでもないようです。今回提案しているRadware社のソリューションでは、下記のようにすることで対策ができるとしています。

(1)DNSの設定を切り替えて、サーバーへの通信を全世界に配置された専用の中継サーバーを通すようにする。
(2)中継サーバーの段階で攻撃パケットと通常のパケットを識別し、攻撃パケットは遮断する。
(3)通常のパケットは自社サーバーに転送するようにして、通常通り対応する。

この方式が有効なのであれば、官公庁や金融機関など、DDOS攻撃を受けても「しばらく待つしかない」と言ってられない組織にとって、福音となると思います。

(私のコメント)
たまたま、私たちのブースの向かいにおられたので話を聞かせていただいたのですが、とても勉強になりました!





このエントリーをはてなブックマークに追加 Clip to Evernote

IMG_4158

情報セキュリティEXPO開催中の東京ビッグサイトから最新情報をお届けます。

いつも最大規模のブースで出展しているエムオーテックス社ですが、今回は主力商品のLanScopeだけではなく、新世代のウイルス対策ソフトとの連携を盛り込んできました。

それが米国Cylance社とのOEMパートナー契約です。Cylanceは、人工知能を利用した新世代のウイルス対策ソフトで、従来のパターン検知とは一線を画する機能と性能を実現しているそうです。なんでも、半年前のバージョンで、最新のウイルスも検知できるというのです。

この技術が本物であれば、現在もっとも対策が難しいとされている標的型攻撃への対策にもなるはずです。しかも、エムオーテックス社ではLanScopeとの連携もすでに実装済みで、LanScopeの管理者用の画面から、社内に展開した端末におけるCylanceによる検知結果をリアルタイムに確認できるほか、その前後の利用ログをチェックすることで、どのルートでウイルスが入ってきたかを確認することもできるという、大変魅力的なソリューションになっています。

エムオーテックス社プレスリリース
http://www.motex.co.jp/news/release/2016/release14098/

Cylanceについてはこの記事が詳しいです
http://svs100.com/cylance/

(私のコメント)
今回のソリューションはとても魅力的であり、もしかすると本当に従来のウイルス対策ソフトを置き換えてしまう存在になるかもしれないということで、大変注目しています!!!





このエントリーをはてなブックマークに追加 Clip to Evernote

facebook_logo


全世界で急速に普及が進むFacebook。

Facebookについては、お友達と距離を超えてオンラインでの交流ができるプラスの面と、個人情報やプライバシー情報を世界規模で収集しており、悪用されると恐ろしいというマイナスの面があり、常に議論の対象となってきました。

そのFacebookで、マイナスの面を少しでも小さくするために、使用しない方がいいと思う機能がひとつあります。それは「スマホのアドレス帳の中身をFacebookにアップロードする機能」です。

スマホのFacebookアプリの「友達を検索」という画面で「連絡先」という画面を開くと、自分のスマホの電話帳に含まれるすべての名前とメールアドレスをFacebookにアップロードするようになります。しかもこの設定をオンにしている限り、新たに電話帳に誰かを登録するたびに継続的にアップロードします。

57


Facebookは、この機能でアップロードされたお知り合いの情報を利用して、
(1)その人がすでにFacebookを使っている場合には、自動的に探しだしてお友達リクエストを出すことができるようになる。
(2)その人がまだFacebookを使っていない場合には、Facebookへの招待メールを自動的に送信してくれる(しかも招待メールは複数回発信されます)
のです。なんて、おせっかいな機能でしょうか?

※こんなメールが誰かから届いたら、その人が自分のアドレスをFacebookに渡してしまったということが分かります。
43


スマホのアドレス帳といっても、全員が親しいお知り合いとは限りません。この機能を使うと、思わぬ人に招待メールを出してしまったりする危険性が大きいです。また、業務で使用しているアドレス帳が吸いだされてしまった場合には、個人情報の目的外利用や無断での第三者提供にあたってしまうことも考えられます。

しかし、Facebookとしては、この機能こそが、会員数拡大を実現したキーとなる機能なのです。ですから、どれだけプライバシー団体に反対されようが、何があっても、この機能を皆さんに使わせないといけないのです。ですから、Facebookは今後も様々な方法で皆さんのスマホのアドレス帳を狙ってくることでしょう。

不安になった人は、下記のURLにアクセスしてみてください。
自分がFacebookに渡してしまったお友達の情報が一覧できます。
この画面で「インポートした連絡先をすべて削除する」ことができます。



また、この画面をよく見ると、「Messengerにアップロードした連絡先をチェック」というリンクもありますね。下記のような画面が出ます。こちらはFacebook Messengerの設定で「連絡先を同期」という機能をONにしている場合にアップロードされている情報です。こちらも「すべて削除」できます。



お知り合いの情報がアップロードされていた方は、下記のスマホ側の設定でOFFにしておかないと、自動的に再度アップロードされてしまいますので、しっかりとOFFにしておいてください。

33


Facebookという仕組みはよくできていて、これら「連絡先をインポートして友達を検索」という機能を使用しなくても、お知り合いの名前とかを検索してちょろちょろと友達登録していくと、そのうち、共通の友達などを推薦してくれるようになります。これで十分楽しめると思います。

(補足)
以前は「Gmail」などのアカウントとパスワードを登録させて、Facebookのロボットが自動的に利用履歴や電話帳を参照して、お知り合いの名前やメールアドレスを吸い出すという恐ろしい機能がありました。さすがにこの機能は最近は使われていないようです。代わりに、スマホのアドレス帳からお知り合いの連絡先を吸い出す機能を集中的に押し出しているようです。

※2016年4月、内容を大幅に改訂いたしました。
このエントリーをはてなブックマークに追加 Clip to Evernote

キャプチャ
(画面は日本クレジット協会のWebサイトより)

2020年のオリンピック・パラリンピック東京大会の開催をターゲットに、経済産業省とクレジットカード業界をあげて国内においてクレジットカード等を安全に利用できる環境整備を進めています。そのために昨年立ち上げられたクレジット取引セキュリティ対策協議会が、一年間の討議を経て、2月23日に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画〜2016〜」を発表しました。

実行計画の内容は多岐にわたるものですが、その中で期間を区切っての具体的な目標が出てきました。
(1)カード会社は2018年3月末までにPCI DSS準拠を完了すること。
(2)原則として、全ての加盟店はカード情報の非保持化をするか、PCI DSS準拠を行うこと。ネット販売などのEC加盟店は2018年3月末、対面加盟店は2020年3月末を期限とする。
(3)EC加盟店は、2018年3月末までに3Dセキュアやセキュリティコードによる認証など多面的重層的な本人認証を講じること
(4)対面加盟店は、2020年3月末までにICカード対応を完了すること。

とのことです。具体的な期限が設定されたので、業界全体のセキュリティ水準の底上げが加速するものと思われます。

※PCI DSSとは、クレジットカード業界が定めたデータセキュリティの国際基準です。

http://www.j-credit.or.jp/
http://www.j-credit.or.jp/download/160223a1_news.pdf
http://www.j-credit.or.jp/download/160223a2_news.pdf

(私のコメント)
PCI DSSについては、かなり前から取得が呼びかけられて来ていましたが、期限が切られていなかったために、いまひとつ普及が進んでいなかった経緯があります。今回、カード情報を保持したいのなら加盟店もPCI DSSを取るようにということが明確になり、よかったのではないかと思います。



このエントリーをはてなブックマークに追加 Clip to Evernote

IEサポート終了

マイクロソフト社が、1月13日付でInternet Explorer(IE)のサポートポリシーを変更し、各OS向けに提供されている最新版のIEの以外のサポートを終了したことはご存知かと思います。サポート終了となったバージョンには今後はセキュリティアップデートが提供されないことになります。

この影響範囲がどの程度になるのか、当Blogならびに当社のWebサイトへのアクセス記録から調査してみました。

対象期間:2015年12月16日〜2016年1月15日
対象サイト:www.pmarknews.info www.optima-solutions.co.jp
調査対象:IEによるアクセス数

その結果、今回のサポート終了の対象となるバージョンのIEの利用率は26%となりました。

特に
Windows7×IE10
Windows7×IE9
Windows7×IE8
の組み合わせがかなりの数に上っています。

その方々は、まず
Windows7×IE11
へのバージョンアップが急務となります。

業務用システムで対応できないというような場合には、
システム側を早急にIE11に対応させる必要があります。

ということですが、そもそも様々なブラウザがある中でIEの利用率が39%程度でした。ですから、39%×26%=約10%となりますので、アクセス数全体に与える影響は約1割となります。

あくまでも私の管理しているWebサイトに関してのデータになりますが、一つの参考にしていただければと思います。

関連記事
http://internet.watch.impress.co.jp/docs/news/20160113_738667.html

(私のコメント)
もし、業務用システムの対応のために、どうしても旧バージョンのIEを残さないといけないのであれば、IEはそのURLにしかアクセスできないようにして、その他のインターネットブラウズにはChromeやSafariを使わせるようにするということが次善の策としてあり得るかと思いました。





このエントリーをはてなブックマークに追加 Clip to Evernote

20151028_154831

安価なノートパソコンをお探しの方に、おすすめのパソコンをご紹介します。

それは、アンカーネットワークサービスさんのリファビッシュパソコンです。同社ではパソコンをはじめとするIT機器の回収・リサイクルを専門にやっておられます。回収したパソコンの中で程度の良いものについては、Windows OSを入れなおしてリファビッシュパソコンとして販売しています。この特徴は3つ。

  1. 【OSがクリーンインストールされている】同社のリファビッシュパソコンには、マイクロソフト社のプログラムに基づいて提供されたWindowsがクリーンインストールされています。余計なアプリが入っていない分だけ、さくさくと動きます。当然ながら、必要なドライバ類はインストールされていますので、内蔵デバイスはきちんと動作します。

  2. 【作りがしっかりしている】もともと企業で利用されていたモデルになりますので、作りはしっかりしています。安価なネットブックのように、新品ではあるもののキーボードが小さくて打ちにくいというようなことはありません。

  3. 【SSD換装も可能】これ注目です。同社のリファビッシュパソコンにはSSD換装に対応しているモデルがあります。たった12,000円の出費で120GBのSSDに換装できるのです。SSDは動作がキビキビするメリットが大きいですが、特にモバイルパソコンの場合には省電力、耐衝撃性アップなど、いいことずくめです。

ご案内チラシ(ご連絡される場合はこちらをご参照ください)
http://www.pmarknews.info/リファービッシュパソコンのご案内.pdf

(私のコメント)
安くてそれなりのパソコンを調達されたい場合には、問い合わせてみることをおススメします。当社でも活用しています。なお1台から対応可能です。連絡の際には『オプティマソリューションズから紹介を受けた』とお伝え下さい。

株式会社アンカーネットワークサービス
営業本部CSSチーム 担当:山口さん
TEL:03-3600-5947(平日の10時〜17時)



このエントリーをはてなブックマークに追加 Clip to Evernote

20151028_150234

会社で不要になったパソコンの処分にお困りの方に、おすすめのサービスをご紹介します。

それは、アンカーネットワークサービスさんの買取サービスです。同社は、当社も加盟しているデータ・セキュリティ・コンソーシアムの中心的存在であり、私(中康二)も個人的にお付き合いさせていただいております。

アンカーネットワークサービスさんは、パソコンをはじめとするIT機器の回収・リサイクルを専門にやっておられますが、下記3つの特徴を持っています。
  1. 【セキュリティは万全】機器に含まれるデータに関して、ソフトによる消去、磁気による消去、物理的な破壊などの方法を組み合わせることにより、徹底した消去を行っています。

  2. 【地球環境にやさしい】再生不可能と判断された機器に関しては、手処理で解体して分別し、リサイクルして資源として活用します。

  3. 【社会貢献に繋がる】手処理解体などを障がい者就労支援施設に業務委託しているので、機器の廃棄を通して障がい者の就労支援に貢献できます。

同社の買取サービスでは、買取価格を算出し、運搬費用と相殺する方式で廃棄費用を算出するとのことです。台数が多くまとまるとお金が戻ってきますし、運搬費用のほうが多い場合にはお金を支払うことになるとのことです。

買取サービスの紹介ページ
http://www.anchor-net.co.jp/service/index.html
ご案内チラシ(ご連絡される場合はこちらをご参照ください)
http://www.pmarknews.info/パソコン買取サービスのご案内.pdf

(私のコメント)
台数が多くまとまればまとまるほど、メリットが出てくるようです。ぜひ担当の山口さんに連絡してあげてください。連絡の際には『オプティマソリューションズから紹介を受けた』とお伝え下さい。

株式会社アンカーネットワークサービス
営業本部CSSチーム 担当:山口さん
TEL:03-3600-5947(平日の10時〜17時)



このエントリーをはてなブックマークに追加 Clip to Evernote

index_main
(画像はIPAのWebサイトより)

独立行政法人情報処理推進機構(略称:IPA)が、国家試験「情報処理技術者試験」の新たな試験区分である「情報セキュリティマネジメント試験」を、来年4月から毎年2回実施すると、10月16日に発表しました。

この試験は、一般企業において必要とされる「情報セキュリティマネジメント人材」を対象としているもので、情報セキュリティの技術的な知識にとどまらず、それを管理するためのPDCAサイクルを回すことで組織の情報セキュリティ対策向上に貢献するための知識やスキルを測ることを目的としています。

試験は午前・午後それぞれ90分の計180分で実施され、レベル1の「ITパスポート試験」を合格した人の次のステップとしての活用を想定しているとのことです。

http://www.ipa.go.jp/about/press/20151016.html
http://www.jitec.ipa.go.jp/sg/

(私のコメント)
各企業のプライバシーマークの担当者の皆さんの間では「個人情報保護士」の試験を受けられる方が多いようですが、その次の目標としてこの「情報セキュリティマネジメント試験」はいいかもしれません。おススメします!(ITパスポート試験は随時受験できます)


このエントリーをはてなブックマークに追加 Clip to Evernote

58
情報セキュリティEXPO《春》会場からレポートします。

ハードディスクなどの磁気記録媒体の物理破壊でデファクトスタンダードとなっている日東造機のCrashboxから、手動でハードディスクをV字破壊できる新製品「CrushBox HDB-20V」が登場しました。

2015-05-014

米国防総省やNSAなどが定めるハードディスクの物理破壊基準ではハードディスクをV字に破壊することが求められているそうですが、従来これを手軽に行える手段は存在していませんでした。今回の製品の登場により、安価な価格で、手軽な操作で、ハードディスクのV字破壊が行えるようになるというのは、画期的なことです。

詳しい製品情報はこちらから
http://www.nittoh.co.jp/ntz3/topics/tp_hdb20v/

当社(オプティマ・ソリューションズ株式会社)も情報セキュリティEXPOに参加しています。会期中、マイナンバー対応やプライバシーマークに関する無料相談を行います。できる限り時間を取りますので、お越しになるお時間をご連絡ください。(お気軽にどうぞ!)

http://www.optima-solutions.co.jp/archives/7592/
このエントリーをはてなブックマークに追加 Clip to Evernote

01
(画面はYahoo!JapanのWebサイトより)

ヤフー株式会社(東京都港区)は、3月17日付で、カルチュア・コンビニエンス・クラブ株式会社(大阪府大阪市、以下CCCと略)との間で、情報連携を実施すると発表しました。

これは、かねてより発表されていた「Tポイントシステムで収集された購買履歴」と「Yahoo!Japan IDを使って収集されたWeb閲覧履歴」を連結させて、お互いのマーケティング活動に活かそうというもののようです。

同社のリリース文を読んだだけではなかなか分かりにくいのですが、要するにやりたいことは下記のような内容だと思われます。

(1)ヤフー→CCCに流れる情報を利用して、Tポイント参加企業は、自社の顧客がどのWebサイトを見ているのかというデータを手に入れることができる。

(2)CCC→ヤフーに流れる情報を利用して、ヤフー、またはヤフーの広告主は、Tポイントの履歴データに基づき、より最適化したWeb広告を出稿することができる。

そして、これらの情報連携を好まない人はヤフーの画面から情報連携自体を拒否をすることができるし、また別にこれに限らず全ての行動ターゲティング広告を拒否したい人もまたヤフーの画面で拒否することができるということです。

http://docs.yahoo.co.jp/info/notice/150317.html

(私のコメント)
同社のリリース文では、上記の双方向の情報の流れに関して「特定の個人を識別することができないように加工した上で相手に提供する」としています。これはどういうことを指しているのでしょうか?TポイントシステムとYahoo!IDの一対一での紐付けができている以上、名前や住所等が含まれていなくても、お互いにどの人のデータか認識できるはずですので、「特定の個人を識別できない」と強弁できるものかどうか。公開されている情報だけでは疑問が募ります。

両社は自分たちのやっていることの合法性を改めて明確に説明する責任があると思います。



このエントリーをはてなブックマークに追加 Clip to Evernote

↑このページのトップヘ