プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

情報セキュリティ

このエントリーをはてなブックマークに追加
2020-05-22 08.52.59
(画像は同社が公開している説明動画より)

皆さんこんにちは。
プライバシーザムライ中康二です。

新しい生活様式の一環として、「通勤者数を削減すること」「三つの密を避けること」など呼びかけられておりますが、コールセンターはその特性上から在宅勤務化が難しく、受付時間の短縮や、センター全体の規模縮小で対応しているところが多いようです。

そんな中、在宅勤務を全面的に採用することでほぼ通常通りの規模での運用を継続しているとのニュースがありました。それがチューリッヒ保険さんでした。

同社のリリースや日経XTECHの記事によりますと、東日本大震災のあとの計画停電によりコールセンターの運営に大きな支障が出たことを契機とし、BCPの一環として在宅勤務でもコールセンターが回る仕組みを準備してきていたとのことです。

同社では下記の技術を組み合わせてこれを実現しているそうです。
(1)コールセンター用パソコンの画面を全てリモートデスクトップ化
 (Citrixサーバーを海外のデータセンターに配置して平常時も利用)
(2)入電したコールをクラウドPBXで制御して社員の私物スマホに転送
 (IP電話ではなく通話品質を維持。発信時もコールバック方式にして発番号を代表に変更)
(3)スマホ用ヘッドセット、社員の自宅PC、ネットワーク環境など積極的に補助して整備

また同時に、スタッフ以外の家族がパソコン画面を見ることがないような環境を整えることを条件として誓約書も交わしているそうです。

同社では、自社の経験を業界他社にも共有していきたいとしており、下記のような動画も公開しています。



日経XTECHの記事
https://www.nikkei.com/article/DGXMZO59035570T10C20A5000000/
同社のリリース
https://www.zurich.co.jp/aboutus/news/release/2020/0424/

(私のコメント)
ここまでやれば、急仕立てではなく、本当に在宅勤務ができるんだなというお手本のような事例となっています。

これからの時代、コールセンターに限らず、また災害時に限らず、こういう形での在宅勤務がもっともっと増えていくのではないかと思いますので、ご紹介させていただきました。

この情報が少しでも皆さんの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
プライバシーザムライ
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

新型コロナ対策としての在宅勤務が急速に広がっていると思いますが、
そこで気になるのが情報セキュリティ対策ですね。

先日「在宅勤務を行うための情報セキュリティ規程」を無料提供させて
いただいたところ、たくさんの方々にお申し込みをいただくと同時に、
現状の課題や問題点などのお声もたくさん寄せられました。

※「在宅勤務を行うための情報セキュリティ規程」お申し込みはこちら
https://www.optima-solutions.co.jp/archives/16637

そこで、今の新型コロナ対策のために、急遽、在宅勤務を始めることになった
プライバシーマークとISMSの担当者様にオンラインでお集まりいただき、

(1)現状の課題や問題点を整理し、少しでも解決策を見出し
(2)相互に意見交換をしていただき、助け合っていただきたい

という思いに至り、「在宅勤務に関するPマーク/ISMS担当者勉強会」緊急開催することに決定いたしました!

セミナー
(セミナーで知識を得る ※内容はイメージです)

ブレークアウトセッション
(ブレークアウトセッションで意見交換する ※今回は皆さんの側もカメラ/マイク利用で行きます!)

私プライバシーザムライが解説することはもちろん、Pマーク/ISMS担当者様様同士でブレークアウトセッションをする時間も設けたいと思います。気軽に話していく中で、現状に対する改善策も生まれてくると思います。

問題を改善しより良い在宅勤務を実現していきましょう!
皆様、どうぞお気軽にご参加ください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ 中康二
プライバシーザムライ 中康二
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家


タイトル:「在宅勤務に関するPマーク/ISMS担当者勉強会」
講師:プライバシーザムライ 中康二
参加対象者:プライバシーマーク・ISMS取得事業者の役員、担当者の方
参加費:無料(1社2名様まで)

日時:2020年5月14日(木)16時から18時まで
場所:リモート開催(Zoomを利用します)
主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2


皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加
3ヶ月で削除の設定
(画像はGoogleアカウントの画面より)

皆さんこんにちは。
プライバシーザムライ中康二です。

先日、NHKスペシャルを見ていましたら「デジタルツイン」という言葉が出てきました。Googleに保存されている過去の履歴情報を全て解析することで、本人の属性/行動パターン/思考内容/現在の状況などを非常に詳細に知ることができるという内容でした。

あまり気持ち良いものではありませんよね。

これを回避するための方法として、以前から「履歴を残さない」という選択がありますが、そうするとこれはこれでまた不便なんです。Googleならではの利便性が落ちてしまいます。

そこでオススメしたいのが最近登場した「履歴を3ヶ月で削除する」設定です。

今回はそれをご紹介いたします。

Googleアカウントの中のアクティビティ管理の画面を開きます。

https://myaccount.google.com/activitycontrols

この中に下記の3つの設定があります。
(1)ウェブとアプリのアクティビティ
(2)ロケーション履歴
(3)Youtubeの履歴

今の設定はどうなっていますでしょうか?
全て「ON」になっているでしょうか?
それともすべて「OFF」になっているでしょうか?

私のオススメ設定は下記となります。

それぞれのスイッチみたいなのを「ON」にして履歴を残すようにします。
その下の「アクティビティを管理」というテキストリンクを開いて、
「保存期間を選択」というところで「3ヶ月間保存する」を選びます。

3ヶ月間保存するということは、3ヶ月間で削除してくれるということです。
考え方次第ですが、まあ最新の3ヶ月分くらいならGoogleが保有していてもいいかな
ということで、この設定をオススメいたします。

多くの方は「手動で削除するまで保存する」という設定になっていると思います。
この設定では半永久的に履歴が保存されます。8年前にあなたが興味本位で検索した
ちょっとした検索ワードも残ってしまいます。これはオススメしません。

この情報が少しでも皆さんの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
在宅勤務での最低限のセキュリティ対策
(クリックすると拡大します)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナ対策としての在宅勤務が急速に広がっていると思いますが、
そこで気になるのが情報セキュリティ対策ですね。

取り急ぎ、最低限のセキュリティ対策を一枚のチャートにまとめてみました。

※本画像は改変しない限り、事前承諾なく再配布可能です。

なお、「ズ濛雍侈海里燭瓩竜程類」については、下記からダウンロードできますので、ぜひご利用ください。
https://www.value-press.com/pressrelease/240579

今の状況の中で、少しでも皆様のお役に立てばと思います。

このエントリーをはてなブックマークに追加
2020年4月17日(金)
報道関係各位
オプティマ・ソリューションズ株式会社
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【新型コロナ対策】在宅勤務を行うための情報セキュリティ規程をご提供いたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
在宅勤務・情報セキュリティ管理細則表紙

新型コロナウイルスの感染が広がり、政府から出された緊急事態宣言に伴う
接触機会8割減の呼びかけを受けて、各企業では在宅勤務への切り替えを
急遽実施しているケースが多いものと思われます。

このような状況の中で、情報セキュリティに関する認証コンサルティング会社である
オプティマ・ソリューションズ株式会社(本社:東京都港区、代表取締役:中 康二)は、
企業が在宅勤務をおこなう際に役立つ情報セキュリティに関する規程類を独自に作成し、
企業の皆様にご提供いたします(無料)。

【ご提供する規程類の内容】

今回ご提供する規程類は、下記の3つから構成されます。

(1)在宅勤務・情報セキュリティ管理細則(規程)

 在宅勤務を行うにあたり、実行することが必要な項目を「システム管理者」
 「在宅勤務者」の両方の立場から規定しています。
在宅勤務・情報セキュリティ管理細則本文

(2)社外利用情報システム利用登録簿(様式)

 在宅勤務者が社外で利用するパソコンやスマホなどを登録するのに使用できる
 文書です。

(3)在宅勤務者チェックリスト(様式)

 在宅勤務を行う社員自身が自己点検できるチェックリストです。
在宅勤務者チェックリスト

上記の規程類は、原則として、プライバシーマークやISMSなどの
情報セキュリティに関する認証を取得されている企業をイメージして
作成したものですが、それに限らず全ての企業の方に参考にして頂ける
内容になっております。

【ご提供方法】

当社公式Webサイトよりお申し込みいただいた方に、規程類のファイルをご提供いたします。

お申し込みURL https://www.optima-solutions.co.jp/archives/16637

【オプティマ・ソリューションズ株式会社について】

 所在地 : 東京都港区西新橋1-18-6 クロスオフィス内幸町5階
 事業内容:プライバシーマーク、ISMSのコンサルティング事業
 代表者 : 代表取締役 中 康二(プライバシーザムライ)
 設立 : 2005年3月
 資本金 : 1,000万円
 URL : https://www.optima-solutions.co.jp/

このエントリーをはてなブックマークに追加
95FDCC4C-159B-4918-B31A-23541BE630B9
(画像は当社コンサルタントの遠藤が、
 Web会議でコンサルティングを提供している様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナウイルスの感染が広がり、人と人が会うことがリスクに
なってきています。

そこで注目を集めているのが「Web会議」ですよね。
もともとSkypeが有名でしたが、今回はZoomが急に注目を集めています。

さて「Web会議に参加してください」と言われたらどうしたらいいのでしょうか?
いきなり主催者になるのでなくても、
参加者としては何を用意しておく必要があるのでしょうか?

Web会議のシステムにより、細かな違いがありますが、
まずは参加者として何を用意すればいいのか、
これについて、まとめてみたいと思います。

------------------------------------------------------------
必要なもの(1)マイク付きヘッドホン

何はなくともマイク付きヘッドホン。これに尽きます。

双方向で音声をやり取りするテレビ会議を行おうとすると、
最初にぶつかる壁が「ハウリング」です。

ピィ〜〜〜〜〜〜〜〜〜!

音が響くんですよ。

これを防ぐ一番簡単な方法が、マイク付きヘッドホンを用意することです。

ほとんどのスマホには、マイク付きヘッドホンが付属していると思います。
音楽を聞くのと同じようにそれを挿して、スマホでWeb会議に参加すれば、
ほぼハウリングすることはなくなります。
(ほとんどのWeb会議はスマホでも参加できます)

S__90923011
こんなのです(これは数年前のiPhoneに付属していたものです)。

ただし、パソコンで参加したいという方が多いと思います。

マイク付きヘッドホンが下記のようなヘッドホンジャックの形式のもので
お使いのパソコンが新しい場合には、そのマイク付きヘッドホン
そのままパソコンのヘッドホンジャックに挿すことで、
マイクとして使うことができる場合が多いです。
それであれば、これでパソコンでのWeb会議への参加がOKになります。

2020-03-31 16.12.34
(こういう端子をヘッドホンジャックと言います)

ただし、少し古いパソコンだとこのやり方でヘッドホンジャックに挿しても
マイクが使えない場合があります。
そういう場合はパソコン用USBヘッドセットを用意しましょう。

MM-HSUSB16W_MX
こんなのです。

これでもOKです。

このようにして、まずはマイク付きヘッドホンを用意します。

パソコン用USBヘッドセットの例
https://www.sanwa.co.jp/product/syohin.asp?code=MM-HSUSB16W

iPhoneに付属していたマイク付きヘッドホンの購入先
https://www.apple.com/jp/shop/product/MNHF2FE/A/earpods-with-35-mm-headphone-plug

------------------------------------------------------------
必要なもの(2)何も写っていない背景

Web会議を行う場合、通常はカメラで自分の顔を写さないといけません。

この時、背景も写り込んでしまいます。

自宅であれ、オフィスであれ、そこになにか大事な情報が書かれていた場合には、
それが相手に筒抜けになってしまいます。

ですから、何も写っていない背景が必要となります。

このページの冒頭の写真をもう一度よく見てください。
95FDCC4C-159B-4918-B31A-23541BE630B9
後ろのキャビネットに白い紙が磁石でつけられています。
これ本当は白い紙じゃないんです。本当は会社の業績に関する
情報が掲示されているんです。
でも、それが写り込まないように裏返しにしているのです。

何も掲示されていない壁を背にするのがベストです。
また内容的に問題ないのであれば、本棚を背景にするのもありです。
とにかく、少しテストで写し出してみて、背景に問題がないかどうか、
予め確認しておきましょう。

------------------------------------------------------------
必要なもの(3)Web会議に参加するURL

Web会議は通常、特定のURLを主催者が発行し、
そのURLを開くことで、参加者は会議に参加できるようになっています。

ですから、主催者からWeb会議に参加するURLを教えてもらわなければなりません。

場合によっては、アプリケーションのダウンロードが必要な場合もあります。
ですから、教えてもらったURLを会議の前に開いてみて、
自分の顔が画面に映るところくらいまでは、
事前にテストしておくことをオススメします。

------------------------------------------------------------

Web会議に主催者としてではなく、あくまで参加者として参加する場合には、
まず上記の3つがあればなんとかサマになると思っておいてください。

下記のページには、Web会議の達人からのメッセージが載っています。
心構えにも触れられていますので、ご一読をオススメします。
https://www.businessinsider.jp/post-207808
(野本さんもマイク付きヘッドホンをずっと使っていることに注目してください)

また、主催者として配信する場合は、もっと様々なことに注意を払う必要があります。
下記の情報などを参考にしてみてください。
https://drive.google.com/file/d/1hNTRmQqChjopLb6xZtRUpKu_cJrzCEgf/view
http://redbuller.hatenablog.com/entry/2020/03/28/022605

最後になりますが、一つだけ申し上げたいのは、
「在宅勤務にWeb会議は必須ではない」ということです。

組織を回すことだけを考えると、むしろメール/チャット/電話を使いこなす
方向性で考えたほうがうまくいくと思います。

ただし、定例ミーティングなどはWeb会議を使うことになると思いますし、
商談など社外の方とのコミュニケーションにはWeb会議が欠かせなくなると思っています。

今の状況の中で、この情報が皆さんの参考になればと思います。

(参考記事)
プライバシーマーク・ISMS取得企業が在宅勤務する時の注意事項
〜新型コロナウイルス対策としてのリモートワーク〜
http://www.pmarknews.info/Information_security/52118615.html




このエントリーをはてなブックマークに追加
remote_work
(写真は在宅勤務のイメージです)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナウイルスの流行により、急に注目が集まる「在宅勤務」。
今や事業継続に必須と言ってもいいかも知れません。

そこで時々ある話が「プライバシーマークを取得している企業として、
ISMS認証を取得している企業として、在宅勤務は許されるのか」ということです。

今の状況を踏まえて、私はプライバシーマーク・ISMSの専門家として、
これにお答えしておきたいと思います。

また、プライバシーマーク・ISMS認証を取得している自社で
在宅勤務だけではなくリモートワーク全般に貪欲に取り組んできてますので、
そこで得られた経験から分かっていることにも少し触れてみたいと思います。

(1)プライバシーマーク・ISMS取得企業だからといって
 在宅勤務できないということは「全くない」。


いきなりの結論ですが、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということは全くありません。

御社では、社員が出張する際にメールが読み書きできるような仕組みはありませんか?
ありますよね。それと同じ仕組みを全社員に横展開すればいいのです。

情報セキュリティの観点から捉えるならば、在宅勤務も出張も同じです。
むしろ在宅勤務のほうが場所が限定されますから、容易といえましょう。

「いやいやそんなのは全社員分はないんだよ」
「いやいやメールは読み書きできるけど、業務システムが使えないんだよ」
というような声があるかも知れません。

しかし、一部の社員でできているのであれば、環境の整っている人から始めて、
少しずつでも範囲を広げていけばいいということになります。

また、業務システムを在宅勤務で使えるようにするのには、
システム的な対応が必要な場合も出てくると思います。
毎日使うようなシステムについては、なるべく早く対応することとし、
年に一回しか使わないようなシステムについては、出社した時に使うということで
問題ないと思います。

いずれにせよ、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということにはなりません。

※もちろん、コールセンターのように顧客の個人情報を集中的に取り扱う業務や、
接客/販売/物流/製造のようなリモートでは実現不可能な業務は除きます。

(2)多くのプライバシーマーク・ISMS取得企業が在宅勤務を「実施している」。

これまでに多くの企業が今回の事態への対応として、
在宅勤務の実施を発表していますが、その中にはプライバシーマークやISMS認証を
取得している会社も含まれています。

GMOインターネット(ISMS取得済み)
ヤフー(ISMS取得済み)
NEC(プライバシーマーク、ISMS取得済み)
コロプラ(ISMS取得済み)
Hamee(プライバシーマーク取得済み)
NTT東日本(ISMS取得済み)
など

これらを見ても、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないわけではないことが分かると思います。

(3)テレビ会議は意外と大変、メール/チャット/電話で回そう

ここから急に現実的な話になります。

在宅勤務というとテレビ会議をイメージされる方が多いと思うのですが、
これが意外と大変なんですよ。

いざテレビ会議を行おうとすると「ハウリングとの戦い」が始まります。
スマホで一対一の「テレビ電話」をするのはかなり簡単ですが、
業務を行うための「テレビ会議」にしようとすると大変なんですよ。

また、自宅の様子を見られたくないとか、在宅なのに着替えないといけないのか、
化粧しないといけないのかみたいな話もあります。

様々なご意見があると思いますが、私が一つだけ助言したいのは
「在宅勤務にテレビ会議は必須ではない」ということです。

むしろ、メール/チャット/電話を使いこなす方向性で考えたほうが
うまくいくと思います。これは私からの経験を踏まえたアドバイスです。

(参考リンク)
新型コロナウイルス対策としての在宅勤務ノウハウ
テレワーク専門家からの「こだわり」を捨てたアドバイス
https://jbpress.ismedia.jp/articles/-/59428

テレビ会議を劇的に円滑にする簡単なノウハウ
https://kuranuki.sonicgarden.jp/2018/03/tv-meeting.html

今の状況の中で、この情報が皆さんの参考になればと思います。

このエントリーをはてなブックマークに追加
神奈川県

皆さんこんにちは。
プライバシーザムライ中康二です。

神奈川県は、行政事務に使用していたサーバー用HDDが、データを消去されないまま外部に流出していたと昨年12月に発表し、大きな話題を呼びました。この事件はその後、リサイクル会社の社員が不正に持ち出してオークションで販売していたことが発覚し、さらに問題が拡大していきました。

その震源地となった神奈川県が、このたび再発防止策を発表しました。

神奈川県が発表した再発防止策を大まかにまとめると、下記のようになります。

(1)サーバー用HDD/SSD

 ・県職員がデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・委託業者が磁気破壊かつ物理破壊する
   ↓その後
 ・産業廃棄物として処理

(2)パソコン用HDD/SSD

 ・県職員がデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・委託業者が再びデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・リース会社に返却(再利用される)

(3)タブレット(iOS)

 ・県職員がOS標準の初期化ツールを使用して消去する
   ↓その後
 ・委託業者がOS標準の初期化ツールを使用して消去する
   ↓その後
 ・リース会社に返却(再利用される)

神奈川県庁Webサイト
https://www.pref.kanagawa.jp/docs/fz7/cnt/p0273317.html
再発防止策のPDF
https://www.pref.kanagawa.jp/docs/fz7/cnt/documents/boshisaku.pdf

(私のコメント)
HDDの廃棄対策について、皆様の職場ではどのようにされていますでしょうか?
今回の神奈川県の再発防止策には
「職員自らがデータ消去する」
「サーバー用HDDは再利用しない」

という大原則が見えます。

今後、この2つが常識となっていくのではないかと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
2019-12-03 14.26.07
(画面は某銀行から届いたメール画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日から書いている記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜
フィッシング詐欺は見ただけでは見抜けない(2)〜やはり高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、
本物かどうかを知るためにはドメインを確認するしかない
ということをお書きしました。

今回はその手前、本物そっくりの詐欺メールが送られてきた場合に、
本物かどうかを知るためにはドメインを確認するしかないという話です。

昨日、私の会社のメールアドレスに、某銀行から発信されたと思われるメールが届きました。
(トップ画像がそれです)


当社では、その某銀行とお取引があります。
いただいているメールアドレスは確かにその銀行に登録してあるアドレス
と思われます。ですから、少しは心当たりはありました。
しかし、送信者アドレスは「noreply@qemailserver.com」というものでしたし、
リンク先アドレスも某銀行とは全く関係のないドメインのURLでした。

お問い合わせ先の電話番号がありましたが、
それもその銀行の正式な番号かどうか確認できませんでしたし、
お問い合わせメールアドレスのドメインも
その銀行のWebサイトとは異なるドメインでした。

もしかすると、これは不特定多数のユーザーに無差別に送信している
詐欺メールの可能性があると不審に思いました。


※もちろんこの時点で、どうせその銀行がアンケート業者のシステムを
使ってメールを送信しているんだろうという考えはありました。
しかし、確証がもてなかったので、このメールが本物なのか、
詐欺メールなのか、最後まで確認しようと思いました。

まず、送信者メールアドレスの
qemailserver.com
を検索してみました。

なんだかいろんな会社のアンケート情報みたいなサイトがヒットしました。
でもよく分からないなと思いました。

次に、リンク先アドレスのドメインである
qualtrics.com
を検索してみました。

やはりアンケートシステムを提供している会社のようです。
しかし、個人的には見たことも聞いたこともない会社です。
もしかしたらこのサイト自体が詐欺サイトの可能性があります。

もう仕方ないと思って問い合わせ先電話番号として記載されている
03-6838-****
という電話番号を検索してみました。

よくある電話番号検索サイトの情報で、
どうやらその銀行らしいということは分かりました。
しかし、そうは言っても、公式サイトでもないし、
それだけの情報で信頼することもできないですよね。

その番号に電話しようと思ったのですが、
たとえ電話して「はい。●●銀行です」と言われたとしても、
その相手が本物かどうか確認する手段もありません。

もうこの辺りで、私はかなりイライラしています。
最後にお問い合わせメールアドレスに記載されている
******-bk.co.jp
をブラウザに打ち込んだところ、何も出てきません!!!!

なんだこりゃ!
(この銀行はなぜか複数の「co.jp」ドメインを使い分けていて、
公式Webサイトと社員用アドレスのドメインが異なっていたようです)

お手上げになった私は、いつもお取引の窓口をしていただいている
その銀行の担当者に電話して聞いてみましたところ
「私たちの知らないところでアンケート調査をしているようですよ」
とのこと。

最終的に、何も確認できず、終わってしまいました。

このまま終わっては悲しいので、最後の最後に
お問い合わせ電話番号に記載されていた番号に電話し、
お名前が記載されていた担当者の方とお話ししてみました。

まあそれでも実際のところ、本物の銀行の方なのか、
偽物の詐欺集団の方なのかは分からないのですが、
しばらくお話ししてみて、総合的に本物と判断しました。

ちなみにその方がおっしゃったことには
1万社に送付して200社程度から既に回答を受け取った
詐欺メールではないかとのお問い合わせは私が2人目である
ということでした。(あくまで参考情報として)

さてさて、
何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


送信者メールアドレスやリンク先URLが、Webサイトと同じ
******bank.co.jp
であれば、まだ少しは安心して画面を開くことができたでしょう。

qemailserver.com
qualtrics.com
というような、その銀行と関係がなく、またなじみもない
ドメインでは安心して画面を開けないのです。

ということで、やはり今後は、
送信者メールアドレスやリンク先URLには自社ドメインを使う
外部のアンケートシステムなどの利用により自社ドメインが使えない場合には、
そういうメールが届くことを事前に案内しておく
などがセキュリティ的にも今まで以上に重要になってきていると思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
23

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードリスト攻撃の被害が頻発し、脅威がますます大きくなっていますね。

世界の数多くのネットサービスからメールアドレスとパスワードの組み合わせが流出し、それが集約されて何億件ものリストになったものが、地下ネットで流通しているわけですから、それが悪用されるのも当然のことといえましょう。

パスワードリスト攻撃に関する過去の記事
パスワード使いまわしに関する過去の記事

これに対してどのように対策を取ればいいのか。

セブンPay事件で「2段階認証」という言葉が注目されるようになり、それが解決策のように思われている方も多いと思いますが、私はむしろそのもっと前の段階にある「悪習」をやめることによってパスワードリスト攻撃を撲滅することを提案したいと思います。

それは、メールアドレスをIDとして使用することをやめて、独自ID方式を採用することです。

もともと、ネットサービスでは、独自にIDを発行していました。
(例)
 ニフティサーブ ABC11102
 三菱UFJ銀行  29238371
 エバーノート  samurai_koji
というような感じです。

このように独自IDを発行して、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとしても、そうそう簡単に他のサービスに入力して試すということはできません。難易度が高く、成功率が低くなりますので、そのような攻撃は成立しえないと思います。

ところが、最近のネットサービスでは、メールアドレスをIDとして使用しているものが大半です。
(例)
 Facebook samurai@xmail.com
 Amazon  samurai@xmail.com
 日経ID   samurai@xmail.com
 リクルート samurai@xmail.com
 Hなサイト samurai@xmail.com
というような感じです。

このようにメールアドレスをIDとして使用し、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとすると、何割かの利用者は同じパスワードを使いまわししているので、簡単に他のサービスでも使えてしまうということになってしまいます。これがパスワードリスト攻撃です。

また、最後の「Hなサイト」というところに注目してください。運営者もよく分からない海外のアダルトサイトにメインのメールアドレスを登録して、しかもパスワードを使いまわすような人も実際にいるのです。そういう不用心な人がパスワードリスト攻撃の被害者とも言えます。

多くのネットサービスでは、パスワードの管理は利用者側にあると定義しており、利用者側が不注意にパスワードを扱った場合にはどんな被害を受けても運営者側は責任を持たないとしています。ですから、従来、どれだけパスワードリスト攻撃で被害が発生しても、運営者側は関知せず、利用者に対してパスワード変更を促す程度で済んできました。

しかし、パスワードリスト攻撃による被害が増え、巻き込まれる利用者が増えるにつれて、そういうわけにもいかなくなってきていると思います。ですから、運営者側でも24時間監視するとか、2段階認証を追加するなどの対策が求められるようになっており、実際にそういうことを検討されているケースも多いと思います。

パスワードリスト攻撃対策は事業者側の義務となりつつあります(ヤマト運輸の事例から)

しかし、もっと簡単な方法があるのです。それが独自ID方式の採用です。

現在のすべての利用者に一意のIDを発行し、

------------------------------------------------------------
当社のサービスでは、メールアドレスをIDとして使用することは中止します。
今後は「AJSH281716」というIDを使用してください。
------------------------------------------------------------

と利用者に周知するだけでいいのです。
これだけで、自社のサービスに対するパスワードリスト攻撃を撲滅できます。24時間監視も2段階認証も不要になります。

もちろん、「IDが分からない」という利用者からの問い合わせに対応する必要が出てくるでしょう。そのような方のために、メールアドレスを入力すればその人にIDをお知らせする「IDリマインダー機能」を用意すればいいと思います。その他にもいくつかの対応は必要となってくるでしょう。それでもパスワードリスト攻撃に真っ向から対策するよりは安上がりに済むと思います。

特に、これから新たなサービスを開発しようと考えておられる場合には、メールアドレスをIDとして利用するのではなく、独自IDを採用することを検討していただきたいと思います。今でも金融機関など堅いセキュリティが求められているサービスでは独自ID方式が採用されています。独自ID方式は全く変な方式ではなく、むしろ王道ですので、それを採用していただきたいと思います。

※なお、連番でのID発行(ABC00001、ABC00002)は、IDが類推されるので推奨いたしません。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
7payアプリ画面
(画像は7payアプリのスマホ画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

セブンイレブンが7月から始めたコード決済「7pay」が、サービス開始早々から不正に利用され、事実上のサービス停止に追い込まれている件については、メディアの報道でもご存知かと思います。

不正利用の被害者が約900名、被害金額が約5580万円とのこと。ほんの数日でこれだけの不正利用があったということは、7payというシステムにそもそも大きな問題があったと言わざるを得ません。

しかも、セブン・ペイ社が開いた記者会見において、「専門家の脆弱性診断は受けていた」というようなやり取りがあり、同社の体制にも大きな問題があったと言えると思います。

日本全体でキャッシュレスを推進するために設立された業界団体である一般社団法人キャッシュレス推進協議会では、昨年サービス開始したPayPayで不正利用が相次いだことをうけて、不正アクセスに対するガイドラインを作成していましたが、7payはこのガイドラインを満たしていなかったとのことです。

セブン・ペイ社ニュースリリース一覧
https://www.7pay.co.jp/news/

経産省のリリース
https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html

(私のコメント)
セキュリティ・バイ・デザインという言葉があります。これはシステムを開発、設計する時点において、予めセキュリティ対策を盛り込もうという考え方です。インターネットが普及し、世界中から不正アクセスが行われている現代においては、必須の考え方と言えると思います。

今回の7payの事態を見ますと、このセキュリティ・バイ・デザインの考え方が全く取り入れられていなかったということだと思います。日本を代表する優良企業であるセブンイレブンのグループ会社で、このような事態に見舞われたことは誠に残念と言わざるを得ないと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
IMG_6351
(画面は楽天コミュニケーションズから届いたSMS画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日の記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、本物かどうかを知るためにはドメインを確認するしかないということをお書きしました。

ちょうどタイムリーに関連する事象が発生しましたので、また記事にしてみたいと思います。

1週間ほど前、私のスマホに楽天コミュニケーションズから発信されたと思われるショートメッセージが届きました。(トップ画像がそれです)

私は楽天でんわのユーザーです。ですから、少しは心当たりはありました。しかし、私の妻にも同じショートメッセージが同時に届いていて、彼女は楽天でんわは使っておらず、「これ何だろう?」と質問されたので、もしかするとこれは不特定多数のユーザーに無差別に送信している詐欺メールの可能性があると不審に思いました。

それで、リンク先のURLを確認すると
ux0.jp
となっていました。なんだか楽天とは関係なさそうなドメインです。

これでますます警戒水準を上げた私は、
ux0.jp
を手打ちでブラウザに打ち込んでみました。
なんと!何も表示されません。

これはもしかしてと、さらに警戒水準を上げて、
Webでいろいろ情報を検索し、下記の記事を発見しました。

「楽天でんわサービス提供事業者変更のお知らせ」のSMSは詐欺?なぜ届いたの?について
https://sbapp.net/appnews/iphone/security/rakuten-2-98063

まあこれを読んで、なるほどと少し納得して、これは安心なんだろうと警戒を解いた次第です。
結論としては、下記のページが開くだけなのでした。

会社分割によるサービス提供会社変更のお知らせ
https://comm.rakuten.co.jp/oshirase/20190613.html

こんなこと無駄ですよね。

10万人にショートメッセージを送ったら、10万人がこんなことを気にしなければならないとすれば、そんな仕組みは誰も使わなくなっていくことでしょう。

何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


ショットメッセージに含まれるリンク先URLが、
rakuten.co.jp
であれば、受信した人はまだ安心して画面を開くことができたでしょう。
ux0.jp
というような誰も知らないドメインでは安心して画面を開けないのです。
(少なくともux0.jpで配信会社のトップ画面が出てきたら、少しは安心できたと思います)

ということで、やはり今後は、
(1)社名やブランド名と関連のある分かりやすいドメインを使う
(2)社名やブランド名と関連のある分かりやすいドメインは悪用されないために所有しておく
(3)できればドメインは短いほうがいい。
ということがセキュリティ的にも今まで以上に重要になってきている
と思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ