プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 情報セキュリティ

38

当社に送られてきた案内によりますと、三菱東京UFJ銀行では、法人向けネットバンキングサービス「BizStation」「BizStation Light」のセキュリティレベルをアップさせるため、来年3月からカード形状のワンタイムパスワード生成器を導入するとのことです。

同行では、個人向けのネットバンキングに関しては、スマホアプリ方式のワンタイムパスワードを採用して注目を集めていましたが、法人向けのネットバンキングに関しては、カード形状のワンタイムパスワード生成器を採用することにするようです。このカード形状のワンタイムパスワード生成器は、三井住友銀行、ゆうちょ銀行などの個人向けネットバンキングサービスで導入されたとの同じタイプのものになるようです。

発行手数料は無料で、来年3月上旬から7月にかけて、順次利用者に簡易書留で送付されるとのことです。順次送付する理由としては、製造量の都合としています。

(私のコメント)
新規利用者と希望者のみに配布するというのではなく、全ユーザーに配布するのはメガバンクのネットバンキングサービスとしては初めてなのではないかと思います。そのために製造量が追いつかないということのようです。

過去のワンタイムパスワードに関連する記事はこちら


000041743
(画像はIPAのWebサイトより)

国内で情報セキュリティに関する情報収集や啓発活動を実施している独立行政法人情報処理推進機構(IPA)と、独立行政法人情報処理推進機構・一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)が、パスワード使いまわしに対する撲滅に向けた呼びかけを共同で実施すると、9月17日付で発表しました。

パスワード使いまわしとは、複数のネットサービスで同じIDとパスワードの組み合わせを使用することで、これにより一か所からIDとパスワードが漏洩するとドミノ倒しのように他のネットサービスでも不正アクセスが行われるという問題です。この不正アクセスの手法は「パスワードリスト方式」と命名されており、ここ数年大きな問題となっています。

37
(画像はLINEのWebサイトより)

今年一番の不正アクセス事案といえるLINEの不正アクセスについても、パスワード使いまわしが大きな原因の一つと考えられています。

対策として、IPAとJPCERT/CCでは下記の3つを提案しています。

(1)紙のメモにパスワードを書いて保持する。
(2)パスワード付き電子ファイル(Excelなど)に保持する。
(3)パスワード管理ツールを使用する。


ぜひ、これらの情報を参考にして、今回こそパスワード使いまわしをしない習慣を身につけてください。

http://www.ipa.go.jp/about/press/20140917.html
http://www.jpcert.or.jp/pr/2014/pr140004.html

(私のコメント)
この問題は本当に長年に渡りセキュリティ界の懸案になっていました。今回、IPAとJPCERT/CCでは「紙」を一番最初の対策に持ってきました。紙にパスワードを保持することについてはいろいろな議論があります。しかし、それでもパスワードが使いまわしされるよりは有益であろうとの判断があったのだと思います。どんな人にでもできるパスワード使いまわし対策ということで、基本に戻ったのだと思います。

個人のお金やはんこをどこに隠しているのかを秘密にするのと同じように、パスワード管理の方法は、その方法を秘密にすることがひとつのセキュリティ対策になります。ですから、自分はこういう方式でパスワードを管理していますというような情報をネット上で見かけることは少ないです。

自分なりのパスワード管理方法を見つけて、実行することは、これからのネット時代を生き残る一つの知恵になります。各自の実践を求めます。

(過去の記事)
最終警告>パスワードの使いまわしはやめましょう
http://www.pmarknews.info/archives/51891461.html
しつこいようですが、パスワードの使いまわしはやめましょう。
http://www.pmarknews.info/archives/51755395.html
パスワードの使いまわしにご注意!
http://www.pmarknews.info/archives/51537988.html

news0722_01
(画面は同行Webサイトより)

三菱東京UFJ銀行は、自社で運営するオンラインバンキングサービス「三菱東京UFJダイレクト」のセキュリティ向上のために、スマホアプリ方式でのワンタイムパスワードを8月10日からサポートすると、7月22日付で発表し(て)ました。

三井住友銀行、みずほ銀行、ゆうちょ銀行がそろってカード形式やキーホルダー形式のワンタイムパスワード生成器を採用する中で、三菱東京UFJ銀行はスマホアプリ方式を採用することにしたようです。

http://www.bk.mufg.jp/news/news2014/news0722.html
http://direct.bk.mufg.jp/secure/otpapp.html?link_id=p_top_visual_otpapp

(私のコメント)
ちょっと気づくのが遅れてしまいました。すみません。カード形式やキーホルダー形式のワンタイムパスワード生成器は便利なのですが、持ち歩くことを考えると財布がパンパンになるデメリットがありますので、今回のスマホアプリ方式は支持したいと思います。Web画面からの申し込みが必要で、自宅に何かの情報が送られてくるそうです。自分でも試してみますね。

27
(画面はIPAのWebサイトより)

情報セキュリティに関する情報を収集し、啓発活動などを行っている独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンターが、8月の呼びかけとして「法人向けインターネットバンキングの不正送金対策」に対する注意喚起を行っています。特に電子証明書を盗み出すウイルスが蔓延しているとのことですので、本Blogでも注意喚起したいと思います。

IPAによると、インターネットバンキングの不正送金被害は以前より増加傾向にあるものの、特に今年に入ってから法人口座の不正送金被害が急増しているとのことです。ここで多く見られている手法が「電子証明書を盗み出して使用する」というものだそうです。

金融機関の法人口座向けネットバンキングでは、多くの場合で認証に電子証明書を使用することで端末を限定し、個人口座向けよりも一段高いセキュリティを実現しています。しかし、この電子証明書を盗み出すウイルスが蔓延しており、IDパスワード情報と電子証明書をセットで盗み出して不正送金を行うケースが起こっているというのです。

今回の対策としては、下記の様な事項が考えられます。

(1)一般的なウイルス対策をしっかりと行うこと。
(2)電子証明書のエクスポート設定を「不可」にしておくこと。
(3)不自然なタイミングでの電子証明書の再発行に注意すること。
(4)ネットバンキング専用のパソコンを設定し、他の用途に使用しないようにする。
(5)取引履歴画面を見る、取引通知メールを利用するなどの方法で不審な利用がないことをチェックする。

http://www.ipa.go.jp/security/txt/2014/08outline.html

(私のコメント)
法人口座は個人口座よりも多額の残高が残されている場合が多いと思われますし、万が一被害にあった場合の影響範囲も爆発的に大きなものになることが考えられます。最悪の場合には資金ショートや会社倒産というような事態も考えられないわけではありません。法人向けネットバンキングを利用されている方は、上記の項目を再確認していただければと思います。




0729_img2
(画面はトッパン・フォームズ社サイトより)

トッパン・フォームズ株式会社(東京都港区)は、7月29日付で、ICチップを内蔵した自動車運転免許証とスマートフォンを活用して本人確認を行うシステムを開発したと発表しました。

IC運転免許証については、2007年から一部の都県で導入が始まり、2010年に全国での導入が完了しています。それから4年間が経過していますので、すでにほぼ全国で有効な自動車運転免許証はすべてIC化されていると考えて良いと思います。しかしながら、民間での活用はこれまでほとんど行われていませんでした。

IC運転免許証の仕組みは意外とシンプルです。免許証発行時に4桁の暗証番号を2つ登録し、それがICカードの中に個人情報と一緒に埋め込まれています。そして、NFC対応の非接触カードリーダーにかざして、4桁の暗証番号を2つ正確に入れれば、ICカードの中に保存された個人情報(氏名、住所、生年月日、本籍、顔写真、免許証番号などの情報)を抜き出せるようになっています。

ですから、IC運転免許証を使用した本人確認といっても、各都道府県の公安委員会のデータベースにアクセスする必要はなく、単純にカードの内容を読みだして使用するだけとなります。

今回のトッパン・フォームズの開発した仕組みでは、
(1)予め本人に名前や住所などを入力させたあとに、
(2)NFC対応スマホでIC運転免許証を読み取り、
その2つの情報をサーバー上で比較して正しければOKとする仕組みだそうです。

トッパン・フォームズ社プレスリリース
http://www.toppan-f.co.jp/news/2014/0729.html
IC運転免許証の仕様
http://www.npa.go.jp/pdc/notification/koutuu/menkyo/menkyo20110328.pdf

(私のコメント)
おそらく、IC運転免許証を民間で活用した初めての事例ではないかと思いましたのでご紹介いたしました。より以前の活用例をご存知の方がおられましたら教えて下さい。

なお、このシステムを使用してICカードの内容を取得する行為は、公安委員会が事業者に対して個人情報を第三者提供しているわけではありません。本人が免許証のコピーを郵送するのと同じように、個人情報保護法的には本人が自ら情報を開示しているものと整理できます。ですから、そのことを本人がしっかり理解できるようなシステムづくりが必要だと思います。

また、本籍情報は、JIS Q 15001では特定の機微な情報とされていますし、一般社会通念的にも必要な場合以外には取得しないものとなってきています。このシステムを使用する場合に「必要な場合以外には本籍情報は取得しない」「本籍情報を取得する場合にはしっかり本人に告知して同意を取る」ことを徹底していただきたいと思います。

(追記)
すみません。IC運転免許証の情報を活用するという意味では、他社でも先行事例がありました。
NTTデータ
http://www.nttdata.com/jp/ja/news/release/2010/092700.html
大日本印刷
http://www.dnp.co.jp/news/1215925_2482.html
追記いたします。

000038506
独立行政法人情報処理推進機構(IPA)が「セキュリティ・キャンプ全国大会2014」の参加申し込みの受付を開始しました。22歳以下の学生・生徒が参加条件です。未来のハッカーを目指すお子様には、とても有意義なチャンスになりますので、オススメします。

「セキュリティ・キャンプ全国大会2014」開催概要

開催期間 2014年8月12日(火)〜16日(土) 4泊5日
開催場所 クロス・ウェーブ幕張
   (千葉県千葉市美浜区中瀬1-3 幕張テクノガーデンA棟)
参加資格 日本国内に居住する、22歳以下の学生・生徒(2015年3月31日時点の年齢)
参加費用 無料(自宅と会場間の交通費、宿泊費(1名1室)、食事代(3食)、講義代、テキスト代、機器/施設使用料など)
募集人数 約40名
主催 セキュリティ・キャンプ実施協議会/IPA(独立行政法人情報処理推進機構)
共催 経済産業省

http://www.ipa.go.jp/jinzai/camp/2014/zenkoku2014.html

(私のコメント)
これは全ての費用が税金で賄われる完全無料のイベントです。しかし、ただの公共事業ではありません。セキュリティ業界の熱い方々がサポートしている熱いイベントです。セキュリティ業界で将来活躍してくれる若者を発掘し、集中的に教育し、相互の懇親も深めてもらって、切磋琢磨しあう関係を構築することが目的です。厳しい選考があり、誰でも参加できるわけではありませんが、一つのチャンスだと思って応募することをオススメします。





2014-05-015
スマートフォン&モバイルEXPOのソニーデジタルネットワークアプリケーションズ社ブースでは、LINEのようなUIを持ちながら、自社専用のクローズドなネットワークを構築できるアプリ「プレミアムコール」を展示しています。

これはLINEと似たようなUIを実装したアプリで、社員に限定して使用できるようにすることもできますし、有料サービス化して限定された会員だけに限定して使用できるようにすることもできるものです。

開発費160万円から、月額利用料30万円からだそうです。

対象OS:Android、iOS

http://www.sonydna.com/sdna/solution/premiumcall.html

(私のコメント)
大企業向けの価格設定となっていますが、「社員専用LINE」の様な位置づけで活用するのは面白いのではないかと思います。




10
Web&モバイルマーケティングEXPOのNTTアイティ社ブースでは、Twitterなどでの自社の評判を解析し、キャッチすることができる解析サービス「評BAN」というシステムを展示しています。

これは、Twitterや掲示板などを自動的に巡回し、指定したキーワードに対する反応の数やその内容を30分単位で知ることができるというサービスです。

ネット時代の企業にとって、自社の評判は良いものであっても悪いものであっても即座に検知して必要な対応を行うことが重要な経営課題です。このシステムは、多くの企業にとって重要なツールになると思います。

http://www.hyohban.jp/

(私のコメント)
15日間無料トライアルができるようです。興味のある方はお試ししてみてもいいのではないかと思います。オススメします。




02
情報セキュリティEXPOのesetブースでは、ウイルス対策ソフト「eset」の1年間利用権を無料で大々的に配布しています。名刺もメールアドレスも不要で、単に一人一枚配布していますので、ウイルス対策ソフトをお探しの方にはオススメします。

対象OS:Windows、OSX(Mac)、Linux、Android

46
なお、ブースの方のご説明によると、esetとしては設計思想の違いからくる動作の軽さを特徴として打ち出して入るものの、実際に使用してもらうまではなかなかそのよさを理解してもらえず、実際には他社のブランド力に負けてしまっている現状を打破するために、今回も無料配布を行っているそうです。

http://canon-its.jp/product/eset/private/personal/index.html

(私のコメント)
とにかく、ブースの前まで行けば、タダで貰えますので、今すぐesetブースまで行きましょう。そして評価してみてください。


18
情報セキュリティEXPOに出展しているIPA(独立行政法人 情報処理推進機構)は、昨年に引き続き今年も大量の情報セキュリティに関する小冊子や教育用DVDの無償配布を実施しています。

この光景もおなじみのものになっていますが、まあ税金で作ったセキュリティ教育の資料を配布しています。しかも通常はPDF形式でダウンロード提供されているものが小冊子の形で入手できたり、ストリーム配信しかしていない動画がDVDの形で入手できるなど、メリットは大きいです。皆様の社内研修などでご活用いただけるものですので、是非入手して、使えるものは使うことをオススメします。

http://www.ipa.go.jp/

00
情報セキュリティEXPOに出展しているエムオーテックス社は、同社の主軸製品であるPC利用ログ取得ソリューション「LanScope Cat」の大幅バージョンアップ版である「Ver.8.0」を発表し、ブースで展示・説明をしています。

今回のバージョンアップの一番の特徴は、UIを全面的に見なおしたことだそうです。長い間かけて改良を続けてきたこの製品ですが、いろんな機能を盛り込むに連れてUIが複雑になっていたものを、今回は一から見なおして再構成したとのことです。

39
実際に画面を見ていただくと、画面上部に「資産」「ログ」「配布」「電源」「リモート」などとアイコンが整然と並んでいて、機能別に分かりやすく構成されているのが分かりました。

また、もう一つの大きな改善点としては、クラウドサービス上に管理サーバーを置けるようにしたことだそうです。これにより、社内に管理のための専用サーバーを立てるのではなく、クラウド上にサーバーを構築することで、外出時の利用ログもタイムラグなく収集できるために、メリットは多そうです。

http://www.motex.co.jp/sp/catver8/index.html

(私のコメント)
PC資産管理、ログ取得ツールの王者の座を確実にしているLanScope Cat。今回のバージョンアップでその座をさらに確実にした印象を受けました。





image
クラウドコンピューティングEXPO会場のデータセキュリティコンソーシアムブースに出展している落し物ドットコムは、昨年に引き続き今年も「リターンタグ」(通常価格1280円)の無償配布を実施しています。

リターンタグは、スマホやノートパソコンなどに貼付しておくことで、万が一の紛失時に戻ってくる確率を高めるという製品で、企業にとって頭の痛い紛失対策ソリューションです。

この実際に登録して一年間利用できる製品そのものを無料で配布するという太っ腹企画です。

数に限りがありますので、お早めにブースに来られることをオススメします。

なお、同社では第二弾の紛失対策ソリューション「tag」を準備中だそうです。これは、bluetoothを利用したハードウェア製品で、万が一の紛失の場合でも、より強力に見つかる確率を高めるもののようです。こちらも合わせてご覧ください。



↑このページのトップヘ