プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 情報セキュリティ

pr1214_obj_02
(出典:トレンドマイクロ社調査)

トレンドマイクロ株式会社(東京都渋谷区)が12月14日に発表した「Webサイトのパスワード利用実態調査」の結果によりますと、Webサイトを利用する際のパスワードについて約7割の人が「3種類以下のパスワードを使い回し」していることが分かりました。

パスワードの使い回しは大変危険な行為です。

たとえば、複数のオンラインショッピングサイトで同じパスワードを使用している場合、一つのオンラインショッピングサイトの社員が悪意を持ってあなたのパスワードを使用すると、他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

たとえば、一つのオンラインショッピングサイトでパスワードの流出事件が発生すると、その情報を使用して他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

このように、パスワードの使い回しは、相手の良心にゆだねているだけと言えるのです。
これをお読みの皆様、今すぐにパスワードの使い回しはやめていただきたいと思います。

http://jp.trendmicro.com/jp/about/news/pr/article/20121213002352.html

ちなみに「じゃあどうすればいいのか」とお嘆きの方は、下記の記事をお読みください。

http://jbpress.ismedia.jp/articles/-/34537(JB PRESSの記事)


jp_security-01
情報セキュリティの専門会社であるマカフィー株式会社は、11月26日付で、同社が開設しているBlogにおいて「ウイルス感染から身を守るための『セキュリティ対策五箇条』」と題した文書を発表しました。

パソコン、インターネット、モバイル、ブロードバンド、クラウドと社会全体の情報化が進む中、情報セキュリティの重要性は強調しても強調しすぎることはありません。今回のマカフィーの五箇条は本当に全員に知っておいてほしいことがまとめられているので、ここでもご紹介したいと思います。


  • 一.OSやソフトウェアは常に最新パッチを適用すべし!
    (Windowsアップデートや主要ソフトのアップデートを定期的に行うこと)

  • 一.ウイルス対策ソフトを導入しただけで安心するべからず!
    (定義ファイルの自動更新、リアルタイムスキャン、ファイアウォールを使用すること)

  • 一.身に覚えのないメールは開くべからず!
    (ウイルスに感染する危険性があります)

  • 一.怪しいWEBサイトは閲覧するべからず!
    (ウイルス感染や、情報詐取の危険性があります)

  • 一.拾い食いはするべからず!
    (USBメモリを拾っても、自分のパソコンには刺さないように)



是非、ご一読下さい。

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1343

20121113

総務省は、11月2日付で、「一般利用者が安心して無線LANを利用するために」と題した文書を発表しました。

これは、無線LAN(WiFi)の利用が広く普及する中でのセキュリティ上の問題について、一般のユーザーにも知っておいて欲しいことをわかりやすくまとめた文書です。

この文書の中で、「3つの約束」という大原則が示されています。

(1)無線LANを利用するときには、大事な情報はSSLでやり取り
(2)無線LANを公共の場で利用するときは、ファイル共有機能を解除
(3)自分でアクセスポイントを設置する場合には、適切な暗号化方式を設定

是非、ご一読下さい。

http://www.soumu.go.jp/main_content/000183224.pdf

(私のコメント)
大変、時宜を得た文書だと思います。
皆さんにも参考にしていただけると思います。

画像1


情報セキュリティEXPOのアールキューブ社ブースでは、パソコンを無償で回収してくれる「パソコン回収.com」を宣伝しています。

これは、パソコンや液晶ディスプレイなどの製品を無償で引き取ってくれるサービスだそうです。法人でも個人でもOKで、一台から対応してくれるとのこと。

気になるデータ消去に関しては、事前に無償でデータ消去ソフトがダウンロードできるので、自分で消去することができるそうです。

「クラウド型データ消去0円」のキャッチフレーズに惹かれてしまいましたが、よく聞くと上記のようなサービスだとのことです。

パソコンの処分に頭がいたい方は相談してみてはいかがでしょうか?

http://www.pc-kaishu.com

画像1


情報セキュリティEXPOのマクニカネットワークス株式会社のブースでは、標的型攻撃対策ソリューション「FireEye」を展示しています。

近年、国内の著名企業や官公庁に対する標的型攻撃が相次いで発生していますが、「これで安心」と言えるような完全な対策はなく、セキュリティ業界でも閉塞感が漂う中で、この製品は「標的型攻撃対策ソリューション」として打ち出されている珍しい製品です。

この製品の特徴は、専用機器の内部に32個の仮想クライアント(各バージョンのWindows・各種のブラウザの各バージョンなどを一通り揃えられるそうです)を備え、怪しいと思われる通信内容があった場合には実際にその仮想クライアントの中で動作させてみて異常がないかどうか自動的に確認できるそうです。

そして、異常が検知された場合には、管理者に警告が出るのは当然のこととして、全世界のFireEyeで見つかった脅威の情報が一箇所に集められ、それが全世界のFireEyeで共有されるようになっているそうです。

この製品は一声1000万円を超えるような高額の商品ですが、国内でも超大手企業や、官公庁を中心に、導入が進んでいるそうです。

もちろん、標的型攻撃は常に新たな方式が取り入れられ、進化していくのが特徴ですから、このシステムを入れれば安心とは言えません。それでも、藁をもすがるような思いで著名企業や官公庁での導入が進んでいるのではないかと思います。

http://www.macnica.net/fireeye/

画像1


情報セキュリティEXPOのエムオーテックス株式会社ブースでは、9月に発売されたスマホ用ログ取得アプリ「LanScope An」をデモ展示しています。

これは、企業が業務用に配布しているスマホの利用ログを収集できるもので、現状ではAndroidにのみ対応しています。(iPhoneにも対応予定あり)

「禁止より抑止」という考えで作られているランスコープらしく、スマホの利用ログをかなり細かく収集して活用できるように工夫されています。また、このシステムはマイクロソフトのクラウドサービスであるWindows Azureを利用しており、サーバーは自前で用意する必要がありませんので、すぐに導入できるようです。

特に面白かったのは「移動履歴」機能でした。社員がどの時間に、どこに行っていたのかが、一目で分かるようになっています。上の画像はそのイメージです。新幹線で移動するとこんな風に見えるようです。

導入コストは、1台あたり初年度8,000円、2年目以降年間1,200円とのことで、サーバー利用料込みの価格としてはかなりリーズナブルな設定となっています。

スマホについては、ウイルス対策や、リモート消去などのシステムが多く提案されていますが、ログ取得も検討してよいのではないかと思います。

http://www.motex.co.jp/an

*エムオーテックス株式会社は、京セラコミュニケーションシステム株式会社が全ての株式を取得し、11月5日(予定)より同社の100%子会社になることを10月17日付で発表しました。これに伴い、創業者である代表取締役会長の高木哲男氏、ならびに取締役の高木秀人氏は退陣するとのことで、今回が高木体制としての最後の情報セキュリティEXPO出展になります。

http://www.motex.co.jp/topics12/topics12015.html

この度、弊社(オプティマ・ソリューションズ株式会社)で、シュレッダーより割安で安心な機密紙廃棄ボックスの取り扱いを開始いたしましたので、ご紹介いたします。

IMG_4425


これは、株式会社アワーズ(東京都中央区)が運営しているサービスで、既に首都圏で10年近い実績を持っています。この郵便ポストのような形状の廃棄ボックスをオフィスに配置し、個人情報や機密情報を含む紙は、この中に入れさせるようにすることで、安全に廃棄できます。この廃棄ボックスは毎月1回、アワーズの担当者が専用車両で回収し、新しい廃棄ボックスと取り替えてくれます。回収された廃棄ボックスは、アワーズの自社処理場で特殊大型シュレッダーで破砕・圧縮加工され、判読できないように処理された後、製紙工場でリサイクルされます。御社には後日、廃棄証明書が郵送されてきます。

この廃棄ボックスには、シュレッダーと比較して下記の3つのメリットがあります。

費用面でのメリット>シュレッダーと違って初期投資がいらず、すべて費用として処理できます。また、メンテナンスフリーなので、刃の研磨などに高額の費用が発生しません!
工数面でのメリット>機密紙を放り込むだけなので、シュレッダーのように社員の工数を取らず、労働時間(=人件費)が節約できます!
環境面でのメリット>廃棄紙を紙資源としてリサイクルしますので、環境にやさしい!(実はシュレッダーで裁断した紙はリサイクルできないのです)


IMG_4433
こういう風にバサッと機密紙を放り込むだけです。

このサービスは、専用車両での回収のため、提供地域が限定されています。現在、利用可能な地域は、

東京都 中央区、千代田区、港区、渋谷区、新宿区、中野区、豊島区、文京区、江東区、墨田区、江戸川区
千葉県 市川市、船橋市、千葉市美浜区(幕張エリア)
神奈川県 横浜駅周辺

となっております。

費用は、一台あたり一ヶ月5000円(税別)です。20名様くらいまでのオフィスでしたら一台で大丈夫です。もっと社員数の多い会社は部署ごとに配置することになります。それ以外に費用は一切発生しません。初期投資もメンテナンス料も発生しません。

今なら、一ヶ月間無料トライアルを実施中です。一切費用を発生させることなく、この機密紙廃棄ボックスを実際に使用し、実際に回収してもらい、実際に廃棄証明書を受け取ることができます。是非下記までご連絡下さい。

http://www.optima-solutions.jp/inquiry/index.html
(コメント欄に「機密紙廃棄ボックス・トライアル希望」とご入力下さい)


これ以降、実際の使い勝手が分かる写真を沢山アップしておきます。続きを読む

passcode-1701
セキュリティ専門会社のソフォス社の情報によりますと、iPhoneのロックを解除する数字4ケタのパスワードの多くが、下記のような一定のパターンのものであると判明したそうです。

第1位)1234
第2位)0000
第3位)2580
第4位)1111
第5位)5555
第6位)5683
第7位)0852
第8位)2222
第9位)1212
第10位)1998

「1234」や「0000」はともかく、第3位の「2580」は何なのか?それは上記のロック解除画面の数字の並びを見ていただくとお分かりいただけると思います。

では、第6位の「5683」は何なのか?これは英語圏の人が数字キーを使って文字入力する際に「LOVE」と入力するための配列と同じだから多いのではないかと推測されています。

これは単にiPhoneに関する情報と捉えるべきではなく、数字4ケタのパスワードについては、似たような状況が存在しているととらえた方がいいと思います。

キーの配列から作り出した暗証番号は、自分だけだろうと思っても、実はみんな考えることが似通っている場合もあります。皆様再確認していただければと思います。

※補足
金融機関では「1234」とか「0000」などを暗証番号として登録できなくなっていると思いますし、複数回エラーを繰り返すとカード没収になります。そういう方式で安全を担保しています。

http://www.sophos.co.jp/pressoffice/news/articles/2011/06/top10-passcodes-iphone.html

spam_mail
いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

どこからともなく送られてくる迷惑メール。泣き寝入りするしかないとあきらめなくてもいい方法がありますので、皆様にお知らせします。

それは、国に報告するのです。

実は迷惑メールは、下記の二つの法律で規制されています。

・特定電子メール法(総務省管轄)
・特定商取引法(経済産業省管轄)

適用対象が微妙に異なるのですが、この2つの省庁は別々に迷惑メール対策を行っているようです。

総務省は、「特定電子メール等送信適正化業務」をおこなう機関の登録を受け付けており、プライバシーマークの指定機関でもある(財)日本データ通信協会がこれに登録していて「迷惑メール相談センター」というセンターが開設されています。(費用は国からは出ていないようです)

経済産業省は、(財)日本産業協会に迷惑メール対策を委託していて、それにもとづいて「電子商取引モニタリングセンター」が迷惑メールの情報を集めています。

ま、というわけで、この2つのどちらか、または両方に報告すれば、それが集計されて悪質なものから取り締まられるという仕組みになっているのです。

(財)日本データ通信協会「迷惑メール相談センター」
http://www.dekyo.or.jp/soudan/ihan/

(財)日本産業協会「電子商取引モニタリングセンター」
http://www.nissankyo.or.jp/mail/index/index.html

いずれも、報告は簡単です。届いた迷惑メールを特定のメールアドレスに転送するだけです。悪質なものから、「特定電子メール法」「特定商取引法」の規定に基づいて、行政処分が行われますので、一定の効果があるかと思います。(ただし、行政処分の対象は国内事業者に限られますので、海外からの英語のSPAMメールへの対抗は難しいと思います)

ご参考まで。

※2つの法律の関係については、下記URLをご参照ください。
http://www.pmarknews.info/archives/51314546.html


また、何か情報が入りましたら、皆様にシェアいたしますね。

日経BP社のWebサイト「IT Pro」の2月25日付記事「『パスワードは90日ごとの変更』が義務づけられる!?」によりますと、米国では有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準「PCIDSS(PCIデータセキュリティ規準)」が、広がりを見せているとのことです。続きを読む

1月10日付日経新聞朝刊によると、ヤマト運輸は携帯電話で認証する書類搬送箱の貸し出しサービスを4月からはじめるそうです。続きを読む

↑このページのトップヘ