カテゴリ: 情報セキュリティ
「Security Days Spring 2019」へのご来場ありがとうございました!
プライバシーザムライ中 康二です。
皆さんは「Security Days」というイベントをご存知でしょうか?
このイベントは、情報セキュリティ業界各社によるセッション(講演)が中心になっており、来場者は最新の情報を聴くことができる上に、各社がブースも出展しているので、担当者から直接話を聞いたり、デモを見ることもできるという構成です。毎年、春と秋に東京、大阪、名古屋などで開催されていますが、開催の度に来場者が増加していっています。
当社も昨年春から参加を開始し、少しずつ参加規模を大きくしてきました。
今回、3月に東京と大阪で開催されました「Security Days Spring 2019」では、東京と大阪でブース出展とセッション登壇を行った次第です。
セッションは、下記の通り「本気のISMS」のメッセージを中心に据えたものでした。
なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
プライバシーザムライ 中 康二
(オプティマ・ソリューションズ(株)代表取締役)
ありがたいことに、東京、大阪とも満員御礼となりました。
プライバシーザムライ、がんばりました!
(セッションの動画は、Youtubeで後日公開いたします)
セッション終了後、ブースで質疑応答など。
ブースでは弊社社員が終日アテンドさせていただきました。
今回はサムライチョコも用意したんですよ!
当社も情報セキュリティ業界の一員として参加しました。
お越しいただいた皆様、ご来場ありがとうございました。
次回秋も東京、大阪に参加する予定です。
また会場でお会いしましょう!
【今週いっぱい開催】Security Days Spring 2019 Tokyo会場でお会いしましょう!
(写真は大阪開催時のセッションです)
皆さんこんにちは。
プライバシーザムライ中 康二です。
今週いっぱい、3月6日(水)から8日(金)まで、東京駅前のJPタワー(KITTE)で「Security Days Spring 2019 Tokyo」が開催されます。当社(オプティマ・ソリューションズ)では、今回もブース出展とセッション登壇を行います。
ブース番号は「18」。セッションは下記となります。
3月7日 12:25〜13:05 ルームE(セッション番号E2-05)
なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
プライバシーザムライ 中 康二
(オプティマ・ソリューションズ(株)代表取締役)
※セッションはすでに満員となっていますが、関係者席にご招待しますので、出席されたい方は下記のご来場予約画面URLから当社にご連絡ください。
三日間の会期中、会場に説明員を配置し、情報セキュリティのための体制づくり、ISMS、プライバシーマークなどに関して、気軽にご相談いただけるように対応いたします。ぜひ事前予約のうえ、お越しください。
「Security Days Spring 2019 Tokyo」参加登録(登録無料)
当社ブースへのご来場予約画面URL
https://www.optima-solutions.co.jp/event
(私のコメント)
私も三日間、会場にいる予定です。ぜひ会場でお会いしたいと思いますが、会期中、結構ウロウロしますので、できるだけ上記で来場時間をお知らせください。どうぞお気軽に!
「SecurityDays Fall 2018」会場でお会いしましょう!
プライバシーザムライことオプティマ・ソリューションズの中です。
明日10月3日(水)から5日(金)まで、東京駅前のJPタワー(KITTE)で「Security Days Fall 2018」が開催されます。当社(オプティマ・ソリューションズ)では、前回に引き続きブース出展を行い、また今回はセッションへの登壇も行います。
10月4日 13:20〜14:00 ルームD(セッション番号D2-06)
なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
オプティマ・ソリューションズ(株)
代表取締役 中 康二(プライバシーザムライ)
※セッションはすでに満員となっていますが、出席されたい方は下記のご来場予約画面URLから当社にご連絡ください。
三日間の会期中、会場に説明員を配置し、情報セキュリティのための体制づくり、ISMS、プライバシーマークなどに関して、気軽にご相談いただけるように対応いたします。ぜひ事前予約のうえ、お越しください。
「Security Days Fall 2018」参加登録
https://www.f2ff.jp/secd/2018/fall/ (登録無料)
当社ブースへのご来場予約画面URL
https://www.optima-solutions.co.jp/event
(私のコメント)
私も三日間、会場にいる予定です。ぜひ会場でお会いしたいと思いますが、会期中、結構ウロウロしますので、できるだけ上記で来場時間をお知らせください。どうぞお気軽に!
カスペルスキー氏Interop講演「米国政府から叩かれているのは、米国のやっていることを検知してしまうから」
皆さんこんにちは。プライバシーザムライこと、オプティマ・ソリューションズの中です。
6月15日に幕張メッセで開催された展示会「Interop(インターロップ)」で、ロシアのカスペルスキー社を率いるユージン・カスペルスキー氏が世界の情報セキュリティに関する最新情報を講演しました。以下に要約をまとめます。
------------------------------------------------------------
私がウイルス対策ソフトを作り出した1997年同時、一日のマルウェアの数は約40個だった。
今は36万個、年間1億を超えている。これらを自動処理することで対応できている。
------------------------------------------------------------
一方で、通常のウイルス対策ソフトではカバーしきれない、
もっと高度な攻撃が増えている(いわゆる標的型攻撃のことを指していると思います)。
2010年に発覚したスタックスネット以降、複雑で専門性の高い攻撃が続いている。
世界中に100以上のグループがあり、これらの組織的な攻撃を行っている。
大半は国家主体のスパイ組織
一部は営利目的の犯罪グループ
これらはウイルスに含まれる言語や、主に活動している時間帯を調べることである程度分かる。
多いのは米国/英国/ロシア/中国だ。
日本を本拠とする攻撃グループは、まったく存在していないと思われる。
攻撃は沢山受けているが、攻撃を仕掛けているグループはゼロ。
本当に例外的な国だ。
------------------------------------------------------------
私たちの会社に対して、悪い報道があった(カスペルスキー社のソフトが
ロシア政府のスパイに利用されているとして、米国政府が政府機関からの
締め出しを命じたなどのことを指しているようです)。
それは、我々だけが米国の攻撃を検知しているからだ。
他社は米国のマルウェア検知を苦手としているようだ。
我々は言語に関係なく検知しているだけだ。
考えを変えるつもりはない。
------------------------------------------------------------
今や、サイバー攻撃が世界経済に与える影響は
年間6000億ドル(約60兆円)に上る。
これは国際宇宙ステーション4つ分だ。
Carbanakという不正ソフトを使った銀行へのハッキングにおいては、
まず行員のパソコンを乗っ取って諜報活動を行い
次に管理者のパソコンを乗っ取って
ATMからどんどん現金を出させた
合計で10億ドル盗み出したと言われている。
バングラディシュ中央銀行へのハッキングもあった。
NY連銀に送金を指示し、8100万ドルの送金に成功した。
9億ドル弱は、ほんのわずかなスペルミスで送金に失敗
(正:Foundation→誤:Fandation)。
もし全額が盗まれていたとしたら、
貧しいバングラデシュという国家破綻の可能性もあったかもしれない。
Cutlet Makerという不正ソフトを使った銀行ATMに対する攻撃。
この不正ソフトは、ビットコイン5000ドル分で販売されており、
トレーニングビデオがあり、攻撃手法を学べるようになっている。
実行した人は捕まっているが、ソフトの販売者は捕まっていない。
------------------------------------------------------------
遂にIOTの時代がやってきた。
火災報知器も、監視カメラも、空調も、ドアロックも、
以前は電気デバイスだったが、今はサイバーになっている。
自動車のサイドブレーキも今やサイバー。
飛行機もコンピュータが操縦している。
人間とコンピュータを比較すると、人間の方がミスが多い。
しかしコンピュータには脆弱性がある。
SCADA(産業制御システム)に対する攻撃が発生している。
石炭の重さを図るコンピュータを乗っ取って数字をわずかに改ざんし、
石炭を盗み出した。
全ての国家はもっとサイバーセキュリティのために教育を行わなければならない。
日本も子供の時からコンピュータサイエンスを教えるべきです。
大学でのサイバーセキュリティ教育にお金を配分するべきです。
------------------------------------------------------------
IOTセキュリティのために、組込機器用OSの「Kaspersky OS」を
ご提供します。どうぞご活用ください。
------------------------------------------------------------
(私のコメント)
カスペルスキー氏の講演は久しぶりにお聞きしましたが、相変わらずかっこよかったです。特に米国政府からの攻撃に対する反論の部分は、さらっとしていて、悪ぶるところもなく、聞くものに信頼感を与えるものでした。下記の参考記事に記載されていますが、同社としてはスイスに開発拠点を移すことで、技術的な透明性を高め、米国とロシアの対立に巻き込まれることを防ぐ考えのようです。
(参考記事)
スパイ疑惑は“フェイクニュース”、カスペルスキー氏が米英の締め出しに反論
https://www.bcnretail.com/market/detail/20180612_63970.html
(関連記事)
カスペルスキーの信頼性が揺らいでいるようです。
http://www.pmarknews.info/Information_security/52059357.html
また、新しい情報が入りましたら、シェアしますね。
シンガポールが街灯11万本に顔認証システムを導入する計画を進めているそうです。
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。
シンガポールは、市内に11万本ある街灯に全て監視カメラを装備する計画を進めるとしていて、当然のことながらこの監視カメラには顔認識機能が含まれるのだそうです。
すでに中国ではこの手のシステムが大量に導入されており、治安維持などに使われているそうですが、シンガポールもそのあとを追うということのようです。
英国も監視カメラ大国と言われています。日本でも同様のシステムが導入される可能性がないとは言えません(自動車については、Nシステムで幹線道路の通行車両が記録されています)。
ネット技術を活用して、世界が監視社会になっていくことは止められない流れのようです。社会全体としてはこの動きをどのようにコントロールするか、個人としてはこれらのシステムを前提としてどのように対処するかが課題となるかなと思います。
https://www.gizmodo.jp/2018/04/singapore-face-recognition-cameras.html
また、新しい情報が入りましたら、皆さんにシェアしますね。
Pマークの審査基準で「パスワードの定期的な変更」は廃止へ〜JIPDECが素早い対応〜
(画像はJIPDECのWebサイトより)
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。
先日、「パスワードの定期的な変更」は廃止へ〜情報セキュリティの常識が変わる〜という記事を掲載しました。
米国NISTのガイドライン見直しを受けて、日本のNISCや総務省も正式に方針を転換し、長らく続いてきた「パスワードの定期的変更は必要なのか」という議論に終止符が打たれたという内容でした。
この流れを受けて、プライバシーマークの審査基準にも早速見直しが入りました。
プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月10日付で、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」を改訂すると発表しました。
従来、「望ましい手法の例示」に含まれていた「パスワードの有効期限を設定している」という項目を削除しました。
(改訂前)※赤枠内は削除された項目
(改訂後)※赤枠内は追加された項目
https://privacymark.jp/news/system/2018/0410.html
(私のコメント)
JIPDECの素早い動きは評価できるものと思います。次は2017年版JISに対応したガイドライン第3版がどうなるのかです。情報セキュリティの常識はどんどん変わっていきますから、安全管理の内容がどの程度アップデートされるか、注目したいです。
また、何か情報が入りましたら、皆様にシェアいたしますね。
今さらですが、コインチェック事件の原因も標的型攻撃だったようですね
(画像はLogmiより)
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。
580億円相当の仮想通貨が盗難されて大きな問題となっているコインチェック事件。一通りの事実について確認されていますが、今回の事件も原因は標的型攻撃だったようですね。
3月8日に行われた記者会見の内容が「Logmi」というサービスで全て文字になって掲載されていますので、詳しく参照できますが、下記の内容が確認できました。
・外部の攻撃者が、コインチェックの社員の何名かにウイルスを仕込んだメールを送信した。
・そのメールは、コインチェック社に宛てられた内容のものだった。
・複数の社員がそのメールを開いたために、複数のパソコンがウイルスに感染した。
・攻撃者は、感染したパソコンを利用して社内に侵入できるようになった。
・攻撃者は、コインチェック社内の仮想通貨の置かれていたサーバーから秘密鍵を摂取し、それを使って大量の仮想通貨を自分のアカウントに不正送金させた。
大胆なやり口とは言えると思いますが、まったく典型的な標的型攻撃です。
年金機構事件や、JTB事件と、大まかな流れは同じです。ただし、これまでのターゲットは、個人情報、機密情報でした。金銭的価値そのものではありませんでした。
仮想通貨では、データそのものが金銭的価値を持つことになります。今回の事件でもほんのわずかなデータ量が盗み出されただけで、とてつもない大きさの価値が盗み出されたことは注目に値すると思います。
https://logmi.jp/272784
また、何か情報が入りましたら、皆様にシェアいたしますね。
「パスワードの定期的な変更」は廃止へ〜情報セキュリティの常識が変わる〜
(画像はネットワークビギナーのための情報セキュリティハンドブックより)
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。
電子機器やネットワークサービスなどの認証に使用されるパスワードについて、「定期的な変更」を行うのが情報セキュリティの常識とされてきました。国内でもメガバンクなどのオンラインバンキングでは一定期間が経過すると強制的にパスワード変更を促されるようになっています。またプライバシーマーク・ISMSの審査においても、パスワードの定期的な変更は行うのが当然とされてきてました。
一方で、「パスワードの定期的な変更は無意味だ」という意見も出され続けていました。実際にパスワードの定期的な変更を強制すると、「パスワードが分からなくなった」「ログインできない」というような問い合わせが頻発して、サポートコストが増大することもあり、無料で利用できるようなクラウドサービスではパスワードの定期的な変更はほとんど行われていませんでした。
パスワードの定期的な変更は、長い間、情報セキュリティ界の神学論争のようになっていたのです。
この流れを大きく変えたのが、2017年に米国NIST(国立標準技術研究所)が発行したガイドラインです。このガイドラインの中では明確に「パスワードの変更を任意に(例えば定期的に)要求するべきではない」とされました。パスワードの定期的な変更を要求しなくてもよいではなく、要求するべきではないとされたのです。
パスワードを無理やり変更させるということは、せっかく本人が記憶している(またはどこかに記録している)パスワードを放棄させることになりますから、結果的にパスワードが簡略化されたり、末尾だけ変更されるようになったり、覚えきれなくなって紙に書いて画面の横に貼るような結果を招くだけだということで、むしろ「パスワードは定期的に変更を強制するべきではない」ということになったようです。
これを受けて、日本の内閣サイバーセキュリティセンター(NISC)や総務省も正式に方針を転換し、ハンドブックやWebサイトでの記載も年末くらいから順次見直しされてきているようです。
現在、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」では、「望ましい手法の例示」の中に「パスワードの有効期限を設定している」という内容があります。
これについても、今後は見直しが入ることになると思います。2017年版JISに対応したガイドライン第3版では、パスワードの有効期限の設定という項目はなくなっていることでしょう。
また現在パスワードの定期的な変更を強制しているメガバンクのオンラインバンキングも今後は方針を変更することになるでしょう。そうでないといい笑いものになりますからね。
米国NISTが発行したガイドライン
https://pages.nist.gov/800-63-3/sp800-63b.html
ネットワークビギナーのための情報セキュリティハンドブック(NISC)
http://www.nisc.go.jp/security-site/handbook/index.html
国民のための情報セキュリティサイト(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
パスワード「頻繁に変更はNG」 総務省が方針転換(日経新聞)
https://www.nikkei.com/article/DGXMZO2857837026032018CC1000/
また、何か情報が入りましたら、皆様にシェアいたしますね。
Facebookからの大規模な個人情報流出の原因は、みんな大好き「診断アプリ」です!
(画像はTBSニュースサイトより)
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。
Facebook利用者を対象とした「診断アプリ」が2013年に作成され、診断を受けた30万人と、その友達の個人情報、あわせて約5000万人分が利用規約に違反してダウンロードされ、他の用途に再利用されていたことが問題になっています。
特に前回の米国大統領選挙で、トランプ陣営がこれらの情報を活用していたとの報道もあり、騒ぎが大きくなっているようで、Facebook社の株価も下がり、CEOのマーク・ザッカーバーグ氏がコメントを発表して事態の収拾を図っている状態です。
Facebookアプリが、アプリ本来の機能の実現に必要がない場合であっても、利用者の許諾さえ得れば、利用者本人とその友達の個人情報をまるごとダウンロードできる仕様になっていることは、当時から問題視されていました。外部からそのような声を上げても、Facebook社として素早い対応が取られてはいませんでした。
一方の利用者も、Facebookアプリが不必要に個人情報をダウンロードしていることについて、数多くの方法で様々な警告がなされていたにも関わらず、無頓着にアクセス権を承諾していたという実態があります。
ですから、ちょっと私などからすると、「何を今さら」という感は否めません。また同様のアプリは他にもたくさん存在しており、おそらくダウンロードされた個人情報を累計すると、数十億〜数千億件くらいの規模になっていてもおかしくないと思います。
ともあれ、Facebook社としては今日までこれに対する対策を徐々に進めてきました。今回、大きな問題になったことにより、それをさらに加速し、今後は批判をあびるようなことがないようにすることでしょう。
というわけで、これでまずは一安心ということになるのだと思いますが、今後も、Facebookの利用にあたっては、掲載する個人情報の利用方法や許諾範囲について、注意深くチェックして、慎重に対応することが必要だと思います。
2011年に書かれた警告記事
http://socialmediaexperience.jp/3617
マーク・ザッカーバーグ氏のコメント
https://www.facebook.com/zuck/posts/10104712037900071
参考記事:Facebookで使用しない方がいいと思うひとつの機能(改訂版)
http://www.pmarknews.info/archives/51852736.html
また、何か情報が入りましたら、皆様にシェアいたしますね。
中国では顔認識を利用した市民監視システムの導入が大規模に進んでいるそうです。
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。
なんと中国では監視カメラと顔認識を組み合わせた市民監視システムが大規模に導入され、歩行者への交通ルールの徹底から、犯罪捜査まで様々に活用されているとのことです。
国内に設置された監視カメラの数がすでに人口の10分の1の数に達しており、2020年までに人口の半分にあたる数まで増やす方針とのこと。いやはや、全く恐ろしい事態になっていますね。
日本などの西欧諸国では、国民のプライバシー権が一定の範囲で認められてますので、すぐにこういう風になることはないと思います。
ただし、技術的にはいくらでも導入可能な訳ですから、知らない間に内部で活用されたり、テロ対策などの理由から強行されるようなことは充分考えられます。
技術の進歩に合わせて、できることが広がっていきますから、その利用方法については常に注視することが重要だと思います。
http://www.itmedia.co.jp/business/articles/1712/21/news012.html
東京都が中小企業向けサイバーセキュリティ小冊子を無償配布中
(画面は小冊子の表紙です)
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。
東京都が中小企業向けサイバーセキュリティ小冊子を作成し、
無償で配布しています。
(PDFダウンロードのほか、小冊子郵送もしてもらえます)
表紙がゴルゴみたいなイメージで、
興味を持ったので、私も一冊いただいてみました。
早速開いてみましたが。。。
ううむ。。。。マンガが全面的に活用していて、すごく頑張っている
と思うのですが、なぜか頭に入ってこないんですよね〜。
内容が盛りだくさん過ぎて消化しきれていない印象を受けました。
以前に政府が作ったものでも同じような印象を持ったことを思い出しました。
※特にAI、IOT、攻めのIT経営などの話は余計だと感じました。
公共機関による情報セキュリティに関する啓蒙活動は
どんどんやってほしいと思うだけに、かなり残念です!
http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/