http://cloudshock.blogspot.com/2009/09/blog-post.html
続きは新Blog「クラウドblog〜SalesForce/GoogleApps」で!
http://cloudshock.blogspot.com/2009/09/blog-post.html
プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。
今回は、久しぶりにセキュリティ関係の製品のご紹介です。
プライバシーマークの審査の基準となっているJIPDECのガイドラインでは、JIS Q 15001「3.7.1運用の確認」のチェック項目として、「個人情報を取り扱う情報システムのアクセスログを取得して定期的に確認すること」とされています。
しかし、多くの企業で使用されているWindowsサーバーは、イベントビューアーという専用アプリでしかログを見ることができず、しかもこのイベントビューアーは、人間の目で見てもどんな操作が行われたのか容易には分からなくなっており、これを解読することは至難の業です。
そこで、この専用のソフトやハードが各社から発売されているのですが、これらは30万円〜100万円程度して、なかなか手が出ないという事業者の方が多いと思います。
今回ご紹介する、サイバネットシステム(株)の「Ci-Audit for File Server」という製品は、これまでにない低価格を打ち出した製品で、1サーバーあたりの初期費用が144,000円(税別)となっています。
機能的には、もちろん、必要にして十分なモノがあります。このような製品をお探しの方に、オススメします。
製品情報は下記をご参照下さい。
http://www.cybernet.co.jp/cia/
ソフトバンクモバイル株式会社(東京都港区)は、9日付で、自社の携帯電話サービスにおいてメールシステムの障害が発生し、間違ったメールアドレスにメールを配信したり、第三者のメールアドレスを間違って送信アドレスに表示したりする事象が発生したと発表しました。
発生していたのは、8月28日から31日にかけての約56時間で、関西、北陸より西のサービスエリアにおいて3902通が誤配信されたとのことです。
同社では、端末を認識するメールサーバーの不具合によるものであり、現在は復旧していると説明しています。
(私のコメント)
ありえないことが起こってしまいましたね。携帯電話キャリアが提供しているメールアドレスは、ID・パスワードを使用しないで端末自体を認証していますので、その認証システムに異常が発生するとこういうことが起こる可能性があるわけですね。
この事件は、電気通信事業法で規定される「通信の秘密の保護」を犯してしまったことにもなりますし、個人情報保護法で規定される「正確性の確保」「安全管理措置」「第三者提供の制限」にも違反したことになりますので、単にお詫びしただけで終わるかどうか、総務省からの指導や命令なども考えられると思います。
報道によりますと、大阪府警は、9月1日に、丸三証券(東京都中央区)の顧客情報を持ち出し、同業のキャピタル・パートナーズ証券株式会社(東京都中央区)の営業活動に使用したとして、同社元社員1名と、キャピタル社社員2名を不正競争防止法違反(営業秘密の不正取得など)容疑で逮捕したとのことです。
昨年7月から8月にかけて、同社からキャピタル社に転職した2名の誘いを受けて、同社の当時の社員(昨年9月懲戒解雇)が同社の顧客情報を使用し、共同で、あるいは単独で、キャピタル社の営業活動を行ったとのことで、規模は40人程度とのことです。
丸三証券では、9月1日付で、自社が今年1月にキャピタル社と今回逮捕された3名をそれぞれ告訴していたと発表しました。
キャピタル社では、内部調査委員会で事実関係の調査を進めるとともに、元名古屋高等検察庁検事長の高野利雄弁護士らをメンバーとする外部調査委員会も設置し、今後対応していくと発表しています。
(私のコメント)
本人たちは、ほんの出来心でやっていたんでしょうけど、おおごとになってしまいましたね。不正競争防止法の営業秘密に関する規定は改正が繰り返されて、どんどん厳しくなってきています。逮捕の事例は珍しいですが、今後もこの法律が適用されるケースは増えてくるでしょう。
また、今回の事件は、単純に丸三証券対キャピタル社の対決と言い切れないところもあります。キャピタル社としては、社員が勝手にやっていたという側面もあるわけです。だから、企業としては、そういうことを今後はきちんと教育したり、ルール化したりしていかなければならないと。対応すべことがたくさんありそうですね。
http://irs.marusan-sec.co.jp/ir/Ir_Seminar.nsf/alldocs/D6307FE087384EFE49257624002BC97F/$File/IR090901.pdf
http://www.capital.co.jp/topix/pdf/topix_090902.pdf
三菱商事子会社でネット通販事業を営む株式会社デジタルダイレクト(東京都中央区)は、9月4日付で、海外からの不正アクセスにより自社の通販サイトの顧客のクレジットカード情報が流出したと発表しました。規模は52000件です。
対象となるサイトは、
「saQwa(サクワ) ネットショッピング」( http://saqwa.jp/ )
「fun style shopping(ファンスタイルショッピング)」( http://www.fun-ss.com/ )
とのことです。両サイトとも、現在運用停止中です。
流出の可能性のある項目は、クレジットカード情報、ユーザーID、ログインパスワード、氏名、性別、生年月日、電話番号、住所、メールアドレス
で、クレジットカード情報が約52,000件、メールアドレス情報が約29,000件とのことです。
(私のコメント)
これも、SQLインジェクションでしょう(推測)。報道によると、中国や韓国などの計49か所からサイバー攻撃を受けていたことが判明したとのこと。本当に恐ろしいですね。
http://www.digitaldirect.co.jp/
http://www.digitaldirect.co.jp/images/houkokuowabi.pdf
大阪府は、8月26日付で、個人情報9000人分の入ったSDメモリーカード(以下、SDカード)が匿名の差出人から障がい福祉室宛に郵送され、内容を確認したところ、大阪府で管理している個人情報約9000人分が含まれていたと発表しました。
内容としては、重度障がい者介護手当の受給者台帳、重度障がい者特例支援事業の受給者台帳、障がい者ケアマネジメント関係研修受講者・講師の個人情報で、住所氏名などの基本情報のほか、障害の程度、生活保護の有無、銀行口座の情報など、かなり細かい個人情報が入っていたと言う。
今回のSDカードが送付されてきたのは8月24日で、「コピーをもらいました。」というメモ用紙にセロテープでSDカードがつけられて匿名で送られてきたと言う。
当時の担当職員にヒアリングしたところ、昨年4月の人事異動の際、今回流出したファイルをSDカードに保存し、後任の職員のパソコンにコピーしたが、その後、そのSDカードの行方については「記憶が定かでない」という。
その後、何らかのルートでこれが流出し、そして第三者によってコピーされて、なぜか戻されてきたと言うことです。
(私のコメント)
後味の悪い事件ですねえ。どうしてわざわざ「コピーをもらいました」なんて書いて戻してくるんでしょうねえ。
http://sankei.jp.msn.com/photos/affairs/crime/090826/crm0908262047033-p1.htm(このURLに画像があります)