プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年12月

New books

累計出版部数2万部を突破し、ご好評いただいております「これだけ!個人情報保護士試験《完全対策》」ですが、このたび全面改訂し、改訂2版を出すことになりました。

書名:「改訂2版 個人情報保護士試験《完全対策》」
著:中康二(私です)
監修:鶴巻暁(弁護士)
価格:¥ 2,310(税込)
出版社: あさ出版
ISBN-10: 4860633741
ISBN-13: 978-4860633745
発売日: 2010/1/12

最近の出題傾向を解析し、全面的に解説文ならびに例題を書き直しました。ぜひ、この本で学んで、個人情報保護士試験に挑戦して見てください。

次回の試験は、2010年3月14日(日)です。

2010年は個人情報保護士になりましょう!

http://www.amazon.co.jp/%E6%94%B9%E8%A8%822%E7%89%88-%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E4%BF%9D%E8%AD%B7%E5%A3%AB%E8%A9%A6%E9%A8%93-%E5%AE%8C%E5%85%A8%E5%AF%BE%E7%AD%96-%E4%B8%AD-%E5%BA%B7%E4%BA%8C/dp/4860633741/

http://www.joho-gakushu.or.jp/piip/piip.html

cregit社団法人日本クレジット協会は、21付けで、最新のクレジットカード不正利用の実態を公表しました。

国内で発行されたクレジットカードにおける不正利用の今年の7〜9月期の金額は昨年並みの24.7億円にとどまったようです。アリコジャパンの顧客の大規模なカード番号流出が発生しましたが、金額での増加は抑えられた様子です。

(私のコメント)
同協会ではこの数字を四半期ごとに公表しているようで、私、今回初めてその存在を知りましたが、通年ベースで見ると、不正利用の金額は減少してきているんですね。

詳しい方はご存知と思いますが、クレジット業界では総力を挙げてPCI DSSというセキュリティ基準をクレジットカードの「発行社」「加盟店」「情報処理事業者」のそれぞれに適用させようとしていますが、このように不正利用が抑えられているのだとすると、それほどの必要性がないのではないかとも思えます。

http://www.j-credit.or.jp/

dra株式会社ラック(東京都港区)の公式Webサイトに、同社取締役常務執行役員・最高技術責任者兼サイバーリスク総合研究所・特別研究員の西本逸郎氏による「西本逸郎のセキュリティ総括2009」が掲載されています。

「クラウド」というキーワードの登場から、サンシャイン牧場という中国製Mixiアプリが毎月100万人の利用者を集めていることなどを例示し、日本がいつまでもガラパゴス市場であり続けるのではなく、大航海時代に向かうのではないかとしています。

単なるセキュリティ話に留まらない、面白いコラムになっていますので、興味をもたれた方は、リンク先をご参照ください。

http://www.lac.co.jp/special/keyword2009/nishimoto.html

(参考)西本逸郎氏のTwitterアカウント

LAC_Arai

情報セキュリティの専門会社である株式会社ラック(東京都港区)は、12月8日午前に、プレス関係者向けの「2009年セキュリティ総括」という名称のイベントを開催しました。

これは毎年年末に行っているそうで、今回はLACのサイバーリスク総合研究所(RRICS)所長の新井悠さんが、この一年間を振り返ってセキュリティに関する最新情報をお話してくれました。

今回のテーマは大きく言って「クラウドとセキュリティ」でした。

(1)クラウドの闇の部分について

まず、前半では「クラウドは攻撃ツールとして使用されている」という話をされました。

ある研究者の調査によると、Amazon AWS(これはAmazon.comがやっているクラウドサービスです)を使用して、パスワードを総当りで解読したらいくらかかるかというと、8文字のパスワード(英字のみ)なら3ドルで解読できるという結果が出たそうです。ま、これは、単に計算させるだけですから当然のことなんですが、こういう使い方もできるということです。(ちなみに12文字の英数にすると、7600万ドルに跳ね上がります。当たり前ですが、長いパスワードはものすごく安全です)

次に、Google Apps Engineがハッカーによって悪用されているという実例を紹介されました。ある有名なウイルスを解析してみたところ、Google Apps Engineが司令塔になって感染したPCにウイルス自身のアップデートを指示する仕組みが含まれていたという。

同社の誇る24時間365日稼動のネットワーク監視センター「J-SOC」でも、Amazon AWSからの攻撃を検出しており、その件数が前年の50件から2009年は250件と5倍になっている。

また、世界最大の反迷惑メール団体「Spamhaus」は、Amazon AWSのIPアドレスを全てSPAM(迷惑メール)発信元としてブラックリスト登録したという。実際にSPAMの温床として使われていることを示している。

最近、ファイル共有ソフト「Share」を利用しているPCが外部から攻撃されてShareが勝手にダウンする現象が発生したが、これもAmazonAWSから行われたとのこと。

以上のような事象を説明し、新井氏は、「今後、犯罪者向けのクラウドというようなものが登場することもありえるのではないか?今はAmazonAWSを使用してその実証実験を行っている段階といえるかもしれない」とまとめました。

(2)7月に韓国で発生したDDoS攻撃について(→クラウドの光の部分)

後半は、今年7月に韓国で発生したDDoS攻撃について、詳しく説明されました。

DDoS攻撃とは大きく2種類に分かれる。Webサーバーがお寿司屋だとして、
1)いたずら電話を沢山かけて電話をつながらなくする。
2)高級な商品を沢山注文して正規の顧客に対応できなくする。
の2パターンがあり、韓国で発生したのは2)のケースであった。

「Webハード」という動画コンテンツの違法配信を仲介するサービスのWebサイトが改ざんされて、利用者のPC12〜18万台が乗っ取られて政府サイトを攻撃した。 

韓国政府の動きは早く、2時間でウイルス検体を入手して解析。今回の攻撃パターンには司令塔サーバーが存在しないことが分かったため、当日深夜からワクチンを配布開始。テレビなどでも告知して、心当たりのある人たちにインストールを呼びかけた。50万台以上。

ところで、この同じ攻撃は、米国のいくつかの政府機関などにも行われた。しかし、ほとんど問題にならなかった。どうしてか?

それは、AkamaiなどのCDN(Contents Distribution Netowork)を使用していたからだ。このCDNというのは、世界各地に散らばった多数のサーバーで分散処理して大量のトラフィックを処理する専門サービス。まさにクラウドの元祖みたいなものであり、この活用が功を奏したと思われる。

ここで、新井氏は、「DDoS攻撃にはクラウドを活用することが防御策になるということだ」とまとめました。すなわち、これがクラウドの光の部分。

ということで、本日のお話は、クラウドには光の部分と闇の部分の双方があるということでした。

(私のコメント)
新井さんのお話はとても分かりやすく、ぐいぐいと引き寄せられました。ま、この2009年に関してだけ言えば、実際にクラウドでの情報セキュリティ事件がとても大きくなっていて、対処に苦労しているというわけではなく、あくまでも将来に向けて警鐘を鳴らす目的のお話だと思われます。

しかし、今後の5年〜10年を見据えて考えると、クラウドコンピューティングは一つのコンピューティングの革命になるでしょうし、そこでのセキュリティ対策は重要なものになると思われます。

今回、私は、Blogger枠ということで本イベントにご招待いただきました。貴重な話が聞けて、大変感謝しております。ありがとうございました。

また、今回は主催者からTwitterの活用が呼びかけられてまして、リアルタイムのつぶやきでの中継と、外部からのコメントなど、積極的な参加がありました。下記のURLで見れますので、興味のある方は見てみてください。

http://twitter.com/search?q=%23arailac
(つぶやきの配列は逆になっていますので、最後からさかのぼる表示にになっています)

kappu_hanbai_law12月1日付けで、改正割賦販売法が施行されました。今回の改正には、様々な内容が含まれるようですが、本Blogでは特にクレジットカード情報の管理に関する内容をお知らせします。

今回の改正割賦販売法において、クレジットカード情報の取り扱いに関して大きく変わった点は下記の通り。

(1)「カード発行会社」「決済代行会社」などに対して、カード情報の適切な管理が義務付けられ、また一般の店舗やネット通販事業者などカード加盟店におけるカード情報の取扱に問題がある場合には、「カード発行会社」「決済代行会社」が適切な指導を行うことを義務付けられました。(第35条の16)

(2)クレジットカード情報を下記の方法で入手し、悪用することが罰則の対象となりました。(三年以下の懲役または50万円以下の罰金)
・業務上知り得た
・人を欺いて入手した
・カード番号が記載された書面や電子媒体を複製した
・不正アクセス行為により入手した

また、
・クレジットカード情報を有償で提供する
・その提供をうける
・有償で提供する目的で保管する
といった行為も上記同様の罰則の対象となりました。(第49条の2)

今回の改正に関しては、個人情報保護法でカバーしきれない範囲をカバーしようという考え方があるようです。

なぜなら、個人情報保護法での個人情報の定義は、「生存する個人に関する情報であって、特定の個人を識別することができるもの」となっており、クレジットカード番号と有効期限だけが流出したような場合、一般にはその情報で個人を識別できないために個人情報とならない可能性がありました。そこで、この割賦販売法で、カード番号の取扱を直接的に法律で規制しようとうことのようです。

カード番号の流出に関しては、今回のアリコジャパンの事件のように、社会的にも大きな影響を持ちますので、今回の改正は意味が大きいものと思われます。

※この記事の作成にあたりましては、自力で法律を完全に読み解くことに困難がありましたので、お電話で経済産業省・関東経済産業局・商務取引信用課の方に質問させていただきました。とても親切に教えていただき、ありがとうございました。(ただし、記事の内容に関しましてご確認いただいたわけではありません。文責はあくまで私にあります)

http://www.no-trouble.jp/#1245744394941

↑このページのトップヘ