プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年02月

USTREAM_Bussiness_Seminer

2月24日に開催されました「USTREAMビジネスセミナー」におきまして、私はゲスト講師として「ダダ漏れと個人情報保護」と題して話をさせていただきました。

※「USTREAM」とは、米国Ustream.tv社が提供する動画配信サービスで、容易に大規模な動画配信ができるプラットフォームとして、米国大統領選挙で活用され、昨年から国内でも利用が広まっているものです。弊社も自社主催セミナーの生放送に使用しています。

※「ダダ漏れ」とは、このUSTREAMを使用して株式会社ソラノートの佐藤さん(通称:そらのさん)が、自分の仕事風景を生放送したことから始まり、民主党事業仕分け・亀井金融郵政担当大臣の記者会見など、様々なイベントを生放送することを指すのに使用している言葉です。今では「ダダ漏れ」はUSTREAMを使用して生放送することを一般的に指す俗称になっています。

<開催詳細>
日時:2010年02月24日(水)19:00〜21:00
講師:KandaNewsNetwork,Inc.代表取締役 神田敏晶
株式会社ソラノート 広報 佐藤綾香(そらのさん)
会費:3000円
会場:デジタルハリウッド大学大学院秋葉原メインキャンパス
主催:デジタルハリウッド大学大学院 KandaNewsNetwork,Inc

メイン講師は、KNN神田さん、ケツダンポトフのそらのさんというダダ漏れ界の二大有名人でしたので、私は少し緊張しましたが、最後の方でお時間をいただきまして、個人情報保護の観点からどのようにネット動画配信を行えばいいのかについて、5分間ほどお話をさせていただきました。

当日、USTREAM配信された録画映像が下記のURLで見れますので、興味のある方はぜひご覧下さい。
(私が出てくるは1時間45分30秒くらいからです)

http://www.ustream.tv/recorded/4968840

また、当日の配布資料や、参加者と視聴者がTwitterにつぶやいた内容などが下記のURLでまとめられていますので、参考にしてください。

http://togetter.com/li/7014

impress
株式会社インプレスホールディングス(東京都千代田区)は、本日付けで、自社の社員が開発業務に使用していたノートパソコン1台が盗難にあい、そこに含まれていた同社通販サイトで過去に購入した人の個人情報など20万件が流出したと発表しました。

個人情報が流出した対象者は、
・同社、ならびにグループ会社の取引先
・同社、ならびにグループ会社の取材協力者
・インプレスダイレクトで1999年〜2007年に買い物した人
(126,110件)
であり、内容としては、
・氏名、住所、電話番号、ファックス番号
・メールアドレス
・会社名、部署名
・お取引金融機関の口座番号
・インプレスダイレクトのユーザID
・購入商品、請求金額、請求残高
などが含まれるといいます。

同社では、盗難されたノートパソコンはまだ見つかっていないものの、ID・パスワードをかけており、現段階では個人情報の不正利用の事実は確認されていないという。

(私のコメント)
いやあ、後味悪い事件です。思いもよらず、オオゴトになってしまいますので、本当に、ノートパソコンにこういった生データを収めた状態で持ち歩くことはやめましょう。

http://www.impressholdings.com/notice/02_info.htm

SITEMIHARU
有限会社アドリブ(東京都渋谷区)は、2月8日に、ウェブサイトの改ざんやガンブラー感染を診断するオンラインサービス『サイトミハル』を開始すると発表しました。

これは、サイトの情報を定期的にチェックして、
1)ウイルスにより改ざんされていないかを確認して改ざんされている場合は警告を
2)内容が更新された場合にはその更新情報を(更新履歴を取れる。もしかして、更新していないはずの時間帯に更新していることになっていれば改ざんの可能性があるので、発見できるかも)
メールで送信してくれるシステムです。

有料版だとサイト全体(4階層、1000ファイルまで)を1時間に1回チェックしてくれます。月額2万円(税別)。

無料版で、特定のURL(1ファイルのみ)を1日に1回チェックしてくれるサービスもありますので、使い勝手を知ることができます。

http://sitemiharu.com/
http://www.adlibjapan.jp/main/

(私のコメント)
先日、本Blogで簡易チェックソフトをご紹介したのですが、これには、ガンブラーの手口がどんどん進化するのに対応するのが難しいという欠点がありました。すでに今のガンブラーは「難読化」という手口を取るようになっていて、このソフトでは不十分になっていました。
http://blog.optima-solutions.jp/archives/51445820.html

その点、今回ご紹介しているこの仕組みは、サーバー側でチェックする仕組みですので、アドリブ社の対応次第でどんどんガンブラーの進化に合わせた対応が可能であり、また、アドリブ社の対応が何らかの理由により不十分であっても、更新履歴を知ることが出きますので、変な時間に更新の連絡があればその時点で、異常を感知出きますから、その意味でも優れた仕組みと言えると思います。


20100119
1月19日に開催いたしました弊社主催「プライバシーマーク取得セミナー」におきまして、セミナー会場からの生放送を実施し、多数のアクセスを頂くことができました。(上記画像をクリックしていただくと、前回の様子を見ていただけます。)

今度、2月16日のセミナーでも、同じ方式で生放送を実施します。オフィスからでも見れますので、仕事しながら、ながら見(ながら聞き)していただければと思います。

事前に登録いただいた方には、当日の配布資料のダウンロード方法をお知らせしますので、ご連絡お待ちしております。

セミナー生放送・資料請求画面
(受付終了しました)

netchecker以前にも本Blogでご紹介いたしましたが、中国にNSFOCUS社(本社:北京市)というセキュリティの専門会社があり、北京オリンピックの際にネットワークテロ対策を一手に引き受け、被害を出さずに抑えきったとのことがありました。

http://blog.optima-solutions.jp/archives/51348742.html

同社はまた中国の大企業のセキュリティ対策を一手に引き受けていて、365日24時間監視のSOC(セキュリティオペレーションセンター)を運営しているとのこと。

このNSFOCUS社のセキュリティ対策サービスが、国内でも提供されることになったそうですので、本Blogでご紹介したいと思います。

今回の国内向けサービスは、株式会社インフィニテック(東京都品川区)が主体となり、国内のユーザー向けにセキュリティ対策サービスを提供するとのことです。

主なサービスメニューは、
(1)365日24時間セキュリティ監視サービス
* SOCサービス
(2)ワンタイムのセキュリティ診断
* WEBアプリケーション診断
* プラットフォーム診断
(3)セキュリティ機器の販売
* ネットワーク不正侵入防止システム(NIPS)
* WEBアプリケーション防御システム(WAF)
となっており、セキュリティ関連のサービスとしてはほぼフルラインラインナップと言えると思います。

同社では、「世界トップレベルのセキュリティサービスを」「リーズナブルな価格で提供する」というのをウリにしていますので、特に価格面が期待できるのではないかと思います。

(私のコメント)
はっきり言ってしまえば、「ラックの中国版」ということで、同社と同様の24時間サービスが安価で受けられますよということなんです。わたくし個人的には、ラック社の存在は否定しませんし、日本にこういう地球防衛軍みたいな存在があることの意味は本当に大きいと思いますが、別の選択肢として、NSFOCUS社のようなサービスにも意味があると思っています。

興味のある方はぜひ、インフィニテック社にコンタクトしてみてください。なお、3月15日(月)にサービス紹介のセミナーを実施するそうです。情報が入りましたら、本Blogでもお知らせします。

http://www.netchecker.jp/index.html

NTT_Nishinihon総務省は、2月4日付けで、西日本電信電話株式会社(NTT西日本、大阪府大阪市)に対して、個人情報保護法ならびに電気通信事業向けガイドラインにの安全管理措置義務等に違反する内容があったとして厳重注意を行いました。

今回発生した事象は、2008年から2009年にかけて、NTT西日本の社員が、子会社や一部のNTT西日本の代理店に下記の情報を提供したということです。

・NTTの光ファイバーサービスを提供可能なマンションに居住していて
・NTTならびに他社のADSLサービスを利用している利用者の部屋番号

つまり、この部屋をターゲットに営業に行くと、すでにADSLを使用しているわけですから、光ファイバーの営業が円滑にいくというわけですよね。これは確かに役立つ情報です。しかし、NTT西日本は、単に工事や回線メンテナンスのために、これらの情報を保有していたのであって、営業に使用するためにこういう情報を持っていたわけではなかったのです。

ここで個人情報保護法での目的外利用が発生したわけです。また、このようにインフラを管理しているNTT西日本が競合他社の情報を含む営業情報を自社の利益のために使用することは、公正な競争条件を阻害するとも言えるわけです。

これに対して、同様の光ファイバーサービスを提供する他社からクレームが出たようで、総務省としては2009年11月に「報告の徴収」を行い、今年1月に「聴聞」を開催し、「電気通信事業紛争処理委員会」に諮問し、答申を得るというステップを経て、今回の厳重注意に至ったものです。

今回の総務省の発表は、電気通信事業法に基づく「業務改善命令」とセットになっていますが、個人情報保護法に基づく部分については「文書による厳重注意」です。

また、個人情報保護法に関する違反としては、
(20条)安全管理義務
(21条)従業者の監督義務
(22条)委託先の監督義務
に反したとされ、
(16条)利用目的による制限
は対象とはなりませんでした。

すなわち、組織的に「目的外利用」をしたとは認められた訳ではなく、そもそも、社員が独断で上記の情報にアクセスできる状態を放置したことが20条違反であり、そのような行為を許したことが21条違反であり、営業活動を委託した会社がそれらの情報を利用して営業活動を行っているのを放置したことが22条違反になるとの認識のようです。

http://www.soumu.go.jp/menu_news/s-news/02kiban02_000035.html
http://www.ntt-west.co.jp/info/support/owabi20100204.html
http://www.ntt-west.co.jp/news/0912/091217a.html

JPCERT_CC
国内の情報セキュリティ事件・事故に関する情報を取りまとめて発信している一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は、2月3日付で「FTP アカウント情報を盗むマルウエアに関する注意喚起」という文書を発行しました。

この文書は、いわゆる「ガンブラー」と言われるウイルスに関する内容となっていますが、従来より報告されていた「通信を盗聴することでアカウント情報を盗む」だけでなく、「パソコン内に保存されたアカウント情報を盗む」機能が加わっていることを注意喚起しています。

より詳しくは、下記のFTPクライアント製品を使用した場合に、パソコン内に保存したFTPパスワードなどのアカウント情報が盗み出されるとのことです。
- FFFTP 1.96d
- FileZilla 3.3.1
- WinSCP 4.2.5
ほか多数のFTPクライアント

また、FTPクライアントソフトだけではなく、下記のブラウザに保存されたアカウント情報も盗み出されるとのことです。
- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8は現段階では大丈夫)
- Opera社 Opera 10.10
こうなると、もう、安心していられませんね。みなさんもブラウザに様々なWebサイトのログインに使用するIDとパスワードを保存していると思います。これが盗まれる危険性があるのです。

で、ガンブラーへの対策としては、とにかく最初に感染しないようにするしかないということなので、ウイルス対策ソフトをしっかりとインストール・更新して、守りを固めるようにしてください。

https://www.jpcert.or.jp/at/2010/at100005.txt


政府の内閣官房情報セキュリティセンター(NISC)は、1月29日に、今年から毎年2月を「情報セキュリティ月間」として、Web上での情報提供や、セミナーなどの関連行事を大規模に開催し、国民に広く啓蒙活動を行っていくと発表しました。

同日付で、平野官房長官からも談話が公表され、その中で平野氏は、安心・安全にインターネットを使うために注意して欲しいこととして、
(1)ウィルス対策ソフト等を導入し、定期的に更新して最新の状態に保つこと
(2)基本ソフト(OS)を始め各種ソフトを定期的に更新し、最新の状態に保つこと
(3)パスワードは、容易に推測できないものとし、他人には知らせないこと
の3点を上げています。

(私のコメント)
平野談話に含まれている3点は、当たり前といえば当たり前の事ですし、その他の政府のWeb上での情報提供を見ても、総花的で一般的な内容が多くて今ひとつ「これを見れば参考になりますよ!」と推薦できるものはあまりありません。

しかし、この当たり前のことを当たり前にするというのが、情報セキュリティの難しさでもあり、こういった地道な啓蒙活動を行って行くしかないのかなとも思います。

http://www.nisc.go.jp/ism/index.html

↑このページのトップヘ