プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年03月

googleapps
IT業界でクラウド型サービスが話題を集めるに連れて、下記のような質問や声をよく聞くようになりました。

「GoogleAppsやSalesForceを使用しているとPマーク取れないのですか?」
「うちはPマークを取ってますので、Google AppsやSalesFoerceは使えませんよね」

(Google Appsのことを知らない方は、企業向けのGmailと思ってください)

簡単に答えをいうと、そんなことはありません。クラウド型サービスを利用しているからと行ってPマークが取れないことも有りませんし、Pマークを取っているからといってクラウド型サービスを利用できないわけでもありません。

おいおい、そんな大胆なことを言っていいのかというご意見を持つ人もいると思いますので、2種類の方法でそれを証明してみましょう。

--------------------------------
(1)SalesForceはPマークを取得している。

SalesForceの日本法人である株式会社セールスフォース・ドットコムは、2008年2月5日付でプライバシーマークを取得しています。

SalesForceが、社内でSalesForceを使用していないはずはありません。だから、SalesForceを使用していてもPマークは取得出来ることの証明になります。

同じような文脈でいうならば、弊社のお客様でもGoogleAppsを使用していてPマークを取得された会社もいくつもあります。

ですから、何の問題もないということです。
--------------------------------

ただし、このような帰納的な証明方法では、納得出来ない方もおられると思いますので、次は逆向きの演繹的な方法で証明したいと思います。

--------------------------------
(2)普通のメールサーバーとどちらが安全でしょうか?

クラウド型サービスというと、個人情報が外部のサーバーに保管される、個人情報を社外に出すなどとんでもないという「恐怖感」が、クラウド型サービスを評価する際の最大の障害だと思われます。

しかし、通常のメールサーバーはどうなんでしょうか?

電子メールは、とってもセキュリティの甘い通信手段です。なんといっても、

送信者のPC
↓↓↓
自分側のメールサーバー
↓↓↓
相手側のメールサーバー
↓↓↓
受信者のPC

という通信経路のうち、真ん中のメールサーバー間の通信は全く暗号化されていません。全く暗号化せず通信するのが電子メールの基本なのです。

また、PCとメールサーバーの間の通信も多くの場合は暗号化されていません。最近ではSSLによる暗号化を実施している場合も多くなってきていますが、まあ、このBlogをお読みの方の半数くらいはまだ暗号化していないことでしょう。電子メールのセキュリティとはそんなものです。

ここで恐ろしいのは、暗号化していない状態でメールの受信をした場合には、メール受信パスワードがネットワーク上を暗号化されずに流れることです。このパスワードを傍受されてしまえば、世界中のどこからでもあなたのメールを読めるようになります。パソコン2台でメールを受信している人もいると思いますが、あれと同じような感じで、自分のメール受信簿と全く同じものを知らない人が読んでいるというリスクまであるわけです。(もちろんこのような行為は不正アクセス禁止法違反にあたる可能性が高い行為です)

一方のGoogle Appsはどうでしょうか?Googleも以前は暗号化されていないことがあったようですが、最近はほとんどの通信が暗号化されています。特にGoogle Appsの場合は、管理者が暗号化通信を強制することが可能です。

つまり、今やGoogleの通信は多くが暗号化されており、PCーメールサーバー間の通信における傍受リスクに対しては普通のメールサーバーで暗号化せずに使用しているよりも安全とも言えるわけです。

この文章は「クラウドは安全だ」ということを言いたいのではなく、「クラウドも従来のサービスにもリスクが有る」ということを言いたいのです。そのリスクと利便性を見比べながら、経済合理性にあった対策をとると言うのがプライバシーマークの基本的な考え方です。

ですから、クラウド型サービスだからダメとか、いいとか、そういうことではなく、どんなサービスを利用したとしてもそのリスクを評価し、適切なセキュリティ対策をしていけばいいのです。

--------------------------------

というわけで、2種類の方法で、「GoogleAppsやSalesForceを使用しているとPマーク取れないのか?」というご質問にお答えしてみました。参考にしていただければと思います。

※かと言って、クラウド型サービスは安心ですからみなさんじゃんじゃん使いましょう!!!という訳ではありません。みなさんご自分たちで判断していただくことを求めます。

bomb報道によりますと、ある中学校の校長の私物パソコンが、ファイル共有ソフトをターゲットとしたウイルスに感染し、生徒の個人情報を持ち帰っていたことや、わいせつ画像をダウンロードしている事実が明らかになったとのことです。

本Blogでは、この事件自体を詳細に報じることは行いませんが、こういった事件を二度と繰り返さないために、何が起こったのかを追ってみます。

・校長は、3年前からファイル共有ソフトを使用していたらしい。
・校長は、持ち帰らないように指導されていたにも関わらず、自宅で仕事を行うために、生徒の個人情報を含むデータをUSBメモリに入れて持ち帰っていた。
・校長は、自宅のパソコンにセキュリティソフトを入れようとして(またはセキュリティを強化しようとして)、ファイル共有ソフトで「セキュリティソフトに見せかけたウイルス」をダウンロードしてインストールしようとした。
・この結果、ウイルスが動き出してしまい、このパソコンに含まれる全てのファイル名のリストが誰からも見れるようになった。(どうやら、ファイルそのものは流出していないようです)

パソコン内に含まれるファイル名が流出したから何だと思われるかも知れませんが、ファイル名、フォルダ名などをよく調べることで本人を特定できる可能性が高いですし、また、今回はファイル名の中にわいせつ画像と思われる名称が多く含まれていたために校長という仕事との関連性もあって騒ぎが大きくなっているようです。

全く、調べれば調べるほど馬鹿馬鹿しい話です。結局、個人情報は流出していないようですし、この校長の行為に法律的な問題があるかどうか明確ではない状態です。

このような、わざわざ人を貶めるようなウイルスを作成し、インストールさせようと仕掛ける人がいるのです。このような行為は、Webサイト上でも行われているようですが、特に「Winny」や「Share」といったファイル共有ソフトの利用者をターゲットとして仕掛けられる場合が多いようです。

ですから、もう何回も本Blogでは書いてますが「君子危うきに近寄らず」、WinnyやShareといったファイル共有ソフトには絶対に手を出さないでください。大変リスクが大きいです。

http://www.nagasaki-np.co.jp/kiji/20100323/01.shtml

JNSA_20100308

特定非営利活動法人・日本ネットワークセキュリティ協会(略称:JNSA、東京都江東区)は、3月8日付で、【速報版】2009年度上半期情報セキュリティインシデントに関する調査報告書(速報版 Ver.1.0)を発表しました。

発表によると、昨年1月から6月までの個人情報漏えい事件の件数は 764件、漏えい人数は231万人となったとのことです。過去の数字と比較しますと、件数は増加しているものの、漏えい人数は2007年の通年3053万人をピークに激減しています。

この調査は、各社のプレスリリースやマスコミ報道などを元に、JNSAセキュリティ被害調査ワーキンググループの皆さんが手作業で集計しているもので、毎年定期的に発表されており、非常に価値のある情報となっています。 皆さんも参考にしてみてください。

(私のコメント)
今回の対象期間には、三菱UFJ証券事件(148万人)、アリコジャパン事件(14万人)、陸上自衛隊事件(11万人)などが含まれているため、これらがデータ全体に与える影響が大きくなっているものと思われますので、その点はご注意ください。
また、想定損害賠償総額は1545億円とされていますが、これはあくまでもこのワーキンググループが算出した想定額であり、実際の損害賠償額ではありませんので、あわせてご注意ください。

http://www.jnsa.org/result/incident/2009.html

(3月16日追記)
Prisoner LangleyさんのBlogで、本調査に対する辛口コメントが出てます。私も似たような感想は持っているのですが、それについて、先方のコメント欄に書きました。(現在承認待ちのようです)
http://netsecurity.blog77.fc2.com/blog-entry-56.html

PC_KIDS株式会社ピーシーキッド(東京都江東区)は、情報セキュリティに関する無料のセミナーを開催すると発表しました。

・タイトルが面白そう。
・参加無料である。
・講師のレベルが高い。

の3点で秀でていると思いますので、本Blogでもご紹介します。

日時:2010年3月10日(水)13:30〜16:50(受付13:10〜)
定員:60名
受講料:無料
会場:TKP東京駅ビジネスセンターカンファレンスルーム29e
(〒103-0028 東京都中央区八重洲1-5-3 不二ビル9階)
タイトル:情報セキュリティってこんなに面白い!感動の3時間をあなたに!

内容:
「企業内情報管理におけるセキュリティと著作権」(45分)社団法人コンピュータソフトウェア著作権協会(ACCS) 専務理事 久保田 裕氏

「情報セキュリティサスペンス劇場」(計80分)社団法人情報セキュリティ相談センター 事務局長 萩原 栄幸氏

「通信パケットからわかるガンブラー型攻撃の実際」 (30分)株式会社オーク情報システム セキュリティ営業部長 梅田 高久氏

「あっ!と驚く不正調査の現実」(20分)株式会社ピーシーキッド 取締役 フォレンジックサービス部 山内 崇氏

講師はいずれも現場を知り尽くしている方々のようです。是非興味のある方はご参加ください。

http://forensics.pckids.co.jp/services/securitytraining/securitytraining.html

↑このページのトップヘ