プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年06月

logo_jipdec(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、「中小事業者のためのプライバシーマーク制度説明会」の開催を告知しています。

これは「プライバシーマークをこれから取得することを予定している中小事業者」を対象として、プライバシーマークの取得に必要な個人情報保護マネジメントシステム(PMS)の構築方法を説明するものです。

(内容)
* プライバシーマーク制度の概要 (制度のしくみ・申請から付与認定までの手続・審査の流れ・費用等)
* JIS Q 15001「個人情報保護マネジメントシステム-要求事項」の概要 (要求事項の理解、PDCAサイクルとは)
* 個人情報保護マネジメントシステム(PMS)構築と運用のためのステップ (各ステップにおけるポイント等)
* 具体的な申請手続きについて (新規申請時に必要な書類、記載上の注意点)
* 質疑応答

(開催日時)
2010年6月30日(水)13:30〜16:00
機械振興会館 地下3階 研修1(東京都港区芝公園3-5-8)

満員につき受け付け終了
2010年7月30日(金)13:30〜16:00
機械振興会館 地下3階 研修1(東京都港区芝公園3-5-8)
申し込みはこちら

JIPDECでは、これ以降も9月、11月、来年1月、3月の開催を予定しているそうです。プライバシーマークの取得をお考えの方は是非参加されることをお勧めします。

※なお、弊社でも同趣旨のセミナーを定期的に開催しております。
ご参考まで。
弊社のセミナーのご案内はこちら

bombパスワードが解読される問題は、情報セキュリティの基本として、ずっと昔から続いてますが、ここ数年、一つ大きな問題が上がってきています。

それは「パスワードの使い回し」問題です。

昨今のクラウドブームも反映し、多くの人は、パスワードの必要なサービスを数多く使うようになってきています。重要そうなものから列記したとしても、

・電子メールのパスワード(仕事用、個人用、携帯用・・・)
・オンラインバンキングのパスワード(A銀行、B銀行、C銀行・・・)
・オンラインショッピングのパスワード(Amazon、楽天、AppleStore・・・)
・その他金融サービスのパスワード(証券会社、FX会社・・・)
・クレジットカードのWebサイトのパスワード(Aカード、Bカード、Cカード・・・)
・旅行関係のパスワード(航空会社、JR系、ホテル予約・・・)
・ネットサービスのパスワード(Google、Mixi、Twitter、Blog・・・)
・コンテンツサイトのパスワード(日経BP、日経新聞・・・)

なんていう風に、パスワードを使用するサービスが数多く存在しており、皆さんも利用されていると思います。

ここで「パスワードの使い回し」をしてはならないのです。もし、同じパスワードを使用していた場合、一つのサービスでパスワードが漏洩したとしたら、他のサービスも利用可能になってしまいます。

例えば、小さな規模の通販サイトでIDとパスワードを設定する場合に、IDとして自分のメールアドレス、パスワードとしていつものパスワードを使用したとします。この通販サイトからこの情報が流出したり、またはこの通販サイトの管理者が悪意を持って利用したら、あなたのメールの内容は全て読まれる可能性があるわけです。

ということですので、一つ一つに異なったパスワードを設定することが大変重要です。

「そんなの覚えてられないよ」
「忘れるリスクがある」

いろんなご意見があると思います。でも、パスワードの使い回しが大きな危険を及ぼすことは間違いのないことなのです。

(関連ページ)
http://blog.optima-solutions.jp/archives/50639808.html
パスワードは紙にメモするべきかどうか?
http://blog.optima-solutions.jp/archives/51033061.html
パスワードはなるべく長く、英数記号込み8桁以上で!
http://jp.techcrunch.com/archives/20090719the-anatomy-of-the-twitter-attack/
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した

uda日経BP社が運営する「IT Pro」上において、株式会社セールスフォース・ドットコム(東京都港区)の宇陀社長が、質問に答える形で自社サービスにおけるセキュリティに言及しています。

要約すると、セールスフォースのデータは、巨大なデータセンターに分散して各社のものが混在するかたちで格納されており、一部を盗み出しても復元できない。また全体を盗みだすことは困難でありその意味で情報漏えいは論理的にありえないとのことです。

詳細は原文を見て下さい。

http://itpro.nikkeibp.co.jp/article/COLUMN/20100203/344112/

(私のコメント)
これは一理ありますね。マルチクライアントだからこそ、自社のデータが他社のデータに混在しており、一箇所に存在していないから危険度は低いと。こういう 言い方でクラウドのセキュリティを主張した意見は初めて見ましたので、興味を持ちました。

もちろん、その混在したデータの中から自社のデータを瞬時に取り出す鍵となるのが「ID」「パスワード」なわけで、それが盗まれて悪用されれば危険になるというのはそのとおりなのでクラウドのセキュリティ議論が一気に収束するわけではないのですが、データセンターからの流出リスクに対する一つの視点として、宇陀社長のいっていることは重要かなと思います。

↑このページのトップヘ