プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年09月

JIPDEC_GL_2

(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク推進センターは、9月17日付で、書籍として発売済みの「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」(通称:JIPDECガイドライン・第2版)のPDF無償ダウンロード提供を開始しました。

書籍版との違いは、JIS Q 15001:2006の本文の部分が削除されていることです。これは従来通りです。

書籍版の発売時より繰り返していますが、内容的にはPマークで仕事をする人は必ず目を通すべきものであり、今後のPマークの審査において最も重要な文書の一つになります。

http://privacymark.jp/news/2010/0917/index.html

(私のコメント)
今回のJIPDECの情報開示のやり方には疑問が残ります。いきなり書籍版を出して、後日に無償PDF版を出す。事前の説明や予告がありませんでしたので、私などは右往左往して書籍版を購入しました。あまり良い方法とはいえないと思いました。ガイドラインの見直しを実施したことをきちんとJIPDECとして発表し、そして日程を明らかにした上で順次書籍の発売、無償PDF提供と実施するべきだと思います。内容が素晴らしいだけに、残念です。

how_secure


社内でのセキュリティ規程を作成する際に、パスワードを何文字以上にしようか迷うことが多いと思います。そういう時に判断の助けとなるサイトをご紹介します。

http://howsecureismypassword.net/

適当にキーボード入力してみて、それを総当たり制でパソコンで解読するとした場合にどのくらいの時間が必要なのかがリアルタイムに出てきます。

いろいろ実験したら、下記のようになりました。

英小文字のみ6文字 約30秒間
英小文字+数字で6文字 約3分間
英小文字のみ8文字 約5時間
英小文字+数字で8文字 約3日間
英小文字のみ10文字 約163日間
英小文字+数字で10文字 約11年間

すなわち、英数字6文字では、たったの3分間、計算を回せば解読できるレベルということです。

英数字8文字にすれば、3日間になりました。これだと少しは安心できるかどうか。

英数字10文字にすれば、11年間になりました。これでようやく安心できるレベルですね。

ということで、実際に何文字にすればいいのかということは私から一律にお示しすることは困難ですが、6文字と8文字と10文字がパスワードとしてどのくらい違うのか。数字を入れることの意味など、相場観を皆さんにも持っていただければと思います。

<<注意>>
悪用される危険性がありますので、こういったサイトに自分が本当に使用しているパスワードを入力しないでください。


追記>

何人かの方からコメントや質問をいただいておりますので、補足します。

・上記は、CPUの最大の能力を活用して総当たり攻撃ができる環境の場合の数字です。たとえば暗号化されたZIPファイルの解読のような時にはこれが適用されます。
・一方で、オンラインサービスの場合には、レスポンス時間がもっと遅くなるでしょうから、もっと時間がかかることになります。
・また、多くのオンラインサービスでは、総当たり攻撃に対する対策として一定回数以上のパスワードエラーが続くとアカウントを一時停止する措置を取っている場合があり、このような方式を組み合わせることでリスクを小さくしています。
・たとえば、銀行のキャッシュカードの暗証番号は数字4ケタしかありませんが、何回か入力ミスをするとカードが没収されると思います。このようにしてリスクを小さくしています。

ご参考まで。

sakura_kanko

主に仙台ー東京間で格安高速バスを運行している株式会社さくら観光(福島県白河市)は、9月1日付で、自社のWebサイトが外部からの攻撃を受け、カード情報を含む個人情報約17万件が流出したと公表しました。

同社のリリース文によりますと、流出の経緯は下記の通りです。
・クレジットカード会社からの指摘を受けた。
・セコムトラストシステムズ社のサポートを受けて調査を開始した。
・韓国からの不正アクセスの可能性が高いと判明した。
・カード情報の削除と情報の再流出防止対策を実施した。
・警察当局に連絡した。
・流出した顧客にはメールならびに郵送で連絡した。

流出したのは「同社顧客の名前・フリガナ・ログインID・ログイン用パスワード・メールアドレス・クレジットカード情報 (カード番号/有効期限)・銀行名・銀行支店名・銀行口座番号・口座種別・口座名義」で、総数が21万6千件、うちカード番号が入っているものが約17万件とのことです。

このうち、ログイン用パスワードは暗号化された状態で盗まれたため、復号化は困難とのことです。

同社では、迷惑を受けた顧客に対して、500円分のポイントを発行し、次回の利用で割り引くとしています。

http://www.489.fm/
http://www.489.fm/20100901.pdf

(私のコメント)
この規模の会社でこの規模の流出を起こしてしまうことを見るにつけ、どんな会社でも情報セキュリティ対策(特にSQLインジェクション対策)は必要だなあと思います。なお、クレジットカードの再発行はしなくていいのかなあ。アリコジャパン事件の例を見ても、やはりカードの再発行しないと本当の意味では終わらないと思います。

↑このページのトップヘ