プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年10月

JIPDEC_NEW_logo

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)・プライバシーマーク推進センターは、12月26日(月)をもって新しいオフィスに移転すると発表しました。

(新住所)
〒106−0032 東京都港区六本木1−9−9 六本木ファーストビル
12F(プライバシーマーク事務局)、11F(審査業務室)

これに伴い、12月22日(木)〜12月25日(日)は、文書の受付などが行えないとのことです。ご注意ください。

http://privacymark.jp/news/2011/1028/index.html

(11月17日追記)
御社がJIPDECを認定個人情報団体として指定している場合には、御社の個人情報保護規程や、各種の文書に含まれる認定個人情報保護団体の表記を、上記の通り修正しておいてください。また、4月から名称も変わっていますので、それも併せて今回を機に修正されることをおすすめします。

20111027

ウイルス対策ソフト大手の株式会社カスペルスキー(東京都千代田区)は、10月25日付で、ウイルス対策ソフトの月額課金制サービス「カスペルスキー月額セキュリティサービス」を開始すると発表しました。

気になる料金ですが、下記のように、3台単位の設定になっています。3で割ると最低の場合で月額123円となり、かなりお得な水準と言えるのではないかと思います。
カスペルスキー インターネットセキュリティ(3 台版)月額 473 円(税込)
カスペルスキー アンチウイルス(3 台版)月額 368 円(税込)

※支払い方法はクレジットカードのみとなっているそうです。

http://www.kasperskystore.jp/product/2011/kss.html
(私のコメント)
年内いっぱい、4ヶ月間無料試用キャンペーンをやっているそうです。オススメします。



情報セキュリティEXPOで、マクニカネットワークス株式会社(横浜市港北区)が、標的型攻撃対策製品「FireEye」を展示しています。

これは、写真の下に写っている通りのネットワーク機器ですが、社内ネットワークのインターネットへの出入り口に設置して、全ての通信内容を下記の三段階でチェックするそうです。
1)Javascript、PDF、Flashなど、悪意のあるコードを仕込まれている可能性のあるファイルを抜き出す
2)この製品内に構築した仮想PC上で1)を実行して解析
3)外部との通信をチェックし、怪しい動きを察知
これにより、未知の標的型攻撃にも対応できるとのことです。

さらに、この製品の保守契約には1)2)3)のチェック機能のアップデートが含まれており、全世界から収集された情報を元に常に最新のパターンが提供されるとのことです。このパターンというのはウイルスのパターンではなく、標的型攻撃のパターンなので、標的型攻撃への対策になると同社では説明しています。

(私のコメント)
まだ、国内での導入事例は1社のみとのことですが、標的型攻撃への対策の必要性が国内でも高まっていいていますので、今後、このような製品の導入が進むものと思われます。(ただし、標準的な製品で初期導入費用が1000万円を超えるとのことです)

同社のWebサイトはこちら
http://www.macnica.net/fireeye/



情報セキュリティEXPOの同時開催のクラウドEXPOで、ブランドダイアログ株式会社(東京都中央区)が、SaaS型SFA/CRM「Knowledge Suite」を展示しています。

これは、いわゆるサイボウズ/SalesForceなどの対抗商品で、以前より同社が開発していたグリッドコンピューティング型のグループウェア「Gridy」を元に大幅に機能を拡張したものだそうです。

特徴としては、
・名刺入力が標準サポートされており、1枚60円で目視チェックもしてくれる。
・標準でスマートフォン対応をしている(ただし、au限定らしい)
・高機能なメール配信機能もサポート予定(閲覧ログ取得、ステップメールなどもできるらしい)
・完全従量制の料金体系(1レコード10円、ただし一社38000円上限だそうです。)
などのようです。

(私のコメント)
新たにSFA/CRMを導入される方にはオススメします。

同社のWebサイトはこちら
http://gridy.jp/knowledgesuite



情報セキュリティEXPOの同時開催のクラウドEXPOで、トークノート株式会社(東京都渋谷区)が、無料で使える社内用SNS「Talknote」を展示しています。

これは、Facebookの社内版といったもので、米国では同様のサービスは沢山ありますが、日本国内でのサービスはあまりないようです。

利用は無料ですが、ユーザーの制限や投稿の管理などの管理者機能を使用したい場合には1ユーザー月500円のプレミアム版への移行が必要とのことです。

なお、11月上旬より、KDDI株式会社がテスト導入を行うそうです。

(私のコメント)
企業でFacebookを使おうとすると、色々な問題が起こりますので、これはいいと思います。私も会社で使ってみようと思います。

同社のWebサイトはこちら
http://talknote.com/



情報セキュリティEXPOで、株式会社プロリンク(東京都千代田区)が、どこからでも会社のパソコンを遠隔操作できるUSB製品「挿したらMyPC」を展示しています。

簡単操作が売りです。
会社のパソコンのUSB端子にこの製品をセットして設定したあと、他のパソコンのUSB端子にこの製品をセットしたら、あっという間に会社のパソコンの画面が出てきて、遠隔操作できます。

同社ではこの製品を売り切りではなく、ライセンス方式で販売しており、1年間のライセンス料金が9800円とのことです。

(私のコメント)
簡単設定がよいのではないかと思いました。

同社のWebサイトはこちら
http://www.sashitaramypc.com/



情報セキュリティEXPOで、株式会社プロット(大阪市北区)が、メール関連ソリューションを展示しています。

一つは、SmoothFile5という製品で、これは「宅ふぁいる便」の代替になる、大容量ファイルを安全に社外と送受信できるものです。

もう一つは、Mail Gazer3という製品で、これは社内のゲートウェイの部分に設置することで、社員のメールの送受信内容を全てモニタリングできるというものです。

同社は、法人向けデータセンター事業をする中からこれらLinuxベースのシステムの開発・運用ノウハウを蓄積してきたとのことで、製品はハード込みのアプライアンス(仮想サーバー用ライセンスもあり)として提供されるとのことです。

(私のコメント)
こういう製品は沢山あるようですが、同社の製品はユーザー数無制限というところが良いのではないかと思いました。

同社のWebサイトはこちら
http://www.plott.co.jp/



情報セキュリティEXPO(秋)、本日から幕張メッセで開催です。この後、会場からレポートします。

(追記)
会場からのレポートを下記にまとめておきます。
・プロット社ブース>メール関連ソリューションを展示
http://www.pmarknews.info/archives/51795656.html
・プロリンク社ブース>会社のパソコンを遠隔操作できる「挿したらMyPC」
http://www.pmarknews.info/archives/51795661.html
・トークノート社ブース>無料の社内SNS「Talknote」
http://www.pmarknews.info/archives/51795672.html
・ブランドダイアログ社ブース>SaaS型SFA/CRM「Knowledge Suite」
http://www.pmarknews.info/archives/51795679.html
・マクニカネットワークスブース>標的型攻撃対策「FireEye」
http://www.pmarknews.info/archives/51795692.html





20111025

プライバシーマークの審査機関の一つである
社団法人コンピュータソフトウェア協会(CSAJ)プライバシーマーク審査室から、
「JIS Q 15001:2006」の『解説』が改訂されたとの案内が来ましたので、
本Blog上でもご紹介いたします。

「JIS Q 15001:2006 個人情報保護マネジメントシステム−要求事項解説(2011年改訂)」
http://www.webstore.jsa.or.jp/webstore/JIS/html/jp/expl/jis_q_15001_000_000_2006_expl_j_ed10_ch.pdf

主な変更点>
・経産省ガイドラインで追加された例示の追加
・取得時の表示事項など、いつ何を告知するべきかの一覧表化
などとなっています。

なお、CSAJからの案内によりますと、今回の改訂による審査基準等の変更はないとのことです。

(私のコメント)
内容はともかく、今回の解説の見直しのプロセスには異議ありです。そもそも改訂作業が非公開で、パブリックコメントの募集もなく、公式な発表もなく、差分ファイルも提供されず。。。。そのうち正式な発表があるんでしょうか?

(10月31日追記)
10月31日付で、JIPDECからも正式に案内出ました。
やはり、審査基準には変更なしとのことです。
http://privacymark.jp/news/2011/1031/index.html

chain128

報道によりますと、警視庁サイバー犯罪対策課は、10月20日までに、以前勤めていた職場の会員サイトに、本物のID、パスワードを使用して不正にアクセスし、退会手続きを行った女性(34)を不正アクセス禁止法違反などの疑いで逮捕したそうです。

この女性は容疑を認めており、以前の職場の上司に不満があったために、困らせようとして勤務していた際に自分のパソコンに保存してあったID、パスワードなどを使用したという。

(私のコメント)
このように、ID、パスワードを不正に利用してアクセスすることは、不正アクセス禁止法違反という違法行為なんです。皆様、よく知っておいてくださいね。

それから、こういう事態を避けるためにも、データベース内におけるパスワードのハッシュ化は必須であると思います。ハッシュ化してあれば、たとえシステム管理者であってもパスワードは見ることができなくなります。

PmarkForum2011

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)・プライバシーマーク推進センターは、このほど「JIPDECプライバシーマークフォーラム2011」を11月に東京と大阪で開催すると発表しました。

これは、プライバシーマーク取得事業者を対象にしたもので、各事業者内における個人情報保護の取組みを支援し、個人情報保護マネジメントシステム(PMS)をより有効なものにすることを目的としており、識者による講演、取得事業者による事例紹介、制度貢献事業者に対する表彰式などを行うとのことです。

(1) 東京: 2011年11月14日(月)
    場 所 :ANAインターコンチネンタルホテル東京(定 員 :1,000名)

(2) 大阪: 2011年11月21日(月)
    場 所 :グランキューブ大阪(大阪国際会議場)(定 員 : 700名)

参加申込みできるのは、プライバシーマーク取得事業者1社につき1名までとのことで、10月25日10時(予定)より、「付与事業者専用サイト」より行えるようになるとのことです。

http://privacymark.jp/forum/2011/index.html
http://privacymark.jp/

(私のコメント)
東京会場はすぐに満員になりそうですね。25日中に予約することをオススメします。

(11月4日追記)
JIPDECからのメールによると、なんとまだ若干の席に余裕があるそうです。お申し込みがまだの方はお早めに。

20111006_smbc

一般社団法人 JPCERTコーディネーションセンターが事務局を務める「フィッシング対策協議会」が、三井住友銀行の利用者をターゲットとしたフィッシング詐欺の実態を公表しました。

先日このBlogで取り上げました三菱東京UFJ銀行とほぼ同様の仕組みで、上記の画面のようなメールが不特定多数のメールアドレスに送付され、メールに添付されたソフトウェアを起動すると、如何にも三井住友銀行のものであるかのような画面が起動し、ID、パスワードと、振込などの際の認証に使用する乱数表の全てのデータを入力させるようになっています。

http://www.antiphishing.jp/news/alert/smbc2011106.html

(私のコメント)
これまた、本当にリアルですね。いくらフィッシング詐欺について、ある程度の知識を持っていても、何人かに一人の確率で騙されてしまう人が出てくることは想像に難くありません。

(10月14日追記)
三井住友銀行からも正式な案内が出ています。
http://www.smbc.co.jp/security/index.html
また、報道によりますと、実際に1000万円規模の不正な送金が行われたそうです。同行のネットバンキング口座は1200万件とのこと。みなさんくれぐれもご注意ください。

↑このページのトップヘ