プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年05月

global_data
(画面は同社Webサイトより)

「イモトのWiFi」のサービス名称で、海外用モバイルルーターや携帯電話のレンタルサービスを展開しているエクスコムグローバル株式会社(東京都渋谷区)は、5月27日付で、同社のサーバーに不正アクセスが発生し、カード情報約11万件が流出したと発表しました。

今回流出した情報は、
・2011年3月7日から2013年4月23日までの間に、
・同社が運営する「GLOBALDATA」「Global Cellular」において
・クレジットカードを使用して申し込んだ人の
「カード番号」「有効期限」「カード名義人名」「セキュリティコード」「住所」
109,112件とのことです。

同社では、4月23日にカード決済代行会社から連絡を受けて、同日ただちにサーバーでの申し込み停止ならびにカード情報の削除などを実施したと言います。その後、セキュリティ専門会社による調査を受けて、今回の体外的な公表を実施したとのことです。

http://www.globaldata.jp/ (GLOBALDATA)
http://www.globalcellular.jp/ (Global Cellular)
http://www.xcomglobal.co.jp/ (会社情報サイト)

(私のコメント)
今回の対応は、発表が遅いと思います。流出が判明してから既に1ヶ月が経過しています。カードの不正利用が発生した場合には、既に個別にカードの再発行なども行われているはずです。しかも、サーバーは何事もなかったかのように動き続けています。こんなのんきな対応でいいのでしょうか?私、この会社のサービスを時々利用しているだけに、非常に問題を感じます。


Yahoo__JAPAN
(画像はYahoo!Japanの画面イメージ)

ヤフー株式会社(東京都港区)は、5月23日付で、自社で運営しているYahoo!Japanのパスワード約150万件が、不正アクセスにより流出した可能性が高いと発表しました。

同社では、17日付で、総数2億あるYahoo!Japanのアカウントのうちの2200万のID(パスワードは含まず)が不正アクセスにより流出した可能性があると発表済みですが、その後の調べにより、暗号化したパスワードも流出した可能性があると判明したそうです。

流出したのは、Yahoo!Japanのアクセスに使用する
・不可逆暗号化されたパスワード
・パスワードを忘れた場合の再設定に必要な情報
148.6万件とのことです。

同社によると、パスワードは不可逆暗号化されていることから即座にこの情報を使用して不正な利用はできないとしています。また、秘密の質問を利用してパスワードを再設定するための機能を23日19時に停止し、また、対象となるアカウントについては、5月24日の早朝を目途に強制的にパスワードと秘密の質問をリセットするとしています。

http://pr.yahoo.co.jp/release/2013/0523a.html

(私のコメント)
国内最大級のネットサービスであるYahoo!Japanに不正アクセスがあったわけですから、今後も何があってもおかしくないですね。

owabi

個人情報漏えいが発生しますと、各企業はお詫び文をウェブサイトに掲載したり、お詫びの記者会見をしたりします。しかし、どの程度の内容で、どの程度の対応をするべきなのでしょうか?というテーマについて、本Blogでは何回か記事にしています。

今回は「私物スマホの紛失を公表するべきかどうか」を取り上げてみたいと思います。

最近、ある企業が下記のプレスリリースを公表しました。


平成 25 年 4 月 ●● 日

各 位
株式会社●●●●●●
代表取締役社長 ●●● ●●


お取引先担当者様の個人情報を含むスマートフォンの紛失について


この度、弊社従業員が、お取引先担当者様の個人情報を含む私用のスマートフォンを紛失するという事態が発生いたしました。本件の経緯と今後の対応につきまして、下記のとおりお知らせさせていただくとともに、お取引先担当者の皆様にご心配とご迷惑をお掛けすることになりましたことを深くお詫び申し上げます。


1.紛失の経緯について
平成 25 年 4 月 ●● 日(●)午後 10 時 30 分頃から翌日午前 2 時 00 分頃までの間、東京都中央区●●●周辺又は帰宅途中のタクシー車内において、弊社従業員が、お取引先担当者様の氏名及び電話番号(約 100 件)が登録されている私用のスマートフォンを紛失いたしました。
平成 25 年 4 月 ●●日(●)、弊社従業員が紛失したと思われる行動範囲を探しましたが、発見することができなかったため、携帯電話会社へ連絡し、当該スマートフォンの使用停止措置を実施しました。また、管轄の警察署に遺失物届を提出しましたが、現在に至るまで発見されておりません。
なお、当該スマートフォンはセキュリティロックを設定し、現在のところ、紛失したお取引先担当者様の情報に係る不正使用等の事実は確認されておりません。

2.今後の対応について
弊社といたしましては、今回の事態を真摯に受け止め、スマートフォンを含む携帯電話に関する取扱いルールの再確認等により再発防止に努め、適切な個人情報の取扱いについて徹底させて参る所存でおります。

なお、本件に関するお問合せにつきましては、下記お問合せ窓口までご相談くださいますようお願い申し上げます。
【お問合せ窓口】
T E L:03-●●●●-●●●●
担当:●●
以上


発生した事実は下記の通りです。
・社員が私物スマホを紛失した
・取引先の個人情報100名分が含まれていた
・セキュリティロックはかかっていた

ここまでの情報をわざわざ社外に公表する必要があるのでしょうか?
再度、経済産業省のガイドラインを見てみたいと思います。


個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(29ページ)
(カ)事実関係、再発防止策等の公表
二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。
ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間等で、当該事案に関する情報が共有されることが望ましい。
・影響を受ける可能性のある本人すべてに連絡がついた場合
・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合
・漏えい等をした事業者以外では、特定の個人を識別することができない場合(事業者が所有する個人データと照合することによって、はじめて個人データとなる場合)


要約しますと、
1) 全員に連絡がついた場合
2) 誰にも見られることなく回収した場合
3) 高度な暗号化がされている場合
4) 第三者では個人を識別できない場合
には、公表しなくてもよいとしています。

今回のケースは上記のどれにあたるか不明なのですが、「1) 全員に連絡がついた場合」を実行すれば、必ずしも、本ガイドラインとしては「公表を省略しても構わない」となる考えます。

ま、通常の商慣習的に考えても、Webで公表する前に、取引先に個別に連絡するべきでしょうし、そこで個別にお詫びすれば、このようにプレスリリースをするまでもないように思います。(もちろん、社外に広く公表することで社員の意識を高め、こういう恥ずかしい事態を二度と繰り返さないという経営陣の考え方は理解できます)

私がこの記事を書いている趣旨は、今回のお詫び文書を見て、「うわ、こんな規模の個人情報漏えいでもお詫び文を掲載しなくちゃならないんだ」と勘違いして、それがまた次の勘違いを生んで、、、というような事態は避けたいということです。経済産業省のガイドラインなどを、皆さんがしっかり理解されて、行動されることを求めます。

(過去の記事も御覧ください)
http://www.pmarknews.info/archives/51730627.html
http://www.pmarknews.info/archives/51731891.html


画像1


情報セキュリティEXPO会場よりレポートします。

マクニカネットワークス社ブースでは、企業向けWiFi機器としてARUBA Networks社の製品を紹介しています。

これは、複数のアクセスポイントを社内に設置して、既存の認証システムと接続したり、集中管理したりできるという製品ですが、昨今のスマホやタブレットの普及により、ニーズが改めて高まっているそうです。

コンビニチェーン店頭での無料WiFiサービスも広がっていますが、そういうニーズにもぴったりなんだそうです。

一つ面白い機能がありました。このWiFiアクセスポイントをは、他のアクセスポイントを捜し出す機能があるそうなのですが、この機能を使用すると、会社が許可していない野良WiFiアクセスポイントを見付け出すことができるんだそうです。

ネットワーク管理者としては、嬉しい機能なのではないかとおもいます。オススメします。

画像1


http://www.macnica.net/aruba/




画像1


情報セキュリティEXPO会場よりレポートします。

スマホやタブレットを業務で使用させる場合に、特に頭が痛いのが紛失時の情報流出でしょう。BYOD(私物機器を業務で使用させる)の場合には、なおさらでしょう。

そこで、今回のEXPOではそういったことに対するソリューションが多く出品されていますが、中でもソリトンシステム社ブースで説明されていた「DME」をご紹介します。

これは、スマホやタブレット用の一つのアプリで、そのアプリの中にメールソフトやスケジューラ、ブラウザなどを含んでいるいわば仮想環境です。この仮想環境に限って、会社のメールサーバーや業務システムへのアクセスを許可するようにすることで、会社の情報は全てその仮想環境内に収められていることになり、私用の情報とは明確に分離できます。また、万が一の紛失などの際にも、アプリとそこに含まれる情報だけを削除すれば一切の情報流出を心配しなくてよいということになるわけです。

実際の画面を見せていただいて、詳しい話を聞かせていただきましたが、なかなかいけてると思いました。

価格的にも1端末月1000円程度だそうですので、オススメします。

画像1


http://www.soliton.co.jp/products/service/dme/


画像1


情報セキュリティEXPO会場からレポートします。

この一年間の情報セキュリティの分野における話題の中心は「標的型攻撃」でした。標的型攻撃がどうして話題の中心にい続けたのかといえば、抜本的な対策が存在しないということでした。実際に、昨年春のEXPOの時点では、情報セキュリティEXPOの会場を見渡しても、標的型攻撃対策と銘打ったソリューションはほんの一握りしかありませんでした。

一年間経過して、遂にトレンドマイクロが立ち上がりました。それが「Deep Discovery」です。これは専用のハードウェア製品であり、内部にサンドボックスと呼ばれるWindowsなどの仮装環境を多数持ち、ウイルスであることが疑われるファイルや通信内容に関して実際にその仮想環境内で動作させてそれがウイルスなのかどうか確認できるというものです。クロと判断されたものについてはそれ以降の動きを止めるように、各端末のウイルスバスターに指示を出すこともできますし、判断に迷うものについては同社の専門家に相談することもできるそうです。

このように、同社では、標的型攻撃に対して、単なるシステムで対応するのではなく、人の手を介したサービスを組み合わせて、より実効性のあるソリューションにしようとしており、そのことを「カスタムディフェンス」と名付けて、広く大手企業や官公庁などに提供しようとしているようです。

標的型攻撃は、被害の規模や影響が国家レベルや国防レベルの話になっていますので、こういったソリューションによって、本当に被害が抑えられるようになって欲しいと思います。

画像1


http://jp.trendmicro.com/jp/solutions/customdefense/index.html



画像1


情報セキュリティEXPO会場からレポートします。

中国系のセキュリティ専門会社「NS FOCUS社」では、DDOS対策機器とWAFを展示してます。

どちらも何百万もする製品なのですが、特に手軽なソリューションとして、月々7万円から契約できる「クラウドWAF」を提案しています。

これは、標的型攻撃などをはじめとする不正アクセスから、自社サーバーを守るものです。DNSの設定を切り替えておき、全ての通信をクラウド上のこの専用機に振り向けることで、不正なアクセスを遮断するものです。

今なら、お試し利用もできるそうです。オススメします。

画像1

画像1


情報セキュリティEXPO会場からレポートします。

テクマトリックス社ブースには、謎のキャラクターがいます。

まだ、名前はついてないそうですが、「ワンタイムパスワードマン」とでもしときましょう。

http://www.techmatrix.co.jp/security/securid/index.html





56


情報セキュリティEXPO会場よりレポートします。

株式会社イーセクターブースでは、BYODを実現する「moconavi(モコナビ)」を紹介しています。これは、スマホ用のセキュアブラウザを使うことで、端末に情報を残さない形でBYOD(Bring your own device・ビーワイオーディ・社員の私物端末を業務で活用すること)を実現できる製品です。

社員が業務上の情報にアクセスする場合において、通常のブラウザでのアクセスを許可せず、「moconavi」からアクセスさせるようにすれば、メール、グループウェア、共有フォルダ、その他の業務システムにアクセスしたとしても端末には情報は残りませんし、万が一紛失した場合でもアクセス権を停止すれば、情報流出が防げるというものです。

月1000円程度とのことで、導入しやすい価格設定になっているようです。BYODを始めたい企業のシステム管理者の方は、検討してみてはいかがでしょうか?

http://www.esector.co.jp/product/moconavi.html


52

情報セキュリティEXPO会場よりレポートします。

株式会社MCセキュリティブースでは、不正侵入防御ゲートウェイ(IPS)の「NetStable」を紹介しています。これは、企業のネットワークとインターネットの接続点に配置し、全ての通信内容をチェックすることで、そのパターンから不正を検知するシステムです。

また、通信を遮断するURLも指定できますので、特定のWebサイトを指定して社員に見せないようにすることもできます。300クライアントくらいまで使用できる「MC-60S」というエントリー製品は月額3万円程度と、この手の製品としては破格の安さになっています。

03

同社は、島根県の会社だそうですが、真面目に開発しているようですので、興味を持たれた方は試して見ることをオススメします。

http://www.mcsecurity.co.jp


画像1


情報セキュリティEXPO会場からレポートします。

データセキュリティコンソーシアムブースの中の落し物ドットコムコーナーでは、簡単なアンケートに答えるだけで売価1280円の「リターンタグ」を無料でプレゼントしています。

これは、QRコードが記されたシールで、スマホやノートパソコン、財布などに貼り付けておくことで、万が一落とした場合でも回収できる可能性を高めるというもので、実際に使えるリターンタグがなんと2枚入っています。

通常は1280円で販売されているものです。これは見逃せませんね!!!

http://tag.otoshimono.com/


画像1


情報セキュリティEXPO会場からレポートします。

今年もIPA(独立行政法人情報処理推進機構)ブースでは、豊富な資料を無償で配布中です。
IPAは情報セキュリティーに関して国民を広く啓発することを事業のひとつとしており、今回のブース出展もその一環のようです。
普通はPDFダウンロードしかできないものが製本された紙で入手できたり、動画のDVDなどもあるようですので、オススメします。

画像1

↑このページのトップヘ