プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年09月

2013-09-27_1408
(画面はJIPDECのWebサイトより)

ISMS認証制度(一般に「ISO27001」とも言う)を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)情報マネジメントシステム推進センターは、9月26日付で、大幅な改訂作業が進められてきたISO27001について、最新版の「ISO27001:2013」が発表されたと発表しました。

内容については、JIPDECからは特に発表されておりませんが、一つ前のFDIS版からの修正点はほんのわずかのようです。

取り急ぎ、情報共有いたします。

http://www.isms.jipdec.or.jp/ikou/27001_2013/ISO_IEC_27001_2013_published.html



2013-09-26_0953
(画面は同社Webサイトより)

海外用モバイルルーターや携帯電話のレンタルサービスを展開している株式会社テレコムスクエア(東京都千代田区)は、9月20日付で、同社のサーバーに不正アクセスが発生し、カード情報約10万件が流出したと発表しました。

今回流出した情報は、2つのパターンであり、

(1)特定の法人の利用者
・2008年7月1日〜2013年4月30日の間に、同社が特定の法人用に用意した専用ウェブサイトよりサービスの利用申込みをした人の
・「会社名」「部署」「氏名」「住所」「メールアドレス」「電話番号」「カード名義」「カード番号」「有効期限」

(2)個人の利用者
・2012年6月1日〜2013年2月5日の間に同社のWebサイト(www.telecomsquare.co.jp)よりサービスの利用申込みをした人
・または同期間に空港で直接返却する以外の方法で返却した人の
・「カード番号」「有効期限」

あわせて最大97,438件とのことです。

同社では、8月1日にカード会社から不正利用の疑いとの連絡を受け、その後セキュリティ専門会社による調査を受けたそうです。当初は、被害範囲を上記の(1)のみであると想定していたそうですが、その後の調査により(2)も含まれていることが分かり、体外的に公表したとのことです。

http://www.telecomsquare.co.jp
http://www.telecomsquare.co.jp/info/info20130920cs001.html
http://www.telecomsquare.co.jp/info/info20130920cs011.html

(私のコメント)
「イモトのWiFi(エスクコムグローバル社)」に続いて、同業でほぼ同規模の流出事件が発生しました。同社のリリースでは分かりにくいのですが、2種類のサーバーが攻撃されていることから考えても、単純なSQLインジェクション攻撃などではなく、焦点を絞った標的型攻撃の可能性もあると思われます。

今後の教訓としては、今回のような中規模のサービスにおいては
・カード決済は、決済代行会社を活用する
・自社のサーバー上ではカード情報は取り扱わない(もちろん保存もしない)
ということを原則にすべきかと思います。

(関連記事)
「イモトのWiFi」に不正アクセス。カード情報11万件が流出
http://www.pmarknews.info/archives/51897030.html
総務省、エクスコムグローバルに個人情報の取扱いに関する「指導」を実施
http://www.pmarknews.info/archives/51910480.html





smbc_passwdcard
(画像は新しく無償配布されるパスワードカード)

三井住友銀行は、9月9日付で、オンラインバンキングサービスである「SMBCダイレクト」のセキュリティ水準の一層の向上のため、利用者にログイン時の認証に使用する「パスワードカード」(ワンタイムパスワード生成器)を10月21日から無償で配布し、従来使用してきた「暗証カード」(乱数表)は一定期間の後に廃止すると発表しました。

同行では、他の金融機関に先行してワンタイムパスワードによる認証方式を導入し、今年の1月から希望者には無償で配布してきましたが、今回はそれをさらに進めて、より薄く、利便性を高めた形式のワンタイムパスワード生成器を全利用者に配布しようということのようです。

同行のインターネットバンキングサービスの利用者は約1250万人とのことで、国内のネットワークセキュリティ全体にもかなり大きなインパクトを与えるものと思われます。

http://www.smbc.co.jp/kojin/direct/passca.html

(私のコメント)
サイズはキャッシュカードより小さいので良さそうですが、厚さが3mmとのことで、これが気になりますね。この方式が普及して、銀行ごとに厚さ3mmのパスワードカードを持つとなると財布が分厚くなりそうです。

2013年10月30日追記:
このパスワードカードの無償配布が始まっています。SMBCダイレクトにログインして、「セキュリティ設定」「インターネットバンキングのセキュリティ」「パスワードカードの利用登録 」の画面から申し込み可能です。一週間程度で自宅に郵送で送られてくるとのことです。

993056_611128355574340_1064840949_n
(写真は8月開催時の画像です)

いまや企業間取引における「ライセンス」ともいえるプライバシーマーク。
取引先から要望されている方も多いと思います。

一方で「プライバシーマーク取得は大変だ」という声をよく聞きます。
それは本当なんでしょうか。どうして取得するのに1年以上もかかるんでしょうか。

最近、弊社(オプティマ・ソリューションズ株式会社)でお手伝いさせていただいた
お客様の8割は6か月以内でプライバシーマークをスムーズに取得しています。

今年度内(2014年3月まで)にプライバシーマークを取得することを考えると、
今回のセミナーが最後のチャンスとなります。

是非ご参加ください。

--------------------------------------------------------------------
最近ご参加いただいた方の声
--------------------------------------------------------------------
・理解しやすく、資料もとてもすばらしいと思います。
他社のセミナーにも受講した事がありますが貴社が一番です。
丁寧にご指導ありがとうございました。
(40代女性 通販倉庫業 販売業 企画総合室 営業兼務)
--------------------------------------------------------------------
・具体的な作業内容がイメージ出来た。とてもわかりやすかった。
(50代 男性 ブライダル事業)
--------------------------------------------------------------------
・プライバシーマークについて、基本的な事や取得までの
流れについて理解できたので、ためになりました。
(30代 男性 防衛思想の普及)
--------------------------------------------------------------------
・ありがとうございました。
初心者として概要が理解できたと感じています。
(50代男性 物流業務 営業企画部長)
--------------------------------------------------------------------
・ほとんど知識のないまま参加しましたが、とてもわかりやすく取得に向けて
本日からでも実行できることがあると思いました。
(20代 女性 健康食品のインターネット通販 卸 電話通販
 EC事業部 楽天店舗店長)
--------------------------------------------------------------------
・流れがわかりやすかったです。ありがとうございました。
(40代 女性 人材派遣)
--------------------------------------------------------------------
・当社でも取得できると思いました。
(40代男性 ソフトウェア開発 取締役)
--------------------------------------------------------------------
・申請の流れは分かりました。意識や費用などもわかりましたし、
当社においての必要性も考えることが出来ました。
(50代 男性 ディスプレイ業 総務部 係長)
--------------------------------------------------------------------

【セミナー名】:「プライバシーマーク取得って大変なの?」
〜私はこうして6か月でPマークを取得した!セミナー〜
【日 時】 :2013年9月20日(金)14:20〜16:30 (14:00受付開始)
【対象者】:プライバシーマークの取得をご検討中の企業の方
【会 場】:東京国際フォーラム
東京都千代田区丸の内3丁目5番1号(各線有楽町駅よりスグ)
【受講料】:無料

お申込みはこちら:
https://www.optima-solutions.co.jp/form_seminar/

※1社2名様までご参加いただけます。
※同業者様、個人の方、士業事務所の方は、お申込ご遠慮ください。

なお、本セミナーは毎回高い参加者満足度を達成。
7月16日開催分 満足度94.7%
8月20日開催分 満足度91.6%
(開催時画像 http://mcaf.ee/7k3c2
9月3日開催分 満足度94.1%

大変、ご好評をいただいております。
安心してお申し込みください。

オプティマ・ソリューションズ株式会社
http://www.optima-solutions.co.jp



2013-09-10_0952
(画面はJavaのバージョンチェックサイト。クリックするとそこに移動します)

トレンドマイクロ社の調査によると、「Java6」に脆弱性が発生され、実際にそれを利用したウイルスが出回っているものの、開発元のOracle社は既にこのバージョンへのサポートを終了しているため特段の対処は取られていないとのことです。

トレンドマイクロ社によるとまだ50%以上のユーザーがこのバージョンを使用しているとのことですから、問題は小さくないと思われます。対処方法としては、Javaを最新版にバージョンアップすることです。または、使用していないのであれば、削除してしまうことです。

javaのバージョンチェックサイト
http://www.java.com/ja/download/installed.jsp
(うまく動作しない場合はそもそもJavaがインストールされていないということです)

関連記事
http://scan.netsecurity.ne.jp/article/2013/09/02/32371.html

(私のコメント)
ここでOracle社に文句を言うわけにもいかないのです。メーカーによるサポート終了とはこういうことなので、利用者としては、自分で対策するしか方策はないことになります。来年4月9日のWindows XPサポート終了の時には同様の問題がもっと大きな規模で起こることになると思われます。

(当Blog記事)Javaの脆弱性を突く攻撃が多発しています。
アンインストールか無効化をオススメします。
http://www.pmarknews.info/archives/51883749.html



報道機関各位
プレスリリース

2013年9月9日
オプティマ・ソリューションズ株式会社
代表取締役 中康二

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
情報セキュリティの専門会社、オプティマ・ソリューションズ株式会社が
まもなく正式発表されるISO27001の改訂の解説セミナーを開催します。
http://www.optima-solutions.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 オプティマ・ソリューションズ株式会社(本社:東京都豊島区 代表取締役:
中康二)はこの度、BSIグループジャパン株式会社(本社:東京都港区、代表
取締役社長:竹尾 直章)様の協力を得て、まもなく正式発表される予定の
「ISO27001」改訂の解説セミナーを開催します。

 ISO27001は、情報セキュティに関する国際標準規格であり、この規格を用いて、
国内では一般財団法人日本情報経済社会推進協会が「ISMS認証」と呼ばれる
第三者認証制度を運用しています。このISO27001が、今年中には改訂される
見通しであり、ISMS認証の取得済み事業者を中心に関心が高まっています。

                 記

■セミナー開催概要

題名:「ISO27001規格改訂セミナー」

セミナー内容:
(第一部)「ISO27001制度移行の詳細」
BSIグループジャパン株式会社 営業本部 高橋 善朗様
(第二部)「新しいISO27001にどのように対応するか」
オプティマ・ソリューションズ株式会社 コンサルタント 石井 敏廣

対象者:
既にISMS認証取得済み、またはこれからISMS認証を取得する予定の
事業者の役員・担当者の方

開催日時:2013年10月9日(水)14時20分〜16時30分(14時開場)

場所:東京国際フォーラム・ガラス棟会議室

参加費:無料

申込URL:http://www.optima-solutions.co.jp/archives/3541/

主催:オプティマ・ソリューションズ株式会社
協力:BSIグループジャパン株式会社

※BSIグループジャパン株式会社について
BSIグループジャパンは、1999年に設立されたBSI(英国規格協会)の日本法人です。マネジメントシステム・医療機器の認証サービスとトレーニングコースの提供をメインとし、規格開発のサポートを含め規格に関する幅広いサービスを提供しています。マネジメントシステムの認証サービスに関しては、国内で最も多くの規格の認証サービスを提供している審査機関の一つであり、数多くの規格の認証件数において国内No.1の実績を誇る、業界をリードする審査機関です。
URL:http://www.bsigroup.jp/

※オプティマ・ソリューションズ株式会社について
オプティマ・ソリューションズは、2005年に設立されたプライバシーマーク、ISMS認証、個人情報保護の専門家集団です。創業以来、国内の多くの企業にプライバシーマーク、ISMS認証などの取得、更新などのサービスを提供しており、すでに取り組み実績は550社を越えております。
URL:http://www.optima-solutions.co.jp

                              以 上

【本件に関するお問い合わせ先】
企業名:オプティマ・ソリューションズ株式会社
担当者名:高橋
TEL:0120-935-927
Email:pr.2011@optima-solutions.jp


2013-09-05_1105
(画面はマイクロソフト社Webサイトより)

長年慣れ親しまれてきたWindows XPについて、製造開発元のマイクロソフト社では、来年4月9日をもってサポートを終了するとアナウンスしています。この日以降、新たなセキュリティホールが発見されたとしても、セキュリティパッチは提供されないことになります。

しかし、Windows XPは現在でも多くの方が使用しているのです。当Blogへのアクセスログを見ても、アクセス総数のなんと28%がまだWindows XPです。来年4月までにこれらを全部買い換えることは可能なのでしょうか?

この問題に関して、情報セキュリティ関係の講師として多数の実績を持つ柴原さん(元・マイクロソフト社員の経歴もお持ちです)が、Windows XPを使い続ける方法についてのセミナーを開催するそうですので、本Blogでもご紹介いたします。

タイトル:Windows XP 延命対策! WXP利用継続のための最適セキュリティ対策
     《サポート終了後の安全対策はこれ!!》 〔セミナー&対策製品説明会〕
     〜こんな方法があった!世界中で採用されているホワイトリスト方式で安心も継続〜
日時:2013年9月19日(木) 14:00 〜 16:30 (受付開始 13:30)
場所:浅草文化観光センター 4F会議室
(東京都台東区雷門二丁目18-9)
参加費:無料

マイクロソフト社からのサポート終了のアナウンス
http://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos.aspx

セミナーの開催案内ちらし
https://dl.dropboxusercontent.com/u/1623675/WXP.pdf

セミナー申込画面
http://www.seminars.jp/s/90265

(私のコメント)
Windows XPのサポート終了は本当に頭がいたいですね。本Blogをお読みの方というと、それなり以上にセキュリティに関心のある方だと思いますが、それでも28%もまだ使われていることに驚きました。ぜひ柴原さんのセミナーで情報を得ていただきたいと思います。(なお、セミナーは無料ですが、ご提案する対策は無料ソフトを使ったものではありませんので、その点だけご注意ください。また、申込時には予備欄 に「PマークBlog見ました」と書いてください。ソフトを購入することになった場合に特別に割引してくれるそうです。)



2013-09-03_2205<
総務省は、9月3日付けで、今年4月に発生した個人情報漏えい事件に関して、エクスコムグローバル株式会社に対する文書による「指導」を行ったと発表しました。

本事件は、今年4月19日から23日にかけて、同社のWebサーバーに不正アクセスが行われ、顧客のクレジットカード情報など約11万件が流出したものです。

これに対して、総務省では、個人情報保護法と、電気通信事業者向け個人情報保護ガイドラインの安全管理措置義務の規定に違反するものであると判断し、同社に対して「安全管理対策」「社員研修」「事故の際の対応」の3点の見直し、ならびに再発防止に努めるよう「文書による指導」を行ったとのことです。

http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000121.html

エクスコムグローバル社のセキュリティ強化策の詳細(2013年8月15日発表)
http://xcomglobal.co.jp/security/

以前の記事(「イモトのWiFi」に不正アクセス。カード情報11万件が流出)
http://www.pmarknews.info/archives/51897030.html

(私のコメント)
総務省の対応は極めて適切なものと考えます。同社の対応に関しては、事件の発覚から対外的な告知まで時間がかかりすぎました。また、カード情報を不必要に2年間も保存していて、それが狙われてしまったという点では会社全体のセキュリティに対する考え方が甘すぎたんだと思います。同社においては、今回の指導を厳粛に受け止めて、再発防止していただきたいです。


↑このページのトップヘ