プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2018年03月

04
(画像はLogmiより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

580億円相当の仮想通貨が盗難されて大きな問題となっているコインチェック事件。一通りの事実について確認されていますが、今回の事件も原因は標的型攻撃だったようですね。

3月8日に行われた記者会見の内容が「Logmi」というサービスで全て文字になって掲載されていますので、詳しく参照できますが、下記の内容が確認できました。

・外部の攻撃者が、コインチェックの社員の何名かにウイルスを仕込んだメールを送信した。
・そのメールは、コインチェック社に宛てられた内容のものだった。
・複数の社員がそのメールを開いたために、複数のパソコンがウイルスに感染した。
・攻撃者は、感染したパソコンを利用して社内に侵入できるようになった。
・攻撃者は、コインチェック社内の仮想通貨の置かれていたサーバーから秘密鍵を摂取し、それを使って大量の仮想通貨を自分のアカウントに不正送金させた。

大胆なやり口とは言えると思いますが、まったく典型的な標的型攻撃です。

年金機構事件や、JTB事件と、大まかな流れは同じです。ただし、これまでのターゲットは、個人情報、機密情報でした。金銭的価値そのものではありませんでした。

仮想通貨では、データそのものが金銭的価値を持つことになります。今回の事件でもほんのわずかなデータ量が盗み出されただけで、とてつもない大きさの価値が盗み出されたことは注目に値すると思います。

https://logmi.jp/272784

また、何か情報が入りましたら、皆様にシェアいたしますね。



28
(画像はネットワークビギナーのための情報セキュリティハンドブックより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

電子機器やネットワークサービスなどの認証に使用されるパスワードについて、「定期的な変更」を行うのが情報セキュリティの常識とされてきました。国内でもメガバンクなどのオンラインバンキングでは一定期間が経過すると強制的にパスワード変更を促されるようになっています。またプライバシーマーク・ISMSの審査においても、パスワードの定期的な変更は行うのが当然とされてきてました。

一方で、「パスワードの定期的な変更は無意味だ」という意見も出され続けていました。実際にパスワードの定期的な変更を強制すると、「パスワードが分からなくなった」「ログインできない」というような問い合わせが頻発して、サポートコストが増大することもあり、無料で利用できるようなクラウドサービスではパスワードの定期的な変更はほとんど行われていませんでした。

パスワードの定期的な変更は、長い間、情報セキュリティ界の神学論争のようになっていたのです。

この流れを大きく変えたのが、2017年に米国NIST(国立標準技術研究所)が発行したガイドラインです。このガイドラインの中では明確に「パスワードの変更を任意に(例えば定期的に)要求するべきではない」とされました。パスワードの定期的な変更を要求しなくてもよいではなく、要求するべきではないとされたのです。

パスワードを無理やり変更させるということは、せっかく本人が記憶している(またはどこかに記録している)パスワードを放棄させることになりますから、結果的にパスワードが簡略化されたり、末尾だけ変更されるようになったり、覚えきれなくなって紙に書いて画面の横に貼るような結果を招くだけだということで、むしろ「パスワードは定期的に変更を強制するべきではない」ということになったようです。

これを受けて、日本の内閣サイバーセキュリティセンター(NISC)や総務省も正式に方針を転換し、ハンドブックやWebサイトでの記載も年末くらいから順次見直しされてきているようです。

現在、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」では、「望ましい手法の例示」の中に「パスワードの有効期限を設定している」という内容があります。
01

これについても、今後は見直しが入ることになると思います。2017年版JISに対応したガイドライン第3版では、パスワードの有効期限の設定という項目はなくなっていることでしょう。

また現在パスワードの定期的な変更を強制しているメガバンクのオンラインバンキングも今後は方針を変更することになるでしょう。そうでないといい笑いものになりますからね。

米国NISTが発行したガイドライン
https://pages.nist.gov/800-63-3/sp800-63b.html

ネットワークビギナーのための情報セキュリティハンドブック(NISC)
http://www.nisc.go.jp/security-site/handbook/index.html

国民のための情報セキュリティサイト(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

パスワード「頻繁に変更はNG」 総務省が方針転換(日経新聞)
https://www.nikkei.com/article/DGXMZO2857837026032018CC1000/

また、何か情報が入りましたら、皆様にシェアいたしますね。



17
(画像はTBSニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

Facebook利用者を対象とした「診断アプリ」が2013年に作成され、診断を受けた30万人と、その友達の個人情報、あわせて約5000万人分が利用規約に違反してダウンロードされ、他の用途に再利用されていたことが問題になっています。

特に前回の米国大統領選挙で、トランプ陣営がこれらの情報を活用していたとの報道もあり、騒ぎが大きくなっているようで、Facebook社の株価も下がり、CEOのマーク・ザッカーバーグ氏がコメントを発表して事態の収拾を図っている状態です。

Facebookアプリが、アプリ本来の機能の実現に必要がない場合であっても、利用者の許諾さえ得れば、利用者本人とその友達の個人情報をまるごとダウンロードできる仕様になっていることは、当時から問題視されていました。外部からそのような声を上げても、Facebook社として素早い対応が取られてはいませんでした。

一方の利用者も、Facebookアプリが不必要に個人情報をダウンロードしていることについて、数多くの方法で様々な警告がなされていたにも関わらず、無頓着にアクセス権を承諾していたという実態があります。

ですから、ちょっと私などからすると、「何を今さら」という感は否めません。また同様のアプリは他にもたくさん存在しており、おそらくダウンロードされた個人情報を累計すると、数十億〜数千億件くらいの規模になっていてもおかしくないと思います。

ともあれ、Facebook社としては今日までこれに対する対策を徐々に進めてきました。今回、大きな問題になったことにより、それをさらに加速し、今後は批判をあびるようなことがないようにすることでしょう。

というわけで、これでまずは一安心ということになるのだと思いますが、今後も、Facebookの利用にあたっては、掲載する個人情報の利用方法や許諾範囲について、注意深くチェックして、慎重に対応することが必要だと思います。

2011年に書かれた警告記事
http://socialmediaexperience.jp/3617

マーク・ザッカーバーグ氏のコメント
https://www.facebook.com/zuck/posts/10104712037900071

参考記事:Facebookで使用しない方がいいと思うひとつの機能(改訂版)
http://www.pmarknews.info/archives/51852736.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



15
(画面は日本規格協会のWebサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

一般財団法人日本規格協会は、プライバシーマークの準拠規格であるJIS Q 15001の最新版「JIS Q 15001:2017」について、正誤表を公開しました。

附属書AとBにおける条文番号などの細かな訂正になりますが、今後の文書作成などで反映されていないといろいろと支障が出ると思いますので、ご確認いただければと思います。

説明ページ
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017
PDFダウンロード
https://webdesk.jsa.or.jp/pdf/errata/J201803/jis_q_15001_000_000_2017_cor_1_201803_j_ch.pdf

(私のコメント)
本件は、弊社シニアコンサルタントの遠藤がチェックしていて、私に教えてくれたものです。助かります!

また、何か情報が入りましたら、皆様にシェアいたしますね。



スライド10

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

当社では、昨年より「プライバシーマーク・ISMSのためのE-Learning」をご提供しております。先日のPマーク担当者勉強会でもご来場された方にご案内しましたところ、多くの反響をいただきましたので、こちらでもご案内させていただきます。

プライバシーマーク・ISMSの定期教育には、原則として下記の3つの条件を満たす必要がありますが、苦労されているご担当者様は多いことと思います。
(1)毎年一回の開催が必要
(2)すべての社員(含むパート・アルバイト)の受講が必要
(3)全員の受講記録が必要

E-Learningを導入することで、あまり苦労することなく、この3条件を満たすことができます。

まず、集合研修を行う必要がなくなり、移動時間などスキマ時間を利用して教育を実施できるので、通常の業務に支障を与えることなく実施できます。特に、事業所が点在している企業の場合には移動時間も節約できてより大きな効果が見込めます。

コンテンツについては、パワーポイントのデータを変換して取り込めますので、前年までと同じように自社で作成したものを使用できます。コンテンツの刷新を希望される場合には、弊社がひな形をご提供いたしますので、それを元にカスタマイズして利用できます。

また、コンテンツをシステムに登録したり、社員の皆さんにメールでご案内するといった運用については、当社側で行いますので、ご担当者様は
(1)教育コンテンツ(PowerPoint)
(2)理解度テストの設問と正解(Excel)
(3)社員のメールアドレスのリスト(Excel)
の3つをご用意いただくだけです。(未受講者への催促はしていただきます)

設定した期間が終了しましたら、システムから教育記録をダウンロードできます。これはプライバシーマーク・ISMSの教育記録としてそのまま利用できるものになっています。

このサービスは、有料のサービス(10万円〜)となっていますが、 当社のサービスにご契約中のお客様については、無料でお使いいただけます。

興味をもっていただいた方には、デモアカウントをご提供しますので下記からお問い合わせください。(デモアカウントの発行は無料です)

https://www.optima-solutions.co.jp/e-learning

また、役立つ情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ