プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2018年06月

カスペルスキー氏

皆さんこんにちは。プライバシーザムライこと、オプティマ・ソリューションズの中です。

6月15日に幕張メッセで開催された展示会「Interop(インターロップ)」で、ロシアのカスペルスキー社を率いるユージン・カスペルスキー氏が世界の情報セキュリティに関する最新情報を講演しました。以下に要約をまとめます。

------------------------------------------------------------
私がウイルス対策ソフトを作り出した1997年同時、一日のマルウェアの数は約40個だった。
今は36万個、年間1億を超えている。これらを自動処理することで対応できている。
------------------------------------------------------------
一方で、通常のウイルス対策ソフトではカバーしきれない、
もっと高度な攻撃が増えている(いわゆる標的型攻撃のことを指していると思います)。
2010年に発覚したスタックスネット以降、複雑で専門性の高い攻撃が続いている。

世界中に100以上のグループがあり、これらの組織的な攻撃を行っている。
大半は国家主体のスパイ組織
一部は営利目的の犯罪グループ

これらはウイルスに含まれる言語や、主に活動している時間帯を調べることである程度分かる。
多いのは米国/英国/ロシア/中国だ。

日本を本拠とする攻撃グループは、まったく存在していないと思われる。
攻撃は沢山受けているが、攻撃を仕掛けているグループはゼロ。
本当に例外的な国だ。

------------------------------------------------------------
私たちの会社に対して、悪い報道があった(カスペルスキー社のソフトが
ロシア政府のスパイに利用されているとして、米国政府が政府機関からの
締め出しを命じたなどのことを指しているようです)。

それは、我々だけが米国の攻撃を検知しているからだ。
他社は米国のマルウェア検知を苦手としているようだ。

我々は言語に関係なく検知しているだけだ。
考えを変えるつもりはない。
------------------------------------------------------------
今や、サイバー攻撃が世界経済に与える影響は
年間6000億ドル(約60兆円)に上る。
これは国際宇宙ステーション4つ分だ。

Carbanakという不正ソフトを使った銀行へのハッキングにおいては、
まず行員のパソコンを乗っ取って諜報活動を行い
次に管理者のパソコンを乗っ取って
ATMからどんどん現金を出させた
合計で10億ドル盗み出したと言われている。

バングラディシュ中央銀行へのハッキングもあった。
NY連銀に送金を指示し、8100万ドルの送金に成功した。
9億ドル弱は、ほんのわずかなスペルミスで送金に失敗
(正:Foundation→誤:Fandation)。
もし全額が盗まれていたとしたら、
貧しいバングラデシュという国家破綻の可能性もあったかもしれない。

Cutlet Makerという不正ソフトを使った銀行ATMに対する攻撃。
この不正ソフトは、ビットコイン5000ドル分で販売されており、
トレーニングビデオがあり、攻撃手法を学べるようになっている。
実行した人は捕まっているが、ソフトの販売者は捕まっていない。
------------------------------------------------------------
遂にIOTの時代がやってきた。
火災報知器も、監視カメラも、空調も、ドアロックも、
以前は電気デバイスだったが、今はサイバーになっている。
自動車のサイドブレーキも今やサイバー。
飛行機もコンピュータが操縦している。

人間とコンピュータを比較すると、人間の方がミスが多い。
しかしコンピュータには脆弱性がある。

SCADA(産業制御システム)に対する攻撃が発生している。
石炭の重さを図るコンピュータを乗っ取って数字をわずかに改ざんし、
石炭を盗み出した。

全ての国家はもっとサイバーセキュリティのために教育を行わなければならない。
日本も子供の時からコンピュータサイエンスを教えるべきです。
大学でのサイバーセキュリティ教育にお金を配分するべきです。

------------------------------------------------------------
IOTセキュリティのために、組込機器用OSの「Kaspersky OS」を
ご提供します。どうぞご活用ください。
------------------------------------------------------------

(私のコメント)
カスペルスキー氏の講演は久しぶりにお聞きしましたが、相変わらずかっこよかったです。特に米国政府からの攻撃に対する反論の部分は、さらっとしていて、悪ぶるところもなく、聞くものに信頼感を与えるものでした。下記の参考記事に記載されていますが、同社としてはスイスに開発拠点を移すことで、技術的な透明性を高め、米国とロシアの対立に巻き込まれることを防ぐ考えのようです。

(参考記事)
スパイ疑惑は“フェイクニュース”、カスペルスキー氏が米英の締め出しに反論
https://www.bcnretail.com/market/detail/20180612_63970.html

(関連記事)
カスペルスキーの信頼性が揺らいでいるようです。
http://www.pmarknews.info/Information_security/52059357.html

また、新しい情報が入りましたら、シェアしますね。





皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が5月25日から施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることについて、メディアでも多く報道されており、関心が高まっていると思います。

本来、これは国際法務、しかも個人情報保護という絞り込まれた分野の話になりますので、全貌を把握することがかなり困難な領域です。

その割には、有象無象の様々なところから、危機感をあおる情報ばかりが出てきておりますので、日本のビジネス界として過剰反応している部分があると思います。

これじゃいかん!

ということで、わたくしプライバシーザムライが、分かる限りの情報を分析し、日本のビジネスマンの皆さんとしてどのように動くべきか、取りまとめてみましたので、是非参考にしていただければと思います。

一言でいうと、過剰に反応する必要はないということと、全く新しい法律なので、誰も正解を分かっていないということです。

本当に助けてもらいたければ、国際法務に詳しい弁護士さんにお願いするしかないというのが私としての結論です。

https://www.slideshare.net/kojinaka55/gdpr-103532229
(全画面表示にしてスライド1枚目から順番に見ていってください)

また、何か情報が入りましたら、皆様にシェアいたしますね。





公益通報
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報の取扱いに関する公益通報窓口を開設したとWebサイト上で発表しました。

2004年に定められた公益通報者保護法において、労働者が業務上知りえた違法行為に関して、社内外に通報したとしても、一定の条件を満たしている場合には不利益を一切受けないこととされました。

今回の個人情報保護委員会の公益通報窓口の開設は、個人情報保護法やマイナンバー法を管轄する行政機関として、公益通報を受け付ける体制を整備したものと言えます。

●公益通報の方法

(郵送の場合)
〒100-0013
東京都千代田区霞ヶ関3-2-1
霞が関コモンゲート西館32階
個人情報保護委員会事務局総務課宛
※「公益通報」と明記する

(電子メールの場合)
kojyoui_tsuuhou@ppc.go.jp
※添付ファイルは不可

(FAXの場合)
個人情報保護委員会事務局総務課宛
FAX:03-3593-7962
※「公益通報」と明記する

https://www.ppc.go.jp/application/internalreport/

(私のコメント)
今後、個人情報の流出事件・事故などが発生した場合に、会社がしっかりとした対応を取らない場合に、内部の関係者が個人情報保護員会に公益通報するケースが出てきそうですね。

また、何か情報が入りましたら、皆様にシェアいたしますね。



EU_JP
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

つい先日、「GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に」という記事を掲載したばかりですが、日本とEUの間での話し合いに大きな進展が出てきたようです。

5月31日に、個人情報保護委員会の熊澤委員と欧州委員会のヨウロバー委員が日本で会談し、日EU間の個人データ移転に関して、可能な限り早期に、日本とEUの双方が、互いに個人情報の取扱いに関する「十分性認定」を行うことで、基本的な合意に達したとのことです。

EU側が、新しい個人情報保護法制「GDPR」において「十分性認定」という考え方を採用しており、EUと同様の個人情報保護法制を取っている場合に限り国単位で十分性を認定し、EU居住者の個人情報を持ち出す場合に、本人の同意がなくても可能としていることを前回の記事で書きました。

一方で、日本も2017年に施行された改正個人情報保護法において、同様の「十分性認定」の考え方を採用しており、日本居住者の個人情報を持ちだす場合には同様の規制があります。

今回は、日本とEUの間で、相互にこの「十分性認定」を行う方向で作業を進めていくことが合意されたということです。

https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/

(関連記事)
GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に
http://www.pmarknews.info/kojin_joho_hogo_ho/52073729.html
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
前の記事を書いたその日に実は会談が行われていたということで、タイミングが良すぎたなと思いました。EUからの個人情報の移転ばかりが気にされていますが、日本からの個人情報の移転も同じく気にするべきだなと思った次第です。

また、何か情報が入りましたら、皆様にシェアいたしますね。




SAY企画
(画面はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライこと、オプティマ・ソリューションズの中です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、日本年金機構から受託した業務で大きな問題を発生させた株式会社SAY企画(東京都豊島区)に対して、プライバシーマークの一時停止措置とすると、6月1日付で発表しました。

同社は、日本年金機構から受託した年金情報の処理業務を、中国の関連会社に無断で再委託したうえで、31万件以上の入力ミスを発生させ、今年2月の年金の支払い時に間違った金額で支給されるという事態を招いたとして、問題となっていました。

https://privacymark.jp/news/system/2018/0601.html

(私のコメント)
誠に残念な事態だと思います。プライバシーマーク制度としても、日本のビジネス社会全体としてもこのような事態を再発させないことが必要だと思いますし、私(プライバシーザムライ)としても、当社(オプティマ・ソリューションズ株式会社)としても、その一助となれるようさらに努力してまいります。

また、新しい情報が入りましたら、シェアしますね。



↑このページのトップヘ