プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2020年11月

E-Learning-768x303
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

Pマーク/ISMS取得企業にとってかかせない定期教育。
御社はどのように行っていますか?

長く続く新型コロナの感染拡大は、社会に大きな影響を与えており、
集合研修の実施は事実上難しいと言えるのではないでしょうか?

また、3つの密を避けることだけではなく、Pマーク/ISMS取得企業にとっては、
定期教育へのE-Learning導入はたくさんのメリットがあります。

そこで、私は当社がご提供している
「プライバシーマーク/ISMSのためのE-Learning」
をオススメします。

当社E-Learningシステムの三大メリット!
ー勸を一箇所に集める必要がない
▲僖錺櫃龍軌藥駑舛鯲用できる!
もちろん教育記録も自動生成!


さらに、当社のご提供するE-Learningには、
Pマーク/ISMSに特化したサービスならではの特長もあります。

・当社のノウハウが詰まった教材雛形をご提供!
・システムの運用は当社担当者が代行!


新型コロナ以降、当社へのお問い合わせも増えてきていることから、
今回は特別に
「Pマーク/ISMSのためのE-Learning活用セミナー」
を開催いたします。

導入にあたって、何を用意したらよいのか、
実際にどんな手順でやるのか、など
私、プライバシーザムライが具体的にご説明をいたします。

どうぞセミナーにご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:Pマーク/ISMSのためのE-Learning活用セミナー

日時:2020年12月23日(水)16時から17時
場所:リモートで開催(Zoomを利用します)
講師:プライバシーザムライ 中 康二
参加費:無料(1社2名様まで)
参加対象者:プライバシーマーク/ISMS取得事業者の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2


皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

新しい添付ファイル送信方式
皆さんこんにちは。
プライバシーザムライ中康二です。

先日、「当社は暗号化ZIPファイル添付/パスワード別送(PPAP)をやめることにしました」という記事を掲載したばかりですが、そのPPAP方式が政治の世界で取り上げられて話題になっています。

・平井デジタル相が「デジタル改革アイデアボックス」を開設(10月9日)
・「PPAP(暗号化zipの添付廃止)」というアイデアが掲載される(10月10日)
・そのアイデアが最も高い評価を維持する
平井デジタル相が「政府としてのPPAP全廃」を発表(11月16日)

この流れは政府だけではなく、民間にも当然流れてくるわけです。
平井大臣の発表の直後に、こんな事がありました。

・JIPDEC/Pマーク推進センターが、PPAPについて「従来から推奨していない」と発表(11月18日)

「プライバシーマークの審査にはPPAP方式が必須」と考えていた多くの人々に、驚きを持って受け止められたようです。

ただし、全廃後どうするんだという話に関しては、平井大臣も「当面はパスワードを電話などで伝える」「アイデアボックスで募集する」などとしており、答えが出ていません。民間企業の皆さんの中でも、今後どうするべきかお困りの方が多いことと思います。

そこで、私プライバシーザムライが、現在考えられるPPAPの代替案を大胆に提案いたします。機密性の低いものからレベルを分けて説明しますので、是非ご覧になってください。
(0)添付ファイルは使わず、本文に必要事項を記載して送る

これ実は大事な話です。そもそもその添付ファイル必要ですか?ということです。

ミーティングの開催案内とか、面会記録とか、テキストで表現できるものは添付ファイルとせずに、本文に内容を記載して送信すればいいのです。
(1)機密性の低い場合はZIP暗号化せず、そのまま添付ファイルとして送る

次も大事な話です。そもそも電子メールに暗号化必要ですか?ということです。

電子メールはバケツリレー方式で送信されるからどんな管理者の元を通過するかわからない(メールの内容はハガキの裏面と同じで、配達員に見られるもの)と言われてきました。しかし、それは古い常識です。今やほとんどの電子メールは自社のメールサーバーから相手のメールサーバーに直送され、その間の通信はTLSで暗号化されています。また電気通信事業者には通信の秘密の義務もあります。本文も含めて電子メールの内容が漏れるようなことがあれば、大きなニュースになっていることでしょう。

自社のサービス案内、公開講座のプレゼン資料など、機密性が低いものについては、暗号化など行わずにそのまま添付ファイルとして送りましょう。
(暫定2)どうしても暗号化ZIPファイルを添付したい場合は、パスワードをメール以外の方法で送る

従来どおり暗号化ZIPファイルを作成して添付ファイルとして送信したい場合には、パスワードを、SNSのチャット機能/携帯のショートメッセージなど、メール以外の全く別の方法で送信する。パスワードはあらかじめ二者間で決めておけば、毎回変更しなくてもOK。

※これが暫定2となっている理由は、そもそも暗号化ZIPがウイルスフィルターを通過し、emotetなどで悪用されているため、世界的に見直されようとしているからです。
(2)機密性が中くらいのファイルは、旧宅ふぁいる便のような仕組みで送付する

ファイルサイズが大きいものや、社外秘の資料などについては、使い捨てURL/使い捨てパスワードのストレージサービス(旧宅ふぁいる便みたいなサービス)を使って送信する。URLもパスワードも同一メールで送信してよい。一定期間が過ぎるとサーバー上のファイルは削除する。
(3)機密性の高いファイルは、しっかりとした認証機能のついたストレージサービスなどで二者間共有する

個人データベースになるようなファイルとか、技術ノウハウ、未発表のリリース文など、機密性の高いものについては、しっかりとした認証機能付きのストレージサービス(例:Googleドライブ、Dropbox、Boxなど)上に置き、送付先にアクセス権を付与することでダウンロードしてもらうようにする。ただしこの方法では、先方がそのサービスのアカウントを持っているかなど、事前に合意と調整が必要となる。

いろいろ考えてみましたが、代替案としては、このようになるかなと思います。

これらを企業内で実践する際には、(2)(3)について、無料/有料いずれを利用するにせよ、社員に勝手に選ばせるのではなく、システム管理者が一定の指針を出して、どのサービスを利用するのか選定する必要があると思います(そうでないと新たなシャドーITを作り出してしまいます)。

参考までに当社では
(2)として「HENNGE Secure Transfer」(HENNGE Oneのライセンスに含まれているもの。本記事のタイトル画像がそれです)
(3)として「Googleドライブ」(Google Workspaceのライセンスに含まれているもの)
を利用する方針です。

皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ファイルフォース
皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナ対応で広がっている在宅勤務。
この在宅勤務で一番困るのが、ファイル共有ではないでしょうか?

GoogleワークプレイスやMicrosoft 365に付属してくる
GoogleドライブやOneDriveは機能が中途半端ですし、
DropBoxやBoxなどの専用サービスもありますが、
あくまでもファイル「同期」サービスであり、
ノートパソコンを紛失した際には情報流出になってしまいます。

そんな皆さんに、ファイル共有クラウド「ファイルフォース」を
オススメしたいです。


ファイルフォースを導入すると、自宅でも外出先でも、
オフィスのファイル共有サーバーと同じように
Windowsパソコンに「Zドライブ」としてマウントして
・ダブルクリックで開く
・ゴミ箱に入れて削除
・ドラッグ&ドロップで移動
・コピー&ペーストで複製
など、いつものようにマウスで簡単に操作できます。
(上記画面をご覧ください)

大量のファイルをアップロードする際でも
フォルダごとドライブにコピーするだけで、
あとは自動的に処理されます。

しかも、ファイルフォースはローカルドライブには
暗号化されたキャッシュしか保存しないため、
万が一、ノートパソコンを紛失した場合でも管理者側で
権限を停止すれば、それ以上情報流出することはありません。


さらには、フォルダごとの権限管理も
Windowsファイルサーバーと同様にフレキシブルに行えますから、
部署ごと、役職ごとに細かく権限を制御することもできます。

利用ログをブラウザ画面で確認できますので、
プライバシーマークの審査で求められるアクセスログの確認に活用できます。

(ここはWindowsサーバーよりも上です)

このファイルフォースは、当社でも活用しており、
情報セキュリティ面でのメリットも大きいので、
プライバシーマーク・ISMS取得事業者の皆様に
広くオススメしたいと考えております。


当社(オプティマ・ソリューションズ株式会社)は、
ファイルフォース社の正式な代理店です。
当社を経由してファイルフォースをご契約いただけます。

当社を経由してファイルフォースをご利用いただく三大メリット!
〆把5アカウントからご契約いただけます。
(通常は100アカウント以上となっています)
⊇藉費用なし。月額料金だけのシンプルな料金体系です。
(通常は初期費用がかかります)
5蚕僖汽檗璽箸魯侫.ぅ襯侫ース社が直接担当します。
(専門スタッフが対応しますのでご安心いただけます)


30日間無料トライアルもできます。
下記からどうぞお申し込みくださいませ!
   ↓↓↓↓↓↓↓↓↓↓
   ↓↓↓↓↓↓↓↓↓↓
   ↓↓↓↓↓↓↓↓↓↓
FF-Demo

また、何か情報が入りましたら、皆様にシェアいたしますね。

online_kaigi_suit_man
(画像はイメージです。いらすとやさんから)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナの感染が広がる中で、プライバシーマークの審査、特に現地審査は「3つの密」を避けられないことから、どのように対応するべきか気にされている方も多いことと思います。

プライバシーマーク制度全体を運営しているJIPDECは「現地審査の実施が著しく困難な場合の現地審査の代替措置の実施基準」というタイトルの文書を9月30日付けで公表し、これによりフルリモートでの審査(審査員が全く事業所を訪問しない審査)を制度的に認める環境を整えてきました。

この実施基準によると、天変地異や感染症などにより現地審査の実施が著しく困難であるとJIPDECが判断した場合に、一定の期間を定めて遠隔審査(リモート審査)の実施を認めるとなっていました。ですから、私としては実際にフルリモート審査を行う際にはJIPDECから何らかの公式発表があるのかなと思っておりました。

ただし、当社に入ってきている情報によりますと、すでに複数の審査機関でフルリモートでの現地審査が部分的にせよ実施されているようです。

・主に更新審査が対象になっているようです。(取得は対象外)
・都内の企業も対象に含まれるようです。(遠隔地のみではない)
・小規模な企業も対象に含まれるようです。(大企業だけではない)


断片的な情報でしかありませんが、取り急ぎ皆様にも共有しておきたいと思います。

(過去記事)JIPDEC、Pマークのリモート審査に関する実施基準を公表
https://www.pmarknews.info/privacy_mark/52131557.html

(私のコメント)
昨日のプライバシーマーク担当者勉強会でもお話しましたが、プライバシーマークの審査においても、今後はフルリモート審査への移行が進んでいくと思われます。もちろんNOということはできるかも知れませんが、そういう流れを前提に対応されることをオススメいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。



emotet2
(画面は当社に実際に送られたemotetメールです)

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年くらいからemotetというウイルスが話題に上がっていましたが、
どんどん進化していて、少し危険度が上がってきていますので、
本Blogでもご紹介したいと思います。

emotetに感染してしまうと、実際にやり取りされたメールが盗み取られ、
その内容やメールアドレスが次の攻撃に使用されます。


すなわち、数日前に実際に送信したメールに対する返信として、
攻撃メールが送られてくることになります。

説明のために、下記の人物を設定します。
Aさん=emotetに感染してしまった人
Bさん=Aさんとメールのやり取りをしている人

(1)Bさんが仕事のメールをAさんに送ります。
(2)AさんからBさんに対して、返信メールが送られてきます。
 しかし、少し様子が変です。変な添付ファイルがついています。
(3)Bさんは不審に思いながら、添付ファイルを開きます。
 これにより、Bさんのパソコンにemotetが感染します。

このようにして、次々と感染を広げています。

また、emotetは、Wordファイルのマクロ機能を使用する場合が多いようです。

添付ファイルを開くと、下記のような画面が出てきて、
「コンテンツの有効化」をクリックするように促されます。
これをクリックするとゲームオーバー。emotetに感染します。
emotet3
(画面はJPCERT/CCより)

さらに今年に入りemotetが進化し、パスワード付きZIP圧縮ファイルの形式で
添付ファイルが送られるようです。


こうすることで、ウイルスチェックのフィルターを通過してしまいますし、
パスワード付きZIPファイルは日本のビジネスマンには親しまれているために
開封率が上がっているようです。

emotetに感染してしまうと、過去のメールのやり取りが抜き取られてしまうため、
次にどんな攻撃に利用されるか分かりません。


ウイルス対策ソフトでemotetを除去したとしても、
抜き出された情報は戻ってきません。

お取引先に迷惑メールがたくさん送られるような事態になる可能性もあります。
充分ご注意ください。

参考URL
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
https://www.ipa.go.jp/security/announce/20191202.html
https://privacymark.jp/news/system/2020/1016.html

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ