プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

キーワード:ワンタイムパスワードを含む記事

20

みずほ銀行は、同行のWebサイト上で、個人向けネットバンキングサービス「みずほダイレクト」のセキュリティレベルをアップさせるため、今年3月からカード形状のワンタイムパスワード生成器を導入すると発表しています。

同行では、従来から個人向けのネットバンキングにおいて、トークン型(キーホルダー形状)のワンタイムパスワードを採用していましたが、これを変更し、カード形状のワンタイムパスワード生成器を採用することにするようです。このカード形状のワンタイムパスワード生成器は、三井住友銀行、ゆうちょ銀行などの個人向けネットバンキングサービスで導入されたとの同じタイプのものになるようです(三菱東京UFJ銀行も3月から法人向けネットバンキングに導入する予定です)。

今回のパスワードカードにおいては、新規振込先に振り込む際に独自の「トランザクション認証」という方式を導入することで、悪意の第三者が勝手に振込することを防ぐとしています。

発行手数料は無料で、3月下旬から希望者に配布するとしています。

http://www.mizuhobank.co.jp/direct/security/password_card/index.html

(私のコメント)
ついにみずほ銀行もカード形状のワンタイムパスワード導入ですね。さらに財布がパンパンになるんじゃないでしょうかね。。。。。

過去のワンタイムパスワードに関連する記事はこちら

2014-12-12-18-51-00
(画面はガイドラインの表紙)

経済産業省は、12月12日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改訂版を発表しました。

経済産業省のガイドラインは、個人情報保護法の国内での施行における教科書のような存在で、とても重要な文書です。今回の改訂のポイントを簡単にまとめておきます。

1)委託先の監督の拡充
・委託先が中小企業の場合に、事業規模、実態、個人情報の性質及び量などを考慮に入れた措置を講じること。優越的地位にある場合、委託先に不当な負担を課さないこと。
・委託先の選定の際に評価するポイントを列記
・定期的な委託先業務の監査と再評価を推奨
・契約に「委託先担当者の氏名または役職」「損害賠償責任」を明記することを推奨
・再委託先、再々委託先に対しても、委託先と同様に監督することを推奨

2)安全管理の強化
望まれる手法の例示に下記を追加。
・個人情報保護管理者(CPO)については役員とし、個人データの取扱いを総括する部署や管理委員会を設置すること
・情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築
・スマホ、PC等の記録機能を有する機器の接続制限と機器の更新への対応
・入退館(室)の記録の保管
・私物媒体/機器の持ち込み禁止又は検査の実施
・カメラ撮影や作業立ち会い等による記録やモニタリングの実施
・管理者権限の分割
・アクセスログについて、速やかに外部に移動する、また管理者でも変更できないようにするなどの対策
・管理者によるアクセス状況を特に注意して監視すること
・許可していないソフトウェアの導入を防止する対策
・監視システムの設定の確認と定期的な動作確認

3)適正取得のための措置の追加
・第三者から個人情報を取得する場合、提供元の法の遵守状況と、適法に入手されていることを確認することを推奨
・第三者から個人情報を取得する場合、適法に入手されたことが確認できない場合は、取得の自粛などを推奨

4)新たな脅威に備えたセキュリティ対策手法の例示の追加
・ワンタイムパスワードの採用
・システムへのアクセス制御に加えて、データベースへのアクセス制御も行うこと

5)共同利用制度の趣旨の明確化など
・共同利用は「本人から見て当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある」場合のみ適用されるとの考え方を明記

6)消費者に対する分かりやすい説明のための参考事項追記
・利用目的の明示にとどまらず、さらに消費者に対して分かりやすく個人情報の取扱いについて説明するための記載項目を例示

7)その他
・「雇用管理分野における個人情報保護に関するガイドライン」に対応して、雇用管理情報の定義の明確化と、機微な情報が含まれることに配慮した取り扱いの徹底
・参考となる規格の中に「組織における内部不正防止ガイドライン」を追加

経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(本文)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf

(私のコメント)
ベネッセ事件を受けての見直しになっており、大変時機を得た、内容的にも適切なものと思います。このガイドラインを更新し続けている経済産業省の努力には頭が下がります。



38

当社に送られてきた案内によりますと、三菱東京UFJ銀行では、法人向けネットバンキングサービス「BizStation」「BizStation Light」のセキュリティレベルをアップさせるため、来年3月からカード形状のワンタイムパスワード生成器を導入するとのことです。

同行では、個人向けのネットバンキングに関しては、スマホアプリ方式のワンタイムパスワードを採用して注目を集めていましたが、法人向けのネットバンキングに関しては、カード形状のワンタイムパスワード生成器を採用することにするようです。このカード形状のワンタイムパスワード生成器は、三井住友銀行、ゆうちょ銀行などの個人向けネットバンキングサービスで導入されたとの同じタイプのものになるようです。

発行手数料は無料で、来年3月上旬から7月にかけて、順次利用者に簡易書留で送付されるとのことです。順次送付する理由としては、製造量の都合としています。

(私のコメント)
新規利用者と希望者のみに配布するというのではなく、全ユーザーに配布するのはメガバンクのネットバンキングサービスとしては初めてなのではないかと思います。そのために製造量が追いつかないということのようです。

過去のワンタイムパスワードに関連する記事はこちら


news0722_01
(画面は同行Webサイトより)

三菱東京UFJ銀行は、自社で運営するオンラインバンキングサービス「三菱東京UFJダイレクト」のセキュリティ向上のために、スマホアプリ方式でのワンタイムパスワードを8月10日からサポートすると、7月22日付で発表し(て)ました。

三井住友銀行、みずほ銀行、ゆうちょ銀行がそろってカード形式やキーホルダー形式のワンタイムパスワード生成器を採用する中で、三菱東京UFJ銀行はスマホアプリ方式を採用することにしたようです。

http://www.bk.mufg.jp/news/news2014/news0722.html
http://direct.bk.mufg.jp/secure/otpapp.html?link_id=p_top_visual_otpapp

(私のコメント)
ちょっと気づくのが遅れてしまいました。すみません。カード形式やキーホルダー形式のワンタイムパスワード生成器は便利なのですが、持ち歩くことを考えると財布がパンパンになるデメリットがありますので、今回のスマホアプリ方式は支持したいと思います。Web画面からの申し込みが必要で、自宅に何かの情報が送られてくるそうです。自分でも試してみますね。

10月下旬から導入が始まった三井住友銀行SMBCダイレクトのパスワードカードが届きましたので、レポートします。

43

パスワードカードは普通郵便で送られてきます。書留などで送る必要はないということのようです。

35

これがパスワードカードです。ストラップがついてきます。

33

隣が以前の暗証カード(クレジットカードと同サイズ)です。見て分かるように一般的なカードよりもサイズは小さいです。

37

カードケースに入れたところです。写真では縦にしていますが、横にすると通常のカードの代わりに収まります。ただし、厚さが3ミリありますので、この方式でメガバンクが揃い踏みしたりするとカードケースがパンパンになってしまいそうです。

パスワードカードを利用するには、電話を使用した初期登録が必要です。SMBCダイレクトにログインすると、初期登録の画面が出てきますので、画面の指示にしたがって操作すると、予め登録してある電話番号に自動的に電話がかかってきますので、音声の指示にしたがってWeb上に表示された4桁の番号を入力すると初期登録完了です。

その後は、従来の「第2暗証」の代わりにこのパスワードカードを使用することになります。ログイン時にも使用するようにすることもできるようです。レポートは以上です。

(関連記事)
三井住友銀行が暗証カードを廃止し、ワンタイムパスワード方式に統一
http://www.pmarknews.info/archives/51911616.html

smbc_passwdcard
(画像は新しく無償配布されるパスワードカード)

三井住友銀行は、9月9日付で、オンラインバンキングサービスである「SMBCダイレクト」のセキュリティ水準の一層の向上のため、利用者にログイン時の認証に使用する「パスワードカード」(ワンタイムパスワード生成器)を10月21日から無償で配布し、従来使用してきた「暗証カード」(乱数表)は一定期間の後に廃止すると発表しました。

同行では、他の金融機関に先行してワンタイムパスワードによる認証方式を導入し、今年の1月から希望者には無償で配布してきましたが、今回はそれをさらに進めて、より薄く、利便性を高めた形式のワンタイムパスワード生成器を全利用者に配布しようということのようです。

同行のインターネットバンキングサービスの利用者は約1250万人とのことで、国内のネットワークセキュリティ全体にもかなり大きなインパクトを与えるものと思われます。

http://www.smbc.co.jp/kojin/direct/passca.html

(私のコメント)
サイズはキャッシュカードより小さいので良さそうですが、厚さが3mmとのことで、これが気になりますね。この方式が普及して、銀行ごとに厚さ3mmのパスワードカードを持つとなると財布が分厚くなりそうです。

2013年10月30日追記:
このパスワードカードの無償配布が始まっています。SMBCダイレクトにログインして、「セキュリティ設定」「インターネットバンキングのセキュリティ」「パスワードカードの利用登録 」の画面から申し込み可能です。一週間程度で自宅に郵送で送られてくるとのことです。

画像1


情報セキュリティEXPO会場からレポートします。

テクマトリックス社ブースには、謎のキャラクターがいます。

まだ、名前はついてないそうですが、「ワンタイムパスワードマン」とでもしときましょう。

http://www.techmatrix.co.jp/security/securid/index.html





034_04

報道によりますと、国際通貨基金(IMF)は、11日付で、自団体のコンピュータシステムに対してサイバー攻撃を受けたと発表しました。また、ワンタイムパスワード生成器の大手であるRSA(今はEMC社のセキュリティ部門になっているそうです)のコンピュータシステムにもサイバー攻撃があり、パスワード生成ロジックなどが盗み出されたと発表されています。

いずれについても、詳細は公表されていませんが、「標的型攻撃」と呼ばれる攻撃の被害にあっているものと思われます。「標的型攻撃」とは、従来のばらまき型の「ウイルス」による被害とは異なり、特定の組織を狙って実行されるものです。特定の企業や団体に標的を絞り、そこに入り込んで情報を盗み出したり、システムをダウンさせたりするものです。先日のソニー事件も、詳細は公表されていませんが、「標的型攻撃」を受けていた可能性があります。

ところで「標的型攻撃」の実際の手口とはどんなものなのか。その一端を垣間見れる情報が、情報セキュリティの専門会社である株式会社ラック(東京都港区)のセキュリティ監視センターJSOCの川口さんの記事で取り上げられていますので、ご紹介します。

この画像のような、実際のメールの内容をそのまま再利用したメールを送信し、添付されたファイルを開かせようとするもののようです。添付ファイルを開くと、本人が知らない間にバックグラウンドで外部と通信をし、その後そのパソコンが乗っ取られるということです。ですから「不審な添付ファイルは開かないようにする」ということがこの標的型攻撃に対する一番最初の対策になるものと思われます。

ご参考まで。

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/034.html



67ec9b4b.jpgトッパンフォームズ(東京都港区)は、4月25日、開催中のRSAカンファレンスにおいて、電子ペーパー技術を使用して、クレジットカードと同様の形状のワンタイムパスワード生成器を開発したと発表した。続きを読む

2006年も終わりが近づいてきました。この一年も個人情報保護をめぐる様々な動きがありました。皆様のご愛顧におこたえし、2006年の個人情報保護関連10大ニュースをここに掲載します。どうぞ〜
続きを読む

以前より本Blog上で取り上げているシンクライアント導入の動きですが、オーエムシーカードの取り組みがCIO Onlineで詳しく掲載されていますので、紹介します。続きを読む

三井住友銀行(東京都千代田区)は、1月12日に、自社のインターネットバンキングサービス「One's ダイレクト」で、専用の生成機を使用するワンタイムパスワード認証を2月20日から導入すると発表しました。続きを読む

↑このページのトップヘ