プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:情報セキュリティ

新幹線の車窓から見えた富士山
(写真は東海道新幹線の車窓から見えた富士山です)

新年あけましておめでとうございます。
プライバシーザムライ中康二です。

新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。

(10)【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
 


(9)ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
 


(8)しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
 


(7)【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法(個情法)が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
 


(6)破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会(PPC)が11月に停止命令を出しました。改正法の第19条(不適正な利用)の初適用になるのではないかと思われます。
 


(5)マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
 


(4)ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
 


(3)【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
 


(2)【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001:2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
 


(1)【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
 


この情報が、皆様にとって何かの参考になればと思います。

今年もよろしくお願いいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-12-23_10h57_43
(画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです)

皆さんこんにちは。
プライバシーザムライ中康二です。

今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。

そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。

その中の一つに「LastPass」というパスワード管理ツールがあります。

LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。

このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。

この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。

ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。

LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。

そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。

ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。

とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。

結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。

セキュリティネクスト
(画像はセキュリティネクストより)

皆さんこんにちは。
プライバシーザムライ中康二です。

現在進行しているウクライナ戦争に関し、日本政府がロシアに対する経済制裁に参加し、ロシアに敵対しているとの見方から、ロシアのハッカー集団が日本のWebサイトに対する攻撃を実施し、実際にアクセスできなくなるなどの被害が出ているようです。

今回自ら攻撃していると公言しているハッカー集団は「Killnet」と名乗っており、ロシア系のSNSサービスTelegram上で情報発信しています。その中では「日本政府に対する宣戦布告」という言葉を使っていますが、実際には、e-GOV/eLTAXなどの政府関係サイトだけではなく、JCB/mixi/東京メトロ/大阪メトロなど政府関係ではないWebサイトにも攻撃を仕掛けているため、民間企業としても要注意です。

ただし、手法として用いられているのは、不必要な通信をサーバーに大量に送信することによりサーバーの正常動作を阻む「DDos攻撃」に留まっており、一定時間で攻撃が終了すると、サーバーは正常動作を取り戻しているようです。また、ネットワークへの侵入やサービス停止、情報流出などは確認されていないようです。

セキュリティネクストの関連記事
https://www.security-next.com/139562

piyologの解説記事
https://piyolog.hatenadiary.jp/entry/2022/09/07/025039

(私のコメント)
現代の戦争においては、正規軍によるサイバー攻撃だけではなく、今回発生しているような得体の知れないハッカー集団によるサイバー便乗攻撃が何度も発生しています。日本政府/日本企業としては、今後も警戒態勢を取っていただきたいと思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

台湾の駅のモニタにハッキング
(画像はフォーカス台湾より)

皆さんこんにちは。
プライバシーザムライ中康二です。

米国のペロシ下院議長の台湾訪問を受けて、中国政府は猛反発を見せていますが、その中で、サイバー攻撃を受けて、台湾の駅の大型モニタに反ペロシの内容のメッセージが表示されていたとのことです。

これを受けて、台湾政府としては、中国製通信機器の使用禁止の範囲を拡大する方針とのことです。

https://japan.focustaiwan.tw/politics/202208070003

(私のコメント)
中国政府のみならず、世界の各国がサイバー軍を創設し、様々なサイバー攻撃を行っていることは私もよく知っていたつもりです。そして、このような状況を背景に、米国政府は、ファーウェイなど中国企業の通信機器を国全体から排除し、同盟国にも同様の措置を呼びかけているということも知っていました。しかし、このような「目に見える形での被害」を知ったのは初めてのことなので、興味深く感じました。

私は個人的には中国とは仲良くするべきだと考えていますし、ことさら対立をあおるようなことはするべきではないと考えています。その一方で、中国という国が専制的な政治体制であり、ネット利用に対する規制も厳しく、今回のようなサイバー攻撃についても政府の関与がうかがわれることから、やはり中国製の機器の利用には一定の制限をかけざるを得ないと思いました。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

optimasolutions (2)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

早くも年末の足音が聞こえてまいりました。
コロナコロナで明け暮れた2021年という印象がありますが、
皆様はいかがでしょうか?

さて、この一年も、プライバシー/セキュリティの領域では
様々な出来事が起こりました。

・世界標準のプライバシー認証ISO27701(PIMS)がスタート
・個人情報保護法の官民一元化改正が成立
・JIPDECがプライバシーマークの新審査基準を発表
・LINEに対して個人情報保護委員会が立ち入り検査と指導を実施
・Omiaiから大量の本人確認書類が流出

などなど、目まぐるしかったですね。

さて、今回、初めての試みとして、
私プライバシーザムライと、セキュリティ博士(当社コンサルタント・大塚)
の二人によるクリスマス特別対談を開催いたします。

プライバシーマーク、ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
登壇者紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家

DSC_3045
セキュリティ博士 大塚晃司(おおつか こうじ)
オプティマ・ソリューションズ株式会社・コンサルタント
会計事務所出身
ISMS/情報セキュリティで数多くのお客様を支援してきた、腕利きコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「2021年を振り返る」プライバシーザムライ/セキュリティ博士 クリスマス特別対談
日時:2021年12月23日(木)10時から11時半
場所:リモートで開催(Zoomを利用します)
登壇者:プライバシーザムライ 中 康二×セキュリティ博士 大塚晃司
参加費:無料(1社2名様まで)
参加対象者:
 プライバシーマーク、ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
botan



皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

↑このページのトップヘ