記事 Webセキュリティ 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 2014/10/20 昨今、企業や団体が公開しているWebサイトへの攻撃が多発しており、大きな脅威となっている。ID・パスワードに頼ったログイン対策は限界を迎えており、アカウントリスト型の不正ログイン攻撃や会員個人情報の漏えいに関するインシデントも増加傾向にある。ソフトウェアの脆弱性は日々新しいものが発見され、これを悪用したサイト改ざんなども日々報道がされており、サイト運営者やユーザーにとって頭の痛い事態だろう。筆者もさまざまな企業の相談に乗ることが増えているが、そもそもどのようにセキュリティ強化を進めれば良いか悩まれている場面に遭遇することがある。本稿では公開Webサイトのセキュリティ強化を実現するためのポイントについて、そのための「アプローチ」に着目して概説したいと思う。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 個人情報保護・マイナンバー対応 トリップワイヤ、Heartbleed対策も可能な「Tripwire PureCloud」のトライアル版を提供 2014/10/10 トリップワイヤ・ジャパンは9日、クラウド型脆弱性管理ソリューション「Tripwire PureCloud」の無料トライアルサービスである「Tripwire SecureScan」を提供開始したことを発表した。
記事 政府・官公庁・学校教育IT TKC、栃木県大田原市で番号制度(マイナンバー)対応の地方公共団体向け基幹クラウド 2014/10/06 TKCは6日、10月15日より栃木県大田原市の協力のもと、番号制度、いわゆるマイナンバー制度に対応した地方公共団体向け基幹業務システム「新世代TASKクラウド(番号制度対応版)」のパイロット運用を開始すると発表した。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) NEC、地方公共団体向けにマイナンバー制度対応ソリューションを提供 2014/10/03 NECは3日、地方公共団体がマイナンバー制度に対応するために通信ネットワークのセキュリティ対策を行う「マイナンバー対応ネットワーク・セキュリティソリューション」を販売することを発表した。
記事 個人情報保護・マイナンバー対応 個人情報保護法改正は競争力を高めるか?ビッグデータ利用規制と自由化の落とし所 2014/09/18 知っている人も多いかもしれないが、来年をめどに個人情報保護法が改正されようとしている。昨今ではソーシャルメディアやモバイルデバイス、画像解析技術の発達などにより、施行以来10年以上経過している同法の運用が従来通りにいかなくなっている。とくにビッグデータ活用への適合が産業界や成長戦略を掲げる政府からも叫ばれるようになり、改正に向けた議論や法案づくりが活発化している。ここで、現状の改正の方向性や論点を整理してみよう。
記事 既存顧客強化 新潟県酒造メーカーの今代司酒造、戦略的な営業強化目的でクラウド名刺管理を導入 2014/08/11 1767年創業の新潟県の酒造メーカー今代司酒造は、戦略的な営業アプローチを実現するためにクラウド名刺管理サービスを導入した。
記事 個人情報保護・マイナンバー対応 ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは 2014/07/23 6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。
記事 個人情報保護・マイナンバー対応 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 2014/07/14 個人情報保護法が、約10年ぶりに改正されようとしている。政府の高度情報通信ネットワーク社会推進戦略本部(以下、IT総合戦略本部)では2013年12月20日に「パーソナルデータの利活用に関する制度見直し方針(以下、制度見直し方針)を決定しており、その後2014年6月24日に「パーソナルデータの利活用に関する制度改正大綱」を決定している。ここでは大綱にそって、個人情報保護法の改正が、ビジネスの現場にどのような影響を及ぼすかについて見ておきたい。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 個人情報保護・マイナンバー対応 三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために 2014/04/23 OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、多くのサイトで利用されているものだ。このOpenSSLに関して、2年前から重大な脆弱性があり、ID、パスワード、暗号化通信の秘密鍵が漏れる可能性があることが4月頭に発表された。4月21日現在でも、カナダでOpenSSLの脆弱性を利用した疑いで逮捕者が出ているほか、国内でも大手金融機関の三菱UFJニコスのクレジットカード会員向けWEBサービスに不正アクセスがあったりと、各種メディアで取り上げられ騒ぎとなっている。この脆弱性の概要とともに、実際どれほど危険なのか、パスワード変更は必要なのか、検証をかねて考察してみよう。
記事 個人情報保護・マイナンバー対応 新入社員に伝えたい、セキュリティ意識を高める3つの心得 2014/04/14 JPCERTコーディネーションセンターは3月26日、新入社員等研修向け情報セキュリティマニュアルを発表した。今回は、このマニュアルをベースにして、社員への適切なセキュリティ教育とは何かを考えてみたい。従来型の情報セキュリティ対策の限界が叫ばれている昨今では、新人社員に対しても従来型のセキュリティ教育では済まない状況が訪れているのだ。単なる対策だけでなく、セキュリティポリシーも時代に合わせた改善サイクルが重要なので、読者の皆さまもこれを機に、企業が新人のセキュリティ研修等で考えなければならない点を整理してほしい。
記事 セキュリティ戦略 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 標的型攻撃 KADOKAWA、オフィシャルサイトを一時閉鎖 不正侵入が原因か 2014/03/24 KADOKAWAは22日、自社サーバーが不正アクセスの被害を受けていたことを同社サイトで発表した。
記事 モバイルセキュリティ・MDM NTTドコモ、スマホ向け遠隔サポートを海外展開へ 合弁会社「モビドアーズ」を設立 2014/03/13 NTTドコモ(以下、ドコモ)は12日、海外の携帯電話事業者や端末メーカーを対象に、遠隔サポートソリューションを販売提案するための合弁会社を設立することに合意し、合弁契約を締結したことを発表した。
記事 知財管理 ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか 2014/02/26 ウェブサービス「twitter(以下、ツイッター)」の機能”ハッシュタグ”を使用して多数の投稿者がツイートしあった内容を、一部の投稿者がイラスト付きの本にする企画が他の投稿者などから問題視され本の発売が凍結されたという事件が起きた。このような問題はパソコン通信の掲示板の時代から20年来繰り返されているが、ネット時代では、メディア関係以外の企業でも、コンテンツの著作権、個人情報の扱いにおける配慮やルールづくりは欠かせない。事件を契機に注意すべきポイントを改めて考えてみよう。
記事 個人情報保護・マイナンバー対応 KDDI研究所、SNSやBBSの個人情報への書き込み検出ツールを発売 検出後は自動で伏せ字 2014/02/05 KDDI研究所は4日、サイトに投稿された大量のコンテンツの中から個人情報に該当する箇所を瞬時に検出し、サイト管理者の目視による除去作業の効率化を手助けする、個人情報検出ツールを開発したと発表した。
記事 ソーシャル・エンタープライズ2.0 2014年のインシデント傾向から大予測、ネット上での匿名化は進む?進まない? 2013/12/16 2013年11月25日、シマンテックのセキュリティブログ上に「シマンテックによる2014年の予測」と題されたエントリーが公開された。このインシデント傾向予測は、セキュリティベンダーや各種団体が公開している10大ニュースと並んで、業界では毎年恒例といえるものだ。今回、予測のひとつに「人々はよりプライバシーに関心を示し、行動パターンを変えるかもしれない。」との記述があり、興味深い動きだと思うので掘り下げてみたい。
記事 ID・アクセス・ログ管理 ALSOK、加齢による声質変化にも対応可能な話者認識技術アルゴリズムを開発 2013/11/26 ALSOKは26日、人の話す声から「誰が話しているか」を認識して本人確認を行うバイオメトリクス認証の1つである、話者認識技術における独自のアルゴリズム開発を発表した。
記事 セキュリティ戦略 トレンドマイクロ、オンプレミス型でファイル共有 「SafeSync for Enterprise」発表 2013/11/05 トレンドマイクロは5日、企業向けファイル共有ソリューション「Trend Micro SafeSync for Enterprise(以下、SafeSync for Enterprise)」を発表、11月27日より受注開始する。
記事 個人情報保護・マイナンバー対応 オバマやビヨンセの個人情報が違法売買される「SSNDOB」、その驚くべき手口とは? 2013/10/28 米国にて個人情報を売買する違法サービス「SSNDOB」の商材たる個人情報が、正規のデータ収集企業のシステムをハッキングして得ていたということが明らかとなりました。有名人の個人情報が暴露されたという面で、ゴシップ的な報道もされている本事件ですが、本稿ではその手口と意味について掘り下げて考えたいと思います。
記事 Office、文書管理・検索 大塚商会、PDF文書のセキュリティを強化するサービスを提供開始 2013/10/24 大塚商会は24日、電子文書セキュリティを強化するASPサービス「たよれーるPDFセキュリティサービス」を11月1日から開始すると発表した。
記事 個人情報保護・マイナンバー対応 「EUデータ保護指令」とは何か?国境を越えたデータ移動で注意すべきポイント 2013/09/11 クラウド利用促進機構が8月20日に開催した勉強会で、同機構の法律アドバイザーでありISMS認証機関公平性委員会委員長でもあるTMI総合法律事務所の大井哲也弁護士は、国内外の個人情報保護法に関する注意点について解説しました。この記事ではその中から、グローバルなクラウドサービスを提供する際に気をつけるべき「EUデータ保護指令」の部分をまとめました。
記事 個人情報保護・マイナンバー対応 ヤフー、15年以上前の採用情報と社内パスワードが流出 2013/08/30 ヤフーは29日、1998年頃の採用応募者の可能性があるリスト、ならびに1998年頃の社員用パスワード関連と思われるリストが一部の掲示板などで公開されていたと発表した。過去のどこかの時点で社外に流出したものが公開された可能性があり、流出元は不明という。
記事 医療IT ソニー、個人情報を分離してクラウドに蓄積するシステム 電子お薬手帳サービスに活用 2013/08/19 ソニーは19日、クラウド上で個人情報に配慮したデータの蓄積を可能とするシステムを新たに開発し、その最初のアプリケーションとして、交通システムや各種電子マネーで広く普及している非接触ICカード技術FeliCaのカードを利用した電子お薬手帳の試験サービスを 2013年秋より川崎市にて開始する。
記事 ビッグデータ Suicaの乗降履歴データの販売が波紋、ビッグデータのプライバシー問題が浮き彫りに 2013/07/18 JR東日本のICカード「Suica」の乗降履歴データの販売サービスが波紋を呼んでいる。このサービスは、日立製作所が7月から販売を開始したビッグデータ活用サービス。個人情報を含まない形で、JR東日本/私鉄駅など首都圏の約1800駅などにおけるSuica履歴情報をもとに、駅エリアの利用目的や利用者構成などをレポートとして提供するというもの。
記事 個人情報保護・マイナンバー対応 ビッグデータにおける「パーソナルデータ」取り扱いの7つのポイント 2013/07/18 数年前、IT業界の中から始まった「ビッグデータ」ブーム。これまで処理できなかったような膨大なデータを分析することで消費者の行動パターンを把握し、ビジネスチャンスにつなげようと各社が競っている。政府をはじめとする官公庁も、きめ細かい行政サービスが実現できるという期待から新たな成長段階に入ったかに見える。しかし、ビジネスでの利用が広がっていく一方で、の大きな課題もある。パーソナルデータの問題だ。
記事 個人情報保護・マイナンバー対応 フェイスブック、600万人分の一部個人情報が漏えい 2013/06/24 フェイスブックは21日、利用者約600万人について、メールアドレスや電話番号などの一部個人情報が漏えいしたと発表した。他のユーザーと個人情報が共有されていた可能性があるという。
記事 ビッグデータ 決定的に異なるビッグデータ環境の「ヒト」と「モノ」:篠崎彰彦教授のインフォメーション・エコノミー(51) 2013/02/21 大量の断片的データを素早く収集する情報処理技術と高度な統計解析技法が組み合わさった「ビッグデータ」現象が注目されている。「いつでも(時間)、どこでも(位置)、誰でも(ヒト)、何でも(モノ)」のデータが有機的に関連付けられ、価値ある「情報」や意思決定の支えとなる「知識」に昇華できるのだ。ただし、リアルな時空における「ヒト」と「モノ」の違いは大きい。ビッグデータの活用に際しては、「誰でも」と「何でも」の違いをよく認識しておくことが大切だ。
記事 流通・小売業IT 店舗で不用意にWi-Fiできない時代が到来?米国で新たに登場した来客管理サービス 2013/01/25 日本ではモバイルデバイスのアプリが収集する個人情報が問題となっているが、米国でも同様に特定個人への名寄せができない匿名性を確保したうえで、店舗への来店人数や履歴が分析できる「Euclid Zero」というサービスがリリースされた。モバイルデバイスが発しているWi-Fi情報を利用したものだが、はたして匿名性は本当に確保されているのだろうか。Euclid社のプライバシーポリシーから検証してみよう。
記事 Webセキュリティ UCC上島珈琲、47万人分の個人情報が改ざん ホームページの不正アクセスで 2013/01/08 UCC上島珈琲は7日、同社ホームページの一部のサイトのサーバに対して不正アクセスの痕跡があり、会員の個人情報が改ざんされるという被害があったと発表した。当該サイトには、約47万人の会員の個人情報(氏名、住所、性別、メールアドレス、電話番号、ID番号、パスワード)が管理されているという。