記事 個人情報保護・マイナンバー ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは 2014/07/23 6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。
記事 個人情報保護・マイナンバー 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 2014/07/14 個人情報保護法が、約10年ぶりに改正されようとしている。政府の高度情報通信ネットワーク社会推進戦略本部(以下、IT総合戦略本部)では2013年12月20日に「パーソナルデータの利活用に関する制度見直し方針(以下、制度見直し方針)を決定しており、その後2014年6月24日に「パーソナルデータの利活用に関する制度改正大綱」を決定している。ここでは大綱にそって、個人情報保護法の改正が、ビジネスの現場にどのような影響を及ぼすかについて見ておきたい。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 ゼロトラスト・クラウドセキュリティ・SASE Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? 2014/06/11 いまやWebサイトは、企業のビジネスに不可欠な存在だ。ECサイト、ブランディング、マーケティング、企業内のイントラネットなど、さまざまな用途でWebサイトが活用されている。一方で、Webサイトをめぐるセキュリティ事件・事故が急増しているのも事実だ。JPCERT/CCのデータによれば、2011年には8485件だったWebサイト関連のセキュリティ事件・事故の報告件数が、2012年には20019件、2013年には2万9191件と急増している。その中で、現在のビジネスに欠かせない自社のWebサイト/Webアプリケーションをどう守っていけばよいのか。本稿では、特にコストの視点から最適なセキュリティ投資を考える。
記事 個人情報保護・マイナンバー 三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために 三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために 2014/04/23 OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、多くのサイトで利用されているものだ。このOpenSSLに関して、2年前から重大な脆弱性があり、ID、パスワード、暗号化通信の秘密鍵が漏れる可能性があることが4月頭に発表された。4月21日現在でも、カナダでOpenSSLの脆弱性を利用した疑いで逮捕者が出ているほか、国内でも大手金融機関の三菱UFJニコスのクレジットカード会員向けWEBサービスに不正アクセスがあったりと、各種メディアで取り上げられ騒ぎとなっている。この脆弱性の概要とともに、実際どれほど危険なのか、パスワード変更は必要なのか、検証をかねて考察してみよう。
記事 個人情報保護・マイナンバー 新入社員に伝えたい、セキュリティ意識を高める3つの心得 新入社員に伝えたい、セキュリティ意識を高める3つの心得 2014/04/14 JPCERTコーディネーションセンターは3月26日、新入社員等研修向け情報セキュリティマニュアルを発表した。今回は、このマニュアルをベースにして、社員への適切なセキュリティ教育とは何かを考えてみたい。従来型の情報セキュリティ対策の限界が叫ばれている昨今では、新人社員に対しても従来型のセキュリティ教育では済まない状況が訪れているのだ。単なる対策だけでなく、セキュリティポリシーも時代に合わせた改善サイクルが重要なので、読者の皆さまもこれを機に、企業が新人のセキュリティ研修等で考えなければならない点を整理してほしい。
記事 セキュリティ総論 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 標的型攻撃・ランサムウェア対策 KADOKAWA、オフィシャルサイトを一時閉鎖 不正侵入が原因か KADOKAWA、オフィシャルサイトを一時閉鎖 不正侵入が原因か 2014/03/24 KADOKAWAは22日、自社サーバーが不正アクセスの被害を受けていたことを同社サイトで発表した。
記事 モバイルセキュリティ・MDM NTTドコモ、スマホ向け遠隔サポートを海外展開へ 合弁会社「モビドアーズ」を設立 NTTドコモ、スマホ向け遠隔サポートを海外展開へ 合弁会社「モビドアーズ」を設立 2014/03/13 NTTドコモ(以下、ドコモ)は12日、海外の携帯電話事業者や端末メーカーを対象に、遠隔サポートソリューションを販売提案するための合弁会社を設立することに合意し、合弁契約を締結したことを発表した。
記事 データベース 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 2014/03/03 昨今、標的型攻撃やマルウェアの感染、意図的な内部犯行、あるいは人的な操作ミスなどによって、企業内の重要な情報が次々と漏えいし、社会的な問題になっている。もちろん企業も手をこまねいているわけではないが、ウイルス対策やファイアウォール、IPS/IDSの設置など、外からの攻撃については一定の対策を行っている一方で、企業の中のデータ、特にもっとも重要な情報が格納されているデータベースに目線を移すと、背筋も凍るようなセキュリティ対策で済ませているケースが少なくない。今後アマゾンに代表されるようなパブリッククラウドを利用し、社外にデータを保管するケースも増えていく中で、企業のデータはどのようにすれば安全に守りきることができるのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webの不正アクセス被害、情報漏えいだけが問題ではない Webの不正アクセス被害、情報漏えいだけが問題ではない 2014/02/27 企業のWebサイトを狙った攻撃が後を絶たない。個人情報やクレジットカード情報を扱う企業、しかも名前の知られた著名企業においても、こうした漏えい事件が頻発している。金融機関やネット通販サイトにとって、個人情報やクレジットカード情報を保有できるかどうかは競争力の源泉とも言うべきもの。顧客との信頼があって、初めて預かることができるものだ。しかし、それが一度漏えいしてしまえば、経済的な被害を補填する可能性があるだけでなく、その顧客は二度と自社サイトを利用してくれないだろう。こうした情報漏えいの問題は、これまでも言い古されてきたことではあるが、Webの担当者はそれ以外の問題にも頭を抱えている。
記事 知財管理 ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか 2014/02/26 ウェブサービス「twitter(以下、ツイッター)」の機能”ハッシュタグ”を使用して多数の投稿者がツイートしあった内容を、一部の投稿者がイラスト付きの本にする企画が他の投稿者などから問題視され本の発売が凍結されたという事件が起きた。このような問題はパソコン通信の掲示板の時代から20年来繰り返されているが、ネット時代では、メディア関係以外の企業でも、コンテンツの著作権、個人情報の扱いにおける配慮やルールづくりは欠かせない。事件を契機に注意すべきポイントを改めて考えてみよう。
記事 個人情報保護・マイナンバー KDDI研究所、SNSやBBSの個人情報への書き込み検出ツールを発売 検出後は自動で伏せ字 KDDI研究所、SNSやBBSの個人情報への書き込み検出ツールを発売 検出後は自動で伏せ字 2014/02/05 KDDI研究所は4日、サイトに投稿された大量のコンテンツの中から個人情報に該当する箇所を瞬時に検出し、サイト管理者の目視による除去作業の効率化を手助けする、個人情報検出ツールを開発したと発表した。
記事 ID・アクセス管理・認証 ID・パスワードの仕組みは既に崩壊!?現代の企業認証はどうすればいいのか ID・パスワードの仕組みは既に崩壊!?現代の企業認証はどうすればいいのか 2014/01/17 複雑なパスワードでセキュリティを維持できたのは、過去のこと。今やIDとパスワードで認証を行うのは非常に危険、そんな時代がやってきた。簡単なパスワードであれば高い確率で見破られるのはもちろん、キーロガーでパスワードを抜き取られてしまったり、他のサイトから漏えいしたパスワードを使いまわしされるという問題もある。とはいえ、パスワードを非常に複雑にして、サービスごとに使い分け、さらにそれを短期的に変更する、といったことは普通は難しい。そんな現代において、企業は認証の仕組みをどう整えるべきなのか。
記事 ID・アクセス管理・認証 ログの有効活用で実現するセキュリティ、今SIEMが注目されている理由は? ログの有効活用で実現するセキュリティ、今SIEMが注目されている理由は? 2014/01/08 セキュリティの世界で、SIEM(Security Information and Event Management:セキュリティ情報イベント管理)というキーワードが注目を浴びている。この言葉自体は決して新しいものではなく、ログ管理やコンプライアンス確保のためにIT統制に取り組んだ経験がある読者には見覚えのあるものだろう。そのSIEMが、今なぜ再び脚光を浴びているのか。そしてコンプライアンスではなくセキュリティの側面から取り組むSIEMとはどのようなものなのか。
記事 ソーシャルメディア 2014年のインシデント傾向から大予測、ネット上での匿名化は進む?進まない? 2014年のインシデント傾向から大予測、ネット上での匿名化は進む?進まない? 2013/12/16 2013年11月25日、シマンテックのセキュリティブログ上に「シマンテックによる2014年の予測」と題されたエントリーが公開された。このインシデント傾向予測は、セキュリティベンダーや各種団体が公開している10大ニュースと並んで、業界では毎年恒例といえるものだ。今回、予測のひとつに「人々はよりプライバシーに関心を示し、行動パターンを変えるかもしれない。」との記述があり、興味深い動きだと思うので掘り下げてみたい。
記事 ID・アクセス管理・認証 ALSOK、加齢による声質変化にも対応可能な話者認識技術アルゴリズムを開発 ALSOK、加齢による声質変化にも対応可能な話者認識技術アルゴリズムを開発 2013/11/26 ALSOKは26日、人の話す声から「誰が話しているか」を認識して本人確認を行うバイオメトリクス認証の1つである、話者認識技術における独自のアルゴリズム開発を発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 止まらないWebセキュリティ問題、事故1件で数千万円の被害を防ぐための方策とは 止まらないWebセキュリティ問題、事故1件で数千万円の被害を防ぐための方策とは 2013/11/13 会員情報の漏えい、クレジットカード番号の流出など、Webを介したセキュリティ問題が連日のように報道されている。日本ネットワークセキュリティ協会によれば、個人情報漏えい事故による推定被害額は1件あたり3,780万円にのぼる。一方で、パスワードリスト攻撃やTorのような匿名性の高いツールを使った攻撃の高度化も進んでおり、適切な対応をしているはずの大手企業やWebサービス事業者も被害を受けている。従来型のWebセキュリティ対策が限界を迎える中、新しいWebセキュリティ対策手法に注目が集まっている。
記事 セキュリティ総論 トレンドマイクロ、オンプレミス型でファイル共有 「SafeSync for Enterprise」発表 トレンドマイクロ、オンプレミス型でファイル共有 「SafeSync for Enterprise」発表 2013/11/05 トレンドマイクロは5日、企業向けファイル共有ソリューション「Trend Micro SafeSync for Enterprise(以下、SafeSync for Enterprise)」を発表、11月27日より受注開始する。
記事 個人情報保護・マイナンバー オバマやビヨンセの個人情報が違法売買される「SSNDOB」、その驚くべき手口とは? オバマやビヨンセの個人情報が違法売買される「SSNDOB」、その驚くべき手口とは? 2013/10/28 米国にて個人情報を売買する違法サービス「SSNDOB」の商材たる個人情報が、正規のデータ収集企業のシステムをハッキングして得ていたということが明らかとなりました。有名人の個人情報が暴露されたという面で、ゴシップ的な報道もされている本事件ですが、本稿ではその手口と意味について掘り下げて考えたいと思います。
記事 Office、文書管理・検索 大塚商会、PDF文書のセキュリティを強化するサービスを提供開始 大塚商会、PDF文書のセキュリティを強化するサービスを提供開始 2013/10/24 大塚商会は24日、電子文書セキュリティを強化するASPサービス「たよれーるPDFセキュリティサービス」を11月1日から開始すると発表した。
記事 ID・アクセス管理・認証 【特集】いまそこにある脅威にどう対応?企業の認証システムを考える 【特集】いまそこにある脅威にどう対応?企業の認証システムを考える 2013/10/17 水飲み場攻撃やパスワードリスト型攻撃、ドライブ・バイ・ダウンロード攻撃など、新たな脅威が増える一方で、Webシステムは増加し、「認証」を行う場面は増える一方だ。脅威が増す中で、いま企業の認証システムはどうあるべきなのだろうか。
記事 情報漏えい対策 標的型攻撃のステップを7つに分解、先回り対策が可能な「Active Defense」とは? 標的型攻撃のステップを7つに分解、先回り対策が可能な「Active Defense」とは? 2013/09/12 特定企業を狙った標的型攻撃は、一般的な攻撃に対するセキュリティ対策ではなかなか防ぎきれない。そのため「APT攻撃の一連の流れを7つのステップにモデル化した“Cyber Kill Chain”をもとに、いずれかのステップで攻撃の流れ(チェーン)を断ち切るという考え方が重要だ」と強調するのは、マクニカネットワークス セキュリティ研究センター長を務める政本憲蔵氏だ。標的型攻撃の検知を回避する攻撃者側のテクニックや、熾烈を極める標的型攻撃への対応策について解説する。
記事 個人情報保護・マイナンバー 「EUデータ保護指令」とは何か?国境を越えたデータ移動で注意すべきポイント 「EUデータ保護指令」とは何か?国境を越えたデータ移動で注意すべきポイント 2013/09/11 クラウド利用促進機構が8月20日に開催した勉強会で、同機構の法律アドバイザーでありISMS認証機関公平性委員会委員長でもあるTMI総合法律事務所の大井哲也弁護士は、国内外の個人情報保護法に関する注意点について解説しました。この記事ではその中から、グローバルなクラウドサービスを提供する際に気をつけるべき「EUデータ保護指令」の部分をまとめました。
記事 個人情報保護・マイナンバー ヤフー、15年以上前の採用情報と社内パスワードが流出 ヤフー、15年以上前の採用情報と社内パスワードが流出 2013/08/30 ヤフーは29日、1998年頃の採用応募者の可能性があるリスト、ならびに1998年頃の社員用パスワード関連と思われるリストが一部の掲示板などで公開されていたと発表した。過去のどこかの時点で社外に流出したものが公開された可能性があり、流出元は不明という。
記事 情報漏えい対策 監視型セキュリティ対策とは何か?押えておきたい3つの要素 監視型セキュリティ対策とは何か?押えておきたい3つの要素 2013/08/23 これまで企業のセキュリティというと、どうしても「防御」が中心だった。もちろんセキュリティ対策として守りを固めることは重要だ。しかし昨今のような標的型サイバー攻撃では、どんなに守りを固めても、あっさりとすり抜けられてしまうという苦い現実もある。このような状況で起きているのが、従来の境界型セキュリティ対策から視点を広げた監視型セキュリティ対策へのシフトである。この監視型セキュリティ対策とはいったどういったものなのか。その要点を解説する。
記事 情報漏えい対策 被害最小化のために押えておきたい、マルウェア感染の攻撃が成立する3つのステップ 被害最小化のために押えておきたい、マルウェア感染の攻撃が成立する3つのステップ 2013/08/22 大手自動車メーカーのホームページ改ざん事件、ソーシャルメディア上で横行するスパム問題──今、注目を集めるこれらの事件は多くの企業にとって無関係なものではなく、重大なセキュリティインシデントをもたらす可能性のあるものだ。かつてのようにインターネットからイントラネットへの侵入をどのように防ぐのか、またインターネットからPCにダウンロードされるマルウェアをどのように撃退するのかという意識だけでは対策が追い付かなくなりつつある。新たな脅威にどう対処すればいいのか、EMCジャパン RSA事業本部 マーケティング部 部長の水村 明博氏に話を聞いた。
記事 医療業界 ソニー、個人情報を分離してクラウドに蓄積するシステム 電子お薬手帳サービスに活用 ソニー、個人情報を分離してクラウドに蓄積するシステム 電子お薬手帳サービスに活用 2013/08/19 ソニーは19日、クラウド上で個人情報に配慮したデータの蓄積を可能とするシステムを新たに開発し、その最初のアプリケーションとして、交通システムや各種電子マネーで広く普及している非接触ICカード技術FeliCaのカードを利用した電子お薬手帳の試験サービスを 2013年秋より川崎市にて開始する。
記事 データ戦略 Suicaの乗降履歴データの販売が波紋、ビッグデータのプライバシー問題が浮き彫りに Suicaの乗降履歴データの販売が波紋、ビッグデータのプライバシー問題が浮き彫りに 2013/07/18 JR東日本のICカード「Suica」の乗降履歴データの販売サービスが波紋を呼んでいる。このサービスは、日立製作所が7月から販売を開始したビッグデータ活用サービス。個人情報を含まない形で、JR東日本/私鉄駅など首都圏の約1800駅などにおけるSuica履歴情報をもとに、駅エリアの利用目的や利用者構成などをレポートとして提供するというもの。
記事 個人情報保護・マイナンバー ビッグデータにおける「パーソナルデータ」取り扱いの7つのポイント ビッグデータにおける「パーソナルデータ」取り扱いの7つのポイント 2013/07/18 数年前、IT業界の中から始まった「ビッグデータ」ブーム。これまで処理できなかったような膨大なデータを分析することで消費者の行動パターンを把握し、ビジネスチャンスにつなげようと各社が競っている。政府をはじめとする官公庁も、きめ細かい行政サービスが実現できるという期待から新たな成長段階に入ったかに見える。しかし、ビジネスでの利用が広がっていく一方で、の大きな課題もある。パーソナルデータの問題だ。
