特集

IPAが「安全なウェブサイトの運用管理に向けての20ヶ条」を公開

12月12日にIPA(独立行政法人 情報処理推進機構)が「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」というコンテンツを公開しました。これは2015年に「16ヶ条」として公開されたものの増補改訂版という位置づけで、その名の通り昨今の時流を反映して4つの項目が追加されています。

続きを読む

特集

同意なき情報収集の代償としての信頼

ここ数ヶ月、トレンドマイクロ社のアプリがAppleのApp Storeから公開停止の措置を受け、それを巡って炎上する事件が発生しました。
今回はこの経緯をまとめながら問題点を探りたいと思います。

事の発端は9月10日頃、App Storeで公開されていたトレンドマイクロ社の「Dr.Antivirus」「Dr.Cleaner」「Dr.Unarchiver」などが忽然と公開停止されました。
少しさかのぼった9月8日頃に、これらのアプリがブラウザ履歴などを収集し外部に送信している疑いがあるのではないかと話題になり、これを受ける形でAppleから公開停止の措置を受けたということのようです。

続きを読む

もっと身近にセキュリティ

「システムの管理」ちゃんとできてますか?

さくらインターネット社が呼びかけた「ユーザへのお願い」が少し話題になったので、内容を紹介しながら考えてみたいと思います。

これは11月9日に行われた「JPAAWG 1st General Meeting」のセッションの中でさくらインターネット社から語られたもので、具体的には

1)パスワードはすべて適切な強度を満たすように設定する
2)なるべく自動アップデートを利用する
3)ファイアウォールを設定すること、
ウェブアプリケーションファイアーウォール(WAF)を活用する
4)持続的な運用または終了方法を考える

という対策を実施して欲しいというものです。

続きを読む

特集

なかなか進まない「常時SSL」

JIPDECは国内企業等のWebサイトの内、常時SSL(対象のサイト内の全ページがSSL化されていること)に対応しているのは20.6%だったとする調査結果を公表しました。

業種別では大学と銀行がそれぞれ50%を超え、学校・ホテル・通販・動物病院・インターネットなどが続きます。それ以降はサービス業が30%前後の割合で並び、下位を見ると製造業が多いという印象でしょうか。
都道府県別だと東京・福井・沖縄・富山・京都が上位、下位には山形・青森・栃木・茨城となっています。また資本金・従業員数・売上高別で見ると、それぞれ規模と比例して常時SSL化対応が進んでいるというのも面白いところです。

SSL証明書の認証タイプで見ると、「ドメイン認証(DV)」が8割以上を占めていて、「EV認証(EV)」は1.9%と大きく差が開いています。

(参考:SSL証明書の種類)

ドメイン認証(DV) ドメイン認証タイプの証明書(Domain Validation)で、メールなどを利用してドメインのオーナーシップを確認した上で発行する証明書
認証項目:ドメイン名の利用権
企業実在認証(OV) 実在認証タイプの証明書(Organization Validation)で、申請した企業の存在を確認した上で発行する証明書のこと
認証項目:ドメイン名の利用権、組織の法的実在性
EV認証(EV)  Extended Validationのことで、厳格な審査を行った上で発行する証明書のこと
ブラウザのバージョンによってはアドレスバーが緑色になる

認証項目:ドメイン名の利用権、組織の法的・物理的実在性、組織の運営、承認者・署名者の確認

 

続きを読む

もっと身近にセキュリティ

「正しいこと」をしよう

日本の個人情報保護委員会Facebookに対して行政指導を行ったと発表しました。

かつてベネッセの個人情報流出事件に関連して、経済産業省が行政指導を行ったことはありましたが、過去のリリースなどを見る限り、特定の企業や団体に対して個人情報保護委員会が行政指導を行うというのは、おそらく史上初ではないでしょうか。
まだ歴史が浅いこともあり、どのような活動をしているのかわかりづらい個人情報保護委員会ですが、今回の対応を通して理解を深められればと思います。

続きを読む

もっと身近にセキュリティ

災害に学ぶ「リスク管理」

今年は例年になく多くの災害に見舞われた夏として記憶されることは間違いないでしょう。

東日本大震災以降、国内では様々な防災対策が見直され、従来のような「防災」に加えて「減災」という考え方も広がりましたが、それでも想定外の被害や犠牲者が出てしまったシチュエーションもあります。
「防災」や「減災」とは結局のところ「予測しうる災害」に対して「どのような備え」ができるか・実現可能かを検討・実施するということに他なりません。
考え方としてセキュリティ対策に通じる部分もあり、この夏明らかになった被害から学ぶべきものも多いのではないかと思いますので、「リスク管理」とは何か考えてみたいと思います。

続きを読む

特集

「サマータイム導入」という大事業の成否はどっちだ

東京オリンピック・パラリンピックの暑さ対策の一環として、大会組織委員会が政府にサマータイムの実施を提案したというニュースが報じられて以降、各所でその賛否を巡る議論が交わされています。
マスコミの世論調査などでは賛成の方が多いという集計もあるようですが、感覚的には反対意見の方が多いようにも感じられます。
特にIT業界からは、「対応範囲やコストが読めないし、そもそも実施が検討されている2019年の夏まで1年を切っているのに間に合うわけがない」が共通した見解ではないかと思います。
仮に実施することになって何事もなく通過する可能性もゼロではないかもしれませんが、その影にはIT業界を始めとする各種業界における生産性の全く無い努力の賜物という無情な現実しかありません。
それによって得られるメリットが、オリンピックのマラソンが人道的な時間に実施できるというだけということになると、涙なしには語れないでしょう。

続きを読む

情報セキュリティの脅威はすぐそこに

怪しいメールを受信したことはありますか?

当社グループでは、社員教育の一貫として、また社員のセキュリティ意識調査の一環として、「怪しいメールが届いた際に、どの程度クリックされるか」を調査しながら、社員の意識向上(訓練)を図っています。

最近では、ニュースでも話題になりましたが、佐川急便を装いショートメッセージを送りつけて不正サイトへ誘導する攻撃で、電話番号と認証コードを詐取しようと試みるスミッシング(SMSフィッシング)攻撃が確認されています。
佐川急便株式会社のコーポレートサイト上でも注意喚起されています。

続きを読む