情報セキュリティの脅威はすぐそこに

国家公務員ですら文書管理ができない?

昨今、中央省庁における文書管理に端を発する政治スキャンダルが世間を騒がせています。

ひとつは加計学園獣医学部の設置を巡る「総理のご意向」の問題、もう一つは陸上自衛隊南スーダンPKO部隊の日報を巡る問題です。政治的な意義については本旨ではないためここでは触れませんが、経緯だけ簡単におさらいをします。

続きを読む

特集

責任(accountability=落とし前)

▼JIS X 9250の制定
2017年4月の特集で「ISO/IEC29100の概要」をご紹介しました。そのISO/IEC29100に対応するJIS(日本工業規格)であるJIS X 9250が6月20日に制定されました。

*日本工業規格(JIS)を制定・改正しました(平成29年6月分)
http://www.meti.go.jp/press/2017/06/20170620001/20170620001.html

規格名称は「情報技術-セキュリティ技術-プライバシーフレームワーク(プライバシー保護の枠組み及び原則)」です。規格の序文には次のように書かれています。

続きを読む

特集

情報セキュリティ事故に関するリリースのポイント

▼セキュリティ事故が起きたら
今月の特集は、情報セキュリティ事故の発生に関するリリースの方法です。セキュリティ事故が起きた際には、原因の調査や被害者及び関係者への報告・発表が不可欠となります情報公開の考え方とノウハウについて簡単に解説します。

 

▼いつ出すべきか
情報セキュリティ事故は、発覚後の社内の対応はもちろん外部への情報提供も迅速に行わなければなりません。なぜなら、事故の被害者や関係者にとって事故発生を知らされていない状態はそれだけで不利益であるからです。

続きを読む

情報セキュリティの脅威はすぐそこに

誰でもインターネット犯罪ができてしまうご時世

6月5日、大阪府内の中学生がランサムウェアを作成したとして不正司令電磁的記録作成・保管容疑で神奈川県警に逮捕されるという事件がありました。国内では初めてのランサムウェア作成容疑での逮捕だったことと、容疑者が14歳の中学生だったということで話題になりました。

トレンドマイクロ社が解析したレポートを公開してしますが、この中学生が作ったとされるランサムウェアはオープンソースのツールと海外のサイトで公開されているコードを組み合わせたものであることが明らかになっています。

続きを読む

もっと身近にセキュリティ

セキュリティ護身術

 ▼クライシス管理とリスク管理
『子どもは「この場所」で襲われる』(小宮信夫 著)という本にこんな一節がありました。

「車にぶつかったときにはこうやって受け身を取りなさい」というのがクライシス管理です。一方、「こういう角ではあなたのことが運転手からは見えにくいので気をつけなさいね」というのがリスク管理です。

情報セキュリティ分野でも事故を未然に防ぐことが大事です(それは非常に難しいのですが)から、クライシス管理とリスク管理ははっきり区別したいものです。

 

 

続きを読む

情報セキュリティの脅威はすぐそこに

「WannaCry」活感動染を防ぐ、たったひとつの冴えたやりかた

この1ヶ月、特に後半は「WannaCry」が猛威を振るったという話題で持ちきりでした。改めて経緯と対策についておさらいしておきたいと思います。

最初に観測されたのは4月25日と言われていますが、本格的な感染の拡大が広がったのは5月12日頃からでした。感染するとPC内のファイルを暗号化してしまい、解除のための身代金として300~600ドル程度のビットコインを要求してくるという、ここ数年流行しているランサムウェアのような挙動をします。ただし身代金を支払ったとしても暗号化されたファイルの解除に成功したという報告は皆無のようです。

続きを読む

もっと身近にセキュリティ

まとめるか分けるか

▼財布に何を入れていますか?
財布って便利ですよね。財布があればお金が散らばりません。電子マネーが普及してキャッシュレス・財布レスが進む世の中ではありますが、財布を持っていない人は少数派だと思います。

現金をジップロックに入れている人もいますが、そういう人はジップロックが財布ですね。たまに財布を持たずにポケットに入れている人もいます。そういう人は着替える度にお金をジャラジャラ移動させないといけなくて不便だと思います。財布があれば、日常的に使う程度の現金をまとめて持ち運べるようになります。

たいていの財布には紙幣や硬貨以外に、主にカード類を入れておく隙間があります。そこに何を入れていますか?   続きを読む

特集

バイ・デザイン(by Design)

▼セキュリティ・バイ・デザイン
「セキュリティ・バイ・デザイン」という言葉を耳にしたことはありますか。設計によるセキュリティのことで、情報システムのセキュリティを企画・設計段階から確保するという考え方です。日本政府のサイバーセキュリティ戦略(※1)にも明示されています。

情報システムの開発は一般的に次のようなステップを踏みます。

  1. 企画・要件定義
  2. 設計
  3. 実装
  4. 検証・評価
  5. 保守・運用

「セキュリティ・バイ・デザイン」では、開発の早い段階1.企画・要件定義 、2.設計)でセキュリティを取り込むことにより以下のメリットがあると言われています。

続きを読む

特集

ISO/IEC29100の概要

▼プライバシーに関するISO規格
プライバシーに関する規格といえば、日本ではプライバシーマークの準拠規格であるJIS Q 15001が有名です。では、プライバシーに関するISO規格をご存知でしょうか?

今回はプライバシー保護に関する国際規格であるISO/IEC29100について、簡単にご紹介します。

ISO/IEC29100は、国際標準化機構(ISO)が2011年に発行したプライバシーフレームワークを規定する規格で、プライバシー保護のためのOECD8原則やEU指令をベースにして開発されました。ISO/IEC29100では、プライバシーに関する共通的な用語の特定、PII(personally identifiable information:個人識別可能情報)の処理に関する関係者及びその役割の定義等が示されています。

続きを読む

情報セキュリティの脅威はすぐそこに

そのパスワードの入力先は信用できるか?

4月を迎え、新生活の季節となりました。当社グループでも新卒社員が入社して頑張っています。

そんな中、大学生向けの一部の時間割アプリに対して大学側が利用を控えるように呼びかけるという事態が発生して話題となっています。特に対象となったのは「Orario」というアプリ。大学側が提供している履修管理用のアカウント情報を入力することで自動的に情報を取得して、時間割を生成できるというものです。

実際に内部的に行われていることは、対応している大学毎に別々のアプリとして提供されていることから、大学のシステムにログインして取得したHTMLを再整形(スクレイピング)するという挙動をしていると思われます。

続きを読む