カテゴリ:情報セキュリィティ( 23 )

来日外国人"おもてなし"システム構築

 2020年の東京オリンピックやその前年の、ラグビーワールドカップで私用する国立競技場建設では、世界に冠たる技術立国の信用を崩落させる話題が連日物議をかもしています。
 私は海外に行ったり、来日外国人と会ったりする機会はないのでいいのですが、そういう機会がある方々は、穴が在ったら入りたい心境で、外国人と接しておられることと存じます。
 オリンピック開催が決まったのが、2013年9月。国立競技場の解体が済んだ今、お金がたりないとか、工期が間に合わないとかと騒ぎ始めているのです。これまで、他国の開催で、工期がまにあわないかもと言うはなしはよく耳にし、日本ではありえないと笑いながら聞いていた話が、未だ5年先なのに、既に屋根はオリンピック後でないと間に合わないことが確定。おまけに、建設費も大幅不足で、めどが立っていない。そのほか、競技会場も招致プレゼンしたものから変更と、ずさんな計画が次々と破綻・変更されています。
 まったく信用できない国と言われてもしかたない。
 その名誉回復となるのか、目玉の「おもてなし」で、危惧されている、外国語サービス向上のシステム構築の話が報じられています。
 個人情報を登録しておけば、個人に適したサービスが、ホテルやレストランでも病院でも提供されるというものです。
 年金情報が、パスワード設定無視の人的怠惰により大量流出した日本で、個人情報を扱って大丈夫かとの不安が即座に浮かびましたが、実現すれば、暴落した技術立国日本の信頼がとりもどせるチャンスとなりえます。
 かつて、高度経済成長を成し遂げた時は、日本株式会社と言われるくらいに、一丸となって高品質の製品を産み出した日本。日本ホテル会社か、日本リゾート会社か、日本のサービス業が一体となって、シームレスな 「1 to 1」のおもてなしが出来る社会インフラを構築する。夢でなく、是非実現させて、新ネットワーク社会のモデルを示していただきたい。




つづきはこちら
[PR]
by yuji_oga | 2015-07-13 01:35 | 情報セキュリィティ | Trackback

個人情報売買は、個人情報保護法の欠陥(オプトアウト)が原因

 「ベネッセコーポレーション」の顧客情報流出事件の報道が盛んですね。
 個人情報保護法は、2003年(平成15年)5月23日に成立し、一般企業に直接関わり罰則を含む第4〜6章以外の規定は即日施行されました。2年後の2005年(平成17年)4月1日に全面施行されましたが、yuu2は、当時自社導入に関与する立場にあったことから、少しは詳しく勉強させていただいていました。
 そして、当初から、立法の主旨が、今回の様な事件を防ぎ、個人情報の保護をすることであることに対し、元凶の名簿業者が「オプトアウト」により、むしろ一般企業より規制の網が緩められていることに疑問をもっていましたし、こうした事件がなくなることはないと確信していました。
 今回の事件に対し、諸説ありますが、個人情報が売買できることが主因であり、その売買にたいして法の適用を、せめて一般企業と同様にすることで防げる話なのです。
 つまり、「個人情報を第三者に提供する場合は、本人の承諾を得る」ことの基本を徹底すればよいのです。


続きはこちらから
[PR]
by yuji_oga | 2014-07-20 01:12 | 情報セキュリィティ | Trackback

ソニー 外部からの攻撃で情報漏洩

 ソニーの保有する個人情報約77百万人分が、外部からの侵入で漏洩しました。
 私事になりますが、このblogのカテゴリーに「情報セキュリィティ」を設けていますが、2006年5月以来の書き込みとなります。ことほど、情報セキュリィティで注目するものがなかった(私の独断ですが)ということで、久々にしかも世界中で注目される、日本の技術を代表する企業の威信が堕ちる事件が発生してしまいました。
 ソニーは、ハードの販売だけでは低コストで価格競争となっている韓国などの追い上げにたいこうすることが苦しくなり、「ソフトとハードの融合」を掲げ、ネット事業を中核とする事業展開に軸を置き換えてきていました。
 その中でのネットでの事件発生は、単なる情報漏洩と言うだけでなく、事業の軸の命取りにつながりかねない、重大事件と言えます。

 2006年以来となるこのカテゴリーの中をみると、そのころは、ウィニーによる情報漏えいが頻繁だった様です。ウィニーに限らず、遡っても漏洩事件は内部(含、委託業者)の人間による過失や故意のものが圧倒的で、2000年対応が終わって以降は多くの企業がセキュリィティに注力したことから、外部からネットを経由した情報漏洩の話は、普通以上の会社では聞かなくなっていました。
 中国による米・国防省や大手企業へのハッキングという、スケールの大きい話はありましたが。

 今回、ソニーを攻撃したのは、「Anonymous」というハッカー集団で、ソニーが、1月にPS3のロックを解除したハッカーを提訴したことへの報復から対決が始まっていたのだそうですね。
 
ハッカー集団「Anonymous」がソニーを攻撃 PS3のロック解除めぐり - ITmedia ガジェット

 ソニーがPS3のプロテクトを解除したハッカーを訴えたことに対し、ハッカー集団が報復を宣言。攻撃によりソニー傘下のサイトがいくつかダウンしている。

 「われわれは許さない。忘れない。待っていろ」――「Anonymous」と名乗るハッカー集団が、ソニーを攻撃した。同社がプレイステーション 3(PS3)のプロテクトを解除したハッカーを訴えたことへの報復だとしている。
 ソニーは1月に、PS3のロックを解除したハッカーを提訴した。iPhoneハッカーとしても知られるジョージ・ホッツ氏や、ハッカーグループFAIL0VERFLOWなどを被告として挙げている。
 Anonymousはこの訴訟を「自社製品の仕組みに関する情報を検閲するための司法システムの乱用」とし、ソニーは「情報を所有し、共有したというだけで自らの顧客を不当に扱っている」と批判している。「情報は自由だ」と主張し、「われわれは許さない。われわれは忘れない。待っていろ」と宣戦布告した。
 攻撃はある程度成功しているようで、欧州のプレイステーション公式サイトなど、ソニー傘下のいくつかのサイトがアクセスできない状態になっている。セキュリティ機関SANS Instituteは、AnonymousがDoS(サービス拒否)攻撃ソフトを使ってソニーを攻撃していると伝えている。

 Anonymousはこれまでにも、内部告発サイトWikiLeaksへのサービスを停止したクレジットカード会社を攻撃したことがある


 Anonymousは、「弱者の味方」と唱え、ウィキリークスを後方支援し、中東や北アフリカでの反政府運動を支援しているのですね。
 フェイスブックやツイッターだけじゃない! 中東・北アフリカ騒乱で体制側を追い込んだ 覆面ハッカー集団「アノニマス」の正体|ビジネスモデルの破壊者たち|ダイヤモンド・オンライン

 こういった緊迫状況の中で、ソニーの情報システム部門は対抗に負われていたことは容易に想像できるのですが、今回侵入をゆるした理由が、既知のサーバの虚弱性にパッチを当てていないことなのだそうですね。
 
ソニー7700万件情報流出、原因は「脆弱性への未対処」 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)

<前略>
原因は「脆弱性に対処していなかったこと」

 プレイステーションネットワークへ不正アクセスを行った犯人は判明していない。数か月にわたり「Anonymous(アノニマス)」というグループに攻撃されていたが、平井氏によると「犯人がアノニマスだという証拠はみつかっていない」とのこと。アノニマスとは、ソニーを敵視しているグループで、過去にプレイステーションネットワークに対するDDos攻撃(データを集中的に送って利用不能にする攻撃)などを行っている。現時点で、不正アクセスの犯人を突き止めるのは難しそうだ。
 不正アクセスの手口は、調査の結果、判明している。根本的な原因は、アプリケーションサーバーの脆弱性に対処していなかったことにある。脆弱性とは、外部からの不正なアクセスなどによって不正に利用できてしまう問題点・欠陥のこと。プレイステーションネットワークでは、アプリケーションサーバーと呼ばれるプログラムに既知の脆弱性があった。ここを犯人に突かれて侵入されている。ソニーが発表した侵入経路をまとめる。
・まず犯人はアプリケーションサーバーの脆弱性を突き、通信ツールをプレイステーションネットワーク内に不正に導入(裏口の確保)
・設置した通信ツールによって、個人情報が保管されているデータベースサーバーへのアクセス情報を入手
・アクセス情報を使って、外部からデータベースに不正アクセス。個人情報をダウンロード

という流れのようだ。ファイアウオールやIPS(侵入防止システム)はあったものの、それを通り抜けている。これについてソニーの業務執行役員・長谷島眞時氏は「正規の通信として、入って出てくる方法で脆弱性を突かれている。そのため不正アクセスとして検知できなった」と述べている。

 
最大の問題は、脆弱性に対処していなかったことにある。一般的に対処は難しく、わかっていても直すためのプログラムがなかったり、システムの更新ができなかったりなどの問題で対処できないこともある。しかし、長谷島氏によると「わかっていて更新できなかったのではなく、脆弱性に対処していなかった」とのこと。つまり放置していたことになる。巨大なネットワークを運営しているのにもかかわらず、脆弱性に対処していなかったのはお粗末と言えるだろう。


 「既知のサーバー脆弱性が原因」、ソニーが個人情報漏えい問題で経緯を説明 - ニュース:ITpro

 繰り返しますが、Anonymousと戦闘の最中に、このお粗末さです。しかも、その責任を、サーバー管理の米国の関連会社の役員のせいに押し付けようとしていると受け取れる発言も見られます。これは、本社が責任を問われる問題しょう。

 かつて情報漏洩が頻発し始めたころ、ソフトバンクなどが500円とか、1,000円の商品券をお詫びとして配布し相場が出来た時期がありましたが、今回は使用料の無料化で対応するのだそうですね。
 しかし、訴訟大国の米国ですから、多くの訴訟は覚悟せねばならないでしょうね。
 
 トヨタが、みごとに汚名をそそぎ信用回復の方向になってきています。
 こんかいは、範囲が広く対応も大変でしょうが、ソニーの皆様の奮闘で、日本の製造業への信頼が傷つくことが避けられ、事故後の処理で、やっぱり日本企業は信用できると言われるような幕引きがなされることを願っています。


b0055292_21202316.jpg


今日は何の日

↓よろしかったら、お願いします。


写真素材 PIXTA


Fotolia

[PR]
by yuji_oga | 2011-05-02 21:22 | 情報セキュリィティ | Trackback

米国務省 レノボ製パソコンを機密情報関連システムに使用中止

 米国務省は機密情報を扱う部署から中国のレノボ・グループ製のパソコンを撤去したのだそうです。
 国務省は昨秋、1万6000台のレノボ製パソコンを調達、うち900台を米本土と大使館を結ぶ機密情報ネットワークに接続する計画だったのですが、米議会の諮問機関「米中経済安全保障再考委員会」が今年4月、「米国は中国情報機関の主要な標的。(中国製パソコンの接続で)台湾問題や中国の人権に関する国務省の機密情報に中国がアクセス出来るようになる」と警告していて、国務省が5月18日、議会に「昨年秋に調達したコンピュータはすべて機密情報を扱わないシステムに利用する」と書簡で明らかにしたのだそうです。 (5/20日経朝刊)
 NIKKEI NET:国際 ニュース/米国務省、機密関連部署からレノボ製パソコン撤去
 Sankei Web 国際 中国産パソコンに情報漏れの恐れ? 米国務省1万6千台“排除”(05/19 20:55)
 聯想、米国務省から大口受注 1300万ドル

 議会の「わが国の最も重要なデータに(中国側から)アクセスを許す懸念が排除できない」と言う主張は、もともとIBM製時代から中国でも生産されていた訳で、資本が中国政府系になったとはいえ、確率の違いこそあれ"懸念が排除出来ない"ということは同じとも考えられます。
 「中国脅威論」の根深さを印象づけるとはいえ、レノボなど中国企業が米政府の情報機器関連の調達への参入や、米国内や他の国々での販売へのブランドイメージに与える影響は、大きいと考えられます。
 米・マイクロソフト(政府の資本が入ってはいませんが)のOSは、政府系システムでは使わないとするヨーロッパや日本などの態度と似ているとは言えますが...。

 米国を代表する企業のひとつのIBMの不採算部門を買い取ってくれて、しかも米国ノース・カロライナ州の州都ローリーなどで組み立てられ米国に雇用を残しているのに、この処置では、レノボが可哀想...と思ってしまうのは、古い日本人的発想なのでしょうか...。
 情報セキュリィティの最先端では、他のメーカーの製品も各種あるなかで、少しでもリスクを回避した配慮が必用ということなのですね。

機密情報を扱わないシステムに利用するとのことですが、IBMブランドの使用契約が切れるまでに、ブランドイメージを確立せねばならないレノボには、あらたな重荷が増えたことになりました。


b0055292_16213754.jpg


↓ よろしかったら、お願いします。

[PR]
by yuji_oga | 2006-05-21 16:32 | 情報セキュリィティ | Trackback

ウィニー対策

 ウィニーの事故の報道が続き、内容も軍事機密に及ぶなど深刻なことから、ウィニー対策についての論議を見聞きしますが、今日(3/19)の日経朝刊の社説では、安全管理教育を上げていました。
  NIKKEI NET:社説1 ウィニー対策へ安全管理教育の徹底を(3/19)

 原因は、業務用と私用のパソコンの使い分けがきちんとなされていないこととし、問題解決へ企業や国を挙げて本格的な防衛策を導入する必要が出てきたと唱えています。
 対策は、業務用パソコンと私用パソコンとは明確に区別し業務用パソコンでのファイル共有ソフト使用を(インストールを)禁止し、個人のパソコンは仕事には使わせないことだとしています。

 業務用パソコンは、当然そのように運用規制されていると考えますが、問題は社説でも書いている、勤務先から仕事を自宅に持ち帰り、情報を自宅のパソコンに入れて作業している際に自宅の個人のパソコンがウィルスに感染して事故が発生するところです。

 業務用の秘密データを、社外である自宅に持ち出す事は、おそらくセキュリィティポリシィでは禁止または、許認可制となっていることでしょう。
 一般的には、自宅に持ち帰って仕事をしていることは、美談として従来は語られていたはずです。
 許認可のポリシィを採用しているケースは、この伝統と、外出の多い営業職他の仕事のスピードを重視した結果だと考えます。
 安全第一をとるのか、業務の効率を考慮するかは、迷い、意見が分かれるところです。

 禁止としても、許認可(私用のパソコンでも、業務データを入れる場合は、業務パソコンと同等の環境を維持する条件)にするにしても、その決まりを守らなければ、事故が発生してしまいます。

 情報セキュリィティ管理が、社員教育に始まり、究極も社員個人個人の自覚を高める教育とならざるを得ない所以です。

 ICTの活用が欠かせない世の中では、情報セキュリィティ管理に完璧を期すには、ICTを私用しないことしかないと言えますし、これが不可能で在れば、安全教育が究極の対策となってしまわざるを得ないのでしょう。
 殺人や、強盗がある世の中で、モラルや宗教や法律で人の社会が保たれてきているのと、同等と云えるほどにICTが浸透して来ているのだと考えます。

 この安全教育を、どの様に実施するかが課題で、e-learningシステムが盛況で、ぼったくり状態なのが、各ベンダーは、社会貢献の意味を取り込み、改善されなくてはならないと考えます。


b0055292_0193884.jpg



 
[PR]
by yuji_oga | 2006-03-20 00:37 | 情報セキュリィティ | Trackback

不正競争防止法の改正

知財Awareness - 不正競争防止法の改正で高まる営業秘密の重要性 - 経済産業省・知的財産政策室長の住田孝之氏に聞く(上)

 経済産業省・知的財産政策室は,「企業の強み=知的資産」を2005年のキーワードに掲げているのだそうですね。 
  
2005年度の重要な制度改定の1つは,不正競争防止法の改正で、この2月に国会へ提出した同法の改正法案は,(1)営業秘密の保護強化,(2)模倣品・海賊版対策の強化を2本柱とする。
(1)に関しては,(a)営業秘密を日本国外に持ち出して不正に使用・開示した場合,(b)退職した元役員や元従業員が在職中の約束などに基づき営業秘密を不正に使用・開示した場合,刑事罰を新たに適用する。さらに,従業員を使って悪質な不正行為を侵した法人を処罰の対象とする。
 (2)に関しては,他人の著名商品などに関する表示を不正に使用したり,他人の商品の形態を不正に模倣したりする行為に対して,刑事罰を適用する。

 個人情報保護と並んで保護すべき重要な情報が営業秘密情報です。改訂は情報セキュリィティ全般の強化のためにも対応が迫られます。いそがしぃ~。
[PR]
by yuji_oga | 2005-06-05 21:43 | 情報セキュリィティ | Trackback

情報管理確立の遅れは企業の存亡にかかわる

情報管理確立の遅れは企業の存亡にかかわる - nikkeibp.jp - 企業・経営

 日本の企業のあり方を見ると、「生活性」(生活価値を提供してきた)や「経済性」(個人や企業に経済的価値を提供してきた)を求める時代から、「社会性」(社会が求める情報価値を提供する)を最優先する経営の時代に推移している。
 以下は代表例項目
 (1)個人情報保護法(の完全施行)
 (2)減損会計
 (3)米国企業改革法 404条(Sarbanes-Oxley Act:サーベンス・オクスリー法)
 (4)CSR(企業の社会的責任)の国際規格

 「社会性経営」のメインテーマは、企業のステークホルダー(企業活動を行う上でかかわるすべての利害関係者のこと)が求める情報価値の提供である。
 また、ルールもない状態で誰もが自由にデータや情報に“到達”できてもいけない。

 
[PR]
by yuji_oga | 2005-05-08 02:11 | 情報セキュリィティ | Trackback

トヨタ・NEC間での顧客情報流出

、電子メールで送られたデータがパソコンごと盗難に : IT Pro ニュース

 NECがトヨタからシステム開発を受託し、協力会社に再委託した。更に再委託した先=孫請けの会社の社員が、パソコンを盗まれ、その中に暗号化など安全対策がされていないメールに添付送信された個人情報が入っていたというものです。
  
 NECは社内だけでなく、協力会社にも同契約内容を通知し誓約書などの提出も受けていたが、結果的には管理を徹底できず顧客情報の盗難につながった。 NEC社内では情報流出・漏洩を防ぐシステムなどを導入しているが「協力会社にまで同様のシステム導入を求めることは難しかった」(NEC広報)としている。

 今回の流出事件で、トヨタはNECに厳重注意を促したものの、特別なペナルティは要求しない。NECは、再度、個人情報取り扱いの管理を徹底するとともに、協力会社を含めた再教育や運用マニュアルの見直しによって再発を防止する。

 なお盗難発生から公表までに1カ月近く経っていることについてトヨタは「情報流出した顧客への謝罪や対応を急いだ結果」(トヨタ広報)としている。

 委託契約や誓約書も大事ですが、添付ファイルへの安全措置の教育と浸透が必要だったのですね。
 
[PR]
by yuji_oga | 2005-05-01 22:52 | 情報セキュリィティ | Trackback

個人情報保護法に基づいた処分 NTTドコモ

ITmediaビジネスモバイル:総務省、個人情報流出でドコモに“厳重注意”

 個人情報保護法違反については、事業を所管する「主務大臣」が、「報告の徴収」「助言」「勧告」「命令」「緊急命令」などの措置を講じることができるようになっています。

 総務省が、28日付けでドコモに対し、同社のこれまでの個人情報の取り扱いが「電気通信事業における個人情報保護に関するガイドライン」に違反するものだったとして、NTTドコモ中村維夫社長に厳重注意を行ったとのことです。
  
「電気通信事業における個人情報保護に関するガイドライン」は平成10年に定められたもので、個人情報保護法の施行に合わせて、2004年4月1日に改正されている。「今回のケースでは、監視体制や、外部記憶媒体が使えるようになっていた点など、いくつか問題点があった。安全管理措置に不備があったと言わざるを得ない。2万4000件という規模も大きかったので、重い処置となった。今後同様のケースが発生した場合には個人情報保護法に基づいて処分が決められるため、勧告などより重い措置も検討に値する」(総合通信基盤局電気通信事業部消費者行政課)

 2月14日に発表された、中越地震の際に料金減免を受けた新潟の利用者を中心に、2万4632件の顧客情報が流出していた事件に対するもので、4月の法律施行以前のものですが対象とされるのですね。
 法施行で、第1号の対象となる事件に注目が集まっていましたが、私の知る限りでは本件が第1号のような...?
[PR]
by yuji_oga | 2005-04-30 23:09 | 情報セキュリィティ | Trackback

個人情報保護法施行開始

 いよいよ個人情報保護法が゛施行開始されました。
 各社の公表事項がベールを脱ぎ、これまで悩み、思案したことが、どのように表現されているか、早速見てみました。なんだか試験の発表を見るかんじでわくわくしました。(笑)
 
 最後まで思案した、「共同利用」と「開示請求」の表現を中心に見ています。

 以前に書いた、「共同利用」に関する大手で、キャノンは、昔(2002/4/1)のままで方針のみで「共同利用」とか「開示請求」などの取り扱い公表事項とされる詳細は見られませんでした。

 花王は、「個人情報の保護に関する法律」に基づく公表事項を公開していて、利用目的、共同利用、開示の詳細に触れてありました。

 トヨタも代わり映えせず、公表事項とされる詳細は見られませんでした。基本方針もよく見てみると、「2個人情報の取り扱い」の「1)利用目的内での利用」で「お客様ご本人の同意なくして利用目的の範囲を超えて利用することはございません。」としておいて「6.当社「お客様相談センター」へご相談いただいた場合、適切なご対応を行うため、必要に応じて以下の個人情報をトヨタ販売店・当社提携会社(以下、あわせて第三者という)へ、電話・書面・電子媒体などにより提供すること。」の目的に使いますとしています。
 わかりづらいのですが、利用目的としてあげた上記の第三者(販売店、提携会社)へは目的の範囲を超えていないので、本人の同意を得ないとも読めます。
 販売店、提携会社との共同利用と言うのであれば、第三者提供とはなりませんが...。

 日産自動車は、利用目的、開示・訂正について触れていました。

 これまで見聞きしていた理想に近いものでは、積水樹脂の「共同利用」と、「開示・追加・訂正・削除」を明確にしたものや、SII(共同利用の項目詳細説明あり)や、ソニーミュージック東京ガスなどがありました。

 身近の業界の会社でも、3/31や4/1から更新したり、新たに載せたりする会社が多く、Webで検索しても、3月とは比べものにならないほど多く検索出来ます。
 「開示・訂正」については、窓口を設定する会社が多く(なかには、通常の問い合わせと同じ窓口)具体的な送信方法や金額まで指定しているのは、半分に届かない感じです。様子見なのでしょう...。
 「共同利用」は触れて公表している会社が多いのですが、触れていなかったり、トヨタの様な紛らわしい表現がされていたりするところがありました。ただし、実行段階で具体的には、第三者提供か、委託か、共同利用かの判断は難しいところがあり、混乱しそうです。




 
[PR]
by yuji_oga | 2005-04-03 02:20 | 情報セキュリィティ | Trackback