⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
石川県能登町は9月11日、税務処理業務の委託先社員が個人所有するPCから住民税に関する個人情報がインターネット上に流出していることが判明したと発表した。流出が確認されたデータは、旧能都町の平成15年度個人住民税に関する情報が4,558件(所得割、均等割のある納税者の整理番号、税額)および旧能都町の平成16年度個人住民税に関する情報が8,134件(普通徴収対象者の住所、氏名、整理番号、税額)。同町では現在、インターネット上に流出した情報の追跡と削除を依頼するとともに、流出情報の該当者に事情を知らせているという。
参考サイトLivedoor ニュース
効く度:■■■■■■60%
□個人情報
□委託先の管理
□情報漏洩
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
このところ、ラップトップなどの盗難による情報漏洩事件が頻繁に起きて、問題となっている。8月21日にも、世界的な石油企業のシェブロンのラップトップが盗難されていたことが、『ComputerWorld』の報道で明らかになった。
ラップトップは、8月5日にシェブロンの業務を行う会計事務所から盗まれたようだが、事務所名は今のところ明らかになっていない。保存されていた個人情報は、シェブロンの、過去から現在に至るまで従業員の社会保険番号と氏名だという。
参考サイトLivedoor ニュース
効く度:■■■■■50%
□パソコンの盗難
□情報漏洩
〔セキュアド試験へ向けて〕
業務の施設や情報に対する物理的なアクセスを防止するために、物理的なセキュリティ境界、入退管理策、オフィス・部屋・施設のセキュリティ、外部や環境の脅威からの保護、セキュリティを保つべき領域での作業、一般の人の立ち寄り場所や受渡し場所の隔離などの管理策が求められます。 このように物理的および環境的セキュリティへの対応は必須ですが、求められるセキュリティレベルは事業規模、業務の内容、保有する情報資産に応じたものであることが重要です。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
NTTコミュニケーションズ株式会社は8月30日、顧客情報を含む業務関連ファイルがWinny上に流出していたことが判明したと発表した。流出したファイルは同社社員および販売業務委託先元社員が作成したもので、同社の法人顧客企業名と担当者の氏名48件が含まれていた。企業の所在地や連絡先電話番号、メールアドレスも一部含まれていたが、銀行口座番号やクレジットカード情報などは含まれていないとしている。
参考サイトLivedoor ニュース
効く度:■■■■■60%
□Winny
□顧客情報流出
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
米AT&Tは8月29日(現地時間)、同社のシステムに不正侵入があり、クレジットカード情報を含む顧客情報に不正アクセスされたと発表した。同社では侵入を数時間で探知し、オンラインショップの閉鎖や関連機関への通知を行ったとしているが、同社からDSL機器を購入した約19,000名分の顧客情報が流出した可能性が高いとしている。
参考サイトLivedoor ニュース
効く度:■■■■■■70%
□顧客情報漏えい
□不正アクセス
□サイバー攻撃
〔セキュアド試験へ向けて〕
情報セキュリティに100%安全ということはありません。
セキュリティインシデントに対する原因の究明と適切な対応が求められます。
セキュリティインシデントの原因を調査し、犯行者に対して、訴訟、賠償請求を行うために証拠資料を収集する必要があります。
不正アクセス時には、コンピュータ媒体上の情報、ハードディスクまたは記憶装置の中の情報を複製します。
この複製プロセスにおいても立会人を置き、原本とする媒体およびログに誰も触れないようにセキュリティを保って保管することを 確実にします。
証拠資料の収集に関しては、事前に法律専門家に助言を求め、またその助言に従った行動であること、 および法律専門家とのコミュニケーションプロセスの有効性について的確に確認を取るとよいでしょう。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ちで行う、火災などの避難訓練の、情報セキュリティ版と言ってもいいだろう。
情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。
参考サイトLivedoor ニュース
効く度:■■■■50%
□疑似スパムメール
□情報セキュリティ教育
□従業員のモラル
〔セキュアド試験へ向けて〕
人間を対象としたペネトレーションテストが登場しました。
人的セキュリティの中で、情報セキュリティの意識向上、教育及び訓練は非常に大切なプロセスです。
ISO27001では、従業員などに認識させなけれならない事項として、次の項目を挙げています。
・セキュリティ事象・弱点についての報告手順等
・不審者への問いかけ
・施錠すること
・クリアデスク及びクリアスクリーンの実践
・パスワードの取扱い
・ウイルス等への対策
・媒体の取扱い
・電話・ファクシミリの利用上の注意
・知的財産権の保護
・情報処理施設の業務外使用
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
株式会社エヌ・ティ・ティ・カードソリューションと株式会社ネット・タイムは8月10日、バイオメトリクス対応 ICカードセキュアシステム「指紋認証API for DDS」を「ARCACLAVIS Revo」に組込んだ、バイオメトリクス対応のPCセキュリティ製品「ARCACLAVIS Revo+(アルカクラヴィス レボ プラス)」を発表、11日より提供を開始した。
参考サイトLivedoor ニュース
効く度:■■■■■50%
□バイオメトリクス
□ICカード
□指紋認証
〔セキュアド試験へ向けて〕
バイオメトリクス認証のメリットとデメリットを見直しておきましょう。
バイオメトリクスはSYA(Something You Are)で、ICカードはSYH(Something You Have)による技術的なアクセス制御対策です。
2つの特性を組み合わせていますので、より強固なセキュリティ対策と言えます。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
職場のパソコンを使い野球の結果を知ろうとインターネットに接続するのはダメ――仕事と直接関係ないサイトの閲覧を制限する動きが企業に広がっている。「業務の効率アップ」に加え、昨春の個人情報保護法施行を機に情報漏洩(ろうえい)対策が強化されたためだ。青少年向けとして始まった有害サイトを遮断するフィルタリングソフトの市場が昨年は約2割伸び、今や学校や家庭以上に企業で浸透している。
参考サイトLivedoor ニュース
効く度:■■■■■■■70%
□情報漏洩対策
□フィルタリングソフト
□情報セキュリティ意識
〔セキュアド試験へ向けて〕
コンテンツフィルタリングは、情報セキュリティに対する技術的対策になります。
情報漏洩を防ぐだけでなく、従業員の私用目的のサイトアクセスを防ぐことが可能となります。
過去のセキュアド試験では、特定の部署でフィルタリングを解除したいという申し出に対してどのように対応をすればよいかなどが論点になっています。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
株式会社東京個別指導学院は7月28日、同社の顧客を含む個人情報がWinnyのネットワーク上に流出していることが判明したと発表した。 これは、経済産業省からの連絡によって発覚したもの。同社の調査の結果、同社溝の口教室の元従業員が退職直前に個人情報データを無断で持ち出していたことが判明した。この元従業員の個人用PCがWinnyウイルスに感染し、同データが流出したと見られる。 流出した個人情報は4,587件で、このうち4,003件が平成16年1月当時の生徒の個人情報、584件が従業員の情報で、最小のもので氏名のみ、最大のもので氏名、住所、学校名、電話番号が含まれているという。
参考サイトLivedoor ニュース
効く度:■■■■■■■70%
□個人情報漏洩
□Winny
□データ管理
□無断持ち出し
〔セキュアド試験へ向けて〕
Winnyによる個人情報漏洩事件が後を絶ちません。
私的利用を制限する会社もありますが、自宅のPCの状況までチェックはできないでしょう。
この事件において重要な点は、会社の重要度の高い情報資産に従業員がアクセスできてしまっていることにあります。 元従業員がアクセスできる権限を付与されていたのか?また運用規定はどのように規定されていたのか?
など会社の管理体制に問題があります。人的(管理的)対策としてどのような対策をすればよいか考えてみましょう。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
株式会社東京個別指導学院は7月28日、同社の顧客を含む個人情報がWinnyのネットワーク上に流出していることが判明したと発表した。 これは、経済産業省からの連絡によって発覚したもの。同社の調査の結果、同社溝の口教室の元従業員が退職直前に個人情報データを無断で持ち出していたことが判明した。この元従業員の個人用PCがWinnyウイルスに感染し、同データが流出したと見られる。 流出した個人情報は4,587件で、このうち4,003件が平成16年1月当時の生徒の個人情報、584件が従業員の情報で、最小のもので氏名のみ、最大のもので氏名、住所、学校名、電話番号が含まれているという。
参考サイトLivedoor ニュース
効く度:■■■■■■■70%
□個人情報漏洩
□Winny
□データ管理
□無断持ち出し
〔セキュアド試験へ向けて〕
Winnyによる個人情報漏洩事件が後を絶ちません。
私的利用を制限する会社もありますが、自宅のPCの状況までチェックはできないでしょう。
この事件において重要な点は、会社の重要度の高い情報資産に従業員がアクセスできてしまっていることにあります。 元従業員がアクセスできる権限を付与されていたのか?また運用規定はどのように規定されていたのか?
など会社の管理体制に問題があります。人的(管理的)対策としてどのような対策をすればよいか考えてみましょう。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
株式会社東京個別指導学院は7月28日、同社の顧客を含む個人情報がWinnyのネットワーク上に流出していることが判明したと発表した。 これは、経済産業省からの連絡によって発覚したもの。同社の調査の結果、同社溝の口教室の元従業員が退職直前に個人情報データを無断で持ち出していたことが判明した。この元従業員の個人用PCがWinnyウイルスに感染し、同データが流出したと見られる。 流出した個人情報は4,587件で、このうち4,003件が平成16年1月当時の生徒の個人情報、584件が従業員の情報で、最小のもので氏名のみ、最大のもので氏名、住所、学校名、電話番号が含まれているという。
参考サイトLivedoor ニュース
効く度:■■■■■■■70%
□個人情報漏洩
□Winny
□データ管理
□無断持ち出し
〔セキュアド試験へ向けて〕
Winnyによる個人情報漏洩事件が後を絶ちません。
私的利用を制限する会社もありますが、自宅のPCの状況までチェックはできないでしょう。
この事件において重要な点は、会社の重要度の高い情報資産に従業員がアクセスできてしまっていることにあります。 元従業員がアクセスできる権限を付与されていたのか?また運用規定はどのように規定されていたのか?
など会社の管理体制に問題があります。人的(管理的)対策としてどのような対策をすればよいか考えてみましょう。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
プレクスター株式会社は8月2日、CDおよびDVDのデータをPCを利用することなく容易に破壊できる世界初のセキュリティ装置「PLEXERASER」を発表した。本製品は、レーザーの光によってCD、DVDディスクのデータ記録部分を破壊する新技術「PlexLaser Del」を採用する製品。CD-R/RW、DVD±R/±RW(1層ディスク)のデータ破壊時間に平均3分、DVD±R DL(2層ディスク)のデータ破壊時間に平均6分と短時間でデータの破壊が可能となっている。
参考サイトLivedoor ニュース
効く度:■■■■■■60%
□廃棄ディスク
□情報漏洩対策
□資産の移動
〔セキュアド試験へ向けて〕
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保ち、安全に処理する必要があります。
OSの削除、消去や初期化などの機能を使っただけでは、復元ツールを使うことで内容が再現される可能性があります。
再現できないように、専用ツールによる消去または破壊をしなければなりません。
☆注目記事
覗きに注意!「山田オルタナティブ」とは?
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
ヤフー株式会社は8月1日、「Yahoo!ショッピング」出店店舗向けカンファレンス会場において、 業務用のPC1台を紛失したと発表した。
このPCには、Yahoo!ショッピング出店の一部店舗の企業情報などが記録されていた。
同社は同日中に警察署へ紛失届を提出しているが、現在のところ発見には至っていないという。
参考サイトLivedoor ニュース
効く度:■■■■■■■■80%
□脅威
□脆弱性
□PC紛失
□資産の移動
〔セキュアド試験へ向けて〕
資産の移動に関しては、装置、情報、ソフトウェアの資産を保護するために、持ち出しの許可、許可を与える者の権限の明確化、持出し者と期限の明確化とその記録が必要です。
万が一、盗難・紛失に遭った場合を想定して、アクセス制御や情報の暗号化、バックアップの外部保管などの管理も必要です。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
事件は『Finextra』が7月17日に報じたもので、元コンサルタントのイラ・チロヴィッツが、 権限なしにコンピュータにアクセスしたとして起訴されたという。
裁判所の書類によると、チロヴィッツは2月、モルガン・スタンレーの顧客と、 取引により同行が顧客に請求した利用料金のリストを個人のe-mailアドレス宛てに送付していた。
参考サイトLivedoor ニュース
効く度:■■■■■■■70%
□内部犯行
□アクセス制御
□情報漏洩
〔セキュアド試験へ向けて〕
アクセス権限が無いものがコンピュータにアクセスできるという点が問題ですね。
外部の組織や人が関わるリスクアセスメントは、物理的アクセスと論理的アクセスとを区分し、アクセス制御を明確にするべきです。
物理的アクセス、論理的アクセスについて考えてみましょう。
当然のことながら、外部との契約時には、秘密保持契約の事項をも含め契約します。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
ウェブルート・ソフトウェアが、国内企業のセキュリティ被害状況に関する調査をまとめました。
調査は6月20日から27日にかけてインターネットを通じて実施され、有効回答数は222件。
この調査によると、2006年1月から6月までにスパイウェアの被害を受けた企業は38.8%で、4割近くに上りました。
スパイウェアによる被害の内容としては、「ITスタッフの仕事量増加」(20%)が最も多く、 以下、「PCのパフォーマンス低下」「生産性の低下」「オンライントランザクションの低下」などが10%台で続くということです。
企業が導入しているセキュリティ対策としては、ローカルPC用ウイルス対策ソフトが86.0%で最多。
一方で、ローカルPCにおけるスパイウェア対策ソフトの導入率は45.0%。
参考サイトgoo ニュース
効く度:■■■■■■■70%
□脅威
□スパイウェア
□スパイウェアによる被害
□スパイウェア対策
〔セキュアド試験へ向けて〕
スパイウェアという脅威に対して、どのような被害が及ぶのか、またどのような対策を立てる必要があるのかを考えましょう。
⇒資格ランキング挑戦中「3分で分かる!セキュアド試験研究課」
ライブドアの子会社で会計ソフト販売の弥生は25日、同社の業務用会計ソフトを使っている法人の名前、住所、電話番号など計16万4304件分の顧客情報が流出したと発表した。流出したのは、05年11月から06年1月までの間に会計ソフト「弥生」シリーズのバージョンアップについての文書を受け取った法人顧客。
参考サイトlivedoor ニュース
効く度:■■■■■■■■■90%
□顧客情報
□情報漏洩
〔セキュアド試験へ向けて〕
被害拡大の防止と流出経路の特定を早急に行う必要があります。
NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、2005年度に企業・官公庁の計167のWebサイトを対象に実施した診断サービスの結果の傾向を分析し、個人情報などの重要情報への不正アクセスが可能と確認されたWebサイトは全診断数の約5割に達していることが判明しました。
参考サイトhttp://www.nri.co.jp/news/2006/060724_1.html
効く度:■■■■■■■■80%
□不正アクセス
□情報漏洩
□SQLインジェクション
〔セキュアド試験へ向けて〕
外部のセキュリティ診断を受ける際に注意すべき点についても考慮しましょう。
パロマのガス瞬間湯沸かし器による一酸化炭素中毒事故が相次いだ問題で、ようやく経営トップが謝罪した。
小林弘明社長は14日の会見で「安全装置の不正改造が原因」と責任逃れしてヒンシュクを買ったが、社内調査の結果、経年変化など改造と無関係の事故が10件あったことが判明。きのう(18日)は一転「経営者としての責任認識がなく、申し訳なく思う」と平謝りのドタバタ劇を演じた。
パロマの事故は経産省から指摘を受けた17件以外に10件、死者も5人増え、総数は27件、死者は計20人に上る。81年から24年間社長を務めた敏宏会長はきのう「消費者の安全確保が完了したら進退を考える」と辞意を漏らしたが、遅すぎる。
予兆看過したことで大きな事件に発展しています。
一連の死亡事故が起こる3年前の82年には、湯沸かし器を制御するコントロールボックス内で電流が不通となる故障が続出していたことが分かりました。
親会社のパロマが18日に公表した計27件の事故のうち、少なくとも10件はこの故障が原因となって不正改造が行われたとのこと。
“予兆”となった故障の多発をパロマ側が深刻にとらえ、初期の段階で構造的な欠陥を改善していれば、事故を防げた可能性があるとガス業者は話しています。
