石川県能登町は9月11日、税務処理業務の委託先社員が個人所有するPCから住民税に関する個人情報がインターネット上に流出していることが判明したと発表した。流出が確認されたデータは、旧能都町の平成15年度個人住民税に関する情報が4,558件(所得割、均等割のある納税者の整理番号、税額)および旧能都町の平成16年度個人住民税に関する情報が8,134件(普通徴収対象者の住所、氏名、整理番号、税額)。同町では現在、インターネット上に流出した情報の追跡と削除を依頼するとともに、流出情報の該当者に事情を知らせているという。
参考サイトLivedoor ニュース
効く度:■■■■■■60%
□個人情報
□委託先の管理
□情報漏洩
よろしければ、「感想・調べたこと」も書いてくださるとうれしいです。
試験まであと1ヶ月、コツコツ楽しくがんばりましょう。
今週のACTはこちらです。
IPA
リモートアクセス環境におけるセキュリティ 6.6.4公開鍵暗号方式
を読んで下記問いに答えよ。
(1)公開かぎ暗号方式は共通かぎ暗号方式のどのような問題(短所) を解決しているか。
(2)公開かぎ暗号方式では、公開かぎと秘密かぎは(同じ・異なる)。
(3)感想・調べたこと
]]>共通かぎ暗号方式では、かぎが第三者に漏えいしてしまうとその後の暗号を全て解読されてしまう危険性が高くなります。
よって、共通かぎ暗号方式では、
・通信相手を偽るなりすまし
・通信途中でデータを改ざんする攻撃
に対して有効ではありません。
だからといって共通かぎ暗号方式がダメということではありませんよ。
この問題点を補うために、公開かぎ暗号方式やハッシュ関数といった技 術と併用して通信データの機密性(認証、否認防止を含む)、完全性を 確保していくことになります。
共通かぎ暗号方式については、キーマンズネットの 「ネットワーク早わかり講座 第39回 何が違う?新旧暗号方式DESとAES」 が分かりやすいです。必読。
キーマンズネットの記事検索で、「共通鍵暗号方式」で検索してください。
]]>このところ、ラップトップなどの盗難による情報漏洩事件が頻繁に起きて、問題となっている。8月21日にも、世界的な石油企業のシェブロンのラップトップが盗難されていたことが、『ComputerWorld』の報道で明らかになった。
ラップトップは、8月5日にシェブロンの業務を行う会計事務所から盗まれたようだが、事務所名は今のところ明らかになっていない。保存されていた個人情報は、シェブロンの、過去から現在に至るまで従業員の社会保険番号と氏名だという。
参考サイトLivedoor ニュース
効く度:■■■■■50%
□パソコンの盗難
□情報漏洩
〔セキュアド試験へ向けて〕
業務の施設や情報に対する物理的なアクセスを防止するために、物理的なセキュリティ境界、入退管理策、オフィス・部屋・施設のセキュリティ、外部や環境の脅威からの保護、セキュリティを保つべき領域での作業、一般の人の立ち寄り場所や受渡し場所の隔離などの管理策が求められます。 このように物理的および環境的セキュリティへの対応は必須ですが、求められるセキュリティレベルは事業規模、業務の内容、保有する情報資産に応じたものであることが重要です。
]]>毎日コツコツ勉強していけば、まだまだ合格圏内狙えます。
過去にも夏から勉強を始めましたという方が合格されています。 (初級シスアドを取得されていましたが。)
試験に向けて疑問・質問等がございましたら、ACTのその他に書いてくださってもOKです。
]]>NTTコミュニケーションズ株式会社は8月30日、顧客情報を含む業務関連ファイルがWinny上に流出していたことが判明したと発表した。流出したファイルは同社社員および販売業務委託先元社員が作成したもので、同社の法人顧客企業名と担当者の氏名48件が含まれていた。企業の所在地や連絡先電話番号、メールアドレスも一部含まれていたが、銀行口座番号やクレジットカード情報などは含まれていないとしている。
参考サイトLivedoor ニュース
効く度:■■■■■60%
□Winny
□顧客情報流出
米AT&Tは8月29日(現地時間)、同社のシステムに不正侵入があり、クレジットカード情報を含む顧客情報に不正アクセスされたと発表した。同社では侵入を数時間で探知し、オンラインショップの閉鎖や関連機関への通知を行ったとしているが、同社からDSL機器を購入した約19,000名分の顧客情報が流出した可能性が高いとしている。
参考サイトLivedoor ニュース
効く度:■■■■■■70%
□顧客情報漏えい
□不正アクセス
□サイバー攻撃
〔セキュアド試験へ向けて〕
情報セキュリティに100%安全ということはありません。
セキュリティインシデントに対する原因の究明と適切な対応が求められます。
セキュリティインシデントの原因を調査し、犯行者に対して、訴訟、賠償請求を行うために証拠資料を収集する必要があります。
不正アクセス時には、コンピュータ媒体上の情報、ハードディスクまたは記憶装置の中の情報を複製します。
この複製プロセスにおいても立会人を置き、原本とする媒体およびログに誰も触れないようにセキュリティを保って保管することを 確実にします。
証拠資料の収集に関しては、事前に法律専門家に助言を求め、またその助言に従った行動であること、 および法律専門家とのコミュニケーションプロセスの有効性について的確に確認を取るとよいでしょう。
]]>よくよく聞いてみると、読書感想文の本が無いって、、、 帰宅してから、近くの本屋に行きました。
課題図書って書かれている中で、一番薄いのを買ってました。(汗)
400字の感想文を2時間で仕上げていました。2時間で終わるのか?
夏休みの宿題は最後にやるっていうのも、良い思い出になると思って いますので、ガミガミ言わないことにしているんです。
]]>アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ちで行う、火災などの避難訓練の、情報セキュリティ版と言ってもいいだろう。
情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。
参考サイトLivedoor ニュース
効く度:■■■■50%
□疑似スパムメール
□情報セキュリティ教育
□従業員のモラル
〔セキュアド試験へ向けて〕
人間を対象としたペネトレーションテストが登場しました。
人的セキュリティの中で、情報セキュリティの意識向上、教育及び訓練は非常に大切なプロセスです。
ISO27001では、従業員などに認識させなけれならない事項として、次の項目を挙げています。
・セキュリティ事象・弱点についての報告手順等
・不審者への問いかけ
・施錠すること
・クリアデスク及びクリアスクリーンの実践
・パスワードの取扱い
・ウイルス等への対策
・媒体の取扱い
・電話・ファクシミリの利用上の注意
・知的財産権の保護
・情報処理施設の業務外使用
漢字練習と算数の宿題は、夏休み早々に片付けたみたいなのですが、読書感想文と自由研究が残っているそうです。
あと数日で終わるのでしょうか?
]]>