個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導 「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】
個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導 「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】 個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム(大阪市)に対し、個人情報保護法に基づく指導を行ったと発表した。 同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に遭っていた。サービスを導入する社労士法人や民間企業からは、エムケイシステムから報告を受けての発表も相次いでいた。 【訂正:2024年3月28日午後3時48分 記事掲出当初、漏えいの事実があると受け取れるような記載をしていましたが、エムケイシステムから個人情報保護委員会への報告は「漏えいのおそれ」に基づくものであり、漏えいの事実は確認されておりませんでした。お詫びして訂正いたします。】 個人情報保護委
デザインガイドライン | e-Govポータル
デザインガイドライン e-Govでは、「デジタル・ガバメント実行計画」(2019年12月20日 改定(閣議決定))に基づき、国民・企業等の利用者の方に対して質の高い行政サービスを提供するため、サービスデザイン思考を導入し、利用者、ソフトウェアベンダー等との共創によって、e-Govの提供サービス及びデザインについて段階的な見直しに取り組んでいます。 この一貫として、今般、e-Govが提供する情報・サービスに関する見つけやすさの向上を目的として、一部コンテンツについて情報アーキテクチャ及びサイトデザインの見直しを行いました。このガイドラインは、その結果をサイトデザインにおけるベストプラクティスの一つとして、「情報設計」「UIデザイン」「UIデザインパターン」の観点から整理したものです。 今後、e-Govにおける継続的なサービス改善の実施と並行して、このガイドラインについても改訂を図っていくこと
NTT西日本子会社 約900万件の顧客情報 元派遣社員が不正流出 | NHK
NTT西日本の子会社が、コールセンターシステムの運用保守を担当していた元派遣社員が、10年近くにわたっておよそ900万件の顧客情報を不正に流出させていたことを明らかにしました。顧客情報には氏名や住所、電話番号などが含まれているということで、会社は「深くおわび申し上げます」と謝罪しました。 元派遣社員 10年近く不正流出 一部は名簿業者に流出か NTT西日本の子会社が17日、大阪市で開いた会見によりますと、コールセンターシステムの運用保守の業務を行う「NTTビジネスソリューションズ」の元派遣社員が2013年7月ごろからことし1月にかけて、10年近く、顧客情報を不正に流出させていたことが確認されたということです。 これまでに流出が確認されているのは、システムに保管されていた59の組織の顧客情報、合わせておよそ900万件で、氏名、住所、電話番号などのほか、81件分のクレジットカードの情報も含まれ
そりゃスパゲティーコードにもなるよな - orangeitems’s diary
お気の毒に・・。 www.nikkei.com スパゲティコードになるプロセスはよーくわかる。 仕様変更に次ぐ仕様変更、当初の想定が間違っていたことのフォローアップ、一つ一つ丁寧に進めていきつつ、当初の見積工数を超えないようにこれまでの成果物をできるだけ活かしたら、最終的にできるのはスパゲティーになる。 スパゲティーを作る人が悪いんじゃなくて、オーダーした人がスパゲティーを望んだからだとしか言いようがない。スパゲティーを作って欲しいと言っている人に、スパゲティー以外を料理する方法が思いつかない。麺類なら許されるのか?。 大企業のプロジェクト運用体制に、1つ起因する問題もある。長期に運用するシステムの場合、同じ担当者がずっと担当し続けることが難しいことだ。人が入れ替わる前提だと、毎回引き継ぎのタイミングで過去の情報を振り返らないといけない。この時ほぼ情報は抜け漏れる。どんなに優秀な人が担当し
情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて : 富士通
English お知らせ 2023年5月19日 富士通株式会社 情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて 当社および当社グループ会社の度重なる情報セキュリティインシデントやシステム品質に関する問題により、お客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。 情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V/ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連
ダメな内製化もあるという話 - orangeitems’s diary
内製化すればいいというものじゃない、ということを考える。 japan.zdnet.com ガートナージャパンは1月18日、日本でのソフトウェア開発の内製化に関する調査結果を発表した。方針が内製化の方向にある企業が54.4%に上り、IT部門の人手不足が開発内製化の最大の障壁になっていることが分かった。 最近はデジタルそのものが商行為になることが多く、それ全体を外部ベンダーに乗っ取られたら、会社からノウハウが流出してしまうというのは正しいと思う。 だからといって、それを自社で全部賄うというのは、デジタル自体の仕組みから言ってかなり無理のある思想に思う。 デジタル自体、外部ベンダーが基盤を作っている。ハードウェアからネットワーク、ソフトウェアまで全部自社にあるものは何もない。 その上で書くコードだけは内製化、としても、かなり小さな面積だなと率直に思う。デジタルにかけるお金のうちかなりの額がすでに
ワコムストアで最大14万8000件の個人情報が漏えいした可能性 クレカ情報約2000件も
液晶タブレットの製造販売を手掛けるワコムは11月21日、同社ECサイト「ワコムストア」で最大14万7545人分の個人情報と約2000件のクレジットカード情報が漏えいした可能性があると発表した。一部のカード情報は不正利用された可能性もあるとしている。 漏えいした可能性がある個人情報は、22年2月19日から4月19日正午までにワコムストアを利用した消費者の氏名や住所、会員情報、勤務先など14万7545人分。同期間に商品を購入した消費者のカード番号やセキュリティコードなどのカード情報1938件も漏えいした恐れがある。 4月19日まで利用していた旧システムの脆弱性を突かれ、不正アクセスと決済システムの改ざんを受けたのが原因。第三者機関の調査により、決済時に入力された情報が外部に直接送信されていたことが分かった。ワコムはカード情報を保持していなかったとしている。 旧システムの運用は停止済み。カード決
三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を
三菱電機は9月29日、炊飯器や冷蔵庫などの家電製品やネットワーク機器などで複数の脆弱性が見つかったと発表した。悪用されるとDoS攻撃を受けた状態になったり、情報漏えいが発生したりする恐れがあるとしている。 【編集履歴:2022年9月30日午後8時 画像内に対象製品ではないものが含まれていたため修正しました】 対象製品は同社製のエアコン、無線LANアダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IHクッキングヒーターなど。 見つかったのは(1)情報漏えいの脆弱性、(2)DoSの脆弱性、(3)悪意のあるスクリプトを含むメッセージを応答する脆弱性。認証情報が暗号化されず、盗聴により情報を盗まれる恐れもある。 対象製品と対処法一覧(情報漏えいの脆弱性) 対象製品と対処法一覧(DoS、悪意のあるスクリプトを含むメッセージを応答する脆弱性) 三菱電機
富士通の“政府認定クラウド”に不正アクセス 認証情報など盗まれた可能性 ロードバランサーの脆弱性悪用
富士通クラウドテクノロジーズは5月16日、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)に登録しているパブリッククラウド「ニフクラ」「FJcloud-V」が不正アクセスを受けたと発表した。ロードバランサー(負荷分散用の装置)の脆弱性を突かれ、一部ユーザーのデータや認証情報を盗まれた可能性があるという。 不正アクセスがあったのは7日午後3時ごろから9日午後10時30分ごろの間で、サービスのコントロールパネルやAPIへのアクセス情報、ロードバランサーを経由した情報、ロードバランサー上にあるユーザー証明データなどが盗まれた可能性がある。 攻撃者は4日に装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる。富士通クラウドテクノロジーズによる防御システムの設定不備も原因になった可能性がある。同社は12日までに脆弱性の修正とアクセス防御を
デジタル庁の「事業所」データ整備事業が中断、目玉政策が実現困難と判明した経緯
デジタル庁が目玉政策の1つに据える、法人や国土など公的データの整備事業。先行したはずの「事業所」のデータ整備が突然、中断に追い込まれた。公募していた入札途中の案件は取りやめ、既に開発したシステムは当面凍結される。原因は、行政分野ごとに「事業所」の概念が多様すぎると判明したからだ。分野を超えて事業所データを統合し多目的に使う政府構想は、簡単には実現できないと判断した。 「いったい何が起こった」─。 2022年3月下旬、デジタル庁からのシステム開発受託を狙っていたITベンダー各社は騒然となった。デジタル庁が存在意義をかけた目玉政策に関わるシステム調達案件の取りやめが、官報や電子調達システムで相次いで公表されたからだ。 注力してきた目玉政策とは、住民や法人、国土の情報など日本の根幹をなす公的基礎情報を多目的に使えるようデータベース化する「ベース・レジストリ」の整備である。その中でも企業や団体など
システム構築の上流工程強化(非機能要求グレード)紹介ページ | アーカイブ | IPA 独立行政法人 情報処理推進機構
システム構築の上流工程強化(非機能要求グレード)紹介ページ 本ページの情報は、2023年8月時点のものです。本事業は終了しているため、お問い合わせには対応できません。 国民生活や社会経済活動における基盤となった情報システムは、「大規模化・複雑化」、「利用の広がり」の点からますます高度化しています。このような高度化に伴い、情報システムの安定的なサービスが求められるようになっており、複雑なシステムを構成する多様なコンポーネントがきちんと連携してそのようなサービスを提供する「システム基盤」の実現が重要になっています。そのためには、提供したいサービスに対応する要求を適切に定義する必要があります。 機能/非機能要求の相違点と課題 システム構築における要求には機能要求と非機能要求があります。このうち、非機能要求については、以下のような要件定義上の課題があります。 非機能要求グレードとは 「非機能要求グ
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の改定について 令和元年9月24日 内閣サイバーセキュリティセンター(NISC) 平成23年3月に公表した「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」について、平成30年7月に改定された「政府機関等の情報セキュリティ対策のための統一基準」に伴い改定いたしましたので、お知らせいたします。 政府機関の情報システムにおいて適切に情報セキュリティ対策を講じるためには、情報システムのライフサイクル(企画・設計・開発・運用・廃棄) において、上流の企画段階から情報セキュリティ対策を考慮し、調達仕様にセキュリティ要件を適切に組み込むことが求められます。しかしながら、セキュリティ要件については調達仕様が曖昧になりやすく、その結果セキュリティ対策に過不足が発生することがあります。 こうした問題意識
SankeiBiz(サンケイビズ):自分を磨く経済情報サイト
サービス終了のお知らせ SankeiBizは、2022年12月26日をもちましてサービスを終了させていただきました。長らくのご愛読、誠にありがとうございました。 産経デジタルがお送りする経済ニュースは「iza! 経済ニュース」でお楽しみください。 このページは5秒後に「iza!経済ニュース」(https://www.iza.ne.jp/economy/)に転送されます。 ページが切り替わらない場合は以下のボタンから「iza! 経済ニュース」へ移動をお願いします。 iza! 経済ニュースへ
1年半でシステム刷新のクックパッド、怒濤の「5並列プロジェクト」に見る“世界で勝つためのシステム設計”
1年半でシステム刷新のクックパッド、怒濤の「5並列プロジェクト」に見る“世界で勝つためのシステム設計”:CIOへの道(1/4 ページ) 海外展開を視野に入れ、“世界で勝つためのシステム構築“に取り組むことになったクックパッド。海外企業を参考にプロジェクトを進める中、日本企業のシステムとそれを支える組織との間に大きな差があることを認識した同社は、どう動いたのか。また、分散と分断が進み、Excel職人が手作業で情報を連携している状態から、どのようにして統合された一貫性のあるシステムに移行したのか――。怒濤のプロジェクトの全容が対談で明らかに。 この対談は 日本企業のCIO設置率は42.1%、うち、専任者は6.5%――。これは平成27年6月に発表された経済産業省の「情報処理実態調査」によるもので、ITとビジネスが不可分な時代になったにもかかわらず、それらを統合的に見るCIOという存在がいまだ少な
情報流出を招いた富士通「ProjectWEB」は多要素認証なし、難航する原因特定
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。 日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、
リスクアセスメントの実施の手引き / NIST
情報セキュリティ Computer Security Division Information Technology Laboratory National Institute of Standards and Technology Gaithersburg, MD 20899-8930 2012 年 9 月 米国商務省 長官代理 Rebecca M. Blank 米国国立標準技術研究所 標準技術担当次 官兼所長 Patrick D. Gallagher リスクアセスメントの実施の手引き JOINT TASK FORCE TRANSFORMATION INITIATIVE NIST Special Publication 800-30 Revision 1 Special Publication 800-30 リスクアセスメントの実施の手引き _______________________
共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マイナ制度は「なりすまし犯罪の温床」 情報システム学会が「制度設計に根本的な問題」と提言:東京新聞 TOKYO Web
日本企業「経験豊富な情シスが足りない」が約6割、だが約4割は「何もしていない」――IIJ調査
情報システム・モデル取引・契約書 | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構