デザインだけじゃない、記載事項や暗号方式も変わる「次期個人番号カード」
デジタル庁で検討を進めている個人番号カード(マイナンバーカード)の新バージョン。券面記載事項と暗号方式の見直しなどが主な変更点。導入後も現行カードは利用でき、更新のタイミングで順次次期カードに切り替わる。 最初の個人番号カード(マイナンバーカード)が2016年1月に発行開始されてから8年がたち、国民の約7割が保有するまで普及した。オンライン/オフラインの両方で本人確認手段として使用できる個人番号カードは、個人情報に対する意識の変化や電子証明書の暗号に対する解読技術の向上に合わせた更新が必要になる。デジタル庁の「次期個人番号カードタスクフォース」で新版の検討を進めてきた。2024年3月には、その最終取りまとめを公開した。 最終取りまとめでは次期個人番号カードの主な変更点として、「券面表記内容とデザインの変更」「暗号方式の強化」「電子証明書有効期限の延長」「複数ある暗証番号の再編」などを示した
東京ガス子会社への不正アクセスは「VPN装置経由」、個人情報約416万人分漏洩か
東京ガスの子会社が不正アクセスを受けて個人情報約416万人分が漏洩した可能性がある問題を巡り、侵入経路はVPN(仮想私設網)装置経由であったことが日経クロステックの取材で2024年7月18日までに分かった。現在は外部との接続を遮断するなど対策を講じた上で、被害範囲や原因などについて調査を進めている。2024年7月18日午前10時時点で情報の不正利用は確認されていないという。 不正アクセスを受けたのは、ガスや電力の営業を手掛ける東京ガスエンジニアリングソリューションズ(TGES)。2024年6月26日に、同社ネットワークへの不正アクセスを検知したという。同社は即日、外部との接続を遮断した上で専門機関による協力を受けて調査を進めたところ、特定のファイルサーバーへのアクセスに必要な従業員のIDとパスワードが複数窃取されていたことが、2024年7月9日に判明したという。 窃取されたIDとパスワード
ジュエリー販売のトレセンテが「ドメイン乗っ取り」被害、公式サイトが閲覧不可に
衣料品や靴などのEC(電子商取引)事業を手掛ける夢展望は2024年6月3日、同社の連結子会社でジュエリー販売を営むトレセンテの公式Webサイトが閲覧できない状態にあると発表した。同社が使うドメイン管理サービスが不正アクセスを受け、公式Webサイトで使うドメイン「trecenti.com」が海外のドメイン管理会社へ移管されたという。 同社によれば、利用していたドメイン管理サービスはGMOインターネットグループが運営する「お名前.com」である。「攻撃者が、ドメイン管理サービスの管理画面にログインするためのIDとパスワードを不正に入手した可能性が高い」(夢展望総務担当)。ドメインは海外の管理会社を転々としており、取り返すのが難しい状況だという。 別のドメイン名を使ったトレセンテのECサイトは被害に遭っていない。公式Webサイトは、新しいドメイン名を取得し復旧させる予定だ。不正アクセスに伴う同社
西武HDが東京ガーデンテラス紀尾井町売却へ、「聖域なき流動化」で回転型へ転換
西武ホールディングス(HD)が、旧赤坂プリンスホテル跡地に建設した「東京ガーデンテラス紀尾井町」(東京都千代田区)を、2024年度中に売却する方針を明らかにした。今後全ての保有資産を売却の検討対象とし、資産を流動化して獲得資金を大規模再開発などへの投資に回す「キャピタルリサイクル」戦略を推し進める。24年5月9日の記者会見で発表した。 2016年に旧赤坂プリンスホテル跡地で開業した東京ガーデンテラス紀尾井町。左は住居棟の「紀尾井レジデンス」、右は「赤坂プリンスクラシックハウス」、奥はホテル・オフィス棟の「紀尾井タワー」(写真:西武ホールディングス) 東京ガーデンテラス紀尾井町は、ホテル・オフィス棟、住居棟、かつて旧館と呼ばれていた「赤坂プリンスクラシックハウス」の3棟で構成される大規模複合施設。西武HDが総事業費約1040億円を投じて16年に開業した。売却が実現すれば、旧赤坂プリンスホテル
Appleが「プライバシーマニフェスト」義務化、記載ないアプリは審査落ちも
米Apple(アップル)は2024年5月1日から「プライバシーマニフェスト(Privacy Manifests)」という施策を義務化した。ユーザーを追跡(トラッキング)して集めたデータの透明性を高め、プライバシー保護を強化する狙いがある。 アップルのiOSやmacOSなどのアプリストアでは、アプリが収集/追跡しているユーザーのデータを「プライバシーラベル(Privacy Nutrition Labels)」に表示している。 一方、アプリ開発者の多くはサードパーティーのソフトウエア開発キット(SDK)を利用している。例えば、アプリ開発者が米Google(グーグル)の「Firebase Crashlytics」というSDKを導入すると、アプリが停止した状況を把握してトラブル解消の時間を短縮できる。 ところが、SDKがどのようなデータを収集して何のために使っているのかをアプリ開発者がすべて把握す
社労夢で個情委が注意喚起、57万事業所が「認識なく従業員データ委託」の危うさ
個人情報保護委員会(個情委)は2024年3月、ランサムウエア被害に遭った社会保険労務士向けクラウド業務システム「社労夢(Shalom)」などを運営するエムケイシステム(エムケイ社)に行政指導をした。 同時に個情委は、社労士事務所や企業にも注意喚起を公表した。約57万件もの事業所が認識の薄いまま従業員データをエムケイ社に委託し、結果的に同社への監督が不十分だった可能性があるとしたためだ。 エムケイ社では、2023年6月にランサムウエア攻撃で最大約2242万人分の個人データが暗号化されて漏洩などの恐れが発生した。同社との間で利用契約を結ぶ直接のユーザーは社労士事務所などだ。個々の社労士事務所が、顧問契約などを結ぶクライアントの企業や事業所の従業員に関する、社会保険・雇用保険の申請や給与計算、人事・労務管理といった業務に利用している。 取り扱う個人データは社労士のクライアントである企業や事業所な
暗号化消去のルール整備進む
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を改訂し、新たに「暗号化消去」という用語を追加した。記録媒体を含む情報機器を廃棄する場合やリースの返却をする際にデータを復元できなくする手法だ。 時間がかからず再利用が可能に 従来は記録装置の物理的な破壊やデータ消去ソフトウエアによる上書き消去といった手法を列挙していた。暗号化消去とは、記録媒体にデータを書き込む時点で暗号化して記録しておき、データの抹消が必要になった際に復号に用いる鍵を抹消することでデータの復号を不可能にする手法だ。記録媒体の一部領域のデータを抹消する場合にも利用できる。 通常の消去(上書き消去)とは何が違うのか。実は現在の記録媒体は容量が大きいため、通常の消去作業には膨大な時間がかかる。1TBのHDD(Hard Disk Drive)は1回上書きするのに数時間かかるとされる。確実に消去するために複数回上書き
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
覚えやすく強いパスワード作成の極意、日本語フレーズを語呂合わせで変換する
ここでは強いパスワードの作り方を具体的に見ていく。図1のように桁数や文字種を増やし、単純な文字列を使わないのが鉄則だ。問題は覚えやすさ。ブラウザーに記憶させるなら、複雑で覚えづらくても問題はない。だが、そうしない場合、手帳やパスワード管理アプリに記録するにしても、ログインのたびにそれらを参照するのはちょっと面倒だ。パスワードは覚えやすいに越したことはない。 図1 強いパスワードの条件は当然ながら、ある程度の桁数があってさまざまな文字種を含むことだ。一般的な単語を単独で使わないのは大前提。誕生日や電話番号などわかりやすい個人情報もNGだ。自分のSNSで公開している記念日や記録の数値なども避けたほうがよい 理想のパスワードは自分では覚えやすく、他人からは見破られない文字列。そこで提案したいのが、日本語のフレーズを基にした“語呂合わせ”だ。特に海外の攻撃者に対しては日本語のローマ字表記が効果的。
「社内SIer化させない」「エンジニア文化の浸透」、東京ガスに学ぶ内製開発の勘所
勘所1:念入りなチームビルディング 前回記事で触れた通り、東京ガスCX推進部は2022年に発足した内製開発チームによって、2023年11月にWeb会員サービス「myTOKYOGAS」リニューアルをやり遂げるという大きな成果を上げた。ただ内製に取り組み始めた2022年当初は、十分な開発体制が整わない中、着手したために混乱。結局は後に、一度書いたコードをすべて廃棄してやり直す事態となった。 プロダクトのローンチ日が決まっていたという事情はあるにせよ、「本来は体制をきちんと整えてから開発を進めるべきだった。開発者の高いスキルと強い責任感でなんとか稼働まで持ってこられたが、一歩間違えれば稼働できないリスクをはらんでいた」と東京ガスの及川敬仁CX推進部デジタルマーケティンググループマネージャーは振り返る。 東京ガスに中途入社し、現在はテックリードを務めるCX推進部デジタルマーケティンググループエンジ
100種類以上あった「暗号スイート」をたった5種類に、TLS 1.3が互換性を捨てたワケ
TLS(Transport Layer Security)を理解する上でハンドシェイクと並んで重要なのが暗号スイートに関する知識だ。暗号スイートとは、TLSで使用する暗号アルゴリズムのセットである。 TLSでは役割の異なる複数の暗号アルゴリズムを使用する。それぞれの役割の暗号アルゴリズムを単独で指定するのではなく、あらかじめ用意された暗号アルゴリズムのセット、すなわち暗号スイートを指定する。暗号スイートによって通信の安全性が変わってくるので、その選択は重要になる。 TLS 1.3では構成がシンプルに ハンドシェイクと同様に、暗号スイートもTLS 1.3で大きく変わった。まず、暗号スイートの構成がシンプルになった。 TLS 1.2までは、「鍵交換」「署名」「暗号化」「ハッシュ」の4種類を指定する。 鍵交換はデータを暗号化するための鍵を、送信者と受信者の間で安全に共有するためのアルゴリズムであ
実は実用性も十分、機械学習の基礎である「最小二乗法」を極める
機械学習の最も基礎的な手法が最小二乗法だ。この特集では、Pythonで最小二乗法のプログラムを実装することで、その仕組みを学んでいく。 最小二乗法は機械学習の中でも、最も基礎的な手法です。基礎的でありながら実用性も十分に高いので、様々な「予測」に用いることができます。また、視覚化による理解がしやすいので、機械学習の初学者が最初に学ぶ手法として最適と言えます。 視覚的に理解する 最小二乗法は、図1の2枚のグラフで直感的にわかるでしょう。 図1の左にあるグラフには、データを表す青い点が複数あります。個々のデータは、(8, 820)や(36, 1720)といった2つの値の組み合わせです。2つの値の組み合わせなので、横軸と縦軸のグラフにデータを配置できます。 ここで、「すべてのデータの傾向をうまく反映する1本の直線を描いてみよう」というのが最も基本的な最小二乗法です。描いた直線が、図1の右にあるグ
改正NICT法で国のIoT機器調査が強化、ランサムウエア攻撃にも効く潜在力に期待
本来の目的とは異なるけれど、うまく応用すれば日本の企業や組織のランサムウエア被害を大きく減らせる潜在力がある――。筆者がそんな期待を抱く取り組みを、情報通信研究機構(NICT)が2024年4月にも始める。脆弱性があるファームウエア(基盤ソフト)を搭載するルーターなどのIoT(インターネット・オブ・シングズ)機器を検出するものだ。 NICTが2019年から展開してきた「NOTICE(National Operation Towards IoT Clean Environment)」と呼ぶ調査を発展させた施策である。NOTICEでは企業や組織のIoT機器に対し、よく使われるIDとパスワードの組み合わせでログインを試行。成功したときは乗っ取られるリスクの高いIoT機器として検出し、インターネット接続事業者(ISP)を介して利用者に注意喚起している。 同調査が始まる前には、「国が不正アクセスするの
iPhoneユーザー歴が長い人ほど使っていない「便利機能」を教えます
ハードウエアやソフトウエアの進化によって、定番の機能を従来の手順よりもっと簡単に利用できるようになっていることが意外に多い。しかし長く使っている人ほど最初に覚えたやり方を続けていたり、新しいやり方があることを知らなかったりするのではないだろうか。 そこで今回は、iPhoneのユーザー歴が長い人ほど使っていない便利機能を紹介しよう。 「取り消し」や「やり直し」は3本指スワイプ 文字入力や写真の編集などにおいて、加えた処理を取り消して1つ前の状態に戻す「取り消し」機能は、iPhone本体を軽く振る「シェイク」で実行できる。取り消した後に再度シェイクすると「取り消し」を取り消す「やり直し」も可能だ。加速度センサーを生かした面白い機能で、初期のころから搭載されている。 しかし実際にやってみると、意外と強めに振らなければならないことが分かる。持ち方が悪いと、振った際にiPhoneを手から落としてしま
クラウドの継続利用に暗雲? J-SOX改訂で委託先のIT統制が課題
J-SOXでは内部統制を確立するうえで欠かせない6つの要素の1つとして「ITへの対応」を挙げており、ITに関する統制(IT統制)の整備・運用は欠かせない対策の1つだ。J-SOXが最初に適用された2008年当時も、IT統制の整備は情報システム部門を悩ませた。 その悪夢が再び訪れようとしている。J-SOXの改訂では、ITに関する変更が幾つかあるからだ。その中で大きな項目の1つが、ITの委託業務に関するIT統制の整備・運用だ。 ITの委託業務とは、自社の代わりに情報システムの運用や保守を委託している場合を指す。J-SOXが登場した2008年はサーバーのアウトソーシングを主に想定していたが、今回の改訂ではクラウドサービスの利用が増えたことを念頭に「ITの委託業務にかかる統制の重要性が増している」と、金融庁はJ-SOXの対応方針を示す文書の中で明確に記載した。 また子会社で発生した不正が財務諸表に大
楽天が「security.txt」を導入
楽天グループがWebサーバーに「security.txt」と呼ぶテキストファイルを置き、脆弱性▼情報の受付窓口としてVDP(Vulnerability Disclosure Program、脆弱性開示プログラム)を開始したことがSNSで話題になった。2023年10月2日のことだ。同社広報はこれを事実だと認めた。 security.txtは、米Apple(アップル)や米Google(グーグル)、米GitHub(ギットハブ)、米IBMなど、海外IT大手は既に導入している。一方、日本では少ない。security.txtとは何か、国内でなぜ普及しないのか、脆弱性情報の受け付けとの関連性は――。順に見ていこう。 セキュリティーが高まる理由 security.txtとは、当該企業が提供する製品やサービスの脆弱性情報を見つけた人が通知する窓口を示すためのファイルだ。その仕様は、インターネット関連技術の標
「自信のない」セキュリティー組織、薦めたい1冊の教科書がある
「サイバーセキュリティーを組織としてどう高めるか」。多くの日本企業が直面する課題だ。その導き役として最近注目している「教科書」がある。まずは数字で現状をおさらいしよう。 ランサムウエアからの復旧に平均13日かかる 過去3年間に日本企業(従業員500人以上)の56.8%がサイバー攻撃の被害に遭っている――。トレンドマイクロとNPO法人CIO Loungeが2023年11月1日に公表した「サイバー攻撃による法人組織の被害状況調査」の結果だ。被害に遭った企業における過去3年間の累計被害額は平均1億2528万円。1度でもランサムウエア(身代金要求型ウイルス)の被害に遭った企業に限ると累計被害額は平均1億7689万円と5000万円ほど上振れする。 同調査によれば、最も対応コスト(被害に対処するコストと復旧に要したコスト、再発防止に投じたコストの3つの合計)が大きかったサイバー攻撃について、国内拠点が
1単語のように扱われる「TCP/IP」、実はTCPはIPより先に生まれていた
TCP(Transmission Control Protocol)とIP(Internet Protocol)といえば、インターネットを支える基盤のプロトコルだ。実はTCPはIPより先に存在していたのをご存じだろうか。 TCPが最初に登場したのは1974年。ビントン・サーフ氏とボブ・カーン氏がIEEE(米国電気電子学会)の学会誌『Transactions on Communications』に論文「A Protocol for Packet Network Intercommunication」を投稿した。この時点のTCPは現在のTCPとIPの両方の機能が盛り込まれていた。現在のインターネットの4階層モデルからすると、TCPはインターネット層とトランスポート層にまたがるプロトコルだったのだ。 ビントン・サーフ氏が描いたTCPのアイデア。1973年に描いたとされる初めて図示したものを、20
楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」
楽天グループが2023年10月2日、Webサーバーにsecurity.txtを設置し、脆弱性情報の受付窓口としてVDP(脆弱性開示プログラム)を開始したことがSNSで話題になった。同社広報はこれを事実だと認めた。 日本有数のIT企業である楽天グループが「Webサーバーにテキストファイルを設置?」「脆弱性情報の受け付けがなぜ関係するの」と思った人もいるだろう。このsecurity.txtは、米Apple(アップル)や米Google(グーグル)、米GitHub(ギットハブ)、米IBMなど、IT関連の製品やサービスを提供する海外企業はすでに導入しているものだ。 一方、国内企業でsecurity.txtを導入している企業は少ない。security.txtとは何か、脆弱性情報の受け付けとの関連性、国内企業ではなぜ普及していないのか、順番に見ていこう。 security.txtがセキュリティー向上につ
2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される
スマホを狙う新しい手口の「SIMスワップ」も怖い。SIMとは契約情報が記録された小型のICカード。携帯電話番号を乗っ取る手法で、その流れは図1の通りだ。 図1 SIMスワップの手口は、犯人が事前に個人情報を入手してこれを基に身分証明書を偽造。携帯ショップに赴いてSIMを再発行したり、MNPで電話番号を引き継いだりする。攻撃者が手に入れたSIMは被害者の電話番号なので、SMSの確認コードは犯人のスマホに届く。つまり2段階認証も突破されてしまう。すでに国内でもネットバンキングの不正送金の被害が出ている まず攻撃者はフィッシング詐欺などでターゲットの個人情報やログイン情報を取得し、個人情報を基に身分証を偽造。次に携帯ショップで偽の身分証を提示して本人になりすます。あとは、SIMの紛失を名目に再発行したり、MNP(携帯番号ポータビリティ)を悪用して別のSIMに電話番号を移したりして乗っ取る。こうや
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
