2009年 情報セキュリティインシデントに関する調査報告書
報告書「始めに」より抜粋 JNSAセキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故(以降「インシデント」という)の調査分析は今回で8回目となる。2008年と同様に2009年も2003年に確立した調査方法を踏襲した。 JNSA セキュリティ被害調査ワーキンググループでは、2008年と同様に、これまでの調査方法を踏襲し、2009年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント(以下、インシデントという)の情報を集計し、分析を行った。 この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル(JNSA Damage Operation Model for Individual Information Leak)を用いた想定損害賠償額などを分析した結果を報告書にまとめた。このような結果をもたらした
情報処理推進機構:セキュリティセンター:セキュリティ関連NIST文書
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の発行するSP800シリーズ(SP: Special Publications)とFIPS(Federal Information Processing Standards)の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うよ
セブン−イレブン、住民票と印鑑登録証明書を発行 - MSN産経ニュース
コンビニエンスストア最大手のセブン−イレブン・ジャパンは21日、店内の専用コピー機に住民基本台帳カード(住基カード)をかざすだけで住民票と印鑑登録証明書が発行できるサービスを来年2月2日から順次、開始すると発表した。 来年3月以降は、それら以外の各種証明書発行についても導入を検討する。店内端末を使い、本格的な行政サービスを行うのはコンビニでは初めて。 まず東京都渋谷区と三鷹市、千葉県市川市の合計6店舗で2月2日から開始。3月には全国5000店、5月には全1万2500店舗に広げる計画だ。 使い方は、各店舗に導入される予定の新型マルチコピー機のICカード読み取り部分に住基カードをかざし、本人を確認。交付手数料を支払うことで住民票などがプリントアウトされる仕組みだ。利用料は、各自治体の200〜400円と同額。 セブンは委託料として収入を得るほか、普段コンビニを使わない高齢者の女性層などを同サービ
高木浩光@自宅の日記 - Nyzillaは12月23日公開予定
■ Nyzillaは12月23日公開予定 アイコンやロゴのデザインは外注した。今回はその他の費用を含めてけっこうな額の私財を投じてしまった。 デバッグは終了。あとは、コード署名用クラス2証明書を取得するための、StartCom CAからの本人確認の郵便物が届くのを待つのみ。間に合うのだろうか。*1 Winnyネットワーク観測関係者向けの連絡事項 今回、Winnyプロトコル互換の閲覧ソフト「Nyzilla」を一般公開することにより、少なからず、Winnyネットワークの観測結果に影響を及ぼす可能性があります。すなわち、Nyzillaの利用者がWinny利用者として計数され、無視できない数に及ぶ可能性を否定しきれません。できるだけその影響を小さくするために、いくつかの工夫を施しています。 (1) Nyzillaは、標準設定ではPort0接続だけを使用するようになっています。Nyzilla利用者が
堀江貴文『企業の情報漏えい対策がクソな件について』
堀江貴文オフィシャルブログ「六本木で働いていた元社長のアメブロ」 一般的には、ホリエモンとか堀江とか呼ばれています。コメントはリアルタイムには反映されません。私にコンタクトを取りたいときは、info@takapon-jp.comへメールでご相談ください。 私が数日前に手帳のエントリーを書いたら、今は大手企業(特に個人情報を扱う会社)ほど情報漏えい対策でデジタルデバイスの持込が制限されているので、デジタル機器でのスケジュール管理やらメモなどはできないというコメントが書き込まれていた。 たしかに私がライブドア社長時代は個人のパソコンは持ち込み自由でデータの持ち出し制限も個人のモラルに任せていて実際に会社の内部資料が検察庁などに漏洩していたようである。楽天のように個人のパソコンは絶対に持ち込ませない、会社のパソコンも外に持ち出せないとうくらいの対策をしていれば、検察庁がライブドア社に踏み込むこと
高密度小池 / 産経新聞取材ログ
産経新聞取材ログ 産経新聞に金くれが掲載されました。 http://sankei.jp.msn.com/economy/it/091029/its0910290748001-n1.htm 【Web】ネットで長者かおねだりか 不景気反映? 夢と危険性混在 その取材のログです。 サイト「金くれ」管理人様 拝啓 突然のメールにて失礼いたします。 私、産経新聞社のweb面担当記者の織田淳嗣と申します。 私どもは現在、ネットを通じての募金活動や物々交換について取材を進めているところですが、 このたび、管理人様が設立されましたサイト「金くれ」について質問させていただきたく、メールをお送りいたしました。 一部、他紙の質問と重複するかと思いますが、以下、ご回答をよろしくお願いします。 ・サイト設立の動機、設立年月日、現在の登録者数について教えてください。 ・多数の登録があるようで
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
「2008年度情報セキュリティインシデント調査報告書」 - 情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)
JNSAのHPで「2008年度情報セキュリティインシデント調査報告書」が公開されています。 情報漏えいインシデントの報告書としては、もう定番ですね。 2009年度からは、情報漏えい以外のインシデントも調査するとか・・・ 期待しちゃいます。 「2008年度情報セキュリティインシデント調査報告書」 <報告書「始めに」より抜粋> JNSAセキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故(以降「インシデント」という)の調査分析は今回で7回目となる。2007年と同様に2008年も2003年に確立した調査方法を踏襲した。 JNSAセキュリティ被害調査ワーキンググループでは、2007年と同様に、2008年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント(以下、インシデントという)の情報を集計し、分析を行った。 この調査データにもとづいた、漏えいした組織の業種、
MSのセキュリティサービスは脅威にならず、F-SecureのCEO
F-Secureの日本法人設立10周年で来日したキモ・アラキオ社長兼CEOは、米Microsoftの無料ウイルス対策サービスについて、競合にはならないと語った。 フィンランドのセキュリティ企業F-Secureは6月24日、日本法人エフセキュアの設立10周年イベントに際して記者懇談会を開催。事業展開などについて、社長兼CEOのキモ・アラキオ氏らが説明した。 エフセキュアは1999年に設立され、Linux向けのセキュリティ対策製品やインターネットサービスプロバイダー(ISP)向けのセキュリティ対策サービスを主力にしている。桜田仁隆社長は、今後の展開について「従来からの分野を伸ばしつつ、海外で評価のあるモバイルセキュリティやSaaS(サービスとしてのソフトウェア)型ウイルス対策サービスの販売拡大を狙いたい」と説明した。 アラキオ氏は、「われわれはオンラインを介したセキュリティ対策サービスが主力で
ヒューマンエラーはなぜ起こる
ヒューマンエラー学 ヒューマンエラーは、なぜ起こる?どう防ぐ? 産業技術総合研究所 デジタルヒューマン研究センター研究員 中田 亨 toru-nakata@aist.go.jp 2006年12月8日更新 (2005年5月27日書き始め) おみやげ (1)このページをダイジェストにしたパワーポイント (2)ダイジェスト版「ヒューマンエラー抑止 医療版テキスト」(PDF) (3)ダイジェスト版 安全化技術の展望(PDF) ヒューマンエラーとは? ヒューマンエラーとは、人間の過誤(ミス)のことです。人為ミスとも呼ばれます。不本意な結果を生み出す行為や、不本意な結果を防ぐことに失敗することです。 特に、安全工学や人間工学では、事故原因となる作業員やユーザの過失を指します。 下手や無駄だけど事故にならない操作や、機械設計者の設計ミス(=操作者以外の人的過誤)は、普通はヒューマンエラーには含めませ
NTTコムのVPN経由でウイルス感染:ITpro
2009年4月9日,NTTコミュニケーションズ(NTTコム)の「Arcstar IP-VPN」を監視するシステムがウイルスに感染していたことが明らかになった。感染範囲はNTTコムの内部にとどまらず,Arcstar IP-VPNを利用する企業のパソコンまで被害が拡大した。NTTコムのシステム運用の甘さが露呈した格好だ。 Arcstar IP-VPNには,ユーザー企業のルーターを監視する「ルーター監視オプション・サービス」がある。ウイルスに最初に感染したのは,同サービス向けの監視端末である(図1)。 NTTコムが監視端末の感染を知ったのは,2009年4月9日の午前中。Arcstar IP-VPNのユーザー企業から「NTTコム側から不正なパケットが断続的に届いている」との報告があった。この申告に基づきシステムを調査したところ,監視端末のウイルス感染が見付かった。同日13時ごろに全監視端末をネット
トラブルを報告したくなる風土を作る
トラブルの予防 トラブルの予防には大きく分けてやるべきことが2つ存在します。「トラブルの発生前対策」と「トラブルの発生後対策」について、案を作成することです。 まずはトラブルの発生前対策案を検討し、前述のリスク一覧表に書き込みます。マネージャはこれを見て、プロジェクトのトラブルを予防すればよいわけです。 トラブルを予防するとは、次のようなことです(ここでは発生前対策を挙げます)。 ここで重要なのは、前述のリスク一覧表の1つ1つのリスクに「トラブルの前触れの発見」という項目を設定した点です。 どんな有能なマネージャであっても、プロジェクト全体を隅々まで見張るのは無理があります。この方法であれば、極めて重要であると認識されたトラブルを集中的に監視することができ、プロジェクトマネージャの負担を軽減させることができます。 トラブルの発見・対応 さて、プロジェクトの開始の時点でリスクの予測と予防まで
情報セキュリティ教本 改訂版 | ISOの本棚
ISO9001、ISO14001、ISO22000、OHSAS18001、ISO/IEC 27001、ISMS、Pマークなどのマネジメントシステムの書籍からビジネス書などを書評を交えて順次紹介していきたいと考えています IPA(Information Technology Promotion Agency:独立行政法人 情報処理推進機構)のISEC(IT SEcurity Center:セキュリティセンター)のスタッフの執筆により2007年7月に発行されていた情報セキュリティ責任者・担当者のための教科書「情報セキュリティ教本」が2009年3月に改訂発行されています。 情報システムは、今日、どんな組織においても業務遂行を進める上で必要不可欠な基本的インフラとなっています。 そこでその情報システムが確実に安定した状態でその機能を提供できるために情報セキュリティ管理の位置づけが極めて重要なものに
三菱UFJ証券個人情報流出事件にみるリスク管理のむずかしさ - ビジネス法務の部屋
4月8日付けで三菱UFJ証券さんが個人情報流出の被害に遭われた方々に送付した「お詫び」文書を入手いたしました。とくに報道された内容やHPで公開しているところと変わったことは書かれておりません。警察と協力して、全容が解明され次第、また改めてご報告します、ということと、流出した情報内容(年収区分や勤務先の役職等を含む)、名簿業者3社への対応、名簿業者の販売先への使用中止要請等の活動内容も付記されておりますが、なんら具体的な進捗状況については記載されておりません。流出させた元社員が全ての顧客情報を売りつけようとしたところ、名簿業者側より、新規顧客しか情報の価値がないとされたことから、平成20年10月以降に新規に口座を開設した顧客のみの個人情報が売却されたわけですから、被害者側とすればこの名簿業者の氏名住所も知りたいところですよね。(損害賠償請求の被告になりうるわけですし、また三菱UFJ証券さんに
「みんなが嫌うあの業務,どうにかしよう」
SI企業のAさんからメールが来た。 SI企業A氏:お久しぶりです。前回から1年以上経ってしまいましたが,ようやくサービス開始にこぎ着けました。「情報セキュリティ管理包括支援サービス」と「運用改善ソリューション群(ITアウトソーシングとコンサルティングのセット提供)」の2テーマが中心です。某外資系ファームとの戦いも,ほぼ勝ちと言える状況になってきました。 Aさんは運用管理や内部統制を得意とするワーカホリックなコンサルタント。数年前にユーザー企業を飛び出して今の会社に移り,新しいサービス事業の開発に取り組んでいる。ユーザー企業時代に面識を得てから,時々雑談に付き合ってもらっている。 私にはもう1人,Bさんという雑談仲間がいる。大手製造業のIT企画部門にいて,製造業務とITの両方に明るく,IT戦略の立案に携わっている。売る立場のAさんと買う立場のBさんが損得なしに展開するディスカッションは,現場
Yahoo!ショッピングにおけるログ設計と監視
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ショッピング事業部開発部の吉野と申します。 今回は「アプリケーションログの設計と監視」について、実際にYahoo!ショッピングで採用している方法を少し交えながらお話しさせていただきます。 1.ログ設計のポイント ログ設計は、以下のポイントに注意して行うとよいでしょう。 ・ログ出力のポイントが押さえられているか ⇒セッションの始まりと終わり、処理の過程、例外処理の中など。 フローチャートのような処理フロー図があれば、そこにログ出力ポイントを書き込むとわかりやすくなります。 ・出力する情報に過不足はないか ⇒「いつ(システム時間)」「だれが(プロセスID・IPアドレスなど)」 「どこで(パスなど)」「なにをした(実行コマン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティのNRIセキュア
経済産業省 CHECK PC! | デビュー曲PV
「水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に関する報告書」公開 - 情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)
「人間の特性 8か条」 - 情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)