HOME » 一覧 » コラム » 第５３４号コラム：「『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』について」 第５３４号コラム：野津 勤 幹事（株式会社システム計画研究所　特別顧問） 題：「『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』について」 首記のガイドラインが２０１８．７に総務省より発行された。このガイドラインは、従来の「ＡＳＰ・ＳａａＳにおける情報セキュリティ対策ガイドライン」及び「ＡＳＰ・ＳａａＳが医療情報を扱う場合における情報セキュリティ対策ガイドライン」【総務省】を、初版発行以降の環境変化（医療におけるＩＴ環境の進展、個人情報保護法の改正、診療報酬の改定、利用者の意見等）で統合したものであり、タイトルも変更された。本文１８０ページ以上、サービス仕様適合開示書及びＳＬＡ例１１０ページ以上の大部であるが、一本化

第５３２号コラム：井上 哲也　幹事（株式会社NTTデータ　セキュリティ技術部　情報セキュリティ推進室　課長代理） 題：「パスワードの無い世界へ／WebAuthn」 ■パスワード流出のリスク 不正アクセス等によるパスワードの漏洩が止まりません。GmailやYahoo!アカウントのパスワードがダークウェブで売買されることが日常となっています。どれくらいの割合で使用可能なものが含まれるのかはわかりませんが、一億件等と報じられています。 なぜ、パスワードが流出するのでしょうか。パスワードが流出する場所は、サーバ、利用者の端末、通信路からです。それぞれでパスワードを流出させないためのセキュリティ対策が必要です。例えば、サーバはネットワークやＯＳのアクセス制御、ソフトウェアは脆弱性対策、通信路は暗号化、利用者の端末はウイルス対策、クラウドはパスワード管理のように技術的対策から人的対策まで、さまざまな対

第４９９号コラム：西川 徹矢　理事（笠原総合法律事務所　弁護士） 題：「今こそサイバー攻撃対応・対処能力の高い組織体制を」 一昨年１１月、米国で大統領選挙をめぐって、サイバー攻撃が関与した不正行為が繰り広げられた。米露のスーパーカントリーの絡むこの事件は、世紀のスキャンダルと騒がれ、ご多聞に漏れず、その後１年を経てもなおその影響は、米国内は言うまでもなく、世界の政治に影を落としている。 昨年発表された米政府の公式情報によると、このサイバー攻撃は、ここ数年来の米露情報戦の中で、互いにサイバー攻撃を駆使して仕掛けた攻防戦の延長にあると報じられている。今回の米国大統領選挙をめぐる動きについては、一昨年の５月頃ロシアのプーチン大統領が指示をして口火を切ったと米国政府は非難する。サイバー攻撃のターゲットはクリントン候補者等同党要人や民主党組織を含み、ロシアに不都合と思われる周辺部の人々にまで及んでい

HOME » 一覧 » コラム » 第４６２号コラム「防犯カメラとデジタル・フォレンジック、プライバシー影響評価について」 第４６２号コラム：舟橋 信　理事（株式会社FRONTEO　取締役） 題：「防犯カメラとデジタル・フォレンジック、プライバシー影響評価について」 近年、不法行為の抑止やトラブル発生時の早期対応及び防災などを目的として、大規模集客施設や店舗、鉄道駅構内等の公共空間及び商店街等の街路に、施設管理者が防犯カメラ（監視カメラを含む。）を設置している。防犯カメラの２０１５年の国内年間出荷数量は、５８万６千台（２０１６年版のJEITA調査統計レポートによる。）であり、年々増加していることを考慮すると、公式統計はないが数百万台の防犯カメラが設置されているものとみられる。 当研究会では、これまで防犯カメラ画像に関するデジタル・フォレンジックを取り扱ったことはないが、現在、防犯カメラの画

第４４２号コラム：佐藤 慶浩　理事 題：「標的型攻撃にどう対処するべきか（後編）」 第３７１号コラム「標的型攻撃にどう対処するべきか」では、標的型攻撃と無差別攻撃との違いと、それを踏まえた攻撃対策についての心構えを紹介した。本コラムは、その続きとして具体的な対策について紹介する。 前回紹介したとおり、システムのアカウントが奪取されることを想定すべきであり、そのリスクに対処するには、当面すべき場当たり的な対策もあるが、アカウントによるアクセス権を最少化することが、抜本的にすべき対策となる。 これには、実は対策項目として特殊なものはない。本来するべき基本的な４Ａ対策を厳格に実施するだけでよい。 ４Ａ対策とは、以下の４つの対策の英語の頭文字をとったものである。 １．主体認証（Authentication） ２．アクセス制御（Access control） ３．権限管理（Authorization

HOME » 一覧 » コラム » 第４４１号コラム「今度こそセキュリティのパラダイムシフトが必要では？～仕事の見直しから考える～」 第４４１号コラム：上原 哲太郎　理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「今度こそセキュリティのパラダイムシフトが必要では？～仕事の見直しから考える～」 マイナンバー制度がいよいよ動き始め、今年はいよいよ各事業者が法定調書をマイナンバー入りで提出することになっています。そのため、年末が迫るに従って個人的にもあちこちにマイナンバーの提出を求められる機会が増えました。もう１５個所くらいには提出したでしょうか…なかなかに面倒なことです。 その過程で大変気になったのは、マイナンバーの収集事務手順にあまりにもバリエーションがあることでした。最も簡単なのは、対面でマイナンバーを記入した登録用紙を担当者に直接手渡しするとともに、通知カードなどを担当者

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊ 本年度のコミュニティは、お陰をもちまして盛況のうちに終了致しました。 ご来場頂きました皆様、ご後援・ご協賛頂きました皆様、誠にありがとうございました。 ■報告書が完成しました！ ＩＤＦ会員の皆様には、報告書を発送させて頂きました。 （一般の方への有償提供も行っております。詳しくは【こちら】） ■当日のレジュメの公開（掲載許可を頂いたもののみ）を開始致しました！ ※本ＷＥＢサイトに掲載している資料の無断転載および複製を禁止致します。 ＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊ 開催概要 主催 後援 プログラム 協賛 お申込み コミュニティ2日目（12/13（火））の開演時間を、【09：30】開演と繰り上げ致しました。 また、プログラム内容につきまして、以下の通り変更させて頂きました

第４２３号コラム：佐藤 慶浩　理事 題：「個人情報の非識別化に関する消費者と事業者それぞれの期待」 個人情報の非識別化方法についての国際規格の作成が開始された。規格番号と規格名は、「ISO/IEC 20889 Privacy enhancing data de-identification techniques」である。個人を識別する情報を個人情報とするならば、個人を識別しないように加工することで、個人情報ではない情報として取り扱うことができるようにしようとするものである。 技術的にはいろいろな観点がありそうなところ、やろうとしていることは、一見すると単純なことのように思われるかもしれない。しかし、「個人を識別する」ということが何かは、実はあまり単純なことではない。本規格は、その整理から着手することにしている。 日本の個人情報保護法は第２条で、『この法律において「個人情報」とは、生存する個

第３８１号コラム：上原 哲太郎 理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「無料公衆無線LANとフォレンジック」 外国人観光客が急速に増加する昨今、その外国人を対象に無料の無線LANサービスを提供しようという気運が盛り上がっています。 自治体等では災害時の情報提供手段としても期待されていることもあって、観光地や避難所予定地を中心に無線LANサービスの整備が進められています。多くの外国人が日本を訪れるであろう2020年の東京オリンピック・パラリンピックを一つのマイルストーンとして、この傾向は続くと思われます。 しかし、その整備のあり方に対して警察から待ったがかかる例が出ています。大きく報道された例では、私の住む京都市で行われてきたKyoto WiFiが話題になりました。 京都新聞：京都市の公衆WiFi「危険」　府警「犯罪インフラに」警告 http://www.kyoto-

第３６１号コラム：伊藤 一泰　理事　（栗林運輸株式会社　監査役） 題：「マイナンバー制度と企業の対応」 マイナンバー制度（社会保障・税番号制度）は、２０１３年５月に制定された「行政手続における特定の個人を識別するための番号の利用等に関する法律」に基づき、２０１６年１月から利用が開始される新たな制度である。 この番号（特定個人番号）は、社会保障、税及び災害対策の行政分野において、個人情報を複数の行政機関の間で紐付けるものである。住民票を有する全ての者に一人一番号（１２ケタ）で重複のないように、住民票コードを変換して付与される番号である。最近、啓発ポスターやテレビＣＭなどで政府が広報活動に力を入れているものの、現時点では、国民個々人や一般企業における認識はまだ十分といえない状況にある。 筆者の個人的感想で恐縮だが、まず、ネーミングが気に入らない。 オブラートに包んだ優しい響きのネーミングについ

第３５９号コラム：上原 哲太郎 理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「情報セキュリティ人材が足りない、は本当か」 情報セキュリティの世界を支える人材の育成は、いつでも良く課題として取り上げられてきましたが、最近特にその声が大きくなってきています。２０１３年６月情報セキュリティ政策会議の「サイバーセキュリティ戦略」でも人材育成は大きく取り上げられ、２０１４年５月には「新・情報セキュリティ人材育成プログラム」が打ち出されました。 これらでは、情報セキュリティ人材の不足が言われています。その根拠となっているのは、多くの場合２０１２年に行われたＩＰＡの「情報セキュリティ人材の育成に関する基礎調査」報告書ではないかと思います。 http://www.ipa.go.jp/security/fy23/reports/jinzai/ 曰く、企業における情報セキュリティ人材は現在２

＜「技術」分科会ＷＧ作成「証拠保全ガイドライン第４版」の公開＞ 「証拠保全ガイドライン第３版」（２０１３年９月３０日公開）の改訂版 「証拠保全ガイドライン第４版」が完成致しました。 「証拠保全ガイドライン第４版」は下記からダウンロードして下さい。 ■　「証拠保全ガイドライン　第４版」（趣旨・目次・本編・付録） 本ガイドラインはデジタル・フォレンジック研究会として我が国における同関連技術の普及を目指す立場から、我が国での電磁的証拠の保全手続きの参考として、様々な事案についてその特性を踏まえつつ広く利用していけるガイドラインを目指して作成しております。具体的な実務的細部事項等につきましては付録に収録しております「ＩＤＦ団体会員製品・サービス区分リスト」をご参照頂き、当該団体会員企業へお問い合わせ下さい。 ※リストからの当該企業選定が難しい場合は、ＩＤＦ事務局（ info@digitalfore

第３４６号コラム：佐藤 慶浩　理事（日本ヒューレット・パッカード株式会社　個人情報保護対策室　室長） 題：「ＰＩＡ（プライバシー影響評価）という名のエゴ」 個人情報保護の関連用語にＰＩＡというものがある。Privacy Impact Assessmentの略で、直訳するとプライバシー影響評価となる。 ＰＩＡについて意見を述べる前に、より身近な環境影響評価というのをまず紹介する。 街の中で大きな施設を建築するときなどに、環境影響評価をすることがある。たとえば、工事中の騒音が近隣の生活に悪影響を与えないかとか、地面を大きく採掘して地下に構造物を作ることが地下水脈に悪影響を与えないかといったことを調査することで、環境への悪影響がないことを事前に評価して、環境を保護しようとするのである。それによって、環境破壊が未然に防がれることになる。 そのように保護対象への影響を事前に評価することで、未然に保護

第３２３号コラム：佐藤 慶浩　理事（日本ヒューレット・パッカード株式会社　個人情報保護対策室　室長） 題：「情報セキュリティ対策の見直し：システム管理者の不正行為に対処せよ」 以前、第１０５号コラム「デジタルデータの改ざん防止とその保証」 の中で紹介した情報セキュリティ対策の仕組みは、データ流出防止のためにもそのまま応用することができる。 そのための応用方法を紹介する代わりに、『日経コンピュータ２００３年１２月２９日号「直言進言」ＩＴご意見番』に寄稿した記事を、当時のそのままに以下のとおり紹介する。 ～～～～～　ここから　～～～～～ 「システム管理者の不正行為に対処せよ」 波乱の中で稼働開始した自治体の住民基本台帳ネットワーク（住基ネット）。インターネットから住基ネットに侵入できるか否かが話題になったことは、まだ記憶に新しい。 住基ネットに限らず、システムへの“外部の脅威”への対処が大事な