メイン

セキュリティ アーカイブ

2004年09月27日

セキュリティの不安感は無知からくるもの?

Eコマース、躊躇の理由は「セキュリティ」に対する不安感[japan.internet.com]
  

Webサイトを通じて物品の購入をしたことがないユーザーにその理由を尋ねてみたところ、昨年は4%以上存在していた「購入できるサイトがわからない」「購入するまでの方法がわからない」との答えは見られなかった。しかし、「セキュリティが不安」は7ポイント増で37.3%(22名)、「商品に触れてみないと買いたくない」は6ポイント増で33.9%(20名)を占めたほか、「クレジットカードを持っていない」も若干増加して18.6%(11名)となっていた。

 
これは、対象者が「Webサイトを通じて物品の購入をしたことがないユーザー」であるというところがミソで、購入経験が多くなるにしたがってネガティブな意見は減っていきます(そういう調査を見たことがあるのですが、出典を忘れました)。
また、現実的にeコマース未経験者は減少していることもあり、今後同じ調査を繰り返していくとこれらの意見も減っていくはずです。「クレジットカードを持っていない」というのは傾向が異なりますが。

続きを読む "セキュリティの不安感は無知からくるもの?" »

2004年10月01日

中小企業向けセキュリティ対策支援サイト

NTT コミュニケーションズジュニパーネットワークストレンドマイクロ日本SGIの4社が、中堅・中小企業向けのセキュリティ対策支援サイト「セキュリティ診断室」を開設しました。
 
japan.internet.comの記事によると、

今回発表された「セキュリティ診断室」の特徴は、大企業に比べて IT に関する情報が不足しがちな中堅・中小企業のセキュリティ対策に取り組む経営者や IT 担当者の支援を目的としている点にある。

ということです。
 
特に中小企業の場合は、経営者が危機感を持たない限り、本腰を入れてセキュリティ対策に取り組むといったことはないですから、経営者に対するセキュリティ意識の啓蒙という部分を特に期待したいところ。
 
まだ掲載されている症例(事例)は少ないですが、同サイトでは無料のセキュリティ診断を受け付けており、そこから集まった事例をアーカイブしていくようです。

2004年10月19日

個人情報保護法とマーケティング

日曜日に情報セキュリティアドミニストレータ試験を受けてきました。情報セキュリティについて社会的関心が高まっていますので、ここ1、2年人気がある資格です。
ちなみに結果は...微妙なラインですね。
 
さて、昨年個人情報保護法も成立し、企業も個人情報の取扱いに真剣に取り組む姿勢が求められるようになりました。これがマーケティングに与える影響について書かれた記事がありました。
 
必要になってきた! 個人情報保護法施行後のマーケティング[BizPlus]

続きを読む "個人情報保護法とマーケティング" »

2004年12月17日

おかげさまでセキュアド合格

おかげさまでセキュアドに合格しました。

合格したから言えることですが、この試験ってガチガチの技術の人よりも私のような一般人の方が有利かも。
試験内容もシステムや技術的な理解が必要なものってそんなに多くないんですね。それよりも情報セキュリティの原則を自分なりに噛み砕く「機転」と、問題文を理解し、限られた文字数で回答をまとめるといった「国語力」が求められるような気がします。

情報セキュリティに対して、企業の関心が高まってきていますから、今後さらに人気がでる資格かもしれません。ちなみに今回は約49,000人受けて約4,000人が合格。合格率12.6%だったそうです。

2005年01月21日

社長ひとりが握る顧客情報

危険!社長ひとりが握る顧客情報[All About]
 
中小企業では、よくありがちな事例。いや、大企業でもよくある。
社長だけでなく、担当者レベルでも情報を貯めてしまうことが実に多い(たまに意図的であったりもするが。。)。
  
で、この記事ですが、

これらを解決するには、先のように情報共有をすることが大切なのです。宝の持ち腐れにならないよう、情報をうまく活かせる仕組みづくりをすることです。ではどんな方法を用いればよいのでしょうか?
ときて、はじめてMicrosoftの提灯記事だとわかります。(^^;;
 
情報共有をすることは大切。しかし、大切なのははたして仕組みづくりか?
 
会社全体から各個人に至る、「情報を生かしていく意識の共有」こそが問題で、仕組みやソリューションというものは後からついてくるものではないのかね。

2005年01月28日

インターネット詐欺の対策はオフラインから

えっ、犯人はこんな身近に!? 減少傾向も深刻なID詐欺の実態が判明 (MYCOM PC WEB)
 

フィッシング詐欺を始めとする、インターネット上のID詐欺事件が大きな話題となっているものの、全体の被害件数に占める割合は小さなものだったとされている。例えば、ID詐欺につながったとされる個人情報の流出経路トップに挙げられたのは、財布/預金通帳/クレジットカードの盗難もしくは紛失となっており、上位5件の流出経路は、いずれもオンライン・アクセスと何ら関連性がないものだったという。

情報漏洩の予防対策を考えるときに忘れがちなことは、システムのセキュリティ強化というのは、セキュリティ対策全体のほんの一部分でしかないということ。人が介在するシステムならば、オフラインの部分、つまり「人」の部分も考えないといけない。
 
この調査によるとコンピュータ絡みの流出経路は全体の11.6%にすぎない。その半数がスパイウェアに起因するもの。
とかく、セキュリティ対策というとシステム的なハッキング、フィッシングへの対策と考える人もまだ多いが(もちろんそれも大事)、利用する側の正しい理解が、これらを予防する最良の手段とも言える。
 
そして、もう一つショッキングなこと。

続きを読む "インターネット詐欺の対策はオフラインから" »

2005年02月14日

個人情報保護法に不安が6割

「個人情報保護法に不安」、中小企業経営の6割超が - nikkeibp.jp
 

その原因(複数回答)は、「具体的な内容を知らない」が51.1%で最も多く、これに「社員の危機感が低い」(48.5%)、「具体的な社内対策ができていない」(45.0%)、「社員への教育システムができていない」(39.3%)が続いた。

これが、経理や税務処理に関係することだったら、お抱えの税理士さんあたりがいろいろとサポートしてくれるのでしょうが、いざ「情報セキュリティ」となると、なかなか、中小企業を相手に相談に乗ってくれる人は少ないでしょう。もちろんシステムを売り付けようとしている方達は別ですが。
 
この法律、内容自体はけして難しいことは書いていないので、経営者向けの本をひとつふたつ読めば、大体の理解はできるのでしょうが、個々の企業・業務内容における「線引き」については、まだ施行されていないので、はっきりとしないところもありますよね。
 
とはいえ、いざセキュリティインシデントが起きたときにどれだけの損失をこうむるかということを良く考えておかないと、いつまでも「売上に直接結びつかないことには費用をかけたくない」とも言っていられないでしょう。

2005年02月15日

盗難・偽造にローテクで対抗

9日付の日経新聞7面、巣鴨信用金庫がお年寄り向けに盗難や偽造のセキュリティに配慮した新口座を導入したとの記事がありました。

見出しにもある通り『ローテクで対抗』というわけで、預金をおろせるのは口座のある支店窓口だけ、キャッシュカードはなし、預金の引出しは本人のみ、身分証明書または顔写真と「合言葉」で認証と。ICカードの採用に動く大手銀行とは対照的。

セキュリティ対策には、ハイテクもローテクも関係ないですし、もともと高齢者の中にはキャッシュカードが不要という方も多いようですから、実態に即した対策といえるでしょう。すべての銀行でできることではないですが、高齢者の多い巣鴨ならでは、ということで。

偽造カード対策で手のひらや指など生体認証を導入する金融機関が増えているが、同信金は「一番確実なのは、職員と顧客がコミュニケーションをとる中で確認すること」と強調している。

究極は、もとい本来は、そういうことですよね。

2005年03月07日

ECサイトのセキュリティ

消費者向け電子商取引サイトの運用における注意事項[情報処理推進機構]

 
サーバー動かしてる人なら基本ですが、こんなことわかってるよ、って人もとりあえず。
PDFで20ページ。

2005年03月22日

paypаl.com??、paypal.com??

「paypаl.com」と「paypal.com」,違いが分かりますか? : IT Pro 記者の眼

フィッシングの話題。

パッと見、違いがわかりません。
よぉ~く見ると、前者のpalの’a’がキリル文字になっている。
 
なお、フィッシングの手口も巧妙になってきていますが、これもよ~く見ると文章が稚拙だったりします。

ITmedia エンタープライズ:UFJ銀行をかたる日本語フィッシング詐欺メールが出回る

「セキュリティーの向上に伴いまして、オンライン上でのご本人確認が必要となります。この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします」

 
下手な文章ですね。でも、いずれにしても気をつけましょう。

2005年03月30日

電話帳のビジネス利用に脚光

3月30日付日経MJ 3面
個人情報保護法の規制に触れず、電話帳に熱いコール、という記事。
 
電話帳が個人情報保護法の対象外ということに着目して、支援サービスが続々登場しています。
ちなみに、NTTグループ各社に登録された電話番号や住所は個人や法人を含めて約3600万件だそうです。
 
職業別電話帳はウェブでも利用できます。
たとえば、@nifty電話帳iタウンページなど。電話番号だけでなく住所も掲載されています。
 
個人データが収録されているハローページにしても、数万円で全国分が収録されたCD-ROMを買うことができますし。
 
現状の個人電話帳の権利関係や利用許諾はかなりいいかげんな様子。近い将来、制限が厳しくなることでしょう。

▼第3者利用は自由?  NTTが発行する職業別のタウンページは「NTTの分類法にノウハウがある」として編集著作権を認められている。一方、個人情報が掲載されるハローページのデータは権利関係があいまい。電話帳を元に海外で加工編集した個人情報データベースが日本で出回っている。ハローページ記載の電話番号などをデータベースにして売ることはNTTの約款で認められている。個人情報が多く、慎重な扱いが求められるハローページだが、実態は企業中心のタウンページより自由に利用できる。
 
電子電話帳 2005 Ver.10 全国版

by G-Tools

2005年04月26日

見逃されがちな紙のセキュリティ

見逃されがちな紙のセキュリティ : IT Pro

「紙」による情報流出の事例は数多い。重要情報をプリントアウトした紙の持ち出しや盗難,FAXによる外部への送信,重要書類の不正コピーなどで情報が外部に漏れてしまう。NPOの日本ネットワークセキュリティ協会(JNSA)のレポートによると,紙媒体経由の情報漏えいは全体の14%に上っている。これは,メールやWeb経由の情報漏えいとほぼ同じ割合である。

個人情報保護であるとか、情報流出の防止などというと、それがオンラインだけの話のように考えている人がいまだに多いこと。しかぁし!間違いFAXも立派な情報流出。コピーの持ち出しもそう。
 
この記事では、システム的にプリントアウト権限を設定、ICカードをかざさないと印刷が始まらないプリンタ、コピーを防ぐための地紋印刷、ログの管理などが効果的とされている。

2005年05月13日

Movable Typeで第三者の不正アクセスを許可してしまう脆弱性

シックス・アパートからこんなのが出てました。
 
【重要】 第三者による不正アクセスを許す危険性の対策について

Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。

対象となるのはMovable Type日本語版の全てのバージョンだそうで。。。
6月上旬に3.16がでるってことは、旧バージョンのパッチとかはないのかね。
バージョンアップってめんどくさいじゃないですか。

2005年06月10日

「不正アクセスはある程度仕方がない」が半数

カカクコムの不正アクセス事件について、nikkeibpが実施したアンケート結果。
 
「カカクコム事件」、あなたはどう見る? ? - nikkeibp.jp -
 
不正アクセスによるメアド漏洩はカカクコムに「非がある」が81.0%。
異常の発見後サイトの閉鎖までの期間について「異常発見直後に閉鎖すべき」が76.3%。
閉鎖から10日後のサービス再開については「妥当だと思う」が49.0%。
企業サイトが不正アクセスのリスクを負うことについては51.3%が「ある程度は仕方がない」。

続きを読む "「不正アクセスはある程度仕方がない」が半数" »

2005年08月02日

楽天がカード流出対策を発表

楽天・三木谷社長がカード流出対策発表、店舗の理解は得られるか [IT media]


楽天市場に出店している店舗「AMC」(センターロード運営)からクレジットカード番号を含む284件(8月1日までの判明分)の情報が流出した事件を受け、楽天は8月1日、個別の店舗が顧客のクレジットカード番号に触れることがない新システムを8月11日に稼働させると発表した。

これまではカード決済の承認依頼を各店舗で行っていたので、楽天⇒店舗にカード情報が渡されていた。そのcsvファイルが流出してしまったのが今回の事件。今後はカード決済の承認依頼を楽天=カード会社で行うようになり、店舗には与信処理の成否と名前、住所などの情報だけが渡されるとのこと。

楽天は店舗への指導も大幅に強化する。8月中に1万4000店に対して聞き取り調査を行って、「(セキュリティのルールに)違反していると基本的に退店してもらう」(三木谷氏)。

大変なのはやはりここでしょうね。社内だけならまだしも、大小数万店ある加盟店をどれだけコントロールしていけるかが課題。今回の事件も楽天内部でなく加盟店レベルでの流出ですし。楽天が持ってるであろう高いセキュリティ意識を加盟店にも正しく伝えていく、楽天の「人」の部分の真価が問われるところだと思います。

About セキュリティ

ブログ「やじlog」のカテゴリ「セキュリティ」に投稿されたすべてのエントリーのアーカイブのページです。過去のものから新しいものへ順番に並んでいます。

前のカテゴリはインターネットです。

次のカテゴリはネットビジネスです。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。