2005年6月27日月曜日

クレジットカードのリスク

引き続きこの話題です。今回の漏洩事件でクレジットカードのリスクが改めて白日の下の晒された訳ですが、覚えの無いクレジットカード会社からの請求、私も経験があります。4年前にニュージーランドに出張に行った際、ホテル代その他の支払いはクレジットカードが主でした。帰国後、その時の請求がきたのですが、明細を見ると憶えのない請求が、それもニュージーランドドルではなく米ドルです。すぐに当該カードの発行会社に連絡して、不正請求ということで対応してもらいました。発行会社が調べたところ、翌月の請求がきているとのこと。金額は50ドルほどでした。その時に応対してくれたクレジットカード会社によると、

(1) ニュージーランドからカード情報が漏れてた可能性が高いがはっきりした証拠は無い 
(2) 米国のインターネットショップでの買い物である
(3) 4~5,000円程度の不正請求を数回あっても気づかないことがある
(4) 必ず、引き落し請求は確認して欲しい
(5) カードを使った時のレシートは捨てず引き落しまで保管する

などなど、言われました。この時はニュージーランドドルの中での米ドルの請求だったので、直ぐに気が付きましたが、それからは引落とし請求は、必ず確認しています。

スキミングなど、カード名義人からの漏洩だけでなく、カード会社からの漏洩リスクもあるという認識が必要ですね。日本のクレジットカード会社も米国のカード情報管理会社のように決済機能を集約化する動きがあります。そうなると、クレジットカード会社と情報管理会社双方からの漏洩リスクがあると考えなければいけませんね。日本のクレジットカード会社は、そのリスクに如何に対応するのか。大きな課題です。また、我々にとってもですが。

2005年6月26日日曜日

暗号化

米国の情報管理会社からのクレジットカード情報の被害が日本や欧州でも広がっています。今更ながらに、個人情報の流失の影響の大きさを認識させられました。情報の窃取の詳細な方法は模倣犯を防ぐために公開されないでしょうが、ある程度の内容は公開してもらいたいですね。
ところで、個人情報を守るという事は、勿論重要ですが、それだけでなく、漏洩してしまったらどうするという発想も必要です。例えば、暗号化。漏洩した情報が使えなければ、意味がないのですから、暗号化は有効な手段だと思います。読めない、もしくは解読に時間が掛かれば、それまでに顧客のカード番号を変更するとか、被害防止もできます。データの暗号化と解読でレスポンスタイムに影響がでるでしょうが、甘受すべきことと思いますが、どうでしょうか。

2005年6月20日月曜日

米国で大量の個人情報漏洩 Part Ⅱ

米国大手クレジット会社の個人情報漏洩、国内にも波及し実際の被害も明らかになりました。日本国内企業は、この4月の個人情報保護法施行に合わせて、保有個人情報対策を重ねていたにも関わらず、自らの力の及ばぬ所で顧客情報が漏洩してしまうとは、臍を噛む思いでしょうね。
事業提携先の情報セキュリティや個人情報保護体制を如何に検証し、担保するか、大きな課題ですね。特に今回のように国境を跨いだ定型の場合、尚更ですね。IT関連業界、コンサルティング業界、監査法人等々、難しい宿題を課せられた感じです。

朝日新聞

読売新聞

産経新聞

日経新聞

2005年6月19日日曜日

米国で大量の個人情報漏洩

米国で、大手カード会社から委託を受けた情報処理会社会社から大量の個人情報が漏洩したようです。流出した情報の数からみて、最大級の情報セキュリティ事故と言っていいでしょう。以下、朝日新聞の記事から引用です。

ビザ、マスターなど米大手クレジットカードの個人情報が最大4000万件余り流出していた可能性が明らかになった問題で、17日午後(日本時間18日午前)、マスターカード・インターナショナルの発表に続き、ビザUSAも情報が「危険にさらされた」との談話を出し、米当局の捜査に協力していると認めた。米紙ロサンゼルス・タイムズ(電子版)は、マスターカードだけで少なくとも6万8000枚分のデータが不正使用され被害が出たと報じた。

 米紙ワシントン・ポスト(電子版)は不正アクセスが起きたのは昨年後半と報じた。マスターカード幹部の話として、約2週間前に不正に気づいた、とも伝えた。

 ビザ、マスターなどの場合、カード契約者が利用明細などで不正な使用に気づいて銀行などのカード発行者に連絡すれば、支払いの義務は負わない。不正防止対策としては、別の番号の新たなカードに切り替える方法などがあるが、カード発行金融機関が不自然な取引が増加するかどうかを見極めてから判断するという。

 ネットワークへの不正アクセスを受けたとみられる米情報処理会社「カードシステムズ・ソリューションズ」はカード会社から委託されて、カードが使われた飲食店や小売店などからの情報を金融機関に転送している。扱う情報は小売店などの端末に応じて異なり、カード番号と有効期限だけの場合も、名前やカードに記入されているセキュリティーコードと呼ばれる3、4ケタの数字を含む場合もあった。

 米紙ニューヨーク・タイムズは、マスターカードの話として、この処理会社が本来は転送するだけで社内に記録しないはずのカード情報をマスターカードとの契約に反して保存していた、と報じている。

 米調査によると、米国で利用されているクレジットカードは約13億枚。多額の現金を持ち歩くことへの不安もあり、3億人弱の人口をはるかに上回っている。米国では6月に入って、銀行最大手シティグループが、顧客情報390万人分を配送会社が運搬中に紛失したと発表。5月には複数の大手行の顧客情報10万件以上が元行員らに盗まれていたことが明らかになるなど個人情報の流出が相次いでおり、防止策の強化が求められている。
 



4,000万人分の個人情報が漏洩したいうことで、カードの不正使用等、これら被害が顕在化していく、拡大する可能性があります。

各カード会社は、業務委託先の監督/監査をどうしていたのでしょうか。記事によると契約違反の行為もあったようです。カード会社の業務委託先に対する管理責任が問われそうです(というより、ほぼ間違いなく問われますね)。
又、一企業に米国の大手カード会社が業務を委託していたことに驚きました。ですから、一社でなく複数社の情報が一括して漏洩する結果になったのは明白ですね。

(1) 業務委託先との契約条件と実施監視
(2) 個人情報に関する重大な業務を外部委託することの妥当性
(3) 一部の情報処理サービス企業に集中するリスク

業務の効率性やコスト等の理由で、外部委託したのでしょうが、闇雲な外部委託は再考の余地があると思います。また、業務委託先に対する監査/監視体制の見直しも必要ですね。

コンプライアンス

月刊文芸春秋の7月号にJR西日本脱線事故にについての、工学院大学畑村洋太郎教授の論文が掲載されました。以下、同誌より引用です。

実は、私のような工学専門家がコンプライアンスと聞くと、「柔らかさ」「柔軟性」というイメージが浮かぶ。「物質に一定の力を加えたときにどれだけ変形が起きるか」という意味の言葉だからだ。反対語は「剛性」である。

「遵法精神」というと、法律や条令をきっちり守るというお堅い印象を受けるが、語源から考えると「社会順応」と訳するのが適当でないか。コンプライアンスとは、「社会の要求に対して、組織がしなやかに協力すること」なのだと思う。

畑村洋太郎氏著 月刊文芸春秋7月号 「失敗学なき組織は滅びる」より引用 



氏は失敗学で著名ですが、この記事は興味深く読みました。コンプライアンスを「社会順応」と捉え、法令法規だけでなく、社会の要求に対しても柔軟に対応していくこと、これは非常に印象的でした。
コンプライアンスが盛んに称えられていますが、法令法規だけに囚われると、それを守っていれば良いという方向に行きかねませんね。法令法規だけでなく、社会的要求にも応えていくことが大事だなと、読み終わった後に、そんな感想を持ちました。

2005年6月15日水曜日

ISACA東京支部総会

2005年6月14日、東京教育会館にて情報システムコントロール協会(Information System Audit and Control Association ISACA)東京支部の総会が開催されました。近年、CISA/CISM受験者数も大幅に増加し、支部会員数も今年度中には1,000名を突破することは確実でしょう。ここ数年来の課題であったNPO法人化も、ようやく実現しました。任意団体、ISACA東京支部からNPO法人 ISACA東京支部への晴れて衣替えです。

個人的なことで恐縮ですが、一年間のブランクをへて今年から教育担当理事に返り咲きです。教育委員2年、教育担当理事2年、教育担当常務理事2年、教育委員1年で通算7年、再び教育委員です。これで、月例会担当も8年目に突入しました。支部の20年の歴史の中でも、他に例がないです。理事会でも古顔になってきました。が、会員の皆さん、これからも宜しくお願いします。

2005年6月12日日曜日

金融庁の一斉点検

以下、朝日新聞からの引用です。

金融庁は、6月末をめどに銀行や保険会社など金融機関の個人情報紛失状況や管理態勢を一斉点検する。各金融機関に現状を報告させ、紛失や漏洩(ろうえい)がわかった場合は改善を求める。みちのく銀行(本店・青森市)など金融機関による個人情報の紛失が相次いだため、一斉点検で金融分野での個人情報保護を徹底する。

 個人情報の適正な取り扱いを定めた個人情報保護法が4月に全面施行されたことも受けた措置だ。6月末までに金融機関から報告を受け、大量の紛失やずさんな管理態勢が見つかった場合には、同法に基づく是正勧告などで改善を求め、再発防止に向けた態勢整備を徹底させる。貸金業者に対しては、今年度決算から、決算報告の際、個人情報の管理状況について報告を求める方針だ。

 金融機関の個人情報の紛失では4月、みちのく銀行がほぼ全顧客分の住所や氏名などが入ったCD―ROM3枚を紛失し、金融庁から金融機関として初めて同法に基づく是正勧告を受けた。大手でも、三菱信託銀行が6月に顧客約17万人分の情報を記録した資料を紛失したことがわかり、金融庁が報告を求めている。

 同法施行前の3月には、みずほ銀行が27万人分の顧客情報を紛失したことが判明したほか、金融庁自身も、金融機関が提出したフロッピーディスクを2度紛失している。
 


何れの事例も人為的な個人情報の漏洩ではなく、不適切な管理よる紛失ということですね(勿論、今後に漏洩という事態に発展する可能性がありますが)。それも、日々のルーチンワークの中での紛失という気がします。
個人上保護法対応だとか情報セキュリティ対策というカテゴリーに捉われず、通常のルーチンワークの中での対策が必要なのでしょうね。

2005年6月11日土曜日

CISA/CISM試験 PART Ⅲ

三度CISA/CISM試験についてです。
本日2005年6月11日に本年度の第一回目のCISA/CISM試験が実施されました。四時間の長丁場の試験、受験者の皆さん ご苦労様でした。
大体 お盆過ぎ頃に受験者の手元に結果が郵送されます。スケールドスコア75ポイント以上で合格です。この時点では、CISA/CIMSではなく、職務経歴の判定を得て認定を受ける必要があります。また、認定後も資格維持にハードルがあります。

ISACA東京支部では、10月過ぎに合格者説明会を開催するはずです。認定手続きの仕方や、継続教育プログラム、ISACAの支部活動等の説明や懇親会が行われます。多くの方々が参加されえる事を祈念しています。

私の時の合格者説明は7名位の参加で、支部理事の勤務先の会議室でした。今では、数十名の参加者予定されており、CISA/CISMの知名度と有用性が上がったということでしょうか。

最後に 受験者の皆さん お疲れ様でした。

2005年6月7日火曜日

CISA/CISM 試験 Part Ⅱ

引き続きCISA/CISM試験について。
自分自身での経験でもそうですし、他の受験経験者の話でもそうですが、矢張り試験時間の4時間をいかに乗り切るか、これが合格の大きな要素だと言えそうです。

体験談

集中力
4時間、持続し続けるのは困難。集中力が続かない事を前提に途中で持ち直す方法を考えよう。私は、あえてトイレに行き、顔を洗い、リフレッシュして再起動しました。

時間配分
事前に時間配分については、計画をたてましょう。見直しの時間も含め、50問、100問、150問、200問と区切りの時間を決めておきましょう。あらかじめ、予定を決めておけば途中で慌てたり、気力が萎える事もないです(と思います)。

回答は、ブランクにはしない
回答は4択。鉛筆倒しでも確率は25%、ブランクだと0%。

体調 
前日の就寝時間から試験が始まり。4時間を乗り切る為には朝食は欠かせません。試験途中の水分補給も大事です。


再び受験者の皆さん
頑張って下さい。

2005年6月4日土曜日

CISA CISM試験

来週の6月11日に2005年度のCISA(公認情報セキュリティ監査人)、CISM(公認情報セキュリティマネージャ) 試験が実施されます。今年は、CISAが約500名、CISMが約100名、合計約600名の方が日本国内で受験さるようです。私がCISA試験に合格したのは、丁度10年前の1995年ですが、その年の受験者が100名程度、合格したの13名だったと記憶してます。勿論、まだCISMはりません。それから10年、かつての受験者総数程度の合格者が想定されるようになりました。

これは、ISAの知名度が上がったのも一因でしょうが、やはり需要がでてきたということでしょうね。システム監査、情報セキュリティ分野のビジネスも大きくなってきましたし、その為の専門家も必要です。そして、その専門家としての資格要件を認証する仕組みもまた必要であるということでしょう。
しかし、CISA、CISM、CISSP、公認情報セキュリティ監査人(CAIS)、公認システム監査人、ISMS審査員・・・・  なんとかならいかな、と思うのは私だけでしょうか。

今年から、試験が年に2回になりました。これで、CISAとCISMを同一年度で取得することも可能ですし、その年の内に再チャレンジできるのも良いですね。私は、最初の試験で不合格だったので、次のチャレンジまで1年といのは、心情的に辛かったし、その為に受験そのものを諦めてしまう人もいましたので、この制度改革には拍手を送りたいです。ただ、秋のCISM試験は英語のみの受験になるので、一刻も早く日本語で受験できるようになって欲しいものです。
(私は、グランドファザリングでCISMの認証を受け、試験をうけてないので、偉そうなことは言えないのですが)

200問、4時間ぶっ通しの試験、結構キツイです。もう2度と受けたくないですね。

受験者の皆様、あと1週間です。頑張って下さいね。合格者説明会でお会いしましょう。

学校の個人情報

以下、読売新聞より引用です

-----------------------------------------------------------
校長名で中学のサーバーに侵入、同級生の成績など入手
 北海道江別市の私立立命館慶祥中(西脇終校長)で、生徒が学内のパソコンネットワークに不正にアクセスし、同級生ら約200人の名前や成績、住所などの個人情報を入手していたことが、4日わかった。

 同中によると、生徒は学内のパソコンから校務用サーバーに、校長の名前をパスワードに使って侵入できることをみつけ、5月30日、自分の携帯用音楽プレーヤーを接続してデータをコピー。一部を印刷して同31日に教頭に示した。本人は「管理の不十分さを指摘したかった」と話しているという。

 同中では、全教職員にパスワードを変更させたほか、生徒が校務用のサーバーにアクセスできないようにした。3日には保護者に陳謝した。

 西脇校長は「私のパスワード管理の不十分さが原因で、統括する者として責任を痛感している」と話している。

��2005年6月4日20時5分 読売新聞)

-----------------------------------------------------------

基本的なセキュリティ対策が施されていない典型例ですね。
 Ⅰ 本人の名前がパスワードに使えてしまう。
   ユーザアカウント管理に問題あり
 Ⅱ 業務用サーバーと教育用サーバが同一のネットワークに混在

Ⅰは、ユーザアカウント管理で対応でき、Ⅱはネット-ワークの構成で対応可能。何れも、難易度の高いものではなく、基本的な事柄です。
基本的な対応が等閑になっていては、情報セキュリティ対策の施しようがありません。情報セキュリティと大上段に構える前に、基本的な約束事の徹底が大事ですね。

2005年6月1日水曜日

古いメディアの情報管理

以下、読売新聞からの引用です。

---------------------------------------------------------
三菱信託銀行は1日、17万3000人分の顧客情報などが記載された小型フィルム計251枚を紛失したと発表した。

 紛失した小型フィルムの一部231枚には、顧客13万4000人分の氏名のほか、生年月日、電話番号、残高、入出金明細など個人情報が記載されていた。残る20枚には、3万9000人分の情報が記載されているが、氏名など人物を特定できる情報はなかったという。251枚のうち、198枚は20年以上前のもので、外部から利用されたという情報もないことから、同行では誤って廃棄した可能性が高いとしている。

 問い合わせは同行(0120・322・171)。受け付け時間は、3日までは午前9時~午後7時、4日以降は午前9時~午後5時。

��2005年6月1日13時40分 読売新聞)


---------------------------------------------------------

金融機関を含め、各企業は電子メディア内の個人情報の保護には、充分な対策を施したとしても、こういった古いメディアや紙等に記録された情報への対策に思わぬ盲点があるかもしれません。
本件では、マイクロフィッシュに記録されていたのでしょうね。マイクロフィッシュそのままでは、閲覧のしようもないので、実害はないのでしょうが、古いメディアの管理体制に再考が必要なのでしょう。

情報源の秘匿 ウオーターゲート事件から

以下、朝日新聞からの引用です。

-----------------------------------------------------------

「ディープスロート」はFBI元高官 米誌で自ら明かす
2005年06月01日07時26分

ウォーターゲート事件での情報源「ディープスロート」だったことを明らかにしたマーク・フェルト氏=AP

 ニクソン米大統領の辞任という米国史を揺るがすスキャンダルに発展した72年のウォーターゲート事件で、事件を暴いた米紙ワシントン・ポストの記者の情報源「ディープスロート」が連邦捜査局(FBI)の当時ナンバー2だったマーク・フェルト元副長官(91)であることが31日、明らかになった。フェルト氏本人が月刊誌「バニティー・フェア」で明かした。ワシントン・ポストも同日、事実であることを認めた。

 米調査報道の頂点とされる事件報道の最大の謎が、33年後に初めて明らかになった。公表された月刊誌の記事内容によると、フェルト氏は「私がディープスロートと呼ばれた男だ」と述べた。同氏は事件発覚当時、FBI副長官として機密を知りうる立場にいた。

 フェルト氏の孫ニック・ジョーンズ氏は同日、「祖父は職務を越えて危険を冒し、恐るべき不正から米国を救った偉大な英雄だと信じる」と語った。フェルト氏は「ディープスロートはこれまで犯罪者と思われてきたが、今では英雄だと思われている」と家族に打ち明けていたという。

 ワシントン・ポストの担当記者だったボブ・ウッドワード(現編集局次長)、カール・バーンスタインの両氏は情報源が死ぬまで公表しないとの約束を守ってきたが、同日、「フェルト氏がディープスロートで、ウォーターゲート事件取材で計り知れないほどの支援を受けた」との声明を発表した。

 ディープスロートの正体を知っていたのは両記者のほか、当時のブラドリー編集局長の3人だけ。ブラドリー氏も同日、「これほどの秘密が長期間守られたことは驚きだ」と述べ、「情報源の質の高さ」から当時の報道に自信を持っていたと述べた。

 情報は、匿名で発言を直接引用しないことを条件に、もたらされたという。

   ◇

 〈ウォーターゲート事件とディープスロート〉 72年、ニクソン米大統領(当時、共和党)再選支持派がワシントンのウォーターゲートビルにある民主党全国委員会本部に盗聴器を仕掛けるため侵入し、逮捕された。ホワイトハウスは関与を否定したが、ワシントン・ポスト紙のボブ・ウッドワード、カール・バーンスタイン両記者が調査報道で追及。ニクソン大統領自身のもみ消し工作も明らかになり、74年8月、米国史上初めて現職大統領として辞任した。

 ウッドワード氏らは情報源の仮名を「ディープスロート」とし、その正体について「本人との約束があり、死去するまでは明かせない」と沈黙を守っていた。事件から30年の02年に正体捜しが改めて話題を集めたが、特定できなかった。


------------------------------------------------------------

情報セキュリティに直接関係ないのですが、記事にもあるように、情報源が33年もの間秘匿されたのは驚異的です。秘密が守られたのは、情報源を知っていたのがボブ・ウッドワード、カール・バーンスタイン両記者とブラドリー編集局長の三人だけてあったことが大きな理由でしょうね。need to knowの原則に通ずるものがあるように感じられました。