« 2005年5月 | トップページ | 2005年7月 »

2005年6月30日 (木)

ネチケットを学ぼう

ミスターITさんから教えていただきました。

ディズニーオンラインの「ネチケットを学ぼう!」

http://www.disney.co.jp/netiquette/

お子様向けのようでいて、大人にも十分な内容です。

何より、音と絵がかわいいですね。

6月 30, 2005 | | コメント (2) | トラックバック (0)

2005年6月27日 (月)

クレジットカード情報流出(2)

クレジットカード情報の漏洩を「個人情報漏洩」として扱うのは、やめた方がいいと思っています。

個人情報保護法の基本理念では、個人情報の定義の対象を、分類しないことにしていますから、名刺の住所とクレジットカード情報を明確に区別して議論することは基本理念を変えない限り現実的ではありません。

今回の事件の報道や検討では、まず、「クレジットカード情報の漏洩」と限定的に議論しないと、不毛なことになります。
物事を考えるときには、言葉はとても重要なので、今回の件では、「個人情報」という言葉を使用禁止にして、限定した視点をまず持つことが出発点でしょう。

クレジットカードのCVC情報(*脚注)が個人情報なんてバっカみたいですよね。

「個人情報漏洩」という言葉から離れれば、今回の件についてを、「個人情報保護法」とはまず最初は距離を置いて議論しようということが明確になります。
今回の情報のようなものを、企業内のすべての情報のうち、どのように類型化して対策を講じるのかというところから議論すべきと思います。

以上は、そもそも論です。
次に、今回の事件の本質論にも少しふれておきます。

今回、カード会社は、当該業務委託先に対して、カード情報を保持するなという契約をしていたとのことですが、「守れないルールを設けるな」にみごとに抵触したといえます。
アフターサポートのことを考えれば、カード情報を一切保持しないということはありえません。
そのため、業務委託先は、ルールを違反して保持しました。
その結果、アフターサポートに必要のないCVC情報などまで流出したわけです。
ひとたび、ルールの違反が常態化すると、ルール違反の中にルールを設けることはできないため、このようなことが発生します。
カード会社は、委託先がアフターサポートをしなければならないことを考えて、「アフターサポートに必要な最小限のデータだけを保持せよ。アスターサービスに必要なデータについては、~~~という対策を講じること。」という契約をすべきだったと思います。
それを「データを一切保管するな」としたために、対策についてを言及できなくなったと言えます。
カード会社は、現在、委託先への「データを保管するな」という契約を元に、責任回避をしようとしています。百歩譲って、「その契約についての委託監督義務が不十分であった」としようとしています。
しかしながら、ぼくからすると、その契約書の内容事態が「委託監督の放棄」の証拠そのものだと思えます。
そうでないのであれば、「アフターサポートは(カード会社自らが直接実施するので)委託先側では一切必要ない。だからデータを一切保管するな。」という業務委託内容でなければなりません。

2つのことを書きましたが、、、

限定的に情報を整理して対策を議論した後に、個人情報との関係を考察するということをせずに、今回の事件を個人情報保護の射程で考えると、百害あって一利なしの議論になるのではないでしょうか・・・

今回の事件を「個人情報漏洩」と称して変なものを売りつける、自称コンサルタントが急増しているようです。
よいコンサルタントの見極め方」で、よいコンサルタントを見抜くための質問を書いてみしたが、新たな質問が増えました。

「今回のクレジットカード情報漏洩の対策と、個人情報保護対策とはどういう関係ですか?」

この記事を参考に、質問に対する回答と比べてみてください。

*脚注:

CVC情報というのは、クレジットカードが番号や名義人情報など目で見てわかる情報だけから偽造されないようにするために、磁気ストライプの中に書き込むチェックのためのコードのことです。
今回は、CVC情報まで流出したため、これらの情報を使うと、実際のクレジットカードを偽造することもできるようになり、被害が拡大しつつあるわけです。

6月 27, 2005 | | コメント (0) | トラックバック (2)

Korea Tech セミナー

企業における個人情報保護と情報セキュリティ対策
ということで7月7日の七夕に講演します。

詳細はこちら:

http://yosihiro.com/speech/index.html#2005-07-07

6月 27, 2005 | | コメント (0) | トラックバック (0)

タイ王国商務省認定レストラン祭り

タイ王国商務省認定レストラン祭りというのが開催されるそうです。
今年は、2005年8月26日~9月17日とのこと。

去年の同様のイベントは、こちら

6月 27, 2005 | | コメント (0) | トラックバック (0)

2005年6月21日 (火)

よいコンサルタントの見極め方

よいコンサルタントを選別するのは、なかなかと難しいものです。

ただ、見極めるのに役立つ質問がありますので紹介しましょう。

情報漏洩対策の製品導入場面についてを例にとってみることにします。

その質問とは、その製品の効用だけではなく限界を聞くというものです。
すなわち、効用として、「どういうことを守れるか?」を聞いた後に、「では、どういうことについては守れない部分がありますか?」という限界を質問してみます。
「この製品ならすべてを守れます」は論外ですが、言葉に詰まるようなベンダーはあてにしない方がいいです。
限界の質問に答えられたら、次に、「では、それらの守れない部分についてはどういうことをすればいいですか?」という解決策についての質問をします。それにも、ちゃんと親身になって答えてくれるベンダーであれば信頼できると思います。 ここで重要なのは、きれいに答えられなくても、「親身になって答えようとしているか」の姿勢を見ることです。
導入実績のある製品で、それらの導入後のアフターケアもしているベンダーであれば、役立つかは別として別の事例くらいは、解決策についても答えられなければ、うさんくさいです。
販売実績はあっても、実際使われていないか、導入後のアフターケアを怠っている証拠です。
以下のような人からは、ものを買わないほうがよいでしょう。
 -製品に不十分な点があることを隠して売ろうとする
 -製品に不十分な点があること自体がわかっていない

とりあえず、情報漏洩対策の製品についてで書きましたが、同じことは、サービスについても言えますし、情報漏洩などのセキュリティ対策以外のこと、広く言えばIT以外のことについても言えます。
たとえば、文書管理システムであれば、
効用についての質問は、「この製品でどんな文書管理ができますか?」ですし、限界についての質問は、「この製品ではどんなことはできそうにないですか?」となります。

さて、さっそく出入りの自称コンサルタントに、「効用と限界」の質問をしてみてください。
よいコンサルタントが見つかるとよいですね。
ただ、よいコンサルタントではなかったとしても、その人だけが悪いのではありません。
よいコンサルタントを見抜けない人、見抜けても相応の費用を払わない人には、よいコンサルタントは寄ってきません。
もしも、出入りの人が、よいコンサルタントだとしたら、それは採用している人の人徳の為せることでもあるのです。
もしも、出入りの人が、よいコンサルタントでなかったとしら・・・

6月 21, 2005 | | コメント (0) | トラックバック (2)

クレジットカード情報流出(1)

この事件で思うこと。

クレジットカードの不正利用は、全額補償なので事後処理はされそうですね。
ただ、不正利用されたカード番号は即日無効になるため、定期的な支払い(ISPの月額とか)に登録して使用していると番号変更が大変そうです。
考えようによっては、不正利用されてから番号変更するくらいなら、いまのうちに、番号変更してしまう方が楽かもしれません。

今回の件は、最初 MasterCard の事件として報道されましたが、実際には、CardSystems Solutions Inc. という会社の問題なので、ここが処理したすべてのトランザクションに影響があるのかもしれませんが、 彼らのプレスリリースを読む限り、Visa+Master 関係を対象として発表していますね。限定して書いていることからすると、Visa+Master のシステムだけが被害にあったのかもしれません。
ただ、この内容で、そもそも、最初に Master だけが報道されたのは不思議(気の毒?)ですねw

で、彼らのやっていた業務を見るとクレジットカードに関係するほとんど全部ですね・・・

アメリカでオンライン・オフラインを問わずクレジットカードを使った場合は、もう漏れているかもしれませんね。
消費者としては、もはや、請求書のチェックしかありませんが、自動引き落としの日本が狙われる可能性は高いかもしれません。

いずれにせよ、カードの所有者としては、全額補償されるのでカード会社からの請求書をちゃんとチェックして届け出れば済むように思います。(ただし、先述のとおり、カード番号は即日無効となることに注意が必要ですが)

一方で、システム構築事業者として次のような題材があるかもしれません。

ぼくも総額100万円の不正利用をされたことがありそのときに、手口を調べたのですが、不正利用者はカードの利用上限額まで引き出すために、小さな金額で少しずつ積み上げて、最後に与信エラーになったところでやめるようです。
それを機械的に効率的に実行するためには、比較的簡単にカード利用できるネットサイトを使うようです。
ネットサイトで物品を購入し、それを売却して現金に換金するということですね。
ぼくの被害の例では、実際には、オンラインの薬品販売サイトでしたが、商品コードと送付先、カード番号など注文に必要な処理を入力画面1ページから1送信で完了できるようになっていました。
お気づきのとおり、このショッピングサイトですと、1つのカード番号を使って繰り返し注文を出すプログラムを簡単に作成できます。

逆に言うと、注文までのページ遷移が簡単だと、カード情報を入手した不正利用者に狙われやすいサイトになることが懸念されます。
もちろん、ページ遷移が複雑すぎると、ユーザの利便性が低下するためそれとの兼ね合いが必要ですが、ぼくが不正利用されたサイトのように、簡単すぎると悪用されやすいと言えます。

クレジットカードの不正利用について、カード所有者は全額補償されます。カード会社は通常これらを保険で支払います。
ただし、不正利用されたショッピングサイトは、カード手数料を徴収されます。場合によっては、不正利用による支払いキャンセル手数料も徴収されることもあります。

悪用された原因が、注文画面のページ遷移が簡単であったことが原因となれば、サイト運営者は、そのシステム構築者に損害賠償を請求するかもしれません。

日本の報道は、例によって、クレジットカードが流出したこと自体とカード所有者保護だけを主として報道しているので、そこに注目しがちですが、実際にはその中間に、カードの不正利用を処理してしまう部分がある点にも注意すべきです。
次のようなサイトが狙われやすいということになります。
 注文入力画面の送信処理の繰り返しを自動化しやすい構造になっている
 1万円~10万くらいで換金しやすい商品を扱っている

日本では、世界では非常識とされている銀行引き落とし制度により、クレジットカード請求も自動引き落としですから、日本人が、この後、不正利用に狙われる可能性は高いかもしれません。
自動引き落としが例外の欧米では換金できるような商品を詐取できる可能性が低いように思うからです。

サイト運営者としては、以下のような対策が考えられます。
 自動化されにくい注文ページ遷移を工夫する
 単位時間あたりの多量注文数を監視する

技術に詳しくないサイト運営者が上記のことを考えるのは大変なので、サイトの構築事業者が提案するのがよいかもしれませんが、火事場泥棒と思われない程度にしないとですな。

とりあえずは、自分のカードの再発行を依頼するかどうか決心しないといけません。。。

6月 21, 2005 | | コメント (0) | トラックバック (2)

2005年6月16日 (木)

ISO/IEC 17799:2005 を 100 倍楽しむ方法

いよいよ、ISO/IEC 17799 の改訂版である 2005 年版が発売開始されましたね。
改訂作業には佐藤も参加していますが、今回の改訂ポイントを知っておくと楽しいかもしれません。

ISO/IEC 17799 の改訂版である 2005 年版は以下のWebからオンラインで購入できます。

ISO/IEC 17799:2005

情報セキュリティのお仕事している人は、必読書だと思います。

改訂作業には佐藤も参加していますが、今回の改訂ポイントのひとつは、「わかりやすい文章にしよう!」でした。
同じ文章なのに、読んだ人の解釈しだいで意味が変わってしまうのはおかしいですからね。(もちろん、内容そのものについての再検討が主たるポイントです)
以前の版を読んで、「よく理解できず、自分の英語の語学力が低いのかなぁ」と語学力の自信を喪失していた方は、改訂版を読んでください。きっと、自信を回復できるかもしれません。
逆に、以前の版で英文が抽象的なことを書いていたにもかかわらず、それをあたかも具体的なことであるかのごとくに解説していた方々は、面目がなくなることでしょう。

日本人はとかく英語コンプレックスになりがちですが、読んでもよくわからないような英文は、「そもそも英文の内容がおかしいんじゃないの?」と思うことも大切です。
英語で書いてあることは正しいはずに違いない。だから、自分の理解が異なっているのは、自分の理解に誤りがあるのだと萎縮する必要はありません。
自分の正しいと思うことについては、検証をして、それでもなお正しいと思うならば、英文がおかしいということは当然あるわけです。
以前の版がどのように改訂したかを、そんな観点で見比べてみるのも、ISO/IEC 17799:2005 の楽しみ方としておもしろいかと・・・

ということで、ISO/IEC 17799:2005 を 100 倍楽しんでいただければと思います。

6月 16, 2005 | | コメント (0) | トラックバック (2)

2005年6月 2日 (木)

公認不正検査士

公認不正検査士協会( ACFE:Association of Certified Fraud Examiner ) というのがあるんですね。

日本支部:
http://www.acfe.jp/

本部:
http://www.cfenet.com/


東京情報コンサルティング株式会社の松浦さんに教えてもらいました。


6月 2, 2005 | | コメント (2) | トラックバック (0)