企業に求められる情報モラルと人権・個人情報保護 · 2017-10-25 ·...

1

企業に求められる情報モラル

と人権・個人情報保護〜企業に求められる情報管理の徹底とリスク回避について〜

情報安全保障研究所

山崎文明

Copyright ©2017 Fumiaki Yamasaki All rights reserved.

2

深刻なプライバシー侵害や誹謗中傷、いじめ

増加傾向にあるインターネット上の人権侵害

【出典】法務省人権擁護局平成２４年中の「人権侵犯事件」の状況について 2013年3月１日

【出典】法務省人権擁護局平成２7年度版「人権教育・啓発白書」

インターネット上の人権侵害情報に関する人権侵犯事件の推移


3

ソーシャルメディアへの不適切な書き込み

誹謗中傷、部下の中傷（パワハラ）、プライバシー侵害

信用失墜、イメージダウン

投稿者自身に跳ね返る制裁

インターネットが引き起こす人権侵害

「お泊まり暴露」ウェスティンホテル謝罪Jリーガーの■■■■選手 (31)とモデルの■■■■さん(28)について「今夜は2人で泊

まるらしい」などとホテル関係者がツイッターに書き込んだ問題で、従業員が勤務していたウェスティンホテル東京は「アルバイト従業員がお客様のレストランご来店情報をブログなどで流出させていた」などとする文書をウェ

ブサイトに掲載した。


4

SNSから特定できる個人

公開情報から特定される個人

５時間でプロファイリング終了アカウント、氏名、生年月日、顔写真、

住所、自宅の外観、学歴、趣味、

就職希望先・・・・・・・等々

取り返しがつかない人権侵害

PC遠隔操作・・？もし、誤りだったら

いまだに公開されている過去の過ち

関係者全員が不幸な事件

第一の被害者はカップル

第二の被害者はホテル

第三の、第四の・・・・・

大切な従業員教育

インターネットが引き起こす人権侵害


5

【出典】情報処理推進機構コンピュータウイルス・不正アクセスの届出状況および相談状況［2017年第2四半期（4月～6月）］

ランサムウェアのまん延

急増しているランサムウェアの被害


6

【出典】トレンドマイクロ 2016年6月に、企業・組織においてITに関する意思決定者および関与者534名を対象に「企業におけるランサムウェア実態調査 2016」結果

以外と多い？身代金支払い企業


7

４つ星ホテルでランサムウェア被害

カードキーシステムがダウンでチェックインできず身代金１５００ユーロ支払ってシステム復旧

制御系のシステムはインターネットと分離することが原則


8

ランサムウェアを装う「Ranscam」感染した時点で全てファイル削除

こまめなバックアップとパッチワークオフラインの媒体へのこまめなバックアップ OSやアプリケーションの最新バージョンを維持

マルウェア作者でも不可能な復元


9

ランサムウェアより恐ろしいドクスウェア

doxing（ドクシング）

doxingとは、個人攻撃のためにその人の個人情報をWeb上で公開する、いわゆる「晒し」を意味する英語のインターネットスラングである。日本語では「晒し」。

Doxware（ドクスウェア）

ランサムウェア（ransomware）の反対語。ランサムウェア攻撃では、マルウェアは被害者のデータを暗号化し、支払いを要求して必要な解読鍵を提供します。ドクスウェア攻撃では、攻撃者またはマルウェアは被害者のデータを盗み、手数料が支払われない限り公開すると脅かします。

http://www.weblio.jp/content/%E5%80%8B%E4%BA%BA%E6%94%BB%E6%92%83

http://www.weblio.jp/content/%E3%81%9D%E3%81%AE%E4%BA%BA

http://www.weblio.jp/content/%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1

http://www.weblio.jp/content/Web

http://www.weblio.jp/content/%E4%B8%8A%E3%81%A7

http://www.weblio.jp/content/%E5%85%AC%E9%96%8B

http://www.weblio.jp/content/%E3%81%84%E3%82%8F%E3%82%86%E3%82%8B

http://www.weblio.jp/content/%E6%99%92%E3%81%97

http://www.weblio.jp/content/%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%82%B9%E3%83%A9%E3%83%B3%E3%82%B0


10

知らない人の家に泊まる・・・

今、話題の民泊

知らない人を愛車に乗せる

知らない人の車に乗って・・・・・・

知らない人を自宅に泊める


11

世界最大のデータブローカーＬｅｘｉｓＮｅｘｉｓ

http://www.lexisnexis.com/risk/


12

名寄せされる個人情報

米国企業に見る個人情報ブローカーの実態増加し続けるデータマッチング・キー

• 携帯電話番号、クレジットカード番号、電子マネー番号、社会保険番号、

商品として扱われる個人情報データブローカー世界最大の個人情報販売会社 Choice Point社

• 売上１０００億円 NYSE上場従業員５千名以上• ２億２千万人１７０億レコード２５０テラバイト• DBT「AutoTrackXP」

問われるセキュリティとプライバシーのバランス Nanny

• 目指すはサイバー空間上のnanny

村化する社会が安心・安全をもたらす


13

万引犯罪を発見した後の基本的な処理方針

【出典】平成27年6月「第10回全国小売業万引き被害実態調査報告書」

年間4615億円、毎日12億6千万円の万引被害

復活する村八分犯罪歴勤務評価


14

ＮｏＣｈｏｉｃｅ

ChoicePoint社は自社のデータを保護しているが，その保

護の範囲は同社が「価値を生み出す」と見なす対象にしか及ばない。同社のデータベースに個人情報が保存されている何億人もの人々は，同社の顧客でない。こうした人々には，信用調査会社を変えるすべがない。問題改善につながる経済的圧力を加えることもできない。

ChoicePoint社は社名を“NoChoicePoint（選択の余地なし）”に変更すべきだろう。

ジャーナリスト Bruce Schneier

企業による個人の格付け情報区別が差別に繋がる脅威

15

事例から学ぶ情報漏えい対策日本年金機構の事案を例に


16

機構職員が規則通りパスワードを設定していればこの事件は起こらなかった？

脅威の認識は正しいか日本年金機構の事例

マスコミの批判が殺到したパスワード運用の不備内部調査報告書でも厳しく指摘


17

遠隔操作型マルウェアBackdoor.Emdivi

2012年5月30日4時49分

www.summitship.co.jp

125.206.115.79

C&C サーバー（Command & Control Server) / C2サーバー

犯人からは丸見えのパスワード

PC画面やキーボードストロークは丸見え状態

http://www.summitship.co.jp


18

発見できて当然の攻撃IPアドレス本気の攻撃なら攻撃に未使用のIPアドレスでやってくる

ウイルス感染から10分以内で遠隔操作開始伝言ゲーム遅すぎる連絡体「5月８日内閣サイバーセキュリティセンター（NISC)から厚生労働省情報政策参事官室、年金局を通じて「不正な通信を検知」との通報を受領。当該端末を特定し、抜線。」

「ウイルス発見」→「遮断」→「検討」

脅威の認識は正しいか日本年金機構の事例

ネットワーク監視の限界


19

問題の本質は同根

2015年6月

2013年3月

2015年7月

2016年6月


20

事件の端緒はウイルスが仕込まれた偽装メール容易に想像できる職員のメールアドレス

ハッキングの初手はWHOIS検索から

公開されているシステム管理者のメールアドレス

メールアドレスは漏えいしたのか？


21

基幹システム開発部の職員のメールアドレス姓名から容易に想像がつくメールアドレス「苗字−名前＠nenkin.go.jp」

氏名

苗字-名前

苗字-名前



22

推測できないメールアドレス体系にしていればこの事件は起こらなかった？

かもしれない！公開されているメールアドレス

お客様お問い合わせメールアドレス別ドメインとしていれば感染は広がらなかった

売買されているメールアドレスセミナー参加申込者のメールアドレス



23

そもそも偽メールが届かない仕組み構築

DMARC（Domain-based Message Authentication, Reporting & Conformance）米国を中心に急速に広まっているメールの判別システム率先導入して社会インフラとして整備しましょう

【出典】http://www.cuenote.jp/library/marketing/dmarc.html

SPF（Sender Policy Framework）送信元のIPアドレスが送信者名と整合するか確認する仕組み

DKIM（DomainKeys Identified Mail）電子メールに電子署名を行なって詐称を防止する仕組み


24

セキュリティ専門家が囃し立てる「高度な標的型攻撃」の実態

20年前から変わらないハッキング手法問題は確実な修正プログラムの適用が行われていなかったこと

攻撃手法は高度化しているのか？


25

ゼロデイ攻撃（ZERO-day Attack）

ゼロデイ攻撃とはソフトウェアの脆弱性（セキュリティホール）を標的とした攻撃のうち、脆弱性が発見されてから、開発者によって修正プログラムなどの対策が提供されるまでの時間差を利用して行われる攻撃のことである。【出典】IT用語辞典

【出典】https://direct.fujixerox.co.jp/ap1/sc/beat/ja/trend/031318.html

脆弱性情報が公表されない期間


26

• 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について

• 公開日：2014年11月13日

• 概要

弊社ジャストシステムの一部製品に脆弱性の存在を確認いたしました。この

脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。この問題の影響を受ける製品と、その対策方法、回避策を以下にご案内いたしますので、ご確認の上、ご対応をお願いいたします。

• 脆弱性の内容

今回の脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いた場合、悪意のあるプログラムを実行しようとします。

• 脆弱性がもたらす脅威

この脆弱性を悪用した攻撃が「成功」すると、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、システム管理者の権限でコンピュータを任意に操作できる可能性があります。

一太郎の脆弱性を悪用した不正なプログラム


27

セキュリティ専門家が囃し立てる「高度な標的型攻撃」の実態

20年前から変わらないハッキング手法問題は確実な修正プログラムの適用が行われていなかったこと

一太郎を最新状態にしていればこの事件は起こらなかった！

攻撃手法は高度化しているのか？


28

1. 個人情報の漏えいは思わぬ人権侵害の元凶となる個人情報の収集は自分に置き換えて判断区別と差別は紙一重

2. 「高度な標的型攻撃」も対策の本質は変わらない使用しているアプリケーションの確実な把握不要なアプリケーションの削除確実な更新プログラム（修正パッチ）の適用

3. メールの運用を見直す偽装メールを不可能にするDMRAC対応メールアドレスの推測を不可能に公開アドレスは別ドメインに

まとめ


29

困ったときは法務省ホームページへ


30

山崎文明（やまさきふみあき）情報安全ん保障研究所首席研究員

メディカルITセキュリティフォーラム理事/PCISSC PO Japan 連絡会会長/IT-ADRセンター専門委員

システム監査技術者（経済産業省）/医療情報システム監査技術者/医療情報技師

英国規格協会認定ＢＳ７７９９情報セキュリティ・スペシャリスト/ＣＩＳＭ

システム監査、ネットワークセキュリティ、セキュリティポリシーに関する専門家。大手会計監査法人にてシステム監査に永年従事。

【政府関連委員会委員就任歴】

（現任）文部科学省

「2020年代に向けた教育の情報化に関する懇談会」スマートスクール構想検討WG委員

（現任）内閣官房情報セキュリティセンター

情報セキュリティ社会推進協議会産学官人材育成WG委員

内閣官房安全保障危機管理室情報セキュリティ対策推進室ＷＧ委員

警察庁不正アクセス犯罪等対策専科講師

学校セキュリティ検討委員会委員

経済産業省サイバーテロ実験評価委員

警察庁不正プログラム調査研究委員会委員

警察庁サイバーセキュリティ調査研究委員会委員他

【加盟学会】

警察政策学会正会員/日本セキュリティ・マネジメント学会正会員/日本安全保障・危機管理学会正会員

【著書】「情報立国・日本の戦争」（角川新書）「PCIデータセキュリティ基準完全対策」（日経ＢＰ社）、「すべてわかる個人情報保護」（日経ＢＰ社）、「情報セキュリティハンドブック」（オーム社）、「情報セキュリティと個人情報保護完全対策」（日経ＢＰ社）、「システム監査の方法」（中央経済社）、「コンティンジェンシー・プランニング」（日経ＢＰ社）、「セキュリティマネジメント・ハンドブック」（日刊工業新聞社）等。

自己紹介

ADR: Alternative Dispute Resolution 「裁判外紛争解決手続の利用の促進に関する法律」

企業に求められる情報モラル と人権・個人情報保護 · 2017-10-25 ·...

Documents

企業に求められる情報モラルと人権・個人情報保護 · 2017-10-25 ·...