東京メトロ職員の「パスモ」ストーカー事件の教訓

東京メトロ職員の「パスモ」ストーカー事件の教訓

件の職員は懲戒解雇処分となったが東京メトロとしてはこれで終わらせる訳には行くまい。東京メトロはパスモ端末から間単に個人情報を盗み出すことが出来るという環境を提供してしまった。今回はストーカーと言う側面があったから表に出たが、ひっそりと個人情報は閲覧されていたかもしれないし、っこんかいのストーカーでなくても誰かが何かで問題を起こしたかもしれない。

要するに今回の事件を起こした要因はメトロのシステム管理、情報管理、セキュリティ管理のいい加減差にあります。東京メトロは個人の問題にすり替え、置き換えて、済ましては居ないだろうか？

問題が大きいのはシステム改変の仕組み・手順の方だ。どういうリスクを持つことになるか事前の検討不足は免れない。

当面の対策：

1. 誰が誰の情報にアクセスしたかが分かるようにしておくこと。アクセスの理由。端末利用はログイン機構を利用させること。
2. 本人がカードを持参している時 も、識別されること。
3. 特定の人が相当の複数回アクセスしたらアラートが出ること。過去1年の平均値より１０％乖離したらでもいいだろう。
4. 特定の人が特定の人に複数回アクセスしたらアラーとが出ること。

手順の改善：

1. メーカー任せになっていることからの脱却。
2. 役割責任の再確認。
3. 発注責任者も相当問題が大きい。

.*.

UNIX(ユニックス）の３８年問題へのISMS的対応は済んでますか？

http://www.sitepoint.com/unix-style-operating-systems/

UNIX(ユニックス）の３８年問題へのISMS的対応は済んでますか？

システム担当者、サーバー担当者の間では遠くの昔に話は終わっているはずですが、改めて点検しておきたい警鐘記事が出ていた。

３２ビット版UNIXでは、２０３８年１月に時間カウントが限界を迎える。２０００年問題のUNIX版ということだ。２０００年問題は大山鳴動ねずみ一匹？

しかし、UNIXの場合は始末が悪い。

1. １つは、基幹系に利用されているケースが多く、問題が出たら大事になってしまうこと。
2. ２つはUNIXは亜流が実に色々あるから対策の範囲が特定し難いということ。

２００４年の銀行２０行のATMトラブルの原因がこの３８年問題に起因することは多分業界人の常識なんだろうが、 ２０３８年が運用上のタイムスパンに入るだけで問題は表面化することに留意すべきだ。要するに、２０３８年の問題でなく、。今日的な問題として充分理解できているかということになる。

さて、ISMSです。

脅威（脆弱性？）の概要、あるいは脅威の発端となる概要は理解できる。

対策担当者をどのようにアサインすることが出来るか？基幹系サーバーなら 情報システム部門で話は早い。情報システム部門の目が届かないところにリスクは無いのかという話になる。

＜何処に３８年問題が潜むか？＞

• 基幹サーバー：情報システム部門
• 部門サーバー：
• 部門パソコン：パソコンを勝手にサーバー化利用するケース。
• デジタル技術応用機器：コンピューターと思っていないが内部ではUNIX系のコンパクトOSが動いているケース。
• 設備等のコントロールシステム：デジタル機器と認識できるものの姿も見えない可能性がある。納入業者あるいはメーカーに確認するしか無いだろう。

＜脆弱性の状況は？＞

６４ビット版か、既に対策済みか、など。

＜資産価値？＞

発生する状況（情報資産の状況）と被害額の算定。直接、間接に脅威を受ける情報資産の洗い出しを行う。最終的なビジネスインパクト。この算定は、しかし、難しすぎる。

＜対策？＞

脆弱性改善の方法論、必要リソース。優先順位を付けて実施する。影響の大きさ（資産価値？）を理解して 対策を検討する。いつものことだ。

.*.

もし、３８年問題を既に脅威の一つとして検討済みならいいが、リスク（脅威）として捉えていなかった場合は、脅威の洗い出しプロセスに穴が開いていたことになる。２００４年尾銀行ATMトラブルでも予防処置が回らなかったらそのプロセスも問題だ。

今までのは、結果論ではあるが、ISMSに似て非なるものをやっていたに過ぎない 。

.*.

ビジネスマンの新IT非常識

ビジネスマンの新IT非常識

雑誌にビジネスマンの新IT常識（ITリテラシー）とする記事が出ていたが結構これは大変だなと。第3回とあるから連載記事なんだろう。しかし、この記事を書いた人は大手企業のセキュリティ事情と個人事業者のセキュリティ事情を取り違えている可能性がある。注意されたい。

1. （新常識）
   会社と同じメアドで自宅でもメールが出来るようにする。アドレス帳も移行させる。
   （非常識）
   会社業務関連の情報が自宅に勝手に保管されることになり問題。メアド情報自体も持ち出しは不適切。
2. （ 新常識 ）
   仕事用のメールはスマホを使って24時間チェック。
   （非常識）
   私物のスマホ内に会社情報が蓄積されないか。スマホ自体の安全にも対策は出来ているのか。個人のスマホが管理状態にあるのかどうか。
3. （常識）メールの添付忘れ防止のために、メール送信は一旦送信ボックスに留め置かれる設定にする。
   ⇒ 確実ではないが一定の効果は期待できそうだ。
4. （ 新常識 ）取引先メールをスマホでダブルチェックするために一旦全てをGメールに転送。
   （非常識）スマホ利用の是非に加えて、Gメール利用の是非も判断が必要。とは言え企業内にGメールを導入しているケースもあり並みのメールシステムよりはセキュア。フリーソフト禁止で一括りする会社はIT部門が弱い証拠だ。
5. （ 新常識 ）
   営業活動などでは積極的にそー者ネットワーク（ツイッター、フェイスブック、グーグル+、タンブラー、リンクトインなど）を利用する。
   （非常識）
   ソーシャルネットは双方向の情報サービスで受ける情報も有れば出す情報もある。利用基準を定めなければうかつには利用できない。異なる顧客の情報が錯綜しないか。その前に組織として利用基準が必要。定めが無いときは取り敢えず自由なのか禁止なのか。問題は、会社では禁止しても私的な情報交換の範疇に入ってくるとどこまで拘束できるか。
6. （ 新常識 ）
   フェイスブックのビジネス利用ではプロフィールの公開範囲を友達の友達までとかに制限すること。又プロフィールの検索が出来ない設定にすること。仕事仲間のサイトを紹介。
   ⇒ ソーシャルネットSNSのビジネス利用は個人事業無ければ先ず無理でしょう。個人事業は仲間内の共感・協力を得て進めることができるのでSNS利用にも大きな矛盾を抱え込まないで住む場合もある。
7. （ 新常識 ）
   外出先・出張先の待ち合わせにスマホSNSのチェックイン機能を使う。FBの場合は情報公開相手を特定して指定するのが面倒だが、Google+のサークルを使えば簡単に出来る。
   （非常識）
   しかしSNSに参加しているのが前提になるから、一般利用は無理でしょう。
8. （ 新常識 ）
   ソーシャルネットのプロフィールを個人用と業務用（ビジネス用）と分けて2つ持つ。
   ⇒目からうろこだね。主催者がいきなり禁止してこなければいいが、公私混同の改善には有用と思われる。その場合も運用の限界、誰がどのようにチェックできるのか、課題も多い。

.*.

ヒヤリハット対策

ヒヤリハット対策

ヒヤリハット対策について運送業のクラウド利用事例としてコラム記事が出ていた。川崎市の寺元運送。システム化はユニシス。

ＩＳＭＳとの関連は？

このケースではビデオ情報の管理だろうか。個人情報、特にプライバシー問題。

.*.

もっと重要なことはＩＳＭＳとしてヒヤリハット管理への示唆。

ＩＳＭＳ上のヒヤリハット、セキュリティ弱点の把握についても関連がある。ＩＳＭＳでは本人の自発的な報告が前提だが、この運送会社の事例は常時監視という手段でヒヤリハットを把握しようとしていること。が特徴的。自発的な報告ぐらい当てになら無いものはない。

ここで示されたブレークスルーは「人の監視」に一歩踏み込んだことでしょう。

情報資産に関わる作業の自動監視と分析ツールが必要ですね。人はどういう時にミスをするのか。

既に幾つかあるようですが、有用性についての報告はあまり聞かれません。

まだまだこれからのようです。

.*.

他人事で済まされないグーグル「サジェスト機能」リスク！

他人事で済まされないグーグル「サジェスト機能」リスク！

グーグル検索のサジェスト機能によって氏名を入力すると氏名の後に犯罪を連想させるような不適切な言葉が自動表示されてしまう事態が発生し、東京地裁は自動表示に対する差し止め命令を出したが、グーグル側は応じない。日本法人では手が打てない。米本社も機械が勝手にやっているとのことｄ応じない。検索キーワードを勝手に連想して自動表示させるサジェスト機能は時として邪魔なことも多い。どのように切ることができるのか分らない。以前は自分で利用しない設定が出来たが今は良く分らない。

これはある個人に降りかかった災難だ。しかし、これが企業の重要人物（社長など）の名前で発生したらどうします。企業名、商品名、そういったものでも、間の悪いサジェストが行われるケースがあります。

見て見ない振りをしますか？

検索結果でも同じようなことは発生します。検索ランキングで社名を入れたら、会社のホームページの上に、会社を避難するようなサイト記事が表示されることがあります。どうしますか？ホームページで
何か案内をして詳しくはホームページでとやったら会社尾ｗ否定するページが出てきたら商売になりません。

これは事業継続問題ですか、コンプライアンス問題ですか、両方ですか。

手順を決めていますか？
グーグルを訴えるための証拠・記録の収集は確実ですか？

誰にでも、どの企業にも、いつおきるとも知れないリスクケースです。

イカタコウイルス作成者に二審も実刑判決の意味

イカタコウイルス作成者に二審も実刑判決の意味

東京高裁3/26の控訴審における判決。中辻正人(28)被告は器物損壊罪の適用を受けている。ウイルスがハードディスクの使用を出来なくしたとして罪を問われている。再初期化すれば利用可能となるが、ファイルの原状回復が困難でハードディスクの効用が害されたことは明らかとしての判決。

これ、ウイルスで無く、バグだったらどうなのか。損害賠償は当然だろうね。

ユーザー視点に立てば、最初期化などが必要な事態に追い込まれたら、損害賠償請求の可能性を検討してもいいとなる。尤も、契約に基づくときは免責事項に入れるだろうか。

1. ウイルス感染の時は損害賠償請求の可能性を検討する。
2. その為の情報収集を確実にする手順・監視体制を確立する。

.*.

自衛隊の個人情報収集に対して賠償命令（仙台地裁判決）

自衛隊の個人情報収集に対して賠償命令（仙台地裁判決）

イラク派兵に反対する市民を監視したことに対する訴えを受けたもの。過剰な個人情報の収集は個人の人権を犯す行為になるとするものだ。

ＩＳＭＳではどうなるか？

企業は個人の活動を少なからず監視しているが、その程度によっては人権問題になりかねない。こうなるとＩＳＭＳ以前の問題。当然、ＩＳＭＳでもコンプライアンス違反に属する問題としてアウト。でも、過剰が何処からか分らないのが、この問題の難しいところ。

ウェブデザインの意匠権保護に動く特許庁！ややこしくなるぞ？

ウェブデザインの意匠権保護に動く特許庁！ややこしくなるぞ？

ウエブ上の掲載情報の著作権はディズニーランドの写真などではよく話題になるが、今度はアイコン、操作画面、壁紙なども衣装ケント紙ｔ保護対象になるよう特許庁で検討を始めた。

これは海外との関連もあって急ぐものらしい。日本は保護されず、海外だけが一方的に保護されてはクールジャパンビジネスもあったものではない。特に悪さばかりしている中国系の無断使用と勝手な主張には閉口させられる。

保護を積極的に進めるには出願の仕組みの大幅な改善が必要だろう。先願方式だけでは金のある大手にばかり有利に働いてしまう。誰でも低料金で簡単に出願できる仕組み。

特許庁は「ヘーグ協定」に２０１４加盟を目論んでいるとか。

そもそも意匠権はやっかいなものだ。似ている似てないの判断が客観的可能かどうか。小説、音楽でも盗作問題が出ている。アイコンデザインなんて似ない方が可笑しいくらいだ。

.*.

これで立派に「飯が食える」ビジネスの一つになる。

• 特許権：発明（出願から20年）
• 実用新案：考察（出願から10年）
• 意匠権：デザイン（登録から20年）
• 商標権：ブランド･ロゴマークなど。（登録から10年、更新可能）

ＩＳＭＳ的にはどうするのか？

やることは結構あります。現状を調査してリスク/オポチュニティの有無を調べておくこと。

1. 会社のホームページのデザイン根拠を洗うこと。外部に公開しているサイト、特定ユーザーに限定公開しているサイト。
2. イントラネットは問題になるケースは少ないだろうが、生産性向上のために無断使用していると見ることも出来るので、やはりリスク対象とする。
3. 製品マニュアルなどをＨＴＭＬ形式、ＰＤＦ形式で提供している場合もアイコンデザインの盗用リスクを抑えることが必要。
4. 社内独自のもので意匠権主張できるものも洗うこと。
5. 業界的に共有するデザインあるいは意匠権主張の無い一般公開のものについて識別しておくこと。

ＷＥＢ技術利用標準、ＷＥＢサイト制作標準に必要な手順を追加すること。

これは、めちゃめちゃ大変なのは下手をすると海外発の意匠も権利侵害の対象になること。専門の組織、アウトソースが必要になるだろうか。

.*.

電子手形とＩＳＭＳ

電子手形とＩＳＭＳ

企業が保有する手形や売掛債権を電子化しネットで取引する仕組み。

紛失、盗難などの管理上のリスクが少なく、分割譲渡しやすい特徴を持つ。

ＮＥＣキャピタルとイー・ギャランティが提携し新会社。

.*.

ＩＳＭＳ的には電子手形の採用は管理策の１つになるでしょうか。手形って情報資産か金融資産かという判別に頭を悩ます前にさっさとリストして管理対象に入れてよい。抜け漏れが無ければ、重複するのは構わない。もっとも、電子手形自身の管理の仕組みを理解してしっかりやらないと、電子化することでセキュリティホールが出来ては意味が無い。やはり大変。