第21回 NT-Committee2関東勉強会その2 - 適宜覚書-Fragments

第21回 NT-Committee2関東勉強会その2

      2017/03/02

個人情報保護法の技術的要件

はまもと@connect24hさんのセッション。量が多いので口頭で説明された差障り無いだろうところを列挙。

個人情報漏洩の概要と昨今の状況
  • 個人情報の漏洩は2002/5TBCの事件から新聞紙面で取り上げられ、ローソン事件の補償で1人500\という値が付けられた。
  • 例えばデータ1件100Bytesで450万強のデータを抜くならCD-Rで十分で450MB強。これを500\/件で計算すると約22億円。対策費と考えると40億だが、実際には諸経費もろもろで更に倍の80億かかる。イマドキUSB一個1GB1万円以下で入手出来、その価値たるや…。
  • 実に80%の漏洩原因は内部犯行によるものだそうだ。(JNSAの資料によると60%の直接的、20%の間接的らしい…がちょっとソースが俺には分からない)
  • 非常に厳格な体制で職員を囚人のように監視しているようなところであっても漏れるときは漏れる。
価格.COMショック
  • 価格.COM事件は未だ原因不明である(多くは推測されるが確信をもてる状況ではない)。通常濱本さんは複数の経路で背景を追い関係性から大凡の内容を掴むことに自他共に認める(マスコミから濱本さんにヒアリングが入るくらい)が、今回の件は報道管制を強く強いている模様。
  • netcraftで価格.COMサーバを見ると18-Nov-2004までWindows Server 2003でIIS6.0で、事件後15-May-2005以降Linux+Apacheでゴニョゴニョやって最終的にWindows Server 2003でIIS6.0に戻っている。暫定対策として別サーバを立ち上げ、脆弱性解決後運用の蓄積のある環境にすることで最短の復帰を目指したと推測される。
  • カカクメソッドと揶揄された対外戦法だが、今回損失、連結決算見通し(経常利益、純利益)株価推移から顧みるに戦術としてはあると考えて良い。
  • 濱本さん個人的には、クライアントから「うちは大丈夫?」と聞かれたりしたのでチェックや監視体制の高度化、資料作成他でてんてこ舞いになったらしい。
    • つい先日の三菱系子会社の話とかも
個人情報保護法とその対策
  • 個人情報漏洩の資料として6/10にJSNAにてセキュリティ被害調査WGによる、2004年度個人情報漏洩インシデント調査報結果(速報)が公開された。資料4/5にある円グラフは象徴的で、換言すると75%は盗難(盗難、紛失・置忘れ、誤操作、管理ミス)であり、50%は飲んだ後とかに無くなっている。意外なのは紙での漏洩が未だトップで46%を占めるところだが、漏洩件数・分量の観点からするとPCや可搬記録媒体の方が問題でそれを対策して封じればずっとマシになる。JNSA資料には漏洩件数・分量の観点の資料が追加されたほうが良い。
  • 個人情報漏洩対策をしている会社としていない会社では統計上している会社の方が漏洩数が多い。では、対策は無駄かというとそうではない。対策していない会社は情報ダダ漏れでも脅威に気付くことが無いので実体は凄まじいことになっているだろう。情報資産の可視化しているかどうかの違いは大きい。
  • 情報セキュリティ対策にはトレーサビリティ確保、監査ログ保存、タイムマネジメントの三点が挙げられどれも重要だが、タイムマネジメントを軽視してはいけない。警察等は事件性のある全ての証跡を付き合わせるため被害者情報、経路情報、被告情報等複数を突き合せる。時刻の正しさは証跡の信頼性(改竄有無等)に関わる。
  • 対策ソリューションの一例として、AssetView+パケットブラックホール
フリーウェアを駆使した個人情報保護法対策
まとめ
  • 対策として重要なのは監査証跡を保存する仕組みを作ることで人力ではムリ。proxyのログは人間が読むものではない。フリーツールを多く紹介したがスタンドアローン向けであり、企業なら中央で集中管理出来る有償エンタプライズ製品になる。
  • リスクの可視化は非常に重要
  • 組織への監視を明示することでリスク発現の抑止・防止
    • 但し従業員業務やプライバシの監視が目的ではない。北風政策的では雰囲気も悪くなり敵視され従業員の自発的なリスク認識・啓発を阻害する。むしろ、従業員を守るもの、バリアとして機能させ、愛あるセキュリティを実現すべきだろう。

適宜覚書-Fragmentsは、筆者が興味をもった様々な情報やネタを筆者が忘れても後で思い出せるよう覚書として公開するBlogです。Google Chrome拡張、Facebook、Google、Twitter、Windows、各種Webアプリなどを扱うことが多いです。この覚書が、もし何かお役立ちになれば幸いです。

 - Windows, 覚書 , ,