家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

2019年9月のIT・セキュリティトピック

2019年9月に気になったニュースをまとめます。

 

記事の投稿日 概要
2019/08/31 スマホ決済サービスの不正アクセスの被害を補償する保険の取り扱いを三井住友海上火災保険とあいおいニッセイ同和損害保険がそれぞれ始める。
2019/08/31 マネーロンダリング対策における国際協調を推進する政府間機関FATF(金融活動作業部会)は、10月28日から11月15日の3週間に渡り、対日審査することが明らかになった。
2019/08/31

アメリカの400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生した。

2019/08/31 米ツイッター(TWTR.N)のジャック・ドーシー最高経営責任者(CEO)のアカウントが30日午後、何者かにハッキングされ、人種差別的なコメントなどが投稿された。
2019/09/02 Ecサイトの顧客情報を盗まれ身代金を要求される - 日本経営協会
2019/09/02 不正アクセス受けスパムの踏み台に - ロボット開発ベンチャー
2019/09/02 スキャン通信も確認、複数のSSL VPN製品の脆弱性に関する注意喚起 - JPCERT/CC
2019/09/02 IPA、今年上半期の「コンピュータウイルス・不正アクセスの届出事例」を発表
2019/09/02 ADのクラウド展開に役立つサービス:Google、「Managed Service for Microsoft Active Directory」のパブリックβ版を提供開始
2019/09/03 JR西サイトに不正アクセス カード情報盗まれた疑い
2019/09/04 NICTER観測レポート2019上半期公開
2019/09/04 サイバーセキュリティ経営ガイドラインの対応状況を可視化「サイバーセキュリティ評価チェックシート」を無償提供開始
2019/09/05 Facebookの4億人以上のユーザーIDと携帯番号を何者かがアップロード(削除済み)
2019/09/05 ブロックチェーン技術、国際ルール整備へ 金融庁方針
2019/09/05 セガ・インタラクティブ、「maimai動画作成サービス」で不正アクセス 最大3255件のアクセスコードが流出
2019/09/05 みずほ銀行のJコインで不正アクセス
2019/09/05 「FIRST CSIRT Framework Version 2.0」公開(資料自体は2019年7月に公開)
2019/09/06 60万台以上ものGPSトラッカーの情報が「123456」というパスワードでオンライン上に公開されていると ...
2019/09/06 英国のサイバー攻撃最新動向が公開、Office 365が攻撃の標的に
2019/09/06 5億6000万円ものランサムウェア身代金を突っぱねて自力で問題を解決した自治体が現る
2019/09/06 JRグループ会社、個人情報が流出か サイト利用7309人分 /福岡
2019/09/06 金融庁、LINEを仮想通貨交換業者として登録--国内で取引サービス提供へ
2019/09/07 不正アクセスで450人分情報流出 三条・諏訪田製作所 /新潟
2019/09/07 小嶋屋総本店でカード情報流出か 通販サイトに不正アクセス
2019/09/08 悪意あるDDoS攻撃を受け、Wikipediaが欧州の広範囲と中東の一部でダウン
2019/09/09 不正アクセスでクレカ情報流出、不正利用も - 刃物通販サイト
2019/09/09 トヨタ紡織が欧州で最大40億円の詐欺被害、「虚偽の指示で資金流出」
2019/09/10 「キャリア決済」狙うスミッシング - 2段階認証設定でも被害が
2019/09/10 ユーザーのサーバー証明書まで漏洩、守ってくれるはずの専用サービスに障害(Impervaの障害。8月)
2019/09/10 新規登録ドメインの七割が怪しい、作成 32 日未満ドメインはブロック推奨 ~ 1,530 TLD 新規ドメイン調査結果解説(The Register)
2019/09/10 数千のLinuxサーバ、ランサムウェア「Lilu」に感染 - 経路は不明
2019/09/10 法人向けウイルスバスターの脆弱性を突く攻撃発生--パッチ適用を勧告
2019/09/10 パズル通販サイトに不正アクセス - 顧客の問い合わせで判明
2019/09/11 「ビバリーホームページ」へ不正アクセス、フィッシングサイトへ誘導される事象を確認(ビバリー)
2019/09/11 「GEKIROCK CLOTHING」が改ざん被害、カード情報不正取得ページへ誘導(激ロックエンタテインメント)
2019/09/12 グーグルカレンダーに「勝手に予定を追加する」攻撃が急増
2019/09/12 不正アクセス、名前と誕生日は適当(キャリア決済に対するパスワード類推の攻撃)
2019/09/12 「なんとかデータベース」へ不正アクセス、会員情報169,843件が流出の可能性(スープレックス)
2019/09/12 業務用ノートパソコン1台を遺失、遠隔操作でパスワードを複雑化(ゼットン)
2019/09/12 要件定義のノウハウまとめたIPA資料に改訂版 - 成功事例も
2019/09/13 悪質SMSでスマホの位置情報を「気付かれずに」奪取する手口 何年も個人監視に悪用か
2019/09/13 21%の学校で生徒がシステムに不正アクセス--英調査
2019/09/13 不正アクセスでスマホ購入 中国籍の容疑者逮捕 県警 /長崎
2019/09/16 アメリカの財務省は北朝鮮の3つのサイバー犯罪グループを制裁対象にしました
2019/09/18 「JTAS Store」に不正アクセス
2019/09/18 エクアドルで全国民の個人情報が流出 2000万人分
2019/09/18 「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス)
2019/09/17 オンラインゲームのアカウント乗っ取り 容疑で男逮捕
2019/09/17 「メールセキュリティに悪影響」MicrosoftのDMARCレポート停止をNCSCが批判
2019/09/19 先週のサイバー事件簿 - ウイルスバスターの脆弱性を突く攻撃を確認
2019/09/18 【ニュースリリース】JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2019年9月1日 ...
2019/09/18 添付ファイルが「HTML」、検知回避を狙う標的型メール攻撃を観測
2019/09/19 サイバーセキュリティの国際組織、ファーウェイの会員資格を一時停止=米WSJ
2019/09/20 GitHub、米経済制裁によるアクセス制限について考え示す
2019/09/20 メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)
2019/09/20 LINEグループの個人向けローン「LINE Credit」で個人情報280名分漏洩
2019/09/20 韓国国防部長官「サイバー空間で北朝鮮など不特定勢力の攻撃続く」
2019/09/20 2019年上半期マルウェアレポートを公開~ダークウェブ上で取引される脆弱性情報について注意喚起~
2019/09/21 サラの遺体写真、ネット流出事件…兄妹が「悪魔」と非難
2019/09/21 国内宿泊比較サイト「旅くら」の利用者情報流出 ビッグローブとフォルシア運営
2019/09/23 「銀行はパスワードの文字数制限を撤廃すべき」という主張を専門家はどう見ているのか?
2019/09/22 米アイオワ州裁判所庁舎の侵入テスト請け負った業者が逮捕、契約解釈の違いが原因か
2019/09/24 スイッチの「空きポート」は不正アクセスの温床、最善の防御策とは
2019/09/24 「10mois WEBSHOP」へ不正アクセス、カード決済を停止し調査中にも再度改ざん被害(フィセル)
2019/09/24 インターコムクラブへパスワードリスト型攻撃、ポイントの不正交換も確認(ジャックス)
2019/09/24 「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース
2019/09/24 米国の公共決済システムからカード情報流出、ハッカーが販売
2019/09/25 ローソンのサーバに攻撃 アクセス遮断でWebサイトとアプリを一時停止
2019/09/25 米金融機関クラッキングで1億件超の個人情報窃盗、ロシア国籍の男が罪状認める
2019/09/25 キヤノンMJ、2019年上半期マルウェアレポートを公開。ダークウェブ上で取引される脆弱性情報について ...
2019/09/25 2019年2Qの不正送金被害が半減 - ただし法人では増加
2019/09/25 政府、安全なクラウドの「登録簿」作成へ 政府調達の判断基準、民間にも公開
2019/09/25 MS、悪用確認済みのIEの重大な脆弱性等を修正する定例外セキュリティ更新
2019/09/25 レポート「メールアカウント乗っ取り攻撃:ラテラルフィッシング攻撃の防止」を公開
2019/09/25 米国の公共決済システムからカード情報流出、ハッカーが販売
2019/09/25 オンラインバンキング不正引き出し、個人被害減少するも依然高い水準(全銀協)
2019/09/25 テレワークに最適、第三者が背後から覗き込むと画面をロックするセキュリティソフト【やじうまWatch】 - INTERNET Watch
2019/09/26 個人情報保護委、次期法改正で個人情報の漏洩報告を義務化へ
2019/09/26 「掃除用品オンラインショップ」に不正アクセス、ペイメントモジュール改ざんでカード情報流出(みらいと)
2019/09/26 長崎県職員を書類送検=不正アクセス容疑-県警
2019/09/27 三井住友銀行を騙るメール、消費税率引き上げも口実に(フィッシング対策協議会)
2019/09/27 対策実施し公式ホームページとアプリを再開(ローソン)
2019/09/27 「旅くら」メールアカウントへの不正アクセス、メールボックス上のヘッダ情報が参照されたことが判明(ビッグローブ)
2019/09/27 看護師の採用サイトへの不正アクセス、サイトを停止し調査を実施(国立成育医療研究センター)
2019/09/26 エムシソフト社、仮想通貨ビットコインを要求する身代金ランサムウェアの対策ソフトを無償提供へ
2019/09/26 人事不安で情報盗み見の疑い 長崎県職員を書類送検
2019/09/27 米出前サービスDoorDash、470万人の個人情報流出
2019/09/27 サイト改ざん、入力内容確認ページなどから不正サイトに誘導 - 着物レンタル会社
2019/09/30 顧客情報が記載された伝票綴29冊を紛失、誤廃棄の可能性(豊和銀行)
2019/09/30 「セシールオンラインショップ」への不正アクセス、1件が不正閲覧の可能性(ディノス・セシール)
2019/09/30 CARTAとは何か? ガートナー提唱のエンドポイント向けセキュリティ体制とは
2019/09/30 インシデントレスポンスの50%超がサイバー攻撃による損害後に依頼
2019/09/30 7pay 44万人が残高を保有

 

「コード決済における不正利用に関する責任分担・補償等についての規定事例集」の概要

コード決済における不正利用に関する責任分担・補償等についての規定事例集(利用者向け利用規約)

発行機関:一般社団法人キャッシュレス推進協議会
発行年月日:2019年8月30日

 

概要
「コード決済における不正利用に関する責任分担・補償等についての規定事例集」は、利用者にキャッシュレス決済を安全に使ってもらうために、利用者に対して情報発信する目的で公開された事例集です。
キャッシュレス決済には、不正利用のリスクがあり、利用者にとっては不安要素の一つになります。
このガイドラインでは、上記の不安を払拭することを目的に、キャッシュレス決済サービスの利用規約の内、不正利用に対しての補償や責任分担等を調査してまとめたものです。

このガイドラインでは、不正利用について以下の2つに分類し、それぞれのケースでの不正利用の保証についてまとめています。

 

  1. 不正利用された本人が利用者アカウントの作成(利用者登録)をした後に、当該利用者アカウントが乗っ取り等により本人以外に利用され、当該利用者アカウント内に本人によってチャージされていた金銭的価値や登録されていたクレジットカード等で決済されてしまう場合
  2. 不正利用された本人は利用者アカウントの作成を行っていないにもかかわらず、第三者により不正に利用者アカウント(不正利用された本人名義とは限らない。)が作成され、当該利用者アカウントにおいて本人のクレジットカードや銀行口座等が登録され、それらを用いて決済されてしまう場合


章構成

はじめに
1.1 補償等に関する規定の重要性
1.2 本事例集の対象
1.3 留意事項
(1) 2 種類の不正利用の存在
(2) 金融機関・他の決済関連事業者等との調整
(3) 関連法令との関係
1.4 用語について
2 本人が利用者登録した場合における不正利用時の責任分担等に関する規定
2.1 総論
2.2 コード決済事業者は責任を負わないとする事例
2.3 コード決済事業者が条件付で責任を負う事例
(1) コード決済事業者に故意重過失があることをコード決済事業者の責任負担の要件とする事例
(2) 利用者が一定の行為を行うことをコード決済事業者の責任負担の要件とする事例
2.4 決済取消権限のみを定める事例
3 本人が利用者登録をしていない場合における不正利用時の責任分担等に関する規定
4 賠償額の上限等
4.1 総論
4.2 賠償額の上限に関する事例
4.3 損害の種類による制限に関する事例
5 不正利用が行われた場合に備えて補償制度を設けている事例
5.1 補償制度の概要
5.2 補償制度に関する事例
5.3 補償規定に関する留意事項
(1) 一定の行為の要求
(2) 補償期間の限定
(3) 補償金額の限定
6 おわりに

 

なお、このガイドラインでは各種キャッシュレス決済サービスの名称などは記載されてなく、あくまで不正利用に対する補償の例をまとめたものになります。
経済産業省ではこのガイドラインを公開することで、キャッシュレス決済事業者の責任分担・補償等に関する規定を比較可能にすることで、サービス事業者に対して、消費者を意識することを促します。

www.meti.go.jp

 

金融分野の組織における個人情報の保護の考え方

金融分野の組織における個人情報保護の考え方を調べてみました。

 

金融分野における個人情報保護に関するガイドライン
https://www.fsa.go.jp/common/law/kj-hogo-2/01.pdf

金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
https://www.fsa.go.jp/common/law/kj-hogo-2/03.pdf

 

www.fsa.go.jp

発行機関:金融庁
発行年月日:2018年2月

 

概要
金融庁では、「個人情報の保護に関する法律」の内容を踏まえ、金融分野の組織における個人情報保護のための指針を、「金融分野における個人情報保護に関するガイドライン 」として公開しています。

上記ガイドラインに記載のないものについては、個人情報保護委員会が公開している
「個人情報の保護に関する法律についてのガイドライン(通則編)」が適用されます。

https://www.ppc.go.jp/files/pdf/guidelines01.pdf

 

つまり、「金融分野における個人情報保護に関するガイドライン」は「個人情報保護に関する法律についてのガイドライン」の例外(金融分野への適用)に当たるガイドラインと考えられます。

 

また、「金融分野における個人情報保護に関するガイドライン 」の中で、「~なければならない」と記載されている規定については、それに従わない場合、法の規定違反と判断される場合があります。

「金融分野における個人情報保護に関するガイドライン」章構成

第1条 目的等(法第1条関係)
第2条 利用目的の特定(法第 15 条関係)
第3条 同意の形式(法第 16 条、第 23 条及び第 24 条関係)
第4条 利用目的による制限(法第 16 条関係)
第5条 機微(センシティブ)情報
第6条 取得に際しての利用目的の通知等(法第 18 条関係)
第7条 データ内容の正確性の確保等(法第 19 条関係)
第8条 安全管理措置(法第 20 条関係)
第9条 従業者の監督(法第 21 条関係)
第 10 条 委託先の監督(法第 22 条関係)
第 11 条 第三者提供の制限(法第 23 条関係)
第 12 条 保有個人データに関する事項の公表等(法第 27 条関係)
第 13 条 開示(法第 28 条関係)
第 14 条 理由の説明(法第 31 条関係)
第 15 条 開示等の請求等に応じる手続(法第 32 条関係)
第 16 条 個人情報取扱事業者による苦情の処理(法第 35 条関係)
第 17 条 個人情報等の漏えい事案等への対応
第 18 条 個人情報保護宣言の策定(法第 18 条、第 27 条及び基本方針関係)
第 19 条 ガイドラインの見直し

第2条では個人情報の利用目的について、「自社の所要の目的で用いる」というような抽象的な表現ではなく、「当社の預金の受入れ」のような、より具体的な特定を求めています。
また、第4条では個人情報の利用に関して、本来の利用目的以外の用途(振り込め詐欺の被害にあった利用者の口座情報を警察に提供する、等)について指針を示しています。
第8条では、個人データの安全管理のため、基本方針や取扱規程の整備、安全管理措置の実施体制の整備を求めています。
安全管理措置は個人データの取得・利用・保管等の各段階における、「組織的安全管理措置」「人的安全管理措置」及び「技術的安全管理措置」に分類しています。

 

第8条第5項の規定内容

金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針・取扱規程等の整備として、次に掲げる「組織的安全管理措置」を講じなければならない。
(組織的安全管理措置)
⑴ 規程等の整備
① 個人データの安全管理に係る基本方針の整備
② 個人データの安全管理に係る取扱規程の整備
③ 個人データの取扱状況の点検及び監査に係る規程の整備
④ 外部委託に係る規程の整備
⑵ 各管理段階における安全管理に係る取扱規程
① 取得・入力段階における取扱規程
② 利用・加工段階における取扱規程
③ 保管・保存段階における取扱規程
④ 移送・送信段階における取扱規程
⑤ 消去・廃棄段階における取扱規程
⑥ 漏えい事案等への対応の段階における取扱規程

第8条第6項の規定内容
金融分野における個人情報取扱事業者は、個人データの安全管理に係る実施体制の整備として、次に掲げる「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を講じなければならない。
(組織的安全管理措置)
① 個人データの管理責任者等の設置
② 就業規則等における安全管理措置の整備
③ 個人データの安全管理に係る取扱規程に従った運用
④ 個人データの取扱状況を確認できる手段の整備
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
⑥ 漏えい事案等に対応する体制の整備
(人的安全管理措置)
① 従業者との個人データの非開示契約等の締結
② 従業者の役割・責任等の明確化
③ 従業者への安全管理措置の周知徹底、教育及び訓練
④ 従業者による個人データ管理手続の遵守状況の確認
(技術的安全管理措置)
① 個人データの利用者の識別及び認証
② 個人データの管理区分の設定及びアクセス制御
③ 個人データへのアクセス権限の管理
④ 個人データの漏えい・毀損等防止策
⑤ 個人データへのアクセスの記録及び分析
⑥ 個人データを取り扱う情報システムの稼働状況の記録及び分析
⑦ 個人データを取り扱う情報システムの監視及び監査

 

「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」では、上記の第8条に加えて、第9条「従業者の監督」、第10条「委託先の監督」について、具体的な指針を公開しています。

※「金融分野における個人情報保護に関するガイドライン」章構成の赤字部分

 

「金融業」とは

仮想通貨や、QRコード決済、インターネットバンキング等、「金融」の分野では色々なサービスが登場しています。

普段使っている「金融」という言葉に含まれる業務について調べてみました。

 

金融業とは

銀行、信用金庫、保険会社、証券会社など、貨幣の信用取引を行う業務。広義には貸金業も含めていうことがある。

dictionary.goo.ne.jp

 

銀行業について

一般的に銀行では以下の三大業務を行います。

預金業務
個人や企業を問わず、利用者から資金を預かるのが預金業務です。

融資業務
預金業務によって預かったお金を、資金を必要とする利用者へ貸出を行うことで資金の運用をする業務です。事業者に対する融資や、住宅ローンやマイカーローンなどの個人向けのローンなどがこれに含まれます。なお、貸したお金が返ってこなくなると銀行の経営は悪化します。これが「不良債権」です。

為替業務
利用者からの依頼によって他の口座に送金したり、利用者にかわって小切手や手形の代金を受け取る業務です。国内だけでなく外国へ送金するのも為替業務です。

上記は、銀行法で「固有業務」として規定されています。
固有業務以外に銀行が行っている業務のうち、銀行法で定められている業務を付随業務、銀行法に定めのないものを周辺業務と呼びます。

付随業務
付随業務には、債務保証、社債の募集・委託、手形引受け等の17の業務(銀行法10条2項)があります。

周辺業務
周辺業務とは、クレジットカード、リース、信用保証等の業務のことをいいます。
銀行法に定めのない周辺業務を、銀行は直接営むことができません。そのため、子会社を作って間接的に業務提供を行っています。
 

銀行の業務

固有業務(銀行の本業) 預金(受信業務)
貸付(与信業務)
為替(決済業務)
付随業務(銀行法10条) 債務保証、手形引受け、貸金庫など
周辺業務 クレジットカード、リース、ファクタリング

 

Lecture 1 銀行の主な業務 | 金融基礎講座 || 群馬銀行 新卒採用サイト

為替業務とは|金融経済用語集

https://www.findai.com/kouza/109fin.html

銀行・証券・保険・金融業界とは?仕事・業界研究 - リクナビ

 

銀行と似た組織として信用金庫があります。これらは、提供するサービスが似通っていても、経営理念や規模等がそれぞれ異なります。

 

「信用金庫」と「信用組合」「銀行」の主な相違点 

区分 信用金庫 信用組合 銀行
根拠法 信用金庫法

中小企業等協同組合法

協同組合による

金融事業に関する法律

(協金法)

銀行法
設立目的

国民大衆のために

金融の円滑を図り、

その貯蓄の増強に資する

組合員の相互扶助を目的とし、

組合員の経済的地位の向上を図る

国民経済の健全な発展に資する
組織

会員の出資による

協同組織の非営利法人

組合員の出資による

協同組織の非営利法人

株式会社組織の営利法人
会員(組合員)資格/td>

(地区内において)

住所または居所を有する者

事業所を有する者

勤労に従事する者

事業所を有する者の役員

<事業者の場合>

従業員300人以下または資本金9億円以下の事業者

(地区内において)

住所または居所を有する者

事業を行う小規模の事業者

勤労に従事する者

事業を行う小規模の

事業者の役員

<事業者の場合>

従業員300人以下または、

資本金3億円以下の事業者

(卸売業は100人または1億円、

小売業は50人または5千万円、

サービス業は100人または

5千万円)

なし
業務範囲 (預金・貸出金)

預金は制限なし

融資は原則として会員を対象とするが、制限つきで会員外貸出もできる(卒業生金融あり)

預金は原則として組合員を

対象とするが、総預金額の

20%まで員外預金が認められる

融資は原則として組合員を

対象とするが、制限つきで組合員でないものに貸出ができる

(卒業生金融なし)

制限なし

 

証券業について

証券業とは、銀行、信託会社その他政令で定める金融機関以外の者が次に掲げる行為の一つを行う営業をいう。(1)有価証券の売買,(2)有価証券の売買の媒介,取次ぎまたは代理,(3)有価証券市場における売買取引の委託の媒介,取次ぎまたは代理,(4)有価証券の引受け,(5)有価証券の売出し,(6)有価証券の募集または売出し(募集・売出し)の取扱い(証券取引法2条8項)。 (1)有価証券の売買とは,証券会社が自己の計算で顧客または他の証券会社から有価証券を買い,あるいは顧客等に対して有価証券を売却することをいう。

kotobank.jp

 

証券業の根拠法は金融商品取引法(金商法)となります。

elaws.e-gov.go.jp


証券会社の収益源泉は以下4つに大別できます。

<引受手数料収益>
企業が上場したり新たな株式を発行したりする場合に、その株式を証券会社が引き受け、これを投資家に売る際に手数料収益を得ます。

<株式・投信・債権売買委託料収益>
顧客である投資家から証券売買の注文を受け、株式や債券の売買を仲介して、この売買の委託料として収益を得ます。

<トレーディング収益>
証券会社が独自に持つ自己資金で、株式や債券の売買を行い収益を得ます。

<その他収益>
株式口座管理手数料や投信代行手数料、M&Aや財務に関するコンサルティングによるコーポレートアドバイザリー手数料など、手広く収益を得るポイントを設けています。

 

保険業について

保険加入者から保険料を収受し,保険事故が発生したときに保険金を所定の者に支払う事業をいう。なお保険事業という用語もあるが,これは経営形態によって国営保険事業,公営保険事業,私営または民営保険事業等に分かれ,内容によって社会保険事業,生命保険事業,損害保険事業に分かれる。保険業(狭義の保険事業)は,このうち民営の,生命保険事業または損害保険事業を指す。 民営の保険業は〈保険業法〉(1939公布。1995年に後述のように大幅改正)によって規制を受ける。

保険業の根拠法は保険業法となります。

elaws.e-gov.go.jp

 

保険会社のビジネスは二つの柱で成り立っています。

<保険領域>
生命保険会社と損害保険会社は様々な保険商品を開発し、保険への加入者(被保険者)を募集します。加入者は保険会社に保険料を支払い、この保険料が保険会社の収益になります。

<金融領域>
被保険者から保険料という形で集めた資金の一部を資産として運用し、収益を得ます。ここでいう「運用」は、株式や証券取引のことを指します。ただし、運用方法は保険業法と保険業法施行規則で細かく規定がなされています。
金融領域で得られた収益は、将来の保険金や配当金の財源にあてられることが主にになっています。

en-courage.com

 

「媒体のサニタイズに関するガイドライン」の概要

媒体のサニタイズに関するガイドライン

発行機関:NIST(IPA訳)
発行年月日:2006年9月

本文

SP 800-88, Guidelines for Media Sanitization | CSRC

和訳

https://www.ipa.go.jp/files/000025355.pdf

 

概要
情報システムは各種の媒体を使って情報を処理し、保存します。
上記の情報には保存することを意図されたものだけでなく、情報の処理や送信の過程でも保持されるものも含まれます。
このような残留情報が不正に開示されるリスクを軽減し、機密性を確保するためには媒体を適切な方法で処分する必要があります。
このガイドラインは、各組織が情報システムの機密性の分類を考慮しながら、適切なサニタイズと廃棄を行うことを支援するために策定されました。


情報の廃棄と媒体のサニタイズに関するポイントは、媒体の種類ではなく、記録されている情報の重要度にあります。
情報システムには、機密性の高い情報が含まれているものあり、重要度に応じ適切な処理を行わないと、不正な開示が発生する可能性があります。
そのため、このガイドラインは取り扱う情報に関して、適切な分類が行われていることを前提としています。

 

章構成

セクション 1では、この文書の作成機関、目的と範囲、対象読者、および前提条件について説明し、文書の構成を示す。
セクション 2 では、サニタイズに対するニーズの概要と、情報、サニタイズ、および媒体の基本的な種類の概要を示す。
セクション 3 では、サニタイズの意志決定を左右する手順と原則に関する一般的な情報を提供する。
セクション 4 では、サニタイズの意志決定を支援するプロセスの流れを示す。
セクション 5 では、いくつかの一般的なサニタイズ技法の要約を示す。
付録 A では、媒体のマトリックスを使って、各種の媒体を消去、除去、または破壊するために推奨される、最低限のサニタイズ技法を示す。この付録は、セクション 5 に示す意志決定フローチャートとともに使用すること。
付録 B では、このガイドで使用している用語の解説を示す。
付録 C では、媒体のサニタイズを支援するツールと参考になる外部情報源の一覧を示す。
付録 D では、組織のリソースにアクセスできないホームユーザや在宅勤務者向けの情報のサニタイズに関する考慮事項を示す。
付録 E では、このガイドの執筆に不可欠だった情報源や文書の一覧を示す。
付録 F では、組織のサニタイズ活動を文書化するための書式の例を示す。

 
サニタイズとは
データを簡単に取り出したり再現したりできないという合理的な保証を得るために記憶媒体からデータを削除するプロセスのことです。

 

サニタイズの種類 

種類 説明 技法
廃棄 サニタイズに関する特別な配慮を行わずに媒体を捨てる行為。機密ではない情報を含む古紙をリサイクルすることによって行われることが多いが、ほかの媒体を含む場合もある。  
消去 単にデータを削除するだけではなく、データの復旧ユーティリティによって情報を取り出すことができないようにする。たとえば、データの上書きは媒体の消去方法として容認できます。上書きが適切なサニタイズ方法かどうかは、媒体の種類やサイズに左右される場合もあります(SP 800-36 を参照)。また、研究の結果、今日の媒体のほとんどは1回上書きするだけで効果的に消去できるという結果が出ています。 媒体をサニタイズする方法の1つは、媒体上の格納領域を非機密データで上書きし、ファイルの論理的な格納場所(ファイルアロケー ションテーブルなど)の上書きだけでなく、アドレス指定可能なすべての場所の上書きが含まれる場合もあります。
除去 媒体を消去するだけでは十分ではない場合は、除去として消磁などの方法でデータを削除します。消磁は、破損した媒体の除去や、格納容量がきわめて大きい媒体の除去、フロッピーディスクの高速除去などに有効な方法です。媒体の除去が適当なサニタイズ方法でない場合は、媒体を破壊することが推奨されます。 除去の方法として、消磁やファームウェアのSecure Eraseコマンドの実行が挙げられます。
破壊 媒体の破壊は、一番のサニタイズ方法です。物理的な破壊は、分解、焼却、粉砕、細断、溶解などがあります。 分解、粉砕、溶解、および焼却等のサニタイズは、媒体を完全に破壊することを目的としており、専用の施設で実行されます。また、フロッピーディスクのような柔らかい媒体は細断という方法もあります。シュレッダを使って細断する場合、切るサイズは、データの機密性に応じて、そのデータを再現できないという十分な保証が得られる程度まで小さくします。

 

サニタイズと処分に関する意志決定に影響する要素

サニタイズに関する意志決定を行うときは、システムの機密性の分類とともに、いくつかの要素を考慮します。
たとえば、フロッピーディスクなどの安価な媒体を消磁するのは、費用対効果が高くない可能性があります。
サニタイズ方法の決定は、以下のような環境要因も考慮した上で、方法を決定することが望まれます。

  • 組織ではどのような種類(書き換え不可能な光ディスク、磁気ディスクなど)とサイズ(メガバイト、ギガバイト、テラバイトなど)の記憶媒体をサニタイズする必要があるか
  • 媒体に格納されているデータの機密性はどの程度か
  • 媒体は、管理された区域で処理されるか
  • サニタイズプロセスを組織内部と委託先のどちらで行うべきか
  • サニタイズする媒体の種類ごとの想定容量はどの程度か1
  • サニタイズ用の機器やツールの準備状況はどうか
  • サニタイズの機器/ツールに関する要員の訓練レベルはどうか
  • サニタイズにどのくらいの時間がかかるか
  • ツール、訓練、有効性の確認、および媒体を供給の流れに戻すことを考慮した場合、
  • どの種類のサニタイズのコストが高くなるか

 

f:id:iestudy:20190822231306p:plain

媒体のサニタイズおよび破棄に至る流れ

 

サニタイズに関わる責任の所在

最高情報責任者(CIO:Chief Information Officer)
CIOは、情報セキュリティポリシーを公布する責任を負います。情報の廃棄と媒体のサニタイズは、このポリシーの構成要素の1つで、CIOは、組織で行われるサニタイズが本文書のガイドラインに沿うようにする責任を負います。

 

情報オーナー
情報オーナー(≒情報の作成者)は、現場での媒体保守が適切に監督されていることの責任を負います。また、情報オーナーは、情報の利用者が情報の機密性と媒体のサニタイズの基本的な要件に沿うようにする責任も負います。

 

資産管理担当者
資産管理担当者は、サニタイズされた媒体や機器が組織内に再配布されたり、外部に寄付されたり、破壊されたりした場合に、それらの状況が適切に把握されていることを保証する責任を負います。

セキュリティポリシーモデルについて(Bell-LaPadula、Biba Integrity、Chinese Wall等)

セキュリティモデルとして挙げられる「Bell-LaPadula」や「Biba Integrity」について調べたことをまとめます。

「オペレーティングシステムのアクセスコントロール機能におけるセキュリティポリシーモデル」
発行機関:情報処理推進機構
発行年月日:2012年9月27日

https://www.ipa.go.jp/files/000002266.pdf

 

上記資料は、IPAがシステム管理者を対象に参考情報を公開している「情報セキュリティ対策実践情報」に掲載されています。

www.ipa.go.jp

 

OSのアクセスコントロールと課題
OSの課題として、特権ユーザがシステム全体を支配できることが問題とされています。これは、一旦特権ユーザの権限が不正に奪われてしまうと、システムのセキュリティを確保できないことが理由となります。セキュアOSでは、上記問題点を改善するために、強制的アクセスコントロール機能を実装します。

 

セキュアOSとは
* セキュアOSとは「強制アクセス制御」「最小特権」の機能を満たしているOSを指している。
* セキュアOSとしては「Trusted Solaris」や「SELinux」等がある。
* Trusted Solarisは米国家安全保障局で策定されたセキュリティ評価基準に定義されている規約を満たしたTrusted OSを実装したOSである。
* SELinuxは米国の NSAが中心になって開発した,Linuxカーネルの セキュリティ拡張モジュールで、多くのLinuxディストリビューションに組み込まれている。

強制アクセス制御とは(Mandatory Access Control:MAC)
Linuxでは、ファイルやディレクトリに対するアクセス権として「所有者」、「グループ」、「その他のユーザ」の3種類の設定を行い、所有者によってアクセス権が自由に設定できます。(Discretionary Access Control:任意アクセス制御、一般的なWindows OSも同様)
セキュアOSでは、アクセス権の設定を所有者が行うのではなく、設定ファイルで一元管理することにより、システム管理者がシステム全体のアクセス権の設定状態を管理します。

最小特権とは
Linuxではrootユーザがシステムに関する全ての権限を所有しているため、root権限を不正なユーザに取られた場合、システム全体を自由に操作されてしまいます。

セキュアOSでは、root権限を廃止し複数のユーザに権限を分割して割り当てることにより、アカウントやサービスには最低限の権限が付与されるため、ユーザ権限を不正なユーザに取られた場合でも、システムへの影響を低減します。

f:id:iestudy:20190820233954p:plain

セキュアOSの特徴

 

ossforum.jp

セキュアOSではアクセスコントロールを実現するために、以下の2つの機能を実装します。

 

リファレンスモニタ (Reference Monitor)
システム上の全データに対するアクセスをコントロールする

セキュリティポリシーモデル
リファレンスモニタを正確に機能させるためには、
「どの主体が、どの対象物を、どのように操作できるのか」(=セキュリティポリシー)を定義します。
セキュリティポリシーには、大きく2つの分類があります

 

セキュリティポリシーの分類

多層的なセキュリティポリシーモデル
多層的なセキュリティポリシーモデルは、米国軍などで適用されるもので、情報に階層を付けて、階層間のアクセスを制限します。
このモデルはデータに異なる重要度が設定されているような場合に適しています。このモデルに分類されるセキュリティポリシーには、Bell-LaPadula、Biba Integrity等があります。

f:id:iestudy:20190820234128p:plain

多層的セキュリティポリシーのイメージ


多元的なセキュリティポリシーモデル
多元的なセキュリティポリシーモデルは、情報の重要度を順序付けるのではなく、コンパートメントと呼ばれる小さな部屋に区切り、情報へのアクセスをコントロールするモデルです。
このモデルにおいては、多層的セキュリティポリシーモデルのように、階層的な情報をコントロールするのではなく、コンパートメント間の横方向の情報フローがコントロールされます。

 

f:id:iestudy:20190820234207p:plain

多元的セキュリティポリシーのイメージ

 

f:id:iestudy:20190820235009p:plain

セキュリティポリシーモデルの位置づけ

 

Bell-LaPadula モデル

  • 1973年に米国空軍の要請によりDavid Bell、Len LaPadulaが提案
  • 情報の不適切な開示の有無を検証することが可能
  • 情報が下へ流れない (機密性) 
シンプルセキュリティ属性 (Simplesecurity property) どのサブジェクトも高位のデータを読んではならない。NRU (no read up)
スター属性 (*-property) どのサブジェクトも低位にデータを書き込んではならない。NWD (no write down)

f:id:iestudy:20190824222732p:plain

 

Biba Integrity モデル(Low Water-Mark Model)

  • 1975年にBibaが情報の不適切な修正を防ぐためのモデルを提案
  • 情報が上へ流れない (完全性) 
シンプルインテグリティ属性(Simple integrity property) サブジェクトは、下位のデータに限り修正することができる。
インテグリティスター属性(Integrity *-property) もしサブジェクトが、同じインテグリティ・レベルのオブジェクトへの読み込み権限を持っていれば、そのサブジェクトは上位のオブジェクトに限り修正することができる。

f:id:iestudy:20190824222818p:plain

 

 

https://www.jnsa.org/result/2007/edu/materials/071111/tebiki2007.pdf

 

Chinese Wall モデル
Chinese Wallモデルでは、「関心事の衝突」を情報保護の基本としています。
具体的には、競合する会社の情報があった場合に、その両方の企業の情報にアクセス可能な状況を作らないようにします。

 

その他OSのセキュリティに関する資料
電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究報告書

https://www.nisc.go.jp/inquiry/pdf/secure_os_2004.pdf

 

OSのセキュリティ機能等に関する調査研究

https://www.nisc.go.jp/inquiry/pdf/secure_os_features.pdf

 

GDPRの概要

General Data Protection Regulation
制定機関:欧州議会および欧州理事会
制定年月日:2016年4月27日(2018年5月25日より施行)

参考
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN


日本語訳

https://www.jipdec.or.jp/archives/publications/J0005075

 

概要
2018年5月25日よりEU域内の個人データ保護を規定する法として、GDPR(General Data Protection Regulation)が施行されました。GDPRは、1995年から適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わるものです。
GDPRでは、欧州経済領域内(EEA:European Economic Area)に住む人の「個人データ」について、「処理」「移転」を規制しています。

「個人データ」とは
「個人データ」はEEA内に在籍する個人に関する情報と定義されます。

  • 名前
  • 位置データ
  • メールアドレス
  • クレジットカード情報
  • IPアドレス
  • 身体、精神、文化、経済に関する要素 等

「処理」とは
「処理」とは、「個人データ」に対して行われるすべての操作と定義されます。

  • メールアドレスの収集
  • クレジットカードの情報保管
  • 連絡先情報の変更
  • 業務評価の閲覧
  • 名前等の個人情報を一覧で管理する 等

「移転」とは
「移転」とは第三者に個人データを閲覧可能にするための行為と定義されます。

  • 個人データを含んだ文書を郵便またはメールで送付
  • 従業員情報をEEA域外の拠点で閲覧

GDPRの章立て

第 1 章 総則1
第 1 条 対象事項と目的
第 2 条 実体的範囲
第 3 条 地理的範囲
第 4 条 定義

第 2 章 諸原則
第 5 条 個人データの取扱いに関する原則
第 6 条 適法な取扱い
第 7 条 同意の条件
第 8 条 情報社会サービスに関する子どもの同意に対して適用される条件
第 9 条 特別な種類の個人データの取扱い
第 10 条 有罪判決及び犯罪に係る個人データの取扱い
第 11 条 識別を要求しない取扱い

第 3 章 データ主体の権利
第 1 節 透明性及び手続
第 12 条 データ主体の権利行使のための透明性のある情報、通知及び手続
第 2 節 情報及び個人データへのアクセス
第 13 条 データ主体から個人データを収集する場合に提供される情報
第 14 条 データ主体から個人データを取得しない場合に提供される情報
第 15 条 データ主体のアクセス権
第 3 節 訂正及び消去
第 16 条 訂正の権利
第 17 条 消去の権利(忘れられる権利)
第 18 条 取扱い制限の権利
第 19 条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
第 20 条 データポータビリティーの権利
第 4 節 異議を唱える権利及び個人に対する自動化された意思決定
第 21 条 異議を唱える権利
第 22 条 プロファイリングを含む自動化された個人意思決定
第 5 節 制限
第 23 条 制限

第 4 章 管理者及び取扱者
第 1 節 一般的義務
第 24 条 管理者の責任
第 25 条 データ保護バイデザイン及びデータ保護バイデフォルト
第 26 条 共同管理者
第 27 条 EU 域内に拠点のない管理者又は取扱者の代理人
第 28 条 取扱者
第 29 条 管理者又は取扱者の権限下での取扱い
第 30 条 取扱い活動の記録
第 31 条 監督機関との協力
第 2 節 個人データの保護
第 32 条 取扱いの保護
第 33 条 個人データ侵害の監督機関への通知
第 34 条 データ主体への個人データ侵害の通知
第 3 節 データ保護影響評価及び事前協議
第 35 条 データ保護影響評価
第 36 条 事前協議
第 4 節 データ保護オフィサー
第 37 条 データ保護オフィサーの指名
第 38 条 データ保護オフィサーの地位
第 39 条 データ保護オフィサーの業務
第 5 節 行動規範及び認証
第 40 条 行動規範
第 41 条 承認された行動規範の監視
第 42 条 認証
第 43 条 認証機関
第 5 章 第三国又は国際機関への個人データ移転
第 44 条 移転に関する一般原則
第 45 条 十分性決定に基づく移転
第 46 条 適切な保護措置に従った移転
第 47 条 拘束的企業準則
第 48 条 EU 法によって認められていない移転又は開示
第 49 条 特定の状況における例外
第 50 条 個人データ保護に関する国際協力

第 6 章 独立監督機関
第 1 節 独立的地位
第 51 条 監督機関
第 52 条 独立性
第 53 条 監督機関のメンバーに関する一般的条件
第 54 条 監督機関の設置規則
第 2 節 管轄、業務及び権限
第 55 条 管轄
第 56 条 主監督機関の管轄
第 57 条 業務
第 58 条 権限
第 59 条 活動報告

第 7 章 協力及び一貫性
第 1 節 協力
第 60 条 主監督機関とその他関係監督機関との協力
第 61 条 相互支援
第 62 条 監督機関の共同作業
第 2 節 一貫性
第 63 条 一貫性メカニズム
第 64 条 欧州データ保護会議の意見89
第 65 条 欧州データ保護会議による紛争解決
第 66 条 緊急手続
第 67 条 情報の交換
第 3 節 欧州データ保護会議
第 68 条 欧州データ保護会議
第 69 条 独立性
第 70 条 欧州データ保護会議の業務
第 71 条 報告
第 72 条 手続
第 73 条 議長
第 74 条 議長の業務
第 75 条 事務局
第 76 条 機密性

第 8 章 救済、法的責任及び制裁
第 77 条 監督機関への不服申立ての権利
第 78 条 監督機関に対する効果的な司法救済の権利
第 79 条 管理者又は取扱者に対する効果的な司法救済
第 80 条 データ主体の代理人
第 81 条 訴訟の一時停止
第 82 条 賠償請求権及び法的責任
第 83 条 制裁金の一般条件
第 84 条 罰則

第 9 章 特別な取扱い状況に関する条項
第 85 条 取扱いと表現及び情報の自由
第 86 条 取扱いと公式文書へのパブリックアクセス
第 87 条 取扱いと国民識別番号
第 88 条 職場における取扱い
第 89 条 公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための取扱いに関する保護措置及び例外
第 90 条 守秘義務
第 91 条 教会及び宗教組織の既存のデータ保護規則

第 10 章 委任行為及び実施行為
第 92 条 委任の行使
第 93 条 委員会の手続

第 11 章 最終条GDPR
第 95 条 欧州指令2002/58/ECとの関係
第 96 条 事前に締結されていた条約との関係
第 97 条 欧州委員会報告
第 98 条 データ保護に関するその他EU法の見直し
第 99 条 施行及び適用

GDPRで制裁を受けた事例 

www.secure-sketch.com